ZAŠTITA PODATAKA O LIČNOSTI

katanac i tastatura

Čuvena uredba Evropske unije GDPR, revidirala je način na koji firme obrađuju i rukuju podacima o ličnosti. Zaštita podataka o ličnosti je postala jedna od gorućih tema poslovanja kompanija. Zaštita podataka obuhvata prava fizičkih lica u vezi sa obradom njihovih podataka o ličnosti, bezbednost podataka, kao i obaveze rukovalaca podacima. GDPR je najsveobuhvatniji zakon o privatnosti i bezbednosti podataka na svetu, i nameće obaveze svim kompanijama koje prikupljaju podatke o licima koja se nalaze u EU, pa tako i kompanijama iz Srbije koje obrađuju podatke lica iz EU. Zaštita podataka o ličnosti u digitalnom dobu nosi sa sobom posebne izazove, te je logičan sled da i naša zemlja donese regulativu koja obezbeđuje bezbednost podataka. Ugledajući se na GDPR, Srbija je 2018. godine donela Zakon o zaštiti podataka o ličnosti Srbije, kojim se između ostalog regulišu zaštita podataka o ličnosti, prava lica na koje se ti podaci odnose, prikupljanje i obrada ličnih podataka i obaveze rukovalaca podacima, pristanak ispitanika, sigurnost podataka, izvođenje podataka iz zemlje, kao i kazne za kršenje zaštite podataka o ličnosti.

Šta je „podatak o ličnosti“?

Podatak o ličnosti, u smislu Zakona o zaštiti podataka o ličnosti Srbije, je svaki podatak koji je određen ili odrediv na neposredan ili posredan način i na osnovu kojeg se može identifikovati određeno fizičko lice. Ovi podaci mogu biti na primer: ime, prezime, JMBG, broj lične karte, adresa stanovanja, zdravstveni karton, opis fizičkih ili psiholoških karakteristika, mejl adresa, istorija aktivnosti na internetu (šerovi, lajkovi, klikovi), istorija pretrage interneta, IP adresa kompjutera ili smartfona i slično. Ako su uređaj ili pretraživač personalizovani, onda i kolačići (na engleskom:cookies) preuzeti sa sajtova spadaju u podatke o ličnosti.

Ko su lica na koja se podaci odnose?

Lica na koja se podaci odnose su isključivo fizička lica. Ovo znači da pravna lica, ni u kojoj formi, ne uživaju zaštitu podataka u smislu Zakona o zaštiti podataka o ličnosti Srbije.

Obaveze rukovalaca podacima

Pravo da obrađuju podatke o ličnosti (na primer prikupljanje, beleženje, upotreba podataka, i slično) imaju i pravna i fizička lica, i ova lica se, u smislu Zakona o zaštiti podataka o ličnosti Srbije, mogu pojaviti kao rukovaoci ili obrađivači. Često je sam pojam “obrada podataka” nedovoljno jasan. Bitno je znati da i sam uvid u podatke predstavlja obradu podataka o ličnosti. „Obrada“ asocira na aktivno ponašanje, ali pod obradom podataka se mogu smatrati i pasivne radnje, poput čuvanja i skladištenja podataka. Rukovalac je fizičko lice ili kompanija koji određuje svrhu i način obrade, dok je obrađivač fizičko ili pravno lice koje obrađuje podatke o ličnosti u ime rukovaoca. Rukovalac određuje „zašto“ i „kako“ se podaci prikupljaju i čuvaju. S druge strane, obrađivač nema kontrolu nad obradom podataka, niti donosi bitne odluke o tome zbog čega, kako i koliko dugo se podaci obrađuju, već po svim ovim pitanjima postupa isključivo po instrukcijama koje mu je dao rukovalac. Obaveze rukovalaca podacima obuhvataju preduzimanje odgovarajućih tehničkih, organizacionih i kadrovskih mera kako bi rukovalac obezbedio da se Zakon o zaštiti podataka o ličnosti Srbije u celosti ispoštuje. Rukovalac je takođe dužan da obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svrhe obrade, kao i da se podaci koriste za svrhu za koju je lice dalo saglasnost. Na primer, prilikom online kupovine, kupci neretko ostavljaju svoju mejl adresu u cilju registracije naloga – to je svrha ostavljanja mejl adrese. To ne znači da prodavac može da koristi ovu mejl adresu kupca kako bi mu slao ponude i akcije, imajući u vidu da kupac nije ostavio svoj “podatak o ličnosti” za tu svrhu. U ovom primeru, firma koja je vlasnik internet sajta je rukovalac podataka svojih kupaca. Podaci o ličnosti se prikupljaju i putem kolačića (eng. cookies) koje internet sajt prikuplja. U pogledu svake obrade rukovalac mora biti transparentan.

