Zašto su Politika privatnosti i Politika kolačića dva različita dokumenta?
Verovatno ste upoznati sa situacijom kada se pojavite na nekom sajtu po prvi put da budete obavešteni o tome da sajt koristi kolačiće. A i više sam nego siguran da ste nekada na nekom sajtu ostavili svoje lične podatke (email, adresu, broj bankovne kartice i dr.). U ovim situacijama vi ste prihvatili ugovore kompanije ili lica koje je vlasnik sajta.
Iako mi samo kliknemo na opciju da se slažemo sa svim ovim ugovorima i retko ko pročita sadržinu istih, oni jesu bitni. Prvi dokument nazivamo Politika kolačića (Cookie Policy), dok drugi zovemo Politika privatnosti (Privacy Policy). Ovi ugovori su bitni i sa strane kompanije jer poslovanje kompanije u digitalnom prostoru takođe podleže određenim pravilima.
Jedno od čestih pitanja je, a obzirom da se radi o srodnim pojmovima, zašto ova dva ugovora zaključujemo odvojeno jedan od drugog. Čak ćete u praksi naići i na jedinstveni ugovor u kojem su uređena oba pitanja, ili čak na situaciju gde su oba ova ugovora inkorporirana u Uslove korišćenja sajta. Ipak, Politika privatnosti ne konzumira i pitanja primene kolačića i nije ispravno da Politika privatnosti konzumira Politiku kolačića.
Više je razloga za ovakav stav, odnosno za preporuku da se pripreme odvojeno ova da ugovora za svaki sajt:
- Različitost prirode pitanja;
- Personalno važenje ugovora;
- Početak primene ugovora.
Kolačići su tehničke informacije, koje najčešće i ne predstavljaju lične podatke. Ove tehničke informacije mogu prerasti u lične podatke kada se kombinuju sa ličnim podacima. Recimo ako se radi o sajtu koji podržava profilisanje korisnika, odnosno sajtu na kojem se formira baza podataka korisnika koji su napravili profile, tada će algoritam sajta povezati tehničke informacije sa profilom korisnika, odnosno znaćemo na koga se tehničke informacije odnose. Tada takve tehničke informacije postaju lični podaci.
Daćemo jedan primer da približimo ovu temu. Zamislite da imamo tehničku informaciju: „Korisnik X je na vaš sajt došao sa sajta Medicina21Veka“. Ova informacija kada se poveže sa bazom podataka na vašem sajtu, ako se radi o profilisanom sajtu se pretvara u sledeću informaciju: „Profilisani korisnik Pera Perić je na vaš sajt došao sa sajta Medicina21Veka“. Sada zamislite da znamo i šta je Pera kupio i time sa kojim se zdravstvenim problemima suočava. Možete i sami zamisliti dalje implikacije.
Što se tiče personalne primene, kolačići obrađuju tehničke informacije svakog korisnika, a bez obzira na volju vlasnika sajta i korisnika sajta. Tako se i Politika kolačića odnosi na sve korisnike sajta. Politika privatnosti se ne odnosi na sve korisnike sajta, već samo na one korisnike koji ostave svojom aktivnom radnjom lične podatke vlasniku sajta, a putem određene forme za to predviđene, na sajtu. Zbog te različite prirode, potrebno je ove stvari urediti zasebnim ugovorima.
Treći bitan argument u ovoj improvizovanoj raspravi se odnosi na važenje ugovora, odnosno početak važenja ugovora. Naime, tehničke informacije se prikupljaju od svakog korisnika sajta po samom pristupu sajtu. Baš zato se na prvo pojavljivanje na sajtu ovaj ugovor prezentuje (nudi) korisniku sajta. Sa druge strane, Politika privatnosti se počinje primenjivati od momenta kada lice aktivnom radnjom ostavi svoje lične podatke na sajtu (i tom prilikom pristane na Politiku privatnosti).
Dakle, životno je moguće i često se zapravo dešava da je jedan korisnik ostane neprofilisani korisnik sajta, i da se on nikada neće profilisati na sajtu i predati svoje lične podatke u bazu podataka vlasniku sajta.
Obzirom da se kolačići koriste od momenta pristupa sajta, a ne od pristanka na Politiku kolačića, Politika kolačića mora korisniku biti predstavljena odmah, pri prvom pristupu sajtu. Ako bi Politika privatnosti konzumirala Politiku kolačića, do eventualne predaje podataka i pristanka na Politiku privatnosti (sa odredbama o kolačićima), kolačići bi bili korišćeni na sajtu prema korisnicima, a bez da se o tome obavestio korisnik i bez da je na to pristao.
Uzimajući sve u obzir stava smo da je obavezno da svaki vlasnik sajta koji ima sajt koji prikuplja podatke o ličnosti ima Politiku privatnosti, a da svaki vlasnik sajta treba imati Politiku kolačića, te da ova dva ugovora uvek moraju biti dva odvojena ugovora.
Napomena: Ovaj tekst predstavlja stavove autora o datom pitanju, i ne predstavlja pravni savet niti zamenu za angažovanje pravnog stručnjaka, pravnog konsultanta, advokata u cilju rešavanja individualnog pravnog problema u vezi sa datom temom.
Autor: Denis Tul
Koje poreske olakšice mogu koristiti IT firme?
