Zakon o zaštiti podataka o ličnosti se u Srbiji primenjuje od 20. avgusta ove godine. Ovaj zakon kreiran je po uzoru na Opštu regulativu o zaštiti podataka- GDPR, koja se primenjuje u celoj Evropskoj uniji još od maja 2018. godine. U samoj primeni odnosno tome ko podleže ovom zakonu i kako ga se pridržavati bilo je dosta nedoumica. Neke od njih, pogotovo kada je poslovanje kompanija u pitanju, pokušali smo da razjasnimo u razgovoru sa pravnicom Tijanom Žunić Marić.

„Jedan deo kompanija u Srbiji morao je da se uskladi sa GDPR-om od početka njegove primene u Evropskoj uniji, jer ova uredba ima ekstoritorijalno dejstvo, znači može da se primeni i na one kompanije koje posluju na tržištu Evropske unije ili imaju klijente u zemljama Evropske unije. Mnoge kompanije u Srbiji su se radovale što ne moraju da se usklade sa tako visokim evropskim standardima, međutim sada kada je Zakon o zaštiti podataka o ličnosti stupio na snagu i počeo da se primenjuje, više ni jedna kompanija nije izuzeta“, kaže Tijana Žunić Marić za portal Energynews.

„Svaka kompanija u Srbiji obrađuje podatke. Naravno, veću obavezu imaju one koje su u direktnom kontaktu sa potrošačima, naročito one u digitalnoj sferi, kao što su, recimo elektronske prodavnice. Veoma je značajna obrada podataka kod banaka, kod osiguravajućih društava, hotela, čitavog niza privrednih subjekata. Ali, čak i oni koji ne dolaze u direktan odnos sa fizičkim licima, potrošačima, oni takođe obrađuju podatke svojih zaposlenih, svojih kandidata, trećih lica kod svojih poslovnih partnera. Dakle, ni oni čak nisu izuzete od procesa usklađivanja sa ovim zakonom”, objašnjava Tijana Žunić Marić.

U fokusu javnosti su uvek najveće kazne koje dobijaju velike kompanije.

„Mediji vole da prate velike kazne, pa je jedno vreme vodio Google sa 50 miliona. Sa druge strane, imali smo, nedavno Marriott i British Airways koji su takođe kažnjeni sa ciframa koje su išle preko 100 miliona evra. Međutim, nisu samo velike kompanije kažnjene. Imamo niz slučajeva možda koji nisu toliko medijski propraćeni, jedan od njih je na primer kebab restoran ili manji hotel ili čak opomena izreknuta advokatskoj kanceliariji. Tu govorimo o ciframa između 10 i 20 hiljada evra”, objašnjava Tijana Žunić Marić i dodaje: „ Ono što je najčešći slučaj jeste da same mere bezbednosti i zaštite podataka nisu bile sprovedene kako treba, odnosno baze podataka su bile dostupne trećim licima, negde u digitalnoj sredini.

U fokus Zakona o zaštiti podataka o ličnosti ulaze i elektronske prodavnice.

„Svaka elektronska prodavnica će takođe morati da vodi računa da je prema novom zakonu sada obavezno da imaju ugovor, odnosno aneks sa svim svojim obrađivačima podataka o ličnosti. Svako ko ima sajt, a pre svega elektronske prodavnice zato što one uglavnom prate ponašanje svojih korisnika i kupaca, moraju sada da se usklade sa ovim pravilima  i da kažu korisnicima odnosno potrošačima koje sve kolačiće koriste, u koju svrhu, kako oni mogu da se podese, da se isključe, koliko traju i tako dalje”, kaže naša sagvornica.

Ono što je kompanije u Srbiji posebno zanimalo je video nadzor, kog ovaj zakon ne reguliše izričito, ali se u ovom slučaju prikupljanja podataka itekako primenjuje.

„Ne možete nekoga da pratite kroz video nadzor da biste pratili njegovu efikasnost rada. Dakle, to nije svrha koja je opravdana. Ali, recimo, bezbednost imovine i bezbednost ljudi može da se opravda kao svrha uvođenja video nadzora. Video nadzor je bio i kamen spoticanja prilikom samog donošenja zakona jer imamo čitav niz ilegalnih ponašanja u svakodnevnim primerima gde ljudi uvode video nadzore i u stambene zgrade bez bilo kakve odluke drugih stanara ili na drugim mestima”, objašnjava Tijana Žunić Marić. „Čak i kada imate pravni osnov za uvođenje video nadzora, vi morate da ga podesite na taj način, da minimalno prikupljate podataka. Dakle, ne možete da podesite video nadzor na ulaz, a onda tako da snimate i drugu ulicu i drugu zgradu i sve ono što vam suštinski nije potrebno za tu svrhu”.

Kazne koje domaći zakon predviđa nisu tako velike kao u slučaju Evropske unije, ali naša sagovornica kaže da nije samo novčana kazna ono što će kompanije motivisati da u svom poslovanju poštuju Zakon o zaštiti podataka o ličnosti.

„Kazne kod nas su dosta manje u poređenju sa zemljama Evropske unije, govorimo o iznosima do dva miliona dinara u odnosu na dvadeset miliona evra ili 4 odsto godišnjeg profita, koliko je propisano GDPR-om. Međutim, reputacioni rizik je nešto o čemu će sve kompanije morati da vode računa, pogotovo one koja imaju svoja predstavništva i klijente u Evropskoj uniji, što će verovatno biti i glavni motivator da se usklade sa ovim zakonom."

A. P.