У овом тексту преносимо у целости листу најчешће постављених питања у вези са применом Опште уредбе о заштити података (GDPR) коју је сачинио и припремио Повереник за информације од јавног значаја и заштиту података о личности.

Шта је Општа уредба (GDPR)?

Општа уредба (Европског парламента и Савета Европске уније) о заштити лица у вези са обрадом података о личности и слободном кретању таквих података и стављању ван снаге Директиве 95/46/ЕЗ, донета је 2016. године. На енглеском General Data Protection Ragulation – GDPR.

Решења садржана у Општој уредби представљају наставак политике на којој је заснована Директива, с тим што се, после двадесетогодишње праксе њене примене, одређена решења осавремењују и уводе се нова, да би се повећала правна сигурност појединаца у вези са обрадом њихових података, како би дошло до јачања поверења у руковаоце и обрађиваче података и до несметаног кретања података на традиционалном, као и на дигиталном тржишту, од чега би, повратно, корист имали и сами руковаоци и обрађивачи података, у виду бољих пословних резултата.

Томе треба да допринесе: јединствен, односно усклађен правни оквир и усклађена примена прописа на читавој територији ЕУ; једнаки услови пословања за све привредне субјекте који послују на тржишту ЕУ; већа контрола појединаца над подацима који се односе на њих; виши ниво заштите у случају повреде заштите података; јасније дефинисане обавезе и одговорност руковаоца и обрађивача података; прецизнија правила за случај да се подаци износе изван ЕУ итд.

Уредба је правни пропис непосредне примене у државама чланицама Европске уније.

Шта уређује Општа уредба?

Према члану 2. Опште уредбе овај пропис се примењује на обраду података о личности која се у целости или делимично обавља аутоматски и на неаутоматизовану обраду података о личности који чине део збирке података или су намењени збирци.

Општа уредба се не примењује на обраду података о личности која није предмет непосредне надлежности Европске уније као што је надлежност органа у погледу спречавања или откривања кривичних дела, спровођења истраге, гоњења за кривична дела или извршења кривичних санкција, укључујући и заштиту јавне безбедности.

Ова материја предмет је једног другог прописа (видети Директиву (ЕУ) 2016/680 о заштити појединаца у вези с обрадом података о личности од стране надлежних тела у сврхе спречавања, истраге, откривања или прогона казнених дела или извршавања казнених санкција и о слободном кретању таквих података.)

Општа уредба се такође не примењује на обраду података о личности коју врши физичко лице приликом искључиво личне или кућне активности. Пример овакве обраде је телефонски именик или подсетник за рођендане.

Посебни режим правила односи се на случајеве обраде података у сврху архивирања у јавном интересу, научног или историјског истраживања, као и у статистичке сврхе, као и када је у питању остваривања права на приступ информацијама, или уопште однос права на заштиту података о личности и слободе изражавања.

Које су новине прописане у области заштите података?

Бројне су новине прописане Општом уредбом у односу на Директиву 95/46/ЕЗ. Разлог томе је пре свега чињеница да је обрада података из периода деведестих., дакле много пре друштвених мрежа и масовне употребе паметних технологија и уобичајеног аутоматизованог начина обраде података, доживела знатне промене.

Новине се могу поделити у неколико целина – за појединце, за руковаоце и обрађиваче, за органе за заштиту података и друге новине.

Новине за појединца и његова права

У погледу новина за појединце, важно је истаћи да је један од основних циљева Опште уредбе оснаживање појединца чији се подаци обрађују. Стога сва од раније постојећа права лица у вези са обрадом података о личности и даље важе, а листи се додају два посебна права – право на заборав и право на преносивост података. Такође, Општа уредба посебно уређује обраду података о малолетним лицима у информационом друштву.

Право да се буде заборављен („Right to be forgotten“) (Члан 17.) – Право да се буде заборављен, или право на заборав, је добило свој формални оквир одлуком Европског суда правде 2014. године. У интернет окружењу, право на заборав представља заправо право лица да не буде претраживо према имену и презимену, као и неком другом податку о личности. Реч је о могућности уклањања резултата претраге према одређеним подацима о личности, док садржај предметних страница и даље остаје на интернету у функцији остваривања слободе изражавања.

