Zašto je bitna usklađenost sa propisima koji regulišu zaštitu podataka?
Ključna karakteristika zaštite podataka se odnosi na umanjenje rizika povezanih sa neusklađenosti sa propisima i bezbednosnim propustima. Ako gledamo iz ugla kompanije, zaštita podataka doprinosi poverenju među kupcima i zaposlenim, čuva reputaciju i održava finansijsku stabilnost.
Neusklađenost sa relevantnim propisima može da dovede do pravnih sankcija i gubitka poverenja na tržištu. U današnje vreme, ulaganje u zaštitu podataka postalo je esencijalno za održivost poslovanja.
U ovom tekstu predstavljamo par primera iz prakse sa kojima se kompanije mogu susresti u svojoj svakodnevnoj praksi.
Osnovne definicije
Zakon o zaštiti podataka o ličnosti kaže da je podatak o ličnosti svaki podatak koji se odnosi na fizičko lice, čiji je identitet određen ili odrediv, neposredno ili posredno, a posebno na osnovu oznake identiteta, kao što su, na primer, ime i identifikacioni broj, podatak o lokaciji, identifikator u elektronskim komunikacionim mrežama ili jedno obeležje odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.
Obrada podataka o ličnosti definiše se kao svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima. Te radnje su, na primer, prikupljanje, beleženje, razvrstavanje, grupisanje, strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom odnosno dostavljenjem, umnožavanjem, širenjem ili na drugi način činjenje dostupnim kao i upoređivanje, ograničavanje, brisanje ili uništavanje.
Kao što vidite, definicije su obimne. Upravo zato razumevanje primera iz prakse pomaže samom razumevanju zakonskih propisa koji regulišu zaštitu podataka, bilo da se radi o našem Zakonu o zaštiti podataka o ličnosti ili GDPR-u.
Nadalje, rukovalac zaštite podataka o ličnosti definiše se kao fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade.
Podaci o ličnosi moraju se obrađivati na zakonit, pošten i transparentan način u odnosu na lice na koje se oni odnose. Obrada podataka o ličnosti mora da bude neophodna i ograničena u odnosu na svrhu obrade što predstavlja princip minimizacije podataka.
Od osnovnih odredbi treba još navesti i član 12 Zakona o zaštiti podataka o ličnosti koji odgovara na pitanje kada je obrada zakonita. Odnosno, obrada je zakonita ako je ispunjen jedan od šest propisanih uslova.
Vršenje video nadzora i zaštita podataka o ličnosti
Poverenik za zaštitu podataka o ličnosti utvrdio je jednom prilikom da je prilikom obezbeđivanja objekata, vršenjem video-nadzora, rukovalac povredio odredbe zakona jer je snimanjem putem kamera omogućio pristup trećim licima putem aplikacije u realnom vremenu. Ovaj primer naveden je u Publikaciji br. 9 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika br. 072-04-2514/2023-07.
Poverenik je rukovaocu u ovom slučaju izrekao opomenu s obzirom na odredbe Zakona o zaštiti podataka o ličnosti koje se odnose na načela zakonitosti, poštenja i transparentnosti kao i načela minimizacije podataka. Naveden je član 31 Zakona o privatnom obezbeđenju koji propisuje da tehnička sredstva koja se koriste u obavljanju poslova privatnog obezbeđenja nije dozvoljeno koristiti na način kojim se narušava privatnost drugih.
Ako je svrhu moguće postići manje invanzivnim metodama nego što je neprekidno praćenje zaposlenih putem video nadzora, onda treba koristiti manje invanzivne metode. Podaci se prikupljaju u svrhe koje su određene, izričite, opravdane i zakonite, a načelo minimizacije podataka nam kaže da prikupljeni podaci trebaju da budu primereni, bitni i ograničeni na ono šta je neophodno u svrhu obrade. Pa je tako u praksi Poverenika utvđeno da blagovremeno postupanje lekara po prijemu poziva i dispečera radi pružanja pomoći pacijentima rukovalac može ostvariti i manje invanzivnim metodama nego što je neprekidno praćenje postupanja i ponašanja zaposlenih putem video nadzora (Publikacija br. 6 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika, br. 072-04-1409/2020-07, od 31.8.2020).
