Da li uskladiti poslovanje s propisanim obavezama GDPR‑a?
Zasigurno se mnogi u Srbiji, a i van nje, pitaju da li se Opšta uredba o zaštiti podataka (engleska skraćenica, čak i za Francuze, GDPR) primenjuje na njihovo poslovanje. Ključno pitanje za mnoge kompanije van Evropske unije glasi: „Kako da znam da li se primenjuje i ako se primenjuje, koje su moje obaveze?“
Činjenica da neki strani poverenik za zaštitu podataka o ličnosti može da ustanovi svoju nadležnost i izrekne kazne koje mogu biti veće i od 20 miliona evra, nemali je podsticaj da se na pitanje da li se primenjuje odgovori: „Bez obzira na odgovor, mi ćemo se prilagoditi“. Međutim, takav stav, barem za poslovni svet, daleko je od maksime Minimum efforts, maximum results. Retko ko je rad da ulaže u hipotetički problem, naročito kad je investicija pozamašna. U poslednje vreme mogu se čuti različita tumačenja da li bi uopšte odluka organa strane države, a da nije u pitanju sud, mogla da bude izvršena u jednoj državi. Ovo otvoreno pitanje teško može da stavi tačku na dilemu da li se uskladiti ili rizikovati kaznu.
Nažalost, ovaj tekst ne nudi odgovor na pitanje da li se GDPR primenjuje na neki pojedinačni biznis, niti nudi formulu teritorijalne primene, jer bi svaka takva formula bila, barem u ovom trenutku, odokativna. A odokativne formule zapravo su oksimoron. Ovaj tekst ima za cilj da ukaže na moguće elemente poslovanja koje treba imati u vidu prilikom razmatranja da li uskladiti poslovanje s propisanim obavezama GDPR‑a.
Teritorijalni domašaj
Teško je bez nekog konkretnog slučaja, odlučenog po stupanju na snagu GDPR‑a, precizirati teritorijalni domašaj ovog propisa. Nezavisno od toga, odredba GDPR‑a i dva slučaja Evropskog suda pravde mogu biti od koristi u razumevanju ovog problema. Možda će se čitaocima ovaj članak činiti previše pravnički, ali namera je da pravo bude u funkciji odgovora, a ne dodatnog komplikovanja problematike.
Član 3. GDPR‑a propisuje da se primenjuje na obradu podataka o ličnosti u okviru aktivnosti osnivanja sedišta rukovaoca ili obrađivača u Uniji, nezavisno od toga da li se obrada vrši u Uniji ili ne, dakle, nezavisno od toga čiji se podaci o ličnosti obrađuju. Dalje, Uredba se primenjuje na obradu podataka o ličnosti koju vrši rukovalac ili obrađivač koji nema sedište u EU, a vrši obradu podataka o ličnosti lica u EU, ako su aktivnosti obrade povezane sa:
- Nuđenjem robe ili usluga, nezavisno od toga da li lice na koje se podaci odnose treba da izvrši plaćanje licima koji su u Uniji,
- Praćenjem njihovog ponašanja, pod uslovom da se njihovo ponašanje odvija unutar Unije.
Dakle, u ovom slučaju irelevantno je da li lice na koje se podaci odnose ima državljanstvo neke od država članica EU doklegod je reč o licu koje je u Uniji.
Član 3. takođe propisuje da se Uredba primenjuje na obradu podataka o ličnosti koju vrši rukovalac koji nema sedište u Uniji, već u mestu gde se pravo neke od država članica primenjuje na osnovu međunarodnog javnog prava. To bi, primera radi, bila diplomatska predstavništva.
Kome nudite?
Za pravna lica iz Srbije, odgovor na pitanje da li se GDPR primenjuje, zavisiće od toga da li oni nude robu ili usluge pojedincima na teritoriji EU ili pak prate ponašanje pojedinaca koji su na toj teritoriji. Naizgled lako pitanje dodatno komplikuje činjenica da kompanija koja posluje online teži da izađe na svako tržište i možda nema poseban plan za Evropsku uniju. Dve presude Evropskog suda pravde mogu biti od pomoći u razumevanju teritorijalne primene Uredbe – Google protiv Agencije za zaštitu podataka o ličnosti Španije (2014) i Weltimmo protiv poverenika za zaštitu podataka i slobodu informacija Mađarske (2015).
