GDPR: Još 9 meseci do početka primene

EU

Gugl protiv EK

Do početka primene GDPR (General Data Protection Regulation) u EU ostalo je nešto više od 9 meseci. Ovaj dokument je usvojen u Evropskom parlamentu u aprilu 2016. godine, a počinje da se primenjuje od 25. maja 2018.

GDPR stavlja van snage Direktivu 95/46/EC i uvodi brojne novine u regulativu koja uređuje zaštitu ličnih podataka.

GDPR i Digital Single Market

GDPR je deo EU inicijative Digital Single Market, koja podrazumeva kreiranje novih pravila koja će da odgovore izazovima koje nosi „digitalno doba“. Sama ideja o jedinstvenom „digitalnom tržištu“ nije nova i zapravo predstavlja osnov funkcionisanja EU koja kao zajednica država teži jedinstvenom tržištu što želi da prenese i na „onlajn“ svet.

Video: Promo Izvor: Evropska komisija

U oblasti zaštite podataka o ličnosti, inicijativa ima za cilj da omogući nesmetani prekogranični protok podataka između država članica EU.

GDPR i zaštita osnovnih ljudskih prava

GDPR je, između ostalog, posledica debate o potrebi bolje zaštite privatnosti korisnika usluga IKT, koja  je već duži vremenski period aktuelna u EU.

Ta debata je dobila jak podsticaj nakon presude u čuvenom slučaju pred Evropskim sudom pravde C‑362/14 (Max Shrems vs Data Protection Commissioner). Postupak je pokrenuo tadašnji student prava, državljanin Austrije Maks Šrems (Max Schrems), a zbog toga što je smatrao da američki gigant Facebook prikuplja nesrazmerno veliku količinu podataka evropskih korisnika što nije saglasno sa Poveljom EU o osnovnim pravima. Krajnji rezultat ovog postupka je bio da je presudom suda stavljen van snage dotadašnji sporazum EU i SAD o uzajamnom transferu ličnih podataka (tzv. Safe Harbor).

Zbog toga GDPR predstavlja plod kompromisa između zahteva industrije da se omogući nesmetan protok ličnih podataka i obezbedi jedinstveno digitalno tržište i potrebe da se omogući najviši mogući stepen zaštite ličnih podataka.

Proširena teritorijalna primena

GDPR će se primenjivati na čitavoj teritoriji EU, kao i na teritoriji EEA, a moguće i UK nakon Bregzita.

EEA ili European Economic Area predstavlja svojevrsnu zajednicu EU i Norveške, Islanda i Lihtenštajna, koja, između ostalog, podrazumeva da tri države koje nisu u EU ipak prihvataju sva pravila EU u oblastima koje su od značaja za funkcionisanje jedinstvenog tržišta (pa i u oblasti zaštite ličnih podataka).

GDPR unosi i novinu jer proširuje primenu i na kompanije koje nemaju sedište u EU, ali obrađuju podatke EU državljana u vezi sa nuđenjem dobara i usluga ili praćenjem ponašanja lica koja su u EU.

Na primer, ako neka kompanija u Srbiji putem servisa elektronske trgovine prodaje robu korisnicima u EU, neminovno prikuplja podatke o ličnosti korisnika koji su EU državljani. Samim tim ova kompanija bi morala da primenjuje GDPR, čak i da imenjuje tzv. zastupnika u EU.

Pooštrena kaznena politika

GDPR je značajno pooštrio kaznenu politiku, a kazne mogu čak da iznose 4% godišnjeg prometa konkretne kompanije na globalnom nivou ili 20 miliona evra (zavisno od toga koji je iznos viši.

Ukidanje birokratskih procedura

GDPR ukida obavezu prijave svake evidencije koja se odnosi na obradu podataka nacionalnom telu nadležnom za zaštitu podataka o ličnosti, što ima za cilj da olakša prekogranični protok podataka i smanji pritisak na nacionalna tela za zaštitu podataka.

Prava korisnika

GDPR jasnije definiše i sistematizuje prava tzv. imalaca ličnih podataka, koji se svode na:

  • pravo korisnika da bude informisan o obimu podataka koji se o njemu prikupljaju i da zahteva kopiju tih podatka u elektronskom formatu i to bez naknade;
  • pravo na ispravku netačnih podataka;
  • pravo na zaborav, odnosno pravo da podaci budu izbrisani pod određenim uslovima (na primer povlačenje pristanka);
  • pravo na ograničenje obrade;
  • pravo na prenošenje podataka (Data Portability);
  • pravo da prigovori obradi.

Svako od ovih prava imalac podatka može ostvariti obraćanjem kompaniji koja obrađuje njegove podatke.

Data Portability je zanimljiva novina GDPR, i podrazumeva zapravo automatizovanje prenosa ličnih podataka u korist imalaca ličnih podataka i na njegov zahtev. Na primer, korisnik želi da raskine ugovor sa jednim operatorom pružanja usluge medijskih sadržaja. Pri prelasku kod drugog operatora, korisnik može da zahteva da prvi operator prosledi njegove lične podatke novom.

Rukovalac ima najodgovorniji položaj u sistemu GDPR

Uporedo sa smanjenjem birokratskih procedura, značajno je pooštrena odgovornost rukovaoca, i to propisivanjem većih kazni ali i brojnih novih obaveza koje do sada nisu postojale. Tako rukovalac mora da ima posebnog službenika za zaštitu podataka i mora da izradi tzv. Procenu rizika po zaštitu podataka (Data Protection Assesment).

Gde je tu Srbija?

U Srbiji je i dalje na snazi Zakon o zaštiti podataka o ličnosti iz 2008. godine koji je mahom usklađen sa nekadašnjom regulativom EU. Ipak, ovaj zakon je u mnogim svojim delovima u velikoj meri anahron i neprilagođen uslovima obrade i protoka podataka u digitalnom dobu.

Za sada se ne može proceniti da li će i kada Srbija prihvatiti GDPR, ali treba napomenuti da ipak postoje određene inicijative za donošenje savremenije regulative.

Tako je naše nacionalno telo za zaštitu podataka (Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti) nedavno napravilo Model Zakona o zaštiti podataka o ličnosti. Taj model bi trebalo da predstavlja osnov za izradu Nacrta zakona za koji je nadležno Ministarstvo pravde. O Modelu zakona je sprovedena javna rasprava koja je trajala duže od mesec dana, a o njemu se debatovalo i nakon toga, naročito u poslovnim krugovima. Model je u najvećoj meri imao kao uzor GDPR, ali sadrži i određena odstupanja.

Ono što je ipak jasno je da GDPR na Srbiju u punom obimu može da se primeni tek danom pristupanja Srbije EU (jer se ova vrsta propisa primenjuje direktno). Sa druge strane, efekti GDPR će se nužno osetiti i u Srbiji, naročito kada se radi o razmeni podataka o ličnosti između kompanija koje su članice iste grupacije koje posluju i u EU (EEA) i u Srbiji.

Ono što će se najverovatnije desiti je da će GDPR u Srbiju doći najpre preko multinacionalnih kompanija koje imaju sedište u EU ili EEA, a koje posluju i u Srbiji, a tek onda postati i formalni deo pravnog sistema.

Ostavite komentar

Vaša email adresa neće biti objavljena.


*