5 opasnih posledica nepoštovanja Zakona o zaštiti podataka o ličnosti

Zakon o zaštiti podataka o ličnosti počeo je da se primenjuje 21.08.2019. godine. U seriji tekstova pojašnjavamo ključne institute ovog Zakona.

13.
Jun 2022.

Sigurno Vas zanima šta se sve može desiti ukoliko Vaša kompanija ne poštuje Zakon o zaštiti podataka o ličnosti (dalje: ZZPL). Ko snosi odgovornost za nepoštovanje ZZPL, kakve kazne mogu uslediti, koliko to može uticati na samo poslovanje kompanije, ko kontroliše da li prikupljanje i obradu podataka o ličnosti vršite u skladu sa ZZPL, da li su kazne slične onima koje propisuje GDPR?

Ukoliko mislite da je Zakon o zaštiti podataka o ličnosti  samo gomila pravila koja predstavlja mrtvo slovo na papiru bez konkretne primene, razmislite još jednom.

Još od stupanja na snagu GDPR-a u Evropskoj uniji u maju 2018. godine, koga je pratilo stupanje na snagu ZZPL-a 2019. godine, svest građana o njihovim pravima u pogledu privatnosti se drastično povećala. To je znak koji govori u prilogu tome da kompanije u Srbiji treba ozbiljno da shvate primenu propisa o zaštiti podataka o ličnosti. O značaju prava na zaštitu podataka o ličnosti govori i činjenica da je ono zajemčeno Ustavom Republike Srbije u okviru dela ljudska i manjinska prava i slobode.

Već smo imali dosta prilika da vidimo koliko ozbiljno je Evropska unija shvatila ovaj zadatak, tako da možemo zaključiti da ukoliko podaci o ličnosti procure i u našoj državi, budućnost kompanije koja učini povredu neće biti svetla.

Koje su to opasnosti sa kojima se može suočiti Vaša kompanija?

Počećemo sa onim opasnostima od kojih ljudi neretko najviše i strepe, a to je kaznena odgovornost.

1. PREKRŠAJNA ODGOVORNOST

Zakon o zaštiti podataka o ličnosti taksativno navodi čak 32 povrede usled kojih rukovalac, odnosno obrađivač podataka može biti kažnjen. Neke od njih su  obrađivanje podataka o ličnosti suprotno načelima obrade, obrađivanje podataka o ličnosti u druge svrhe suprotno ZZPL-u, neizvršavanje brisanja podataka o ličnosti u skladu sa ZZPL-om, neobaveštavanje Poverenika o povredi bezbednosti podataka.

Rukovaoca, odnosno obrađivača, koji ima svojstvo pravnog lica, prekršajni sud može kazniti novčanom kaznom u rasponu od 50.000,00 do 2.000.000,00 dinara zbog navedenih povreda. Ukoliko se ustanovi da je rukovalac, odnosno obrađivač istovremeno učinio više povreda, može biti kažnjen novčanom kaznom do čak 4.000.000,00 dinara.

Osim toga, novčana kazna u rasponu od 5.000,00 do 150.000,00 dinara se može izreći fizičkom licu koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja svojih poslova.

Pored navedenih kazni, ukoliko rukovalac, odnosno obrađivač, kao pravno lice povredi obaveze predviđene ZZPL-om, Poverenik ga može putem prekršajnog naloga kazniti novčanom kaznom u iznosu od 100.000,00 dinara. Konkretno radi se o sledećim radnjama:

  • nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu;
  • ne odredi svog predstavnika u Republici Srbiji;
  • ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku itd.

Kako se određuje visina kazne u svakom konkretnom slučaju?

Prilikom određivanja toga koliko će konkretno novčana kazna iznositi, uzimaju se u obzir težina i posledice učinjenog prekršaja, priroda prekršaja, tačnije broj ljudi koji su pogođeni prekršajem, šteta koju su pretrpeli, trajanje prekršaja, vrsta podataka o ličnosti koji su povređeni, mere preduzete za ublažavanje nastale štete, da li je prekršaj prijavljen itd.

