22 jun 2018

GDPR u Srbiji – Perspektiva stranih investitora

Opšta regulativa za zaštitu podataka o ličnosti (GDPR) je trenutno goruća tema u svetu – sa dobrim razlogom. Ona praktično menja pravni okvir u vezi sa pravilima o zaštiti podataka i uvodi čitav niz novih obaveza uz izricanje ogromnih novčanih kazni za nepoštovanje istih. S obzirom da je GDPR  na snagu stupio nedavno, nije iznenađenje što su mnogi zabrinuti kako će nova regulativa uticati na organizacije jer se pod određenim uslovima, ovo zakonodavstvo primenjuje širom sveta – kako unutar tako i izvan EU.

Za usklađenost sa GDPR regulativom biće potrebno uložiti mnogo vremena i resursa, bez obzira na veličinu organizacije, ali može se reći da je režim zaštite podataka koji se nameće Srbiji i drugim zemljama koje nisu članice EU „mekši“ jer neće uticati na sve kompanije.  Ta činjenica za strane investitore može predstavljati takozvanu konkurentnu prednost jer će im u nekim slučajevima olakšati poslovanje u ovim zemljama. Naime, prema GDPR-u, kompanije koje nisu članice EU podležu novim pravilima zaštite podataka samo ako su njihove aktivnosti obrade podataka vezane za:

  • ponudu roba ili usluga fizičkim licima koja su u EU, bez obzira da li se od tih lica traži plaćanje; ili
  • praćenje ponašanja fizičkih lica koja su u EU, ukoliko se njihovo ponašanje odvija unutar EU.

GDPR ne definiše precizno značenje pojmova “nuđenje roba ili usluga”, posebno imajući u vidu da se preko granična ponuda dobara i usluga fizičkim licima danas uobičajeno obavlja putem online platformi, kojima se može pristupiti iz celog sveta – uključujući i zemlje EU. Da bismo procenili rizik koji se odnosi na takve platforme, moramo se osloniti na smisao i svrhu propisa GDPR-a, koji nam mogu dati bolji uvid u procenu samog rizika. [1]

Jednostavno posedovanje veb stranice  kojoj može pristupiti osoba sa lokacije iz EU (npr. Budimpešta, Mađarska) i kupiti robu ili uslugu, prema svrsi tih propisa, nije dovoljno za primenu GDPR-a. Sa druge strane, ako veb stranica ima verziju na mađarskom jeziku, ako jasno navodi da se roba ili usluga može kupiti iz Mađarske i platiti u evrima, i ako, na primer, postoje pregledi proizvoda koji su učinili Mađari –  verovatno će biti očigledno da veb stranica cilja baš na stanovnike EU u Mađarskoj i tada se primenjuje GDPR.

Dodatno, prema stavovima propisa, kada je reč o praćenju ponašanja fizičkih lica koja su u EU – konkretno, kada se fizička lica prate na internetu sa ciljem predviđanja njihovih ličnih želja, ponašanja i stavova ili donošenja odluka koje ih se tiču – GDPR će verovatno biti primenjiv i u tim slučajevima. U praksi, ovo praćenje ponašanja se uglavnom odnosi na profilisane i na savremene / sofisticirane marketinške i promotivne strategije.

U skladu sa gore navedenim kriterijumima, imajte na umu da, ako je cilj stranog investitora da se bavi samo informacijama o rezidentima koji nisu iz EU, takav investitor verovatno ne treba da brine o primeni GDPR –a.[2] Na primer, ako američka kompanija namerava da prenese neke od svojih IT funkcija u Srbiju, ona ne bi bila obavezna da se pridržava pravila iz GDPR-a – što se samo po sebi može smatrati konkurentskom prednošću Srbije u poređenju sa zemljama članicama EU.

Međutim, ako poslovni plan investitora uključuje aktivnosti koje spadaju pod jedan od gore navedenih kriterijuma, takav investitor će biti obavezan da u potpunosti poštuje GDPR, skoro kao da radi u EU. Ova obaveza se primenjuje bilo da taj investitor vrši poslovanje u Srbiji ili bilo kojoj drugoj državi koja nije članica EU. U većini slučajeva postizanje usklađenosti sa novim pravilima o zaštiti podataka neće biti lak zadatak – s obzirom da novi režim nameće čitav niz obaveza, od kojih je većina uglavnom široko formulisana i zahteva poseban pristup u zavisnosti od situacije.

Na primer, kompanije koje (i) obrađuju lične podatke u velikoj meri ili koje (ii) obrađuju lične podatke kao deo svoje osnovne delatnosti dužne su da imenuju posebnog zvaničnika za zaštitu podataka. U ovom slučaju, značenje izraza „veliki obim“ i „osnovna poslovna aktivnost“ podleže tumačenju, što u praksi može zahtevati stručnu pravnu pomoć́. Greške se, u ovom pogledu, lako mogu napraviti što može dovesti do masovnih novčanih kazni, kako je opisano u nastavku.

GDPR takođe kodira „pravo da se bude zaboravljen“, inače poznato kao „pravo na brisanje“. Naime, to znači da pojedinac, uz određena ograničenja, može od kompanije da zahteva da obriše sve njegove lične podatke. Pojedinac takođe može da zatraži od kompanije da mu se dostave svi lični podaci u strukturiranom, često korišćenom formatu – što je poznato kao pravo na „prenosivost podataka“.

Ove dve obaveze dovode do nekoliko pitanja, pre svega – možete li identifikovati sve lične podatke koje vaša organizacija poseduje i koji se odnose na jednu osobu? Da li će to moći da se uradi automatski ili će biti potrebno vršiti manuelnu obradu?

Iako je verovatno moguće korišćenje manuelne obrade za rešavanje jednog zahteva, ovaj metod često nije pogodan za obradu više istovremenih zahteva. Imajući to na umu postavlja se pitanje da li je neophodno sprovesti određene promene ili uvesti nove procedure? Ova pitanja su samo neki od primera o kojima investitor treba da brine kada je reč o primeni GDPR –a odnosno o tome da li se ova regulative odnosi na njegov biznis, a na takva pitanja odgovore bi trebalo da pruže zajedno advokati i IT stručnjaci i to u međusobnoj saradnji sa ljudskim resursima i drugim poslovnim jedinicama kompanije.

Postoji još jedna obaveza koju želimo da spomenemo, a koja posebno utiče na rezidente koji nisu u EU – a to je  obaveza da se imenuje predstavnik u EU.[3] Ova obaveza ima dva važna izdvajanja, jer se ne primenjuju na:

  • povremenu obradu ličnih podataka, sem ukoliko ne obuhvata obimnu obradu posebnih kategorija podataka i ako ne postoji verovatnoća da će takva obrada dovesti do rizika povrede prava i slobode fizičkih lica; ili na
  • državne organe i tela.

Ako takav predstavnik treba da bude uspostavljen, on mora biti lociran u jednoj od država članica EU u kojoj se takođe nalaze fizička lica čiji se lični podaci obrađuju. Drugim rečima, ako nudite robu ili usluge npr. francuskom ili mađarskom stanovništvu, onda morate odrediti predstavnika u tim zemljama – što znači da bi imenovanje predstavnika, na primer, na Kipru, bilo nedovoljno.

Nadležni organi i subjekat podataka mogu se obratiti ovom predstavniku u vezi sa svim pitanjima koja se tiču GDPR-a, međutim oni mogu odabrati opciju i da se neposredno obrate subjektu koji nije u EU. U slučaju neusaglašenosti sa GDPR-om, predstavnik može biti predmet izvršnog postupka, što znači da se u nekim slučajevima ova uloga može smatrati opasnom.

Kao što je spomenuto gore i kao nešto o čemu se često raspravlja u pravnim krugovima, novčane kazne koje nametne GDPR su više nego značajne, što je verovatno jedan od glavnih razloga zbog kojeg se GDPR -u posvećuje toliko pažnje širom sveta.

U slučaju značajnog kršenja pravila o zaštiti podataka, ove kazne mogu iznositi i do dvadeset miliona evra ili 4% ukupnog godišnjeg prometa iz prethodne finansijske godine, u zavisnosti koja cifra od te dve je viša. Za manje značajne povrede, kazne će se povećati na više od deset miliona evra ili 2% od ukupnog godišnjeg prometa.

Osim pomenutih novčanih kazni, rizici između ostalog uključuju i štetu nanetu ugledu kompanije, a posebno ovaj rizik je sve važniji zbog nedavne pažnje medija u vezi sa zloupotrebom ličnih podataka.

Da zaključimo:

Pošto je GDPR stupio na snagu 25. maja 2018. godine, preporučljivo je započeti sa neophodnim pripremama kako bi se izbeglo nepoštovanje i kako bi se ublažili rizici vezani za novu regulativu za zaštitu podataka o ličnosti. Prvi korak u pripremama bi bio procena da li GDPR važi za predmetnu kompaniju – što može zahtevati sveobuhvatnu analizu poslovanja kompanije. Ako je zaključak analize da je GDPR primenjiv, onda je neophodno pripremiti i pratiti plan koraka koji će obuhvatati sve obaveze koje nametne GDPR. Imajte na umu da, ako se poslovanje predmetne kompanije značajno oslanja na bavljenje ličnim podacima, spomenuti postupak za postizanje usaglašenosti treba započeti što je pre moguće – jer bi ga teško bilo ubrzati.

Ovde smo spomenuli samo neke od obaveza vezanih za zaštitu podataka, jer sam GDPR je dokument od 88 strana sa različitim obavezama i nijansama i stoga se ne može u potpunosti opisati u ovom formatu. Međutim, ako odlučite da vam je potrebna pravna pomoć́ u vezi sa primenom GDPR-a u jurisdikciji koja nije članica EU,[4] Advokatska kancelarija Gecić vam stoji na raspolaganju za sve dodatne informacije.

 

[1] Vidi stavove 23. i 24. GDPR-a

[2] Upotrebili smo izraz „verovatno“ zato što još nije jasno dokle će ići primena GDPR-a na rezidentima koji nisu iz EU a koji rade ili putuju u Evropskoj uniji.

[3] Za više detalja, vidi članove 9., 10. i 27. GDPR-a

[4] Napomena – većina zemalja koje nisu članice EU imaju svoje zakone i pravila za zaštitu podataka bez obzira na primenu GDPR. Samim tim, dostizanje potpunog usaglašavanja sa normama zaštite podataka treba da bude paralelan proces ispunjavanja i obaveza prema domaćim i prema GDPR propozicijama