Zakon o zaštiti podataka o ličnosti Republika Srbija je usvojila 2018. godine. Zakon se oslanja na odredbe Opšte uredba o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR) koja je usvojen na nivou Evropske Unije (EU) kako bi se zaštitila prava građana EU na privatnost, kako je to garantovano Evropskom konvencijom o ljudskim pravima.

Zakon omogućava građanima na koje se ti podaci odnose zaštitu prava u vezi sa njihovim podacima, na način da se svi subjekti koji na bilo koji način obrađuju njihove podatke pridržavaju principa privatnosti, da imaju pravni osnov za obradu tih podataka, da budu transparentni u vezi sa praksama obrade, da ih obrađuju na način i pod uslovima koje propisuje Zakon i da prijavljuju povrede podataka.

Zakon se primenjuje na obradu podataka o ličnosti koju vrši bilo koji rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije.

Ovaj zakon se takođe primenjuje i na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu, kao i za praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.

Ovaj poslednji kriterijum je pomalo široko postavljen, pa će u praksi često od slučaja do slučaja biti procenjivano šta je taj ključni faktor u određivanju da li su ciljna grupa građani Srbije ili EU, kada je u pitanju GDPR. Ovde je najbitnija namera koja se vidi u tome, na primer, kojim jezikom se obraća onaj koji nudi neki proizvod ili uslugu, koja je valuta plaćanja i slično.

U ovom trenutku Zakon u Republici Srbiji još uvek nije zaživeo na način kako se to očekivalo prilikom donošenja, a posebno nije u primeni na način kako se adekvatan propis primenjuje u EU. Dakle, krećemo se malim koracima, ali se ipak krećemo.

Svaka informacija koja može identifikovati osobu smatra se podatkom o ličnosti. Evo samo nekoliko primera: Ime i prezime, Jedinstveni matični broj građana, Adresa, Email adresa, Broj telefona, IP adresa, Lokacija, Pol

Zakon uglavnom uključuje tri strane: lice na koje se podaci odnose, rukovalac podataka i obrađivač podataka.

Lice na koje se podaci odnose je osoba čiji se podaci o ličnosti obrađuju, drugim rečima, vlasnik ličnih podataka. Na primer, kada posetilac da svoje ime i kontakt telefon kako bi rezervisao sto u restoranu, taj posetilac je vlasnik podataka.

Rukovalac podataka je lice koje kontroliše i donosi odluke u vezi sa podacima o ličnosti prikupljenim od vlasnika podataka. U prethodnom primeru, vlasnik restorana je rukovalac podataka.

Obrađivač podataka obrađuje podatke o ličnosti u ime rukovalaca podataka. Na primer, onaj koji je vlasnik aplikacije za rezervaciju stola u restoranu obrađuje podatke o ličnosti u ime restorana.

Posledice nepoštovanja Zakona u Srbiji mogu biti ozbiljne, a najvažniji rizik je reputacioni rizik. Ako onaj koji obrađuje podatke ne poštuje Zakon, klijenti i partneri mogu izgubiti poverenje, što može imati dugoročno negativne posledice za poslovanje, čak i ako se izbegnu direktne kazne.

Pored toga, Zakon predviđa i prekršajnu odgovornost. Za pravna lica koja ne poštuju pravila obrade podataka, mogu se izreći kazne u rasponu od 50.000 do 2.000.000 dinara.

Takođe, mogu se izreći novčane kazne koje određuje Poverenik za zaštitu podataka tokom inspekcijskog nadzora.

Naknada štete je još jedna posledica - lica čiji su podaci nepravilno obrađeni imaju pravo na nadoknadu štete, bilo da je materijalna ili nematerijalna.

Iako novčane kazne mogu biti visoke, reputacioni gubitak može biti najveća posledica, posebno za one koji zavise od poverenja svojih klijenata, a to smo više-manje svi.

Zakon daje sledeća prava vlasnicima podataka: Lica čiji se podaci obrađuju imaju pravo da dobiju informacije o obradi, uključujući vrste podataka koji se prikupljaju, razloge za prikupljanje i period čuvanja podataka.

