Izvan okvira Evropske unije

Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

Sviđa vam se članak?

Preporučite ga vašim prijateljima i kolegama putem društvenih mreža!

U prvom članku iz serijala o GDPR-u (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) predstavljene su osnovne informacije o GDPR i njenom uticaju na industriju ‘online’ oglašavanja.

Stefan Đaković

I dok čekamo da Republika Srbija donese novi Zakon o zaštiti podataka o ličnosti (za koji očekujemo da će se u velikoj meri oslanjati na GDPR), postavlja se pitanje da li bi domaće kompanije i domaći oglašivači trebalo da se bave GDPR (Uredba će početi da se primenjuje od 25.05.2018. godine) ili je to samo jedan od mnogih akata EU koji se ne tiče Srbije, s obzirom da još koračamo ka EU.

Za Internet ne postoje granice u konvencionalnom smislu. Njegov veliki značaj se ogleda prilikom razmene podataka, komunikacije, online šopinga i sl. On takođe predstavlja i jedan od najvećih izazova u smislu definisanja i primene nacionalnih zakona. Pre donošenja GDPR bilo je teško, gotovo nemoguće, primeniti zakone o zaštiti podataka o ličnosti na kompanije koje imaju svoje sedište van EU. GDPR u tom smislu donosi rigorozne izmene u odnosu na postojeći koncept ograničene teritorijalne primene EU zakonodavstva.

Teritorijalna primenjivost GDPR je takva da se odnosi na bilo koju kompaniju ili organizaciju koja obrađuje lične podatke fizičkog lica koje je u EU, bez obzira na to gde se u svetu fizički nalazi sedište ili predstavništvo te kompanije.

Ovo prethodno pronalazi svoju primenu u dva slučaja:

  1. Kompanija ili organizacija nudi proizvode ili usluge fizičkim licima koja su u EU, bez obzira na to da li se za te proizvode/usluge plaća ili su besplatni. Kriterijumi za određivanje da li kompanija van EU nudi proizvode/usluge fizičkim licima u EU su biznis intencija te kompanije i to da li je očigledno da je ponuda ka fizičkim licima u EU „izgledna“. Sama dostupnost vebsajta fizičkim licima u EU ne podrazumeva nameru za ponudom. Međutim, ukoliko je vebsajt te kompanije na jednom od jezika EU, usluge/proizvodi se nude u evrima ili eksplicitno targetira fizička lica u EU, onda se može podvesti pod primenu GDPR.
  2. U drugom slučaju kompanija ili organizacija vrši bilo kakav nadzor (monitoring) nad ponašanjem fizičkih lica koja su u EU, dok god se takvo ponašanje odvija u okviru EU. GDPR je jasan da u situaciji kada su fizička lica koja su u EU praćena (tracking) na internetu predstavlja nadzor i GDPR se primenjuje (sajtovi koji koriste cookies profilisanje ili druge aplikacije koje prate ponašanje fizičkih lica u cilju donošenja odluka u vezi sa njom ili njim ili za analizu i predviđanje njenih Ili njegovih ličnih izbora, ponašanja ili stavova). U tom smislu, GDPR će se primenjivati na skoro sve servise online oglašavanja koji koji se sprovode nad fizičkim licma koja su u EU. ePrivacy regulativa (odnosno cookie regulativa) će se u velikoj meri oslanjati na postojeći GDPR, ali u još uvek postoje brojne stvari koje u njoj nisu definisane do kraja. (Više o ePrivacy temi u jednom od sledećih članaka).

U nastavku se nalazi par primera koji predstavljaju neke od mogućih scenarija, kao i da li se u tom konkretnom slučaju može smatrati da se GDPR primenjuje na kompanije iz Srbije ili ne.

Sprovođenje GDPR van EU

Iako je GDPR dosta proširio ovlašćenja nacionalnih organa zemalja EU za zaštitu podataka o ličnosti da sankcionišu povrede zaštite podataka, kao i da su kazne porasle na veoma visoke – do 4% godišnjeg obrta na globalnom nivou, ipak se postavlja pitanje efikasnosti sprovođenja GDPR van EU.

Naime, GDPR detaljno reguliše ovlašćenja i procedure nacionalnih organa EU, ograničavajući te organe da rešavaju probleme koji su povezani sa tom članicom EU (npr. danski organ za zaštitu podataka o ličnosti će moći da rešava probleme koji su u vezi kompanije iz Danske ili građanina Danske). GDPR nije za sada predvideo jasne mehanizme za sprovođenje GDPR van EU. Izvesno je da će velike kompanije koje su fokusirane na potrošače uskladiti svoje poslovanje sa GDPR, pre svega iz razloga zato što nisu spremne da rizikuju svoju reputaciju zato što nisu usklađene sa GDPR. Stoga, problem oko sporovođenja će pogađati pre svega manje biznise.

Ipak, GDPR predviđa da lice iz EU koje je predmet obrade, ima pravo na sudsku zaštitu ukoliko smatra da su mu povređena prava iz GDPR kao rezultat obrade njegovih ličnih podataka koja nije u skladu sa GDPR. To lice alternativno može da pokrene sudski postupak: (i) pred nadležnim sudom države članice gde kontrolor ili obrađivač imaju sedište, ili (ii) pred nadleženim sudom države članice gde to lice ima boravište (habitual residence).

U situaciji gde srpska kompanija ispunjava neki od dva gore navedena uslova (prodaje prozvode/usluge osobama u EU ili vrši nadzor nad korisničkim ponašanjem osoba u EU) i pri tom krši odredbe o obradi podataka fizičkih lica iz EU iz GDPR, to lice će moći da pokrene sudski postupak pred nadležnim sudom gde ima boravište (npr. Nemačka, Italija, Španija, Francuska itd.) i ukoliko taj sud ustanovi da je došlo do povrede GDPR u vezi sa obradom ličnih podataka te osobe, doneće pravosnažnu presudu. Na osnovu te presude lice iz EU će moći da pokrene postupak priznanja i izvršenja strane sudske odluke pred srpskim sudom i ukoliko su ispunjeni određeni uslovi (reciprocitet sa tom državom, proceduralne garancije), ta sudska odluka će moći da bude izvršena na teritoriji Srbije.

Prethodno opisani postupak je postavljen kao poslednji mehanizam zaštite za fizička lica iz EU, koja smatraju da im je neka kompanija van EU povredila prava iz GDPR. Međutim, s obzirom da gore opisani postupak nije najefikasniji, postoji mogućnost da EU do početka primene GDPR pronađe neko efikasnije rešenje. Kao jedna od mogućnosti efikasnijeg rešavanja ovog problema jeste postavljanje predstavnika u nekoj od država EU od strane kompanija koja imaju svoje sedište van EU (ovo će biti tema jedne od narednih kolumni).

Zaključak

Veliki broj kompanija iz Srbije koje su do sada poslovale van primene zakona EU će očigledno biti obuhvaćene GDPR. Međutim, posmatrajući sudsku praksu u EU u poslednjih par godina nije iznenađenje toliko široko postavljena teritorijalna primena GDPR.

GDPR zahteva značajne promene u procedurama i procesima biznisa koji su već usklađeni sa postojećim stanjem, ali će put usklađivanja sa GDPR za one koji su bili van primene biti dosta teži.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik