28 jul 2022

Obaveze kompanija prema Zakonu o zaštiti podataka o ličnosti

Iako Zakon o zaštiti podataka o ličnosti („Zakon“) živi u našem pravnom sistemu već 4 godine, čini se da njegove odredbe još nisu zaživele u punoj meri u praksi niti su se sve kompanije u Srbiji u potpunosti prilagodile njegovim odredbama.

Nepoštovanje obaveza propisanih Zakonom naročito počinje da boli kada se sprovede inspekcijski nadzor od strane Poverenika, koji se ponovo najavljuje. Onda, da se podsetimo, kako bi kompanije trebalo da postupaju prema Zakonu i na šta bi trebalo obratiti pažnju?

 

Povratak na osnovno

Opšte obaveze kompanija zapravo su sadržane u načelima Zakona. Nepoštovanje načela od strane rukovaoca i obrađivača može voditi prekršajnoj odgovornosti.

Prilikom rukovanja podacima o ličnosti, kompanija mora da pre svega vodi računa da se podaci o ličnosti obrađuju zakonito, pošteno i transparentno prema licu na koje se podaci odnose (načelo zakonitosti) i da se podaci prikupljaju u konkretno određene svrhe, koje su izričite, opravdane i zakonite (načelo ograničenja u odnosu na svrhu obrade). Dodatno, podaci koji se prikupljaju moraju biti primereni svrsi obrade (načelo minimizacije podataka). Kompanija mora da obrađuje podatke tako da obezbeđuje zaštitu od nezakonite i neovlašćene obrade, oštećenja, uništenja i slučajnog gubitka (načelo integriteta), da ih čuva u obliku koji omogućava identifikaciju lica samo u roku koji je potreban u svrhe obrade (načelo ograničenja čuvanja). Na kraju, kompanija je dužna da preduzima mere da se netačni podaci blagovremeno isprave, ili, pak, izbrišu (načelo tačnosti).

Nameće se kao centralno pitanje – kada je obrada zakonita? Obrada podataka o ličnosti je zakonita kada se temelji na zaključenju i izvršenju ugovora, poštovanju pravnih obaveza, obavljanju poslova u javnom interesu, legitimni interes rukovaoca, i, na kraju, pristanak lica na koje se odnose podaci koji se prikupljaju. Kakve osobine treba da ima pristanak da bi obrada bila zakonita? Podrazumeva se, mora biti slobodan, ali pored toga, mora biti dat za tačno određenu svrhu.

Kada govorimo o svrsi, šta ukoliko se podaci obrađuju u drugu svrhu osim one za koju su prikupljeni? U tom slučaju, Zakon propisuje da je kompanija dužna da sama oceni da li je ta druga svrha u skladu sa prvobitnom, a naročito se mora uzeti u obzir da li postoji veza između prvobitne svrhe i druge nameravane svrhe, okolnosti u kojima su podaci prikupljeni, prirodu podataka, moguće posledice dalje obrade, i primena odgovarajućih mera zaštite, kao što je, na primer, pseudonimizacija.

Dodatno, kompanija je dužna da preduzima radnje da lice, na koje se podaci odnose, bude obavešteno o tome koji subjekt rukuje podacima, kontakt podacima lica za zaštitu podataka o ličnosti (ukoliko je imenovano), pravnom osnovu obrade i svrsi, o nameri da se podaci izvezu u inostranstvo i relevantnim informacijama u vezi sa takvim postupanjem. Takođe, između ostalog, lice mora da bude informisano o tome da ima pravo da zahteva pristup, brisanje ili ispravku podataka, pravu na prigovor, pravu da opozove pristanak, pravu da podnese pritužbu Povereniku, o roku u kome će se njegovi/njeni podaci čuvati.

 

Posledice nepoštovanja obaveza

  • Prekršajna odgovornost

Zakon predviđa kazne u rasponu od 50.000 dinara do 2.000.000 dinara u prekršajnom postupku za pravna lica, između ostalog, obradu podataka o ličnosti suprotno načelima i suprotno pravilima o obradi podataka u druge svrhe.

  • Novčane kazne u pojedinačnom slučaju

Pored prekršajne odgovornosti, Zakon predviđa i novčane kazne koje se mogu izreći uz kazne za pojedine prekršaje. Ovakve novčane kazne izriče Poverenik prilikom inspekcijskog nadzora.

  • Naknada štete

Zakon predviđa pravo na naknadu materijalne i nematerijalne štete licu na koje se podaci odnose koju je prouzrokovao rukovalac i/ili obrađivač nepridržavanjem odredaba Zakona.

Pored navedenih, ne treba zaboraviti da nepoštovanje odredaba Zakona može da dovede i do reputacionog rizika, koji u modelima poslovanja kod kojih je naročito izražen odnos poverenja sa klijentima može da bude bolnije nego kažnjavanje i najvišom propisanom novčanom kaznom.