GDPR (General Data Protection Regulation)

Šta je GDPR?

GDPR (General Data Protection Regulation), Opšta uredba o zaštiti podataka o ličnosti, je regulativa koja se u Evropskoj uniji primenjuje od 25. maja 2018. i koja donosi nova, strožija  pravila i propise o zaštiti podataka o ličnosti stanovnika EU.

Možda je najbolji primer novina koje donosi, implementacija koncepta: “Privacy by design & Privacy by default”. Ovo bi značilo da su sistemi u kojima se obrađuju podaci o ličnosti u startu projektovani tako da poštuju privatnost lica koliko god je to moguće, a minimalno na način propisan GDPR-om (Privacy by design). U takvim sistemima, podaci o ličnosti svakog lica su, od samog starta, zaštićeni na adekvatan način (Privacy by default).
Drugi važan primer je da nije više na licu da dokazuje da mu je povređena privatnost podataka o ličnosti, već je obaveza  rukovaoca i obrađivača da može u svakom trenutku da pokaže i dokaže da su podaci o ličnosti obrađivani u skladu sa Uredbom. Cilj Uredbe je da unese transparentnost u ceo proces obrade podataka o ličnosti i time licu na koje se podaci odnose da pravo da na osnovu tačnih i pravovremenih informacija donosi odluke vezane za svoju privatnost.

Da li se od 25. maja menjaju obaveze banaka i klijenata u Srbiji?

Imajući u vidu da Srbija još uvek nije članica EU, ova regulativa se još uvek ne primenjuje, ali sve kompanije koje nude proizvode ili usluge stanovnicima EU, na teritoriji EU, moraju da se pridržavaju njenih odredaba.  Klijenti u Srbiji, su, kao i do sada, zaštićeni Zakonom o zaštiti podatka o ličnosti, čiji su obveznik i banke.

Da li domaća banka treba da primenjuje GDPR ukoliko ima klijente iz EU?

Kada je GDPR koncipiran i pisan, banke nisu bile u prvom planu, već društvene mreže, e-Commerce i generalno biznisi koji žive od obrade i prodaje velikih količina podataka. Banke u Srbiji nemaju zakonsku obavezu da primenjuju GDPR iako imaju klijente iz EU (osim ukoliko ne nude proizvode i usluge građanima EU i ljudima koji imaju prebivalište na teritoriji EU). Do stupanja na snagu novog Zakona o zaštiti podataka o ličnosti, banke u Srbiji se pridržavaju trenutno važeće legislative.

Na koji način se GDPR razlikuje od domaćeg Zakona o zaštiti podataka o ličnosti?

Pre svega, GDPR je koncipiran tako da pruži zakonski okvir za obradu i prenos podataka o ličnosti na teritoriji cele EU, na način da ga nije potrebno posebno usvajati, on važi za sve članice EU, no ipak, ostavlja mesta da se prilagodi specifičnim potrebama svake države. Druga bitna odlika je njegova ektrateritorijalnost. To znači da njegovi obveznici mogu da budu i kompanije koje se ne nalaze na teritoriji EU, ali obrađuju podatke državljana ili rezidenata EU, nuđenjem, odnosno prodajom proizvoda državljanima EU.

Kako domaći Zakon o zaštiti podataka o ličnosti i GDPR imaju fundament u Direktivi 95/46 Evropske komisije, sva prava lica na koja se podaci odnose, koja su sadržana i u našem zakonu, javljaju se i u GDPR.

Da li se GDPR odnosi isključivo na fizička lica?

GDRP štiti podatke o ličnosti, odnosno, obuhvata taj segment privatnosti fizičkih lica.

Koja prava građani EU dobijaju primenom ove direktive, a koja nisu imali pre?

Građani EU dobijaju uniformni okvir širom EU koji obezbeđuje da je nivo zaštite njihovih podataka o ličnosti minimalno isti gde god da im se podaci obrađuju. Takođe, implementacijom GDPR-a, stvorio se okvir koji omogućava sankcionisanje onih koji obradu podataka o ličnosti vrše nezakonito. Na ovaj način postaje nevažno gde je podatak obrađivan. Građani EU dobijaju mogućnost da budu na transparentan način informisani o obradi svojih podataka o ličnosti (GDPR insistira da je obaveštenje o obradi podatka napisano jednostavnim i razumljivim jezikom).

Da li se GDPR odnosi i na Srbiju?

U Srbiji se primenjuje lokalna legislativa, odnosno Zakon o zaštiti podataka o ličnosti. Međutim, ukoliko kompanije iz Srbije nude, odnosno prodaju usluge ili proizvode građanima EU, ova regulativa se odnosi i na njih. GDPR je predvideo modalitete kako ta pravna lica mogu da nastave da nude svoje usluge na zakonit način.

Kada se očekuje usklađivanje ovog zakona sa zakonima u Srbiji?

Usklađivanje Zakona o zaštiti podataka o ličnosti sa GDPR-om je deo Poglavlja 23 pristupnih pregovora Srbije Evropskoj uniji. U tom smislu, da bi to poglavlje bilo zatvoreno, pored ostalih zahteva, i naš novi Zakon o zaštiti podatka o ličnosti mora biti usvojen. Poslednji nacrt zakona, koji je pripremilo Ministarstvo pravde, poslat je u Brisel na evaluaciju. Po dobijanju mišljenja iz Brisela, verovatno će se znati neki precizniji vremenski okvir.

Šta će se dešavati sa Kreditnim biroom? Da li će se posle implementacije zakona on zadržati u istom  obliku?

Kreditni biro se već pridržava principa zaštite podataka o ličnosti. Kreditni biro predstavlja i rukovaoca, obrađivača (u slučaju kada banke od njih povlače izveštaje) i treće lice i biće usklađen sa svim principima GDPR-a, odnosno novog zakona. Kreditni biro je bitna institucija, kako za banke, tako i za građane, i sasvim je sigurno da će i banke imati značajnu ulogu u usaglašavanju rada biroa sa dolazećim novim propisima o zaštiti podataka o ličnosti.