TIK-TAK, SAT OTKUCAVA… NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI POČINJE SA PRIMENOM – DA LI STE SE USKLADILI?

I DEO

Novi Zakon o zaštiti podataka o ličnosti obavezuje sve kompanije na uvođenje brojnih procedura i donošenje značajnog broja akata do 21.08.2019. U seriji tekstova pojašnjavamo ključne novine koje nam donosi novi Zakon.

16.
Jul 2019.

Autor teksta: Tijana Žunić Marić

Autor teksta: Miloš Radosavljević

Rok zvezda među pravnim aktima, Opšta uredba Evropske Unije o zaštiti podataka o ličnosti (dalje: GDPR), koju je pratio nezapamćen interes medija i do sada neviđen stepen lobiranja, počela je da se primenjuje 25. maja 2018. godine. GDPR je uveo potpunu transformaciju u shvatanju značaja, rukovanju i zaštiti podataka o ličnosti u digitalnom dobu.

Iako predstavlja akt EU, GDPR se, pod određenim uslovima, primenjuje i na domaće kompanije. Ukoliko niste sigurni da li treba da se brinete oko primene odredaba GDPR-a, to možete utvrditi na osnovu uputstava u našem blogu Kada se GDPR primenjuje u Srbiji?.

Ipak, ako se radujete što ste izbegli primenu ove obimne uredbe, koja na neverovatnih 88 strana propisuje brojne obaveze i dužnosti za kompanije uz astronomske kazne u visini do 20 miliona evra ili 4% godišnjeg obrta Vaše firme, nažalost, takva radost će biti kratkog daha.

Pod uticajem GDPR-a, radi usklađivanja sa pravom Evropske unije, Srbija je u novembru 2018. godine usvojila novi Zakon o zaštiti podataka o ličnosti, kojim usvaja većinu principa i standarda GDPR-a. Iako se novom Zakonu o zaštiti podataka o ličnosti može dosta toga zameriti (o čemu smo već pisali u našem blogu GDPR u Srbiji – Ministarstvo pravde izgubljeno u prevodu?), nema sumnje da se njime uvodi neuporedivo viši standard zaštite podataka o ličnosti. Viši standard zaštite, međutim, podrazumeva više obaveza za sve koji obrađuju podatke.

Kao i GDPR, koji je usvojen 2016. godine, a koji je počeo da se primenjuje dve godine kasnije, novi Zakon o zaštiti podataka o ličnosti (dalje: novi Zakon) ostavio je svim pravnim subjektima rok od 9 meseci za usklađivanje aktivnosti i poslovanja sa njegovim odredbama.

Taj rok ističe 21. avgusta 2019. godine, što je dan od kada novi Zakon o zaštiti podataka o ličnosti počinje da se primenjuje.

Neke od novina koje vas mogu zanimati, pojašnjavamo u ovom tekstu. Ipak, iako se novi Zakon o zaštiti podataka o ličnosti bavi i obradom podataka kada su u pitanju državni organi i institucije, ovaj tekst će se ograničiti isključivo na privatni sektor sa fokusom na privredna društva.

DA LI MOJU KOMPANIJU DOTIČE DONOŠENJE NOVOG ZAKONA?

Zakon o zaštiti podataka o ličnosti se primenjuje na sve koji obrađuju podatke o ličnosti. Obrada je svaka automatizovana ili neautomatizovana radnja koja se preduzima u vezi sa podacima o ličnosti. Tu spadaju prikupljanje, beleženje, čuvanje, razvrstavanje, uvid, brisanje, pohranjivanje, kao i sve druge radnje koje se tiču podataka o ličnosti.

Na primer: dovoljno je da samo čuvate podatke o ličnosti na serveru, bez uvida u tu bazu, da bi se smatralo da obrađujete podatke i da se na vas primenjuje novi Zakon.

Često se susrećemo sa konstatacijama klijenata da njihova kompanija ne obrađuje podatke o ličnosti. Nalazimo da je ova zabluda neverovatno rasprostranjena. Istina je da gotovo svaka kompanija obrađuje podatke o ličnosti.

Ukoliko to nisu podaci trećih lica u okviru glavne (osnovne) delatnosti društva (na primer: obrada podataka potrošača), svakako svako društvo obrađuje podatke o zaposlenim licima i kandidatima za posao.

Ukoliko ste poslodavac i želite da saznate na šta treba da obratite pažnju, vidite tekst 9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti.

Zakonske odredbe se primenjuju na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač sa sedištem (ukoliko je reč o pravnom licu), odnosno sa prebivalištem/boravištem na teritoriji Srbije, u okviru aktivnosti koje se vrše na teritoriji Srbije, bez obzira da li se radnja obrade vrši na teritoriji Srbije.

