Šta je GDPR?

GDPR dolazi u Srbiju — sve što treba da znate o novoj regulativi za zaštitu podataka o ličnosti

Opšta regulativa o zaštiti podataka o ličnosti (GDPR) uskoro stupa na snagu, a evo zašto je bitna za vaše poslovanje.

PREUZETO SA startit.rs - 21. MAJ, 2018.

 

Nakon 25. maja 2018. godine poslovanje u okviru koga se obrađuju podaci o ličnosti će u EU biti daleko strože regulisano. Usled prirode aktuelnih biznis modela digitalne ekonomije, mnogi sektori u Srbiji, poput IT-a i elektronske trgovine, ali i mnogih drugih, moraće da se usklade sa novim pravilima ako žele da zadrže postojeće B2B odnose i nastave da nastupaju u EU kroz B2C transakcije. Kazne za nepoštovanje novih pravila su drakonske i iznosiće do 4% globalnog prihoda kompanije na godišnjem nivou, odnosno 20 miliona evra (šta iznosi više).

Bez učešća u zajedničkom evropskom prostoru za razmenu podataka o ličnosti ne može se zamisliti uspešno učešće u jedinstvenom digitalnom tržištu EU. Uzimajući u obzir da Srbija još uvek nije uskladila regulativu u oblasti zaštite podataka o ličnosti, nepripremljenost domaćeg regulatornog okvira i nemogućnost jednostavnog “uvoza” podataka o ličnosti građana EU u Srbiju mogu prouzrokovati novi talas iseljavanja domaćih perspektivnih IT kompanija i njihov odlazak u neke od zemalja EU.

Stoga, potrebno je preduzeti niz mera u okviru sopstvene organizacije, kao i zagovarati reakciju državnih organa kako bi se, u meri u kojoj je to moguće, za digitalnu ekonomiju uspostavilo povoljno poslovno okruženje u Republici Srbiji.

Šta je GDPR?

Opšta regulativa o zaštiti podataka o ličnosti, odnosno General Data Protection Regulation (u daljem tekstu GDPR) je novi pravni okvir koji propisuje način korišćenja podataka o ličnosti građana EU. Iz toga proizilazi da će svaka organizacija koja na bilo koji način obrađuje podatke EU građana morati da se pridržava novih pravila o zaštiti podataka o ličnosti, čak i ako joj je sedište izvan teritorije EU.

Kao što je najavljeno, GDPR će stupiti na snagu u 25. maja 2018. godine, sa ciljem da zameni Direktivu o zaštiti podataka iz 1995. godine (Data Protection Directive – Directive 95/46/EC). Dok je Direktiva 95/46 bila na snazi, članice EU usvajale su lokalne propise i zato zakoni o zaštiti podataka o ličnosti širom EU nisu bili usaglašeni. Usvajanjem GDPR-a stvoren je jedinstven pravni instrument sa direktnom primenom u svih 28 država članica ali i šire, zamenjujući sve različite načine na koje se implementirala prethodna Direktiva. Pored ovoga, GDPR uzima u obzir i nove tehnologije koje nisu obuhvaćene Direktivom kao što su Big Data, mobilne aplikacije, društvene mreže, itd.

GDPR uvodi nova i sveobuhvatnija pravila u pogledu korišćenja i zaštite podataka o ličnosti, a sama činjenica da kazne za nepoštovanje ovih propisa dosežu i do 20 miliona evra, odnosno 4% godišnjeg prometa, govori o neophodnosti pravovremenog usaglašavanja poslovanja organizacija sa novom regulativom.

Domaći zakon

U Srbiji se već duže vreme čeka na novi Zakon o zaštiti podataka o ličnosti, koji bi inkorporirao načela GDPR u domaći pravni okvir i tako uskladio ovu oblast sa EU standardima, što je od presudnog značaja za adekvatno ostvarivanje prava građana, ali i razvoj domaćih kompanija koje u svom poslovanju koriste podatke o ličnosti, jer se jedino na taj način obezbeđuje pravna sigurnost. Trenutno važeći zakon, koji ni na koji način ne uvažava promene koje su nastale razvojem informacionih tehnologija i novih biznis modela, usvojen je pre skoro deset godina i do danas je ostao u skoro istom obliku.

