Pripremite vaš biznis za novu regulativu o zaštiti podataka o ličnosti

Podatak o ličnosti

Poslednih godina se mnogo govori o GDPR-u i zaštiti podataka o ličnosti, ali i dalje kod većine ljudi ne postoji potpuno razumevanje o tome šta se sve može smatrati podatkom o ličnosti, pa je potrebno da krenemo od nekih osnovnih pojmova.

Podatak o ličnosti je svaki podatak koji se odnosi na neko fizičko lice i identifikuje ga, direktno ili indirektno. Postoje „najočigledniji“ lični podaci poput imena i prezimena, JMBG-a, broja telefona, adrese i slično. Međutim, spektar ličnih podataka je daleko širi – to mogu biti i nečija IP adresa, IMEI mobilnog telefona, istorija ponašanja na društvenoj mreži (lajkovi, šerovi i slično) i svaki onaj podatak koji nas samostalno, ili u kombinaciji sa drugim podacima, može identifikovati.

Sve ove podatke prikuplja i obrađuje fizičko ili pravno lice koje nazivamo rukovalac. Na primer, rukovalac podacima o ličnosi je kompanija za koju radite, jer prikuplja vaše lične podatke kako bi sa vama zaključila ugovor o radu i isplatila zarade i poreze i doprinose. U ovom primeru, kompanija-poslodavac je rukovalac u odnosu na lične podatke svojih zaposlenih (prikuplja ime, prezime, JMBG, podatak o stručnoj spremi, adresu i druge podatke zaposlenih). Ili, ukoliko ste kompanija koja se bavi elektronskom trgovinom, vi ste rukovalac u odnosu na lične podatke lica koja se registruju na vašem sajtu radi kupovine proizvoda. Ukoliko ste javno preduzeće koje se bavi snabdevanjem električne energije, vi ste rukovalac u odnosu na lične podatke korisnika električne energije itd.

Rukovalac je taj koji određuje razlog prikupljanja i obrade ličnih podatka, kao i način na koji se podaci obrađuju (koliko dugo ih čuva, po kom pravnom osnovu, ko interno ima pristup takvim podacima i slično).  Samim tim, rukovalac je taj koji snosi najveću odgovornost za obradu ličnih podataka.

Odložena primena novog zakona

Naš novi Zakon o zaštiti podataka o ličnosti (ZZPL) primenjuje se na rukovaoce (kompanije, preduzetnike, javna preduzeća, državne organe ili fizička lica) koja, u okviru svog poslovanja, na bilo koji način obrađuju lične podatke. Prema tome, ukoliko imate svoj biznis, šanse da u okviru svog poslovanja ne obrađujete podatke o ličnosti su gotovo nepostojeće, pa se ovaj zakon primenjuje i na vas.

Iako je ZZPL usvojen u novembru 2018. godine, on počinje da se primenjuje tek od avgusta 2019. godine. Rezon odložene primene od devet meseci je taj da se kompanijama i ostalim rukovaocima pruži šansa da svoje poslovanje usklade sa brojnim zakonskim novinama. Mesec avgust se sada već opasno bliži, pa je potrebno da (ukoliko već niste) krenete da razmišljate o započinjanju procesa usklađivanja vašeg biznisa sa novousvojenim ZZPL-om, imajući u vidu da taj proces može da traje i po nekoliko meseci.

 

Zašto se toliko plašimo GDPR-a (i našeg novog zakona)

Kada govorimo o našem novom zakonu, ne možemo da ne pomenemo sada već čuveni GDPR (Opšta uredba EU o zaštiti podataka o ličnosti), koji je poslednjih par godina sveprisutna tema u mnogim industrijama.

Naime, ZZPL praktično predstavlja adaptirani prevod GDPR-a i sadrži u mnogome identična rešenja, pa će se  buduća primena našeg zakona u velikoj meri oslanjati na praksu i tumačenja GDPR-a od strane nadležnih EU organa.

GDPR je stupio na snagu u maju 2018. godine i uneo brojne novine u oblasti zaštite podataka o ličnosti, tako što je, između ostalog, u prvi plan stavio prava ljudi čiji se podaci obrađuju, a rukovaocima i obrađivačima tih podataka nametnuo veliki broj odgovornosti i ekstremno visoke kazne za kršenje tih odgovornosti.

Upravo su te drakonske kazne GDPR-a jedan od osnovnih razloga zbog kojeg su se o njemu vodile tolike polemike, jer su rukovaoci sada u ozbiljnom problemu da im se ne izrekne kazna koja može, na kraju krajeva, značiti i kraj njihovog biznisa. Sa druge strane, GDPR nameće obavezu kompanijama-rukovaocima da transformišu svoje poslovanje tako da se sa ličnim podacima koje obrađuju ophode sa mnogo više pažnje i transparentnosti, da ih obrađuju samo ukoliko postoji pravni osnov za to, da svedu obradu takvih podataka na minimum i slično. Za to nije dovoljna samo formalna implementacija u vidu sastavljanja odgovarajućih pravnih dokumenata čisto reda radi, nego i sistemska edukacija zaposlenih u vezi sa načinom obrade ličnih podataka i vršenje monitoringa da li se lični podaci unutar kompanije zaista obrađuju u skladu sa važećom regulativom.

