Novi Generalni propis o zaštiti podataka Europske unije (EU General Data Protection Regulation - GDPR) nazvan Opšta uredba o zaštiti podataka je Uredba (EU) 2016/679Europskog parlamenta i Vijeća od 27. aprila 2016. o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom kretanju takvih podataka, te o stavljanju izvan snage Direktive 95/46/EC, kojom se reguliše zaštita podataka i privatnost lica unutar Europske unije, a donosi i propise vezane za iznošenje podataka u treće zemlje. Glavniciljevi GDPR-a su vratiti građanima nadzor nad njihovim ličnim podacima i pojednostaviti regulatorno okruženje za međunarodne kompanije ujednačavanjem propisa u cijeloj Uniji. Stupanjem GDPR-a na snagu prestaje važiti Direktiva 95/46/EC, a nakon prelaznog razdoblja od dvije godine sve zemlje članice EU dužne su od 25.05.2018. primjenjivati Uredbu.
Obzirom na brzi tehnološki razvoj i nove načine obrade podataka javila se potreba za reformom zaštite ličnih podataka u Europskoj uniji, najvećom reformom u ovoj oblasti još od postanka weba. Tehnologija je bila mnogo drugačija prije 20-tak godina kada je donesena Direktiva 95/46/EC 24.10.1995. Danas, uz rasprostranjeno korištenje društvenih medija, aplikacija i Interneta općenito, lični podaci se dijele i prenose preko granica više nego ikad prije. Direktiva je bila ograničena i predstavljala je minimum pravnih standarda koje su članice Europske unije trebale unijeti u svoje nacionalne zakone o zaštiti podataka, pa je svaka članica izrađivala vlastite zakone. Nova Uredba riješila je ovaj problem. Kao Uredba, direktno nameće jedinstveni režim zakona sigurnosti podataka za sve članice EU. Nema potrebe za države članice da usvajaju zakonske propise, kako bi nova Uredba postala zakon u nekoj zemlji članici, jer nakon usvajanja GDPR postaje zakon u svakoj državi članici, pa će se time uskladiti zakoni o zaštiti podataka u svim zemljama članicama EU. (Za razliku od direktiva, uredbe stupaju na snagu bez potrebe za dodatnim glasanjem u parlamentima država članica, pa je primjena GDPR-a od navedenog datuma obavezna.) Uredba također stvara jasnoću za firme uspostavljanjem jednog Zakona u cijeloj EU, pa bi trebala pojednostaviti zakonodavni okvir i olakšati usklađivanje firmama koje posluju u više država članica. Novi Zakon korisnicima daje više nadzora nad korištenjem njihovih podataka, stvara povjerenje, pravnu sigurnost i pravednije tržišno takmičenje.
Uredba donosi mnogo novosti, između ostalog i sljedeće: Uredbom su ojačana prava nosioca podataka i obaveze onih koji obrađuju lične podatke. Uvode se nove i pojednostavljuju neke već postojeće definicije odnosno preciznije opisuju postojeći pojmovi, određuju biometrijski i genetski podaci, smanjuju i pojednostavljuju pojedine administrativne obaveze voditelja zbirke ličnih podataka, a ujedno i jačaju nadzorne ovlasti, kao i mogućnost izricanja kazni od strane tijela za zaštitu ličnih podataka.
Što se tiče samih građana, njima se omogućava lakši pristup njihovim podacima, mogu se informisati na jasan i razumljiv način o tome kako i u koju svrhu se obrađuju njihovi podaci. Uredbom se uvodi i „pravo na zaborav” odnosno mogućnost da ispitanik zatraži od preduzeća i organizacija brisanje svojih podataka kada ne bude htio da se njegovi lični podaci obrađuju, uz uslov da ne postoje zakoniti razlozi za njihovo zadržavanje. U slučaju povrede ličnih podataka voditelj obrade je dužan, bez nepotrebnog odgađanja, obavijestiti nadzorno tijelo o povredi ličnih podataka, osim ako nije vjerojatno da će povreda ličnih podataka prouzrokovati rizik za prava i slobode pojedinaca. Također se u određenim okolnostima uvodi i potreba obavještavanja nosioca podataka ukoliko je došlo do povrede njegovih ličnih podataka, a za određene kontrolore uvodi se i obaveza imenovanja službenika za zaštitu podataka. Uredba znatno pojačava prava građana i garantuje pravo na informiranost.
Mnoge odredbe koje sadrži GDPR i ranije su postojale na nacionalnom nivou, ali su sada objedinjene i pojačane i predstavljaju jedinstven okvir koji se primjenjuje u svim zemljama članicama EU.
Što se tiče kompanija, novo zakonodavstvo se ne odnosi na sve kompanije u istoj mjeri, što ovisi o njihovoj veličini i tipu podataka koje prikupljaju, te načinu kako ih koriste.Manje kompanije morat će samo štititi svoje podatke o klijentima u skladu "sa zdravim razumom", dok će kompanije koje prikupljaju velike količine podataka poput tehnoloških kompanija, maloprodajnih firmi, pružatelja zdravstvenih usluga, banaka, osiguravajućih društava i sl. morati smanjiti količine podataka koje koriste i tačno odrediti koji impodaci doista trebaju i kako ih zaštititi.
Važno je napomenuti da su djeca prepoznata kao osobito ranjiva skupina jer ne mogu adekvatno raspolagati sa svojim ličnim podacima, pošto često nisu svjesna opasnosti kojima se izlažu prilikom neopreznog upravljanja svojim ličnim podacima. Iz tog razloga djeca će moći koristiti određene internetske usluge i servise za koje je potrebno dati lične podatke isključivo uz pristanak roditelja.
Područje primjene
Opšta uredba o zaštiti podataka predstavlja novi vid zakonske zaštite ličnih podataka, a njene odredbe direktno se primjenjuju u svim državama članicama Europske unije od 25.05.2018.
