Политика приватности представља основни документ којим се дефинишу обавезе руковалаца подацима, односно како фирме прикупљају, користе и штите личне податке, те како осигуравају да су њихова деловања у овом погледу у складу са законом.
Овај чланак ће се фокусирати на обавезе руковалаца подацима у вези са политиком приватности, са посебним освртом на важећу регулативу у Србији, као и на сам GDPR.
Појаснићемо и неке основне термине са којима се фирме сусрећу у погледу заштите личних података својих корисника, али И направити преглед корака које ваша фирма мора предузети како би осигурала заштиту приватности својих купаца, те на тај начин испунила своје законске обавезе.
1. GDPR Србија: Основни термини
Када фирме први пут дођу у додир са темом GDPR-а у Србији, односно са Законом о заштити података о личности, наићиће на конфузне термине као што су "руковалац", "обрађивач" И "прималац", а из којих није увек најјасније о којим лицима је овде реч.
Из тог разлога, одлучили смо да започнемо овај чланак са разјашњењем ових термина на најпростији могући начин:
- Руковалац подацима може да буде физичко или правно лице, или орган власти, који одлучује сврху и начин поступања са подацима о личности. Када говоримо о политици приватности, односно документу у којем је објашњено како твоја фирма прикупља, користи и штити личне податке, руковалац подацима је у том контексту – ваша фирма. Она рукује подацима ваших купаца, добављача, запослених и других.
- Обрађивач података - Ако је ваша фирма руковалац подацима, можемо рећи да је обрађивач извршилац којем је фирма поверила обраду података у њено име. Дакле, фирма одлучује шта ће се са подацима радити и како, а обрађивач у оквиру фирме ради оно што му руковалац нареди са тим подацима. То може бити неко конкретно лице у фирми које барата подацима а може бити и трећа страна.
- Прималац само прима личне податке и не ради нужно ништа са њима.
Хајде да илуструјемо ово сада кроз пример једног e-commerce сајта:
Руковалац је сама онлајн трговина која стоји иза e-commerce сајта и она одлучује које ће податке прикупљати од купаца, зашто, као и како ће их чувати. Обрађивач може да буде нпр. фирма која пружа услугу онлајн плаћања, а која обрађује податке купаца као што су нпр. подаци о платној картици у сврхе ауторизације и обраде плаћања. Прималац личних података би, у овом примеру, могла да буде доставна служба која добија приступ подацима о адресама купаца потребним за испоруку пакета. Свако коме ћете доставити туђе податке о личности је прималац. Тај прималац може истовремено бити и обрађивач, као што је случај код доставне службе.
Све ове информације се морају начи у Политици приватности једне e-commerce трговине, али И свих других фирми које имају обавезе у вези политике приватности.
2. Права испитаника: Обавезан садржај политике приватности у вези права лица на које се подаци односе
Политика приватности ваше фирме мора да садржи више од дефиниција појмова као што су руковалац, обрађивач и прималац. Руковаоци података су такође у обавези да прецизно наведу права која имају физичка лица, односно испитаници, а на чијим се подацима обрада врши.
С обзиром да непоштовање права испитаника може довести до високих новчаних казни, хајде да погледамо која су то основна права испитаника чије увршћавање у политику приватности спада у обавезу руковалаца података, односно у обавезу ваше фирме:
1. Право испитаника на информирање о обради личних података
Право испитаника на информисанје о обради личних података једно је од основних права које Закон гарантује свакој физичкој особи чији се лични подаци обрађују.
У суштини, у политици приватности ваше фирме, између осталог треба бити наведено И да физичка лица чије податке обрађујете имају право на:
- приступ својим подацима
- преносивост својих података (о овоме више у наставку текста)
- информације о сврси обраде њихових података
- информације о року чувања тих података
Сада прелазимо на друго право које требате обухватити политиком приватности ваше фирме, а то је право на измену података.
2. Право на измену података
Право на измену података подразумева право лица чији се подаци обрађују да захтевају њихову исправку, уколико су прикупљени подаци нетачни.
Такође, оно обухвата и право на допуну података који су непотпуни.
3. Право на ограничење обраде
Право на ограничење обраде омогућава физичким лицима чије податке обрађујете да затраже да се обрада њихових личних података заустави, односно ограничи у одређеним случајевима.
Ту спадају случајеви када физичко лице - испитаник:
- Сумња у исправност прикупљених података
- Сматра да се његови подаци незаконито обрађују
- Сматра да његови подаци нису више потребни вашој фирми за сврху за коју сте их прикупили
- Уложи приговор на обраду његових података
У овим ситуацијама, ваша фирма би могла И даље чувати ове податке, али их не би могла користити за друге сврхе.
Ово све треба да се нађе у вашој политици приватности, уз конкретизацију спрам специфичних околности пословања ваше фирме.
4. Право на пренос података
Право на пренос података јесте право које физичким лицима – испитаницима омогућава да преузму своје личне податке које су дали вашој фирми, па да их пренесу некој другој фирми, односно другим руковаоцу.
На овај начин се лицима чије податке ваша фирме обрађује обезбеђује већа контрола над сопственим личним подацима.
5. Право на заборав
Једна од обавеза руковалаца података (тј. фирми) јесте и да обавести испитаника на његово право на заборав, односно на брисање његових података о личности.
