Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

U prvom članku iz serijala o GDPR-u (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) predstavljene su osnovne informacije o GDPR i njenom uticaju na industriju 'online' oglašavanja.

Stefan Đaković

I dok čekamo da Republika Srbija donese novi Zakon o zaštiti podataka o ličnosti (za koji očekujemo da će se u velikoj meri oslanjati na GDPR), postavlja se pitanje da li bi domaće kompanije i domaći oglašivači trebalo da se bave GDPR (Uredba će početi da se primenjuje od 25.05.2018. godine) ili je to samo jedan od mnogih akata EU koji se ne tiče Srbije, s obzirom da još koračamo ka EU.

Za Internet ne postoje granice u konvencionalnom smislu. Njegov veliki značaj se ogleda prilikom razmene podataka, komunikacije, online šopinga i sl. On takođe predstavlja i jedan od najvećih izazova u smislu definisanja i primene nacionalnih zakona. Pre donošenja GDPR bilo je teško, gotovo nemoguće, primeniti zakone o zaštiti podataka o ličnosti na kompanije koje imaju svoje sedište van EU. GDPR u tom smislu donosi rigorozne izmene u odnosu na postojeći koncept ograničene teritorijalne primene EU zakonodavstva.

Teritorijalna primenjivost GDPR je takva da se odnosi na bilo koju kompaniju ili organizaciju koja obrađuje lične podatke fizičkog lica koje je u EU, bez obzira na to gde se u svetu fizički nalazi sedište ili predstavništvo te kompanije.

Ovo prethodno pronalazi svoju primenu u dva slučaja:

  1. Kompanija ili organizacija nudi proizvode ili usluge fizičkim licima koja su u EU, bez obzira na to da li se za te proizvode/usluge plaća ili su besplatni. Kriterijumi za određivanje da li kompanija van EU nudi proizvode/usluge fizičkim licima u EU su biznis intencija te kompanije i to da li je očigledno da je ponuda ka fizičkim licima u EU „izgledna“. Sama dostupnost vebsajta fizičkim licima u EU ne podrazumeva nameru za ponudom. Međutim, ukoliko je vebsajt te kompanije na jednom od jezika EU, usluge/proizvodi se nude u evrima ili eksplicitno targetira fizička lica u EU, onda se može podvesti pod primenu GDPR.
  2. U drugom slučaju kompanija ili organizacija vrši bilo kakav nadzor (monitoring) nad ponašanjem fizičkih lica koja su u EU, dok god se takvo ponašanje odvija u okviru EU. GDPR je jasan da u situaciji kada su fizička lica koja su u EU praćena (tracking) na internetu predstavlja nadzor i GDPR se primenjuje (sajtovi koji koriste cookies profilisanje ili druge aplikacije koje prate ponašanje fizičkih lica u cilju donošenja odluka u vezi sa njom ili njim ili za analizu i predviđanje njenih Ili njegovih ličnih izbora, ponašanja ili stavova). U tom smislu, GDPR će se primenjivati na skoro sve servise online oglašavanja koji koji se sprovode nad fizičkim licma koja su u EU. ePrivacy regulativa (odnosno cookie regulativa) će se u velikoj meri oslanjati na postojeći GDPR, ali u još uvek postoje brojne stvari koje u njoj nisu definisane do kraja. (Više o ePrivacy temi u jednom od sledećih članaka).

U nastavku se nalazi par primera koji predstavljaju neke od mogućih scenarija, kao i da li se u tom konkretnom slučaju može smatrati da se GDPR primenjuje na kompanije iz Srbije ili ne.

Sprovođenje GDPR van EU

Iako je GDPR dosta proširio ovlašćenja nacionalnih organa zemalja EU za zaštitu podataka o ličnosti da sankcionišu povrede zaštite podataka, kao i da su kazne porasle na veoma visoke – do 4% godišnjeg obrta na globalnom nivou, ipak se postavlja pitanje efikasnosti sprovođenja GDPR van EU.

Naime, GDPR detaljno reguliše ovlašćenja i procedure nacionalnih organa EU, ograničavajući te organe da rešavaju probleme koji su povezani sa tom članicom EU (npr. danski organ za zaštitu podataka o ličnosti će moći da rešava probleme koji su u vezi kompanije iz Danske ili građanina Danske). GDPR nije za sada predvideo jasne mehanizme za sprovođenje GDPR van EU. Izvesno je da će velike kompanije koje su fokusirane na potrošače uskladiti svoje poslovanje sa GDPR, pre svega iz razloga zato što nisu spremne da rizikuju svoju reputaciju zato što nisu usklađene sa GDPR. Stoga, problem oko sporovođenja će pogađati pre svega manje biznise.

Ipak, GDPR predviđa da lice iz EU koje je predmet obrade, ima pravo na sudsku zaštitu ukoliko smatra da su mu povređena prava iz GDPR kao rezultat obrade njegovih ličnih podataka koja nije u skladu sa GDPR. To lice alternativno može da pokrene sudski postupak: (i) pred nadležnim sudom države članice gde kontrolor ili obrađivač imaju sedište, ili (ii) pred nadleženim sudom države članice gde to lice ima boravište (habitual residence).

