GDPR: Prava lica na koje se podaci odnose (transparentnost, uvid, ispravka i prenosivost)

GDPR (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) na centralno mesto postavlja fizička lica u EU i zaštitu njihovih prava u vezi sa obradom ličnih podataka. Do koje mere EU želi da zaštiti svoje građane pokazuje i intencija GDPR-a da se primenjuje i van granica EU.

GDPR daje mogućnost građanima u EU da zaštite svoja prava u vezi sa obradom ličnih podataka i u relaciji sa kompanijama koje su osnovane i posluju van teritorije EU. Ova Uredba je ujedno i proširila postojeća, a takođe i uvela određena nova prava koja fizička lica u EU mogu da ostvaruju prema rukovaocima njihovih podataka (GDPR je posvetio celu glavu ovim pravima – CHAPTER III).

Pre samog opisa pojedinačnih prava, veoma je važno napraviti distinkciju između rukovaoca i obrađivača. Rukovalac (controller) utvrđuje kako, zašto, koje podatke i na koji način treba obraditi (e.g. banka, kompanije kreditnih kartica, ordinacije/bolnice, državne ustanove i drugi biznisi koji prikupljaju lične podatke). Obrađivač (processor) je strana koja zapravo obrađuje lične podatke u ime i za račun rukovaoca (e.g. IT kompanija, cloud). Rukovaoci će morati da razmotre sve aspekte aktivnosti obrade podataka u svetlu prava koja su data građanima EU.

Međutim, iako su ova prava određena samo prema rukovaocima, ova prava će posredno pogađati i obrađivače, s obzirom da će rukovaoci birati one obrađivače koji su tehničko sposobni da odgovore na zahteve GDPR-a.

Kršenje odredbi koje se odnose na prava lica predmet su najviših kazni prema GDPR-u. Stoga se rukovaocima toplo preporučuje da prioritizuju svoju usklađenost sa tim obavezama.

GDPR postavlja jedinstven rok za odgovor rukovaoca na sve zahteve povodom prava građana EU – mesec dana ili najviše tri meseca od dana prijema zahteva, uzimajući u obzir kompleksnost i broj zahteva.

Svaka komunikacija rukovaoca sa licima u vezi sa ostvarivanjem njihovih prava i zahteva je besplatna. Ukoliko su zahtevi lica očigledno neosnovani ili preterani, što se najčešće ogleda u njihovom brojnom ponavljanju (“trolovanje”), onda rukovalac može ili da zahteva određenu naknadu ili da odbije postupanje po zahtevu.

S obzirom na veliki broj i kompleksnost novih prava, Netokracija će predstaviti ovu temu u dva nastavka: prvi – transparentnost, uvid, ispravka i prenosivost i drugi – brisanje, ograničenje, prigovor i automatizovano donošenje pojedinačnih odluka, uključujući i profilisanje.

Transparentnost

Jedan od osnovnih principa GDPR-a jeste da rukovaoci moraju da budu transparentni prema licima na koje se podaci koji se obrađuju odnose. Rukovalac je dužan da komunicira sa licima čije podatke obrađuje i da pruži informacije o aktivnostima obrade podataka (koje su navedene u nastavku) u konciznoj, transparentnoj, razumljivoj i lako dostupnoj formi, koristeći jasan i jednostavan jezik (posebno kada su u pitanju deca).

Tamo gde je prikladno trebalo bi koristiti vizuelizaciju (e.g. standardizovane ikone). Ova informacija se mora pružiti pisanim putem (e.g. kroz interne akte o zaštiti podataka) ili gde je prikladno elektronskim putem (e.g. putem veb sajta).

