ŠTA NAM DONOSI NOVA UREDBA EVROPSKE UNIJE – General Data Protection Regulation (GDPR)?

Posted on Posted in Pravni blog

Nova Uredba Evropske Unije o opštoj zaštiti podataka o ličnosti (u daljem tekstu: Uredba) bi trebalo da stupi na snagu 25. maja 2018. godine, a do kada je potrebno izvršiti usklađivanje propisa o zaštiti podataka shodno njenim odredbama.

Cilj ovog propisa jeste između ostalog i unifikacija funkcionisanja sistema zaštite ličnih podataka kao i svojevrsna kontrola nad korišćenjem i prenosom ličnih podataka fizičkih lica unutar i izvan državih granica. Takođe, vremenom se nametnula potreba za donošenjem jednog ovakvog propisa budući da je svet velikom brzinom ušao u eru digitalizacije, pa je samim tim i praćenje prenosa i korišćenja ličnih podataka postalo komplikovanije i ujedno teže za fizička lica čiji podaci se obrađuju. U tekstu Uredbe se koriste termini controller i processor (kao obrađivači podataka), gde je kontrolor fizičko ili pravno lice, javni organ ili agencija ili drugo lice koje određuje svrhu i sredstva za obradu ličnih podataka, dok procesor vrši obradu tih podataka u ime kontrolora. Ono što je za ovu Uredbu zanimljivo jeste upućivanje na njenu primenu izvan teritorije Evropske Unije[1], i to na obradu podataka u okvirima (poslovnih) aktivnosti kontrolora ili procesora unutar EU, ali je ključno zapravo samo mesto obrade konkretnih podataka, koje ne mora biti u okviru država članica EU. Uredbom se pod ličnim podacima smatraju svi oni podaci fizičkog lica koji se odnose na ime, identifikacioni broj, lokaciju, onlajn identifikaciju[2] ili na faktore koji su posebno vezani za identitet te osobe u fizičkom, fiziološkom, genetskom, mentalnom, ekonomskom, kulturološkom ili sociološkom smislu. Uredba takođe propisuje da fizičko lice ima pravo da traži napismeno u koju svrhu i kada su podaci upotrebljeni.

Ključne tačke nove Uredbe se tiču prenosivosti podataka kako između fizičkih lica i obrađivača podataka, tako i između država koje su članice EU i onih koje to nisu, principa One- Stop-Shop, i uvođenja kontrole nad obrađivačima podataka ali sa idejom da se takav sistem kontrole pojednostavi i centralizuje putem već postojećeg Organa za zaštitu podataka (eng. Data Protection Authority) odnosno Nadzornika za zaštitu podataka (eng. Data Protection Officer) kako bi se redukovao administrativni posao i olakšao pristup sistemu kvalitetnije zaštite. Takav nadzor nad obradom podataka će značanije uticati na usklađivanje propisa po kojim kompanije i organizacije posluju ukoliko se obrada podataka vrši u više zemalja članica EU, a svaka država članica će imenovati poseban Organ za zaštitu podataka[3]. Princip One–Stop-Shop je novitet, usko povezan sa određenom jurisdikcijom, i znači da se uspostavlja jedan glavni Organ za zaštitu podataka (eng. lead DPA) koji bi bio zadužen za kontrolu istih aktivnosti jedne kompanije/organizacije u različitim državama članicama. Takođe je bitno da kompanija/organizacija iako vrši obradu podataka u više zemalja, ima jedno tzv. glavno sedište cele svoje organizacije (eng. main establishment) prema kojem se i određuje primena One-Stop-Shop principa i konkretne jurisdikcije. Zanimljivo je da je Evropski sud pravde utvrdio da bi IP adrese (eng. Internet Protocol addresses) mogle da potpadaju pod lične podatke a samim tim i pod okrilje podataka koje Uredba štiti.[4]

Lični podaci mogu biti preneti iz EU članice u državu nečlanicu samo kada se utvrdi da su ispunjeni uslovi odgovarajuće zaštite tih podataka. Naime, ova odredba je teorijski u redu, s tim da nije najjasnije šta podrazumeva pravni standard „odgovarajuće zaštite“ podataka u drugoj državi. Postavlja se pitanje ako do povrede na međudržavnom nivou ipak dođe (a u pitanju su zaista brojni podaci), kakav bi stav zauzela država čijim državljanima su ugrožena prava na privatnost u odnosu na državu u kojoj se takva povreda dogodila, imajući u vidu da te države nisu u istom statusu u odnosu na EU.

