Lice za zaštitu podataka o ličnosti (u daljem tekstu: LICE) je lice koje je ovlašććeno i imenovano od strane kompanije, radi rukovođenja podacima o ličnosti.
Zakon o zaštiti podataka o ličnosti, oslanjajući se na GDPR, članom 56 previđa MOGUĆNOST da kompanije odredi lice za zaštitu podataka o ličnosti,
Međutim, OBAVEZA da odredite lice za zaštitu podataka o ličnosti postoji u slučaju da:
- ste organ vlasti
- je osnovna aktivnost vaše kompanije obrada podataka o ličnosti
- Vaša osnovna aktivnost predstavlja obradu posebno osetljivih podataka o ličnosti, koji su propisani zakonom (npr. podaci o zdravstvenom stanju, političkom opredeljenju, podacic o kaznenim evidencijama itd), uz dodatni uslov, da se obrada navedena u ovoj tački vrši u velikom obimu. Šta predstavlja VELIKI OBIM, zakon nije detaljno regulisao, ali se može zaključiti da bi npr. kompanije koje imaju preko 250 zaposlenih trebale odrediti LICE.
KOGA MOŽETE IMENOVATI ZA LICE ZA ZAŠTITU PODATAKA??
Možete imenovati bilo lice koje je zaposleno kod vas, bilo lice van vaše kompanije na osnovu posebnog Ugovora. Nakon što odredite to lice, neophodno je da objavite kontakt podatke LICA, najbolje već u Vašoj politici privatnosti, i dostavite ih Povereniku koji vodi evidenciju Lica.
Neodređivanje LICA za zaštitu podataka od strane onih pravnih lica koji su na to obavezani zakonom, predstavlja PREKRŠAJ za koji se može izreći kazna od 5.000,00 dinara do 2.000,000,00 dinara.
Preporuka je da imenujete LICE za zaštitu podataka o ličnosti, iako vam to nije OBAVEZA, naročito ukoliko LICE poseduje stručna znanja i iskustva u oblasti zaštite podataka, pa vam u tom slučaju lice može biti zaista od velike pomoći. Da li će to biti lice zaposleno u Vašoj kompaniji, ili eksterni saradnik-advokat ili neko treći, zavisi od potreba i mogućnosti vaše kompanije, ai je svakako preporučljivo da to bude lice iz pravne struke.
Osim toga, i ukoliko imate lice za zaštitu podataka koje je vaš zaposlen, a možda nije još uvek dovoljno stručan ili iskusan, ili mu jednsavno redovne radne obaveze ne dozvoljavaju da se stručnije posei pitanju zaštite podataka, moguće je da imate i druge eksterne savetnike, stručnjake za zaštitu podataka o ličnosti.
Napominjemo da ne postoje zvanični sertifikovani stručnjaci, odnosno lica za zaštitu podataka o ličnosti, jer ne postoji nikakav zvaničan sertifikat organa EU ili sertifikat prema Zakonu o zaštiti podataka koji sertifikuje stručnjake za ovu oblast. Postoji samo zakonska mogućnost da se ustanovi sertifikacija Vaše komapnije (Rukovaoca podacima) ili obrađivača podataka. Ukoliko vam neko kaže da je sertifikovan za GDPR ili za DPO, to samo može značiti da je lice završilo nekakvu plaćenu obuku od strane neke privatne organizacije, ali ne mora nužno zančiti i da to lice poseduje potrebna stručna znanja.
S toga, budite oprezni prilikom izbora Lica i imajte u vidu njegova praktična iskustva i znanja, listu klijenata za koje je pružao usluge u vezi sa zakonom o zaštiti podataka, i naravno preporuka od drugih lica je nabolja ,,reklama” i potvrda stručnosti.
ZAŠTO VAM JE POTREBNO LICE ZA ZAŠTITU PODATAKA O LIČNOSTI- DPO??
Kompanije odnosno rukovaoci koji krše domaći zakon i načine PREKRŠAJ mogu biti kažnjeni u prekršajnom postupku od 5.000,00 dinara do 2.000,000,00 dinara, odnosno do 4.000.000,00 dinara ukoliko je učinjeno više prekršaja, plus troškovi prekršajnog postupka. Pored kazni izrečenim u prekršajnom postupku i poverenik može kaznitti kompaniju putem prekršajnog naloga u iznosu od 100.000,00 dinara ukoliko npr. ne vodi propisane evidencije o obradi podataka ličnosti.
