OPŠTA UREDBA O ZAŠTITI PODATAKA O LIČNOSTI EU – GDPR 2016/679 (General Data Protection Regulation)
Zbog manjkavosti i prevaziđenosti propisa koji su regulisali obradu i protok informacija unutar EU i ka trećim zamljama, naročito Direktive 95/46/EC iz 1995. godine, nakon višegodišnjih priprema Evropski parlament je 14. aprila 2016. izglasao “Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data“, poznatija kao “General Data Protection Regulation” ili “GDPR”. Nakon dve godine ostavljenog vremena za prilagođavanje, Uredba je počela da se primenjuje 25. Maja 2018, donoseći niz novih pravila o zaštiti podataka o ličnosti sa namerom da te podatke zaštite u većoj meri nego što je to prethodno bio slučaj.
Opšta uredba sadrži niz novih pojmova i kategorija u odnosu na prethodni regulatorni okvir, kao što je pojam pseudonimizacija, biometrijski podaci, glavno mesto poslovnog sedišta kompanije koja se ima smatrati rukovaocem odnosno obrađivačem podataka itd.
Zbog kompleksnosti pitanja, ali i same uredbe čija primena zahteva profesionalnu pomoć i visok nivo odgovornosti, evropski pralment je predvideo i novu kategoriju – Lice zaduženo za zaštitu podataka (Data Protection Officer). Lice za zaštitu podataka ima zadatak da pruža stručnu pomoć, daje savete i nadzire usklađenost obrade podataka sa propisima o zaštiti ličnosti, posebno kada je reč o organima javne vlasti ili drugim rukovaocima i obrađivačima čije se glavne aktivnosti odnose na redovno i sistematsko praćenje, kao i obradu velikih količina podataka, uključujući i obradu posebnih (osetljivih) kategorija podataka o ličnosti.
Iako je GDPR direktno primenljiv u državama članicama EU, on ostavlja prostor državama članicama da preciznije regulišu određena pitanja, kao što su obrada podataka u kontekstu zapošljavanja, javnog zdravlja i novinarstva. Dakle, nacionalni zakoni mogu dopuniti GDPR u ovim oblastima, ali ne smeju biti u suprotnosti sa njegovim osnovnim načelima.
Uredba je donela i promene koje se tiču teritorijalne i personalne primene, pa se primenjuje na rukovaoce i obrađivače koji nemaju sedište u EU, ali nude robu ili usluge licima u EU, ili prate ponašanje tih lica unutar EU. Uredba detaljno određuje u kojim situacijama će se nuđenje robe ili usluga ima smatrati uperenom ka građanima EU, pri čemu se uzima u obzir jezik na kom se ponuda vrši, valuta itd.
Ono što posebno izdvaja Opštu uredbu u odnosu na prethodnu regulativu jeste jasno definisanje prava lica na koje se podaci odnose, kao i obaveza rukovaoca i obrađivača podataka. Među najvažnijim novinama su pravo na pristup podacima, pravo na ispravku, pravo na brisanje („pravo na zaborav“), pravo na ograničenje obrade, pravo na prenosivost podataka, kao i pravo na prigovor. Uredba takođe uvodi pravila o automatizovanom donošenju odluka, uključujući profilisanje, zahtevajući da lica imaju pravo da ne budu predmet odluka koje se isključivo zasnivaju na automatizovanoj obradi, ako takve odluke proizvode pravne posledice ili značajno utiču na njih.
Značajan akcenat stavljen je na transparentnost obrade podataka. Rukovaoci su dužni da korisnicima pruže jasne i dostupne informacije o tome kako i u koje svrhe se njihovi podaci obrađuju, koje pravne osnove se primenjuju, koliko dugo će podaci biti čuvani, kao i o njihovim pravima u vezi sa obradom. U slučajevima kada se obrada zasniva na pristanku, taj pristanak mora biti dat dobrovoljno, nedvosmisleno, informisano i jasno — i mora postojati mogućnost njegovog lakog povlačenja.
