Zastava Bosne i Hercegovine

ZAKON O ZAŠTITI PODATAKA O LIČNOSTI: Neophodno hitno donošenje novog Zakona koji će biti usklađen sa evropskom Opštom uredbom o zaštiti podataka o ličnosti


Krađa identiteta i zloupotreba ličnih podataka sve je učestalija pojava širom sveta. Nažalost, od ove sve učestalije pojave ni Srbija nije izuzeta.

Lični podaci građana nalaze se širom interneta, u masovnim bazama podataka telekom operatera, banaka, društvenih mreža i drugih preduzeća kojima je njihovo skladištenje i obrada posao. I tim podacima se vrlo lako može pristupiti. To je bio razlog zbog koga je Evropska unija donela jednu od najkontroverznijih zakonskih regulativa – Opštu uredbu o zaštiti podataka o ličnosti, koja iz korena menja način poslovanja svih subjekata koji se bave prikupljanjem i obradom ličnih informacija.

Šta zapravo predstavlja Evropska Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR)? Pomenuta uredba doneta je još 2016. godine, ali usled neophodnog perioda prilagođavanja ona počinje da važi u maju 2018. godine. Ova direktiva je doneta 1995. godine i reguliše osnove institute zaštite podataka o ličnosti i njeni principi preneti su u nacionalne pravne okvire.

Šta u stvari Evropska Opšta uredba o zaštiti podataka o ličnosti zahteva od svih individua, institucija i organizacija koje na bilo koji način tretiraju lične podatke?

Popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao njihovi lični podaci – bilo koja kombinacija ličnih činjenica koja skupa posmatrano tačno određuje jednog pojedinca. To su, između ostalog, ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori.

Pored toga, pojedincima od kojih se informacije prikupljaju daje se pravo da uvek i u svakom trenutku znaju ko i u kakve svrhe sakuplja njihove lične podatke, kao i da zahtevaju da se ti podaci izbrišu iz baze podataka u kojoj se nalaze.

Dodatno osnaživanje prava vlasnika informacija obezbeđeno je i procenom uticaja koju prikupljanje i obrađivanje podataka ima na prava i slobode pojedinca, kao i obaveštavanje nadležnih vlasti i vlasnika informacije ukoliko dođe do bilo kakve ugroženosti ili neadekvatne upotrebe podataka (u roku od 72 časa).

Kako bi se osigurali da će sve navedene stavke biti ispoštovane, zakonodavci su odredili i postojanje nezavisnog državnog organa u svakoj zemlji članici koji će voditi računa o prijavama iz ove oblasti, a čiji će rad koordinisati evropski organ – Article 29 Working Party (WP29).

Pa ipak, kontrola procesa tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. Uredba je propisala da će, pored javnih vlasti, određene organizacije/kompanije morati da imaju Data Protection Officer-a (DPA), tačnije zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka. Njegovo postojanje nije povezano sa brojem zaposlenih u firmi, već sa količinom podataka koji se obrađuju.

Nejasno definisanje ovog i drugih odrednica Uredbe svakako izaziva brojne nedoumice, međutim, dominantno pitanje za poslovni sektor jeste koliko bi implementacija mogla da košta i da li će dovesti do bankrota malih i srednjih preduzeća. Stevan Ranđelović, konsultant za pitanja digitalizacije i član Evropskog udruženja agencija, pak, smatra da bez obzira na cenu primene, GDPR-a postaje nova životna činjenica, te će ugrađivanje zaštite podataka u samo srce proizvoda donekle sačuvati kasnijih troškova.

Iako su potencijalne sankcije i način kažnjavanja tih subjekata i dalje nejasni, Ranđelović smatra da će se veće kompanije koje nemaju sedište u EU gotovo sigurno povinovati Uredbi, jer ne žele reputacijske probleme. Najverovatniji scenario je da će one manje "morati da lociraju svog EU predstavnika, te će verovatno na lokalnoj instituciji za zaštitu podataka biti da nađe način kako da sankcioniše firme koje krše Uredbu".

Srbiju, bez obzira na privredna društva koja već zahvata ovaj ekstrateritorijlni princip primene, kao kandidata za članstvo u EU očekuje usvajanje Uredbe. Međutim, ova međunarodna obaveza koja je definisana još Sporazumom o pridruživanju 2008. godine mora se prilično hitno primeniti. U izveštaju o napretku Srbije iz 2016. godine koji je pisala Evropska komisija navedeno je da je pod hitno potrebno donošenje novog Zakona o zaštiti podataka o ličnosti koji će biti usklađen sa Uredbom.

Stručnjaci iz oblasti obrade podataka savetuju da se na ovaj zahtev ne gleda kao na obavezu, već kao priliku da se dodatno unapredi korisničko iskustvo koje će dovesti do većeg poverenja u institucije koje prikupljaju informacije o njima. Stoga se oni koji lične podatke koriste u poslovne svrhe moraju koncentrisati da od svojih korisnika jasno i nedvosmisleno dobiju pristanak za korišćenje njihovih informacija i da im objasne u koje svrhe. Nakon toga, moraju im obezbediti da tim podacima, ukoliko žele, mogu lako da pristupe i da im udovolje na zahtev za brisanjem, ukoliko zatraže. Takođe, moraju voditi računa da ne prikupljaju bilo kakve dodatne informacije i da postojeću bazu održavaju u skladu sa propisima.

Teško je sa ove tačke gledišta predvideti kako će Uredba EU o zaštiti podataka o ličnosti uticati na poslovne aktivnosti. Puno je pitanja koja su vezana za efektivnu primenu nove regulative kao i za posledice njene primene na budući tehnološki razvoj. Srbija trenutno ima Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012) koji mora biti promenjen i usaglašen sa evropskim zakonom. Ipak, čini se da Srbija mora još dosta da radi na pitanju zaštite podataka o ličnosti. Puko usaglašavanje domaćeg zakonodavstva sa evropskim nije dovoljno pa i kada je reč o oblasti zaštite podataka o ličnosti.

Izvor: Vebsajt Srbija Danas, 13.09.2017.
Naslov: Redakcija