Da li je moguće zajedničko usklađivanje sa GDPR‑om i AI Act‑om – i da li se isplati?
Evropski propisi o podacima i veštačkoj inteligenciji postaju sve kompleksniji. Posle GDPR‑a, koji je već godinama „zlatni standard“ za zaštitu podataka, na scenu stupa EU AI Act, prvi sveobuhvatni zakon o veštačkoj inteligenciji na svetu.
Logično pitanje svakog biznisa je: da li možemo da radimo zajedničko (sjedinjeno) usklađivanje sa GDPR‑om i AI Act‑om, ili to moraju biti dva potpuno odvojena kompanijska projekta?
Kratak odgovor je: zajedničko usklađivanje je moguće i često vrlo pametno, ali ima i svoje zamke. U nastavku analiziramo:
koje su sličnosti i razlike između GDPR‑a i AI Act‑a,
prednosti integrisanog pristupa usklađivanju,
mane i rizike takvog pristupa,
na šta bi kompanije praktično trebalo da obrate pažnju.
GDPR i AI Act: sličnosti koje „vuku“ ka zajedničkom usklađivanju
Iako su pravno i konceptualno različiti, GDPR i AI Act dele nekoliko ključnih tačaka koje olakšavaju integrisani pristup:
1. Fokus na zaštiti osnovnih prava i odgovornoj upotrebi tehnologije
Oba propisa imaju zajednički cilj:
sprečiti da tehnologija ugrozi osnovna prava ljudi, bilo kroz zloupotrebu podataka, diskriminaciju, netransparentne algoritme ili rizične AI sisteme.
GDPR štiti lične podatke i privatnost,
AI Act štiti širi spektar osnovnih prava u kontekstu AI sistema (nediskriminacija, bezbednost, ljudsko dostojanstvo…).
2. Zajednički principi: transparentnost, odgovornost, sigurnost
I GDPR i AI Act:
podstiču transparentnost (jasne informacije korisnicima, objašnjivost odluka tamo gde je moguće),
insistiraju na odgovornosti (accountability) – organizacija mora ne samo da bude usklađena, već i da to može da dokaže,
traže mere bezbednosti i kontrolu rizika (tehničke i organizacione mere, procene rizika, praćenje sistema u praksi).
Zbog toga već postojeće GDPR programe usklađivanja (DPIA, evidencije obrade, politike privatnosti, procedure za prava lica) možemo delimično iskoristiti i kao osnovu za AI governance.
GDPR i AI Act: ključne razlike koje moramo imati na umu
Da ne bude zabune – AI Act nije „još jedan GDPR“.
1. Predmet regulacije
GDPR se primenjuje samo kad se obrađuju lični podaci.
AI Act se primenjuje na AI sisteme kao tehnologiju, čak i kad ne obrađuju lične podatke (npr. AI za optimizaciju industrijske opreme).
To znači da ćete imati AI sisteme koji padaju pod AI Act, ali ne nužno i pod GDPR, i obrnuto – neke obrade podataka bez AI biće ipak samo GDPR tema.
2. Tip zahteva: „principi“ naspram „tehničkih specifikacija“
GDPR uvodi šire principe (zakonitost, pravičnost, minimizacija podataka, ograničenje svrhe, integritet i poverljivost).
AI Act je mnogo granularniji:
traži konkretne tehničke i organizacione zahteve za high‑risk AI sisteme (kvalitet podataka, ljudski nadzor, robusnost, testiranje, logovanje, dokumentaciju, CE označavanje i dr.).
Ako pravite AI model visokog rizika, AI Act zahteva mnogo detaljniji „tehnički dosije“ od onoga što tipičan GDPR program obično podrazumeva.
3. Pristup zasnovan na riziku
Oba propisa koriste rizik‑bazirani pristup, ali na različit način:
GDPR procenjuje rizik za prava i slobode lica na koje se podaci odnose,
AI Act uvodi kategorizaciju AI sistema po riziku:
neprihvatljiv rizik (zabranjeni sistemi),
high‑risk AI (najjače obaveze),
ograničeni rizik (npr. AI chatbot – transparentnost da je u pitanju AI),
minimalni rizik (većina „običnih“ AI alata).
Ove razlike su važne da ne bismo mešali alate i procedure, ali upravo zato ima smisla praviti jedinstven, ali dobro dizajniran governance okvir.
Da li je moguće sjedinjeno usklađivanje sa GDPR i AI Actom?
Da, moguće je i ima smisla.
Mnoge kompanije se već odlučuju za integrisani program „data & AI compliance“, umesto dva potpuno odvojena projekta.
U praksi to često znači:
jedan centralni inventar sistema i obrada (data & AI inventory),
jedinstveni proces procene rizika koji objedinjuje:
GDPR DPIA,
AI Act procenu rizika / procenu uticaja na osnovna prava,
zajedničke politike i procedure (data governance, AI governance, sigurnost, incident management),
jedinstvenu governance strukturu (odbor za podatke i AI, uloga DPO‑a, uloga AI governance ili risk menadžera).
Ali da bi sve to radilo, program mora da bude dobro isplaniran, ne samo formalno „lepljenje“ dva propisa u jedan dokument.
Prednosti sjedninjenog (integrisanog) usklađivanja sa GDPR‑om i AI Act‑om
1. Manje dupliranja, više efikasnosti
Ako se sve radi odvojeno, rizikujete:
dupliranje procena rizika (poseban DPIA, pa poseban AI risk assessment),
dva seta politika koje su slične, ali nisu usklađene,
konfuziju kod timova, ne znaju kome da se jave i kojim putem da guraju projekte,
neki dokumenti mogu zahtevati poznavanje uređenosti ove oblasti (na primer: EULA).