Преносивост података („Data Portability“) (члан 20.) – Лица чији се подаци обрађују могу лако да пренесу податке који један руковалац обрађује о њима другом руковаоцу. Услов је да се обрада заснива на пристанку лица или да је неопходна за извршење уговора, као и да се обрада врши аутоматски.

Малолетно лице (члан 8.) – Када је у питању пружање услуга информационог друштва (друштвене мреже и сл.), малолетно лице може дати пристанак за обраду својих података уколико има најмање 16 година. Државе чланице могу у ове сврхе законом да предвиде и нижу старосну границу, под условом да таква граница није нижа од 13 година. У супротном, пристанак за обраду података о личности за малолетно лице мора дати носилац родитељског права.

Новине за руковаоце података

Општа уредба обилује новим обавезама за руковаоце података. Многе од њих иако нису биле прописане Директивом 95/46/ЕЗ одавно су прихваћене у појединим државама чланицама. Сврха ових обавезе јесте да се предупреди повреда права на заштиту података о личности. Међу бројним новинама потребно је издвојити неколико.

Пријава продора у безбедност података (члан 33.) – Чим руковалац података сазна да је дошло до повреде података о личности (случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренети, ускладиштени или на други начин обрађиваниф мора о томе да обавести надзорни орган за заштиту података најкасније 72 часа након сазнања о тој повреди података о личности, осим ако руковалац података може да докаже, у складу са начелом одговорности, да повреда података о личности вероватно неће проузроковати ризик за права и слободе физичких лица. У одређеним случајевима руковалац има обавезу да обавести и лица на која се подаци односе.

Процена утицаја на заштиту података („Personal Data Impact Assessment“) (члан 35.)- Процена утицаја на заштиту података постаје обавезни предуслов за отпочињање обраде података о личости која би могла да представља већи ризик за приватност. Спровођење процене увек је неопходно у случају систематске и обимне обраде у циљу процене личних аспеката неког лица која се заснива на аутоматизованој обради, укључујући и израду профила, и која је основ за доношење одлука које производе правно дејство у односу на физичко лице или на сличан начин значајно утичу на физичко лице. Ова процена је такође неопходна у случају масовне обраде посебних категорија података о личности или података који се односе на кривичну и прекршајну осуђиваност; или обимног систематског надзора јавно доступног простора. Ако би се проценом утицаја на заштиту података показало да би, у случају да руковалац не обезбеди мере за ублажавање ризика, обрада довела до високог ризика, тада је руковалац дужан да контактира надзорно тело и да му достави, између осталог, информације о сврси и средствима обраде, заштитним мерама, спроведеној процени утицаја итд.

Службеник за заштиту података (члан 37.) – Општа уредба уводи обавезу именовања службеника за заштиту података увек када обраду врши орган јавне власти, осим судова који поступају у оквиру своје судске надлежности, када се основне делатности руковаоца или обрађивача састоје из радњи обраде које због своје природе, обима и/или сврхе захтевају редовно и систематско масовно праћење лица на која се подаци односе, или се основне делатности руковаоца или обрађивача састоје из масовне обраде посебних категорија података и података о личности који се односе на кривичну и прекршајну осуђиваност.

Кодекси понашања – Удружења и друга тела која представљају категорије руковалаца или обрађивача могу израдити кодексе ради прецизирања примене Опште уредбе, узимајући у обзир посебна обележја различитих сектора обраде и посебне потребе малих и средњих предузећа. Кодексима понашања може се прецизирати примена Уредбе по питању правичности и транспарентности обраде, легитимних интереса руковаоца у посебним контекстима, прикупљања података о личности, псеудонимизације, информисања јавности и лица, остваривања права лица итд.

Новине за органе за заштиту података

Органи за заштиту података добијају нову улогу. Поред улоге да врше надзор над применом Опште уредбе и с тим у вези налажз, примера ради, брисање података, ови органи имају и саветодавну улогу. Ова новина је управо последица основног циља Опште уредбе, а то је да до кршења права на заштиту података о личности не дође. Новина о којој је, можда очекивано, било највише питања тиче се могућности изрицања административних казни руковаоцима и обрађивачима у износима и до 20 милиона евра.

Без обзира на избор назива органа – повереник као што је то у Словенији, Немачкој, Мађарској или Великој Британији или агенција, као што је то у Хрватској, Шпанији – овај орган мора да ужива независност и самосталност како у одлучивању, тако
и у редовном раду, укључујући и финансијске и кадровске ресурсе. Овом апсекту посвећена је посебна пажња у Општој уредби.

Будући да је реч о органу власти, и ови органи имаће лице за заштиту података о личности.

Специфичност Опште уредбе односи се и на формализовања сарадње ових органа у ЕУ.

Друге новине

Бројне новине односе се на појмове или одређене феномене обраде података, као што су генетски подаци или профилисање, или се односе на уређење сарадње органа за заштиту података о личности. У наставку су изложене само неке од њих.

Профилисање-сваки облик аутоматске обраде података о личности који се састоји од коришћења података о личности за процену одређених личних аспеката у вези са физичким лицем, посебно за анализу или предвиђање аспеката у вези с радним учинком, материјалним стањем, здрављем, личним склоностима, интересима, поузданошћу, понашањем, локацијом или кретањем тог физичког лица.

Псеудонимизација -обрада података о личности на такав начин да подаци о личности више не могу да се повежу с конкретним лицем на које се подаци односе без коришћења додатних информација, под условом да се такве додатне информације чувају одвојено и да се на њих примењују техничке и организационе мере да би се обезбедило да подаци о личности не могу да се повежу с физичким лицем чији је идентитет одређен или се може одредити.

Биометријски подаци -подаци о личности добијени посебном техничком обрадом у вези с физичким особинама, физиолошким особинама или карактеристикама понашања физичког лица која омогућавају или потврђују јединствену идентификацију тог физичког лица, као што су фотографије лица или дактилоскопски подаци.

Генетски подаци -подаци о личности који се односе на наслеђене или стечене генетске особине физичког лица које дају јединствене информације о физиологији или здрављу тог физичког лица, и који су добијени пре свега анализом биолошког узорка тог физичког лица.

Ограничавање обраде – обележавање ускладиштених података о личности у циљу ограничавања њихове обраде у будућности.

Механизам One-Stop-Shop – уколико руковалац обавља обраду података о личности у више Држава чланица ЕУ, Општа уредба прописује да тај руковалац првенствено сарађује са надзорним органом који се налази у истој држави чланици у којој је пословно седиште рауковаоца, како би се постигла усклађеност. Надзорни орган те државе постје „водећи надзорни орган“ за сва питања у вези са заштитом података.

Сертификација се односи на појединог руковаоца или обрађивача. Сврха сертификације је могућност доказивања да је обрада које врше руковалац или обрађивач у складу са Општом уредбом. Сертификат се руковаоцу или обрађивачу издаје на највише три године и може се обновити под истим условима ако су и даље испуњени релевантни захтеви. Ради сертификације, руковалац или обрађивач контактирају сертификациона тела која су акредитована од стране надлежне институције (надзорно тело и/или акредитационо тело зависно од прописа државе чланице ЕУ).

Да ли Србија треба да усклади прописе са Општом уредбом?

Наравно, и разлози су како формални, тако и суштински.

Формални разлози своде се на обавезе које Србије има према Европској унији и на обавезе које је Србија сама себи наметнула. Наиме, у својству кандидата за чланство у Европској унији Србија је у обавези да усклади своје законодавство са правним тековинама ЕУ. Чланом 81. Закона о потврђивању Споразума о стабилизацији и придруживању између Европских заједница и њихових држава чланица, са једне стране, и Републике Србије, са друге стране, из 2008. године („Сл. гласник РС – Међународни уговори“, бр. 83/2008), Србија се обавезала да усклади своје законодавство које се односи на заштиту личних података са комунитарним законодавством и осталим европским и међународним прописима о приватности, као и да формира независно надзорно тело са довољно финансијских и људских ресурса како би ефикасно надзирала и гарантовала примену националног законодавства о заштити личних података.

Заштита података о личности је питање које се усклађује у процесу приступања Европској унији и у оквиру Поглавља 23 (Правосуђе и основна права), као и Поглавља 24 (Правда, слобода и безбедност).

Даље, Србија се обавезала на усклађивање прописа у овој области. Акциони план за Поглавље 23, које је Министарство правде још априла 2016. године припремило и објавило да изради нови Закон о заштити података о личности у складу са табелама усклађености и препорукама експерта, Нацртом закона (моделом закона) Повереника за информације од јавног значаја и заштиту података о личности и Предлогом Уредбе након њеног усвајања (страна 222), док је као рок за израду новог закона био предвиђен крај 2016. године (страна 360).

Међутим, у поступку усклађивања, важнији су ти суштински разлози који су утицали на то да се Уредба уопште усвоји, па и стога су значајни као разлози за доношење новог закона о заштити података о личности у Републици Србији, а то су:

1)     Боља заштита појединца и његовог права на приватност и заштиту података о личности

Уредбом је појединац стављен у центар заштите података о личности. Лице на које се односе подаци који се обрађују има право да зна ко, зашто и које податке о њему обрађује, а Општа уредба пооштрава услове за обраду података и уводи нова права у оквиру права појединаца, као што су пооштрени критеријуми за пристанак лица на обраду или пооштрене обавезе руковалаца у вези са обавештавањем о обради, или ново право појединца на преносивост података од једног на другог руковаоца.

2)     Правна сигурност за све оне који обрађују податке у Републици Србији, било да су руковаоци, било да су обрађивачи

Руковаоци, не само да добијају више обавеза, иако су у неким државама ЕУ оне одавно постојале, већ Уредба намеће обавезу свима који желе да обрађују податке да у својим пословним односима са другим лицима уреде заштиту података, и посебно одговорност у вези са подацима. Са техничког аспекта, нове или пооштрене обавезе имају за циљ да до повреде права уопште не дође.

3)     Јача и обухватнија улога органа за заштиту података о личности

Иако је могућност органа за заштиту података о личности да изрекне новчану казну у високом износу, овај документ заправо уводи нове обавезе ових органа, тачније намеће обавезу тешње сарадње са руковаоцима и ставља га у улогу не само органа који врши надзор над применом закона, већ и у улогу саветника.

4)     Намеће обавезу друштву да омогући уживање права на приватност и заштиту података по личности

Овде је важно истаћи да су све чланице ЕУ уједно и чланице Европске конвенције о људским правима Савета Европе, чија је чланица и Републике Србије. У погледу права на приватност (члан 8. Конвенције), Европска конвенција намеће обавезу свакој понаособ држави чланици да не само да се суздржава од угрожавања и кршења нечијег права на приватност, већ да омогући услове да се ово право несметано ужива. На основу Уредбе, приликом припрема закона који имају утицај на заштиту података о личности органи би требало да узму у обзир и ефекте таквог закона на право на приватност, а државама чланицама је остављено да одлуче да ли да ову радњу предвиде као обавезну.

Да ли се Општа уредба примењује у Србији?

Члан 3. Опште уредбе прописује да се она примењује на обраду података о личности у оквиру активности руковалаца или обрађивача који имају седиште у Европској унији, независно од тога да ли се обрада врши у Унији или не, дакле, независно од тога чији се подаци о личности обрађују. Даље, Општа уредба се примењује на обраду података о личности коју врши руковалац или обрађивач који нема седиште у ЕУ, а врши обраду података о личности лица у ЕУ, ако су активности обраде повезане са:

A)     нуђењем робе или услуга независно од тога да ли лице на које се подаци односе треба да изврши плаћање,

B)     праћењем њиховог понашања, под условом да се њихово понашање одвија унутар Уније.

Важно је истаћи да није од значаја да ли лице на које се подаци односе има држављанство неке од држава чланица ЕУ или не, ово се односи на сва лица која су у Унији.

Члан 3. такође прописује да се Општа уредба примењује на обраду података о личности коју врши руковалац који нема седиште у Унији, већ у месту где се право неке од држава чланица примењује на основу међународног јавног права. То би примера ради била дипломатска представништва.

За правна лица из Србије одговор на питање да ли се Општа уредба примењује зависиће од тога да ли они нуде робу или услуге појединцима на територији ЕУ или пак прате понашање појединаца који су на тој територији.

Две пресуде Европског суда правде могу бити од помоћи у разумевању територијалне примене Уредбе – Google против Агенције за заштиту података о личности Шпаније (2014) и Weltimmo против Повереника за заштиту података и слободу информација Мађарске (2015).

Случај Google тицао се, између осталог питања да ли се тадашња директива (95/46/ЕЗ) примењује на америчку фирму која у Шпанији није имала ни филијалу где се обрађују подаци о личности, већ само правно лице „Google Spain“ које се бавило маркетингом. Ову чињеницу као и комерцијалну природу рада компаније Суд је сматрао довољним да закључи да се Директива односи и на Google и тиме потврдио одлуку Агенције. Треба додати да је овај случај значајан и због успостављања такозваног права на заборав „ right to be forgotten“.