Sa četvrtom industrijskom revolucijom došla je nova šansa za Republiku Srbiju i našu privredu. Najveći izvozni potencijal jesu IT proizvodi (polako prelaze izvoz poljoprivrednog sektora), a tu pre svega mislimo na softverska rešenja. Imamo puno radnih i sposobnih ljudi u IT sektoru i prvi put u istoriji ne kasnimo za drugima sa izlaskom na tržište 60 godina. Kako bi dodatno pomogli IT sektor, država je usvojila poreske olakšice koje IT kompanije stimulišu da stvore svoju intelektualnu svojinu i izvoze istu.
U Jugoslaviji naš najveći promašaj je bio izvoz sirovih proizvoda po veoma povlašćenim cenama za kupce, koji su preradom dobijali gotove proizvode koji su koštali dosta više. Što kažu naši stariji: „Zaradili od našeg rada“. Došlo je vreme da naučimo na istorijskim greškama. Vreme naših autsorsovanih IT stručnjaka je sirov resurs 21. veka, a prihodovanje kroz ugovor o softverskoj licenci je prodaja gotovog proizvoda.
Zakon o porezu na dohodak građana uvodi poresku olakšicu R&D, a Zakon o porezu na dobit pravnih lica uvodi IP Box. IT kompanije imaju neverovatne prilike, kakve nikada do sada nisu imale u Srbiji. Da li ćemo znati iskoristiti ovo?
Intelektualnu svojinu ove kompanije već stvaraju znale to ili ne. Sada je vreme da to samo zaokružimo i dodatno eksploatišemo. Kompanije koje to rade za druge, mogu se uz malo truda reorganizovati tako da imaju svoj proizvod.
Dozvolite nam da vam pokažemo gde je vaš novac koji možete preusmeriti u neverovatan rast vaše kompanije.
- Šta je to R&D?
Istraživanje – originalno i planirano istraživanje preduzeto u cilju sticanja novog naučnog ili tehničkog znanja i razumevanja.
Razvoj – primena rezultata istraživanja, drugog naučnog dostignuća ili dizajna u cilju proizvodnje novih ili značajno poboljšanih materijala, uređaja, procesa, sistema ili usluga pre pristupanja komercijalnoj proizvodnji ili korišćenju.
R&D je poreska olakšica koja se koristi u fazi stvaranja intelektualne svojine. Ova poreska olakšica je usmerena na porez na zarade.
Ova poreska olakšica može osloboditi kompaniju koja razvija softver poreskog opterećenja u visini od 70% od poreza na zaradu i 100% socijalnih doprinosa za PIO.
Osim navedenih olakšica za zarade zaposlenih (umanjenje 70% poreza i 100% doprinosa PIO), R&D olakšica omogućava i priznavanje duplih troškova u poreskom bilansu, a koji su vezani za istraživanje i razvoj (uključujući još jednom i duplo priznate bruto zarade).
Uslov je da stvorena intelektualna svojina (autorsko delo ili patent) mora da pripada kompaniji koja bi da se kvalifikuje za korišćenje ove poreske olakšice. Takođe ova kompanija mora imati projekat otvoren, odnosno projektnu dokumentaciju, kao i sređene radno-pravne odnose sa svim zaposlenima koji su angažovani na ovom projektu, a istraživanje mora biti sprovođeno na teritoriji Republike Srbije.
Uslov za nastanak ove poreske olakšice nije samo stvaranje intelektualne svojine, odnosno pozitivan ishod projekta, jer nije moguće unapred znati da li istraživanje i razvoj mogu doneti pozitivan rezultat. To u istraživanju i razvoju nikada nije garantovano, zato što to i jesu istraživanje i razvoj.
- Šta je to IP Box?
IP Box je poreska olakšica koja se koristi u fazi ekonomske eksploatacije intelektualne svojine. Ova poreska olakšica usmerena je na porez na dobit pravnih lica. Korišćenjem iste moguće je osloboditi se obaveze plaćanja 80% poreza na dobit uzimajući za osnovicu kvalifikovani prihod. Kvalifikovani prihod je prihod koji dolazi od ekonomske eksploatacije intelektualne svojine (autorskog dela ili patenta).
Uslovi za IP Box su da je kompanija stvorila intelektualnu svojinu, da je intelektualna svojina u vlasništvu kompanije i da se intelektualna svojina ekonomski eksploatiše.
Da kompanija ne bi sama sebi blokirala buduće korišćenje ovih olakšica, potrebno je u ranoj fazi imati ideju o biznis modelu, o tome koja će biti priroda intelektualne svojine koju stvaraju, na koji će se način eksploatisati, i pre svega, koji će se ugovori koristiti, a obzirom na njihova dalekosežna dejstva.
Najveći problem u praksi je što se ove poreske olakšice samostalno primenjuju. Knjigovođa vaše kompanije preračunava poreske olakšice i vodi evidencije. Ne dobijate rešenje državnog organa kojim se dodeljuje poreska olakšica. U roku od 5 godina, nadležni državni organ može proveriti osnov za primenu poreskih olakšica.
Napomena: Ovaj tekst predstavlja mišljenje autora, a ne predstavlja zamenu za angažovanje pravnog savetnika ili advokata u konkretnoj situaciji.
Autori teksta: Denis Tul (pravnik) i Miloš Praštalo (računovođa, MNP Advisory)
Šta je to lični podatak? Kako se pravilno prikupljaju, a kako se upravlja podacima o ličnosti? Šta jedna kompanija treba da uradi da bi mogla da prikuplja određene vrste podataka o ličnosti?