Lice za zaštitu podataka o ličnosti

Kako bi bili sigurni da su sve odredbe vezane za prikupljanje i obradu ličnih podataka ispoštovane, rukovalac i obrađivač mogu da imenuju lice za zaštitu podataka o ličnosti. U pitanju je fizičko lice, koje je ili zaposleno kod rukovaoca ili obrađivača, ili neko lice koje je eksterno angažovano – Ugovorom o delu na primer. Neretko kao lice za zaštitu podataka o ličnosti je imenovan advokat. Lice za zaštitu podataka o ličnosti ne mora nužno da ima pravničko obrazovanje, ali imajući u vidu dužnosti lica propisane Zakonom o zaštiti podataka o ličnosti Srbije, pravničko iskustvo u pogledu poznavanja procedura, davanja mišljenja, sastavljanja podnesaka i slično, je svakako neophodno za adekvatno obavljanje ovog posla.

Lice za zaštitu podataka o ličnosti može da obavlja i druge poslove, ali tako da druge obaveze ne dovedu do sukoba interesa. Recimo, lice za zaštitu podataka ne bi moglo da bude lice zaposleno kod rukovaoca koje u njegovo ime određuje svrhu i način obrade podataka o ličnosti.

Ovo lice ima odgovornost da informiše i daje mišljenje rukovaocu ili obrađivaču o njihovim zakonskim obavezama, a sve kako bi zaštita podataka o ličnosti bila adekvatno ispunjena. Osim toga, lice za zaštitu podataka o ličnosti predstavlja kontakt tačku za saradnju sa Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti. Angažovanje lica za zaštitu podataka o ličnosti je često stvar izbora rukovaoca i obrađivača, međutim Zakon o zaštiti podataka o ličnosti Srbije propisuje kada je neophodno da se angažuje lice za zaštitu podataka.

To su sledeći slučajevi:

  1. obrada se vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
  2. osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose – na primer internet provajderi, koji se primarno bave osnovnim aktivnostima obrađivača koje najčešće podrazumevaju redovan i sistemski nadzor velikog broja lica;
  3. osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti (obrada koja otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica) ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu. Jedan od primera iz prakse kada je obavezno da se odredi lice za zaštitu podataka o ličnosti, jeste vezan za apoteke privatne prakse, ako obavljaju delatnost izdavanja lekova putem e-recepta, jer tada obradu podataka vrši u velikom obimu.

Pravni osnovi za obradu ličnih podataka

Pravni osnovi za obradu ličnih podataka su definisani Zakonom o zaštiti podataka o ličnosti Srbije, i jedino je zakonita obrada čije su uporište pravni osnovi za obradu ličnih podataka. Da bi se obezbedila zakonita zaštita podataka, potrebno je da obrada bude:

  1. urađena na izričit pristanak ispitanika;
  2. neophodna radi izvršenja obaveza koje su preuzete ugovorom ili drugih radnji na zahtev ispitanika – na primer izvršenje obaveza po osnovu Ugovora o radu (ime i prezime, bankovni račun, i slično);
  3. neophodna radi ispunjenja obaveza rukovaoca;
  4. neophodna radi zaštite životno važnih interesa ispitanika ili drugog fizičkog lica (u pitanju su zapravo situacije života i smrti: recimo, obrada je neophodna za prevenciju i borbu protiv epidemija);
  5. neophodna radi vršenja poslova od javnog unteresa ili zakonskih obaveza rukovaoca – najčešće prikupljanje i obrada ličnih podataka u vezi sa zakonskim obavezama propisanim Zakonom o radu i zakonima koji regulišu penzijsko, zdravstveno i invalidsko osiguranje, ili obaveza banaka da prikupe zakonom propisane podatke od konkretnog lica ukoliko se primenjuju odredbe usmerene na sprečavanje pranja novca i finansiranje terorizma);
  6. neophodna radi ispunjenja legitimnih interesa rukovaoca ili trećeg lica, osim ako postoje interesi ispitanika koji su pretežniji od legitimnih interesa rukovaoca ili trećeg lica, naročito ako je ispitanik maloletnik – najčešće u pogledu zaštite imovine i sigurnosti poslodavca (ograničeni video nadzor i slično).

Iako svaki od gore navedenih pravnih osnova za obradu podataka zaslužuje posebnu pažnju, u ovom blogu ćemo veću pažnju posvetiti pristanku ispitanika kao uslovu za zakonitu obradu i zaštitu podataka, imajući u vidu da je on najneadekvatniji osnov za prikupljanje i obradu ličnih podataka, te kompanija mora biti naročito pažljiva.

Pristanak ispitanika

Pristanak ispitanika je jedan od šest mogućih pravnih osnova za obradu podataka o ličnosti. To je zapravo izjava volje lica kojom ono dopušta da se njegovi podaci obrađuju za tačno određene svrhe. Pristanak ispitanika mora da proizlazi iz slobodno izražene volje lica na koje se podaci koji se obrađuju odnose, da bude dobrovoljan, određen, nedvosmislen, i informisan pristanak. Kada se radi procesuiranje podataka o ličnosti, a zasniva se na pristanku ispitanika, rukovalac mora da ima mogućnost da dokaže da je ispitanik dao pristanak na obradu njegovih ličnih podataka, tj. pristanak mora biti dokumentovan.

Pristanak ispitanika se može dati u više oblika. Jedan od najčešćih primera za davanje pristanka ispitanika je uslovljavanje pristupanja i korišćenja određenih internet stranica pristankom ispitanika. To se najčešće čini uslovljavanjem pristupa internet stranici prihvatanjm „politike privatnosti“ (privacy policy) te stranice. Pristanak se daje „štikliranjem kućice“ pored koje piše da njenim „štikliranjem“ prihvatamo politiku privatnosti te internet stranice, odnosno kompanije ili drugog subjekta čija je internet stranica. Čak se u praksi EU konstatovalo da „kućica“ ne sme biti unapred „štiklirana“, nego se zahteva da polje bude prazno pa da ispitanik mora svojevoljno „štiklirati“ polje, odnosno pristanak ispitanika mora biti aktivan i nedvosmislen.

Pristankom kao pravnim osnovom za obradu ličnih podataka se ne može raspolagati, tj. ne može se ustupati drugom rukovodiocu, niti se može preuzimati od drugog rukovodioca – na primer u slučaju prenosa celokupnog poslovanja sa jednog na drugo pravno lice.

Naravno, svaki pristanak ispitanika se može opozvati od strane ispitanika koji je dao pristanak, bez posledica po položaj tog lica, u svakom momentu. Opoziv pristanka ispitanika svakako ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Opozivanje mora biti jednostavno, te kada se pristanak daje putem interneta, klikom na opciju za davanje pristanka, licima čiji se podaci obrađuju mora da bude omogućeno da na jednako jednostavan način mogu i da povuku pristanak. Ukoliko ne postoji drugi pravni osnov za obradu podataka o ličnosti od strane rukovaoca, opoziv pristanka mora da ima za posledicu brisanje podataka o ličnosti i prestanak bilo kakve druge aktivnosti u vezi sa podacima lica koje je opozvalo svoj pristanak.

Izjava volje lica bez mogućnosti njene izmene ili opoziva, tako da to ne prouzrokuje pravne posledice po položaj tog lica ne može se smatrati punovažnim pristankom, a ovo naročito treba imati u vidu kada je u pitanju prikupljanje i obrada ličnih podataka zaposlenih od strane poslodavca. U ovom odnosu pitanje dobrovoljnosti davanja pristanka od strane zaposlenog je posebno upitna, imajući u vidu da će zaposleni malo verovatno uskratiti poslodavcu pristanak za obradu podataka bez straha od posledica, te osnov prikupljanja i obrade ličnih podataka zaposlenih ne bi smeo biti pristanak ispitanika – zaposlenog.

Da bi se smatralo da je pristanak ispitanika slobodno dat, mora se posebno voditi računa o tome da li se izvršenje ugovora, uslovljava davanjem pristanka koji nije neophodan za izvršenje tog ugovora. Na primer, ako je zaključenje ili izvršenje ugovora o pružanju usluga uslovljeno davanjem pristanka lica za obradu podataka u svrhu direktnog marketinga, takav pristanak se ne smatra dobrovoljnim.

Pravo na zaborav

Pravo na zaborav je sa razvojem i ekspanzijom zaštite podataka dobilo široku primenu u teoriji i praksi. Pod „pravo na zaborav“ misli se na pravo određenog lica da zahteva od rukovaoca da izbriše raspoložive podatke o ličnosti ispitanika, u slučaju da postoji zakonom dozvoljen osnov.

Zakon o zaštiti podataka o ličnosti Srbije predviđa koji su to osnovi:

  1. Prestala je potreba zbog kojeg su lični podaci dati;
  2. Pristanak ispitanika je opozvan od strane ispitanika u skladu sa zakonom, a ne postoji ni jedan drugi osnov za obradu ličnih podataka;
  3. Ispitanik je podneo prigovor na obradu u skladu sa zakonom o zaštiti podataka;
  4. Nezakonita obrada ličnih podataka;
  5. Lični podaci moraju biti izbrisani radi izvršenja zakonskih obaveza rukovaoca;
  6. Podaci su prikupljeni od strane maloletnika koji je navršio 15 godina, radi korišćenja internet usluga (na primer: google pretraživnje, hoteli pri rezervaciji i sl.)

Međutim, pravo na zaborav nije apsolutno, odnosno pravo na zaborav trpi određena ograničenja, i jedno od tih ograničenja jeste ostvarivanje slobode izražavanje i informisanja. U slučaju koji se vodio pred Poverenikom za zaštitu podataka o ličnosti odbijen je zahtev za ostvarivanje prava na zaborav, jer je traženo brisanje podataka o ličnosti od novinarskog portala koji je napisao članak o određenom licu koje je bilo direktor kompanije, a takvo brisanje bi osujetilo ostvarivanje slobode izražavanja i informisanja. Novinarski izuzetak je pravilo predviđeno Zakonom o zaštiti podataka o ličnosti Srbije prema kome se, pod određenim okolnostima, na novinarsko istraživanje i objavljivanje informacija u medijima ne primenjuju obaveze povodom zaštite ličnih podataka kao kod ostalih rukovalaca. Prema tome, u slučaju da neko želi da podnese zahtev da se obrišu njegovi podaci, odnosno podnese zahtev radi ostvarivanja prava na zaborav, poželjno je da se konsultuje sa advokatom ili stručnim licem za zaštitu podataka radi konsultovanja o postojanju određenih ograničenja u ostvarivanju prava na zaborav.

Zaštita podataka u medicini

Kao što je svima poznato, u medicini se vrlo često „barata“ vrlo osetljivim ličnim podacima, te je zaštita podataka u medicini i bezbednost podatka od krucijalne važnosti.

