Zakon o zaštiti podataka o ličnosti počeće da se primenjuje u Srbiji od 21. avgusta 2019. godine i u svakom pogledu je izazov za sve nas koji ćemo ga primenjivati, kaže u razgovoru za Novu ekonomiju Nevena Ružić, koja rukovodi Sektorom za harmonizaciju pri kancelariji Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Opšta regulativa o zaštiti podataka o ličnosti, odnosno General Data Protection Regulation (GDPR) je novi pravni okvir koji propisuje način korišćenja podataka o ličnosti građana EU. To znači da će svaka organizacija koja na bilo koji način obrađuje podatke EU građana morati da se pridržava novih pravila o zaštiti podataka o ličnosti, čak i kada joj je sedište izvan teritorije EU. GDPR je u zemljama Evropske unije stupio na snagu 25. maja 2018. godine, sa ciljem da zameni Direktivu o zaštiti podataka iz 1995. godine. Dok je Direktiva bila na snazi, članice EU usvajale su lokalne propise i zato zakoni o zaštiti podataka o ličnosti širom EU nisu bili usaglašeni. Sada se ona direktnom primenjuje u svih 28 država članica EU.
U Srbiji se već duže vreme čeka na novi Zakon o zaštiti podataka o ličnosti, koji bi instalirao načela GDPR u naš pravni okvir i tako uskladio ovu oblast sa EU standardima. To je od presudnog značaja za adekvatno ostvarivanje prava građana, kao i za razvoj domaćih kompanija koje u svom poslovanju koriste podatke o ličnosti za ostvarivanje pravne sigurnosti.
Nova ekonomija: Šta će 2019. godina doneti privrednicima u pogledu zaštite podataka o ličnosti?
Nevena Ružić: U zavisnosti od ugla gledanja, ovaj zakon može privednicima da znači dodatne troškove, a može da znači i priliku da unapredimo poslovanje tako što ćemo to raditi na način da poštujemo prava pojedinaca i tako radimo na našem imidžu i kvalitativno drugačijem učešću na tržištu koje nas u poštovanju vrednosti i nekom društveno odgovornom poslovanju dodatno promoviše.
Šta je ono što će sve morati da imaju kao zaštitu?
Zakon o zaštiti podataka o ličnosti propisuje zaista brojne obaveze svima onima koji žele, ili moraju, da obrađuju podatke o ličnosti. Suština tih obaveza jeste da do povreda prava lica na koje se podaci odnose ne dođe. Pored onih, takozvanih opštih obaveza – da svrha obrade bude precizna, da osnov obrade bude određen, obim podataka, da budu podaci bezbedni, da lica budu obaveštena o obradi i tome slično, Zakonom se propisuju i pojedine nove obaveze u nekim posebnim slučajevima. To se odnosi na obavezu imenovanja lica za zaštitu podataka o ličnosti, sprovođenja procene uticaja na zaštitu podataka ili primena posebnih mera zaštite kao što je enkripcija.
Imate li informaciju koliko njih već postupa u skladu sa GDPRom?
Prema našim saznanjima, kompanije koje su deo međunarodnih korporacija ili čiji su osnivači privredni subjekti iz Evropske unije, već su uskladile svoje poslovanje, ili barem deo poslovanja, sa Opštom uredbom o zaštiti podataka. Svakako da se to prevashodno odnosi na finansijski sektor, ali i na druge kompanije koje su prepoznale rizik neusaglašavanja na tržištima na kojima se ne primenjuje Opšta uredba, a što bi moglo da predstavlja štetu po ugled kompanije u celosti. Otuda smo već 25. maja 2018. dobijali mejlove od pojedinih privrednika koji su nas informisali da su svoje poslovanje uskladili sa GDPR-om.
Postoje li ograničavajuće okolnosti primene GDPR u srpskim kompanijama?
Ukratko, postoje. Naime, primena Opšte uredbe o zaštiti podataka, kao propisa EU, svakako da je uslovljena propisima Republike Srbije. Samim tim, odredbe ovog propisa koje trenutno nemaju svoje mesto u srpskim zakonima nisu primenjive. Ovde treba razlikovati okolnosti do 21. avgusta 2019. i nakon toga datuma. Tokom perioda do 21.avgusta 2019. i dalje će se primenjivati Zakon o zaštiti podataka o ličnosti iz 2008. godine i u tom pogledu postoje ipak značajne razlike. Sa stanovišta poslovanja privrednika, te razlike se, samo primera radi, odnose na moguće osnove obrade podataka, obaveze vođenja evidencije o obradi podataka, mogućnost iznošenja podataka iz zemlje ili uloge Poverenika. Već nakon tog datuma ove razlike biće manje, ali ipak će postojati, jer prvo zaštita podataka o ličnosti nije materija samo jednog propisa, a drugo, i pored namere da se proces pridruživanja EU ne odnosi samo na usaglašavanje sadržine propise, već i njihove primene, ipak je reč o odvojenim procesima.
