22.09.2019

Implementacija GDPR-a kroz prizmu Zakona o zaštiti podataka o ličnosti

Uvod

General Data Protection Regulation (GDPR) iliti Opšta uredba o zaštiti podataka je uredba Evropske unije o zaštiti podataka za sve građane Evropske unije (EU) i Evropskog ekonomskog prostora (EEA). GDPR je u zemljama Evropske unije stupio na snagu 25. maja 2018. godine. Iako nije članica Unije, Republika Srbija se obavezala Sporazumom o stabilizaciji i pridruživanju da će uskladiti nacionalno zakonodavstvo u oblasti zaštite podataka sa pravnim tekovinama EU. Pitanje zaštite podataka o ličnosti od značaja je za učlanjenje Republike Srbije u Evropsku uniju, te je tema pregovaračkih poglavlja 23 i 24 u pristupnim pregovorima. Kako bi uskladila svoje zakonodavstvo sa zakonodavstvom EU po ovom pitanju, Republika Srbija je 13.11.2018. godine donela Zakon o zaštiti podataka o ličnosti („Sl.glasnik RS“ br. 87), s tim što je početak njegove primene prolongiran do isteka devet meseci od dana objavljivanja zakona u Službenom glasniku. Zakonodavac je procenio da je bilo neophodno ostaviti dodatni rok obveznicima Zakona o zaštiti podataka o ličnosti kako bi se adekvatno prilagodili na novine koje ovaj zakon donosi. Tako predmet Zakona o zaštiti podataka o ličnosti (ZZPL) uređuje pravo fizičkih lica koja ona imaju u vezi sa sakupljanjem i obradom podataka o ličnosti, odnosno nadzorom nad tako prikupljenim i obrađenim informacijama. Zakonodavac time nastoji da obezbedi pravnu zaštitu osnovnih prava i sloboda čije je pravo na zaštitu ličnih podataka njegov sastavni deo.

 

1.Načela Zakona o zaštiti podataka o ličnosti

 

Osnovni principi kojima se zakonodavac vodio prilikom regulisanja pitanja zaštite podataka o ličnosti predstavljaju načela:

  • Zakonitosti, poštenja i transparentnosti
  • Ograničenja u odnosu na svrhu obrade
  • Minimizacije podataka
  • Tačnosti podataka
  • Ograničenja čuvanja podataka
  • Integriteta i poverljivosti podataka
  • Odgovornosti za postupanje

Navedena načela suštinski oslikavaju i osnovne principe Uredbe Evropske unije o zaštiti podataka o ličnosti. Tumačenje i sprovođenje ZZPL po ugledu na GDPR podržava isključivo zakonito i tačno prikupljanje i obradu podataka o ličnosti, odnosno njegovo vremensko ograničenje i propisivanje odgovornosti lica koje vrše obradu ličnih podataka.

  • Načelo Zakonitosti

Načelo zakonitosti propisuje postojanje osnova za prikupljanje i obradu nečijih ličnih informacija. Ono je podrobnije uređeno članom 12 ZZPL. Tako je svako prikupljanje i obrada ličnih informacija zakonita ukoliko:

  • Postoji saglasnost lica čije se informacije prikupljaju i obrađuju za tačno određenu svrhu
  • Obrada je neophodna za zaključenje ili izvršenje ugovora sa licem na koje se podaci odnose
  • Obrada je neophodna radi poštovanja pravnih obaveza rukovaoca
  • Obrada je neophodna radi zaštite životno važnih interesa bilo kog fizičkog lica
  • Obrada je neophodna u cilju obavljanja poslova u javnom interesu
  • Obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane

Kada lice daje pristanak na obradu svojih informacija, ono to mora uraditi na nedvosmislen način, mora znati u koju svrhu se vrši obrada takvih informacija odnosno može uvek da takav pristanak opozove. Saglasnost se daje rukovaocu, fizičkom ili pravnom licu odnosno organu vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

U skladu sa tim, obrnuto proporcionalno postoje obaveze obrađivača koji mora biti u mogućnosti dokaže da je lice pristalo na obradu svojih podataka o ličnosti, odnosno zahtev za davanje pristanka mora biti jasno predstavljen u okviru generalne pismene saglasnosti koja se odnosi i na druga pitanja.