Uredba se primjenjuje na voditelje obrade, tj. organizacije koje prikupljaju podatke EU građana, i na izvršioce obrade, tj. organizacije koje obrađuju podatke prema uputama voditelja obrade, poput pružalaca usluga u oblaku ako su predmet obrade podaci ispitanika (osoba) iz EU-a. Uredba se primjenjuje i na organizacije sa sjedištem izvan EU-a koje prikpuljaju lične podatke EU građana, odnosno na firme koje rukuju podacima EU-a, nevezano o državi u kojoj imaju poslovno sjedište.
GDPR ima vrlo širok obim. Tako prema članu 3., Uredba "se odnosi na obradu ličnih podataka u kontekstu aktivnosti uspostave kontrolora ili obrađivača u EU, bez obzira na to dali se obrada odvija u EU ili ne." Čak će i kompanije izvan EU biti predmet GDPR, ako te kompanije nude robu ili usluge, ili prate ponašanja stanovnika EU (trenutno se mogu locirati samo ako koriste opremu za obradu u EU).
Uredba se ne primjenjuje na obradu u svrhu državne sigurnosti ili tijela za izvršavanje zakonodavstva.
Ujednačeni propisi i jedinstveni mehanizam
U čitavoj Europskoj uniji primjenjivat će se isti, ujednačeni skup propisa. Svaka od država članica dužna je imenovati nezavisno nadzorno tijelo koje će obrađivati žalbe, izricati kazne itd. Nadzorna tijela dužna su sarađivati s tijelima u ostalim državama članicama, međusobno si pomažući i koordinirajući zajedničke regulatorne aktivnosti. Ako firma ima više poslovnih sjedišta diljem EU-a, dodijelit će joj se jedno nadzorno tijelo kao glavno, ovisno o mjestu "glavnog poslovnog sjedišta" gdje se odvijaju glavne aktivnosti obrade. Glavno nadzorno tijelo predstavljat će jedinstveni mehanizam tako što će nadzirati aktivnosti obrade firme diljem EU (čl. 46–55 GDPR-a). Europski odbor za zaštitu podataka (EDPB) koordinisati će rad nadzornih tijela, a zamijenit će Radnu skupinu za zaštitu podataka iz člana 29.
Postoje iznimke u vidu obrade podataka u kontekstu zaposlenja ili u svrhu nacionalne sigurnosti koje i dalje mogu podlijegati zasebnim propisima kod svake od država članica.(čl. 2. st. 2. i čl. 82. GDPR-a).
Integrisana zaštita podataka
Mjere tehničke i integrisane zaštite podataka (čl. 25.) propisuju primjenu zaštitnih mjera u sam postupak razvoja procedura, proizvoda i usluga. Treba od početka primijeniti visok nivo mjera za zaštitu privatnosti, a voditelj obrade mora osigurati da tehničke i proceduralne mjere budu dovoljne i u skladu s propisima za vrijeme cjelokupnog trajanja postupaka obrade. Voditelji obrade trebaju primijeniti mehanizme kojima bi se spriječila obrada ličnih podataka, osim ako je to potrebno za svaku od određenih svrha.
Izvještaj Agencije Europske unije za mrežnu i informacionu sigurnost objašnjava što je potrebno da se usvoje metode integrisane i tehničke zaštite podataka. U Izvještaju se navodi kako se aktivnosti enkripcije i dekripcije moraju odvijati lokalno, a ne na udaljenom poslužiocu, jer ključevi moraju biti u posjedu voditelja obrade ako je cilj zaštita privatnosti podataka. Također se navodi da je korištenje usluga za pohranu podataka, poput onih u oblaku, praktično i relativno sigurno u slučaju da samo vlasnik podataka, ali ne i pružalac usluge u oblaku, ima pristup ključevima za dekripciju.
Pravne osnove za obradu ličnih podataka
Obrada ličnih podataka obuhvata radnje poput prikupljanja, evidentisanja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja.
Podaci se ne smiju obrađivati osim ako za to postoji barem jedna od sljedećih pravnih osnova (čl. 6. st. 1.):
- Ispitanik je dao saglasnost za obradu podataka u jednu ili više posebnih svrha.
- Obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se preduzele radnje na zahtjev ispitanika prije sklapanja ugovora.
- Obrada je nužna radi poštivanja pravnih obaveza voditelja obrade.
- Obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili drugog fizičkog lica.
- Obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
- Obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili osnovna prava i slobode ispitanika koji zahtijevaju zaštitu ličnih podataka, osobito ako je ispitanik dijete.
Principi obrade podataka
- zakonitost, poštenost i transparentnost obrade: to znači da obrada podataka treba biti u skladu s određenim pravnim osnovom, da je pojedinac informisan o postupku obrade i njegovim svrhama, jer je voditelj obrade obavezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade, uzimajući u obzir posebne okolnosti i kontekst obrade ličnih podataka; ispitanik bi trebao biti informisan o postupku izrade profila i posljedicama takve izrade profila;
- ograničavanje svrhe: to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te da se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; moguća je daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili historijskog istraživanja ili u statističke svrhe;
- smanjenje količine podataka: to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
- tačnost: to znači da podaci moraju biti tačni i prema potrebi ažurni; mora se preduzeti svaka razumna mjera radi osiguravanja da se lični podaci koji nisu tačni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
- ograničenje pohrane: to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci obrađuju; na dulje periode, čuvanja su moguća samo ako će se lični podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili historijskog istraživanja ili u statističke svrhe uz sprovedbu primjerenih mjera zaštite propisanih Uredbom;
- cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajući nivo sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
- pouzdanost: to znači da je voditelj obrade odgovoran za poštovanje principa i da je teret dokaza na njemu.
