ZZPL: Domaći GDPR – evo šta treba da znate o njemu
U avgustu će početi da se primenjuje Zakon o zaštiti podataka o ličnosti, domaći GDPR. Kakve su obaveze kompanija i kako se prilagoditi propisanim zahtevima?
Maja 2018. u Evropskoj uniji je, nakon dugogodišnjeg procesa, počela da se primenjuje Opšta uredba o zaštiti podataka (General Data Protection Regulation – GDPR) koja je podatke o ličnosti stavila pod zaštitu bez presedana. EU regulatori iskoristili su priliku da urede brojna sporna pitanja nastala u kontekstu razvoja Internet tehnologija, sve u pokušaju da obnove narušeni balans i građanima omoguće da povrate kontrolu nad svojim podacima.
ZZPL – zakon sa odloženom primenom
Po ugledu na EU, u Srbiji je u novembru usvojen novi Zakon o zaštiti podataka o ličnosti (ZZPL), sa odloženom primenom od devet meseci, počev od 21. avgusta 2019. godine. Tekst ZZPL‑a u najvećoj meri predstavlja adaptirani prevod GDPR‑a kao i tzv. Policijske direktive koja uređuje obradu podataka o ličnosti od strane nadležnih organa u vezi s krivičnim postupcima i pretnjama nacionalnoj bezbednosti. Stoga se može smatrati da su načela GDPR‑a (i Policijske direktive) uvedena na domaći teren.
Nedostaci novog Zakona odnose se, pre svega, na nejasne odredbe i prepisane mehanizme koji ne postoje u domaćem pravnom sistemu, što u određenim situacijama može dovesti u pitanje njegovu primenjivost. Ipak, značajno je napomenuti da ovakav zakon ipak predstavlja najviši standard zaštite podataka o ličnosti.
Manjkavosti i praznine biće rešeni naknadnim intervencijama, dok će značajne pravne inovacije ostati ugrađene u naš sistem zaštite ljudskih prava. Tumačenje domaćeg Zakona ugledaće se verovatno na primenu GDPR‑a, čije su namere izražene u Preambuli, počev od potvrde da je zaštita ličnih podataka jedno od temeljnih ljudskih prava.
ZZPL je usvojen sa odloženom primenom od devet meseci, da bi se entitetima koji obrađuju lične podatke pružila šansa da svoje poslovanje usklade sa ZZPL‑om. U zavisnosti od veličine organizacije, broja zaposlenih i količine ličnih podataka koje obrađuje, usklađivanje sa Zakonom može da traje i po nekoliko meseci i veoma je kompleksno, budući da se radi o pravnom, organizacionom i tehničkom procesu.
Jedina oblast gde se suštinski odstupa od pravila propisanih GDPR‑om je da domaći zakon predviđa daleko manje kazne, u rasponu 50.000 do 2.000.000. dinara za pravno lice, odnosno 20.000 do 500.000 za preduzetnika
Jedan od razloga zbog čega zaštita podataka o ličnosti postaje učestala tema jesu i drakonske kazne koje GDPR propisuje, a koje, u ekstremnim slučajevima, mogu da imaju i odlučujući uticaj na funkcionisanje jedne kompanije. Primera radi, maksimalna kazna po GDPR‑u može iznosi čak 20 miliona evra ili do 4% ukupnog godišnjeg prihoda, koja god je od navedenih cifara veća.
Tako je Francuska agencija za zaštitu ličnih podataka (CNIL) kaznila Google sa do sada rekordnih 50 miliona evra. Situacija s našim ZZPL‑om je drugačija, odnosno ovo je jedina oblast gde se suštinski odstupa od pravila propisanih GDPR‑om te domaći zakon predviđa daleko manje kazne, i to u rasponu 50.000 – 2.000.000. dinara za pravno lice, odnosno 20.000 ‑ 500.000 za preduzetnika.
