- Uvodne napomene.
Evropski parlament je u aprilu 2016. godine usvojio novi pravni okvir za zaštitu podataka o ličnosti u vidu uredbe, tj. pravnog akta Evropske unije („EU“) koji je izvršan u državama članica EU kao zakon. Naime, novi zakonodavni okvir u ovoj oblasti ima naziv Opšta uredba o zaštiti podataka o ličnosti 2016/679 (eng. the General Data Protection Regulation 2016/679) („Uredba“) i ova Uredba je zamenila Direktivu o zaštiti podataka o ličnosti 95/46/EC (“Direktiva”) koja je državama članicama EU pružala smernice u ovoj oblasti 23 godine.
Uredba i njena nova pravila u pogledu zaštite podataka o ličnosti će se primenjivati počev od 25. maja 2018. godine.
- Da li je Uredba bitna za srpske kompanije – pitanje teritorijalne primene Uredbe?
Jedno od najvažnijih pravila iz Uredbe i novina u pravu EU je proširenje teritorijalnog važenja Uredbe i na kompanije sa sedištem van teritorije država članica EU.
Stoga, obaveza primene Uredbe neće postojati samo za kompanije sa sedištem u državama članicama EU, već i za kompanije izvan EU bez obzira na njihovo sedište (da li ono bilo npr. u SAD-u, Japanu, Australiji ili Srbiji) pod određenim uslovima.
Tačnije, u skladu sa članom 3. Uredbe, Uredba će se primenjivati i prilikom obrade podataka o ličnosti od strane kompanije koja nema sedište u EU ukoliko je ta obrada povezana sa:
- nuđenjem robe ili usluga fizičkom licu iz EU, nezavisno od toga da li to fizičko lice treba da izvrši neko plaćanje ili ne; ili
- praćenjem ponašanja fizičkog lica iz EU dokle god se to ponašanje obavlja unutar EU.
Kako bi se utvrdilo da li kompanija nudi robu ili usluge fizičkim licima iz EU, nužno je utvrditi očiglednu nameru kompanije da odnosnu robu ili usluge ponude fizičkim licima koja se nalaze u jednoj ili više država članica EU. Pritom, iako je sama dostupnost web stranice kompanije nedovoljna da dokaže takvu nameru, faktori kao što su upotreba jezika koji je u opštoj upotrebi u jednoj ili više država članica EU sa mogućnošću naručivanja robe i usluga na drugom jeziku ili upućivanje na kupce ili korisnike koji se nalaze u EU, mogu jasno pokazati da kompanija ima nameru da ponudi robu ili usluge fizičkim licima u EU.
Primer:
Ukoliko vaša kompanija ima web-stranicu koja omogućava fizičkim licima iz EU da naruče vaš proizvod (npr. vaša web-stranica je i na engleskom jeziku i cene vaših proizvoda su navedene u evrima i ukoliko je očigledno namenjena i licima iz EU) dužni ste da implementirate pravila i iz Uredbe.
Konačno, ne treba zaboraviti da u Srbiji postoji zakon koji reguliše obradu podataka o ličnosti, tj. Zakon o zaštiti podataka o ličnosti („Zakon“) i da svaka obrada podataka mora biti i u skladu sa Zakonom.
- Kazne propisane Uredbom.
Pored proširenja teritorijalne primene pravila iz Uredbe, druga najupadljivija stvar iz Uredbe su kazne koje su propisane za nepoštovanje pravila.
Naime, kompanija koja prekrši pravila iz Uredbe može biti kažnjena kaznom do 4% ukupnog svetskog prometa za prethodnu finansijsku godinu ili do 20 miliona EUR, u zavisnosti od toga koji iznos je veći. Ove kazne su propisane za najteža kršenja Uredbe kao što je kršenje načela Uredbe, obrađivanje ličnih podatka bez odobrenja ili prenos ličnih podatka u treću državu suprotno pravilima iz Uredbe. Sa druge strane, za „lakše“ oblike nepoštovanja Uredbe propisane su nešto blaže kazne i to u iznosu do 2% ukupnog svetskog prometa za prethodnu finansijsku godinu ili do 10 miliona EUR, u zavisnosti od toga koji iznos je veći.
Važno je napomenuti da se navedene kazne primenjuju kako na rukovaoca, tako i na obrađivača podataka o ličnosti.
Takođe, ne treba ignorisati i da pored kazni kompanija može biti izložena padu vrednosti akcija, te značajnom narušavanju reputacije i imidža kompanije.
Primer:
Akcije najveće društvene mreže na svetu „Facebook“ odmah nakon incidenta sa „Kembridž Analitika“ kompanijom, pale su istog dana za više od šest procenata, a sledećeg dana još pet procenata, što je najveći pad u poslednje četiri godine (oko 50 milijardi dolara tržišne vrednosti).
- Å ta je smatra podatkom o ličnosti u smislu Uredbe.
U skladu sa Uredbom, podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet utvrđen ili se može utvrditi, a naročito ako se identitet fizičkog lica može utvrditi na osnovu imena, matičnog broja, podatka o lokaciji i drugih pokazatelja.