Usklađivanje poslovanja kompanije sa Zakonom o zaštiti podataka o ličnosti (i GDPR-om) je PROCES koji za cilj ima da se poslovanje jednog privrednog subjekta uredi tako da se na zakonit način prikupljaju podaci.
Rečenica koja, po mom skromnom mišljenju, definiše primenu ovog zakona je sledeća: „Zakon nema za cilj da ZABRANI prikupljanje i obradu podataka, samo daje jasna PRAVILA kako se to sprovodi.“
Šta su posledice arhaičnog pristupa prikupljanju podataka i nepoštovanja zakona?
- Novčana kazna za prekršaj;
- Zabrana prikupljanja određene vrste podataka ili prikupljanja na određeni način.
Neke kompanije formiraju baze podataka, korisnika, potencijalnih korisnika, kupaca, formiraju bazu emailova za newsletter ili na drugi način veliki obim podataka koji mogu biti korišćeni u svrhe plasmana proizvoda i usluga. Nekada su ove baze podataka specijalizovane, i nekada predstavljaju ogromnu poslovnu prednost i nose veliku vrednost. Neke firme se kupuju samo radi kupovine baze podataka koju poseduju. Eventualna naredba o brisanju baze, zbog nelegalnog prikupljanja podataka mogla bi značiti poništenje višegodišnjih napora kompanije na formiranju baze podataka. Ovo je moguće izbeći ako od početka podatke prikupljamo zakonito.
Kazne po ovom zakonu propisane su u rasponu od 50.000 dinara, do 2.000.000,00 dinara.
Ove dve posledice mogu se primeniti zajedno, istovremeno, jedna ne isključuje drugu, čak će najčešće ići „pod ruku“. Tu je značaj zakonitog poslovanja. Zato moramo poslovanje kompanije prilagoditi Zakonu o zaštiti podataka o ličnosti samoinicijativno i u što ranijoj fazi poslovanja, pre nego što nam je zaprećeno inspekcijskom posetom državnog organa (što je svojstveno na našim prostorima).
Usklađivanje sa ZZPL-om se u našem poslovanju svelo na 2 FAZE:
- Analiza postojećeg stanja i rizika po podatke o ličnosti;
- Primena mera usklađivanja.
Prva faza se sastoji sa upoznavanjem poslovanja kompanije koja nas angažuje, i u toj fazi ćemo postaviti pitanja koja bi postavio nadzorni organ (inspekcija) kada bi došli do analize stanja pri ulazu u saradnju sa kompanijom. Tom prilikom će se sprovesti MAPIRANJE PODATAKA. Mapiranje podrazumeva odgovor na pitanje koji se podaci o ličnosti uzimaju i kako se obrađuju, gde se čuvaju itd.
*Za ovo pitanje potrebno je da znamo šta je podatak o ličnosti. A to je svaki onaj podatak koji može dovesti do određenog ili odredivog lica. Odredivo lice je ono do kojeg se uz pomoć podataka može doći iako u prvi mah nije podatak direktno dao odgovor o kojem se licu radi. Na primer, email je kontakt podatak i ujedno podatak o ličnosti. Pominjemo email, jer je ovaj podatak često uziman na sajtu kompanije.
Na kraju druge faze kompaniji koja nas je angažovala nudimo set mera koje smatramo za shodne nakon analize. To je savetodavni momenat. Kompanija može samostalno rešiti da nastavi u narednu fazu ili da ne nastavi. Takođe kompanija ako nastavi može izabrati nekoga drugoga da sprovede date mere.
Druga faza se sastoji iz primene mera, a to podrazumeva:
- Pripremu dokumentacije;
- Implementaciju dokumentacije;
- Uvođenje tehničkih rešenja na terenu.
U najsloženijim slučajevima moguće je da bude potrebno i do 7 različitih dokumenata koje kompanija mora posedovati. Pre svega pomenućemo Pravilnik o zaštiti podataka o ličnosti, koji je krovni dokument kompanije za ovu oblast, gde će se urediti najvažnija pitanja i dati osnov i pravila po kojima će se izvesti ostala dokumentacija. Moramo misliti i na poslovanje kompanije na internetu. Neretko je i obaveza da se odredi Lice za zaštitu podataka o ličnosti.
Samo usklađivanje sa ZZPL-om je složen proces, i nije poželjno sprovoditi isti u kratkom roku. Savet je kompanijama da sprovedu ova pravila pre nego što dobiju najavu inspekcije o poseti. Jer za pravilnu implementaciju, potrebno je vreme.
Jedna od zabluda u praksi je da ovo može uraditi bilo ko, bilo koji pravnik ili advokat. Ovaj zakon mnogi ne razumeju ni posle više čitanja, potrebno je da se neko posvećeno bavi duži period ovim pitanjima na unutrašnjem i međunarodnom nivou, da bi mogao da kaže da razume logiku iza zakona. Ova potreba je još više pojačana činjenicom da zakon nije potkrepljen podzakonskim aktima i još uvek sudska praksa stranih sudova, pravna savetovanja u ovoj oblasti, pisanje naučnih radova, predstavljaju način da pravnici postanu kompetentni za ovu oblast. A najveći broj pravnika, će „pogoditi“ posao, i ne znajući šta je podatak o ličnosti, u nadi da će iščitati zakon jednom i uraditi posao lako. Ipak, praksa pokazuje da ovo nije realno, niti moguće.
