General Data Protection Regulation (GDPR) je uredba Evropske unije koja se direktno primenjuje u svim državama članicama EU.
Osim što se radi o dokumentu koji je godinama unazad služio i bio predstavljen kao svojevrsno „strašilo“ za kompanije širom EU, radi se i o logičnoj nadogradnji na nekadašnju Direktivu 95/46 koja je doneta još u vreme „kada je internet bio mlad“, odnosno kada je svega 1 odsto građana EU koristilo globalnu mrežu. U međuvremenu se mnogo toga promenilo, a regulativa nije ni predvidela ni ispratila drastične tehnološke promene i migraciju biznisa na internet, te neverovatne razmere monetizacije ličnih podataka koje su korisnici ustupali internet kompanijama kao „naknadu“ za pristup njihovim servisima. Dakle, stari okvir je bio zreo za „penziju“.
Drugi bitni razlog za donošenje regulative je bila želja za unifikacijom pravila 28 članica EU, budući da je prethodni okvir dozvoljavao veliki stepen slobode državama članicama da pravila privatnosti prilagode svojim unutrašnjim prilikama (donošenjem posebnih zakona), što je neminovno vodilo ka nejednakom stepenu zaštite ovog bitnog prava.
Ne treba ispustiti i to da je reforma okvira koji uređuje zaštitu podataka o ličnosti jedan od koraka koji EU preduzima da bi uklonila regulatorne prepreke za kreiranje jedinstvenog digitalnog tržišta (Digital single market).
Na kraju, brojne odluke Evropskog suda pravde iz temelja su uzdrmale sistem zaštite podataka o ličnosti i zadale mu jak udarac, a kao najbitnije se izdvajaju: Mario Costeja Gonsales vs Google Spain (odluka koja sistematizovala „pravo na zaborav“ iz 2014. godine), Max Schrems vs Facebook Ireland (odluka koja je uzrokovala pad Safe Harbour Agreement EU i SAD iz 2015. godine) i Weltimo vs Nemzeti (odluka koja je uzdrmala princip one-stop shop kod obrade podataka o ličnosti iz 2015. godine).
Najbitnije odlike
Iako je ovaj dokument dugo predstavljan kao revolucionaran, suštinski ne donosi mnogo do sada nepoznatih novina, jer se i dalje zasniva na tome da svaka obrada podataka mora da bude transparentna, zakonita i srazmerna. Ono što jeste novost je bolja sistematizacija, jasnoća i razrada ovih pravila, kao i drastične kazne za nepoštovanje tih pravila, što zapravo i predstavlja pravi razlog za medijsku pažnju u odnosu na ovaj dokument. Jedna od zanimljivijih novina se tiče „ekstrateritorijalne primene“ GDPR na države koje nisu članice EU, kada se radi o podacima lica pod jurisdikcijom EU, u vezi sa njihovim aktivnostima u EU. Na primer, po tim pravilima bi naša domaća turistička agencija koja nudi turističke usluge Austrijancima u Austriji bila dužna da primenjuje GDPR iako se nalazi u državi koja nije članica EU.
Druga bitna novina su znatno više novčane kazne četiri posto godišnjeg prometa ili 20 miliona evra (zavisi od toga koja je cifra veća) za bitne povrede i dva odsto godišnjeg prometa ili 10 miliona evra (opet zavisno od toga koja je cifra veća). Drastične kazne i jesu pravi razlog nervoze oko GDPR-a.
Zaštita podataka o ličnosti protiv slobode izražavanja
Često se zaboravlja koja bi trebalo da bude suštine zaštite podataka o ličnosti. Zaštita ličnih podataka je ljudsko pravo, koje predstavlja jednu od komponenti prava na privatnost, a koje je prepoznato i najvišim međunarodnim i domaćim aktima (naš Ustav ga prepoznaje u članu 42).
Kao ljudsko pravo ono je univerzalno i neotuđivo, a dostignuti nivo zaštite tog prava ne sme da se sužava. Istovremeno, ovo pravo je moguće ograničiti ako je mera ograničenja propisana zakonom, neophodna u demokratskom društvu, a radi zaštite osnovnih interesa takvog društva (javna i nacionalna bezbednost, zaštita zdravlja, zaštita prava i sloboda drugih itd.) uz to da takva mera mora da bude srazmerna cilju koji bi trebalo da postigne (principi koji su poznati u međunarodnim dokumentima o ljudskim pravima).
