Da li ste vlasnik strane firme koja posluje na teritoriji Republike Srbije? Da li se pitate koja su vaša prava i obaveze kada je u pitanju prikupljanje i obrada podataka o ličnosti stanovnika Srbije? Ukoliko su odgovori na prethodna pitanja potvrdni, ovaj blog je kao poručen za vas.
Pre svega je bitno pomenuti da je u Srbiji na snazi Zakon o zaštiti podataka o ličnosti (u nastavku teksta: Zakon). Ovaj zakon uveo je niz novina, a jedna od njih je i obaveza imenovanja Predstavnika rukovaoca ili obrađivača koji nemaju sedište u Republici Srbiji (u nastavku teksta: Predstavnik za Srbiju). Dalje u ovom tekstu ćemo se fokusirati na detalje u vezi sa Predstavnikom za Srbiju za zaštitu podataka o ličnosti, kao što je pitanje ko ima obavezu da imenuje ovo lice, da li postoje određeni izuzeci, koja su njegova ovlašćenja i obaveze, ko može biti imenovan za ovu poziciju? Ukoliko želite da steknete opštu sliku o svim obavezama na osnovu Zakona, preporučujemo Vam da pročitate naš blog: Zakon o zaštiti podataka o ličnosti – kratak vodič kako da se uskladite.
Ukoliko ste imenovali Lice za zaštitu podataka o ličnosti (DPO) i smatrate da je time posao završen, budite oprezni! Predstavnik za Srbiju nije isto što i Lice za zaštitu podataka o ličnosti, a moguće je da vaša firma ima obavezu imenovanja oba lica. Više o razlikama između ove dve funkcije možete pronaći u našem zasebnom blogu: Ko je Data Protection Officer, a ko Predstavnik za Srbiju?
Zakon o zaštiti podataka o ličnosti je već na snazi i u primeni, što znači da je izuzetno važno da što pre ispunite ovu obavezu, ukoliko to već niste učinili. Budite u toku sa zakonskim regulativama kako biste zaštitili svoje poslovanje i izbegli eventualne probleme u budućnosti.
Ko je Predstavnik za Srbiju i ko ima obavezu da ga imenuje?
Predstavnik za Srbiju je:
- fizičko ili pravno lice,
- sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije,
- koje je pismenim putem ovlašćeno da predstavlja rukovaoca, odnosno obrađivača podataka o ličnosti u vezi sa njihovim obavezama u oblasti zaštite privatnosti.
Ukoliko niste sigurni da li se uopšte smatrate rukovaocem ili obrađivačem podataka o ličnosti, u nastavku su objašnjenja i primeri za oba lica.
- Rukovalac – fizičko ili pravno lice koje određuje svrhu i način obrade podataka o ličnosti.
Primer A: Rukovalac je na primer poslodavac u vezi sa podacima o ličnosti koje prikuplja od svojih zaposlenih i/ili kandidata za zaposlenje budući da u toj situaciji on određuje svrhu i način obrade podataka o ličnosti. Poslodavac u toj situaciji najčešće prikuplja podatke da bi bio u mogućnosti da upravlja osobljem, da pruža usluge klijentima, te da ispoštuje sve zakonske propise.
Primer B: Rukovalac može biti i vlasnik aplikacije koji od svojih korisnika prikuplja određene podatke o ličnosti. To najčešće podrazumeva obradu imena i prezimena, e-mail adrese, adrese stanovanja, datuma rođenja i slično. Vlasnik aplikacije uglavnom prikuplja ove podatke kako bi mogao da izvrši svoje obaveze prema korisnicima (npr. da omogući kreaciju korisničkog naloga i korišćenje svih funkcionalnosti aplikacije).
- Obrađivač – fizičko ili pravno lice koje obrađuje podatke u ime rukovaoca.
