Чувена уредба Европске уније GDPR, ревидирала је начин на који фирме обрађују и рукују подацима о личности. Заштита података о личности је постала једна од горућих тема пословања компанија. Заштита података обухвата права физичких лица у вези са обрадом њихових података о личности, безбедност података, као и обавезе руковалаца подацима. GDPR је најсвеобухватнији закон о приватности и безбедности података на свету, и намеће обавезе свим компанијама које прикупљају податке о лицима која се налазе у ЕУ, па тако и компанијама из Србије које обрађују податке лица из ЕУ. Заштита података о личности у дигиталном добу носи са собом посебне изазове, те је логичан след да и наша земља донесе регулативу која обезбеђује безбедност података. Угледајући се на GDPR, Србија је 2018. године донела Закон о заштити података о личности Србије, којим се између осталог регулишу заштита података о личности, права лица на које се ти подаци односе, прикупљање и обрада личних података и обавезе руковалаца подацима, пристанак испитаника, сигурност података, извођење података из земље, као и казне за кршење заштите података о личности.
Шта је „податак о личности“?
Податак о личности, у смислу Закона о заштити података о личности Србије, је сваки податак који је одређен или одредив на непосредан или посредан начин и на основу којег се може идентификовати одређено физичко лице. Ови подаци могу бити на пример: име, презиме, ЈМБГ, број личне карте, адреса становања, здравствени картон, опис физичких или психолошких карактеристика, мејл адреса, историја активности на интернету (шерови, лајкови, кликови), историја претраге интернета, ИП адреса компјутера или смартфона и слично. Ако су уређај или претраживач персонализовани, онда и колачићи (на енглеском: cookies) преузети са сајтова спадају у податке о личности.
Ко су лица на која се подаци односе?
Лица на која се подаци односе су искључиво физичка лица. Ово значи да правна лица, ни у којој форми, не уживају заштиту података у смислу Закона о заштити података о личности Србије.
Обавезе руковалаца подацима
Право да обрађују податке о личности (на пример прикупљање, бележење, употреба података, и слично) имају и правна и физичка лица, и ова лица се, у смислу Закона о заштити података о личности Србије, могу појавити као руковаоци или обрађивачи. Често је сам појам “обрада података” недовољно јасан. Битно је знати да и сам увид у податке представља обраду података о личности. „Обрада“ асоцира на активно понашање, али под обрадом података се могу сматрати и пасивне радње, попут чувања и складиштења података. Руковалац је физичко лице или компанија који одређује сврху и начин обраде, док је обрађивач физичко или правно лице које обрађује податке о личности у име руковаоца. Руковалац одређује „зашто“ и „како“ се подаци прикупљају и чувају. С друге стране, обрађивач нема контролу над обрадом података, нити доноси битне одлуке о томе због чега, како и колико дуго се подаци обрађују, већ по свим овим питањима поступа искључиво по инструкцијама које му је дао руковалац. Обавезе руковалаца подацима обухватају предузимање одговарајућих техничких, организационих и кадровских мера како би руковалац обезбедио да се Закон о заштити података о личности Србије у целости испоштује. Руковалац је такође дужан да обезбеди да се увек обрађују само они подаци о личности који су неопходни за остваривање сврхе обраде, као и да се подаци користе за сврху за коју је лице дало сагласност. На пример, приликом онлајн куповине, купци неретко остављају своју мејл адресу у циљу регистрације налога – то је сврха остављања мејл адресе. То не значи да продавац може да користи ову мејл адресу купца како би му слао понуде и акције, имајући у виду да купац није оставио свој “податак о личности” за ту сврху. У овом примеру, фирма која је власник интернет сајта је руковалац података својих купаца. Подаци о личности се прикупљају и путем колачића (енг. cookies) које интернет сајт прикупља. У погледу сваке обраде руковалац мора бити транспарентан.
Лице за заштиту података о личности
Како би били сигурни да су све одредбе везане за прикупљање и обраду личних података испоштоване, руковалац и обрађивач могу да именују лице за заштиту података о личности. У питању је физичко лице, које је или запослено код руковаоца или обрађивача, или неко лице које је екстерно ангажовано – Уговором о делу на пример. Неретко као лице за заштиту података о личности је именован адвокат. Лице за заштиту података о личности не мора нужно да има правничко образовање, али имајући у виду дужности лица прописане Законом о заштити података о личности Србије, правничко искуство у погледу познавања процедура, давања мишљења, састављања поднесака и слично, је свакако неопходно за адекватно обављање овог посла.
Лице за заштиту података о личности може да обавља и друге послове, али тако да друге обавезе не доведу до сукоба интереса. Рецимо, лице за заштиту података не би могло да буде лице запослено код руковаоца које у његово име одређује сврху и начин обраде података о личности.
Ово лице има одговорност да информише и даје мишљење руковаоцу или обрађивачу о њиховим законским обавезама, а све како би заштита података о личности била адекватно испуњена. Осим тога, лице за заштиту података о личности представља контакт тачку за сарадњу са Повереником за информације од јавног значаја и заштиту података о личности. Ангажовање лица за заштиту података о личности је често ствар избора руковаоца и обрађивача, међутим Закон о заштити података о личности Србије прописује када је неопходно да се ангажује лице за заштиту података.
То су следећи случајеви:
- обрада се врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања његових судских овлашћења;
- основне активности руковаоца или обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски наџор великог броја лица на које се подаци односе – на пример интернет провајдери, који се примарно баве основним активностима обрађивача које најчешће подразумевају редован и системски наџор великог броја лица;
- основне активности руковаоца или обрађивача састоје у обради посебних врста података о личности (обрада која открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обрада генетских података, биометријских података у циљу јединствене идентификације лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица) или података о личности у вези са кривичним пресудама и кажњивим делима у великом обиму. Један од примера из праксе када је обавезно да се одреди лице за заштиту података о личности, јесте везан за апотеке приватне праксе, ако обављају делатност издавања лекова путем е-рецепта, јер тада обраду података врши у великом обиму.
Правни основи за обраду личних података
Правни основи за обраду личних података су дефинисани Законом о заштити података о личности Србије, и једино је законита обрада чије су упориште правни основи за обраду личних података. Да би се обезбедила законита заштита података, потребно је да обрада буде:
- урађена на изричит пристанак испитаника;
- неопходна ради извршења обавеза које су преузете уговором или других радњи на захтев испитаника – на пример извршење обавеза по основу Уговора о раду (име и презиме, банковни рачун, и слично);
- неопходна ради испуњења обавеза руковаоца;
- неопходна ради заштите животно важних интереса испитаника или другог физичког лица (у питању су заправо ситуације живота и смрти: рецимо, обрада је неопходна за превенцију и борбу против епидемија);
- неопходна ради вршења послова од јавног интереса или законских обавеза руковаоца – најчешће прикупљање и обрада личних података у вези са законским обавезама прописаним Законом о раду и законима који регулишу пензијско, здравствено и инвалидско осигурање, или обавеза банака да прикупе законом прописане податке од конкретног лица уколико се примењују одредбе усмерене на спречавање прања новца и финансирање тероризма);
- неопходна ради испуњења легитимних интереса руковаоца или трећег лица, осим ако постоје интереси испитаника који су претежнији од легитимних интереса руковаоца или трећег лица, нарочито ако је испитаник малолетник – најчешће у погледу заштите имовине и сигурности послодавца (ограничени видео ндзор и слично).
Иако сваки од горе наведених правних основа за обраду података заслужује посебну пажњу, у овом блогу ћемо већу пажњу посветити пристанку испитаника као услову за закониту обраду и заштиту података, имајући у виду да је он најнеадекватнији основ за прикупљање и обраду личних података, те компанија мора бити нарочито пажљива.
