Академический Документы
Профессиональный Документы
Культура Документы
PERSONAL DATA PROTECTION FROM THE POINT OF VIEW THE GDPR REGULATIVE
Rezime: Osnovni standard za bezbednost informacija ISO 27001 deklariše potrebu očuvanja
osnovnih svojstava informacija – poverljivosti, integriteta i raspoloživosti – i definiše
kontrole orijentisane ka tehničkim, organizacionim i kombinovanim merama koje bi to
trebalo da obezbede. Posebno pitanje odnosi se na zaštitu ličnih podataka koje je predmet
posebne regulative koja je nedavno počela da se primenjuje. U ovom radu dat je sažeti
prikaz ove regulative kroz osnovne pojmove i principe, najznačajnije promene koje ona
donosi u oblasti zaštite ličnih podataka, glavne učesnike i njihove obaveze i odgovornosti.
Ključne reči: Bezbednost informacija, zaštita ličnih podataka, Opšta regulativa za zaštitu
podataka
-------------------------------------------------------------------------
PERSONAL DATA PROTECTION FROM THE POINT OF VIEW THE GDPR REGULATIVE
Fundamental information security management standard ISO 27001 declares need for protecting of basic
features of information – confidentiality, integrity and availability - and defines controls oriented to
technical, organizational and combined actions that should enable it. Particular question represents personal
data protection that is subject of particular regulative recently have been started with application. In this
paper, brief review of this regulative is given, including basic terms and principles, the most significat
changes this regulative determines, main participants as well as their duties and responsibilities.
Key words: Information Security, personal data protection, General Data Protection Regulative (GDPR)
-------------------------------------------------------------------------
U ovom radu dat je sažeti prikaz ove regulative kroz osnovne pojmove i principe, najznačajnije
promene koje ona donosi u oblasti zaštite ličnih podataka, glavne učesnike i njihove obaveze i
odgovornosti.
Pojmovi koji se koriste u ovoj regulativi definisani su članom 4 Regulative [6]. Od ukupno 26
definicija izdvojene su samo one najznačajnije:
• ‘Lični podaci’ znači bilo koja informacija koja se odnosi na identifikovano ili fizičko lice koje
se može identifikovati (‘subjekt podataka’). Fizičko lice koje se može identifikovati je ono
koje se može identifikovati, direktno ili indirektno, posebno u odnosu na identifikator kao što
je ime, identifikacioni broj, lokacija, on-line identifikator ili jedan ili više faktora specifičnih
za fizički, psihološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog
fizičkog lica. Može se dakle videti da je definicija ličnih podataka šira, što znači da je više
elemenata neophodno zadržati u regulatornim okvirima nego što je to do sada bio slučaj.
• ‘Obrada’ znači bilo koju operaciju ili skup operacija koji se vrše nad ličnim podacima ili
skupom ličnih podataka bez obzira da li se koriste ili ne automatska sredstva, kao što je
prikupljanje, zapisivanje, organizovanje, struktuiranje, memorisanje, pretraživanje, korišćenje,
obelodanjivanje putem prenosa, razglašavanja ili drugog oblika stavljanja na raspolaganje,
svrstavanje ili kombinovanje, ograničavanje, brisanje ili uništavanje.
• ‘Ograničenje obrade’ znači označavanje sačuvanih ličnih podataka sa ciljem ograničavanja
njihove obrade u budućnosti.
• ‘Profilisanje’ znači bilo koji oblik automatske obrade ličnih podataka koji se sastoji u
korišćenju ličnih podataka radi vrednovanja nekih ličnih aspekata koji se odnose na fizičko
lice, naročito za analizu ili predviđanje aspekata koji se tiču performansi pojedinca na poslu,
ekonomske situacije, zdravlja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili
kretanja.
• ‘Pseudonimizacija’ znači obradu ličnih podataka na takav način da se lični podaci ne mogu
više povezati sa posmatranim subjektom podataka bez korišćenja dodatnih informacija, što se
obezbeđuje tako što se takva dodatna informacija čuva odvojeno i predmet je tehničkih i
organizacionih mera da bi se obezbedilo da lični podaci nisu povezani sa identifikovanim
pojedincem ili pojedincem koji bi se mogao identifikovati.
• ‘Rukovalac’ (engl. Controller) znači fizičko ili pravno lice, javni organ, agenciju ili drugo
telo koje, samostalno ili u saradnji sa drugima, određuje svrhu i sredstva obrade ličnih
podataka. Tamo gde su svrha i sredstva obrade određena zakonom Zemlje članice Unije,
rukovalac ili specifični kriterijumi za njegovo imenovanje mogu se utvrditi zakonom Zemlje
članice Unije.
• ‘Obrađivač’ (engl. Processor) znači fizičko ili pravno lice, javni organ, agenciju ili drugo telo
koji obrađuje lične podatke u ime rukovaoca.
• ‘Pristanak’ subjekta podataka znači bilo koju slobodno iskazanu, specifičnu, informativnu i
nedvosmislenu indikaciju želje subjekta podataka kojom on ili ona, izjavom ili jasno
afirmativnom akcijom potpiše sporazum o obradi ličnih podataka koji se odnose na njega ili
nju.
• ‘Narušavanje ličnih podataka’ znači narušavanje bezbednosti koje dovodi do slučajnog ili
nezakonitog uništavanja, gubitka, izmene, neautorizovanog obelodanjivanja ili pristupa ličnim
podacima koji se prenose, skladište ili obrađuju na drugi način.
Obuhvat regulative
Ova Regulativa definiše pravila koja se odnose na zaštitu fizičkih lica u odnosu na obradu ličnih
podataka i pravila koja se odnose na slobodno kretanje ličnih podataka (član 1 [6]). Ona štiti
osnovna prava i slobode fizičkih lica, a naročito njihovo pravo na zaštitu ličnih podataka, s tim da
se slobodno kretanje ličnih podataka unutar Unije ne ograničava niti zabranjuje iz razloga vezanih
sa zaštitom fizičkih lica u odnosu na obradu ličnih podataka.
Ova regulativa ne primenjuje se na obradu ličnih podataka u odvijanju neke aktivnosti koja izlazi
iz okvira zakona Unije, aktivnosti od strane pojedinca u toku čisto ličnih i kućnih aktivnosti kao i
aktivnosti od strane ovlašćenih organa u svrhu prevencije, istrage, otkrivanja ili gonjenja krivičnih
dela ili izvršenja kazni za kriminal, uključujući zaštitu od i prevenciju pretnji javnoj bezbednosti
(član 3 [6]).
Iz navedenog jasno proističe da su i organizacije iz zemalja van EU, koje obavljaju aktivnosti u
EU sa ličnim podacima subjekata iz EU, dužne da se usklade se ovom regulativom! Oni koji
isporučuju proizvode i usluge Korisnicima u EU ili obrađuju njihove podatke mogu se suočiti sa
ozbiljnim zakonskim problemima ukoliko nastane neki incident. Sa druge strane jasno je da
granica primenjivosti nije tako jasno određena i da će sigurno u praktičnoj primeni to donositi
dosta teškoća.
Principi koji su navedeni uglavnom su jasni, iako je u praksi uvek problem kako operativne
aktivnosti sprovesti tako da principi ne budu narušeni. Suština je jasna – lični podaci mogu se
prikupljati i obrađivati samo u skladu sa svrhom za koju su namenjeni i to u najmanjem mogućem
obimu, pri čemu moraju biti zaštićeni od svih oblika zloupotrebe. Jednostavnim rečima, u obradi
ličnih podataka treba „naći pravu meru“, a znamo koliko je to teško u mnogim oblastima života.
Za građane EU svakako je najznačajnija Glava III Regulative (čalnovi 12-23 [6]) jer se u njoj
navode prava koja imaju kao subjekti podataka.
Rukovalac i obrađivač su glavni subjekti u procesu obrade ličnih podataka. Rukovalac (engl.
Controller) rukuje ovim podacima, a obrađivač (engl. Processor) ih obrađuje za potrebe
rukovaoca.
Uzimajući u obzir nivo razvoja, troškove realizacije, prirodu, obuhvat, kontekst i svrhe obrade kao
i rizike promenljive verovatnoće i posledica po prava i slobode fizičkih lica koja su predmet
obrade, rukovalac treba da, i u vreme određivanja sredstava za obradu i u vreme same obrade,
sprovede odgovarajuće tehničke i organizacione mere (član 25 [6]), kao što je pseudonimizacija,
koja su projektovane da sprovedu principe zaštite podataka, kao što je minimizacija podataka, na
efektivan način i da integrišu potrebne zaštite u obradi da bi se zadovoljili zahtevi ove Regulative i
zaštitila prava subjekta podataka. Rukovalac treba da primeni odgovarajuće tehničke i
organizacione mere da bi osigurao da se, po definiciji, obrađuju samo one informacije koje su
potrebne za specifičnu svrhu. Ova obaveza primenjuje se na obim prikupljenih ličnih podataka,
obim njihove obrade, period njihovog čuvanja i njihovu dostupnost. Takve mere treba da osiguraju
da, po definiciji, lični podaci nisu dostupni bez intervencije pojedinaca neodređenom broju
fizičkih lica. Slične obaveze ima i obrađivač, koji obradu sprovodi pre svega na osnovu zahteva
rukovaoca, sem u izuzetnim slučajevima kada je to regulisano zakonima EU ili zemlje članice
Ako rukovalac ili obrađivač nije uspostavljen u Uniji a obrađuje podatke vezane za njene građane
treba da u pisanoj formi utvrde predstavnika u Uniji (član 27 [6]). Predstavnik se određuje u jednoj
od Država članica gde se nalaze subjekti čiji lični podaci se obrađuju u vezi sa ponudama robe ili
usluga koje im se daju, ili čije se ponašanje prati. Predstavnik dobija punomoćje od rukovaoca ili
obrađivača koga on ovlasti ili umesto rukovaoca ili obrađivača, u posebnim slučajevima, nadležni
organ ili subjekti podataka, po svim pitanjima koja se odnose na obradu, u svrhu obezbeđenja
usaglašenosti sa ovom Regulativom.
Rukovalac i obrađivač treba da imenuju odgovorno lice za zaštitu podataka, član 37 (engl. Data
Protection Officer - DPO) u svim slučajevima kada obradu sprovodi javni organ ili telo, izuzev za
sudove koji deluju u skladu sa svojim pravnim kapacitetom, kada ključne aktivnosti rukovaoca ili
obrađivača sadrže operacije obrade koje, na osnovu svoje prirode, njihovog obuhvata i/ili svrhe,
zahtevaju redovno i sistematsko praćenje subjekata podataka u većem obimu, ili kada ključne
aktivnosti rukovaoca ili obrađivača sadrže obradu velikog obima posebnih kategorija podataka i
ličnih podataka koji se odnose na krivična dela i prekršaje. Odgovorno lice za zaštitu podataka
treba da bude imenovano na osnovu profesionalnih kvaliteta i, ekspertskog znanja o zakonima za
zaštitu podataka i prakse i sposobnosti da ispuni zadatke. Odgovorno lice za zaštitu podataka može
da bude deo osoblja rukovaoca ili obrađivača, ili da obavlja zadatke na osnovu ugovora o
uslugama.
Pristup zasnovan na rizicima mora se usvojiti pre preduzimanja visokorizičnih aktivnosti obrade
podataka. Od rukovaoca podacima traži se da sprovode ocenjivanje uticaja na privatnost tamo gde
su rizici od narušavanja privatnosti visoki da bi se analizirali i minimizovali rizici za te subjekte
podataka.
Bilo koji transfer ličnih podataka koji podrazumeva obradu ili nameravanu obradu nakon transfera
nekoj trećoj zemlji ili nekoj međunarodnoj organizaciji treba da se odvija (član 44) samo ako su, u
skladu sa drugim odredbama ove Regulative, ispunjeni uslovi od strane rukovaoca ili obrađivača,
uključujući usmerene transfere ličnih podataka iz treće zemlje ili međunarodne organizacije prema
drugoj trećoj zemlji ili drugoj međunarodnoj organizaciji. Sve odredbe u Glavi V treba da budu
primenjene da bi se obezbedilo da nivo zaštite fizičkih lica garantovan ovom Regulativom ne bude
ugrožen.
Transfer ličnih podataka nekoj trećoj zemlji ili nekoj međunarodnoj organizaciji može se obaviti
tamo gde je Komisija donela odluku da ta treća zemlja, teritorija ili jedan ili više sektora unutar te
treće zemlje, ili predmetna međunarodna organizacija obezbeđuju adekvatan nivo zaštite (član 45).
Takav transfer ne zahteva bilo kakvu posebnu autorizaciju.
Komisija, nakon ocenjivanja adekvatnosti nivoa zaštite može da odluči, pomoću akta za
implementaciju, da treća zemlja, neka teritorija ili jedan ili više specifičnih sektora unutar te treće
zemlje, ili predmetna međunarodna organizacija obezbeđuju adekvatan nivo zaštite. Akt za
implementaciju treba da obezbedi neki mehanizam za periodično preispitivanje, bar svake četiri
godine, koji treba da uzme u obzir sve relevantne rezultate razvoja u toj trećoj zemlji ili
međunarodnoj organizaciji. Akt o implementaciji treba da specificira teritorijalnu i sektorsku
primenu i, gde je primenjivo, identifikuje nadzorni organ ili organe.
U odsustvu odluke rukovalac ili obrađivač mogu da prenose lične podatke trećoj zemlji ili
međunarodnoj organizaciji samo ako su rukovalac ili obrađivač obezbedili odgovarajuće zaštite, i
pod uslovom da su u pitanju nametnuta prava subjekta podataka i da su na raspolaganju efektivni
pravni lekovi za subjekte podataka (član 46).
