Tumačenje GDPR-a: Šta se sme i ne sme, a šta mora - Minimax - internet knjigovodstveni i poslovni program (RS)

Tumačenje GDPR-a: Šta se sme i ne sme, a šta mora

Bliži se dan potpune implementacije GDPR-a u naš zakonodavni sistem - 21.08.2019. Šta nam donosi i kako da ga dočekamo?

Tumačenje GDPR-a: Šta se sme i ne sme, a šta mora

 

Četvrta industrijska revolucija je donela drastične promene, kako u naš privatni život tako i u naše poslovanje, a trenutno najbitnija promena je uvođenje GDPR-a, tj. General Data Protection Regulation. Ukoliko aktivno koristite internet, u proteklih godinu dana trebalo bi da vam je stiglo mnogo mejlova koji su vas obavestili da se polisa privatnosti promenila, i da je potreban vaš pristanak na nove promene. Katalizator ove lavine mejlova je bio taj famozni GDPR, čiji zadatak je da pruži detaljniju regulativu o prikupljanju, obradi, i korišćenju podataka korisnika, kupaca, i mušterija

 

GDPR je stupio na snagu u Srbiji 21.11.2018. godine, ali malo izmenjen i pod drugim imenom – Zakon o zaštiti podataka o ličnosti (ZZPL). Kako bi sve nužne izmene mogle da se implementiraju u poslovanja, primena ovog zakona je odložena za 21.08.2019. godine. Pre svega je nužno definisati šta sve spada pod termin “podatak o ličnosti.”

 

Podaci o ličnosti su svi podaci koji se odnose na fizičko lice, poput:

  • Imena
  • Identifikacionog broja (npr. JMBG)
  • Podataka o lokaciji 
  • Identifikatora u elektronskim komunikacionim mrežama
  • Obeležja fizickog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta

 

Zaštita ovih podataka je nesporivo jedno od ustavom zajamčenih, osnovnih, ljudskih prava i sloboda, i svako ima puno pravo da bude obavešten o prikupljenim podacima i ima pravo na sudsku zaštitu u slučaju zloupotrebe podataka. 

 

Šta nam donosi novi zakon?

 

U novom zakonu postoji detaljnija regulativa o pravima lica čiji podaci su prikupljeni, regulacija odnosa rukovaoca i obrađivača podataka, i potpunije uređenje bezbednosti podataka. Definisana je i uloga lica za zaštitu podataka o ličnosti, uvedena je analiza rizika pre nego što se počne sa obradom podataka, a uvedeno je i  novo uređenje prenosa podataka van granica Republike Srbije. Takođe su određena obavezujuća poslovna pravila, potrebna sertifikacija i kodeks postupanja, i proširena su ovlašćenja poverenika.

 

Pre nego što zađemo dublje u tumačenje samog zakona, trebalo bi prvo pojasniti tačne uloge gorenavedenih aktera u ovom zakonu.

 

  1. Rukovalac – fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade, i dužan je da omogući obradu podataka u skladu sa zakonom
  2. Obrađivač – fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca. Obrađivač je dužan da obrađuje podatke o ličnosti isključivo po pismenim uputstvima rukovalaca, da preduzme sve potrebne bezbednosne mere i postara se da je lice koje obrađuje podatke obavezano na čuvanje poverljivosti podataka, kao i da nakon obrade postupi po nalogu rukovalaca, te izbriše ili vrati podatke rukovalacu, a sve kopije podataka izbriše. 

 

  1. Lice za zaštitu podataka – rukovalac i obrađivač su dužni da odrede lice za zaštitu podataka u slučaju da se obrada podataka vrši od strane organa vlasti (osim ako obradu vrši sud), ako je u pitanju obrada podataka koja zahteva redovan i sistematski nadzor velikog broja lica na koje se podaci odnose, ili ako se u velikom obimu obrađuje posebna vrsta podataka ili podaci u vezi krivičnih presuda i kažnjivih dela. Lice za zaštitu podataka mora biti zaposlen kod rukovalaca ili obrađivača, ili da je angažovan na osnovu ugovora. Osnovni zadaci ovog lica su informisanje i pružanje stručnog mišljenja u vezi zaštiti podataka, praćenje izmena u zakonu i njihova primena, i procena uticaja obrade podataka na njihovu bezbednost. 

 

* Nadzor velikog broja lica se vrši u:

Bolnicama (podaci o pacijentima)

Javnom prevozu (podaci o transportu)

Osiguravajućim kućama i bankama (podaci o klijentima)

Marketinškim agencijama

Telefonskim i internet provajderima (podaci o sadržaju, internet saobraćaju, lokaciji, itd.)

 

Sad kada se znaju sve bitne uloge možemo da se posvetimo načelima novog zakona o zaštiti podataka. 

 

Po kom osnovu se podaci prikupljaju i obrađuju?

 

Kako bi prikupljanje i obrada podataka bilo izvršeno u skladu sa zakonom, pre svega je nužno da je lice na koje se podaci odnose dobrovoljno dalo jasan, određen, informisan i nedvosmislen pristanak na obradu podataka, a rukovalac je dužan da predoči da je lica pristalo na obradu podataka. 

 

Pored ovoga, obrada podataka mora biti neophodna radi preduzimanja određenih radnji na zahtev lica ili radi izvršenja ugovora zaključenog sa licem čiji podaci su u pitanju. Sledeći pravni osnov za obradu podataka je da je ta obrada nužna kako bi se pravne obaveze rokovalaca ispoštovale, kao i da bi se legitimni interesi rukovaoca ili treće strane ostvarili, osim u slučaju kada su važniji interesi, prava i slobode lica čiji podaci su u pitanju, a pogotovo ako je u pitanju maloletno lice. Prema ZZPL, lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka kada koristi usluge informacionog društva, dok je u drugim slučajevima neophodan pristanak roditelja ili zakonskog zastupnika. 

 

Obrada podataka je neophodna i pravno zasnovana u cilju zaštite životno važnih interesa lica, i u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovalaca.

 

Prema novom zakonu, lice čiji podaci se prikupljaju i obrađuju mora imati mogućnost da u svakom momentu opozovu svoj pristanak na obradu podataka, i lice mora biti svesno te mogućnosti pre nego što uopšte da saglasnost za obradu. 

 

Osnovna načela ZZPL-a

 

  • Zakonitost, poštenje i transparentnost – svaka obrada podataka se mora vršiti zakonito, pošteno i transparentno u odnosu na lice čiji podaci se obrađuju.
  • Ograničenje u odnosu na svrhu obrade – podaci se moraju prikupljati u konkretno određene, izričite, opravdane i zakonite svrhe.
  • Minimizacija podataka – podaci koji se obrađuju moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade.
  • Tačnost – podaci o ličnosti moraju biti tačni i ažurirani.
  • Ograničenje čuvanja podataka – podaci se čuvaju u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade.
  • Integritet i poverljivost – svaka obrada podataka mora imati obezbeđenu odgovarajuću zaštitu podataka o ličnosti (uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja).

 

Procena uticaja obrade podataka

 

U određenim slučajevima je neophodno da se pre početka obrade podataka uradi procena uticaja te obrade. Takva procena uticaja je obavezna ako se pomoću automatizovane obrade podataka o ličnosti radi sistematska i sveobuhvatna procena stanja i osobina lica na osnovu koje se donose odluke o pravnom položaju pojedinca. Procena uticaja je takođe neophodna u slučaju obrade posebnih podataka o ličnosti ili podataka o krivičnim presudama i kažnjivim delima, kao i u slučaju sistematskog nadzora javno dostupnih površina.

 

Ukoliko procena uticaja obrade ukaže na visok rizik, rukovalac podacima je dužan da traži mišljenje poverenika i da preduzme nužne mere za umenjenje tog rizika

 

Šta se dešava sa naročito osetljivim podacima?

 

Zabranjena je obrada kojom se otkrivaju rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih i biometrijskih podataka u cilju identifikacije lica, i podataka o zdravstvenom stanju, seksualnom životu i seksualnoj orijentaciji

fizičkog lica. Međutim, naravno da postoje i izuzeci ovom pravilu koji važe u posebnim slučajevima kada je obrada neophodna:

 

  • Kada je lice dalo eksplicitan pristanak na obradu
  • Kada je lice očigledno učinilo podatke javno dostupnim
  • U oblasti rada, socijalnog osiguranja i socijalne zaštite
  • U slučaju obrade podataka trenutnih i bivših članova organizacija koje imaju politički, filozofski, verskim ili sindikalni cilj (podaci o ličnosti se ne otkrivaju izvan date organizacije bez pristanka lica)
  • U cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, ili kada sud postupa u okviru svoje nadležnosti
  • U cilju ostvarivanja značajnog javnog interesa, kao i javnog interesa u oblasti javnog zdravlja
  • U svrhu preventivne medicine ili medicine rada
  • U svrhe arhiviranja u javnom interesu, u naučne i statističke svrhe, kao i u cilju istorijskog istraživanja

 

Koja prava ima lice čiji podaci se prikupljaju i obrađuju?

 

Lice na koje se podaci odnose ima pravo na transparentnost aktivnosti obrade podataka, kao i na informacije o identitetu i kontakt podacima rukovaoca i lica za zaštitu podataka, svrsi i pravnom osnovu za obradu, interesima rukovalaca ili treće strane, primaocu podataka, nameri da se podaci iznesu iz države, roku čuvanja podataka, i o pravu pristupa, ispravke, i brisanja podataka. 

Lice takođe ima pravo da opozove pristanak, da podnese pritužbu povereniku, da zna da li je davanje podataka zakonska ili ugovorna obaveza, i da bude informisano o postojanju automatizovanog donošenja odluke, uključujući profilisanje.

Pored ovoga, lice ima pravo na ograničenje obrade podataka, i na prenos podataka drugom rukovalacu.

 

Da li mora da se vodi evidencija obrade podataka?

 

Privredni subjekti i organizacije koje imaju manje od 250 zaposlenih lica nemaju obavezu da vode evidenciju obrade, osim ukoliko ta obrada podataka može da prouzrokuje visok rizik po prava i slobode lica, ako obrada nije povremena i ako obuhvata posebne vrste podataka o ličnosti ili podatke o krivičnim presudama, kažnjivim delima i merama bezbednosti.

 

Ako je nužna evidencija obrade podataka, obavezni su sledeći elementi:

  • ime i kontakt podaci rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka
  • svrha obrade
  • vrsta lica i podataka
  • vrsta primalaca podataka
  • prenos podataka u druge države i organizacije, kao i ime tih država i organizacija
  • rok čuvanja podataka
  • opis mera zaštite

Šta se desi ako dođe do povrede podataka o ličnosti?

 

U slučaju povrede podataka o ličnosti, neophodno je obavestiti poverenika u roku od 72 časa, kako bi se preduzele adekvatne mere zaštite. Takođe je nužno obavestiti i lice čije podaci su povređeni, ukoliko postoji značajan rizik po prava i slobode lica

 

Kao što vidite, novi zakon o zaštiti podataka ličnosti je prilično obiman i kompleksan, tako bi odluka da se odloži primena zakona bila apsolutno neophodna. Zaštita razne vrste podataka o ličnosti je pravo koje ima svaki pojedinac, a u doba kada se najviše trguje podacima korisnika, kupaca i mušterija izuzetno je važno preduzeti adekvatne mere zaštite i uvesti detaljnu regulaciju o prikupljanju i obradi podataka. 

 

Mi ćemo se, kao deo stručne zajednice, potruditi da odgovorno i profesionalo doprinesenemo kvalitetnom informisanju, debati, postavljanju i  integrisanju sistema koji će omogućiti svima da se osećamo sigurnije, u primeni ali i konzumaciji Zakona o zaštiti podataka ličnosti.