ZAŠTITA LIČNIH PODATAKA U SVETLU REGULATIVE GDPR

PERSONAL DATA PROTECTION FROM THE POINT OF VIEW THE GDPR REGULATIVE

Rezime: Osnovni standard za bezbednost informacija ISO 27001 deklariše potrebu očuvanja
osnovnih svojstava informacija – poverljivosti, integriteta i raspoloživosti – i definiše
kontrole orijentisane ka tehničkim, organizacionim i kombinovanim merama koje bi to
trebalo da obezbede. Posebno pitanje odnosi se na zaštitu ličnih podataka koje je predmet
posebne regulative koja je nedavno počela da se primenjuje. U ovom radu dat je sažeti
prikaz ove regulative kroz osnovne pojmove i principe, najznačajnije promene koje ona
donosi u oblasti zaštite ličnih podataka, glavne učesnike i njihove obaveze i odgovornosti.
Ključne reči: Bezbednost informacija, zaštita ličnih podataka, Opšta regulativa za zaštitu
podataka

-------------------------------------------------------------------------
PERSONAL DATA PROTECTION FROM THE POINT OF VIEW THE GDPR REGULATIVE

Fundamental information security management standard ISO 27001 declares need for protecting of basic
features of information – confidentiality, integrity and availability - and defines controls oriented to
technical, organizational and combined actions that should enable it. Particular question represents personal
data protection that is subject of particular regulative recently have been started with application. In this
paper, brief review of this regulative is given, including basic terms and principles, the most significat
changes this regulative determines, main participants as well as their duties and responsibilities.
Key words: Information Security, personal data protection, General Data Protection Regulative (GDPR)
-------------------------------------------------------------------------

Bezbednost informacija predstavlja jedno od najznačajnijih pitanja u današnje vreme, ne samo iz

tehničkih nego i iz organizacionih, pravnih i ekonomskih razloga. Suština ove oblasti je da se
očuvaju osnovna svojstva informacija – poverljivost, integritet i raspoloživost - što je regulisano
osnovnim standardom ISO 27001:2013 [1], ali je primena u različitim oblastima dovela do potrebe
da se tema razradi i proširi tzv. sektorskim smernicama za oblasti telekomunikacija,
elektroprivrednih organizacija, računarstva u oblaku itd. ([3]-[5]). Kompleksnost razmatranja
oblasti zaštite informacija nedavno je dobila još jedan segment, a to je zaštita ličnih podataka kroz
donošenje i stupanje na snagu Opšte regulative za zaštitu podataka 2016/679 (engl. General Data
Protection Regulative – GDPR), [6]. Ova regulativa usvojena je od strane Evropskog Parlamenta i
Veća 27.04.2016, objavljena je u Službenom glasniku Evropske unije (engl. Official Journal of
the European Union) još 4.05.2016, a počela je da se primenjuje od 25.05.2018. godine. Period
od dve godine od donošenja do primene predmetne regulative bio je ispunjen mnoštvom
nedoumica oko njenog sadržaja i mogućnosti za primenu, što je prisutno i danas. Sama regulativa
ima ukupno 88 strana od kojih se na prvih 31 nalazi preambula sa 173 stavke, koja deklariše
osnovne elemente koji su sadržani u regulativi koja je izložena na preostalih 57 strana, sadrži
ukupno 99 članova koji su grupisani u 11 glava, od kojih neke imaju sekcije. Sažeti prikaz
strukture ove regulative dat je u tabeli 1 po glavama i sekcijama (gde postoje). U predmetnoj
tabeli, brojevi u zagradama označavaju članove regulative koji se odnose na pojedine segmente.