Lica na koja se podaci odnose mogu da pristupe kopiji svojih podataka koji se obrađuju.

Mogu zatražiti da se isprave netačne ili nepotpune informacije.

Vlasnik podataka ima pravo da bude zaboravljen zahtevajući brisanje svih podataka o ličnosti koji se odnose na njega.

Omogućava licima na koje se podaci odnose da ograniče/zaustave obradu svojih podataka u određenim okolnostima, kao što su kada je obrada nezakonita ili podaci više nisu potrebni.

Vlasnik podataka koji daje svoje podatke ima pravo da ih dobije u mašinski čitljivom i prenosivom formatu ako je obrada automatizovana i zasniva se na njegovoj saglasnosti ili ugovoru.

Vlasnici podataka imaju pravo da se protive obradi svojih podataka u određenim okolnostima. Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu svojih podataka o ličnosti, koja se vrši u skladu sa javnim interesom ili izvršavanjem zakonskih ovlašćenja rukovaoca, odnosno legitimnim interesima rukovaoca ili treće strane, kao pravnim osnovima obrade.

Takođe imaju pravo da izbegnu donošenje odluka koje se zasnivaju isključivo na automatizovanoj obradi, osim u određenim slučajevima, kao što je kada je data izričita saglasnost.

Saglasnost je važan pravni osnov za obradu. Podaci o ličnosti mogu da se obrađuju uz izričitu saglasnost vlasnika podataka, dato bez prinude, sile ili uticaja onoga koji podatke obrađuje. Ukratko, vlasnik podataka mora imati stvarni izbor.

Saglasnost prema Zakonu definisana je kao slobodno data, informisana, specifična i nedvosmislena afirmativna radnja vlasnika podataka kojom on izražava svoju volju da se njegovi podaci obrade. Zakon ne dozvoljava da se saglasnost pretpostavlja.

Pravni osnov obrade su osnovne tačke Zakona i čine obradu podataka o ličnosti zakonitom. To je kao zelena karta koja omogućava aktivnosti obrade podataka. Obrada ličnih podataka je dozvoljena i zakonita samo ako postoji pravni osnov, odnosno ako je ispunjen jedan od sledećih uslova:

Lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha.

Obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora.

Obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca.

Obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica.

Obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.

Obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.

Kratak odgovor je da. Mogu se obrađivati podaci o ličnosti ako je zadovoljen bilo koji od drugih pravnih osnova. Na primer, da biste ispunili ugovornu obavezu ili da biste sklopili ugovor. Drugi primer je usklađivanje sa zakonskom obavezom, sudski nalog i slično. Poslovni subjekti takođe koriste legitimni interes kao pravni osnov. Takva upotreba mora biti u skladu sa očekivanjima korisnika i mora proisteći iz odnosa između rukovalaca podataka i vlasnika podataka. Na primer, korišćenje ličnih podataka za prevenciju prevare ili direktni marketing.

Ovo je vrlo često postavljano pitanje u vezi sa primenom Zakona na internetu. Iskačuća poruka o kolačićima (cookie pop-up) je poruka koja obaveštava posetioce o kolačićima koje koristite na svom sajtu. Ona poboljšava transparentnost, gradi poverenje i omogućava posetiocima sajta da donesu informisane odluke. Iako može biti frustrirajuća za neke korisnike, iskačuća poruka o kolačićima je značajna. U svakom slučaju, obzirom da je regulisanje kolačića do te mere već standardizovano na nivou EU i ovi standardi su postali deo široko prihvaćene dobre poslovne prakse odgovor na ovo pitanje treba da bude zapravo vrlo jednostavan, da, iskačuće poruke su neophodne i naša su srdačna preporuka čak i u situaciji kada bismo mogli da ulazimo u fleksibilnija tumačenja konkretnog slučaja.

Navigacija kroz zahteve Zakona i implementacija mera usklađenosti može biti izazovan zadatak za početnike. Međutim, podsećamo vas da je ovo sigurno vredna investicija.