Slučaj Google mnogi pamte kao slučaj kada je Sud ustanovio pravo na zaborav, right to be forgotten, nakon čega je Google formirao posebno savetodavno telo sa zadatkom da uspostavi balans između prava na zaborav i prava na informacije. Među članovima Saveta su i specijalni izvestilac UN za slobodu mišljenja i izražavanja, kao i bivši direktor španske agencije za zaštitu podataka o ličnosti. Ovaj Savet objavljivao je i izveštaje transparentnosti po državama koji su, između ostalog, isticali i (zlo)upotrebu prava na zaborav u nameri menjanja prošlosti, što javnost treba da zna. Sa stanovišta zaštite podataka u Evropi, ovaj slučaj je revolucionaran u delu koji se tiče odluke da se tadašnja direktiva (95/46/EZ) primeni na američku firmu koja u Španiji nije imala ni filijalu gde se obrađuju podaci o ličnosti, nego samo pravno lice Google Spain koje se bavilo marketingom. Tu činjenicu, kao i komercijalnu prirodu rada kompanije, Sud je smatrao dovoljnim da zaključi da se Direktiva odnosi i na Google i time potvrdio odluku Agencije.
Slučaj Weltimmo možda je eksplicitniji u pogledu nalaženja veze između rukovaoca u inostranstvu i odluke nacionalnog organa za zaštitu podataka o ličnosti. Sajt koji je bio registrovan u Slovačkoj bavio se prodajom nekretnina u Mađarskoj i te usluge nudio na mađarskom jeziku. Poruka i jednog i drugog slučaja jeste da zakon važi doklegod je moguće ustanoviti vezu, bilo zbog specifičnosti robe ili usluge koja se nudi, jezika na kojem se to čini ili same činjenice da postoji lukrativni interes. Ali, ako je tako, onda se u zaključivanju šta činiti vraćamo na početak i zahtev da treba da se u potpunosti uskladimo, a to podrazuma brojne obaveze, od kojih treba nabrojati barem nekolicinu.
Usklađivanje
Pre svega, trebalo bi ustanoviti „predstavnika“ u nekoj od država članica EU gde se nalaze lica na koja se podaci odnose. Koja će to biti država ne zavisi samo od obrade podataka, mogu biti u pitanju lica koja se nalaze u nekoliko država članica, već i od troškova uspostavljanja kancelarije i poznavanja pravnih propisa te države. Ako obrada podataka podrazumeva obradu posebne kategorije podataka, među kojima su primerično biometrijski podaci koji služe jedinstvenoj identifikaciji (npr. otisak prsta), podaci koji se odnose na zdravlje lica, članstvo u sindikatu i drugo, rukovalac podataka trebalo bi da odredi lica za zaštitu podataka. Ista obaveza imenovanja lica postoji i u slučaju tzv. masovne obrade podataka. Dalje, moguće je da će postojati obaveza sprovođenja procene uticaja na zaštitu podataka.
Jedna obaveza s liste ne bi trebalo da predstavlja problem ni za jednog rukovaoca iz Srbije, a tiče se obaveze uspostavljanja i vođenja evidencije obrade podataka o ličnosti. Sa stanovišta domaćih propisa ona je već ispunjena, tačnije trebalo bi da jeste, imajući u vidu da je reč o gotovo identičnoj obavezi propisanoj Zakonom o zaštiti podataka o ličnosti Republike Srbije, s tim što rukovaoci ove evidencije prijavljuju povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti koji vodi Centralni registar.
Očekujemo tumačenje
Na kraju, trebalo bi sačekati i najavljeni, a dugo očekivani, dokument Evropskog odbora za zaštitu podataka (European Data Protection Board) koji bi trebalo da sadrži tumačenje teritorijalne klauzule, dakle viđenje teritorijalne primene GDPR‑a. Taj dokument najavljen je za kraj juna, stoga, budimo u pripravnosti! Za sam kraj ovog blic pravničkog teksta, važno je istaći da je Opšta uredba o zaštiti podataka – GDPR ipak strani propis, i da je najbolje rešenje usvojiti zakon/e koji na adekvatan način uređuju zaštitu podataka u Republici Srbiji.
Nevena Ružić
Nevena Ružić je pomoćnica generalnog sekretara Službe poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. U Službi poverenika je od 2009. godine i rukovodi Sektorom za harmonizaciju. Oblast njenog rada je informaciono pravo: pravo na pristup informacijama, sloboda izražavanja, pravo na privatnost, pravo na zaštitu podataka o ličnosti, kao i poverljivost informacija, zaštita uzbunjivača, upravljanje internetom i obuhvata kako oflajn informacije, tako i onlajn. Godine 2012. izabrana je za člana Biroa za zaštitu podataka Konvencije Saveta Evrope o zaštiti podataka o ličnosti. Stavovi izneti u tekstu su isključivo lični i ne predstavljaju stav organa u kojem radi.