Novi Zakon o zaštiti podataka o ličnosti – ključne novine (II deo)

Novi Zakon o zaštiti podataka o ličnosti počeo je sa primenom 21.08.2019. godine. U seriji tekstova koje preuzimamo, kolege iz advokatske kancelarije Žunić pojašnjavaju ključne novine koje nam je doneo novi Zakon. U prethodnom tekstu Tik-Tak, sat otkucava…Novi Zakon o zaštiti podataka o ličnosti počinje sa primenom – Da li ste se uskladili? objasnili smo kada se Zakon primenjuje, šta podrazumeva podatak o ličnosti i koja su to načela i pravni osnovi obrade. U ovom tekstu objašnjavamo tehničke mere zaštite, pojam lica za zaštitu podataka o ličnosti i prava lica čiji se podaci obrađuju.

novi zakon o zaštiti podataka o ličnosti, GDPR advokat

TEHNIČKE MERE ZA ZAŠTITU PODATAKA O LIČNOSTI

saglasnost za obradu podataka o licnosti

Bezbednost podataka o ličnosti predstavlja jedan od ključnih principa na kojima je zasnovan novi Zakon o zaštiti podataka o ličnosti. Tako, Zakon nalaže rukovaocu da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi se obrada podataka o ličnosti vršila u skladu sa Zakonom, pri čemu rukovalac treba da vodi računa o prirodi, obimu, okolnostima, svrsi obrade, verovatnoći nastupanja rizika i stepenu rizika za prava i slobode fizičkih lica.

U slučaju potrebe, rukovalac mora biti u stanju da predoči da je postupio u skladu sa ovom zakonskom obavezom.

Iako na prvi pogled izgleda da je ova odredba neprecizna, Zakon se zapravo ugleda na pristup koji je zauzet u Opštoj uredbi o zaštiti podataka o ličnosti EU (GDPR), koji uzima u obzir rapidan tehnološki razvoj i različite oblasti u kojima se vrši obrada podataka o ličnosti, te se iz tog razloga ustručava da detaljnije nabraja koje su to „tehničke, organizacione i kadrovske mere” koje rukovalac treba da preduzme.

Jednom implementirane zaštitne mere ne treba posmatrati kao večne i nepromenjive, već bi rukovalac trebalo da ih preispituje i ažurira, po potrebi.

Bezbednost obrade podataka o ličnosti podrazumeva da rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere, u cilju obezbeđivanja odgovarajućeg nivoa bezbednosti podataka o ličnosti u odnosu na konkretni rizik po njihovu bezbednost. Pri tome, treba uzeti u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.

Koliko je važno da primenite navedene mere, najbolje pokazuje činjenica da je veliki broj kazni za nepoštovanje GDPR-a izrečen baš zbog nedovoljnog nivoa tehničkog obezbeđenja. Na primer: 204.000.000,00 evra, je kazna izrečena kompaniji British Airways u Velikoj Britaniji, zbog povrede podataka usled hakerskog napada, kako smo to ranije objasnili u tekstu Kompanijama British Airways i Marriott International prete astronomske kazne zbog kršenja GDPR-a.

ŠTA NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI PREDVIĐA KAO MERE ZAŠTITE?

PROCENA RIZIKA

Kako biste mogli da odaberete odgovarajuće mere za Vašu kompaniju, najpre je potrebno identifikovati koje opasnosti prete bezbednosti podataka o ličnosti koje obrađujete, kao i kolike su šanse da te opasnosti i mogućnosti postanu stvarnost.

Primer:

Ukoliko obrađujete podatke o ličnosti u elektronskom obliku, rizici koji prete njihovoj bezbednosti mogu uključivati neovlašćeni pristup bazama podataka, izmenu ili brisanje podataka o ličnosti, fizička oštećenja servera i drugog hardvera na kojima se čuvaju podaci, odnosno koji se koriste za druge radnje obrade, usled požara, poplave i sl.

MERE ZAŠTITE OD RIZIKA

A. PSEUDONIMIZACIJA

Pseudonimizacija predstavlja obradu podataka o ličnosti koja onemogućava povezivanje podataka o ličnosti sa određenim fizičkim licem, na koje se ti podaci odnose, bez korišćenja dodatnih podataka. Drugim rečima, pseudonimizacija „prikriva” fizičko lice na koje se podaci odnose, ali je ipak moguće utvrditi identitet lica korišćenjem dodatnih podataka. Vrlo je važno da dodatne podatke čuvate posebno, kao i da preduzmete tehničke, organizacione i kadrovske mere u cilju sprečavanja da se podaci o ličnosti mogu pripisati određenom ili odredivom fizičkom licu.

B. ANONIMIZACIJA

Anonimizacija predstavlja obradu čiji je rezultat trajna nemogućnost utvrđenja identiteta fizičkog lica na koje se podaci odnose. Momentom kada ste anonimizovali podatke, nemate više obavezu da sa takvim podacima postupate u skladu sa Zakonom o zaštiti podataka o ličnosti.

C. ENKRIPCIJA

Enkripcija podataka je metod zaštite kojim se informacije kriptuju i omogućava se pristup samo onom licu koje poseduje enkripcioni ključ. Kriptovani podaci se pojavljuju u nečitljivom obliku svakom ko želi da im pristupi bez enkripcionog ključa.

D. SISTEM OVLAŠĆENJA I ULOGA

Zbirke podataka o ličnosti se moraju čuvati daleko od očiju lica koja nemaju ovlašćenja da vrše uvid u takve zbirke u okviru same kompanije. Proces usklađivanja sa novim Zakonom o zaštiti podataka o ličnosti podrazumeva da se jasno utvrde prava, obaveze i odgovornosti zaposlenih u pogledu čuvanja i korišćenja zbirki podataka o ličnosti. Neki podaci mogu biti dostupni svim zaposlenima u kompaniji (na primer: poslovne email adrese), dok drugi podaci mogu biti dostupni samo zaposlenim licima sa posebnim ovlašćenjima (na primer: pojedinim licima u okviru službe ljudskih resursa).

OBAVEŠTAVANJE POVERENIKA O POVREDI PODATAKA O LIČNOSTI

Novim Zakonom se ukida Centralni registar zbirki podataka. Više ne postoji obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka.

Ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, odnosno obrađivača, a o zakonitosti takve obrade vodiće računa onaj ko podatke obrađuje.

Ipak, ovo ukidanje obaveze ne znači da je pozicija kompanija bolja ili da će rukovaocima ili obrađivačima u budućnosti biti lakše. Suštinski, veliki teret odgovornosti je prebačen na kompanije. U postupku prijave zbirke podataka o ličnosti, kancelarija Poverenika je davala uputstva i savete kompanijama, a njihova obrada podataka je dobijala svojevrsnu formalnu potvrdu legalnosti i legitimnosti. Time se radilo na prevenciji potencijalnih problema. Sada, kompanije nemaju više taj „luksuz” i same moraju da vrše procenu kakva obrada je zakonita. To znači da kompanije sada snose neuporedivo veći rizik.

OBAVEŠTAVANJE LICA NA KOJE SE PODACI ODNOSE O POVREDI

Ako postoji opasnost da povreda podataka proizvede visok rizik po prava i slobode fizičkih lica, rukovalac mora da obavesti lice na koje se podaci odnose, bez nepotrebnog odlaganja, izuzev ukoliko je rukovalac preduzeo odgovarajuće mere kao reakciju na povredu.

Možemo primetiti da jedino visok rizik po prava i slobode fizičkih lica dovodi do obaveze obaveštavanja lica na koja se podaci odnose, dok se u slučaju manje značajnog rizika mora obavestiti Poverenik.

zakon o zaštiti podataka o ličnosti 2019, politika privatnosti sajta

LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Kada se određuje?

U načelu, rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti, ali nemaju obavezu da to učine. Ipak, kada su u pitanju privredni subjekti, novi Zakon o zaštiti podataka o ličnosti nalaže obavezno određivanje lica za zaštitu podataka o ličnosti ukoliko se:

  • Osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koja se podaci odnose;
  • Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u obradi posebnih vrsta podataka o ličnosti (u vezi sa rasnim ili etničkim poreklom, političkim mišljenjem, verskim uverenjem i sl.) u velikom obimu.

Ako rukovalac, odnosno obrađivač sa svojstvom pravnog lica ne odredi lice za zaštitu podataka o ličnosti u navedenim slučajevima, biće novčano kažnjen za prekršaj u rasponu od 50.000,00 – 2.000.000,00 dinara.

Rukovalac ili obrađivač dužni su da objave kontakt podatke lica za zaštitu podataka o ličnosti i da ih dostave Povereniku.

Kako da angažujemo lice za zaštitu podataka o ličnosti u našoj kompaniji (kod rukovaoca ili obrađivača)?

  • Na osnovu zaposlenja.
  • Na osnovu drugog ugovora.

Položaj lica za zaštitu podataka o ličnosti

Lice za zaštitu podataka o ličnosti stoji na raspolaganju licima na koja se podaci odnose, koja mu se mogu obratiti u vezi sa svim pitanjima koja se odnose na  obradu njihovih podataka, kao i u vezi sa ostvarivanjem njihovih prava.

Za izvršavanje svojih zakonskih obaveza, lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.

Novi Zakon o zaštiti podataka o ličnosti dozvoljava da lice za zaštitu podataka o ličnosti, pored poslova u vezi sa zaštitom podataka o ličnosti kod rukovaoca ili obrađivača, obavlja i druge poslove i izvršava druge obaveze, pri čemu su rukovalac ili obrađivač dužni da obezbede da izvršavanje drugih poslova i obaveza ne dovede ovo lice u sukob interesa.

Koje su obaveze lica za zaštitu podataka o ličnosti?

  • Da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade, о njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
  • Da prati primenu odredbi Zakona o zaštiti podataka o ličnosti i drugih zakona, kao i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
  • Da daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i da prati postupanje po toj proceni;
  • Da predstavlja kontakt tačku za saradnju sa Poverenikom i da se savetuje sa Poverenikom u vezi sa pitanjima koja se odnose na obradu podataka o ličnosti.

PRAVA LICA NA KOJA SE PODACI ODNOSE – OBAVEZE RUKOVAOCA

zakon o zaštiti podataka o ličnosti, lice za zaštitu podataka o ličnosti, implementacija GDPR, novi zakon o zaštiti podataka

PRAVO NA INFORMISANOST

Ako se prikupljaju podaci od lica na koje se ti podaci odnose, rukovalac mora da u trenutku prikupljanja podataka tom licu pruži Zakonom propisane informacije, kao što su: identitet i kontakt podaci rukovaoca, kontakt podaci lica za zaštitu podataka o ličnosti, o svrsi nameravane obrade i pravnom osnovu za obradu, o primaocima podataka, o roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu njegovih podataka i druge informacije.

PRAVO NA PRISTUP

Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i informacije o svrsi obrade, o vrstama podataka koji se obrađuju, o predviđenom roku čuvanja podataka o ličnosti, o pravima lica na koje se podaci odnose u pogledu obrade njegovih podataka i druge informacije.

Rukovalac je dužan da, na zahtev lica na koje se podaci odnose, dostavi kopiju podataka o ličnosti koje obrađuje, a koji se odnose na to lice.

PRAVO NA ISPRAVKU I DOPUNU

Ako postoje netačni podaci o ličnosti, lice na koje se ovi podaci odnose ima pravo da traži ispravku ovih podataka od rukovaoca bez nepotrebnog odlaganja.

Ako postoje nepotpuni podaci o ličnosti, u zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni svoje podatke o ličnosti.

PRAVO NA BRISANJE PODATAKA

Lice na koje se podaci odnose ima pravo da podnese zahtev rukovaocu za brisanje njegovih podataka o ličnosti od strane rukovaoca.

Rukovalac je obavezan da obriše podatke o ličnosti ako:

  • podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
  • lice na koje se podaci odnose je opozvalo svoj pristanak na osnovu kojeg se obrada vršila, a nema drugog pravnog osnova za obradu;
  • lice na koje se podaci odnose je podnelo prigovor na obradu svojih podataka o ličnosti;
  • podaci o ličnosti su nezakonito obrađivani;
  • podaci o ličnosti moraju biti obrisani u cilju izvršenja zakonskih obaveza rukovaoca.

Ako je rukovaoc javno objavio podatke o ličnosti, njegova obaveza brisanja podataka obuhvata i preduzimanje svih razumnih mera u cilju obaveštavanja drugih rukovalaca, koji te podatke obrađuju, da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.

PRAVO NA OGRANIČENJE OBRADE

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca u slučajevima:

  • Kada lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti ovih podataka;
  • Kada je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka i, umesto brisanja, zahteva ograničenje upotrebe podataka;
  • Kada rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
  • Kada je lice na koje se podaci odnose podnelo prigovor na obradu podataka, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.

PRAVO NA PRENOSIVOST PODATAKA

Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti, koje je prethodno dostavilo rukovaocu, prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili prvobitno dostavljeni, ukoliko:

1) obrada je zasnovana na pristanku lica na koje se podaci odnose ili na osnovu ugovora;

2) obrada se vrši automatizovano.

Pravo na prenosivost uključuje i neposredan prenos sa prethodnog na novog rukovaoca.

PRAVO NA PRIGOVOR

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu svojih podataka o ličnosti, koje se vrši u skladu sa javnim interesom ili izrvršenjem zakonskih ovlašćenja rukovaoca, odnosno legitimnim interesima rukovaoca ili treće strane, kao pravnim osnovima obrade.

Rukovalac je dužan da prekine sa obradom podataka lica koje je podnelo prigovor, osim ako može dokazati da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koja se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.

Konačno, u trećem i poslednjem tekstu iz naše serije tekstova o ključnim novinama koje sa sobom donosi novi Zakon o zaštiti podataka o ličnosti, bavimo se kaznenim odredbama novog Zakona.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Vojvodina ICT Cluster

Vojvodina ICT Cluster