22.09.2019

GDPR u Srbiji

GDPR

General Data Protection Regulation (GDPR) iliti Opšta uredba o zaštiti podataka je uredba Evropske unije o zaštiti podataka za sve građane Evropske unije (EU) i Evropskog ekonomskog prostora (EEA). GDPR je u zemljama Evropske unije stupio na snagu 25. maja 2018. godine. Iako nije članica Unije, Republika Srbija se obavezala Sporazumom o stabilizaciji i pridruživanju da će uskladiti nacionalno zakonodavstvo u oblasti zaštite podataka sa pravnim tekovinama EU. Pitanje zaštite podataka o ličnosti od značaja je za učlanjenje Republike Srbije u Evropsku uniju, te je tema pregovaračkih poglavlja 23 i 24 u pristupnim pregovorima.

Kako bi uskladila svoje zakonodavstvo sa zakonodavstvom EU po ovom pitanju, Republika Srbija je 13.11.2018. godine donela Zakon o zaštiti podataka o ličnosti („Sl.glasnik RS“ br. 87), s tim što je početak njegove primene prolongiran do isteka devet meseci od dana objavljivanja zakona u Službenom glasniku. Zakonodavac je procenio da je bilo neophodno ostaviti dodatni rok obveznicima Zakona o zaštiti podataka o ličnosti kako bi se adekvatno prilagodili na novine implementacije GDPR u Srbiji. Tako predmet Zakona o zaštiti podataka o ličnosti (u daljem tekstu ZZPL, Zakon) uređuje pravo fizičkih lica koja ona imaju u vezi sa sakupljanjem i obradom podataka o ličnosti, odnosno nadzorom nad tako prikupljenim i obrađenim informacijama. Zakonodavac time nastoji da obezbedi pravnu zaštitu osnovnih prava i sloboda čije je pravo na zaštitu ličnih podataka njegov sastavni deo.

Šta je to podatak o ličnosti

Shodno ZZPL (što, kako smo rekli predstavlja GDPR u Srbiji), podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.

Osim ovako određenog podatka o ličnosti Zakon posebno određuje određene kategorije podataka o ličnosti čija obrada je posebno uređena. Tu spadaju:

Genetski podatak:

  • podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica
  • podatak o ličnosti koji je dobijen analizom iz uzorka biološkog porekla

Biometrijski podatak:

  • podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima
  • podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fiziološkim obeležjima
  • podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa ponašanjem fizičkog lica

Podatak o zdravlju:

  • Podatak o fizičko ili mentalnom zdravlju
  • Podatak o pružanju zdravstvenih usluga
  • Podatak kojima se otkriva informacija o zdravstvenom stanju

Načela:

Osnovni principi kojima se zakonodavac vodio prilikom regulisanja implementacije GDPR u Srbiji redstavljaju sledeća načela:

  • Zakonitosti, poštenja i transparentnosti
  • Ograničenja u odnosu na svrhu obrade
  • Minimizacije podataka
  • Tačnosti podataka
  • Ograničenja čuvanja podataka
  • Integriteta i poverljivosti podataka
  • Odgovornosti za postupanje

Navedena načela suštinski oslikavaju i osnovne principe Uredbe Evropske unije o zaštiti podataka o ličnosti. Tumačenje i sprovođenje GDPR u Srbiji podržava isključivo zakonito i tačno prikupljanje i obradu podataka o ličnosti, odnosno njegovo vremensko ograničenje i propisivanje odgovornosti lica koje vrše obradu ličnih podataka.

Subjekti obrade podataka o ličnosti

GDPR u Srbiji, oličen u ZZPL, propisuje brojne subjekte u postupku obrade podataka o ličnosti.

Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju

Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade.

Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Primalac je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade.

Treća strana je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose.

GDPR vs ZZPL

Da bi se GDPR u Srbiji primenio bitno je da se lica čiji se podaci obrađuju nalaze fizički u Evropskoj uniji, nije od značaja da li se obrađuju podaci lica koja imaju državljanstvo ili odobrenje za privremeni ili stalni boravak u jednoj od država članica Evropske unije.

Za primenu GDPR-a dovoljno je da se obrađuju podaci o ličnosti lica koja se, u momentu nuđenja robe ili usluga, nalaze u teritoriji jedne od država članica EU bez obzira da li su ova lica tu robu ili usluge platila. Znači, već sama obrada podataka u cilju nuđenja robe ili usluga, bez krajnje kupovine ove robe, odnosno plaćanja ovih usluga, je dovoljna za primenu rigoroznih sankcija propisanih GDPR-om.

Navedeni pristup prihvatio je i srpski zakonodavac. ZZPL se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije.

Tako se ZZPL primenjuje na obradu podataka o ličnosti lica na koja imaju prebivalište, ili boravište na teritoriji Republike Srbije i to od strane rukovaoca, odnosno obrađivača koji nema sedište, prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za:

  • ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije
  • praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.

Načela Zakona o zaštiti podataka o ličnosti

Načelo zakonitosti propisuje postojanje osnova za prikupljanje i obradu nečijih ličnih informacija. Ono je podrobnije uređeno članom 12 ZZPL. Tako je svako prikupljanje i obrada ličnih informacija zakonita ukoliko:

  • Postoji saglasnost lica čije se informacije prikupljaju i obrađuju za tačno određenu svrhu
  • Obrada je neophodna za zaključenje ili izvršenje ugovora sa licem na koje se podaci odnose
  • Obrada je neophodna radi poštovanja pravnih obaveza rukovaoca
  • Obrada je neophodna radi zaštite životno važnih interesa bilo kog fizičkog lica
  • Obrada je neophodna u cilju obavljanja poslova u javnom interesu
  • Obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane

Kada lice daje pristanak na obradu svojih informacija, ono to mora uraditi na nedvosmislen način, mora znati u koju svrhu se vrši obrada takvih informacija odnosno može uvek da takav pristanak opozove. Saglasnost se daje rukovaocu, fizičkom ili pravnom licu odnosno organu vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

U skladu sa tim, obrnuto proporcionalno postoje obaveze obrađivača koji mora biti u mogućnosti dokaže da je lice pristalo na obradu svojih podataka o ličnosti, odnosno zahtev za davanje pristanka mora biti jasno predstavljen u okviru generalne pismene saglasnosti koja se odnosi i na druga pitanja.

Maloletna lica

Ukoliko se radi o maloletnom licu čije se informacije prikupljaju ili obrađuju, članom 16 ZZPL je propisano da maloletno lice koje je navršilo 15 godina može samostalno dati pristanak za obradu informacija o svojoj ličnosti prilikom korišćenja usluga informacionog društva, dok je za mlađe lice neophodan pristanak roditelja koji vrši zakonsko pravo, odnosno drugog zakonskog zastupnika.

Ukoliko je obrada neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, onda ona može biti zakonita samo ukoliko su takvi legitimni interesi pretežniji interesima osnovnih prava i sloboda.

Viši interes društva, vrednosti čiji značaj preovladava nad ličnim pravom pojedinca

Zakonodavac je prilikom uređivanja ovog pitanja ostavio mogućnost za izuzetke prilikom obrade ličnih informacija i u cilju zaštite viših interesa društva ili vrednosti čiji značaj preovladava nad ličnim pravom pojedinca. Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od one za koju su podaci prikupljeni, osim ako je ta dalja obrada:

  • Propisana zakonom
  • Određena svrha obrade
  • Da se poštuju pravila o srazmernosti obrade u odnosu na cilj obrade
  • Neopodna za obavljanje poslova nadležnih organa
  • Neophodna za obavljanje poslova u javnom interesu.

Lice za zaštitu podataka o ličnosti

Rukovalac i obrađivač su DUŽNI da odrede posebno lice za zaštitu podataka o ličnosti ako se:

  • obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vršesudovi
  • obrada vrši u velikom obimu koji zahteva redovan sisamatski nadzor velikog broja lica
  • vrši obradi posebnih vrsta podataka kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.

Svi drugi rukovaoci i obrađivači koji nisu dužni da odrede posebno lice za zaštitu podataka o ličnosti MOGU to uraditi ukoliko smatraju da će time smanjiti rizik od eventualne nezakonite obrade ličnih informacija i time izbeći zakonske kazne.

Ako imate dodatnih pitanja u vezi sa primenom GDPR u Srbiji, obratite se našem konsultantskom timu.

GDPR u Srbiji