GDPR se često pominje kao da automatski važi za svakoga ko ima sajt. Među preduzetnicima u Srbiji to stvara dve suprotne greške: jedni misle da ih se uopšte ne tiče jer Srbija nije u EU, a drugi paniče i uvode pravila koja im možda ne trebaju.
Istina je preciznija od oba. GDPR može da obavezuje firmu iz Srbije ali samo pod tačno određenim uslovima. U ovom tekstu objašnjavamo šta je GDPR i kada se zaista primenjuje na firmu koja posluje iz Srbije, oslanjajući se na sam tekst Uredbe.
Šta je GDPR?
GDPR je Opšta uredba o zaštiti podataka, Uredba (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. godine. Njome se uređuje zaštita fizičkih lica u odnosu na obradu podataka o ličnosti i slobodno kretanje takvih podataka unutar Evropske unije.
Predmet Uredbe su pravila o zaštiti fizičkih lica prilikom obrade njihovih podataka o ličnosti i o slobodnom kretanju tih podataka. Cilj joj je da zaštiti osnovna prava i slobode fizičkih lica, a posebno njihovo pravo na zaštitu podataka o ličnosti.
Dva ključna pojma koja se provlače kroz ceo propis:
- Rukovalac – lice (fizičko ili pravno, organ, telo) koje samo ili sa drugima određuje svrhe i sredstva obrade podataka.
- Obrađivač – lice koje obrađuje podatke u ime rukovaoca.
U praksi, vlasnik sajta ili online biznisa najčešće je rukovalac za podatke koje prikuplja od svojih korisnika.
Da li GDPR važi za firme u Srbiji?
Kratko: ne automatski, ali da u određenim slučajevima. Srbija nije članica EU, pa se GDPR na firmu iz Srbije ne primenjuje samo zato što ona obrađuje podatke. Primenjuje se ako su ispunjeni uslovi iz teritorijalnog polja primene Uredbe (član 3 GDPR), o kojima govorimo u nastavku.
Drugim rečima, nije bitno samo gde ste, nego i koga opslužujete i šta radite sa njihovim podacima.
Kada GDPR obavezuje firmu bez sedišta u EU?
Član 3 GDPR uređuje teritorijalnu primenu kroz nekoliko situacija. Za firmu iz Srbije (dakle bez sedišta u EU) presudan je stav 2 tog člana.
GDPR se primenjuje na firmu koja nema sedište u EU, kada obrađuje podatke lica koja se nalaze u EU, ako su aktivnosti obrade povezane sa:
- nuđenjem robe ili usluga takvim licima u EU bez obzira na to da li lice treba da plati; ili
- praćenjem njihovog ponašanja, pod uslovom da se to ponašanje odvija unutar EU.
Dakle, dva su okidača: prodajete (ili nudite) ljudima u EU, ili pratite ponašanje ljudi u EU. Razložimo svaki jer detalj je važan.
Šta znači „nuđenje robe ili usluga“ licima u EU?
Ovde GDPR ne ostavlja prostora za olako tumačenje, ali ni za paniku. Sama činjenica da je vaš sajt dostupan iz EU, ili da imate imejl adresu kao kontakt, nije dovoljna da bi se smatralo da nudite robu ili usluge licima u EU.
Ono što ukazuje na nameru da nudite licima u EU jesu konkretni faktori, na primer:
- korišćenje jezika ili valute koji se uobičajeno koriste u nekoj državi članici EU, uz mogućnost naručivanja na tom jeziku;
- spominjanje kupaca ili korisnika koji se nalaze u EU.
Tumačenje (naše, ne izričita odredba): praktično, ako srpska firma ima sajt na srpskom, naplaćuje u dinarima i cilja domaće tržište, sama dostupnost sajta iz EU je ne uvodi u GDPR. Ali ako svesno cilja EU tržište (npr. nudi plaćanje u evrima, sadržaj na nemačkom, isporuku u EU), to je jasan signal namere koji je dovodi u domašaj Uredbe.
Šta znači „praćenje ponašanja“?
Drugi okidač je praćenje ponašanja lica koja se nalaze u EU, kada se to ponašanje odvija unutar EU. Pod tim se podrazumeva praćenje fizičkih lica na internetu, uključujući kasnije korišćenje tehnika obrade kao što je profilisanje. Naročito radi donošenja odluka o tom licu ili analize i predviđanja njegovih sklonosti, ponašanja i stavova.
Tumačenje: tipičan primer su alati za ponašajno ciljano oglašavanje, profilisanje posetilaca i praćenje korisnika u EU radi personalizacije. Ako vaš biznis to radi prema ljudima u EU, drugi okidač je verovatno aktiviran.