Shodno ovako širokoj postavljenoj definiciji, podatkom o ličnosti se može smatrati svaki podatak o fizičkom licu, pa tako npr. i IP adresa računara ukoliko se iz takvog podatka može saznati identitet fizičkog lica.
Tumačenjem Uredbe proizilazi da, ukoliko je moguće sačuvati potpunu anonimnost na koga se lični podatak odnosi, primena Uredbe nije obavezna. Međutim, potpunu anonimnost je u savremenom društvu gotovo nemoguće postići.
Sa druge strane, kao i Zakon, i Uredba propisuje posebna pravila u pogledu obrade tzv. „naročito osetljivih podataka“, kao što su podaci koji otkrivaju rasno ili etičko poreklo, političko mišljenje, versko uverenje, članstvo u sindikatu, podaci koji se odnose na zdravstveno stanje.
- Obaveze za rukovaoca i obrađivača podataka o ličnosti.
Uredba propisuje osnovna načela kojih se svako ko obrađuje podatke o ličnosti mora pridržavati:
- zakonitost, pravičnost i transparentnost prilikom obrade podataka o ličnosti,
- podaci o ličnosti prikupljeni u posebne, određene i zakonite svrhe se dalje ne smeju obrađivati na način koji nije u skladu s tim svrhama,
- podaci o ličnosti moraju biti primereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo „smanjenje količine podataka“),
- podaci o ličnosti moraju biti tačni i prema potrebi ažurirani, te se mora preduzeti svaka razumna mera radi osiguravanja da se lični podaci koji nisu tačni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo „tačnosti“),
- podaci o ličnosti moraju biti čuvani u obliku koji omogućuje identifikaciju fizičkog lica samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci obrađuju,
- podaci o ličnosti moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost ličnih podataka, uključujući zaštitu od neovlašćene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih ili organizacionih mera.
Nadalje, Uredba propisuje brojne obaveze za rukovaoce i obrađivače podataka o ličnosti, a neke od njih dajemo u nastavku:
a) Obrada podataka o ličnosti je isključivo dozvoljena uz pristanak fizičkog lica, a samo izuzetno ovaj pristanak nije potreban.
U skladu sa Uredbom, obrada podataka o ličnosti je isključivo dozvoljena uz pristanak fizičkog lica na koga se podatak odnosi. Izuzeci od ovog pravila su limitirani i mogu se primeniti samo izuzetno (npr. ukoliko je obrada podataka o ličnosti nužna za izvršenje ugovora u kojem je ugovorna strana fizičko lice na koga se odnosi podatak o ličnosti).
Uredba daje nova pravila za davanje pristanka za obradu podataka o ličnosti, pa tako pristanak mora biti:
- dobrovoljan;
- određen;
- dat nakon informisanja fizičkog lica, te mora predstavljati
- nedvosmisleno izražavanje želje fizičkog lica da izjavom ili jasnom radnjom da pristanak za obradu ličnih podataka.
U odnosu na naročito osetljive podatke o ličnosti Uredba propisuje da pristanak za obadu naročito osetljivog podatka o ličnosti mora biti dat izričito i to za jednu ili više tačno određenih svrha. Ovo pravilo je dužna da primeni svaka kompanija bez obzira što npr. obrađuje naročito osetljive podatke o ličnosti u okviru vršenja svoje redovne poslovne delatnosti (npr. kompanije koje se bave kliničkim ispitivanjima).
Primer:
U skladu sa Uredbom neće se smatrati da je fizičko lice dalo zakonit pristanak za obradu podataka o ličnosti ukoliko je npr. pri poseti internet stranice polje za pristanak već označeno kvačicom (ü).
b) Prenos podataka o ličnosti u treću državu.
Prenos podataka o ličnosti u treću državu – izvan teritorije EU je shodno Uredbi samo izuzetno dozvoljen u određenim situacijama.
Podsećanja radi, Zakonom su propisani uslovi pod kojima se podaci o ličnosti iz Srbije mogu iznositi. Shodno Zakonu, podaci o ličnosti se slobodno mogu iznositi u državu članicu Konvencije o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope, a u suprotnom samo ukoliko je propisom, odnosno ugovorom o prenosu podataka, obezbeđen stepen zaštite podataka u skladu sa ovom konvencijom uz posebnu dozvolu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: „Poverenik“).
U skladu sa Uredbom, prenos podataka o ličnosti u treću državu – izvan teritorije EU je dozvoljen u sledećim situacijama, i to ukoliko je:
- Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti u trećoj držani,
- Rukovalac podacima o ličnosti ili obrađivač podataka o ličnosti predvideo odgovarajuće zaštitne mere (ovaj uslov se može ispuniti i usvajanjem obavezujućih korporativnih pravila (eng. Binding Corporate Rules), potpisivanjem standardnih klauzula o zaštiti podataka o ličnosti, usvajanjem kodeksa ponašanja, izvršavanjem sertifikacije) i pod uslovom da su fizičkim licima na raspolaganju izvršiva prava i učinkovita sudska zaštita.