Radna grupa Ministarstva pravde koja je je dobila zadatak da pripremi novi zakon je formirana još davne 2013. godine, ali i pored jednog neuspelog pokušaja iz 2015. godine i dalje nije uspela da pripremi normativno rešenje koje bi bilo u skladu sa Evropskom regulativom. Sa druge strane, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti je u junu ove godine stavio javnosti na raspolaganje model zakona o zaštiti podataka o ličnosti koji je po mišljenju ekspertskih organizacija usklađen sa GDPR-om.

Ipak, s obzirom na to da je donošenje novog zakona obaveza propisana u pregovaračkom postupku sa Evropskom unijom, postoji mogućnost da će novi zakon biti donet do maja 2018. godine, kako je najavljeno u medijma.

U ovom procesu je veoma bitno da novi zakon bude usklađen sa GDPR-om kako domaće kompanije ne bi morale da usklađuju svoje poslovanje sa dva različita regulatorna režima što bi prouzrokovalo veće troškove i pravnu neizvesnost. Dodatno, za očekivati je da će domaći zakon početi da se primenjuje odmah po donošenju, za razliku od GDPR-a koji je odložio svoju primenu za dve godine kako bi dao dovoljno vremena za pripremu i impementaciju svih propisanih obaveza.

Bitno je razumeti da Zakon o zaštiti podataka o ličnosti predstavlja samo osnovni propis koji reguliše ovu oblast, a da je sa njim potrebno uskladiti čitav niz zakonskih i podazakonskih akata. Takođe potrebno je kompanijama koje koriste lične podatke ostaviti dovoljno vremena da se prilagode novim propisima.

Kada obrađujete podatke o ličnosti?

Ukratko, pomenuta pravila se primenju na lica koja obrađuju podatke o ličnosti. U tom kontekstu podatak o ličnosti predstavlja svaku informaciju koja se odnosi na fizičko lice koje se u nekom trenutku može identifikovati. Lično ime, JMBG, email adresa nam najčešće padaju na pamet kada pričamo o ovoj temi, no bitno je razumeti da su podaci o ličnosti i IP adresa, IMEI — jedinstveni broj mobilnog uređaja, ali i broj poseta nekom vebsajtu, najčešće gledane serije svakog od nas. Takođe nije potrebno da je na osnovu same informacije moguće utvrditi identitet nekog lica, već je dovoljno da se njenim uparivanjem sa drugim podacima može doći do tog lica.

Svaka radnja u vezi sa ovim podacima smatraće se obradom, pa i one najmanje invazivne kao što su prikupljanje bez mogućnosti uvida, čuvanje podataka i slično. Da sumiramo, ako je vaše poslovanje na bilo koji način povezano sa podacima koji se odnose na fizička lica, bilo da radi svog poslovanja prikupljate ili uslužno obrađujete tuđe podatke, na vas se primenju pravila o zaštiti podataka o ličnosti i tu nema razlike između domaćeg zakonodavstva i GDPR-a.

Kada se GDPR primenjuje na vaše poslovanje?

Osnovno pravilo je da će se GDPR primenjivati na vas ukoliko imate predstavništvo koje se bavi obradom podataka o ličnosti u nekoj od država članica Evropske unije. U tom slučaju sasvim je nevažno gde se ovim bavite i čije lične podatke obrađujete. Ovo ne predstavlja nikakvu novinu, svako ko posluje u inostranstvu zna da mora da se prilagodi zakonu države u kojoj se nalazi. Ipak ono što je novo u GDPR-u je da se proširuje polje njene primene i izvan EU i to u dva slučaja:

  • Ako se bavite nuđenjem robe ili usluga građanima EU
  • Ako se bavite praćenjem ponašanja građana EU

To zapravo znači da ukoliko poslujete na internetu ili obrađujete podatke o ličnosti evropskih građana za poslovne svrhe gotovo sigurno ćete ispuniti neki od ovih uslova.

