Zakon o zaštiti podataka o ličnosti (ZZPL ili Zakon) je već uveliko počeo da se primenjuje (21.08.2019. godine), ali se čini da privredni subjekti ili nisu dovoljno ozbiljno shvatili obaveze koje im novi Zakon nameće ili ih ne razumeju dovoljno dobro (o novim zakonskim obavezama smo pisali u blogovima Novi Zakon o zaštiti podataka o ličnosti – ključne novine i Tik-tak, sat otkucava… Da li ste se uskladili sa novim Zakonom o zaštiti podataka o ličnosti?).
Činjenica da mnoge firme koje posluju u Srbiji, nisu imenovale Lice za zaštitu podataka o ličnosti (DPO), niti Predstavnika u Republici Srbiji, čak i kada su po Zakonu obavezne, je zaista zabrinjavajuća. To je dovelo do toga da je Share fondacija podnela prekršajne prijave protiv Fejsbuka i Gugla Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti zbog nepoštovanja obaveze da imenuju Predstavnike u Srbiji. Ozbiljnost situacije potvrđuje i podatak da je nedelju dana od početka primene Zakona, od desetine hiljada rukovalaca, samo njih 192 dostavilo Povereniku, po Zakonu obavezne podatke o licu za zaštitu podataka o ličnosti[1].
Srećom, neke od kompanija su ispunile zahteve novog Zakona o zaštiti podataka o ličnosti, poput kompanije eSky, globalnog lidera u pružanju usluga organizacije putovanja. Za više informacija, pročitajte vest Advokat Tijana Žunić Marić predstavnik za zaštitu podataka globalne kompanije eSky u Srbiji.
Za sve subjekte koji obrađuju podatke o ličnosti i na koje se primenjuje ZZPL, veoma je važno da razumeju razliku između Lica za zaštitu podataka o ličnosti (Data Protection Officer ili DPO) i Predstavnika rukovaoca ili obrađivača koji nema sedište u Republici Srbiji (Predstavnik).
Na prvi pogled izgleda kao da se radi o sličnim ili čak identičnim ulogama. Ipak, razlike između ova dva lica su značajne, a njihovo nepostavljanje povlači različite posledice i potencijalne rizike zbog nepoštovanja odredaba ZZPL (više o kaznama ZZPL u tekstu 5 opasnosti koje Vam prete za nepoštovanje Zakona o zaštiti podataka o ličnosti (ZZPL)). Šta više, imenovanje istog lica za obavljanje obe uloge, može dovesti do ozbiljnog sukoba interesa.
U nastavku teksta ćemo pokušati da otklonimo zabune i zablude koje postoje u vezi sa ova dva različita instituta, kao i da Vam pomognemo da razumete da li za Vas postoji obaveza postavljanja jednog od ova dva lica ili čak oba.
1. Ko je Lice za zaštitu podataka o ličnosti ili DPO?
Lice za zaštitu podataka o ličnosti ili Data Protection Officer – DPO je lice koje je postavljeno od strane rukovaoca ili obrađivača i koje ima ključnu ulogu u novom sistemu zaštite podataka.
DPO je nezavisno lice koje se stara da kompanija koja ga je postavila i koja vrši obradu podataka svojih klijenata, zaposlenih, korisnika usluga i svih drugih fizičkih lica, postupa u skladu sa važećim ZZPL.
Osim toga, DPO je dužan da obaveštava i edukuje kompaniju i njene zaposlene o svim aspektima zaštite podataka o ličnosti, daje mišljenje o proceni uticaja na zaštitu podataka i predstavlja kontakt tačku za saradnju sa Poverenikom, ali i sa licima čiji se podaci obrađuju.
Dakle, DPO je lice koje će da savetuje Vašu kompaniju i da se stara da ste svoje poslovanje uskladili sa obavezama koje nameće ZZPL.
O zakonskim uslovima za imenovanje DPO-a smo detaljno pisali u blogu Novi Zakon o zaštiti podataka o ličnosti – ključne novine. U nastavku teksta ćemo se osvrnuti na konkretne primere.
Kada je DPO obavezan:
a) osnovne aktivnosti kompanije sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
b) osnovne aktivnosti kompanije sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
DPO može da bude bilo koje fizičko ili pravno lice koje poseduje stručne kvalifikacije, a naročito stručna znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnost izvršavanja obaveza iz ZZPL.
DPO može biti zaposlen kod rukovaoca ili obrađivača, a može obavljati poslove i na osnovu ugovora.
DPO mora biti nezavisan u izvršavanju svojih obaveza. Rukovalac ili obrađivač ne mogu kazniti DPO-a, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje mu nameće ZZPL. Osim toga, rukovalac i obrađivač su odgovorni za obradu podataka, kao i usklađenost sa ZZPL, pa se pravni zahtevi lica čiji se podaci obrađuju i Poverenika, mogu uperiti samo prema njima, a ne prema DPO-u.
S obzirom da su odredbe Zakona o DPO-u veoma uopštene, u narednim primerima ćemo pokušati da Vam razjasnimo, kada postoji obaveza imenovanja DPO-a.
Primer 1: Elektronska prodavnica ABC (nezavisno gde se nalazi sedište kompanije), nudi i prodaje robu putem interneta građanima Republike Srbije. Pored toga, E-prodavnica ABC organizuje program lojalnosti za svoje kupce i u tu svrhu obrađuje veliki broj podataka o ličnosti. Takođe, E-prodavnica ABC vrši profilisanje svojih kupaca i na osnovu toga im šalje personalizovane ponude. U konkretnom primeru E-prodavnica ABC je dužna da imenuje DPO-a koji će biti nadležan za pitanja zaštite podataka o ličnosti.
Primer 2: Privatna Klinika M sa sedištem u Beogradu obrađuje podatke o ličnosti svojih pacijenata u svom redovnom poslovanju. U ovom primeru, Klinika M je rukovalac, čija se osnovna aktivnost sastoji u obradi velikog broja osetljivih vrsta podataka svojih pacijenata, kao što su podaci o zdravstvenom stanju.
Klinika M mora imenovati DPO-a.
Ako ne ispunjavate gore navedene uslove, imenovanje DPO-a nije obavezno, ali se smatra dobrom poslovnom praksom, a na nivou EU postoji preporuka od strane Evropskih institucija da se DPO postavi čak i kada nije obavezan.
2. Ko je Predstavnik i kada postoji obaveza njegovog imenovanja?
Sigurno se pitate čemu služi Predstavnik, ako već morate da imenujete DPO-a.
Ako ste strana firma, koja nema sedište (ni ogranak, ni predstavništvo) u Republici Srbiji, ali se bavite radnjama obrade koje su vezane za:
1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.
Onda imate obavezu da se uskladite sa ZZPL i da imenujete Predstavnika u Republici Srbiji.
Ipak, čak i ako ispunjavate gore navedene uslove, za Vas neće postojati obaveza imenovanja Predstavnika ukoliko:
a) ste organ vlasti;
b) je obrada podataka povremena, ne uključuje u velikoj meri obradu posebnih podataka o ličnosti ili podataka koji se odnose na kažnjiva i krivična dela, odnosno ako je verovatno da neće prouzrokovati rizik za prava i slobode fizičkih lica.
Predstavnik može da bude bilo koje fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije.
Imenovanje Predstavnika mora biti u pismenom obliku.[2] U praksi, najbolje je da se postavljenje Predstavnika uredi ugovorom u pisanoj formi.
Suštinski, Predstavnik je lokalna spona, tj. direktna kontakt tačka između rukovaoca/obrađivača koji nemaju sedište u Republici Srbiji i lica na koje se podaci odnose, odnosno Poverenika. Dakle, navedena lica se mogu obratiti Predstavniku, umesto rukovaocu/obrađivaču, u pogledu svih pitanja u vezi sa obradom podataka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ZZPL.
Bez obzira da li je određen Predstavnik ili ne, svaka pritužba, tužba i ostali pravni zahtevi se mogu podneti protiv rukovaoca ili obrađivača.[3] Rukovalac i obrađivač su odgovorni za obradu podataka građana Republike Srbije, kao i usklađenost sa ZZPL, a ne Predstavnik.
Iako nije izričito Zakonom određeno, smatramo da ne može isto lice da obavlja obe funkcije. S obzirom da imaju različite uloge, moglo bi doći do sukoba interesa u slučaju postavljanja jednog lica i za DPO-a i za Predstavnika.
I dalje Vam nije jasno da li imate obavezu da imenujete Predstavnika ili ne? Hajde da pogledamo kroz primer:
- Avio kompanija XYZ koja je registrovana i ima sedište u Turskoj, a nudi usluge avio prevoza građanima Republike Srbije i omogućava im online kupovinu karata, pri čemu se prikupljaju podaci kao što su ime i prezime, datum rođenja, broj pasoša, JMBG, broj kreditne/debitne kartice i slično.
- U navedenom slučaju, Avio kompanija XYZ je dužna da imenuje Predstavnika u Republici Srbiji i da omogući kako Povereniku, tako i licima čije podatke obrađuje da joj se obrate sa zahtevima koji se tiču zaštite podataka o ličnosti.
3. Sličnosti i razlike između DPO-a i Predstavnika
4. Kazne za nepostavljanje DPO-a i/ili Predstavnika
Ukoliko ispunjavate uslove koje smo gore naveli, tj. ako imate obavezu imenovanja DPO-a i/ili Predstavnika, a još uvek to niste uradili, rizikujete izricanje različitih novčanih kazni za prekršaje.
Ako ste rukovalac, odnosno obrađivač koji:
Važno je da znate da se svest građa o zaštiti podataka o ličnosti podigla na znatno veći nivo, što je dovelo do niza upita i prijava kako samim rukovaocima, tako i nadležnim institucijama.
Osim toga, različite nevladine organizacije koje se bave zaštitom podataka o ličnosti su već počele da podnose prekršajne prijave protiv rukovalaca i obrađivača koji nisu ispunili obaveze imenovanja Predstavnika u RS.
Verujemo da je za gigantske firme, finansijski rizik, tj. rizik izricanja novčane kazne minimalan, ali je zato reputacioni rizik koji neusklađivanje sa ZZPL donosi, veoma visok.