Usklađivanje s novim Zakonom
Da bi uskladila poslovanje sa ZZPL‑om, organizacija najpre treba da napravi inventar podataka o ličnosti. Suština mapiranja jeste da definišete koje su to baze podataka koje prikupljate. To mogu biti baze podataka za marketinške potrebe, podaci zaposlenih u organizaciji, podaci korisnika usluga i slično. Kada imate definisane baze podataka o ličnosti i informacije o tome koliko dugo se ovi podaci čuvaju, zašto se čuvaju, po kom pravnom osnovu, ko može da im pristupi, s kim se eventualno dele, da li se dele van Srbije i slično, možete napraviti takozvanu gap analizu koja će činjenično stanje uporediti s pravnim zahtevima iz novog Zakona i na taj način će se identifikovati nedostaci i koraci koji se moraju preuzeti u cilju usklađivanja.
Ako je, na primer, utvrđeno da čuvate podatke koji vam objektivno više nisu potrebni, treba da ih obrišete, odnosno anonimizujete, u skladu s načelima minimizacije i ograničenja čuvanja. Dozvoljeno je obrađivati samo one podatke koji su vam objektivno potrebni za ostvarenje određene svrhe i za čiju obradu imate jedan od šest pravnih osnova koji su propisani ZZPL‑om.
Na taj način sistematizuju se procesi obrade podataka o ličnosti i omogućava se da se lako „detektuje“ gde se određeni podatak nalazi, što može biti veoma značajno u kontekstu ostvarivanja nekih od prava lica čiji se podaci obrađuju, na primer, pravo da zahteva uvid i kopiju svojih podataka od rukovaoca koji ih obrađuje.
Veoma je korisno i unutar organizacije usvojiti internu politiku privatnosti ili pravilnik o privatnosti koji će definisati kretanje podataka o ličnosti kroz samu organizaciju, preduzete organizacione i tehničke mere u cilju zaštite integriteta podataka i slično, kako bi se unutar organizacije interno podelila odgovornost za obradu ličnih podataka.
Jedna od obaveza, naročito ukoliko je organizacija orijentisana ka klijentima, jeste da se na sajt postavi eksterna politika privatnosti koja će obavestiti posetioce sajta koje njihove podatke prikupljate i zašto, koja su njihova prava u vezi s tim podacima, kako vas mogu kontaktirati i slično. Na taj način ispunjava se zakonska obaveza da se lica čiji se podaci obrađuju obaveste o tome.
Naš novi Zakon predstavlja najviši standard zaštite podataka o ličnosti. Njegovi nedostaci odnose se, pre svega, na nejasne odredbe i prepisane mehanizme koji ne postoje u domaćem pravnom sistemu, što u može dovesti u pitanje njegovu primenjivost
Pored donošenja odgovarajućih pravnih dokumenata, rukovaoci i obrađivači moraće da u svoje poslovanje implementiraju odgovarajuće organizacione i tehničke mere u cilju zaštite podataka o ličnosti. Koje su to mere, zavisiće pre svega od vrste podataka i tipova obrade u konkretnom slučaju. Jedna od organizacionih mera jeste određivanje kojim podacima može da pristupa koji zaposleni, u skladu sa opisom posla svog posla.
Takođe, i tehničke mere zavise od samih potreba organizacije. To, na primer, mogu biti pseudoanonimizacija, korišćenje lozinki, enkripcija, autentifikacija i slično. Jednom implementirane pravne, tehničke i organizacione mere moraju se ažurirati, odnosno, potreban je nadzor kako bi se rukovalac uverio da se zakonski principi i obaveze zaista poštuju.
Primena Zakona o zaštiti podataka o ličnosti na strane kompanije
Novi zakon se sasvim uobičajeno primenjuje na sve organizacije koje imaju sedište na teritoriji Srbije, bez obzira na to da li se sama obrada vrši na teritoriji naše zemlje. Po ugledu na GDPR, ZZPL propisuje i ekstrateritorijalnu primenu, odnosno primenjuje se na obradu podataka koju vrše inostrani rukovaoci i obrađivači, a koji obrađuju lične podatke građana Srbije, tako što ih targetiraju radi prodaje robe ili usluga, tj. prate ponašanje građana Srbije čije podatke obrađuju.
Jedna od obaveza ovih kompanija jeste da odrede predstavnika, fizičko ili pravno lice sa sedištem na teritoriji RS, koje će predstavljati inostranu kompaniju u vezi sa ispunjenjem obaveza predviđenih ZZPL‑om. Značaj ovog predstavnika je u tome što se upravo njemu može obratiti poverenik ili lice čiji se podaci odnose u vezi sa ostvarenjem svojih prava.
