Opšta regulativa o zaštiti podataka o ličnosti EU (GDPR) ne obavezuje samo rukovaoce i obrađivače podataka o ličnosti u EU, već se u određenim situacijama GDPR primenjuje i u Srbiji. U ovom tekstu objašnjavamo kada se GDPR primenjuje na Vašu kompaniju u Srbiji.
Dana 25. maja 2018. godine GDPR je stupio na snagu. To znači da je od tog datuma postupanje u skladu sa njegovim odredbama obavezno za sva fizička i pravna lica sa prebivalištem, odnosno sedištem u Evropskoj uniji. Međutim, pod određenim uslovima GDPR se može primeniti i na lica u Srbiji.
S obzirom na to da su za kršenje odredbi GDPR-a propisane izuzetno visoke kazne, korisno je znati, ukoliko ste vlasnik društva sa sedištem u Srbiji koje je (na neki od dole objašnjenih načina) prisutno na tržištu Evropske Unije, kada se GDPR primenjuje na Vaše društvo.
Postoje tri scenarija u kojima se GDPR može primeniti:
U ovom tekstu, bavićemo se primenom GDPR-a na rukovaoce sa sedištem u Srbiji (Scenario 2).
POJAŠNJENJE I PRIMENA GDPR-a U SRBIJI
Pošto su odredbe GDPR-a poprilično široke i podložne različitim tumačenjima, Evropski odbor za zaštitu podataka objavio je Smernice kako bi, između ostalog, pojasnio u kojim slučajevima se GDPR primenjuje na društva čije sedište se nalazi van EU. Konkretno, u Smernicama se objašnjava šta znači:
- nuđenje robe ili usluga licima koja se fizički nalaze u EU,
- praćenje ponašanja lica koja se nalaze u EU, pod uslovom da se njihovo ponašanje odvija unutar Unije.
Na ovaj način je Evropski odbor za zaštitu podataka otklonio dve zablude česte u praksi:
- da se GDPR primenjuje samo na rukovaoce i obrađivače sa sedištem u Evropskoj uniji, i
- da se GDPR uvek primenjuje na rukovaoce ili obrađivače koji obrađuju podatke državljana jedne od država članica Evropske unije.
UKOLIKO RUKOVALAC ILI OBRAĐIVAČ SA SEDIŠTEM U SRBIJI OBRAĐUJE PODATKE DRŽAVLJANINA DRŽAVE ČLANICA EU, TO NE ZNAČI AUTOMATSKU PRIMENU GDPR-A.
Uzmimo, na primer, da domaća IT kompanija obrađuje podatke o ličnosti Francuza (državljana država EU) koji se nalaze u Srbiji, u cilju nuđenja robe ili usluga na teritoriji Republike Srbije. Da li se GDPR primenjuje na ovu IT kompaniju?
Odgovor je: NE
Međutim, uzmimo da domaća IT kompanija obrađuje podatke o ličnosti nekog lica (bilo kog državljanstva) koji se, u momentu nuđenja robe ili usluga od strane srpskog IT društva, nalaze na teritoriji jedne od država članica Evropske unije. Da li se GDPR primenjuje na ovu IT kompaniju?
Odgovor je: DA
Dakle, da bi se GDPR primenio na rukovaoce i/ili obrađivače sa sedištem van EU nije bitno da li se obrađuju podaci lica koja imaju državljanstvo ili odobrenje za privremeni ili stalni boravak u jednoj od država članica Evropske unije. Ono što je bitno je da se lica čiji se podaci obrađuju fizički nalaze u Evropskoj uniji.
Evropski odbor za zaštitu podataka navodi dobar primer kojim se objašnjava da se GDPR primenjuje na sva lica koja se fizički nalaze u Evropskoj uniji.
Bez obzira na dužinu trajanja „nuđenja robe ili usluga“, za primenu GDPR-a dovoljno je da se obrađuju podaci o ličnosti lica koja se, u momentu nuđenja robe ili usluga, nalaze na teritoriji jedne od država članica EU – ne ulazeći u to da li su ova lica tu robu ili usluge platila. Drugim rečima, sama obrada podataka sprovedena u ovom u cilju, bez krajnje kupovine robe, odnosno plaćanja usluga, dovoljna je za primenu rigoroznih sankcija propisanih GDPR-om u slučaju njegovog nepoštovanja.
Sa druge strane, ukoliko rukovalac ili obrađivač koji imaju sedište van EU, vrše obrada podataka o ličnosti lica koja se fizički nalaze u Uniji, to nije dovoljno za primenu GDPR-a. Ono što je neophodno jeste da cilj te obrade bude nuđenje robe ili usluga ovim licima, ili praćenje njihovog ponašanja unutar Unije.
Ali, kako se utvrđuje da se podaci lica koja se nalaze u EU obrađuju u cilju nuđenja robe ili usluga, odnosno u cilju praćenja njihovog ponašanja unutar Unije?
