Pored usvajanja Zakona o digitalnoj imovini koji počinje sa primenom 29.06.2021. prvog pravnog akta koji zakonski priznaje i reguliše oblast digitalne imovine izmenjen je i niz poreskih zakona kojima se digitalna imovina po prvi put uvodi u srpski pravni sistem kao oporeziva kategorija.
Važenje svakog poreskog sistema na svetu (pa i srpskog) zasniva se na načelu zakonitosti po kome država može da ubira samo one poreze koji su određeni u zakonu i to isključivo u zakonito sprovedenom postupku. Činjenica da do kraja prošle godine digitalna imovina nijednim zakonom nije bila određena kao oporeziva kategorija nije sprečavala Poresku upravu da se koristi krajnje širokom kategorijom drugih prihoda (pod koju se praktično mogu podvesti svi prihodi koji eksplicitno nisu zakonom navedeni kao oporezivi), te da prihode od digitalne imovine oporezuje po poreskoj stopi od 20%.
Da li je pravnoj neizvesnosti u smislu oporezivanja digitalne imovine konačno došao kraj ili ne? Kako će fizička lica u budućnosti plaćati porez na digitalnu imovinu? Da bi dali odgovor na ova pitanja, u nastavku teksta ćemo analizirati najznačajnije promene koje nam donose izmene i dopune zakona koji regulišu oporezivanje fizičkih lica, a to su Zakon o porezu na dohodak građana i Zakon o porezima na imovinu koji počinju da se primenjuju 29.06.2021.
I Zakon o porezu na dohodak građana (ZPDG) određuje da će se digitalna imovina oporezovati porezom na kapitalnu dobit što i predstavlja najčešću uporednopravnu praksu u zemljama poput SAD, Australije, Ujedinjenog Kraljevstva. Navedeno znači da će obveznici ZPDG biti dužni da u slučaju ostvarivanja pozitivne razlike između nabavne i prodajne cene digitalne imovine plate porez na kapitalnu dobit u iznosu od 15% na ostvarenu razliku. U slučaju negativne razlike, to će predstavljati kapitalni gubitak čije prebijanje sa kapitalnim dobicima obveznik može da vrši u narednih 5 godina.
ZPDG definiše nabavnu cenu digitalne imovine kao cenu koju obveznik dokumentuje kao stvarno plaćenu. Navedeno znači da bi obveznik kao nabavnu cenu mogao da prikaže cenu po kojoj je kupio digitalnu imovinu (kako u zemlji tako i u inostranstvu) od ovlašćenog pružaoca usluga u vezi sa digitalnom imovinom (npr. menjačnica), dok bi kao prodajnu cenu mogao prikazati cenu po kojoj je putem usluga ovlašćenog pružaoca usluga u vezi sa digitalnom imovinom (npr. menjačnica) izvršio prodaju.
Što se tiče rudarenja, ZPDG određuje da u slučaju prenosa digitalne imovine koju je obveznik stekao rudarenjem, nabavnom cenom će se smatrati iznos troškova koje je obveznik imao u vezi sa sticanjem predmetne digitalne imovine koje može da dokumentuje. Ova poprilično nejasna odredba u praksi otvara pitanja da li bi obveznik pored kupovine mašina za rudarenje i utrošene električne energije mogao još nešto da dokumentuje kao trošak rudarenja digitalne imovine, zatim da li bi to značilo postojanje zasebnog brojila koje bi merilo potrošnju struje samo za mašine koje rudare, da li će faktički platiti porez na kapitalnu dobit na iznos celokupne prodajne cene ako ne može da dokumentuje vrednost nabavljenih mašina i utrošene struje, obavezu čuvanja računa za struju itd. Takođe, postavlja se i pitanje na koji način se može izvršiti efikasna kontrola rudara od strane Poreske uprave, ali i kontrola podnošenja poreskih prijava prilikom prodaje digitalne imovine.
Ovde primećujemo da je naš zakonodavac stao na poziciju kao i manjina uporednih poreskih sistema po kojoj se oporeziv događaj dešava, tek kada rudar raspolaže izrudarenom digitalnom imovinom, a ne u momentu dobijanja iste kao vid nagrade za rudare. Napominjemo da je u skladu sa srpskim poreskim propisima ovo bila jedina opcija, imajući u vidu da se digitalna imovina oporezuje porezom na kapitalnu dobit, čija je osnovna odlika upravo da momentom raspolaganja digitalne imovine nastaje oporeziv događaj, a ne momentom kupovine digitalne imovine.