Integrisani pristup omogućava:
jedan proces mapiranja podataka i AI sistema,
jedan centralni registar obrada i AI use‑case‑ova,
ujednačene procedure: kako se pokreće novi AI projekat, kako se proveravaju rizici, ko daje „zeleno svetlo“.
2. Bolji pregled rizika i upravljanje celinom
Kada posmatrate GDPR i AI Act zajedno, dobijate kompletnu sliku rizika:
rizika po privatnost i zaštitu podataka,
rizika po osnovna prava zbog same prirode AI modela (diskriminacija, netransparentne odluke, manipulacija…).
Integrisani pristup olakšava:
da uočite gde vam se javljaju kombinovani rizici (npr. automatizovano odlučivanje temeljeno na ličnim podacima kroz high‑risk AI sistem),
da dizajnirate jednu strategiju ublažavanja rizika, umesto seta nepovezanih mera.
3. Jasnija odgovornost i governance
Kad postoji jedan krovni okvir, lakše je:
jasno definisati ko je odgovoran za šta (DPO, CISO, AI lead, pravna služba, IT, data science),
izbeći „sive zone“ tipa: „da li je ovo GDPR tema, AI Act tema ili IT bezbednost?“.
S tačke gledišta uprave, lakše je:
pratiti napredak,
zahtevati izveštaje,
pokazati nadzornim organima da postoji ozbiljan sistem upravljanja usklađenošću, a ne skup ad hoc dokumenata.
4. Reputacija, poverenje i konkurentska prednost
Sve više klijenata, partnera i investitora postavlja pitanja o:
zaštiti podataka,
odgovornoj upotrebi veštačke inteligencije,
etici i transparentnosti.
Ako možete da komunicirate da imate jedinstven, dobro uređen program usklađivanja sa GDPR‑om i AI Act‑om, to postaje:
signal poverenja,
praktična konkurentska prednost u odnosu na organizacije koje AI uvode stihijski i bez jasnih pravila.
Mane i rizici integrisanog usklađivanja
Naravno, zajednički program nije magično rešenje. Postoje i ozbiljni izazovi.
1. Rizik „prevelikog spajanja“ – gubi se specifičnost propisa
Ako pokušamo da sve „utrpamo“ u jedan proces i jedan set dokumenata, postoji opasnost da:
zanemarimo specifične zahteve AI Act‑a (npr. detaljna tehnička dokumentacija, obaveze za high‑risk AI sisteme, CE označavanje),
ili da razvodnimo GDPR obaveze, tretirajući ga samo kao jedan „od propisa“.
U praksi je važno:
praviti integrisan okvir, ali zadržati jasne module:
„ovo su zahtevi po GDPR‑u“,
„ovo su specifični zahtevi po AI Act‑u“,
„ovde se preklapaju i možemo ih rešavati zajednički“.
2. Veća složenost za početak
Za organizacije koje tek uvode compliance kulturu, integrisani program može delovati:
previše kompleksno,
kao „ogroman projekat“ koji nikad neće biti završen (a znamo da zadovoljstvo dolazi iz toga što zatvorimo neki projekat i osećamo da je nešto urađeno).
Nekad je praktičnije:
početi od osnovnog GDPR usklađivanja (ako još nije stabilno),
pa postepeno nadograđivati AI governance sloj – ali uz jasno planiranje da se to na kraju spoji u celinu.
3. Opasnost od „check‑the‑box“ pristupa
Ako se sve svede na:
nekoliko checkbox‑ova,
generičke template‑e,
formalno „usklađivanje na papiru“,
rizikujete da:
stvarna praksa u organizaciji ne prati politike,
zaposleni koriste AI alate „ispod radara“,
istinski rizici ostanu neadresirani.
Regulatori su već vrlo jasni: demonstracija usklađenosti ne znači samo postojanje politika, već i to da se one zaista sprovode.
Na šta konkretno obratiti pažnju ako želite zajedničko usklađivanje?
Ako želite da gradite sjedinjeni GDPR + AI Act okvir, razmislite o sledećim koracima:
Napravite zajednički inventar:
obrada ličnih podataka (GDPR),
AI sistema i use‑case‑ova (AI Act).
Uvedite objedinjenu procenu rizika:
DPIA po GDPR‑u,
procena rizika / uticaja na osnovna prava po AI Act‑u,
sa jedinstvenom metodologijom i matricom rizika.
Definišite jasnu governance strukturu:
kako se odobravaju novi AI projekti,
gde se proveravaju pravni i etički aspekti,
kako se uključuju DPO, pravni tim, IT bezbednost, data science.
Standardizujte dokumentaciju:
zajednički policy za podatke i AI,
šabloni za procene rizika, tehničku dokumentaciju, evidencije, logove,
jasne procedure za incidente i kršenje prava.
Obezbedite obuke i „AI & privacy awareness“ (ovo može biti deo šire obuke o zaštiti podataka):
da ljudi razumeju ne samo GDPR, već i osnove AI rizika i obaveza,
da znaju šta smeju, a šta ne smeju, sa podacima i AI alatima.
Zaključak: isplati li se zajedničko usklađivanje sa GDPR‑om i AI Act‑om?