Kakve su kazne za privrednike koji ne primenjuju GDPR?
Jedan od razloga velike pažnje javnosti na zaštiti podataka o ličnosti poslednjih godina jeste mogućnost izricanja milionskih kazni svima onima koji ne poštuju odredbe Opšte uredbe o zaštiti podataka. Dodatni razlog je bio i taj što ovaj propis predviđa primenu i na sve one koji nisu osnovani u EU, ali nudi, primera radi, robu ili usluge licima koja se nalaze na teritoriji EU ili prate njihovo ponašanje. Dakle, u slučaju da se utvrdi da se Opšta uredba o zaštiti podataka direktno primenjuje na nekog privrednih iz Srbije, kazna može biti do 10 ili do 20 miliona evra u zavisnosti od vrste kršenja ili do 2% ili do 4% ukupnog globalnog prihoda, što se može ispostaviti kao daleko veća kazna. Početak ove godine obeležio je i slučaju francuskog organa za zaštiti podataka o ličnosti koji je kompanijui Gugl (Google) izrekao kaznu u iznosu od 50 miliona evra.
Koliko vam EU pomaže u njegovoj primeni? I koliko znači njihova pomoć? S kim konkretno sarađujete?
Saradnja sa kolegama iz EU, dakle, organima za zaštitu podataka o ličnosti postoji već odavno i svakako da znači mogućnost konsultacije povodom nekih fenomena kao što je upotreba video nadzora koji služi identifikaciji lica ili obradi podataka na radnom mestu. Poverenik se trudi da prati rad Evropskog odbora za zaštitu podataka, novoformiranog tela na nivou EU kojeg čine predstavnici organa za zaštitu podataka svih država članica i Evropskih supervizor za zaštitu podataka. Ujedno znači i učešće u radu tela Saveta Evrope nadležnog za zaštitu podataka.
Dokle je EU stigla, a dokle mi? Šta je to što treba da unapredimo?
Velika prednost u državama članicama EU i EU uopšte, jeste što Opšta uredba o zaštiti podataka, iako izazov, ipak znači uspostavljanje jednog višeg nivoa zaštite ovog prava. Za nas ova Uredba, pa time i Zakon koji se delom usvaja, znači uspostavljanje jednog potpuno drugačijeg sistema zaštite podataka. Suština nije izreći kaznu, već uspostaviti odgovornost i preduprediti moguću štetu. Kazne u Opštoj uredbi služe da svi oni koji nameravaju da obrađuju podatke o licima budu svesni da time preuzimaju odgovornost za te podatke i da će s tim u vezi biti kažnjeni ukoliko ne poštuju sve obaveze. Nažalost, srpski zakon kojim se ovaj evropski propis delimičnu integriše u pravni sistem izostavlja ove visoke kazne, koje su po svojoj prirodi upravne mere, već propisuje odgovornost za prekršaj. Na taj način se zaista postavlja pitanje da li smo spremni da kao društvo ispunimo zakonske obaveze ukoliko smo svesni da neka zloupotreba podataka može da rezultira u zastarelosti postupka, i time izostanka odgovornosti.
Da li se konsultuju s Vama u vezi sa ovim?
Jedna od novina Zakona jeste što se i uloga Poverenika, kao organa nadležnog za zaštitu podataka u Republici Srbiji, menja. Ovim zakonom se više insistira na preventivnoj i savetodavnoj ulozi organa, jer, polazna osnova Opšte uredbe jeste da se povreda prava spreči.
Imate li neki savet za privrednike u vezi s GDPRom?
Važno je da smo svesni da je svaki podatak koji obrađujemo ujedno nova obaveza za nas. I stoga bi bilo poželjno da preispitamo postojeće poslovanje, uvidimo gde se sve nalaze podaci koje mi već obrađujemo i utvrdimo da li je ta obrada u skladu sa Zakonom.