Ukoliko vaša kompanija ima npr. sajt i na engleskom te može prikupljati podatke od lica iz EU, potencijalne kazne za povredu prava ličnosti su višemilionske. Da bi se sve navedeno sprečilo, može vam pomoći stručno lice, sa određenim znanjem i iskustvom u ovoj oblasti.
Lice koje poseduje stručna znanja, prevashodno nadzire usklađenost vašeg poslovanja sa Zakonom o zaštiti podataka o ličnosti i dužno je starati se o tome da vaša kompanije obrađuje podatke u skladu sa Zakonom. Uloga Lica je informativnog i savetodavnog karaktera i ne postoji mogućnost da vas obaveže na neko činjenje, već da vam ukaže na eventualne propuste, mere poboljašnja poslovanja u usklađivanja sa zakonom.
Lice upravlja vašim internim i eksternim aktima o politici privatnosti, što znači i mogućnost izrade interne i eksterne politike privatnosti, te kontinuiarno ažuriranje istih, jer je materija podaka o ličnosti ŽIVA i konstatno se menja i unarpređuje u skladu sa stalnim tehnološkim inovacijama i novim načinima prikupljanja podataka o ličnosti.
Lice je KONTAKT osoba za odnose sa Poverenikom savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja u vezi sa izvršenim procena uticaja na zaštitu podataka o ličnosti nameravanih radnji obrade.
Lice pruža stručne savete o vođenju evidencije o aktivnostima obrade, koja je za kompanije sa preko 250 zaposlenih OBAVEZNA, a za sve druge je veoma preporučljiva, budući da može poslužiti kao dokaz u slučaju spora, da vaša kompanije obrađuje podatke u skladu sa Zakonom.
Lice može kontinuirano sarađivati i sa licima zaduženim za implementaciju tehničko-bezbednosnih mera radi zaštite podataka, kao i radi implementacije samoih zakonskih rešenja na samim web sajtovima isl.
KOJA JE ULOGA VAŠE KOMPANIJE?
Kompanija je dužna da osigura da lice za zaštitu podataka o ličnosti može da kvalitetetno obavlja svoj posao, pre svega je dužna da obezbedi adekvatna softveska rešenja koja omogućuju efikasno praćenje načina obrade podataka i razumevanje tih procesa. Danas postoje mnoge kompanije koje nude efikasna softverska rešenja za navedeno, po još uvek pristupačnim cenama, te se o tome mora ozbiljno misliti.
Preporuka je da lice za zaštitu podataka o ličnosti bude što ranije uključeno u sve procese vaše kompanije koji se odnose na zaštitu podataka. Dakle, ovo lice bi trebalo da: učestvuje na sastancima višeg i srednjeg menadžmenta, bude prisutno prilikom donošenja odluka koje se odnose na zaštitu podataka, bude odmah konsultovano u slučaju povrede podataka o ličnosti itd.
PODACI SU NAFTA 21. VEKA
Sve češće se može čuti da su informacije, odnosno podaci nafta 21. veka, i zaista se to može sa sigurnošću tvrditi, imajući u vidu četvrtu digitalnu revoluciju, tendencije u svetu biznisa i sve češću trgovinu podacima na globalnom nivou. Prema tome, budite spremni, investirajte u zaštititu vašu naftu 21. veka, uskladite poslovanje sa novim regulativama i mirno dočekajte buduće inspekcijske kontrole, na udaru kojih će najpre biti one kompanije koje ne ispunjavaju minimum zakonskih uslova.
Napomena: Ovaj tekst predstavlja analizu Zakona o zaštiti podataka o ličnosti i problematike DPO-a, od strane autora, i ne predstavlja zamenu za angažovanje pravnog konsultanta ili advokata.
Autor: Ozren Slović
Internet pravo je oblast prava koja se najbrže razvija poslednjih decenija, a obzirom da je pravo kruto i sporo odgovara na promene, ova oblast prava smatra se najneuređenijom oblasti prava u XXI veku. Nedostatak pravila na internetu, nedostatak bezbednosti na internetu su pitanja koja će obeležiti početak ovog veka. Tri oblasti prava su se odmah izdvojile kao oblasti visokog značaja na internetu: autorska i srodna prava, prava podataka ličnosti i pravo e-trgovine. U poslednje vreme vidimo tendenciju EU da se prva na ozbiljan način suoči sa promenama koje nam donose moderne tehnologije. GDPR je stupio na snagu 2018. godine, 2019. godine se očekuje i direktiva u oblasti e-trgovine, a aktualna tema danas je Direktiva EU o autorskim pravima (Directive on Copyright in the Digital Single Market). Danas je goruće pitanje u naučnim krugovima šta nam donosi nova direktiva o autorskim pravima. Naime, Srbija je u skladu sa SSP-om u obavezi da usaglasi svoje zakonodavstvo sa zakonodavstvom EU. Tako da ova direktiva koja će se neposredno primenjuvati u članicama EU, moraće da bude implementirana, tj. neposredno pirmenjena u Srbiji.
U pomenutoj, tesnom većinom donetoj direktivi o autorskim pravima, sporan je član 13, ali i član 11. Analiziraćemo navedene članove i pokušati da damo mišljenje o uticaju istih na internet platforme, autore i nosioce autorskih prava i korisnike.
Zaokret u oblasti internet prava i autorskih prava je promena jednog od osnovnih načela gde se odgovornost sa lica koja postavljaju sadržaj online prebacuje na internet platforme koje omogućavaju upload tog sadržaja, a koji sadržaj često predstavlja autorsko delo. Zapravo, u početku ovo i jeste bila ideja, ali su vremenom putem Terms&Conditions i TermsAgreement velike kompanije uspele da svoju odgovornost ublaže ili u potpunosti isključe. Tako danas npr. Facebook i Twitter ne odgovaraju za povredu sve dok se ne desi da je povreda prava bila prijavljena, a da oni nisu postupili po prijavi, odnosno uklonili sporni sadržaj na osnovu prijave. Dakle, uvođenjem pravila Notice&TakeDown velike kompanije uvele su obavezu autorima i nosiocima autorskih prava da samostalno prijave povredu autorskog prava, gde bi se tek nakon lične prijave aktivirala obaveza kompanije da ukloni sporni sadržaj. Tako je teret iniciranja postupka prebačen na autora ili nosioca autorskog prava, a kompanijama olakšan postupak.[1] Nova direktiva o autorskim pravima EU obavezu da se preispita sav sadržaj i ukloni sporan vraća se na teret kompanija, ali ne samo to, već će za svaki sadržaj koji se uploaduje morati da postoji ugovor ili drugi pisani trag koji će svedočiti o tome da je autor ili nosilac autorskog prava dao dozvolu da se određeni autorski sadržaj prenese putem internet platforme, društvene mreže i dr.
Član 13 stav 1: „Pružaoci usluga informacionog društva koji pohranjuju i pružaju javni pristup velikim količinama radova ili drugih sadržaja koje su njihovi korisnici postavili (upload), trebali bi, u saradnji s nosiocima prava, preduzeti mere kako bi osigurale funkcioniranje ugovora zaključenih s nosiocima prava za korištenje njihovih dela ili drugih predmeta, ili sprečavanje dostupnosti njihovih dela ili drugih predmeta koje su nosioci prava identifikovali kroz saradnju s pružaocima usluga. Te mere, kao što je upotreba korisnih tehnologija za prepoznavanje sadržaja, moraju biti prikladne i srazmerne. Pružaoci usluga dužni su da nosiocima prava pruže odgovarajuće informacije o funkcionisanju i primeni mera, kao i, kada je to potrebno, odgovarajuće izveštaje o prepoznavanju i korišćenju dela i drugih predmeta.“ (Slobodan prevod)
Analiza člana 13:
- Analizirajući ovaj član zaključujemo to da će velike kompanije morati da potpisuju ugovore sa autorima i nisiocima autorskih prava, te da će morati da primene konkretne mere u cilju pružanja zaštite u vezi sa njihovim autorskim delima.