Пристанак испитаника
Пристанак испитаника је један од шест могућих правних основа за обраду података о личности. То је заправо изјава воље лица којом оно допушта да се његови подаци обрађују за тачно одређене сврхе. Пристанак испитаника мора да произлази из слободно изражене воље лица на које се подаци који се обрађују односе, да буде добровољан, одређен, недвосмислен, и информисан пристанак. Када се ради процесуирање података о личности, а заснива се на пристанку испитаника, руковалац мора да има могућност да докаже да је испитаник дао пристанак на обраду његових личних података, тј. пристанак мора бити документован.
Пристанак испитаника се може дати у више облика. Један од најчешћих примера за давање пристанка испитаника је условљавање приступања и коришћења одређених интернет страница пристанком испитаника. То се најчешће чини условљавањем приступа интернет страници прихватањм „политике приватности“ (privacy policy) те странице. Пристанак се даје „штиклирањем кућице“ поред које пише да њеним „штиклирањем“ прихватамо политику приватности те интернет странице, односно компаније или другог субјекта чија је интернет страница. Чак се у пракси ЕУ констатовало да „кућица“ не сме бити унапред „штиклирана“, него се захтева да поље буде празно па да испитаник мора својевољно „штиклирати“ поље, односно пристанак испитаника мора бити активан и недвосмислен.
Пристанком као правним основом за обраду личних података се не може располагати, тј. не може се уступати другом руководиоцу, нити се може преузимати од другог руководиоца – на пример у случају преноса целокупног пословања са једног на друго правно лице.
Наравно, сваки пристанак испитаника се може опозвати од стране испитаника који је дао пристанак, без последица по положај тог лица, у сваком моменту. Опозив пристанка испитаника свакако не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива. Опозивање мора бити једноставно, те када се пристанак даје путем интернета, кликом на опцију за давање пристанка, лицима чији се подаци обрађују мора да буде омогућено да на једнако једноставан начин могу и да повуку пристанак. Уколико не постоји други правни основ за обраду података о личности од стране руковаоца, опозив пристанка мора да има за последицу брисање података о личности и престанак било какве друге активности у вези са подацима лица које је опозвало свој пристанак.
Изјава воље лица без могућности њене измене или опозива, тако да то не проузрокује правне последице по положај тог лица не може се сматрати пуноважним пристанком, а ово нарочито треба имати у виду када је у питању прикупљање и обрада личних података запослених од стране послодавца. У овом односу питање добровољности давања пристанка од стране запосленог је посебно упитна, имајући у виду да ће запослени мало вероватно ускратити послодавцу пристанак за обраду података без страха од последица, те основ прикупљања и обраде личних података запослених не би смео бити пристанак испитаника - запосленог.
Да би се сматрало да је пристанак испитаника слободно дат, мора се посебно водити рачуна о томе да ли се извршење уговора, условљава давањем пристанка који није неопходан за извршење тог уговора. На пример, ако је закључење или извршење уговора о пружању услуга условљено давањем пристанка лица за обраду података у сврху директног маркетинга, такав пристанак се не сматра добровољним.
Право на заборав
Право на заборав је са развојем и експанзијом заштите података добило широку примену у теорији и пракси. Под „право на заборав“ мисли се на право одређеног лица да захтева од руковаоца да избрише расположиве податке о личности испитаника, у случају да постоји законом дозвољен основ.
Закон о заштити података о личности Србије предвиђа који су то основи:
- Престала је потреба због којег су лични подаци дати;
- Пристанак испитаника је опозван од стране испитаника у складу са законом, а не постоји ни један други основ за обраду личних података;
- Испитаник је поднео приговор на обраду у складу са законом о заштити података;
- Незаконита обрада личних података;
- Лични подаци морају бити избрисани ради извршења законских обавеза руковаоца;
- Подаци су прикупљени од стране малолетника који је навршио 15 година, ради коришћења интернет услуга (на пример: google претраживње, хотели при резервацији и сл.)
Међутим, право на заборав није апсолутно, односно право на заборав трпи одређена ограничења, и једно од тих ограничења јесте остваривање слободе изражавање и информисања. У случају који се водио пред Повереником за заштиту података о личности одбијен је захтев за остваривање права на заборав, јер је тражено брисање података о личности од новинарског портала који је написао чланак о одређеном лицу које је било директор компаније, а такво брисање би осујетило остваривање слободе изражавања и информисања. Новинарски изузетак је правило предвиђено Законом о заштити података о личности Србије према коме се, под одређеним околностима, на новинарско истраживање и објављивање информација у медијима не примењују обавезе поводом заштите личних података као код осталих руковалаца. Према томе, у случају да неко жели да поднесе захтев да се обришу његови подаци, односно поднесе захтев ради остваривања права на заборав, пожељно је да се консултује са адвокатом или стручним лицем за заштиту података ради консултовања о постојању одређених ограничења у остваривању права на заборав.
Заштита података у медицини
Као што је свима познато, у медицини се врло често „барата“ врло осетљивим личним подацима, те је заштита података у медицини и безбедност података од круцијалне важности.
Недавно, Здравствена установа у Републици Србији је била опоменута од стране Повереника за заштиту података о личности, јер је у медицински картон једног лица, увид могао да изврши било који радник у тој установи. Подсећамо да увид у податак о личности, а без пристанка испитаника или без другог правног основа, представља незакониту обраду личних података.
Даље, с обзиром на то да је здравствена установа имала својство руковаоца, јер она обрађује личне податке, имала је обавезу да обезбеди све неопходне услове (кадровске, информатичке и сл.) да се обезбеди законита и безбедна обрада личних података пацијената.
Посматрајући природу повреде заштите података у овом случају, до решења зашто је овакво поступање здравствене установе било незаконито, можемо доћи постављањем питања: Да ли је пацијент дао своје личне податке здравственој установи како би само лекари који га прегледају и друга помоћна лица могла да остваре увид у његове податке или је желео да сви који раде у тој установи могу да имају приступ његовим/њеним личним (и осетљивим) подацима?
Ово представља само један од начина на који се може незаконито извршити процесуирање података о личности у медицини. Да би се обезбедила заштита података у медицини, све здравствене установе морају да примене одговарајуће мере заштите и обезбеде услове за сигурност података.
Које кораке фирма – руковалац подацима треба да предузме за заштиту података?
Закон о заштити података о личности Србије не прописује егзактне кораке које би компанија требало да предузме како би прикупљање и обрада личних података била законита. Кораци за сигурност података се изводе из начела која Закон прописује. Законитост, поштење и транспарентност чине основна начела којим морају да се воде руковаоци подацима, а оно између осталог подразумева да лица чији се подаци обрађују морају имати потпуна и јасна обавештења у вези са прикупљањем и обрадом личних података, и да руковаоци морају имати поштен однос према тим лицима. Компанија би свакако требало да крене од тога да утврди који се то лични подаци прикупљају, где су ти подаци сачувани, те која лица имају приступ тим подацима – такозвано мапирање података. Потом, неопходно је да управљање подацима буде у складу са начелима Закона, односно да се направи списак лица чији се подаци обрађују, да се утврди по ком основу и у коју сврху се обрађују, као и да се едукују запослени о законитом прикупљању и обради личних података. Такође, потребно је видети који су то обавезни документи за заштиту података о личности, те их израдити. Осим тога, документовање као корак подразумева да се сачувају захтеви лица чији се подаци процесуирају, као и докази о преносу података трећим лицима и извођењу података из земље.
Адвокат за заштиту података о личности
Заштита података је свакако новија и изузетно изазовна област за све компаније, те је неопходна помоћ адвоката како би се испуниле све обавезе компанија предвиђене Законом о заштити података о личности Србије, израдили интерни акти о обради података о личности, обавезни документи за заштиту података о личности, те се избегле казне за кршење заштите података о личности. Било да желите да ангажујете адвоката као лице за заштиту података о личности ваше фирме, или вам је потребно саветовање и креирање ефикасних интерних процедура за сигурност података, слободно контактирајте Адвокатску канцеларију Пекић путем мејла: [email protected]
Насловна фотографија: Photo by towfiqu-barbhuiya on unsplash