Reprizni prikaz ovog vebinara moguće je pogledati u izdanju Propisi.net, u delu pod nazivom „Komentari”, u grupi „ING-PRO vebinari” ili klikom na sledeći taster ako ste već ulogovani u izdanje:

CILj: Vebinar se bavio odgovoranjem na pojedina pitanja i dileme sa kojima se organizacije susreću prilikom usklađivanja sa Zakonom o zaštiti podataka o ličnosti, koji je harmonizovan sa GDPR-om.

TEME:
– međusobni odnos rukovaoca i obrađivača po osnovu ugovora o obradi;
– pristanak kao osnov za obradu ličnih podataka i odnos pristanka sa drugim osnovima za obradu podataka;
– imenovanje, prava, obaveze i dužnosti lica za zaštitu podataka o ličnosti;
– obrada podataka putem video-nadzora;
– obrada ličnih podataka zaposlenih i kandidata;
– druga pitanja i dileme.

PREDAVAČ: Petar Mijatović, advokat iz Beograda

VEBINAR JE BESPLATAN ZA PRETPLATNIKE ING-PRO-A.

Članak ING-PRO vebinar: Sporna pitanja u primeni Zakona o zaštiti podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

Članom 54. stav 1 Zakona o zaštiti podataka o ličnosti propisano je da „ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti”.

Ono što je ključno, a proizlazi iz gorenavedene odredbe, jeste da, u slučaju postojanja potrebe za sprovođenjem procene uticaja, ista mora biti sprovedena pre započinjanja obrade ličnih podataka, koja zahteva sprovođenje procene uticaja.

Procena uticaja na zaštitu podataka o ličnosti obavezno se vrši u slučaju:

1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica, koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, a na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;

2) obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu;

3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri;

4) obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili u marketinške svrhe;

5) upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;

6) obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;

7) obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;

8) obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;

9) obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

Prethodno navedene situacije jasno stavljaju akcenat na obradu podataka upotrebom novih tehnologija, kao i na automatizovanu obradu i profilisanje kao glavne determinante u određivanju (ne)postojanja obaveznosti sprovođenja procene uticaja. Na drugom mestu nalaze se situacije koje se odnose na obradu određenih vrsta podataka o ličnosti čiji rezultat, ukoliko se vrši na neki od gorenavedenih načina, može biti obavezivanje rukovaoca da sprovede procenu uticaja iako se obrada ne vrši upotrebom novih tehnologija. To se pre svega odnosi na obradu ličnih podataka maloletnih lica, biometrijskih podataka zaposlenih lica i posebnih ličnih podataka (podaci o rasnom ili etničkom poreklu, političkom mišljenju, verskom ili filozofskom uverenju ili članstvu u sindikatu, genetski podaci, biometrijski podaci u cilju jedinstvene identifikacije lica, podaci o zdravstvenom stanju ili podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica).

Rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica.

U tekstu u okviru časopisa Lege Artis Propisi u praksi, u januarskom broju  bliže su opisani navedeni kriterijumi a  dato je i uputstvo šta procena uticaja na zaštitu podataka o ličnosti treba da sadrži.

Redakcija

Članak Kada je obavezno sprovesti procenu uticaja na zaštitu podataka o ličnosti? se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

Ko sme da mi traži matični broj, da li je u redu da PIN kreditne kartice naglas kažem prodavačici pred punom radnjom; je li dozvoljeno da me na određenim javnim mestima snimaju kamere koje će kasnije prepoznati moje lice. Ove, ali i mnoge druge nedoumice muče većinu zbunjenih građana koji, često u neznanju, svoje lične podatke daju onima koji za njihovo prikupljanje nemaju dozvolu. „Blic“ je razgovarao sa Mladenom Raonićem, stručnjakom kada je u pitanju korporativna bezbednost, i ovo je sve što treba da znate kada je u pitanju zaštita vaših ličnih podataka.

Opšta uredba o zaštiti podataka, odnosno GDPR (Dženeral data protekšn regulejšn) stupio je na snagu 21. maja 2018. godine u zemljama EU nakon što je državama članicama kao i kompanijama dat rok od dve godine da se usaglase sa odredbama istog.

– GDPR predstavlja uredbu koja podatke o ličnosti stavlja, može se slobodno reći, u sam vrh prioriteta zaštite, a građanima daje funkcionalne mogućnosti da mnogo kvalitetnije i transparentnije upravljaju svojom privatnošću. U suštini, GDPR jeste finalni proizvod jedne opšte građanske i političke inicijative koja je pokrenula dugogodišnji proces „mučne borbe“ u cilju postizanja zakonskih okvira u kojima bi svaki pojedinac imao veću zaštitu svoje privatnosti i u kome bi kompanije dobile mnogo jasnija pravila i procedure po kojima mogu da obrađuju i koriste podatke o ličnosti – objašnjava za „Blic“ Mladen Raonić, konsultant za korporativnu bezbednost.

U prilog tome, dodaje Raonić, govori i činjenica da je usaglašavanje konačne verzije teksta trajalo četiri godine (2012-2016), dok je na sam tekst uredbe, uglavnom od strane predstavnika privrede, podneto rekordnih 4.000 amandmana.

– Novi zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja prevedenu i adaptiranu GDPR regulativu, usvojen je u novembru 2018. godine i stoga se pouzdano može smatrati da su načela GDPR-a uvedena i na domaći teren. Zakonodavac je predvideo odloženu primenu predmetnog zakona od devet meseci, što predstavlja dosta kraći rok od onoga koje su dobile države članice EU i njihova privreda. Samim tim, iako je poverenik s pravom ukazivao na potrebu odlaganja primene zakona o zaštiti podataka o ličnosti, on je na snazi od kraja avgusta ove godine jer Skupština Srbije u međuvremenu nije zasedala i nije mogla raspravljati o datom predlogu za odlaganje – podvlači Raonić.

Niska svest o samom razlogu zaštite privatnosti i činjenica da se kod nas mnoge kompanije još nisu usaglasile ni sa starim pravnim okvirom iz ove oblasti (1995. godina), koji mnogi nazivaju „praistorijskim“, ističe, ukazuje na to da predstoje veliki izazovi kako za privredna društva, javne ustanove i državne organe, tako i za samu kancelariju poverenika koja takođe treba da se pripremi i dodatno kadrovski pojača za početak primene kompleksnih zakonskih odredbi.

– Ono što građani treba da znaju jeste da su propisani novi uslovi za pristanak na obradu vaših podataka, te više neće biti moguće davanje blanko saglasnosti, niti će se prihvatanje zamršenih i nerazumljivih politika privatnosti smatrati validnim pristankom lica za obradu njegovih podataka. Stroge norme uredbe u najvećoj meri su usmerene na digitalno okruženje i imaju najveći uticaj na internet od njegovog nastanka, jer teže regulisanju kompleksnih odnosa koji su do sada vešto izmicali normativnom uređenju – kaže Mladen Raonić.

Zakon o zaštiti podataka o ličnosti propisuje i obavezu da se podaci čuvaju u obliku koji omogućuje identifikaciju lica samo u onoj meri i onoliko dugo koliko je to potrebno u ostvarivanju same svrhe obrade.

– U praksi to znači da se ne mogu obrađivati prikupljeni podaci osim po osnovi po kojoj je lice dalo pristanak na obradu. Na primer, ukoliko ste kupili usisivač u jednoj radnji i ostavili lične podatke prilikom pisanja garantnog lista u svrhu ostvarivanja prava na popust ili dobijanje lojaliti kartice, to rukovaocu ne daje za pravu da vas poziva za učešće u nagradnoj igri ili da vas obaveštava o novim proizvodima jer za to nema vašu saglasnost. Takođe, kanal informacija ka vama mora biti u skladu sa vašom saglasnosšću, znači ako je naveden imejl, zabranjeno je slanje SMS-a koji mnogi smatraju i agresivnim i neprihvatljivim marketingom – objašnjava Raonić i dodaje da kompanije moraju svim licima, čiji se podaci obrađuju, pružiti sve potrebne informacije o obradi njihovih ličnih podataka već pri samom prikupljanju i pre same obrade.

Nedostaci novog zakona

Postoji dosta neusaglašenosti, a pre svega se odnose na dosad nedefinisane poslovne pojmove, prakse i mehanizme koji ne postoje ili nisu dovoljno pojašnjeni u domaćem pravnom sistemu, što dovodi u pitanje njegovu potpunu funkcionalnost.

