Evropska Unija počela je 2018. godine da primenjuje Opštu uredbu o zaštiti podataka o ličnosti, odnosno GDPR. To je donelo i značajne promene u pravima i obavezama na internetu, a sve sa ciljem unapređenja zaštite podataka o ličnosti.
Od početka primene, mnoge države su pokušale da usklade svoje zakonodavstvo iz oblasti zaštite podataka o ličnosti sa GDPR-om, uključujući i Republiku Srbiju. Sledstveno, i kompanije koje nisu iz Evropske Unije, pokušale su da prilagode svoje poslovanje standardu GDPR-a.
Šta se smatra obradom podataka o ličnosti?
Obradom podataka o ličnosti se smatra svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje.
Drugim rečima, manje-više svaki kontakt sa podacima o ličnosti, kako zaposlenih, tako i trećih lica.
Šta je potrebno da bi kompanija bila usklađena sa Zakonom o zaštiti podataka o ličnosti?
Prethodnih meseci kompanije koje obrađuju podatke o ličnosti najčešće nisu obraćale veliku (ili, ako ćemo biti u potpunosti iskreni – najčešće nikakvu) pažnju na zakonitost takve obrade. Ipak, ovakva praksa bi se sva je prilika, mogla okončati vrlo brzo.
S tim u vezi želim da istaknem da je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (Poverenik), u skladu sa svojim ovlašćenjima za vršenje inspekcijskog nadzora nad sprovođenjem odredaba Zakona, započeo aktivnost dostavljanja e-mailova kompanijama iz različitih delatnosti, tražeći od njih da izvrše samoprocenu svoje usklađenosti sa Zakonom.
Da bi izvršile samoprocenu, kompanije moraju da popune određenu Kontrolnu listu koju im je dostavio Poverenik (ali i koja je objavljena na sajtu Poverenika) da bi samostalno analizirale svoje poslovanje i aktivnosti u vezi sa zaštitom podataka o ličnosti, kao i da bi procenile da li i u kojoj meri ispunjavaju obaveze predviđene Zakonom.
Postoji li neka metrika po kojoj će kompanije izvršiti samoprocenu?
Prilikom popunjavanja Kontrolne liste, svaki odgovor se boduje određenim brojem bodova. Rezultat je stvar obrnute proporcije. Što više bodova se postigne, rizik nezakonite obrade je manji. Ipak, iako je u pitanju samoprocena, odgovornost se ne može jednostavno zaobići. To zato što Poverenik zadržava diskreciono pravo da proveri istinitost odgovora vršeći terenski nadzor, prilikom koga se proverava objektivnost iz pruženih odgovora.
Kompanija koja popunjava Kontrolnu listu, mora istu dostaviti Povereniku u roku od 7 dana od dana prijema iste.
Da bi postigle što više bodova na Kontrolnoj listi, kompanije moraju da se pridržavaju obaveza propisanih Zakonom, što dalje znači da moraju imati adekvatne interne akte koji regulišu obradu podataka o ličnosti, moraju obratiti posebnu pažnju na eventualnu obavezu imenovanja i registrovanja Lica za zaštitu podataka (Data Protection Officer – DPO) koje je prva linija kontakta sa Poverenikom, koje može biti zaposleno u kompaniji, ali i angažovano po osnovu ugovora. Ono što je važno je da takvo lice poseduje stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti. Na samom kraju, ako kompanije imenuju obrađivače podataka (obrađuju podatke o ličnosti u ime rukovaoca), taj međusobni odnos treba regulisati ugovorom (Ugovor o obradi podataka o ličnosti).
A šta ukoliko kompanije ne prikupe dovoljno bodova?
To je indikator postojanja visokog ili kritičnog nivoa rizika za zaštitu podataka o ličnosti.
To pali crvenu lampicu kod Poverenika koji tada kreće u inspekciju tokom koje utvrđuje koje su odredbe Zakona prekršene. Po pojedinačnom prekršaju, Zakonom propisane novčane kazne kreću se u rasponu od 50.000 dinara (430 EUR) do 2 miliona dinara (17 000 EUR) za pravno lice. Svakako, posledice tako visokih novčanih kazni mogu biti značajne za finansijsko poslovanje kompanije, ali treba napomenuti i to da, naročito kod većih i poznatijih kompanija, postoji i nešto gore od novčane kazne – reputacioni rizik. I to treba izbeći.
Zaključak?
Da se ne biste svrstali u kategoriju kritičnih subjekata, preporučuje se donošenje internih akata, imenovanje DPO-a, uvođenje zaštitnih mera propisanih Zakonom i uređivanje odnosa sa obrađivačima podataka (knjigovođe, HR agencije i sl.) detaljnim ugovorima i konačno sprečavanje potencijalnih negativnih posledica koje nisu beznačajne.
** Lukin rad najbolje ćete pratiti kada se povežete sa njim na Linkedinu.
Ako Vam se dopao ovaj intervju i pronašli ste neku vrednost za sebe, dodatne resurse možete pogledati na mom BLOGU.
U pitanju je još nekoliko sjajnih intervjua koje sam uradio sa dokazanim poslovnim ljudima i nekoliko realnih industrijskih studija slučaja.
Ako osećate da na bilo koji način mogu da dodam vrednost Vašoj karijeri ili razvoju biznisa, možete me zapratiti OVDE ili OVDE.