Pitanje zaštite podataka o ličnosti nedavno je ponovo aktuelizovano u domaćoj javnosti. Zakon o zaštiti podataka o ličnosti (dalje: Zakon), o čijim smo ključnim novinama pisali ranije, donet je po uzoru na GDPR još 2018. godine. Ipak, Poverenik je tek tokom 2020. godine prvo počeo sa slanjem upita da kompanije dostave popunjene Kontrolne liste, a u poslednje vreme i sa masovnim inspekcijskim nadzorom!
Ukoliko se do sada niste uskladili sa Zakonom, nemojte čekati da dobijete najavu Poverenika.
Iz saopštenja Poverenika možemo uvideti da su neke od firmi koje su određene kao prioritet za inspekcijski nadzor prodavnice koje se bave prodajom nameštaja, sportske opreme, hrane, alkoholnih pića, odeće, obuće, knjiga, ali i internet prodavnice (kako je to dole detaljnije objašnjeno).
Šta kompanije treba da urade?
Kako gotovo da ne postoji kompanija koja ne obrađuje podatke o ličnosti, obaveza usklađivanja postoji kod svih. U ranijim blogovima smo detaljno pojasnili šta predstavljaju podaci o ličnosti. Takođe, pisali smo o tome koje su obaveze kompanija, ali i neke od čestih grešaka prilikom primene Zakona o zaštiti podataka o ličnosti.
Sam Zakon je predvideo načela koje su kompanije dužne da poštuju, a koje smo mi, zbog njihove važnosti, nazvali šest „svetih zapovesti“ obrade podataka o ličnosti.
Koja su ovlašćenja poverenika i šta su moguće posledice?
Prilikom vršenja inspekcijskog nadzora, Poverenik je ovlašćen da zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja, da zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.
Postupanje protivno Zakonu može prouzrokovati izricanje jedne ili više korektivnih mera, koje može da preduzme Poverenik.
Najrigoroznija mera koju Poverenik može da izrekne svakako je novčana kazna, koju u visini do 100.000,00 dinara može izreći Poverenik u vidu prekršajnog naloga. Ipak, kazne koje se mogu izreći pravnom licu u sudskom prekršajnom postupku dostižu iznos od čak 2.000.000,00 dinara po povredi (u jednom od naših blogova pronađite više detalja o novčanom kažnjavanju). Osim toga, Poverenik može izreći i sledeće sankcije:
- Upozorenje u formi pisanog mišljenja upućeno rukovaocu i Obrađivaču, u slučaju da planiranim radnjama mogu povrediti zakonske odredbe;
- Opomenu, ukoliko se radnjama rukovaoca i obrađivača vrši povreda Zakona;
- Nalaganje postupanja u skladu sa zahtevom lica čiji se podaci obrađuju;
- Nalaganje obrađivaču i rukovaocu da usklade svoje radnje sa Zakonom na tačno određen način i u tačno određenom roku;
- Nalaganje obaveštenja lica na koje se odnose podaci o ličnosti o postojanju povrede podataka o ličnosti;
- Izricanje privremenog ili trajnog prekida obrade, pa čak i zabranu same obrade podataka o ličnosti;
- Nalaganje ispravljanja, odnosno brisanja podataka o ličnosti ili ograničavanje preduzimanja radnji obrade, kao i nalaganje rukovaocu da obavesti o tome drugog rukovaoca, lice na koje se podaci odnose i primaoce kojima su podaci o ličnosti otkriveni ili preneti.
Koji je plan inspekcijskog nadzora?
Na osnovu Zakona o inspekcijskom nadzoru, svaki organ u čijoj je nadležnosti vršenje inspekcijskog nadzora dužan je da sačini Plan inspekcijskog nadzora za svaku godinu, u kom određuje koji su to poslovi kojima će se baviti u toku godine, a na svaka tri meseca sačinjava operativni plan inspekcijskog nadzora kojim se vrši konkretizacija poslova koje će vršiti u tom periodu.
Pre samog inspekcijskog nadzora, Poverenik kompanijama može da pošalje kontrolne liste na kojima samostalno odgovaraju na pitanja koja se odnose na zaštitu podataka o ličnosti i na osnovu koje on procenjuje stepen rizika i formira plan za vršenje inspekcijskog nadzora.
Analizom Plana redovnog inspekcijskog nadzora Poverenika za 2021. godinu možemo uvideti različite vrste inspekcijskog nadzora koji se vrše prema različitim rukovaocima. Tako, na primer, redovni nadzor koji Poverenik sprovodi na osnovu Plana inspekcijskog nadzora može se dalje klasifikovati na:
a) Planirani nadzor, u čijem su fokusu:
- Ministarstva, gradovi, pokrajine,
- Internet prodavnice.
b) Ciljni nadzor, a ukoliko spadate u jednu od ovih grupa prvi ste na udaru:
- Utvrđen Vam je kritičan ili visok nivo rizika na osnovu izveštaja iz Kontrolnih lista,
- Niste dostavili popunjenu kontrolnu listu.
Pored redovnog, Poverenik može vršiti i vanredni inspekcijski pregled, kako po osnovu službene dužnosti, tako i na osnovu predstavki i pritužbi trećih lica.
