Zakon o zaštiti podataka o ličnosti počeo je sa primenom još 21.08.2019. godine. Međutim, ne sumnjamo da će Vam ovaj vodič kroz osnovne obaveze koje je on uveo biti koristan.
U prethodnom tekstu pisali smo o obavezama iz Zakona o zaštiti podataka o ličnosti. Objasnili smo kada se Zakon primenjuje, šta podrazumeva podatak o ličnosti i koja su to načela i pravni osnovi obrade. U ovom tekstu objašnjavamo tehničke mere zaštite, pojam lica za zaštitu podataka o ličnosti i prava lica čiji se podaci obrađuju.
TEHNIČKE MERE ZA ZAŠTITU BEZBEDNOSTI PODATAKA O LIČNOSTI
Bezbednost podataka o ličnosti predstavlja jedan od ključnih principa na kojima je zasnovan Zakon o zaštiti podataka o ličnosti. Tako, Zakon nalaže rukovaocu da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obrada podataka o ličnosti bila u skladu sa Zakonom, pri čemu rukovalac mora voditi računa o prirodi, obimu, okolnostima, svrsi obrade, verovatnoći nastupanja rizika i stepenu rizika za prava i slobode fizičkih lica.
U slučaju potrebe, rukovalac mora biti u stanju da predoči da je postupio u skladu sa ovom zakonskom obavezom.
Iako na prvi pogled izgleda da je ova odredba neprecizna, Zakon se zapravo ugleda na pristup iz Opšte uredbe o zaštiti podataka o ličnosti EU (GDPR), koji uzima u obzir sve brži tehnološki razvoj i različite oblasti u kojima se vrši obrada podataka o ličnosti, te se iz tog razloga izbegava da detaljnije nabraja koje su to „tehničke, organizacione i kadrovske mere” koje rukovalac treba da preduzme.
Jednom implementirane zaštitne mere ne treba posmatrati kao večne i nepromenjive, već bi rukovalac trebalo da ih preispituje i ažurira, po potrebi.
Kako bi se uspostavila bezbednost obrade podataka o ličnosti,rukovalac i obrađivač moraju sprovoditi odgovarajuće tehničke, organizacione i kadrovske mere, u cilju obezbeđivanja odgovarajućeg nivoa zaštite bezbednosti podataka o ličnosti u odnosu na konkretni rizik po njihovu bezbednost. Pri tome, treba uzeti u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.
Koliko je važno da primenite navedene mere, najbolje pokazuje činjenica da je veliki broj kazni za nepoštovanje GDPR-a izrečen baš zbog nedovoljnog nivoa tehničkog obezbeđenja. Na primer: kazna u visini od 204.000.000,00 evra je izrečena kompaniji British Airways u Velikoj Britaniji, zbog povrede podataka usled hakerskog napada, kako smo to ranije objasnili u tekstu Kompanijama British Airways i Marriott International prete astronomske kazne zbog kršenja GDPR-a.
ŠTA ZAKON O ZAŠTITI PODATAKA O LIČNOSTI PREDVIĐA KAO MERE ZAŠTITE?
PROCENA RIZIKA
Da biste mogli da odaberete odgovarajuće mere za Vašu kompaniju, pre svega je potrebno identifikovati koje to opasnosti prete bezbednosti podataka o ličnosti koje obrađujete, kao i kolika je verovatnoća da te opasnosti i mogućnosti postanu stvarnost.
Primer:
Ukoliko obrađujete podatke o ličnosti u elektronskom obliku, rizici koji prete njihovoj bezbednosti mogu uključivati neovlašćeni pristup bazama podataka, izmenu ili brisanje podataka o ličnosti, fizička oštećenja servera i drugog hardvera na kojima se čuvaju podaci, odnosno koji se koriste za druge radnje obrade, usled požara, poplave i sl.
MERE ZAŠTITE OD RIZIKA
A. PSEUDONIMIZACIJA
Pseudonimizacija predstavlja obradu podataka o ličnosti koja onemogućava povezivanje podataka o ličnosti sa određenim fizičkim licem, na koje se ti podaci odnose, bez korišćenja dodatnih podataka. Drugim rečima, pseudonimizacija „prikriva” fizičko lice na koje se podaci odnose, ali je ipak moguće utvrditi identitet lica korišćenjem dodatnih podataka. Vrlo je važno da dodatne podatke čuvate posebno, kao i da preduzmete tehničke, organizacione i kadrovske mere u cilju sprečavanja da se podaci o ličnosti mogu pripisati određenom ili odredivom fizičkom licu.