Informacije koje se pružaju kada se lični podaci prikupljaju od lica na koje se ti podaci odnose su:

Ukoliko se lični podaci prikupljaju neposredno od lica na koje se podaci odnose, onda je rukovalac u obavezi da tom licu pruži sledeće informacije:

  1. identitet i kontakt podatke rukovaoca
  2. kontakt podatke lica za zaštitu podataka o ličnosti, ako ono postoji (Data Protection Officer)
  3. o svrsi obrade i pravnom osnovu za obradu, uključujući i ostvarenje opravdanog interesa od strane rukovaoca (legitimni interes), ako je obrada neophodna u cilju ostvarenja opravdanih interesa rukovaoca
  4. o primaocu, odnosno grupi primaoca podataka o ličnosti, ako oni postoje
  5. o nameri rukovaoca da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i načinu na koji se lice može upoznati sa merama zaštite
  6. o rokovima čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njihovo određivanje
  7. o postojanju prava da se od rukovaoca zahteva uvid, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka,
  8. ako se obrada vrši na osnovu pristanka, o postojanju prava na opoziv pristanka u bilo koje vreme
  9. o pravu da se podnese žalba nadležnom organu
  10. o tome da li je obaveza davanja podataka o ličnosti propisana ili ugovorena ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li je lice na koje se podaci odnose dužno da pruži podatke o svojoj ličnosti i o mogućim posledicama nepružanja podataka
  11. o postojanju automatizovanog donošenja odluke, uključujući profilisanje, i informacije o logici koja se pri tome koristi, značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose. Informacije koje se pružaju kada se lični podaci ne prikupljaju neposredno od lica na koje se ti podaci odnose.

Ukoliko se lični podaci ne prikupljaju neposredno od lica na koje se podaci odnose, pored informacija koje su navedene gore, rukovalac je u obavezi da pruži i sledeće informacije:

  1. o vrsti podataka koji se obrađuju
  2. iz kog izvora potiču podaci o ličnosti, i ako je to primenjivo, da li potiču iz javno dostupnih izvora.

Ove informacije moraju biti pružene licu na koje se podaci odnose:

  1. u razumnom roku posle pribavljanja podataka o ličnosti (najkasnije u roku od mesec dana)
  2. ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose, najkasnije prilikom uspostavljanja prve komunikacije
  3. ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu, najkasnije prilikom prvog otkrivanja podataka o ličnosti.

Izuzeci su:

  • Ukoliko se lični podaci prikupljaju neposredno od lica na koje se podaci odnose, obaveza informisanja se ne primenjuje ukoliko to lice već poseduje te informacije.
  • Ukoliko se lični podaci ne prikupljaju neposredno od lica na koje se podaci odnose, obaveza informisanja se ne primenjuje ukoliko:
  1. lice na koje se podaci o ličnosti odnose već ima te informacije
  2. je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, pod uslovom da je rukovalac preduzeo odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, uključujući i javno objavljivanje
  3. je pribavljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom EU ili EU države članice, kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose
  4. se poverljivost podataka o ličnosti mora sačuvati u skladu sa propisanom obavezom čuvanja profesionalne tajne u skladu sa regulativom EU ili EU države (e.g. advokatska tajna, lekar-pacijent).

Ovo pravo će u praksi dovesti do toga da će rukovaoci morati da promene svoje izjave o privatnosti i druga dokumenta kojim obaveštavaju lica o aktivnostima obrade podataka, kako bi reflektovala novi pojednostavljen jezik i zahteve o obaveštavanju. Sa druge strane, operativna prednost rukovaoca je ta da će moći da se oslone na jedinstvenu panevropsku izjavu o privatnosti, pod uslovom da su aktivnosti obrade podataka jednistvene na teritoriji cele EU i da prevedu tu izjavu na lokalni jezik.

Pravo na uvid (Right to Access)

Ovo pravo je predviđeno i trenutno važećom direktivom koja reguliše zaštitu podataka o ličnosti, međutim GDPR postavlja šire zahteve u pogledu informacija. Lice na koje se odnose podaci ima pravo da od rukovaoca zahteva informaciju da li obrađuje podatke o njemu, uvid u te informacije, kao i informacije koje se pružaju kada se lični podaci prikupljaju/ne prikupljaju neposredno od lica na koje se ti podaci odnose (navedeno gore u tekstu).