DA LI NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI DOTIČE STRANE KOMPANIJE BEZ SEDIŠTA U SRBIJI?

Kao što je, pod određenim uslovima, moguće primeniti GDPR na kompanije koje nemaju nikakvo poslovno prisustvo na teritoriji EU, tako se i novi Zakon može primeniti i na obradu podataka o ličnosti lica od strane rukovaoca, odnosno obrađivača koji nema sedište u Srbiji. Za eksteritorijalnu primenu je potrebno da je ispunjen jedan od ova dva uslova:

1. Ako je radnja obrade vezana za ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;

Dakle, ako se Vaša firma bavi elektronskom trgovinom i nudi robu i/ili usluge i na teritoriji Srbije, uz mogućnost dostave u Srbiji i uz marketinške aktivnosti usmerene na kupce iz Srbije, morate da se uskladite sa novim Zakonom, iako nemate sedište u Srbiji.

2.  Ako je radnja obrade vezana za praćenje aktivnosti lica na koje se podaci odnose, a aktivnosti se vrše na teritoriji Srbije.

Dakle, inostrane firme, koje prate ponašanje građana na teritoriji Srbije (na primer: preko kolačića „trekera”), moraće da poštuju novi Zakon o zaštiti podataka o ličnosti, čak i ako nemaju sedište u Srbiji.

KADA SE NE PRIMENJUJE NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI?

  • Novi Zakon se ne primenjuje kada obradu vrši fizičko lice za svoje lične potrebe. Na primer: lice koje u bazi svog telefona ima lična imena i brojeve telefona, a koje koristi u privatne svrhe, nema obaveze prema novom Zakonu.
  • Novi Zakon se ne primenjuje ni na podatke koji su anonimni, odnosno na podatke uz pomoć kojih se ne može identifikovati lice (ni posredno ni neposredno).
  • Primena Zakona se može izbeći i onda kada ne postoji zbirka podataka, odnosno podaci nisu sistematizovani i strukturirani.

U svim ostalim situacijama, Zakon o zaštiti podataka o ličnosti se mora poštovati.

KOJI JE PRVI KORAK U USKLAĐIVANJU SA NOVIM ZAKONOM?

Kao prvi korak, kompanije će morati da urade tzv. „mapiranje podataka o ličnosti”. Taj proces podrazumeva da treba da utvrde koje podatke o ličnosti prikupljaju, na koji način, od koga, u kom formatu i u koju svrhu. Dalje, analizom se utvrđuju zakonski osnovi, koliko dugo se čuvaju podaci, koje mere zaštite se primenjuju, sa kim se mogu podeliti ti podaci, da li se podaci iznose van Srbije i sl.

Kompanije treba da izrade ili revidiraju čitav niz internih akata i da uvedu odgovarajuće procedure, kako bi se uskladile sa ovim Zakonom.

POJAM PODATKA O LIČNOSTI JE PROŠIREN

Da bi se pravilno izvršilo mapiranje podataka, potrebno je razumeti da novi Zakon proširuje pojam podatka o ličnosti na svaki podatak koji se odnosi na neko fizičko lice, uz pomoć koga je identitet tog fizičkog lica posredno ili neposredno:

  • određen

ili

  • odrediv

Dakle, ne govorimo više samo o imenu i prezimenu, JMBG, adresi i svemu što nas direktno identifikuje. Tu spada i mnoštvo podataka preko kojih se indirektno može doći do nekog lica.

U podatke preko kojih se indirektno može identifikovati lice spada veliki broj naših podataka na internetu (IP adresa, IMEI broja uređaja kojim pristupamo internetu, lokacija preko GPS-a, šifre, nalozi elektronske pošte i nalozi na društvenim mrežama, itd.). Sada je jasno da ovi podaci spadaju u podatke o ličnosti i da uživaju posebnu zaštitu.

ŠEST SVETIH ZAPOVESTI OBRADE PODATAKA O LIČNOSTI

Tokom postupka usklađivanja sa novim Zakonom, ali i kasnije prilikom rukovanja podacima, kompanije će morati neprekidno da vode računa o šest načela obrade podataka o ličnosti. Nazvali smo ih „svetim zapovestima” jer svaka procedura i pravilo, koju kompanija uvede, mora da bude u skladu sa svih šest načela u svako doba. Samo nepoštovanje načela, bez kršenja bilo koje druge odredbe u Zakonu, može da povlači prekršajnu odgovornost i novčanu kaznu do 2.000.000,00 dinara.