B. ANONIMIZACIJA
Anonimizacija predstavlja obradu čiji je rezultat trajna nemogućnost utvrđenja identiteta fizičkog lica na koje se podaci odnose. Momentom kada ste anonimizovali podatke, više niste na terenu Zakona o zaštiti podataka o ličnosti odnosno nemate više obavezu da sa takvim podacima postupate u skladu sa Zakonom.
C. ENKRIPCIJA
Enkripcija podataka je metod zaštite kojim se informacije kriptuju i omogućava se pristup samo onom licu koje poseduje enkripcioni ključ. Kriptovani podaci se pojavljuju u nečitljivom obliku svakom ko želi da im pristupi bez enkripcionog ključa.
D. SISTEM OVLAŠĆENJA I ULOGA
Zbirke podataka o ličnosti se moraju čuvati daleko od očiju lica koja nemaju ovlašćenja da vrše uvid u takve zbirke u okviru same kompanije. Proces usklađivanja sa Zakonom o zaštiti podataka o ličnosti podrazumeva da se jasno utvrde prava, obaveze i odgovornosti zaposlenih u pogledu čuvanja i korišćenja zbirki podataka o ličnosti. Neki podaci mogu biti dostupni svim zaposlenima u kompaniji (na primer: poslovne email adrese), dok drugi podaci mogu biti dostupni samo zaposlenim licima sa posebnim ovlašćenjima (na primer: pojedinim licima u okviru kadrovske službe).
OBAVEŠTAVANJE POVERENIKA O POVREDI PODATAKA O LIČNOSTI
Ovim Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.
Ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodiće računa onaj ko podatke obrađuje.
Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja ili da će rukovaocima ili obrađivačima u budućnosti biti lakše. Naprotiv, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Sada, kompanije nemaju više taj „luksuz” i same moraju da vrše procenu da li je konkretna obrada zakonita. To znači da kompanije sada snose neuporedivo veći rizik.
OBAVEŠTAVANJE LICA NA KOJE SE PODACI ODNOSE O POVREDI
Ukoliko postoji mogućnost da kršenje podataka predstavlja visok rizik za prava i slobode pojedinaca, rukovalac je dužan da odmah obavesti te pojedince, osim ako je već preduzeo odgovarajuće mere kao odgovor na kršenje.
Možemo primetiti da jedino visok rizik po prava i slobode fizičkih lica dovodi do obaveze obaveštavanja lica na koja se podaci odnose, dok se u slučaju manje značajnog rizika mora obavestiti Poverenik.
LICE ZA ZAŠTITU PODATAKA O LIČNOSTI
Kada se određuje?
U načelu, rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti, ali nemaju obavezu da to učine. Ipak, kada su u pitanju privredni subjekti, Zakon o zaštiti podataka o ličnosti nalaže obavezno određivanje lica za zaštitu podataka o ličnosti ukoliko se:
- Osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koja se podaci odnose;
- Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u obradi posebnih vrsta podataka o ličnosti (podaci o rasnom ili etničkom poreklu, političkom mišljennju, verskom uverenju i sl.) u velikom obimu.
Ako rukovalac, odnosno obrađivač sa svojstvom pravnog lica ne odredi lice za zaštitu podataka o ličnosti u navedenim slučajevima, biće novčano kažnjen za prekršaj u rasponu od 50.000,00 – 2.000.000,00 dinara.
Rukovalac ili obrađivač dužni su da objave kontakt podatke lica za zaštitu podataka o ličnosti i da ih dostave Povereniku.
Kako da angažujemo lice za zaštitu podataka o ličnosti u našoj kompaniji (kod rukovaoca ili obrađivača)?
- Na osnovu zaposlenja;
- Na osnovu drugog ugovora.
Položaj lica za zaštitu podataka o ličnosti
Lice za zaštitu podataka o ličnosti stoji na raspolaganju licima na koja se podaci odnose, koja mu se mogu obratiti u vezi sa svim pitanjima koja se odnose na obradu njihovih podataka, kao i u vezi sa ostvarivanjem njihovih prava.
Za izvršavanje svojih zakonskih obaveza, lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.
Zakon o zaštiti podataka o ličnosti dozvoljava da lice za zaštitu podataka o ličnosti, pored poslova u vezi sa zaštitom podataka o ličnosti kod rukovaoca ili obrađivača, obavlja i druge poslove i izvršava druge obaveze, pri čemu su rukovalac ili obrađivač dužni da obezbede da izvršavanje drugih poslova i obaveza ne dovede ovo lice u sukob interesa.