Na primer, ovo pravo podrazumeva da će svako lice imati pravo uvida u podatke koji se tiču njegovog zdravlja, a koji se nalaze u zdravstvenom kartonu (dijagnoze, terapije, izveštaji specijaliste, rezultati labaratorije itd.).

Ukoliko se podaci iznose van teritorija EU, lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o neophodnim merama zaštite prilikom takvog prenosa.

Rukovalac je u obavezi da, na zahtev lica na koje se odnosi podaci, izda kopiju podataka koji se na to lice odnose. Kada je ovaj zahtev u elektronskoj formi, informacija se pruža u uobičajenom korišćenom elektronskom formatu. Takođe, tamo gde je moguće, rukovalac će omogućiti licima na koje se podaci odnose daljinski pristup obezbeđenom sistemu koji omogućava direktan pristup podacima.

Pravo na uvid ne može negativno da utiče na prava i slobode drugih, uključujući poslovnu tajnu i pravo intelektualne svojine, a posebno autorsko pravo koje štiti softver (sistema koji dozvoljava pristup).

Pravo na ispravku (Right to Rectification)

Pravo na ispravku u skladu sa GDPR-om podrazumeva da lice na koje se odnose podaci ima pravo da zahteva ispravku netačnih podataka koji se odnose na to lice. Ovo pravo takođe podrazumeva da to lice ima pravo dopuni nepotpune podatke, davanjem dodatne izjave.

Za razliku od ostalih prava, pravo na ispravku ne bi trebalo da prouzrokuje kompanijama veliki broj novih zahteva.

Pravo na prenosivost (Right to Data Portability)

Pravo na prenosivost podataka je novo pravo predviđeno GDPR-om. Kako bi se ojačala kontrola nad podacima, lice na koje se odnose podaci ima pravo da od rukovaoca traži nazad lične podatke koje je prosledilo rukovaocu, ako:

  1. je obrada zasnovana na pristanku ili na osnovu ugovora i
  2. ako se obrada vrši automatizovano.

Podaci bi trebalo da se dostave u struktuiranom, uobičajeno korišćenom i elektronski čitljivom formatu (npr. CSV fajl). Ovo pravo omogućava:

  • da se lični podaci koje obrađuje rukovalac prime i skladište na privatan uređaj u cilju lične upotrebe, bez daljeg prenosa na drugogo rukovaoca, (npr. lice će moći da traži od Spotify/Soundcloud svoje plejliste kako bi ustanovilo koje pesme je najčešće slušalo u cilju kupovine određenih pesama na drugoj platformi) i
  • da se lični podaci prenose sa jednog rukovaoca na drugog bez smetnji tj. prenos iz jednog IT okruženja u drugo (npr. korisnik jednog mobilnog operatera želi da postane korisnik konkurentskog operatera; taj korisnik će moći elektronskim putem da traži od svog operatera da prenese sve njegove lične podatke na drugog operatera).

Rukovaoci bi trebalo da ponude mogućnost direktnog snimanja (download) i direktnog prenosa ličnih podataka na drugog rukovaoca. Ovo se npr. može primeniti putem omogućavanja API-ja (Application Programming Interface).

Prenosivost podataka je moguća samo ako je osnov obrade pristanak ili ugovor. Po svojoj prirodi ovo pravo se neće moći ostvarivati prema rukovaocima koji obrađuju podatke na osnovu javnog ovlašćenja.

U slučaju da je tehnički izvodljivo, lice na koje se odnose podaci ima pravo da zahteva da se podaci direktno prenose sa jednog rukovaoca na drugog.