Primer A: Obrađivačem se na primer smatra pružalac usluga koji ne određuje svrhu obrade podataka o ličnosti, ali do obrade određenih podataka nužno dolazi prilikom pružanja usluga nalogodavcu. Na primer marketinška agencija nije ta koja određuje koje i čije podatke će obrađivati, ali ona mora da dođe u posed određenih podataka o ličnosti kako bi bila u mogućnosti da obavi svoj posao.
Primer B: Bitno je naglasiti da isto lice može biti rukovalac u odnosu na jednu grupu podatka o ličnosti, a obrađivač u odnosu na drugu grupu takvih podataka. Tako na primer vlasnik aplikacije može da prikuplja određene podatke od korisnika svog proizvoda na način i u svrhu koje je on odredio u svojstvu rukovaoca (npr. podaci potrebni za kreiranje korisničkog naloga). Isto tako, moguće je da aplikacija upravo služi njenim korisnicima za prikupljanje podataka o ličnosti (npr. aplikacija koju poslodavac koristi za upravljanje ljudskim resursima putem koje prikuplja podatke od svojih zaposlenih) pa u tom slučaju aplikacija služi samo kao sredstvo za obradu podataka za koje korisnici podataka određuju način i svrhu obrade. Drugim rečima, u tom pogledu vlasnik aplikacije ima ulogu obrađivača.
Dakle, ukoliko spadate u kategoriju rukovaoca i/ili obrađivača, moguće je da podležete obavezi imenovanja Predstavnika za Srbiju.
Kompanija koja nema sedište na teritoriji Republike Srbije, dužna je da pismenim putem odredi Predstavnika za Srbiju ako vrši obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije, i ako obrađuje podatke u vezi sa:
1) ponudom robe, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu (npr. platforma iz Nemačke nudi usluge preko koje je moguća kupovina avionskih karata širom sveta, uključujući i Srbiju);
2) praćenjem aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije (npr. vlasnik sajta ili aplikacije iz Kine putem kolačića i drugih tehnologija prati ponašanje posetilaca/korisnika iz Srbije i na taj način im nudi relevantne personalizovane reklame).
Znamo da svi ovi uslovi mogu delovati zbunjujuće, te se u nastavku nalazi kontrolna lista koja je namenjena da Vam pomogne da razjasnite da li imate ili nemate obavezu određivanja Predstavnika za Srbiju. Ukoliko ispunjavate sve stavke, ova obaveza se odnosi na Vas.
Čak i ukoliko ste odgovorili na sve gore navedene stavke potvrdno, Zakon je predvideo dva izuzetka od generalnog pravila. Naime, nećete biti u obavezi da odredite Predstavnika za Srbiju ukoliko:
1) ste rukovalac, odnosno obrađivač koji je organ vlasti; ili
2) je obrada podataka o ličnosti koju vršite povremena, ne uključuje u velikoj meri obradu posebno ostetljivih podataka (kao što su osude za krivična i druga kažnjiva dela, rasno ili etničko poreklo, političko mišljenje, versko uverenje, podaci o zdravstvenom stanju ili seksualnoj orijentaciji fizičkog lica i sl.), i verovatno je da neće prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade. U primeni ovog izuzetka najčešće dolazi do nedoumica u vezi sa uslovom da se obrada podataka vrši povremeno budući da se još uvek nije iskristalisalo, niti je zauzet zvaničan stav šta se tačno podrazumeva pod „povremenom“ obradom. Postoje mišljenja da se kompanija može pozvati na ovaj izuzetak ako obrađuje podatke o ličnosti od manje od 5% svojih klijenata. Međutim, s obzirom na to da još uvek ovo mišljenje nije potvrđeno od nadležnih organa, u slučaju sumnje je najsigurnije imenovati Predstavnika radi eliminisanja potencijalnog rizika izricanja kazni u vezi sa kršenjem odredaba Zakona.
I dalje Vam nije jasno da li imate obavezu da imenujete Predstavnika ili ne? U nastavku je primer radi dodatnog pojašnjenja:
- E-prodavnica koja je registrovana i ima sedište u Sjedinjenim Američkim Državama, a nudi usluge prodaje ili posredovanja u prodaji građanima Republike Srbije i omogućava im online kupovinu proizvoda, pri čemu se prikupljaju podaci kao što su ime i prezime, datum rođenja, broj pasoša, JMBG, broj kreditne/debitne kartice i slično.