Tabela 1: Struktura regulative 2016/679

 I Opšte odredbe (1-4)
II Principi (5-11)
III Prava subjekta podataka (12-23)
1 Transparentnost i modaliteti (12)
2 Informacija i pristup ličnim podacima (13-15)
3 Ispravka i brisanje (16-20)
4 Pravo na žalbu i automatsko individualno donošenje odluka (21-22)
5 Ograničanja (23)
IV Rukovalac i obrađivač (24-43)
1 Opšte obaveze (24-31)
2 Bezbednost ličnih podataka (32-34)
3 Ocenjivanje uticaja na zaštitu podataka i prethodne konsultacije (35-36)
4 Odgovorno lice za zaštitu podataka (37-39)
5 Pravila ponašanja i sertifikacije (40-43)
V Transfer ličnih podataka trećim zemljama ili međunarodnim organizacijama (44-50)
VI Nezavisni nadzorni organi (51-59)
1 Status nezavisnosti (51-54)
2 Nadležnost, zadaci i ovlašćenja (55-59)
VII Saradnja i konzistentnost (60-76)
1 Saradnja (60-62)
2 Konzistentnost (63-67)
3 Evropski odbor za zaštitu podataka (68-76)
VIII Pravni lek, odgovornost i kazne (77-84)
IX Odredbe vezane za specifične situacije obrade (85-91)
X Akti delegiranja i implementacije (92-93)
XI Završne odredbe (94-99)

U ovom radu dat je sažeti prikaz ove regulative kroz osnovne pojmove i principe, najznačajnije
promene koje ona donosi u oblasti zaštite ličnih podataka, glavne učesnike i njihove obaveze i
odgovornosti.

Osnovni pojmovi u Regulativi GDPR

Pojmovi koji se koriste u ovoj regulativi definisani su članom 4 Regulative [6]. Od ukupno 26
definicija izdvojene su samo one najznačajnije:

• ‘Lični podaci’ znači bilo koja informacija koja se odnosi na identifikovano ili fizičko lice koje
se može identifikovati (‘subjekt podataka’). Fizičko lice koje se može identifikovati je ono
koje se može identifikovati, direktno ili indirektno, posebno u odnosu na identifikator kao što
je ime, identifikacioni broj, lokacija, on-line identifikator ili jedan ili više faktora specifičnih
za fizički, psihološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog
fizičkog lica. Može se dakle videti da je definicija ličnih podataka šira, što znači da je više
elemenata neophodno zadržati u regulatornim okvirima nego što je to do sada bio slučaj.
• ‘Obrada’ znači bilo koju operaciju ili skup operacija koji se vrše nad ličnim podacima ili
skupom ličnih podataka bez obzira da li se koriste ili ne automatska sredstva, kao što je
prikupljanje, zapisivanje, organizovanje, struktuiranje, memorisanje, pretraživanje, korišćenje,
obelodanjivanje putem prenosa, razglašavanja ili drugog oblika stavljanja na raspolaganje,
svrstavanje ili kombinovanje, ograničavanje, brisanje ili uništavanje.
• ‘Ograničenje obrade’ znači označavanje sačuvanih ličnih podataka sa ciljem ograničavanja
njihove obrade u budućnosti.
• ‘Profilisanje’ znači bilo koji oblik automatske obrade ličnih podataka koji se sastoji u
korišćenju ličnih podataka radi vrednovanja nekih ličnih aspekata koji se odnose na fizičko
lice, naročito za analizu ili predviđanje aspekata koji se tiču performansi pojedinca na poslu,
ekonomske situacije, zdravlja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili
kretanja.
• ‘Pseudonimizacija’ znači obradu ličnih podataka na takav način da se lični podaci ne mogu
više povezati sa posmatranim subjektom podataka bez korišćenja dodatnih informacija, što se
obezbeđuje tako što se takva dodatna informacija čuva odvojeno i predmet je tehničkih i
organizacionih mera da bi se obezbedilo da lični podaci nisu povezani sa identifikovanim
pojedincem ili pojedincem koji bi se mogao identifikovati.
• ‘Rukovalac’ (engl. Controller) znači fizičko ili pravno lice, javni organ, agenciju ili drugo
telo koje, samostalno ili u saradnji sa drugima, određuje svrhu i sredstva obrade ličnih
podataka. Tamo gde su svrha i sredstva obrade određena zakonom Zemlje članice Unije,
rukovalac ili specifični kriterijumi za njegovo imenovanje mogu se utvrditi zakonom Zemlje
članice Unije.
• ‘Obrađivač’ (engl. Processor) znači fizičko ili pravno lice, javni organ, agenciju ili drugo telo
koji obrađuje lične podatke u ime rukovaoca.
• ‘Pristanak’ subjekta podataka znači bilo koju slobodno iskazanu, specifičnu, informativnu i
nedvosmislenu indikaciju želje subjekta podataka kojom on ili ona, izjavom ili jasno
afirmativnom akcijom potpiše sporazum o obradi ličnih podataka koji se odnose na njega ili
nju.
• ‘Narušavanje ličnih podataka’ znači narušavanje bezbednosti koje dovodi do slučajnog ili
nezakonitog uništavanja, gubitka, izmene, neautorizovanog obelodanjivanja ili pristupa ličnim
podacima koji se prenose, skladište ili obrađuju na drugi način.

