Šta je GDPR i kako utiče na vaše poslovanje?

Opšta uredba o zaštiti podataka (GDPR) je stupila na snagu u maju 2018., nakon dugogodišnjeg procesa usaglašavanja i usvajanja konačne verzije teksta (2012-2016). Pošto je formulacija odredaba u GDPR veoma široka i podložna različitim tumačenjima, Evropski odbor za zaštitu podataka je objavio Smernice u cilju pojašnjenja, između ostalog, u kojim slučajevima se GDPR primenjuje na društva čije sedište se nalazi van EU. U Smernicama se pojašnjava šta znači:

  • nuđenje robe ili usluga licima koja se fizički nalaze u EU,
  • praćenje ponašanja lica koja se nalaze u EU, pod uslovom da se njihovo ponašanje odvija unutar unije.

Evropski odbor za zaštitu podataka otklanja dve česte zablude:

– da se GDPR primenjuje samo na rukovaoce i obrađivače sa sedištem u Evropskoj uniji,

– da se GDPR uvek primenjuje na rukovaoce ili obrađivače koji obrađuju podatke državljana jedne od država članica Evropske unije.

Činjenica da rukovalac ili obrađivač sa sedištem u Srbiji obrađuje podatke državljanina država članica evropske unije, ne znači automatsku primenu GDPR-a.

Da bi se primenila Opšta regulativa na rukovaoce i obrađivače sa sedištem van EU nije bitno da li se obrađuju podaci lica koja imaju državljanstvo ili odobrenje za privremeni ili stalni boravak u jednoj od država članica Evropske unije. Ono što je bitno je da se lica čiji se podaci obrađuju nalaze fizički u Evropskoj Uniji u momentu nuđenja robe ili usluga ili u vreme praćenja njihovog ponašanja i to bez obzira na dužinu trajanja ovih radnji i bez obzira da li su ova lica tu robu ili usluge platila.

Drugim rečima, već sama obrada podataka u cilju nuđenja robe ili usluga, bez krajnje kupovine ove robe, odnosno plaćanja ovih usluga, je dovoljna za primenu rigoroznih sankcija propisanih GDPR-om.

Sa druge strane, sama obrada podataka o ličnosti lica koja se nalaze u Uniji nije dovoljna da bi se primenile odredbe GDPR-a na obrađivača, odnosno rukovaoca koji imaju sedište van EU, već je neophodno da je cilj ove obrade podataka nuđenje robe ili usluga ovim licima ili praćenje njihovog ponašanja unutar Unije.

Evropski odbor za zaštitu podataka dao je u svojim Smernicama uputstva koja ukazuju da se podaci ovih lica obrađuju upravo iz ovih pobuda i uspostavio neke kriterijume za rukovodioce i obrađivače – u slučaju postojanja nekoliko od njih, GDPR se primenjuje.

Kriterijumi se tiču obrađivača podataka i/ili rukovaoca podacima:

  • koji nude dostavu robe u EU
  • sajtovi koji su dostupni u EU
  • koji pominju državu članicu EU u kontekstu nuđenja roba i usluge
  • koji daju putna uputstva (gde su dobri restorani, prodavnice za putnike) u državi EU (mesto gde se te usluge pružaju)
  • koji na svom sajtu daju uputstva na jeziku koji se upotrebljava U EU, a koji se ne koristi u domicilnoj državi

(npr. uputstva data na srpskom i engleskom u Srbiji)

  • kada na svom sajtu omogućavaju plaćanje dobara i usluga u valutama koje se koriste u EU, a koja se ne koristi u domicilnoj državi (srpski sajt koji nudi plaćanje i EUR i RSD)
  • kada se u ponudi dostupnoj na sajtu pominju kupci ili korisnici koji se nalaze u EU
  • čiji su reklame usmereni kupcima iz EU
  • koji nude turističke aktivnosti u EU
  • koji na svom sajtu pominju adrese i telefone koji su dostupni u EU
  • koji upotrebljavaju domen koji je različit od domena domicilne države

Sa druge strane, obrada ličnih podataka državljana država članica EU, koji su zaposleni u društvu u Srbiji, u svrhu isplate zarada, se ne smatra obradom podataka u cilju nuđenja robe ili usluga, te se samim time na ovo društvo ne primenjuju odredbe GDPR-a.

Kada je u pitanju obrada radi praćenja ponašanja/lica unutar EU, bitno je napomenuti da se praćenje odnosi na praćenje osoba putem interneta, odnosno njihovo profilisanje u cilju analiziranja ili predviđanja njihovih ličnih sklonosti, ponašanja i stavova.