Pojedini pojmovi iz Uredbe
GDPR donosi obimnije definicije pojmova važnih za privatnost.
Lični podaci su, prema definiciji iz Uredbe, "svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest lice koje se može identifikovati direktno ili indirektno, naročito uz pomoć identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca."
Dakle, jako je širok pojam što su lični podaci, no jednostavnije rečeno to su: ime i prezime, identifikacioni broj, slika, glas, adresa, broj telefona, IP adresa, historija bolesti, popis najdraže literature, ako takvi podaci mogu dovesti do direktnog ili indirektnog identificiranja pojedinca. Ističemo da i prije prikupljanja ličnih podataka, subjekt koji ih prikuplja, ima obavezu pružanja informacija u koju svrhu se podaci prikupljaju, na osnovu kojeg pravnog osnova, kome se podaci otkrivaju, te o pravu pojedinca da svojim podacima pristupi, da zahtijeva njihov ispravak ili eventualno brisanje.
Saglasnost ispitanika znači svako dobrovoljno, posebno, informisano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose.
Ako se kao pravna osnova koristi saglasnost, ona mora biti izričita za podatke koji su prikupljeni i svrhe u koje se koriste (čl. 7; definisano u čl. 4.). Prema članu 7., na teretu organizacije je da pokaže da su ljudi valjano pristali na obradu svojih podataka. Pristanak se mora dati "slobodnom voljom“. Član 7. dalje navodi: "Prilikom ocjene da li je saglasnost data slobodnom voljom, posebna pažnja će se posvetiti činjenici da li je, pored ostalog, primjena ugovora, uključujući odredbe o predmetu, uslovljena saglasnošću za obradu ličnih podataka, koja nije nužno vezana za sprovedbu ovog ugovora.“
Ovaj faktor je posebno snažan i biće zanimljivo vidjeti kakav će efekat imati. Interesantno je i to da slična vrsta ograničenja na uslovljavanje saglasnosti postoji u HIPAA, gdje ovlaštenje za mnoge namjene ne može biti zahtjevano kao uslov za primanje liječenja.
Saglasnost djece daje se od strane skrbnika ili roditelja djece, te mora biti provjerljiva. Poseban je član 8., koji propisuje da je roditeljska saglasnost potrebna za djecu do 16 godina, osim što države članice mogu imati nižu granicu za saglasnost roditelja, samo da nije niža od 13 godina. Voditelji obrade moraju moći dokazati saglasnost, a ispitanici je mogu povući.
Pseudonimizacija znači obradu ličnih podataka na način da se lični podaci više ne mogu pripisati određenom ispitaniku bez upotrebe dodatnih informacija, pod uslovom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacionim mjerama kako bi se osiguralo da se lični podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
GDPR pseudonimizaciju definiše kao postupak obrade podataka na način da se više ne mogu pripisati pojedinom ispitaniku bez korištenja dodatnih izvora podataka. Tu je i enkripcija, koja podatke čini nečitljivima za sve neovlaštena lica bez pristupa ključu za dekripciju. GDPR propisuje da se dodatni podaci (poput ključa za dekripciju) drže podalje od pseudonimiziranih podataka.
Još jedan od pristupa jest i tokenizacija, što je nematematički pristup obradi podataka u kojem se osjetljivi podaci zamjenjuju neosjetljivim zamjenama pod nazivom tokeni. Tokeni nemaju važnost niti vrijednost kao podaci. Njima se ne mijenja vrsta ili dužina podataka, što znači da ih mogu obrađivati sistemi kao baze podataka koje brinu o vrstama i dužini podataka. Tim se pristupom zahtijeva manje procesorskih resursa za obradu i zauzima manje mjesta za pohranu u bazama podataka u uporedbi s podacima enkriptiranim na tradicionalni način. To se omogućuje držanjem određenih podataka potpuno ili djelimično vidljivima za obradu i analitiku, dok se osjetljivi podaci skrivaju.
Pseduonimizacija se preporučuje kao metoda smanjenja rizika po ispitanike, ali i kao način da voditelji odnosno izvršioci obrade ispune svoje obaveze vezane za zaštitu podataka (Uvodna odredba 28.).
Iako GDPR potiče korištenje pseudonimizacije u svrhu smanjenja rizika po ispitanike, pseudonimizirani se podaci i dalje smatraju ličnima (Uvodna odredba br. 28.) i tako i dalje spadaju pod nadzor GDPR-a.
Obavijest o kršenju/povredi podataka - Povreda ličnih podataka znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ličnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
Prema GDPR-u, voditelj obrade dužan je o povredi obavijestiti nadzorno tijelo, osim ako je malo vjerojatno da bi povreda mogla negativno uticati na prava i slobode pojedinaca. Rok za prijavu povrede je 72 sata od saznanja o povredi. Ako povreda ima negativan uticaj na ispitanike, o tome ih se mora obavijestiti (čl. 33. i 34.).
Član 31. propisuje da je u roku od 72 sata (3 dana) od saznanja o povredi kontrolor dužan obavijestiti nadzorno tijelo. To je vrlo kratak vremenski rok i nije naročito praktičan. Na osnovu člana 32., nosioci podataka moraju biti "bez odlaganja" obaviješteni o povredi. „Povreda ličnih podataka“ definiše se kao "kršenje sigurnosti koje vodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, ličnih podataka koji se prenose, pohranjuju ili na drugi način obrađuju." Zanimljivo je da su pojedinačne obavijesti o povredi vezane za "visoki rizik".
Ispitanike nije potrebno obavijestiti o povredi ako je voditelj obrade preduzeo odgovarajuće tehničke i organizacione mjere zaštite podataka, naročito one koje lične podatke čine nerazumljivima bilo kom licu koje im nije ovlašteno pristupiti, kao što je enkripcija (čl. 34.).