Imajući u vidu ekstrateritorijalnu primenu našeg ZZPL‑a koja suštinski najviše targetira IT gigante poput Google‑a, Facebook‑a i ostalih kompanija koje masovno obrađuju lične podatke građana Srbije, te s obzirom na to da se bliži 21. avgust, kada počinje primena ZZPL‑a, SHARE fondacija je pozvala 20 svetskih kompanija da odrede predstavnike u Srbiji kojima se nadležni organi, ali i građani Srbije mogu obratiti u pogledu svih pitanja u vezi sa obradom podataka o ličnosti.
Biznis modeli ovih IT giganata već uveliko se zasnivaju na monetizaciji ličnih podataka njihovih korisnika, pa time i građana Srbije, a čini se da su oni i dalje praktično nemoćni da ostvare svoja prava u vezi s podacima kada ih prikupljaju najpoznatije kompanije, ukoliko one ne imenuju svoje predstavnike u Srbiji.
Recimo, kompanija Google odavno je prepoznala domaće tržište kao značajno, pa su tako brojne usluge kao što su Gmail, YouTube, Google Chrome i Google Search prilagođene našim građanima i dostupne na srpskom jeziku. Dodatno, Google targetira građane Srbije kroz oglase i prati njihovo ponašanje putem „kolačića“ (cookies), te nesumnjivo ima obavezu da imenuje predstavnika u Srbiji.
Facebook je takođe dostupan na našem jeziku i ima oko tri miliona korisnika u Srbiji, a u vlasništvu ima i Instagram i WhatsApp. Facebook masovno prikuplja podatke svih svojih korisnika kako bi, između ostalog, mogli da ih profilišu i prikazuju targetirane oglase, što je detaljno opisano u SHARE Lab istraživanju o algoritamskoj fabrici Facebook‑a.
Politika ovih kompanija, čije je sedište u SAD, jeste da se Srbija ne posmatra kao deo Evrope, što dovodi do situacije da se građanima Srbije prava u vezi s podacima o ličnosti gotovo uopšte ne garantuju. S druge strane, ako bi Facebook ili Google imali predstavnike u Srbiji, izvesnost ostvarivanja prava građana ili, uopšte, mogućnost pokretanja spora pred nadležnim organima bili bi znatno veći. S obzirom na to da građani Srbije zaključuju ugovore o korišćenju usluga sa američkim kompanijama, a građani EU sa evropskim predstavništvima, očigledno je da postoje paralelni sistemi zaštite.
SHARE fondacija je obaveštenje o obavezi imenovanja predstavnika uputila sledećim kompanijama: Google, Facebook, Amazon, Twitter, Snap Inc – Snapchat, AliExpress, Viber, Yandex, Booking, Airbnb, Ryanair, Wizzair, eSky, Yahoo, Netflix, Twitch, Kupujem prodajem, Toptal, GoDaddy, Upwork.
Javno dostupni resursi SHARE fondacije
SHARE fondacija je objavila „Vodič kroz novi Zakon o zaštiti podataka o ličnosti“, koji sadrži analizu novih zakonskih rešenja s primerima iz EU prakse i objašnjenjima najčešćih dilema. Vodič je besplatno dostupan na sajtu SHARE fondacije zajedno s drugim resursima.
Značajno je pomenuti i besplatne online alate SHARE fondacije (gdpr.mojipodaci.rs) koji će vam pomoći da razumete nove pravne obaveze i procenite svoj položaj. Odgovorima na seriju pitanja dobićete akcioni plan s konkretnim koracima koje vaša organizacija treba da preduzme te nacrt politike privatnosti vaše organizacije.
Autor: Danilo Krivokapić, direktor SHARE fondacije
Šta se dešava sa ličnim sajtovima koji su u vlasništvu fizičkih lica (blogovi, forumi…), a koji takođe prikupljaju određene informacije od korisnika (verovatno nenamerno jer vlasnici ni ne znaju kako tehnologija ispod njihovih sajtova funkcioniše)? Hvala.