GDPR: Prava lica na koje se podaci odnose (transparentnost i uvid)

GDPR: Prava lica na koje se podaci odnose (transparentnost, uvid, ispravka i prenosivost)

GDPR (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) na centralno mesto postavlja fizička lica u EU i zaštitu njihovih prava u vezi sa obradom ličnih podataka. Do koje mere EU želi da zaštiti svoje građane pokazuje i intencija GDPR-a da se primenjuje i van granica EU.

GDPR daje mogućnost građanima u EU da zaštite svoja prava u vezi sa obradom ličnih podataka i u relaciji sa kompanijama koje su osnovane i posluju van teritorije EU. Ova Uredba je ujedno i proširila postojeća, a takođe i uvela određena nova prava koja fizička lica u EU mogu da ostvaruju prema rukovaocima njihovih podataka (GDPR je posvetio celu glavu ovim pravima – CHAPTER III).

Pre samog opisa pojedinačnih prava, veoma je važno napraviti distinkciju između rukovaoca i obrađivača. Rukovalac (controller) utvrđuje kako, zašto, koje podatke i na koji način treba obraditi (e.g. banka, kompanije kreditnih kartica, ordinacije/bolnice, državne ustanove i drugi biznisi koji prikupljaju lične podatke). Obrađivač (processor) je strana koja zapravo obrađuje lične podatke u ime i za račun rukovaoca (e.g. IT kompanija, cloud). Rukovaoci će morati da razmotre sve aspekte aktivnosti obrade podataka u svetlu prava koja su data građanima EU.

Međutim, iako su ova prava određena samo prema rukovaocima, ova prava će posredno pogađati i obrađivače, s obzirom da će rukovaoci birati one obrađivače koji su tehničko sposobni da odgovore na zahteve GDPR-a.

Kršenje odredbi koje se odnose na prava lica predmet su najviših kazni prema GDPR-u. Stoga se rukovaocima toplo preporučuje da prioritizuju svoju usklađenost sa tim obavezama.

GDPR postavlja jedinstven rok za odgovor rukovaoca na sve zahteve povodom prava građana EU – mesec dana ili najviše tri meseca od dana prijema zahteva, uzimajući u obzir kompleksnost i broj zahteva.

Svaka komunikacija rukovaoca sa licima u vezi sa ostvarivanjem njihovih prava i zahteva je besplatna. Ukoliko su zahtevi lica očigledno neosnovani ili preterani, što se najčešće ogleda u njihovom brojnom ponavljanju (“trolovanje”), onda rukovalac može ili da zahteva određenu naknadu ili da odbije postupanje po zahtevu.

S obzirom na veliki broj i kompleksnost novih prava, Netokracija će predstaviti ovu temu u dva nastavka: prvi – transparentnost, uvid, ispravka i prenosivost i drugi – brisanje, ograničenje, prigovor i automatizovano donošenje pojedinačnih odluka, uključujući i profilisanje.

Transparentnost

Jedan od osnovnih principa GDPR-a jeste da rukovaoci moraju da budu transparentni prema licima na koje se podaci koji se obrađuju odnose. Rukovalac je dužan da komunicira sa licima čije podatke obrađuje i da pruži informacije o aktivnostima obrade podataka (koje su navedene u nastavku) u konciznoj, transparentnoj, razumljivoj i lako dostupnoj formi, koristeći jasan i jednostavan jezik (posebno kada su u pitanju deca).

Tamo gde je prikladno trebalo bi koristiti vizuelizaciju (e.g. standardizovane ikone). Ova informacija se mora pružiti pisanim putem (e.g. kroz interne akte o zaštiti podataka) ili gde je prikladno elektronskim putem (e.g. putem veb sajta).