U saopštenju Poverenika, od 12. novembra 2021. godine se vidi da je ovaj državni organ u toku 2021. godine poslao Kontrolni spisak na adresu 1007 firmi, a nakon toga odredio da će redovan nadzor biti urađen kod 186 firmi.
Poverenik u Planu inspekcijskog nadzora za 2021. godinu dalje navodi da je analizom odgovora iz dostavljenih popunjenih kontrolnih listi zaključio da nadzirani subjekti ne razumeju u potpunosti postavljena pitanja, niti da vladaju zakonskom terminologijom, iako pitanja iz kontrolnih lista sadrže i upućivanje na konkretne zakonske odredbe.
Poverenik u Planu dalje navodi da se iz odgovora koji su nadzirani subjekti dostavili može zaključiti da veliki broj lica za zaštitu podataka o ličnosti nema posebnih stručnih kvalifikacija, niti stručnog znanja i iskustva u oblasti zaštite podata o ličnosti.
Inspekcijski nadzor internet prodavnicama
Internet prodavnice predstavljaju tipična mesta gde se svakodnevno dolazi u dodir sa velikim brojem informacija koje upravo predstavljaju podatke o ličnosti u smislu Zakona. Te informacije su različitog karaktera – počevši od osnovnih ličnih podataka, kao što su lično ime i broj telefona, pa do nekih koji na prvi pogled ne odaju takav utisak, poput IP adrese, IMEI broja, lokacije GPS uređaja, raznih šifri i podataka o nalozima na društvenim mrežama.
Upravo to predstavlja jedan od mogućih razloga zašto je Poverenik Planom inspekcijskog nadzora za 2021. godinu odredio da će Odeljenje II u okviru Sektora za nadzor u toku godine vršiti ciljani nadzor nad internet prodavnicama.
S obzirom da je Poverenik odredio Planom inspekcijskog nadzora, a koji je donet početkom 2021. godine, da će se redovni inspekcijski nadzori vršiti nad internet prodavnicama, jasno je da to ne predstavlja nikakvu novost, nego postupanje u skladu sa ranije donetim aktima.
Iako internet prodavnice predstavljaju mesto na kom se dolazi u kontakt sa velikim brojem informacija koje predstavljaju podatke o ličnosti u smislu Zakona, kompanijama to ne bi trebao da bude problem, ukoliko se pridržavaju jasnih pravila koja su doneta u ovoj oblasti. U našim ranijim blogovima, bavili smo se svim ključnim stvarima koje su neophodne za zakonit rad svake firme koja dolazi u kontakt sa podacima o ličnosti.
Pre svega, treba istaći da internet prodavnice, kao i svaka druga firma koja je obavezna da postupa u skladu sa Zakonom o zaštiti podataka, moraju da se pridržavaju ovih načela:
- Načelo zakonitosti, poštenja, transparentnosti u prikupljanju podataka. Na primer: kako biste postupili u skladu sa ovim načelom, na Vašem internet sajtu neophodno je objaviti Politiku privatnosti;
- Ograničenost u prikupljanju podataka u odnosu na svrhu obrade. Na primer: ukoliko je na Vašem sajtu kupac dao podatak o email adresi kako bi registrovao svoj nalog, nije samim tim dao i saglasnost da mu se na email šalju promotivne ponude Vaše kompanije ili Vaših partnera;
- Načelo minimalizacije podataka. Na primer: ukoliko imate internet prodavnicu i želite da izvršite ugovor o kupoprodaji, za tu svrhu su Vam dovoljni ime i adresa kupca, a prikupljanje podataka o JMBG lica ili datumu rođenja ne bi bilo u skladu sa ovim načelom;
- Ograničeno čuvanje podataka. Na primer: ukoliko koristite video nadzor radi zaštite bezbednosti imovine i lica, morate doneti odgovarajući akt kojim ćete predvideti dužinu čuvanja tih snimaka, ko to vrši, kao i na koji način se oni uništavaju.
Posledice nesavesnog postupanja mogu biti izuzetno ozbiljne, ne samo u ekonomskom smislu, nego i u reputacijskom, što dugoročno može stvoriti mnogo ozbiljnije posledice po poslovanje i samo postojanje firme.
Savesnim postupanjem, kompanije, u koje ubrajamo i internet prodavnice, sprečiće nastupanje negativnih posledica o kojima smo pisali i pospešiti svoj napredak u poslovanju.
Ono na šta je posebno potrebno obratiti pažnju zapravo predstavlja najčešći predmet inspekcijskog nadzora Poverenika, a to je provera:
- Lica koje je ovlašćeno za zaštitu podataka o ličnosti;
- Evidencija radnji obrade;
- Posedovanja internog akta o zaštiti podataka o ličnosti kao i sprovođenja mera za zaštitu podataka o ličnosti.
U prethodnom periodu u fokusu Poverenika su internet prodavnice i verovatno je da će tako i ostati u narednom periodu, ali postoji mogućnost da će Poverenik svoje aktivnosti usmeriti i ka drugim grupama rukovaoca.