Rešenja iz Evropske prakse
U predmetu br. 0603-47/2023/5 Poverenika za zaštitu podataka Republike Slovenije od dana 24.10.2023. godine utvrđeno je da rukovalac nagledao radne prostorije putem video nadzora u prevelikom obimu da bi se obrada mogla zasnivati na legitimnom interesu.
U predmetu broj Deliberation n 47FR/2021 od 01.12.2021. Luksemburški Poverenik za zaštitu podataka o ličnosti kaznio je transportnu kompaniju u iznosu od 6800 evra zbog nepoštivanja principa minimizacije podataka jer nije ograničila vido polje svojih sistema za video nadzor kao i zbog nedovoljnog informisanja svojih zaposlenih i trećih strana o postojanju tih sistema.
Nadalje, Poverenik za zaštitu podataka u Estoniji utvrdio je u predmetu br. 2.1.-4/22/2585 od 06.12.2022. godine da upotreba CCTV kamera za nadzor zaposlenih ne može biti zasnovana na pristanku, već samo na legitimnom interesu prema članu 6 (1)(f) GDPR-a, pod uslovom da je sprovedena validna procena interesa.
Da li je opravdano prikupljati biometrijske podatke kao identifikator dolaska i odlaska sa posla?
Član 17 stav 1 Zakona o zaštiti podataka o ličnosti zabranjuje obradu podataka kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obradu genetskih podataka, biometrijskih podataka radi jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu te seksualnoj orijentaciji fizičkog lica. Obrada ovih podataka je ipak izuzetno dopuštenima u slučajevima propisanim Zakonom i kada je lice na koje se ti podaci odnose dalo pristanak na obradu za jednu ili više svrha obrade (osim u slučajevima kada je propisano da se obrada ne vrši na osnovu pristanka lica).
Iz Publikacije br. 6 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika br. 073-14-1929/2019-02 od 05.11.2019. godine saznajemo da za obradu u kontektstu kontrole izvršavanja obaveza zaposlenih, usled očigledne nesrazmere moći između poslodavca i zaposlenog, pristanak se ne bi mogao smatrati dobrovoljnom izjavom volje u smislu Zakona, pa time ne bi bio ni zakonit pravni osnov za obradu podataka.
Naime, Zakon o zaštiti podataka je propisao da je pristanak lica na koje se podaci odnose svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim se to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose.
Sada imamo jedno veliko ‘ali’- izjava volje fizičkog lica bez mogućnosti njene izmene ili opoziva ne može se smatrati punovažnim pristankom.
Revizija i zaštita podataka?
Prvo pitanje na koje smo naišli u praksi se odnosi na zakonsku reviziju i pitanje da li subjekt revizije kao rukovalac podacima i revizorska kuća, kao obrađivač, trebaju da zaključe ugovor o obradi podataka ili revizorska kuća postupa kao treća strana prilikom vršenja revizije.
Da ponovimo definicije- rukovalac se definiše kao lice koje samostalno i zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti, a obrađivač se definiše kao lice koje obrađuje podatke o ličnosti u ime rukovaoca. Ko će biti rukovalac, a ko obrađivač jeste pitanje koje se određuje u svakom individualnom slučaju u odnosu na okolnosti.
Prema stavu Poverenika (Publikacija br. 8 Zaštita podataka o ličnosti: Stavovi, mišljenja i praksa Poverenika br. 073-14-233/2022-02), privredno društvo koje vrši zakonsku reviziju finansijskih izveštaja određenog privrednog subjekta i time obrađuje podatke o ličnosti koji su potrebni za vršenje zakonom određenih obaveza, postupa kao rukovalac u skladu sa članom 12 stav 1 tačka 3 Zakona o zaštiti podataka o ličnosti. Dalje je navedeno da se ne može isključiti mogućnost da društvo za reviziju ima svojstvo zajedničkog rukovaoca ili obrađivača u pogledu drugih usluga koje pruža, ali da u odnosu na zakonsku reviziju postupa kao rukovalac.