Informacije koje se pružaju kada se lični podaci prikupljaju od lica na koje se ti podaci odnose su:

Ukoliko se lični podaci prikupljaju neposredno od lica na koje se podaci odnose, onda je rukovalac u obavezi da tom licu pruži sledeće informacije:

  1. identitet i kontakt podatke rukovaoca
  2. kontakt podatke lica za zaštitu podataka o ličnosti, ako ono postoji (Data Protection Officer)
  3. o svrsi obrade i pravnom osnovu za obradu, uključujući i ostvarenje opravdanog interesa od strane rukovaoca (legitimni interes), ako je obrada neophodna u cilju ostvarenja opravdanih interesa rukovaoca
  4. o primaocu, odnosno grupi primaoca podataka o ličnosti, ako oni postoje
  5. o nameri rukovaoca da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i načinu na koji se lice može upoznati sa merama zaštite
  6. o rokovima čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njihovo određivanje
  7. o postojanju prava da se od rukovaoca zahteva uvid, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka,
  8. ako se obrada vrši na osnovu pristanka, o postojanju prava na opoziv pristanka u bilo koje vreme
  9. o pravu da se podnese žalba nadležnom organu
  10. o tome da li je obaveza davanja podataka o ličnosti propisana ili ugovorena ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li je lice na koje se podaci odnose dužno da pruži podatke o svojoj ličnosti i o mogućim posledicama nepružanja podataka
  11. o postojanju automatizovanog donošenja odluke, uključujući profilisanje, i informacije o logici koja se pri tome koristi, značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose. Informacije koje se pružaju kada se lični podaci ne prikupljaju neposredno od lica na koje se ti podaci odnose.

Ukoliko se lični podaci ne prikupljaju neposredno od lica na koje se podaci odnose, pored informacija koje su navedene gore, rukovalac je u obavezi da pruži i sledeće informacije:

  1. o vrsti podataka koji se obrađuju
  2. iz kog izvora potiču podaci o ličnosti, i ako je to primenjivo, da li potiču iz javno dostupnih izvora.

Ove informacije moraju biti pružene licu na koje se podaci odnose:

  1. u razumnom roku posle pribavljanja podataka o ličnosti (najkasnije u roku od mesec dana)
  2. ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose, najkasnije prilikom uspostavljanja prve komunikacije
  3. ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu, najkasnije prilikom prvog otkrivanja podataka o ličnosti.

Izuzeci su:

  • Ukoliko se lični podaci prikupljaju neposredno od lica na koje se podaci odnose, obaveza informisanja se ne primenjuje ukoliko to lice već poseduje te informacije.
  • Ukoliko se lični podaci ne prikupljaju neposredno od lica na koje se podaci odnose, obaveza informisanja se ne primenjuje ukoliko:
  1. lice na koje se podaci o ličnosti odnose već ima te informacije
  2. je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, pod uslovom da je rukovalac preduzeo odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, uključujući i javno objavljivanje
  3. je pribavljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom EU ili EU države članice, kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose
  4. se poverljivost podataka o ličnosti mora sačuvati u skladu sa propisanom obavezom čuvanja profesionalne tajne u skladu sa regulativom EU ili EU države (e.g. advokatska tajna, lekar-pacijent).

Ovo pravo će u praksi dovesti do toga da će rukovaoci morati da promene svoje izjave o privatnosti i druga dokumenta kojim obaveštavaju lica o aktivnostima obrade podataka, kako bi reflektovala novi pojednostavljen jezik i zahteve o obaveštavanju. Sa druge strane, operativna prednost rukovaoca je ta da će moći da se oslone na jedinstvenu panevropsku izjavu o privatnosti, pod uslovom da su aktivnosti obrade podataka jednistvene na teritoriji cele EU i da prevedu tu izjavu na lokalni jezik.

Pravo na uvid (Right to Access)

Ovo pravo je predviđeno i trenutno važećom direktivom koja reguliše zaštitu podataka o ličnosti, međutim GDPR postavlja šire zahteve u pogledu informacija. Lice na koje se odnose podaci ima pravo da od rukovaoca zahteva informaciju da li obrađuje podatke o njemu, uvid u te informacije, kao i informacije koje se pružaju kada se lični podaci prikupljaju/ne prikupljaju neposredno od lica na koje se ti podaci odnose (navedeno gore u tekstu).

