Kontrolne liste Poverenika – da li ste se uskladili sa ZZPL?

zaštita ličnih podataka, poverenik za zaštitu podataka o ličnosti

Ukoliko još uvek niste uskladili svoje poslovanja sa Zakonom o zaštiti podataka o ličnosti, možda će aktivnosti Poverenika za zaštitu informacija od javnog značaja i zaštitu podataka o ličnosti (dalje: „Poverenik“) tokom prethodnog perioda naterati da promenite mišljenje i preduzmete neophodne korake.

U slučaju da Vašoj firmi do sada nije stigao mail od Poverenika kojim se od Vas zahteva da izvršite samostalnu procenu usklađenosti sa Zakonom o zaštiti podataka o ličnosti (dalje: „Zakon“), visoke su šanse da se to uskoro dogodi. Kako biste predupredili eventualne negativne posledice, potrebno je da se upoznate sa novom praksom Poverenika.

Šta Poverenik zahteva od rukovaoca podacima o ličnosti i šta je Kontrolna lista?

Poverenik je nadležan da vrši inspekcijski nadzor nad sprovođenjem odredbi Zakona. U okviru svoje nadležnosti, jedna od radnji koje je ovlašćen da preduzima je slanje Kontrolne liste elektronskim putem, koja rukovaocima podacima o ličnosti omogućava da samoprocene svoje aktivnosti u pogledu poštovanja Zakona i zakonitog prikupljanja podataka o ličnosti.

Svaki privredni subjekat koji prikuplja i obrađuje podatke o ličnosti, određujući svrhu i način obrade smatra se rukovaocem podataka o ličnosti. Samim tim, aktivnosti rukovalaca spadaju u kategoriju radnji koje su u delokrugu nadzora Poverenika.

Kao što smo prethodno naveli, Poverenik je u prethodnom periodu ustalio praksu dostavljanja Kontrolne liste rukovaocima putem maila, gde se zahteva da oni samostalno, analizirajući svoje poslovanje i aktivnosti u pogledu zaštite podataka, ocene da li su i na kom nivou usklađeni sa obavezama koje propisuje Zakon. Svako pitanje (lista broji ukupno 16 pitanja) sastoji se od dva ponuđena odgovora – DA i NE. Reč je o Kontrolnoj listi koja se dostavlja rukovaocima koji nisu organi vlasti.

Kontrolna lista predstavlja javno dostupan i jasno koncipiran dokument, koji osim Poverenika koriste i drugi organi prilikom obavljanja inspekcijskog nadzora. U okviru Kontrolne liste, postavljaju se jasna pitanja i donekle se ukazuje kontrolisanim subjektima kako treba da izgleda poslovanje i obrada podataka o ličnosti u skladu sa Zakonom.

Koncept Kontrolne liste je sledeći – svaki odgovor rukovaoca se boduje određenim brojem bodova. U slučaju da rukovalac ostvari ukupan zbir od 100 bodova, spada u kategoriju subjekata koja je neznatno rizična. Svakako, to i dalje ne znači da Poverenik neće odlučiti da putem inspekcijskog nadzora proveri da li ste de facto u tolikoj meri usklađeni sa Zakonom i da li su Vaši odgovori zaista tačni.

U skladu sa pitanjima u okviru Kontrolne liste, rukovalac podacima o ličnosti (koji je u ovoj situaciji nadzirani subjekt) sastavlja izveštaj o samoproveri u roku od 7 dana od dana prijema Kontrolne liste i dostavlja ga Povereniku.

Kako da ostvarite što veći broj bodova na Kontrolnoj listi?

zaštita podataka, zaštita podataka o ličnosti

Da biste ostvarili što veći broj bodova na Kontrolnoj listi, potrebno je da se faktički uskladite sa obavezama koja Zakon propisuje.

U prethodnim tekstovima smo ukazivali privrednim subjektima na neophodnost usklađivanja se novim obavezama koje je Zakon uneo u pravni sistem, uključujući i sažet prikaz obaveza rukovalaca koje se moraju poštovati i negativnih posledica u suprotnom.

