GDPR u Srbiji: korak napred ili nova prepreka?

GDPR u Srbiji: korak napred ili nova prepreka?

foto: Mohamed Hassan / Pixabay 

Današnja digitalna era donela je sa sobom mnoge prednosti, ali i izazove, posebno kada je reč o zaštiti privatnosti i podataka o ličnosti. Kako bi odgovorila na ove izazove i obezbedila visok nivo zaštite podataka, Evropska unija je 25. maja 2018. godine usvojila General Data Protection Regulation (GDPR), takozvanu Opštu uredbu o zaštiti podataka o ličnosti. Ova uredba ne samo da postavlja standarde za zaštitu podataka unutar Unije, već njen uticaj prelazi i njene granice, dotičući organizacije širom sveta, uključujući i Srbiju. GDPR je revolucionisao način na koji organizacije prikupljaju, obrađuju i čuvaju podatke, uvodeći stroge obaveze i značajne kazne za nepoštovanje.

Pre GDPR-a, Evropska unija je imala Direktivu o zaštiti podataka iz 1995. godine, koja je imala za cilj zaštitu ličnih podataka i omogućavanje slobodnog kretanja tih podataka. Međutim, zbog različitih lokalnih propisa u državama članicama, zakoni nisu bili usklađeni. GDPR sada pruža jedinstven pravni okvir sa direktnom primenom u svih 27 država članica Evropske unije, uzimajući u obzir nove tehnologije poput mobilnih aplikacija i društvenih mreža.

Dok se primena GDPR-a u zemljama članicama Evropske unije odvija u skladu sa jasno definisanim pravilima, situacija u Srbiji, kao nečlanici Unije, zahteva posebnu pažnju i prilagođavanje. Kao kandidat za članstvo u Uniji, Srbija je u obavezi da uskladi svoje zakonodavstvo sa pravnim tekovinama Unije.

Primena GDPR-a u Srbiji nedovoljna, raste potreba za reformom

Srbija je dočekala GDPR nedovoljno spremna, sa novim Zakonom o zaštiti podataka o ličnosti koji je počeo da se primenjuje 21. avgusta 2019. godine, a koji nije potpuno usklađen sa drugim propisima. Propušteni su rokovi za usklađivanje sektorskih zakona, što dovodi do neadekvatne zaštite podataka građana.

Uvođenje GDPR-a predstavlja prekretnicu u oblasti zaštite podataka o ličnosti, postavljajući visoke standarde i obaveze za organizacije širom sveta, uključujući i one izvan granica Evropske unije. Ova regulativa ne samo da štiti prava građana, već i podstiče organizacije na odgovornije i transparentnije upravljanje podacima.

Iako Srbija još uvek radi na potpunom usklađivanju svog zakonodavstva sa GDPR-om, jasno je da će ova uredba nastaviti da utiče na domaće kompanije koje posluju sa podacima građana Evropske unije. Sprovođenje ove uredbe zahteva značajna prilagođavanja i resurse, ali dugoročno donosi koristi u vidu povećanog poverenja korisnika i zaštite poslovne reputacije. U svetu gde su podaci postali vredna imovina, adekvatna zaštita podataka o ličnosti postaje neophodan preduslov za uspešno poslovanje i očuvanje osnovnih prava građana.

Nedostatak usklađenosti Srbije sa GDPR-om otkriva složene izazove u zaštiti privatnosti podataka. Srbija se suočava sa brojnim preprekama, uključujući neusaglašene zakonske odredbe, propuštene rokove za prilagođavanje sektorskih zakona i nedovoljno razvijenu sudsku praksu u slučajevima povrede podataka.

Tokom pandemije COVID-19, propusti u zaštiti zdravstvenih podataka građana dodatno su naglasili ove izazove. Pored toga, novi Zakon o socijalnoj karti postavlja nove zahteve za zaštitu podataka, posebno onih koji zadiru u intimne aspekte života građana. Sve ovo ukazuje na potrebu za intenzivnijim radom na unapređenju pravnog okvira i efikasnijoj primeni postojećih standarda zaštite podataka kako bi se obezbedila adekvatna zaštita privatnosti građana Srbije.

Ovi problemi ukazuju na hitnu potrebu za sveobuhvatnom reformom zakona i jačanjem nadležnih institucija. Samo kroz temeljnu reformu zakonskog okvira, prilagođavanje sektorskih zakona i osnaživanje institucija zaduženih za zaštitu podataka o ličnosti, Srbija može osigurati efikasnu zaštitu podataka u skladu sa evropskim standardima.

Tehnološki giganti i GDPR

GDPR utiče na sve kompanije, ali posebno na one koje obrađuju velike količine podataka o potrošačima, kao što su tehnološke firme, marketinške agencije i brokeri podataka. Kompanije koje se oslanjaju na prikupljanje i korišćenje podataka o potrošačima moraće da dobiju eksplicitnu i obnovljenu saglasnost za obradu tih podataka.

Velike svetske kompanije, poput Fejsbuka, prilagodile su svoje stranice u skladu sa GDPR-om. Fejsbuk je uveo alate koji korisnicima omogućavaju veću kontrolu nad njihovim podacima, poput opcije pristupite svojim podacima koja omogućava pronalaženje, preuzimanje i brisanje specifičnih podataka. Takođe, korisnici su morali da pristanu na nove uslove korišćenja i tehnologiju prepoznavanja lica.

GDPR zahteva od svih individua, institucija i organizacija koje tretiraju lične podatke popis, kategorizaciju i kodiranje svih informacija o korisnicima koje se definišu kao lični podaci (ime i prezime, podaci o lokaciji, fizički, fiziološki, genetski, mentalni, ekonomski, socijalni, kulturni i drugi faktori), davanje prava pojedincima da uvek znaju ko prikuplja njihove podatke i u koje svrhe, te da mogu zatražiti brisanje tih podataka iz baza, obaveza obaveštavanja nadležnih vlasti i vlasnika informacija o bilo kakvoj ugroženosti ili neadekvatnoj upotrebi podataka u roku od 72 sata.

Kontrola tretiranja podataka nije ostala samo na nivou države ili nadnacionalne zajednice. GDPR propisuje da će određene organizacije morati da imaju Data Protection Officer-a (DPO), zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati tretiranje podataka. Ovo se odnosi na kompanije koje redovno i sistematski prate podatke u velikoj razmeri, kao i one koje obrađuju podatke osetljivih kategorija (zdravstvene, religiozne, rasne i druge.).

Kaznene mere za kršenje zaštite podataka

GDPR postavlja stroge zahteve za zaštitu ličnih podataka građana Evropske unije. Jedan od ključnih elemenata ove regulative su kazne za kršenje propisa, koje mogu biti značajne kako bi se obezbedila usklađenost i zaštita privatnosti podataka.

Organizacije koje ne poštuju GDPR izložene su novčanim kaznama koje se razlikuju u zavisnosti od težine prekršaja. Za manje ozbiljne prekršaje, kazna može iznositi do 10 miliona evra ili do 2 odsto godišnjeg globalnog prihoda, u zavisnosti šta je veće. To može obuhvatati nedostatke u informisanju korisnika o obradi njihovih podataka ili propuste u obuci osoblja o pravilima zaštite podataka.

Za ozbiljnije prekršaje, kao što su ignorisanje osnovnih principa obrade podataka ili neuspeh u obezbeđivanju dozvola za obradu podataka, kazne mogu dostići do 20 miliona evra ili do 4 odsto godišnjeg globalnog prihoda prethodne godine, u zavisnosti šta je veće. Ove kazne su namenjene da budu proporcionalne prirodi, ozbiljnosti i trajanju prekršaja, a njihova visina se određuje na osnovu specifičnih okolnosti svakog slučaja.

Primena GDPR-a može predstavljati finansijski izazov, ali bez obzira na cenu, GDPR postaje nova realnost. Primenjuje se na stanovnike, institucije i poslovne subjekte u Evropskoj uniji, ali i na subjekte izvan Unije, uključujući Srbiju, ako obrađuju podatke građana Evropske unije. Na primer, turistička agencija iz Srbije koja nudi aranžmane u Francuskoj, podložna je GDPR-u.

Primena GDPR-a u Evropskoj uniji uzrokovala je prilagođavanja poslovanja tamošnjih subjekata, uz visoke kazne za kršenja. Tako je, na primer, Google tokom 2019. godine bio kažnjen sa 50 miliona evra zbog neadekvatnog informisanja korisnika od strane Francuske organizacije koja se bavi zaštitiom podataka (CNIL). Sa druge strane,  H&M je u Nemačkoj tokom 2020. godine bio kažnjen sa 35 miliona evra zbog nedozvoljene obrade podataka zaposlenih.

Pored novčanih kazni, regulatorne vlasti imaju ovlašćenje da propišu dodatne mere, kao što su privremena ili trajna zabrana obrade podataka ili oduzimanje sertifikata za međunarodne transfere podataka. Ove mere se primenjuju kako bi se sprečilo dalje kršenje GDPR-a i obezbedila zaštita podataka građana Unije.

Sve u svemu, kazne GDPR-a su dizajnirane da budu efikasan mehanizam za sprovođenje prava na privatnost i zaštitu podataka. One podstiču organizacije da preduzmu odgovarajuće mere za zaštitu podataka i da se pridržavaju strogih pravila i standarda propisanih ovom regulativom.

GDPR predstavlja prekretnicu u zaštiti podataka o ličnosti širom Evropske unije, postavljajući visoke standarde za privatnost korisnika i obaveze organizacija. Dok su zemlje članice Evropske unije uspešno prihvatile ove zahteve, Srbija se suočava sa izazovima u usklađivanju i primeni regulative. Neophodno je da Srbija ubrza proces reformi zakona i jačanja nadzornih organa kako bi adekvatno zaštitila podatke o ličnosti građana i osigurala integrisanje u evropsko digitalno okruženje. Ovo nije samo pravni zahtev, već i ključni korak ka izgradnji poverenja i konkurentnosti na globalnom tržištu podataka.

 Autorka: Marija Vidojević