KADA SE GDPR PRIMENJUJE U SRBIJI?

Ovaj blog je originalno objavljen na sajtu www.zuniclaw.com 10. januara 2019. godine.

Opšta regulativa o zaštiti podataka o ličnosti EU (GDPR) ne obavezuje samo rukovaoce i obrađivače podataka o ličnosti u EU, već se u određenim situacijama primenjuje i na subjekte u Srbiji. U ovom tekstu objašnjavamo kada se GDPR primenjuje na vašu kompaniju u Srbiji.

Autor teksta: Tijana Đukić

GDPR je stupio na snagu 25.05.2018. godine i od tog datuma obavezuje fizička i pravna lica sa prebivalištem, odnosno sedištem u Evropskoj Uniji, ali pod određenim uslovima obavezuje i lica u Srbiji.

S obzirom da je kršenje odredbi GDPR-a sankcionisano veoma visokim kaznama, korisno je znati, ukoliko ste vlasnik društva sa sedištem u Srbiji, koje je (na neki od dole objašnjenih načina) prisutno na tržištu Evropske Unije, kada se GDPR primenjuje na Vaše društvo.

GDPR propisuje da se ova uredba primenjuje u tri scenarija:

U ovom tekstu, bavićemo se primenom GDPR-a na rukovaoce sa sedištem u Srbiji (Scenario 2).

POJAŠNJENJE ODREDABA GDPR-a

Pošto je formulacija odredaba u GDPR veoma široka i podložna različitim tumačenjima, Evropski odbor za zaštitu podataka je objavio Smernice u cilju pojašnjenja, između ostalog, u kojim slučajevima se GDPR primenjuje na društva čije sedište se nalazi van EU. U Smernicama se pojašnjava šta znači:

• nuđenje robe ili usluga licima koja se fizički nalaze u EU,
• praćenje ponašanja lica koja se nalaze u EU, pod uslovom da se njihovo ponašanje odvija unutar Unije.

Evropski odbor za zaštitu podataka otklanja dve česte zablude:

• da se GDPR primenjuje samo na rukovaoce i obrađivače sa sedištem u Evropskoj Uniji,
• da se GDPR uvek primenjuje na rukovaoce ili obrađivače koji obrađuju podatke državljana jedne od država članica Evropske Unije.

Uzmimo, na primer, da domaća IT kompanija obrađuje podatke o ličnosti državljana država EU, koji se nalaze u Srbiji, u cilju nuđenja robe ili usluga na teritoriji Republike Srbije. Da li se GDPR primenjuje na ovu IT kompaniju?

Odgovor je: NE

Međutim, uzmimo da domaća IT kompanija obrađuje podatke o ličnosti lica koji se, u momentu nuđenja robe ili usluga od strane srpskog IT društva, nalaze na teritoriji jedne od država članica Evropske Unije. Da li se GDPR primenjuje na ovu IT kompaniju?

Odgovor je: DA

Zapravo, da bi se primenila Opšta regulativa na rukovaoce i obrađivače sa sedištem van EU nije bitno da li se obrađuju podaci lica koja imaju državljanstvo ili odobrenje za privremeni ili stalni boravak u jednoj od država članica Evropske Unije. Ono što je bitno je da se lica čiji se podaci obrađuju  nalaze fizički u Evropskoj Uniji.

Evropski odbor za zaštitu podataka navodi dobar primer kojim se objašnjava da se GDPR primenjuje na sva lica koja se fizički nalaze u Evropskoj Uniji.

Bitno je da se lica čiji podaci se obrađuju nalazi u Evropskoj Uniji u momentu nuđenja robe ili usluga ili u vreme praćenja njihovog ponašanja i to bez obzira na dužinu trajanja ovih radnji.
Za primenu GDPR-a dovoljno da se obrađuju podaci o ličnosti lica koja se, u momentu nuđenja robe ili usluga, nalaze u teritoriji jedne od država članica EU bez obzira da li su ova lica tu robu ili usluge platila. Znači, već sama obrada podataka u cilju nuđenja robe ili usluga, bez krajnje kupovine ove robe, odnosno plaćanja ovih usluga, je dovoljna za primenu rigoroznih sankcija propisanih GDPR-om.

Sa druge strane, sama obrada podataka o ličnosti lica koja se nalaze u Uniji nije dovoljna da bi se primenile odredbe GDPR-a na obrađivača odnosno rukovaoca koji imaju sedište van EU, već je neophodno da je cilj ove obrade podataka nuđenje robe ili usluga ovim licima ili praćenje njihovog ponašanja unutar Unije.

Ali kako se utvrđuje da se podaci lica koja se nalaze u EU obrađuju u cilju nuđenja robe ili usluga, odnosno u cilju praćenja njihovog ponašanja unutar Unije?

OBRADA U CILJU NUĐENJA ROBE I USLUGA

Evropski odbor za zaštitu podataka dao je u svojim Smernicama uputstva koja ukazuju da se podaci ovih lica obrađuju upravo iz ovih pobuda.

