Kako kompanije mogu da se spreme za novi zakon o zaštiti podataka o ličnosti

Ljudi rade na laptop računarima Image copyright Getty Images
Natpis na slici Za nepoštovanje Opšte uredbe o zaštiti podataka predviđene su kazne u visini do dva miliona dinara

Srpske firme obavezne su da usklade poslovanje sa novim propisima ukoliko na bilo koji način obrađuju podatke građana EU. Nova regulativa Evropske unije o zaštiti podataka o ličnosti stupa na snagu 25. maja.

Dok se rok približava, Srbija i dalje čeka donošenje novog Zakona o zaštiti podataka o ličnosti.

Nova obaveza kompanija je i imenovanje pravnog predstavnika u nekoj od zemalja Evropske unije.

Ova pravila ne obavezuju zanatlije, recimo, da angažuju osobu koja će brinuti o zaštiti podataka o ličnosti.

„Ali bi, na primer, jedna zdravstvena ustanova, morala da je angažuje", kaže Nevena Ružić iz kancelarije Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.

Napuštanje Fejsbuka krajnji korak u zaštiti podataka

Ako ja imam vaš broj - ima ga i Fejsbuk

Šta je GDPR i zašto je važan

Opšta uredba o zaštiti podataka o ličnosti (GDPR) je nova regulativa Evropske unije koja obavezuje svih 28 članica, ali i sve druge zemlje koje na bilo koji način obrađuju podatke o ličnosti građana EU.

Ona će zameniti dosadašnje propise po kojima je svaka država članica donosila sopstvenu regulativu.

Pored direktne primene, opšta uredba obuhvata nove tehnologije poput mobilnih aplikacija i društvenih mreža.

Iako van Evropske unije, kompanije u Srbiji koje na bilo koji način obrađuju podatke građana EU moraće da igraju po novim pravilima.

Šta su podaci o ličnosti i koje kompanije ih obrađuju

Treća epizoda omiljena serije koju ste odgledali, odnosno podatak o tome koju ste seriju gledali, jeste podatak o ličnosti.

Pored ličnih imena, matičnih brojeva i imejl adresa, podaci o ličnosti su i broj poseta određenom sajtu, aj-pi adresa i jedinstveni broj mobilnog uređaja.

Podatak o ličnosti ne mora nužno da vodi do vašeg identiteta - dovoljna je mogućnost uparivanja sa drugim podacima koji će, zajedno, otkriti ko ste.

„Kada hotel u Srbiji prijavi nadležnima građane EU koje je ugostio, to nema nikakve veze sa novom regulativom", kaže Đorđe Krivokapić iz Šer fondacije.

Međutim, ukoliko taj isti hotel želi da obavesti potencijalne turiste iz Evropske unije o posebnim ponudama, moraće da vodi računa o Opštoj uredbi.

„Opšta uredba reguliše i posao domaće kompanije koja se bavi video nadzorom skladišta na prostoru EU. Iako se nalazi u Srbiji, kompanija vrši video nadzor u državi EU", kaže Krivokapić.

U kabinetu Poverenika kažu da je teško nabrojati tipove kompanija koje će biti u obavezi da imenuju pravnog predstavnika na području EU.

Jasno da će tu obavezu imati kompanije koje pružaju usluge građanima EU na internetu.

"Jasni slučajevi su tu, zanimljivi će biti granični slučajevi na koje će nam praksa ukazati", kaže Ružić.

Početak primene Opšte uredbe neće biti isti za domaće i strane kompanije koje posluju u Srbiji.

„Strane kompanije koje posluju u Srbiji, ali i na svetskom tržištu, dobiće neke vrste smernica u vezi sa pripremama za početak primene Opšte uredbe", kaže Ružić.

Domaće kompanije će, i ovog puta, morati same da se pripreme.

Šta treba da uradekompanije

Image copyright Getty Images
Natpis na slici Kompanije koje nemaju odgovarajuće stručnjake, moraće da zaposle lice za zaštitu podataka o ličnosti

Imenovanje pravnog predstavnika kompanije u nekoj od država članica samo je jedna od obaveza.

„To znači da je potrebno angažovati advokata u bilo kojoj zemlji EU. Da li će to biti u Sevilji, Splitu ili Vukovaru, to je odluka kompanije", kaže Krivokapić.


Do tada, kompanije mogu da se pripreme na nekoliko načina.

  • Odrediti protok podataka u okviru organizacije
  • Osloboditi se podataka koji nisu neophodni
  • Razumeti ulogu firme u odnosu na podatke

U Šer fondaciji kažu da će najveći broj firmi u svojim redovima imati dovoljno stručnih menadžera koji se mogu baviti pripremama.

Kompanije koje nemaju odgovarajuće stručnjake, moraće da zaposle lica za zaštitu podataka o ličnosti.

„To zanimanje još uvek ne postoji. Ljudi na ovoj poziciji mogu da budu pravnog ili tehničkog profila, sa naprednim znanjima u vezi sa podacima", kaže Krivokapić.

Koliko će to koštati i ko će školovati lica za zaštitu podataka, još uvek niko ne zna.

Kazne

Opšta uredba propisuje da kompanije koje ne budu poštovale nova pravila mogu da budu kažnjene sa 2 do 4 odsto godišnjeg prihoda na globalnom nivou.

„Telekom Srbija je u 2013. godini ostvario prihode od 700 miliona evra. Da smo u Evropskoj uniji, u slučaju nezakonitog curenja podataka, Poverenik bi mogao da izrekne kaznu od više od 14 miliona evra", kaže Ružić.

Međutim, kazne će u Srbiji biti manje. Kretaće se do dva miliona dinara.

Domaći zakon

Srbija već nekoliko godina čeka na donošenje novog Zakona o zaštiti podataka o ličnosti koji bi trebalo da bude usklađen sa GDPR-om. Važeći Zakona o zaštiti podataka o ličnosti donet je 2008. godine.

„Nacrt zakona sadrži sve principe koji su postavljeni Opštom uredbom i predstavlja korak napred jer obećava nova prava građanima i jaču kaznenu politiku", kaže Krivokapić.

Problem je, međutim, u tome što su delovi Opšte uredbe „prepisani" bez uzimanja u obzir domaćeg pravnog sistema, što će stvoriti problem u primeni zakona, upozorava Ružić.

Nacrt zakona tek očekuje put do Skupštine Srbije, gde bi usvajanjem trebalo da završi putovanje koje je počelo još 2013. godine.

Više o ovoj priči