U slučaju odsustva odluke Evropske komisije ili odgovarajućih zaštitnih mera, prenos podataka o ličnosti je dozvoljen samo u izuzetnim slučajevima, npr. ukoliko je fizičko lice izričito pristalo na prenos podataka o ličnosti nakon što je obavešteno o mogućim rizicima takvog prenosa ili je npr. takav prenos nužan radi izvršenja ugovora između fizičkog lica i rukovaoca, odnosno obrađivača podataka o ličnosti.
Primer:
Imajući u vidu odredbe Uredbe koje se odnose na davanje saglasnosti za prenos podataka o ličnosti sledi da takav pristanak ne bi mogao biti dat na način da se fizičko lice saglasi sa uslovima poslovanja (eng. Terms & Conditions).
c) „Pravo na zaborav“ ( „right to be forgotten”).
Uredba propisuje i pravo fizičkog lica čiji se podaci obrađuju da zahteva brisanje podataka o ličnosti koji se odnose na njega, tzv. „pravo na zaborav“ (eng. „right to be forgotten”).
Naime, fizičko lice ima pravo da zahteva brisanje podataka o ličnosti od strane rukovaoca podataka o ličnosti, između ostalog, ukoliko:
- lični podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;
- fizičko lice povuče pristanak na obradu;
- su podaci o ličnosti nezakonito obrađivani;
- se podaci o ličnosti moraju obrisati shodno pravu u EU, ili pravu države u kojoj rukovalac ima sedište.
d) Obaveštenje o povredi podataka o ličnosti.
Nadalje, jedno od možda najupečatljivijih pravila iz Uredbe je obaveza rukovaoca podacima o ličnosti da o svakoj povredi podataka o ličnosti (eng. data breach) obavesti nadležni organi za zaštitu podataka o ličnosti u roku od 72 časa uz dostavljanje detaljnog izveštaja o slučaju. U slučaju da ovo obaveštenje nije dato u roku od 72 časa, kompanija je dužna i da obrazloži zašto se došlo do kašnjenja u obaveštavanju.
Takođe, u skladu sa Uredbom, kompanija u ovoj situaciji ima obavezu da obavesti i sva lica čiji su lični podaci kompromitovani ukoliko postoji visok rizik za prava i slobode pojedinaca.
e) Obavezno imenovanje službenika za zaštitu podataka o ličnosti.
Shodno pravilima iz Uredbe, rukovalac i obrađivač podataka o ličnosti moraju imenovati službenika za zaštitu podataka o ličnosti (eng. Data Protection Officer – DPO) ukoliko se njihova osnovna delatnost sastoji od:
- postupaka obrade koji zbog svoje prirode i/ili opsega i/ili svrhe iziskuju redovno i sistemsko praćenje fizičkih lica u velikoj meri, ili
- opsežne obrade naročito osetljivih podataka o ličnosti ili podataka u vezi sa krivičnim osudama ili delima.
Takođe, Uredbom je data mogućnost da kompanije koje obrađuju podatke u više država članica EU imenuju jednog službenika za zaštitu podataka o ličnosti (mehanizam „one-stop-shop”).
f) Odnos rukovaoca i obrađivača podataka o ličnosti.
Kao i u srpskom pravu, rukovalac podataka o ličnosti može poveriti drugom licu određene poslove u vezi sa obradom podataka o ličnosti. Jedna od glavnih razlika između rukovaoca i obrađivača podataka o ličnosti je ta što rukovalac uvek ima znatno više obaveza i odgovornosti od obrađivača.
Za razliku od Zakona, Uredba propisuje mogućnost da obrađivač angažuje drugog obrađivača (tzv. pod-obrađivač) na osnovu ugovora, s tim da je shodno Uredbi za takvo poveravanje poslova u vezi sa obradom podataka o ličnosti neophodna saglasnost rukovaoca. Međutim, obrađivač se u ovoj situaciji ne može osloboditi odgovornosti i ostaje odgovoran rukovaocu podacima o ličnosti za izvršavanje obaveza od strane pod-obrađivača.
*****
Usvajanje Opšte uredbe o zaštiti podataka o ličnosti (GDPR) je definitivno jedan od najznačajnijih trenutaka za zaštitu podataka o ličnosti. Imajući u vidu da se Uredba može primeniti i na srpske kompanije na vama je da pažljivo planirate svoje poslovanje i da budete svesni da se u svakom trenutku na vas mogu primeniti pravila iz Uredbe, a posledično i kazne koje, da podsetimo, nisu ni malo zanemarljive – do 4% ukupnog svetskog prometa za prethodnu finansijsku godinu ili do 20 miliona EUR. Naravno, ne treba zaboraviti da su sve srpske kompanije dužne da primenjuju srpsko pravo i to Zakon o zaštiti podataka o ličnosti.
Stoga, proverite sopstvenu organizaciju i procenite na vreme da li se Uredba odnosi na vas. Ukoliko je odgovor da – pravo je vreme da poboljšate i uskladite svoje poslovanje!