Opšta regulativa o zaštiti podataka o ličnosti, odnosno General Data Protection Regulation (GDPR), novi je pravni okvir koji propisuje način korišćenja podataka o ličnosti građana Evropske unije. Svaka organizacija koja na bilo koji način obrađuje podatke EU građana moraće da se pridržava novih pravila. Zato ta pravila treba pažljivo proučiti
GDPR stupa na snagu 25. maja 2018. godine, sa ciljem da zameni Direktivu o zaštiti podataka iz 1995. godine (Data Protection Directive 95/46/EC). Usvajanjem GDPR-a stvoren je jedinstven pravni instrument usaglašavanja zakonskih propisa država članica. Pored toga, GDPR uzima u obzir i nove tehnologije koje nisu bile obuhvaćene Direktivom, kao što su Big Data, mobilne aplikacije, društvene mreže i drugo. Uvešće se nova i sveobuhvatnija pravila u pogledu korišćenja i zaštite podataka o ličnosti. Kazne za nepoštovanje ovih propisa dosežu i do 20 miliona evra, odnosno četiri odsto godišnjeg prometa.
I van EU
Usled prirode aktuelnih biznis modela digitalne ekonomije, mnogi sektori u Srbiji, poput IT-a i elektronske trgovine, moraće da se usklade s novim pravilima ukoliko žele da zadrže postojeće B2B odnose i nastave da nastupaju u EU kroz B2C transakcije. Budući da Srbija još uvek nije uskladila regulativu u oblasti zaštite podataka o ličnosti, nepripremljenost domaćeg regulatornog okvira i nemogućnost jednostavnog „uvoza“ podataka o ličnosti građana EU u Srbiju, mogu da prouzrokuju novi talas iseljavanja domaćih, perspektivnih IT kompanija u neke od zemalja EU.
Trenutno važeći zakon u Srbiji ni na koji način ne uvažava promene nastale razvojem informacionih tehnologija i novih biznis modela, a usvojen je pre skoro deset godina i do danas je ostao u gotovo istom obliku. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti stavio je javnosti na raspolaganje u junu 2017. model zakona o zaštiti podataka o ličnosti, koji je prema mišljenju ekspertskih organizacija, usklađen sa GDPR-om. Pošto je donošenje novog zakona obaveza propisana u pregovaračkom postupku sa EU, postoji mogućnost da će novi zakon biti donet do maja 2018. godine.
U ovom procesu veoma je bitno da novi zakon bude usklađen s GDPR-om, kako domaće kompanije ne bi usklađivale poslovanje s dva različita regulatorna režima, što bi prouzrokovalo veće troškove i pravnu neizvesnost. Očekuje se da će domaći zakon početi da se primenjuje odmah po donošenju, dok je GDPR odložio svoju primenu za dve godine kako bi dao dovoljno vremena za pripremu i implementaciju svih propisanih obaveza.
Zaštićeni podaci
Pravila se primenjuju na pravna lica koja obrađuju podatke o ličnosti. Podatak o ličnosti predstavlja, pored ličnog imena, JMBG-a, e-mail adrese i IP adresu, IMEI – jedinstveni broj mobilnog uređaja, i broj poseta nekom sajtu, pa i, recimo, podatak koje serije neko od nas često gleda na televiziji. Nije potrebno da se na osnovu same informacije utvrdi identitet nekog lica, već je dovoljno da se njenim uparivanjem s drugim podacima dođe do te osobe.
Svaka radnja u vezi sa ovim podacima smatraće se obradom. Ukoliko je vaše poslovanje na bilo koji način povezano s podacima koji se odnose na fizička lica, bilo da radi svog poslovanja prikupljate ili uslužno obrađujete tuđe podatke, na vas se primenjuju pravila o zaštiti podataka o ličnosti i tu nema razlike između domaćeg zakonodavstva i GDPR-a.
GDPR će se primenjivati na firme koje imaju predstavništvo i bave se obradom podataka o ličnosti u nekoj od država članica EU. To znači da se proširuje polje njene primene i izvan EU i to u dva slučaja: ako se bavite nuđenjem robe ili usluga građanima EU i ako se bavite praćenjem ponašanja građana EU. Čak i u slučaju da samo obezbeđujete infrastrukturu za čuvanje podataka i njihovu obradu, bez uvida u podatke koji se tamo prikupljaju, i tada će se na vas primenjivati GDPR, imajući u vidu da morate primeniti brojne mere zaštite.