Napomena: Ovaj tekst ne predstavlja zamenu za angažovanje pravnika, pravnog savetnika ili advokata, već edukovano mišljenje autora teksta.
Autor teksta: Denis Tul
Pitali ste se koji ugovor da koristite kada kupujete sajt? Kako preneti autorska prava? Kako zaštititi poziciju prodavca, a kako poziciju kupca? Koji je ugovor isplativiji? Upoznajte ugovor o narudžbini autorskog dela.
Ugovorom o narudžbini autorskog dela autor se obavezuje da za naručioca izradi autorsko delo na određeni način i u određenom roku, a naručilac stiče pravo da objavi delo i stavi ga u promet, odnosno da ga ekonomski iskorišćava, dok se naručilac obavezuje da autoru plati ugovorenu naknadu.
Dakle, imamo dve ugovorne strane, naručioca i autora i jednu specifičnost, nosilac ekonomskih ovlašćenja autorskog prava je naručilac. U tom grmu leži intelektualna svojina.
Ugovor o narudžbini autorskog dela je ustvari jedna podvrsta ugovora o delu, iz njega se razvila svojim posebnostima. Ono što je bitno za vas, jeste da je poreski isplativiji ugovor o autorskom delu, što se javilo kao deo ideje o stimulisanju autorskog stvaralaštva.
Pravilo je da je autor nosilac autorskog prava, ali u nekim izuzecima, nosilac autorskog prava je neko drugo lice. To se dešava kod autorskih dela nastalih u radnom odnosu, pre svega. Ovde je nosilac autorskih prava poslodavac. Logika se krije iza toga što poslodavac plaća zaposlenog i daje mu nalog (odnosno ideju) šta i kako da stvara. Kod ugovora o narudžbini dela je situacija ista, autor je plaćen i ideja, odnosno nalog dolazi od naručioca autorskog dela.
Autorsko delo je jako širok pojam. Autorsko delo je originalno delo čoveka, koje ima duhovni sadržaj i koje je izraženo u određenoj formi. Autorsko delo je filmsko delo, knjiga, ali i logo, vizuelno predstavljanje, kod, program, sajt, baza podataka. Dakle, pored tradicionalnih dela javljaju se mnoga nova dela. Neka su manje, neka više složena. Na primer sajt se sastoji iz više autorskih dela, vizuelnog predstavljanja ili da kažemo frontend-a, i koda backend-a, autorskih tekstova, fotografija, pa čak i muzike, video zapisa po potrebi, i dr.
Računarski program predstavlja složeno delo, što dovodi do toga da je ovo najčešće i kolektivno autorsko delo. Dakle, više autora učestvuje na izradi istog. Naručilac mora imati ugovore sa svim autorima posebno ili sa onome ko je ugovorno obezbedio rad ostalih autora na datom računarskom programu.
Kada se govori o moralnim pravima, znamo da su ona neodvojiva od ličnosti autora, odnosno lična prava. Dakle, ako naručimo da neko napiše knjigu za nas, to znači da smo kada završi knjigu dobili ekonomska prava, dakle možemo je izdati i umnožiti, ali nikako ne možemo potpisati ovo delo našim imenom iako smo naručili knjigu sa baš tom tematikom i po našoj ideji i priči. Tako je i sa programom, naručilac ima samo ekonomska prava.
Kada napišemo knjigu, svako može kupiti svoj primerak, time se ne prenose autorska prava, već vlasništvo na jednom primerku knjige koji je proistekao iz autorskog prava, odnosno ovlašćenja da se umnoži i stavi u promet predmet autorskog prava. Kada se prodaje kod, dolazimo u pitanje šta smo time rekli, da li smo prodali jednu kopiju našeg koda kako bi je neko mogao koristiti, kao što neko čita svoju knjigu, dok mi možemo dati novi primerak istog koda drugome? Da li mi prodajemo ekskluzivno kod određenom licu i šta bi značila ekskluzivna prodaja. Zapravo bi tek ta ekskluzivna prodaja bila prenos autorskog prava, inače prodaja jednog primerka je samo prodaja jednog od ovlašćenja autorskog prava, pravo na korišćenje. Šta je interes onoga ko kupuje sajt? Verovatno da je sajt u njegovom isključivom vlasništvu. Da taj idejni koncept i samo rešenje ne može koristiti neko drugi, ali ne i da pojedine delove koda ne može koristiti za drugi sajt, već samo da vizuelizacija i funkcionalnost sajta, kao i njegov sadržaj budu autentični. Zato se sajt naručuje, ugovorom o narudžbini autorskog dela. Kao i program, aplikacija, pa i neka manje složena dela poput logoa, digitalnog dizajna i dr.
Napomena: Ovaj tekst predstavlja lične stavove autora, ne predstavlja uputstvo za pisanje ugovora (nisu navedeni čak ni bitni elementi ugovora), niti zamenu za angažovanje pravnog stručnjaka u oblasti prava intelektualne svojine, kao ni advokata u slučaju spora pred sudom u vezi ovih pitanja.
Autor teksta: Denis Tul
Šta očekuje rudare nakon početka primene Zakona o digitalnoj imovini?
Pre šest meseci, tačnije 29.12.2020. godine na snagu je stupio Zakon o digitalnoj imovini (Zakon), prvi pravni akt koji detaljno zakonski uređuje oblast digitalne imovine u Republici Srbiji. Pored Zakona izvršene su i izmene i dopune Zakona o porezu na dohodak građana, Zakona o porezu na dobit pravnih lica, Zakona o porezima na imovinu, Zakona o PDV-u, Zakona o sprečavanju pranja novca i finansiranja terorizma čime je pored pravne regulacije, digitalna imovina po prvi put uvedena u srpske pravne okvire kao oporeziva kategorija. O oporezivanju fizičkih lica kao i pravnih lica povodom digitalne imovine već smo pisali.