Na primer, ovo pravo podrazumeva da će svako lice imati pravo uvida u podatke koji se tiču njegovog zdravlja, a koji se nalaze u zdravstvenom kartonu (dijagnoze, terapije, izveštaji specijaliste, rezultati labaratorije itd.).

Ukoliko se podaci iznose van teritorija EU, lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o neophodnim merama zaštite prilikom takvog prenosa.

Rukovalac je u obavezi da, na zahtev lica na koje se odnosi podaci, izda kopiju podataka koji se na to lice odnose. Kada je ovaj zahtev u elektronskoj formi, informacija se pruža u uobičajenom korišćenom elektronskom formatu. Takođe, tamo gde je moguće, rukovalac će omogućiti licima na koje se podaci odnose daljinski pristup obezbeđenom sistemu koji omogućava direktan pristup podacima.

Pravo na uvid ne može negativno da utiče na prava i slobode drugih, uključujući poslovnu tajnu i pravo intelektualne svojine, a posebno autorsko pravo koje štiti softver (sistema koji dozvoljava pristup).

Pravo na ispravku (Right to Rectification)

Pravo na ispravku u skladu sa GDPR-om podrazumeva da lice na koje se odnose podaci ima pravo da zahteva ispravku netačnih podataka koji se odnose na to lice. Ovo pravo takođe podrazumeva da to lice ima pravo dopuni nepotpune podatke, davanjem dodatne izjave.

Za razliku od ostalih prava, pravo na ispravku ne bi trebalo da prouzrokuje kompanijama veliki broj novih zahteva.

Pravo na prenosivost (Right to Data Portability)

Pravo na prenosivost podataka je novo pravo predviđeno GDPR-om. Kako bi se ojačala kontrola nad podacima, lice na koje se odnose podaci ima pravo da od rukovaoca traži nazad lične podatke koje je prosledilo rukovaocu, ako:

  1. je obrada zasnovana na pristanku ili na osnovu ugovora i
  2. ako se obrada vrši automatizovano.

Podaci bi trebalo da se dostave u struktuiranom, uobičajeno korišćenom i elektronski čitljivom formatu (npr. CSV fajl). Ovo pravo omogućava:

  • da se lični podaci koje obrađuje rukovalac prime i skladište na privatan uređaj u cilju lične upotrebe, bez daljeg prenosa na drugogo rukovaoca, (npr. lice će moći da traži od Spotify/Soundcloud svoje plejliste kako bi ustanovilo koje pesme je najčešće slušalo u cilju kupovine određenih pesama na drugoj platformi) i
  • da se lični podaci prenose sa jednog rukovaoca na drugog bez smetnji tj. prenos iz jednog IT okruženja u drugo (npr. korisnik jednog mobilnog operatera želi da postane korisnik konkurentskog operatera; taj korisnik će moći elektronskim putem da traži od svog operatera da prenese sve njegove lične podatke na drugog operatera).

Rukovaoci bi trebalo da ponude mogućnost direktnog snimanja (download) i direktnog prenosa ličnih podataka na drugog rukovaoca. Ovo se npr. može primeniti putem omogućavanja API-ja (Application Programming Interface).

Prenosivost podataka je moguća samo ako je osnov obrade pristanak ili ugovor. Po svojoj prirodi ovo pravo se neće moći ostvarivati prema rukovaocima koji obrađuju podatke na osnovu javnog ovlašćenja.

U slučaju da je tehnički izvodljivo, lice na koje se odnose podaci ima pravo da zahteva da se podaci direktno prenose sa jednog rukovaoca na drugog.

Ovo novo pravo će vrlo verovatno proizvesti dodatne administrativne i tehničke obaveze i zahtevaće znatne investicije u nove (tehničke) sisteme i (interne) procese. GDPR ovim putem stimuliše rukovaoce da razviju interoperabilne formate koji omogućavaju prenosivost podataka. Sa druge strane, ovo pravo će kao rezultat imati obavezu rukovaoca da predaju veoma važne podatke svojoj konkurenciji.

Ostvarivanje ovog prava ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.

