Politika privatnosti predstavlja osnovni dokument kojim se definišu obaveze rukovalaca podacima, odnosno kako firme prikupljaju, koriste i štite lične podatke, te kako osiguravaju da su njihova delovanja u ovom pogledu u skladu sa zakonom.
Ovaj članak će se fokusirati na obaveze rukovalaca podacima u vezi sa politikom privatnosti, sa posebnim osvrtom na važeću regulativu u Srbiji, kao i na sam GDPR.
Pojasnićemo I neke osnovne termine sa kojima se firme susreću u pogledu zaštite ličnih podataka svojih korisnika, ali I napraviti pregled koraka koje vaša firma mora preduzeti kako bi osigurala zaštitu privatnosti svojih kupaca, te na taj način ispunila svoje zakonske obaveze.
GDPR Srbija: Osnovni termini
Kada firme prvi put dođu u dodir sa temom GDPR-a u Srbiji, odnosno sa Zakonom o zaštiti podataka o ličnosti, naićiće na konfuzne termine kao što su “rukovalac”, “obrađivač” I “primalac”, a iz kojih nije uvek najjasnije o kojim licima je ovde reč.
Iz tog razloga, odlučili smo da započnemo ovaj članak sa razjašnjenjem ovih termina na najprostiji mogući način:
- Rukovalac podacima može da bude fizičko ili pravno lice, ili organ vlasti, koji odlučuje svrhu i način postupanja sa podacima o ličnosti. Kada govorimo o politici privatnosti, odnosno dokumentu u kojem je objašnjeno kako tvoja firma prikuplja, koristi i štiti lične podatke, rukovalac podacima je u tom kontekstu – vaša firma. Ona rukuje podacima vaših kupaca, dobavljača, zaposlenih i drugih.
- Obrađivač podataka – Ako je vaša firma rukovalac podacima, možemo reći da je obrađivač izvršilac kojem je firma poverila obradu podataka u njeno ime. Dakle, firma odlučuje šta će se sa podacima raditi i kako, a obrađivač u okviru firme radi ono što mu rukovalac naredi sa tim podacima. To može biti neko konkretno lice u firmi koje barata podacima a može biti i treća strana.
- Primalac samo prima lične podatke i ne radi nužno ništa sa njima.
Hajde da ilustrujemo ovo sada kroz primer jednog e-commerce sajta:
Rukovalac je sama onlajn trgovina koja stoji iza e-commerce sajta i ona odlučuje koje će podatke prikupljati od kupaca, zašto, kao i kako će ih čuvati. Obrađivač može da bude npr. firma koja pruža uslugu onlajn plaćanja, a koja obrađuje podatke kupaca kao što su npr. podaci o platnoj kartici u svrhe autorizacije i obrade plaćanja. Primalac ličnih podataka bi, u ovom primeru, mogla da bude dostavna služba koja dobija pristup podacima o adresama kupaca potrebnim za isporuku paketa. Svako kome ćete dostaviti tuđe podatke o ličnosti je primalac. Taj primalac može istovremeno biti i obrađivač, kao što je slučaj kod dostavne službe.
Sve ove informacije se moraju nači u Politici privatnosti jedne e-commerce trgovine, ali I svih drugih firmi koje imaju obaveze u vezi politike privatnosti.
Prava ispitanika: Obavezan sadržaj politike privatnosti u vezi prava lica na koje se podaci odnose
Politika privatnosti vaše firme mora da sadrži više od definicija pojmova kao što su rukovalac, obrađivač i primalac. Rukovaoci podataka su takođe u obavezi da precizno navedu prava koja imaju fizička lica, odnosno ispitanici, a na čijim se podacima obrada vrši.
S obzirom da nepoštovanje prava ispitanika može dovesti do visokih novčanih kazni, hajde da pogledamo koja su to osnovna prava ispitanika čije uvršćavanje u politiku privatnosti spada u obavezu rukovalaca podataka, odnosno u obavezu vaše firme:
Pravo ispitanika na informiranje o obradi ličnih podataka
Pravo ispitanika na informisanje o obradi ličnih podataka jedno je od osnovnih prava koje Zakon garantuje svakoj fizičkoj osobi čiji se lični podaci obrađuju.
U suštini, u politici privatnosti vaše firme, između ostalog treba biti navedeno I da fizička lica čije podatke obrađujete imaju pravo na:
- pristup svojim podacima
- prenosivost svojih podataka (o ovome više u nastavku teksta)
- informacije o svrsi obrade njihovih podataka
- informacije o roku čuvanja tih podataka
Sada prelazimo na drugo pravo koje trebate obuhvatiti politikom privatnosti vaše firme, a to je pravo na izmenu podataka.
