Regulatorne promene koje donosi Uredba o zaštiti podataka o ličnosti odnose se na promenu tradicionalnih pravnih instituta, ali i na uvođenje novih.
GDPR Uredba će početi da se primenjuje od 25. maja 2018. godine i biće obavezujuća za zemlje članice Evropske Unije.
U Republici Srbiji neće biti direktne primene ove Uredbe, ali imajući u vidu teritorijalnu klauzulu Uredbe, društva koja imaju sedište u Republici Srbiji, a posluju i pružaju usluge na teritoriji zemalja članica Evropske Unije, će biti u obavezi da primenjuju ovu Uredbu.
- Teritorijalna primena Uredbe se odnosi na podatke koje obrađuju društva koja imaju sedište na teritoriji EU, ali i na društva koja imaju sedište van teritorije EU, a obrađuju podatke lica iz EU, posluju ili pružaju usluge na teritoriji EU.
Implementacija navedene Uredbe za društva sa sedištem na teritoriji Republike Srbije počinje od 25.05.2017.godine.
Konkretni zadaci društva koja imaju sedište na teritoriji Republike Srbije, a posluju na teritoriji EU, prevashodno će se odnositi na:
- Jačanje privatnosti podataka pažljivijom obradom;
- Povećanom pažnjom prilikom proizvodnje proizvoda i poboljšanja tehnologije koja će podatke obrađivati.
Jačanje privatnosti podataka se ogleda kroz uvođenje obaveze licenciranja i stručne obuke lica – zaposlenih koji će da vrše obradu podataka.
Ova obaveza može se implementirati i kroz angažovanje trećih lica – agencija koja imaju znanja i tehničku opremljenost (naročito agencije za bezbednosti i zaštitu) koje će moći adekvatno i stručno da ispune nametnute obaveze kompanijama u pogledu efikasne zaštite privatnosti podataka.
I. Izmene Zakona o zaštiti podataka ličnosti
Vlada Republike Srbije predložila je novi Nacrt Zakona o zaštiti podataka o ličnosti, koji u velikoj meri sadrži odredbe Uredbe EU o zaštiti podataka o ličnosti.
Predlog zakona je pretrpeo veliki broj kritika i primedbi kako od strane Poverenika za zaštitu podataka (čiji model predloga zakona nije usvojen) tako i od velikog broja nevladinih organizacija.
Očekujemo da vidimo kako će izgledati konačan tekst novog zakona i koje će obaveze u pogledu zaštite podataka nametnuti pravnim licima.
II. Prava i obaveze prema važećem zakonu
Republika Srbija ima već postojeći zakonodavni okvir u oblasti zaštite podataka o ličnosti. Na teritoriji Republike Srbije, trenutno je važeći Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 97/2008, 104/2009 – dr. zakon, 68/2012 – odluka US i 107/2012) („Zakon“). Ipak, čini se da ovaj zakonski okvir nije potpun i da ima još puno posla na stvaranju okruženja koje bi efikasno štitilo podatke o ličnosti građana.
Sve dok se ne donese novi zakon, u nastavku dajemo kratak rezime prava i obaveza pravnih lica vezano za zaštitu podataka ličnosti prema postojećem i vašećem zakonu o zaštiti podataka.
I. Opšti pojmovi prema postojećem zakonu o zaštiti podataka
- „Obrada“ podataka prema Zakonu podrazumeva sledeće radnje: Obrada podataka je svaka radnja preduzeta u vezi sa podacima kao što su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski, poluautomatski ili na drugi način.
- „Rukovalac“ podataka je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke.
- „Obrađivač“ podataka je fizičko ili pravno lice, odnosno organ vlasti, kome rukovalac na osnovu zakona ili ugovora poverava određene poslove u vezi sa obradom.
- Obrada se može vršiti na osnovu zakona ili na osnovu izričitog pristanka fizičkog lica.
Za svako fizičko lice čija se obrada podataka vrši, a koji se podaci odnose na podatke o: ličnom imenu, jedinstvenog matičnog broja građana, adresu i/ili drugo obeležje fizičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta, a koje podatke „obrađuje“ Pravno lice kao Rukovalac, Pravno lice je dužno da pribavi pismenu saglasnost fizičkog lica za obradu tih podataka.
II. Saglasnost za obradu podataka mora da se odnosi na sve zakonom predviđene podatke, a naročito je neophodno da fizičko lice koje daje saglasnost za obradu podataka bude obavešteno o svrsi prikupljanja i daljoj obradi podataka.
Napomena:
Vezano za zaposlene saglasnost može biti data u odredbama ugovora o radu, i/ili kao posebna saglasnost u pisanoj formi koja prati ugovor o radu.
Takođe, saglasnost za obradu podataka neophodno je dobiti i od drugih lica čije podatke Pravno obrađuje kao što su: kupci, potencijalni kupci, posetioci sajtova, itd.
III. Pored obaveze koja se odnosi na dozvoljenu obradu podataka, pravna lica su dužna da sačine i prijave Zbirku podataka ličnosti nadležnom Povereniku.
Pravno lice dužno da u skladu sa odredbama Zakona:
- Obrazuje evidenciju o obradi podataka.
- Dostavi evidenciju o zbirci podataka, odnosno promene u evidenciji podataka.
- Čuva evidenciju o obradi u svojoj dokumentaciji na mestu obrade podataka o ličnosti u Republici Srbiji, tj. u svom predstavništvu, odnosno ogranku.
- Stavi na uvid ovlašćenim licima Poverenika u slučaju vršenja nadzora nad sprovođenjem i izvršavanjem Zakona.
Ukoliko pravno lice ima nameru da obrađuje podatke o ličnosti u Republici Srbiji, odnosno uspostavi zbirku podataka o ličnosti u Republici Srbiji dužno je da pre započinjanja obrade, odnosno uspostavljanja zbirke podataka, dostavi Povereniku obaveštenje o nameri obrade, odnosno nameri uspostavljanja zbirke.
IV. Iznošenje podataka u treće zemlje
Podaci se mogu iznositi iz Republike Srbije u državu članicu Konvencije o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope bez prethodnog odobrenja/saglasnosti Poverenika.
Podaci se mogu iznositi iz Republike Srbije i u državu koja nije članica pomenute Konvencije ako je u toj državi, odnosno međunarodnoj organizaciji, propisom, odnosno ugovorom o prenosu podataka, obezbeđen stepen zaštite podataka u skladu sa Konvencijom.
Prilikom iznošenja podataka, Poverenik utvrđuje da li su ispunjeni uslovi i sprovedene mere zaštite podataka prilikom njihovog iznošenja iz Republike Srbije i daje dozvolu za iznošenje.
V. Kaznene odredbe
Nepoštovanje gore navedenih obaveza, odnosno nedozvoljenja obrada podataka kao i nedostavljanje zbirki povereniku povlači sa sobom prekršajnu odgovornost i novčane kazne u rasponu od 50.000,00 do 1.000.000,00 dinara.