– Svakako treba naglasiti da je ovo veliki korak na polju uređenja privatnosti u Republici Srbiji i da će manjkavosti sasvim sigurno biti rešene izmenama i dopunama kao i donošenjem podzakonskih akata. Treba napomenuti da je tendencija da se i naš zakon ugleda na najbolju praksu primene evropskog propisa koji u svojoj preambuli ističe da je zaštita ličnih podataka jedno od temeljnih ljudskih prava. S obzirom na već ustaljenu praksu nipodaštavanja ličnog podataka kao vrednosti i prilično nisku bezbednosnu kulturu u Srbiji kao veoma retku primenu propisa iz ove oblasti, svako pravilo nove regulative već predstavlja „čudnu novost“ za veliki broj kompanija, ali i državnih institucija te usklađivanje njihovog poslovanja sa aspekta zaštite podataka praktično počinje iz početka – objašnjava Mladen Raonić.

GDPR termini koje treba da znate

Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti. U praksi to znači da, u odnosu na podatke o ličnosti koje obrađuje, rukovalac ima sveobuhvatnu kontrolu jer on odlučuje da počne prikupljanje i obradu podataka, te utvrđuje pravni osnov za takvu obradu, odnosno zašto i kako se takvi podaci o ličnosti obrađuju.

Obrađivač

Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca. To znači da obrađivač ne određuje svrhu i sredstva za obradu ličnih podataka i predstavlja odvojeno pravno lice od rukovaoca. Obično je to organizacija sa posebnim znanjima i veštinama koju rukovalac angažuje kako bi izvršila obradu podataka o ličnosti (knjigovodstvene agencije, marketing i HR agencije, služba obezbeđenja…).

Načela obrade

I rukovalac i obrađivač su u obavezi da obrađuju podatke o ličnosti u skladu sa načelima obrade, ali će samo rukovalac imati obavezu da demonstrira usklađenost sa načelima obrade, što ne znači da obrađivač ne mora da se pridržava ovih načela.

DPO lice za zaštitu podataka ličnosti

Ovlašćeno lice za zaštitu podataka ili „Data protekšn ofiser“ (DPO) je lice koje je u kompaniji imenovano da rukovodi podacima o ličnosti u pogledu kreiranja strategija za zaštitu podataka o ličnosti i praćenju njihovih usklađenosti sa GDPR regulativom.

Prenos podataka van Srbije

U slučaju iznošenja podataka o ličnosti iz Srbije, i rukovalac i obrađivač imaju obavezu da ispune brojne uslove koje ZZPL pred njih postavlja. Takođe, i rukovalac i obrađivač sarađuju sa poverenikom na ispunjavanju svojih zakonskih obaveza, te su dužni da se povinuju zahtevima poverenika u ovom smislu.

Pravo na zaborav

Jedna od novina je i koje se postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se naši podaci konstantno objavljuju i dele. Slično je i sa pravom na prenosivost podataka (data portability) koje podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.

Šta kompanije treba da znaju i sprovode

GDPR navodi nekoliko načela koja se odnose na obradu podataka o ličnosti i njih menadžment u kompanijama treba da ima na umu prilikom svake planirane obrade podataka jer predstavljaju ključni deo ZZPL / GDPR, čije kršenje povlači drakonske kazne. Ta načela su:

ZAKONISTOST, PRAVIČNOST, TRANSPARENTNOST – podaci se ne smeju obrađivati na drugi način osim na jasnoj i valjanoj zakonskoj osnovi, na pošten i prema licu transparentan način.

OGRANIČENOST SVRHOM – Obavezno je navođenje svih svrha obrade u koje se podaci prikupljaju.

MINIMIZACIJA – Smeju se prikupljati samo podaci koji su relevantni i potrebni za ispunjavanje svrhe u koju se obrađuju.

TAČNOST – Podaci trebaju biti ažurni i tačni.

OGRANIČENJE ČUVANJA – Podaci se ne smeju čuvati duže od perioda neophodnog za ispunjavanje svrhe zbog koje su prikupljeni.

INTEGRITET I POVERLJIVOST – Lični podaci se moraju čuvati i zaštititi od nezakonite i nedozvoljene obrade, slučajnog gubitka, uništenja ili oticanja.

Šta su to lični podaci?