Novost predstavlja i mogućnost da se zaposlenima isplaćuju bonusi/podsticaji u digitalnoj imovini koja će činiti deo zarade i na koju će poslodavac plaćati poreze i doprinose, čime se Srbija pridružila praksi država poput Ujedinjenog Kraljevstva, Holandije i Novog Zelanda. Interesantno je da će taj iznos biti priznat kao nabavna cena kada ih zaposleni bude prodavao pri čemu zaposleni plaća samo porez na kapitalnu dobit kao razliku između vrednosti na koju je poslodavac platio poreze i doprinose i cene po kojoj ih proda. Navedena opcija nesumnjivo predstavlja znak da sve više zaposlenih želi da bude delom isplaćeno u nekom obliku digitalne imovine koja definitivno ulazi u sve pore biznisa i postaje neodvojivi deo svakodnevnice.
Značajnu novinu predstavlja i poresko oslobođenje kojim obveznik novčana sredstva ostvarena prodajom digitalne imovine u roku od 90 dana od dana prodaje uloži u osnovni kapital privrednog društva rezidenta Republike Srbije, odnosno u kapital investicionog fonda u Republici Srbiji, čime se oslobađa 50% poreza na kapitalni dobitak. Pozdravljamo navedenu odredbu kao veoma podsticajnu i ukazujemo zakonodavcu da bi imajući u vidu značaj i razvojni potencijal industrije digitalne imovine (ali i finansijskih tržišta) u Srbiji valjalo razmisliti o odredbi po kojoj bi dato ulaganje u potpunosti bilo oslobođeno poreza na kapitalnu dobit po uzoru na postojeće poresko oslobođenje rešavanja stambenog pitanja.
Druga poreska olakšica koja oslobađa obveznike plaćanja poreza na kapitalnu dobit jeste ukoliko obveznik ima digitalnu imovinu u svom vlasništvu u neprekidnom trajanju od najmanje 10 godina. Imajući u vidu činjenicu da primera radi, Bitkoin kao prva i svakako najzastupljenija kriptovaluta na svetu postoji u opticaju tek 12 godina (a Ethereum, Monero, Litecoin itd. znatno manje od 10 godina) teško da će se naći obveznik koji će moći da dokumentuje držanje Bitkoina ili neke druge kriptovalute neprekidno najmanje 10 godina. Interesantno je napomenuti da Nemačka ne oporezuje digitalnu imovinu porezom na kapitalnu dobit ukoliko je period držanja duži od 12 meseci (što je 10 puta kraće nego u Srbiji).
Što se tiče samog procesa podnošenja poreske prijave radi utvrđivanja poreza na kapitalnu dobit, čini se da nisu predviđani nikakvi posebni postupci oporezivanja digitalne imovine u pogledu drugačijeg podnošenja poreskih prijava. Ističemo da ostaje pomalo nejasno kako će obveznici podnositi prijave za veliki broj transakcija u određenom periodu, jer za razliku od prometa prava na nepokretnostima, udelima i akcijama koja fizička lica ne vrše često, u slučaju prodaje digitalne imovine, realno je očekivati da postoji veliki broj manjih pojedinačnih transakcija u kratkom roku, čime bi jezičkim tumačenjem zakona obveznici, ali i Poreska uprava imali veliki administrativni problem. Ostaje da se vidi da li će se i kako navedeni problem rešavati u praksi.
II Sledeći relevantan zakon za potrebe oporezivanja digitalne imovine jeste Zakon o porezima na imovinu (ZPI). ZPI kao novinu uvodi oporezivanje digitalne imovine porezom na nasleđe i poklon. Ističemo da do kraja prošle godine nije bilo moguće oporezovati digitalnu imovinu porezom na nasleđe i poklon. Stopa poreza na nasleđe i poklon iznosi 2,5% od tržišne vrednosti na poklon primljene digitalne imovine, na dan nastanka poreske obaveze, koju utvrđuje Poreska uprava. Ostaje upitno kako će Poreska uprava tumačiti datu odredbu i šta će odabrati za referentnu vrednost imajući u vidu „nemalu“ volatilnost digitalne imovine na dnevnom nivou. U slučaju nasleđivanja digitalne imovine, ona će kao zakonom priznat i određen vid imovine ući u ukupnu zaostavštinu ostavioca čija će se vrednost izračunati u skladu sa postojećim pravilima naslednog prava. Takođe, kao i u slučaju poklona ostaje otvoreno pitanje po kojoj vrednosti će se digitalna imovina uračunati u ukupnu vrednost zaostavštine, ali se postavlja i pitanje kako će se primera radi u odsustvu testamenta utvrditi da li je ostavilac posedovao digitalnu imovinu, kod koga su privatni ključevi itd.