Ovo novo pravo će vrlo verovatno proizvesti dodatne administrativne i tehničke obaveze i zahtevaće znatne investicije u nove (tehničke) sisteme i (interne) procese. GDPR ovim putem stimuliše rukovaoce da razviju interoperabilne formate koji omogućavaju prenosivost podataka. Sa druge strane, ovo pravo će kao rezultat imati obavezu rukovaoca da predaju veoma važne podatke svojoj konkurenciji.

Ostvarivanje ovog prava ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.

Naravno, kako bi se rukovaoci zaštitili od lica koja zloupotrebljavaju ovo pravo tako što često traže podatke (i na taj način ih veoma efikasno “troluju”), rukovalac može da zahteva razumnu naknadu za svaki takav zahtev (osim prvog koji je besplatan).

U sledećem tekstu očekuje nas nastavak opisa ostalih prava lica (brisanje, ograničenje, prigovor i automatizovano donošenje pojedinačnih odluka, uključujući i profilisanje), zaključci i preporuke i kratak osvrt na relevantne odredbe Nacrta zakona o zaštiti podataka o ličnosti.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Zapošljavanje nedovoljno kvalifikovanog kadra u IT-ju – bahatost ili potreba?

Kada govorimo o IT sceni u Srbiji, jasno nam je da je to mala bara sa još manje 'krokodila'. Stoga se ponekad desi da neki od 'krokodila' koji su tek zaplivali dobiju posao koji možda još uvek ne zaslužuju. Ili je to samo mit? Otkrivamo u našoj analizi.

Društvene mreže

Neguj mo srbski jezik: Čak i oni koji nam prete priznaju da nas vole!

Oni su momci iza jedne od najpoznatijih satiričnih stranica na domaćem Internetu. U razgovoru sa dvojicom admina, otkrivamo kako je nastao Neguj mo srbski jezik, kakav je njihov odnos sa poznatima koji su često predmet viralnih šala, ali i šta danas predstavlja ova zajednica od nekoliko stotina hiljada pratilaca.

Startapi i poslovanje

Švajcarski 3AP otvorio prve kancelarije u Kruševcu – sledi potraga za lokalnim kadrom

Švajcarska IT kompanija 3AP svoj razvojni centar nema više samo u Beogradu. Juče je otvorena i kruševačka kancelarija, a iz ove kompanije navode da im dalji razvoj poslovanja tek sledi. Da li je ovo početak trenda po kom IT kompanije nemaju fiijale isključivo u glavnom gradu, Novom Sadu i Nišu?

Propustili ste

Karijere

Saveti: Šta HR-ovi moraju da urade kako bi sa programerima ‘živeli u miru’?

Developeri i HR-ovi savetuju kako unaprediti poslovni odnos na toj relaciji.

Startapi i poslovanje

Tek 15% IT kandidata o poslodavcu sazna sve što ih zanima – kako to popraviti?

Kako kandidati iz oblasti IT-ja traže posao? Odgovore donosi istraživanje sajta poslovi.infostud.com, a njihovi predstavnici na meetup-ima širom Srbije otkrivaju šta čini dobar Employer Branding.

Mobilno

Yandex.Taxi uveo plaćanje karticama

Pored keša, od sada moguće i plaćanje 'plastikom'.

Novost

Lični podaci građana neadekvatno regulisani, Share Fondacija i Poverenik skreću pažnju na nepravilnosti

Poverenik za informacije od javnog značaja ukazuje na suštinske probleme nove verzije Nacrta zakona o zaštiti podataka o ličnosti, a obimno mišljenje dostavljeno je Ministarstvu pravde.

Startapi i poslovanje

CESAwards 2018: Poznati srpski finalisti – glasajte za najbolje domaće startape

Javno glasanje za nacionalne finaliste u okviru Central European Startap Awards je već započelo i trajaće sve do 21. septembra. Publika će tako imati priliku da glasa za startape iz zemalja Centralne Evrope i država iz regiona među kojima će se 10 kompanija iz Srbije imati šansu da se izbori za veliko finale 22. oktobra.