U tom kontekstu bi trebalo posmatrati i tzv. „pravo na zaborav“, koje je sistematizovano u EU nakon čuvene presude Mario Costeja Gonsales vs Google Spain, gde je Evropski sud pravde (radi se o sudu EU ne o poznatijem Evropskom sudu za ljudska prava) ukazao na obavezu internet pretraživača da uklone lične podatke iz pretrage ako „interes zaštite ličnih podataka preteže nad ekonomskim interesom pretraživača i interesom javnosti u vezi s tim konkretnim podacima“. GDPR je ovo pravo podigao na viši nivo jer ga je predvideo kao pravo koje fizičko lice može da koristi prema bilo kom rukovaocu, a kao jedan od izuzetaka je predviđeno upražnjavanje prava na slobodu izražavanja. Kod upražnjavanja ovog prava može doći do sukoba prava javnosti da sazna informacije u javnom interesu i prava pojedinca na zaštitu ličnih podataka. Na primer, da li bi neki bivši funkcioner koji nije aktivan u politici dugi niz godina mogao da traži da mu neki internet portal obriše lične podatke iz priče o zloupotrebi službenog položaja koja se desila pre 20 godina.
Posebno problematično je što bi medij bio taj koji to procenjuje, i samim tim rizik od pogrešne procene i od kažnjavanja se povećava. Ovaj rizik je posebno visok u zemljama sa niskim stepenom razvoja prava na slobodu izražavanja i demokratske kulture, pa je moguće zamisliti da Pravo na zaborav u Srbiji postane još jedno u nizu efikasnih sredstava za posrednu cenzuru prema medijima. Ovo nije jedina stvar oko koje medij može da ima problema u kontekstu poštovanja prava na privatnost. Dovoljno je pomenuti prikupljanje cookies, korišćenje alata za analitiku, upotrebu dodataka za društvene mreže (na primer Facebook pixel) i posedovanje baze podataka korisnika koji komentarišu objave na portalima ili baze podataka o ličnosti korisnika stranica medija na društvenim mrežama, pa čak i baze podataka pretplatnika, da bi se zaključilo da mediji nisu izolovani od novog regulatornog okvira, i da moraju da posvete veliku pažnju ovom pitanju.
Srbija i GDPR
Novi Zakon o zaštiti podataka o ličnosti je stupio na snagu krajem novembra, s tim da je primena praktično odložena do 21. avgusta 2019. godine. Zakon je, možda čak i previše doslovno preneo GDPR u domaći poredak, što može da izazove probleme i brojne nedoumice u njegovoj praktičnoj primeni. Druga karakteristika je da je u zakon „uneto“ i Uputstvo EU 2016/680, koje se tiče obrade podataka o ličnosti koju vrše organi javne vlasti u svrhe sprečavanja, istrage, otkrivanja i krivičnog gonjenja ili izvršenja krivičnih sankcija. Ovakva transpozicija dva inače obimna dokumenta EU je Zakon o zaštiti podataka o ličnosti „pretvorilo“ u prilično obiman, za čitanje zahtevan zakon, kroz koji se nekad i stručnjaci teško snalaze. Jedna od upadljivih razlika Zakona i GDPR-a je u znatno nižim novčanim sankcijama. Naime, Zakon predviđa dve kategorije novčanih kazni, jednu koju izriče sud u prekršajnom postupku čija je gornja granica dva miliona dinara i novčanu kaznu u fiksnom iznosu koju izriče Poverenik, a najviša takva kazna je fiksirana na iznos od 100.000 dinara. Valjalo bi napomenuti i to da novi Zakon daje priličan broj novih ovlašćenja Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, a da istovremeno nema naznaka da će se tehnički i kadrovski kapaciteti ove institucije povećati, kao i da procedura za izbor novog Poverenika nije ni započela, može se sa razlogom izraziti bojazan u spremnost za primenu novog regulatornog okvira. S druge strane, panika u redovima rukovalaca pokazuje da ni sami obveznici zakona nisu najspremniji na novi okvir.
Autor je advokat u Advokatskoj kancelariji Živković-Samardžić
Ovaj projekat finansira Evropska unija u saradnji sa listom Danas. Sadržaj ovog projekta je isključivo odgovornost lista Danas i ni na koji način ne odražava stavove i mišljenja Evropske unije.
Pratite nas na našoj Facebook i Instagram stranici, ali i na X nalogu. Pretplatite se na PDF izdanje lista Danas.