Ako biste morali da sažete priču u jednu rečenicu, ona bi mogla da glasi:
Da, sjedinjeno usklađivanje sa GDPR‑om i AI Act‑om je moguće i često veoma racionalno – pogotovo ako govorimo o zajedničkoj proceni rizika jer ona predstavlja integralno rešenje koje ujedno obrađuje podatke i koristi AI u obradi istih. Naravno, ovo može biti uspešno pod uslovom da je dobro dizajnirano i da ne briše razlike između ta dva propisa i ako se koristi samo u kompanijama gde je ovo integralni sistem ili samo na taj deo sistema poslovanja kompanije.
Prednosti su:
manji troškovi i manje dupliranja,
bolja preglednost i upravljanje rizicima,
jača reputacija i poverenje klijenata i partnera.
Mane su:
složenije planiranje,
rizik da se izgubi specifičnost zahteva svakog propisa,
mogućnost da sve ostane na formalnom nivou, bez stvarne promene prakse.
Za većinu ozbiljnih organizacija, naročito onih koje već imaju razvijen GDPR program i aktivno uvode AI u poslovanje, integrisani pristup je logičan sledeći korak.
Ključ je u tome da se usklađivanje ne shvati kao „još jedan pravni trošak“, već kao prilika da se izgradi odgovoran, transparentan i održiv okvir za podatke i veštačku inteligenciju.
NAPOMENA: Ovaj tekst predstavlja stav autora teksta, vezan za istraživanje kroz pripremu doktorske disertacije, kao jedna stavka ovog istraživanja. Ovaj metod se testira u praksi, na poslovanju jedne kompanije sa kojom autor teksta razvija proces. Stavovi iz teksta nemaju karakter pravnog savetovanja, pogotovo nemaju ništa sa pravosudnom delatnošću ili advokatskom strukom u okviru iste. U slučaju da imate sporni predmet koji se odvija pred pravosudnim organima, predlog je da kontaktirate advokata.
AUTOR teksta: Denis Tul
U oblasti ZAŠTITE PODATAKA O LIČNOSTI u poslednje vreme istakla se jedna tema. Tema BIOMETRIJSKIH KAMERA. To su kamere koje matematičkim računom mogu precizno utvrditi identitet lica.
Imam dva bitna stava po ovom pitanju:
– Protivnik sam biometrijskih kamera na JAVNOM MESTU;
– Zagovornik sam biometrijskih kamera na PRIVATNOM MESTU.
Obrazložiću svoja dva dijametralno suprotna stava:
Pravo na izražavanje stava je ljudsko pravo. Svoje neslaganje na nekom višem nivou možemo izraziti kroz protest. Ako bi protestna kolona prošetala ispod semafora na kojem je postavljena biometrijska kamera, neki državni organ bi imao istog momenta spisak svih lica koja su taj dan bila na protestu. Da li je to podložno zloupotrebi? Znajući gde živimo i kako je posao stekao čovek koji radi u tom nekom državnom organu i ima pristup podacima, naravno da je moguće da ti podaci na USBu izađu istog dana iz prostorija ovog državnog organa i stugnu gde treba. Dakle, šta je sledeće? Ljudi se boje da iznesu svoje mišljenje i koriste svoja ljudska prava koja bivaju ugrožena. Ovo NIJE politički stav i nema veze sa time ko je na vlasti danas. Svaka naredna vlast će isto koristiti ove kamere ako ih jendom dozvolimo. Ovo je strogo PRAVNO PITANJE.
E sad kako je privatni sektor drugačiji? Zapravo na javnom mestu moramo biti kako bismo ostvarili svoja prava, to nam svima pripada, a na privatnom mestu BIRAMO DA BUDEMO. Hajde da uzmemo za primer teretanu koja pri ulasku ima biometrijske kamere koje ubrzavaju proces i otvaraju ulaz članovima koji su platili članarine. Ako vam smeta ovakva obrada podataka o ličnosti, vi možete da ne idete u ovu teretanu, možete ići u drugu teretanu prekoputa. U ovoj teretani nema čekanja na pultu, u vašu cenu ne ulazi cena radnika koji na pultu proverava članarinu i karticu. Privredni subjekt je modernizovao svoj rad, ubrzao procese za vas. Vi imate bolju, bržu i jeftiniju uslugu. I IMATE IZBOR DA NE IDETE TAMO I DA VAM SE NE OBRADE PODACI. Takođe, kod privrednog subjekta se možemo obavestiti o obradi i čuvanju podataka, o tome gde se čuvaju i da li postoji mogućnost prenosa podataka na treća lica.
Naravno, potrebno je da kompanije koje prikupljaju ove podatke usklade poslovanje sa ZZPL-om, da pripreme Procenu uticaja na podatke o ličnosti i da transparentno o svemu izveste javnost.
Ostaje da zaključimo, PRIVATNI i JAVNI sektor ne mogu imati isti pravni režim po ovom pitanju. Opasno je igrati se biometrijskim kamerama na javnom mestu, dok u privrednom poslovanju one predstavljaju prednost i ne ugrožavaju krucijalna ljudska prava građana.
CILJ Zakona o zaštiti podataka o ličnosti nije da se zabrani prikupljanje podataka ili da se vrati u srednji vek priveredno poslovanje, već da se na najbezbedniji način sa namjanje rizika upravlja podacima.
Ostajem protiv biometrijskih kamera u javnom prostoru, ali mi ne smeta da privredni subjekti koriste ovu tehnologiju u svom radu kako bismo imali bolju uslugu.
NAPOMENA: Ovaj tekst predstavlja mišljenje autora teksta i nije zamena za angažovanje pravnika stručnog u ovoj oblasti, ili advokata u slučaju sudskog postupka.
AUTOR TEKSTA: Denis Tul
Šta je to lični podatak? Kako se pravilno prikupljaju, a kako se upravlja podacima o ličnosti? Šta jedna kompanija treba da uradi da bi mogla da prikuplja određene vrste podataka o ličnosti?