Lični podaci su svi podaci koji se odnose na osobu čiji identitet se njihovim korišćenjem može direktno ili indirektno utvrditi. Obično se radi o podacima koje svakodnevno koristimo u svojim aktivnostima na poslu, u trovini, u banci, školi, na internetu…

Primeri ličnih podataka

Ime i prezime, adresa, imejl adresa, brojevi telefona, podaci o zdravstvenom stanju, JMBG, visina zarade, ocene u školi, podaci o obrazovanju, bračnom statusu, računi u bankama, poreske prijave, podaci o članstvima u organizacijama i udruženjima, kreditna zaduženost, istorija pregleda na internetu, biometrijski podaci (skeniranje zenice ili otisak prsta), broj lične karte ili broj pasoša…

Primeri iz prakse

Lični podaci na izvol’te

Ostavljanje ličnih podataka na stolovima, oglasnim tablama, bacanje štampanih biografija kandidata za posao u korpu za smeće samo su neke od nepravilnosti na koje niko ne obraća pažnju, niti ih smatra rizičnim po poslovanje, a koje se često zatiču u domaćim kompanija. Stoga je neophodno, pre svega, kroz edukaciju raditi na podizanju svesti o značaju ličnih podataka i rizicima koje generiše nova zakonksa regulativa. Takođe, neophodno je uvođenje posebnih procedura koje bi ukinule ovo neprimereno ponašanje zaposlenih, ali i menadžmenta, čime bi se oticanje podataka minimiziralo. Jedna od najboljih politika u ovom domenu je “klin desk polisa” (politika čistog stola), koja je i redovna preporuka u procesu usaglašavanja sa GDPR regulativom.

Online profilisanje

Mnogo puta smo kliknuli i prihvatili određene “pop-ap” prozorčiće na pojedinim sajtovima i bez čitanja obaveštenja o “kolačićima” gde je navedeno za šta se koriste naši lični podaci odnosno podaci o našoj IP adresi. Na primer ukoliko neko želi da kupi aranžman za letovanje i na internetu pretražuje ponude, on do tada nije upisao nijedan lični podatak, ali su na većini stranica instalirani kolačići koji prate njegovo ponašanje i samim tim rade njegovo profilisanje. Ponuđač na osnovu tih saznanja tačno zna šta lice traži, a to je, na primer, što jeftiniji hotelski smeštaj na određeni datum. Ponuđač zatim prati koliko puta dotično lice traži određenu destinaciju i kad se odluči za željeni datum i zatraži online ponudu, algoritam koji je profilisao njegovo ponašanje, dao je ocenu da postoji ozbiljna namera kupovine turističkog aranžmana i po ugrađenom automatizmu može prikazati veću cenu. Ovo spada u primere neprimerene obrade podataka koja treba da se sankcioniše shodno GDPR uredbi

Video-nadzor u kancelarijama i javnom prostoru

Nije retko da se u firmama video-nadzor postavlja bez prethodne procene rizika i plana obezbeđenja, što je obaveza po zakonu o privatnom obezbeđenju, i bez procene uticaja, što je obaveza po ZZPL-u. Mnogo puta kada odete na sastanak u neku domaću ali i inostranu kompaniju, vidite da su određene kancelarije i prostorije pod sistemom video-nadzora čija svrha treba da bude u osnovi zaštita lica, imovine i poslovanja. Veoma često kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine prestup i u domenu ZZPL-a i zakona o privatnom obezbeđenju. Treba naglasiti da takav video-nadzor suštinski nije upotrebljiv jer bi video-materijal sa istog lako bio osporen u svakom postupku i suštinski je veliki rizik po kompaniju koja kroz njega protivno zakonu snima zaposlene, posetioce i treća lica i arihivira njihove podatke. Na pitanje zašto se snimaju kancelarije ili neki javni prostor, odgovor koji se često čuje je „tako je rekao gazda“.

Tabele sa podacima kruže e-poštom kompanija

Svaka baza, odnosno zbirka podataka, sa ličnim podacima u kompanijama mora biti evidentirana i zaštićena, tako da je, na primer, zabranjeno da putem imejla kruže tabele sa spiskom dece koja treba da dobiju paketiće za novu godinu, zatim spisak zaposlenih koji su se prijavili za dobrovoljno davanje krvi ili za kupovinu nekog proizvoda na rate i da se svi zaposleni sami upisuju, čime je narušena privatnost i uvećan rizik oticanja podataka o ličnosti.

Informacije o bolovanju i šifri oboljenja javna tajna

Sigurno ste bili u situaciji namerno ili nenamerno da saznate zašto je kolega sa posla na bolovanju. Pera Perić je otvorio bolovanje sa X šifrom bolesti i informacije iscure iz sektora za ljudske resurse pa svi znamo po šifri oboljenja koja je iskazana na formularu o sprečenosti za rad da Peru bole leđa ili da ima upalu krajnika. Informacije o bolestima su posebno osetljiv podatak i sa njima treba postupati na poseban način pa bi preporuka bila i anonimizacija tih podataka, a oticanje ovih podataka treba odmah prijaviti licu za zaštitu podataka o ličnosti (DPO – „data protekšn ofiser“) koji treba da ispita uzroke oticanja podataka i o istom obavesti poverenika najkasnije 72 sata od momenta incidenta.