1.2 Maloletna lica

Ukoliko se radi o maloletnom licu čije se informacije prikupljaju ili obrađuju, članom 16 ZZPL je propisano da maloletno lice koje je navršilo 15 godina može samostalno dati pristanak za obradu informacija o svojoj ličnosti prilikom korišćenja usluga informacionog društva, dok je za mlađe lice neophodan pristanak roditelja koji vrši zakonsko pravo, odnosno drugog zakonskog zastupnika.

Ukoliko je obrada neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, onda ona može biti zakonita samo ukoliko su takvi legitimni interesi pretežniji interesima osnovnih prava i sloboda.

1.3 Viši interes

Zakonodavac je prilikom uređivanja ovog pitanja ostavio mogućnost za izuzetke prilikom obrade ličnih informacija i u cilju zaštite viših interesa društva ili vrednosti čiji značaj preovladava nad ličnim pravom pojedinca. Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od one za koju su podaci prikupljeni, osim ako je ta dalja obrada:

  • Propisana zakonom
  • Određena svrha obrade
  • Da se poštuju pravila o srazmernosti obrade u odnosu na cilj obrade
  • Neopodna za obavljanje poslova nadležnih organa
  • Neophodna za obavljanje poslova u javnom interesu.

1.4 Diskriminacija

Još jedan od izuzetaka odnosi se na izuzetak od obrade podataka kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica. Iako je prikupljanje takvih informacija zabranjeno, zakonodavac ipak ostavlja mogućnost u članovima 18 i 19 ZZPL da se izvrši upravljanje i obrada takvih informacija ukoliko je:

  • Lice na koje se obrada informacija odnosi dalo je izričit pristanak za obradu
  • Takva obrada neophodna u cilju izvršenja obaveza ili ovlašćenja rukovaoca ili lica na koje se odnose podaci u oblasti rada, socijalnog osiguranja, socijalne zaštite odnosno prava iz kolektivnog ugovora kojja propisuju mere zaštite osnovnih prava, sloboda i interesa.
  • Obrada neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, a lice nije u mogućnosti da da svoj pristanak na obradu ličnih informacija.
  • Obrada se vrši u okviru registrovane delatnosti zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, a odnosi se na sadašnje i bivše članove
  • Lice je svoje podatke očigledno učinilo javno dostupnim
  • Sud prikulja te podake kada postupa u okviru svoje nadležnosti
  • Obrada takvih informacija neophodna u cilju ostvarivanja javnog interesa
  • Obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja
  • Obrada je neophodna zbog postojanja pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava
  • Obrada je neophodna radi arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe
  • Postoji ovlašćenje nadležnog organa, radi zaštite životno važnih interesa

 

2. Rukovalac informacijama i njegove obaveze

 

Rukovalac je, shodno članu 4 ZZPL, fizičko ili pravno lice, odnosno organ vlasti, koji samostalno ili zajedno sa drugim licima određuje svrhu i način obrade ličnih informacija. Rukovalac je dužan da na transparentan i lako razumljiv način, shodno članu 21 ZZPL, informiše lice o svim pitanjima i načinima ostvarivanja prava lica na koje se podaci odnose, kao i da mu pruži pomoć u ostvarivanju tih prava. Informacije koje se pružaju moraju biti date u pismenom ili drugom obliku. Zakon je u istom članu propisao obavezu rukovaocu da te informacije pruži i usmenim putem, ali samo ako je identitet lica nesumnjivo utvrđen.

Rukovalac pruža informacije o ličnosti licu na koje se te informacije odnose, bez naknade. Medjutim, zakonodavac je napravio izuzetak, kada rukovalac može da licu naplati nužne administrativne troškove uvećane za troškove postupanja po zahtevu. Takva praksa Rukovaoca će biti ukoliko je zahtev lica na koje se podaci odnose preteran ili neosnovan. Druga mogućnost koja ostaje Rukovaocu je da odbije da postpi po takvom zahtevu, naročito ako sumnja u identitet podnosioca.

Radi efikasnijeg sprovođenja ovog zakona, rukovalac ima rok od 30 dana od dana prijema zahteva da postupi po istom. Eventualno, taj rok može biti produžen za još 60 dana, s tim što rada rukovalac ima obavezu da obavesti lice o razlozima za takvo produženje.

U slučaju da rukovalac ne postupi po zahtevu lica na koje se podaci odnose, dužan je da o razlozima za nepostupanje obavesti podnosioca zahteva u roku od 30 dana od dana prijema zahteva, odnosno da ga pouči o pravu na podnošenje pritužbe Povereniku ili sudu.

 

3. Prava lica čije se informacije obrađuju

 

3.1 Pravo na informaciju

Postoje tri vrste informacija koje je rukovalac dužan da pruži:

Informacije koje se pružaju kad se podaci o ličnosti prikupljaju od lica na koje se odnose;

Informacije koje se pružaju kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose;

Informacije koje se stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose, ako obradu vrše nadležni organi u posebne svrhe.

U te informacije spadaju:

  • Informacije o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen
  • Kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno
  • Informacije o svrsi nameravane obrade i pravnom osnovu za obradu
  • Postojanju legitimnog interesa rukovaoca ili treće strane
  • Informacije o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje
  • Informacije o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, uz ispunjenost uslova iz članova 65, 67 I 69 ovog zakona.
  • Informacije o roku čuvanja podataka o ličnosti ili kriterijumima za određivanje tog roka
  • Informacije o pravu lica čiji se podaci obrađuju da zahteva ispravku ili brisanje podataka o ličnosti
  • Informacije o pravu na opoziv pristanka na obradu informacija, odnosno dopuštenost obrade pre opoziva
  • Informacije o pravu na pritužbu Povereniku
  • Informacije o postojanju automatizovanog donošenja odluke, uključujući profilisanje
  • Informacije o izvoru iz kojeg potiču podaci

 

  • Ukoliko se informacije ne prikupljaju od lica na koje se odnose, rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije ukoliko:
  • Lice na koje se podaci o ličnosti odnose već ima te informacije
  • Prikupljanje ili otkrivanje podataka o ličnosti je izričito propisano zakonom
  • Poverljivost podataka o ličnosti se mora čuvati u skladu sa obavezom čuvanja profesionalne tajne
  • Pružanje takvih informacija je nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava.

Rukovalac je u svakom slučaju dužan da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose.

  • Ukoliko obradu informacije vrše nadležni organi u posebne svrhe, rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informaciju kako bi se:
  • Izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
  • Omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
  • Zaštitila javna bezbednost;
  • Zaštitila nacionalna bezbednost i odbrana;
  • Zaštitila prava i slobode drugih lica.

Ovde moramo napomenuti da se pravo na pristup informacijama koje obrađuju nadležni organi u posebne svrhe može ograničiti, prema članu 27 ZZPL, u srazmernoj meri koja je neophodna kako bi se ostvarili viši ciljevi, zaštitila javna bezbednost i nacionalna odbrana, zaštita prava i slobode lica, odnosno izbeglo ometanje službenog prikupljanja informacija (istrage i postupka). Rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose da je pristup njegovim podacima odbijen, u roku od 15 dana od dana podnošenja zahteva.

  • Pravo na ispravku i pravo na dopunu

Lice na koje se podaci odnose ima pravo da zatraži da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od konkretne svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti i dopuni (član 29 ZZPL).

  • Pravo na bisanje podataka o ličnosti

Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca (član 30 ZZPL) u slučaju da podaci o ličnosti više nisu neophodni za ostvarivanje svrhe u kojoj su prikupljeni, lice je opozvalo pristanak ili postoji bilo koji razlog zbog kojeg bi bilo neosnovano obrađivanje i skladištenje nečijih ličnih podataka.

3.4 Pravo na obraničenje obrade

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca ako lice osporava tačnost podataka o ličnosti, obrada je nezakonita a lice traži ispravku a ne brisanje, rukovaocu vise nisu potrebni takvi podaci za ostvarivanje svrhe obrade, lice je podnelo prigovor na obradu njegovih informacija, shodno članu 31 ZZPL.

Ukoliko bi se obrada ograničia, ti podaci se mogu dalje obrađivati samo uz pristanak lica na koje se podaci odnose i ako se time ne protive interesi zaštite drugih fizičkih ili pravnih lica, odnosno javnog interesa.

  • Pravo na dobijanje obaveštavanja

Na osnovu člana 33 ZZPL, lice čije se informacije obrađuju i kojima su ti podaci već otkriveni, ima pravo da od rukovaoca dobije obaveštenje o svakoj ispravci, brisanju ili ograničenju obrade podataka o ličnosti.

  • Pravo na dobijanje obaveštavanja ne samo od rukovaoca već i od Poverenika

Lice čije se informacije prikupljaju može se obratiti Povereniku (čl. 35) za dobijanje dodatnih informacija koje su prethodno uskraćene kako bi se ostvarili legitimni interesi, odnosno u skladu sa čl. 27 i 28. ovog zakona izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka, omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, zaštitila javna bezbednost, zaštitila nacionalna bezbednost i odbrana, zaštitila prava i slobode drugih lica. Isto važi i za slučajeve predviđene čl. 34. ZZPL, odnosno u slučajevima kada je isključena obaveza obaveštavanja lica da bi se izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka, omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, zaštitila javna bezbednost, zaštitila nacionalna bezbednost i odbrana, zaštitila prava i slobode drugih lica.

  • Pravo na dobijanje podataka i pravo na njihovu prenosivost

Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku.

Takođe, lice na koje se podaci odnose može tako prikupljene podatke preneti drugom rukovaocu (čl.36), ukoliko se obrada viši automatizovano i zasniva se na pristanku lica na obradu njegovih informacija.

  • Pravo na prigovor

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti; može se podneti i prigovor automatizovanim putem.

Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose.

  • Pravo na odbijanje primene automatizovane obrade

Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj. Naredni član br 39. ZZPL propisuje da je zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni organi u posebne svrhe, uključujući i profilisanje, ako takva odluka može da proizvede štetne pravne posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica.

Iako smo već gore naveli da postoje ograničenja od uživanja prava lica čije se informacije obrađuju, ističemo da je zakonodavac posebnim članom 40 ZZPL ponovo naveo koja su to ograničenja.

 

4. Rukovalac i Obrađivač

 

Valjalo bi da se podsetimo pojmova Rukovaoca i Obrađivača sa početka teksta.

Rukovalac je fizičko ili pravno lice odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade.

Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima, čiji se delokrug posla i odgovornost na transparentni način uređuju njihovim sporazumom.

Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Ukoliko Rukovalac ili Obrađivač  nemaju sedište u Republici Srbiji, dužni su  da u pismenom obliku odrede svog predstavnika u Republici Srbiji.

U vršenju svog posla, Rukovalac i Obrađivač su dužni da sarađuju sa Poverenikom.

Članom 45 ZZPL ostavlja se mogućnost kompanijama i ostalim obveznicima ovog zakona da angažuju eksterno lice u funkciji Obrađivača. Tako Rukovalac može da odredi Obrađivača koji može dalje poveriti obradu drugom Obrađivaču, samo ako ga Rukovalac za to ovlasti. Ovlašćenje može da bude opšte i posebno.

Osim osnovne obaveze Rukovaoca i Obrađivača da sprovode prikupljanje i obradu podataka o ličnosti, oni takođe moraju sprovesti i mere zaštite takvih podataka o ličnosti, odnosno pružiti tražene informacije i obaveštenja samom licu čije se informacije prikupljaju ili obrađuju. Poslednja obaveza postoji i prema Povereniku, stim što izuzetak samo prema licu postoji ukoliko je Rukovalac:

  • preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite,te onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima
  • naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice
  • obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava

 

5. Mere zaštite podataka o ličnosti koje sprovode Rukovalac i Obrađivač

 

  • Pseudonimizaciju i kriptozaštitu podataka o ličnosti;
  • Obezbeđivanje trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
  • Obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
  • Postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.
  • Određivanje rizika obrade, rizicka od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.

 

6. Mere zaštite podataka o ličnosti koje vrše nadležni organi u posebne svrhe

 

  • Kontrola pristupa opremi (sprečavanje neovlašćenom licu pristupa opremi koja se koristi za obradu)
  • Kontrola nosača podataka (sprečavanje neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka)
  • Kontrola pohranjivanja (sprečavanje neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti)
  • Kontrola upotrebe (sprečavanje korišćenja sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za prenos podataka)
  • Kontrola pristupa podacima (osiguranje da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima)
  • Kontrola prenosa (da se može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni dostupnim, upotrebom opreme za prenos podataka)
  • Kontrola unosa (da se može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti)
  • Kontrola prevoza (da spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka)
  • Obnavljanje sistema (ponovo uspostaviti instalirani sistem u slučaju prekida njegovog rada)
  • Integritet ( da se osigura sistem da ispravno radi i da se greške u radu sistema uredno prijavljuju, odnosno da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema

 

7. Lice za zaštitu podataka o ličnosti

 

Rukovalac i Obrađivač su DUŽNI da odrede posebno lice za zaštitu podataka o ličnosti ako se:

  • obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud
  • obrada vrši u velikom obimu koji zahteva redovan sisamatski nadzor velikog broja lica
  • vrši obradi posebnih vrsta podataka kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica

 

Lice za zaštitu podataka o ličnosti ima odgovarajuće dužnosti propisane ZZPL. Radi adekvatnog sprovođenja tavih obaveza, a u cilju što bolje primene zakona, Rukovalac i Obrađivač su dužni da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti. To uključuje i obavezu Rukovaoca i obrađivača da obezbede neophodna sredstva, a time i nezavisnost, licu za zaštitu podataka o ličnosti. Članom 57 ZZPL propisuje se izričito i zabrana rukovaocu ili obrađivaču da kazne lice za zaštitu podataka o ličnosti.

Lice za zaštitu podataka o ličnosti ima sledeće obaveze:

  • Da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti
  • Da prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti
  • Da utiče na podizanje svesti i obuke zaposlenih koji učestvuju u radnjama obrade
  • Da daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti
  • Da sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim

Rukovaoci i obrađivači koji su dužni da odrede lice za zaštitu podataka o ličnosti, ukoliko to ne učine, čine prekršaj za koji je zaprećena novčana kazna u rasponu od 5.000 do 2.000.000 dinara u zavisnosti od toga da li rukovalac, odnosno obrađivač imaju svojstvo pravnog lica, preduzetnika ili fizičkog lica, pri čemu se za prekršaj kažnjava i odgovorno lice u pravnom licu ili državnom organu. Ostali Rukovaoci i Obrađivači nisu dužni ali MOGU da odrede lice za zaštitu podataka o ličnosti. Savet kompanije WTS Srbija je da sva fizička ili pravna lica koja vrše prikupljanje i obradu ličnih podataka odrede lice za zaštitu podataka o ličnosti, sve u cilju adekvatne primene zakona, upravljanja ovim rizikom i time izbegavanja potencijalne sankcije. Veoma veliki rizik leži u pravilnoj implementaciji normi koje se odnose na prenos podataka o ličnosti u druge države i međunarodne organizacije. Napominjemo takođe da svi oni koji odrede lice za zaštitu podataka su dužni da objave kontakt podatke lica za zaštitu podataka o ličnosti i dostave ih ih Povereniku. Ukoliko to ne učine, čine prekršaj za koji je zaprećena novčana kazna od 20, 50 ili 100.000 dinara, u zavisnosti od istih kriterijuma koji su navedeni u vezi sa prekršajem usled neodređivanja lica za zaštitu podataka o ličnosti. Prijava lica je urеđena posebnim Pravilnikom o obrascu i načinu vođenja evidencije lica za zaštitu podataka o ličnosti  i obavezno sadrži ime, prezime i adresu lica, odnosno naziv i sedište.

 

8. Kodeks postupanja

 

Udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu izraditi kodeks postupanja u cilju efikasnije primene Zakon o zaštiti podataka o ličnosti. Ovakvim pristupom je zakonodavac ostavio mogućnost firmama da preduprede eventualne greške u primeni ovog zakona, te smanje rizik od novčanih kazni koje ovaj zakon propisuje. Kompanija WTS Srbija je deo međunarodne mreže WTS Global, i kao takva poseduje bogato međunarodno iskustvo, kao i izvore iz oblasti zaštite ličnih podataka, kao poverljivih informacija. WTS Srbija d.o.o. mišljenja je da bi, za potrebe upravljanja ovim rizikom, kompanije trebale da izrade kodeks postupanja radi bolje primene Zakona o zaštiti podataka o ličnosti. Osnovni elementi kodeksa se procenjuju u zavisnosti od delatnosti Rukovaoca i Obrađivača, a odnose se prvenstveno na legitimne interese svih strana, pseudonimizacije podataka o ličnosti, ostvarivanje prava lica na koje se podaci odnose, mera koje se primenjuju, obaveštavanja Poverenika, načina rešavanja sporova mirnim putem i sporova pred nadležnim organima.

 

 

Implementacija GDPR-a kroz prizmu Zakona o zaštiti podataka o ličnosti