Zakon, odredbe koje se tiču digitalne imovine u poreskim zakonima kao i odredbe Zakona o sprečavanju pranja novca i finansiranja terorizma koje se tiču digitalne imovine počinju da se primenjuju po isteku 6 meseci od dana stupanja na snagu, odnosno 29.06.2021. godine kako bi se subjektima koji se bave uslugama povezanim sa digitalnom imovinom ostavio rok da se usklade sa novim pravnim režimom.
Što se rudara tiče, Zakon jasno kaže da je rudarenje dozvoljeno kako za fizička tako i za pravna lica i da se odredbe Zakona povodom izrudarene digitalne imovine ne primenjuju na rudare. Međutim, da li to znači da rudari mogu sa izrudarenom digitalnom imovinom raditi šta im je volja?
Rudari svakako imaju pravo da rudare digitalnu imovinu kao i da drže izrudarenu digitalnu imovinu. Međutim šta ukoliko se odluče da izrudarenu digitalnu imovinu prodaju, odnosno unovče? Zakon o porezu na dohodak građana (ZPDG) određuje da su rudari dužni da plate porez na ostvarenu kapitalnu dobit iz rudarenja po stopi od 15%. Ovo važi kako za rudare bilo da su oni fizička ili pravna lica. U nastavku članka, ukoliko nije drugačije naznačeno, izloženo se odnosi na rudare kao fizička lica.
Ovde primećujemo da je naš zakonodavac stao na poziciju kao i manjina uporednih poreskih sistema po kojoj se oporeziv događaj dešava, tek kada rudar raspolaže izrudarenom digitalnom imovinom, a ne u momentu dobijanja iste kao vid nagrade za rudare. Ističemo da je u skladu sa srpskim poreskim propisima ovo bila jedina opcija, imajući u vidu da se digitalna imovina oporezuje porezom na kapitalnu dobit, čija je osnovna odlika upravo da momentom raspolaganja digitalnom imovinom nastaje oporeziv događaj, a ne momentom kupovine digitalne imovine. Ističemo da postoji razlika između podnošenja poreske prijave za utvrđivanje poreza na kapitalnu dobit između fizičkih lica i preduzetnika s jedne strane i pravnih lica s druge strane i upućujemo čitaoce da zarad podsećanja pogledaju prethodni članak.
ZPDG nadalje precizira da u slučaju prenosa digitalne imovine stečene rudarenjem, nabavnom cenom će se smatrati iznos troškova koje je rudar imao u vezi sa sticanjem predmetne digitalne imovine koje može da dokumentuje. Ova poprilično nejasna odredba u praksi otvara pitanja da li bi rudar pored kupovine mašina za rudarenje i utrošene električne energije mogao još nešto da dokumentuje kao trošak rudarenja digitalne imovine. Takođe, postavlja se pitanje na koji način bi rudar mogao da dokaže koliko je struje od ukupne potrošnje struje otišlo na rudarenje, odnosno da li bi to značilo postojanje zasebnog brojila koje bi merilo potrošnju struje samo za mašine koje rudare (imajući u vidu da prosečno domaćinstvo uglavnom ima samo jedno brojilo). Zatim, postavlja se pitanje da li će rudar faktički platiti porez na kapitalnu dobit na iznos celokupne prodajne cene ako ne može da dokumentuje vrednost nabavljenih mašina i utrošene struje što nije tako teško zamisliti.
Ipak, na prvu loptu moramo zaključiti da je plaćanje poreza od 15% na ostvarenu kapitalnu dobit koja predstavlja razliku između prodajne i nabavne cene digitalne imovine povoljnije od režima koji je važio (koji je na snazi do 29.06.2021.). Naime, do sada prema ekstenzivnom tumačenju odredbi ZPDG izrudarena digitalna imovina se mogla oporezovati po stopi od 20% kojom se mogu oporezovati svi drugi prihodi koji nisu oporezovani po drugom osnovu ili nisu izuzeti od oporezivanja ili oslobođeni plaćanja poreza po ZPDG.
Pored nejasnoća koje se javljaju povodom dokumentovanja nabavne cene pre početka primene Zakona i drugih propisa vezanih za digitalnu imovinu, postavlja se i pitanje na koji način se može izvršiti efikasna kontrola rudara od strane Poreske uprave (posebno imajući u vidu tehničke kapacitete i stručna znanja), ali i kontrola podnošenja poreskih prijava prilikom prodaje digitalne imovine.
Izgleda da je NBS kao organ nadležan za nadzor i sprovođenje Zakona u delu virtuelnih valuta (kao oblika digitalne imovine) u naznakama dao odgovor na ovo pitanje. Ističemo kao posebno zanimljivu odredbu iz jedne od odluka koju je u maju donela NBS sa ciljem detaljnijeg regulisanja odredbi Zakona, a koja ističe da nadzoru NBS između ostalog podležu pravna i fizička lica i preduzetnici koji su kupili/prodali virtuelnu valutu preko pružaoca usluga (npr. preko menjačnice), lica koja rudare virtuelne valute kao i lica koja su na OTC tržištu nabavila virtuelnu valutu od lica koje nije pružalac usluga (npr. nabavila od drugog fizičkog ili pravnog lica). Što se nadzora nad pravnim licima tiče, u pitanju je zasebna tema koja je uređena različitim odlukama NBS kojima je propisan sijaset obaveza usklađivanja i izveštavanja NBS. Međutim ono što nas na ovom mestu najviše zanima je kakav nadzor mogu da očekuju fizička lica koja se bave rudarenjem ili fizička lica koja su kupila/prodala virtuelnu valutu preko menjačnice ili na OTC tržištu?