Postojeće odredbe ZPI predviđaju da ukoliko se ostavilac i naslednik, odnosno poklonodavac i poklonoprimac nalaze u prvom naslednom redu, poreska obaveza ne postoji. Ukoliko se nalaze u drugom naslednom redu, poreska obaveza iznosi 1,5%, a ukoliko se nalaze u trećem ili nekom drugom naslednom redu, odnosno ukoliko uopšte nisu u srodstvu, poreska obaveza će iznositi 2,5%. Takođe, napominjemo da se neće plaćati porez na poklon do 100.000 dinara od istog lica u toku kalendarske godine, što znači da je moguće izvršiti poklon u vidu digitalne imovine drugom licu do navedene vrednosti bez obaveze plaćanja poreza na poklon. Kurioziteta radi napominjemo da u Ujedinjenom Kraljevstvu, u slučaju poklona digitalne imovine, poreska obaveza postoji na strani poklonodavca.
Analizirane odredbe poreskih zakona počinju da se primenjuju kada i Zakon o digitalnoj imovini, a to je 29. juna 2021. godine.
Kao zaključak pozdravljamo uvođenje digitalne imovine kao sada već zakonski regulisane kategorije, ali i kao oporezive kategorije, čime se na još jedan način nesumnjivo potvrđuje da je digitalna imovina prepoznata od strane zakonodavca, ali i privrede i građana kao važan segment ekonomije. Smatramo da svim privrednim subjektima, ali i korisnicima ide na ruku postojanje definisanog pravnog i poreskog okvira, kako bi mogli unapred planirati svoje poslovanje uz izvesnu dozu sigurnosti. Ostaje međutim kao otvoreno pitanje pored već ukazanih nedoumica koja se tiču primene poreskih zakona i trenutan nivo poznavanja digitalne imovine, ali i spremnost službenika Poreske uprave da rešavaju o tim stvarima, posebno imajući u vidu raniju praksu potpunog nepoznavanja i nezainteresovanosti za materiju digitalne imovine.
Skrećemo posebnu pažnju da uvođenje digitalne imovine kao oporezive kategorije, pored povećane pravne sigurnosti i predvidljivosti i dalje predstavlja „klizav teren“ za sve zainteresovane poreske obveznike, pretežno usled nepostojanja odgovarajuće prakse, te ukazujemo da bi bilo mudro potražiti profesionalnu pravnu i poresku pomoć kako bi se izbegle brojne prepreke na putu ispunjavanja poreskih obaveza.
Napomena: Ovaj tekst predstavlja lični stav autora o datoj temi i nije zamena za angažovanje pravnika ili advokata u određenom slučaju.
Autor: Bogdan Vujović
Internet pravo je oblast prava koja se najbrže razvija poslednjih decenija, a obzirom da je pravo kruto i sporo odgovara na promene, ova oblast prava smatra se najneuređenijom oblasti prava u XXI veku. Nedostatak pravila na internetu, nedostatak bezbednosti na internetu su pitanja koja će obeležiti početak ovog veka. Tri oblasti prava su se odmah izdvojile kao oblasti visokog značaja na internetu: autorska i srodna prava, prava podataka ličnosti i pravo e-trgovine. U poslednje vreme vidimo tendenciju EU da se prva na ozbiljan način suoči sa promenama koje nam donose moderne tehnologije. GDPR je stupio na snagu 2018. godine, 2019. godine se očekuje i direktiva u oblasti e-trgovine, a aktualna tema danas je Direktiva EU o autorskim pravima (Directive on Copyright in the Digital Single Market). Danas je goruće pitanje u naučnim krugovima šta nam donosi nova direktiva o autorskim pravima. Naime, Srbija je u skladu sa SSP-om u obavezi da usaglasi svoje zakonodavstvo sa zakonodavstvom EU. Tako da ova direktiva koja će se neposredno primenjuvati u članicama EU, moraće da bude implementirana, tj. neposredno pirmenjena u Srbiji.
U pomenutoj, tesnom većinom donetoj direktivi o autorskim pravima, sporan je član 13, ali i član 11. Analiziraćemo navedene članove i pokušati da damo mišljenje o uticaju istih na internet platforme, autore i nosioce autorskih prava i korisnike.
Zaokret u oblasti internet prava i autorskih prava je promena jednog od osnovnih načela gde se odgovornost sa lica koja postavljaju sadržaj online prebacuje na internet platforme koje omogućavaju upload tog sadržaja, a koji sadržaj često predstavlja autorsko delo. Zapravo, u početku ovo i jeste bila ideja, ali su vremenom putem Terms&Conditions i TermsAgreement velike kompanije uspele da svoju odgovornost ublaže ili u potpunosti isključe. Tako danas npr. Facebook i Twitter ne odgovaraju za povredu sve dok se ne desi da je povreda prava bila prijavljena, a da oni nisu postupili po prijavi, odnosno uklonili sporni sadržaj na osnovu prijave. Dakle, uvođenjem pravila Notice&TakeDown velike kompanije uvele su obavezu autorima i nosiocima autorskih prava da samostalno prijave povredu autorskog prava, gde bi se tek nakon lične prijave aktivirala obaveza kompanije da ukloni sporni sadržaj. Tako je teret iniciranja postupka prebačen na autora ili nosioca autorskog prava, a kompanijama olakšan postupak.[1] Nova direktiva o autorskim pravima EU obavezu da se preispita sav sadržaj i ukloni sporan vraća se na teret kompanija, ali ne samo to, već će za svaki sadržaj koji se uploaduje morati da postoji ugovor ili drugi pisani trag koji će svedočiti o tome da je autor ili nosilac autorskog prava dao dozvolu da se određeni autorski sadržaj prenese putem internet platforme, društvene mreže i dr.