Primera radi, ako ste razvili mobilnu aplikaciju namenjenu i građanima EU, ona gotovo sigurno prikuplja neke podatke o ličnosti, znači na vas se primenjuje GDPR. Modžda imate sajt preko koga nudite bilo kakve usluge, na primer prodajete majice, nudite usluge grafičkog dizajna ili ste razvili društvenu mrežu koja pruža uslugu komunikacije i povezivanja, a pritom beleži ponašanje svojih korisnika. Kako je internet otvoren, a vi želite da ove usluge ponudite i građanima, u tom slučaju na vaše poslovanje će se primenjivati GDPR.

Čak i u slučaju da samo obezbeđujete infrastrukturu za čuvanje podataka i njihovu obradu, pa čak i nemate uvid u podatke koji se tamo prikupljaju, i tada će se na vas primenjivati GDPR, imajući u vidu da morate primeniti brojne mere zaštite.

Ključne obaveze — šta je potrebno da uradite?

GDPR propisuje brojne obaveze za kompanije i druga lica koja rukuju podacima o ličnosti. Za svaku od tih obaveza mogli bi se napisati brojni pravni članci i studije, te ćemo ovde pokušati da ukratko pojasnimo samo najvažnije. Ipak o značaju ovih obaveza možda najbolje govore gore spomenute kazne za nepoštovanje odredbi GDPR.

  • Načela obrade podataka o ličnosti

Svako ko u svom poslovanju dolazi u dodir sa podacima o ličnosti mora stalno imati na umu 6 načela obrade. Ukratko, ona propisuju da se podaci mogu obrađivati samo u skladu sa zakonom, da se to može raditi samo u predviđene i dozvoljene svrhe, da se mora obezbediti tačnosti i sigurnost podataka, da se prikuplja minum potrebnih podataka te da se isti moraju uništiti ili depersonalizovati nakon što je ostvarena njihova svrha.

  • Prava građana

Jedna od osnovnih ideja vodilja prilikom donošenja GDPR-a bila je da građani povrate kontrolu nad svojim podacima. Tako su kompanije u posedu ličnih podataka kao i do sada dužne da svoje korisnike obaveste o načinima na koje njihove podatke koriste, da im omoguće uvid u podatke, dostave kopiju, ili izmene netačne podatke. Jedna od novina je i takozvano “pravo na zaborav” (right to be forgotten) koje postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se naši podaci konstantno objavljuju i dele. Slično je i sa pravom na prenosivost podataka (data portability) koje podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.

  • Lice nadležno za zaštitu podataka o ličnosti

S obzirom na sve pravne i reputacione rizike za kompanije koje se bave obradom podataka o ličnosti, imenovanje lica za zaštitu podataka o ličnosti (data officer) bi svakako bio mudar potez. Imenovanje ovakvog lica po GDPR-u postoji za državne organe, ali i za kompanije koje se bave masovnim praćenjem građana ili obradom naročito osetljivih podataka u velikom obimu. No postoji mogućnost da i same države odrede kada će ovakva obaveza postojati, tako da ostaje da sačekamo i kakvo će biti rešenje našeg novog zakona po ovom pitanju. Ono što može predstavljati dodatan problem je i činjenica da će obaveze i odgovornosti ovog lica biti izuzetno velike, te će u skladu sa tim postojati lična odgovornost ovog lica za zakonitu obradu, te neće biti tako lako naći lice koje će se prihvatiti ovog posla

  • Predstavnik u EU

Imajući u vidu prošireno teritorijalno važenje GDPR-a, ukoliko obrađujete podatke građana EU u brojnim slučajevima postojaće obaveza da imenujete predstavnika koji se nalazi na teritoriji EU. To može biti posebno predstavništvo u nekoj od zemalja EU, ali i lokalni advokat ili lice koje je zaduženo za komunikaciju sa nadležnim organima EU. Takva obaveza će postojati za organizacije koje lične podatke obrađuju sistematski i u velikom obimu kao i u svakom slučaju kada postoji znatan rizik za prava i slobode građana.

