Opšta uredba EU o zaštiti podataka o ličnosti (GDPR) jedan je od najznačajnijih međunarodnih akata u oblasti zaštite podataka o ličnosti, a njena primena tiče se i država koje nisu članice EU. Teritorijalno važenje ovog akta je prošireno, pa se Uredba primenjuje i na obradu podataka o ličnosti lica koja se nalaze u Evropskoj uniji, a koju obavlja rukovalac ili obrađivač podataka koji nema poslovno sedište u Evropskoj uniji, ako su aktivnosti povezane s nuđenjem roba i usluga licima u Evropskoj uniji (bez obzira na to da li to lice treba da izvrši plaćanje) ili praćenjem njihovog ponašanja dokle god se njihovo ponašanje odvija unutar Unije.
To praktično znači da i privredna društva koja imaju poslovno sedište u Srbiji moraju da poštuju pravila Uredbe ako obrađuju podatke o ličnosti lica u Evropskoj uniji pod gore navedenim uslovima.
Republika Srbija, ali i zemlje iz regiona imaju obavezu da usklade nacionalno zakonodavstvo sa ovom Uredbom.
Na Konferenciji se pokušalo odgovoriti na neka od „gorućih“ pitanja poput toga šta GDPR znači za građane država u regionu, šta za privredu, i da li i kakve obaveze nameće organima javne vlasti; Da li naši građani mogu očekivati onaj nivo zaštite svojih prava koji imaju građani Evropske unije, te da li su Evropska unija i njene članice spremne za primenu GDPR i s kakvim izazovima se trenutno suočavaju? Jedno je sigurno – početkom primene GDPR-a mnogo toga će se promeniti i unaprediti u kontekstu zaštite jednog od osnovnih ljudskih prava – prava na zaštitu podataka o ličnosti.
Poverenik je organizovao ovu Konferenciju u želji da najširoj javnosti približi značaj GDPR-a i podigne svest o tome kako će ovaj akt uticati na pojedinca, ali i na razne druge zainteresovane aktere, prvenstveno privredu i organe javne vlasti čija je obaveza da štite prava pojedinca.
Konferenciju je otvorio g. Rodoljub Šabić, poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, nakon čije pozdravne reči se obratio nj.e. Arne Sanes Bjornstad, ambasador Kraljevine Norveške, koji je pozdravio inicijativu organizovanja i saradnje zemalja u regionu i podsetio na važnost ove Uredbe, osvrnuvši se na aferu „Kembridž analitike“ i kompanije Fejsbuk. Bjornstad se zahvalio Povereniku i njegovom timu na inicijativi i dodao da se raduje daljoj saradnji. Uvodnu reč imali su i nj.e. Andrea Oricio, šef Misije OEBS u Srbiji, gđa Mateja Norčič-Štamcar, zamenica šefa Delegacije Evropske unije u Srbiji i gđa Irina Sahakijan Veter, zamenica šefa Kancelarije Saveta Evrope u Beogradu.
Da li je privatnost u digitalnom dobu mrtva?
Dvodnevna Konferencija organizovana je kroz panele na kojima su, osim eminentnih stručnjaka, učešće u diskusiji uzeli i pojedinci iz publike. Osim pitanja koja su postavljana od strane publike u sali, na panelima se pokušalo odgovoriti i na pitanja koja su postavljana preko društvene mreže Twitter.
Prvi panel nas je detaljnije upoznao sa GDPR Uredbom i šta nam ona donosi. Diskusiju su otvorili Vladimir Radunović, iz Diplo fondacije, Nevena Ružić iz Službe Poverenika, kao i Mojca Prelesnik, informacijski poverenik Republike Slovenije i Petar Kovačević, direktor Agencije za zaštitu ličnih podataka u BiH, koji su se osvrnuli na normativne okvire ove dve zemlje koji će obuhvatati Uredbu, kao i prednosti i manjkavosti trenutnih rešenja domaćeg zakonodavstva o ovom pitanju.
GDPR ne može odgovoriti na sva pitanja koja se tiču zaštite podataka (npr. u borbi protiv kriminala ili sferi nacionalne bezbednosti), ali je važan jer vraća fokus na zaštitu prava pojedinaca i borbu protiv zloupotrebe istih.
Mojca Prelesnik, informacijska poverenica Republike Slovenije objasnila je da se Slovenija trenutno nalazi u „pravnom vakuumu“ do primene Uredbe 25. maja. Ona je naglasila da zakon koji će se oslanjati na Uredbu mora da bude dobar (trenutno ima preko 100 primedbi na postojeći zakon u Sloveniji), i podsetila da je državama članicama EU omogućeno da se prilagode Uredbi do 25. maja 2019. godine, te da u tom periodu neće biti sankcionisanja prekršaja.
Za zemlje koje su u procesu pridruživanja važi isto što i za članice EU. Petar Kovačević, direktor Agencije za zaštitu ličnih podataka u Bosni i Hercegovini, podsetio je da ovo treba shvatiti kao ozbiljan zadatak, kao i da će BiH pokušati da uskladi svoj zakon sa Uredbom i uspostavi nezavisne organe za kontrolu. Kovačević je dodao da BiH radi na nacrtu zakona, koji se trenutno nalazi na oceni usklađenosti sa Uredbom, te da je osnovna poruka koju su pokušali preneti u zakon upravo to da je „vlasnik podataka“ lice na koje se ti podaci i odnose.
Šta su to lični podaci zapravo?