- Dakle, upload-ovanje sadržaja autorskog dela će biti pravno valjano samo uz dozvolu nosioca autorskih prava. Pored pribavljanja dozvole moraće da postoji i pisani trag, dokaz kako bi bili sigurni, što će biti najverovatnije u vidu ugovora koji se potpisuje po pristupu i ličiti na koncept TermsAgreement i Terms&Conditions. Izgled ovih ugovora će nas posebno interesovati, jer od njih će zavisiti u mnogome šta će se detaljno dešavati sa autorskim delima, da li će se autori i nosioci prava ograničavati i u kojem obimu kroz ove ugovore, a za njihova dela ugovarati slobodan prenos ili čak i editovanje. Sve u svemu standard na koji autori i nosioci prava budu pristali većinom postaće opšti, globalni standard, a upitno je mogu li se izboriti da ovi ugovori budu značajno povoljniji za njih od uslova koje trenutno imaju.
- Obzirom da se putem ovih internet platformi prenosi velik broj autorskih dela, čini se da neće biti ličnog uređivanja ugovora, već da će se potpisivati ugovori po pristupu, što znači da će autori i nosioci prava koji žele da mreže koriste kako bi javno oglasili svoja dela, morati da potpišu ugovore koji im se predoče, bez mogućnosti dogovaranja posebnih personalizovanih uslova ili će moći da se odluče za jedan od vidova ugovora.
- Iz ovakvih obaveza proističe bolja pozicija autora i nosioca autorskih prava u vezi sa njihovim autorskim delima, ali i mnogo teži protok autorskih dela koji će pogoditi korisnike istih, te će se sukobiti sa konceptom ljudskog prava na slobodu izražavanja. Naravno i kompanije će se susresti sa mnogim poteškoćama, i morati da ulože određena sredstva u stvaranje kreativnih rešenja. Umesto pasivnog držanja internet platformi, one će morati da budu proaktivne i unapred odrediti da li određeni materijal krši ili ne autorska prava. To je moguće pomoću određenih upload filtera.
- Odgovornost građana se ne menja ovom direktivom.
Postoji izuzetak koji se odnosi i olakšava poziciju „manjim“ kompanijama, a taj izuzetak se javlja u vidu činjenice da se ova direktiva neće se primenjivati na startap do 5 miliona evra prometa na godišnjem nivou.
Sa strane internet platformi ova direktiva stvara probleme, ali probleme koji bi kreativnim. Ovom direktivom najviše su pogođene velike kompanije kao što su YouTube, Google, Facebook, Twitter, Reddit.
Sa strane autora i nosilaca autorskih prava ova direktiva ima potencijal da im obezbedi veću zaštitu, ali u kojem će se zapravo obimu primenjivati i da li će autori i nosioci autorskih prava izgubiti marketinške pogodnosti koje nudi slobodan upload i share na društvenim mrežama ostaje upitno. Postavlja se logično pitanje: „Da li direktiva štiti prava autora ili prava nosioca prava, odnosno velikih kompanija na koje su preneta prava na ekonomsko iskorišćavanje autorskih dela“? Naime, velike kompanije imaju veće interese da se autorska dela ne prenose slobodno i svakako da imaju veći protok novca i više sredstava da nadomeste sužavanje marketinškog prostora. Upload bi trebao ostati slobodan uz dozvolu nosioca atorskih prava i dokaz o tome da je lice koje vrši upload stvarni autor sadržaja.
Korisnici su najviše pogođeni ovim promenama. Sa strane korisnika očito je da će sloboda izražavanja biti ograničena autorskim pravima koja dobijaju prioritet. To znači da bi share politika društvenih mreža mogla biti promenjena, sem u slučaju da se ostavi mogućnost da se autori odreknu zaštite i stave svoje delo u slobodan protok svojom voljom, a možda i kako bi omogućili svojim delima veći uticaj i marketinški prostor. Obzirom na potrebu za izvorima zabavnog i kulturnog sadržaja, biti primorani da isti plaćaju. Isti uticaj koji ima na share ova direktiva ima i na edit funkcije.
Pitanje kako se postaviti prema korisnicima koji postavljaju sadržaj online, Torrent i peer-to-peer sistem je teško kontrolisati i još teže utvrditi odgovornost za povrede autorskih prava. Na ovakve internet platforme koje omogućavaju peer-to-peer prenošenje podataka nije moguće primeniti ovu direktivu. Naime, ovakvi sajtovi koji su delili linkove za download autorskih dela nisu postupali ni po ranijim odredbama iz oblasti autorskih prava, ali nije ni pronađen efikasan način da se njihovo delovanje suzbije. Moguće je da će ovakve platforme dobiti veću ulogu u distribuciji sadržaja, obzirom da će više sadržaja biti zabranjeno prenositi putem društvenih mreža, YouTube-a i dr.