NBS navodi da se spomenute odredbe primenjuju na subjekte nadzora koji su preduzetnici, odnosno fizička lica na način i u meri u kojoj je takva primena moguća. Smatramo da ova krajnje nejasna odredba znači da će NBS kontrolisati fizička lica i preduzetnike u meri u kojoj to tehničke organizacione, ali i kadrovske sposobnosti NBS budu dozvoljavale što je u ovom momentu veoma teško predvideti kako će izgledati. Jedno je međutim sigurno, a to je da će fizička lica koja steknu virtuelnu valutu na neki od pomenutih načina, dvaput razmisliti da li će npr. podneti poresku prijavu za utvrđivanje poreza na kapitalnu dobit.
Nažalost, izgleda da odgovore na ova, ali i mnoga druga pitanja nećemo dobiti pre početka primene Zakona a možda ni dugo nakon toga. Do tada, ostaje da se zajedno zajedno sa sadašnjim i budućim pružaocima usluga povezanih sa digitalnom imovinom, ali i svim pravnim i fizičkim licima koja su nabavila digitalnu imovinu preko pružaoca usluga ili na OTC tržištu ili putem rudarenja nadamo da nadzor NBS neće biti opterećujuć, te da neće demotivisati subjekte. Napominjemo i da za razliku od NBS, Komisija za hartiju od vrednosti kao organ nadležan za nadzor i primenu Zakona u pogledu digitalnih tokena, još nije donela podzakonska akta koja bi detaljnije regulisala oblast digitalnih tokena.
Napomena: Ovaj tekst predstavlja lični stav autora o datoj temi i nije zamena za angažovanje pravnika ili advokata u određenom slučaju.
Autor: Bogdan Vujović
GDPR (General Data Protection Regulative) je donet u formi uredbe (regulative), što znači da je ovo opšti pravni akt koji donose organi EU i koji se primenjuje u svim državama EU od dana stupanja na snagu bez potrebe za posebnom ratifikacijom. Osnovni cilj ovog pravnog akta je zaštita ličnih podataka. Lični podatak je svaki podatak koji upućuje na tačno određeno fizičko lice: lično ime, JMBG, broj telefona, fotografija na kojoj se može prepoznati određeno lice, email adresa, IP adresa, broj tablice i dr. Ako prikupljate podatke ili ih obrađujete, ovo su 10 stvari koje morate znati o novog GDPR-u (iz ugla pravnika):
- GDPR će se primenjivati na privredne subjekte koje posluju na teritoriji RS.
Ovaj akt je netipičan jer će se primenjivati i izvan granica EU koja je donela ovaj akt, a u skladu sa članom 3 GDPR-a. U članu 3 stav 2 GDPR-a propisano je da će se ovaj akt koristiti na sve kompanije izvan EU pod uslovima da oni svoje robu i usluge prezentuju potencijalnim klientima u EU i da se iz njihovog ponašanja može zaključiti da robu i usluge nude u EU. Naime, ovim aktom se štite lični podaci građana EU bez obzira gde se prostorno njihovi podaci prikupljaju ili gde se podacima upravlja. Tako u Republici Srbiji privredni subjekti (preduzetnici, privredna društva, firme, kompanije itd.) koji u poslovanju prikupljaju, obrađuju i upravljaju podacima državljana EU moraju to činiti u skladu sa GDPR-om, a pod pretnjom kazne. Neke od situacija kada će se GDPR primenjivati na kompanije iz Srbije su sledeće: kada koriste internet domene država EU, kada koriste načine reklamiranja svojih proizvoda i usluga na tržištu EU (Google Adwords npr.) i kada koriste jezik ili valutu EU, a tako da se može zaključiti da imaju nameru da usluge i proizvode plasiraju na tržište EU i kada imaju mogućnost dostavljanja na teritoriju EU.
- GDPR se primenjuje i na podatke koji su prikupljeni pre njegovog donošenja.
GDPR je na snagu stupio 25.05.2018. godine, ali ovaj pravni akt će se primenjivati i na podatke koji su prikupljeni pre ovog datuma. Svi privredni subjekti koji su prikupljali podatke pre ovog datuma na način koji nije u skladu sa GDPR-om, moraju da ponovo prikupe date podatke ili da jednostavno pošalju upit svojim klientima, partnerima i drugim subjektima čije su podatke skladištili kako bi dobili potvrdu ovih lica da se slažu da privredni subjekt zadrži već prikupljene podatke i nastavi da ih koristi u skladu sa GDPR-om, Privacy Policy i drugim dokumentima.