Baš iz ovog razloga, Evropski odbor za zaštitu podataka je u svojim Smernicama dao uputstva kojih se treba pridržavati radi utvrđivanja odgovora na ovo pitanje.
OBRADA U CILJU NUĐENJA ROBE I USLUGA
Evropski odbor za zaštitu podataka dao je u svojim Smernicama uputstva koja ukazuju da se podaci ovih lica obrađuju upravo iz ovih pobuda.
KRITERIJUMI
U slučaju postojanja nekoliko gore navedenih kriterijuma, po mišljenju Evropskog odbora za zaštitu podataka, može se zaključiti da se podaci lica koja se nalaze u Evropskoj uniji obrađuju upravo u cilju nuđenja robe ili usluga. Drugim rečima, GDPR se primenjuje na te rukovaoce i/ili obrađivače.
Kao jedan od primera kada se smatra da rukovalac sa sedištem van EU obrađuje podatke lica koja se nalaze na teritoriji država članica EU u cilju nuđenja robe ili usluga, Evropski odbor za zaštitu podataka navodi:
Sa druge strane, obrada podataka o ličnosti državljana država članica EU, koji su zaposleni u društvu u Srbiji, u svrhu isplate zarada – ne smatra se obradom podataka u cilju nuđenja robe ili usluga. To znači da se na ovo IT društvo ne primenjuju odredbe GDPR-a.
OBRADA RADI PRAĆENJA PONAŠANJA
Evropski odbor za zaštitu podatak je dao tumačenje kada se smatra da rukovalac, odnosno obrađivač, vrši praćenje ponašanja lica koja se nalaze u EU i njihovog ponašanja koje se odvija unutar Unije.
Pod praćenjem se podrazumeva praćenje osoba putem interneta, odnosno njihovo profilisanje u cilju analiziranja ili predviđanja njihovih ličnih sklonosti, ponašanja i stavova. Dakle, praćenje može biti u vidu:
- oglašavanja na osnovu ponašanja lica,
- praćenja geo-lokacije u marketinške svrhe,
- online praćenje preko upotrebe kolačića ili putem otiska uređaja,
- formiranja personalizovane analize zdravlja, ili dijete lica putem interneta,
- video nadzora putem kamere,
- istraživanja tržišta i drugih studija ponašanja baziranih na ličnim profilima,
- posmatranja ili redovnog izveštavanja о individualnom zdravlju.
Evropski odbor za zaštitu podataka takođe navodi primer kada se smatra da rukovalac, ili obrađivač sa sedištem van EU, obrađuje podatke o ličnosti lica koja se nalaze u EU u cilju praćenja njihovog ponašanja unutar unije.
Potrebno je napomenuti da ukoliko se bilo koji od ovih kriterijuma uzme zasebno, on ne ukazuje da se roba ili usluge nude licima koji se nalaze u Evropskoj uniji, odnosno da se prati njihovo ponašanje. Ipak, kombinacija više ovih kriterijuma dovodi do zaključka da su upravo oni ciljna grupa.
ŠTA AKO SE GDPR PRIMENJUJE NA VAS KAO RUKOVAOCA ILI OBRAĐIVAČA PODATAKA U SRBIJI?
Ukoliko u okviru Vašeg poslovanja, činite neke od navedenih radnji:
- obrađujete podatke o licima koja se fizički nalaze u Evropskoj uniji, u cilju nuđenja robe ili usluga, nezavisno od toga da li lice čiji se podaci obrađuju treba da plati tu robu ili usluge,
ILI
- pratite ponašanja ovih lica, pod uslovom da se njihovo ponašanje odvija unutar Unije, neophodno je, da biste izbegli plaćanje drakonskih kazni, da ispoštujete procedure GDPR-a.
Ovo konkretno znači da je potrebno da, saglasno GDPR-u, angažujete lice koje će u Vaše ime i za Vaš račun istupati kao Vaš predstavnik u Evropskoj uniji i omogućiti Vam da poštujete odredbe GDPR-a. Predstavnik može biti kako fizičko, tako i pravno lice. Njegovi podaci moraju biti dostupni svim licima čiji podaci se obrađuju, na primer mogu biti navedeni u Vašoj politici privatnosti. Sedište predstavnika bi trebalo da bude u onoj državi članici u kojoj se nalaze lica čiji podaci se obrađuju.
Pokazatelj toga koliko je važno uskladiti svoje poslovanje sa GDPR-om svakako jeste odluka francuskog regulatornog tela da izrekne kaznu od 50.000.000,00 evra kompaniji Google, o čemu je detaljnije pisano u novostima na sajtu Advokatske kancelarije Žunić.
Ova odluka bi trebalo da bude opomena rukovaocima i obrađivačima podataka sa sedištem u Srbiji, naročito onima na koje se GDPR primenjuje – da na vreme i u celosti ispunjavaju svoje obaveze propisane GDPR-om, jer njegovo nepoštovanje povlači ozbiljne sankcije.