Sistem pohrane znači svaki strukturisani skup ličnih podataka dostupnih prema posebnim kriterijumima, bilo da su centralizovani, decentralizovani ili raspršeni na funkcionalnoj ili geografskoj osnovi.
Uticaj Uredbe na građane/ispitanike
Opšta Uredba o zaštiti podataka uvodi i pojašnjava određena nova prava za ispitanike, te osigurava (osim u iznimnim situacijama) jednak nivo zaštite svakom pojedincu iz Europske unije, bez obzira na državu članicu nadležnu za postupanje u konkretnom slučaju. Voditelj obrade dužan je preduzeti odgovarajuće mjere kako bi se ispitaniku pružile sve informacije o aspektima obrade ličnih podataka, te o pravima ispitanika na pristup svojim podacima, brisanje podataka, ograničenje obrade, prenosivost podataka, upućivanje prigovora u vezi s automatizovanim pojedinačnim donošenjem odluka (što uključuje profilisanje). Navedene informacije trebaju se pružiti u sažetom, transparentnom, razumljivom i lako dostupnom obliku, naročito za svaku informaciju koja je namijenjena djetetu. Također, ako ispitanik uputi određeni zahtjev voditelju obrade za ostvarivanje svojih prava iz Opšte uredbe o zaštiti podataka, a voditelj obrade ne postupi po tom zahtjevu, tada voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvještava ispitanika o razlozima ne postupanja po zahtjevu i o mogućnosti podnošenja pritužbe nadzornom tijelu, te traženja pravnog lijeka.
Pojedina prava građana/ispitanika
- transparentnost (čl. 12-14): pružanje informacija prilikom prikupljanja podataka kada voditelj obrade mora među ostalim informacijama obavijestiti ispitanika i o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primaocima, iznošenju u treće zemlje, periodu pohrane, mogućnosti povlačenja saglasnosti, itd.;
- pravo pristupa podacima (čl. 15) pripada ispitanicima. To im pravo omogućuje pristup ličnim podacima i podacima o načinu njihove obrade. Voditelj obrade dužan je na zahtjev pružiti pregled kategorija podataka koji se obrađuju kao i kopiju stvarnih podataka. Nadalje, voditelj obrade ispitanika mora obavijestiti o detaljima obrade poput svrhe obrade, eventualnim primateljima podataka i načinu na koji je voditelj stekao te podatke;
- pravo na ispravak (čl. 16): ispitanik ima pravo zahtijevati ispravak netačnih ličnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune lične podatke, među ostalim i davanjem dodatne izjave;
- brisanje („pravo na zaborav“) (čl. 17): ispitanik ima pravo od voditelja obrade ishoditi brisanje ličnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako, među ostalim, lični podaci više nisu neophodni u odnosu na svrhu obrade. Ovo pravo ima ograničenja pa tako npr. političar ne može zatražiti brisanje informacija o sebi koje su date u okviru političkog djelovanja.
Pravo na zaborav zamijenjeno je ograničenijim pravom na zaborav u inačici GDPR-a koju je usvojio Europski parlament u martu 2014. U čl. 17. navodi se da ispitanik ima pravo zatražiti brisanje ličnih podataka koje ga se tiču prema jednom od osnova, uključujući nepridržavanje principa zakonite obrade (čl. 6. st. 1.), što uključuje slučajeve u kojima su interesi ili osnovna prava i slobode ispitanika koji zahtijevaju zaštitu ličnih podataka, naročito ako je ispitanik dijete, snažniji od interesa voditelja obrade.
Član 17. izričito propisuje pravo na zaborav. Podaci moraju biti izbrisani "bez odlaganja", ako više nisu potrebni ili ako je saglasnost povučena;
- pravo na ograničenje obrade (čl. 18): u pojedinim situacijama npr. kada je tačnost podataka osporavana ispitanik ima pravo zahtijevati da se obrada njegovih ličnih podataka ograniči uz iznimku pohrane i nekih drugih vrsta obrade.
- pravo na prenosivost (čl. 20): ispitanik ima pravo zaprimiti svoje lične podatke, a koje je prethodno pružio voditelju obrade, u strukturisanom obliku, te u uobičajeno upotrebljavanom i strojno čitljivom formatu, te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su lični podaci pruženi, ako se obrada sprovodi automatizovanim putem i zasniva na saglasnosti ili ugovoru.
Ispitanici također imaju pravo prenijeti lične podatke iz jednog sistema elektronske obrade u drugi, bez da ih u tome sputava voditelj obrade. Ovim pravom nisu obuhvaćeni dovoljno anonimizovani podaci, ali i podaci koji ne sadrže identifikatore, ali pomoću kojih se pojedinca može identifikovati uz dodatne podatke, obuhvaćeni su pravom. Pravo obuhvaća podatke koje je ispitanik 'dao' i podatke koji su nastali 'praćenjem', poput ponašanja ispitanika. Nadalje, voditelj obrade podatke mora pružiti u strukturisanom, uobičajeno korištenom formatu (čl. 20.). Pravni stručnjaci u konačnoj inačici GDPR-a vide "novo pravo" koje "seže i preko običnog prava na prenosivost podataka između dva voditelja obrade kako je navedeno u članu 20";
- pravo na prigovor (čl. 21): ispitanik ima pravo uložiti prigovor na obradu ličnih podataka ako se ista zasniva na zadaćama od javnog interesa, na izvršavanje službenih ovlasti voditelja obrade ili na legitimne interese voditelja obrade (uključujući i profilisanje), tada voditelj obrade ne smije više obrađivati lične podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika, te radi zaštite pravnih zahtjeva, također ako se ispitanik protivi obradi za potrebe direktnog marketinga, lični podaci više se ne smiju obrađivati;
- pravo usprotiviti se donošenju automatizovanih pojedinačnih odluka (profilisanje) (čl. 22): ispitanik ima pravo da se na njega ne odnosi odluka koja se zasniva isključivo na automatizovanoj obradi, uključujući izradu profila, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno na njega utiču, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka, ako je dopuštena pravom EU-a ili nacionalnim pravom kojim se propisuju odgovarajuće mjere zaštite prava i sloboda, te legitimnih interesa ispitanika ili zasnovana na izričitoj saglasnosti ispitanika.
Kriterijumi za ograničenje prava građana/ispitanika (čl. 23)
Zaštita ličnih podataka nije apsolutno pravo već pravo koje se treba balansirati s drugim pravima. Stoga, Opšta uredba o zaštiti podataka pruža mehanizam za uvažavanje i balansiranje između prava na zaštitu podataka i drugih prava.
Na taj način, na osnovu prava EU-a ili nacionalnog prava voditelj ili izvršilac obrade mogu ograničiti obim prava ispitanika, ako se takvim ograničenjem poštuje bit osnovnih prava i sloboda, te ono predstavlja neophodnu i razmjernu mjeru u demokratskom društvu za zaštitu značajnih vrijednosti poput nacionalne sigurnosti, odbrane, javne sigurnosti, drugih važnih ciljeva od opšteg javnog interesa EU, zaštite nezavisnosti pravosuđa itd.
Svaka takva zakonodavna mjera sadrži posebne odredbe o svrhama obrade ili kategorijama obrade, kategorijama ličnih podataka, obimu uvedenih ograničenja, zaštitnim mjerama za sprječavanje zloupotrebe i drugim aspektima kako bi se zaštitila prava pojedinaca.
Obaveze voditelja obrade (čl. 24)
- Voditelj obrade mora, uzimajući u obzir prirodu, obim, kontekst i svrhe obrade, te njezinu rizičnost, preduzeti odgovarajuće tehničke i organizacione mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Opštom uredbom o zaštiti podataka.
Tehnička i integrisana zaštita podataka (Data protection by design and by default) (čl. 25)
- Voditelj obrade mora, uzimajući u obzir okolnosti konkretne situacije, u vrijeme određivanja sredstava obrade i u vrijeme same obrade provoditi odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje efikasne primjene principa zaštite podataka.
- Voditelj obrade je ujedno dužan sprovoditi odgovarajuće tehničke i organizacione mjere kojima se osigurava da integrisanim načinom budu obrađeni samo lični podaci koji su neophodni za svaku posebnu svrhu obrade.
Obaveze izvršioca obrade (čl. 28)
- Ako voditelj obrade angažuje izvršioca obrade, tada izvršilac obrade sprovodi obradu u ime voditelja obrade. Pri tome, voditelj obrade može angažovati jedino izvršioce obrade koji, u dovoljnoj mjeri, garantuju sprovedbu odgovarajućih tehničkih i organizacionih mjera na način da je obrada u skladu s Opštom uredbom o zaštiti podataka. Izvršilac obrade ne smije angažovati drugog izvršioca obrade bez prethodnog posebnog ili opšteg pisanog odobrenja voditelja obrade.
- Obrada koju sprovodi izvršilac obrade uređuje se pravnim aktom, kojim se izvršioca obrade obavezuje prema voditelju obrade, te se u njemu moraju navesti predmet i trajanje obrade, priroda i svrha obrade, vrsta ličnih podataka i kategorija ispitanika, te obaveze i prava voditelja obrade. Tim se pravnim aktom naročito određuje da izvršilac obrade mora, među ostalim, postupati prema uputama voditelja obrade, da su fizička lica koja obrađuju lične podatke dužna čuvati povjerljivost istih, da će postupiti u skladu s odredbama Opšte uredbe o zaštiti podataka koje se odnose na sigurnost obrade, itd.
Evidencije o aktivnostima obrade (čl. 30)
- Prema trenutno važećem zakonodavstvu u BiH, osim u iznimnim slučajevima, voditelj obrade je dužan Agenciji za zaštitu ličnih podataka dostaviti evidenciju o zbirkama ličnih podataka. Navedena obaveza je administrativni teret koji nestaje stupanjem na snagu Opšte uredbe o zaštiti podataka.
- Opšta uredba o zaštiti podataka propisuje obavezu voditelja obrade koji (1) zapošljava više od 250 radnika ili (2) voditelja obrade čija obrada predstavlja vjerojatan rizik za prava i slobode ispitanika (ali samo u slučaju ako obrada nije povremena), te (3) voditelja obrade koji obrađuje posebne kategorije ličnih podataka ili podataka o kaznenim djelima ili osudama, da vodi i da nadzornom tijelu na zahtjev preda evidenciju o aktivnostima obrade koja sadržava sve bitne elemente obrade, poput identiteta voditelja s kontakt podacima, svrhu obrade, opis ispitanika i ličnih podataka, primaoce podataka, prenose podataka u treće zemlje, predviđene rokove čuvanja podataka, itd.
Evidencija o aktivnostima obrade mora se voditi, a treba uključivati svrhu obrade, kategorije podataka koje se obrađuju i procijenjene vremenske rokove trajanja obrade i držanja podataka. Zapisi se na zahtjev trebaju pružiti nadzornome tijelu (čl. 30.).
Sigurnost obrade (čl. 32)
- Uzimajući u obzir okolnosti konkretnog slučaja, voditelj obrade i izvršilac obrade sprovode odgovarajuće tehničke i organizacione mjere kako bi osigurali odgovarajuć nivo sigurnosti s obzirom na rizik, uključujući prema potrebi: (1) pseudonimizaciju i enkripciju ličnih podataka, (2) osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sistema i usluga obrade, (3) sposobnost blagovremene ponovne uspostave dostupnosti ličnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta, te (4) redovno testiranje tehničkih i organizacionih mjera za osiguravanje sigurnosti obrade.
Izvještavanje o povredi ličnih podataka (data breach) (čl. 33 i 34)
- Ako je vjerojatno da će povreda ličnih podataka prouzrokovati rizik za prava i slobode ispitanika, voditelj obrade mora izvijestiti, bez odgađanja, nadzorno tijelo o povredi ličnih podataka (najkasnije u roku od 72 sata od saznanja o povredi). Navedeno izvještavanje treba sadržavati opis povrede uz informacije o ispitanicima i ličnim podacima, opis vjerovatnih posljedica povrede, opis mjera koje su preduzete ili predložene za rješavanje povrede, te kontakt tačku voditelja.
- Također, ako je vjerojatno da će povreda prouzrokovati visok rizik za prava i slobode ispitanika, voditelj obrade je dužan informisati ispitanike o povredi ličnih podataka koristeći se jasnim i jednostavnim jezikom. Iznimno, neće biti potrebno ako je voditelj obrade primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje povrijeđenih ličnih podataka, preduzeo naknadne mjere zaštite zbog kojih nije vjerovatan visok rizik ili ako je kontaktiranje svakog ispitanika predstavljalo nerazmjeran napor, pri čemu je onda neophodno ispitanike obavijestiti sredstvima javnog saopćavanja ili na drugi djelotvoran način.
Procjena efekta (Data protection impact assessment) i prethodno savjetovanje (čl.35 i 36)
- Opšta uredba o zaštiti podataka polazi od rizičnosti i na osnovu iste propisuje različite obaveze za voditelja i izvršioca obrade. Tako, ako je vjerojatno da će neka vrsta obrade prouzrokovati visok rizik za prava i slobode ispitanika, tada je voditelj obrade dužan sprovesti procjenu efekta. Provođenje procjene efekta je neophodno ako se sistemski i obimno procjenjuju lični aspekti pojedinaca na osnovu automatske obrade (profilisanje), ako se obimno obrađuju posebne kategorije ličnih podataka ili podaci o kaznenim djelima ili osudama (tu ne spada obrada doznaka o bolovanju od strane poslodavaca ili rad liječnika ili advokata pojedinaca), te ako se sistemski prati javno dostupno područje u velikoj mjeri (npr. video nadzor ulica).
- Procjena efekta treba sadržavati opis postupaka obrade i njezine svrhe, procjenu nužnosti i proporcionalnosti, procjenu rizičnosti, te opis mjera kojima se umanjuje rizičnost obrade.
- Ako se procjenom učinka na zaštitu podataka pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika, tada je voditelj obrade dužan kontaktirati nadzorno tijelo i dostaviti mu, među ostalima, informacije o svrsi i sredstvima obrade, zaštitnim mjerama, sprovedenoj procjeni efekta itd.
Službenik za zaštitu ličnih podataka (čl. 37)
- Za razliku od trenutno važećeg zakonodavstva u BiH, Opšta uredba o zaštiti podataka ima pristup kojim se želi poboljšati efektivnost zaštite podataka na način da se posebno nadziru rizične obrade. Važna karika u tom segmentu je službenik za zaštitu ličnih podataka koji će voditelj obrade i izvršilac obrade morati imenovati kada (1) obradu provodi tijelo javne vlasti ili javno tijelo, (2) osnovna djelatnost se sastoji od postupaka obrade koji iziskuju redovno i sistematsko praćenje ispitanika u velikoj mjeri, te (3) osnovna djelatnost se sastoji od obimne obrade posebnih kategorija ličnih podataka ili podataka o kažnjivim djelima.
- Grupa poduzetnika može imenovati zajedničkog službenika, pod uslovom da je lako dostupan iz svakog poslovnog sjedišta, a to uključuje i službenika za zaštitu podataka iz druge države članice EU uz posebne uslove kao što su poznavanje jezika ispitanika. Imenovanje mora biti zasnovano na stručnim kvalifikacijama, naročito stručnog znanja o pravu i praksi iz područja zaštite ličnih podataka, te sposobnostima izvršavanja zadaća.
- Službenik ne mora biti zaposlenik voditelja ili izvršioca obrade, dovoljno je da bude angažovan na osnovu ugovora o djelu. Službenik za zaštitu podataka ne smije biti u sukobu interesa (npr. biti zadužen za nadzor IT sistema i s druge strane biti službenik za zaštitu podataka).
- Službenik za zaštitu podataka, među ostalim, mora informisati i savjetovati voditelja ili izvršioca obrade o obavezama iz područja zaštite podataka, pratiti poštovanje propisa o zaštiti podataka, učestvovati u procjeni efekta i prethodnom savjetovanju, te sarađivati s nadzornim tijelom.
Ako obradu vrši javno tijelo, osim sudova ili nezavisnih sudskih tijela, ako djeluju u sudskoj nadležnosti ili ako se osnovne djelatnosti voditelja obrade u privatnom sektoru sastoje od postupaka obrade koji zbog svoje prirode, obima i/ili svrhe iziskuju redovno i sistemsko praćenje ispitanika u velikoj mjeri, odnosno ako aktivnosti obrade uključuju obimnu obradu posebnih kategorija podataka, potrebno je imenovati stručno lice sa znanjima u području zaštite podataka koja će pomoći voditelju ili izvršiocu obrade nadzirati usklađenost s mjerama iz GDPR-a. Član 37. navodi zadatke Službenika za zaštitu podataka, što je slično zadacima i ulozi glavnog Šefa za privatnost (CPO), kako ih nazivaju u SAD-u. Ovi zadaci su standardni, ali uloga CPO će sada imati naglašenu važnost obzirom na znatno veće uloge koje GDPR nameće. Član 35. nameće postavljanje CPO i u javnom sektoru (osim sudova), kao i za Velike podatke (Big Data).