U cilju jačanja nadzora i zaštite prava pojedinaca, GDPR uvodi koncept jedinstvene nadzorne nadležnosti, koji omogućava da rukovaoci sa prekograničnim delovanjem imaju posla primarno sa jednom nadzornom institucijom u EU. Takođe, svaka država članica mora da uspostavi nezavisno nadzorno telo (npr. Poverenik u Republici Srbiji), koje će biti zaduženo za nadzor nad primenom Uredbe, razmatranje pritužbi građana i izricanje sankcija.
GDPR PREAMBULA – ZAŠTO JE BITNA
Preambula GDPR-a veoma je bitna kako za bolje razumevanje integralnog teksta uredbe, njegovu što precizniju primenu, ali i za razumevanje suštinskih razloga zbog čega je ovaj propis morao biti donet, i koje tekovine i vrednosti se njime štite. Teško je očekivati od jednog propisa koji ima svojstvo lex generalis akta za tako važnu oblast, a još nepunih sto članova da omogući jednostavnu i jasnu formulaciju pravnih normi, odnosno da precizno zada zadatak subjektima koji ove odredbe treba da primenjuju. Zbo toga je ovako opštiran uvod u formi preambule u velikoj meri omogućio da GDPR razumemo na pravi način.
Na njenom početku, preambula upućuje na član 8, Konvencije o ljudskim pravima, kao i član 16, stav 1, Ugovora o funkcionisanju Evropske unije, potvrđujući da je zaštita fizičkih lica u odnosu na obradu podataka o ličnosti osnovno pravo, kao i da načela i pravila o zaštiti fizičkih lica u odnosu na obradu njihovih podataka o ličnosti moraju da poštuju njihova osnovna prava i slobode, bez obzira na njihovo državljanstvo ili prebivalište, čime tvorac regulative pravi neophodnu vezu sa drugim relevantnim propisima i daje legitimitet samoj Uredbi.
Daljim tekstom ukazuje se na ograničenja prava na zaštitu podataka ličnosti zarad drugih interesa koji u tom trenutku pretežu nad interesom privatnosti. Pravo na zaštitu podataka svakako nije apsolutno pravo, tako da mora biti uzet u obzir i društveni kontekst, odnsono mora biti sagledano unutar jedinstvenog pravog sistema da bi se postigao neophodan balans sa ostalim subjektivnim pravima. U svakom slučaju Uredba mora da poštuje garantovana prava, slobode i načela priznata Evropskom konvencijom o ljudskim pravima, Poveljom UN i drugim važnim međunardonim aktima sa akcentom upravo na pravima koja se tiču privatnosti kao što je neophodnost garancije privatnog i porodičnog života, doma i komunikacija, ali i sloboda mišljenja, savesti i veroispovesti, sloboda izražavanja i informisanja, sloboda poslovanja, pravo na delotvoran pravni lek i pošteno suđenje, kao i pravo na različitost vezano za kulturu, religiju i jezik.
Preambulom se pojašnjava dejstvo uredbe u personalnom smislu, pa se precizira da zaštita koja se pruža ovom uredbom mora da se primenjuje na fizička lica, bez obzira na njihovo državljanstvo ili prebivalište, odnosno ukazuje da se aktom ne obuhvataju obrade podataka o ličnosti koji se tiču pravnih lica, uključujući poslovno ime, formu i kontakt podatke. GDPR se primenjuje na podatke koji se odnose na identifikovane fizička lica ili one podake koji su podobni za identifikaciju.
Podaci koji se odnose isključivo na pravna lica, kao što su adrese sedišta ili opšti kontakt podaci, nisu obuhvaćeni GDPR-om, osim ako se mogu povezati sa fizičkom osobom.
Dalje se priceizira se ova uredba ne primenjuje na obradu podataka o ličnosti koju vrše fizičke lica u toku isključivo lične ili kućne aktivnosti.
Uredba propisuje da se njena pravila ne primenjuju ni na sudske organe, u delu koji se odnosi obavljanje njihove sudijske odnosno pravosudne funkcije, a sve u cilju obezbeđivanja nezavisnosti pravosuđa u odnosu na izvršnu, ali i zakonodavnu vlast. S tim što tu zakonodavac upravo iz razloga fukcionalnijeg mehanizma podele vlasti pojašnjava da ovaj deo pravosudne delatnosti ne sme ostati potpuno van kontrole zakona, pa bi trebalo da bude omogućen nadzor nad takvim radnjama obrade podataka od strane posebnih organa kroz sistem pritužbi, čime bi se povećala svest sudija o njihovim obavezama.
Važan deo Preambule je onaj koji se tiče definisanja personalnog dejstva dokumenta u pogledu na preminule osobe. S obzirom da tekst same uredbe o tome ne govori, preambula tu dilemu razrešava i ograničava dejstvo samo na živa fizička lica.
GDPR uređuje pitanje saglasnosti za obradu podataka dece tako što propisuje da je rukovalac dužan da, uzimajući u obzir raspoloživa tehnička sredstva, preduzme razumne mere kako bi proverio da li je pristanak za obradu dao roditelj ili drugi zakonski zastupnik deteta, ukoliko dete nije navršilo minimalnu starosnu granicu propisanu GDPR-om ili nacionalnim zakonodavstvom. Preambula GDPR-a dodatno naglašava da deca zahtevaju posebnu zaštitu svojih ličnih podataka, jer često nisu dovoljno svesna rizika, posledica obrade, svojih prava niti mera zaštite. Posebna zaštita posebno je važna kada se podaci dece koriste za svrhe marketinga, profilisanja ili pružanja usluga koje su direktno namenjene deci. Međutim, u kontekstu preventivnih ili savetodavnih usluga namenjenih direktno detetu, pribavljanje prethodnog pristanka roditelja ili zakonskog zastupnika može biti neopravdano ili teško izvodljivo, te GDPR u takvim situacijama ostavlja prostor državama članicama da detaljnije urede ova pitanja.
Takođe, kod prava na zaborav, pravna norma glasi da lice na koje se podaci odnose ima pravo na brisanje ako podaci više nisu potrebni za svrhe za koje su prvobitno prikupljeni ili obrađeni. Međutim, preambulom se dodatno pojašnjavaju situacije u kojima se smatra da podaci više nisu neophodni. Tako se dodatno precizira da lice ima pravo na brisanje podataka ako je povuklo prethodno dat pristanak na obradu, ako uloži prigovor na obradu, ili ako se obrada podataka više ne vrši u skladu sa odredbama GDPR-a. Poseban značaj ovo pravo ima u slučajevima kada je pristanak za obradu podataka dat u detinjstvu, u trenutku kada lice nije bilo dovoljno svesno rizika povezanih sa obradom, te kasnije ima potrebu da te podatke ukloni, naročito iz internet okruženja.
U cilju jačanja prava na brisanje podataka, posebno kada je reč o informacijama objavljenim na internetu, preambula dodatno pojašnjava obavezu rukovaoca koji je javno objavio lične podatke da preduzme razumne korake, uključujući tehničke mere, kako bi obavestio ostale rukovaoce koji obrađuju te podatke o zahtevu za brisanje, uzimajući pritom u obzir raspoloživu tehnologiju i dostupna sredstva. Ovo je zahtev koji značajno doprinosi efektivnijoj zaštiti prava pojedinca, uprkos tome što njegova praktična realizacija može biti zahtevna za rukovaoce.
Uredba propisuje pravilo da ako rukovalac ne može da identifikuje fizičko lice na osnovu podataka o ličnosti koje poseduje, nije dužan da pribavlja dodatne informacije isključivo radi identifikacije lica, naročito imajući u vidu načelo minimizacije podataka kojim se smanjuje rizik po privatnost pojedinaca. Međutim, preambula dodatno pojašnjava da rukovalac, ukoliko ima opravdane razloge za sumnju u identitet lica koje podnosi zahtev za ostvarivanje svojih prava, može zahtevati dodatne informacije radi potvrde identiteta. Identifikacija u ovim situacijama može da podrazumeva i digitalne metode autentifikacije, poput onih koje se već koriste za pristup onlajn uslugama rukovaoca, uključujući dvostepenu proveru (double opt-in) putem imejla, SMS poruke ili drugih vidova verifikacije.