ZAKONITOST, POŠTENJE I TRANSPARENTNOSTObaveza obrade podataka o ličnosti u skladu sa novim Zakonom ili drugim zakonom koji uređuje obradu podataka o ličnosti, na pošten i transparentan način.
PRIMERSvaka kompanija, koja ima sajt preko koga prikuplja podatke o ličnosti, moraće da objavi Politiku privatnosti. Politika privatnosti sada mora da ima čitav niz obaveznih elemenata. U odsustvu jednog ili više tih elemenata, krši se načelo transparentnosti.
OGRANIČENJE U ODNOSU NA SVRHU OBRADEPrikupljanje podataka o ličnosti mora da bude isključivo u svrhu koje je konkretno određena, izričita, opravdana i zakonita.
PRIMERNa vašem sajtu kupac je sam dao podatak o email adresi, koja je neophodna da bi se registrovao nalog. Dakle, svrha davanja podatka je registracija naloga. Time kupac nije dao saglasnost da mu se šalju promotivne ponude vaše kompanije ili vaših partnera. Ukoliko biste koristili email adresu u ove svrhe, u odsustvu drugog pravnog osnova za obradu, vaše postupanje bi bilo nezakonito.
MINIMIZACIJA PODATAKA
Podaci o ličnosti koji se obrađuju moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade.
PRIMERUkoliko se bavite elektronskom trgovinom i želite da izvršite ugovor o kupoprodaji dostavljanjem proizvoda potrošaču na adresu, za tu svrhu vam nije potreban ni JMBG niti datum rođenja potrošača. Ukoliko biste ipak prikupili ove podatke, takva obrada bi bila nezakonita, jer ste prikupili više od onoga što vam je potrebno za navedenu svrhu.
TAČNOSTPodaci o ličnosti moraju biti tačni i, po potrebi, ažurirani.
PRIMERUkoliko se lice pretplatilo na isporuku časopisa na nedeljnom nivou, pa od momenta zaključenja ugovora promeni adresu stanovanja, rukovalac je dužan da ažurira taj podatak kako bi ugovor mogao adekvatno da se izvrši.
OGRANIČENJE ČUVANJA
Podaci o ličnosti se moraju čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade.
PRIMERUkoliko kompanija koristi video nadzor radi obezbeđenja sigurnosti imovine i lica, jako je važno da donese odgovarajuće pravne akte kojima će predvideti koliko dugo se čuvaju podaci prikupljeni tim video nadzorom, ko vodi računa o roku čuvanja, kako se uništavaju snimci i sl.
INTEGRITET I POVERLJIVOST
Podaci o ličnosti se moraju obrađivati na način koji obezbeđuje njihovu odgovarajuću zaštitu.
PRIMERUkoliko društvo koristi softver za obradu podataka o ličnosti zaposlenih, veoma je važno da se jasno odredi koja lica će imati pravo na pristup podacima u bazi podataka. Takođe, biće potrebno da ta lica potpišu ugovore/izjave o čuvanju poverljivosti.

KADA JE DOZVOLJENO DA OBRAĐUJEM PODATKE O LIČNOSTI?

Prethodno smo spomenuli da svaka obrada mora da ima jasno određenu, izričitu i opravdanu svrhu. Osim toga, svrha mora da bude zakonita.

Šta to znači?

Da bi obrada bila zakonita, neophodno je da se svrha obrade može podvesti pod jedan od šest zakonskih pravnih osnova. Dakle, dok može da postoji neograničen broj svrha za obradu, svaka od njih mora da se podvede pod jedan od šest pravnih osnova.

DA LI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI UKIDA NEKE OBAVEZE KOMPANIJAMA?

Novim Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.

Ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodiće računa onaj ko podatke obrađuje.

Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja, ili da će rukovaocima ili obrađivačima u budućnosti biti lakše. Suštinski, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Sada, kompanije nemaju više taj „luksuz” i same moraju da vrše procenu kakva obrada je zakonita. To znači da kompanije sada snose neuporedivo veći rizik.

DA LI JE OVO SVE ŠTO TREBA DA ZNA MOJA KOMPANIJA?

Nažalost, postoji još važnih pitanja o kojima treba voditi računa do 21.08.2019. godine.

U narednom tekstu na ovu temu bavimo se, na veoma konkretan način, pitanjima kao što su: Lice za zaštitu podataka o ličnosti, tehničke mere za zaštitu podataka o ličnosti, pitanjem pseudonimizacije i prava lica na koje se podaci odnose.

Najnovije:

NEWSLETTER

NEWSLETTER