Законодавна процедура за доношење нове регулативе за заштиту података о личности започета је јануара 2012. године. Након дуге јавне дискусије, низа усаглашавања предлога текстова и разматрања преко 4.000 амандмана, средином априла 2016. године објављена је вест да су се институције Европске Уније усагласиле око коначаног текста Уредбе о заштити података о личности. У наредном периоду документ ће бити преведен на официјалне језике ЕУ и објављен у службеном листу ЕУ. Пуна примена Уредбе ступа на снагу у року од две године од момента објаве у службеном листу.
Зашто је усвојена нова регулатива?
Право Европске Уније о заштити података о личности је настало као потреба додатног развоја и регулације права на приватност, којe јесте једно од фундаменталних права и гарантовано је основним правним актима ЕУ. Централни правни извор Права ЕУ о заштити података о личности јесте Директива о заштити података о личности позната и као Директива 95/46. Ова директива је донета 1995. године и регулише основе институте заштите података о личности и њени руководни принципи пренети су у националне правне оквире. На овај начин је створен високо хармонизован систем Права на заштиту података о личности Европскe Унијe.
Технолошки развој и велика улога интернета створили су окружење које је „паметније“ и у коме најразличитије ствари могу да комуницирају. Такво окружење карактерише обрада далеко већег обима личних података него што је то био случај када је донета Директива 95/46. Иако употреба личних података јесте од користи за даљи технолошки напредак, проблем настаје када дође до нелегитимне обраде података. Обрада података ван било какве контроле поједница чији се подаци обрађују ствара могућност за дискриминацију и нефер третман. На тај начин гуше се слободе како самог поједница тако и целог друштва. У новоствореној реалности јавила се потреба за новим балансом предности и претњи које настају у обради личних података. Нова Уредба представља нови баланс који треба да добије свој регулаторни смисао не само на територији ЕУ, већ и шире.
Шта се мења Уредбом о заштити података о личности?
Пре него што представимо конкретне регулаторне промене, морамо да укажемо на то да нова регулатива ствара потребу за ревизијом пословних модела и стратегија код многих европских и ваневропских компанија које нуде своје услуге и робе у ЕУ. Готово у исто време када је објављен текст уредбе, Европска комисија је отворила јавну расправу о Директиви о електорнској приватности (познатијој као и Закон о колачићима – „Cookie Law“). Самим тим очекују се да у догледној будућности целокупни регулаторни оквир који се односи на обраду података путем савремених технологија буде измењен. Регулаторне промене које доноси Уредба о заштити података о личности односе се на промену традиционалних правних института, али и на увођење нових. У овом тексту укратко указујемо на најзначајније и најочигледније регулаторне промене.
Промене у традиционалним правним институтима
- Територијална примена Уредбе – Обрада података која се врши од стране компанија са седиштем у ЕУ, али и обрада података лица из ЕУ од стране компаније ван ЕУ морају бити у складу са Уредбом.
- Сагласност – Уредба дефинише сагласности за обраду личних података на тај начин што она мора бити дата у експлицитном облику. Другим речима, сагласност не може да се подразумева и постоји могућност њеног опозива у било ком моменту.
- Руковалац и обрађивач података – Нова регулатива уводи сет нових обавеза за руковаоца и обрађивача података. Обавезе су претежно техничког и организационог карактера, у циљу повећања транспарентности процеса обраде података. Такође, руковалац и обрађивач података имаће више основа (и обавеза) да сарађују са надлежним регулаторним и контролним телима за заштиту података о личности. Сарадња се апострофира нарочито у случајевима у којима је дошло до повреде података.
Новине
- Преносивост података („Data Portability“) – Компаније које обрађују податке (или у чије се име подаци обрађују) морају да осигурају да лица чији се подаци обрађују могу лако да пренесу своје податке у неку другу компанију.
- One-Stop-Shop – Уредбом се формира јединствено тело на нивоу ЕУ које се бави заштитом података о личности. Ово тело добија водећу регулаторну улогу и постаје врховна контролна институција у области заштите података о личности у ЕУ и за питања примене регулаторног оквира.
- Право да се буде заборављен („Right to be forgotten“) – Право да се буде заборављен је добило свој формални оквир одлуком Суда правде Европске Уније. Уредба уврштава ово право у свој обим регулисања и тиме јача заштиту податка о личности.
- Казне – Уредба уводи новчане казне за лица која крше регулативу. Износ казне се креће до 4% целокупног годишњег промета (промет остварен не само у ЕУ, већ у целом свету).
- Студија утицаја на приватност („Privacy Impact Assessment“) – Студија утицаја на приватност постаје обавезни предуслов пре обраде личних података за операције које би могле да представљају већи ризик за приватност (нпр. обрада података у вези са применом нових финансијских технологија („FinTech“) или Интернет ствари)
- Интегрисана заштита приватности и подразумевана приватност („Privacy by design” и “Privacy by default”) – Компаније ће бити у обавези да развију систем проактивне заштите личних података. Уредба прописује обавезну употребу принципа интегрисане заштите приватноси и подразумеване приватности. Фактички, компаније ће већ у фази дизајна производа или услуга морати да развијају систем заштите података и да се држе принципа заштите током целокупног животног циклуса производа и услуга.
Могуће рефлексије Уредбе на право Републике Србије
Јако је тешко предвидети како ће Уредба Европске Уније о заштити података о личности утицати на пословне активности и правне односе. Пуно је дилема које су везане за ефективну примену нове регулативе, као и за последице њене примене на будући технолошки развој. Јака заштита података о личности јесте пожељна, али она може да остави негативне рефлексије на безбедност, сигурност, конкуретност тржишта, па чак и на заштиту потрошача.
Република Србија има свој закондавни оквир у области заштите података о личности. Но, чини се да овај оквир није потпун и да има још пуно посла на стварању окружења које би ефикасно штитило податке о личности грађана. Доношење подзаконских аката, јачање улоге повереника надлежног за заштиту података о личности, едукација о заштити личних података и генерално јачање принципа правне државе и владавине права у области заштите података о личности јесу велики изазов овог времена. Но, чини се да су будући изазови далеко већи.
Најпре, Уредба намеће потребу да се тренутни законодавни оквир мења. Тренутно важећи Закон о заштити података о личности мора бити промењен и унификован у складу са европским регулаторним оквиром. Садашњи закон јесте хармонизован са Директивом 95/46. Ипак, степен изједначавања права у области заштите података о личности на територији ЕУ доношењем Уредбе о заштити података о личности постаје виши, јер се Уредбом врши унификација права (не хармонизација). Из перспективе Репубике Србије унификација националног законодавног оквира са европским регулаторним оквиром из области заштите података о личности јесте неопходна, не само због поступка који се популарно назива приступање Европској Унији, већ и због стварања специфичног пословног амбијента. Наиме, нови правни институти који се уводе Уредбом намећу потребу за ревизијом тренутних пословних модела, за опсежним реструктуирањем интерних правних оквира и јачањем капацитета многих компанија које послују у Србији. Српске компаније које обрађују податке лица из ЕУ мораће да узму у обзир степен повећане одговорности за такве активности. Казне која прописује Уредба јесу јако високе и могу да се односе и на компаније које имају седиште у Републици Србији. Поред тога, „Privacy by design”, „Privacy by default”, „Privacy Impact Assessment“, „Right to be forgotten“ јесу интердисциплинарни институти са којима правно и пословно окружење у Србији нема превише искуства. Остаје да се види како ће различити сектори (нпр. привредни, невладини, државни) да реагују и да ли ће створити окружење са проактивним особинама у времену које намеће другачији приступ заштити података о личности.