Ljudi često odmahnu glavom ili preskoče bilo koju temu koja se odnosi na zaštitu podataka o ličnosti, jer jednostavno, „šta se to njih tiče“. Verujem da veliki broj poslodavaca zanemaruje značaj ove materije. Interesovanje za zakonsku regulativu i generalno za temu zaštite podataka o ličnosti je poprilično malo. Pomak je napravljen donošenjem Zakona o zaštiti podataka o ličnosti 2008. godine, kada je posle desetak godina od prethodnog zakona ova materija oživela i makar na kratko došla u žižu interesovanja. Sada se, posle desetak godina opet priča nešto više o tome, međutim, još uvek ne dovoljno. U Srbiji generalno postoji prilično niska svest o tome koji podaci o ličnosti smeju da se obrađuju, ko i pod kojim uslovima sme da ih obrađuje, da li to negde treba prijaviti i zašto je to važno. Kako to obično biva, stvari postaju tema interesovanja tek ako se spomene neka kazna. Da li su milioni evra kazne ili zabrana poslovanja zbog nepoštovanja regulative o zaštiti podataka o ličnosti dovoljni da privuku pažnju?

GDPR (General Data Protection Regulation) jeste uredba evropskog parlamenta i veća o zaštiti pojedinaca u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka. Pre nego što oni koji nisu još uvek ništa čuli o GDPR – u prokomentarišu da to nije naša briga jer mi nismo Uniji, treba istaći da je kod nas u toku priprema i usvajanje novog zakona o zaštiti podataka o ličnosti koji će biti u skladu sa ovom uredbom, a i naročito naglasiti da se i bez obzira na to ova uredba primenjuje na sve subjekte koje se bave prodajom proizvoda ili nuđenjem usluga na teritoriji Evropske Unije. Kazna predviđena za nepoštovanje pravila o zaštiti ličnih podataka prema uredbi iznosi do 4% globalnog prihoda kompanije na godšnjem nivou, cdnosno 20 miliona evra!!! Uredba je usvojena 2016. godine, ali je njena primena odložena kako bi se subjekti na koje se odnosi blagovremeno pripremili i zvanično stupa na snagu 25. maja 2018. godine. Treba napomenuti da i trenutno važeći propis u našoj zemlji, odnosno Zakon o zaštiti podataka o ličnosti nije uopšte blag po pitanju kazni, tako da su po njemu predviđene kazne za nepoštovanje normi u rasponu od 50.000 – 1.000.000 dinara. Ovo svakako daje „milion“ razloga da se o zaštiti podataka o ličnosti dataljnije informišete. U ovom tekstu ćemo se samo površno baviti GDPR-om jer se radi o prilično opširnoj materiji. Cilj teksta je da vas podstakne da ukoliko niste, osvestite da postoje brojne obaveze u vezi za zaštitom ličnih podataka i da se one uskoro prilično uvećavaju.

Da najpre definišemo podatak o ličnosti. To je bilo koja informacija koja se odnosi na neku osobu koja je identifikovana ili može da se identifikuje. Kada kažemo bilo koja, to bukvalno i mislimo. Obično za lične podatke vezujemo one iz lične karte, matične knjige rođenih, podatke o obrazovanju itd. Lični podaci su još i podaci o bračnom statusu, veroispovesti, seksualnom opredeljenju, polu, rasi, nacionalnosti itd. Da odemo još korak dalje, lični podaci su i IP adresa, mail adresa, otisak prstiju, krvna grupa, bilo koji biometrijski podatak, fotografija, lokacija itd. Dakle, bukvalno bilo koji podatak o ličnosti. Svako poslovanje je takvo da zahteva prikupljanje određenih podataka, bilo o zaposlenima, bilo o kupcima, dobavljačima i slično. Važno je pronaći se i utvrditi koje odredbe trenutno važećeg zakona o zaštiti ličnih podataka se na vas primenju i na koji način i u kojoj meri će vas GDPR dotaknuti. Samo na taj način možete identifikovati svoje obaveze u vezi zaštite podataka o ličnosti i svoju delatnost obavljati u skladu sa zakonom, odnosno izbeći ogromne kazne. Važno je zapamtiti da se podaci mogu obrađivati samo u skladu sa zakonom, da se shodno svrsi mora prikupljati minimum podataka, da se mora osigurati njihova tačnost te da se nakon ispunjavanja svrhe moraju uništiti.