Član 13 stav 1: „Pružaoci usluga informacionog društva koji pohranjuju i pružaju javni pristup velikim količinama radova ili drugih sadržaja koje su njihovi korisnici postavili (upload), trebali bi, u saradnji s nosiocima prava, preduzeti mere kako bi osigurale funkcioniranje ugovora zaključenih s nosiocima prava za korištenje njihovih dela ili drugih predmeta, ili sprečavanje dostupnosti njihovih dela ili drugih predmeta koje su nosioci prava identifikovali kroz saradnju s pružaocima usluga. Te mere, kao što je upotreba korisnih tehnologija za prepoznavanje sadržaja, moraju biti prikladne i srazmerne. Pružaoci usluga dužni su da nosiocima prava pruže odgovarajuće informacije o funkcionisanju i primeni mera, kao i, kada je to potrebno, odgovarajuće izveštaje o prepoznavanju i korišćenju dela i drugih predmeta.“ (Slobodan prevod)
Analiza člana 13:
- Analizirajući ovaj član zaključujemo to da će velike kompanije morati da potpisuju ugovore sa autorima i nisiocima autorskih prava, te da će morati da primene konkretne mere u cilju pružanja zaštite u vezi sa njihovim autorskim delima.
- Dakle, upload-ovanje sadržaja autorskog dela će biti pravno valjano samo uz dozvolu nosioca autorskih prava. Pored pribavljanja dozvole moraće da postoji i pisani trag, dokaz kako bi bili sigurni, što će biti najverovatnije u vidu ugovora koji se potpisuje po pristupu i ličiti na koncept TermsAgreement i Terms&Conditions. Izgled ovih ugovora će nas posebno interesovati, jer od njih će zavisiti u mnogome šta će se detaljno dešavati sa autorskim delima, da li će se autori i nosioci prava ograničavati i u kojem obimu kroz ove ugovore, a za njihova dela ugovarati slobodan prenos ili čak i editovanje. Sve u svemu standard na koji autori i nosioci prava budu pristali većinom postaće opšti, globalni standard, a upitno je mogu li se izboriti da ovi ugovori budu značajno povoljniji za njih od uslova koje trenutno imaju.
- Obzirom da se putem ovih internet platformi prenosi velik broj autorskih dela, čini se da neće biti ličnog uređivanja ugovora, već da će se potpisivati ugovori po pristupu, što znači da će autori i nosioci prava koji žele da mreže koriste kako bi javno oglasili svoja dela, morati da potpišu ugovore koji im se predoče, bez mogućnosti dogovaranja posebnih personalizovanih uslova ili će moći da se odluče za jedan od vidova ugovora.
- Iz ovakvih obaveza proističe bolja pozicija autora i nosioca autorskih prava u vezi sa njihovim autorskim delima, ali i mnogo teži protok autorskih dela koji će pogoditi korisnike istih, te će se sukobiti sa konceptom ljudskog prava na slobodu izražavanja. Naravno i kompanije će se susresti sa mnogim poteškoćama, i morati da ulože određena sredstva u stvaranje kreativnih rešenja. Umesto pasivnog držanja internet platformi, one će morati da budu proaktivne i unapred odrediti da li određeni materijal krši ili ne autorska prava. To je moguće pomoću određenih upload filtera.
- Odgovornost građana se ne menja ovom direktivom.
Postoji izuzetak koji se odnosi i olakšava poziciju „manjim“ kompanijama, a taj izuzetak se javlja u vidu činjenice da se ova direktiva neće se primenjivati na startap do 5 miliona evra prometa na godišnjem nivou.
Sa strane internet platformi ova direktiva stvara probleme, ali probleme koji bi kreativnim. Ovom direktivom najviše su pogođene velike kompanije kao što su YouTube, Google, Facebook, Twitter, Reddit.
Sa strane autora i nosilaca autorskih prava ova direktiva ima potencijal da im obezbedi veću zaštitu, ali u kojem će se zapravo obimu primenjivati i da li će autori i nosioci autorskih prava izgubiti marketinške pogodnosti koje nudi slobodan upload i share na društvenim mrežama ostaje upitno. Postavlja se logično pitanje: „Da li direktiva štiti prava autora ili prava nosioca prava, odnosno velikih kompanija na koje su preneta prava na ekonomsko iskorišćavanje autorskih dela“? Naime, velike kompanije imaju veće interese da se autorska dela ne prenose slobodno i svakako da imaju veći protok novca i više sredstava da nadomeste sužavanje marketinškog prostora. Upload bi trebao ostati slobodan uz dozvolu nosioca atorskih prava i dokaz o tome da je lice koje vrši upload stvarni autor sadržaja.
Korisnici su najviše pogođeni ovim promenama. Sa strane korisnika očito je da će sloboda izražavanja biti ograničena autorskim pravima koja dobijaju prioritet. To znači da bi share politika društvenih mreža mogla biti promenjena, sem u slučaju da se ostavi mogućnost da se autori odreknu zaštite i stave svoje delo u slobodan protok svojom voljom, a možda i kako bi omogućili svojim delima veći uticaj i marketinški prostor. Obzirom na potrebu za izvorima zabavnog i kulturnog sadržaja, biti primorani da isti plaćaju. Isti uticaj koji ima na share ova direktiva ima i na edit funkcije.
Pitanje kako se postaviti prema korisnicima koji postavljaju sadržaj online, Torrent i peer-to-peer sistem je teško kontrolisati i još teže utvrditi odgovornost za povrede autorskih prava. Na ovakve internet platforme koje omogućavaju peer-to-peer prenošenje podataka nije moguće primeniti ovu direktivu. Naime, ovakvi sajtovi koji su delili linkove za download autorskih dela nisu postupali ni po ranijim odredbama iz oblasti autorskih prava, ali nije ni pronađen efikasan način da se njihovo delovanje suzbije. Moguće je da će ovakve platforme dobiti veću ulogu u distribuciji sadržaja, obzirom da će više sadržaja biti zabranjeno prenositi putem društvenih mreža, YouTube-a i dr.
Teritorialno važenje direktive – Za razliku od GDPR-a, kod direktive o autorskim pravima nije primenjen eksteritorialni princip primene po osnovu nacionalnosti, odnosno pripadnosti autora ili nosioca autorskog prava državi EU. Direktiva EU primenjuje se, dakle, samo na teritoriji država EU, tj. na kompanije koje imaju sedište na teritoriji EU. Da li će odredbe ove direktive biti podložne izigravanju menjanjem sedišta pravnog lica, izmeštanjem sedišta kompanija koje pogađa ova konvencija. To će nam pokazati vreme, a ukoliko se ne iznađe jednostavnije rešenje ovo bi se moglo dogoditi.
Autorska prava dobila su ovom direktivom jaču poziciju od slobode izražavanja, ali ostavljeno je nešto prostora i slobodi izražavanja kroz neka ograničenja autorskih prava. Ograničenja autorskih prava odnose se na karikaturu, parodiju, gif i meme. Ovo znači da će ovi vidovi editovanaj autorskog dela i izražavanja biti dozvoljeni i nakon početka primene ove direktive.
Za implementaciju ove direktive dat je period od 2 godine. Obzirom da je izglasana 21.03.2019. godine, datum početka primene trebao bi biti 22.03.2021. godine.
Takođe, online mediji će doživeti promenu kroz sferu autorskih prava i ta promena je utkana u član 11 pomenute direktive. Ovaj član govori o autorskim pravima na publikacijama i zabranjuje slobodnu podelu i kopiranje medijskih publikacija. Države članice garantuju da će izdavačima publikacija za medije prava ostati netaknuta i da neće ni na koji način uticati na autorska prava i prava nosilaca autorskih prava u vezi sa radovima i drugim predmetima sadržanim u medijima. Takva prava ne mogu se pozvati protiv autora i nosilaca autorskih prava, a posebno ih ne mogu lišiti prava da koriste svoja dela i druge predmete nezavisno od publikacije štampe u koju su uključeni. Ovim članom se novinarima i istraživačima ostavlja mogućnost da ukoliko neki medijske kuće ili internet platforme koriste, kopiraju njihove linkove, fotografije i delove tekstova moraju platiti određenu naknadu.
Direktiva o autorskim pravima je rezultat borbe velikih izdavačkih, produkcijskih kuća sa velikim internet platformama, a prvi su profitirali istom. Ostaje da vreme pokaže hoće li ova direktiva izazvati veće promene u sajber svetu ili će velike internet kompanije naći kreativne načine da se prilagode novonastaloj situaciji. Jedno je sigurno, promene na internetu nas očekuju, a internet će postati bezbednije digitalno okruženje, ali teško da se može očekivati da internet postane dosadan, jer previše je kreativnih načina da se izbori sa novim ograničenjima.