Od službenika za zaštitu podataka očekuje se stručnost u upravljanju IT procesima, sigurnost podataka (uključujući odgovor na cybernapade) i ostalim kritičnim pitanjima koja se tiču pohrane i obrade ličnih i osjetljivih podataka. Potrebni nivo znanja širi je od samog razumijevanja zakonskih propisa.
GDPR također zahtijeva obučavanje. Prema članu 37. GDPR-a, među zadacima službenika za zaštitu podataka uključeno je i „podizanje svijesti i obuka osoblja uključenog u operacije obrade." Prema članu 43., u vezi s obavezujućim korporativnim pravilima (Binding Corporate Rules BCR) GDPR traži "odgovarajuću obuku o zaštiti podataka osoblja koje imaju trajan ili redovan pristup ličnim podacima." Obuka je zahtjev u skladu s GDPR-om. Kvaliteta obuke organizacije je ključna, jer će EU regulatori procijeniti sveukupnu opredijeljenost za zaštitu podataka kompanije.
Više podataka o pojedinostima i funkciji službenika za zaštitu podataka dati su 13.12.2016. (revirdirano 05.04.2017.) u dokumentu smjernica izdatom od strane Radne skupineiz čl. 29.
Odgovornost i transparentnost
Povećavaju se obaveze koje se tiču izvješteavanja. Sada uključuju i vrijeme zadržavanja ličnih podataka, te kontakt podatke voditelja obrade i službenika za zaštitu ličnih podataka.
Službenici za zaštitu ličnih podataka moraju se imenovati u slučajevima:
- ako se radi o javnim tijelima, osim sudova koji djeluju u sudskom svojstvu
- ako su glavne poslovne aktivnosti voditelja ili izvršioca obrade kako slijedi:
- aktivnosti obrade koje po svojoj prirodi, obimu ili svrsi zahtijevaju redovni ili sistemski nadzor nad ispitanicima u velikoj mjeri
- aktivnosti obrade posebnih kategorija podataka u velikoj mjeri prema čl. 9., kao i kategorija ličnih podataka koje se tiču osuda ili dosjea prema čl. 10.
Službenici za zaštitu ličnih podataka (čl. 37.-39.) dužni su brinuti za usklađenost unutar organizacija u kojima djeluju.
Prenos ličnih podataka u treće zemlje
Lični podaci mogu se prenositi iz Europske unije u treću državu jedino u skladu s odredbama Opšte uredbe o zaštiti podataka. Lični podaci mogu se prenositi u treće zemlje za koje je izdata odluka o primjerenosti (prenosi na osnovu odluke o primjerenosti). Odluku o primjerenosti izdaje Europska komisija nakon savjetovanja s državama članicama EU, a zasniva se na ocjeni vladavine prava, poštovanju ljudskih prava, relevantnom zakonodavstvu, postojanju nezavisnog nadzornog tijela, te međunarodnim obavezama treće zemlje. Europska komisija sastavlja i javno objavljuje popis trećih zemalja koje pružaju primjeren nivo zaštite ličnih podataka i u koje se lični podaci mogu iznositi bez daljnjih ograničenja.
U određenim slučajevima postoji potreba iznošenja ličnih podataka u treće zemlje koje ne pružaju primjeren nivo zaštite, tada je potrebno dodatnim zaštitnim mjerama osigurati visok nivo zaštite ličnih podataka. Instrumenti na osnovu kojih je moguće iznositi lične podatke u takve treće zemlje taksativno su navedeni u Opštoj uredbi o zaštiti podataka, a ti instrumenti su pravno obavezujući instrumenti između javnih tijela, obavezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certifikovanja, ugovorne klauzule, te odredbe iz administrativnih dogovora. Opšta uredba o zaštiti podataka detaljno propisuje visoke standarde koje moraju zadovoljiti ovakvi instrumenti kako bi se osigurala jednakovrijedna zaštita ličnih podataka i u trećim zemljama.
Iznimno, u posebnim situacijama i ako prenosi podataka nisu redovnog tipa, moguće je prenositi lične podatke u treće zemlje uz saglasnost ispitanika, ako je bio prethodno obaviješten o rizicima prenosa, ako je prenos nužan za sklapanje ili izvršenje ugovora sklopljenog s ispitanikom ili u njegovom interesu, ako je prenos nužan iz važnih razloga javnog interesa ili za pravne zahtjeve, ako je nužan za zaštitu ključnih interesa ispitanika, a on ne može dati svoju saglasnost, te ako se prenos obavlja iz registra javnih tijela u skladu sa posebnim propisima.
Svrhe u koje kompanije najčešće koriste lične podatke (čl. 44 -49)
Firme koriste lične podatke kako bi maksimizirale svoj profit, jer je to i glavni cilj svih ekonomskih subjekata. U prvom redu možemo reći da je tu logična potreba vezana uz isporuku određene robe/usluge da se raspolaže kontaktom kupca, kao što je e-mail, telefon ili adresa. Ovdje je također potreba firmi da kontinuisano nude svoje proizvode postojećim, ali i novim potencijalnim kupcima pa obrađuju lične podatke u marketinške svrhe, a u tom slučaju pojedinci uvijek mogu zahtijevati od firme prestanak takve obrade ličnih podataka. Nadalje, ponekad firme obrađuju lične podatke na način da prikupljanjem više podataka prate ponašanje i kupovne navike pojedinaca i tako prilagode svoje poslovne aktivnosti potrebama tržišta.
Pored navedenog, firme obrađuju lične podatke svojih zaposlenika, što je uređeno i propisima o radu kao posebnim propisima, ali i dobavljača ako su oni fizička lica.
Sankcionisanje povreda Opšte uredbe o zaštiti podataka (čl. 83)
Prema odredbama Uredbe svaka povreda će se sankcionisati novčanim upravnim kaznama koje će se izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja, itd. Iznimno, ako je riječ o manjoj povredi fizičkog lica i ako bi upravna novčana kazna bila nesrazmjerna, ista se neće izricati, nego će se izreći upozorenje.