Jedno od prvih pitanja jeste i usklađenost sa Zakonom u pogledu internih akata rukovaoca. Donošenje internih akata jedna je od osnovnih obaveza rukovalaca podacima o ličnosti. Zbog toga je važno da sve kompanije donesu odgovarajuće interne akte koji će regulisati procedure prikupljanja i obrade podataka o ličnosti, rokove čuvanja, mere zaštite, kako bi osigurali usklađenost sa Zakonom.

Takođe, rukovaoci podacima o ličnosti posebno treba da obrate pažnju na potencijalnu obavezu imenovanja Lica za zaštitu podataka o ličnosti (Data Protection Officer – DPO), kao i činjenicu da moraju izvršiti njegovu registraciju u skladu sa Zakonom. Poverenik veoma lako može da proveri da li je rukovalac koji je bio dužan, imenovao DPO-a, budući da postoji obaveza rukovalaca koji imenuju DPO da to lice i registruju kod Poverenika.

Na kraju, ali podjednako bitno je da u slučaju da rukovaoci angažuju obrađivače podataka o ličnosti, međusobni odnos regulišu ugovorom u pisanom obliku, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.

Šta ako se svrstavate u rukovaoce sa visokim ili kritičnim stepenom rizika?

data protection lawyer, data privacy lawyer

U zavisnosti od bodova koje nadzirani subjekt sakupi, svrstava se u unapred utvrđene kategorije rizika, koje su podeljene na skali od neznatnog do kritičnog.

Ukoliko na osnovu Vaših odgovora ne sakupite dovoljan broj bodova, lako se možete svrstati u rukovaoce sa visokim ili kritičnim stepenom rizika po zaštitu podataka o ličnosti.

Takođe, svaki  odgovor zahteva od Vas da objasnite i navedete na koji način ste se uskladili i eventualno dostavite neophodne dokaze, u okviru izveštaja koji sačinjavate u skladu sa odgovorima na pitanja.

Poverenikov sledeći korak jeste da na osnovu Vašeg dostavljenog izveštaja pravi plan inspekcijskog nadzora u skladu sa kategorijom rizičnosti po podatke o ličnosti za budući period.

Ukoliko finalni zbir bodova u okviru Kontrolne liste ukazuje da se nalazite u kategoriji rizičnih ili čak kritičnih subjekata, poželjno je da znate koji su sledeći koraci i kako da poboljšate svoj položaj.

Naime, u slučaju da se rukovaoci faktički ne usklade sa Zakonom, Poverenik ima ovlašćenja da vrši proveru i utvrdi koje to sve obaveze nadzirani subjekt nije ispunio, te samim tim, koje odredbe Zakona je prekršio. Samo po jednoj povredi, postoji mogućnost izricanja kazne u rasponu koje Zakon propisuje – od 50.000 dinara pa sve do 2 miliona dinara za pravno lice. Svakako da su posledice toliko visokih novčanih kazni opasne po finansijsko poslovanje kompanije, kao i po njenu reputaciju.

Jasno je da usklađivanje sa obavezama Zakona ne može više da se izbegava, te da što pre preduzmete korake i ostvarite svoje obaveze, nemate razloga da se brinete ukoliko sledeći put stigne mail Poverenika sa Kontrolnom listom. Kako sledeći put ne biste ponovo bili u rangu kritičnih subjekata, preporuka je da donesete interne akte, uvedete zaštitne mere koje Zakon nalaže, a ukoliko imate obrađivače podatka o ličnosti, da i sa njima regulišete odnose kroz detaljne ugovore, te predupredite potencijalne negativne posledice.

