Česta pitanja

Podatak o ličnosti je svaka informacija na osnovu koje se može utvrditi identitet jednog lica, posredno ili neposredno. To mogu biti, na primer, ime i prezime, JMBG, podaci o lokaciji odnosno kretanju, podaci iz telefonskih listinga i logova, broj bankovnog računa, snimak sa nadzorne kamere na kome je moguće prepoznati osobu, kao i sve druge informacije koje ukazuju na nečiji fizičke, fiziološke, genetske, mentalne, ekonomske, kulturne i društvene karakteristike.

Za upotrebu podataka koristi se termin obrada podataka o ličnosti. Obrada podataka o ličnosti je svaka radnja koja se sprovodi nad podacima o ličnosti – prikupljanje, kopiranje, ustupanje podataka drugim licima, itd. Čak i sam uvid u podatke, poput onih u zdravstvenom kartonu, predstavlja obradu podataka o ličnosti. Primeri obrade ličnih podataka su i: uvid u ličnu kartu; tonski ili video zapis/snimak osobe- npr: kamere koje snimaju posetioce tržnih centara; prikupljanje raznih vrsta ličnih podataka (JMBG, adresa, podaci o zaposlenju) za potrebe otvaranja računa u banci, ili npr. ostvarivanja nekog prava pred institucijom socijalne zaštite; prikupljanje podataka za otvaranje loyalty kartica (kartice kojima se ostvaruju razne vrste popusta prilikom kupovine), uzimanje otiska prsta u policiji, evidentiranje boravka na poslu putem provlačenja personalizovane kartice, itd…

Smatra se da je obrada podataka o ličnosti zakonita ukoliko je usklađena sa Zakonom o zaštiti podataka o ličnosti, kao i drugim zakonima kojima se uređuje materija obrade ličnih podataka. U praksi ovo znači da su rukovaoci i obrađivači dužni da pre započinjanja radnji obrade svoje aktivnosti usklade sa odredbama Zakona o zaštiti podataka o ličnosti.

Kada se za obradu podataka zahteva saglasnost lica, prema Zakonu o zaštiti podataka o ličnosti, rukovalac je dužan da pruži osnovne informacije o sebi, i da licu čiji su podaci saopšti informacije koje se odnose na obradu podataka o svrsi obrade, vrsti podataka koje rukovalac prikuplja, pravnom osnovu obrade; sa kim rukovalac potencijalno deli podatke (u zemlji ili svetu); o roku u kojem će podaci o ličnosti biti čuvani, o pravima lica povodom obrade podataka, kao i o tome da li obrada podataka podrazumeva automatizovanu obradu podataka i profilisanje. 

Ove informacije rukovalac je dužan da prezentuje osobi na koje se podaci odnose pre traženja saglasnosti za obradu podataka. Kada su razni sajtovi i aplikacije u pitanju ove informacije se najčešće nalaze u okviru politike privatnost sajta/aplikacije. Nakon što lice dobije mogućnost da se upozna sa politikom privatnosti, ili drugim online dokumentom, lice može izabrati da li će dati svoju saglasnost na obradu podataka. Saglasnost se često daje čekiranjem opcije accept (prilikom prvog pristupa sajtu, ili nakon preuzimanja aplikacije) i na taj način lice potvrđuje da se slaže, odn. pristaje na uslove korišćenja apliakcije/ sajta.

Isto tako, Zakon o zaštiti podataka o ličnosti kaže da lice na koje se podaci odnose može u bilo kom trenutku povući datu saglasnost. Ovo znači da se uvek možete obratiti rukovaocu koji obrađuje Vaše podatke i zahtevati od njega da prekine obradu Vaših podataka. Rukovalac je dužan da obezbedi uslove da postupak povlačenja saglasnosti bude jednostavan, odnosno da ne bude složeniji od postupka za davanje saglasnosti.

Važno je naglasiti da povlačenje date saglasnosti najčešće povlači sa sobom neke posledice, posebno kada su u pitanju obrade podataka o ličnosti koje se vrše u komercijalne svrhe, za pružanje različitih “besplatnih” usluga.

Na primer: nakon povlačenja saglasnosti nećete moći da nastavite da koristite preuzetu aplikaciju za mobilni telefon, ili napredne funkcije koje omogućavaju neki sajtovi… Ovo se najčešće dešava kod preuzimanja i korišćenja aplikacija koje su besplatne za korisnike, a koje zapravo plaćamo dozvolom da pristupe našim ličnim podacima.

Ukoliko sumnjate da se Vaši podaci o ličnosti nezakonito obrađuju možete se obratiti rukovaocu zahtevom da vam dostavi informacije u vezi sa obradom vaših ličnih podataka.

Postupajući po Vašem zahtevu, rukovalac je dužan da vam na jasan i razmljiv način dostavi sve informacije u vezi sa obradom Vaših podataka (koje vrste podataka obrađuje, u koje svrhe, koliko ih čuva, da li ih deli sa nekim itd), Rukovalac je dužan da odgovori na Vaš zahtev u roku od 15 dana, a ukoliko to ne učini, možete se obratiti  Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti pritužbom. Ukoliko rukovalac odgovori na Vaš zahtev a Vi procenite da nisu ispunjeni uslovi za zakonitu obradu podataka o Vama (npr. Ukoliko podaci o Vama više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni), od rukovaoca možete zatražiti brisanje podataka, u skladu sa pravilima utvrđenim članom 30. Zakona o zaštiti podataka o ličnosti.

Pored obraćanja Povereniku, možete podneti tužbu za zaštitu svojih prava (ova tužba se podnosi višem sudu), protiv rukovaoca ili obrađivača za kog smatrate da je obradom ličnih podataka povredio neko od Vaših prava propisanih Zakonom o zaštiti podataka o ličnosti. Pored ove vrste zaštite moguće je pokrenuti postupak za naknadu štete zbog nezakonitog rukovanja podacima o ličnosti.

Takođe, ukoliko se obrada ličnih podataka zasniva na pristanku (saglasnosti) koju ste dali rukovaocu, u svakom trenutku možete povući datu saglasnost.

U poslednjih godinu dana koliko se otprilike primenjuje novi Zakon o zaštiti podataka o ličnosti, sigurno ste primetili da Vam razne aplikacije, sajtovi, ali i komapanije šalju obaveštenja o novoj ili unapređenoj politici privatnosti, sa kojom žele da se upoznate.

Ovo je posledica novina koje je donela Uredba Evropske unije o zaštiti ličnih podataka (GDPR), a koje je kasnije preuzeo i naš Zakon o zaštiti podataka o ličnosti. Novine se pre svega odnose na prava lica čiji se podaci o ličnosti obrađuju, te se od rukovaoca zahteva, između ostalog, da obrada ličnih podataka bude transparentna. To znači da su rukovaoci obavezni da na jasan i jednostavan način informišu lica o obradi njihovih ličnih podataka, pre preduzimanja radnji obrade podataka. Informisanje se najčešće vrši ažuriranjem ili kreiranjem politike privatnosti. Spisak informacija koje treba da budu dostupne licima na koje se podaci odnose nalazi se u članovima 22. i 23. Zakona, a variraju u odnosu na to da li je rukovalac taj koji direktno od lica prikuplja podatke, ili se podaci prikupljaju od nekog trećeg subjekta. Važno je istaći da licu moraju biti dostupne informacije o njegovim pravima povodom obrade podataka, uključujući i informacije o mehanizmima zaštite. Sve infomacije moraju biti predstavljene tako da su prosečnom čitaocu lako razumljive.

Odogovor na ovo pitanje zavisi od više faktora. Po pravilu, rukovaoci i obrađivači dužni su da vode evidencije o radnjama obrade ličnih podataka, u pismenom obliku, što obuhvata i elektronski oblik. Ove evidencije neophodno je čuvati trajno.

Međutim, ova obaveza ne primenje se na privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:

  • obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
  • obrada nije povremena;
  • obrada obuhvata posebne vrste podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti.

Ove evidencije ranije su se prijavljivale i slale Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, međutim novi Zakon je tu obavezu ukinuo.

Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani. Povreda podataka o ličnosti može biti, na primer, upad u računarski sistem ili gubitak računara koji sadrži lične podatke, nenamerno objavljivanje baze podataka, i sl.

Ukoliko dođe do povrede podataka o ličnosti, Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.

Ako povreda podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.

U slučaju nepoštovanja odredaba Zakona o zaštiti podataka o ličnosti novčanom kaznom od 50.000 do 2.000.000 dinara može se kazniti rukovalac, odnosno obrađivač sa svojstvom pravnog lica, a odgovorno lice novčanom kaznom od 5.000 do 150.000 dinara.

Novčanom kaznom od 5.000 do 150.000 dinara može se kazniti i fizičko lice koje podatke o ličnosti ne čuva kao profesionalnu tajnu, a koje je saznalo tokom obavljanja svojih poslova.

Krivični zakonik u članu 146. predviđa krivično delo Neovlašćeno prikupljanje ličnih podataka, za koje je zaprećena novčana kazna ili kazna zatvora do jedne godine. Ukoliko je krivično delo učinjeno od strane službenog lica,prilikom vršenja službe, kazna je isključivo zatvor, u trajanu od tri meseca do tri godine.

Za razliku od domaćeg zakonodavnog okvira, kazne predviđene Uredbom Evropske unije o zaštiti ličnih podataka GDPR-om su značajno veće, i mogu da iznose do 20 miliona evra ili 4 % globalnog godišnjeg prihoda.