5 opasnosti koje Vam prete za nepoštovanje Zakona o zaštiti podataka o ličnosti (ZZPL)

III DEO

Novi Zakon o zaštiti podataka o ličnosti počeo je sa primenom 21.08.2019. godine. U seriji tekstova pojašnjavamo ključne novine koje nam je doneo novi ZZPL.

16.
Sep 2019.

Autor teksta: Tijana Žunić Marić

Autor teksta: Aleksandra Igić

ZZPL je počeo sa primenom, koje su to opasnosti koje Vam prete za nepoštovanje Zakon o zaštiti podataka o ličnosti

Sigurno Vas zanima šta se sve može desiti ukoliko Vaša kompanija ne poštuje Zakon o zaštiti podataka o ličnosti. Ko snosi odgovornost za nepoštovanje ZZPL, kakve kazne mogu uslediti, koliko to može uticati na samo poslovanje kompanije, ko kontroliše da li prikupljanje i obradu podataka o ličnosti vršite u skladu sa novim Zakonom o zaštiti podataka o ličnosti, da li su kazne slične onima koje propisuje GDPR?

Ukoliko mislite da novi Zakon o zaštiti podataka o ličnosti donosi samo gomilu pravila koja će predstavljati mrtvo slovo na papiru bez konkretne primene, razmislite još jednom.

Još od stupanja na snagu GDPR-a u Evropskoj uniji u maju prošle godine, koga je pratilo stupanje na snagu Zakona o zaštiti podataka o ličnosti (ZZPL), svest građana se drastično povećala vezano za prava koja imaju, što je svakako još jedna naznaka o tome koliko kompanije u Srbiji treba ozbiljno da shvate primenu novog Zakona o zaštiti podataka o ličnosti. O značaju prava na zaštitu podataka o ličnosti govori i činjenica da je ono zajemčeno Ustavom Republike Srbije u okviru dela ljudska i manjinska prava i slobode.

Već smo videli koliko ozbiljno je Evropska unija shvatila ovaj zadatak stupanjem na snagu GDPR-a, tako da možemo zaključiti da ukoliko podaci o ličnosti procure i u našoj državi, budućnost kompanije koja učini povredu neće biti svetla.

Koje su to sve opasnosti sa kojima se može suočiti Vaša kompanija?

ZZPL

Počećemo sa onim opasnostima od kojih ljudi neretko najviše i strepe, a to je kaznena odgovornost.

1. PREKRŠAJNA ODGOVORNOST

Šematski prikaz - novčani iznos kazni za nepoštovanje novog ZZPL

Zakon o zaštiti podataka o ličnosti taksativno navodi čak 32 povrede usled kojih rukovalac, odnosno obrađivač može biti kažnjen, a među nabrojanim povredama nalaze se i obrađivanje podataka o ličnosti suprotno načelima obrade, obrađivanje podataka o ličnosti u druge svrhe suprotno ZZPL-u, ukoliko se podaci o ličnosti ne obrišu u skladu sa ZZPL-om, ukoliko Poverenik ne bude obavešten o povredi bezbednosti podataka.

Prekršajni sud može rukovaoca, odnosno obrađivača u svojstvu pravnog lica zbog navedenih povreda kazniti novčanom kaznom u rasponu od 50.000,00 do 2.000.000,00 dinara. Ukoliko se ustanovi da je rukovalac, odnosno obrađivač istovremeno učinio više povreda, može biti kažnjen novčanom kaznom do najviše 4.000.000,00 dinara.

Takođe, fizičkom licu, koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova, može biti izrečena novčana kazna od 5.000,00 do 150.000,00 dinara za učinjeni prekršaj.

Pored navedenih kazni, ukoliko rukovalac, odnosno obrađivač kao pravno lice povredi taksativno navedene obaveze predviđene ZZPL-om, Poverenik ga može putem prekršajnog naloga kazniti novčanom kaznom u iznosu od 100.000,00 dinara. Navedene obaveze obuhvataju između ostalog da:

  • nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu;
  • ne odredi svog predstavnika u Republici Srbiji;
  • ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku itd.
Određivanje kazni u konkretnom slučaju prema ZZPL

Kako se određuje visina kazne u svakom konkretnom slučaju?

Naglašavamo da se prilikom određivanja tačne visine novčane kazne uzimaju u obzir težina i posledice učinjenog prekršaja, priroda prekršaja, tačnije broj ljudi koji su pogođeni prekršajem, šteta koju su pretrpeli, trajanje prekršaja, vrsta podataka o ličnosti koji su povređeni, mere preduzete za ublažavanje nastale štete, da li je prekršaj prijavljen itd.

Ovo su okolnosti koje prekršajni sud uzima u obzir kada određuje visinu kazne, tako da ukoliko povredite propise koji štite podatke o ličnosti, preduzmite sve mere kako bi posledice same povrede bile što manje.

Kakva je kaznena politika u Evropskoj uniji?

Ukoliko mislite da su novčane kazne propisane za kršenje Zakona o zaštiti podataka o ličnosti visoke, razmislite još jednom.

Naime, GDPR predviđa da se kompanije koje povrede podatke o ličnosti mogu suočiti sa enormnim kaznama koje dosežu do 4% od njihovog svetskog godišnjeg prihoda ostvarenog u prethodnoj finansijskoj godini ili do 20 miliona evra, koji god od ova dva iznosa je viši. Znači, kompanije na koje se primenjuje GDPR  mogu vrlo lako doživeti katastrofalne posledice i suočiti se sa vrtoglavim kaznama!

Kada pogledamo ove astronomske cifre, stičemo utisak da kompanijama uvek sleduju milionske kazne ukoliko prekrše GDPR, a što smo već videli na primerima British Airways-a i Marriott Internationl-a. Međutim, stvarnost je zapravo durgačija. Iz dosadašnje prakse uočili smo da su za kršenje GDPR-a kažnjavane i male kompanije i sa nekoliko stotina ili hiljada evra, a sve srazmerno gorenavedenim kriterijumima za odmeravanje kazne. Tako imamo primere da je medicinska ustanova u Bugarskoj kažnjena sa 510,00 evra, rent a car kompanija u Češkoj sa 1.165,00 evra, dok je u Austriji jedna kladionica kažnjena sa 4.800,00 evra.

Jedna od odgovornosti prema novom ZZPL je, i krivična odgovornost

2. KRIVIČNA ODGOVORNOST

Koliko se ozbiljno shvata zaštita podataka o ličnosti, govori i podatak da za njeno kršenje, Krivični zakonik predviđa i kaznu zatvora. Uz to, važno je naglasiti da krivično mogu odgovarati samo fizička lica.

Krivični zakonik predviđa da lica koja podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni i ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi, može se kazniti novčanom kaznom ili kaznom zatvora do jedne godine. Takođe, ukoliko ovo delo učini službeno lice u vršenju službene dužnosti, preti mu kazna zatvora do 3 godine.

Kao što možemo videti, Krivični zakonik obuhvata vrlo širok spektar radnji koje se mogu podvesti pod krivično delo neovlašćenog prikupljanja ličnih podataka, tačnije odnosi se na svaku obradu podataka suprotnu načelima obrade, a o čemu smo detaljno pisali u prethodnom blogu posvećenom zaštiti podataka o ličnosti.

U kojoj meri će sudovi sankcionisati učinioce ovog krivičnog dela, svakako će pokazati praksa u budućnosti.

3. REPUTACIONI RIZIK

Opasnosti koje prete kompanijama koje ne poštuju propise koji regulišu zaštitu podataka o ličnosti, ne ogledaju se samo u novčanim kaznama. Daleko veće posledice može predstavljati to što usled nepoštovanja ZZPL-a dolazi do gubitka poverenja u kompaniju od strane klijenata čiji su podaci povređeni.

Dok kazne imaju jednokratan efekat na finansijsko stanje kompanije od kojih se, neretko, kompanije koje uspešno posluju mogu oporaviti, sa druge strane, ukaljana reputacija zbog kompromitovanja ličnih podataka svojih klijenata na dugoročnom planu može dovesti do katastrofalnih finansijskih posledica za njih. Te posledice mogu se ogledati u gubitku postojećih ili potencijalnih klijenata, smanjenju poslovanja, gubitku potencijalnih investicija, padu tržišne vrednosti kompanije…

Startup kompanije pogotovo moraju da posvete dužnu pažnju zaštiti podataka o ličnosti, kako njihovo buduće poslovanje ne bi bilo dovedeno pod znak pitanja. Pri tome, ukoliko budu želeli da nađu partnere koji bi investirali u njihovu kompaniju ili ukoliko budu želeli da je prodaju, prilikom due dilligence procedure sigurno će izgubiti neke važne investicije kada se sazna da su povredili podatke o ličnosti svojih klijenata, a što može dovesti i do zatvaranja kompanije, koja bi inače imala svetlu budućnost.

Za nepoštovanje ZZPL kompanijama prete novčane kazne, ali pored novčanih kazni nepoštovanjem se izlažu reputacionom riziku

4. NENOVČANA ODGOVORNOST

Poverenik za informacije od javnog značaja ima pravo da, kao organ nadležan za nadzor nad sprovođenjem Zakona za zaštitiu podataka o ličnosti, između ostalog, obaveštava rukovaoca, odnosno obrađivača o mogućim povredama ZZPL, zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja, zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.

Takođe, pored toga, Poverenik je ovlašćen da preduzme korektivne mere, tako da je ovlašćen da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, da usklade radnje obrade sa odredbama ZZPL, da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka o ličnosti, da izrekne privremeno ili trajno ograničenje vršenja radnje obrade podataka o ličnosti, uključujući i zabranu obrade itd.

Na ovaj način, Poverenik vrši aktivnu ulogu u postupku zaštite podataka o ličnosti i otklanjanju nastalih povreda.

Šta mogu da učine lica čiji su podaci o ličnosti povređeni?

Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku, ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno ZZPL-u. U tom slučaju, Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu podnosioca pritužbe da pokrene sudski postupak. Poverenik u tom postupku može uraditi jednu od gore primerično datih radnji, kao i sve ostale radnje na koje ga Zakon o zaštiti podataka o ličnosti ovlašćuje. Protiv odluke Poverenika lice ima pravo da pokrene upravni spor.

Pored toga, lica čiji su podaci o ličnosti povređeni, imaju pravo da pokrenu parnicu protiv rukovaoca ili obrađivača kojim će između ostalog tražiti ispravku, odnosno brisanje podataka, kao i prekid obrade podataka. Važno je naznačiti da podnošenje ove tužbe ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.

Naš ZZPL se i na ovom polju zaštite podataka o ličnosti u potpunosti ugledao na odredbe GDPR-a.

Naknada štete prema ZZPL

5. NAKNADA ŠTETE

Iako do sada, naknada štete zbog povrede podataka o ličnosti nije privukla veću pažnju, ona može prouzrokovati čak i veće finansijske posledice nego novčane kazne koje propisuje ZZPL.

Naime, lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog nezakonite obrade njegovih podataka ima pravo da tužbom zahteva novčanu naknadu za štetu od rukovaoca, odnosno obrađivača koji ju je prouzrokovao. Sud će u parničnom postupku odlučivati da li je lice zaista pretrpelo štetu i ukoliko jeste, koliko će iznositi pravična naknada za štetu koju je pretrpeo.

Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu samo ukoliko dokaže da ni na koji način nije odgovoran za njen nastanak.

Prouzrokovana šteta može biti kako materijalna, tako i nematerijalna. Tako, pored finansijskih gubitaka koje lice može da pretrpi usled nezakonite obrade (npr. ako podaci o njegovoj kreditnoj kartici budu hakovani), nezakonitom obradom podataka mogu mu biti povređeni i ugled, čast, sloboda i pravo ličnosti…

Koliko može iznositi naknada štete?

Sud će određivati visinu pretrpljene štete u odnosu na svaki konkretni slučaj. Kako je novi Zakon o zaštiti podataka o ličnosti tek počeo da se primenjuje u našoj državi, još je nepoznato kakav će stav zauzeti sudovi povodom ovog pitanja, u kojim slučajevima će usvajati zahteve lica za naknadu štete i u kojim iznosima. Dosadašnja praksa sudova u Evropskoj uniji je pokazala da se ti iznosi mogu kretati od nekoliko stotina do više stotina hiljada evra, koliko je dosuđeno tužiocima u predmetu Gulati protiv MGN Ltd zbog hakovanja telefona poznatih ličnosti od strane poznatih žurnala Daily Mirror, the Sunday Mirror i the People.

Najnovije:

NEWSLETTER

NEWSLETTER

KONTAKT

KONTAKT