Svi subjekti koji u okviru svog poslovanja prikupljaju i obrađuju podatke o ličnosti zaposlenih, klijenata, korisnika usluga ili drugih fizičkih lica dužni su da svoje postupanje usklade sa obavezama propisanim Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: „Zakon“).
U savremenom poslovanju gotovo da ne postoji delatnost u kojoj se, u većoj ili manjoj meri, ne obrađuju podaci o ličnosti. Bilo da se radi o pružanju zdravstvenih usluga, obavljanju finansijskih transakcija, organizovanju sportskih i kulturnih aktivnosti, upravljanju nepokretnostima ili pružanju različitih usluga građanima, rukovaoci podacima se svakodnevno susreću sa obradom velikog broja podataka o ličnosti, često i onih koji spadaju u posebne vrste podataka.
Upravo iz tog razloga zakonodavac je uspostavio pravila u oblasti zaštite podataka o ličnosti, dok je nadzor nad njihovom primenom poveren Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: „Poverenik“).
Zašto je 2026. godina posebno značajna za određene rukovaoce?
Krajem 2025. godine Poverenik je, postupajući u skladu sa Zakonom o zaštiti podataka o ličnosti, kao i Zakonom o inspekcijskom nadzoru, doneo Plan inspekcijskog nadzora za 2026. godinu.
Plan inspekcijskog nadzora predstavlja zvanični dokument kojim Poverenik, na osnovu prethodne procene rizika, definiše prioritete u radu, vrste nadzora koje će sprovoditi, kao i kategorije rukovalaca kod kojih će se vršiti redovan inspekcijski nadzor. Drugim rečima, Plan daje jasan uvid u to koje delatnosti su u fokusu Poverenika u 2026. godini, ali i na osnovu kojih kriterijuma će se odlučivati da li i kada će nadzor biti sproveden.
Koje kategorije rukovalaca su obuhvaćene Planom inspekcijskog nadzora za 2026. godinu?
U skladu sa Planom inspekcijskog nadzora za 2026. godinu, redovan inspekcijski nadzor biće sproveden kod određenih kategorija rukovalaca podacima o ličnosti, i to prvenstveno kod onih subjekata kod kojih, iz objektivnih razloga, nije realizovan redovan inspekcijski nadzor planiran za 2025. godinu.
Planom su obuhvaćeni rukovaoci koji posluju u delatnostima koje po svojoj prirodi podrazumevaju intenzivnu obradu podataka o ličnosti, a često i obradu podataka o ličnosti posebne vrste. Među njima su, između ostalog, zdravstvene ustanove u privatnoj svojini (uključujući privatnu praksu), privatne medicinske laboratorije i apotekarske ustanove, priređivači igara na sreću, sportska udruženja, ustanove kulture, biblioteke i pozorišta, profesionalni upravnici, agencije za iznajmljivanje vozila, banke, kao i osiguravajuća društva i zastupnici u oblasti osiguranja kod kojih nije realizovan nadzor tokom 2025.
Zajedničko za ove delatnosti jeste povećan rizik po prava i slobode fizičkih lica, što je i bio ključni kriterijum za njihovo uvrštavanje u Plan nadzora.
Ukoliko ste medju njima i još uvek niste uskladili svoje poslovanje sa Zakonom, možda će vas skorašnje aktivnosti Poverenika naterati da promenite mišljenje i preduzmete neophodne korake.
Koja je svrha inspekcijskog nadzora Poverenika?
Prema Zakonu o inspekcijskom nadzoru, inspekcijski nadzor predstavlja posao državne uprave koji se sprovodi sa ciljem da se obezbedi zakonitost i bezbednost postupanja nadziranih subjekata, ali i da se preventivno deluje kako bi se sprečile ili otklonile štetne posledice po prava i interese građana.
To u praksi znači da inspekcijski nadzor ne treba posmatrati isključivo kao represivnu meru. Njegova svrha je, pre svega, da se utvrdi stvarno stanje, identifikuju potencijalni i stvarni rizici, nalože mere za njihovo otklanjanje i unapredi ukupan nivo zaštite podataka o ličnosti kod rukovalaca.
Kako Poverenik procenjuje rizik i planira nadzor?
Plan inspekcijskog nadzora zasniva se na proceni rizika. Rizik se procenjuje prema stepenu ugroženosti prava lica na koje se podaci odnose i može biti svrstan u kategorije od neznatnog do kritičnog.
U postupku procene rizika Poverenik koristi različite izvore informacija, a jedan od najznačajnijih instrumenata u tom procesu jesu kontrolne liste.
Šta je Kontrolna lista i zašto ima toliku težinu?
Kontrolna lista predstavlja standardizovani upitnik putem kojeg Poverenik prikuplja podatke o stepenu usklađenosti rukovalaca sa Zakonom. Ona se sastoji od ukupno 14 pitanja, pri čemu svako pitanje ima dva ili tri ponuđena odgovora. Određeni odgovori zahtevaju dodatna pojašnjenja, kao i dostavljanje odgovarajućih dokaza.
Svaki odgovor se boduje, a maksimalan broj bodova koji rukovalac može ostvariti iznosi 100. Na osnovu ukupnog broja bodova rukovalac se svrstava u odgovarajuću kategoriju rizika. Popunjena Kontrolna lista ima karakter izveštaja o samoproveri i dostavlja se Povereniku u roku od sedam dana od dana prijema zahteva.
Važno je naglasiti da Kontrolna lista nije puka administrativna formalnost. Odgovori koje rukovalac u njoj navede predstavljaju zvanične navode o stanju usklađenosti sa Zakonom, služe kao osnov za planiranje redovnog inspekcijskog nadzora i mogu biti predmet naknadne provere u inspekcijskom postupku.
Davanje netačnih ili nepotpunih podataka, kao i prikrivanje relevantnih činjenica, može imati ozbiljne pravne posledice.
Kako se pravilno pripremiti za popunjavanje Kontrolne liste?
Da bi rukovalac uopšte mogao pravilno da odgovori na pitanja iz Kontrolne liste, neophodno je da prethodno ima jasan i potpun uvid u sve procese obrade podataka o ličnosti u okviru svog poslovanja. To podrazumeva da rukovalac zna koje podatke obrađuje, čije podatke obrađuje, u koje svrhe se podaci obrađuju, koji je pravni osnov za svaku pojedinačnu obradu, koliko dugo se podaci čuvaju, gde se podaci nalaze i sa kim se eventualno dele.
Bez ovakvog pregleda, popunjavanje Kontrolne liste svodi se na nagađanje, što predstavlja ozbiljan rizik u komunikaciji sa nadzornim organom.
U prethodnim tekstovima smo ukazivali privrednim subjektima na neophodnost usklađivanja se obavezama iz Zakona o zaštiti podataka o ličnosti i izradili kratak vodič kako da se uskladite.
Da li je dovoljno samo pročitati Zakon?
Iako je poznavanje Zakona neophodno, ono samo po sebi nije dovoljno. Kontrolne liste ne sadrže objašnjenja osnovnih pojmova, već se u pojedinim pitanjima direktno upućuje na konkretne zakonske odredbe. Da bi se na takva pitanja pravilno odgovorilo, potrebno je suštinsko razumevanje pojmova kao što su rukovalac, obrađivač, primalac, evidencije radnji obrade, povreda podataka o ličnosti i drugih instituta iz Zakona, kao i razumevanje njihove praktične primene.
Šta ako Kontrolna lista ukaže na visok ili kritičan rizik?
Svrstavanje rukovaoca u kategoriju visokog ili kritičnog rizika ne znači automatsko kažnjavanje. .Međutim, nedostavljanje Kontrolne liste u ostavljenom roku Poverenik može tumačiti kao povećanu verovatnoću postojanja rizika, što u značajnoj meri povećava verovatnoću pokretanja inspekcijskog nadzora i izricanja višemilionske kazne za prekršaj.
Pored toga, to predstavlja jasan signal da postoje ozbiljni nedostaci u sistemu zaštite podataka o ličnosti i da je neophodno hitno preduzeti mere usklađivanja.
Takve mere u praksi mogu uključivati donošenje ili ažuriranje internih akata, uspostavljanje evidencija radnji obrade, uvođenje adekvatnih tehničkih i organizacionih mera zaštite, imenovanje lica za zaštitu podataka o ličnosti kada je to potrebno, regulisanje odnosa sa obrađivačima odgovarajućim ugovorima, kao i uspostavljanje jasnih procedura za postupanje u slučaju povrede podataka o ličnosti.
Kako izgleda redovan i vanredni inspekcijski nadzor?
Redovan inspekcijski nadzor sprovodi se na osnovu Operativnog plana, na tromesečnom nivou, i može biti kancelarijski, terenski ili kombinacija oba oblika. Predmet nadzora je provera ispunjenosti obaveza propisanih Zakonom, pri čemu se posebna pažnja posvećuje onim obavezama koje je rukovalac sam naveo u Kontrolnoj listi.
Pored redovnog, Poverenik može sprovesti i vanredni inspekcijski nadzor, koji se pokreće po službenoj dužnosti, na osnovu predstavki i pritužbi građana, medijskih i internet sadržaja ili drugih saznanja o mogućoj povredi Zakona.
Zašto je sada pravi trenutak za usklađivanje?
Plan inspekcijskog nadzora za 2026. godinu jasno pokazuje da je fokus Poverenika na proceni rizika, preventivnom delovanju, ali i doslednoj primeni Zakona. Rukovaocima obuhvaćenim Planom preporučuje se da već sada provere svoju usklađenost sa propisima, koriste javno dostupne Kontrolne liste i blagovremeno preduzmu sve neophodne korake kako bi umanjili rizike i izbegli potencijalne posledice u inspekcijskom postupku.
Iako je do sada Poverenik prevashodno radio na edukaciji, prevenciji i nije strogo kažnjavao one koji ne poštuju Zakon, izgleda da se ta praksa Poverenika menja i da počinje da sledi praksu kolega iz Evropske Unije, što pokazuju prve kazne i prekršajne prijave koje je Poverenik izrekao.