Obuhvat regulative

Ova Regulativa definiše pravila koja se odnose na zaštitu fizičkih lica u odnosu na obradu ličnih
podataka i pravila koja se odnose na slobodno kretanje ličnih podataka (član 1 [6]). Ona štiti
osnovna prava i slobode fizičkih lica, a naročito njihovo pravo na zaštitu ličnih podataka, s tim da
se slobodno kretanje ličnih podataka unutar Unije ne ograničava niti zabranjuje iz razloga vezanih
sa zaštitom fizičkih lica u odnosu na obradu ličnih podataka.

Ova Regulativa primenjuje se na obradu ličnih podataka u kontekstu aktivnosti uspostavljanja

rukovaoca ili obrađivača u Uniji, bez obzira da li se obrada odvija u Uniji ili ne (član 3 [6]). Pored
toga, primenjuje se na obradu ličnih podataka subjekata podataka koji su iz Unije od strane
rukovaoca ili obrađivača koji nisu uspostavljeni u Uniji, tamo gde se aktivnosti obrade odnose na
nuđenje dobara ili usluga, bez obzira na to da li se traži plaćanje od strane subjekta podataka ili ne,
takvim subjektima podataka u Uniji, ili na praćenje njihovog ponašanja u onoj meri u kojoj se ono
odvija u Uniji. Ova regulativa primenjuje se na obradu ličnih podataka od strane rukovaoca koji
nije uspostavljen u Uniji, ali na mestu gde se primenjuje zakon Zemlje članice na temelju
međunarodnog zakona.

Ova regulativa ne primenjuje se na obradu ličnih podataka u odvijanju neke aktivnosti koja izlazi
iz okvira zakona Unije, aktivnosti od strane pojedinca u toku čisto ličnih i kućnih aktivnosti kao i
aktivnosti od strane ovlašćenih organa u svrhu prevencije, istrage, otkrivanja ili gonjenja krivičnih
dela ili izvršenja kazni za kriminal, uključujući zaštitu od i prevenciju pretnji javnoj bezbednosti
(član 3 [6]).
Iz navedenog jasno proističe da su i organizacije iz zemalja van EU, koje obavljaju aktivnosti u
EU sa ličnim podacima subjekata iz EU, dužne da se usklade se ovom regulativom! Oni koji
isporučuju proizvode i usluge Korisnicima u EU ili obrađuju njihove podatke mogu se suočiti sa
ozbiljnim zakonskim problemima ukoliko nastane neki incident. Sa druge strane jasno je da
granica primenjivosti nije tako jasno određena i da će sigurno u praktičnoj primeni to donositi
dosta teškoća.

Principi zaštite ličnih podataka

Principi koji se odnose na obradu ličnih podataka (clan 5 [6]) su:

• Zakonitost, korektnost i transparentnost: Lični podaci treba da budu obrađivani u skladu sa

zakonom, korektno i na transparentan način u odnosu na subjekta podataka.
• Ograničenje svrhe: Lični podaci treba da budu prikupljeni za specificirane, eksplicitne i
legitimne svrhe i da ne budu obrađivani na način koji nije kompatibilan sa svrhom. Dalja
obrada u svrhe arhiviranja od javnog interesa, u svrhu naučnih i istorijskih istraživanja ili u
statističke svrhe neće biti smatrana nekompatibilnom sa inicijalnom svrhom.
• Minimizacija podataka: Lični podaci treba da budu adekvatni, relevantni i ograničeni na ono
što je potrebno u odnosu na svrhu zbog koje su prikupljeni.
• Tačnost: Lični podaci treba da budu tačni i, kada je potrebno, ažurirani.Mora se preduzeti
svaki razuman korak da bi se osiguralo da se lični podaci koji nisu tačni, a koji se odnose na
svrhu zbog koje su prikupljeni, brišu ili ispravljaju bez odlaganja.
• Ograničenje čuvanja: Lični podaci treba da budu držani u obliku koji dopušta identifikaciju
subjekta podataka ne više od neophodnog za svrhu za koju se lični podaci obrađuju. Lični
podaci mogu se čuvati u dužem periodu u onoj meri u kojoj će biti obrađivani jedino za
arhiviranja od javnog interesa, u svrhu naučnih i istorijskih istraživanja ili u statističke svrhe
uz primenu odgovarajućih tehničkih i organizacionih mera koje zahteva ova Regulativa da bi
se zaštitila prava i slobode subjekta podataka
• Integritet i poverljivost: Lični podaci treba da budu obrađeni na način koji osigurava
odgovarajuću bezbednost ličnih podataka, uključujući i zaštitu od neautorizovanog pristupa ili
nezakonite obrade i od slučajnih gubitaka, uništenja ili oštećenja, primenom odgovarajućih
tehničkih ili organizacionih mera
• Krajnja odgovornost: Rukovalac je odgovoran za, i treba da demonstrira, usklađenost sa
odredbama ove Regulative.

Principi koji su navedeni uglavnom su jasni, iako je u praksi uvek problem kako operativne
aktivnosti sprovesti tako da principi ne budu narušeni. Suština je jasna – lični podaci mogu se
prikupljati i obrađivati samo u skladu sa svrhom za koju su namenjeni i to u najmanjem mogućem
obimu, pri čemu moraju biti zaštićeni od svih oblika zloupotrebe. Jednostavnim rečima, u obradi
ličnih podataka treba „naći pravu meru“, a znamo koliko je to teško u mnogim oblastima života.

Prava subjekta podataka

Za građane EU svakako je najznačajnija Glava III Regulative (čalnovi 12-23 [6]) jer se u njoj
navode prava koja imaju kao subjekti podataka.

• Pravo da bude informisan o obradama njegovih ličnih podataka. To je obaveza rukovaoca, a

informacija treba da bude data u sažetom, transparentnom, razumljivom i lako pristupnom
obliku, koristeći jasan i razumljiv jezik, naročito za bilo koje informacije koje se odnose
specifično na decu. Informacija će biti obezbeđena u pisanom ili u obliku, uključujući, gde je
 primenljivo, elektronska sredstva. Kada rukovalac ima nameru dalje obrade ličnih podataka
za svrhe drugačije od onih koje su bile prisutne prilikom prikupljanja ličnih podataka,
rukovalac treba da obezbedi subjektu podataka informaciju o drugoj svrsi i relevantne dodatne
informacije pre dalje obrade.
• Pravo da od rukovaoca dobije potvrdu da li su ili nisu obrađivani lični podaci koji se odnose
na njega ili nju, i, tamo gde je to slučaj, pristup ličnim podacima (član 15) i informacijama o
svrsi obrade, kategoriji ličnih podataka na koje se ona odnosi, primaocima ili kategorijama
primalaca kojima su lični podaci obelodanjeni, ili će biti obelodanjeni, naročito primaoci iz
trećih zemalja ili međunarodne organizacije, predviđeni period u kome će lični podaci biti
čuvani, ili, ako to nije moguće, kriterijumi koji se koriste za određivanje tog perioda itd.
• Pravo na ispravku tj. da od rukovaoca dobije, bez nepotrebnog odlaganja, ispravku netačnih
ličnih podataka. Uzimajući u obzir svrhu obrade, subjekt podataka ima pravo da kompletira
nekompletne lične podatke.
• Pravo na brisanje ("pravo na zaborav") tj. da mu rukovalac obezbedi brisanje ličnih podataka
koji se odnose na njega ili nju bez nepotrebnog odlaganja u slučajevima kada lični podaci više
nisu potrebni u odnosu na svrhu za koju su prikupljeni ili na drugi način obrađeni, kada
subjekt podataka povuče saglasnost na osnovu koga je obrada vršena, u slučaju prigovora
subjekta podataka na obradu itd. Ovo se ne odnosi na situacije vezane za primenu prava
slobode izražavanja i informisanja, javnog interesa, posebno u oblasti javnog zdravlja, u
slučaju svrhe arhiviranja u javnom interesu, svrhu naučnih ili istorijskih istraživanja ili
statističke svrhe
• Pravo da traži od rukovaoca ograničenje obrade u slučajevima kada je tačnost ličnih podataka
osporena od strane subjekta podataka, za period koji omogućuje rukovaocu da verifikuje
(proveri) tačnost ličnih podataka, kada je obrada nezakonita i subjekt podataka se protivi
brisanju ličnih podataka i zahteva organičavanje njihovog korišćenja umesto toga, kada lični
podaci više nisu potrebni rukovaocu za svrhe obrade, ali su oni potrebni subjektu podataka
za uspostavljanje, primenu ili odbranu zakonskih zahteva i kada je subjekt podataka je uložio
prigovor na obradu koji nije razrešen i zahteva proveru da li su legitimni osnovi neuvažavanja
prigovora.
• Pravo na prenosivost podataka tj. da dobije lične podatke koji se odnose na njega ili nju, koje
su on ili ona obezbedili rukovaocu u strukturnom, uobičajeno korišćenom i mašinski-čitljivom
formatu, i ima pravo da prenese te podatke drugom rukovaocu bez zabrane od strane
rukovaoca kome su ti lični podaci obezbeđeni, tamo gde se obrada bazira na pristanku i tamo
gde se obrada vrši bez korišćenja automatskih sredstava.
• Pravo na prigovor, na osnovama koje se odnose na njegovu ili njenu posebnu situaciju, u bilo
koje vreme u obradi ličnih podataka koji se odnose na nju ili njega, uključujući profilisanje.
Prigovor znači da rukovalac ne bi trebalo više da obrađuje lične podatke ukoliko ne pokaže
izuzetne zakonske osnove za obradu koja ne uvažava interese, prava i slobode subjekta
podataka ili za uspostavljanje, primenu ili odbranu zakonskih zahteva. Kada se lični podaci
obrađuju za direktne marketinške svrhe, subjekt podataka ima pravo na prigovor u bilo koje
vreme obrade ličnih podataka koji se odnose na njega ili nju i tada se lični podaci više ne
mogu obrađivati za te svrhe.
• Pravo da ne bude subjekat odluka zasnovanih samo na automatskoj obradi, uključujući i
profilisanje, koje proizvodi pravne posledice koje se tiču njega ili nje ili slične efekte na njega
ili nju, osim ukoliko je ta odluka potrebna za unos u, ili realizacju, ugovora između subjekta
podataka i rukovaoca podacima, ako je autorizovana zakonom Unije ili Zemlje članice u kojoj
je rukovalac subjekt i koji takođe definiše odgovarajuće mere za osiguravanje prava i sloboda
subjekta podataka i zakonske interese, ili ako je zasnovana na eksplicitnom pristanku subjekta
podataka.
Regulativa jasno razdvaja obradu ličnih podataka koji su prikupljeni od subjekta podataka (član 13
[6]) i onih koji nisu prikupljeni na taj način (član 14 [6]). Značajnu stavku predstavlja pristanak
subjekta podataka na obradu njegovih ličnih podataka, pri čemu je naglašeno da dokument o
pristanku treba da bude podnet jednostavnim rečima i da ćutanje ili neaktivnost ne znače
odobravanje već se mora obezbediti jasan i pozitivan pristanak za obradu ličnih podataka. Poseban
segment posvećen je pristanku roditelja ili lica sa tim ststusom odgovornosti za decu mlađu od 16
godina, pri čemu zemlje članice EU mogu sniziti ovu granicu, ali ne ispod 13 godina (član 8 [6]).

Rukovalac, obrađivač i odgovorno lice za zaštitu podataka

Rukovalac i obrađivač su glavni subjekti u procesu obrade ličnih podataka. Rukovalac (engl.
Controller) rukuje ovim podacima, a obrađivač (engl. Processor) ih obrađuje za potrebe
rukovaoca.

