Rukovaoci i obrađivači

Podatak o ličnosti je svaka informacija na osnovu koje se može utvrditi identitet jednog lica, posredno ili neposredno. To mogu biti, na primer, ime i prezime, JMBG, podaci o lokaciji odnosno kretanju, podaci iz telefonskih listinga i logova, broj bankovnog računa, snimak sa narzorne kamere na kome je moguće prepoznati osobu, kao i sve druge informacije koje ukazuju na nečiji fizičke, fiziološke, genetske, mentalne, ekonomske, kulturne i društvene karakteristike.

Posebne vrste podataka o ličnosti su podaci koji ukazuju na rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podaci o zdravstvenom stanju ili o seksualnom životu i seksualnoj orijentaciji fizičkog lica.

Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje.

Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju.

Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje.

Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Primalac je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade

Zajednički rukovaoci su dva ili više rukovaoca koji zajednički određuju svrhu i način obrade.

Opšta uredba o zaštiti podataka o ličnosti EU (GDPR) – koja je usvojena 2016. godine, stupila na snagu 25.maja 2018. godine. Ona se primenju na obradu podataka o ličnosti koja se vrši od strane rukovalaca/obrađivača sa sedištem u EU, ali i obradu podataka građana EU od strane rukovalaca/obrađivača čije se sedište nalazi van EU.

Novi Zakon o zaštiti podataka o ličnosti (ZZPL) linkovati- donet novembra 2018. godine, a čija je primena počela 21. avgusta 2019. godine. Ovaj Zakon predstavlja najvažniji pravni akt u oblasti zaštite ličnih podataka u Republici Srbiji, i postupanje rukovalaca i obrađivača mora biti usklađeno sa pomenutim Zakonom. Zakon se primenju na rukovaoce i obrađivače kako iz privtanog tako i iz državnog sektora, kao i na sve građane koji se nalaze na teritoriji Republike Srbije.

Svi rukovaoci i obrađivači su dužni da svoje poslovanje usklade sa novim Zakonom o zaštiti podataka o ličnosti. Zakon predviđa posebna načela koja se moraju poštovati prilikom svake obrade podatka o ličnosti, a to su:

  • Zakonitost, poštenje, transparentnost
  • Unapred definisana (zakonita) svrha obrade
  • Minimizacija
  • Tačnost
  • Ograničenje čuvanja
  • Integritet i poverljivost

Gorenavedena načela obavezuju rukovaoce i obrađivače da:

  • Svaka obrada podataka o ličnosti mora biti utemeljena na pravnim propisima RS, odnosno mora postojati pravni osnov za svaku obradu podataka o ličnosti.
  • Rukovaoci moraju imati u vidu interese lica čije podatke obrađuju, kao i da lice na koje se podaci odnose u svakom trenutku ima pravo da zna kako se sa podacima postupa, koji se podaci obrađuju, u koje svrhe, ko ih obrađuje itd.
  • Podaci se moraju prikupljati u konkretno određene, izričite, opravdane, i zakonite svrhe i ne mogu se obrađivati na način koji nije u skladu sa tim svrhama.
  • Podaci moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade.
  • Podaci moraju biti tačni i ažurirani, te obezbediti da se netačni podaci izbrišu ili isprave
  • Ograničenje čuvanja.
  • Podaci o ličnosti moraju se čuvati samo u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarenje svrhe obrade.
  • Podaci o ličnosti moraju se obrađivati samo na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući i zaštitu od neovlašćene ili nezakonite obrade, slučajnog gubitka, uništenja, oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.

Zakon o zaštiti podataka o ličnosti predviđa niz prava za građane. Ova prava predstavljaju ujedno i obaveze za rukovaoce, pa tako lice na koje se podaci odnose u svakom trenutku ima pravo da zna kako se sa njegovim ličnim podacima postupa, koja vrsta ličnih podataka se obrađuju, u koje svrhe, ko ih obrađuje itd. Takođe, lice može tražiti od rukovaoca ispravku, dopunu, brisanje, ograničenje ili prenos svojih ličnih podataka. Lice ima pravo na povlačenje saglasnosti date za obradu ličnih podataka (ukoliko se obrada ličnih podataka zasnivala na saglasnoti lica).

Rukovalac je dužan da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve informacijeu vezi sa obradom ličnih podataka, odnosno informacije u vezi sa ostvarivanjem prava koja Zakon predviđa, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. 

Za informacije o obradi svojih ličnih podataka fizičko lice se obraća rukovaocu zahtevom, kojim se može tražiti ostvarenje nekog od navedenih prava, a rukovalac je dužan da da licu na koje se podaci odnose pruži informacije, bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.

Rukovaoci i obrađivači mogu imati odnosno odrediti lice koje će kod rukovaoca/obrađivača biti zaduženo za zaštitu ličnih podataka. Međutim postoji veliki broj rukovaoca i obrađivača koje Zakon eksplicitno obavezuje da moraju imati lice zaduženo za zaštitu podataka o ličnosti. Rukovalac/obrađivač mora da odredi lice za zaštitu podataka:

  • ako se obrada vrši od strane organa vlasti;
  • ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose i
  • ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti iz člana 17. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu.

Lice za zaštitu ličnih podataka može, ali ne mora biti zaposleno kod rukovaoca, odnosno obrađivača. Određuje se na osnovu stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti. Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku. Lice zaduženo za zaštitu ličnih podataka mora biti uključeno u sve poslove u vezi sa zaštitom podataka o ličnosti, a rukovalac ili obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti.

Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:

1.) informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;

2.) prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;

3.) daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni, u skladu sa članom 54. ovog zakona;

4.) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose radnje obrade ličnih podataka.

Rukovalac je dužan da izvrši procenu uticaja kada neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, može prouzrokovati visok rizik za prava i slobode fizičkih lica. Zakon u članu 54. propisuje koje su to situacije kada je obavezno pre početka obrade ličnih podataka izraditi procenu uticaja takve obrade na lične podatke fizičkih lica. Takođe, ukoliko izrađena procena uticaja na zaštitu podataka o ličnosti ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da zatraži mišljenje Poverenika pre započinjanja radnje obrade.

Rukovalaci i obrađivači dužni su da vode evidencije o radnjama obrade ličnih podataka, u pismenom obliku, što obuhvata i elektronski oblik. Ove evidencije je neophodno čuvati trajno.

Ova obaveza ne primenje se na privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:

  • obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
  • obrada nije povremena;
  • obrada obuhvata posebne vrste podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti.

Novi Zakon o zaštiti podataka o ličnosti daje detaljnija i fleksibilnija pravila međunarodnog prenosa podataka u drugu državu ili međunarodnu organizaciju.

Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u međunarodnu organizaciju, bez prethodnog odobrenja, može se izvršiti ako je utvrđeno da ta druga država, ili ta međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti.

Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.

Prenos uz primenu odgovarajućih mera zaštite

Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, na i ili u međunarodnu organizaciju za koju nije utvrđeno postojanje primerenog nivoa zaštite, samo ako je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita.

Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani. Povreda podataka o ličnosti može biti, na primer, upad u računarski sistem ili gubitak računara koji sadrži lične podatke, nenamerno objavljivanje baze podataka, i sl.

Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.

Ako povreda podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.

U slučaju nepostupanja i nepoštovanja odredaba Zakona novčanom kaznom od 50.000 do 2.000.000 dinara može se kazniti rukovalac, odnosno obrađivač sa svojstvom pravnog lica, a odgovorno lice novčanom kaznom od 5.000 do 150.000 dinara.

Novčanom kaznom od 5.000 do 150.000 dinara može se kazniti i fizičko lice koje podatke o ličnosti ne čuva kao profesionalnu tajnu, a koje je saznalo tokom obavljanja svojih poslova.

Krivični zakonik

Krivični zakonik u članu 146. predviđa krivično delo Neovlašćeno prikupljanje ličnih podataka:

„Ko podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni, kazniće se novčanom kaznom ili zatvorom do jedne godine.”

Ukoliko je krivično delo učinjeno od strane službenog lica, prilikom vršenja službe, kazniće se zatvorom od tri meseca do tri godine.

Zakon o zaštiti podataka o ličnosti

https://www.paragraf.rs/propisi/zakon-o-zastiti-podataka-o-licnosti.html

Internet stranica Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti

https://www.poverenik.rs/sr/

Publikacija Poverenika: „Najčešće postavljena pitanja u vezi sa licem za zaštitu ličnih podataka”

https://www.poverenik.rs/images/stories/dokumentacija-nova/Publikacije/Publikacija_Lica_za_zastitu/PublikacijaLicezazastitu.pdf

„Publikacija Poverenika u kojoj su izlistani propisi od značaja za zaštitu ličnih podataka

https://www.poverenik.rs/images/stories/dokumentacija-nova/Publikacije/Publikacija5ZZPL/5PublikacijaPraksa.PDF

Link ka kontrolnim lista za samoprocenu i samoproveru rukovalaca

Zaštita podataka - Kontrolne liste