KRITERIJUMI

U slučaju postojanja nekoliko gore navedenih kriterijuma, po mišljenju Evropskog odbora za zaštitu podataka, može se zaključiti da se podaci lica koja se nalaze u Evropskoj Uniji obrađuju upravo u cilju nuđenja robe ili usluga. Drugim rečima, GDPR se primenjuje.

Kao primer kada se, po mišljenju Evropskog odbora za zaštitu podataka, smatra da rukovalac sa sedištem van EU obrađuje podatke lica koja se nalaze na teritoriji država članica EU u cilju nuđenja robe ili usluga, se navodi sledeća situacija:

Sa druge strane, obrada ličnih podataka državljana država članica EU, koji su zaposleni u društvu u Srbiji, u svrhu isplate zarada, se ne smatra obradom podataka u cilju nuđenja robe ili usluga, te se samim time na ovo IT društvo ne primenjuju odredbe GDPR-a.

OBRADA RADI PRAĆENJA PONAŠANJA

Evropski odbor za zaštitu podataka dao je tumačenje kada se smatra da rukovalac, odnosno obrađivač vrši praćenje ponašanja lica koja se nalaze u EU i  njihovog ponašanja koje se odvija unutar Unije.

Najpre, treba navesti da se pod praćenjem podrazumeva, praćenje osoba putem interneta, odnosno njihovo profilisanje u cilju analiziranja ili predviđanja njihovih ličnih sklonosti, ponašanja i stavova.

Navodi se da praćenje može biti u vidu:

• oglašavanja na osnovu ponašanja lica,
• praćenja geo-lokacije u marketinške svrhe,
• online praćenje preko upotrebe kolačića ili putem otiska uređaja,
• formiranja personalizovane analize zdravlja, ili dijete lica putem interneta,
• video nadzora putem kamere,
• istraživanja tržišta i drugih studija ponašanja baziranih na ličnim profilima,
• posmatranja ili redovnog izveštavanja о individualnom zdravlju;

Evropski odbor za zaštitu podataka takođe, navodi primer kada se smatra da rukovalac, ili obrađivač sa sedištem van Evropske Unije, obrađuje lične podatke lica koja se nalaze u EU u cilju praćenja njihovog ponašanja unutar Unije.

Potrebno je napomenuti da svaki od ovih kriterijuma uzet posebno, ne ukazuje da se roba i usluge nude ljudima koji se nalaze u Evropskoj Uniji, odnosno da se prati njihovo ponašanje. Ipak, kombinacija više ovih kriterijuma dovodi do zaključka da su upravo oni ciljna grupa.

ŠTA AKO SE GDPR PRIMENJUJE NA VAS KAO RUKOVAOCA ILI OBRAĐIVAČA PODATAKA U SRBIJI?

Ukoliko u okviru Vašeg poslovanja, činite neke od navedenih radnji:

• obrađujete podatke o licima koja se fizički nalaze u Evropskoj Uniji, u cilju nuđenja robe ili usluga, nezavisno od toga da li lice čiji se podaci obrađuju treba da plati tu robu ili usluge,

ILI

• pratite ponašanja ovih lica, pod uslovom da se njihovo ponašanje odvija unutar Unije,

neophodno je, da bi ste izbegli plaćanje drakonskih kazni, da ispoštujete procedure GDPR-a.

Ovo konkretno znači da je potrebno da, saglasno GDPR-u, angažujete lice koje će u Vaše ime i za Vaš račun istupati kao Vaš predstavnik u Evropskoj Uniji i omogućiti Vam da poštujete odredbe GDPR-a. Predstavnik može biti kako fizičko tako i pravno lice. Njegovi podaci moraju biti dostupni licima čiji podaci se obrađuju, na primer mogu biti navedeni u politici privatnosti. Sedište predstavnika bi trebalo da bude u onoj državi članici u kojoj se nalaze lica čiji podaci se obrađuju.

Dokaz primene GDPR-a je svakako odluka Francuskog regulatornog tela da kazni Google sa iznosom od 50.000.000,00 evra, o čemu je detaljnije pisano u novostima na sajtu Advokatske kancelarije Žunić. Ova odluka bi trebalo da bude opomena rukovaocima i obrađivačima podataka sa sedištem u Srbiji, na koje se Opšta regulativa o zaštiti podataka o ličnosti primenjuje, da na vreme izvrše usklađivanje svog poslovanja sa odredbama GDPR-a, jer njeno nepoštovanje povlači ozbiljne sankcije.

1   Evropski odbor za zaštitu podataka, Smernice 3/18 povodom teritorijalne primene GDPR (član 3), od 16. novembra 2018, strana broj 13, primer 8;
2   Evropski odbor za zaštitu podataka, Smernice 3/18 povodom teritorijalne primene GDPR (član 3), od 16. novembra 2018, strana broj 16, primer 12.
3   Evropski odbor za zaštitu podataka, Smernice 3/18 povodom teritorijalne primene GDPR (član 3), od 16. novembra 2018,  strana broj 18, primer 15.
4   Evropski odbor za zaštitu podataka, Smernice 3/18 povodom teritorijalne primene GDPR (član 3), od 16. novembra 2018, strana broj 22, primer 20.