Uzimajući u obzir nivo razvoja, troškove realizacije, prirodu, obuhvat, kontekst i svrhe obrade kao
i rizike promenljive verovatnoće i posledica po prava i slobode fizičkih lica koja su predmet
obrade, rukovalac treba da, i u vreme određivanja sredstava za obradu i u vreme same obrade,
sprovede odgovarajuće tehničke i organizacione mere (član 25 [6]), kao što je pseudonimizacija,
koja su projektovane da sprovedu principe zaštite podataka, kao što je minimizacija podataka, na
efektivan način i da integrišu potrebne zaštite u obradi da bi se zadovoljili zahtevi ove Regulative i
zaštitila prava subjekta podataka. Rukovalac treba da primeni odgovarajuće tehničke i
organizacione mere da bi osigurao da se, po definiciji, obrađuju samo one informacije koje su
potrebne za specifičnu svrhu. Ova obaveza primenjuje se na obim prikupljenih ličnih podataka,
obim njihove obrade, period njihovog čuvanja i njihovu dostupnost. Takve mere treba da osiguraju
da, po definiciji, lični podaci nisu dostupni bez intervencije pojedinaca neodređenom broju
fizičkih lica. Slične obaveze ima i obrađivač, koji obradu sprovodi pre svega na osnovu zahteva
rukovaoca, sem u izuzetnim slučajevima kada je to regulisano zakonima EU ili zemlje članice

Ako rukovalac ili obrađivač nije uspostavljen u Uniji a obrađuje podatke vezane za njene građane
treba da u pisanoj formi utvrde predstavnika u Uniji (član 27 [6]). Predstavnik se određuje u jednoj
od Država članica gde se nalaze subjekti čiji lični podaci se obrađuju u vezi sa ponudama robe ili
usluga koje im se daju, ili čije se ponašanje prati. Predstavnik dobija punomoćje od rukovaoca ili
obrađivača koga on ovlasti ili umesto rukovaoca ili obrađivača, u posebnim slučajevima, nadležni
organ ili subjekti podataka, po svim pitanjima koja se odnose na obradu, u svrhu obezbeđenja
usaglašenosti sa ovom Regulativom.

Rukovalac i obrađivač treba da imenuju odgovorno lice za zaštitu podataka, član 37 (engl. Data
Protection Officer - DPO) u svim slučajevima kada obradu sprovodi javni organ ili telo, izuzev za
sudove koji deluju u skladu sa svojim pravnim kapacitetom, kada ključne aktivnosti rukovaoca ili
obrađivača sadrže operacije obrade koje, na osnovu svoje prirode, njihovog obuhvata i/ili svrhe,
zahtevaju redovno i sistematsko praćenje subjekata podataka u većem obimu, ili kada ključne
aktivnosti rukovaoca ili obrađivača sadrže obradu velikog obima posebnih kategorija podataka i
ličnih podataka koji se odnose na krivična dela i prekršaje. Odgovorno lice za zaštitu podataka
treba da bude imenovano na osnovu profesionalnih kvaliteta i, ekspertskog znanja o zakonima za
zaštitu podataka i prakse i sposobnosti da ispuni zadatke. Odgovorno lice za zaštitu podataka može
da bude deo osoblja rukovaoca ili obrađivača, ili da obavlja zadatke na osnovu ugovora o
uslugama.

Rukovalac i obrađivač treba da osiguraju da odgovorno lice za zaštitu podataka bude na

odgovarajući način i blagovremeno uključeno u sva pitanja koja se odnose na zaštitu ličnih
podataka (član 38 [6]). Oni treba da podrže odgovorno lice za zaštitu podataka u izvršenju
zadataka obezbeđivanjem resursa potrebnih za izvršenje tih zadataka i pristupa ličnim podacima i
operacijama obrade i u održavanju njegovog ili njenog ekspertskog znanja. Rukovalac i obrađivač
treba da osiguraju da odgovorno lice za zaštitu podataka ne prima bilo kakve instrukcije koje se
tiču sprovođenja tih zadataka. On ili ona ne treba da budu proganjani ili kažnjavani od strane
rukovaoca ili obrađivača zbog obavljanja svojih zadataka. Odgovorno lice za zaštitu podataka
treba direktno da izveštava najviše rukovodstvo rukovaoca ili obrađivača.

Pristup zasnovan na rizicima mora se usvojiti pre preduzimanja visokorizičnih aktivnosti obrade
podataka. Od rukovaoca podacima traži se da sprovode ocenjivanje uticaja na privatnost tamo gde
su rizici od narušavanja privatnosti visoki da bi se analizirali i minimizovali rizici za te subjekte
podataka.

Od rukovaoca podacima zahteva sa da izveštavaju o narušavanju podataka u njihovoj nadležnosti

sem ukoliko to ne predstavlja rizik za prava i slobode predmetnih subjekata podataka (član 33 [6]).
Obaveštenje se mora dati u roku od 72 sata od trenutka kada je rukovalac podacima postao svestan
toga, sem ukoliko ne postoje izuzetne okolnosti koje se mogu opravdati. Tamo gde su rizici za
pojedince visoki, subjekti podataka moraju se obavestiti čak iako Regulativa ne utvrđuje
vremenski rok za to. Zahteva se redovno preispitivanje i provera lanca snabdevanja da bi se
obezbedila njihova svrsishodnost u novom bezbednosnom režimu.

Ograničenja za međunarodni transfer podataka

Bilo koji transfer ličnih podataka koji podrazumeva obradu ili nameravanu obradu nakon transfera
nekoj trećoj zemlji ili nekoj međunarodnoj organizaciji treba da se odvija (član 44) samo ako su, u
skladu sa drugim odredbama ove Regulative, ispunjeni uslovi od strane rukovaoca ili obrađivača,
uključujući usmerene transfere ličnih podataka iz treće zemlje ili međunarodne organizacije prema
drugoj trećoj zemlji ili drugoj međunarodnoj organizaciji. Sve odredbe u Glavi V treba da budu
primenjene da bi se obezbedilo da nivo zaštite fizičkih lica garantovan ovom Regulativom ne bude
ugrožen.

Transfer ličnih podataka nekoj trećoj zemlji ili nekoj međunarodnoj organizaciji može se obaviti
tamo gde je Komisija donela odluku da ta treća zemlja, teritorija ili jedan ili više sektora unutar te
treće zemlje, ili predmetna međunarodna organizacija obezbeđuju adekvatan nivo zaštite (član 45).
Takav transfer ne zahteva bilo kakvu posebnu autorizaciju.

Komisija, nakon ocenjivanja adekvatnosti nivoa zaštite može da odluči, pomoću akta za
implementaciju, da treća zemlja, neka teritorija ili jedan ili više specifičnih sektora unutar te treće
zemlje, ili predmetna međunarodna organizacija obezbeđuju adekvatan nivo zaštite. Akt za
implementaciju treba da obezbedi neki mehanizam za periodično preispitivanje, bar svake četiri
godine, koji treba da uzme u obzir sve relevantne rezultate razvoja u toj trećoj zemlji ili
međunarodnoj organizaciji. Akt o implementaciji treba da specificira teritorijalnu i sektorsku
primenu i, gde je primenjivo, identifikuje nadzorni organ ili organe.

U odsustvu odluke rukovalac ili obrađivač mogu da prenose lične podatke trećoj zemlji ili
međunarodnoj organizaciji samo ako su rukovalac ili obrađivač obezbedili odgovarajuće zaštite, i
pod uslovom da su u pitanju nametnuta prava subjekta podataka i da su na raspolaganju efektivni
pravni lekovi za subjekte podataka (član 46).
Budući da je regulativa takođe primenjiva na obrađivače, organizacije treba da budu svesne rizika
za transfer podataka u zemlje koje nisu članice EU. Rukovaoci iz zemalja ne-članica treba da
imenuju predstavnike u EU. Pogodnost je to što se Regulativa GDPR smatra „prodavnicom sa
jednim zaustavljanjem“ tj. da će kompanije imati obavezu da posluju samo sa jednim nadzornim
organom, a ne sa po jednim za svaku od 28 zemalja članica EU, čime se uprošćava i pojeftinjuje
poslovanje tih kompanija u EU. To će takođe imati pozitivnog uticaja na Internet provajdere sa
kancelarijama u nekoliko država EU. Poseban aspekt transfera ličnih podataka trećim zemljama
predstavlja ograničenje vezano za prosleđivanje tih podataka van Evrope, što je proteklih godina
aktuelno pitanje zbog javno izrečenih sumnji da se podaci obrađuju van svakog uvida javnosti, a
sve uz obrazloženje o borbi protiv terorizma.