Budući da je regulativa takođe primenjiva na obrađivače, organizacije treba da budu svesne rizika
za transfer podataka u zemlje koje nisu članice EU. Rukovaoci iz zemalja ne-članica treba da
imenuju predstavnike u EU. Pogodnost je to što se Regulativa GDPR smatra „prodavnicom sa
jednim zaustavljanjem“ tj. da će kompanije imati obavezu da posluju samo sa jednim nadzornim
organom, a ne sa po jednim za svaku od 28 zemalja članica EU, čime se uprošćava i pojeftinjuje
poslovanje tih kompanija u EU. To će takođe imati pozitivnog uticaja na Internet provajdere sa
kancelarijama u nekoliko država EU. Poseban aspekt transfera ličnih podataka trećim zemljama
predstavlja ograničenje vezano za prosleđivanje tih podataka van Evrope, što je proteklih godina
aktuelno pitanje zbog javno izrečenih sumnji da se podaci obrađuju van svakog uvida javnosti, a
sve uz obrazloženje o borbi protiv terorizma.
Jedna od odredbi GDPR koja je najviše odjeknula u Evropi i svetu jeste odredba koja se odnosi na
veoma visoke kazne koje su predviđene za narušavanje ove Regulative. Član 83 Regulative [6]
navodi dva nivoa administrativnih kazni za narušavanje ove regulative:
Tamo gde pravni sistem Zemlje članice ne predviđa administrativne kazne, ovaj član može se
primeniti na takav način da se kazna inicira od strane nadležnog nadzornog organa i nametne
preko nadležnih nacionalnih sudova, dok se ne obezbedi da ta pravna pomoć bude efektivna i da
ima odgovarajući efekat na administrativne kazne nametnute od strane nadzornog organa. U
svakom slučaju, kazne koje su nametnute treba da budu efektivne, srazmerne i da odvraćaju
buduće počinioce. Te Zemlje članice treba da obaveste Komisiju o odredbama svojih zakona bez
odlaganja, kao i o bilo kojoj narednoj promeni zakona ili promeni koja na njega utiče nakon
25.05.2018. godine.
Ono što za prekršioce predstavlja poseban problem jeste nadnacionalnost regulative tj. realna
mogućnost da se za učinjeno delo odgovara bez obzira da li je to regulisano nacionalnim
zakonodavstvom ili ne.
Zaključak.
Detaljniji prikaz regulative daleko prevazilazi obim rada, tako da je akcenat bio na prikazu
najznačajnijih elemenata koji bi trebalo da olakšaju upoznavanje sa Regulativom i njenu primenu
u praksi. U Srbiji su u toku aktivnosti na donošenju novog Zakona o zaštiti podataka o ličnosti
umesto postojećeg, koji je donet još 2008. godine i dopunjen 2012. godine [7], pa ostaje da se vidi
na koji način će ova Regulativa biti ugrađena u naše zakonodavstvo. U javnoj raspravi o nacrtu
ovog zakona bilo je dosta primedaba da je nacrt vise orijentisan na zaštitu prava nekih institucija
da obrađuju lične podatke, nego na zaštiti ličnih podataka građana od zloupotreba, što je glavna
ideja Regulative. Bez obzira na to šta će biti usvojeno u novom zakonu, sve organizacije i
pojedinci u Srbiji moraju biti svesni postojanja ove Regulative i svojih obaveza koje iz nje
proističu
Reference
[1] ISO 27001: 2013 Information technology - Security techniques - Information security management
systems - Requirements (ISO, 2013)
[2] R.Raković: Bezbednost informacija – Osnove i smernice, Akademska misao, Beograd, 2017.
[3] ISO/IEC 27011:2016 (ITU-T X.1051) - Information technology - Security Techniques - Information
security management guidelines for telecommunications organizations based on ISO/IEC 27002 (ISO,
2016)
[4] ISO/IEC TR 27019: 2013 Information technology - Security techniques - Information security
management guidelines based on ISO/IEC 27002 for process control systems specific to the energy
utility industry, Technical report (ISO, 2013)
[5] ISO 27017:2015 (ITU-T X.1631) Information technology - Security techniques – Code of Practice for
information security controls based on ISO/IEC 27002 for cloud services (ISO, 2015)
[6] General Data Protection Regulation (GDPR, EU 2016/679, OJ EU L 119, 4.05.2016)
[7] Zakon o zaštiti podataka o ličnosti (SGRS 97/2008, 107/2012)