Nova pravila Evropske Unije o zaštiti podataka o ličnosti – da li kompanije u Srbiji imaju razloga za brigu?

Novi pravni okvir Evropske Unije (EU) o zaštiti podataka o ličnosti, koji stupa na snagu 24. maja 2018. godine u vidu Opšte uredbe o zaštiti podataka o ličnosti (GDPR), direktno je obavezujući u svim zemljama članicama, ali seže čak i van granica EU, tako što reguliše poslovanje stranih kompanija koje su u posedu podataka o ličnosti građana EU.  Organi zemalja članica EU nadležni za zaštitu podataka o ličnosti već sada imaju određena ovlašćenja nad stranim privrednim subjektima, što je potvrđeno u slučaju „Costeja“ (C-131/12), u kojem je Google Inc., kompanija registrovana u SAD, primorana da zaštiti pravo na privatan život državljanina Španije.  GDPR, međutim, proširuje postojeća ovlašćenja ovih organa i uređuje ih tako da omoguće zaštitu građanima EU na isti način kao da je obrada podataka izvršena unutar EU.

Naime, prema GDPR, sve inostrane kompanije koje ili (i) nude svoje dobra ili usluge građanima EU (bez obzira na to da li se od konkretnog građanina zahteva neko plaćanje), ili (ii) prate njihovo ponašanje (a koje se odvija na teritoriji EU), podležu njenim odredbama.  To dalje znači da su takve kompanije u obavezi da se pridržavaju strogih pravila predviđenih u GDPR-u, jer se u protivnom izlažu riziku da budu suočene sa veoma visokim kaznama – čak do 20.000.000,00 EUR ili 4% ukupnog godišnjeg prihoda u prethodnoj finansijskoj godini, u zavisnosti od toga koji od navedenih iznosa je u konkretnom slučaju veći.  Takođe, u slučaju manje značajnih povreda pravila GDPR, zaprećene su kazne u iznosu većem između iznosa 2% ukupnog godišnjeg prihoda u prethodnoj finansijskoj godini i 10.000.000,00 EUR.

Ovo praktično znači da, s obzirom na ekstrateritorijalni efekat GDPR, čak i obrađivači podataka izvan EU mogu biti kažnjeni u slučaju da posluju na način koji nije u skladu sa GDPR.  Ovo je od naročitog značaja za multinacionalne kompanije, koje redovno razmenjuju podatke o ličnosti između članova svoje grupe, budući da su kao takve u obavezi da postignu usklađenost sa svim pravnim sistemima, tj. kako unutar, tako i izvan granica EU.

Osim proširivanja svog teritorijalnog domašaja, GDPR je revidirala postojeća prava i obaveze subjekata zaštite podataka o ličnosti, ali i uvela neke nove.  Na primer, kompanije koje obrađuju podatke o ličnosti u odnosu na veliki broj lica, kao i one kojima je obrada podataka o ličnosti u sklopu osnovne delatnosti, biće u obavezi da imenuju lice zaduženo za zaštitu podataka o ličnosti, a koje će biti odgovorno za usklađenost sa pravilima u predmetnoj oblasti, kao i za komunikaciju sa nadležnim organima.

GDPR takođe uvodi takozvano „pravo na zaborav“, odnosno pravo na brisanje.  Iako se ovo pravo već neko vreme smatra sastavnim delom prava na poštovanje privatnog i porodičnog života, usled značaja koji ono ima u eri interneta, javila se potreba za njegovim zasebnim regulisanjem.  Naime, postojanje određene informacije nepovoljnog karaktera na internetu može imati ozbiljan negativan uticaj na nečiji život.  Prema pravu na zaborav/brisanje, lice na koje se takav podatak odnosi, pod određenim uslovima ima pravo da zahteva od rukovaoca podacima da predmetni podatak obriše, odnosno da ga učini nedostupnim.  Ovi uslovi, između ostalog, obuhvataju sledeće situacije: kada podatak o ličnosti više nije neophodan u svrhu za koju je pribavljen, ukoliko dođe do povlačenja pristanka, u slučaju nedozvoljene obrade, i slično.

Takođe, subjekti na koje se podaci o ličnosti odnose će od sada imati i određena prava u pogledu zahteva za prenos podataka, tačnije, imaće pravo da zahtevaju od rukovaoca podacima da iste prenese njima ili drugom rukovaocu, a u uobičajeno korišćenom formatu.

Imajući u vidu bitno proširen domašaj GDPR, kao i nove kaznene odredbe koje ista predviđa, preporučljivo je izvršiti analizu postojanja eventualnih neusklađenosti sa zahtevima iz GDPR – i to bez obzira na to da li je Vaša kompanija registrovana u EU ili izvan njenih granica.  U slučaju da imate bilo kakva pitanja u pogledu novih pravila u oblasti zaštite podataka o ličnosti, slobodno možete da se obratite našem timu za pravo zaštite podataka o ličnosti.