Zakon o zaštiti podataka o ličnosti (ZZPL ili Zakon) je već uveliko na snazi (od 21.08.2019. godine), ali se čini da privredni subjekti ili nisu dovoljno ozbiljno shvatili obaveze koje im ovaj Zakon nameće ili ih ne razumeju dovoljno dobro (o novim zakonskim obavezama smo pisali u blogovima Zakon o zaštiti podataka o ličnosti – kratak vodič kako da se uskladite i Obaveze iz Zakona o zaštiti podataka o ličnosti – da li ste se uskladili 3 godine nakon usvajanja?).
Činjenica da mnoge firme koje posluju u Srbiji, nisu imenovale Lice za zaštitu podataka o ličnosti (DPO), niti Predstavnika u Republici Srbiji, čak i kada ih Zakon na to obavezuje, zaista je zabrinjavajuća. To je dovelo do toga da je Share fondacija podnela prekršajne prijave protiv 16 globalnih tehno kompanija (uključujući Amazon, Twitter, Viber i druge) Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti zbog nepoštovanja obaveze da imenuju Predstavnike u Srbiji. Ovakva inicijativa je uradila plodom budući da je naknadno prijavljen veći broj Predstavnika u Srbiji kojih je trenutno 48 kako je objavljeno na sajtu Poverenika.
Među kompanijama koje su ispunile zahteve novog Zakona o zaštiti podataka o ličnosti sueSky, globalni lider u pružanju usluga organizacije putovanja, HD-WIN, koji stoji iza platforme Bloomberg Adria i Lesnina S, jedna od vodećih firmi koja se bavi prodajom nameštaja. Za više informacija, pročitajte vesti Advokat Tijana Žunić Marić predstavnik za zaštitu podataka globalne kompanije eSky u Srbiji i Bloomberg Adria imenovala Tijanu Žunić Marić kao Predstavnika za zaštitu podataka za Srbiju.
To ipak još uvek ne znači da su svi obavezani subjekti imenovali lice za zaštitu podataka o ličnosti ili Predstavnika u Republici Srbiji, niti da su oni imuni na potencijalne prekršajne prijave u narednom periodu.
Za sve subjekte koji obrađuju podatke o ličnosti i na koje se primenjuje ZZPL, veoma je važno da razumeju razliku između Lica za zaštitu podataka o ličnosti (Data Protection Officer ili DPO) i Predstavnika rukovaoca ili obrađivača koji nema sedište u Republici Srbiji (Predstavnik).
Na prvi pogled izgleda kao da se radi o sličnim ili čak identičnim ulogama. Ipak, razlike između ova dva lica su veoma značajne, a izostanak njihovog imenovanja povlači različite posledice i potencijalne rizike zbog nepoštovanja odredaba ZZPL (više o kaznama ZZPL u tekstu 5 opasnih posledica nepoštovanja Zakona o zaštiti podataka o ličnosti). Šta više, imenovanje istog lica za obavljanje obe uloge, može dovesti do ozbiljnog sukoba interesa.
U nastavku teksta ćemo pokušati da otklonimo zabune i zablude koje postoje u vezi sa ova dva različita instituta, kao i da Vam pomognemo da razumete da li za Vas postoji obaveza postavljanja jednog od ova dva lica ili čak oba.
1. Ko je Lice za zaštitu podataka o ličnosti ili DPO?
Lice za zaštitu podataka o ličnosti ili Data Protection Officer – DPO je lice koje je postavljeno od strane rukovaoca ili obrađivača i koje ima ključnu ulogu u sve značajnijem sistemu zaštite podataka.
DPO je nezavisno lice koje se stara da kompanija koja ga je postavila i koja prikuplja, odnosno vrši obradu podataka svojih klijenata, zaposlenih, korisnika usluga i svih drugih fizičkih lica, postupa u skladu sa važećim ZZPL.
Osim toga, DPO je dužan da obaveštava i edukuje kompaniju i njene zaposlene o svim aspektima zaštite podataka o ličnosti, prati primenu propisa koji regulišu privatnost i zaštitu podataka, daje mišljenje o proceni uticaja na zaštitu podataka i predstavlja kontakt tačku za saradnju sa Poverenikom, ali i sa licima čiji se podaci obrađuju.
Dakle, DPO je lice koje će da savetuje Vašu kompaniju i da se stara da ste svoje poslovanje uskladili sa obavezama koje nameće ZZPL.
O zakonskim uslovima za imenovanje DPO-a smo detaljno pisali u blogu Zakon o zaštiti podataka o ličnosti – kratak vodič kako da se uskladite. U nastavku teksta ćemo se osvrnuti na konkretne primere.
Nezavisno od toga da li je domaća ili strana kompanija, obavezno je imenovati DPO kada se:
- a) osnovne aktivnosti kompanije sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
- b) osnovne aktivnosti kompanije sastoje u obradi posebnih vrsta podataka o ličnosti (naročito osetljivih podataka) ili podataka u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
DPO može da bude bilo koje fizičko ili pravno lice koje poseduje stručne kvalifikacije, a naročito stručna znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnost izvršavanja obaveza iz ZZPL.
