U eri informacionih tehnologija i konstantne razmene podataka korišćenjem različitih aplikacija, platformi, servera, eksternih pružalaca usluga, gotovo je nemoguće zadržati podatke u okviru jedne zemlje ili organizacije.
Osim toga, globalni načini poslovanja su sve zastupljeniji, državne granice više nisu prepreka za plasiranje proizvoda ili usluga, a ovakav način poslovanja neminovno vodi do međunarodne razmene podataka.
Bilo da ste B2B firma koja sarađuje sa klijentom iz inostranstva i deli podatke o svojim zaposlenima koji će bit angažovani na projektu klijenta ili ste globalni pružalac CRM rešenja namenjenog kompanijama koje će sa Vama deliti podatke o svojim zaposlenima, jasno je da ćete u cilju realizacije ovog odnosa međusobno deliti podatke, koji uključuju i podatke o ličnosti.
Saznajte korake koje treba da preduzmete kako biste izbegli visoke kazne za kršenje propisa o zaštiti podataka o ličnosti.
KORAK 1: UTVRDITE KOJI PROPISI SE PRIMENJUJU NA VAS i KOJA JE VAŠA ULOGA U PRENOSU
Pre svega, potrebno je da utvrdite koje pravo se primenjuje na Vas kako biste uopšte znali sa kojim pravilima treba da se uskladite.
Ukoliko ste kompanija osnovana u Srbiji, svakako imate obavezu da se uskladite sa Zakonom o zaštiti podataka o ličnosti.
Osim toga, postoji mogućnost da se na Vas istovremeno primenjuje i GDPR, ukoliko su ispunjeni uslovi za ekstrateritorijalnu primenu GDPRa. Kako biste utvrdili da li se na Vas primenjuje GDPR, pročitajte naš blog Primena GDPR u Srbiji.
Sa druge strane, ukoliko je sedište Vaše kompanije u EU, GDPR se svakako primenjuje na Vaše poslovanje.
Naravno, u igri su i drugi propisi o zaštiti podataka o ličnosti koji dozvoljavaju ekstrateritorijalnu primenu, kao što je švajcarski FADP ili UK GDPR.
Kada ste odredili koje pravo se na Vas primenjuje, neophodno je da utvrdite koja je Vaša uloga u prenosu podataka o ličnosti.
Naime, Vaša kompanija može da bude u ulozi rukovaoca, obrađivača ili podobrađivača podataka, a u zavisnosti od Vaše uloge u prenosu podataka, zavisiće i obaveze koje morate da ispunite kako biste se uskladili sa važećim propisima.
KORAK 2: PROVERITE DA LI STE ZAKLJUČILI ODGOVARAJUĆE UGOVORE
Sledeći korak je provera da li ste zaključili odgovarajuće ugovore koji regulišu obradu podataka o ličnosti i međunarodni prenos podataka.
I domaći Zakon o zaštiti podataka o ličnosti i GDPR Vas obavezuju da regulišete ugovorne odnose sa licima sa kojima delite podatke o ličnosti. Takav ugovor se zove Ugovor o obradi podataka o ličnosti ili Data Processing Agreement – DPA.
Sama sadržina ugovora će zavisiti od toga koja je Vaša uloga i uloga suprotne strane.
Osim toga, ukoliko dolazi do međunarodnog prenosa podataka o ličnosti, veoma je važno da utvrdite u koje zemlje će se vršiti prenos jer od toga zavisi i primena Standarndih ugovornih klauzula, odnosno drugih mehanizama za adekvatan prenos podataka (o ovome detaljnije u sledećem odeljku).
Zašto je važno da zaključite Ugovore o obradi i međunarodnom prenosu podataka (DPA)?
Zbog milionskih kazni koje Vam prete!
Propisi o zaštiti podataka o ličnosti definišu izrazito visoke kazne ukoliko ne zaključite odgovarajuće ugovore o obradi podataka. Na primer, prema domaćem Zakonu o zaštiti podataka o ličnosti, kazna koja Vam preti za kršenje ove obaveze može biti i do 2 miliona dinara, dok prema GDPR ova kazna može biti čak 10 miliona EUR (odnosno 20 miliona ukoliko se radi o međunarodnom prenosu) ili 2% Vašeg svetskog godišnjeg prihoda (odnosno 4% ukoliko se radi o međunarodnom prenosu), koji god iznos da je veći.
KORAK 3: DA LI STE PRIMENILI STANDARDNE UGOVORNE KLAUZULE?
Kako smo gore spomenuli, veoma je važno da utvrdite u koje zemlje ćete vršiti prenos podataka o ličnosti i da li se radi o „rizičnim“ zemljama.
