Opšta uredba o zaštiti podataka o ličnosti – GDPR (General Data Protection Regulation), koja reguliše način korišćenja podataka o ličnosti građana Evropske unije (EU), izglasana je još u aprilu 2016. ali je ostavljen period od dve godine u kojem su sva zakonodavstva u zemljama EU imala dovoljno vremena da se prilagode i što bolje spreme za primenu ove uredbe. U Evropskoj uniji GDPR je stupio na snagu 25. maja ove godine.
Vlada Republike Srbije usvojila je Predlog zakona o zaštiti podataka o ličnosti, koji ima za cilj unapređenje međunarodne razmene podataka i zaštite podataka o ličnosti, kao i usklađivanje domaćeg zakonodavstva sa novim propisima EU u ovoj oblasti.
Način usklađivanja sa Uredbom zavisi od ustavnog uređenja, ali i prakse. Ustav Republike Srbije određuje da se obrada podataka uređuje zakonom. “U Srbiji nije adekvatno uređen sve prisutniji video‑nadzor, tako da, sem situacija uređenih Zakonom o privatnom obezbeđenju ili Zakonom o bezbednosti saobraćaja, nama nije jasno ko i kad ili gde može da postavi kamere. Čak smo u praksi imali slučaj video‑nadzora u javnom toaletu”, objasnila je Nevena Ružić, pomoćnica generalnog sekretara Službe poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Građani imaju sve veću potrebu da zbog sve češćih zloupotreba zaštite svoje podatke – kao što su JMBG, broj lične karte ili bankovnog računa, podaci o fizičkom izgledu i navikama, biometrijski podaci, broja telefona, IP adrese, lozinke ili najčešće adrese koje posećuju na internetu. Od donošenja trenutnih zakonskih rešenja do danas došlo je do ubrzanog razvoja informacionih tehnologija, zbog čega postoji potreba da se lica na koje se podaci odnose dodatno zaštite.
U Predlogu se navodi i da se novim zakonom znatno unapređuje zaštita podataka o ličnosti građana, kako u domaćem pravnom sistemu, tako i u odnosu na iznošenje podataka u treće zemlje. Svi podaci o ličnosti građana Srbije biće tako zaštićeni na jednak način, kao i u državama članicama EU.
Donošenje novog zakona predstavlja takođe jednu od obaveza Srbije u procesu pridruživanja Evropskoj uniji, ali i proizilazi iz činjenice da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene.
GDPR ili Opšta uredba o zaštiti podataka o ličnosti jedna je od najkontraverznijih regulativa u poslednjih nekoliko godina. Iako postoje brojni razlozi za donošenje pravilnika koji bi bio posvećen regulisanju prikupljanja, deljenja i obrade ličnih podataka korisnika, mnoge kompanije i institucije nisu zadovoljne uvođenjem strožih mera u pogledu upravljanja ličnim podacima korisnika. Osim toga što GDPR ima široku geografsku primenu (regulativa važi ne samo za kompanije na teritoriji EU već i za građane koji borave u EU), gotovo je izvesno da će svako čije se poslovanje zasniva na prikupljanju ličnih podataka biti u znatno većem riziku nego do sada.
“Uredbom je pojedinac stavljen u centar zaštite podataka o ličnosti. Lice o kome se podaci obrađuju ima pravo da zna ko, zašto i koje podatke o njemu obrađuje, a Uredba pooštrava postojeće osnove za obradu podataka i uvodi nova prava u okviru prava pojedinaca, kao što su pooštreni kriterijumi za pristanak lica na obradu ili pooštrene obaveze rukovaocu u vezi sa obaveštenjem o obradi, ili novo pravo pojedinca na prenosivost podataka o sebi od jednog na drugog rukovaoca”, objašnjava Nevena Ružuć.
Nedavno istraživanje Rojtersa međutim, otkrilo je da mnogi regulatori koji su zamišljeni kao nadzornici usklađenosti sa GDPR-om, nisu bili spremni da to učine kada je GDPR konačno zaživeo. Zapravo, čak sedamnaest od 24 regulatora izjavilo je su da oni još uvek nemaju potrebna finansijska sredstva ili da inicijalno imaju nedostatak ovlašćenja da ispune svoje obaveze propisane Uredbom.
Čini se da za najavljene promene niko nije bio spreman. Međutim, ovo ne znači da kompanije koje posluju na teritoriji EUi van nje mogu da odahnu. Samo zato što vlasti možda i dalje nisu spremne i ne mogu da istraže sve prekršaje koji se tiču zloupotrebe privatnih podataka, ne znači da potencijalne zloupotrebe i kršenje prava privatnosti neće biti štetne za organizaciju i njenu sposobnost da efikasno nastavi sa poslovanjem.
Ono što je važno napomenuti je da prvi korak ka postizanju potpunog usaglašavanja sa GDPR-om jeste shvatanje da su propisi set smernica, a ne pravila. Način usklađivanja svakako je stvar konkretnog pravnog sistema. Na različitost ovih pravnih sistema država članica Evropske unije vodilo se računa prilikom pripreme Uredbe. Primer toga može se naći u brojnim odredbama koje ostavljaju izbor ponuđenih alternativnih rešenja ili konačno uređenje pojedinačnog pitanja nacionalnim zakonima. Primer izbora alternativnih rešenja je odredba o načinu sertifikovanja usklađenosti sa Uredbom, dok je primer uređenja pojedinačne oblasti očigledan u odredbi o obradi podataka kada je rukovalac crkva ili verska zajednica.
Kao ilustraciju šta zapravo znači usklađivanje, Nevena Ružić ističe primer Slovenije, koja nam je bliska po pravnom sistemu i pravnoj prošlosti. “Pre nego što je 2004. postala članica Evropske unije, Slovenija je, da bi se usaglasila s Direktivom o zaštiti podataka iz 1995, pregledala više od 800 propisa koji su se odnosili na zaštitu podataka o ličnosti. Taj podatak dala nam je tadašnja slovenačka poverenica za informacije”, objasnila je Nevena Ružić.
Uredba koja je stupila na snagu 25.05.2018. godine jedna je od najznačajnih u oblasti zaštite podataka u poslednjih 20 godina. Usvajanje Predloga zakona o zaštiti podataka o ličnosti ima za cilj unapređenje međunarodne razmene podataka i zaštite podataka o ličnosti, kao i usklađivanje domaćeg zakonodavstva sa novim propisima EU u ovoj oblasti.