Šest načela obrade
Neophodno je da firme imaju na umu šest načela obrade. Ukratko, GDPR propisuje da podaci mogu da se obrađuju samo u skladu sa zakonom, da to može da se radi samo u predviđene i dozvoljene svrhe, da mora da se obezbedi tačnost i sigurnost podataka, da se prikuplja minimum potrebnih podataka, te da ti podaci moraju da se unište ili da se depersonalizuju nakon što je ostvarena njihova svrha.
Jedna od osnovnih ideja-vodilja prilikom donošenja GDPR-a bila je da građani povrate kontrolu nad svojim podacima. Kompanije su, kao i do sada, dužne da svoje korisnike obaveste o načinima na koje njihove podatke koriste, da im omoguće uvid u podatke, dostave kopiju ili izmene netačne podatke. Novina je „pravo na zaborav“ (right to be forgotten), koje postojeće pravo na brisanje podataka prilagođava stvarnosti Interneta u kojoj se naši podaci konstantno objavljuju i dele. Pravo na prenosivost podataka (data portability) podrazumeva da će kompanije koje se bave analitikom ličnih podataka, svojim korisnicima, na zahtev, morati da dostave sve podatke o njima u mašinski čitljivom formatu kako bi ti podaci mogli da se koriste i za druge usluge.
Imenovanje lica za zaštitu podataka o ličnosti (data officer) po GDPR-u postoji za državne organe, ali i za kompanije koje se bave masovnim praćenjem građana ili obradom naročito osetljivih podataka u velikom obimu. Firme će biti u obavezi da imenuju predstavnika koji se nalazi na teritoriji EU.
Prilagođavanje biznis modela
GDPR propisuje obavezu vođenja evidencija o obradi podataka o ličnosti, ali i formalno prijavljivanje ovakvih evidencija kod poverenika za zaštitu podataka o ličnosti, uz izuzetke za manje rukovaoce i one koji ne prikupljaju osetljive podatke. Propisana je i implementacija odgovarajućih tehničkih i organizacionih mera za zaštitu podataka u skladu sa svrhom, obimom, prirodom i kontekstom obrade podataka.
Svaka kompanija, kada pravi novi biznis plan ili strategiju koja u okviru sebe obuhvata i rukovanje podacima ili njihovo prikupljanje, prema GDPR-u, moraće od samog starta da prilagodi biznis model standardima u oblasti zaštite privatnosti.
Bezbednost podataka i informacionih sistema jedan je od prioriteta GDPR-a. Propisano je da u slučaju incidenata, odnosno kompromitacije podataka o ličnosti (data breach), postoji obaveza da se o tome obaveste nadležni organi za zaštitu podataka o ličnosti u roku od 72 sata, uz dostavljanje detaljnog izveštaja o slučaju. Kompanije koje se nađu u takvoj situaciji moraće da obaveste i sva lica čiji su podaci kompromitovani. Svako korišćenje ličnih podataka trebalo bi da se nađe u dokumentu koji bi prikazao kako se u vašoj kompaniji kreću podaci (data flow map), te koje ste mere zaštite preduzeli. GDPR propisuje da je „putovanje“ podataka o ličnosti van granica EU dozvoljeno samo u određenim situacijama, što može da dovede do toga da će se kompanije iz EU ređe odlučivati da razmenjuju podatke s domaćim.
I srpski zakon i GDPR prave distinkciju kada su u pitanju odgovorna lica za njihovo poštovanje, pa se ključne obaveze odnose na rukovaoca (controller), koji određuje svrhu i način obrade i obrađivača (processor), koji po nalogu rukovaoca obrađuje podatke. GDPR propisuje da odnos između rukovaoca i obrađivača mora da se uredi ugovorom. U skladu s ugovorom, moguće je da će na obrađivača biti prenete i one obaveze koje nisu propisane GDPR-om, dok rukovalac ne može da se oslobodi svojih odgovornosti i uvek će odgovarati za izbor obrađivača. Zato je potrebno preduzeti niz mera u okviru sopstvene organizacije, kao i zagovarati reakciju državnih organa kako bi se, u meri u kojoj je to moguće, za digitalnu ekonomiju uspostavilo povoljno poslovno okruženje u Srbiji, nakon početka primene GDPR-a.
Danilo Krivokapić je koordinator za zaštitu podataka u SHARE Fondaciji. dr Đorđe Krivokapić je docent na Fakultetu organizacionih nauka Univerziteta u Beogradu. Tekst je priredila Tatjana Ostojić