Dakle, ovo su okolnosti koje prekršajni sud uzima u obzir prilikom određivanja visine kazne, tako da čak i ukoliko povredite propise koji štite podatke o ličnosti, trebalo bi da preduzmite sve moguće mere kako biste minimizovali posledice povrede.

Kakva je kaznena politika u Evropskoj uniji?

Ukoliko mislite da su novčane kazne propisane za kršenje Zakona o zaštiti podataka o ličnosti visoke, razmislite još jednom.

Naime, GDPR predviđa da se kompanije koje povrede podatke o ličnosti mogu suočiti sa enormnim kaznama koje dosežu do 4% od njihovog svetskog godišnjeg prihoda ostvarenog u prethodnoj finansijskoj godini, ili do 20 miliona evra, koji god od ova dva iznosa je viši. Znači, kompanije na koje se primenjuje GDPR mogu vrlo lako doživeti katastrofalne posledice i suočiti se sa vrtoglavim kaznama!

Kada pogledamo ove astronomske cifre, stičemo utisak da kompanijama uvek sleduju milionske kazne ukoliko prekrše GDPR, a što smo već videli na primerima British Airways-a i Marriott International-a. Međutim, stvarnost je zapravo drugačija. Iz dosadašnje prakse uočili smo da, u situacijama kada su za kršenje GDPR-a kažnjavane male kompanije, kazne su iznosile nekoliko stotina ili hiljada evra, srazmerno gorenavedenim kriterijumima za odmeravanje kazne. U vezi sa tim, jednoj medicinskoj ustanovi u Bugarskoj izrečena je kazna od 510,00 evra, rent a car kompaniji u Češkoj 1.165,00 evra, dok je u Austriji jedna kladionica kažnjena sa 4.800,00 evra.

2. KRIVIČNA ODGOVORNOST

Koliko ozbiljno treba shvatiti zaštitu podataka o ličnosti, postaje jasno kada uzmemo u obzir činjenicu da za njeno kršenje, Krivični zakonik predviđa i kaznu zatvora. Uz to, važno je naglasiti da krivično mogu odgovarati samo fizička lica.

Krivični zakonik predviđa da, kada se radi o podacima o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona, a neko lice ih neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni, može se kazniti novčanom kaznom ili kaznom zatvora do jedne godine. Isto važi i za onoga ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi.

Takođe, ukoliko ovo delo učini službeno lice u vršenju službene dužnosti, preti mu kazna zatvora do 3 godine.

Kao što možemo videti, Krivični zakonik obuhvata vrlo širok spektar radnji koje se mogu podvesti pod krivično delo neovlašćenog prikupljanja ličnih podataka. Tačnije, odnosi se na svaku obradu podataka suprotnu načelima obrade, a o čemu smo detaljno pisali u prethodnom blogu posvećenom zaštiti podataka o ličnosti.

S obzirom na to i dalje ne postoji sudska praksa u vezi sa izvršenjem ovog krivičnog dela, ostaje da vidimo u kojoj meri će sudovi sankcionisati učinioce.

3. REPUTACIONI RIZIK

Opasnosti koje prete kompanijama koje ne poštuju propise koji regulišu zaštitu podataka o ličnosti ne ogledaju se samo u novčanim kaznama. Daleko veće posledice može predstavljati to što usled nepoštovanja ZZPL-a dolazi do gubitka poverenja u kompaniju od strane klijenata čiji su podaci povređeni.

U poređenju sa kaznama, koje imaju jednokratan efekat na finansijsko stanje kompanije, i od kojih se, uspešne kompanije bez većih poteškoća mogu oporaviti, ukaljana reputacija zbog kompromitovanja ličnih podataka klijenata na dugoročnom planu može dovesti do višestrukih negativnih posledica. Pored finansijskih gubitaka, te posledice mogu se ogledati u gubitku postojećih ili potencijalnih klijenata, smanjenju poslovanja, gubitku potencijalnih investicija, padu tržišne vrednosti kompanije…

Startapi pogotovo treba da posvete dužnu pažnju zaštiti podataka o ličnosti, kako njihovo buduće poslovanje ne bi bilo dovedeno pod znak pitanja. Pri tome, ukoliko budu želeli da nađu partnere koji bi investirali u njihovu kompaniju ili budu želeli da prodaju kompaniju, prilikom due dilligence procedure sigurno će postaviti ovo pitanje. Saznanje o tome da je kompanija povredila podatke o ličnosti svojih klijenata, može rezultirati gubitkom važnih investicija, a što može dovesti i do zatvaranja kompanije, koja bi inače imala svetlu budućnost.