- Email adresa jeste lični podatak
Obzirom da email upućuje na određenu ličnost, fizičko lice, odnosno da na osnovu emaila možemo detektovati određenu ličnost, email jeste lični podatak. Posledica ove činjenice jeste ta da i samo prikupljanje emailova mora biti sprovedeno u skladu sa GDPR-om. Poznat je vid marketinga pod nazivom newsletter marketing, gde privredno društvo prikuplja emailove, a u cilju da na iste prosleđuje tipske poruke kojima nudi svoje proizvode i usluge. Obzirom da se ovo prikupljanje emailova mora vršiti u skladu sa GDPR-om i ovaj vid marketinga pretrpeće određene promene. Naime, privredni subjekti moraju obavestiti subjekte čije podatke prikupljaju o tome da njihove podatke skladište i o razlozima zbog kojih to rade, te tražiti dozvolu za prikupljanje podataka. Dozvola mora biti data aktivnom radnjom subjekta i bezuslovno.
- Bitno je isticati koji podaci se prikupljaju i kako se koriste (poseban osvrt na sajt).
Licu čiji se podaci obrađuju u svakom momentu mora biti poznato koji se njegovi podaci prikupljaju i u kojem cilju, tj. kako će biti korišćeni. Kod onih pravnih lica koja rade putem sajtova i prikupljaju podatke putem istih postoje posebne poteškoće. U zavisnosti od svrhe sajta, sajt može prikupljati podatke posetioca sajta pri samoj poseti li pri obavljanju određenih radnji na sajtu. Prikupljanje podataka na sajtu obično se izvršava pomoću kontakt forme, a svi prikupljeni podaci čuvaju se u bazama podataka sajta. Ceo postupak prikupljanja i upravljanja podacima mora biti u skladu sa GDPR-om. Dakle, u trenutku prikupljanja podataka, licima čiji se podaci prikupljaju (subjekti) mora biti predočeno koji se podaci prikupljaju, na koji način, kako će se postupati sa tim podacima, odnosno za šta će biti korišćeni. Opšte prihvaćen način da se subjekti informišu o ovome jeste kroz pisani ugovor koji potpisuju pri stupanju na sajt, registraciji. Ovi ugovori zaključuju se u elektronskom obliku i mogu imati više različitih formi, naziva, pa će se tako najčešće pojavljivati Privacy Policy, ali nije isključeno da odredbe vezane za Privacy Policy pronađete inkorpirirane u ugovore pod nazivom Terms&Conditions, Terms of Agreement. Ono što je bitno je da aktivnom radnjom subjekt mora označiti da prihvata ugovorne uslove takvi kakvi su ponuđeni od strane urednika sajta. U tom momentu smatra se da je lice potpisalo ugovor i da je informisano o sadržaju istog. Ugovor mora biti na raspolaganju stranci uvek da ga pročita. Na sajtu se svako prikupljanje podataka mora vršiti u skladu sa onim što je naznačeno u ugovoru. Predlog je da se ne prikupljaju nepotrebni i suvišni podaci, te da kontakt forma bude kratka, jasna i pripremljena tako da prikuplja samo neophodne podatke za koje je u ugovoru navedeno da se prikupljaju. Bitno je napomenuti da mnogi sajtovi koriste alate (tools, npr. CRM) i kolačiće (cookies). U ugovoru mora biti navedeno koje alate i kolačiće koristi sajt i koje podatke oni prikupljaju i u koje svrhe. Vlasnik sajta bi trebalo da pazi da koristi samo one alate i kolačiće koji su u skladu sa GDPR-om. Obavezno je da posetilac sajta aktivnom radnjom prihvati zaključenje ugovora sa vlasnikom sajta.
- Sa transkriptima četova se mora postupati kao sa podacima o ličnosti
Način na koji se čuvaju sadržaji četova, te kako se istima upravlja moraju biti u skladu sa GDPR-om. Vlasnik sajta na kojem se koriste četovi drugih provajdera moraju proveriti da li se ti četovi vode u skladu GDPR-om, jer su oni odgovorni za povrede odredaba GDPR-a korisnicima. Upravljanje transkriptima ovakvih četova dakle mora biti unapred poznato korisniku koji pristupa sajtu.
- Baze podataka moraju biti osigurane od stranog pristupanja
Pravila vezana za prikupljanje podataka pogađaju sve vrste bazi podataka koje sadrže lične podatke subjekata. Vlasnik baze podataka je dužan da za svaki ilegalan pristup podacima o istome obavesti stranke, te učini sve da zaštiti podatke koje je prikupio o korisniku, ili obriše podatke ukoliko to stranka zahteva. Neka od rešenja kojima se može garantovati sigurnost podataka jesu pseudonimizacija i enkripcija. Pseudonimizacija se vrši tako što se stvara više baza podataka u kojima se čuvaju različiti podaci korisnika, a koji se podaci povezuju pomoću ključeva.
- Obim prava data subjekata je proširen.