Usklađivanje poslovanja kompanije sa Zakonom o zaštiti podataka o ličnosti (i GDPR-om) je PROCES koji za cilj ima da se poslovanje jednog privrednog subjekta uredi tako da se na zakonit način prikupljaju podaci.
Rečenica koja, po mom skromnom mišljenju, definiše primenu ovog zakona je sledeća: „Zakon nema za cilj da ZABRANI prikupljanje i obradu podataka, samo daje jasna PRAVILA kako se to sprovodi.“
Šta su posledice arhaičnog pristupa prikupljanju podataka i nepoštovanja zakona?
- Novčana kazna za prekršaj;
- Zabrana prikupljanja određene vrste podataka ili prikupljanja na određeni način.
Neke kompanije formiraju baze podataka, korisnika, potencijalnih korisnika, kupaca, formiraju bazu emailova za newsletter ili na drugi način veliki obim podataka koji mogu biti korišćeni u svrhe plasmana proizvoda i usluga. Nekada su ove baze podataka specijalizovane, i nekada predstavljaju ogromnu poslovnu prednost i nose veliku vrednost. Neke firme se kupuju samo radi kupovine baze podataka koju poseduju. Eventualna naredba o brisanju baze, zbog nelegalnog prikupljanja podataka mogla bi značiti poništenje višegodišnjih napora kompanije na formiranju baze podataka. Ovo je moguće izbeći ako od početka podatke prikupljamo zakonito.
Kazne po ovom zakonu propisane su u rasponu od 50.000 dinara, do 2.000.000,00 dinara.
Ove dve posledice mogu se primeniti zajedno, istovremeno, jedna ne isključuje drugu, čak će najčešće ići „pod ruku“. Tu je značaj zakonitog poslovanja. Zato moramo poslovanje kompanije prilagoditi Zakonu o zaštiti podataka o ličnosti samoinicijativno i u što ranijoj fazi poslovanja, pre nego što nam je zaprećeno inspekcijskom posetom državnog organa (što je svojstveno na našim prostorima).
Usklađivanje sa ZZPL-om se u našem poslovanju svelo na 2 FAZE:
- Analiza postojećeg stanja i rizika po podatke o ličnosti;
- Primena mera usklađivanja.
Prva faza se sastoji sa upoznavanjem poslovanja kompanije koja nas angažuje, i u toj fazi ćemo postaviti pitanja koja bi postavio nadzorni organ (inspekcija) kada bi došli do analize stanja pri ulazu u saradnju sa kompanijom. Tom prilikom će se sprovesti MAPIRANJE PODATAKA. Mapiranje podrazumeva odgovor na pitanje koji se podaci o ličnosti uzimaju i kako se obrađuju, gde se čuvaju itd.
*Za ovo pitanje potrebno je da znamo šta je podatak o ličnosti. A to je svaki onaj podatak koji može dovesti do određenog ili odredivog lica. Odredivo lice je ono do kojeg se uz pomoć podataka može doći iako u prvi mah nije podatak direktno dao odgovor o kojem se licu radi. Na primer, email je kontakt podatak i ujedno podatak o ličnosti. Pominjemo email, jer je ovaj podatak često uziman na sajtu kompanije.
Na kraju druge faze kompaniji koja nas je angažovala nudimo set mera koje smatramo za shodne nakon analize. To je savetodavni momenat. Kompanija može samostalno rešiti da nastavi u narednu fazu ili da ne nastavi. Takođe kompanija ako nastavi može izabrati nekoga drugoga da sprovede date mere.
Druga faza se sastoji iz primene mera, a to podrazumeva:
- Pripremu dokumentacije;
- Implementaciju dokumentacije;
- Uvođenje tehničkih rešenja na terenu.
U najsloženijim slučajevima moguće je da bude potrebno i do 7 različitih dokumenata koje kompanija mora posedovati. Pre svega pomenućemo Pravilnik o zaštiti podataka o ličnosti, koji je krovni dokument kompanije za ovu oblast, gde će se urediti najvažnija pitanja i dati osnov i pravila po kojima će se izvesti ostala dokumentacija. Moramo misliti i na poslovanje kompanije na internetu. Neretko je i obaveza da se odredi Lice za zaštitu podataka o ličnosti.
Samo usklađivanje sa ZZPL-om je složen proces, i nije poželjno sprovoditi isti u kratkom roku. Savet je kompanijama da sprovedu ova pravila pre nego što dobiju najavu inspekcije o poseti. Jer za pravilnu implementaciju, potrebno je vreme.
Jedna od zabluda u praksi je da ovo može uraditi bilo ko, bilo koji pravnik ili advokat. Ovaj zakon mnogi ne razumeju ni posle više čitanja, potrebno je da se neko posvećeno bavi duži period ovim pitanjima na unutrašnjem i međunarodnom nivou, da bi mogao da kaže da razume logiku iza zakona. Ova potreba je još više pojačana činjenicom da zakon nije potkrepljen podzakonskim aktima i još uvek sudska praksa stranih sudova, pravna savetovanja u ovoj oblasti, pisanje naučnih radova, predstavljaju način da pravnici postanu kompetentni za ovu oblast. A najveći broj pravnika, će „pogoditi“ posao, i ne znajući šta je podatak o ličnosti, u nadi da će iščitati zakon jednom i uraditi posao lako. Ipak, praksa pokazuje da ovo nije realno, niti moguće.