Teritorialno važenje direktive – Za razliku od GDPR-a, kod direktive o autorskim pravima nije primenjen eksteritorialni princip primene po osnovu nacionalnosti, odnosno pripadnosti autora ili nosioca autorskog prava državi EU. Direktiva EU primenjuje se, dakle, samo na teritoriji država EU, tj. na kompanije koje imaju sedište na teritoriji EU. Da li će odredbe ove direktive biti podložne izigravanju menjanjem sedišta pravnog lica, izmeštanjem sedišta kompanija koje pogađa ova konvencija. To će nam pokazati vreme, a ukoliko se ne iznađe jednostavnije rešenje ovo bi se moglo dogoditi.
Autorska prava dobila su ovom direktivom jaču poziciju od slobode izražavanja, ali ostavljeno je nešto prostora i slobodi izražavanja kroz neka ograničenja autorskih prava. Ograničenja autorskih prava odnose se na karikaturu, parodiju, gif i meme. Ovo znači da će ovi vidovi editovanaj autorskog dela i izražavanja biti dozvoljeni i nakon početka primene ove direktive.
Za implementaciju ove direktive dat je period od 2 godine. Obzirom da je izglasana 21.03.2019. godine, datum početka primene trebao bi biti 22.03.2021. godine.
Takođe, online mediji će doživeti promenu kroz sferu autorskih prava i ta promena je utkana u član 11 pomenute direktive. Ovaj član govori o autorskim pravima na publikacijama i zabranjuje slobodnu podelu i kopiranje medijskih publikacija. Države članice garantuju da će izdavačima publikacija za medije prava ostati netaknuta i da neće ni na koji način uticati na autorska prava i prava nosilaca autorskih prava u vezi sa radovima i drugim predmetima sadržanim u medijima. Takva prava ne mogu se pozvati protiv autora i nosilaca autorskih prava, a posebno ih ne mogu lišiti prava da koriste svoja dela i druge predmete nezavisno od publikacije štampe u koju su uključeni. Ovim članom se novinarima i istraživačima ostavlja mogućnost da ukoliko neki medijske kuće ili internet platforme koriste, kopiraju njihove linkove, fotografije i delove tekstova moraju platiti određenu naknadu.
Direktiva o autorskim pravima je rezultat borbe velikih izdavačkih, produkcijskih kuća sa velikim internet platformama, a prvi su profitirali istom. Ostaje da vreme pokaže hoće li ova direktiva izazvati veće promene u sajber svetu ili će velike internet kompanije naći kreativne načine da se prilagode novonastaloj situaciji. Jedno je sigurno, promene na internetu nas očekuju, a internet će postati bezbednije digitalno okruženje, ali teško da se može očekivati da internet postane dosadan, jer previše je kreativnih načina da se izbori sa novim ograničenjima.
Autor teksta Denis Tul.
[1] Za vise informacija pogledati rad “Zaštita autorskih prava u Republici Srbiji”, Denis Tul I Đina Vesić, Beograd, 2019. godina.
GDPR (General Data Protection Regulative) je donet u formi uredbe (regulative), što znači da je ovo opšti pravni akt koji donose organi EU i koji se primenjuje u svim državama EU od dana stupanja na snagu bez potrebe za posebnom ratifikacijom. Osnovni cilj ovog pravnog akta je zaštita ličnih podataka. Lični podatak je svaki podatak koji upućuje na tačno određeno fizičko lice: lično ime, JMBG, broj telefona, fotografija na kojoj se može prepoznati određeno lice, email adresa, IP adresa, broj tablice i dr. Ako prikupljate podatke ili ih obrađujete, ovo su 10 stvari koje morate znati o novog GDPR-u (iz ugla pravnika):
- GDPR će se primenjivati na privredne subjekte koje posluju na teritoriji RS.