Prema Zakonu o javnom beležništvu Republike Srbije, javni beležnik (notar) je u obavezi da čuva knjige u kojima vodi evidenciju isprava (koje sadrže lične podatke klijenata) 30 godina od kada su sačinjene, s tim da se pojedinačnim javnobeležničkim poslovnikom određuje kako se poslovne knjige i podaci čuvaju, prenose i na kraju uništavaju kad protekne zakonski rok čuvanja. Takođe, prema Kodeksu profesionalne etike advokata, advokat je dužan bez vremenskog ograničanja da čuva kao tajnu „[…] podatke, isprave (spise, predmete, dokumente, elektronske, tonske ili video, zapise i snimke) i depozite koji su u vezi sa zastupanjem saopšteni, prikazani ili predati advokatu, bez obzira da li se isprave i depoziti nalaze u advokatskoj kancelariji, ili su, po nalogu ili pod nadzorom advokata, privremeno smešteni na drugo mesto”. U praksi se dešava da se podaci fizičkih lica klijenata nebezbedno čuvaju i da stoga postoji određeni rizik za kršenje prava na privatnost. Preporuka Evropske komore advokata o primeni konkretne Uredbe u nacionalnim pravima sadrži upućivanje advokatima na pitanja kada je moguće ograničenje pristupa korišćenju ličnih podataka klijenata ili trećih lica do kojih se došlo kroz poslovne aktivnosti, kao i kada je potvrda saglasnosti kod pristupa ličnim podacima od strane nadzornih organa neophodna.[5] Iz navedenog se može zaključiti da se sama Uredba ne bavi detaljnije ovim bitnim pitanjima, već da postoji jedno tumačenje za primenu iste na advokate, a može se samo pretpostaviti da li će takav jednolinijski pristup imati manjkavosti u praktičnoj zaštiti ličnih podataka.

Još jedno važno pitanje u pogledu zaštite ličnih podataka se javlja u slučajevima tzv. mobilnih aplikacija na play store-u (npr. whatsapp) gde se od potencijalnog korisnika traži da usled korišćenja određene aplikacije dozvoli pristup sopstvenim podacima uključujući kontakte, fotografije itd., čime određeni server može da kreira profile fizičkih lica i da ih na taj način identifikuje kad iznova pristupe. Uredbom se pominje ovakva mogućnost onlajn prepoznavanja, ali upućuje da stvaraoci takvih aplikacija moraju imati u vidu zaštitu podataka o ličnosti. I dalje ostaje nejasno zbog čega je onda neophodno da određene aplikacije imaju direktan pristup ličnim podacima, kako se sa tim podacima naknadno postupa i prvenstveno kako se oni štite od eventualne zloupotrebe.

U slučaju sankcionisanja kompanija/organizacija za neusklađivanje sa Uredbom i povrede prava fizičkih lica kao i korišćenje ličnih podataka izvan okvira Uredbe, kao najviše su propisane kazne od 4% ukupnog svetskog godišnjeg profita za prethodnu poslovnu godinu ili maksimalnih 20 miliona evra, u zavisnosti koji iznos je veći.[6] Takodje, zanimljivost je da se pored saglasnosti koja se fizičkom licu traži kako bi se njegovi lični podaci obradili, uvodi i institut povlačenja pristanka na obradu podataka što trenutno važećom Direktivom u ovoj oblasti nije bilo određeno. To je veliki pomak u zaštiti ličnih podataka, imajući u vidu da je dosadašnja praksa davanja saglasnosti za obradu sopstvenih podataka bazirana na osnovu predugačkih tekstova prepunih pravnih fraza koje ne razume baš svako prosečno fizičko lice. U takvim situacijama data saglasnost nije mogla više da se povuče, i činjenica je da se takvim pristupom mogao nesmetano vršiti prenos podataka između povezanih lica koja su se nalazila čak i na različitim teritorijama, što je ozbiljno dovodilo u pitanje izloženost i zaštitu tih podataka. Uredba donosi mogućnosti da se takve saglasnosti daju na mnogo jednostavnije formulisanim tekstovima, uz mogućnost povlačenja pristanka pa čak i prava na brisanje konkretnih podataka (eng. Right to erasure/right to be forgotten) koji su iskorišćeni u obradi u minimalnom obimu koji je zaista bio neophodan (eng. Principle of data protection by default), te više nema svrhe imati pristup tim podacima. Prema Uredbi, ukoliko se lice pozove na ovo pravo da podaci budu brisani, obrađivač podataka mora da dokaže tzv. legitimni interes koji bi bio iznad prava na privatnost i slobodu raspolaganja ličnim podacima, da bi zadržao pravo da obrađuje podatke.[7] Praktično, jedini „problem“ može biti kako utvrditi da su konkretni podaci zaista i obrisani.

Za podnošenje prijave kršenja prava određen je kratak rok od 72 sata od učinjene povrede. Ovde ostaje pitanje dokazivanja vremenskog perioda učinjene povrede. Ujedno se svim državama koje nisu članice Evropske Unije određuje da upute predstavnika kojem će se takve prijave podnositi, što bi važilo za privredna društva i organizacije na teritoriji Srbije koja iako još uvek nije članica EU, usled brojnih poslovnih veza sa institucijama koje imaju sedište u EU, a vrše obradu podataka ovde, potpada pod primenu konkretne Uredbe.

Prema Zakonu o zaštiti podataka o ličnosti Republike Srbije, pored mogućnosti davanja pristanka na obradu podataka, postoji i opoziv takvog pristanka u isto tako pisanoj formi, gde je lice koje opoziva pristanak dužno da nadoknadi eventualno nastalu štetu. Ova zakonska odredba je pomalo nejasna imajući u vidu da lice čiji podaci se obrađuju ima u svakom momentu pravo da zaštiti pravo na privatnost i pravo na slobodu raspolaganja informacijama o sopstvenim podacima ili podacima bliskog lica, te nije sasvim trasnparentno u čemu bi se zakonom pomenuta šteta za obrađivača ogledala. Kada se govori o opštim ličnim podacima, pristanak se daje pismeno ili usmeno na zapisnik. Uredba ne poznaje ovu drugu mogućnost koju srpski zakon propisuje. Tzv. naročito osetljivi podaci su podaci koji su pod većim rizikom od zloupotrebe, te Uredba u tom kontekstu pominje rasno i etničko poreklo, dok obradu fotografija smatra biometričkim podacima i ne svrstava u osetljive podatke, ali se svakako kategorija osetljivih podataka može obrađivati samo pod specifičnim uslovima[8], dok naš zakon kako ne poznaje sve ove pojedinačne podele, samo eksplicitno navodi šta su naročito osetljivi podaci i kako se vrši njihova obrada uz pristanak i opoziv pristanka.

Obzirom na sve navedeno, Uredba donosi novine na polju pojednostavljivanja pristupa i obrade informacija o fizičkim licima izmenom sistema kontrole i nadzora nad obradom ličnih podataka. Pooštravanje kazni kako za države članice EU tako i za one koje to nisu (ali su indirektno uključene u sistem sankcionisanja) ukazuje na ozbiljnost državnih struktura da se Uredba usled kršenja osnovnih ljudskih prava pre svega, na privatnost i poštovanje ličnih podataka, sprovede u potpunosti. Moglo bi se reći i da pozitivnopravni propisi nisu u potpunosti usklađeni sa sve rastućom upotrebom interneta i onlajn sadržaja, te je najveća mogućnost zloupotrebe upravo u tom virtuelnom prostoru. Ostaje da se vidi kako će se primena određenih instituta i principa pokazati u praksi i da li je nakon jednog višegodišnjeg „napora“ u osmišljavanju izmene strukture sistema zaštite  načinjen pravi korak napred ili će ipak biti potrebna dodatna podešavanja.


IZVORI:

CCBE Recommendations regarding the implementation of the General Data Protection Regulation (GDPR), 2/12/2016, dostupno na:

http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Guides_recommentations/EN_ITL_20161202_CCBE_Recommendations_regarding_the_implementation_of_the_GDPR.pdf [datum pristupa 27.08.2017]

Dentons Boekel, The EU General Data Protection Regulation, January 17, 2017, dostupno na: https://dentons.boekel.com/en/insights/alerts/2017/january/17/the-eu-general-data-protection-regulation  [datum pristupa 03.08.2017.]

Kodeks profesionalne etike advokata („Sl.glasnik“,br. 27/2012)  

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data , and repealing Directive 95/46/EC (General Data Protection Regulation) dostupno na: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679  [datum pristupa 15.07.2017.]

Zakon o zaštiti podataka o ličnosti Republike Srbije(“Sl. glasnik RS“, br. 97/2008, 104/2009 – dr. zakon, 68/2012 – odluka US i 107/2012)

Zakon o javnom beležništvu („Sl.glasnik“, br. 31/2011, 85/2012, 19/2013, 55/2014 – dr.zakon, 93/2014, 6/2015 i 106/2015)

[1] Uredba se ne primenjuje na pitanja koja se tiču nacionalne bezbednosti.

[2] Pretpostavka je da se ovaj deo odnosi na sve načine slanja podataka putem Interneta, uključujući i društvene mreže, gde je načinjena jedna od bitnih promena postavljanjem granice od 16 godina kao minimalni broj godina za fizičko lice koje pristupa internet sadržajima i daje saglasnost na obradu podataka (u suprotnom potrebna je saglasnost roditelja ili staratelja).

[3] Obrade podataka koje se vrše u samo jednoj državi članici neće bitno promeniti dosadašnje stanje u skladu sa važećom Direktivom iz oblasti zaštite podataka.

[4] Dentons Boekel, The EU General Data Protection Regulation, Territorial Scope, para. 10, January 17, 2017, dostupno na: https://dentons.boekel.com/en/insights/alerts/2017/january/17/the-eu-general-data-protection-regulation

[5] Detaljnije videti:

http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Guides_recommentations/EN_ITL_20161202_CCBE_Recommendations_regarding_the_implementation_of_the_GDPR.pdf

[6] Članom 83 (stav 5. i 6.) Uredbe su specifično određene aktivnosti koje mogu biti kažnjene najvišim iznosom.

[7] Pravni osnov (eng. lawful basis) za obradu podataka ili prestanak obrade može biti samo saglasnost fizičkog lica odnosno povlačenje te saglasnosti

[8] Uslovi mogu biti: izričiti pristanak, zasnivanje radnog odnosa, kada fizičko lice nije u mogućnosti da da svoj pristanak a potrebno je zarad nekih drugih važnih interesa, u slučajevima od javnog interesa, medicinko lečenje, javno zdravlje,istorijska ili naučna svrha, s tim da svaka država članica može svojim nacionalnim zakonodavstvom propisati joše neke dodatne specifične uslove za obradu osetljivih podataka


AUTOR TEKSTA: Aleksandra Burić,  na predlog teme i mentorstvo tokom pisanja člana uređivačkog odbora i menadžment tima: Adela Krivanek Magerl.

*Napomena: Tekstovi u okviru Projekta Law bloggers / Pravni blogeri priredjeni su u vidu stručnih radova i predstavljaju vrstu pisanog rada koji sadrži korisne priloge iz domena određene struke. Stručni rad ne mora biti izvorno istraživanje i ne mora sadržati nove, originalne naučne spoznaje i rezultate. Njegova osnovna svrha sastoji se u prikupljanju i tumačenju već poznatih činjenica, informacija, stavova i teorija, na način koji doprinosi širenju naučnih spoznaja, razvijanju novih pristupa u interpretaciji i primeni postojećih naučnih rezultata i prilagođavanju tih rezultata potrebama savremene teorije i prakse. Udruženje Nomotehnički Centar iz Beograda,  ne odgovara za tumačenje prikupljenjih činjenica, informacija, stavova i teorija u autorskom radu, svaki autor odgovara za tačnost informacija u svom radu.


Svako kopiranje, umnožavanje, objavljivanje i distribuiranje celine ili delova teksta predstavlja povredu autorskog prava i krivično delo (shodno odredbama Zakona o autorskom i srodnim pravima i  Krivičnog zakonika).

Korišćenje delova teksta dozvoljeno je shodno autorskom pravu i uz saglasnost Udruženja Nomotehnički Centar kao i autora: Aleksandra Burić.


ODRICANJE OD ODGOVORNOSTI – Sadržaj internet mesta služi u informativne i edukativne svrhe. Odgovarajući pravni instrumenti imaju prednost u odnosu na informacije sadržane na internet prezentaciji. Udruženje Nomotehnički Centar iz Beograda ne prihvata odgovornost za bilo kakvu upotrebu infromacija sadržanih na internet prezentaciji.