Napomena: Ovaj tekst ne predstavlja zamenu za angažovanje pravnika, pravnog savetnika ili advokata, već edukovano mišljenje autora teksta.
Autor teksta: Denis Tul
Lice za zaštitu podataka o ličnosti (u daljem tekstu: LICE) je lice koje je ovlašććeno i imenovano od strane kompanije, radi rukovođenja podacima o ličnosti.
Zakon o zaštiti podataka o ličnosti, oslanjajući se na GDPR, članom 56 previđa MOGUĆNOST da kompanije odredi lice za zaštitu podataka o ličnosti,
Međutim, OBAVEZA da odredite lice za zaštitu podataka o ličnosti postoji u slučaju da:
- ste organ vlasti
- je osnovna aktivnost vaše kompanije obrada podataka o ličnosti
- Vaša osnovna aktivnost predstavlja obradu posebno osetljivih podataka o ličnosti, koji su propisani zakonom (npr. podaci o zdravstvenom stanju, političkom opredeljenju, podacic o kaznenim evidencijama itd), uz dodatni uslov, da se obrada navedena u ovoj tački vrši u velikom obimu. Šta predstavlja VELIKI OBIM, zakon nije detaljno regulisao, ali se može zaključiti da bi npr. kompanije koje imaju preko 250 zaposlenih trebale odrediti LICE.
KOGA MOŽETE IMENOVATI ZA LICE ZA ZAŠTITU PODATAKA??
Možete imenovati bilo lice koje je zaposleno kod vas, bilo lice van vaše kompanije na osnovu posebnog Ugovora. Nakon što odredite to lice, neophodno je da objavite kontakt podatke LICA, najbolje već u Vašoj politici privatnosti, i dostavite ih Povereniku koji vodi evidenciju Lica.
Neodređivanje LICA za zaštitu podataka od strane onih pravnih lica koji su na to obavezani zakonom, predstavlja PREKRŠAJ za koji se može izreći kazna od 5.000,00 dinara do 2.000,000,00 dinara.
Preporuka je da imenujete LICE za zaštitu podataka o ličnosti, iako vam to nije OBAVEZA, naročito ukoliko LICE poseduje stručna znanja i iskustva u oblasti zaštite podataka, pa vam u tom slučaju lice može biti zaista od velike pomoći. Da li će to biti lice zaposleno u Vašoj kompaniji, ili eksterni saradnik-advokat ili neko treći, zavisi od potreba i mogućnosti vaše kompanije, ai je svakako preporučljivo da to bude lice iz pravne struke.
Osim toga, i ukoliko imate lice za zaštitu podataka koje je vaš zaposlen, a možda nije još uvek dovoljno stručan ili iskusan, ili mu jednsavno redovne radne obaveze ne dozvoljavaju da se stručnije posei pitanju zaštite podataka, moguće je da imate i druge eksterne savetnike, stručnjake za zaštitu podataka o ličnosti.
Napominjemo da ne postoje zvanični sertifikovani stručnjaci, odnosno lica za zaštitu podataka o ličnosti, jer ne postoji nikakav zvaničan sertifikat organa EU ili sertifikat prema Zakonu o zaštiti podataka koji sertifikuje stručnjake za ovu oblast. Postoji samo zakonska mogućnost da se ustanovi sertifikacija Vaše komapnije (Rukovaoca podacima) ili obrađivača podataka. Ukoliko vam neko kaže da je sertifikovan za GDPR ili za DPO, to samo može značiti da je lice završilo nekakvu plaćenu obuku od strane neke privatne organizacije, ali ne mora nužno zančiti i da to lice poseduje potrebna stručna znanja.
S toga, budite oprezni prilikom izbora Lica i imajte u vidu njegova praktična iskustva i znanja, listu klijenata za koje je pružao usluge u vezi sa zakonom o zaštiti podataka, i naravno preporuka od drugih lica je nabolja ,,reklama” i potvrda stručnosti.
ZAŠTO VAM JE POTREBNO LICE ZA ZAŠTITU PODATAKA O LIČNOSTI- DPO??
Kompanije odnosno rukovaoci koji krše domaći zakon i načine PREKRŠAJ mogu biti kažnjeni u prekršajnom postupku od 5.000,00 dinara do 2.000,000,00 dinara, odnosno do 4.000.000,00 dinara ukoliko je učinjeno više prekršaja, plus troškovi prekršajnog postupka. Pored kazni izrečenim u prekršajnom postupku i poverenik može kaznitti kompaniju putem prekršajnog naloga u iznosu od 100.000,00 dinara ukoliko npr. ne vodi propisane evidencije o obradi podataka ličnosti.
Ukoliko vaša kompanija ima npr. sajt i na engleskom te može prikupljati podatke od lica iz EU, potencijalne kazne za povredu prava ličnosti su višemilionske. Da bi se sve navedeno sprečilo, može vam pomoći stručno lice, sa određenim znanjem i iskustvom u ovoj oblasti.
Lice koje poseduje stručna znanja, prevashodno nadzire usklađenost vašeg poslovanja sa Zakonom o zaštiti podataka o ličnosti i dužno je starati se o tome da vaša kompanije obrađuje podatke u skladu sa Zakonom. Uloga Lica je informativnog i savetodavnog karaktera i ne postoji mogućnost da vas obaveže na neko činjenje, već da vam ukaže na eventualne propuste, mere poboljašnja poslovanja u usklađivanja sa zakonom.
Lice upravlja vašim internim i eksternim aktima o politici privatnosti, što znači i mogućnost izrade interne i eksterne politike privatnosti, te kontinuiarno ažuriranje istih, jer je materija podaka o ličnosti ŽIVA i konstatno se menja i unarpređuje u skladu sa stalnim tehnološkim inovacijama i novim načinima prikupljanja podataka o ličnosti.
