Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

U prvom članku iz serijala o GDPR-u (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) predstavljene su osnovne informacije o GDPR i njenom uticaju na industriju 'online' oglašavanja.

Stefan Đaković

I dok čekamo da Republika Srbija donese novi Zakon o zaštiti podataka o ličnosti (za koji očekujemo da će se u velikoj meri oslanjati na GDPR), postavlja se pitanje da li bi domaće kompanije i domaći oglašivači trebalo da se bave GDPR (Uredba će početi da se primenjuje od 25.05.2018. godine) ili je to samo jedan od mnogih akata EU koji se ne tiče Srbije, s obzirom da još koračamo ka EU.

Za Internet ne postoje granice u konvencionalnom smislu. Njegov veliki značaj se ogleda prilikom razmene podataka, komunikacije, online šopinga i sl. On takođe predstavlja i jedan od najvećih izazova u smislu definisanja i primene nacionalnih zakona. Pre donošenja GDPR bilo je teško, gotovo nemoguće, primeniti zakone o zaštiti podataka o ličnosti na kompanije koje imaju svoje sedište van EU. GDPR u tom smislu donosi rigorozne izmene u odnosu na postojeći koncept ograničene teritorijalne primene EU zakonodavstva.

Teritorijalna primenjivost GDPR je takva da se odnosi na bilo koju kompaniju ili organizaciju koja obrađuje lične podatke fizičkog lica koje je u EU, bez obzira na to gde se u svetu fizički nalazi sedište ili predstavništvo te kompanije.

Ovo prethodno pronalazi svoju primenu u dva slučaja:

  1. Kompanija ili organizacija nudi proizvode ili usluge fizičkim licima koja su u EU, bez obzira na to da li se za te proizvode/usluge plaća ili su besplatni. Kriterijumi za određivanje da li kompanija van EU nudi proizvode/usluge fizičkim licima u EU su biznis intencija te kompanije i to da li je očigledno da je ponuda ka fizičkim licima u EU “izgledna”. Sama dostupnost vebsajta fizičkim licima u EU ne podrazumeva nameru za ponudom. Međutim, ukoliko je vebsajt te kompanije na jednom od jezika EU, usluge/proizvodi se nude u evrima ili eksplicitno targetira fizička lica u EU, onda se može podvesti pod primenu GDPR.
  2. U drugom slučaju kompanija ili organizacija vrši bilo kakav nadzor (monitoring) nad ponašanjem fizičkih lica koja su u EU, dok god se takvo ponašanje odvija u okviru EU. GDPR je jasan da u situaciji kada su fizička lica koja su u EU praćena (tracking) na internetu predstavlja nadzor i GDPR se primenjuje (sajtovi koji koriste cookies profilisanje ili druge aplikacije koje prate ponašanje fizičkih lica u cilju donošenja odluka u vezi sa njom ili njim ili za analizu i predviđanje njenih Ili njegovih ličnih izbora, ponašanja ili stavova). U tom smislu, GDPR će se primenjivati na skoro sve servise online oglašavanja koji koji se sprovode nad fizičkim licma koja su u EU. ePrivacy regulativa (odnosno cookie regulativa) će se u velikoj meri oslanjati na postojeći GDPR, ali u još uvek postoje brojne stvari koje u njoj nisu definisane do kraja. (Više o ePrivacy temi u jednom od sledećih članaka).

U nastavku se nalazi par primera koji predstavljaju neke od mogućih scenarija, kao i da li se u tom konkretnom slučaju može smatrati da se GDPR primenjuje na kompanije iz Srbije ili ne.

Sprovođenje GDPR van EU

Iako je GDPR dosta proširio ovlašćenja nacionalnih organa zemalja EU za zaštitu podataka o ličnosti da sankcionišu povrede zaštite podataka, kao i da su kazne porasle na veoma visoke – do 4% godišnjeg obrta na globalnom nivou, ipak se postavlja pitanje efikasnosti sprovođenja GDPR van EU.

Naime, GDPR detaljno reguliše ovlašćenja i procedure nacionalnih organa EU, ograničavajući te organe da rešavaju probleme koji su povezani sa tom članicom EU (npr. danski organ za zaštitu podataka o ličnosti će moći da rešava probleme koji su u vezi kompanije iz Danske ili građanina Danske). GDPR nije za sada predvideo jasne mehanizme za sprovođenje GDPR van EU. Izvesno je da će velike kompanije koje su fokusirane na potrošače uskladiti svoje poslovanje sa GDPR, pre svega iz razloga zato što nisu spremne da rizikuju svoju reputaciju zato što nisu usklađene sa GDPR. Stoga, problem oko sporovođenja će pogađati pre svega manje biznise.

Ipak, GDPR predviđa da lice iz EU koje je predmet obrade, ima pravo na sudsku zaštitu ukoliko smatra da su mu povređena prava iz GDPR kao rezultat obrade njegovih ličnih podataka koja nije u skladu sa GDPR. To lice alternativno može da pokrene sudski postupak: (i) pred nadležnim sudom države članice gde kontrolor ili obrađivač imaju sedište, ili (ii) pred nadleženim sudom države članice gde to lice ima boravište (habitual residence).