Ovaj akt je netipičan jer će se primenjivati i izvan granica EU koja je donela ovaj akt, a u skladu sa članom 3 GDPR-a. U članu 3 stav 2 GDPR-a propisano je da će se ovaj akt koristiti na sve kompanije izvan EU pod uslovima da oni svoje robu i usluge prezentuju potencijalnim klientima u EU i da se iz njihovog ponašanja može zaključiti da robu i usluge nude u EU. Naime, ovim aktom se štite lični podaci građana EU bez obzira gde se prostorno njihovi podaci prikupljaju ili gde se podacima upravlja. Tako u Republici Srbiji privredni subjekti (preduzetnici, privredna društva, firme, kompanije itd.) koji u poslovanju prikupljaju, obrađuju i upravljaju podacima državljana EU moraju to činiti u skladu sa GDPR-om, a pod pretnjom kazne. Neke od situacija kada će se GDPR primenjivati na kompanije iz Srbije su sledeće: kada koriste internet domene država EU, kada koriste načine reklamiranja svojih proizvoda i usluga na tržištu EU (Google Adwords npr.) i kada koriste jezik ili valutu EU, a tako da se može zaključiti da imaju nameru da usluge i proizvode plasiraju na tržište EU i kada imaju mogućnost dostavljanja na teritoriju EU.
- GDPR se primenjuje i na podatke koji su prikupljeni pre njegovog donošenja.
GDPR je na snagu stupio 25.05.2018. godine, ali ovaj pravni akt će se primenjivati i na podatke koji su prikupljeni pre ovog datuma. Svi privredni subjekti koji su prikupljali podatke pre ovog datuma na način koji nije u skladu sa GDPR-om, moraju da ponovo prikupe date podatke ili da jednostavno pošalju upit svojim klientima, partnerima i drugim subjektima čije su podatke skladištili kako bi dobili potvrdu ovih lica da se slažu da privredni subjekt zadrži već prikupljene podatke i nastavi da ih koristi u skladu sa GDPR-om, Privacy Policy i drugim dokumentima.
- Email adresa jeste lični podatak
Obzirom da email upućuje na određenu ličnost, fizičko lice, odnosno da na osnovu emaila možemo detektovati određenu ličnost, email jeste lični podatak. Posledica ove činjenice jeste ta da i samo prikupljanje emailova mora biti sprovedeno u skladu sa GDPR-om. Poznat je vid marketinga pod nazivom newsletter marketing, gde privredno društvo prikuplja emailove, a u cilju da na iste prosleđuje tipske poruke kojima nudi svoje proizvode i usluge. Obzirom da se ovo prikupljanje emailova mora vršiti u skladu sa GDPR-om i ovaj vid marketinga pretrpeće određene promene. Naime, privredni subjekti moraju obavestiti subjekte čije podatke prikupljaju o tome da njihove podatke skladište i o razlozima zbog kojih to rade, te tražiti dozvolu za prikupljanje podataka. Dozvola mora biti data aktivnom radnjom subjekta i bezuslovno.
- Bitno je isticati koji podaci se prikupljaju i kako se koriste (poseban osvrt na sajt).
Licu čiji se podaci obrađuju u svakom momentu mora biti poznato koji se njegovi podaci prikupljaju i u kojem cilju, tj. kako će biti korišćeni. Kod onih pravnih lica koja rade putem sajtova i prikupljaju podatke putem istih postoje posebne poteškoće. U zavisnosti od svrhe sajta, sajt može prikupljati podatke posetioca sajta pri samoj poseti li pri obavljanju određenih radnji na sajtu. Prikupljanje podataka na sajtu obično se izvršava pomoću kontakt forme, a svi prikupljeni podaci čuvaju se u bazama podataka sajta. Ceo postupak prikupljanja i upravljanja podacima mora biti u skladu sa GDPR-om. Dakle, u trenutku prikupljanja podataka, licima čiji se podaci prikupljaju (subjekti) mora biti predočeno koji se podaci prikupljaju, na koji način, kako će se postupati sa tim podacima, odnosno za šta će biti korišćeni. Opšte prihvaćen način da se subjekti informišu o ovome jeste kroz pisani ugovor koji potpisuju pri stupanju na sajt, registraciji. Ovi ugovori zaključuju se u elektronskom obliku i mogu imati više različitih formi, naziva, pa će se tako najčešće pojavljivati Privacy Policy, ali nije isključeno da odredbe vezane za Privacy Policy pronađete inkorpirirane u ugovore pod nazivom Terms&Conditions, Terms of Agreement. Ono što je bitno je da aktivnom radnjom subjekt mora označiti da prihvata ugovorne uslove takvi kakvi su ponuđeni od strane urednika sajta. U tom momentu smatra se da je lice potpisalo ugovor i da je informisano o sadržaju istog. Ugovor mora biti na raspolaganju stranci uvek da ga pročita. Na sajtu se svako prikupljanje podataka mora vršiti u skladu sa onim što je naznačeno u ugovoru. Predlog je da se ne prikupljaju nepotrebni i suvišni podaci, te da kontakt forma bude kratka, jasna i pripremljena tako da prikuplja samo neophodne podatke za koje je u ugovoru navedeno da se prikupljaju. Bitno je napomenuti da mnogi sajtovi koriste alate (tools, npr. CRM) i kolačiće (cookies). U ugovoru mora biti navedeno koje alate i kolačiće koristi sajt i koje podatke oni prikupljaju i u koje svrhe. Vlasnik sajta bi trebalo da pazi da koristi samo one alate i kolačiće koji su u skladu sa GDPR-om. Obavezno je da posetilac sajta aktivnom radnjom prihvati zaključenje ugovora sa vlasnikom sajta.