Autor teksta Denis Tul.
[1] Za vise informacija pogledati rad “Zaštita autorskih prava u Republici Srbiji”, Denis Tul I Đina Vesić, Beograd, 2019. godina.
GDPR (General Data Protection Regulative) je donet u formi uredbe (regulative), što znači da je ovo opšti pravni akt koji donose organi EU i koji se primenjuje u svim državama EU od dana stupanja na snagu bez potrebe za posebnom ratifikacijom. Osnovni cilj ovog pravnog akta je zaštita ličnih podataka. Lični podatak je svaki podatak koji upućuje na tačno određeno fizičko lice: lično ime, JMBG, broj telefona, fotografija na kojoj se može prepoznati određeno lice, email adresa, IP adresa, broj tablice i dr. Ako prikupljate podatke ili ih obrađujete, ovo su 10 stvari koje morate znati o novog GDPR-u (iz ugla pravnika):
- GDPR će se primenjivati na privredne subjekte koje posluju na teritoriji RS.
Ovaj akt je netipičan jer će se primenjivati i izvan granica EU koja je donela ovaj akt, a u skladu sa članom 3 GDPR-a. U članu 3 stav 2 GDPR-a propisano je da će se ovaj akt koristiti na sve kompanije izvan EU pod uslovima da oni svoje robu i usluge prezentuju potencijalnim klientima u EU i da se iz njihovog ponašanja može zaključiti da robu i usluge nude u EU. Naime, ovim aktom se štite lični podaci građana EU bez obzira gde se prostorno njihovi podaci prikupljaju ili gde se podacima upravlja. Tako u Republici Srbiji privredni subjekti (preduzetnici, privredna društva, firme, kompanije itd.) koji u poslovanju prikupljaju, obrađuju i upravljaju podacima državljana EU moraju to činiti u skladu sa GDPR-om, a pod pretnjom kazne. Neke od situacija kada će se GDPR primenjivati na kompanije iz Srbije su sledeće: kada koriste internet domene država EU, kada koriste načine reklamiranja svojih proizvoda i usluga na tržištu EU (Google Adwords npr.) i kada koriste jezik ili valutu EU, a tako da se može zaključiti da imaju nameru da usluge i proizvode plasiraju na tržište EU i kada imaju mogućnost dostavljanja na teritoriju EU.
- GDPR se primenjuje i na podatke koji su prikupljeni pre njegovog donošenja.
GDPR je na snagu stupio 25.05.2018. godine, ali ovaj pravni akt će se primenjivati i na podatke koji su prikupljeni pre ovog datuma. Svi privredni subjekti koji su prikupljali podatke pre ovog datuma na način koji nije u skladu sa GDPR-om, moraju da ponovo prikupe date podatke ili da jednostavno pošalju upit svojim klientima, partnerima i drugim subjektima čije su podatke skladištili kako bi dobili potvrdu ovih lica da se slažu da privredni subjekt zadrži već prikupljene podatke i nastavi da ih koristi u skladu sa GDPR-om, Privacy Policy i drugim dokumentima.
- Email adresa jeste lični podatak
Obzirom da email upućuje na određenu ličnost, fizičko lice, odnosno da na osnovu emaila možemo detektovati određenu ličnost, email jeste lični podatak. Posledica ove činjenice jeste ta da i samo prikupljanje emailova mora biti sprovedeno u skladu sa GDPR-om. Poznat je vid marketinga pod nazivom newsletter marketing, gde privredno društvo prikuplja emailove, a u cilju da na iste prosleđuje tipske poruke kojima nudi svoje proizvode i usluge. Obzirom da se ovo prikupljanje emailova mora vršiti u skladu sa GDPR-om i ovaj vid marketinga pretrpeće određene promene. Naime, privredni subjekti moraju obavestiti subjekte čije podatke prikupljaju o tome da njihove podatke skladište i o razlozima zbog kojih to rade, te tražiti dozvolu za prikupljanje podataka. Dozvola mora biti data aktivnom radnjom subjekta i bezuslovno.
- Bitno je isticati koji podaci se prikupljaju i kako se koriste (poseban osvrt na sajt).
Licu čiji se podaci obrađuju u svakom momentu mora biti poznato koji se njegovi podaci prikupljaju i u kojem cilju, tj. kako će biti korišćeni. Kod onih pravnih lica koja rade putem sajtova i prikupljaju podatke putem istih postoje posebne poteškoće. U zavisnosti od svrhe sajta, sajt može prikupljati podatke posetioca sajta pri samoj poseti li pri obavljanju određenih radnji na sajtu. Prikupljanje podataka na sajtu obično se izvršava pomoću kontakt forme, a svi prikupljeni podaci čuvaju se u bazama podataka sajta. Ceo postupak prikupljanja i upravljanja podacima mora biti u skladu sa GDPR-om. Dakle, u trenutku prikupljanja podataka, licima čiji se podaci prikupljaju (subjekti) mora biti predočeno koji se podaci prikupljaju, na koji način, kako će se postupati sa tim podacima, odnosno za šta će biti korišćeni. Opšte prihvaćen način da se subjekti informišu o ovome jeste kroz pisani ugovor koji potpisuju pri stupanju na sajt, registraciji. Ovi ugovori zaključuju se u elektronskom obliku i mogu imati više različitih formi, naziva, pa će se tako najčešće pojavljivati Privacy Policy, ali nije isključeno da odredbe vezane za Privacy Policy pronađete inkorpirirane u ugovore pod nazivom Terms&Conditions, Terms of Agreement. Ono što je bitno je da aktivnom radnjom subjekt mora označiti da prihvata ugovorne uslove takvi kakvi su ponuđeni od strane urednika sajta. U tom momentu smatra se da je lice potpisalo ugovor i da je informisano o sadržaju istog. Ugovor mora biti na raspolaganju stranci uvek da ga pročita. Na sajtu se svako prikupljanje podataka mora vršiti u skladu sa onim što je naznačeno u ugovoru. Predlog je da se ne prikupljaju nepotrebni i suvišni podaci, te da kontakt forma bude kratka, jasna i pripremljena tako da prikuplja samo neophodne podatke za koje je u ugovoru navedeno da se prikupljaju. Bitno je napomenuti da mnogi sajtovi koriste alate (tools, npr. CRM) i kolačiće (cookies). U ugovoru mora biti navedeno koje alate i kolačiće koristi sajt i koje podatke oni prikupljaju i u koje svrhe. Vlasnik sajta bi trebalo da pazi da koristi samo one alate i kolačiće koji su u skladu sa GDPR-om. Obavezno je da posetilac sajta aktivnom radnjom prihvati zaključenje ugovora sa vlasnikom sajta.
- Sa transkriptima četova se mora postupati kao sa podacima o ličnosti
Način na koji se čuvaju sadržaji četova, te kako se istima upravlja moraju biti u skladu sa GDPR-om. Vlasnik sajta na kojem se koriste četovi drugih provajdera moraju proveriti da li se ti četovi vode u skladu GDPR-om, jer su oni odgovorni za povrede odredaba GDPR-a korisnicima. Upravljanje transkriptima ovakvih četova dakle mora biti unapred poznato korisniku koji pristupa sajtu.
- Baze podataka moraju biti osigurane od stranog pristupanja
Pravila vezana za prikupljanje podataka pogađaju sve vrste bazi podataka koje sadrže lične podatke subjekata. Vlasnik baze podataka je dužan da za svaki ilegalan pristup podacima o istome obavesti stranke, te učini sve da zaštiti podatke koje je prikupio o korisniku, ili obriše podatke ukoliko to stranka zahteva. Neka od rešenja kojima se može garantovati sigurnost podataka jesu pseudonimizacija i enkripcija. Pseudonimizacija se vrši tako što se stvara više baza podataka u kojima se čuvaju različiti podaci korisnika, a koji se podaci povezuju pomoću ključeva.
- Obim prava data subjekata je proširen.
Generalno GDPR-om se propisana pravila koja se primenjuju na sve vidove prikupljanja podataka, a koji se obzirom na tehnologiju prikupljanja moraju prilagoditi svakom načinu prikupljanja i obrade istih. GDPR-om su tako proklamovana određena prava subjekata koja im moraju biti zagarantovana u svakom i najmanjem sistemu koji se bavi prikupljanjem i upravljanjem podacima. Neka od prava zagarantovanih subjektima su sledeća: pravo subjekta da bude obavešten o razlozima prikupljanja podataka i načinima upravljanja istih, pravo da bude obavešten u svakom momentu o tome koje podatke poseduje onaj ko ih prikuplja, pravo da podaci budu tačni, ispravljeni, dopunjeni, pravo da bude obavešten o svakoj kompromitaciji podataka u sistemu, pravo na zaborav (right to be forgoten). +Pravo vlasnika privrednog subjekta je da proda taj privredni subjekt, ali prodajom subjekta najčešće se prodaje i imovina u šta spadaju i baze podataka. Ostaje upitno da li će sa prodajom privrednog subjekta biti moguće na novog vlasnika preneti i baze podataka koje ovaj subjekt poseduje. Ovaj problem rešava se kvalitetnim sačinjavanjem ugovora, Terms of Agreement, pri prikupljanju podataka, jer bi najsigurnije bilo kada bi subjektima bilo poznato da privredni subjekt može biti prodat sa svojom imovinom koju čine i baze podataka. Naravno podaci se moraju nastaviti koristiti u skladu sa ugovorenim, odnosno predstavljenim u trenutku potpisivanja ugovora. Ovo je posebna tematika koja se javlja u okviru diskursa o pravu subjekta da bude obavešten o mogućim načinima upravljanja njegovim podacima.
