Svi hoteli prilikom obavljanja svoje delatnosti prikupljaju i obrađuju podatke o ličnosti svojih zaposlenih, gostiju i drugih lica, i tom prilikom su dužni da poštuju obaveze propisane Zakonom o zaštiti podataka o ličnosti (dalje: „Zakon“).
Ukoliko ste hotel i još uvek niste uskladili svoje poslovanje sa Zakonom, možda će vas skorašnje aktivnosti Poverenika za zaštitu informacija od javnog značaja i zaštitu podataka o ličnosti (dalje: „Poverenik“) naterati da promenite mišljenje i preduzmete neophodne korake.
U slučaju da Vašem hotelu do sada nije stigao zahtev od Poverenika da popuni kontrolnu listu, jedan ste od retkih i velike su šanse da će se to uskoro dogodi.
Šta je Kontrolna lista i čemu služi?
Kao jedno od ovlašćenja Poverenika, kao nadzornog organa u oblasti zaštite podataka o ličnosti, jeste da prati i analizira stanje u oblasti zaštite podataka, što čini i uz pomoć podataka dobijenih putem Kontrolnih listi.
Kao što smo naveli, na red kod Poverenika je došla provera usklađenosti poslovanja i aktivnosti hotela sa zahtevima zaštite podataka o ličnosti, koja započinje upravo dostavljanjem Kontrolne liste.
Kako Poverenik navodi, Kontrolne liste prikazuju složene i obimne zakonske obaveze kroz niz razumljivih pitanja, na koje je potrebno dati tačne i sveobuhvatne odgovore.
Koncept Kontrolne liste je sledeći – U okviru Kontrolne liste, postavljaju se pitanja koja donekle ukazuju rukovaocima koje su njihove obaveze u skladu sa Zakonom.
Kontrolna lista se sastoji od ukupno 14 pitanja, a svako pitanje ima dva ili tri ponuđena odgovora. Dodatno, pojedini odgovori zahtevaju od Vas da objasnite i navedete na koji način ste se uskladili, a poželjno je i da dostavite neophodne dokaze. Svaki odgovor se boduje određenim brojem bodova, a ukupan broj bodova koji nadzirani subjekat, u ovom slučaju hotel, može da ostvari je 100 bodova. Ukoliko hotel ostvari ukupan zbir od 100 bodova, spada u kategoriju subjekata koja je neznatno rizična.
U skladu sa pitanjima u okviru Kontrolne liste, hotel (koji je u ovoj situaciji nadzirani subjekt) sastavlja izveštaj o samoproveri koji u roku od 7 dana od dana prijema Kontrolne liste dostavlja Povereniku.
Prikupljeni izveštaji služe Povereniku da izradi, a kasnije i realizuje plan inspekcijskog nadzora koji se zasniva na utvrđenom stanju i proceni rizika.
Obrazac kontrolne liste sa uputstvom za popunjavanje je javno dostupan i moguće ga je pronaći na internet stranici Poverenika u delu „Zaštita podataka“ – „Kontrolne liste“, te ga rukovaoci mogu koristiti nezavisno od zahteva Poverenika kako bi mogli da samoprocene usklađenost poslovanja sa Zakonom i visinu rizika.
Kako popuniti Kontrolnu listu?
Kako biste uopšte mogli da popunite i tačno odgovorite na pitanja iz Kontrolne liste neophodno je da najpre poznajete sve procese u okviru vaše organizacije, u ovom slučaju hotela, što podrazumeva i da znate koje sve podatke obrađujete, zbog čega su vam svi oni potrebni, gde ih i kako čuvate, sa kim ih delite i slično. Međutim to je samo dobar početak, ali nije dovoljno.
Da biste mogli da ispravno odgovorite na pitanja Poverenika iz Kontrolne liste, neophodno je i da ste upoznati sa pojmovima i obaveza iz Zakona.
Naime, kontrolne liste, pored toga što ne sadrže objašnjenja šta pojedini pojmovi znače, kao što su povreda podataka, zbirka podataka, evidencije radnji obrade, obrađivač, i slično, sadrži i pitanja u kojima se upućuje na same norme Zakona.
Iako su pitanja nedvosmisleno jasna Povereniku i nama, koji se dugo bavimo ovom materijom, da li su i Vama?
Dakle, da biste mogli da odgovorite na pojedina pitanja, nije dovoljno samo da pročitate odredbe Zakona na koje vas upućuje Poverenik, već je potrebno da ste suštinski upoznati sa ovom materijom. Na primer, da biste mogli da odgovorite tačno na poslednja tri pitanja (12, 13 i 14), morate najpre da znate razliku između rukovaoca, obrađivača i primaoca, a zatim i koji ugovor bi u svakom konkretnom slučaju trebalo zaključiti.
Imajte na umu da podaci iz predmetnog izveštaja, odnosno Vaši odgovori, podležu proveri od strane Poverenika, te da lažno prikazivanje ili prikrivanje činjenica u istom povlače pravne posledice sastavljanja isprave neistinite sadržine.
Šta ukoliko Kontrolna lista pokaže visok ili kritičan stepen rizika?
U zavisnosti od broja bodova koje ostvarite na Kontrolnoj listi, možete da budete svrstani u unapred definisane kategorije rizika, od neznatnog do kritičnog.
Ako na osnovu vaših odgovora ne postignete dovoljan broj bodova, možete biti svrstani u kategoriju rukovalaca sa visokim ili kritičnim stepenom rizika po zaštitu podataka o ličnosti.