- U navedenom slučaju, E-prodavnica je dužna da imenuje Predstavnika za Srbijiu kako bi omogućila Povereniku i licima čije podatke obrađuje da joj se obrate sa zahtevima koji se tiču zaštite podataka o ličnosti.
Koja su ovlašćenja i obaveze Predstavnika za Srbiju?
Uloga Predstavnika za Srbiju se sastoji iz sledećeg:
- Kompanija ovlašćuje Predstavnika za Srbiju kao lice kome se, umesto samoj kompaniji, mogu obraćati lica u vezi sa obradom podataka o ličnosti, a to mogu biti:
- lica na koje se podaci o ličnosti odnose;
- Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti; ili
- druga lica.
Cilj ovog ovlašćenja je obezbeđivanje poštovanja odredbi Zakona o zaštiti podataka o ličnosti.
U vezi sa ovim treba imati u vidu da se pritužbe, tužbe i ostali pravni zahtevi, u vezi sa zaštitom podataka o ličnosti, mogu podneti protiv rukovaoca ili obrađivača, bez obzira na to da li je određen njihov Predstavnik za Srbiju. Obrazloženje ovog pravila je činjenica da u slučaju nepostupanja u skladu sa Zakonom o zaštiti podataka o ličnosti, odgovoran će biti rukovalac/obrađivač, a ne njegov Predstavnik za Srbiju.
- Predstavnik za Srbiju na osnovu pismenog ovlašćenja (najčešće u formi ugovora) stupa u pravni odnos sa rukovaocem/obrađivačem. U takvom odnosu, Predstavnik nije ovlašćen za nezavisno postupanje, već je on u obavezi da postupa po nalozima rukovaoca/obrađivača koji su vezani za obradu podataka o ličnosti.
- Takođe, Predstavnik za Srbiju je dužan da sarađuje sa Poverenikom u vršenju njegovih ovlašćenja. U skladu sa tim identitet i kontakt podaci Predstavnika za Srbiju moraju biti objavljeni na transparentan način tako da se Poverenik i lica čiji se podaci obrađuju mogu lako upoznati sa njima i stupiti u kontakt sa Predstavnikom po potrebi.
- Kompanija može da poveri svom Predstavniku za Srbiju da vodi evidenciju o radnjama obrade za koje je kompanija odgovorna, ukoliko kompanija:
- ima 250 ili više zaposlenih,
- obradom može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose,
- vrši obradu koja nije povremena, ili
- obrada obuhvata posebno osetljive vrste podataka o ličnosti.
Čak i ukoliko ovu evidenciju vodi sama kompanija (odnosno rukovalac/obrađivač), neophodno je da svi podaci iz evidencije budu dostupni imenovanom Predstavniku kako bi mogao da ispuni svoje obaveze u skladu sa Zakonom. Ovakve evidencije bi trebalo da sadrže podatke poput informacija o rukovaocu/obrađivaču, svrsi obrade, vrsti lica na koje se podaci odnose, vrsti podataka o ličnosti, merama zaštite podataka, eventualnom prenosu podataka u države van Republike Srbije itd.
Ko može biti Predstavnik za Srbiju?
- Prebivalište, odnosno o sedište u Srbiji – Predstavnik za Srbiju može biti fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije.
- Pismeno ovlašćenje – Predstavnik mora biti pismenim putem ovlašćen (najčešće ugovorom) da predstavlja rukovaoca/obrađivača u vezi sa obavezama iz Zakona o zaštiti podataka o ličnosti.
- Znanja i kvalifikacije – Zakonom se vršenje ove funkcije ne uslovljava posedovanjem dodatnih stručnih kvalifikacija, ali se podrazumeva da je poželjno da Predstavnik za Srbiju bude upoznat sa regulativom iz oblasti zaštite podataka o ličnosti kako bi mogao da vrši svoje dužnosti na adekvatan način.