Drugi panel nas je bliže upoznao sa pravima pojedinaca, kao izuzetno širokom definicijom koja se odnosi na bilo koju informaciju o određenom pojedincu, pa čak i netačnoj! Najteža povreda svakako je zloupotreba ličnih podataka pojedinaca. Sva lica imaju prava na transparentnost podataka, mogućnost uvida u svoje podatke, kao i pravo da podatke izmene ukoliko dođe do neke greške.
Uredba po prvi put propisuje uslove za traženje saglasnosti maloletnih lica (mlađih od 16 godina) za nuđenje usluga elektronskim putem, a ostavljen je prostor nacionalnim zakonodavstvima da odrede starosnu granicu (između 13 i 16 godina).
Na trećem panelu povelo se pitanje o licima za zaštitu podataka, kao i njihovim obavezama koje ova Uredba propisuje. GDPR nalaže da sve kompanije sa preko 250 zaposlenih moraju imati ovakvog službenika, ali je svakako preporučljivo rešenje i za manje firme, kako bi se stekao uvid u podatke od značaja za poslovanje.
Prvi dan konferencije zatvoren je panelom koji se ticao postupanja u slučaju povrede zaštite podataka o ličnosti. Radoje Gvozdenović i Zlatko Petrović, iz Službe Poverenika kao i Marija Milojević, iz Saveza za e-upravu NALED (KPMG) podsetili su nas da je osnovni cilj primene GDPR-a „vraćanje prava pojedincima“, i upoznali prisutne sa sankcijama propisanim za nepoštovanje iste, kao i kaznama u slučaju povrede ovih prava.
Mnoge kompanije su još uvek u nedoumici da li se ta regulativa odnosi na njih, a naročito su zabrinute kako joj pristupiti. Strah u poslovanju nastaje kada se sazna koliki je ulog, odnosno koliko iznose kazne. Sa sličnim problemima i nedoumicama susreću se i zemlje iz regiona. Ono što brine najveći broj kompanija u regionu jesu kazne, koje za najteže povrede iznose 20 miliona evra ili četiri odsto od globalnog prihoda kompanije na godišnjem nivou. Za nešto blaže povrede kazne su dva odsto ili deset miliona, ali kazne mogu biti i manje, u zavisnosti i od toga o kojim podacima je reč. Dakle, Uredba svakako pravi razliku između lakših i težih povreda.
Drugog dana Konferencije prikazana je studija slučaja koja se ticala integrisane privatnosti, a kroz panel predstavljeni su i modeli usaglašavanja rukovodilaca sa Uredbom, gde je govorio Anto Rajkovača, direktor Agencije za zaštitu ličnih podataka u Republici Hrvatskoj.
Anto Rajkovača, direktor Agencije za zaštitu ličnih podataka u Republici Hrvatskoj govorio je o službenicima za zaštitu ličnih podataka, i podsetio da je u Hrvatskoj 2012. godine uveden službenik za zaštitu ličnih podataka i trenutno ih je oko 3.000, što je najbolje rešenje, jer je u njegovoj nadležnosti briga za zakonitost obrade, odnosno da li se poštuju pravila regulative i ostali propisi, kao i upozoravanje rukovodioca na nužnost primene propisa i dodao da takav službenik u okviru jedne kompanije mora posedovati veliki opseg delovanja i znanja iz oblasti nacionalnih i evropskih zakona o zaštiti podataka, kao i poznavanje poslovnog sektora organizacije.
Službenik u jednoj firmi može obavljati samo taj posao ili mu to može biti dodatni posao u kompaniji, objašnjava Rajkovača i ističe da je najvažnije da ne dođe do sukoba interesa, te da službenik bude neko od rukovodilaca ili deo marketinga firme, jer onda može doći do toga da se regulativa ne ispunjava potpuno propisno.
Na tematskim panelima, stručnjaci iz oblasti zaštite podataka o ličnosti koji rukovode organima za zaštitu podataka o ličnosti u zemljama članicama EU, ali i onih država koje to nisu, diskutovali su o uticaju Uredbe na zemlje koje nisu članice EU i njihovim obavezama, ali i obavezama nadležnih organa za zaštitu podataka/Poverenika.
Kao što je najavljeno, GDPR će stupiti na snagu u 25. maja 2018. godine, sa ciljem da zameni Direktivu o zaštiti podataka iz 1995. godine (Data Protection Directive – Directive 95/46/EC). Dok je Direktiva 95/46 bila na snazi, članice EU usvajale su lokalne propise i zato zakoni o zaštiti podataka o ličnosti širom EU nisu bili usaglašeni. Usvajanjem GDPR-a stvoren je jedinstven pravni instrument sa direktnom primenom u svih 28 država članica ali i šire, zamenjujući sve različite načine na koje se implementirala prethodna Direktiva. Pored ovoga, GDPR uzima u obzir i nove tehnologije koje nisu obuhvaćene Direktivom kao što su Big Data, mobilne aplikacije, društvene mreže, itd.
„Potpuno je jasno da će Uredba biti relevantna za Srbiju i kompanije koje posluju u njoj“ izjavio je Šabić i dodao da “usklađivanje našeg pravnog poretka sa evropskim podrazumeva mnogo, mnogo više od prevođenja dokumenata EU i njihovog proglašavanja za naše zakone. Podrazumevaju se, kao neophodne dve stvari, postojanje realnih uslova da se zakoni primenjuju i želju, volju za to“, te da će se njegov tim potruditi da pomogne u ovom procesu tranzicije, u meri u kojoj je to moguće.