Lice je KONTAKT osoba za odnose sa Poverenikom savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja u vezi sa izvršenim procena uticaja na zaštitu podataka o ličnosti nameravanih radnji obrade.
Lice pruža stručne savete o vođenju evidencije o aktivnostima obrade, koja je za kompanije sa preko 250 zaposlenih OBAVEZNA, a za sve druge je veoma preporučljiva, budući da može poslužiti kao dokaz u slučaju spora, da vaša kompanije obrađuje podatke u skladu sa Zakonom.
Lice može kontinuirano sarađivati i sa licima zaduženim za implementaciju tehničko-bezbednosnih mera radi zaštite podataka, kao i radi implementacije samoih zakonskih rešenja na samim web sajtovima isl.
KOJA JE ULOGA VAŠE KOMPANIJE?
Kompanija je dužna da osigura da lice za zaštitu podataka o ličnosti može da kvalitetetno obavlja svoj posao, pre svega je dužna da obezbedi adekvatna softveska rešenja koja omogućuju efikasno praćenje načina obrade podataka i razumevanje tih procesa. Danas postoje mnoge kompanije koje nude efikasna softverska rešenja za navedeno, po još uvek pristupačnim cenama, te se o tome mora ozbiljno misliti.
Preporuka je da lice za zaštitu podataka o ličnosti bude što ranije uključeno u sve procese vaše kompanije koji se odnose na zaštitu podataka. Dakle, ovo lice bi trebalo da: učestvuje na sastancima višeg i srednjeg menadžmenta, bude prisutno prilikom donošenja odluka koje se odnose na zaštitu podataka, bude odmah konsultovano u slučaju povrede podataka o ličnosti itd.
PODACI SU NAFTA 21. VEKA
Sve češće se može čuti da su informacije, odnosno podaci nafta 21. veka, i zaista se to može sa sigurnošću tvrditi, imajući u vidu četvrtu digitalnu revoluciju, tendencije u svetu biznisa i sve češću trgovinu podacima na globalnom nivou. Prema tome, budite spremni, investirajte u zaštititu vašu naftu 21. veka, uskladite poslovanje sa novim regulativama i mirno dočekajte buduće inspekcijske kontrole, na udaru kojih će najpre biti one kompanije koje ne ispunjavaju minimum zakonskih uslova.
Napomena: Ovaj tekst predstavlja analizu Zakona o zaštiti podataka o ličnosti i problematike DPO-a, od strane autora, i ne predstavlja zamenu za angažovanje pravnog konsultanta ili advokata.
Autor: Ozren Slović
GDPR (General Data Protection Regulative) je donet u formi uredbe (regulative), što znači da je ovo opšti pravni akt koji donose organi EU i koji se primenjuje u svim državama EU od dana stupanja na snagu bez potrebe za posebnom ratifikacijom. Osnovni cilj ovog pravnog akta je zaštita ličnih podataka. Lični podatak je svaki podatak koji upućuje na tačno određeno fizičko lice: lično ime, JMBG, broj telefona, fotografija na kojoj se može prepoznati određeno lice, email adresa, IP adresa, broj tablice i dr. Ako prikupljate podatke ili ih obrađujete, ovo su 10 stvari koje morate znati o novog GDPR-u (iz ugla pravnika):
- GDPR će se primenjivati na privredne subjekte koje posluju na teritoriji RS.
Ovaj akt je netipičan jer će se primenjivati i izvan granica EU koja je donela ovaj akt, a u skladu sa članom 3 GDPR-a. U članu 3 stav 2 GDPR-a propisano je da će se ovaj akt koristiti na sve kompanije izvan EU pod uslovima da oni svoje robu i usluge prezentuju potencijalnim klientima u EU i da se iz njihovog ponašanja može zaključiti da robu i usluge nude u EU. Naime, ovim aktom se štite lični podaci građana EU bez obzira gde se prostorno njihovi podaci prikupljaju ili gde se podacima upravlja. Tako u Republici Srbiji privredni subjekti (preduzetnici, privredna društva, firme, kompanije itd.) koji u poslovanju prikupljaju, obrađuju i upravljaju podacima državljana EU moraju to činiti u skladu sa GDPR-om, a pod pretnjom kazne. Neke od situacija kada će se GDPR primenjivati na kompanije iz Srbije su sledeće: kada koriste internet domene država EU, kada koriste načine reklamiranja svojih proizvoda i usluga na tržištu EU (Google Adwords npr.) i kada koriste jezik ili valutu EU, a tako da se može zaključiti da imaju nameru da usluge i proizvode plasiraju na tržište EU i kada imaju mogućnost dostavljanja na teritoriju EU.
- GDPR se primenjuje i na podatke koji su prikupljeni pre njegovog donošenja.
GDPR je na snagu stupio 25.05.2018. godine, ali ovaj pravni akt će se primenjivati i na podatke koji su prikupljeni pre ovog datuma. Svi privredni subjekti koji su prikupljali podatke pre ovog datuma na način koji nije u skladu sa GDPR-om, moraju da ponovo prikupe date podatke ili da jednostavno pošalju upit svojim klientima, partnerima i drugim subjektima čije su podatke skladištili kako bi dobili potvrdu ovih lica da se slažu da privredni subjekt zadrži već prikupljene podatke i nastavi da ih koristi u skladu sa GDPR-om, Privacy Policy i drugim dokumentima.