Postoje dva seta kršenja, za neka kršenja (obaveze voditelja i izvršioca obrade, te certifikacionog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 miliona eura ili 2% godišnjeg prometa na svjetskoj razini, a za druga kršenja (principi obrade, prava ispitanika, prenosi u treće zemlje, obaveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 miliona eura ili 4% godišnjeg prometa na svjetskom nivou, ovisno o tome šta je veće. Prilikom izricanja novčanih upravnih kazni vodiće se računa da je takva sankcija efikasna, razmjerna i odvraćajuća, a za određivanje iznosa konkretne novčane upravne kazne morat će se uzeti u obzir jedanaest kriterijuma poput prirode, težine i trajanje kršenja, vrste krivnje, mjere ublažavanja štete, prijašnja kršenja, tehničke i organizacione mjere primijenjene u obradi podataka, itd.
Nadzorna tijela mogu izreći sankcije kako slijedi:
- pismeno upozorenje u slučaju nenamjernog prekršaja (za prvi prekršaj)
- redovne revizije i preglede mjera zaštite podataka
- administrativne kazne u iznosu do 10 miliona eura ili do 2 % ukupnog godišnjeg prometa na svjetskom nivou za prethodnu godinu u slučaju poduzetnika, šta god je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 4.):
- obaveza voditelja obrade i izvršioca obrade u skladu s članovima 8., 11., od 25. do 39., te 42. i 43.;
- obaveza certifikacionog tijela u skladu s članovima 42. i 43.;
- obaveza tijela za praćenje u skladu s članom 41. stav 4.;
- administrativne kazne u iznosu do 20 miliona eura ili do 4 % ukupnog godišnjeg prometa na svjetskom nivou za prethodnu godinu u slučaju poduzetnika, šta god je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 5. i 6):
- osnovnih principa za obradu, što uključuje uslove saglasnosti u skladu s članovima 5., 6., 7. i 9.;
- prava ispitanika u skladu s članovima od 12. do 22.;
- prenosa ličnih podataka primaoca u trećoj zemlji ili međunarodnoj organizaciji u skladu s članovima od 44. do 49.;
- svih obaveza u skladu s pravom države članice EU donesenim na osnovu poglavlja IX.;
- nepoštovanja naredbe ili privremenog ili trajnog ograničenja obrade ili suspenzije protoka podataka nadzornog tijela u skladu s članom 58. stav 2. ili uskraćivanje pristupa kršenjem člana 58. stav 1.
Europski odbor za zaštitu podataka (EDPB) (čl. 68 -70)
EDPB je novo tijelo Europske unije koje se sastoji od čelnika nadzornih tijela svake države članice i Europskog nadzornika za zaštitu podataka. Zadaća Europskog odbora za zaštitu podataka je osiguravanje dosljedne primjene Opšte uredbe o zaštiti podataka u cijeloj Europskoj uniji, što uključuje rješavanje povodom sporova između nadzornih tijela različitih država članica EU, te izdavanje preporuka, smjernica i primjera najbolje prakse u vezi s područjem primjene Opšte uredbe o zaštiti podataka. Pojedine odluke Europskog odbora za zaštitu podataka mogu biti pravno obavezujuće.
Izuzeća od Uredbe
Slučajevi koji slijede nisu pokriveni Uredbom:
- zakonito presretanje podataka, državna sigurnost, vojska, policija, pravosuđe
- obrada u statističke i naučne svrhe (u nekim slučajevima)
- podaci umrlih (za njih važe nacionalni propisi)
- odnosi između poslodavaca i zaposlenika regulišu se dodatnim zakonima
- obrada ličnih podataka od strane fizičkog lica u osnovne svrhe ili za potrebe kućanstva
Kada je u pitanju uticaj Opšte uredbe na građane BiH i domaće kontrolore ličnih podataka koji posluju na teritoriji EU, želimo istaknuti da će sama Uredba imati određeni uticaj na iste nezavisno od usklađivanja domaćeg zakonodavstva.
Prema članu 3. Uredbe proizlazi da će se ista primjenjivati na obradu ličnih podataka u okviru aktivnosti poslovnih subjekata sa sjedištem u Uniji nezavisno od toga da li se obrada ličnih podataka vrši u Uniji ili ne. Znači, ukoliko kontrolor podataka sa sjedištem u Uniji ima poslovne ogranke i u BiH ili na bilo koji način pruža usluge građanima u BiH, onda će se ovi propisi primjenjivati i na građane BiH.
S druge strane, prema istom članu Uredbe (stav 2.), firme iz Bosne i Hercegovine koje posluju na prostoru Unije ili nude robe ili usluge građanima Unije, dužne su primjenjivati Uredbu.
Dakle, i u uslovima da domaće zakonodavstvo ne bude usklađeno sa europskim, novi propisi zaštite ličnih podataka, pod određenim uslovima, primjenjivaće se, kako na građane BiH, tako i na domaće kontrolore ukoliko posluju sa Unijom. Ne možemo u ovom trenutku predvidjeti u kojoj mjeri će se Uredba reflektovati na rad pojedinih institucija i poslovnih subjekata, obzirom da je riječ o širokoj obradi ličnih podataka u različite svrhe, te je potrebno naći rješenje da takva obrada bude usaglašena i sa EU standardima i sa trenutnim zakonodavstvom važećim u Bosni i Hercegovini.
Bosna i Hercegovina je Sporazumom o stabilizaciji i pridruživanju preuzela obavezu usklađivanja domaćeg zakonodavstva sa pravnom stečevinom Europske unije (za što je krajnji rok 01.06.2021.), tako da se navedena obaveza odnosi i na usklađivanje Zakona o zaštiti ličnih podataka sa novim zakonodastvom EU o zaštiti ličnih podataka.