4. NENOVČANA ODGOVORNOST

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, kao organ nadležan za nadzor nad sprovođenjem ZZPL-a, između ostalog, ima ovlašćenje da:

  • obaveštava rukovaoca, odnosno obrađivača, o mogućim povredama zakona,
  • zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja,
  • zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.

Takođe, Poverenik ima mogućnost da preduzme korektivne mere, tako da je ovlašćen da naloži rukovaocu (i obrađivaču) da postupi po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, da uskladi radnje obrade sa odredbama ZZPL, da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka, da izrekne privremeno ili trajno ograničenje vršenja radnje obrade podataka o ličnosti, uključujući i zabranu obrade itd.

Na ovaj način, Poverenik vrši aktivnu ulogu u postupku zaštite podataka o ličnosti i otklanjanju nastalih povreda.

Šta mogu da učine lica čiji su podaci o ličnosti povređeni?

Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku, ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno ZZPL-u. U tom slučaju, Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu podnosioca pritužbe da pokrene sudski postupak. Poverenik u tom postupku može uraditi jednu od gore primerično datih radnji, kao i sve ostale radnje na koje ga ZZPL ovlašćuje. Protiv odluke Poverenika lice ima pravo da pokrene upravni spor.

Dodatno, lica čiji su podaci o ličnosti povređeni,imaju pravo da pokrenu parnicu protiv rukovaoca ili obrađivača kojim će između ostalog tražiti ispravku, odnosno brisanje podataka, kao i prekid obrade podataka. Važno je naznačiti da podnošenje ove tužbe ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.

Naš ZZPL se i na ovom polju zaštite podataka o ličnosti u potpunosti ugledao na odredbe GDPR-a.

5. NAKNADA ŠTETE

Iako do sada naknada štete zbog povrede podataka o ličnosti nije privukla veću pažnju, ona može prouzrokovati čak i veće finansijske posledice nego novčane kazne koje propisuje ZZPL.

Naime, lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog nezakonite obrade njegovih podataka ima pravo da tužbom zahteva novčanu naknadu za nastalu štetu – od rukovaoca, odnosno obrađivača koji ju je prouzrokovao. Sud će u parničnom postupku odlučivati da li je lice zaista pretrpelo štetu i ukoliko jeste, koliko će iznositi pravična naknada za štetu koju je pretrpeo.

Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu samo ukoliko dokaže da ni na koji način nije odgovoran za njen nastanak.

Međutim, treba imati u vidu da prouzrokovana šteta može biti kako materijalna, tako i nematerijalna. Dakle, pored finansijskih gubitaka koje lice može da pretrpi usled nezakonite obrade (npr. ako podaci o njegovoj kreditnoj kartici budu hakovani), nezakonitom obradom podataka mogu mu biti povređeni i ugled, čast, sloboda i pravo ličnosti…

Visinu pretrpljene štete sud će proceniti u odnosu na svaki konkretni slučaj. Kako je Zakon o zaštiti podataka o ličnosti relativno skoro počeo da se primenjuje, još uvek ne postoji sudska praksa na osnovu koje bi se mogli izvući bilo kakvi zaključci.

Međutim, dosadašnja sudska praksa u Evropskoj uniji pokazala je da se iznosi naknade štete mogu kretati od nekoliko stotina do više stotina hiljada evra, koliko je dosuđeno tužiocima u predmetu Gulati protiv MGN Ltd zbog hakovanja telefona poznatih ličnosti od strane poznatih žurnala Daily Mirror, the Sunday Mirror i the People.

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama