Uredba Evropske Unije o zaštiti podataka o ličnosti

Uredba Evropske Unije o zaštiti podataka o ličnosti

Zakonodavna procedura za donošenje nove regulative za zaštitu podataka o ličnosti započeta je januara 2012. godine. Nakon duge javne diskusije, niza usaglašavanja predloga tekstova i razmatranja preko 4.000 amandmana, sredinom aprila 2016. godine objavljena je vest da su se institucije Evropske Unije usaglasile oko konačanog teksta Uredbe o zaštiti podataka o ličnosti. U narednom periodu dokument će biti preveden na oficijalne jezike EU i objavljen u službenom listu EU. Puna primena Uredbe stupa na snagu u roku od dve godine od momenta objave u službenom listu.

Zašto je usvojena nova regulativa?

Pravo Evropske Unije o zaštiti podataka o ličnosti je nastalo kao potreba dodatnog razvoja i regulacije prava na privatnost, koje jeste jedno od fundamentalnih prava i garantovano je osnovnim pravnim aktima EU. Centralni pravni izvor Prava EU o zaštiti podataka o ličnosti jeste Direktiva o zaštiti podataka o ličnosti poznata i kao Direktiva 95/46. Ova direktiva je doneta 1995. godine i reguliše osnove institute zaštite podataka o ličnosti i njeni rukovodni principi preneti su u nacionalne pravne okvire. Na ovaj način je stvoren visoko harmonizovan sistem Prava na zaštitu podataka o ličnosti Evropske Unije.

Tehnološki razvoj i velika uloga interneta stvorili su okruženje koje je „pametnije“ i u kome najrazličitije stvari mogu da komuniciraju. Takvo okruženje karakteriše obrada daleko većeg obima ličnih podataka nego što je to bio slučaj kada je doneta Direktiva 95/46. Iako upotreba ličnih podataka jeste od koristi za dalji tehnološki napredak, problem nastaje kada dođe do nelegitimne obrade podataka. Obrada podataka van bilo kakve kontrole pojednica čiji se podaci obrađuju stvara mogućnost za diskriminaciju i nefer tretman. Na taj način guše se slobode kako samog pojednica tako i celog društva. U novostvorenoj realnosti javila se potreba za novim balansom prednosti i pretnji koje nastaju u obradi ličnih podataka. Nova Uredba predstavlja novi balans koji treba da dobije svoj regulatorni smisao ne samo na teritoriji EU, već i šire.

Šta se menja Uredbom o zaštiti podataka o ličnosti?

Pre nego što predstavimo konkretne regulatorne promene, moramo da ukažemo na to da nova regulativa stvara potrebu za revizijom poslovnih modela i strategija kod mnogih evropskih i vanevropskih kompanija koje nude svoje usluge i robe u EU. Gotovo u isto vreme kada je objavljen tekst uredbe, Evropska komisija je otvorila javnu raspravu o Direktivi o elektornskoj privatnosti (poznatijoj kao i Zakon o kolačićima – „Cookie Law“). Samim tim očekuju se da u doglednoj budućnosti celokupni regulatorni okvir koji se odnosi na obradu podataka putem savremenih tehnologija bude izmenjen. Regulatorne promene koje donosi Uredba o zaštiti podataka o ličnosti odnose se na promenu tradicionalnih pravnih instituta, ali i na uvođenje novih. U ovom tekstu ukratko ukazujemo na najznačajnije i najočiglednije regulatorne promene.

Promene u tradicionalnim pravnim institutima

  • Teritorijalna primena Uredbe – Obrada podataka koja se vrši od strane kompanija sa sedištem u EU, ali i obrada podataka lica iz EU od strane kompanije van EU moraju biti u skladu sa Uredbom.
  • Saglasnost – Uredba definiše saglasnosti za obradu ličnih podataka na taj način što ona mora biti data u eksplicitnom obliku. Drugim rečima, saglasnost ne može da se podrazumeva i postoji mogućnost njenog opoziva u bilo kom momentu.
  • Rukovalac i obrađivač podataka – Nova regulativa uvodi set novih obaveza za rukovaoca i obrađivača podataka. Obaveze su pretežno tehničkog i organizacionog karaktera, u cilju povećanja transparentnosti procesa obrade podataka. Takođe, rukovalac i obrađivač podataka imaće više osnova (i obaveza) da sarađuju sa nadležnim regulatornim i kontrolnim telima za zaštitu podataka o ličnosti. Saradnja se apostrofira naročito u slučajevima u kojima je došlo do povrede podataka.

Novine

  • Prenosivost podataka („Data Portability“) – Kompanije koje obrađuju podatke (ili u čije se ime podaci obrađuju) moraju da osiguraju da lica čiji se podaci obrađuju mogu lako da prenesu svoje podatke u neku drugu kompaniju.
  • One-Stop-Shop – Uredbom se formira jedinstveno telo na nivou EU koje se bavi zaštitom podataka o ličnosti. Ovo telo dobija vodeću regulatornu ulogu i postaje vrhovna kontrolna institucija u oblasti zaštite podataka o ličnosti u EU i za pitanja primene regulatornog okvira.
  • Kazne – Uredba uvodi novčane kazne za lica koja krše regulativu. Iznos kazne se kreće do 4% celokupnog godišnjeg prometa (promet ostvaren ne samo u EU, već u celom svetu).
  • Integrisana zaštita privatnosti i podrazumevana privatnost („Privacy by design” i “Privacy by default”) – Kompanije će biti u obavezi da razviju sistem proaktivne zaštite ličnih podataka. Uredba propisuje obaveznu upotrebu principa integrisane zaštite privatnosi i podrazumevane privatnosti. Faktički, kompanije će već u fazi dizajna proizvoda ili usluga morati da razvijaju sistem zaštite podataka i da se drže principa zaštite tokom celokupnog životnog ciklusa proizvoda i usluga.

Moguće refleksije Uredbe na pravo Republike Srbije

Jako je teško predvideti kako će Uredba Evropske Unije o zaštiti podataka o ličnosti uticati na poslovne aktivnosti i pravne odnose. Puno je dilema koje su vezane za efektivnu primenu nove regulative, kao i za posledice njene primene na budući tehnološki razvoj. Jaka zaštita podataka o ličnosti jeste poželjna, ali ona može da ostavi negativne refleksije na bezbednost, sigurnost, konkuretnost tržišta, pa čak i na zaštitu potrošača.

Republika Srbija ima svoj zakondavni okvir u oblasti zaštite podataka o ličnosti. No, čini se da ovaj okvir nije potpun i da ima još puno posla na stvaranju okruženja koje bi efikasno štitilo podatke o ličnosti građana. Donošenje podzakonskih akata, jačanje uloge poverenika nadležnog za zaštitu podataka o ličnosti, edukacija o zaštiti ličnih podataka i generalno jačanje principa pravne države i vladavine prava u oblasti zaštite podataka o ličnosti jesu veliki izazov ovog vremena. No, čini se da su budući izazovi daleko veći.

Najpre, Uredba nameće potrebu da se trenutni zakonodavni okvir menja. Trenutno važeći Zakon o zaštiti podataka o ličnosti mora biti promenjen i unifikovan u skladu sa evropskim regulatornim okvirom. Sadašnji zakon jeste harmonizovan sa Direktivom 95/46. Ipak, stepen izjednačavanja prava u oblasti zaštite podataka o ličnosti na teritoriji EU donošenjem Uredbe o zaštiti podataka o ličnosti postaje viši, jer se Uredbom vrši unifikacija prava (ne harmonizacija). Iz perspektive Repubike Srbije unifikacija nacionalnog zakonodavnog okvira sa evropskim regulatornim okvirom iz oblasti zaštite podataka o ličnosti jeste neophodna, ne samo zbog postupka koji se popularno naziva pristupanje Evropskoj Uniji, već i zbog stvaranja specifičnog poslovnog ambijenta. Naime, novi pravni instituti koji se uvode Uredbom nameću potrebu za revizijom trenutnih poslovnih modela, za opsežnim restruktuiranjem internih pravnih okvira i jačanjem kapaciteta mnogih kompanija koje posluju u Srbiji. Srpske kompanije koje obrađuju podatke lica iz EU moraće da uzmu u obzir stepen povećane odgovornosti za takve aktivnosti. Kazne koja propisuje Uredba jesu jako visoke i mogu da se odnose i na kompanije koje imaju sedište u Republici Srbiji. Pored toga, „Privacy by design”, „Privacy by default”, „Privacy Impact Assessment“, „Right to be forgotten“ jesu interdisciplinarni instituti sa kojima pravno i poslovno okruženje u Srbiji nema previše iskustva. Ostaje da se vidi kako će različiti sektori (npr. privredni, nevladini, državni) da reaguju i da li će stvoriti okruženje sa proaktivnim osobinama u vremenu koje nameće drugačiji pristup zaštiti podataka o ličnosti.

Dušan Pavlović, LL.M. M.Econ.

Ekspert za onlajn kockanje, doktorski kandidat LAST-JD EM studija, master prava i master ekonomije

  • googleplus
  • linkedin