GDPR PREAMBULA I POSEBNE KATEGORIJE LIČNOSTI
Podatke o ličnosti koji su po svojoj prirodi posebno osetljivi, preambula GDPR-a svrstava u kategoriju podataka koji zahtevaju dodatnu zaštitu zbog povećanog rizika za osnovna prava i slobode pojedinca prilikom njihove obrade. U posebne kategorije podataka spadaju, između ostalog, podaci koji otkrivaju rasno ili etničko poreklo, politička uverenja, verska ili filozofska ubeđenja, članstvo u sindikatima, genetski podaci, biometrijski podaci koji omogućavaju jedinstvenu identifikaciju lica, zdravstveni podaci ili podaci o seksualnom životu ili seksualnoj orijentaciji pojedinca.
Fotografije se same po sebi ne smatraju automatski biometrijskim podacima. One postaju biometrijski podaci tek kada se obrađuju specifičnim tehničkim sredstvima ili algoritmima koji omogućavaju jedinstvenu identifikaciju fizičkog lica (na primer, sistemi za prepoznavanje lica). Takva obrada je po pravilu zabranjena, osim u slučajevima kada postoje jasni izuzeci predviđeni Uredbom, uključujući situacije kada lice na koje se podaci odnose da izričit i punovažan pristanak.
Države članice mogu da propišu dodatne uslove i detaljnije mere zaštite za obradu posebnih kategorija podataka, naročito kada se obrada vrši radi poštovanja zakonskih obaveza, obavljanja zadataka od javnog interesa ili izvršavanja službenih ovlašćenja rukovaoca.
Od zabrane obrade posebnih kategorija podataka može se odstupiti i u svrhe zdravstvene zaštite, uključujući javno zdravlje i upravljanje zdravstvenim uslugama, kao i za potrebe naučnih ili istorijskih istraživanja, statističke svrhe ili za potrebe arhiviranja u javnom interesu.
Takođe, dozvoljena je obrada ovih podataka ako je neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva pred sudom ili pred nadležnim organima.
OBJAŠNJENJE I BLIŽE DEFINISANJE PROCENE UTICAJA U PREAMBULI
Preambula GDPR-a daje smernice i primere situacija u kojima bi trebalo sprovesti procenu uticaja na zaštitu podataka (Data Protection Impact Assessment – DPIA), posebno kada se planira obrada podataka u velikom obimu koja može predstavljati visok rizik po prava i slobode fizičkih lica. Takva procena naročito je preporučena u slučajevima kada se obrada odnosi na velike količine podataka o ličnosti na regionalnom, nacionalnom ili nadnacionalnom nivou, i kada bi obrada mogla uticati na znatan broj ispitanika.
Procena uticaja je takođe potrebna kada obrada uključuje donošenje automatizovanih odluka koje se odnose na pojedince, uključujući profilisanje, kao i kada se obrađuju posebne kategorije podataka (npr. podaci o zdravlju, veri, političkom opredeljenju), biometrijski podaci ili podaci o krivičnim presudama i krivičnim delima.
Dodatno, preambula navodi da je procena uticaja obavezna i u slučaju sistematskog i obimnog praćenja javno dostupnih prostora, naročito kada se koriste tehnička sredstva poput video-nadzora (kamera). U tim situacijama rukovalac je dužan da pre započinjanja obrade izvrši detaljnu procenu rizika i planira mere za ublažavanje tih rizika.
LEGITIMNI INTERES KAO OSNOV OBRADE – POJAŠNJENJE IZ PREAMBULE
Uredba propisuje više pravnih osnova na kojima se može zasnivati zakonita obrada podataka o ličnosti, čime se ispunjava načelo zakonitosti iz člana 6 GDPR-a. Pored pristanka lica na koje se podaci odnose, to mogu biti: izvršenje ugovora, ispunjenje zakonske obaveze rukovaoca, zaštita vitalnih interesa fizičkog lica, obavljanje zadatka od javnog interesa ili u okviru službenih ovlašćenja, kao i postojanje legitimnog interesa rukovaoca ili trećeg lica, pod uslovom da ti interesi nisu nadjačani interesima ili osnovnim pravima i slobodama lica na koje se podaci odnose.
