Zaštita podataka o ličnosti predstavlja fundamentalno ljudsko pravo koje postaje sve složenije i značajnije u savremenom svetu. Zahvaljujući razvoju novih tehnologija, podaci o ličnosti sve više postaju predmet automatizovane obrade, koja se često vrši bez znanja lica na koje se podaci odnose, dok se novi poslovni modeli upravo zasnivaju na obradi podataka. Neslućeni razvoj interneta doveo je do svakodnevnog generisanja ogromne količine podataka, koji predstavljaju "naftu XXI veka“.
Nova evropska regulativa u oblasti zaštite podataka o ličnosti (GDPR) ima za cilј da se fizičkim licima vrati kontrola nad njihovim podacima. Ovaj propis uredio je strogi režim pod kojim se mogu prikuplјati i dalјe obrađivati podaci o ličnosti, pod pretnjom veoma visokim novčanim kaznama. Norme ovog propisa uređuju obaveze koje su opšteg karaktera, ali i specifične obaveze, koje se odnose na dozvolјenost obrade podataka, mere zaštite, postupanje u slučaju povrede podataka o ličnosti itd. Takođe, pored ustanovlјavanja niza obaveza, isti propis je omogućio paletu novih prava kojima se fizička lica mogu služiti, u odnosu na obradu svojih podataka.
Gost portala BizSrbije je Zlatko Petrović, pomoćnik generalnog sekretara Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
U skladu sa obavezama koje je Republika Srbija preuzela u procesu evropskih integracija, 2018. godine je donet Zakon o zaštiti podataka o ličnosti, koji je najvećim delom preuzeo normativna rešenja iz GDPR. U tom smislu, privredna društva i preduzetnici u našoj zemlјi, kao rukovaoci podataka o ličnosti, imaju obaveze koje su identične ili analogne onima koje imaju privredna društva i preduzetnici u EU.
BizSrbija: Kada kažemo podaci o ličnosti i obrada podataka o ličnosti, na šta se tačno misli?
Petrović: Svaki podatak koji identitet fizičkog lica, posredno ili neposredno, čini određenim ili odredivim predstavlјa podatak o ličnosti. Privredna društva i preduzetnici raspolažu raznim vrstama podataka o ličnosti, koje obrađuju u različite svrhe, a koje je najpre potrebno identifikovati. Ovi podaci odnose se na zaposlene, ali i na druga lica, obrađuju se u papirnim evidencijama, ali i na automatizovan način, prikuplјaju se od samih tih lica, kao i na druge načine. Svaki oblik postupanja sa podacima o ličnosti jeste njihova obrada, bilo da se vrši na automatizovan ili neautomatizovan način. Obrada se vrši kada se podaci prikuplјaju, čuvaju, pohranjuju, kopiraju, čine dostupnim, otkrivaju, prenose ... Obrada se mora vršiti u skladu sa načelima obrade, koja propisuje Zakon o zaštiti podataka o ličnosti.
BizSrbija: Koja su načela obrade podataka o ličnosti?
Petrović: Obrada podataka o ličnosti mora se vršiti na zakonit, pošten i transparentan način. Obrada mora imati konkretno određenu, izričitu, opravdanu i zakonitu svrhu, a podaci se ne smeju obrađivati suprotno toj svrsi. Potrebno je obrađivati samo minimalnu količinu relevantnih podataka koji su potrebni da se ostvari svrha obrade. Podaci koji se obrađuju moraju biti tačni i ažurni. Rok čuvanja podataka koji se obrađuju mora biti opredelјen. Podaci moraju biti odgovarajućim tehničkim, organizacionim i kadrovskim merama zaštićeni od povrede, odnosno od slučajnog ili nezakoiitog uništenja, gubitka, krađe, neovlašćene izmene ili neovlašćenog uvida.
BizSrbija: Ko je odgovoran za obradu podataka o ličnosti na takav način?
Petrović: Rukovalac je pravno ili fizičko lice ili organ vlasti koji određuje način i svrhu obrade, odnosno kako i zašto se podaci o ličnosti obrađuju. Rukovalac je odgovoran za poštovanje načela obrade. Ukoliko dva ili više rukovalaca zajednički odrede svrhu i način obrade – u pitanju su zajednički rukovaoci.