Nedavno, Zdravstvena ustanova u Republici Srbiji je bila opomenuta od strane Poverenika za zaštitu podataka o ličnosti, jer je u medicinski karton jednog lica, uvid mogao da izvrši bilo koji radnik u toj ustanovi. Podsećamo da uvid u podatak o ličnosti, a bez pristanka ispitanika ili bez drugog pravnog osnova, predstavlja nezakonitu obradu ličnih podataka.

Dalje, s obzirom da je zdravstvena ustanova imala svojstvo rukovaoca, jer ona obrađuje lične podatke, imala je obavezu da obezbedi sve neophodne uslove (kadrovske, informatičke i sl.) da se obezbedi zakonita i bezbedna obrada ličnih podataka pacijenata.

Posmatrajući prirodu povrede zaštite podataka u ovom slučaju, do rešenja zašto je ovakvo postupanje zdravstvene ustanove bilo nezakonito, možemo doći postavljanjem pitanja: Da li je pacijent dao svoje lične podatke zdravstvenoj ustanovi kako bi samo lekari koji ga pregledaju i druga pomoćna lica mogla da ostvare uvid u njegove podatke ili je želeo da svi koji rade u toj ustanovi mogu da imaju pristup njegovim/njenim ličnim (i osetljivim) podacima?

Ovo predstavlja samo jedan od načina na koji se može nezakonito izvršiti procesuiranje podataka o ličnosti u medicini. Da bi se obezbedila zaštita podataka u medicini, sve zdravstvene ustanove moraju da primene odgovarajuće mere zaštite i obezbede uslove za sigurnost podataka.

Koje korake firma – rukovalac podacima treba da preduzme za zaštitu podataka?

Zakon o zaštiti podataka o ličnosti Srbije ne propisuje egzaktne korake koje bi kompanija trebalo da preduzme kako bi prikupljanje i obrada ličnih podataka bila zakonita. Koraci za sigurnost podataka se izvode iz načela koja Zakon propisuje. Zakonitost, poštenje i transparentnost čine osnovna načela kojim moraju da se vode rukovaoci podacima, a ono između ostalog podrazumeva da lica čiji se podaci obrađuju moraju imati potpuna i jasna obaveštenja u vezi sa prikupljanjem i obradom ličnih podataka, i da rukovaoci moraju imati pošten odnos prema tim licima. Kompanija bi svakako trebalo da krene od toga da utvrdi koji se to lični podaci prikupljaju, gde su ti podaci sačuvani, te koja lica imaju pristup tim podacima – takozvano mapiranje podataka. Potom, neophodno je da upravljanje podacima bude u skladu sa načelima Zakona, odnosno da se napravi spisak lica čiji se podaci obrađuju, da se utvrdi po kom osnovu i u koju svrhu se obrađuju, kao i da se edukuju zaposleni o zakonitom prikupljanju i obradi ličnih podataka. Takođe, potrebno je videti koji su to obavezni dokumenti za zaštitu podataka o ličnosti, te ih izraditi. Osim toga, dokumentovanje kao korak podrazumeva da se sačuvaju zahtevi lica čiji se podaci procesuiraju, kao i dokazi o prenosu podataka trećim licima i izvođenju podataka iz zemlje.

Advokat za zaštitu podataka o ličnosti

Zaštita podataka je svakako novija i izuzetno izazovna oblast za sve kompanije, te je neophodna pomoć advokata kako bi se ispunile sve obaveze kompanija predviđene Zakonom o zaštiti podataka o ličnosti Srbije, izradili interni akti o obradi podataka o ličnosti, obavezni dokumenti za zaštitu podataka o ličnosti, te se izbegle kazne za kršenje zaštite podataka o ličnosti. Bilo da želite da angažujete advokata kao lice za zaštitu podataka o ličnosti vaše firme, ili vam je potrebno savetovanje i kreiranje efikasnih internih procedura za sigurnost podataka, slobodno kontaktirajte Advokatsku kancelarije Pekić putem mejla: [email protected]

Naslovna fotografija: Photo by towfiqu-barbhuiya on unsplash