Zakon o zaštiti podataka o ličnosti koji obavezuje sve kompanije na uvođenje brojnih procedura i donošenje značajnog broja akata usvojen je još 21.08.2019. godine. U seriji tekstova pojašnjavamo vam neka od osnovnih pravila i obaveza koja je Zakon uveo.
Rok zvezda među pravnim aktima, Opšta uredba Evropske Unije o zaštiti podataka o ličnosti (dalje: GDPR), koju je pratio nezapamćen interes medija i do sada neviđen stepen lobiranja, počela je da se primenjuje 25. maja 2018. godine. GDPR je uveo potpunu transformaciju u shvatanju značaja, rukovanju i zaštiti podataka o ličnosti u digitalnom dobu.
Iako predstavlja akt EU, GDPR se, pod određenim uslovima, primenjuje i na domaće kompanije. Ukoliko niste sigurni da li treba da se brinete oko primene odredaba GDPR-a, to možete utvrditi na osnovu uputstava u našem blogu Kada se GDPR primenjuje u Srbiji?.
Ipak, ako ste se radovali što ste izbegli primenu ove obimne uredbe, koja na neverovatnih 88 strana propisuje brojne obaveze i dužnosti za kompanije uz astronomske kazne u visini do 20 miliona evra ili 4% godišnjeg obrta Vaše firme, nažalost, takva radost je bila kratkog daha.
Pod uticajem GDPR-a, radi usklađivanja sa pravom Evropske unije, Srbija je u novembru 2018. godine usvojila Zakon o zaštiti podataka o ličnosti, kojim usvaja većinu principa i standarda GDPR-a. Iako se Zakonu o zaštiti podataka o ličnosti može dosta toga zameriti (o čemu smo već pisali u našem blogu GDPR u Srbiji – Ministarstvo pravde izgubljeno u prevodu?), nema sumnje da se njime uvodi neuporedivo viši standard zaštite podataka o ličnosti. Viši standard zaštite, međutim, podrazumeva više obaveza za sve koji obrađuju podatke.
Kao i GDPR, koji je usvojen 2016. godine, a koji je počeo da se primenjuje dve godine kasnije, Zakon o zaštiti podataka o ličnosti (dalje: Zakon) ostavio je svim pravnim subjektima rok od 9 meseci za usklađivanje aktivnosti i poslovanja sa njegovim odredbama.
Taj rok je istekao 21. avgusta 2019. godine, što je dan od kada Zakon o zaštiti podataka o ličnosti počinje da se primenjuje.
Neke od novina koje vas mogu zanimati, pojašnjavamo u ovom tekstu. Ipak, iako se novi Zakon o zaštiti podataka o ličnosti bavi i obradom podataka kada su u pitanju državni organi i institucije, ovaj tekst će se ograničiti isključivo na privatni sektor sa fokusom na privredna društva.
DA LI MOJU KOMPANIJU DOTIČE ZAKON O ZAŠTITI PODATAKA O LIČNOSTI?
Zakon o zaštiti podataka o ličnosti se primenjuje na sve koji obrađuju podatke o ličnosti. Obrada je svaka automatizovana ili neautomatizovana radnja koja se preduzima u vezi sa podacima o ličnosti. Tu spadaju prikupljanje, beleženje, čuvanje, razvrstavanje, uvid, brisanje, pohranjivanje, kao i sve druge radnje koje se tiču podataka o ličnosti.
Na primer: dovoljno je da samo čuvate podatke o ličnosti na serveru, bez uvida u tu bazu, da bi se smatralo da obrađujete podatke i da se na vas primenjuje novi Zakon.
Često se susrećemo sa konstatacijama klijenata da njihova kompanija ne obrađuje podatke o ličnosti. Nalazimo da je ova zabluda neverovatno rasprostranjena. Istina je da gotovo svaka kompanija obrađuje podatke o ličnosti.
Ukoliko to nisu podaci trećih lica u okviru glavne (osnovne) delatnosti društva (na primer: obrada podataka potrošača), svakako svako društvo obrađuje podatke o zaposlenim licima i kandidatima za posao.
Ukoliko ste poslodavac i želite da saznate na šta treba da obratite pažnju, vidite tekst 9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti.
Zakonske odredbe se primenjuju na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač sa sedištem (ukoliko je reč o pravnom licu), odnosno sa prebivalištem/boravištem na teritoriji Srbije, u okviru aktivnosti koje se vrše na teritoriji Srbije, bez obzira da li se radnja obrade vrši na teritoriji Srbije.
DA LI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI DOTIČE STRANE KOMPANIJE BEZ SEDIŠTA U SRBIJI?
Kao što je, pod određenim uslovima, moguće primeniti GDPR na kompanije koje nemaju nikakvo poslovno prisustvo na teritoriji EU, tako se i Zakon može primeniti i na obradu podataka o ličnosti lica od strane rukovaoca, odnosno obrađivača koji nema sedište u Srbiji. Za eksteritorijalnu primenu je potrebno da je ispunjen jedan od ova dva uslova:
1. Ako je radnja obrade vezana za ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
Dakle, ako se Vaša firma bavi elektronskom trgovinom i nudi robu i/ili usluge i na teritoriji Srbije, uz mogućnost dostave u Srbiji i uz marketinške aktivnosti usmerene na kupce iz Srbije, morate da se uskladite sa Zakonom, iako nemate sedište u Srbiji.
2. Ako je radnja obrade vezana za praćenje aktivnosti lica na koje se podaci odnose, a aktivnosti se vrše na teritoriji Srbije.
Dakle, inostrane firme, koje prate ponašanje građana na teritoriji Srbije (na primer: preko kolačića „trekera”), moraju da poštuju Zakon o zaštiti podataka o ličnosti, čak i ako nemaju sedište u Srbiji.
KADA SE NE PRIMENJUJE ZAKON O ZAŠTITI PODATAKA O LIČNOSTI?
- Zakon se ne primenjuje kada obradu vrši fizičko lice za svoje lične potrebe. Na primer: lice koje u bazi svog telefona ima lična imena i brojeve telefona, a koje koristi u privatne svrhe, nema obaveze prema novom Zakonu.
- Zakon se ne primenjuje ni na podatke koji su anonimni, odnosno na podatke uz pomoć kojih se ne može identifikovati lice (ni posredno ni neposredno).
- Primena Zakona se može izbeći i onda kada ne postoji zbirka podataka, odnosno podaci nisu sistematizovani i strukturirani.
U svim ostalim situacijama, Zakon o zaštiti podataka o ličnosti se mora poštovati.
KOJI JE PRVI KORAK U USKLAĐIVANJU SA NOVIM ZAKONOM?
Kao prvi korak, kompanije moraju uraditi tzv. „mapiranje podataka o ličnosti”. Taj proces podrazumeva da treba da utvrde koje podatke o ličnosti prikupljaju, na koji način, od koga, u kom formatu i u koju svrhu. Dalje, analizom se utvrđuju zakonski osnovi, koliko dugo se čuvaju podaci, koje mere zaštite se primenjuju, sa kim se mogu podeliti ti podaci, da li se podaci iznose van Srbije i sl.
Kompanije treba da izrade ili revidiraju čitav niz internih akata i da uvedu odgovarajuće procedure, kako bi se uskladile sa ovim Zakonom.
POJAM PODATKA O LIČNOSTI ŠIROKO POSTAVLJEN
Da bi se pravilno izvršilo mapiranje podataka, potrebno je razumeti da novi Zakon proširuje pojam podatka o ličnosti na svaki podatak koji se odnosi na neko fizičko lice, uz pomoć koga je identitet tog fizičkog lica posredno ili neposredno:
- određen
ili
- odrediv
Dakle, ne govorimo više samo o imenu i prezimenu, JMBG, adresi i svemu što nas direktno identifikuje. Tu spada i mnoštvo podataka preko kojih se indirektno može doći do nekog lica.
U podatke preko kojih se indirektno može identifikovati lice spada veliki broj naših podataka na internetu (IP adresa, IMEI broja uređaja kojim pristupamo internetu, lokacija preko GPS-a, šifre, nalozi elektronske pošte i nalozi na društvenim mrežama itd.). Sada je jasno da ovi podaci spadaju u podatke o ličnosti i da uživaju posebnu zaštitu.
ŠEST „SVETIH ZAPOVESTI” OBRADE PODATAKA O LIČNOSTI
Tokom postupka usklađivanja sa Zakonom, ali i kasnije prilikom rukovanja podacima, kompanije moraju neprekidno da vode računa o šest načela obrade podataka o ličnosti. Nazvali smo ih „svetim zapovestima” jer svaka procedura i pravilo, koju kompanija uvede, mora da bude u skladu sa svih šest načela u svako doba. Samo nepoštovanje načela, bez kršenja bilo koje druge odredbe u Zakonu, može da povlači prekršajnu odgovornost i novčanu kaznu do 2.000.000,00 dinara.
ZAKONITOST, POŠTENJE I TRANSPARENTNOST | OBAVEZA OBRADE PODATAKA O LIČNOSTI U SKLADU SA NOVIM ZAKONOM ILI DRUGIM ZAKONOM KOJI UREĐUJE OBRADU PODATAKA O LIČNOSTI, NA POŠTEN I TRANSPARENTAN NAČIN. |
---|---|
PRIMER | Svaka kompanija, koja ima sajt preko koga prikuplja podatke o ličnosti, moraće da objavi Politiku privatnosti. Politika privatnosti sada mora da ima čitav niz obaveznih elemenata. U odsustvu jednog ili više tih elemenata, krši se načelo transparentnosti. |
OGRANIČENJE U ODNOSU NA SVRHU OBRADE | PRIKUPLJANJE PODATAKA O LIČNOSTI MORA DA BUDE ISKLJUČIVO U SVRHU KOJE JE KONKRETNO ODREĐENA, IZRIČITA, OPRAVDANA I ZAKONITA. |
PRIMER | Na vašem sajtu kupac je sam dao podatak o email adresi, koja je neophodna da bi se registrovao nalog. Dakle, svrha davanja podatka je registracija naloga. Time kupac nije dao saglasnost da mu se šalju promotivne ponude vaše kompanije ili vaših partnera. Ukoliko biste koristili email adresu u ove svrhe, u odsustvu drugog pravnog osnova za obradu, vaše postupanje bi bilo nezakonito. |
MINIMIZACIJA PODATAKA | PODACI O LIČNOSTI KOJI SE OBRAĐUJU MORAJU BITI PRIMERENI, BITNI I OGRANIČENI NA ONO ŠTO JE NEOPHODNO U ODNOSU NA SVRHU OBRADE. |
PRIMER | Ukoliko se bavite elektronskom trgovinom i želite da izvršite ugovor o kupoprodaji dostavljanjem proizvoda potrošaču na adresu, za tu svrhu vam nije potreban ni JMBG niti datum rođenja potrošača. Ukoliko biste ipak prikupili ove podatke, takva obrada bi bila nezakonita, jer ste prikupili više od onoga što vam je potrebno za navedenu svrhu. |
TAČNOST | PODACI O LIČNOSTI MORAJU BITI TAČNI I, PO POTREBI, AŽURIRANI. |
PRIMER | Ukoliko se lice pretplatilo na isporuku časopisa na nedeljnom nivou, pa od momenta zaključenja ugovora promeni adresu stanovanja, rukovalac je dužan da ažurira taj podatak kako bi ugovor mogao adekvatno da se izvrši. |
OGRANIČENJE ČUVANJA | PODACI O LIČNOSTI SE MORAJU ČUVATI U OBLIKU KOJI OMOGUĆAVA IDENTIFIKACIJU LICA SAMO U ROKU KOJI JE NEOPHODAN ZA OSTVARIVANJE SVRHE OBRADE. |
PRIMER | Ukoliko kompanija koristi video nadzor radi obezbeđenja sigurnosti imovine i lica, jako je važno da donese odgovarajuće pravne akte kojima će predvideti koliko dugo se čuvaju podaci prikupljeni tim video nadzorom, ko vodi računa o roku čuvanja, kako se uništavaju snimci i sl. |
INTEGRITET I POVERLJIVOST | PODACI O LIČNOSTI SE MORAJU OBRAĐIVATI NA NAČIN KOJI OBEZBEĐUJE NJIHOVU ODGOVARAJUĆU ZAŠTITU. |
PRIMER | Ukoliko društvo koristi softver za obradu podataka o ličnosti zaposlenih, veoma je važno da se jasno odredi koja lica će imati pravo na pristup podacima u bazi podataka. Takođe, biće potrebno da ta lica potpišu ugovore/izjave o čuvanju poverljivosti. |
KADA JE DOZVOLJENO DA OBRAĐUJEM PODATKE O LIČNOSTI?
Prethodno smo spomenuli da svaka obrada mora da ima jasno određenu, izričitu i opravdanu svrhu. Osim toga, svrha mora da bude zakonita.
Šta to znači?
Da bi obrada bila zakonita, neophodno je da se svrha obrade može podvesti pod jedan od šest zakonskih pravnih osnova. Dakle, dok može da postoji neograničen broj svrha za obradu, svaka od njih mora da se podvede pod jedan od šest pravnih osnova.
DA LI JE ZAKON O ZAŠTITI PODATAKA O LIČNOSTI UKINUO NEKE OBAVEZE KOMPANIJAMA?
Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.
Dakle, evidencija zbirki podataka se vodi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodi računa onaj ko podatke obrađuje.
Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja ili da je obrada podataka ovime olakšana. Suštinski, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Kompanije nemaju više taj „luksuz” i same moraju da vrše procenu kakva obrada je zakonita. To znači da kompanije snose neuporedivo veći rizik.
DA LI JE OVO SVE ŠTO TREBA DA ZNA MOJA KOMPANIJA?
Postoji još važnih pitanja o kojima treba voditi računa od 21.08.2019. godine.
Na veoma konkretan način u našim tekstovima bavili smo se i sledećim pitanjima: Lice za zaštitu podataka o ličnosti, tehničke mere za zaštitu podataka o ličnosti, pitanjem pseudonimizacije i prava lica na koje se podaci odnose.