U zavisnosti od veličine kompanije i količine podataka o ličnosti koje obrađuje, GDPR implementacija može da bude i skupa i da zahteva određeni broj internih organizacionih promena. Iz tih je razloga GDPR ’bolna tema’ za mnoge kompanije, te se neretko, iz biznis perspektive, na nju gleda kao na nužno zlo. Sa druge strane, ona je tu da štiti interese građana, zaštiti ih od zloupotreba njihovih podataka u doba četvrte industrijske revolucije u kojoj je prisustvo na online platformama gotovo neizbežno, i omogući ljudima da zaista povrate kontrolu nad svojim ličnim podacima.

Veoma je slična situacija i sa našim ZZPL-om, budući da sadrži odredbe slične (ili iste) GDPR-u, ali sa jednom bitnom razlikom – kazne koje ZZPL propisuje za kršenje zakona su neuporedivo niže i kreću se u rasponu od 50.000 – 2.000.000. RSD za pravno lice, odnosno od 20.000-500.000 za preduzetnika.

Da li se, pored našeg zakona, na vas primenjuje i GDPR?

Ukoliko ste sprska kompanija koja svoje proizvode ili usluge prodaje na EU tržištu, velike su šanse da će se na vas, pored našeg zakona, primenjivati i GDPR.

Na primer, ukoliko ste srpska kompanija koja ima sajt na engleskom jeziku ili nekom drugom EU jeziku, omogućavate online plaćanje iz inostranstva, imate marketing strategiju za poslovanje u EU, GDPR će se primenjivati i na vaše poslovanje. Ovo su samo neki od primera načina na koje vaša kompanija može da targetira EU građane sa ciljem prodaje roba ili usluga. Ukoliko samo sporadično obrađujete podatke EU građana, to nije dovoljan razlog da se na vas primenjuje GDPR, ali ćete morati da primenjujete naš zakon. Neki od očiglednih primera srpskih kompanija na koje će se primenjivati GDPR su IT kompanije koje razviju neku aplikaciju koju će koristiti i EU građani, ili, na primer, kompanija koja napravi video igricu sa ciljem da je distribuira na EU tržištu.

Okolnost da se na vašu sprsku kompaniju primenjuje i GDPR vas ostavlja ranjivim za kazne koje mogu iznosti do neverovatnih 20 miliona EUR ili do 4% ukupnog godišnjeg prihoda, koja god je od navedenih cifara veća.  Međutim, nema potrebe da za GDPR implementaciju angažujete skupe EU advokate, jer implementacijom našeg ZZPL-a u vaše poslovanje, istovremeno vršite i GDPR implementaciju, budući da su ova da propisa izuzetno slična.

 

Šta sve morate uraditi da biste se uskladili sa novim zakonom

 

Mapirajte podatke

Najpre, morate da ’upoznate sebe’, odnosno da izmapirate koje lične podatke vaša organizacija prikuplja. Na ovaj način stvarate početni inventar podataka i definišete data flow (momenat prikupljanja podatka, kako se on kreće kroz organizaciju, ko mu ima pristup, da li se deli nekom trećem licu, na kom se serveru čuva, da li se iznosi iz Srbije itd).

Poenta mapiranja je da definišete koje su to baze podataka koje prikupljate. Primera radi, to mogu biti baze podataka koje se odnose na zaposlene, na kandidate za posao, na klijente, na ljude koji primaju vaš newsletter i slično – to varira od organizacije do organizacije.  Kada imate definisane baze podataka o ličnosti i informacije o tome koliko dugo se ovi podaci čuvaju, zašto se čuvaju, po kom pravnom osnovu, ko im ima pristup, sa kim se eventualno dele, da li se transferišu van Srbije i slično, možete napraviti gap analizu i činjenjično stanje uporediti sa ZZPL-om. Za ovo će vam, po svemu sudeći, biti potreban pravnik koji se razume u materiju zaštite podataka o ličnosti. Takav pravnik mora da, u gap analizi, identifikuje sve eventualne nedostatke činjeničnog stanja i dâ predloge šta se sve mora preduzeti u cilju usklađivanja sa zakonom.

Obrišite podatke koji vam ne trebaju

Ako gap analiza utvrdi da nemate pravni osnov da obrađujete neki podatak, morate ga naknadno pronaći, u suprotnom, takav podatak ne smete više obrađivati. Ili, ukoliko godinama čuvate neki podatak a više vam ne treba, najbolje je rešenje da ga obrišete. Zapamtite, minimizacija podataka je jedno od osnovnih načela našeg zakona i GDPR-a, a ovo znači da prikupljate i obrađujete samo one lične podatke koji su vam objektivno potrebni za funkcionisanje biznisa – sve ostalo trebate obrisati ili anonimizovati.