- Za kršenje propisa u poslovanju privrednih subjekata utvrđene su teške kazne.
GDPR je propisao dve grupe kazni koje se izriču za određena kršenja ovog akta:
1. 2% godišnjeg globalnog obrta novca, ili maksimalno 10 miliona evra, za sledeća kršenja GDPR-a: kršenje podataka, nekorišćenje usluga DPO-a (Data Protection Operator), nesprovođenje DPIA (Data Protection Impact Assessment), nečuvanje odgovarajućih zapisa.
2. 4% godišnjeg globalnog obrta novca, ili maksimalno 20 miliona evra, za sledeća kršenja GDPR-a: nedobijanje pristanka, neuvažavanje prava korisnika propisanih GDPR-om, izmeštanje podataka izvan EU opisano u poglavlju 5 GDPR-a.
U praksi smo bili svedoci nekih već izrečenih kazni. Npr. Google je kažnjen novčanom kaznom u iznosu od 50 miliona evra.
- Kazne će moći da budu izvršene u državama izvan EU, kao što je Republika Srbija.
Da li će ove kazne biti uspešno naplaćivane na teritoriji RS u izostanku dobrovoljnog izvršenja ostaje da se vidi, ali politika okrenuta ka evropskim integracijama jeste jak predznak da će domaći sudovi takvim odlukama kroz postupak legalizacije stranih odluka davati snagu domaćih, odnosno izvršnost. Ovim putem će odluke ulaziti u pravni sistem Republike Srbije i biće omogućeno da se sistem prinudnog izvršenja i institucije koje predstavljaju nosioce ovog postupka stave na raspolaganje EU. Na koncu konca, Republika Srbija se potpisom na Sporazum o stabilizaciji i pridruživanju potpisanim sa EU, obavezala da će svoje zakonodavstvo uskladiti sa zakonodavstvom EU.
- Postavljanje DPO-a ne oslobađa privredni subjekt odgovornosti za kršenje GDPR-a.
Svaki privredni subjekt može postaviti DPO (Data Protection Operator). Ovo bi trebalo da pomogne da se zaštita podataka ličnosti u poslovanju podigne na viši nivo, ali ukoliko privredni subjekt prekrši prava podataka ličnosti, privredni subjekt će odgovarati za ta kršenja obavezujućih odredaba GDPR-a i potencijalno biti kažnjen, a ne fizičko lice koje je na poziciji DPO-a u privrednom subjektu. Ovo lice će eventualno odgovarati za materijalnu štetu prouzrokovanu privrednom subjektu u skladu sa odredbama o odgovornosti zaposlenog u skladu sa važećim Zakonom o radu.
Zaključak
Svaki privredni subjekt registrovan u Srbiji, a koji posluje na tržištu EU, odnosno prikuplja podatke građana EU mora to raditi u skladu sa GDPR-om ili izabrati da ignoriše ovo tržište. Moguće je ignorisati građane EU na brojne načine koji su bliži IT stručnjacima (npr. blokiranjem lica koja sajt posećuju sa IP adresa registrovanih u EU), ali danas kada je Srbija okružena državama članicama EU ovo nije najefikasniji način da se suoči sa problematikom zaštite ličnih podataka. Zato predlažemo da ne ignorišete ovo veliko tržište već da radite na pronalasku pravne podrške, pripremi kvalitetnih elektronskih ugovora (Terms and Conditions, Terms of Agreement, Privacy Policy) koje ćete ponuditi svojim klientima, korisnicima, posetiocima sajtova, partnerima i na opštem usklađivanju poslovanja sa GDPR-om.
Napomene:
-Novi Zakon o zaštiti podataka o ličnosti počinje da se primenjuje od 21.08.2019. godine i o njemu i njegovoj usklađenosti sa GDPR-om će tek biti reči.
-Ovaj tekst sadrži predloge i savete date nakon pravne analize teksta GDPR-a, ali ovaj tekst ne predstavlja zamenu za angažovanje DPO-a u vašem privrednom subjektu, te pravnu konsultaciju ili pravnu pomoć, a što bi trebalo biti individualizovano za svaki poseban poslovni projekat, firmu, sajt i dr.
Zahvalnost dugujem dvojici saradnika:
-Ivan Andrejević, diplomirani pravnik, za pruženu stručnu pomoć u istraživanju i tumačenju literature i razmeni mišljenja.
-Ivan Belić, stručnjak u oblasti prava zaštite podataka ličnosti, za pružene savete i obezbeđenu literaturu. Autori teksta: Denis Tul
- 1
- 2