Zaštita ličnih podataka građana i slobodan protok takvih informacija od 25. maja mnogo je strože regulisana, jer je tada stupila na snagu Opšta uredba Evropske unije (EU) o zaštiti podataka o ličnosti (General Data Protection Regulation - GDPR) koja se primjenjuje i u zemljama koje nijesu članice EU, a čije firme ili pojedinici koriste lične podatke građana EU.
Prema podacima Privredne komore Crne Gore (PKCG), proizvode i usluge na EU tržištu realizuje više od hiljadu crnogorskih izvoznika, koji u slučaju kršenja GDPR-a mogu biti novčano kažnjeni i do 20 miliona eura.
Crna Gora, iako još nije članica EU, mora Zakon o zaštiti podataka o ličnosti uskladiti sa odredbama GDPR-a tako da je Ministarstvo unutrašnjih poslova formiralo radnu grupu koja tokom godine mora da pripremi novi zakon.
GDPR je regulativa EU koja se odnosi na zaštitu ličnih podataka i privatnosti svakog pojedinca unutar EU. Uredba je usvojena 27. aprila 2016. godine. Nakon dvogodišnjeg tranzicionog perioda postala je izvršna od 25. maja 2018. godine u svim zemljama EU, čime je prestala da važi Direktiva o zaštiti podataka iz 1995. (Direktiva 95/46/EC). Za razliku od Direktive, Uredba je direktno primjenljiva u svim zemljama članicama EU, bez potrebe za donošenjem posebnih zakonskih akata.
Najvažnije pravo koje donosi GDPR je da firme i svi ostali koji traže podatke potrošača i korisnika (datum rođenja, kućna adresa, online adresa, brojevi računa u banci i platne kartice, fotografija...) moraju dobiti pristanak da bi mogli da ih koriste za marketinške ili druge svrhe. Bez pristanka osobe čiji se podaci koriste ne smiju se sms-om, mailom, društvenim mrežama slati na mobitne telefone, online adrese i profile na društvenim mrežama promotivne materijale, newslettere....
“GDPR se primjenjuje na organizacije sa sjedištem u EU, ali i na one izvan nje čije je poslovanje na bilo koji način povezano sa podacima koji se odnose na rezidente EU. Zato će primjena ove uredbe najviše uticati na sektore finansija, zdravstvene zaštite, ICT, javni sektor, trgovinu i hotelijerstvo. Proizvode i usluge na EU tržištu realizuje više od hiljadu crnogorskih izvoznika. Kompanije, na koje se odnosi GDPR, u obavezi su da implementiraju adekvatne i prilagođene okvire kontrola podataka i upravljanje rizikom kako bi izbjegle rigoroznu kaznenu politiku – četiri odsto globalnog prihoda kompanije ili najviše 20 miliona eura”, objašnjeno je “Vijestima” iz PKCG.
Na konkretnom primjeru, neki crnogorski hotel više neće moći da kopira pasoš gosta iz EU bez njegove saglasnosti (već samo da ima uvid) ili da uzme njegovu mail adresu kako bi mu za narednu sezonu uputio ponudu.
Ako se desi da taj hotel bez odbrenja gosta na mail pošalje svoju ponudu, to lice će moći da pokrene sudski postupak pred nadležnim sudom gdje ima boravište (Španija, Francuska, Italija...) i ako taj sud ustanovi da je došlo do povrede GDPR u vezi sa obradom ličnih podataka te osobe, donijeće pravosnažnu presudu. Na osnovu te presude osoba iz EU će pred crnogorskim sudom pokrenuti postupak izvršenja te sudske presude.
Iz Agencije za zaštitu ličnih podataka i slobodan pristup informacijama (AZLP) “Vijestima” su kazali da GDPR nameće veće standarde zaštite ličnih podataka, jača ulogu organa za zaštitu podataka i predviđa mogućnost da nadzorni organ izriče novčanu upravnu kaznu za prekršioce zakona čak i do 20 miliona eura.
“Crna Gora kao zemlja koja teži članstvu u EU Zakon o zaštiti ličnih podataka će uskladiti sa odrebama GDPR-a. MUP je formirao radnu grupu za izmene zakona u kojoj su i dva člana AZLP. Za privredne subjekte u Crnoj Gori ova uredba je obavezna ako imaju sjedište u nekoj od članica EU ili ako nemaju sjedište, a vrše obradu ličnih podataka lica u EU. Znači, uredba se primjenjuje i na firme koji posluju na internetu i obrađuju podatke građana EU”, objašnjeno je iz AZLP.