Generalno GDPR-om se propisana pravila koja se primenjuju na sve vidove prikupljanja podataka, a koji se obzirom na tehnologiju prikupljanja moraju prilagoditi svakom načinu prikupljanja i obrade istih. GDPR-om su tako proklamovana određena prava subjekata koja im moraju biti zagarantovana u svakom i najmanjem sistemu koji se bavi prikupljanjem i upravljanjem podacima. Neka od prava zagarantovanih subjektima su sledeća: pravo subjekta da bude obavešten o razlozima prikupljanja podataka i načinima upravljanja istih, pravo da bude obavešten u svakom momentu o tome koje podatke poseduje onaj ko ih prikuplja, pravo da podaci budu tačni, ispravljeni, dopunjeni, pravo da bude obavešten o svakoj kompromitaciji podataka u sistemu, pravo na zaborav (right to be forgoten). +Pravo vlasnika privrednog subjekta je da proda taj privredni subjekt, ali prodajom subjekta najčešće se prodaje i imovina u šta spadaju i baze podataka. Ostaje upitno da li će sa prodajom privrednog subjekta biti moguće na novog vlasnika preneti i baze podataka koje ovaj subjekt poseduje. Ovaj problem rešava se kvalitetnim sačinjavanjem ugovora, Terms of Agreement, pri prikupljanju podataka, jer bi najsigurnije bilo kada bi subjektima bilo poznato da privredni subjekt može biti prodat sa svojom imovinom koju čine i baze podataka. Naravno podaci se moraju nastaviti koristiti u skladu sa ugovorenim, odnosno predstavljenim u trenutku potpisivanja ugovora. Ovo je posebna tematika koja se javlja u okviru diskursa o pravu subjekta da bude obavešten o mogućim načinima upravljanja njegovim podacima.
- Za kršenje propisa u poslovanju privrednih subjekata utvrđene su teške kazne.
GDPR je propisao dve grupe kazni koje se izriču za određena kršenja ovog akta:
1. 2% godišnjeg globalnog obrta novca, ili maksimalno 10 miliona evra, za sledeća kršenja GDPR-a: kršenje podataka, nekorišćenje usluga DPO-a (Data Protection Operator), nesprovođenje DPIA (Data Protection Impact Assessment), nečuvanje odgovarajućih zapisa.
2. 4% godišnjeg globalnog obrta novca, ili maksimalno 20 miliona evra, za sledeća kršenja GDPR-a: nedobijanje pristanka, neuvažavanje prava korisnika propisanih GDPR-om, izmeštanje podataka izvan EU opisano u poglavlju 5 GDPR-a.
U praksi smo bili svedoci nekih već izrečenih kazni. Npr. Google je kažnjen novčanom kaznom u iznosu od 50 miliona evra.
- Kazne će moći da budu izvršene u državama izvan EU, kao što je Republika Srbija.
Da li će ove kazne biti uspešno naplaćivane na teritoriji RS u izostanku dobrovoljnog izvršenja ostaje da se vidi, ali politika okrenuta ka evropskim integracijama jeste jak predznak da će domaći sudovi takvim odlukama kroz postupak legalizacije stranih odluka davati snagu domaćih, odnosno izvršnost. Ovim putem će odluke ulaziti u pravni sistem Republike Srbije i biće omogućeno da se sistem prinudnog izvršenja i institucije koje predstavljaju nosioce ovog postupka stave na raspolaganje EU. Na koncu konca, Republika Srbija se potpisom na Sporazum o stabilizaciji i pridruživanju potpisanim sa EU, obavezala da će svoje zakonodavstvo uskladiti sa zakonodavstvom EU.
- Postavljanje DPO-a ne oslobađa privredni subjekt odgovornosti za kršenje GDPR-a.
Svaki privredni subjekt može postaviti DPO (Data Protection Operator). Ovo bi trebalo da pomogne da se zaštita podataka ličnosti u poslovanju podigne na viši nivo, ali ukoliko privredni subjekt prekrši prava podataka ličnosti, privredni subjekt će odgovarati za ta kršenja obavezujućih odredaba GDPR-a i potencijalno biti kažnjen, a ne fizičko lice koje je na poziciji DPO-a u privrednom subjektu. Ovo lice će eventualno odgovarati za materijalnu štetu prouzrokovanu privrednom subjektu u skladu sa odredbama o odgovornosti zaposlenog u skladu sa važećim Zakonom o radu.
Zaključak
Svaki privredni subjekt registrovan u Srbiji, a koji posluje na tržištu EU, odnosno prikuplja podatke građana EU mora to raditi u skladu sa GDPR-om ili izabrati da ignoriše ovo tržište. Moguće je ignorisati građane EU na brojne načine koji su bliži IT stručnjacima (npr. blokiranjem lica koja sajt posećuju sa IP adresa registrovanih u EU), ali danas kada je Srbija okružena državama članicama EU ovo nije najefikasniji način da se suoči sa problematikom zaštite ličnih podataka. Zato predlažemo da ne ignorišete ovo veliko tržište već da radite na pronalasku pravne podrške, pripremi kvalitetnih elektronskih ugovora (Terms and Conditions, Terms of Agreement, Privacy Policy) koje ćete ponuditi svojim klientima, korisnicima, posetiocima sajtova, partnerima i na opštem usklađivanju poslovanja sa GDPR-om.
Napomene:
-Novi Zakon o zaštiti podataka o ličnosti počinje da se primenjuje od 21.08.2019. godine i o njemu i njegovoj usklađenosti sa GDPR-om će tek biti reči.
-Ovaj tekst sadrži predloge i savete date nakon pravne analize teksta GDPR-a, ali ovaj tekst ne predstavlja zamenu za angažovanje DPO-a u vašem privrednom subjektu, te pravnu konsultaciju ili pravnu pomoć, a što bi trebalo biti individualizovano za svaki poseban poslovni projekat, firmu, sajt i dr.
Zahvalnost dugujem dvojici saradnika:
-Ivan Andrejević, diplomirani pravnik, za pruženu stručnu pomoć u istraživanju i tumačenju literature i razmeni mišljenja.
-Ivan Belić, stručnjak u oblasti prava zaštite podataka ličnosti, za pružene savete i obezbeđenu literaturu. Autori teksta: Denis Tul