Fokus: Opšta Uredba o zaštiti podataka o ličnosti Evropske unije
Evropski parlament i Savet Evropske Unije su dana 27. aprila 2016. godine usvojili Uredbu (EU) 2016/679 o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti, o slobodnom kretanju takvih podataka i o stavljanju Direktive 95/46/EC van snage (u daljem tekstu: „Uredba“) koja će početi da se primenjuje dana 25. maja 2018. godine.
Jedan od glavnih razloga za usvajanje Uredbe jeste potreba za pojačanom zaštitom pojedinca usled ubrzanog tehnološkog razvoja i globalizacije koji su doveli do značajnog povećanja obima prikupljanja i razmene podataka o ličnosti. U tom smislu, cilj Uredbe je da napravi čvrst i usklađen okvir za zaštitu podataka o ličnosti koji će omogućiti razvoj digitalne ekonomije unutar Evropske Unije (u daljem tekstu: „Unija“), i to na način da pravo na zaštitu podataka o ličnosti bude uređeno i uravnoteženo sa drugim osnovnim pravima predviđenim Poveljom o osnovnim ljudskim pravima Unije, u skladu sa načelom proporcionalnosti.
Iako Republika Srbija nije članica Unije, Uredba će se primenjivati neposredno i prema određenim privrednim subjektima u Republici Srbiji. Pored toga, Republika Srbija je otvorila poglavlje 23 u postupku pregovora za ulazak u Uniju (koje se između ostalog odnosi i na zaštitu podataka o ličnosti), što implicira da će propisi
Republike Srbije biti harmonizovani sa odredbama Uredbe. Navedeno je potvrđeno i nacrtom novog Zakona o zaštiti podataka o ličnosti koje je Ministarstvo pravde Republike Srbije objavilo u decembru 2017. godine, čije odredbe sadrže mnoge institute koji su regulisani Uredbom.
U daljem tekstu će biti više reči o teritorijalnom važenju Uredbe, kao i o najvažnijim rešenjima i institutima koji su regulisani Uredbom.
1. Teritorijalno važenje
Uredba se primenjuje na obradu podataka o ličnosti od strane privrednih subjekata – rukovaoca ili obrađivača podataka koji imaju sedište na teritoriji Evropske Unije, nezavisno od toga da li se obrada podataka vrši u Uniji ili ne.
Takođe, Uredba se primenjuje na obradu podataka o ličnosti lica na koja se podaci odnose koja se nalaze u Uniji, a koju vrši rukovalac ili obrađivač koji nema sedište u Uniji, ako je obrada vezana za (a) nuđenje robe ili usluga takvim licima, nezavisno od toga da li lice na koje se podaci odnose treba da izvrši plaćanje i (b) praćenje njihovog ponašanja, pod uslovom da se njihovo ponašanje odvija unutar Unije.
2. Podaci o ličnosti i identifikacija fizičkog lica
Uredbom je definisano da su podaci o ličnosti svi podaci koji se odnose na fizičko lice čiji je identitet određen ili se može odrediti. U kontekstu sve prisutnijeg procesa digitalizacije, Uredbom je, između ostalih identifikatora, uveden i mrežni identifikator za identifikovanje fizičkog lica na koje se podatak odnosi, sa kojim fizička lica mogu da budu povezana preko njihovih uređaja ili aplikacija, a koji se štiti ovom Uredbom.
3. Osnovi za obradu podataka o ličnosti
Uredbom su utvrđeni egzaktni osnovi za obradu podataka o ličnosti: (1) pristanak lica, (2) izvršavanje ugovora u kojem je lice na koje se podaci odnose ugovorna strana ili preduzimanja mera na zahtev lica na koje se podaci odnose pre zaključenja ugovora, (3) izvršavanje zakonske obaveze koja se primenjuje na rukovaoca, (4) zaštita vitalnih interesa lica na koje se podaci odnose ili drugog lica, (5) izvršavanje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu i (6) postojanje legitimnog interesa čijem ostvarenju teži rukovalac ili treće lice osim kad nad tim interesima preovlađuju interesi osnovnih prava i sloboda lica na koje se podaci odnose koji zahtevaju zaštitu prava o ličnosti.