- Sa transkriptima četova se mora postupati kao sa podacima o ličnosti
Način na koji se čuvaju sadržaji četova, te kako se istima upravlja moraju biti u skladu sa GDPR-om. Vlasnik sajta na kojem se koriste četovi drugih provajdera moraju proveriti da li se ti četovi vode u skladu GDPR-om, jer su oni odgovorni za povrede odredaba GDPR-a korisnicima. Upravljanje transkriptima ovakvih četova dakle mora biti unapred poznato korisniku koji pristupa sajtu.
- Baze podataka moraju biti osigurane od stranog pristupanja
Pravila vezana za prikupljanje podataka pogađaju sve vrste bazi podataka koje sadrže lične podatke subjekata. Vlasnik baze podataka je dužan da za svaki ilegalan pristup podacima o istome obavesti stranke, te učini sve da zaštiti podatke koje je prikupio o korisniku, ili obriše podatke ukoliko to stranka zahteva. Neka od rešenja kojima se može garantovati sigurnost podataka jesu pseudonimizacija i enkripcija. Pseudonimizacija se vrši tako što se stvara više baza podataka u kojima se čuvaju različiti podaci korisnika, a koji se podaci povezuju pomoću ključeva.
- Obim prava data subjekata je proširen.
Generalno GDPR-om se propisana pravila koja se primenjuju na sve vidove prikupljanja podataka, a koji se obzirom na tehnologiju prikupljanja moraju prilagoditi svakom načinu prikupljanja i obrade istih. GDPR-om su tako proklamovana određena prava subjekata koja im moraju biti zagarantovana u svakom i najmanjem sistemu koji se bavi prikupljanjem i upravljanjem podacima. Neka od prava zagarantovanih subjektima su sledeća: pravo subjekta da bude obavešten o razlozima prikupljanja podataka i načinima upravljanja istih, pravo da bude obavešten u svakom momentu o tome koje podatke poseduje onaj ko ih prikuplja, pravo da podaci budu tačni, ispravljeni, dopunjeni, pravo da bude obavešten o svakoj kompromitaciji podataka u sistemu, pravo na zaborav (right to be forgoten). +Pravo vlasnika privrednog subjekta je da proda taj privredni subjekt, ali prodajom subjekta najčešće se prodaje i imovina u šta spadaju i baze podataka. Ostaje upitno da li će sa prodajom privrednog subjekta biti moguće na novog vlasnika preneti i baze podataka koje ovaj subjekt poseduje. Ovaj problem rešava se kvalitetnim sačinjavanjem ugovora, Terms of Agreement, pri prikupljanju podataka, jer bi najsigurnije bilo kada bi subjektima bilo poznato da privredni subjekt može biti prodat sa svojom imovinom koju čine i baze podataka. Naravno podaci se moraju nastaviti koristiti u skladu sa ugovorenim, odnosno predstavljenim u trenutku potpisivanja ugovora. Ovo je posebna tematika koja se javlja u okviru diskursa o pravu subjekta da bude obavešten o mogućim načinima upravljanja njegovim podacima.
- Za kršenje propisa u poslovanju privrednih subjekata utvrđene su teške kazne.
