gdpr srbija

GDPR u Srbiji – panika i manje poznate stvari

Ovih dana mnogo se priča o GDPR-u. Zbog posla upućen sam u detalje ovog problema, pa evo kratkog hakerskog uputstva za preživljavanje.

GDPR je zakon EU koji predviđa određene mehanizme za očuvanje privatnosti građana EU. Veliku zabunu u celu stvar unose površno pisani tekstovi i advokati kojima ovako nešto odgovara kako bi sebi nabacili posao. Razgovarao sam sa upućenim ljudima, bio na RNIDS-ovoj konferenciji o GDPR-u i razgovarao sa advokatom. Evo šta treba da znate.

Advokat – GDPR pitanja i odgovori

Ja sam građanin Srbije, firma mi je registrovana u Srbiji i plaćam porez ovde, za moju firmu važe zakoni Republike Srbije, s obzirom da je GDPR zakon EU ja nisam dužan da se time bavim? Da li ispravno shvatam?

Da, u pravu si. To je zakon EU, a još nije još usvojen zakon Srbije koji će biti paralela GDPR-a.

Da li smo onda dužni da obavestimo klijente iz EU?

Ne. Nisi dužan da budeš upoznat sa zakonima EU.

Kada će biti donet domaći zakon?

Na RNIDS konferenciji je bila prisutna pomoćnica ministra koja piše predlog zakona koji bi trebao da bude u skladu sa GDPR. Na pitanje kada se može očekivati da ovaj predlog dođe pred parlament, odgovor je bio „Stvarno ne mogu da procenim.“ Ukoliko nastavimo sa usklađivanjem poglavlja i približavanju EU izvesno je da postoji verovatnoća da se pojavi jedan ovakav zakon. To može biti za godinu, za pet ili nikada? Recimo ako izbije kriza oko Kosova i stanemo sa pregovorima neće biti ni GDPR-a.

Da li će zakon biti u odgovornosti Poverenika?

Još jedan kuriozitet. Taj GDPR zakon bi trebao da bude u nadležnosti Poverenika, ali u kuloarima konferencije moglo je da se čuje da će možda parlament ukinuti Poverenika i pitanja privatnosti vratiti tužilaštvu…

Da li se naši sajtovi mogu oglasiti kao „GDPR non-compliant“?

Naravno. Zašto biste postupali po zakonima EU? Važe naši zakoni, dodajte na sajt stranu o privatnosti i tu dodajte da ne podržavate GDPR i da građani EU koriste usluge sajta na svoju odgovornost.

Ok, ali da li može recimo EU sud da presudi u korist nekog građana EU i da mi zbog toga zabrani ulazak u EU kao vlasniku firme?

Naša država će uvažiti odluku EU suda, ali će biti problem oko izvršenja. Ukoliko sud u postupku izvršenja utvrdi da ima osnova onda će predložiti da se ide na parnicu i opet cela stvar ide pred naš sud. U svakom slučaju vlasniku doo neće niko zabraniti ulazak u EU jer on je privatno lice a ne firma, …ne ide to tako.

Da li će RNIDS svojim odlukama usloviti vlasnike domena ili registre da poštuju GDPR?

Za sada o tome nema naznaka. Ali, možda bi recimo bila dobra ideja da RNIDS pruži vlasnicima domena ili registrima pravnu pomoć u slučaju da dođu pod udar zbog GDPR zakona EU.

Zašto smatram da GDPR nije dobar?

Evo jednog primera sa konferencije…. Baja sa Zlatibora renta svoje dve sobe. Radi to već godinama i za to vreme bilo je i nekih stranaca. Par godina kasnije Baja je konačno izgradio i apartman i sav oduševljen šalje svim svojim klijentima promo email za predstojeću turističku sezonu. U emailu se hvali da ima novi apartman i daje promo kod starim gostima. BAM! Tužba za Baju, povredio je GDPR jer je poslao Švabi email, a bio je dužan da automatski obriše njegove podatke posle dve godine. Kazna od 4% godišnjeg prometa ili 20 miliona eura šta god je manje od ta dva.

Prosto mi je neverovatno koliko je ljudi iz online zajednice utrkuje da se usklade sa ovim zakonom. Takođe, pojaviše se mnogi stručnjaci da objasne kako je GDPR super zakon zbog zaštite privatnosti podataka, kao da Srbija nema svoj zakon o zaštiti podataka nego nam treba EU zakon.

Hajde da napravimo jedan korak nazad.

Svi znamo kako su Google, Facebook, Amazon, Booking, Airbnb, Uber i ostali zavladali svetom korišćenjem naših podataka, navika, pretraga, slika, geolokacije… Sada kada su oni zauzeli tron, EU donosi zakon zbog kog će da bude kažnjena moja mala firma za internet? Da li je to ono kada bogati pišu zakone da se zaštite od siromašnih?

Da li za amerikance važi GDPR? Ne, ovo je zakon EU. Da li će mene ovaj zakon da zaštiti? Neće, jer Srbija nije deo EU, ali hoće domaći već postojeći zakon o privatnosti. Da li će GDPR sprečiti tajne službe da špijuniraju milione ljudi na internetu? Nemojte me zasmejavati…

Da li će američke firme poštovati GDPR? Da, ali samo one koje rade u EU. U praksi to su FB, Google i veliki igrači. Male američke firme će ovaj zakon ignorisati. Neke firme u Americi su već blokirale pristup posetiocima iz EU iz protesta. Među njima i LA Times.

U praksi postoji mnoštvo primera zašto GDPR nije dobar. Recimo, korišćenje cookie-ja će biti problem, uključujući FB pixel i druge retargeting mehanizme. Treba da pošaljete ponovo, svima koje imate na email listi, pitanje da li žele da ostanu na listi. Ne bih da dužim ovde ali problema je mnogo više, od administracije, do uvođenja EU kontrolora i mogućnosti zlonamernih tužbi.

Evo navešću samo jedan iz mog posla. Recimo, GDPR kaže da moram da obrišem podatke klijenta koji ne koristi moje usluge posle 2 godine automatski. Ali, po domaćim regulativama i zbog opasnosti od hakera ja sam dužan da čuvam logove i nikako nije logično da obrišem podatke klijenta. Podatke ne smem da obrišem ni zbog knjigovodstva već sam dužan da ih čuvam 10 godina.

Još jedna stvar, postojaće svakako period prilagođavanja. Prvih godinu dana će prvo biti upozorenja, a vi uvek možete postupiti po pritužbi i rešiti problem.

Na kraju, moj savet je da ukoliko je EU poslovanje baš bitan za vas onda se uskladite. Ali ako nije, onda ne trčite nigde, posmatrajte malo šta će se desiti.

13 Comments

  1. Stefan

    Hvala na konkretnim odgovorima, retko se nalaze na netu ovih dana (kada pričamo o GDPR) :) Nego, šta je sa ličnim sajtovima/blogovima koje drže fizička lica u Srbiji, ali imaju i posete iz EU?

    • Moj lični stav je da ne moraš da radiš ništa za blogove. Veći je problem sa sajtovima koji imaju novčane transakcije webshopovi, booking i slično… Svakako možeš da napraviš stranicu o privatnosti i da dodaš da si GDPR non-compliant.

      Advokat mi pomenu da je najlakše kada je blog samo na ćirilici, tj. kada nema engleski jezik. Onda nema spora da je pravljen samo za domaće tržište.

      Uglavnom digla se velika prašina nepotrebno oko ovoga. Advokati će naravno skočiti za vrat velikim firmama kao pijavice. Na male sajtove niko neće obraćati pažnju osim u slučaju kada nemate sreće i baš se na vas nakači neki psiho-EU klijent koji želi da vas ošteti. Ovaj nesrećni slučaj se može desiti i ako jeste i ako niste GDPR compliant…

  2. Stefan

    Hvala puno na odgovoru i objašnjenju. U svoju politiku privatnosti sam napisao otprilike to. Jedino što mi je sajt (i tekstovi) na latinici.

  3. Hvala imenjače na ovako dobro tekstu. Ovih dana sam tražio konkretne odgovore ali to su uglavnom bile neke nedifinisane priče. Najviše me zanimalo da li moram da postavim obaveštenje na sajtu o načinu upotrebe podatak, Naime, sajt koji ima moja firma služi za oglašavanje (agencija za nekretnine) i na njemu imam listu preplatnika. Pa me je zbog toga zanimalo šta i kako.
    Hvala još jednom.

  4. Vojkan

    Odličan tekst. Svakako će GDPR pomoći velikim firmama da se zaštite od manjih.
    Meni je iritantno što sada mnogi sajtovi imaju dosadne pop-upove koji obaveštavaju o privatnosti.
    Stvarno ne vidim poentu u njima i ne mogu ni da zamislim da neko na osnovu obaveštenja prouči šta piše u uslovima korišćenja i da posle odluči da ne želi da koristi veb-sajt.

    • Pa da… to insistiranje na formalnostima do besvesti je užasno. A to što niko realno ne čita ni Tos ni Privacy to nema veze? Važno je da smo mi njega kao obavestili i on je kao razumeo sve pravne termine. Pored toga svo to generisanje obaveštenja je opet legalan SPAM. :)

      Hvala Vojkane.

  5. GDPR se odonisi na svakoga ko prikuplja i čuva podatke građana EU. Nema razlike u statusu.

    Na svom blogu sam stavio obaveštenej u smislu kakoj eto Miloš ovde i navedo, da zabranjumem građanima EU da ostavljaju podatke jer ne želim da ih prikupljam a ako ih ostave, to rade bez moje saglasnostii ne prihvatam nikakvu odgovornost.

    • Pa, eto može i tako da se uradi. Ali, opet ne znam da li sada mi svi treba da ružimo sajtove stavljanjem obaveštenja u footer sajta ili sa nekim pop-upovima zato što je EU doneo tamo neki zakon? Šta ćemo kada vlada Madagaskara donese zakon o privatnosti? Hoćemo li tada biti u prekršaju ili je ok da ignorišemo? :) Jednostavno nisam dužan da se bavim time, živim ovde i ovde važe zakoni Srbije.

      Hvala na komentaru Pedja.

  6. Konačno jedan koristan tekst na ovu temu.
    Hvala, Miloše.

  7. Gdneprdi

    Isto kao sto nismo primjenjivali „accept cookie policy“. Lagano ljudi.

  8. Darko

    I sta sad ja koji zelim da pokrenem onlajn servis na com domenu, a Srbin sam. Server mi je u USA, a sajt ce naravno biti otvoren za sve. Po cijem zakonu da se vodim?

Leave a Reply to Milos StanicCancel reply