Zakon o zaštiti podataka o ličnosti – kratak vodič kako da se uskladite

Zakon o zaštiti podataka o ličnosti počeo je sa primenom još 21.08.2019. godine. Međutim, ne sumnjamo da će Vam ovaj vodič kroz osnovne obaveze koje je on uveo biti koristan.

13.
Jun 2022.

U prethodnom tekstu Tik-Tak, sat otkucava…Novi Zakon o zaštiti podataka o ličnosti počinje sa primenom – Da li ste se uskladili? objasnili smo kada se Zakon primenjuje, šta podrazumeva podatak o ličnosti i koja su to načela i pravni osnovi obrade. U ovom tekstu objašnjavamo tehničke mere zaštite, pojam lica za zaštitu podataka o ličnosti i prava lica čiji se podaci obrađuju.

TEHNIČKE MERE ZA ZAŠTITU BEZBEDNOSTI PODATAKA O LIČNOSTI

Bezbednost podataka o ličnosti predstavlja jedan od ključnih principa na kojima je zasnovan Zakon o zaštiti podataka o ličnosti. Tako, Zakon nalaže rukovaocu da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obrada podataka o ličnosti bila u skladu sa Zakonom, pri čemu rukovalac mora voditi računa o prirodi, obimu, okolnostima, svrsi obrade, verovatnoći nastupanja rizika i stepenu rizika za prava i slobode fizičkih lica.

U slučaju potrebe, rukovalac mora biti u stanju da predoči da je postupio u skladu sa ovom zakonskom obavezom.

Iako na prvi pogled izgleda da je ova odredba neprecizna, Zakon se zapravo ugleda na pristup iz Opšte uredbe o zaštiti podataka o ličnosti EU (GDPR), koji uzima u obzir sve brži tehnološki razvoj i različite oblasti u kojima se vrši obrada podataka o ličnosti, te se iz tog razloga izbegava da detaljnije nabraja koje su to „tehničke, organizacione i kadrovske mere” koje rukovalac treba da preduzme.

Jednom implementirane zaštitne mere ne treba posmatrati kao večne i nepromenjive, već bi rukovalac trebalo da ih preispituje i ažurira, po potrebi.

Kako bi se uspostavila bezbednost obrade podataka o ličnosti,rukovalac i obrađivač moraju sprovoditi odgovarajuće tehničke, organizacione i kadrovske mere, u cilju obezbeđivanja odgovarajućeg nivoa zaštite bezbednosti podataka o ličnosti u odnosu na konkretni rizik po njihovu bezbednost. Pri tome, treba uzeti u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.

Koliko je važno da primenite navedene mere, najbolje pokazuje činjenica da je veliki broj kazni za nepoštovanje GDPR-a izrečen baš zbog nedovoljnog nivoa tehničkog obezbeđenja. Na primer: kazna u visini od 204.000.000,00 evra je izrečena kompaniji British Airways u Velikoj Britaniji, zbog povrede podataka usled hakerskog napada, kako smo to ranije objasnili u tekstu Kompanijama British Airways i Marriott International prete astronomske kazne zbog kršenja GDPR-a.

ŠTA NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI PREDVIĐA KAO MERE ZAŠTITE?

PROCENA RIZIKA

Da biste mogli da odaberete odgovarajuće mere za Vašu kompaniju, pre svega  je potrebno identifikovati koje to opasnosti prete bezbednosti podataka o ličnosti koje obrađujete, kao i kolika je verovatnoća da te opasnosti i mogućnosti postanu stvarnost.

Primer:

Ukoliko obrađujete podatke o ličnosti u elektronskom obliku, rizici koji prete njihovoj bezbednosti mogu uključivati neovlašćeni pristup bazama podataka, izmenu ili brisanje podataka o ličnosti, fizička oštećenja servera i drugog hardvera na kojima se čuvaju podaci, odnosno koji se koriste za druge radnje obrade, usled požara, poplave i sl.

MERE ZAŠTITE OD RIZIKA

A. PSEUDONIMIZACIJA

Pseudonimizacija predstavlja obradu podataka o ličnosti koja onemogućava povezivanje podataka o ličnosti sa određenim fizičkim licem, na koje se ti podaci odnose, bez korišćenja dodatnih podataka. Drugim rečima, pseudonimizacija „prikriva” fizičko lice na koje se podaci odnose, ali je ipak moguće utvrditi identitet lica korišćenjem dodatnih podataka. Vrlo je važno da dodatne podatke čuvate posebno, kao i da preduzmete tehničke, organizacione i kadrovske mere u cilju sprečavanja da se podaci o ličnosti mogu pripisati određenom ili odredivom fizičkom licu.