GDPR je propisao dve grupe kazni koje se izriču za određena kršenja ovog akta:
1. 2% godišnjeg globalnog obrta novca, ili maksimalno 10 miliona evra, za sledeća kršenja GDPR-a: kršenje podataka, nekorišćenje usluga DPO-a (Data Protection Operator), nesprovođenje DPIA (Data Protection Impact Assessment), nečuvanje odgovarajućih zapisa.
2. 4% godišnjeg globalnog obrta novca, ili maksimalno 20 miliona evra, za sledeća kršenja GDPR-a: nedobijanje pristanka, neuvažavanje prava korisnika propisanih GDPR-om, izmeštanje podataka izvan EU opisano u poglavlju 5 GDPR-a.
U praksi smo bili svedoci nekih već izrečenih kazni. Npr. Google je kažnjen novčanom kaznom u iznosu od 50 miliona evra.
- Kazne će moći da budu izvršene u državama izvan EU, kao što je Republika Srbija.
Da li će ove kazne biti uspešno naplaćivane na teritoriji RS u izostanku dobrovoljnog izvršenja ostaje da se vidi, ali politika okrenuta ka evropskim integracijama jeste jak predznak da će domaći sudovi takvim odlukama kroz postupak legalizacije stranih odluka davati snagu domaćih, odnosno izvršnost. Ovim putem će odluke ulaziti u pravni sistem Republike Srbije i biće omogućeno da se sistem prinudnog izvršenja i institucije koje predstavljaju nosioce ovog postupka stave na raspolaganje EU. Na koncu konca, Republika Srbija se potpisom na Sporazum o stabilizaciji i pridruživanju potpisanim sa EU, obavezala da će svoje zakonodavstvo uskladiti sa zakonodavstvom EU.
- Postavljanje DPO-a ne oslobađa privredni subjekt odgovornosti za kršenje GDPR-a.
Svaki privredni subjekt može postaviti DPO (Data Protection Operator). Ovo bi trebalo da pomogne da se zaštita podataka ličnosti u poslovanju podigne na viši nivo, ali ukoliko privredni subjekt prekrši prava podataka ličnosti, privredni subjekt će odgovarati za ta kršenja obavezujućih odredaba GDPR-a i potencijalno biti kažnjen, a ne fizičko lice koje je na poziciji DPO-a u privrednom subjektu. Ovo lice će eventualno odgovarati za materijalnu štetu prouzrokovanu privrednom subjektu u skladu sa odredbama o odgovornosti zaposlenog u skladu sa važećim Zakonom o radu.
Zaključak
Svaki privredni subjekt registrovan u Srbiji, a koji posluje na tržištu EU, odnosno prikuplja podatke građana EU mora to raditi u skladu sa GDPR-om ili izabrati da ignoriše ovo tržište. Moguće je ignorisati građane EU na brojne načine koji su bliži IT stručnjacima (npr. blokiranjem lica koja sajt posećuju sa IP adresa registrovanih u EU), ali danas kada je Srbija okružena državama članicama EU ovo nije najefikasniji način da se suoči sa problematikom zaštite ličnih podataka. Zato predlažemo da ne ignorišete ovo veliko tržište već da radite na pronalasku pravne podrške, pripremi kvalitetnih elektronskih ugovora (Terms and Conditions, Terms of Agreement, Privacy Policy) koje ćete ponuditi svojim klientima, korisnicima, posetiocima sajtova, partnerima i na opštem usklađivanju poslovanja sa GDPR-om.
Napomene:
-Novi Zakon o zaštiti podataka o ličnosti počinje da se primenjuje od 21.08.2019. godine i o njemu i njegovoj usklađenosti sa GDPR-om će tek biti reči.
-Ovaj tekst sadrži predloge i savete date nakon pravne analize teksta GDPR-a, ali ovaj tekst ne predstavlja zamenu za angažovanje DPO-a u vašem privrednom subjektu, te pravnu konsultaciju ili pravnu pomoć, a što bi trebalo biti individualizovano za svaki poseban poslovni projekat, firmu, sajt i dr.
Zahvalnost dugujem dvojici saradnika:
-Ivan Andrejević, diplomirani pravnik, za pruženu stručnu pomoć u istraživanju i tumačenju literature i razmeni mišljenja.
-Ivan Belić, stručnjak u oblasti prava zaštite podataka ličnosti, za pružene savete i obezbeđenu literaturu. Autori teksta: Denis Tul