Kako dodaju, GDPR podrazumijeva obavezu da nivo zaštite ličnih podataka u crnogorskim firmama čiji se podaci obrađuju bude na nivou zaštite u ostalim članicama EU, a rukovalac iz Crne Gore treba da odredi svoje predstavništvo u EU, donese interne procedure obrade ličnih podataka, preduzme organizacione i tehničke mjere zaštite, vodi evidenciju zbirki ličnih podataka koje obrađuje i omogući licu čije podatke obrađuje adekvatno upoznavanje sa svrhom obrade i mogućnost da se usprotivi daljoj obradi
“GDPR-om je predviđena obaveza da rukovaoci i obrađivači ličnih podataka imenuju službenika za zaštitu ličnih podataka koji će biti prva kontaktna tačka ako dođe do povrede prava. Znači, pojedinac će se najprije obratiti rukovaocu da bi se povreda otklonila, a ako to ne da rezultate podnosiće zahtjev tijelu nadležnom za zaštitu ličnih podataka. Novim zakonom će se precizirati koji subjekti su u obavezi da imenuju službenika za zaštitu ličnih podataka”, kazali su iz AZLP-a.
PKCG je organizovala nekoliko seminara na temu upoznavanja privrednika sa GDPR-om i u planu su novi zbog interesovanja privrednika.
Banke nemaju pravo uvida u kreditnu zaduženost građana
Prema pisanju medija iz Hrvatske (zemlje članice EU) banke, zbog GDPR -a u toj zemlji, imaju problem što ne mogu da koriste podatke iz kreditnog registra o zaduženosti građana, odnosno, pri odobravanju kredita ne mogu da vide da li klijent ima kredit u nekoj drugoj banci.
Na pitanje “Vijesti” šta je Centralna banka (CBCG) preduzela povodom primjene GDPR-a, odgovoreno je da će uvažiti regulatorne aktivnosti i u skladu sa tim preduzimati sve potrebne aktivnosti i komunikaciju sa bankama.
“Što se tiče ličnih podataka koje su u posjedu Kreditnog registra CBCG, a koje nam poslovne banke dostavljaju i koji su predmet distribucije korisnicima usluga registra, oni su dostupni isključivo u slučaju pisane saglasnosti dužnika za pristup podacima iz Kreditnog registra. Ovo predstavlja značajan segment pomenute uredbe, u kojoj se potencira taj oblik saglasnosti, koji ne podrazumijeva neformalno usaglašavanje sa uslovima poslovanja. Svakako da uključuje i spoznaju o potencijalnim rizicima koje transfer ličnih podataka nosi”, objašnjeno je iz CBCG-a.
Kako se dodaje, obveznici izvještavanja koji pristupaju informacionom sistemu CBCG za korišćenje podataka iz kreditnog registra dužni su, u skladu sa propisima, da imaju uspostavljena pravila i procedure neophodne za očuvanje bezbjednosti sistema i tajnosti podataka iz kreditnog registra.
“Ovo je u skladu sa jednim od osnovnih prioriteta GDPR-a, a koji se tiču bezbjednosti podataka i informacionih sistema uopšte. CBCG će, svjesna značaja nove regulative za zaštitu podataka o ličnosti, preduzimati potrebne mjere iz svoje nadležnosti koje, između ostalog, podrazumijevaju podizanje svijesti o značaju ove regulative kroz edukaciju menadžmenta i zaposlenih i usklađivati poslovanje sa obavezama koje će nastati iz novousvojene domaće regulative, kao i sa GDPR-om u organizacionom i tehničkom smislu”, kazali su u CBCG-a.
Građanin može tražiti firmi da izbriše sve podatke o njemu
Važno pravo koje donosi GDPR je i pravo na zaborav (right to be forgotten) koje predstavlja pravo da pojedinac od obrađivača zatraži brisanje podataka. “Pojedinac ima pravo na brisanje ako opozove saglasnost za obradu podataka, ako lični podaci više nijesu neophodni za postizanje svrhe obrade ili ako su nezakonito obrađivani. To znači da ako su podaci objavljeni na internetu, isti daljom pretragom ne budu dostupni što do sada nije bio slučaj, već je važilo pravilo jednom na internetu uvijek na internetu. Ovo pitanje je od strane EK rezultiralo uvođenjem instituta “pravo na zaborav” u duhu presude Evropskog suda za ljudska prava u slučaju kompanije Google protiv Španije kada je je odlučeno da građani imaju pravo da njihovi podaci budu izbrisani iz rezultata pretrage”, objašnjeno je iz AZLP-a. Pravo na zaborav znači, na primjer, kada građanin otplati kredit u nekoj banci može tražiti od te banke da izbriše sve podatke iz svoje baze o njemu.
“Novina koju donosi GDPR je i privatnost po dizajnu i prvatnost po pravilu (privacy by design and privacy by default). Znači, GDPR predviđa da je potrebno kreirati procese obrade podataka i informacione sisteme u koje će biti implementirane mjere zaštite ličnih podataka i načela obrade, pri čemu će podaci biti obrađivani samo u obimu neophodnom za postizanje svrhe obrade”, objašnjeno je iz AZLP-a.
Bonus video: