General Data Protection Regulation (GDPR), šta programeri treba da znaju i primene

1. ГЕНЕРАЛНА УРЕДБА О ЗАШТИТИ ПОДАТАКА
GENERAL DATA PROTECTION REGULATION (GDPR)

3. ДИРЕКТИВА ЕВРОПСКОГ
ПАРЛАМЕНТА И САВЕТА 95/46/ЕЗ
од 24.10.1995. о заштити грађана у вези
са обрадом података о личности и о
слободном кретању таквих података

4. ГЕНЕРАЛНА УРЕДБА О ЗАШТИТИ ПОДАТАКА
(ХРОНОЛОГИЈА НАСТАНКА)
1. Европска комисија објављује Нацрт 25. јануара 2012.
2. Европски парламент усваја Нацрт 12. марта 2014.
3. Европска комисија, Парламент и Савет министара, 15. децембра
2015. године постижу споразум о Генералној уредби о заштити
података након неколико месеци тријалога.
4. Савет министара 8. априла 2016. усваја позицију у првом читању,
која утире пут за коначно усвајање законског пакета.
5. Европски парламент 16. априла 2016. усваја Генералну уредбу о
заштити података.

5. ПРАВНИ АКТИ ЕУ
НА КОГА СЕ
ОДНОСИ
ЕФЕКТИ
УРЕДБА
(REGULATION)
Све државе чланице,
физичка и правна лица
Директно применљива и у
целости обавезујућа
ДИРЕКТИВА
(DIRECTIVE)
Све или одређене
државе чланице
Обавезујућа у погледу
жељеног резултата.
Директно применљива
само у одређеним
околностима
ОДЛУКА
(DECISION)
Све или одређене
државе чланице;
одређена физичка или
правна лица
Директно применљива и у
целости обавезујућа
ПРЕПОРУКА
(RECOMMENDATION)
Све или одређене
државе чланице, други
органи ЕУ, појединци
Није обавезујућа
МИШЉЕЊЕ
(OPINION)
Није дефинисано Није обавезујуће

6. ГЕНЕРАЛНА УРЕДБА ОБУХВАТА НЕКОЛИКО
КЉУЧНИХ ПИТАЊА
1. Права особа чији се лични подаци обрађују
2. Обавезе руковаоца података (именовање службеника за заштиту
података)
3. Начело „све на једном месту“ (Оne stop shop)
4. Минимум година за све друштвене мреже
5. Право на дигитални заборав (Right to be forgotten)
6. Интегрисана заштита података (data protection by design/default)
7. Преноси података у треће земље
8. Успостављање Европског одбора за заштиту података
9. Драконске казне

7. ПРАВА ОСОБА ЧИЈИ СЕ ЛИЧНИ ПОДАЦИ
ОБРАЂУЈУ (ЧЛАН 7.)
Сагласност за обраду података мора бити јасна, као и активна
улога тог лица.
Нпр. означавањем поља приликом посете сајтова или неки
други поступак или изјава, која јасно указује на прихватање
предложене обраде личних података.
„Тишина“, неиспуњавање претходно означених поља или
неактивност неће представљати пристанак.
У будућности би такође требало да буде поједностављено како
давање пристанка, тако и његово повлачење.
Информације треба дати на јасан начин и једноставним
језиком пре него што се почне са прикупљањем података.

8. ОБАВЕЗЕ РУКОВАОЦА ПОДАТАКА
(СЛУЖБЕНИК ЗА ЗАШТИТУ ПОДАТАКА)
(ЧЛАНОВИ 37 – 39)
Руковалац и обрађивач података именују службеника за
заштиту података у сваком случају у коме:
(а) обраду спроводи орган власти, осим за судове који делују у
оквиру своје судске надлежности,
(б) када се основне делатности руковаоца и обрађивача
података састоје од поступака обраде који због своје
природе, опсега и/или сврхе изискују редовно и системско
праћење лица на које се односе подаци у великој мери, или
(в) када се основне делатности руковаоца и обрађивача
података састоје од опсежне обраде посебних категорија
података (члан 9.) и личних података у вези са осудама за
кривична и кажњивa дела (члан 10.)

9. МИНИМУМ ГОДИНА ЗА СВЕ ДРУШТВЕНЕ
МРЕЖЕ (ЧЛАН 8.)
Уредбом се налаже да деци испод одређеног
узраста треба дозвола њихових родитеља
(„пристанак родитеља“) за отварање налога
на друштвеним мрежама као што су Фејсбук,
Инстаграм или Снепчет, као што је већ случај
у већини земаља ЕУ.
Одређивање границе узраста је остављено
државама чланицама да саме дефинишу, али у
распону од 13 до 16 година.

10. ПРАВО НА ДИГИТАЛНИ ЗАБОРАВ (RIGHT
TO BE FORGOTTEN) (ЧЛАН 17.)
Право на дигитални „заборав“ тј. право на брисање
података, уколико не жели да се његови подаци даље
обрађују и задржавају, под условом да не постоје легитимни
разлози за то задржавање.
Да би се спровело ово право, ако особа затражи од интернет
компаније брисање његових података, компанија треба да
проследи захтев и свакој другој, која понавља исте податке.
Право је ограничено у случајевима, нпр. када су подаци
потребни за историјске, статистичке и у научне сврхе или
због постојања јавног интереса у области јавног здравља
или ради остваривања права на слободу изражавања.
Исто тако, право на дигитални заборав се не примењује
када је неопходно задржавање података ради уговорних
обавеза или када је то прописано законом.
! Такође, према тумачењу пресуде ЕСП: политичари неће
моћи тражити брисање њихових ранијих изјава.

11. ИНТЕГРИСАНА ЗАШТИТА ПОДАТАКА
(DATA PROTECTION BY DESIGN/DEFAULT)
(ЧЛАН 25.)
Руковалац ће морати да предузме одговарајуће техничке и
организацијске мере ради осигуравања поштовања услова
ове Уредбе.
Руковалац треба да уведе интерне политике и спроведе
мере које нарочито испуњавају начела техничке заштите
података и интегрисане заштите података.
Мере се могу, између осталог, састојати од смањења
количине обраде личних података, псеудонимизације
личних података што је пре могуће, транспарентности у
вези са функцијама и обрадом личних података,
омогућавања лицу на које се односи податак, да прати
обраду података, омогућавања рукаваоцу да ствара и
побољшава сигурносне функције.
Посебне обавезе за произвођаче софтвера и апликација
посредством којих се обрађују подаци.

12. ПРЕНОСИ ПОДАТАКА У ТРЕЋЕ ЗЕМЉЕ
(ЧЛАНОВИ 44-49)
Уредбом је обухваћен и пренос личних података у треће
земље и међународним организацијама.
У ту сврху Комисија је задужена за процену нивоа заштите
коју пружа подручје или сектор обраде у трећој земљи. Ако
Комисија није донела одлуку о примерености у погледу
подручја или сектора обраде, пренос личних података се
ипак може одвијати у посебним случајевима или када
постоје одговарајућа јeмства (стандардне клаузуле о
заштити података, обвезујућа корпоративна правила,
уговорне клаузуле).

13. ДРАКОНСКЕ КАЗНЕ (ЧЛАН 83.)
За кршење Уредбе предвиђене су и казне у износу до
20.000.000 евра, или у случају предузећа до 4% укупног
годишњег промета на светском нивоу за претходну
финансијску годину.
Хипотеза:
премиса 1: Србија је чланица ЕУ
премиса 2: AirSerbia остварила је годишњи приход од
260.000.000 евра (податак из 2014.)
закључак: У случају незаконите обраде података
Повереник би могао да изрекне казну од 10.400.000 евра

14. ПРОДОР У БЕЗБЕДНОСТ ПОДАТАКА
„Продор у безбедност података (data breach)”
означава кршење сигурности које доводи до
случајног или незаконитог уништења, губитка,
измене, неовлашћеног откривања или приступа
личним подацима који су пренесени, похрањени
или на други начин обрађивани.

15. ШТА ПРОГРАМЕРИ ТРЕБА ДА ЗНАЈУ И ПРИМЕНЕ
1. Права особа чији се лични подаци обрађују
2. Обавезе руковаоца података (именовање службеника за заштиту
података)
3. Начело „све на једном месту“ (Оne stop shop)
4. Минимум година за све друштвене мреже
5. Право на дигитални заборав (Right to be forgotten)
6. Интегрисана заштита података (data protection by design/default)
7. Преноси података у треће земље
8. Успостављање Европског одбора за заштиту података
9. Драконске казне

16. ХВАЛА НА ПАЖЊИ!
Невена Ружић
Nevena.ruzic@poverenik.rs
Сектор за сарадњу и извештавање
ПОВЕРЕНИК ЗА ИНФОРМАЦИЈЕ ОД ЈАВНОГ ЗНАЧАЈА
И ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