BizSrbija: Može li rukovalac da angažuje nekoga da obrađuje podatke umesto njega?
Petrović: Obrađivač je pravno ili fizičko lice ili organ vlasti koji vrši obradu podataka o ličnosti u ime rukovaoca. Rukovalac odgovara za izbor obrađivača, pa obradu može poveriti samo onom obrađivaču koji preduzima odgovarajuće mere zaštite podataka o ličnosti. Između rukovaoca i obrađivača uvek mora postojati zaklјučen ugovor ili drugi pravno obavezujući akt, koji mora biti u pismenom obliku, što obuhvata i elektronski oblik.
BizSrbija: Šta treba raditi u slučaju povrede podataka o ličnosti?
Petrović: U slučaju povrede podataka o ličnosti, rukovalac ima obavezu da uočenu povredu najpre dokumentuje, a zatim i analizira, kako bi mogao da sagleda njene razmere. Ukoliko utvrdi da povreda može da proizvede rizik po prava i sloboda lica na koja se podaci odnose, dužan je da o tome bez odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu, na propisanom obrascu obavesti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Ukoliko pak utvrdi da nastala povreda može da proizvede visok rizik za prava i slobode lica na koja se podaci odnose – onda je dužan da o istom bez odlaganja obavesti i sama ta lica. Izveštaj Poverenika za 2024. godinu.
BizSrbija: Koga treba zadužiti da se bavi ovim poslovima?
Petrović: Rukovalac i obrađivač mogu, a u određenim slučajevima i moraju, imenovati lice za zaštitu podataka o ličnosti. Ovo lice može biti neko od zaposlenih, ali može biti i angažovano na osnovu ugovora. To lice mora imati odgovarajuće stručne kvalifikacije, znanje i iskustva u oblasti zaštite podataka o ličnosti, a njegove obaveze su da informiše rukovodstvo i zaposlene o obavezama u ovoj oblasti, prati primenu propisa u istoj, daje mišlјenje na procenu uticaja na zaštitu podataka o ličnosti, kao i da bude kontakt tačka sa Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti.
BizSrbija: Da li je obaveza poslodavca da ima dokument o proceni uticaja na zaštitu podataka o l ličnosti?
Petrović: Ukoliko namerava da započne novu obradu podataka o ličnosti, koja može proizvesti rizik po prava i slobode lica na koja se podaci odnose, a posebno ako je u pitanju primena novih informacionih tehnologija, rukovalac mora sačiniti dokument procene uticaja na zaštitu podataka o ličnosti.
U skladu sa zakonom i podzakonskim aktom koji je doneo Poverenik, u određenim slučajevima ovaj dokument je obavezno sačiniti. Na ovaj dokument svoje mišlјenje daje lice za zaštitu podataka o ličnosti, pa ono ne može biti zaduženo da sačini isti, zbog sukoba interesa. Jedan od primera obavezne izrade procene uticaja na zaštitu podataka o ličnosti jeste obrada biometrijskih podataka u cilјu jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.
Zaštita podataka o ličnosti obuhvata i niz drugih pravila, koje je potrebno na odgovarajući način sagledati i razumeti, kako bi se ista primenila. Rukovalac mora najpre sagledati kojim sve podacima o ličnosti uopšte raspolaže, a zatim razmotriti način njihovog prikuplјanja, pravni osnov njihove obrade, rokove čuvanja, mere zaštite koje primenjuje, te kontinuirano jačati bezbednost obrade. Takođe, rukovalac mora, i pored preventivnih mera koje preduzima, biti spreman da postupi na zakonom propisani način, ukoliko dođe do kompromitacije podataka o ličnosti kojima raspolaže.
Neodgovorno i nezakonito postupanje u obradi podataka o ličnosti može dovesti do prekršajne i krivične odgovornosti, odgovornosti za nastalu štetu, ali i do reputacionog rizika, posebno u današnje vreme brzog protoka informacija, kada građani postaju sve više svesni svojih prava u ovoj oblasti.
Seminar Zlatka Petrovića organizuje Centar za edukaciju Privredne komore Srbije.