Bombardovanje imejlovima i SMS-om – agresivni marketing

Marketing često ne poznaje granice pa samim tim pređe i granicu naše privatnosti čime se novi zakon posebno bavi. Svaka savremena kupovina zahteva uzimanje određenih podataka i podrazumeva aktivnosti kojima se žele otkriti namere i navike potrošača kako bi se ponuda prilagodila istim u cilju podizanja samog prometa i profita proizvođača. Komunikacija sa prodavcem uvek ide u smeru da se posle kupovine ostvari i drugi kontakt i da se kupac ponovo vrati odnosno postane lojalan. Loyalti programi su programi nagrađivanja kupaca za njihovu vernost, ali i kupcima koji redovno kupuju u istoj komapniji koja često može uključivati obradu osobnih podataka. Najčešće se takva komunikacija ostvaruju slanje personaliziranih pisama poštom, kontaktiranjem putem telefona, putem elektronske pošte, SMS-om, MMS-om, iskačućim prozorima tzv. Pop-up ali i na drugi način. Za svaku obradu ličnih podataka mora postojati relevantna pravna osnova, pa tako i za marketing a ona se može dobiti kroz pristanak lica ili u legitimnom interesu poslovnog subjekta (obrađivača).

„Kako ide matični?“

Mnogo puta smo svi čuli ovu rečenicu, naravno pre nekoliko godina mnogo više, ali ni danas nije retka. JMBG nedvosmisleno identifikuje lice i svakako se može dati u slučaju obrade podatka zbog legitimnog interesa, policija, sud, kupovina stana, automobila. Sve do skoro bila je ustaljena praksa da određeni prodavac, ustanova ili organizacija traži vaš matični broj ili zahteva kopiju vaše lične karte u cilju ostvarenja neke usluge što nije imalo realno opravdanje pa se ogroman broj kopija ličnih karata gomilao u registratorima koji su odlagani u arhive bez adekvatnog obezbeđenja. Bilo je slučajeva da se na šalteru jedne kompanije prilikom plaćanja kompanijskom karticom zahteva diktiranje matičnog broja dok iza vas u redu čeka nekoliko ljudi, što je tretirano kao bezbednosna procedura, ali svakako bez ikakve svrhe.

Kamere u obrazovnim ustanovama

Pre nekoliko dana Švedsko državno telo za zaštitu ličnih podataka – DPA izreklo je kaznu za opštinu Skeleftea zbog kršenja GDPR uredbe sa 200.000 švedskih kruna (17.000 evra). Procena državne agencije jeste da je srednja škola u Skeleftei, sprovodeći pilot-test sistema za prepoznavanje lica, povredilo podatke 22 učenika. Iako je ideja bila da se sistem koristi kako bi se lakše pratila prisutnost učenika na nastavi, GDPR klasifikuje slike lica kao specijalnu kategoriju podataka sa posebnim ograničenjem korišćenja.

U Srbiji se nazire trend ovih tehnoloških unapređenja koji će sa saobraćajnica polako nalaziti primenu i u drugim društvenim sferama u prvom talasu uvođenja naprednog CCTV sistema će biti aerodromi, autobuske stanice, kritična infrastruktura, a zatim i drugi subjekti i organizacije od javnog značaja. Neophodno je određivanje balansa između svrhe prikupljanja podataka i narušavanja privatnosti.

Geo-lokacija, listing telefona, kontrola pristupa 

Mnoge kompanije, ali i zaposleni, nisu svesni da su podaci o lokaciji i kretanju u stvari podaci o ličnosti čijim se ukrštanjem u velikoj meri može profilisati pojedino lice i zaći u njegovu privatnost. Zamislite da komercijalista jedne firme na svom poslu kao sredstva za rad ima službeni automobil koji koristi 00-24 časa sa GPS trakerom, službeni telefon, službeni laptop, RFID karticu za kontrolu pristupa. Mnogi bi rekli da je opremljen od glave do pete, ali mnogi bi rekli da je komercijalista profilisan od glave do pete i da firma zna sve o njemu. I jedna i druga premisa mogu biti tačne, ali se mora voditi računa da svrha obrade podataka bude usklađena sa zahtevom posla jer, ukoliko i nakon završetka radnog vremena poslodavac prati kretanje vozila zaposlenog, istoriju njegove IP adrese, onda je privatnost narušena

U Srbiji su manje kazne

Ovim zakonom znatno je proširena odgovornost kompanija i organizacija koji prikupljaju i obrađuju podatke o ličnosti, razrađeni su instrumenti i procedure za sprovođenje propisa, a kazne su izuzetno visoke i mogu ići i do 20 miliona evra ili četiri odsto ukupnog godišnjeg prihoda kompanije. – Domaći Zakon predviđa više kazne nego u prethodnom periodu, ali one nisu ni približno visoke kao prema GDPR-u. Rukovaoci podataka u Srbiji će u prekršajnom postupku rizikovati kazne od maksimalno dva miliona dinara po pojedinačnom prekršaju, dok je najmanja propisana novčana kazna za prekršaje iz ove oblasti 50.000 dinara i odnosi se na odgovorno lice u pravnom licu – pojašnjava Mladen Raonić.

Šta kažu u kancelariji Poverenika: Raditi na uspostavljanju efektivnog sistema zaštite podataka o ličnosti

– Za poslednjih deset godina poverenik je primio veoma veliki broj predstavki građana, koji su ukazivali na zloupotrebe podataka o ličnosti, ali i na nemaran odnos prema istim podacima, obradu podataka bez pravnog osnova i svrhe – kažu za „Blic“ iz Kabineta poverenika.

Samo u ovoj godini, registrovano je preko pet stotina prijava građana.

– Građani se žale na postupanje bolnica, banaka, policije, kompanija, lokalnih samouprava, osiguravajućih društava, škola, poslodavaca, sportskih društava, poreskih organa… Po ugledu na nove Evropske propise, novi zakon propisuje niz novih obaveza za rukovaoce i obrađivače podataka, kao što su imenovanje lica za zaštitu podataka, procena uticaja na zaštitu podataka, obaveštavanje poverenika o povredi podataka o ličnosti itd. S druge strane, novi zakon pruža licima nova prava koja mogu ostvariti podnošenjem zahteva rukovaocu, kao što su pravo na prenosivost podataka, pravo na ograničenje obrade i pravo na prigovor – saopštili su iz kabineta.

Zakon, dodaju, omogućava i licima da svoja prava zaštite u postupku podnošenja pritužbe povereniku ili parnične tužbe sudu.

– U Republici Srbiji najuočljiviji je problem nedovoljnog strateškog pristupa u uspostavljanju efektivnog sistema zaštite podataka o ličnosti, na čemu bi trebalo raditi u budućnosti. U tom smislu, strateški deficit se ne može nadomestiti samo donošenjem zakona, usklađenog sa propisima Evropske unije već i aktivnim delovanjem svih aktera u državi, kako poverenika tako i zakonodavne, izvršne i sudske vlasti – istakli su iz Kabineta poverenika.

Izvor: sajt Blic-a
Naslov: Redakcija

Članak Šta treba da znate o Zakonu o zaštiti podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

Cilj seminara je bio:

da detaljno upozna učesnika sa novim Zakonom o zaštiti podataka o ličnosti (počinje da se primenjuje od 21. 8. 2019), odnosno sa svim novinama i institutima koje ovaj zakon donosi u sklopu harmonizacije pravne regulative koja reguliše zaštitu podataka o ličnosti sa propisima Evropske Unije, i to sa:

• Uredbom 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka od 27. 4. 2016. godine (GDPR);
• Direktivom 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka od 27. 4. 2016. godine.

Program je bio:

• razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti i ciljevi novog zakona;
• primena zakona i načela obrade podataka o ličnosti;
• osnovi za obradu podataka o ličnosti propisani novim zakonom;
• obrada posebnih vrsta podataka o ličnosti;
• obrada podataka o ličnosti koju vrše u posebne svrhe organi vlasti i imaoci javnih ovlašćenja;
• prava lica čiji se podaci obrađuju;
• obaveze rukovaoca i obrađivača;
• evidencije radnji obrade;
• bezbednost podataka o ličnosti i zakonska procedura u slučaju povrede podataka o ličnosti;
• procena uticaja na zaštitu podataka o ličnosti;
• lice za zaštitu podataka o ličnosti;
• kodeks postupanja i izrada sertifikata;
• prenos podataka o ličnosti u druge države i međunarodne organizacije;
• nadležnosti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti;
• pravna sredstva u vezi sa zaštitom podataka o ličnosti;
• pitanja i odgovori.