Ako vas GDPR obuhvata: obaveza imenovanja predstavnika
Jedna posledica često iznenadi firme van EU. Ako rukovalac ili obrađivač bez sedišta u EU potpadne pod GDPR po osnovu nuđenja robe/usluga ili praćenja ponašanja, po pravilu mora da imenuje svog predstavnika u EU.
Od te obaveze postoji izuzetak. Kada je obrada povremena, ne uključuje obimnu obradu posebnih kategorija podataka (ili podataka o krivičnim osudama i delima) i verovatno neće prouzrokovati rizik za prava i slobode lica, uzimajući u obzir prirodu, kontekst, obim i svrhe obrade.
Tumačenje: ovo je tačka koju srpske firme koje ciljaju EU često previde. Usklađenost sa GDPR-om nije samo „politika privatnosti na sajtu“, nego može da povuče i organizacione obaveze poput predstavnika.
GDPR i srpski ZZPL: ista logika, dva propisa
Korisno je znati da srpski Zakon o zaštiti podataka o ličnosti (ZZPL) prati gotovo identičnu logiku teritorijalne primene kao GDPR.
Prema članu 3 ZZPL, srpski zakon se primenjuje:
- na rukovaoca/obrađivača sa sedištem u Srbiji, u okviru aktivnosti koje se vrše u Srbiji; i
- na obradu podataka lica koja se nalaze u Srbiji, koju vrši rukovalac/obrađivač bez sedišta u Srbiji, ako su radnje obrade vezane za ponudu robe ili usluga licima u Srbiji ili praćenje aktivnosti lica koje se vrše u Srbiji.
|
GDPR (član 3) |
ZZPL (član 3) |
|
|
Domaće firme |
Sedište u EU → primenjuje se |
Sedište u Srbiji → primenjuje se |
|
Strane firme |
Nuđenje robe/usluga ili praćenje lica u EU |
Nuđenje robe/usluga ili praćenje lica u Srbiji |
Tumačenje: praktično, srpska firma koja posluje na domaćem tržištu već ima obaveze po ZZPL a tek ako cilja EU tržište, dodatno može da uđe u domašaj GDPR-a. To su dva odvojena, ali strukturno slična režima.
Zaključak
GDPR nije „svetska“ obaveza koja pada na svaku firmu sa sajtom. Za firmu iz Srbije on se aktivira ako svesno nudite robu ili usluge licima u EU ili pratite ponašanje ljudi u EU. Ako poslujete isključivo domaće, vaša primarna obaveza je srpski ZZPL koji ionako prati istu logiku. Ključ je pošteno proceniti koga zaista opslužujete, jer od toga zavisi koji propis (ili oba) vas obavezuje.
Niste sigurni da li vaše poslovanje potpada pod GDPR, ZZPL ili oba? U Digitalno Legalno procenjujemo teritorijalnu primenu propisa za vaš konkretan model poslovanja i sprovodimo GDPR implementaciju za firme koje ciljaju i EU tržište.
Često postavljana pitanja
Da li GDPR važi za firmu iz Srbije?
Ne automatski. GDPR obavezuje firmu iz Srbije samo ako obrađuje podatke lica u EU u vezi sa nuđenjem robe/usluga tim licima ili praćenjem njihovog ponašanja u EU (član 3 GDPR). Za čisto domaće poslovanje merodavan je srpski ZZPL.
Da li me dostupnost sajta iz EU uvodi u GDPR?
Sama dostupnost sajta iz EU, kao ni postojanje imejl adrese, nije dovoljna. Potrebni su dodatni signali namere da ciljate EU tržište, npr. jezik ili valuta neke države članice uz mogućnost naručivanja, ili spominjanje kupaca iz EU.
Šta je „praćenje ponašanja“ po GDPR-u?
To je praćenje fizičkih lica na internetu, uključujući profilisanje radi analize ili predviđanja njihovih sklonosti i ponašanja. Ako pratite korisnike u EU na taj način, GDPR se može primeniti na vas.
Moram li da imenujem predstavnika u EU?
Ako kao firma bez sedišta u EU potpadnete pod GDPR, po pravilu morate imenovati predstavnika u EU. Izuzetak postoji za povremenu obradu manjeg rizika koja ne obuhvata posebne kategorije podataka u velikom obimu.
Koja je razlika između GDPR-a i ZZPL-a za mene?
ZZPL je srpski zakon i prati gotovo istu logiku primene kao GDPR (član 3 oba propisa). Domaće poslovanje uređuje ZZPL; ciljanje EU tržišta može dodatno aktivirati GDPR. Moguće je da vas obavezuju oba.
