3 min čitanja

Podeli ovaj članak

Rate this Post

5 opasnih posledica nepoštovanja Zakona o zaštiti podataka o ličnosti

13/03/2024

Sigurno Vas zanima šta se sve može desiti ukoliko Vaša kompanija ne poštuje Zakon o zaštiti podataka o ličnosti (dalje: ZZPL). Ko snosi odgovornost za nepoštovanje ZZPL, kakve kazne mogu uslediti, koliko to može uticati na samo poslovanje kompanije, ko kontroliše da li prikupljanje i obradu podataka o ličnosti vršite u skladu sa ZZPL, da li su kazne slične onima koje propisuje GDPR?

Ukoliko mislite da je Zakon o zaštiti podataka o ličnosti  samo gomila pravila koja predstavlja mrtvo slovo na papiru bez konkretne primene, razmislite još jednom.

Još od stupanja na snagu GDPR-a u Evropskoj uniji u maju 2018. godine, koga je pratilo stupanje na snagu ZZPL-a 2019. godine, svest građana o njihovim pravima u pogledu privatnosti se drastično povećala. To je znak koji govori u prilogu tome da kompanije u Srbiji treba ozbiljno da shvate primenu propisa o zaštiti podataka o ličnosti. O značaju prava na zaštitu podataka o ličnosti govori i činjenica da je ono zajemčeno Ustavom Republike Srbije u okviru dela ljudska i manjinska prava i slobode.

Već smo imali dosta prilika da vidimo koliko ozbiljno je Evropska unija shvatila ovaj zadatak, tako da možemo zaključiti da ukoliko podaci o ličnosti procure i u našoj državi, budućnost kompanije koja učini povredu neće biti svetla.

Koje su to opasnosti sa kojima se može suočiti Vaša kompanija?

Počećemo sa onim opasnostima od kojih ljudi neretko najviše i strepe, a to je kaznena odgovornost.

 

1. Prekršajna odgovornost

 

 
 

Zakon o zaštiti podataka o ličnosti taksativno navodi čak 32 povrede usled kojih rukovalac, odnosno obrađivač podataka može biti kažnjen. Neke od njih su  obrađivanje podataka o ličnosti suprotno načelima obrade, obrađivanje podataka o ličnosti u druge svrhe suprotno ZZPL-u, neizvršavanje brisanja podataka o ličnosti u skladu sa ZZPL-om, neobaveštavanje Poverenika o povredi bezbednosti podataka, i dr.

Rukovaoca, odnosno obrađivača, koji ima svojstvo pravnog lica, prekršajni sud može kazniti novčanom kaznom u rasponu od 50.000,00 do 2.000.000,00 dinara zbog svake od navedenih povreda. Ukoliko se ustanovi da je rukovalac, odnosno obrađivač istovremeno učinio više povreda, može biti kažnjen novčanom kaznom do čak 4.000.000,00 dinara.

Osim toga, novčana kazna u rasponu od 5.000,00 do 150.000,00 dinara se može izreći fizičkom licu koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja svojih poslova.

Pored navedenih kazni, ukoliko rukovalac, odnosno obrađivač, kao pravno lice povredi obaveze predviđene ZZPL-om, Poverenik ga može putem prekršajnog naloga kazniti novčanom kaznom u iznosu od 100.000,00 dinara. Konkretno radi se o sledećim radnjama:

 

Kako se određuje visina kazne u svakom konkretnom slučaju?

Prilikom određivanja visine novčane kazne, uzimaju se u obzir ozbiljnost i posledice učinjenog prekršaja, priroda prekršaja, odnosno broj ljudi koji su pogođeni prekršajem, šteta koju su pretrpeli, trajanje prekršaja, vrsta povređenih ličnih podataka, mere preduzete radi ublažavanja nastale štete, da li je prekršaj prijavljen i drugi relevantni faktori.

Dakle, ovo su okolnosti koje prekršajni sud uzima u obzir prilikom određivanja visine kazne, tako da čak i ukoliko povredite propise koji štite podatke o ličnosti, trebalo bi da preduzmete sve moguće mere kako biste minimizovali posledice povrede.

Kakva je kaznena politika u Evropskoj uniji?