B. ANONIMIZACIJA

Anonimizacija predstavlja obradu čiji je rezultat trajna nemogućnost utvrđenja identiteta fizičkog lica na koje se podaci odnose. Momentom kada ste anonimizovali podatke, više niste na terenu Zakona o zaštiti podataka o ličnosti odnosno nemate više obavezu da sa takvim podacima postupate u skladu sa Zakonom.

C. ENKRIPCIJA

Enkripcija podataka je metod zaštite kojim se informacije kriptuju i omogućava se pristup samo onom licu koje poseduje enkripcioni ključ. Kriptovani podaci se pojavljuju u nečitljivom obliku svakom ko želi da im pristupi bez enkripcionog ključa.

D. SISTEM OVLAŠĆENJA I ULOGA

Zbirke podataka o ličnosti se moraju čuvati daleko od očiju lica koja nemaju ovlašćenja da vrše uvid u takve zbirke u okviru same kompanije. Proces usklađivanja sa novim Zakonom o zaštiti podataka o ličnosti podrazumeva da se jasno utvrde prava, obaveze i odgovornosti zaposlenih u pogledu čuvanja i korišćenja zbirki podataka o ličnosti. Neki podaci mogu biti dostupni svim zaposlenima u kompaniji (na primer: poslovne email adrese), dok drugi podaci mogu biti dostupni samo zaposlenim licima sa posebnim ovlašćenjima (na primer: pojedinim licima u okviru kadrovske službe).

OBAVEŠTAVANJE POVERENIKA O POVREDI PODATAKA O LIČNOSTI

Novim Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.

Ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodiće računa onaj ko podatke obrađuje.

Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja ili da će rukovaocima ili obrađivačima u budućnosti biti lakše. Naprotiv, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Sada, kompanije nemaju više taj „luksuz” i same moraju da vrše procenu da li je konkretna obrada zakonita. To znači da kompanije sada snose neuporedivo veći rizik.

OBAVEŠTAVANJE LICA NA KOJE SE PODACI ODNOSE O POVREDI

Ako postoji opasnost da povreda podataka proizvede visok rizik po prava i slobode fizičkih lica, rukovalac mora da obavesti lice na koje se podaci odnose, bez nepotrebnog odlaganja, izuzev ukoliko je rukovalac preduzeo odgovarajuće mere kao reakciju na povredu.

Možemo primetiti da jedino visok rizik po prava i slobode fizičkih lica dovodi do obaveze obaveštavanja lica na koja se podaci odnose, dok se u slučaju manje značajnog rizika mora obavestiti Poverenik.

LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Kada se određuje?

U načelu, rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti, ali nemaju obavezu da to učine. Ipak, kada su u pitanju privredni subjekti, novi Zakon o zaštiti podataka o ličnosti nalaže obavezno određivanje lica za zaštitu podataka o ličnosti ukoliko se:

  • Osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koja se podaci odnose;
  • Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u obradi posebnih vrsta podataka o ličnosti (podaci o rasnom ili etničkom poreklu, političkom mišljennju, verskom uverenju i sl.) u velikom obimu.

Ako rukovalac, odnosno obrađivač sa svojstvom pravnog lica ne odredi lice za zaštitu podataka o ličnosti u navedenim slučajevima, biće novčano kažnjen za prekršaj u rasponu od 50.000,00 – 2.000.000,00 dinara.

Rukovalac ili obrađivač dužni su da objave kontakt podatke lica za zaštitu podataka o ličnosti i da ih dostave Povereniku.

Kako da angažujemo lice za zaštitu podataka o ličnosti u našoj kompaniji (kod rukovaoca ili obrađivača)?

  • Na osnovu zaposlenja.
  • Na osnovu drugog ugovora.

Položaj lica za zaštitu podataka o ličnosti

Lice za zaštitu podataka o ličnosti stoji na raspolaganju licima na koja se podaci odnose, koja mu se mogu obratiti u vezi sa svim pitanjima koja se odnose na  obradu njihovih podataka, kao i u vezi sa ostvarivanjem njihovih prava.

Za izvršavanje svojih zakonskih obaveza, lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.

Novi Zakon o zaštiti podataka o ličnosti dozvoljava da lice za zaštitu podataka o ličnosti, pored poslova u vezi sa zaštitom podataka o ličnosti kod rukovaoca ili obrađivača, obavlja i druge poslove i izvršava druge obaveze, pri čemu su rukovalac ili obrađivač dužni da obezbede da izvršavanje drugih poslova i obaveza ne dovede ovo lice u sukob interesa.

Koje su obaveze lica za zaštitu podataka o ličnosti?

  • Da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade, о njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
  • Da prati primenu odredaba Zakona o zaštiti podataka o ličnosti i drugih zakona, kao i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
  • Da daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i da prati postupanje po toj proceni;
  • Da predstavlja kontakt tačku za saradnju sa Poverenikom i da se savetuje sa Poverenikom u vezi sa pitanjima koja se odnose na obradu podataka o ličnosti.

PRAVA LICA NA KOJA SE PODACI ODNOSE – OBAVEZE RUKOVAOCA

PRAVO NA INFORMISANOST

Ako se prikupljaju podaci od lica na koje se ti podaci odnose, rukovalac mora da u trenutku prikupljanja podataka tom licu pruži Zakonom propisane informacije, kao što su: identitet i kontakt podaci rukovaoca, kontakt podaci lica za zaštitu podataka o ličnosti, svrha nameravane obrade i pravni osnnov za obradu, o primaocima podataka, o roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu njegovih podataka i druge informacije.

PRAVO NA PRISTUP

Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, da zahteva pristup tim podacima, kao i informacije o svrsi obrade, o vrstama podataka koji se obrađuju, o predviđenom roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu obrade njegovih podataka i druge informacije.

Rukovalac je dužan da, na zahtev lica na koje se podaci odnose, dostavi kopiju podataka o ličnosti koje obrađuje, a koji se odnose na to lice.

PRAVO NA ISPRAVKU I DOPUNU

Ako postoje netačni podaci o ličnosti, lice na koje se ovi podaci odnose ima pravo da traži ispravku ovih podataka od rukovaoca, koji je dužan da navedene netačne podatke ispravi bez nepotrebnog odlaganja.

Ako postoje nepotpuni podaci o ličnosti, u zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni svoje podatke o ličnosti.

PRAVO NA BRISANJE PODATAKA

Lice na koje se podaci odnose ima pravo da podnese zahtev rukovaocu za brisanje njegovih podataka o ličnosti od strane rukovaoca.

Rukovalac je obavezan da obriše podatke o ličnosti ako:

  • podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
  • lice na koje se podaci odnose je opozvalo svoj pristanak na osnovu kog se obrada vršila, a nema drugog pravnog osnova za obradu;
  • lice na koje se podaci odnose je podnelo prigovor na obradu svojih podataka o ličnosti;
  • podaci o ličnosti su nezakonito obrađivani;
  • podaci o ličnosti moraju biti obrisani u cilju izvršenja zakonskih obaveza rukovaoca.

Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza brisanja podataka obuhvata i preduzimanje svih razumnih mera u cilju obaveštavanja drugih rukovalaca, koji te podatke obrađuju, da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.

PRAVO NA OGRANIČENJE OBRADE

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca u slučajevima:

  • Kada lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti ovih podataka;
  • Kada je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka i, umesto brisanja, zahteva ograničenje upotrebe podataka;
  • Kada rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
  • Kada je lice na koje se podaci odnose podnelo prigovor na obradu podataka, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.

PRAVO NA PRENOSIVOST PODATAKA

Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti, koje je prethodno dostavilo rukovaocu, prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili prvobitno dostavljeni, ukoliko:

1) obrada je zasnovana na pristanku lica na koje se podaci odnose ili na osnovu ugovora;

2) obrada se vrši automatizovano.

Pravo na prenosivost uključuje i neposredan prenos sa prethodnog na novog rukovaoca.

PRAVO NA PRIGOVOR

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu svojih podataka o ličnosti, koja se vrši u skladu sa javnim interesom ili izrvršenjem zakonskih ovlašćenja rukovaoca, odnosno legitimnim interesima rukovaoca ili treće strane, kao pravnim osnovima obrade.

Rukovalac mora prestati sa obradom podataka lica koje je podnelo prigovor, osim ako može dokazati da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koja se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.

Konačno, u trećem i poslednjem tekstu iz naše serije tekstova o ključnim obavezama koje je uveo Zakon o zaštiti podataka o ličnosti, bavimo se kaznenim odredbama Zakona.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama