Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

Kako će se GDPR primenjivati na kompanije i brendove u Srbiji?

U prvom članku iz serijala o GDPR-u (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) predstavljene su osnovne informacije o GDPR i njenom uticaju na industriju 'online' oglašavanja.

Stefan Đaković

I dok čekamo da Republika Srbija donese novi Zakon o zaštiti podataka o ličnosti (za koji očekujemo da će se u velikoj meri oslanjati na GDPR), postavlja se pitanje da li bi domaće kompanije i domaći oglašivači trebalo da se bave GDPR (Uredba će početi da se primenjuje od 25.05.2018. godine) ili je to samo jedan od mnogih akata EU koji se ne tiče Srbije, s obzirom da još koračamo ka EU.

Za Internet ne postoje granice u konvencionalnom smislu. Njegov veliki značaj se ogleda prilikom razmene podataka, komunikacije, online šopinga i sl. On takođe predstavlja i jedan od najvećih izazova u smislu definisanja i primene nacionalnih zakona. Pre donošenja GDPR bilo je teško, gotovo nemoguće, primeniti zakone o zaštiti podataka o ličnosti na kompanije koje imaju svoje sedište van EU. GDPR u tom smislu donosi rigorozne izmene u odnosu na postojeći koncept ograničene teritorijalne primene EU zakonodavstva.

Teritorijalna primenjivost GDPR je takva da se odnosi na bilo koju kompaniju ili organizaciju koja obrađuje lične podatke fizičkog lica koje je u EU, bez obzira na to gde se u svetu fizički nalazi sedište ili predstavništvo te kompanije.

Ovo prethodno pronalazi svoju primenu u dva slučaja:

  1. Kompanija ili organizacija nudi proizvode ili usluge fizičkim licima koja su u EU, bez obzira na to da li se za te proizvode/usluge plaća ili su besplatni. Kriterijumi za određivanje da li kompanija van EU nudi proizvode/usluge fizičkim licima u EU su biznis intencija te kompanije i to da li je očigledno da je ponuda ka fizičkim licima u EU „izgledna“. Sama dostupnost vebsajta fizičkim licima u EU ne podrazumeva nameru za ponudom. Međutim, ukoliko je vebsajt te kompanije na jednom od jezika EU, usluge/proizvodi se nude u evrima ili eksplicitno targetira fizička lica u EU, onda se može podvesti pod primenu GDPR.
  2. U drugom slučaju kompanija ili organizacija vrši bilo kakav nadzor (monitoring) nad ponašanjem fizičkih lica koja su u EU, dok god se takvo ponašanje odvija u okviru EU. GDPR je jasan da u situaciji kada su fizička lica koja su u EU praćena (tracking) na internetu predstavlja nadzor i GDPR se primenjuje (sajtovi koji koriste cookies profilisanje ili druge aplikacije koje prate ponašanje fizičkih lica u cilju donošenja odluka u vezi sa njom ili njim ili za analizu i predviđanje njenih Ili njegovih ličnih izbora, ponašanja ili stavova). U tom smislu, GDPR će se primenjivati na skoro sve servise online oglašavanja koji koji se sprovode nad fizičkim licma koja su u EU. ePrivacy regulativa (odnosno cookie regulativa) će se u velikoj meri oslanjati na postojeći GDPR, ali u još uvek postoje brojne stvari koje u njoj nisu definisane do kraja. (Više o ePrivacy temi u jednom od sledećih članaka).

U nastavku se nalazi par primera koji predstavljaju neke od mogućih scenarija, kao i da li se u tom konkretnom slučaju može smatrati da se GDPR primenjuje na kompanije iz Srbije ili ne.

Sprovođenje GDPR van EU

Iako je GDPR dosta proširio ovlašćenja nacionalnih organa zemalja EU za zaštitu podataka o ličnosti da sankcionišu povrede zaštite podataka, kao i da su kazne porasle na veoma visoke – do 4% godišnjeg obrta na globalnom nivou, ipak se postavlja pitanje efikasnosti sprovođenja GDPR van EU.

Naime, GDPR detaljno reguliše ovlašćenja i procedure nacionalnih organa EU, ograničavajući te organe da rešavaju probleme koji su povezani sa tom članicom EU (npr. danski organ za zaštitu podataka o ličnosti će moći da rešava probleme koji su u vezi kompanije iz Danske ili građanina Danske). GDPR nije za sada predvideo jasne mehanizme za sprovođenje GDPR van EU. Izvesno je da će velike kompanije koje su fokusirane na potrošače uskladiti svoje poslovanje sa GDPR, pre svega iz razloga zato što nisu spremne da rizikuju svoju reputaciju zato što nisu usklađene sa GDPR. Stoga, problem oko sporovođenja će pogađati pre svega manje biznise.

Ipak, GDPR predviđa da lice iz EU koje je predmet obrade, ima pravo na sudsku zaštitu ukoliko smatra da su mu povređena prava iz GDPR kao rezultat obrade njegovih ličnih podataka koja nije u skladu sa GDPR. To lice alternativno može da pokrene sudski postupak: (i) pred nadležnim sudom države članice gde kontrolor ili obrađivač imaju sedište, ili (ii) pred nadleženim sudom države članice gde to lice ima boravište (habitual residence).

