GDPR u Srbiji

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) je uredba usvojena na nivou Evropske unije 2016. godine, a cilj njenog donošenja je unificirana zaštita podataka o ličnosti na tlu EU, kao i u zemljama koje obrađuju podatke o ličnosti državljana EU.

361

GDPR je novi pravni okvir koji propisuje način korišćenja podataka o ličnosti građana EU. Iz toga proizilazi da će svaka organizacija koja na bilo koji način obrađuje podatke građana EU morati da se pridržava novih pravila o zaštiti podataka o ličnosti, čak i ako joj je sedište izvan teritorije EU, kao što je to slučaj sa našom zemljom.

Naši lični podaci se nalaze širom interneta, na brojnim društvenim mrežama, u bazama mobilnih operatera, banaka i drugih preduzeća kojima je posao njihovo skladištenje i obrada. Problem jeste što se tim podacima može lako pristupiti i što je zaštita tih podataka u većini slučajeva na niskom nivou. Radi zaštite tih podataka i brojnih bezbednosnih razloga Evropska unija je donela ovu zakonsku regulativu koja će bitno promeniti način poslovanja subjekata koji se bave prikupljanjem i obradom ličnih podataka.

Opšta uredba o zaštiti podataka o ličnosti je usvojena još 2016. godine od strane Evropskog parlamenta i Saveta EU, ali je usled neophodnog perioda adaptacije počela sa primenom 25. maja 2018. godine.

Republika Srbija obavezala se Sporazumom o stabilizaciji i pridruživanju da će uskladiti nacionalno zakonodavstvo u oblasti zaštite podataka sa pravnim tekovinama Evropske unije. Pitanje zaštite podataka o ličnosti od značaja je za pristupanje Evropskoj uniji i tema je pregovaračkih poglavlja 23 „Pravosuđe i osnovna prava“ i 24 „Pravda, sloboda i bezbednost“.

U Srbiji od avgusta 2019. godine počinje da se primenjuje Zakon o zaštiti podataka o ličnosti koji je isti kao i evropski GDPR, tako da sva pravila GDPR-a koja važe za članice EU važe i za našu zemlju. Zbog prirode poslovanja aktuelnih kompanija i modela digitalne ekonomije, mnogi sektori u Srbiji, poput IT-a i elektronske trgovine, ali i mnogih drugih, moraće da se usklade sa novim pravilima. Sve organizacije koje prikupljaju lične podatke građana moraju unaprediti aktuelne procedure za upravljanje ličnim podacima kroz niz novih, strožih zahteva. Bitna stavka je da se uskladi politika privatnosti sa GDPR-om. Firme koje koriste lične podatke u poslovne svrhe moraju staviti u fokus kako da od svojih korisnika dobiju pristanak za korišćenje njihovih podataka i da im objasne u koje svrhe će te podatke koristiti.

Zaštita ličnih podataka je ljudsko pravo, koje predstavlja jednu od komponenti prava na privatnost, a koje je prepoznato u najvišim međunarodnim i domaćim aktima, a Ustav Republike Srbije ga prepoznaje u članu 42. Kao ljudsko pravo ono je univerzalno i neotuđivo, a dostignuti nivo zaštite tog prava ne sme da se sužava. Istovremeno, ovo pravo je moguće ograničiti ako je mera ograničenja propisana zakonom.

U tom kontekstu bi trebalo posmatrati i tzv. “pravo na zaborav”. Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose, a rukovalac ima obavezu da obriše podatke o ličnosti bez nepotrebnog odlaganja, ako je ispunjen neki od uslova koje Uredba predviđa kao na primer da je lice povuklo pristanak, podaci su nezakonito obrađeni ili jednostavno su iskorišćeni i njihova prisutnost u sistemu više nije neophodna. “Pravo na zaborav”je sistematizovano u EU i uneto je u Uredbu na osnovu Presude Evropskog suda pravde u slučaju C-131/12 Google Španija protiv AEPD i Mario Costeja González kada je sud zauzeo stav da su internet operateri search engine, u svojstvu rukovalaca podataka o ličnosti u obavezi da obrišu podatke, ukoliko je ispunjen neki od slučajeva koji je propisan uredbom i da obaveste rukovaoce da je lice tražilo da se obrišu linkovi koji sadrže podatke o ličnosti.

Uredba propisuje nekoliko obaveza za pravna i fizička lica koja nisu iz Evropske unije ukoliko su dužna da primenjuju GDPR. Obaveze, između ostalog, propisuju da kompanije imaju predstavnika u EU koji će biti zadužen za određena pitanja vezana za zaštitu podataka, kao i da vode evidenciju aktivnosti obrade ličnih podataka u određenim slučajevima.

Kako se Srbija ne nalazi na listi zemalja Evropske komisije koje primenjuju adekvatne mere zaštite ličnih podataka, GDPR propisuje preduzimanje dodatnih mera zaštite ukoliko podaci iz EU idu u Srbiju (ugovorne klauzule, kodeksi ponašanja, obavezna korporativna pravila).

Ukoliko se ne poštuju pravila GDPR kazne su ogromne (20 miliona € ili 4% godišnjeg prihoda firme), imamo primer Unicredit banke koja je među prvima kažnjena za kršenje pravila koja se odnose na GDPR u Rumuniji. Banka je dobila kaznu u vrednosti od 130.000 evra, nakon što je Nacionalno nadzorno telo istražilo korišćenje ličnih podataka. U slučaju povrede odredbi Uredbe postupci za izricanje kazne bi se sprovodili protiv predstavnika rukovaoca ili obrađivača srpskih firmi u EU.

Zakon o zaštiti podataka o ličnosti predstavlja samo osnovni propis koji reguliše ovu oblast, a sa njim je potrebno uskladiti čitav niz zakonskih i podazakonskih akata. Takođe je potrebno kompanijama koje koriste lične podatke ostaviti dovoljno vremena da se prilagode novim propisima.