Vodite evidencije o obradi i usvojite politiku privatnosti

Iako je implementacija ZZPL-a (i GDPR-a) u poslovanje i te kako individualna i zavisi od okolnosti specifičnih za svaku organizaciju-rukovaoca, ipak postoje neki generalni saveti koji se mogu dati. Najpre, potrebno je da rukovalac vodi evidencije baza podataka o ličnosti koje obrađuje i da ih redovno ažurira. U tim evidencijama piše o kojoj se bazi podataka radi, koliko dugo se podaci čuvaju, koje su to kategorije podataka, kome se dele, da li se iznose van Srbije, koliko se dugo čuvaju i po kom pravnom osnovu se obrađuju. Dovoljno je da imate Excel tabelu sa evidencijama o obradi, koju će ovlašćena osoba unutar organizacije ažurirati i kontrolisati.

Izuzetno je bitno da imate i internu politiku privatnosti, dokument koji će objašnjavati koje baze organizacija prikuplja i u koje svrhe, kako ih čuva, ko će, unutar kompanije, imati pristup takvim podacima, kao i koje je tehničke mere kompanija preduzela da zaštiti integritet podataka.

Ukoliko ste web platforma koja prikuplja podatke posetioca ili kompanija čiji je biznis orjentisan na veći broj korisnika, trebalo bi da na svom sajtu objavite eksternu politiku privatnosti, koja će obavestiti posetioce sajta i vaše korisnike koje njihove podatke prikupljate i zašto, koja su njihova prava u vezi sa tim podacima, kako vas mogu kontaktirati i slično. Vrlo je korisno i da imate obrazac pristanka (eng. consent form) za prikupljanje saglasnosti za obradu ličnih podataka, u slučajevima kada vam je takva saglasnost potrebna.

Naravno, vođenje evidencija i posedovanje interne i eksterne politike privatnosti ne moraju da budu jedini koraci u pravnoj implementaciji. U nekim situacijama morate imati i DPO-a (Data Protection Officer) –  lice koje se u okviru kompanije stara o obradi ličnih podataka, kao i niz drugih internih dokumenata.  Čak i ukoliko se zakonska obaveza imenovanja DPO-a ne odnosi na vas, ukoliko ste veća kompanija, veoma je korisno da ipak imenujete ovakvu osobu, jer će se ona starati da je vaša kompanija stalno usklađena sa relevantnim propisima.

Sprovedite odgovarajuće tehničke i organizacione mere i edukujte zaposlene

Potrebno je razumeti da implementacija ZZPL-a (odnosno GDPR-a) ne sme da se svede na usvajanje pravnih dokumenata. Ovo je samo prvi korak ka implementaciji. Najpre, potrebno je da usvojite organizacione i tehničke mere koje smatrate prikladnim, kako bi ste odredili ko unutar kompanije ima pristup podacima, na koji način se oni fizički ili digitalno čuvaju, koje ste tehničke mere sproveli da zaštitite njihov integritet od neovlašćenog pristupa (enkripcija, anonimizacija, korišćenje lozinki, autentifikacija i slično).

Takođe, jednom postavljeni pravni, tehnički i organizacioni temelji nisu dovoljni – morate vršiti monitoring činjeničnog stanja i starati se da se zakonski principi i obaveze  zaista i konstantno poštuju. Za ovo je potrebno da edukujete relevantne zaposlene o tome šta zaštita podataka o ličnosti podrazumeva. Pre nego da krenete u implementaciju, savetujemo da relevantnim zaposlenim održite trening o zaštiti podataka o ličnosti i zakonskim novinama i na taj način podignete svest o značaju ovakve zaštite.

Dostupni resursi

Ukoliko želite da se sami upoznate sa materijom zaštite podataka o ličnosti pre angažovanja eksternih konsultanata, već sada su vam dostupni određeni resursi. Možete otići na sajt https://gdpr.mojipodaci.rs/home i upoznati se sa osnovnim pravima i obavezama vaše organizacije u vezi sa zaštitom ličnih podataka, a navedeni resurs ima i generator politika privatnosti u zavisnosti od podataka koje unesete.


Gostujući autor
Dunja Tasić
Dunja Tasić

Dunja Tasić je advokat i jedna od članica CyberAvocado tima. Specijalizovana je u oblasti zaštite podataka od ličnosti, korporativnog, medijskog, ugovornog i prava intelektualne svojine. Učestvovala je na više projekata GDPR usaglašavanja i svetovala IT start–upe i telekomunikacione kompanije u vezi sa kreiranjem različitih onlajn servisa i zaključenja cloud i hosting ugovora, kao i medijske i marketinške agencije u vezi sa rešavanjem medijskih sporova i pitanjima vezanim za digitalni marketing.

Podelite

Povezani članci

Kontaktirajte nas

Pošaljite nam svoje mišljenje

Popunite formu