Koje su obaveze lica za zaštitu podataka o ličnosti?
- Da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade, о njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
- Da prati primenu odredaba Zakona o zaštiti podataka o ličnosti i drugih zakona, kao i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
- Da daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i da prati postupanje po toj proceni;
- Da predstavlja kontakt tačku za saradnju sa Poverenikom i da se savetuje sa Poverenikom u vezi sa pitanjima koja se odnose na obradu podataka o ličnosti.
PRAVA LICA NA KOJA SE PODACI ODNOSE – OBAVEZE RUKOVAOCA
PRAVO NA INFORMISANOST
Ako se prikupljaju podaci od lica na koje se ti podaci odnose, rukovalac mora da u trenutku prikupljanja podataka tom licu pruži Zakonom propisane informacije, kao što su: identitet i kontakt podaci rukovaoca, kontakt podaci lica za zaštitu podataka o ličnosti, svrha nameravane obrade i pravni osnnov za obradu, o primaocima podataka, o roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu njegovih podataka i druge informacije.
PRAVO NA PRISTUP
Lice čiji se podaci obrađuju ima pravo da od upravljača zahteva informaciju o tome da li se njeni lični podaci obrađuju, da zatraži pristup tim podacima, kao i informacije o svrsi obrade, vrsti podataka koji se obrađuju, planiranom periodu čuvanja ličnih podataka, pravima koja ta osoba ima u vezi sa obradom svojih podataka i druge relevantne informacije.
Rukovalac je dužan da, na zahtev lica na koje se podaci odnose, dostavi kopiju podataka o ličnosti koje obrađuje, a koji se odnose na to lice.
PRAVO NA ISPRAVKU I DOPUNU
Ako postoje netačni podaci o ličnosti, lice na koje se ovi podaci odnose ima pravo da traži ispravku ovih podataka od rukovaoca, koji je dužan da navedene netačne podatke ispravi bez nepotrebnog odlaganja.
Ako postoje nepotpuni podaci o ličnosti, u zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni svoje podatke o ličnosti.
PRAVO NA BRISANJE PODATAKA
Lice na koje se podaci odnose ima pravo da podnese zahtev rukovaocu za brisanje njegovih podataka o ličnosti od strane rukovaoca.
Rukovalac je obavezan da obriše podatke o ličnosti ako:
- podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
- lice na koje se podaci odnose je opozvalo svoj pristanak na osnovu kog se obrada vršila, a nema drugog pravnog osnova za obradu;
- lice na koje se podaci odnose je podnelo prigovor na obradu svojih podataka o ličnosti;
- podaci o ličnosti su nezakonito obrađivani;
- podaci o ličnosti moraju biti obrisani u cilju izvršenja zakonskih obaveza rukovaoca.
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza brisanja podataka obuhvata i preduzimanje svih razumnih mera u cilju obaveštavanja drugih rukovalaca, koji te podatke obrađuju, da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.
PRAVO NA OGRANIČENJE OBRADE
Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca u slučajevima:
- Kada lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti ovih podataka;
- Kada je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka i, umesto brisanja, zahteva ograničenje upotrebe podataka;
- Kada rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
- Kada je lice na koje se podaci odnose podnelo prigovor na obradu podataka, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.
PRAVO NA PRENOSIVOST PODATAKA
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti, koje je prethodno dostavilo rukovaocu, prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili prvobitno dostavljeni, ukoliko:
1) obrada je zasnovana na pristanku lica na koje se podaci odnose ili na osnovu ugovora;
2) obrada se vrši automatizovano.
Pravo na prenosivost uključuje i neposredan prenos sa prethodnog na novog rukovaoca.
PRAVO NA PRIGOVOR
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu svojih podataka o ličnosti, koja se vrši u skladu sa javnim interesom ili izrvršenjem zakonskih ovlašćenja rukovaoca, odnosno legitimnim interesima rukovaoca ili treće strane, kao pravnim osnovima obrade.
Rukovalac podataka mora obustaviti obradu podataka osobe koja je uložila prigovor, osim ako može dokazati da postoje zakonski razlozi za nastavak obrade koji pretežu nad interesima, pravima ili slobodama te osobe ili su povezani sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Konačno, u trećem i poslednjem tekstu iz naše serije tekstova o ključnim obavezama koje iz Zakona o zaštiti podataka o ličnosti, bavimo se kaznenim odredbama Zakona.