U situaciji gde srpska kompanija ispunjava neki od dva gore navedena uslova (prodaje prozvode/usluge osobama u EU ili vrši nadzor nad korisničkim ponašanjem osoba u EU) i pri tom krši odredbe o obradi podataka fizičkih lica iz EU iz GDPR, to lice će moći da pokrene sudski postupak pred nadležnim sudom gde ima boravište (npr. Nemačka, Italija, Španija, Francuska itd.) i ukoliko taj sud ustanovi da je došlo do povrede GDPR u vezi sa obradom ličnih podataka te osobe, doneće pravosnažnu presudu. Na osnovu te presude lice iz EU će moći da pokrene postupak priznanja i izvršenja strane sudske odluke pred srpskim sudom i ukoliko su ispunjeni određeni uslovi (reciprocitet sa tom državom, proceduralne garancije), ta sudska odluka će moći da bude izvršena na teritoriji Srbije.

Prethodno opisani postupak je postavljen kao poslednji mehanizam zaštite za fizička lica iz EU, koja smatraju da im je neka kompanija van EU povredila prava iz GDPR. Međutim, s obzirom da gore opisani postupak nije najefikasniji, postoji mogućnost da EU do početka primene GDPR pronađe neko efikasnije rešenje. Kao jedna od mogućnosti efikasnijeg rešavanja ovog problema jeste postavljanje predstavnika u nekoj od država EU od strane kompanija koja imaju svoje sedište van EU (ovo će biti tema jedne od narednih kolumni).

Zaključak

Veliki broj kompanija iz Srbije koje su do sada poslovale van primene zakona EU će očigledno biti obuhvaćene GDPR. Međutim, posmatrajući sudsku praksu u EU u poslednjih par godina nije iznenađenje toliko široko postavljena teritorijalna primena GDPR.

GDPR zahteva značajne promene u procedurama i procesima biznisa koji su već usklađeni sa postojećim stanjem, ali će put usklađivanja sa GDPR za one koji su bili van primene biti dosta teži.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik

Ostavi komentar

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Ekskluzivno

Nordeus otvorio novu zgradu: 6.000 m², restoran, sportski bar i vrtić za spoj najboljeg iz umetnosti i tehnologije

Donosimo vam ekskluzivne fotografije nove zgrade Nordeusa koja već danas otvara vrata za svojih 170 zaposlenih.

Tehnologija

E-prime lansirao električni tricikl na sajmu automobila namenjen poslovnim korisnicima

U ekskluzivnom intervjuu za Netokraciju, direktor i suosnivač kompanije E-prime Milan Manojlović, govori o novim električnim biciklima kompanije, ali i o planiranom širenju poslovanja i izvozu na evropsko tržište.

Startapi i poslovanje

Kako izgleda raditi u IT kompaniji koja razvija svoj proizvod – iz ugla programera?

Domaće developere uglavnom je oblikovala 'outsourcing' industrija, dok je znatno manji broj njih imao priliku i da radi u kompaniji ili startapu koji razvija sopstveni proizvod. Kakva su njihova iskustva?

Propustili ste

Novost

Savladajte osnove programiranja uz prve SmartNinja kurseve u Beogradu!

Program IT obuka koje smo pokrenuli početkom godine, konačno je dostupan za sve zainteresovane polaznike. U nastavku teksta saznajte više o kurikulumu, preduslovima za obuku i načinu plaćanja za prva dva kursa - Web Developement 1 i Python za početnike.

Kultura 2.0

Nemanja Čedomirović: Zaboravite na uspešnu konferenciju ukoliko ne želite da rizikujete

Kada su osnivači konferencije PHP Srbija pripremali prve događaje želeli su da od toga naprave programerski centar i stvore mesto gde i stranci žele da dođu - i u tome su uspeli 37% 😄, kaže jedan od osnivača. Šta posetioce čeka ove godine?

Kultura 2.0

Kako je ‘Game of Thrones’ zauvek promenio našu popularnu kulturu

Nakon pauze od tačno 595 dana imamo priliku da se ponovo susretnemo sa likovima iz knjiga Džordža R.R. Martina i uplovimo u svet Vesterosa gde će armije živih i mrtvih napokon odmeriti snage. Da li će naši životi nakon toga biti isti?

Karijere

BBICC 2019: Razmišljajte o budućnosti poslovanja, ali već danas

Proteklog vikenda održana je završnica studentskog takmičenja BBICC na kojem je 20 timova sa svetskih univerziteta predstavilo svoja rešenja. Zadatke studije slučaja postavile su kompanije Coca Cola, TeleGroup i Saga New Frontier Group.

Startapi i poslovanje

Wolt od danas u Beogradu – pratite dostavu vaše klope putem aplikacije (baš kao Uber)

Wolt, finski startap koji spaja restorane i korisnike koji poručuju hranu za dostavu, od danas počinje sa radom u Beogradu. Glavna prednost aplikacije jeste to što korisnici mogu da prate svoju porudžbinu od trenutka kada kuvar počne sa pripremom, pa sve dok im kurir ne pozvoni na vrata.

Internet marketing

Radionica naprednog Content Marketinga ponovo u Beogradu – ‘early bird’ karte do 15. maja!

Usled velikog interesovanja, pripremili smo još jedno izdanje radionice naprednog 'content marketinga'. Profesionalci, čekamo vas 27. maja u Beogradu!