Nelogičnosti u okviru Kontrolne liste

gdpr attorney, data protection attorney

Naime, jedno od pitanja u okviru Kontrolne liste jeste i da li je nadzirani subjekt angažovao obrađivača podataka o ličnosti i negativno se boduje ukoliko jeste odredio. Postavlja se logično pitanje zašto Poverenik „kažnjava“ nadziranog subjekta koji je angažovao eksternog pružaoca usluga u vidu obrađivača, ukoliko je to neminovno? Svakoj kompaniji treba recimo, knjigovodstvena agencija, koja će se javiti u ulozi obrađivača podataka o ličnosti zaposlenih. Zaista je nejasno zašto bi rukovaoci bili ocenjeni sa 0 ukoliko su angažovali obrađivače, čije usluge su neophodne za normalno i redovno funkcionisanje poslovanja.

Sledeća nelogičnost se javlja pri ispitivanju da li je nadzirani subjekt imenovao Lice za zaštitu podataka o ličnosti (DPO). Podsećamo da nemaju svi rukovaoci podacima o ličnosti tu zakonsku obavezu, već samo u tačno definisanim zakonskim slučajevima. Jedan od slučajeva kada rukovalac mora da angažuje DPO jeste ukoliko se njegove osnovne aktivnosti sastoje u radnjama obrade koje po svojoj prirodi, obimu odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose. Zamislite situaciju da u određenoj kompaniji ima četvoro zaposlenih, da se ne vrši monitoring nad zaposlenima, da ne obrađuju podatke o ličnosti trećih lica i da je onda ta kompanija kao rukovalac podacima o ličnosti dužna da imenuje DPO? Tako je Poverenik shvatio i odlučio sa 0 bodova da boduje, ukoliko nadzirani subjekt nije imenovao DPO, bez razmišljanja da nadzirani subjekt ni ne mora da imenuje DPO, osim u zakonom predviđenim situacijama.

Iz navedenog se jasno može zaključiti da broj ukupnih bodova i svrstavanje u kategorije Kontrolne liste ne mora da znači u svakom pojedinačnom slučaju da je nadzirani subjekt neusklađen sa Zakonom.

Pozitivna praksa Poverenika

Veoma pozitivna karakteristika Kontrolne liste je da oni rukovaoci podacima o ličnosti koji su se uskladili sa obavezama Zakona ne moraju da strepe da će se negativne posledice odraziti na njih. Pak, onima koji se do sada nisu uskladili sa Zakonom, Kontrolna lista predstavlja poslednji apel da ozbiljnije pristupe zaštiti podataka o ličnosti i izbegnu finansijske i reputacione posledice. Na važnost i ozbiljnost zaštite podataka o ličnosti ukazuju i kazne koje se na globalnom nivou izriču međunarodnim kompanijama, ukoliko zaobilaze pravila i ne pridaju važnost pravilnoj zaštiti podataka o ličnosti.

Jasno je da je Evropska Unija veoma ozbiljno pristupila temi zaštite podataka o ličnosti u okviru poštovanja odredbi GDPR-a, da niko nije izuzet od sankcija zbog nepoštovanja zaštite podataka o ličnosti. Kako je suštinski srpski Zakon prevod GDPR-a na srpski jezik, može se zaključiti da praksa Poverenika deluje u pozitivnom smeru i pokazuje tendenciju da su i nadležni organi Republike Srbije odlučili da zaštitu podataka o ličnosti podignu na novi nivo.

Sama ideja vršenja nadzora nad rukovaocima podacima o ličnosti i pružanjem prilike da sami sebe ocene pre nego što to uradi nadležni organ, pokazuje da se polako budi svest o tome koliko je bitno poštovanje odredbi Zakona.

Pored toga što je korisna za samog rukovaoca podacima o ličnosti, koji ima priliku da ispravi svoje postupanje, predstavlja kvalitetan vid prevencije i pruža mogućnost i onima koji još nisu dobili priliku da odgovore na pitanja iz Kontrolne liste da sami sebe procene, čak i pre Poverenika.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama

NOVI SAD

BEOGRAD

NOVI SAD

BEOGRAD