Zakon o zaštiti podataka o ličnosti (ZZPL ili Zakon) je već uveliko na snazi, od 21.08.2019. godine, ali se čini da privredni subjekti ili nisu dovoljno ozbiljno shvatili obaveze koje im ovaj Zakon nameće ili ih ne razumeju dovoljno dobro.
Činjenica da mnoge firme koje posluju u Srbiji, nisu imenovale Lice za zaštitu podataka o ličnosti (DPO), niti Predstavnika u Republici Srbiji, čak i kada ih Zakon na to obavezuje, zaista je zabrinjavajuća. To je dovelo do toga da je Share fondacija podnela prekršajne prijave protiv 16 globalnih tehnoloških kompanija (uključujući Amazon, Twitter, Viber i druge) Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti zbog nepoštovanja obaveze da imenuju Predstavnike u Srbiji. Ovakva inicijativa je urodila plodom budući da je naknadno prijavljen veći broj Predstavnika u Srbiji kojih je trenutno 57 kako je objavljeno na sajtu Poverenika.
Među kompanijama koje su ispunile zahteve novog Zakona o zaštiti podataka o ličnosti su eSky, globalni lider u pružanju usluga organizacije putovanja, HD-WIN, koji stoji iza platforme Bloomberg Adria, RTL Hrvatska, hrvatski medijski gigant, i Lesnina S, jedna od vodećih firmi koja se bavi prodajom nameštaja.
To ipak još uvek ne znači da su svi obavezani subjekti imenovali lice za zaštitu podataka o ličnosti ili Predstavnika u Republici Srbiji, niti da su oni imuni na potencijalne prekršajne prijave u narednom periodu.
Za sve subjekte koji obrađuju podatke o ličnosti i na koje se primenjuje ZZPL, veoma je važno da razumeju razliku između Lica za zaštitu podataka o ličnosti (Data Protection Officer ili DPO) i Predstavnika rukovaoca ili obrađivača koji nema sedište u Republici Srbiji (Predstavnik).
Na prvi pogled izgleda kao da se radi o sličnim ili čak identičnim ulogama. Ipak, razlike između ova dva lica su veoma značajne, a izostanak njihovog imenovanja povlači različite posledice i potencijalne rizike zbog nepoštovanja odredaba ZZPL. Šta više, imenovanje istog lica za obavljanje obe uloge, može dovesti do ozbiljnog sukoba interesa.
U nastavku teksta ćemo pokušati da otklonimo zabune i zablude koje postoje u vezi sa ova dva različita instituta, kao i da Vam pomognemo da razumete da li za Vas postoji obaveza postavljanja jednog od ova dva lica ili čak oba.
1. Ko je Lice za zaštitu podataka o ličnosti ili DPO?
Lice za zaštitu podataka o ličnosti ili Data Protection Officer – DPO je lice koje je postavljeno od strane rukovaoca ili obrađivača i koje ima ključnu ulogu u sve značajnijem sistemu zaštite podataka.
DPO je nezavisno lice koje se stara da kompanija koja ga je postavila i koja prikuplja, odnosno vrši obradu podataka svojih klijenata, zaposlenih, korisnika usluga i svih drugih fizičkih lica, postupa u skladu sa važećim ZZPL.
Osim toga, DPO je dužan da obaveštava i edukuje kompaniju i njene zaposlene o svim aspektima zaštite podataka o ličnosti, prati primenu propisa koji regulišu privatnost i zaštitu podataka, daje mišljenje o proceni uticaja na zaštitu podataka i predstavlja kontakt tačku za saradnju sa Poverenikom, ali i sa licima čiji se podaci obrađuju.
Dakle, DPO je lice koje će da savetuje Vašu kompaniju i da se stara da ste svoje poslovanje uskladili sa obavezama koje nameće ZZPL.
U nastavku teksta ćemo se osvrnuti na konkretne primere i zakonske uslove za imenovanje DPO-a.
Nezavisno od toga da li je domaća ili strana kompanija, postoji obaveza imenovanja DPO kada se:
a) osnovne aktivnosti kompanije sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
b) osnovne aktivnosti kompanije sastoje u obradi posebnih vrsta podataka o ličnosti (naročito osetljivih podataka) ili podataka u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
DPO može da bude bilo koje fizičko lice. Međutim, DPO mora biti lice koje uživa nezavisnost od strane organizacije koja ga je imenovala, a koje poseduje stručne kvalifikacije, naročito stručna znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnost izvršavanja obaveza iz ZZPL.
DPO može biti zaposlen kod rukovaoca ili obrađivača, a može biti i eksterno angažovano lice.
DPO mora biti nezavisan u izvršavanju svojih obaveza. Rukovalac ili obrađivač ne mogu kazniti DPO-a, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje mu nameće ZZPL. Osim toga, rukovalac i obrađivač su odgovorni za obradu podataka, kao i usklađenost sa ZZPL, pa se pravni zahtevi lica čiji se podaci obrađuju i Poverenika, mogu uperiti samo prema njima, a ne prema DPO-u.