- Email adresa jeste lični podatak
Obzirom da email upućuje na određenu ličnost, fizičko lice, odnosno da na osnovu emaila možemo detektovati određenu ličnost, email jeste lični podatak. Posledica ove činjenice jeste ta da i samo prikupljanje emailova mora biti sprovedeno u skladu sa GDPR-om. Poznat je vid marketinga pod nazivom newsletter marketing, gde privredno društvo prikuplja emailove, a u cilju da na iste prosleđuje tipske poruke kojima nudi svoje proizvode i usluge. Obzirom da se ovo prikupljanje emailova mora vršiti u skladu sa GDPR-om i ovaj vid marketinga pretrpeće određene promene. Naime, privredni subjekti moraju obavestiti subjekte čije podatke prikupljaju o tome da njihove podatke skladište i o razlozima zbog kojih to rade, te tražiti dozvolu za prikupljanje podataka. Dozvola mora biti data aktivnom radnjom subjekta i bezuslovno.
- Bitno je isticati koji podaci se prikupljaju i kako se koriste (poseban osvrt na sajt).
Licu čiji se podaci obrađuju u svakom momentu mora biti poznato koji se njegovi podaci prikupljaju i u kojem cilju, tj. kako će biti korišćeni. Kod onih pravnih lica koja rade putem sajtova i prikupljaju podatke putem istih postoje posebne poteškoće. U zavisnosti od svrhe sajta, sajt može prikupljati podatke posetioca sajta pri samoj poseti li pri obavljanju određenih radnji na sajtu. Prikupljanje podataka na sajtu obično se izvršava pomoću kontakt forme, a svi prikupljeni podaci čuvaju se u bazama podataka sajta. Ceo postupak prikupljanja i upravljanja podacima mora biti u skladu sa GDPR-om. Dakle, u trenutku prikupljanja podataka, licima čiji se podaci prikupljaju (subjekti) mora biti predočeno koji se podaci prikupljaju, na koji način, kako će se postupati sa tim podacima, odnosno za šta će biti korišćeni. Opšte prihvaćen način da se subjekti informišu o ovome jeste kroz pisani ugovor koji potpisuju pri stupanju na sajt, registraciji. Ovi ugovori zaključuju se u elektronskom obliku i mogu imati više različitih formi, naziva, pa će se tako najčešće pojavljivati Privacy Policy, ali nije isključeno da odredbe vezane za Privacy Policy pronađete inkorpirirane u ugovore pod nazivom Terms&Conditions, Terms of Agreement. Ono što je bitno je da aktivnom radnjom subjekt mora označiti da prihvata ugovorne uslove takvi kakvi su ponuđeni od strane urednika sajta. U tom momentu smatra se da je lice potpisalo ugovor i da je informisano o sadržaju istog. Ugovor mora biti na raspolaganju stranci uvek da ga pročita. Na sajtu se svako prikupljanje podataka mora vršiti u skladu sa onim što je naznačeno u ugovoru. Predlog je da se ne prikupljaju nepotrebni i suvišni podaci, te da kontakt forma bude kratka, jasna i pripremljena tako da prikuplja samo neophodne podatke za koje je u ugovoru navedeno da se prikupljaju. Bitno je napomenuti da mnogi sajtovi koriste alate (tools, npr. CRM) i kolačiće (cookies). U ugovoru mora biti navedeno koje alate i kolačiće koristi sajt i koje podatke oni prikupljaju i u koje svrhe. Vlasnik sajta bi trebalo da pazi da koristi samo one alate i kolačiće koji su u skladu sa GDPR-om. Obavezno je da posetilac sajta aktivnom radnjom prihvati zaključenje ugovora sa vlasnikom sajta.
- Sa transkriptima četova se mora postupati kao sa podacima o ličnosti
Način na koji se čuvaju sadržaji četova, te kako se istima upravlja moraju biti u skladu sa GDPR-om. Vlasnik sajta na kojem se koriste četovi drugih provajdera moraju proveriti da li se ti četovi vode u skladu GDPR-om, jer su oni odgovorni za povrede odredaba GDPR-a korisnicima. Upravljanje transkriptima ovakvih četova dakle mora biti unapred poznato korisniku koji pristupa sajtu.
- Baze podataka moraju biti osigurane od stranog pristupanja
Pravila vezana za prikupljanje podataka pogađaju sve vrste bazi podataka koje sadrže lične podatke subjekata. Vlasnik baze podataka je dužan da za svaki ilegalan pristup podacima o istome obavesti stranke, te učini sve da zaštiti podatke koje je prikupio o korisniku, ili obriše podatke ukoliko to stranka zahteva. Neka od rešenja kojima se može garantovati sigurnost podataka jesu pseudonimizacija i enkripcija. Pseudonimizacija se vrši tako što se stvara više baza podataka u kojima se čuvaju različiti podaci korisnika, a koji se podaci povezuju pomoću ključeva.
- Obim prava data subjekata je proširen.
