Ових дана много се прича о GDPR-у. Због посла упућен сам у детаље овог проблема, па ево кратког хакерског упутства за преживљавање.
GDPR је закон ЕУ који предвиђа одређене механизме за очување приватности грађана ЕУ. Велику забуну у целу ствар уносе површно писани текстови и адвокати којима овако нешто одговара како би себи набацили посао. Разговарао сам са упућеним људима, био на РНИДС-овој конференцији о GDPR-у и разговарао са адвокатом. Ево шта треба да знате.
Адвокат – GDPR питања и одговори
Ја сам грађанин Србије, фирма ми је регистрована у Србији и плаћам порез овде, за моју фирму важе закони Републике Србије, с обзиром да је GDPR закон ЕУ ја нисам дужан да се тиме бавим? Да ли исправно схватам?
Да, у праву си. То је закон ЕУ, а још није још усвојен закон Србије који ће бити паралела GDPR-а.
Да ли смо онда дужни да обавестимо клијенте из ЕУ?
Не. Ниси дужан да будеш упознат са законима ЕУ.
Када ће бити донет домаћи закон?
На РНИДС конференцији је била присутна помоћница министра која пише предлог закона који би требао да буде у складу са GDPR. На питање када се може очекивати да овај предлог дође пред парламент, одговор је био “Стварно не могу да проценим.” Уколико наставимо са усклађивањем поглавља и приближавању ЕУ извесно је да постоји вероватноћа да се појави један овакав закон. То може бити за годину, за пет или никада? Рецимо ако избије криза око Косова и станемо са преговорима неће бити ни GDPR-а.
Да ли ће закон бити у одговорности Повереника?
Још један куриозитет. Тај GDPR закон би требао да буде у надлежности Повереника, али у кулоарима конференције могло је да се чује да ће можда парламент укинути Повереника и питања приватности вратити тужилаштву…
Да ли се наши сајтови могу огласити као “GDPR non-compliant”?
Наравно. Зашто бисте поступали по законима ЕУ? Важе наши закони, додајте на сајт страну о приватности и ту додајте да не подржавате GDPR и да грађани ЕУ користе услуге сајта на своју одговорност.
Ок, али да ли може рецимо ЕУ суд да пресуди у корист неког грађана ЕУ и да ми због тога забрани улазак у ЕУ као власнику фирме?
Наша држава ће уважити одлуку ЕУ суда, али ће бити проблем око извршења. Уколико суд у поступку извршења утврди да има основа онда ће предложити да се иде на парницу и опет цела ствар иде пред наш суд. У сваком случају власнику доо неће нико забранити улазак у ЕУ јер он је приватно лице а не фирма, …не иде то тако.
Да ли ће РНИДС својим одлукама условити власнике домена или регистре да поштују GDPR?
За сада о томе нема назнака. Али, можда би рецимо била добра идеја да РНИДС пружи власницима домена или регистрима правну помоћ у случају да дођу под удар због GDPR закона ЕУ.
Зашто сматрам да GDPR није добар?
Ево једног примера са конференције…. Баја са Златибора рента своје две собе. Ради то већ годинама и за то време било је и неких странаца. Пар година касније Баја је коначно изградио и апартман и сав одушевљен шаље свим својим клијентима промо е-мејл за предстојећу туристичку сезону. У е-мејлу се хвали да има нови апартман и даје промо код старим гостима. БАМ! Тужба за Бају, повредио је GDPR јер је послао Шваби е-мејл, а био је дужан да аутоматски обрише његове податке после две године. Казна од 4% годишњег промета или 20 милиона евра шта год је мање од та два.
Просто ми је невероватно колико је људи из онлајн заједнице утркује да се ускладе са овим законом. Такође, појавише се многи стручњаци да објасне како је GDPR супер закон због заштите приватности података, као да Србија нема свој закон о заштити података него нам треба ЕУ закон.
Хајде да направимо један корак назад.
Сви знамо како су Google, Facebook, Amazon, Booking, AirBnB, Uber и остали завладали светом коришћењем наших података, навика, претрага, слика, геолокације… Сада када су они заузели трон, ЕУ доноси закон због ког ће да буде кажњена моја мала фирма за интернет? Да ли је то оно када богати пишу законе да се заштите од сиромашних?
Да ли за американце важи GDPR? Не, ово је закон ЕУ. Да ли ће мене овај закон да заштити? Неће, јер Србија није део ЕУ, али хоће домаћи већ постојећи закон о приватности. Да ли ће GDPR спречити тајне службе да шпијунирају милионе људи на интернету? Немојте ме засмејавати…
Да ли ће америчке фирме поштовати GDPR? Да, али само оне које раде у ЕУ. У пракси то су FB, Google и велики играчи. Мале америчке фирме ће овај закон игнорисати. Неке фирме у Америци су већ блокирале приступ посетиоцима из ЕУ из протеста. Међу њима и LA Times.
У пракси постоји мноштво примера зашто GDPR није добар. Рецимо, коришћење cookie-ја ће бити проблем, укључујући FB pixel и друге ретаргетинг механизме. Треба да пошаљете поново, свима које имате на е-мејл листи, питање да ли желе да остану на листи. Не бих да дужим овде али проблема је много више, од администрације, до увођења ЕУ контролора и могућности злонамерних тужби.
Ево навешћу само један из мог посла. Рецимо, GDPR каже да морам да обришем податке клијента који не користи моје услуге после 2 године аутоматски. Али, по домаћим регулативама и због опасности од хакера ја сам дужан да чувам логове и никако није логично да обришем податке клијента. Податке не смем да обришем ни због књиговодства већ сам дужан да их чувам 10 година.
Још једна ствар, постојаће свакако период прилагођавања. Првих годину дана ће прво бити упозорења, а ви увек можете поступити по притужби и решити проблем.
На крају, мој савет је да уколико је ЕУ пословање баш битан за вас онда се ускладите. Али ако није, онда не трчите нигде, посматрајте мало шта ће се десити.
Hvala na konkretnim odgovorima, retko se nalaze na netu ovih dana (kada pričamo o GDPR) :) Nego, šta je sa ličnim sajtovima/blogovima koje drže fizička lica u Srbiji, ali imaju i posete iz EU?
Moj lični stav je da ne moraš da radiš ništa za blogove. Veći je problem sa sajtovima koji imaju novčane transakcije webshopovi, booking i slično… Svakako možeš da napraviš stranicu o privatnosti i da dodaš da si GDPR non-compliant.
Advokat mi pomenu da je najlakše kada je blog samo na ćirilici, tj. kada nema engleski jezik. Onda nema spora da je pravljen samo za domaće tržište.
Uglavnom digla se velika prašina nepotrebno oko ovoga. Advokati će naravno skočiti za vrat velikim firmama kao pijavice. Na male sajtove niko neće obraćati pažnju osim u slučaju kada nemate sreće i baš se na vas nakači neki psiho-EU klijent koji želi da vas ošteti. Ovaj nesrećni slučaj se može desiti i ako jeste i ako niste GDPR compliant…
Hvala puno na odgovoru i objašnjenju. U svoju politiku privatnosti sam napisao otprilike to. Jedino što mi je sajt (i tekstovi) na latinici.
Pa i latinica je ok koliko se meni čini.
Hvala imenjače na ovako dobro tekstu. Ovih dana sam tražio konkretne odgovore ali to su uglavnom bile neke nedifinisane priče. Najviše me zanimalo da li moram da postavim obaveštenje na sajtu o načinu upotrebe podatak, Naime, sajt koji ima moja firma služi za oglašavanje (agencija za nekretnine) i na njemu imam listu preplatnika. Pa me je zbog toga zanimalo šta i kako.
Hvala još jednom.
:) Hvala.
Odličan tekst. Svakako će GDPR pomoći velikim firmama da se zaštite od manjih.
Meni je iritantno što sada mnogi sajtovi imaju dosadne pop-upove koji obaveštavaju o privatnosti.
Stvarno ne vidim poentu u njima i ne mogu ni da zamislim da neko na osnovu obaveštenja prouči šta piše u uslovima korišćenja i da posle odluči da ne želi da koristi veb-sajt.
Pa da… to insistiranje na formalnostima do besvesti je užasno. A to što niko realno ne čita ni Tos ni Privacy to nema veze? Važno je da smo mi njega kao obavestili i on je kao razumeo sve pravne termine. Pored toga svo to generisanje obaveštenja je opet legalan SPAM. :)
Hvala Vojkane.
GDPR se odonisi na svakoga ko prikuplja i čuva podatke građana EU. Nema razlike u statusu.
Na svom blogu sam stavio obaveštenej u smislu kakoj eto Miloš ovde i navedo, da zabranjumem građanima EU da ostavljaju podatke jer ne želim da ih prikupljam a ako ih ostave, to rade bez moje saglasnostii ne prihvatam nikakvu odgovornost.
Pa, eto može i tako da se uradi. Ali, opet ne znam da li sada mi svi treba da ružimo sajtove stavljanjem obaveštenja u footer sajta ili sa nekim pop-upovima zato što je EU doneo tamo neki zakon? Šta ćemo kada vlada Madagaskara donese zakon o privatnosti? Hoćemo li tada biti u prekršaju ili je ok da ignorišemo? :) Jednostavno nisam dužan da se bavim time, živim ovde i ovde važe zakoni Srbije.
Hvala na komentaru Pedja.
Konačno jedan koristan tekst na ovu temu.
Hvala, Miloše.
Isto kao sto nismo primjenjivali “accept cookie policy”. Lagano ljudi.
I sta sad ja koji zelim da pokrenem onlajn servis na com domenu, a Srbin sam. Server mi je u USA, a sajt ce naravno biti otvoren za sve. Po cijem zakonu da se vodim?