Дакле, у политици приватности мора бити наведено да испитаник од ваше фирме може тражити уклањање свих својих личних података, а нарочито ако:
- Вам њихов лични подаци више нису потребни за сврху за коју су прикупљени
- Испитаник повуче пристанак за обраду података
- Испитаник сматра да сте му незаконито обрадили личне податке
- Постоји нека друга законска обавеза која од вас захтева да избришете одређене податке о личности
Генерално, ако физичко лице да своје личне податке приликом коришћења неке услуге на интернету, он има право да тражи брисање тих личних података, с тим да постоје одређена ограничења када остварење овог права није могуће (нпр. ако постоји други законски основ за обраду података, као што је легитимни интерес или зарад остваривања слободе изражавања и информисања).
Да бисте осигурали да ваша фирма правилно поступа са захтевима за брисање података и избегли драконске новчане казне услед неправилности, препоручујемо ангажовање адвоката за заштиту података о личности.
6. Право на пристанак испитаника
Право на пристанак испитаника, још познато као на право на информисан пристанак, подразумева да испитаник – физичко лице чије податке обрађујете мора дати добровољну (слободну), информисану И недвосмислену сагласност на то.
Пракса институција Европске Уније је да тај пристанак мора представљати активну радњу (opt-in) тако да нпр. поље на вашем сајту где посетилац треба да кликне “сагласан сам” (енг. I agree) не сме бити унапред откачено, него је потребно да посетилац сајта откачи то поље и потом кликне да је сагласан.
Јако је важно да ово право уврстите у пословање своје фирме, с обзиром да ваша фирма мора бити у могућности да докаже да јој је физичко лице дало свој пристанак тј. мора имати неки запис о томе.
Ово право још прати и право на повлачење пристанка у сваком тренутку, мада сам опозив не утиче на законитост обраде која је већ обављена на основу информисаног пристанка.
7. Право на приговор и право на притужбу
Политиком приватности ваше фирме мора бити предвиђено и право на приговор испитаника – физичког лица.
Па тако, уколико испитаник не жели да му нпр. шаљете огласне материјале, сматра да његове личне податке користите незаконито зарад профилисања, или да начин на који обрађујете његове податке крши његова права, он има право да поднесе приговор.
У том случају, ваша фирма би могла бити обавезана да престане са обрадом прикупљених података, осим ако има неки важан разлог за наставак обраде.
Право на притужбу се надовезује на право на приговор. Па тако, ако лице чије податке обрађујете није задовољно начином на који је ваша фирма поступила по његовом приговору, он се у вези тога може обратити Поверенику за информације од јавног значаја и заштиту података о личности.
Унос ових права у политику приватности представља још једну обавезу руковалаца подацима испитаника.
8. Право на информације приликом прикупљања података о личности од лица на које се односе
Када фирма прикупља податке о личности од лица на које се односе, она је дужн да у тренутку њиховог прикупљања том лицу пружи следеће информације:
- О Идентитету и контакт подацима руковаоца
- О контакт подацима службеника за заштиту података (ДПО)
- О сврси обраде података (нпр. код e-commerce фирме би сврха могла бити извршење испоруке)
- О правном основу за обраду (нпр. пристанак корисника)
- О трећим лицима којима ће фирма учинити доступне ове личне податке (нпр. доставна служба)
- О примаоцу података
- О међународном преносу података
- О року чувања података или критеријумима за њихово одређивање
- О горе наведеним правима испитаника
- О томе да ли је давање података о личности законска или уговорна обавеза или је пак неопходан услов за закључење уговора
- О томе да ли лице на које се подаци односе има обавезу да да податке о својој личности и о могућим последицама ако се подаци не дају
- О аутоматизованом доношењу одлука, уколико се фирма користи истим, уз гаранцију права на људску интервенцију.
Дакле, све ове информације се морају наћи у политици приватности ваше фирме.
3. Казне за кршење заштите података о личности
Постоје 3 основне казне за кршење заштите податке о личности, и све 3 су новчане природе:
- Прекршајни суд може изрећи новчану казну од 50.000,00 до 2.000.000,00 динара правним лицима која крше заштиту података о личности. Ова казна може бити и дупло виша, у случају да дође до више повреда.
- Физичка лица која не чувају податке о личности као професионалну тајну могу бити кажњена износом од 5.000,00 до 150.000,00 динара.
- Повереник за информације од јавног значаја и заштиту података о личности може путем прекршајног налога казнити правна лица са додатних 100.000,00 динара за непоштовање обавеза према Закону о заштити података о личности.
Напомена: Због коментара како актуелне прописане казне нису довољно велике за "гиганте", стручна јавност Србије, као и сам повереник, сложили су се да су потребне измене актуелног закона у овом делу. С тим у вези, у плану је усклађивање нашег закона са GDPR-ом у погледу износа казни, што би значило да би казне за велике компаније могле да износе чак 20.000.000 евра или 4% њиховог годишњег промета, у зависности од тога који је износ виши.
Да избегнете да и ваша фирма постане мета високих казни због неправилног поступања са подацима о личности, што пре контактирајте адвоката за заштиту података о личности да вам састави политику приватности у складу са законом и другим важећим прописима.
Адвокат за заштиту података о личности
Након бројних скандала у вези заштите података о личности, укључујући скандал са некадашњим Фејсбук-ом (данашња Мета) када су се милиони корисничких података нашли у погрешним рукама, приватност на интернету постала је нужност коју корисници захтевају од фирми, а које су оне приморане да пруже како би задржале повјерење потрошача.
Политика приватности, која је некада била занемарљив правни документ, данас је постала кључни елемент повјерења између фирми и корисника и нешто што је "must-have" за све компаније које обрађују личне податке својих купаца.
Било да желите да ангажујете адвоката као лице за заштиту података о личности ваше фирме, или вам је потребно креирање политике приватности за вашу фирму, слободно контактирајте Адвокатску канцеларије Пекић путем мејла: [email protected]