„Rizične“ ili takozvane „treće zemlje“ su sve one zemlje koje ne pružaju adekvatan nivo zaštite podacima o ličnosti. Sa aspekta EU, to su SAD, Kina, Rusija, pa i Srbija. To praktično znači da se svaki prenos podataka iz EU ka ovim zemljama smatra rizičnim i potrebno je primeniti Standardne Ugovorne Klauzule EU (SCC EU) ili drugi mehanizam definisan GDPRom[1].
Sa aspekta domaćih propisa, SAD se takođe ne smatraju zemljom koja pruža adekvatan nivo zaštite podacima o ličnosti, a tu su i druge zemlje poput Kine. Dakle, ako vršite prenos podatak iz Srbije u jednu od ovih zemalja, onda je potrebno da primenite Standardne Ugovorne Klauzule Poverenika za zaštitu podataka o ličnosti (SCC SRB)[2].
KORAK 4: PROCENA MEĐUNARODNOG PRENOSA PODATAKA – DTIA
Utvrdili ste sve prethodno navedeno, zaključili odgovarajuće ugovore, primenili odgovarajuće SCC, i sada konačno možete da odahnete.
Ili ipak ne?
Na žalost, još uvek niste došli do kraja Vašeg procesa usklađivanja.
Prema GDPR i novim SCC EU koje se primenjuju od 27. decembra 2022. godine, imate obavezu da sprovedete i takozvanu Procenu međunarodnog prenosa podataka – Data transfer impact assessment (DTIA).
DTIA je relativno nova obaveza u oblasti zaštite podataka o ličnosti i možemo reći da je nastala kao posledica sada već uveliko poznate Schrems II odluke Suda pravde EU[3], a koja se bavi pitanjem prenosa podataka van EU.
Naime, sud je u pomenutoj odluci zauzeo stav da za prenos podatak iz EU u treće zemlje nije dovoljno primeniti samo SCC EU, već je potrebno i utvrditi koji su rizici i posledice takvog prenosa, da li su propisi u zemlji primaoca usklađeni sa EU propisima, te da li rizik postoji uprkos primenjenim dodatnim merama i zaštitama. Navedena procena se postiže kroz sprovođenje DTIA.
Šta je DTIA?
Izvođenje DTIA unapred služi za mapiranje rizika koji igraju ili mogu igrati ulogu u planiranom prenosu podataka o ličnosti u treću zemlju.
Ovaj proces mora da bude dokumentovan i potrebno je da ga sprovedete pre nego što dođe do prenosa, jer rezultat DTIA zapravo daje odgovor na pitanje da li možete da prenosite podatke van EU ili ne.
Ko ima obavezu da sprovede DTIA?
Obavezu sprovođenja DTIA imaju i rukovalac i obrađivač podataka o ličnosti koji izvozi podatke iz EU/EEP.
Navedena obaveza proizlazi kako iz gorepomenute Schrems II odluka, tako i iz Smernica EDPB za međunarodni prenos podataka[4], ali i iz samih SCC EU.
Dakle, ukoliko ste zaključili SCC EU, na Vas se primenjuje obaveza da sprovedete DTIA.
Ukoliko mislite da će Vas ova obaveza zaobići ako je Vaša kompanija registrovana u Srbiji, prevarili ste se.
Najčešći slučajevi kada ćete imati obavezu da sprovedete ili da makar učestvujete u sprovođenju DTIA su situacije kada ostvarujete poslovnu saradnju sa kompanijama iz EU.
S obzirom da Vaš poslovni partner iz EU mora da bude usklađen sa GDPRom, te da se srpska kompanije nalazi u zemlji koja ne pruža adekvatan nivo zaštite, kompanija iz EU će morati da sprovede DTIA. Međutim, da bi mogla da odgovori na pitanja iz DTIA koja se tiču propisa Republike Srbije i kako se podaci u Srbiji tretiraju, Vi ćete morati da date odgovore na ta pitanja i da objasnite prakse naših državnih organa. Na taj način, obaveza DTIA pada na Vaš teret, a nastavak saradnje sa EU kompanijom će zavisiti upravo od Vaših odgovora na DTIA
Koje su posledice ako ne sprovedete DTIA?
Posledice nesprovođenja DTIA mogu biti višestruke.
Pre svega, rizikujete izricanje (višemilionskih) novčanih kazni za kršenje GDPR u iznosu od 20 miliona EUR ili 4% Vašeg svetskog godišnjeg prihoda, koji god iznos da je veći.
Pored toga, lica čije ste podatke obradili mogu da Vas tuže pred nadležnim sudovima, zahtevajući odštetu za povredu podataka o lilnosti i njihove privatnosti, jer ste vršili međunarodni prenos bez primene adekvatnih mera zaštite.
Na kraju, ukoliko na zahtev Vaših poslovnih partnera ne sprovedete, tj. ne učestvujete u DTIA, rizikujete raskid ili neostvarivanje poslovne saradnje.