I GDPR (General Data Protection Regulation – Opšta uredba o zaštiti podataka o ličnosti) u svetlu predloga izmene Zakona o zaštiti podataka

Uredba Evropske Unije o zaštiti podataka o ličnosti predstavlja novi balans koji treba da dobije svoj regulatorni smisao, ne samo na teritoriji EU, već i šire. Pre osvrta na konkretne regulatorne promene, neophodno je ukazati da nova regulativa stvara potrebu za revizijom poslovnih modela i strategija kod mnogih evropskih i vanevropskih kompanija koje nude svoje usluge i robe u EU. Regulatorne promene koje donosi Uredba o zaštiti podataka o ličnosti odnose se na promenu tradicionalnih pravnih instituta, ali i na uvođenje novih.

Na teritoriji Republike Srbije, trenutno je važeći Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 97/2008, 104/2009 – dr. zakon, 68/2012 – odluka US i 107/2012). Ipak, čini se da ovaj zakonski okvir nije potpun i da ima još puno posla na stvaranju okruženja koje bi efikasno štitilo podatke o ličnosti građana.

Imajući u vidu navedeno, Vlada Republike Srbije predložila je novi Nacrt Zakona o zaštiti podataka o ličnosti, koji u velikoj meri sadrži odredbe Uredbe EU o zaštiti podataka o ličnosti.

Dok se ne donese novi zakon, u nastavku dajemo kratak rezime prava i obaveza pravnih lica vezano za zaštitu podataka ličnosti.

II Opšti pojmovi prema postojećem Zakonu o zaštiti podataka

1.  “Obrada“ podataka prema Zakonu podrazumeva svaku radnju preduzetu u vezi sa podacima kao što su prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski, poluautomatski ili na drugi način
2. “Rukovalac“ podataka je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke
3. “Obrađivač“ podataka je fizičko ili pravno lice, odnosno organ vlasti, kome rukovalac na osnovu zakona ili ugovora poverava određene poslove u vezi sa obradom (u daljem tekstu: obrađivač)
4. Obrada se može vršiti na osnovu zakona ili na osnovu izričitog pristanka fizičkog lica

Za svako fizičko lice čija se obrada podataka vrši, a čiji se podaci odnose na podatke o ličnom imenu, jedinstvenom matičnom broju građana, adresi i/ili drugom obeležju fizičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta, a koje “obrađuje“ Pravno lice kao Rukovalac, Pravno lice je dužno da pribavi pismenu saglasnost fizičkog lica za obradu tih podataka.

III Saglasnost za obradu podataka mora da se odnosi na sve Zakonom predviđene podatke, a naročito je neophodno da fizičko lice koje daje saglasnost za obradu podataka bude obavešteno o svrsi prikupljanja i daljoj obradi podataka

Napomena:

Vezano za zaposlene saglasnost može biti data u odredbama u ugovora o radu i/ili kao posebna saglasnost u pisanoj formi koja prati ugovor o radu.

Takođe, saglasnost za obradu podatak neophodno je dobiti i od drugih lica čije podatke Pravno obrađuje kao što su: kupci, potencijalni kupci, podsetioci sajtova itd.

IV Pored obaveze koja se odnosi na dozvoljenu obradu podataka, pravna lica su dužna da sačine i prijave Zbirku podataka ličnosti nadležnom Povereniku

Pravno lice je dužno da u skladu sa odredbama Zakona:

• Obrazuje evidenciju o obradi podataka
• Dostavi evidenciju o zbirci podataka, odnosno promene u evidenciji podataka
• Čuva evidenciju o obradi u svojoj dokumentaciji na mestu obrade podataka o ličnosti u Republici Srbiji, tj. u svom predstavništvu, odnosno ogranku
• Stavi na uvid ovlašćenim licima Poverenika u slučaju vršenja nadzora nad sprovođenjem i izvršavanjem Zakona

Ukoliko pravno lice ima nameru da obrađuje podatke o ličnosti u Republici Srbiji, odnosno uspostavi zbirku podataka o ličnosti u Republici Srbiji dužno je da pre započinjanja obrade, odnosno uspostavljanja zbirke podataka, dostavi Povereniku u obaveštenje o nameri obrade, odnosno nameri uspostavljanja zbirke.

V Iznošenje podataka u treće zemlje

Podaci se mogu iznositi iz Republike Srbije u državu članicu Konvencije o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope bez prethodnog odobrenja/saglasnosti Poverenika.

Podaci se mogu iznositi iz Republike Srbije i u državu koja nije članica pomenute Konvencije ako je u toj državi, odnosno međunarodnoj organizaciji, propisom, odnosno ugovorom o prenosu podataka, obezbeđen stepen zaštite podataka u skladu sa Konvencijom Prilikom iznošenja podataka, Poverenik utvrđuje da li su ispunjeni uslovi i sprovedene mere zaštite podataka prilikom njihovog iznošenja iz Republike Srbije i daje dozvolu za iznošenje.

VI  Predviđene kaznene mere

Nepoštovanje gore navedenih obaveza, odnosno nedozvoljena obrada podataka kao i nedostavljanje zbirki Povereniku povlači sa sobom prekršajnu odgovornost i novčane kazne u rasponu od 50.000 do 1.000.000 dinara.

VII Dodatna pitanja

Za sva dodatna pitanja vezana za ovu oblast možete se obratiti našem konsultantskom timu.