Opšta uredba EU stupila je na snagu 25. maja ove godine, čime je postala deo evropskog prava. Međutim, prema evropskim istraživanjima, brojne organizacije još uvek nisu izvršile usklađivanje sa ovom uredbom. Koliko su pravni subjekti nepripremljeni kada je u pitanju bezbednost podataka koje poseduju pokazaće se u narednom periodu, kada se dogode prve velike povrede odredbi GDPR-a.
U našoj stručnoj javnosti pojavila su se oprečna stanovišta povodom primene Opšte uredbe EU, s obzirom da nismo članica EU. Naime, sa jedne strane postavlja se pitanje da li su naša pravna lica u obavezi da direktno primenjuju Opštu uredbu EU, a sa druge se ističe potreba da naš zakonodavac donese regulativu koja će biti u skladu sa Opštom uredbom i našim pravnim sistemom. Međutim, kako je GDPR regulativa stupila na snagu u maju, odnosno pre nekoliko meseci, tako je praksa u međuvremenu počela da nameće svoja pravila. Tako pojedine kompanije sa sedištem u EU koje sarađuju sa pravnim subjektima u Republici Srbiji dostavljaju modele ugovora koji regulišu prava i obaveze u skladu sa GDPR-om, a u tom ugovornom odnosu naše firme su pozicionirane pretežno kao procesori podataka u odnosu na evropske kompanije. Na ovaj način strane kompanije, naravno, žele da zaštite svoje poslovanje i da deo odgovornosti podele sa partnerima sa kojima sarađuju.
Države van EU i sigurnost ličnih podataka
Postoje odredbe u samoj Opštoj uredbi EU kojima je regulisano prenošenje podataka u treće zemlje i međunarodne organizacije. U određenim slučajevima Opšta uredba EU predviđa postupak prenosa ličnih podataka svojih građana u zemlje van granica EU kako bi, na osnovu procene u skladu sa evropskim standardima sigurnosti ličnih podataka, zaštitila podatke svojih građana. U vezi sa tim, član 45. Opšte uredbe EU uređuje prenose ličnih podataka na osnovu odluke o adekvatnosti. Ovi prenosi podataka o ličnosti u treću zemlju ili međunarodnu organizaciju mogu se vršiti ako Komisija odluči da treća zemlja, teritorija ili jedan ili više konkretnih sektora unutar te treće zemlje ili međunarodne organizacije obezbeđuju adekvatan nivo zaštite podataka. U skladu sa tim, Evropska komisija ima ovlašćenje da na osnovu člana 45. utvrdi da li država koja nije članica EU nudi adekvatan nivo zaštite podataka, kako putem domaćeg zakonodavstva, tako i u pogledu izvršavanja međunarodnih obaveza koje se odnose na tu zemlju.
Postupak usvajanja odluke o adekvatnosti odvija se sledećim redosledom: Evropska komisija daje svoj predlog o državi, potom Evropski odbor za zaštitu podataka daje svoje mišljenje na dati predlog, nakon čega sledi (ne)odobrenje predstavnika država članica EU i na kraju usvajanje odluke od strane evropskih komesara. Efekat takve odluke je da se lični podaci mogu prenositi iz država članica EU u tu treću zemlju, bez dalje zaštite.
Kako Opšta uredba EU i predviđa, Evropska komisija objavila je da je do sada priznala sledeće države i teritorije koje pružaju adekvatnu zaštitu ličnih podataka građana: Andoru, Argentinu, Kanadu (komercijalne organizacije), Farska Ostrva, Gernzi, Izrael, Ostrvo Man, Džerzi, Novi Zeland, Švajcarsku, Urugvaj i Sjedinjene Američke Države (ograničeno na okvir za zaštitu privatnosti). Takođe, navodi se da su u toku razgovori sa Japanom i Južnom Korejom.
Posebno treba naglasiti da ove odluke o adekvatnosti ne obuhvataju razmenu ličnih podataka u sektoru sprovođenja zakona koji su regulisani Policijskom direktivom. U vezi sa ovom oblašću postoje posebni sporazumi koji regulišu prethodno navedenu direktivu.
Domaće zakonodavstvo i zaštita podataka
Iz svega navedenog vidimo da Republika Srbija ne zadovoljava evropske standarde u pogledu bezbednosti podataka. Dokle se stiglo sa našim zakonom o zaštiti podataka o ličnosti? S obzirom da je kod nas donošenje novog zakona o zaštiti podataka o ličnosti u proceduri, tačnije donet je nacrt, koji je do sada menjan par puta, izvesno je da ćemo najkasnije do kraja godine dobiti nov zakon koji će biti u duhu GDPR-a.
Negodovanje i zabrinutost povodom aktuelnog nacrta zakona o zaštiti podataka o ličnosti izrazili su i poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti i Društvo sudija Srbije. U svojim izjavama oni posebno naglašavaju da su države članice EU dve godine pripremale svoj pravni sistem za primenu GDPR-a, odnosno otkako je uredba usvojena do njenog stupanja na snagu, i da joj se i dalje prilagođavaju tokom same primene.
Čitajući predloženi nacrt i upoređujući ga sa Opštom uredbom EU, možemo izvesti zaključak da je našem zakonodavcu ova uredba poslužila kao uzor. „Zbog toga je jasno da Opštu uredbu EU treba razumeti u njenoj celovitosti, imajući u vidu svrhu njenog donošenja i pristupiti donošenju zakona ne tako što će biti prepisana načelna rešenja, već na taj način što će se zakonom uspostaviti takva rešenja koja će omogućiti da zaživi duh Opšte uredbe EU, a da to ne predstavlja smetnju za celovitost i nesmetano funkcionisanje pravnog poretka Republike Srbije“, navodi se u izjavi Društva sudija Srbije.
Za kraj…
Pođimo od sebe, pre svega, i videćemo da je pitanje prava pojedinca na privatnost od velikog značaja. Zato se nadamo da će se naš zakonodavac snaći u ovoj ulozi i biti na visini zadatka, jer bi se dobrim zakonskim rešenjima otklonile mnoge nedoumice. Na ovaj način bi se, pre svega, zaštitila prava građana na privatnost i olakšalo poslovanje privrednim subjektima.
COMING – Computer Engineering nudi zaokruženu uslugu usklađivanja poslovanja sa zahtevima GDPR-a, koja podrazumeva konsultantske usluge, pomoć pri izradi dokumentacije i isporuku adekvatnih tehnoloških rešenja. Ponuda je zasnovana na iskustvu stečenom na projektima usklađivanja poslovanja sa regulativom i posedovanju neophodnih sertifikata za isporuku usluga i tehnoloških rešenja.
Jelena Malešević
0 %s Comments