Zaštita podataka o ličnosti: Šta svaka kompanija  mora znati

Ako vodite kompaniju koja vrši obradu podataka o ličnosti, jasno vam je da se Zakon o zaštiti podataka o ličnosti (ZZPL) odnosi i na vas i da je zaštita podataka o ličnosti nešto na šta treba da obradite pažnju.

Zato nećemo trošiti vaše vreme na pravne definicije i teorijske uvode. Ovaj tekst je tu da vas jasno i konkretno provede kroz ono što vam je zaista važno: koje su vaše obaveze kao vlasnika ili odgovornog lica – bilo u odnosu na klijente, korisnike, zaposlene ili druga lica.

Pokazaćemo vam šta se sve smatra podatkom o ličnosti, koje podatke smete da prikupljate i u koje svrhe, šta nikako ne smete da radite s njima, kada ste u obavezi da imenujete lice za zaštitu podataka, kako se to radi, koje kazne prete ako to propustite – i šta da preduzmete ako dođe do „curenja“ prikupljenih podataka.

U vremenu kada jedan nemarno poslat e-mail ili propušten backup može dovesti do ozbiljnog prekršaja, razumevanje i sprovođenje pravila o zaštiti podataka je minimum poslovne odgovornosti.

Zato pročitajte ostatak ovog teksta i ostanite na pravoj strani zakona.

1.     Šta se smatra podatkom o ličnosti?

Zakon o zaštiti podataka o ličnosti daje jasnu definiciju podatka o ličnosti:

„Podatak o ličnosti“ je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.

Zakonska definicija je prilično široka te obuhvata bilo koju informaciju – tekstualnu, numeričku, vizuelnu ili zvučnu – koja se odnosi na određeno (npr. Ivana Petrović) ili odredivo fizičko lice (ako se identitet osobe može saznati kombinovanjem informacija, npr. žena iz Kraljeva koja radi u jedinoj veterinarskoj stanici).

Dakle, bitno je da se informacija ne odnosi na pravno lice, već na čoveka – zaposlenog, klijenta, korisnika, itd.

U podatke o ličnosti spadaju, za koje je zagarantovana zaštita podataka o ličnosti, primera radi:

• Ime i prezime
• JMBG, broj lične karte ili pasoša
• Adresa stanovanja
• Telefon, e-mail adresa ukoliko sadrži ime i/ili prezime
• GPS koordinate (lokacija)
• IP adresa korisnika u komunikacionim mrežama

Ali i obeležja fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta kao što su visina, težina, otisak prsta, genetski podaci, zdravstveni podaci (dijagnoze), podaci o platama, dugovanjima, članstvima u udruženjima, veroispovesti, itd.

Inače, kada su ova obeležja u pitanju, važno je znati da ona spadaju u posebnu vrstu podataka o ličnosti (tzv. osetljivi podaci) i da je njihova obrada zabranjena, osim u strogo određenim izuzecima (npr. uz izričit pristanak, radi ispunjenja obaveza iz radnog odnosa, radi zaštite života, radi ostvarivanja pravnog zahteva u sudskom sporu, ako su u pitanju informacije od javnog značaja, itd.)

Da zaključimo, jedino informacije koje ne omogućavaju identifikaciju pojedinca nisu  podaci o ličnosti prema ZZPL.

2.     Koje podatke kompanija sme da prikuplja i obrađuje u svom poslovanju?

Kompanija u poslovanju sme prikupljati i obrađivati samo one  podatke o ličnosti koji su neophodni za ostvarenje konkretne svrhe, pod uslovom da za to ima pravni osnov (npr. pristanak lica čiji se podaci prikupljaju i/ili obrađuju, izvršenje ugovora, pravna obaveza ili neki drugi).

Na primer, prilikom zaključenja ugovora o pružanju usluga sa klijentom koji je fizičko lice, kompanija  prikuplja njegove identifikacione i kontakt podatke (ime, prezime, JMBG, adresu, podatke za kontakt) i broj računa radi plaćanja.

Međutim, nije dozvoljeno obrađivati podatke koji nisu neophodni za izvršenjetog ugovora – npr.zdravstvene podatke.

Isto tako, kompanija obrađuje podatke o ličnosti svojih zaposlenih koji su neophodni za otsvarivanje prava i obaveza iz radnog odnosa (npr. identifikacione i kontakt podatke, broj računa za isplatu zarade, podatke o obrazovanju i radni staž), ali mora čuvati tajnost njihovih validacionih brojeva, zdravstvene istorije i drugih osetljivih podataka ako nisu zakonski potrebni.

Takođe je neophodno poštovanje načela minimizacije, odnosno voditi računa o tome da kompanija  ne prikuplja više podataka nego što joj je potrebno.

Na ovaj način se obezbeđuje puna za zaštita podataka o ličnosti.

3.     Ko je obavezan da ima lice za zaštitu podataka o ličnosti u kompaniji?

Naime, Zakon o zaštiti podataka o ličnosti jasno propisuje tri situacije kada morate imenovati lice za zaštitu podataka (Data Protection Officer – DPO):

• Ako ste organ vlasti (ovo važi za javna preduzeća, opštine, škole, bolnice, javne ustanove, ali i za sve druge koji vrše javna ovlašćenja – osim sudova kada obavljaju sudksa ovlašćenja)
• Ako vršite radnje obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski  nadzor velikog broja lica (npr. imate aplikaciju za to), obrađujete podatke velikog broja korisnika (npr. kroz video nadzor ili loyalty programe) ili generalno vršite profilisanje korisnika na osnovu navika i ponašanja)
• Ako obrađujete posebne vrste podataka, u velikom obimu (to uključuje podatke o zdravlju, veri, etnicitetu, seksualnoj orijentaciji, članstvu u sindikatima itd. – npr. ako ste privatna klinika).

Svi drugi nisu obavezni, ali mogu dobrovoljno imenovati lice za zaštitu podataka o ličnosti (npr. advokata), koje može imati prateći tim, što može biti korisno ako:

• želite da pokažete posvećenost zaštiti podataka klijentima i partnerima;
• imate složene interne procese;
• obrađujete podatke o ličnosti lica iz EU (npr. u outsourcing poslovima)

U svakom slučaju, preporučljivo je da se posavetujete sa pravnim stručnjakom čija je ekspertiza zaštita podataka o ličnosti prilikom sprovođenja analize (ne)postojanja obaveze imenovanja lica za zaštitu podataka o ličnosti .

4.     Koje su kazne ako ne imenujete lice za zaštitu podataka o ličnosti?

Ako ste  dužni da imenuje DPO, a to ne učinite, sleduje vam prekršajna kazna u iznosu od 50.000 do 2.000.000, odnosno od 20.000 do 500.000 dinara, ukoliko ste preduzetnik .

Važno je napomenuti da kazna postoji i ako ste imenovali lice, ali niste objavili i dostavili njegove kontakt podatke Povereniku za informacije od javnog značaja i  zaštitu podataka o ličnosti.

5.     Ko imenuje lice za zaštitu podataka o ličnost i kakav je njegov položaj?

Lice za zaštitu podataka  imenuje nadležni organ rukovaoca, odnosno obrađivača  .Imajte u vidu da DPO mora imati određene stručne kvalifikacije i nezavisan položaj, i da mu rukovalac ili obrađivač mora omogućiti neophodna sredstva za izvršavanje njegovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i stručno usavršavanje .

Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a rukovalac ili obrađivač dužni su da obezbede da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa.

6.     Šta ako dođe do povrede podataka o ličnosti u kompaniji?

Ako dođe do povrede podataka o ličnosti (npr. curenje podataka/data leak ili neovlašćen pristup), jasno je da takav događaj može ugroziti prava i slobode fizičkih lica čije ste podatke prikupili, i baš zbog toga je rukovalac ovih podataka dužan da ovakav incident prijavi Povereniku za informacije od javnog značaja i  zaštitu podataka o ličnosti bez nepotrebnog odlaganja, a ako je moguće,  u roku od 72 sata od saznanja za povredu.

Obaveštenje treba da sadrži opis prirode povrede podataka o ličnosti, kontakt podatke lica za zaštitu podataka o ličnosti ili drugi nalin na koji se mogu dobiti podaci o povredi, opis mogućih posledica povrede, opis mera koje su preduzete, a ako rukovalac ne postupi u roku, takođe mora obrazložiti razloge kašnjenja. Prema ZZPL, ako se utvrdi da rukovalac nije obavestio Poverenika o povredi, izriče se novčana kazna od 50.000 do 2.000.000 dinara (za pravno lice), a za neobaveštavanje lica na koja se podaci odnose o povredi koja može da proizvede visok rizik po prava i slobode fizičkih lica, takođe prete kazne do 2.000.000 RSD.

Pored novčanih kazni, kompanija snosi reputacionu štetu i može biti građanski odgovorna za eventualnu štetu lica čiji su podaci kompromitovani.

7.     Da li vaša kompanija treba da traži mišljenje Poverenika za zaštitu podataka o ličnosti pre obrade  podataka o ličnosti?

ZZPL propisuje da pre početka visokorizične obrade (npr. sistematski nadzor, obrada osetljivih podataka u velikom obimu) rukovalac mora da izvrši procenu uticaja (DPIA), a ako procena uticaja na zaštitu podataka o ličnosti, ukaže da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika i da traži prethodno pismeno mišljenje Poverenika, pre započinjanja radnje obrade.

Takođe, konsultovanje sa Poverenikom je preporučljivo i u slučaju složenijih pitanja iz oblasti  zaštite podataka (npr. utvrđivanje adekvatnog pravnog osnova, prenos podataka u druge zemlje i sl.), u kojem slučaju možete tražiti mišljenje Poverenika za zaštitu podataka o ličnosti.