Pravo na izmenu podataka
Pravo na izmenu podataka podrazumeva pravo lica čiji se podaci obrađuju da zahtevaju njihovu ispravku, ukoliko su prikupljeni podaci netačni.
Takođe, ono obuhvata i pravo na dopunu podataka koji su nepotpuni.
Pravo na ograničenje obrade
Pravo na ograničenje obrade omogućava fizičkim licima čije podatke obrađujete da zatraže da se obrada njihovih ličnih podataka zaustavi, odnosno ograniči u određenim slučajevima.
Tu spadaju slučajevi kada fizičko lice – ispitanik:
- Sumnja u ispravnost prikupljenih podataka
- Smatra da se njegovi podaci nezakonito obrađuju
- Smatra da njegovi podaci nisu više potrebni vašoj firmi za svrhu za koju ste ih prikupili
- Uloži prigovor na obradu njegovih podataka
U ovim situacijama, vaša firma bi mogla I dalje čuvati ove podatke, ali ih ne bi mogla koristiti za druge svrhe.
Ovo sve treba da se nađe u vašoj politici privatnosti, uz konkretizaciju spram specifičnih okolnosti poslovanja vaše firme.
Pravo na prenos podataka
Pravo na prenos podataka jeste pravo koje fizičkim licima – ispitanicima omogućava da preuzmu svoje lične podatke koje su dali vašoj firmi, pa da ih prenesu nekoj drugoj firmi, odnosno drugim rukovaocu.
Na ovaj način se licima čije podatke vaša firme obrađuje obezbeđuje veća kontrola nad sopstvenim ličnim podacima.
Pravo na zaborav
Jedna od obaveza rukovalaca podataka (tj. firmi) jeste i da obavesti ispitanika na njegovo pravo na zaborav, odnosno na brisanje njegovih podataka o ličnosti.
Dakle, u politici privatnosti mora biti navedeno da ispitanik od vaše firme može tražiti uklanjanje svih svojih ličnih podataka, a naročito ako:
- Vam njihov lični podaci više nisu potrebni za svrhu za koju su prikupljeni
- Ispitanik povuče pristanak za obradu podataka
- Ispitanik smatra da ste mu nezakonito obradili lične podatke
- Postoji neka druga zakonska obaveza koja od vas zahteva da izbrišete određene podatke o ličnosti
Generalno, ako fizičko lice da svoje lične podatke prilikom korišćenja neke usluge na internetu, on ima pravo da traži brisanje tih ličnih podataka, s tim da postoje određena ograničenja kada ostvarenje ovog prava nije moguće (npr. ako postoji drugi zakonski osnov za obradu podataka, kao što je legitimni interes ili zarad ostvarivanja slobode izražavanja i informisanja).
Da biste osigurali da vaša firma pravilno postupa sa zahtevima za brisanje podataka i izbegli drakonske novčane kazne usled nepravilnosti, preporučujemo angažovanje advokata za zaštitu podataka o ličnosti.
Pravo na pristanak ispitanika
Pravo na pristanak ispitanika, još poznato kao na pravo na informisan pristanak, podrazumeva da ispitanik – fizičko lice čije podatke obrađujete mora dati dobrovoljnu (slobodnu), informisanu I nedvosmislenu saglasnost na to.
Praksa institucija Evropske Unije je da taj pristanak mora predstavljati aktivnu radnju (opt-in) tako da npr. polje na vašem sajtu gde posetilac treba da klikne “saglasan sam” (eng. I agree) ne sme biti unapred otkačeno, nego je potrebno da posetilac sajta otkači to polje i potom klikne da je saglasan.
Jako je važno da ovo pravo uvrstite u poslovanje svoje firme, s obzirom da vaša firma mora biti u mogućnosti da dokaže da joj je fizičko lice dalo svoj pristanak tj. mora imati neki zapis o tome.
Ovo pravo još prati I pravo na povlačenje pristanka u svakom trenutku, mada sam opoziv ne utiče na zakonitost obrade koja je već obavljena na osnovu informisanog pristanka.
Pravo na prigovor i pravo na pritužbu
Politikom privatnosti vaše firme mora biti predviđeno i pravo na prigovor ispitanika – fizičkog lica.
Pa tako, ukoliko ispitanik ne želi da mu npr. šaljete oglasne materijale, smatra da njegove lične podatke koristite nezakonito zarad profilisanja, ili da način na koji obrađujete njegove podatke krši njegova prava, on ima pravo da podnese prigovor.
U tom slučaju, vaša firma bi mogla biti obavezana da prestane sa obradom prikupljenih podataka, osim ako ima neki važan razlog za nastavak obrade.
Pravo na pritužbu se nadovezuje na pravo na prigovor. Pa tako, ako lice čije podatke obrađujete nije zadovoljno načinom na koji je vaša firma postupila po njegovom prigovoru, on se u vezi toga može obratiti Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.
Unos ovih prava u politiku privatnosti predstavlja još jednu obavezu rukovalaca podacima ispitanika.
Pravo na informacije prilikom prikupljanja podataka o ličnosti od lica na koje se odnose
Kada firma prikuplja podatke o ličnosti od lica na koje se odnose, ona je dužn da u trenutku njihovog prikupljanja tom licu pruži sledeće informacije:
- O Identitetu i kontakt podacima rukovaoca
- O kontakt podacima službenika za zaštitu podataka (DPO)
- O svrsi obrade podataka (npr. kod e-commerce firme bi svrha mogla biti izvršenje isporuke)
- O pravnom osnovu za obradu (npr. pristanak korisnika)
- O trećim licima kojima će firma učiniti dostupne ove lične podatke (npr. dostavna služba)
- O primaocu podataka
- O međunarodnom prenosu podataka
- O roku čuvanja podataka ili kriterijumima za njihovo određivanje
- O gore navedenim pravima ispitanika
- O tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je pak neophodan uslov za zaključenje ugovora
- O tome da li lice na koje se podaci odnose ima obavezu da da podatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju
- O automatizovanom donošenju odluka, ukoliko se firma koristi istim, uz garanciju prava na ljudsku intervenciju.
Dakle, sve ove informacije se moraju naći u politici privatnosti vaše firme.
Kazne za kršenje zaštite podataka o ličnosti
Postoje 3 osnovne kazne za kršenje zaštite podatke o ličnosti, i sve 3 su novčane prirode:
- Prekršajni sud može izreći novčanu kaznu od 50.000,00 do 2.000.000,00 dinara pravnim licima koja krše zaštitu podataka o ličnosti. Ova kazna može biti i duplo viša, u slučaju da dođe do više povreda.
- Fizička lica koja ne čuvaju podatke o ličnosti kao profesionalnu tajnu mogu biti kažnjena iznosom od 5.000,00 do 150.000,00 dinara.
- Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti može putem prekršajnog naloga kazniti pravna lica sa dodatnih 100.000,00 dinara za nepoštovanje obaveza prema Zakonu o zaštiti podataka o ličnosti.
Napomena: Zbog komentara kako aktuelne propisane kazne nisu dovoljno velike za “gigante”, stručna javnost Srbije, kao i sam poverenik, složili su se da su potrebne izmene aktuelnog zakona u ovom delu. S tim u vezi, u planu je usklađivanje našeg zakona sa GDPR-om u pogledu iznosa kazni, što bi značilo da bi kazne za velike kompanije mogle da iznose čak 20.000.000 evra ili 4% njihovog godišnjeg prometa, u zavisnosti od toga koji je iznos viši.
Da izbegnete da i vaša firma postane meta visokih kazni zbog nepravilnog postupanja sa podacima o ličnosti, što pre kontaktirajte advokata za zaštitu podataka o ličnosti da vam sastavi politiku privatnosti u skladu sa zakonom i drugim važećim propisima.
Advokat za zaštitu podataka o ličnosti
Nakon brojnih skandala u vezi zaštite podataka o ličnosti, uključujući skandal sa nekadašnjim Facebook-om (današnja Meta) kada su se milioni korisničkih podataka našli u pogrešnim rukama, privatnost na internetu postala je nužnost koju korisnici zahtevaju od firmi, a koje su one primorane da pruže kako bi zadržale povjerenje potrošača.
Politika privatnosti, koja je nekada bila zanemarljiv pravni dokument, danas je postala ključni element povjerenja između firmi i korisnika i nešto što je “must-have” za sve kompanije koje obrađuju lične podatke svojih kupaca.
Bilo da želite da angažujete advokata kao lice za zaštitu podataka o ličnosti vaše firme, ili vam je potrebno kreiranje politike privatnosti za vašu firmu, slobodno kontaktirajte Advokatsku kancelariju Pekić putem mejla: [email protected]