DPO može biti zaposlen kod rukovaoca ili obrađivača, a može obavljati poslove i na osnovu ugovora.
DPO mora biti nezavisan u izvršavanju svojih obaveza. Rukovalac ili obrađivač ne mogu kazniti DPO-a, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje mu nameće ZZPL. Osim toga, rukovalac i obrađivač su odgovorni za obradu podataka, kao i usklađenost sa ZZPL, pa se pravni zahtevi lica čiji se podaci obrađuju i Poverenika, mogu uperiti samo prema njima, a ne prema DPO-u.
S obzirom da su odredbe Zakona o DPO-u veoma uopštene, u narednim primerima ćemo pokušati da Vam približimo kada postoji obaveza imenovanja DPO-a.
Primer 1:
Elektronska prodavnica ABC (nezavisno gde se nalazi sedište kompanije), nudi i prodaje robu putem interneta građanima Republike Srbije. Pored toga, E-prodavnica ABC organizuje program lojalnosti za svoje kupce i u tu svrhu obrađuje veliki broj podataka o ličnosti. Takođe, E-prodavnica ABC vrši profilisanje svojih kupaca i na osnovu toga im šalje personalizovane ponude. U konkretnom primeru E-prodavnica ABC je dužna da imenuje DPO-a koji će biti nadležan za pitanja zaštite podataka o ličnosti.
Primer 2:
Privatna Klinika M sa sedištem u Beogradu obrađuje podatke o ličnosti svojih pacijenata u svom redovnom poslovanju. U ovom primeru, Klinika M je rukovalac, čija se osnovna aktivnost sastoji u obradi velikog broja osetljivih vrsta podataka svojih pacijenata, kao što su podaci o zdravstvenom stanju. Klinika M mora imenovati DPO-a.
Ako ne ispunjavate gore navedene uslove, imenovanje DPO-a nije obavezno, ali se smatra dobrom poslovnom praksom, a na nivou EU postoji preporuka od strane Evropskih institucija da se DPO postavi čak i kada nije obavezan.
2. Ko je Predstavnik i kada postoji obaveza njegovog imenovanja?
Sigurno se pitate čemu služi Predstavnik, ako već morate da imenujete DPO-a.
Ako ste strana firma, koja nema sedište (ni ogranak, ni predstavništvo) u Republici Srbiji, ali se bavite radnjama obrade koje su vezane za:
1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.
Onda imate obavezu da se uskladite sa ZZPL i da imenujete Predstavnika u Republici Srbiji.
Ipak, čak i ako ispunjavate gore navedene uslove, za Vas neće postojati obaveza imenovanja Predstavnika ukoliko:
- a) ste organ vlasti;
- b) je obrada podataka povremena, ne uključuje u velikoj meri obradu posebnih podataka o ličnosti ili podataka koji se odnose na kažnjiva i krivična dela, odnosno ako je verovatno da neće prouzrokovati rizik za prava i slobode fizičkih lica.
Predstavnik može da bude bilo koje fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije.
Imenovanje Predstavnika mora biti u pismenom obliku.[1] U praksi, najbolje je da se postavljenje Predstavnika uredi ugovorom u pisanoj formi.
Suštinski, Predstavnik je direktna kontakt tačka, tj. lokalna spona između rukovaoca/obrađivača koji nemaju sedište u Republici Srbiji i lica na koje se podaci odnose, odnosno Poverenika. Dakle, navedena lica se mogu obratiti Predstavniku, umesto rukovaocu/obrađivaču, u pogledu svih pitanja u vezi sa obradom podataka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ZZPL.
Bez obzira da li je određen Predstavnik ili ne, svaka pritužba, tužba i ostali pravni zahtevi se mogu podneti protiv rukovaoca ili obrađivača.[2] Rukovalac i obrađivač su odgovorni za obradu podataka građana Republike Srbije, kao i usklađenost sa ZZPL, a ne Predstavnik.
Iako Zakon ne propisuje izričito, smatramo da ne može isto lice da obavlja obe funkcije. S obzirom da imaju različite uloge, moglo bi doći do sukoba interesa u slučaju postavljanja jednog lica i za DPO-a i za Predstavnika.
I dalje Vam nije jasno da li imate obavezu da imenujete Predstavnika ili ne? Hajde da pogledamo kroz primer:
- Avio kompanija XYZ koja je registrovana i ima sedište u Turskoj, a nudi usluge avio prevoza građanima Republike Srbije i omogućava im online kupovinu karata, pri čemu se prikupljaju podaci kao što su ime i prezime, datum rođenja, broj pasoša, JMBG, broj kreditne/debitne kartice i slično.
- U navedenom slučaju, Avio kompanija XYZ je dužna da imenuje Predstavnika u Republici Srbiji i da omogući kako Povereniku, tako i licima čije podatke obrađuje da joj se obrate sa zahtevima koji se tiču zaštite podataka o ličnosti.