Naravno, kako bi se rukovaoci zaštitili od lica koja zloupotrebljavaju ovo pravo tako što često traže podatke (i na taj način ih veoma efikasno “troluju”), rukovalac može da zahteva razumnu naknadu za svaki takav zahtev (osim prvog koji je besplatan).

U sledećem tekstu očekuje nas nastavak opisa ostalih prava lica (brisanje, ograničenje, prigovor i automatizovano donošenje pojedinačnih odluka, uključujući i profilisanje), zaključci i preporuke i kratak osvrt na relevantne odredbe Nacrta zakona o zaštiti podataka o ličnosti.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Da li ženski pristup pravi uspešne biznise?

Filozof Soren Kierkegaard kaže da se život može razumeti samo iz retrospektive, ali da se mora živeti unapred. Kažu i da preduzetnici imaju odlične instinkte za snalaženje, ali da ih pitate da objasne kako su nešto znali, možete da očekujete odgovor koji je u suštini glasi - nemoj da me pitaš gluposti, ne znam.

Office Talks Podcast

Šta je ‘destination’ marketing i kako kreirati strategiju koja privlači turiste?

Turizam jedne države danas i te kako zavisi od digitalnog oglašavanja. O tome šta predstavlja termin 'destinacionog marketinga' i kako Srbija i Crna Gora mogu da sebe bolje brendiraju kao turističke destinacije, govorimo u 93. epizodi Office Talks Podcasta.

Startapi i poslovanje

Srpski Eat Me App rešava problem viška hrane koja se baca – čuvajući našu okolinu

Otpad od hrane je treći najveći emiter gasova staklene bašte na svetu. Globalno, 30% ili 1,8 milijardi tona sve proizvedene hrane na globalnom nivou se pokvari zbog loše planiranje resursa duž linije lanca snabdevanja. Srpski startap Eat Me App sa svojom aplikacijom nastoji da stane na put ovom problemu i globalnom društvu ponudi jedno od rešenja za ovaj veliki problem.

Propustili ste

Karijere

Relax Gaming otvorio studio u Novom Sadu uz aktivno širenje tima

Rast iGaming industrije primetan je i na domaćem tržištu. Nakon četiri godine poslovanja u Srbiji, kompanija Relax Gaming otvorila je novi studio i najavila aktivno širenje tima.

Intervju

Vladimir Lelićanin: Pokrenuli smo 3327 kao mesto gde će domaći developeri slobodno raditi na web 3.0 projektima

Direktor razvojnog centra pri kompaniji MVP Workshop otkriva u razgovoru za Netokraciju kako je nastao 3327, kako se razvijaju inovativni web 3.0 projekti u Srbiji, ali i šta je potrebno kako bi se izgradila još jača web 3.0 zajednica na ovim prostorima.

Startapi i poslovanje

Da li ženski pristup pravi uspešne biznise?

Filozof Soren Kierkegaard kaže da se život može razumeti samo iz retrospektive, ali da se mora živeti unapred. Kažu i da preduzetnici imaju odlične instinkte za snalaženje, ali da ih pitate da objasne kako su nešto znali, možete da očekujete odgovor koji je u suštini glasi - nemoj da me pitaš gluposti, ne znam.

Office Talks Podcast

Gradovi budućnosti grade se iz Srbije (Nortal)

Gost 94. epizode Office Talks podcasta bio je Dragan Gajić, globalni CTO estonske kompanije Nortal koja i u Srbiji poseduje razvojni centar - isti onaj iz kojeg se upravo kreiraju rešenja za gradove budućnosti.

Startapi i poslovanje

Lansiran Founder Institute Serbia akcelerator program

Domaći i regionalni ekosistem neprestano se razvija poslednjih godina i sve je više startap timova koji nude rešenja za brojne lokalne, ali i globalne probleme.

Društvene mreže

Instagram uvodi ‘Show NFT’ opciju kroz Polygon blockchain Mihaila Bjelića

Šef Instagrama Adam Moseri najavio je da će popularna društvena mreža ove nedelje početi da testira NFT sa odabranim kreatorima u Sjedinjenim Američkim Državama.