Ključni momenat za definisanje obaveza jeste određivanje kojoj kategoriji pripadate, odnosno da li ste prema uredbi Rukovaoc (eng. Controller) ili Obrađivač podataka(eng. Processor). Rukovaoc podataka jeste pravno ili fizičko lice koje samostalno ili zajedno sa drugima određuje svrhu obrade podataka, dok je obrađivač podataka pravno ili fizičko lice koje obrađuje lične podatke u ime rukovaca. U zavisnosti od toga kojoj kategoriji pripadate možete jasnije odrediti i vaše obaveze. Treba napomenuti da je veliki broj obaveza isti za obe kategorije. U svakom slučaju između rukovaoca i obrađivača podataka saglasno uredbi zahteva se jasno uređen odnos definisan zaključenim ugovorom.

Dodatna kontrola u upravljanju i zaštiti ličnih podataka biće uspostavljena još jednom obavezom, a to je uvođenje službenika za zaštitu podataka (data protection officer). GDPR zahteva da određene kategorije subjekata imenuju lice sa posebnim ovlašćenjem koje će se baviti materijom ličnih podataka. Ova obaveza će se odnositi na sva tela javne vlasti (osim za sudove), odnosno na sve pravne subjekte čija je osnovna aktivnost prikupljanje i obrada ličnih podataka podataka ili onih koji nužno u svom poslovanju moraju da prikupljaju i obrađuju veliki broj podataka. Službenik za obradu podataka imaće obavezu informiše i savetuje obrađivača podataka o svim odredbama uredbe, da prati poštovanje uredbe i da sarađuje sa nadzornim organima.

GDPR počiva na šest osnovnih načela koja se za njegovu punu i zakonitu primenu moraju sprovesti i poštovati:

  1. Načelo zakonitosti, pravičnosti i transparentnosti (lawfulness, fairness and transparency) – znači da se lični podaci prikupljaju zakonito, pravično i transparentno u odnosu na ispitanika
  2. Načelo ograničenosti svrhom (purpose limitation) – znači da će se prikupljeni podaci koristiti u skladu sa njihovom svrhom, odnosno da se nikako ne smeju koristiti za ciljeve koji nisu u skladu sa njihovom svrhom
  3. Načelo nužne ili minimizirane količine podataka (data minimisation) – znači da je prikupljanje podataka dozvoljeno samo u toj meri da se svrha ostvari, odnosno da će se prikupljati minimum podataka koji je za to potreban. Ovim se isključuje mogućnost prikupljanja suvišnih podataka tj, podataka koji nisu neophodni.
  4. Načelo tačnosti (accuracy) – znači da svaki podatak koji se obrađuje mora biti tačan i ažuriran, odnosno da se mora preduzeti svaka mera kako bi se podaci koji nisu tačni uklonili ili ažurirali.
  5. Načelo ograničenja čuvanja (storage limitation)- znači da se podaci čuvaju onoliko dugo i u formi koliko je to potrebno da se ostvari njihova svrha osim u određenim slučajevima.
  6. Načelo poverljivosti i integriteta (integrity and confidentiality) – znači da se podaci mogu obrađivati samo na način koji osigurava njihovu sigurnost uključujuči zaštitu od nezakonite ili neovlašćene obrade odnosno zaštitu od slučajnog gubitka, oštećenja ili uništenja.

GDPR naglašava i kategoriju posebno osetljivih podataka čije se prikupljanje i obrada strogo zabranjuje osim u nekoliko izuzetaka. Naročito osteljivi podaci o ličnosti su oni koji se odnose na rasno ili etičko poreklo, versko ili filozofsko uverenje, zdravlje, pol, seksualnu orjentaciju itd.

O svemu ovome će u narednom periodu biti puno reči. Nastojali smo da pružimo blagi uvod u GDPR i stvorimo nešto jasniju sliku o čemu se zapravo radi. U nekom od narednih tekstova ćemo nešto više pažnje posvetiti trenutno važećem zakonu o zaštiti podataka o ličnosti, obavezama poslodavca i praktičnoj primeni GDPR – a. Ćinjenica je da ovu temu ne smemo zanemariti. Evropska Unija ima prilično visoku svest o značaju ličnih podataka i načinu obrade i čuvanja istih, a pronaći će način da isti značaj stvori i kod nas. Zato je važno blagovremeno se pripremiti kako ne bi došli u sukob sa zaknom i kako bi nesmetano mogli da nastavite sa svojim poslovanjem.

Poslednja izmena dana 6. aprila 2018. u 20:19


Miljan Ćupurdija

Diplomirani pravnik, zaposlen u privrednim društvima Polet i Belica kao menadžer za pravne poslove i ljudske resurse. Obavlja funkciju predstavnika rukovodstva za IMS (QMS, EMS i OHSAS). Uređivanje poslovanja i funkcionisanja preduzeća shodno sistemu kvaliteta mu predstavlja poseban izazov i…… Saznaj više »