4. Obrada sa pristankom
Uredba uređuje da pristanak za obradu podataka o ličnosti predstavlja jasna potvrdna radnja kojom se izražava dobrovoljan, konkretan, informisan i nedvosmislen pristanak lica na obradu podataka o ličnosti, kao što je pisana izjava, uključujući i elektronsku izjavu, ili usmenu izjavu. Pored toga, Uredbom se na „exempli causa“ način definiše šta se smatra elektronskom izjavom (npr. štikliranje polja prilikom posete internet sajtu), a šta se ne smatra pristankom (ćutanje, unapred štiklirano polje).
5. Pristanak dece za obradu
Uredbom je utvrđeno da dete mlađe od 13 godina nikada ne može samo da daje pristanak za obradu ličnih podataka u vezi sa on-line uslugama. Za decu uzrasta 13-15 godina postoji generalno pravilo po kojem je neophodan pristanak roditelja, osim ukoliko države članice Unije ne predvide da za taj uzrast nije neophodan pristanak roditelja, ali u svakom slučaju, države članice Unije ne mogu svojim zakonodavstvom da smanje prag ispod 13 godina.
Deca od 16 godina i starija mogu samostalno da daju saglasnost za obradu podataka u vezi sa on-line uslugama. Uredba ne reguliše pristanak dece u vezi sa obradom podataka koja se ne odnosi na on-line usluge, što znači da će se u tim situacijama primenjivati pravila država članica Unije.
6. Legitimni interes kao osnov za obradu podataka
Preambulom Uredbe je predviđeno šta se sve može smatrati legitimnim interesom rukovaoca ili trećeg lica za obradu podataka o ličnosti, poput slučaja kada rukovalac obrađuje podatke lica koje je zaposleno u njegovoj službi ili je lice klijent rukovaoca, kao i u slučaju obrade podataka za potrebe sprečavanja prevara ili za potrebe direktnog marketinga.
Legitimni interes rukovaoca ili trećeg lica za obradu podataka neće biti dovoljan ukoliko nad tim interesom pretežu interesi osnovnih prava i sloboda lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose dete.
7. Obaveštenje o obradi
Uredba na ekstenzivan način uređuje informacije koje je rukovalac dužan da dostavi licu čiji se podaci obrađuju. Rukovalac je dužan da dostavi obaveštenje o obradi licu čiji se podaci obrađuju odmah prilikom pribavljanja podataka, ukoliko je iste pribavio direktno od tog lica, a u drugim slučajevima:
- u razumnom roku od dana pribavljanja podataka (ali ne dužem od jednog meseca);
- ukoliko su ti podaci korišćeni za komunikaciju sa tim licem, najkasnije u trenutku kada se ta komunikacija prvi put dogodila;
- ako je predviđeno otkrivanje podataka drugom korisniku, najkasnije kada se podaci o ličnosti prvi put otkriju.
Rukovalac nije dužan da dostavi obaveštenje u određenim slučajevima, poput slučaja u kojem je obaveštavanje nemoguće ili bi isto imalo za posledicu preduzimanje nesrazmernih napora za rukovaoca.
8. Prava lica na koja se podaci odnose
Uredba na sistematičan način uređuje prava lica na koja se podaci odnose (kao i način i uslove pod kojima se ta prava mogu upražnjavati), i to: 1) pravo na pristup i informacije o obradi, 2) pravo na ispravku, 3) pravo na brisanje („pravo na zaborav“), 4) pravo na ograničavanje obrade, 5) pravo na prenosivost podataka, 6) pravo na prigovor, 7) pravo na opoziv za obradu podataka o ličnosti; 8) pravo da se na lice ne odnose automatizovane pojedinačne odluke, 9) pravo na obaveštenje o povredi bezbednosti podataka o ličnosti; 10) pravo na pritužbu nadležnom organu i na delotvorno pravno sredstvo protiv nadležnog organa; 11) pravo na delotvorno pravno sredstvo protiv rukovaoca ili obrađivača; 12) pravo na naknadu materijalne i nematerijalne štete.
9. Evidencija aktivnosti obrade
Uredbom je predviđena obaveza za rukovaoce i obrađivače da vode evidenciju aktivnosti obrade. Obaveza vođenja evidencije aktivnosti obrade ne odnosi se na preduzeće ili organizaciju u kojoj je zaposleno manje od 250 lica, osim kada postoji verovatnoća da će obrada koju vrši predstavljati visok stepen rizika za prava i slobode lica na koja se podaci odnose, ako obrada nije povremena ili ako obrada obuhvata posebne kategorije podataka, ili su u pitanju podaci o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost.
10. Bezbednost obrade i povreda bezbednosti podataka o ličnosti
Prema Uredbi, rukovalac i obrađivač su dužni da primenjuju odgovarajuće tehničke i organizacione mere kako bi postigli odgovarajući nivo bezbednosti shodno riziku. Uredbom su navedene neke od tehničkih i organizacionih mera koji mogu biti preduzeti, kao što su: (a) pseudonimizacija i enkripcija podataka o ličnosti; (b) mogućnost obezbeđivanja trajne poverljivosti, celovitosti, dostupnosti i otpornosti sistema i usluga obrade; (c) sposobnost blagovremenog ponovnog uspostavljanja dostupnosti podataka o ličnosti i pristupa njima u slučaju fizičkog ili tehničkog incidenta; (d) postupak redovnog testiranja, ocenjivanja i procene delotvornosti tehničkih i organizacionih mera za postizanje bezbednosti obrade.
Takođe, Uredbom je predviđena procedura, odnosno sistem obaveštavanja u slučaju povrede bezbednosti podataka o ličnosti i to: 1) obaveza obrađivača da obavesti rukovaoca o povredi bezbednosti podataka; 2) obaveza rukovaoca da obavesti nadzorni organ o povredi bezbednosti podataka i 3) obaveza rukovaoca da obavesti lice na koje se podaci odnose o povredi bezbednosti podataka. Obaveza obaveštavanje od strane rukovaoca i obrađivača podrazumeva i njihove prethodne obaveze u smislu preduzetih mera ili planiranja preduzimanja mera za otklanjanja posledica povrede bezbednosti podataka o ličnosti.
11. Procena uticaja u vezi sa zaštitom podataka i prethodne konsultacije
Uredba propisuje obavezu rukovaoca da pre obrade vrši procenu uticaja predviđenih postupaka obrade na zaštitu podataka o ličnosti ako postoji dobra mogućnost da će neka vrsta obrade, posebno primenom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade, prouzrokovati veliki rizik za prava i slobode fizičkih lica.
Rukovalac se konsultuje s nadzornim organom pre obrade ako je procena uticaja pokazala da bi obrada prouzrokovala veliki rizik u slučaju da rukovalac ne primeni mere za ublažavanje rizika.
Ako nadzorni organ nađe da bi se nameravanom obradom kršila Uredba, posebno ako rukovalac nije u dovoljnoj meri identifikovao ili umanjio rizik, nadzorni organ u rokovima određenim Uredbom pisanim putem savetuje rukovaoca, a prema potrebi i obrađivača.
12. Lice za zaštitu podatka o ličnosti
Uredbom je uvedeno lice zaduženo za zaštitu podataka o ličnosti. Rukovaoci i obrađivači su dužni da ga imenuju: 1) kada obradu vrši organ javne vlasti ili javno telo, osim sudova koji postupaju u okviru svoje sudske nadležnosti; 2) kada se osnovne delatnosti rukovaoca ili obrađivača sastoje iz radnji obrade koje zbog svoje prirode, obima ili svrhe zahtevaju redovno i sistematsko masovno praćenje lica na koja se podaci odnose; 3) kada se osnovne delatnosti rukovaoca ili obrađivača sastoje iz masovne obrade naročito osetljivih podataka i podataka o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost.
Rukovaoci i obrađivači moraju da obezbede da lice za zaštitu podataka o ličnosti bude uključeno u sva pitanja od značaja za zaštitu podataka o ličnosti kao i da isto može samostalno i nezavisno da obavlja poslove bez bilo kakvih instrukcija i bojazni od kažnjavanja ili otpuštanja usled zakonitog obavljanja poslova na zaštiti podataka o ličnosti. Lice za zaštitu podataka o ličnosti neposredno odgovara najvišem rukovodstvu kod rukovaoca ili obrađivača. Uredba na detaljan način uređuje zadatke i obaveze lica za zaštitu podataka o ličnosti.
13. Kodeksi ponašanja i sertifikacija
Uredbom se podstiču rukovaoci i obrađivači na izradu kodeksa ponašanja koji će imati za svrhu doprinos pravilnoj primeni odredaba Uredbi. Nadzorni organ je nadležan da daje mišljenje da li je nacrt kodeksa ili izmena kodeksa u skladu sa odredbama Uredbe, daje saglasnost na nacrt kodeksa i izmene kodeksa.
Uredbom se takođe podstiče i uspostavljanje mehanizama sertifikacije zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su radnje obrade koje primenjuju rukovalac i obrađivač u skladu sa Uredbom. Sertifikacija se izdaje od strane sertifikacionih tela koja su dobila akreditaciju od strane nadzornog organa ili nacionalnog akreditovanog tela, pod uslovima koji su Uredbom detaljno razrađeni.
14. Prenos podataka o ličnosti trećim zemljama ili međunarodnim organizacijama
Prenos podataka o ličnosti trećim zemljama ili međunarodnim organizacijama vrši se na osnovu Odluke o adekvatnosti koju donosi Komisija Unije, na bazi uslova koji su Uredbom detaljnije razrađeni. Komisija nakon procene adekvatnosti nivoa zaštite može aktom za sprovođenje da odluči da li treća zemlja, teritorija ili jedan ili više konkretnih sektora unutar treće zemlje ili međunarodna organizacija obezbeđuje adekvatan nivo zaštite. Uredbom su previđena odstupanja po kojima prenos podataka može biti izvršen trećim zemljama i međunarodnim organizacijama bez prethodne odluke o adekvatnosti.
15. Administrativne novčane kazne
Uredbom su predviđeni opšti uslovi za izricanje administrativnih novčanih kazni i kriterijumi koje su nadležni organi dužni da uzimaju u obzir prilikom donošenja odluke o izricanju adminstrativnih novčanih kazni. Predviđene novčane kazni, u zavisnosti od toga koje odredbe Uredbe su prekršene, iznose:
- do 10.000.000,00 EUR, ili, u slučaju društva, do 2% ukupnog godišnjeg prometa u svetu za prethodnu finansijsku godinu, u zavisnosti od toga koji je iznos veći;
- do 20.000.000,00 EUR, ili, u slučaju društva, do 4% ukupnog godišnjeg prometa u svetu za prethodnu finansijsku godinu, u zavisnosti od toga koji je iznos veći.
Države članice Unije utvrđuju pravila o ostalim sankcijama koje se primenjuju na kršenje odredaba Uredbe, posebno za prekršaje za koje se ne izriču administrativne novčane kazne, i preduzimaju sve potrebne mere kako bi obezbedile njihovu primenu. Te sankcije moraju biti delotvorne, srazmerne i odvraćajuće.
Preuzmite PDF verziju: Opšta Uredba o zaštiti podataka o ličnosti Evropske unije
Odricanje od odgovornosti: Tekst u prilogu šalje se kao opšte uputstvo i ne predstavlja pravni savet. Copyright Cvetkovic, Skoko & Jovicic 2018.