Iako GDPR ne sadrži formalnu definiciju pojma “legitimni interes“, njegova primena se razrađuje kroz tekst Preambule, naročito u recitalima 47–50. Preambula precizira da legitimni interes može biti zakonit osnov za obradu, naročito kada između rukovaoca i lica na koje se podaci odnose postoji relevantan i odgovarajući odnos, na primer kada je to lice korisnik usluge ili zaposleno kod rukovaoca. U svakom konkretnom slučaju neophodna je procena ravnoteže između interesa rukovaoca i prava i sloboda ispitanika, uzimajući u obzir njihova razumna očekivanja u datom kontekstu obrade.
Ako se obrada vrši u okolnostima u kojima lice na koje se podaci odnose ne bi moglo razumno da očekuje takvu obradu, ili bi obrada mogla da izazove štetu ili povredu prava tog lica, legitimni interes rukovaoca ne može da prevlada. Preambula takođe jasno navodi da legitimni interes ne može predstavljati pravni osnov za obradu koju vrše organi javne vlasti prilikom obavljanja svojih zakonom propisanih zadataka.
Dodatno, preambula prepoznaje određene konkretne primere legitimnog interesa, kao što su obrada podataka radi sprečavanja prevara, kao i obrada u svrhu direktnog marketinga, s tim što u potonjem slučaju lice na koje se podaci odnose ima pravo da u svakom trenutku uloži prigovor na takvu obradu.
PRIMENA GDPR-a U REPUBLICI SRBIJI
S obzirom na to da Republika Srbija nije članica Evropske unije, Opšta uredba o zaštiti podataka o ličnosti (GDPR) se u njoj ne primenjuje direktno. Međutim, Srbija je 2018. godine usvojila Zakon o zaštiti podataka o ličnosti (ZZPL), koji je u velikoj meri zasnovan na rešenjima iz GDPR-a. Preambula GDPR-a nije deo pozitivnog prava Republike Srbije, ali se njena sadržina može koristiti kao argumentacioni izvor prilikom tumačenja i primene odredaba domaćeg zakona, naročito kada je reč o pojmovima i institutima koji su preuzeti iz evropskog pravnog okvira.
ADVOKAT ZA GDPR – Uloga pružanja pravnih usluga u procesu usaglašavanja
Usaglašavanje sa Opštom uredbom o zaštiti podataka (GDPR) predstavlja kompleksan pravni i tehnički proces koji zahteva pažljivo razumevanje obaveza rukovaoca i obrađivača podataka. U tom procesu, ključnu ulogu imaju advokati. Od inicijalne procene pravne usklađenosti (gap analize), preko mapiranja podataka, izrade internih akata, politika privatnosti, ugovora o obradi, pa do izrade i vođenja evidencija radnji obrade, podrazumevajući i analizu svrha i pravnih osnova obrade.
Slično kao i u odnosu na zaštitu podataka generalno, advokat savetuje klijente o zakonitom prikupljanju, obradi i čuvanju podataka, tumači primenjive norme i učestvuje u proceni rizika za prava i slobode fizičkih lica (DPIA). Takođe, advokat pomaže u definisanju procedura za ostvarivanje prava lica na koje se podaci odnose, kao i u postupanju u slučaju povrede podataka.
U slučaju prekogranične obrade ili obrade podataka građana EU od strane kompanija van EU, advokat analizira primenu GDPR-a u kontekstu teritorijalnog dometa i identifikuje obaveze koje iz toga proizlaze.
Advokat za GDPR je ključni partner u izgradnji pravne sigurnosti i poverenja korisnika, posebno u situacijama kada se od rukovaoca zahteva da dokaže usklađenost sa ovim propisom.