S obzirom da su odredbe Zakona o DPO-u veoma uopštene, u narednim primerima ćemo pokušati da Vam približimo kada postoji obaveza imenovanja DPO-a.
Primer 1:
Elektronska prodavnica ABC (nezavisno gde se nalazi sedište kompanije), nudi i prodaje robu putem interneta građanima Republike Srbije. Pored toga, E-prodavnica ABC organizuje program lojalnosti za svoje kupce i u tu svrhu obrađuje veliki broj podataka o ličnosti. Takođe, E-prodavnica ABC vrši profilisanje svojih kupaca i na osnovu toga im šalje personalizovane ponude. U konkretnom primeru E-prodavnica ABC je dužna da imenuje DPO-a koji će biti nadležan za pitanja zaštite podataka o ličnosti.
Primer 2:
Privatna Klinika M sa sedištem u Beogradu obrađuje podatke o ličnosti svojih pacijenata u svom redovnom poslovanju. U ovom primeru, Klinika M je rukovalac, čija se osnovna aktivnost sastoji u obradi velikog broja osetljivih vrsta podataka svojih pacijenata, kao što su podaci o zdravstvenom stanju. Klinika M mora imenovati DPO-a.
Ako ne ispunjavate gore navedene uslove, imenovanje DPO-a nije obavezno, ali se smatra dobrom poslovnom praksom. Takođe, na nivou EU postoji preporuka od strane nadzornih organa država članica, kao i srpskog Poverenika da se DPO postavi čak i kada nije obavezan prema zakonskim odredbama.
2. Ko je Predstavnik za Srbiju i kada postoji obaveza njegovog imenovanja?
Sigurno se pitate čemu služi Predstavnik, ako već morate da imenujete DPO-a.
Ako ste strana firma, koja nema sedište (ni ogranak, ni predstavništvo) u Republici Srbiji, ali se bavite radnjama obrade koje su vezane za:
1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.
Onda imate obavezu da se uskladite sa ZZPL i da imenujete Predstavnika u Republici Srbiji.
Ipak, čak i ako ispunjavate gore navedene uslove, za Vas neće postojati obaveza imenovanja Predstavnika ukoliko:
a) ste organ vlasti;
b) je obrada podataka povremena, ne uključuje u velikoj meri obradu posebnih podataka o ličnosti ili podataka koji se odnose na kažnjiva i krivična dela, odnosno ako je verovatno da neće prouzrokovati rizik za prava i slobode fizičkih lica. U praksi, ovaj izuzetak se retko primenjuje i restriktivno tumači od strane nadzornih organa.
Predstavnik može da bude bilo koje fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije.
Imenovanje Predstavnika mora biti u pismenom obliku.[1] U praksi, najbolje je da se imenovanje Predstavnika uredi ugovorom u pisanoj formi.
Suštinski, Predstavnik je direktna kontakt tačka, tj. lokalna spona između rukovaoca/obrađivača koji nemaju sedište u Republici Srbiji i lica na koje se podaci odnose, odnosno Poverenika. Dakle, navedena lica se mogu obratiti Predstavniku, umesto rukovaocu/obrađivaču, u pogledu svih pitanja u vezi sa obradom podataka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ZZPL.
Bez obzira da li je određen Predstavnik ili ne, svaka pritužba, tužba i ostali pravni zahtevi se mogu podneti protiv rukovaoca ili obrađivača.[2] Rukovalac i obrađivač su odgovorni za obradu podataka građana Republike Srbije, kao i usklađenost sa ZZPL, a ne Predstavnik. Imenovanje Predstavnika ne oslobađa od obaveze, niti ograničava dužnosti rukovaoca/obrađivača koji nemaju sedište u Republici Srbiji.
Iako Zakon ne propisuje izričito, smatramo da ne može isto lice da obavlja obe funkcije. S obzirom da imaju različite uloge, moglo bi doći do sukoba interesa u slučaju postavljanja jednog lica i za DPO-a i za Predstavnika.
I dalje Vam nije jasno da li imate obavezu da imenujete Predstavnika ili ne? Hajde da pogledamo kroz primer:
- Avio kompanija XYZ koja je registrovana i ima sedište u Turskoj, a nudi usluge avio prevoza građanima Republike Srbije i omogućava im online kupovinu karata, pri čemu se prikupljaju podaci kao što su ime i prezime, datum rođenja, broj pasoša, JMBG, broj kreditne/debitne kartice i slično.
- U navedenom slučaju, Avio kompanija XYZ je dužna da imenuje Predstavnika u Republici Srbiji i da omogući kako Povereniku, tako i licima čije podatke obrađuje da joj se obrate sa zahtevima koji se tiču zaštite podataka o ličnosti.
3. Sličnosti i razlike između DPO-a i Predstavnika