Kazne u okviru GDPR

Jedna od odredbi GDPR koja je najviše odjeknula u Evropi i svetu jeste odredba koja se odnosi na
veoma visoke kazne koje su predviđene za narušavanje ove Regulative. Član 83 Regulative [6]
navodi dva nivoa administrativnih kazni za narušavanje ove regulative:

• Administrativna kazna do 10 000 000 EUR, ili u slučaju preduzeća, do 2 % ukupnog

godišnjeg prihoda u prethodnoj finansijskoj godini, koje god da je više za narušavanje
obaveze rukovaoca ili obrađivača, obaveze sertifikacionog tela i obaveze tela za praćenje,
prema odgovarajućim članovima
• Administrativna kazna do 2 000 000 EUR, ili u slučaju preduzeća, do 4 % ukupnog godišnjeg
prihoda u prethodnoj finansijskoj godini, koje god da je više za narušavanje osnovnih
principa za obradu, uključujući uslove za pristanak, prava subjekta podataka, transfera ličnih
podataka primaocima u trećim zemljama ili međunarodnim organizacijama, bilo koje obaveze
prema zakonu Zemlje članice usvojenom prema Glavi 9 kao i neusaglašenosti sa nalogom ili
privremenim ili trajnim ograničenjem obrade ili suspenzije toka podataka od strane nadzornog
organa ili propust da se obezbedi pristup.

Tamo gde pravni sistem Zemlje članice ne predviđa administrativne kazne, ovaj član može se
primeniti na takav način da se kazna inicira od strane nadležnog nadzornog organa i nametne
preko nadležnih nacionalnih sudova, dok se ne obezbedi da ta pravna pomoć bude efektivna i da
ima odgovarajući efekat na administrativne kazne nametnute od strane nadzornog organa. U
svakom slučaju, kazne koje su nametnute treba da budu efektivne, srazmerne i da odvraćaju
buduće počinioce. Te Zemlje članice treba da obaveste Komisiju o odredbama svojih zakona bez
odlaganja, kao i o bilo kojoj narednoj promeni zakona ili promeni koja na njega utiče nakon
25.05.2018. godine.

Ono što za prekršioce predstavlja poseban problem jeste nadnacionalnost regulative tj. realna
mogućnost da se za učinjeno delo odgovara bez obzira da li je to regulisano nacionalnim
zakonodavstvom ili ne.

Zaključak.

Detaljniji prikaz regulative daleko prevazilazi obim rada, tako da je akcenat bio na prikazu
najznačajnijih elemenata koji bi trebalo da olakšaju upoznavanje sa Regulativom i njenu primenu
u praksi. U Srbiji su u toku aktivnosti na donošenju novog Zakona o zaštiti podataka o ličnosti
umesto postojećeg, koji je donet još 2008. godine i dopunjen 2012. godine [7], pa ostaje da se vidi
na koji način će ova Regulativa biti ugrađena u naše zakonodavstvo. U javnoj raspravi o nacrtu
ovog zakona bilo je dosta primedaba da je nacrt vise orijentisan na zaštitu prava nekih institucija
da obrađuju lične podatke, nego na zaštiti ličnih podataka građana od zloupotreba, što je glavna
ideja Regulative. Bez obzira na to šta će biti usvojeno u novom zakonu, sve organizacije i
pojedinci u Srbiji moraju biti svesni postojanja ove Regulative i svojih obaveza koje iz nje
proističu

Reference

[1] ISO 27001: 2013 Information technology - Security techniques - Information security management
systems - Requirements (ISO, 2013)
[2] R.Raković: Bezbednost informacija – Osnove i smernice, Akademska misao, Beograd, 2017.
[3] ISO/IEC 27011:2016 (ITU-T X.1051) - Information technology - Security Techniques - Information
security management guidelines for telecommunications organizations based on ISO/IEC 27002 (ISO,
2016)
[4] ISO/IEC TR 27019: 2013 Information technology - Security techniques - Information security
management guidelines based on ISO/IEC 27002 for process control systems specific to the energy
utility industry, Technical report (ISO, 2013)
[5] ISO 27017:2015 (ITU-T X.1631) Information technology - Security techniques – Code of Practice for
information security controls based on ISO/IEC 27002 for cloud services (ISO, 2015)
[6] General Data Protection Regulation (GDPR, EU 2016/679, OJ EU L 119, 4.05.2016)
[7] Zakon o zaštiti podataka o ličnosti (SGRS 97/2008, 107/2012)