GDPR – skraćenica koja je obeležila godinu za nama

Globalni značaj društvenih mreža, veliki broj korisnika i protok informacija na njima, doneo je mnoge izazove. Kako bi rešila izazove, Evropska unija je pribegla zaštiti korisnika od velikih korporacija i sve većih zloupotreba podataka koji su im bili dostupni vise nego ikada pre. Opšta uredba o zaštiti podataka (eng. General Data Protection Regulation) (“GDPR”) i njeno dejstvo u Republici Srbiji otvorili su mnogo pitanja i nedoumice, obzirom da Republika Srbija još uvek nije članica.

Pre svega hijerarhija pravnih propisa u nas, određena Ustavom Republike Srbije iz 2006. godine, specifična je, a ta specifičnost ogleda se u visokoj hijerarhijskoj poziciji međunarodnih ugovora. Odmah iza ustava, ratifikovani (potvrđeni) međunarodni ugovori nalaze se na hijerahijskoj lestvici, a ispred zakona. To je jedan od faktora koji otvara pitanje primene uredbe GDPR. Međutim, uredba je jednostrani akt, za razliku od međunarodnih ugovora, pa se njeno dejstvo ne može primeniti na teritoriji Republike Srbije, ali za razliku od ove situacije, ukoliko naša privredna društva posluju na teritoriji EU, moraće da poštuju odredbe navedene uredbe. Što znači da u teoriji, odredbe GDPR-a se mogu primeniti na privredna društva iz Republike Srbije koja nude proizvode i usluge državljanima Evropske unije, ali se i tu postavlja pitanje nadležnosti organa unutar same Evropske unije.

Kako bi ove izazove predupredio i inkorporirao u naš pravni sistem, zakonodavac je doneo Zakon o zaštiti podataka o ličnosti (ZZPL) , koji se primenjuje od 21. avgusta 2019. godine. U poređenju sa prethodnim zakonom koji je regulisao ovu oblast, trenutno važeći ZZPL znatno je obimniji i u velikoj meri se oslanja na više puta pomenutu uredbu GDPR, upravo kako bi se prevazišli gore pomenuti izazovi.

U nastavku ćemo nakon uvodnog dela, pokušati da odgovorimo na neka od ključnih pitanja koja su se u našoj praksi javila, a odnose se na ZZPL.

Šta je odgovarajući pravni osnov za obradu podataka o ličnosti?

Slično kao i do sada, postojećim zakonskim okvirima Društvo kao rukovalac, mora da osigura da postoji odgovarajući pravni osnov (postojanje odgovarajućeg pravnog osnova) za bilo koje prikupljanje i obradu podataka (na primer: saglasnost, izvršavanje pravnih obaveza, izvršavanje ugovora, vitalni interes lica na koje se podaci odnose, legitimni interes itd.) (član 12 Zakona). Ukoliko npr. društvo prikuplja podatke o zaposlenima na osnovu obaveza koji su propisani Zakonom o evidencijama u oblasti rada („Sl. list SRJ“, br. 46/96 i „Sl. glasnik RS“, br. 101/2005 – dr. zakon i 36/2009 – dr. zakon) ili Zakonom o bezbednosti i zdravlja na radu („Sl. glasnik RS“, br. 101/2005, 91/2015 i 113/2017 – dr. zakon), pravni osnov prikupljanja i obrade podataka je poštovanje pravnih obaveza rukovaoca. Drugi primer je recimo izrada kartica za utvrđivanje kada je zaposleni došao na posao, podaci za profile zaposlenih kako bi se ulogovali na programe itd., gde bi pravni osnov obrade mogao biti izvršenje ugovora zaključenog sa licem na koje se podaci odnose (u konkretnom slučaju ugovora o radu).

Kakva vrsta saglasnosti je potrebna za obradu podataka o ličnosti?

Članom 23. Zakona o zaštiti podatka o ličnosti, predviđeno je da lice na koje se podaci odnose mora biti blagovremeno i na odgovarajući način obavešteno o prikupljanju ili obradi podataka. Takođe, u isto vreme lice mora biti obavešteno o svojim pravima ovim povodom. U praksi se to već i odrazilo na naše svakodnevno “surfovanje” internetom, pa se obično u dnu stranica koje posećujemo zahteva naša saglasnost na korišćenje tzv. kolačića. Na ovaj način mi dajemo saglasnost i u isto vreme prihvatamo da smo obavešteni o našim pravima koja su garantovana ZZPL.

Kako se vodi evidencija o radnjama obrade podataka?

Često pitanje je i pitanje evidencije o radnjama obrade. Da bi vodio evidenciju, rukovalac mora da odredi predstavnika koji je zadužen i odgovoran za izršenje ovih radnji u skladu sa zakonom. Evidencija mora da ima zakonom određenu formu koja je predviđena čl. 47. zakona. Međutim vođenje ove evidencije nije potrebno ukoliko se ne radi o posebno istaknutim (osetljivim) podacima, ili ukoliko pravno lice ima više od 250 zaposlenih. Pod posebno istaknutim vrstama podataka o ličnosti, zakonodavac podrazumeva, rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obradu genetskih podataka, biometrijskih podataka i sl. (član 17. stav 1. Zakona). Ovde spadaju i podaci o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti (član 19. Zakona). Našim klijentima, bez obzira na gore pomenute izuzetke savetujemo vođenje interne evidencije u skladu sa članom 47. Zakona.

Pored pomenutih pitanja, obzirom na promene koje je uveo novi Zakon o zaštiti podataka o ličnosti, otvorio je i niz drugih koja iscrpljuju obimnost i osnovno informisanje o aktuelnim pitanjima. U praksi se, a u zavisnosti od delatnosti i kategorije naših klijenata, javljaju i druga pitanja, kao što su npr. mere koje bi trebalo preduzeti u tehničkom, organizacionom i kadrovskom smislu. Takođe, postavlja se i pitanje potencijalnog prenosa podataka o ličnosti, da li je ono dozvoljeno i da li se mogu podaci iznositi van granica R. Srbije u slučaju međunarodnih poslovnih i partnerskih obaveza.

Ukoliko i Vi imate pitanja u vezi pomenutih ili pitanja vezanih za GDPR uredbu ili Zakon o zaštiti podatka o ličnosti, kontaktirajte nas.