Ukoliko mislite da su novčane kazne propisane za kršenje Zakona o zaštiti podataka o ličnosti visoke, razmislite još jednom.

Naime, GDPR propisuje da se kompanije koje povrede podatke o ličnosti mogu suočiti sa enormnim kaznama koje dosežu do 4% od njihovog svetskog godišnjeg prihoda ostvarenog u prethodnoj finansijskoj godini, ili do 20 miliona evra, koji god od ova dva iznosa je viši. Znači, kompanije na koje se primenjuje GDPR mogu vrlo lako doživeti katastrofalne posledice i suočiti se sa vrtoglavim kaznama!

Kada pogledamo ove astronomske cifre, stičemo utisak da kompanijama uvek sleduju milionske kazne ukoliko prekrše GDPR, kao što je primer sa Meta. Međutim, stvarnost je zapravo drugačija. Iz dosadašnje prakse uočili smo da, u situacijama kada su za kršenje GDPR-a kažnjavane male kompanije, kazne su iznosile nekoliko stotina ili hiljada evra, srazmerno gorenavedenim kriterijumima za odmeravanje kazne. U vezi sa tim, jednoj zdravstvenoj ustanovi u Poljskoj izrečena je kazna od 9.200 evra, IT kompaniji u Rumuniji izrečena je kazna od 1000 evra , dok je u Grčkoj advokat kažnjen sa 14.400 evra.

 

2. Krivična odgovornost

 

Koliko ozbiljno treba shvatiti zaštitu podataka o ličnosti, postaje jasno kada uzmemo u obzir činjenicu da za njeno kršenje, Krivični zakonik predviđa i kaznu zatvora. Uz to, važno je naglasiti da krivično mogu odgovarati samo fizička lica.

Krivični zakonik predviđa da, kada se radi o podacima o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona, a neko lice ih neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni, može se kazniti novčanom kaznom ili kaznom zatvora do jedne godine. Isto važi i za onoga ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi.

Takođe, ukoliko ovo delo učini službeno lice u vršenju službene dužnosti, preti mu kazna zatvora do 3 godine.

Kao što možemo videti, Krivični zakonik obuhvata vrlo širok spektar radnji koje se mogu podvesti pod krivično delo neovlašćenog prikupljanja ličnih podataka. Tačnije, odnosi se na svaku obradu podataka suprotnu načelima obrade.

Ipak, još uvek ostaje da vidimo u kojoj meri će sudovi sankcionisati učinioce ovog krivičnog dela.

 

3. Reputacioni rizik

 

Opasnosti koje prete kompanijama koje ne poštuju propise koji regulišu zaštitu podataka o ličnosti ne ogledaju se samo u novčanim kaznama. Daleko veće posledice može predstavljati to što usled nepoštovanja ZZPL-a dolazi do gubitka poverenja u kompaniju od strane klijenata čiji su podaci povređeni.

U poređenju sa kaznama, koje imaju jednokratan efekat na finansijsko stanje kompanije, i od kojih se, uspešne kompanije bez većih poteškoća mogu oporaviti, ukaljana reputacija zbog kompromitovanja ličnih podataka klijenata na dugoročnom planu može dovesti do višestrukih negativnih posledica. Pored finansijskih gubitaka, te posledice mogu se ogledati u gubitku postojećih ili potencijalnih klijenata, smanjenju poslovanja, gubitku potencijalnih investicija, padu tržišne vrednosti kompanije…

Startapi pogotovo treba da posvete dužnu pažnju zaštiti podataka o ličnosti, kako njihovo buduće poslovanje ne bi bilo dovedeno pod znak pitanja. Pri tome, ukoliko budu želeli da nađu partnere koji bi investirali u njihovu kompaniju ili budu želeli da prodaju kompaniju, prilikom due dilligence procedure sigurno će postaviti ovo pitanje. Saznanje o tome da je kompanija povredila podatke o ličnosti svojih klijenata, kupaca ili zaposlenihmože rezultirati gubitkom važnih investicija, a što može dovesti i do zatvaranja kompanije, koja bi inače imala svetlu budućnost.

 

4. Nenovčana odgovornost

 

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, kao organ nadležan za nadzor nad sprovođenjem ZZPL-a, između ostalog, ima ovlašćenje da:

  • obaveštava rukovaoca, odnosno obrađivača, o mogućim povredama zakona,
  • zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja,
  • zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.

