Teritorijalno važenje GDPR-a: smernice i pojašnjenja za domaće IT preduzetnike

Da li kompanija iz Srbije može da bude kažnjena drakonskim novčanim kaznama koje Opšta uredba EU o zaštiti podataka o ličnosti propisuje i u kojim okolnostima? O ovoj temi za Startit piše Petar Kalezić iz SHARE Fondacije.

Petar Kalezić - 5. Decembar, 2018.

U kontekstu obrade podataka o ličnosti, ključno pitanje za kompanije i preduzetnike izvan EU tiče se slučajeva u kojima će se Opšta uredba EU o zaštiti podataka o ličnosti (GDPR) primenjivati na njihovo poslovanje. U domaćoj javnosti često postoje nedoumice u pogledu toga da li kompanija iz Srbije može da bude kažnjena drakonskim novčanim kaznama koje Opšta uredba propisuje i u kojim okolnostima. Takođe, zabluda koja se često javlja kod domaćih IT privrednika i startapa, koji se oslanjaju na podatke o ličnosti kao ključni resurs digitalne ekonomije, jeste da se GDPR automatski primenjuje na njih ako poseduju bilo koje podatke o ličnosti građana EU.

Član 3, stav 2 Opšte uredbe navodi da se ona primenjuje na sve rukovaoce i obrađivače van EU, koji obrađuju podatke o ličnosti lica koji se nalaze u EU, ukoliko je aktivnost obrade u vezi sa nuđenjem roba i usluga licima na teritoriji EU ili ako se prati njihovo ponašanje unutar EU. Ovako široko definisana odredba ostavlja dosta prostora za tumačenje, pa i dalje nije potpuno jasno u kojim se tačno situacijama primenju Opšta uredba.

Kako bi privrednici lakše razumeli u kojim se slučajevima Opšta uredba primenjuje na njih, Evropski odbor za zaštitu podataka je izdao smernice u kojima bliže tumači ovu odredbu. Smernice Evropskog odbora su ključni dokument za razumevanje situacija u kojima se Opšta uredba odnosi na vas, odnosno vaše poslovanje, pogotovo imajući u obzir da većina startapa ima za cilj pružanje roba i usluga ili praćenje lica na koja se podaci odnose na teritoriji EU.

U pogledu targetiranja lica koja se nalaze u EU, Evropski odbor smatra da lica koja su predmet ove odredbe nisu ograničena državljanstvom, prebivalištem ili drugim vrstama pravnog statusa, već da se targetiranjem subjekata u EU smatra svako targetiranje ljudi koji se fizički nalaze unutar EU prostora. Lokacija lica je relevantna u trenutku otpočinjanja targetiranja, odnosno u trenutku kada se počinje sa pružanjem roba i usluga ili u trenutku kada se otpočne sa praćenjem ponašanja.

Dodatno, treba napomenuti da obrada podataka državljana ili stanovnika EU, koja se odvija u trećoj zemlji, ne povlači primenu Opšte uredbe dokle god se obrada podataka ne odnosi na konkretnu ponudu usmerenu prema subjektima u EU ili na praćenje njihovog ponašanja unutar EU. Iz navedenog se može zaključiti da se Opšta uredba primenjuje na sve subjekte koji pružaju robu i usluge licima koja se nalaze na teritoriji EU ili subjekte koji prate ponašanje lica u okviru EU. Vrlo je bitno napomenuti da se navedeni kriterijumi za pružanje roba i usluga primenjuju bez obzira da li je izvršeno plaćanje robe i usluga.

Kriterijumi

Kriterijum targetiranja može biti ispunjen ukoliko je roba ili usluga usmerena na osobu u EU i ukoliko aktivnosti rukovaoca podacima, odnosno obrađivača podataka, imaju za nameru nuđenje robe ili usluga subjektu koji se nalazi u EU. Tačnije, ovaj kriterijum će se primeniti ukoliko je očigledno da rukovalac, odnosno obrađivač, predviđa pružanje usluga ili robe subjektima u nekoj od država članica.

Kriterijumi koji se moraju uzeti u obzir prilikom određivanja da li se u konkretnoj situaciji robe i usluge nude licima na teritoriji EU su:

  1. EU ili najmanje jedna država članica spomenuta je u kontekstu pružanja roba i usluga
  2. Rukovalac ili obrađivač plaća servisima za pretraživanje (npr. Google, Bing) kako bi olakšao pristup potrošačima iz EU, odnosno usmerio je reklame i marketing prema licima u EU
  3. Međunarodne turističke aktivnosti
  4. Postojanje adrese ili kontakt telefona koji se mogu kontaktirati iz EU
  5. Korišćenje nacionalnog domena države članice ili .eu domena
  6. Postojanje plana putovanja od države članice do mesta gde se usluge i robe pružaju
  7. Upotreba jezika ili valute jedne ili više država članica
  8. Mogućnost isporuke robe u države članice

Praćenje ponašanja subjekata

Kada je u pitanju praćenje ponašanja subjekata, neophodno je da se praćeno lice nalazi unutar EU, kao i da se praćeno ponašanje odvija na teritoriji EU. Takođe, vrlo je bitno istaći da se ponašanje može pratiti ne samo putem interneta, već i preko drugih servisa i uređaja (prenosivi uređaji, pametni uređaji).

Aktivnosti koje se mogu smatrati praćenjem subjekata su:

  1. Oglašavanje na osnovu ponašanja lica (behavioural advertising)
  2. Praćenje geolokacije u reklamne svrhe
  3. Onlajn praćenje putem kolačića ili putem drugih tehnika, kao što je praćenje jedinstvenog ‚‚otiska” uređaja (fingerprinting)
  4. Analize ishrane i zdravlja
  5. Video nadzor putem kamera
  6. Analiza ponašanja
  7. Praćenje zdravstvenog stanja pojedinca

Na osnovu navedenog, može se zaključiti da je kriterijum za određivanje da li se robe i usluge nude subjektima, EU odnosno da li se prati ponašanje EU subjekta vrlo široko definisan, te je preporučljivo izvršiti analizu vašeg poslovanja kako biste bili sigurni da li se, i u kojim situacijama, odredbe Opšte uredbe odnose na vas ili vašu organizaciju.