U situaciji gde srpska kompanija ispunjava neki od dva gore navedena uslova (prodaje prozvode/usluge osobama u EU ili vrši nadzor nad korisničkim ponašanjem osoba u EU) i pri tom krši odredbe o obradi podataka fizičkih lica iz EU iz GDPR, to lice će moći da pokrene sudski postupak pred nadležnim sudom gde ima boravište (npr. Nemačka, Italija, Španija, Francuska itd.) i ukoliko taj sud ustanovi da je došlo do povrede GDPR u vezi sa obradom ličnih podataka te osobe, doneće pravosnažnu presudu. Na osnovu te presude lice iz EU će moći da pokrene postupak priznanja i izvršenja strane sudske odluke pred srpskim sudom i ukoliko su ispunjeni određeni uslovi (reciprocitet sa tom državom, proceduralne garancije), ta sudska odluka će moći da bude izvršena na teritoriji Srbije.

Prethodno opisani postupak je postavljen kao poslednji mehanizam zaštite za fizička lica iz EU, koja smatraju da im je neka kompanija van EU povredila prava iz GDPR. Međutim, s obzirom da gore opisani postupak nije najefikasniji, postoji mogućnost da EU do početka primene GDPR pronađe neko efikasnije rešenje. Kao jedna od mogućnosti efikasnijeg rešavanja ovog problema jeste postavljanje predstavnika u nekoj od država EU od strane kompanija koja imaju svoje sedište van EU (ovo će biti tema jedne od narednih kolumni).

Zaključak

Veliki broj kompanija iz Srbije koje su do sada poslovale van primene zakona EU će očigledno biti obuhvaćene GDPR. Međutim, posmatrajući sudsku praksu u EU u poslednjih par godina nije iznenađenje toliko široko postavljena teritorijalna primena GDPR.

GDPR zahteva značajne promene u procedurama i procesima biznisa koji su već usklađeni sa postojećim stanjem, ali će put usklađivanja sa GDPR za one koji su bili van primene biti dosta teži.

Autor teksta:
Aleksandar Ugljevarević
Predsednik Legal & Policy
 Komiteta IAB Serbia

LMS Digital Consulting, pravni savetnik

Ostavi komentar

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

E-commerce

Gde je nestala besplatna poštarina i da li će AliExpress ikada vratiti ‘Free Shipping’ za Srbiju?

Pisanja medija s početka meseca o tome da AliExpress izbacuje 'free shipping' određenih proizvoda unelo je paniku među mnogima koji kupuju u ovoj online prodavnici. Mi smo analizirali šta je uzrok ovoj promeni i da li uskoro možemo očekivati da se stvari vrate u normalu.

Startapi i poslovanje

3Lateral kupio parcelu u Novom Sadu vrednu €7,7 miliona evra – da li je na pomolu izgradnja njihovog kampusa?

3Lateral kupio je plac u Novom Sadu od skoro 6.500 m2, a koji je plaćen više od 7,7 miliona evra. Znači li to da ova kompanija planira gradnju kampusa?

Kultura 2.0

Kako ste danas?

Pre nekoliko godina jedan lanac privatnih zdravstvenih ustanova preplavio je Beograd bilbordima sa ovim pitanjem. I nikome ko je video nije bilo svejedno. 'Struka' se obrušila na kampanju, a suštinski ni tada ni danas nije bilo jasno koji je tačno problem sa tim što je komunicirano.

Propustili ste

Kultura 2.0

Serbian Bookers: Turizam je i dalje u lošem stanju, ali izdavači računaju na domaće turiste

Kako su se domaći digitalni iznajmljivači snašli tokom pandemije i kakva su im očekivanja za naredni period? Istraživanje platforme Serbian-Bookers ima odgovor.

Intervju

Kako je pandemija uticala na globalno tržište digitalnih usluga i koje pouke se mogu izvući

Ceo svet se preko noći promenio izbijanjem COVID-19 pandemije, a ovaj virus uticao je na sve segmente poslovanja, posebno na globalno tržište IT usluga. Ono je moralo da se prilagodi novonastaloj situaciji i zaposlenima u ovom sektoru nametne potpuno novi izazov - izgradnju internih resursa u cilju što boljeg odgovora na krizu.

Kultura 2.0

Da li i dalje čitamo stripove ili će ovaj kulturološki fenomen ostati u senci digitalizacije?

Ako želiš pobediti, ne smeš izgubiti! Da li i vi često citirate omiljene junake iz stripova, poput čuvenog Alana Forda i jesu li stripovi i dalje deo pop-kulture koji rado konzumirate? Oni su, zapravo, kult koji se ne da tako lako izgubiti u zaboravu, a mi smo analizirali da li će ove male, crtane knjižice i dalje nalaziti put do korisnika - čak i u vreme digitalizacije pisanog i crtanog sadržaja.

Startapi i poslovanje

Kako je beogradski Intelisale porastao za vreme pandemije i prilagodio svoj posao trenutnim potrebama klijenata?

Vratite se koji mesec unazad i zapitajte se - koliko ste svoje poslovanje morali da prilagodite zahtevima klijenata čiji su biznisi bili direktno ili indirektno pogođeni pandemijom COVID-19?

Startapi i poslovanje

Upoznajte Stefana Feješa, najmlađeg programera koji radi u GitHubu i jedinog koji dolazi iz Srbije

Stefan Feješ ima 20 godina, fakultet bi trebalo da završi 2022. godine, a već je kreirao šesti najbrže rastući 'open source' projekat u 2018. godini, govorio na nekim od najpoznatijih 'tech' konferencija širom sveta, a prošlog meseca postao je i najmlađi član GitHub tima.

Kultura 2.0

Kako ste danas?

Pre nekoliko godina jedan lanac privatnih zdravstvenih ustanova preplavio je Beograd bilbordima sa ovim pitanjem. I nikome ko je video nije bilo svejedno. 'Struka' se obrušila na kampanju, a suštinski ni tada ni danas nije bilo jasno koji je tačno problem sa tim što je komunicirano.