U situaciji gde srpska kompanija ispunjava neki od dva gore navedena uslova (prodaje prozvode/usluge osobama u EU ili vrši nadzor nad korisničkim ponašanjem osoba u EU) i pri tom krši odredbe o obradi podataka fizičkih lica iz EU iz GDPR, to lice će moći da pokrene sudski postupak pred nadležnim sudom gde ima boravište (npr. Nemačka, Italija, Španija, Francuska itd.) i ukoliko taj sud ustanovi da je došlo do povrede GDPR u vezi sa obradom ličnih podataka te osobe, doneće pravosnažnu presudu. Na osnovu te presude lice iz EU će moći da pokrene postupak priznanja i izvršenja strane sudske odluke pred srpskim sudom i ukoliko su ispunjeni određeni uslovi (reciprocitet sa tom državom, proceduralne garancije), ta sudska odluka će moći da bude izvršena na teritoriji Srbije.

Prethodno opisani postupak je postavljen kao poslednji mehanizam zaštite za fizička lica iz EU, koja smatraju da im je neka kompanija van EU povredila prava iz GDPR. Međutim, s obzirom da gore opisani postupak nije najefikasniji, postoji mogućnost da EU do početka primene GDPR pronađe neko efikasnije rešenje. Kao jedna od mogućnosti efikasnijeg rešavanja ovog problema jeste postavljanje predstavnika u nekoj od država EU od strane kompanija koja imaju svoje sedište van EU (ovo će biti tema jedne od narednih kolumni).

Zaključak

Veliki broj kompanija iz Srbije koje su do sada poslovale van primene zakona EU će očigledno biti obuhvaćene GDPR. Međutim, posmatrajući sudsku praksu u EU u poslednjih par godina nije iznenađenje toliko široko postavljena teritorijalna primena GDPR.

GDPR zahteva značajne promene u procedurama i procesima biznisa koji su već usklađeni sa postojećim stanjem, ali će put usklađivanja sa GDPR za one koji su bili van primene biti dosta teži.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik

Ostavi komentar

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Wonder Dynamics Nikole Todorovića otvara studio u Novom Sadu – podrška stigla i od Stivena Spilberga!

U savetodavnom odboru ovog startapa nalaze se poznati američki investitori, vodeći stručnjaci za razvoj veštačke inteligencije i neka od najvećih imena svetske kinematografije među kojima su Stiven Spilberg i Džo Ruso. Sa Nikolom Todorovićem, koji je jedan od osnivača, razgovaramo o njegovom odlasku u SAD, građenju karijere u Holivudu i pokretanju startapa sa glumcem Tajem Šeridanom, zvezdom filma Ready Player One.

Novost

Nebojša Radović je novi direktor za akviziciju korisnika u kompaniji Zynga koja stoji iza igre FarmVille

Američka kompanija Zynga, pored čuvene mobile igre FarmVille, stoji iza velikog broja svetski popularnih igara koje igraju milioni igrača širom sveta. Njen novi direktor za akviziciju korisnika je Nebojša Radović.

Novost

Kompanija Quantox Technology organizuje novi humanitarni CS:GO turnir – početni fond 1.000.000 dinara

Od 3. do 4. aprila kompanija Quantox Technology organizovaće drugi po redu humanitarni turnir u popularnoj video igri CS:GO. Cilj je da se prikupe novčana sredstva za sve one koji se bore sa zdravstvenim poteškoćama.

Propustili ste

Karijere

Razgovori sa seniorima: Kako domaću IT industriju vidi softverski inženjer?

Jelena Lazić iz kompanije Centili deli svoja razmišljanja.

Office Talks Podcast

Planovi Playrixa za studio u Srbiji

Gost redakcije Netokracije u novog epizodi Office Talks podcasta bio je Mirko Topalski, CEO game dev kompanije PlayrixRS. Sa njim nakon prošlogodišnjeg intervjua po drugi put detaljno razgovaramo o poslovanju u industriji razvoja igara u Srbiji nakon akvizicije Eipixa od strane ruskog giganta Playrixa.

Startapi i poslovanje

Listty kao ‘Instagram za muziku’ otkriva nam šta naši prijatelji slušaju i zašto je muzika bolja kada se deli sa drugima

Ako čujete dobru pesmu verovatno želite da je podelite sa svojim prijateljima. Startap iz Srbije sa servisom Listty omogućava upravo to i nastoji da objedini najbolje od poznatih muzičkih servisa u okviru jedne aplikacije.

Startapi i poslovanje

Otvoren poziv za startape iz Srbije za ViennaUP konferenciju, prijavite se već sada

Grad Beč nekoliko godina unazad organizuje niz događaja za startape koji su se kroz različita izdanja pretvorili u jedan od najvećih inovacijskih festivala u regionu - Vienna UP. Ove godine počinje 27. aprila i trajaće do 12. maja.

Startapi i poslovanje

Novosadski Anari AI dobio investiciju od $2.000.000 za proizvodnju AI čipova u cloudu

Ova srpsko-američka kompanija je za dva meseca zatvorila investicionu 'seed' rundu vođenu od strane nemačkog fonda Earlybird VC, koji je po prvi put investirao u jedan srpski startap. U investiciji su učestvovali i fondovi Acequia Capital i Serbian Entrepreneurs kao i Erica Ries, osnivač Lean Startup-a.

Startapi i poslovanje

€1.000.000 privredi Srbije iz SAD kroz projekat Tesla Nation

Ovaj projekat nastoji da razvije privredne veze Srbije i sveta uz pomoć dijaspore i kompanija koje su se udružile da ga podrže, a cilj mu je da promoviše Srbiju u inostranstvu kao zemlju inovatora i izuzetnih IT profesionalaca.