- Poznavanje srpskog jezika – Zakonom nije izričito propisano da Predstavnik mora da se služi srpskim jezikom, ali se to preporučuje budući da bi se u suprotnom dovela u pitanje mogućnost Predstavnika da vrši svoje obaveze koje uključuju komunikaciju sa Poverenikom, kao i sa licima iz Republike Srbije čiji se podaci obrađuju.
Bitno je naglasiti da Predstavnik za Srbiju može, ali ne mora biti zaposlen kod rukovaoca, odnosno obrađivača. Dakle, (ne)postojanje radnog odnosa nije od značaja za imenovanje Predstavnika.
Šta ako vaša kompanija nema sedište, ali ima predstavništvo u Srbiji?
Kao što je gore objašnjeno, Zakon propisuje da u određenim situacijama pravna lica koja nemaju sedište u Republici Srbiji, imaju obavezu da imenuju Predstavnika za Srbiju. Međutim, šta se dešava sa ovom obavezom ako pravno lice ima registrovano predstavništvo u Srbiji?
Iako bismo strogim tumačenjem Zakona došli do zaključka da postojanje predstavništva u Srbiji ne oslobađa pravno lice obaveze imenovanja Predstavnika za Srbiju, odgovor na dato pitanje bi morao biti drugačiji.
Naime, Poverenik je zauzeo stav[1] da strano privredno društvo, koje je obrazovalo svoje predstavništvo u Republici Srbiji preko koga efektivno, stvarno i stabilno posluje, nema obavezu da odredi svog Predstavnika za Srbiju.
Poverenik je do ovog mišljenja došao tumačenjem Opšte uredbe o zaštiti podataka Evropske Unije (GDPR), koja je bila uzor za donošenje srpskog Zakona o zašiti podataka o ličnosti. Kako GDPR ne obavezuje pravna lica sa predstavništvima u EU da odrede Predstavnika za EU, Poverenik bi donošenjem drugačijeg stava rukovaocima i obrađivačima nametnuo više obaveza nego što je to potrebno prema evropskim standardima.
Posledice neimenovanja Predstavnika za Srbiju
Ukoliko se oglušite o Vašu obavezu da imenujete Predstavnika za Srbiju, posledice mogu biti kako finansijske (novčane kazne u slučaju prekršaja), tako i reputacione prirode. Reputacioni rizik pogotovo važi za kompanije koje sarađuju sa licima iz zemalja u kojima je još strožija kaznena politika zaštite podataka o ličnosti budući da ta lica lako mogu prekinuti saradnju sa kompanijama koje ne poštuju sve svoje ugovorne i zakonske obaveze vezane za zaštitu podataka o ličnosti.
O tome da navedene posledice nisu samo slovo na papiru govori činjenica da je Share fondacija (neprofitna organizacija koja teži da unapredi ljudska prava i slobode u onlajn sferi), već u dva navrata podnosila prekršajne prijave protiv mnogih globalnih kompanija koje nisu imenovale svoje Predstavnike za Srbiju, uprkos apelu fondacije i Poverenika.
Među kompanijama kojima je naš tim pomogao da ispune zahteve Zakona o zaštiti podataka o ličnosti su kompanija eSky, globalni lider u pružanju usluga organizacije putovanja i HD-WIN koji stoji iza platforme Bloomberg Adria. Za više informacija, pročitajte vesti Advokat Tijana Žunić Marić predstavnik za zaštitu podataka globalne kompanije eSky u Srbiji i Bloomberg Adria imenovala Tijanu Žunić Marić kao Predstavnika za zaštitu podataka za Srbiju.
Kako ne bi došlo do negativnih posledica po vaše poslovanje, važno je imati dobru podršku i tim stručnjaka specijalizovanih za zaštitu podataka o ličnosti i privatnosti koji će vam pružiti sva neophodna obaveštenja i smernice.