Da svojstvo svakog od učesnika u pojedinačnim slučajevima obrade podataka o ličnosti zavisi od konkretnih okolnosti slučaja nalazimo i kod pitanja da li su privredna društva koja obavljaju poslove revizije i računovodstva, u odnosima prema klijentima rukovaoci ili obrađivači i da li imaju obavezu da izvrše procenu uticaja radnji obrade na zaštitu podataka o ličnosti pri obradi posebnih vrsta podataka.
Odgovor na zakonsku reviziju je već predočen, a u ovom slučaju imamo jasno razgraničen stav Poverenika (Publikacija br. 6 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika br. 073-14-2406/2019-02). Kaže ovako- ukoliko je privredno društvo koje se bavi revizijom i računovodstvom nezavisno i samostalno u pružanju usluga za koje je angažovano i na bilo koji način može da odredi svrhu ili način obrade (ili su svrha ili način obrade određeni zakonom), to privredno društvo bi se trebalo smatrati rukovaocem.
Sa druge strane, ukoliko to privredno društvo za reviziju i računovodstvo postupa po uputstvima klijenta i vrši obradu podataka prilikom pružanja usluga klijentu, saglasno zaključenom ugovoru, čime izvršava svoju ugovornu ili zakonsku obavezu, smatra se obrađivačem u odnosu na tu konkretnu obradu.
Napominjemo opet- deinisanje svojstava učesnika se vrši u svakom pojedinačnom slučaju. Ukoliko postoje nedoumice u definisanju svojstava, uvek je preporučljivo konsultovati se sa advokatskom kancelarijom specijalizovanom za zaštitu podataka o ličnosti.
Iz Evropske prakse
Španski Poverenik za zaštitu podataka kaznio je jednu revizorsku kompaniju kaznom od 3000 evra zbog bezbednosnog incidenta. Poverenik je utvrdo da je došlo do povrede člana 5 (1) (f) jer je došlo do curenja ličnih podataka bez pristanka subjekta. Dodatno je utvrđeno da je došlo do povrede člana 32 (1) jer revizorska kompanija nije imala odgovarajuće tehničke i organizacione mere kako bi obezbedila adekvatnu zaštitu u ovakvim situacijama (predmet br. PS/00483/2020).
Kada se vrši Procena uticaja na zaštitu podataka o ličnosti?
Član 54 Zakona o zaštiti podataka o ličnosti nam kaže da ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
Nadalje, prilikom procene uticaja rukovalac mora da zatraži mišljenje lica za zaštitu podataka o ličnosti ako je ono određeno.
Propisano je kada se vrši obavezna procena uticaja- dakle, procena uticaja se obavezno vrši u slučaju sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti (uključujući i profilisanje) na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način utiču na njega. Nadalje, obavezno se vrši u slučaju sistematskog nadzora nad javno dostupnim površinama u velikoj meri te prilikom obrade posebnih vrsta podataka o ličnosti sukladno članu 17 stavu 1 (rasno ili etničko poreklo, političko mišljenje, genetski podaci…), članu 18 stavu 1 te podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19, i to u velikom obimu.
Ukoliko procena uticaja na zaštitu podataka koja je izvršena u skladu sa članom 54 ukazuje da će radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac mora, prema članu 55, da zatraži mišljenje Poverenika pre započinjanja ovih radnji (ova odredba se ne primenjuje na obradu koju vrše nadležni organi u posebne svrhe.
Kada pravno lice koje zapošljava manje od 250 lica mora da vodi evidenciju radnji obrade?
Članom 47 propisana je obaveza vođenja evidencija radnji obrade. Propisano je da se ova obaveza ne primenjuje na privredne subjekte i organizacije koji zapošljavaju manje od 250 lica, osim ako obrada može da prouzrokuje visok rizik po prava i slobode lica na koje se odnose i ako obrada nije povremena.
U Publikaciji br. 6 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika br. 073-14-1788/2019-02 razjašnjeno je da broj zaposlenih nije jedini uslov pa ako privredni subjekt ima manje od 250 zaposlenih lica, ali obavlja neku redovnu obradu podataka o ličnosti, potpada pod obavezu propisanu članom 47.
Ukoliko zanemarimo sada činjenicu da je u određenim okolnostima obaveza, evidencija radnji obrade se smatra korisnim sredstvom pomoću kojeg rukovaoci i obrađivači mogu da predoče i potvrde svoju usuglašenost sa zakonskim propisima.
Prenos poslovanja i zaštita podataka
Šta se radi ukoliko dođe do prenosa celokupnog poslovanja sa jednog pravnog lica koje u okviru svoje delatnosti kao rukovalac obrađuje velik broj podataka o ličnosti, na drugo pravno lice? Odnosno, da li se dovodi u pitanje osnovanost obrade podataka o ličnosti za koje je saglasnost već data, da li bi pristanak trebao ponovo da se traži ili je dovoljna na transparentan način obavestiti ta lica o promeni rukovaoca?
U skladu sa mišljenjem Poverenika (Publikacija br. 7 Zaštita podataka o ličnosti: Stavovi i mišljenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti 073-14-2509/2021-02), svaki rukovalac dužan je da obezbedi odgovarajući valjan pravni osnov za obradu podataka koju vrši. To znači da se pristankom kao pravnim osnovom ne može raspolagati odnosno ustupati drugom rukovaocu. Pre otpočinjanje bilo koje radnje obrade podataka o ličnosti (uključujući i dostavljanje ili na drugi način činjenje dostupnim podataka o ličnosti) mora da se obezbedi odgovarajući pravni osnov. Prilikom ocene da li je pristanak za obradu podataka posebno dat, mora da se povede računa o tome da li se za izvršavanje ugovora, što uključuje i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.
Ako se podaci o ličnosti prenose u druge države ili međunarodne organizacije potrebno je da budu ispunjeni i uslovi koji se odnose na prenos podataka prema odredbama članova 63 do 72 Zakona o zaštiti podataka o ličnosti.
Odgovor na ovo pitanje nije jednostavan već opet, zavisi od konkretnih okolnosti svakog pojedinačnog slučaja.
Iz Evropske prakse
U predmetu broj 9860553 Poverenika za zaštitu podataka Italije od dana 15.12.2022. godine, kažnjena je AssitecaSpa, kompanija za osiguranje, sa 120.000 evra zbog nezakonite obrade podataka usled nedostatka pristanka i dugoročnog čuvanja podataka. Povrede su mogle da nastanu u vezi problema u integraciji IT sistema nakon spajanja kompanija i prenosa poslovanja.
Prilikom donošenja ove odluke, italijanski Poverenik se osvrnuo na 4 problema. Prvo, utvrđeno je da je AssitecaSpa, nakon spajanja kompanija, zadržala podatke gotovo 9700 korisnika prethodne kompanije bez njihovog znanja te je izložila njihove podatke potencijalnoj obradi u promotivne svrhe, čak i sa nedostatkom pristanka. Poverenik je utvrdio da je, usled sistemske greške, volja korisnika bila nepravilno implementirana jer je pristanak dat nenamerno sistemu nakon pristupa mejlovima sa ponudama za auto osiguranje. Kompanija se branila da je ovo bilo prouzrokovano tehničkim problemima.
Poverenik je nadalje utvrdio da informacije pružene korisnicima nisu bile dovoljno jasne, a naročito u vezi sa transferima trećih strana i profilisanjem. Tekst obaveštenja je naknadno izmenjen dajući jasniji prikaz radnji obrade i pravnih osnova.
Treće, utvrđeno je da kompanija nije unapred definisala periode čuvanja podataka za pojedinačne svrhe, čime je prekršen član 5(1)(e) GDPR-a. I poslednje, Poverenik je primetio prisustvo neadekvatnih tehničkih mera za obradu podataka, ali nije u ovom pogledu sankcionisao kompaniju radi nedavne izvršene integracije dva različita korporativna sistema i promena koje je kompanija napravila da popravi stanje u kojem se našla.
Napomena: ovaj tekst ne predstavlja pravni savet nego lično mišljenje autora.