Bez obzira na broj bodova koji ostvarite i procenjeni rizik, svakako je poželjno Povereniku poslati popunjenu Kontrolnu listu, jer ukoliko Povereniku ne dostavite zatraženi izveštaj u ostavljenom roku, Poverenik će smatrati da je verovatnoća nastupanja rizika kod Vas svakako povišena i isto će imati u vidu prilikom izrade plana nadzora. Navedeno praktično znači da je velika verovatnoća da će biti pokrenut inspekcijski nadzor u cilju utvrđivanja da li je poslovanje Vašeg hotela u skladu sa zahtevima Zakona o zaštiti podataka o ličnosti.
Važno je napomenuti da i ukoliko imate procenjen visok ili kritičan rizik, ne treba da očajavate, ne znači da će Poverenik odmah da Vas kažnjava i izrekne korektivne mere, već Vam je isto pokazatelj da je potrebno da se ozbiljno pozabavite zaštitom podataka o ličnosti i uskladite svoje poslovanje sa Zakonom kako biste minimizovali rizik, uključujući i rizik od kažnjavanja.
Najzad, broj bodova i svrstavanje na Kontrolnoj listi ne moraju nužno ukazivati na stvarnu usklađenost sa Zakonom, koju će, kako smo naveli, Poverenik proveravati u postupku inspekcijskog nadzora.
Kako ostvariti što veći broj bodova na Kontrolnoj listi?
Da biste postigli što viši rezultat na Kontrolnoj listi i uspešno prošli inspekciju Poverenika, neophodno je da stvarno usaglasite svoje aktivnosti i poslovanje sa Zakonom o zaštiti podataka o ličnosti.
U prethodnim tekstovima smo ukazivali privrednim subjektima na neophodnost usklađivanja se obavezama iz Zakona o zaštiti podataka o ličnosti i izradili kratak vodič kako da se uskladite.
Ukratko, pored toga što morate da znate koje sve podatke obrađujete, kojih lica, zašto ih obrađujete, koliko dugo ih čuvate, koji vam je pravni osnov za obradu svih podataka, morate da primenite i odgovarajuće tehničke, organizacione i kadrovske mere zaštite kako bi podaci bili bezbedni.
Jedna od ključnih mera zaštite jeste usvajanje odgovarajućih internih akata koji regulišu proceduru prikupljanja i obrade podataka o ličnosti, rokove čuvanja, postupanje u slučaju povrede podataka, postupanje u slučaju prijema zahteva za ostvarivanje prava lica i slično.
Takođe, iako je zakonska obaveza samo privrednih subjekata koji imaju preko 250 zaposlenih da vode evidencije radnji obrade, navedena obaveza u svakom slučaju postoji, nevezano od broja zaposlenih, za sve obrade koje nisu povremene, što bi značilo da hotel najmanje za obrade podataka o zaposlenima i gostima koje redovno vrši, mora da ima evidencije radnji obrade, a koje će Poverenik tražiti u inspekcijskom nadzoru.
Pored navedenog, rukovaoci podacima o ličnosti bi trebalo da pažljivo razmotre potrebu za imenovanjem Lica za zaštitu podataka o ličnosti (Data Protection Officer – DPO), kao i da prijave njegovo imenovanje Povereniku u skladu sa Zakonom. Poverenik može lako proveriti da li je rukovalac ispunio svoje obaveze, s obzirom da vodi evidenciju imenovanih lica za zaštitu podataka o ličnosti.
Dodatno, ukoliko rukovaoci, uključujući tu i hotele, angažuju treća lica kojima poveravaju pojedine aspekte obrade ili dele podatke sa trećim licima, trebali bi tu saradnju da regulišu odgovarajućim pisanim ugovorom, koji pored toga što je neophodan po Zakonu, pomaže učesnicima u obradi da jasno definišu prava i obaveza i time minimizuju rizik od povrede podataka.
Na kraju, ali ništa manje bitno, ukoliko podatke o ličnosti prenosite u druge države, bilo da ih šaljete licima u drugoj državi, čuvate na cloudu ili samo dozvoljavate pristup nekome iz druge države, morate da imate adekvatne mehanizme prenosa podataka.
Pozitivne strane Kontrolne liste
Za one koji se do sada nisu pridržavali Zakona, Kontrolna lista predstavlja poslednju priliku da ozbiljno shvate zaštitu podataka o ličnosti i pristupe usaglašavanju svog poslovanja sa Zakonom.
Pristup Poverenika, koji omogućava rukovaocima da prvobitno sami procene svoju usklađenost sa Zakonom, predstavlja korisnu preventivnu meru i mogućnost za samoprocenu i „popravni“ pre nego što dođe u inspekciju.
Iako je do sada Poverenik prevashodno radio na edukaciji, prevenciji i nije strogo kažnjavao one koji ne poštuju Zakon, izgleda da se ta praksa Poverenika menja i da počinje da sledi praksu kolega iz Evropske Unije, što pokazuju prve kazne i prekršajne prijave koje je Poverenik izrekao, odnosno podneo tokom prošle godine.
Imajte na umu da osim novčanih kazni koje ćete morati da platite, nepoštovanje Zakona dovodi do gubitka poverenja Vaših gostiju, partnera, i javnosti u Vaše poslovanje, što sve negativno utiče na reputaciju Vašeg hotela i time dovodi u pitanje samo Vaše postojanje.
Zbog toga, ukoliko ste dobili Kontrolnu listu od Poverenika, a niste se usaglasili sa propisima iz oblasti zaštite podataka, iskoristite priliku, učinite to sada i sprečite posledice koje mogu proizaći usled povrede obaveza propisanih Zakonom, koje su mnogo dalekosežnije od novčanog kažnjavanja.