Shodno tome, praćenje može biti u vidu:

  • oglašavanja na osnovu ponašanja lica,
  • praćenja geo-lokacije u marketinške svrhe,
  • online praćenje preko upotrebe kolačića ili putem otiska uređaja,
  • formiranja personalizovane analize zdravlja, ili dijete lica putem interneta,
  • video nadzora putem kamere,
  • istraživanja tržišta i drugih studija ponašanja baziranih na ličnim studijama ponašanja baziranih na ličnim profilima.

Opet, kriterijumi se posmatraju skupa (u cilju indikacije da je ciljna grupa unutar EU), ne pojedinačno.

Ono što je bitno za rukovaoce/obrađivače podataka u Srbiji je da, ukoliko obrađuju podatke o licima koja se fizički nalaze u EU, u cilju nuđenja robe ili usluga, nezavisno od toga da li lice čiji se podaci obrađuju treba da plati tu robu ili usluge, ili prate ponašanja ovih lica, pod uslovom da se njihovo ponašanje odvija unutar Unije, prate procedure Opšte uredbe o zaštiti podataka u cilju izbegavanja kazni.

Saglasno GDPR-u, potrebno je angažovati lice (fizičko ili pravno) koje će u Vaše ime i za Vaš račun istupati kao Vaš predstavnik u Evropskoj Uniji i omogućiti Vam da poštujete odredbe GDPR-a. Njegovi podaci moraju biti dostupni licima čiji podaci se obrađuju (npr. mogu se navesti u politici privatnosti), a sedište predstavnika bi trebalo da bude u onoj državi članici u kojoj se nalaze lica čiji podaci se obrađuju.

Relevantni primeri su preuzeti iz gorepomenutih Smernica 3/18 povodom teritorijalne primene GDPR (član 3), u cilju dodatnih pojašnjenja.

Na strani 16, primer broj 9, ilustruje primenu Uredbe na sva lica unutar EU:

Novoosnovano preduzeće u SAD-u, bez sedišta i poslovne prisutnosti u Evropskoj Uniji, nude korišćenje aplikacije sa mapama gradova za turiste. Aplikacija obrađuje lične podatke povezane sa lokacijom korisnika te aplikacije kada počnu da je koriste u gradu koji posećuju kako bi im prikazivali ciljane reklame o mestima koja mogu posetiti, restorane, kafiće i hotele. Aplikacija je dostupna turistima u New Yorku, San Franciscu, Torontu, Parizu i Rimu.

Pri ponudi aplikacije s mapama gradova ciljana grupa novoosnovanog preduzeća iz SAD-a su pojedinci u Uniji (konkretno u Parizu i Rimu) jer se tim pojedincima usluge nude dok se nalaze u Uniji. Obrada ličnih podataka ispitanika unutar EU u vezi sa ponudom potpada pod GDPR po članu 3, stav 2.“

Evropski odbor za zaštitu podataka takođe, navodi primer kada se smatra da rukovalac, ili obrađivač sa sedištem van Evropske unije, obrađuje lične podatke lica koja se nalaze u EU u cilju praćenja njihovog ponašanja unutar Unije, u primeru br. 17, strana 21:

“Maloprodajno društvo za savetovanje sa sedištem u SAD-u daje savet o uređenju prodajnog prostora trgovinskom centru u Francuskoj, na temelju analize podataka o kretanju kupaca kroz nju koji su prikupljeni njihovim praćenjem putem Wi-Fi mreže. Analiza kretanja kupaca po centru njihovim praćenjem putem Wi-Fi mreže predstavlja praćenje ponašanja pojedinaca. U tom se slučaju ponašanje ispitanika odvija u Uniji, jer se trgovački centar nalazi u Francuskoj. Kad je reč o obradi tih podataka u navedenu svrhu, društvo za savetovanje, ima ulogu rukovaoca obrade podataka, te se primenjuje Opšta uredba o zaštiti podataka (čl.3, st.2) i u skladu sa članom 27 moraju imenovati predstavnika u Uniji. “

Na osnovu svega navedenog, jasno je da će GDRP u godinama koje dolaze donositi još mnogo slučajeva u kojima će obrada podataka o ličnosti biti proces koje će u svakom konkretnom slučaju morati da se posveti posebna pažnja.

Povezani Članci

Mihajlo Matković među ključnim govornicima na BRICS+ Fashion Summit-u

17.09.2025.

Managing Partner jača svoju poziciju u globalnom sektoru resursa

31.07.2025.

Srbija je prekršila pravo na imovinu oduzimanjem neprijavljene gotovine stranim državljanima

03.07.2025.
Sva Prava Zadržana © 2025 Matković & Partners.
Politika Privatnosti
X-twitter Facebook Linkedin Instagram