  • Evidencije o obradi podataka o ličnosti

Vođenje evidencija o obradi podataka o ličnosti ali i formalno prijavljivanje ovakvih evidencija kod Poverenika za zaštitu podataka o ličnosti je obaveza koja je propisana i trenutno važećim Zakonom u Srbiji. GDPR postavlja nešto manje obaveza pa propisuje samo obavezu vođenja ovakve evidencije uz izuzetke za manje rukovaoce i one koje ne prikupljaju osetljive podatke. No i ovde treba sačekati i videti kakvo će biti rešenje našeg novog zakona kada su ove evidencije u pitanju.

  • Odgovarajuće tehničke i organizacione mere za zaštitu podataka

Bitno je razumeti da se zaštita podataka o ličnosti ne može postići samo donošenjem pravnih akata odnosno pukim usaglašavanjem sa propisima. Zato GDPR propisuje da se moraju implementirati odgovarajuće tehničke i organizacione mere za zaštitu podataka u skladu sa svrhom, obimom, prirodom i kontekstom obrade podataka. To znači da u svakom konkretnom slučaju treba da procenite koje su mere neophodne poput internih sistematizacija, angažovanja organizacionih stručnjaka, nabavke posebne opreme, korišćenja sigurnih mreža za prenos podataka a potom je neophodno da te mere implementirate.

  • Privatnost po dizajnu i Privatnost po pravilu (Privacy by design & Privacy by default)

O konceptima Privatnost po dizajnu i Privatnost po pravilu će se tek puno pričati jer će implementacija informacionih rešenja zasnovanih na ovim principima biti imperativ za velike sisteme koji rukuju podacima o ličnosti, ali i poslovna prilika za kompanije koje se bave razvojem softvera i sličnih tehničkih rešenja.

GDPR propisuje da je neophodno od samog početka dizajnirati procese obrade podataka i informacione sisteme kako bi se delotvorno sprovela načela zaštite podataka i zaštitila prava lica na koja se podaci odnose te da je potrebno implementirati odgovarajuće mere kako bi se obrada vršila samo nad podacima o ličnosti koji su neophodni za konkretnu svrhu obrade tj. da se od građana prikuplja minimum podataka.

To konkretno znači da će od sada svaka kompanija kada pravi novi biznis plan ili strategiju, koja u okviru sebe obuhvata i rukovanje ili prikupljanje podataka, od samog starta morati da prilagođava biznis model standardima u oblasti zaštite privatnosti.

  • Bezbednost podataka

Bezbednost podataka i informacionih sistema uopšte je jedan od prioriteta GDPR-a. To znači da je u skladu sa vrstom podataka koje posedujete i rizicima koji iz toga proizilaze morate primeniti najažurnije tehničke mere kako biste obezbedili bezbednost ličnih podataka. Neke od tih mera su pseudonimizacija, enkripcija, pravljenje sigurnosnih kopija (backup), ali odluku o primeni odgovarajućih mera ćete morati da donostite u svakom konkretnom slučaju, imajući u vidu munjevit razvoj tehnologije, takve mere ćete redovno morati da testirate i obnavljate.

  • Prijave bezbednosnih incidenata

I pored toga što se u infromacionu bezbednost ulaže znatno više nego ranije, gotovo svakodnevno možemo pročitati da je došlo do kompromitacije višemilionskih baza ličnih podataka. U skladu sa tim GDPR propisuje da u slučaju incidenata, odnosno kompromitacije podataka o ličnosti (data breach) postoji obaveza da se o tome obaveste nadležni organi za zaštitu podataka o ličnosti u roku od 72 sata uz dostavljanje detaljnog izveštaja o slučaju.  I ne samo to, kompanije koje su se našle u ovakvoj situaciji će morati da obaveste i sva lica čiji su podaci kompromitovani.

  • Procena uticaja na privatnost (Privacy Impact Assessment)

Svako korišćenje ličnih podacima bi trebalo da se nadje u dokumentu koji bi prikazao kako se u vašoj kompaniji kreću podaci (data flow map) te koje ste mere zaštite preduzeli. Ovaj dokument predstavlja svojevrsnu procenu rizika kojim su lični podaci u vašoj kompaniji izloženi. Ovakva obaveza je propisana za organizacije koje se bave automatizovanim donošenjem odluka zasnovanih na ličnim podacima, ali i onda kada su mogući veliki rizici po prava i slobode građana s obzirom na nove tehnologije koje se koriste i kontekat obrade podataka.

Transfer podataka iz EU — nemoguća misija?

Vreme kada su se lični podaci prikupljali u papirnom obliku i kada se njihova jedina kopija čuvala po registratorima i prašnjavim policama  je davno iza nas, bar kada su novi biznis modeli zasnovani na podacima u pitanju.

Danas najobičniji sajt prikuplja podatke svojih korisnika širom sveta, oni zatim u deliću sekunde nastavljaju svoje putovanje ka server salama koje se nalaze u sedištima vlasnika ovih sajtova, ali mnogo češće i na cloud serverima za koje često ni sami vlasnici sajtova nisu sigurni gde se nalaze. Nakon toga se tim podacima opet pristupa sa svih krajeva zemaljske kugle. To znači da podaci o ličnosti često vode uzbudljive živote, ali je bitno razumeti da su ova putovanja strogo regulisana GDPR-om ali i domaćim zakonom.

Naime GDPR propisuje da ‘’putovanje’’ podataka o ličnosti van granica EU dozvoljeno samo u određenim situacijama. Ako na primer vaš sajt prikuplja podatke o ličnosti građana EU, čak i ako ste ispunili sve gore navedene obaveze propisane GDPR-om, transfer ovih podataka u Srbiju će biti dozvoljen samo ako je ispunjen jedan od posebnih uslova:

  • Naša zemlja se nalazi na listi zemalja za koje je Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti — ovo bi bila idealna situacija jer bi se u tom slučaju naša zemlja našla u takozvanom ‘’proširenom prostoru EU za slobodan protok podataka o ličnosti’’ čime ni jedan drugi uslov ne bi bio potreban, ali ovo nažalost trenutno nije slučaj.
  • Postoji konkretno odobrenje nadležene institucije za zaštitu podataka o ličnosti iz EU za izvoz podataka — ovo je po pravilu dugotrajan i skup proces koji se mora iznova raditi za svaki pojedinačni transfer podataka.
  • Postoji konkretna saglasnost lica na koje se podaci odnose za transfer — bitno je razumeti da su GDPR-om pooštreni uslovi za saglasnost te ovakvu saglasnost ne bi bilo moguće dobiti saglašavanjem sa uslovima poslovanja (Terms&Conditions). Takođe ovo lice bi prilikom davanja saglasnosti moralo da bude obavešteno o potencijalnim rizicima koje takav transfer nosi.
  • Ovakav transfer je neophodan za izvršenje ugovora, zaštitu vitalnih interesa građana, zaštitu javnog interesa i slično — ovakvi izuzeci služe da olakšaju transfer podataka u pojedinačnim situacijama kada postoji očigledan interes građana i javnosti, ali svakako ne mogu biti osnov na kome bi neko zasnovao svoje redovno poslovanje.
  • Postoji neki drugi mehanizam koji dokazuje da postoje odgovarajuće zaštitne mere za ovaj transfer kao što je usvajanje obavezujućih korporativna pravila (Binding Corporate Rules), potpisivanje standardnih klauzula o zaštiti podataka o ličnosti, usvojen kodeks ponašanja, izvršena sertifikacija — iako su svi pomenuti mehanizmi preporučljivi, mnogi od njih su skupi, a za neke će tek videti na koji način će moći da se implementiraju.

Istini za volju, vrlo sličan sistem pravila za iznošenje podataka iz EU je postojao i pre donošenja GDPR-a, te je sasvim moguće da vaše poslovanje trenutno nije u skladu sa propisima EU, ali je bitno razumeti da prošireni princip teritorijalnog važenja GDPR-a, drakonske kazne ali i očekivanje da će institucije EU uložiti veće resurse u nadzor nad primenom svojih propisa u ovoj oblasti svakako povećavaju rizik po vaše poslovanje.

Sve ovo praktično znači da će se kompanije iz EU sve ređe odlučivati da razmenjuju podatke sa našim kompanijama jer se i same mogu naći u pravnom problemu, hosting i cloud usluge koje su bazirane u Srbiji će biti pod režimom ‘’izvoza’’ podataka što može u mnogome otežati njihovo poslovanje i razvoj prema tržištu EU, a isti je slučaj i sa brojnim firmama koje se bave poslovnom analitikom ili korisničkom podrškom građanima EU imajući u vidu da ovakva podrška neminovno znači obradu ličnih podataka, a njihov pristup u Srbiji se smatra ‘’izvozom’’ iz EU.

Koji je vaš status — rukovalac ili obrađivač?

I domaći zakon i GDPR prave distinkciju kada su u pitanju odgovorna lica za njihovo poštovanje pa se ključne obaveze odnose na rukovaoca (controller) koji određuje svrhu i način obrade i obrađivača (processor) koji po nalogu rukovaoca obrađuje podatke. To znači da status rukovaoca ima lice za čije potrebe i u čijem interesu se podaci obrađuju, bilo da koristi podatke o ličnosti koji su neophodni za zaključenje ugovora, da se bavi analizom podataka o korišćenju aplikacije za dalji razvoj ili kako bi naravio bazu svojih korisnika.

Sa druge strane obrađivač je lice koje  s obzirom na svoja znanja i kapacitete obrađuje podatke po nalogu rukovaoca i za njegove potrebe. Primera radi obrađivač će biti pružalac cloud usluga, kompanija čija je usluga statistička analiza podataka i slično. Jedan od ključnih razloga za postojanje ova dva koncepta je da se utvrdi odgovrnost, s obzirom na to da će rukovalac imati znatno više obaveza nego obrađivač.

Podela obaveza i odgovornosti po GDPR-u:

Ono što GDPR propisuje je da se odnos između rukovaoca i obrađivača mora urediti ugovorom koji će između ostalog definisati odgovornosti, tip obrade i vrstu ličnih podataka koji su predmet takvog ugovora. U skladu sa tim moguće je da na obrađivača bude prenete i one obaveze koje su nisu propisane GDPR-om, dok se rukovalac svojih odgovornosti ne može osloboditi, i on će uvek odgovarati za izbor obrađivača.

Šta dalje?

Dakle od 25. maja 2018. godine GDPR će biti na snazi i to će u velikoj meri uticati na vašu pravnu odgovornost i na rizike po vaše poslovanje. U tom smislu neophodno je da se adekvatno priremite za GDPR i to:

U okviru svoje organizacije:

  • Podizanje svesti o značaju ove regulative za održivost poslovanja prvenstveno kroz edukaciju menadžmenta i zaposlenih.
  • Poželjno je formiranje tima zaduženog za usklađivanje poslovanja sa svim pomenutim obavezama koji bi idealno bio sastavljen od pravnih, organizacionih i tehničkih eksperata.
  • Mapiranje svih tokova podataka o ličnosti, tj. koje podatke posedujete i kako se oni prikupljaju, čuvaju, obrađuju i ustupaju trećim licima.
  • Analiza rizika po poslovanje koje trenutni model rukovanja sa podacima nosi.
  • Usaglašavanje poslovanja sa novim domaćim zakonom kao i sa GDPR-om za sve koji posluju na EU tržištu, što u zavisnosti od veličine sistema može biti dugotrajan proces.

Na strateškom nivou:

  • Potrebno je usvajanje novog Zakona u skladu sa GDPR-om kako bi se obezbedila pravna sigurnost za poslovanje.
  • Pokretanuti inicijativu za dospevanje Srbije na listu zemalja za koje je Evropska komisija utvrdila da postoji adekvatan sistem zaštite podataka o ličnosti kako bi se olakšao ‘’uvoz’’ ličnih podataka iz EU.

U narednom periodu pokušaćemo da u saradnji sa Startitom i drugim zainteresovnaim akterima organizujemo događaje koji će privredu bolje upoznati sa efektima GDPR-a i merama usklađivanja kao i zagovarati hitnu regulatornu reformu u Republici Srbiji kako bi se otklonile postojeće barijere za uključivanje domaćih kompanija u evropsko digitalno tržište.

Danilo Krivokapić,

SHARE Fondacija

Dr Đorđe Krivokapić LL.M.

Docent na Fakultetu organizacionih nauka

Univerziteta u Beogradu