Predavač je bio:

advokat Petar Mijatović iz advokatske kancelarije Cvetković, Skoko i Jovičić

Članak Održano savetovanje: Kako se uskladiti sa novim Zakonom o zaštiti podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

General Data Protection Regulation (GDPR) je uredba Evropske unije koja se direktno primenjuje u svim državama članicama EU.

Osim što se radi o dokumentu koji je godinama unazad služio i bio predstavljen kao svojevrsno „strašilo“ za kompanije širom EU, radi se i o logičnoj nadogradnji na nekadašnju Direktivu 95/46 koja je doneta još u vreme „kada je internet bio mlad“, odnosno kada je svega 1 odsto građana EU koristilo globalnu mrežu. U međuvremenu se mnogo toga promenilo, a regulativa nije ni predvidela ni ispratila drastične tehnološke promene i migraciju biznisa na internet, te neverovatne razmere monetizacije ličnih podataka koje su korisnici ustupali internet kompanijama kao „naknadu“ za pristup njihovim servisima. Dakle, stari okvir je bio zreo za „penziju“.

Drugi bitni razlog za donošenje regulative je bila želja za unifikacijom pravila 28 članica EU, budući da je prethodni okvir dozvoljavao veliki stepen slobode državama članicama da pravila privatnosti prilagode svojim unutrašnjim prilikama (donošenjem posebnih zakona), što je neminovno vodilo ka nejednakom stepenu zaštite ovog bitnog prava.

Ne treba ispustiti i to da je reforma okvira koji uređuje zaštitu podataka o ličnosti jedan od koraka koji EU preduzima da bi uklonila regulatorne prepreke za kreiranje jedinstvenog digitalnog tržišta (Digital single market).

Na kraju, brojne odluke Evropskog suda pravde iz temelja su uzdrmale sistem zaštite podataka o ličnosti i zadale mu jak udarac, a kao najbitnije se izdvajaju: Mario Costeja Gonsales vs Google Spain (odluka koja sistematizovala „pravo na zaborav“ iz 2014. godine), Max Schrems vs Facebook Ireland (odluka koja je uzrokovala pad Safe Harbour Agreement EU i SAD iz 2015. godine) i Weltimo vs Nemzeti (odluka koja je uzdrmala princip one-stop shop kod obrade podataka o ličnosti iz 2015. godine).

Najbitnije odlike

Iako je ovaj dokument dugo predstavljan kao revolucionaran, suštinski ne donosi mnogo do sada nepoznatih novina, jer se i dalje zasniva na tome da svaka obrada podataka mora da bude transparentna, zakonita i srazmerna. Ono što jeste novost je bolja sistematizacija, jasnoća i razrada ovih pravila, kao i drastične kazne za nepoštovanje tih pravila, što zapravo i predstavlja pravi razlog za medijsku pažnju u odnosu na ovaj dokument. Jedna od zanimljivijih novina se tiče „ekstrateritorijalne primene“ GDPR na države koje nisu članice EU, kada se radi o podacima lica pod jurisdikcijom EU, u vezi sa njihovim aktivnostima u EU. Na primer, po tim pravilima bi naša domaća turistička agencija koja nudi turističke usluge Austrijancima u Austriji bila dužna da primenjuje GDPR iako se nalazi u državi koja nije članica EU.

Druga bitna novina su znatno više novčane kazne četiri posto godišnjeg prometa ili 20 miliona evra (zavisi od toga koja je cifra veća) za bitne povrede i dva odsto godišnjeg prometa ili 10 miliona evra (opet zavisno od toga koja je cifra veća). Drastične kazne i jesu pravi razlog nervoze oko GDPR-a.

Zaštita podataka o ličnosti protiv slobode izražavanja

Često se zaboravlja koja bi trebalo da bude suštine zaštite podataka o ličnosti. Zaštita ličnih podataka je ljudsko pravo, koje predstavlja jednu od komponenti prava na privatnost, a koje je prepoznato i najvišim međunarodnim i domaćim aktima (naš Ustav ga prepoznaje u članu 42).

Kao ljudsko pravo ono je univerzalno i neotuđivo, a dostignuti nivo zaštite tog prava ne sme da se sužava. Istovremeno, ovo pravo je moguće ograničiti ako je mera ograničenja propisana zakonom, neophodna u demokratskom društvu, a radi zaštite osnovnih interesa takvog društva (javna i nacionalna bezbednost, zaštita zdravlja, zaštita prava i sloboda drugih itd.) uz to da takva mera mora da bude srazmerna cilju koji bi trebalo da postigne (principi koji su poznati u međunarodnim dokumentima o ljudskim pravima).

U tom kontekstu bi trebalo posmatrati i tzv. „pravo na zaborav“, koje je sistematizovano u EU nakon čuvene presude Mario Costeja Gonsales vs Google Spain, gde je Evropski sud pravde (radi se o sudu EU ne o poznatijem Evropskom sudu za ljudska prava) ukazao na obavezu internet pretraživača da uklone lične podatke iz pretrage ako „interes zaštite ličnih podataka preteže nad ekonomskim interesom pretraživača i interesom javnosti u vezi s tim konkretnim podacima“. GDPR je ovo pravo podigao na viši nivo jer ga je predvideo kao pravo koje fizičko lice može da koristi prema bilo kom rukovaocu, a kao jedan od izuzetaka je predviđeno upražnjavanje prava na slobodu izražavanja. Kod upražnjavanja ovog prava može doći do sukoba prava javnosti da sazna informacije u javnom interesu i prava pojedinca na zaštitu ličnih podataka. Na primer, da li bi neki bivši funkcioner koji nije aktivan u politici dugi niz godina mogao da traži da mu neki internet portal obriše lične podatke iz priče o zloupotrebi službenog položaja koja se desila pre 20 godina.

Posebno problematično je što bi medij bio taj koji to procenjuje, i samim tim rizik od pogrešne procene i od kažnjavanja se povećava. Ovaj rizik je posebno visok u zemljama sa niskim stepenom razvoja prava na slobodu izražavanja i demokratske kulture, pa je moguće zamisliti da Pravo na zaborav u Srbiji postane još jedno u nizu efikasnih sredstava za posrednu cenzuru prema medijima. Ovo nije jedina stvar oko koje medij može da ima problema u kontekstu poštovanja prava na privatnost. Dovoljno je pomenuti prikupljanje cookies, korišćenje alata za analitiku, upotrebu dodataka za društvene mreže (na primer Facebook pixel) i posedovanje baze podataka korisnika koji komentarišu objave na portalima ili baze podataka o ličnosti korisnika stranica medija na društvenim mrežama, pa čak i baze podataka pretplatnika, da bi se zaključilo da mediji nisu izolovani od novog regulatornog okvira, i da moraju da posvete veliku pažnju ovom pitanju.

Srbija i GDPR

Novi Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018 – dalje: Zakon) je stupio na snagu krajem novembra, s tim da je primena praktično odložena do 21. avgusta 2019. godine. Zakon je, možda čak i previše doslovno preneo GDPR u domaći poredak, što može da izazove probleme i brojne nedoumice u njegovoj praktičnoj primeni. Druga karakteristika je da je u Zakon „uneto“ i Uputstvo EU 2016/680, koje se tiče obrade podataka o ličnosti koju vrše organi javne vlasti u svrhe sprečavanja, istrage, otkrivanja i krivičnog gonjenja ili izvršenja krivičnih sankcija. Ovakva transpozicija dva inače obimna dokumenta EU je Zakon „pretvorilo“ u prilično obiman, za čitanje zahtevan zakon, kroz koji se nekad i stručnjaci teško snalaze. Jedna od upadljivih razlika Zakona i GDPR-a je u znatno nižim novčanim sankcijama. Naime, Zakon predviđa dve kategorije novčanih kazni, jednu koju izriče sud u prekršajnom postupku čija je gornja granica dva miliona dinara i novčanu kaznu u fiksnom iznosu koju izriče Poverenik, a najviša takva kazna je fiksirana na iznos od 100.000 dinara. Valjalo bi napomenuti i to da novi Zakon daje priličan broj novih ovlašćenja Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, a da istovremeno nema naznaka da će se tehnički i kadrovski kapaciteti ove institucije povećati, kao i da procedura za izbor novog Poverenika nije ni započela, može se sa razlogom izraziti bojazan u spremnost za primenu novog regulatornog okvira. S druge strane, panika u redovima rukovalaca pokazuje da ni sami obveznici Zakona nisu najspremniji na novi okvir.

Izvor: sajt Danas
Naslov: Redakcija

Članak Regulativa EU koja uređuje zaštitu podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.