Evo nekoliko ključnih stvari koje treba uzeti u obzir prilikom pokretanja postupka usklađivanja sa Zakonom:

Pravna svest: Upoznajte se sa Zakonom. Možete početi sa blogovima i drugim resursima, konsultovati se sa pravnim stručnjakom ili imenovati osobu odgovornu za obezbeđivanje usklađenosti.

Revizija podataka: Sprovedite temeljnu analizu protoka podataka i održavajte ažuriranu listu svojih aktivnosti obrade podataka. Ovo se uglavnom odnosi na pravne subjekte sa više zaposlenih, ali je preporučena praksa za sve.

Pravna osnova: Opravdajte svoje aktivnosti obrade podataka sa jednom od zakonskih osnova za obradu.

Sigurnost podataka: Implementirajte bezbednosne mere na organizacionom, fizičkom i tehničkom nivou. Primeri uključuju pseudonimizaciju, enkripciju, jake lozinke i obuku zaposlenih.

Održavanje transparentnosti: Pripremite lako razumljivu politiku privatnosti koja sadrži informacije o vrstama podataka koje prikupljate, svrsi prikupljanja, kome ćete deliti podatke, pravima vlasnika podataka, kako ih mogu ostvariti, itd.

Zahtevi za pristup podacima vlasnika: Obezbedite jednostavna i pogodna sredstva za podnošenje zahteva, kao što su besplatni brojevi, aktivne email adrese, veb forme, i slično.

Procene uticaja: Analizirajte bilo kakve rizike povezane sa obradom podataka, naročito specijalne kategorije podataka. Prioritet dajte merama za smanjenje rizika gde god je to primenljivo.

U svakom slučaju, budite slobodni i da se obratite našem timu za svaku vrstu pomoći, počevši od konsultacija koje Vas, osim vremena, neće koštati apsolutno ništa, a dobićete jasnu sliku i razumevanje.

Imenovanje lica (službenika) za zaštitu podataka (DPO) obavezno je samo u sledećim situacijama:

Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose.

Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u obradi posebnih vrsta podataka o ličnosti.

U svakom slučaju, čak i ako nije zakonski obavezno, imenovanje DPO-a je dobra praksa.

Ukoliko se dogodi povreda podataka, narednih 72 časa su ključna. Evo nekoliko koraka kako da postupite u vezi sa povredama na najbolji mogući način:

Potvrdite da je došlo do povrede. Preduzmite sve moguće potrebne korake da ublažite posledice i smanjite rizik, odvajajući baze podataka koje nisu pogođene i ograničavajući pristup kompromitovanim podacima.

Prikupite sve informacije o povredi podataka, uključujući datum i vreme. Analizirajte povredu i pokušajte da razumete razlog. Zatim procenite nivo rizika i implementirajte mere za otklanjanje posledica.

Ako povreda podataka nosi visok rizik i utiče na prava i slobode vlasnika podataka, obavestite pogođene osobe i odgovarajuće DPO-e.

Prodiskutujte zašto je do incidenta došlo i kako je mogao biti izbegnut. Proces pregleda je ključan jer pruža uvid u povredu podataka, preduzete korake, uspehe i neuspehe, kao i brzinu u rešavanju povrede.

Podaci o ličnosti su bilo koje informacije koje mogu identifikovati osobu, kako je to već objašnjeno u nekom od prethodnih odgovora. Zakon stvara potkategoriju podataka o ličnosti koja zahteva dodatnu zaštitu, poznatu kao posebna vrsta podataka o ličnosti. Povreda njihove poverljivosti može značajno negativno uticati na vlasnike podataka, uzrokujući rizike poput diskriminacije ili narušavanja osnovnih prava.

Takozvani osetljivi podaci uključuju podatke o ličnosti koji otkrivaju rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, genetski i biometrijski podaci, podaci o zdravstvenom stanju ili seksualnom životu ili seksualnoj orijentaciji lica.

Ukratko, da. Ako se podaci o ličnosti obrađuju, postoji obaveza obuke zaposlenih.

Iako odredbe Zakona ne nalažu ovu obavezu eksplicitno, one zahtevaju implementaciju tehničkih i organizacionih bezbednosnih mera. Kada se tumačenje Zakona poveže sa smernicama EU, obuka o Zakonu postaje neizbežna.