Evropska unija (dalje: “EU”) je oktobra 1995. godine usvojila Direktivu o zaštiti podataka (Data Protection Directive) kako bi stvorila potrebne uslove za obradu i prenos podata o ličnosti, da bi aprila 2016. godine usvojila i novu Opštu Direktivu o zaštiti podataka (General Data Protection Regulation, dalje: “GDPR”), koja počinje da se primenjuje 25.05.2018. godine i unosi brojne novine i drugačiji režim zaštite ličnih podataka, ne samo za države i državljane EU, već i za kompanije i poslovne subjekte van EU, proširenjem teritorijalnog principa primene.
GDPR će se direktno primenjivati, ne samo na subjekte koji su registrovani i posluju u EU, već i na:
• kompanije koje nisu osnovane u EU, ali nude robu i usluge građanima EU, pri čemu su relevantni kriterijumi za utvrđivanje navedenog, ozbiljnost i izglednost ponude i poslovne namere i planovi kompanije i
• kompanije koje nisu osnovane u EU, ali profilišu ili na drugi način vrše nadzor nad ponašanjem građana EU (kao što su servisi oglašavanja preko interneta u odnosu na građane EU).
Podaci o ličnosti su definisani prilično ekstenzivno, kao bilo koji podaci koji se odnose na određeno ili odredivo fizičko lice, uključujući i posrednu identifikaciju preko npr. statičnih IP adresa. Podaci o ličnosti odnose se ne samo na podatke o određenom fizičkom licu, već i ono što to lice piše ili stvara (kao što su fotografije ili objave na društvenim mrežama), pokrivajući sve oblasti, uključujući i poslovne podatke, kao i biometrijske i genetske podatke.
Značajne novine koje su uvedene kroz GDPR, a koje mogu imati uticaj i na poslovanje kompanija u Srbiji, koje ispunjavaju jedan od dva gorenavedena uslova, ogledaju se u sledećem:
1) Uslovi i način davanja saglasnosti lica čiji se lični podaci obrađuju su sada striktnije regulisani, i podrazumevaju da pristanak treba da se dobije na nedvosmislen način, putem izjave ili jasne potvrde;
2) Prava lica čiji se lični podaci obrađuju su detaljnije regulisana, pa tako navedeno lice ima pravo da dobije potvrdu od obrađivača o tome da li se lični podaci koji se odnose na njega obrađuju i tom slučaju pravo na pristup ličnim podacima; pravo da bez nepotrebnog odlaganja dobije od obrađivača ispravku svih netačnih podataka koji se na njega odnose; pravo da od obrađivača zahteva brisanje ličnih podataka koji se na njega odnose, ukoliko je ispunjen neki od uslova propisanih GDPR (lični podaci nisu više nužni, lice povuče saglasnost usled čega ne postoji drugi osnov za dalju obradu, lice uloži prigovor, lični podaci su nezakonito obrađeni i dr.); pravo na prenos podataka; pravo na prigovor i dr.;
3) GDPR uvodi pseudonimizaciju kao obradu ličnih podataka na način da se lični podaci više ne mogu pripisati određenom licu čiji se podaci koriste, bez upotrebe dodatnih informacija, pod uslovom da se takve dodatne informacije drže odvojeno te da podležu tehničkim i organizacionim merama kako bi uspelo da se osigura da lični podaci ne mogu da se pripišu pojedincu čiji je identitet utvrđen ili se može utvrditi, enkripciju ličnih podataka kao proces pretvaranja podataka u nerazumljivu formu sa ciljem da se isti sakriju od neovlašćenih lica i da se, istovremeno, omogući pristup onima koji na to imaju pravo, kao i sertifikacija kao mehanizam zaštite podataka, pečata i oznaka za zaštitu podataka u svrhe dokazivanja da su postupci obrade u skladu sa GDPR;
4) Uvodi se obaveza obrađivača koji nemaju poslovno sedište u EU da moraju pisanim putem imenovati predstavnika u EU;
5) GDPR predviđa pravo na sudsku zaštitu u slučaju obrade podataka na način koji nije u skladu sa GDPR, predviđajući alternativnu mesnu nadležnost sudova za takvu vrstu sporova, uključujući, pored sedišta kontrolora odnosno obrađivača, i prebivalište lica čiji se podaci obrađuju, što bi značilo da srpske kompanije mogu biti tužene i pred sudovima EU i takve presude, nakon postupka priznanja, izvršavane na teritoriji Republike Srbije;
6) Kazne koje predviđa GDPR dosežu do iznosa od čak 20.000.000,00 EUR ili 4% ukupnih godišnjeg prihoda u prethodnoj finansijskoj godini.
Pored GDPR koja se bavi zaštitom podataka o ličnosti, srodna materija biće dodatno regulisana Direktivom o E-Privatnosti (E-Privacy Directive), koja je još uvek u nacrtu i koja bi trebalo da zameni prethodno važeću Uredbu o privatnosti i elektronskim komunikacijama (Privacy and Electronic Communications Regulations) i sa GDPR sveobuhvatno reguliše materiju zaštite podataka.
U Srbiji je na snazi Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br.97/2008, 104/2009-dr.zakon, 68/2012-odluka US i 107/2012), koji nije usklađen sa GDPR, zbog čega je Ministarstvo pravde decembra 2017. godine pripremilo Nacrt Zakona o zaštiti podataka o ličnosti, o kome je tokom januara 2018. godine, održana javna rasprava, a koji se nalazi pred Evropskom komisijom u Briselu.
Za sva dodatna pitanja, objašnjena i pomoć u vezi sa primenom i obavezama iz GDPR, možete se obratiti timu Tasić&Partneri na +381 116302233 ili putem e-maila [email protected] ili [email protected].