Generalno GDPR-om se propisana pravila koja se primenjuju na sve vidove prikupljanja podataka, a koji se obzirom na tehnologiju prikupljanja moraju prilagoditi svakom načinu prikupljanja i obrade istih. GDPR-om su tako proklamovana određena prava subjekata koja im moraju biti zagarantovana u svakom i najmanjem sistemu koji se bavi prikupljanjem i upravljanjem podacima. Neka od prava zagarantovanih subjektima su sledeća: pravo subjekta da bude obavešten o razlozima prikupljanja podataka i načinima upravljanja istih, pravo da bude obavešten u svakom momentu o tome koje podatke poseduje onaj ko ih prikuplja, pravo da podaci budu tačni, ispravljeni, dopunjeni, pravo da bude obavešten o svakoj kompromitaciji podataka u sistemu, pravo na zaborav (right to be forgoten). +Pravo vlasnika privrednog subjekta je da proda taj privredni subjekt, ali prodajom subjekta najčešće se prodaje i imovina u šta spadaju i baze podataka. Ostaje upitno da li će sa prodajom privrednog subjekta biti moguće na novog vlasnika preneti i baze podataka koje ovaj subjekt poseduje. Ovaj problem rešava se kvalitetnim sačinjavanjem ugovora, Terms of Agreement, pri prikupljanju podataka, jer bi najsigurnije bilo kada bi subjektima bilo poznato da privredni subjekt može biti prodat sa svojom imovinom koju čine i baze podataka. Naravno podaci se moraju nastaviti koristiti u skladu sa ugovorenim, odnosno predstavljenim u trenutku potpisivanja ugovora. Ovo je posebna tematika koja se javlja u okviru diskursa o pravu subjekta da bude obavešten o mogućim načinima upravljanja njegovim podacima.
- Za kršenje propisa u poslovanju privrednih subjekata utvrđene su teške kazne.
GDPR je propisao dve grupe kazni koje se izriču za određena kršenja ovog akta:
1. 2% godišnjeg globalnog obrta novca, ili maksimalno 10 miliona evra, za sledeća kršenja GDPR-a: kršenje podataka, nekorišćenje usluga DPO-a (Data Protection Operator), nesprovođenje DPIA (Data Protection Impact Assessment), nečuvanje odgovarajućih zapisa.
2. 4% godišnjeg globalnog obrta novca, ili maksimalno 20 miliona evra, za sledeća kršenja GDPR-a: nedobijanje pristanka, neuvažavanje prava korisnika propisanih GDPR-om, izmeštanje podataka izvan EU opisano u poglavlju 5 GDPR-a.
U praksi smo bili svedoci nekih već izrečenih kazni. Npr. Google je kažnjen novčanom kaznom u iznosu od 50 miliona evra.
- Kazne će moći da budu izvršene u državama izvan EU, kao što je Republika Srbija.
Da li će ove kazne biti uspešno naplaćivane na teritoriji RS u izostanku dobrovoljnog izvršenja ostaje da se vidi, ali politika okrenuta ka evropskim integracijama jeste jak predznak da će domaći sudovi takvim odlukama kroz postupak legalizacije stranih odluka davati snagu domaćih, odnosno izvršnost. Ovim putem će odluke ulaziti u pravni sistem Republike Srbije i biće omogućeno da se sistem prinudnog izvršenja i institucije koje predstavljaju nosioce ovog postupka stave na raspolaganje EU. Na koncu konca, Republika Srbija se potpisom na Sporazum o stabilizaciji i pridruživanju potpisanim sa EU, obavezala da će svoje zakonodavstvo uskladiti sa zakonodavstvom EU.
- Postavljanje DPO-a ne oslobađa privredni subjekt odgovornosti za kršenje GDPR-a.
Svaki privredni subjekt može postaviti DPO (Data Protection Operator). Ovo bi trebalo da pomogne da se zaštita podataka ličnosti u poslovanju podigne na viši nivo, ali ukoliko privredni subjekt prekrši prava podataka ličnosti, privredni subjekt će odgovarati za ta kršenja obavezujućih odredaba GDPR-a i potencijalno biti kažnjen, a ne fizičko lice koje je na poziciji DPO-a u privrednom subjektu. Ovo lice će eventualno odgovarati za materijalnu štetu prouzrokovanu privrednom subjektu u skladu sa odredbama o odgovornosti zaposlenog u skladu sa važećim Zakonom o radu.
Zaključak
Svaki privredni subjekt registrovan u Srbiji, a koji posluje na tržištu EU, odnosno prikuplja podatke građana EU mora to raditi u skladu sa GDPR-om ili izabrati da ignoriše ovo tržište. Moguće je ignorisati građane EU na brojne načine koji su bliži IT stručnjacima (npr. blokiranjem lica koja sajt posećuju sa IP adresa registrovanih u EU), ali danas kada je Srbija okružena državama članicama EU ovo nije najefikasniji način da se suoči sa problematikom zaštite ličnih podataka. Zato predlažemo da ne ignorišete ovo veliko tržište već da radite na pronalasku pravne podrške, pripremi kvalitetnih elektronskih ugovora (Terms and Conditions, Terms of Agreement, Privacy Policy) koje ćete ponuditi svojim klientima, korisnicima, posetiocima sajtova, partnerima i na opštem usklađivanju poslovanja sa GDPR-om.
Napomene:
-Novi Zakon o zaštiti podataka o ličnosti počinje da se primenjuje od 21.08.2019. godine i o njemu i njegovoj usklađenosti sa GDPR-om će tek biti reči.
-Ovaj tekst sadrži predloge i savete date nakon pravne analize teksta GDPR-a, ali ovaj tekst ne predstavlja zamenu za angažovanje DPO-a u vašem privrednom subjektu, te pravnu konsultaciju ili pravnu pomoć, a što bi trebalo biti individualizovano za svaki poseban poslovni projekat, firmu, sajt i dr.
Zahvalnost dugujem dvojici saradnika:
-Ivan Andrejević, diplomirani pravnik, za pruženu stručnu pomoć u istraživanju i tumačenju literature i razmeni mišljenja.
-Ivan Belić, stručnjak u oblasti prava zaštite podataka ličnosti, za pružene savete i obezbeđenu literaturu. Autori teksta: Denis Tul