Случај Weltimmo је можда експлицитнији у погледу налажења везе између руковаоца у иностранству и одлуке националног органа за заштиту података о личности. Сајт који је био регистован у Словачкој бавио се продајом некретнина у Мађарској и те услуге нудио на мађарском језику.

Ипак, без одлуке суда поводом неког конкретног случаја заштите података о личности који би уследио након почетка примене Опште уредбе, није могуће прецизирати територијални домашај овог прописа.

Које су обавезе руковалаца уколико се примењује Општа уредба?

У случају да руковалац процени да се Општа уредба примењује на његово пословање, неопходно је испунити обавезе чији обим, а тиме и финансијски аспект усклађивања, зависи од тога каква је обрада података у питању, као и који подаци о личности се обрађују. Препорука је да се у том случају детаљно проуче одредбе Опште уредбе, али и релевантна документа надлежних тела Европске уније, као што су Европска комисија, Европски супервизор за заштиту података или Европски одбор за заштиту података, новоформирано тело према Општој уредби. Такође, треба имати у виду и рад некадашње Радне групе члана 29, тела које је основано Директивом 95/46/ЕЗ.

Неколико обавеза је потребно нагласити.

У случају да се Општа уредба примењује, требало би установити „представника“ у држави чланици ЕУ у којој се налазе лица на које се подаци односе. С обзиром на то да је могуће да се лица налазе у неколико држава чланица, онда је питање где је претежна делатност руковаоца. Свакако да одлука, у случају да је могуће установити „представника“ у неколико држава, зависи и од процењених трошкова успостављања представника, као и познавања правних прописа те државе.

Даље, уколико обрада података подразумева обраду посебне категорије података, међу којима су примерично биометријски подаци који служе јединственој идентификацији (нпр. отисак прста), подаци који се односе на здравље лица, чланство у синдикату и др, онда би руковалац података требало да одреди лице за заштиту података. Ова обавеза постоји и у случају такозване масовне обраде података.

Даље, могуће је да ће, постојати обавеза спровођења процене утицаја на заштиту података.

Једна обавеза са листе не би требало да представља проблем за било ког руковаоца из Србије, а тиче се обавезе успостављања и вођења евиденција обраде података о личности. Са становишта домаћих прописа она би требало да је већ испуњена, имајући у виду да је реч о готово идентичној обавези прописаној Законом о заштити података о личности Републике Србије.

Где наћи текст Опште уредбе, као и друге корисне изворе?

Примена Опште уредбе свакако није могућа без упознавања са текстом тог правног акта, који је у оригиналној верзији доступан на интернет презентацији ЕУ на језицима држава чланица ЕУ, https://ec.europa.eu.

Повереник је обезбедио незванични превод текста Опште уредбе и објавио га на својој интернет презентацији www.poverenik.rs у делу који се односи на прописе из области заштите података о личности.

Напомена: уз појединачне чланове Опште уредбе препоручује се читање релеватних делова Преамбуле која је њен саставни део и уједно пружа додатно тумачење или разлоге изабране формулације конкретних одредаба.

Такође, од помоћи могу бити и интернет презентације релевантних тела Европске уније, као што су Европски супервизор за заштиту података – European Data Protection Supervisor (EDPS), Европски одбор за заштиту података – European Data Protection Board који почиње са радом 25.5.2018.

Интернет презентације надлежних органа за заштиту података држава чланица Евроспке уније су одличан извор информација, нарочито имајући у виду бројне и разноврсне активности појединих органа.

Примера ради, Повереник за информације Велике Британије, иако су у току преговори у вези са иступањем ове државе из Европске уније, објавио је приручнике за примену појединих обавеза и издао смернице поводом Опште уредбе. Једнако активна је и Државна комисија за информисање и слободе Француске – Commission nationale de l’informatique et des libertes -CNIL. Релевантни извори су и Информацијски пооблашченец Словеније, као и Агенција за заштиту особних података Хрватске.

Када ће Србија донети нови закон о заштити података о личности?

Одговор на ово питање Повереник није у могућности да пружи. С тим у вези, можете се обратити Министарству правде, као надлежном министарству за припрему овог прописа.

Извор: интернет страна Повереника за информације од јавног значаја и заштиту података о личности