 

Takođe, Poverenik ima mogućnost da preduzme korektivne mere, tako da je ovlašćen da naloži rukovaocu (i obrađivaču) da postupi po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, da uskladi radnje obrade sa odredbama ZZPL, da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka, da izrekne privremeno ili trajno ograničenje vršenja radnje obrade podataka o ličnosti, uključujući i zabranu obrade itd.

Na ovaj način, Poverenik vrši aktivnu ulogu u postupku zaštite podataka o ličnosti i u rešavanju bilo kakvih povreda koje se dogode.

Šta mogu da učine lica čiji su podaci o ličnosti povređeni?

Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku, ako smatra da je obrada njegovih podataka o ličnosti izvršena suprotno ZZPL-u. U tom slučaju, Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu podnosioca pritužbe da pokrene sudski postupak. Poverenik u tom postupku može uraditi jednu od gore primerično datih radnji, kao i sve ostale radnje na koje ga ZZPL ovlašćuje. Protiv odluke Poverenika lice ima pravo da pokrene upravni spor.

Takođe, osobe čiji su lični podaci povređeni imaju pravo da podnesu tužbu protiv rukovaoca ili obrađivača, u kojoj mogu tražiti, između ostalog, ispravku, brisanje ili prekid obrade podataka. Bitno je istaći da podnošenje ove tužbe ne ograničava pravo lica da pokrene druge upravne ili sudske postupke radi zaštite svojih prava.

Dakle, jasno je da je ZZPL i na ovom polju zaštite podataka o ličnosti u potpunosti usklađen sa odredbama GDPR-a.

 

5. Naknada štete

 

Iako do sada naknada štete zbog povrede podataka o ličnosti nije privukla veću pažnju, ona može prouzrokovati dodatne finansijske i reputacione posledice.

Naime, lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog nezakonite obrade njegovih podataka ima pravo da tužbom zahteva novčanu naknadu za nastalu štetu – od odgovornog rukovaoca, odnosno obrađivača. Sud će u parničnom postupku odlučivati da li je lice zaista pretrpelo štetu i ukoliko jeste, koliko će iznositi pravična naknada za štetu koju je pretrpeo.

Slično praksi Evropskog suda pravde, pravo na naknadu štete uslovljeno je ispunjenjem tri kumulativna uslova:

  • da je obrada podataka o ličnosti u suprotnosti sa odredbama ZZPL;
  • da je lice na koje se podaci odnose pretrpelo štetu; i
  • da postoji uzročna veza između nezakonite obrade i nastale štete.

 

Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu samo ukoliko dokaže da ni na koji način nije odgovoran za njen nastanak.

Međutim, treba imati u vidu da prouzrokovana šteta može biti kako materijalna, tako i nematerijalna. Dakle, pored materijalne štete koju lice može da pretrpi usled nezakonite obrade (npr. ako podaci o njegovoj kreditnoj kartici budu hakovani), nezakonitom obradom podataka može nastati i nematerijalna šteta (na primer, nezakonitom obradom mogu biti povređeni i ugled, čast, sloboda i pravo ličnosti…).

Sud će odrediti visinu pretrpljene štete u skladu sa svakim pojedinačnim slučajem u zavisnosti od okolnosti.

Međutim, dosadašnja sudska praksa u Evropskoj uniji pokazala je da se iznosi naknade štete mogu kretati od nekoliko stotina do više stotina hiljada evra, koliko je dosuđeno tužiocima u predmetu Gulati protiv MGN Ltd zbog hakovanja telefona poznatih ličnosti od strane poznatih magazina Daily Mirror, the Sunday Mirror i the People.

Slični blogovi

4 min čitanja

Nemanja Žunić

27/05/2024

Najnoviji blogovi

Niste sigurni odakle da krenete?

Ukoliko niste sigurni koji je prvi korak, zakažite konsultacije sa jednim od naših stručnjaka.

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Ovo nije samo još jedan newsletter

Zaboravite dosadne pravničke analize i teoriju.
Saznajte za rokove i primajte vesti koje zaista pomažu vašem poslovanju.