Zakon o zaštiti podataka o ličnosti – kratak vodič kako da se uskladite
Zakon o zaštiti podataka o ličnosti počeo je sa primenom još 21.08.2019. godine. Međutim, ne sumnjamo da će Vam ovaj vodič kroz osnovne obaveze koje je on uveo biti koristan.
Zakon o zaštiti podataka o ličnosti počeo je sa primenom još 21.08.2019. godine. Međutim, ne sumnjamo da će Vam ovaj vodič kroz osnovne obaveze koje je on uveo biti koristan.
U prethodnom tekstu Tik-Tak, sat otkucava…Novi Zakon o zaštiti podataka o ličnosti počinje sa primenom – Da li ste se uskladili? objasnili smo kada se Zakon primenjuje, šta podrazumeva podatak o ličnosti i koja su to načela i pravni osnovi obrade. U ovom tekstu objašnjavamo tehničke mere zaštite, pojam lica za zaštitu podataka o ličnosti i prava lica čiji se podaci obrađuju.
Bezbednost podataka o ličnosti predstavlja jedan od ključnih principa na kojima je zasnovan Zakon o zaštiti podataka o ličnosti. Tako, Zakon nalaže rukovaocu da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obrada podataka o ličnosti bila u skladu sa Zakonom, pri čemu rukovalac mora voditi računa o prirodi, obimu, okolnostima, svrsi obrade, verovatnoći nastupanja rizika i stepenu rizika za prava i slobode fizičkih lica.
U slučaju potrebe, rukovalac mora biti u stanju da predoči da je postupio u skladu sa ovom zakonskom obavezom.
Iako na prvi pogled izgleda da je ova odredba neprecizna, Zakon se zapravo ugleda na pristup iz Opšte uredbe o zaštiti podataka o ličnosti EU (GDPR), koji uzima u obzir sve brži tehnološki razvoj i različite oblasti u kojima se vrši obrada podataka o ličnosti, te se iz tog razloga izbegava da detaljnije nabraja koje su to „tehničke, organizacione i kadrovske mere” koje rukovalac treba da preduzme.
Jednom implementirane zaštitne mere ne treba posmatrati kao večne i nepromenjive, već bi rukovalac trebalo da ih preispituje i ažurira, po potrebi.
Kako bi se uspostavila bezbednost obrade podataka o ličnosti,rukovalac i obrađivač moraju sprovoditi odgovarajuće tehničke, organizacione i kadrovske mere, u cilju obezbeđivanja odgovarajućeg nivoa zaštite bezbednosti podataka o ličnosti u odnosu na konkretni rizik po njihovu bezbednost. Pri tome, treba uzeti u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.
Koliko je važno da primenite navedene mere, najbolje pokazuje činjenica da je veliki broj kazni za nepoštovanje GDPR-a izrečen baš zbog nedovoljnog nivoa tehničkog obezbeđenja. Na primer: kazna u visini od 204.000.000,00 evra je izrečena kompaniji British Airways u Velikoj Britaniji, zbog povrede podataka usled hakerskog napada, kako smo to ranije objasnili u tekstu Kompanijama British Airways i Marriott International prete astronomske kazne zbog kršenja GDPR-a.
Da biste mogli da odaberete odgovarajuće mere za Vašu kompaniju, pre svega je potrebno identifikovati koje to opasnosti prete bezbednosti podataka o ličnosti koje obrađujete, kao i kolika je verovatnoća da te opasnosti i mogućnosti postanu stvarnost.
Primer:
Ukoliko obrađujete podatke o ličnosti u elektronskom obliku, rizici koji prete njihovoj bezbednosti mogu uključivati neovlašćeni pristup bazama podataka, izmenu ili brisanje podataka o ličnosti, fizička oštećenja servera i drugog hardvera na kojima se čuvaju podaci, odnosno koji se koriste za druge radnje obrade, usled požara, poplave i sl.
Pseudonimizacija predstavlja obradu podataka o ličnosti koja onemogućava povezivanje podataka o ličnosti sa određenim fizičkim licem, na koje se ti podaci odnose, bez korišćenja dodatnih podataka. Drugim rečima, pseudonimizacija „prikriva” fizičko lice na koje se podaci odnose, ali je ipak moguće utvrditi identitet lica korišćenjem dodatnih podataka. Vrlo je važno da dodatne podatke čuvate posebno, kao i da preduzmete tehničke, organizacione i kadrovske mere u cilju sprečavanja da se podaci o ličnosti mogu pripisati određenom ili odredivom fizičkom licu.
Anonimizacija predstavlja obradu čiji je rezultat trajna nemogućnost utvrđenja identiteta fizičkog lica na koje se podaci odnose. Momentom kada ste anonimizovali podatke, više niste na terenu Zakona o zaštiti podataka o ličnosti odnosno nemate više obavezu da sa takvim podacima postupate u skladu sa Zakonom.
Enkripcija podataka je metod zaštite kojim se informacije kriptuju i omogućava se pristup samo onom licu koje poseduje enkripcioni ključ. Kriptovani podaci se pojavljuju u nečitljivom obliku svakom ko želi da im pristupi bez enkripcionog ključa.
Zbirke podataka o ličnosti se moraju čuvati daleko od očiju lica koja nemaju ovlašćenja da vrše uvid u takve zbirke u okviru same kompanije. Proces usklađivanja sa novim Zakonom o zaštiti podataka o ličnosti podrazumeva da se jasno utvrde prava, obaveze i odgovornosti zaposlenih u pogledu čuvanja i korišćenja zbirki podataka o ličnosti. Neki podaci mogu biti dostupni svim zaposlenima u kompaniji (na primer: poslovne email adrese), dok drugi podaci mogu biti dostupni samo zaposlenim licima sa posebnim ovlašćenjima (na primer: pojedinim licima u okviru kadrovske službe).
Novim Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.
Ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodiće računa onaj ko podatke obrađuje.
Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja ili da će rukovaocima ili obrađivačima u budućnosti biti lakše. Naprotiv, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Sada, kompanije nemaju više taj „luksuz” i same moraju da vrše procenu da li je konkretna obrada zakonita. To znači da kompanije sada snose neuporedivo veći rizik.
Ako postoji opasnost da povreda podataka proizvede visok rizik po prava i slobode fizičkih lica, rukovalac mora da obavesti lice na koje se podaci odnose, bez nepotrebnog odlaganja, izuzev ukoliko je rukovalac preduzeo odgovarajuće mere kao reakciju na povredu.
Možemo primetiti da jedino visok rizik po prava i slobode fizičkih lica dovodi do obaveze obaveštavanja lica na koja se podaci odnose, dok se u slučaju manje značajnog rizika mora obavestiti Poverenik.
U načelu, rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti, ali nemaju obavezu da to učine. Ipak, kada su u pitanju privredni subjekti, novi Zakon o zaštiti podataka o ličnosti nalaže obavezno određivanje lica za zaštitu podataka o ličnosti ukoliko se:
Ako rukovalac, odnosno obrađivač sa svojstvom pravnog lica ne odredi lice za zaštitu podataka o ličnosti u navedenim slučajevima, biće novčano kažnjen za prekršaj u rasponu od 50.000,00 – 2.000.000,00 dinara.
Rukovalac ili obrađivač dužni su da objave kontakt podatke lica za zaštitu podataka o ličnosti i da ih dostave Povereniku.
Lice za zaštitu podataka o ličnosti stoji na raspolaganju licima na koja se podaci odnose, koja mu se mogu obratiti u vezi sa svim pitanjima koja se odnose na obradu njihovih podataka, kao i u vezi sa ostvarivanjem njihovih prava.
Za izvršavanje svojih zakonskih obaveza, lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.
Novi Zakon o zaštiti podataka o ličnosti dozvoljava da lice za zaštitu podataka o ličnosti, pored poslova u vezi sa zaštitom podataka o ličnosti kod rukovaoca ili obrađivača, obavlja i druge poslove i izvršava druge obaveze, pri čemu su rukovalac ili obrađivač dužni da obezbede da izvršavanje drugih poslova i obaveza ne dovede ovo lice u sukob interesa.
Ako se prikupljaju podaci od lica na koje se ti podaci odnose, rukovalac mora da u trenutku prikupljanja podataka tom licu pruži Zakonom propisane informacije, kao što su: identitet i kontakt podaci rukovaoca, kontakt podaci lica za zaštitu podataka o ličnosti, svrha nameravane obrade i pravni osnnov za obradu, o primaocima podataka, o roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu njegovih podataka i druge informacije.
Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, da zahteva pristup tim podacima, kao i informacije o svrsi obrade, o vrstama podataka koji se obrađuju, o predviđenom roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu obrade njegovih podataka i druge informacije.
Rukovalac je dužan da, na zahtev lica na koje se podaci odnose, dostavi kopiju podataka o ličnosti koje obrađuje, a koji se odnose na to lice.
Ako postoje netačni podaci o ličnosti, lice na koje se ovi podaci odnose ima pravo da traži ispravku ovih podataka od rukovaoca, koji je dužan da navedene netačne podatke ispravi bez nepotrebnog odlaganja.
Ako postoje nepotpuni podaci o ličnosti, u zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni svoje podatke o ličnosti.
Lice na koje se podaci odnose ima pravo da podnese zahtev rukovaocu za brisanje njegovih podataka o ličnosti od strane rukovaoca.
Rukovalac je obavezan da obriše podatke o ličnosti ako:
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza brisanja podataka obuhvata i preduzimanje svih razumnih mera u cilju obaveštavanja drugih rukovalaca, koji te podatke obrađuju, da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.
Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca u slučajevima:
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti, koje je prethodno dostavilo rukovaocu, prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili prvobitno dostavljeni, ukoliko:
1) obrada je zasnovana na pristanku lica na koje se podaci odnose ili na osnovu ugovora;
2) obrada se vrši automatizovano.
Pravo na prenosivost uključuje i neposredan prenos sa prethodnog na novog rukovaoca.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu svojih podataka o ličnosti, koja se vrši u skladu sa javnim interesom ili izrvršenjem zakonskih ovlašćenja rukovaoca, odnosno legitimnim interesima rukovaoca ili treće strane, kao pravnim osnovima obrade.
Rukovalac mora prestati sa obradom podataka lica koje je podnelo prigovor, osim ako može dokazati da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koja se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Konačno, u trećem i poslednjem tekstu iz naše serije tekstova o ključnim obavezama koje je uveo Zakon o zaštiti podataka o ličnosti, bavimo se kaznenim odredbama Zakona.