Obrađivač podataka o ličnosti – prava i obaveze

Obrađivač podataka - prava i obaveze

Jedan od važnijih i čitanijih tekstova iz jula 2020. godine na PraviLaw blogu tiče se zaštite podataka o ličnosti, a ovaj tekst ima funkciju da produbi temu o kojoj je pisanu u ZAŠTITA PODATAKA O LIČNOSTI – PODIZANJE SVESTI I KRATAK UVOD U SVET LIČNIH PODATAKA.

Obrađivač podataka o ličnosti je u pomenutom tekstu samo šturo objašnjen iz odredba zakona, dok ćemo u ovom tekstu da se malo bliže upoznamo sa ovim pojmom.

Zašto je ovo važna tema u 2021. godini ?

Kao i u 2020. godini pandemija korona virusa COVID-19 nije počela da slabi ni malo. Sve veći broj obolelih od ovog opasnog virusa preplavljuje bolnice širom sveta – nego da ne zvučimo kao neka horor novela, pređimo na stvar.

Pri testiranju na aktuelnu “Koronu”, ako se utvrdi da smo pozitivni (što nikome ne želimo), odmah sledi mnoštvo pitanja, poput:

  • Sa kim živite?
  • Sa kim ste sve bili u kontaktu u poslednjih nekoliko dana?
  • Da li ste zaposleni? Gde?
  • Kada ste prvi put osetili simptome?

Šta su odgovori na prethodno postavljena pitanja? Mahom lični podaci – podaci o ličnosti.
U ovom slučaju primer “korone”, kao aktuelne teme uzet je kako bi se shvatilo koliko je zastupljeno obrađivanje Vaših ličnih podataka!

Popularni karantini, “lock-down”, preventivne mere kriznih štabova navele su ljude da mahom sede kod kuće i da u velikoj meri obavljaju kupovinu i svoje poslove ONLINE!
Tu smo!
Baš tako, ONLINE, u najvećoj meri se ostavljaju najviše ličnih podataka kojima neko rukuje i neko ih obrađuje.

Zbog svega što smo prethodno naveli, važno je da znamo ko je taj neko što obrađuje naše podatke, šta on sme, a šta ne bi trebalo da sme sa našim podacima, koje obaveze on ima prema podacima, ali i koja prava uživa u celom ovom procesu.

Šta je to obrađivač podataka o ličnosti?

Obrađivač – to je fizičko ili odgovorno lice u okviru pravnog lica, odnosno organa vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Šta ili ko to beše rukvalac ukratko?

Logično i samo ime kaže onaj ko rukuje ili poseduje naše podatke. Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade ličnih podataka. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje.

GDPR

Od kako je Evropska Unija usvojila Opštu uredbu o zaštiti podataka o ličnosti (popularni: GDPR), sa kojim je uskladila i naš Zakon o zaštiti podataka o ličnosti, mnogo pažnje je posvećeno rukovaocima i na taj način kao da je bačena senka na obrađivače podataka o ličnosti – što nije dobra stvar.

Retko će se dogoditi da rukovalac samostalno obavlja sve radnje koje se tiču obrade podataka o ličnosti koje njegova firma ili preduzeće poseduje – prosto ako je malo veće pravno lice, fizički je skoro neizvodljivo da jedno lice obrađuje ogromnu količinu podataka koje zasigurno mora da poseduje (hteli to ili ne). Recimo, kod isplate zarada i uopšteno usloga računovodstva, ili kada je reč o obezbeđivanju prostora i lica, firma/preduzeće/kompanija poverava poslove obrađivanja podataka nekom angažovanom licu, odnosno obrađivaču.

Poenta je da vrlo često angažovanje obrađivača nije stvar izbora, već je takav potez nužan, jer bez njih nije moguće raditi, a da u isto vreme budete usklađeni sa zakonom.

Sada kada ovo znamo, šta zapravo radi taj obrađivač podataka i kakve su njegova prava i obaveze?

Kad je reč o odnosu obrađivača i podacima o ličnosti, kao i licima na koja se podaci odnose, za razliku od rukovaoca, obrađivač nema direktan odnos ni prema svrsi obrade, odnosno cilju obrade podataka, kao ni prema pojedincu čije podatke obrađuje. Za obrađivača, obrada podataka je izolovan posao i može se reći nezavistan od same prirode podataka. Dokle god postupa u skladu sa zakonom i u skladu zahtevima nalogodavca (koji su takođe usklađeni sa zakonom), obrađivaču nije od presudnog značaja da li obrađuje podatke o dimenzijama objekata ili podatke koji se odnose na fizička lica.

Međutim, ovo ne znači da obrađivač nema nikakvu odgovornost, baš suprotno.

Zakon o zaštiti podataka o ličnosti jasno definiše obaveze obrađivača i to ih deli na opšte obaveze (odeljak IV – počevši od člana 45), koje se tiču obrađivača u generalnom smislu – dakle prisutne kod svih obrađivača nezavisno od obima podataka koji se obrađuju ili njihove prirode;
I posebne obaveze obrađivača.

Koje su to opšte obaveze obrađivača podataka o ličnosti?

Osnovna obaveza obrađivača je uređen odnos sa rukovaocem.

Šta to znači? Obrađivač:
– ili mora biti određen zakonom
– ili, najčešće, da poseduje ugovorom sa rukovaocem.
U našoj kratkoj praksi sa ovim Zakonom, retki su slučajevi određivanja obrađivača zakonom – možda se nešto promeni u budućnosti.

Iako je postojanje ugovora prevashodno obaveza rukovaoca, budući da on snosi odgovornost za celokupnu obradu podataka, ni obrađivač ne sme da primi podatke bez adekvatnog ugovora.

Najvećim delom, sama sadržina ugovora rukovaoca i obrađivača uređena je Zakonom o zaštiti podataka o ličnosti (član 45, stavovi 3, 4, 5, 6, ).

Dakle, obaveza broj JEDAN (1) jeste UGOVOR sa rukovaocem!

Poverenik i njegov odnos prema obrađivaču

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (dalje: Poverenik), u skladu sa Zakonom o zaštiti podataka o ličnosti (član 45. stav 10) doneo je Odluku o utvrđivanju standardnih ugovornih klauzula, koje mogu poslužiti kao model ugovora između rukovaoca i obrađivača.

Standardne ugovorne klauzule Poverenika, izrazito su značajne za sve rukovaoce koji imaju nameru da obradu podataka o ličnosti povere nekom licu van teritorije Srbije.

Obavezni sadržaj ugovora

(ovo važi kada se ne koriste Poverenikov model ugovora)

U ugovoru mora biti jasno definisano da je obrađivač dužan da:

  1. obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, uključujući i uputstvo u odnosu na prenošenje podataka o ličnosti u druge države ili međunarodne organizacije;
  2. ako dođe do prenošenja podataka iz tačke 1. dužan je pre započinjanja obrade/prenosa da obavesti rukovaoca;
  3. obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
  4. se obaveže da preduzme sve potrebne mere u pogledu bezbednosti obrade, kao i da pomaže rukovaocu u slučaju povrede podataka i obaveštavanja Poverenika o toj povredi;
  5. da pomaže rukovaocu u ispunjavanju njegovih obaveza u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose;
  6. nakon isteka ugovora i ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka;
  7. se ograniči da poverava podatke nekom drugom licu u svrhu obrade (nekom drugom obrađivaču);
  8. učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom, kao i da omogući rukovaocu sve kontrole svog rada;

Evidencija obrađivača

Obaveza broj DVA (2) – VOĐENJE EVIDENCIJE

Važno je da obrađivač vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca. Dakle, reč je o dokumentaciji koju obrađivač priprema i čuva kao svoju, za svakog rukovaoca ponaosob, a ta ista dokumentacija, odnosno evidencija može biti predmet kontrole Poverenika kao nadzornog organa.

Šta sve evidencija traba da sadrži evidencija?

  1. Evidencija bi morala da prvenstveno sadrži informacije o rukovaoc ili o rukovaocima ukoliko ih ima više;
  2. Zatim, informacije o vrsti obrade koje se vrše u ime svakog od rukovaoca;
  3. Informacije o prenosu podataka u druge države ili međunarodne organizacije (ako do tako nečega dođe);
  4. Informacije o opštem opisu mera zaštite podataka koje obrađuje u datom trenutku.

OBAVEZE OBRAĐIVAČA – POSEBNI DEO

Obaveza pravnih lica: Imenovanje lica za zaštitu podataka o ličnosti – drugim rečima odgovorno lice!

Šta je ovde važno? Ovu obavezu imaju organi javne vlasti u svim vidovima, oblicima i situacijama. Za druge obrađivače, kao što su fizička i pravna lica ova obaveza postoji onda kada se aktivnosti sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama, zahtevaju redovan i sistematski nadzor većeg broja lica na koje se podaci odnose, ili u svrhe obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.

Važno je naglasiti da je takođe važno da fizička i pravna lica imaju imenovano lice za obradu podataka o ličnosti, ako im priroda posla nalaže da kod sebe poseduje senzitivne podatke lica (Primer: poput senzitivnih podataka o maloletnicima čije “curenje” bi moglo da izazove kakve posledice po maloletno lice)

Takođe, jedan od primera koji je naveden na sajtu domen.rs – internet provajderi, koji se primarno bave osnovnim aktivnostima obrađivača koje najčešće podrazumevaju redovan i sistemski nadzor velikog broja lica, te je logično da imaju obavezu da imenuju lice za zaštitu podataka o ličnosti i o tome obaveste Poverenika.

Oglušivanje o zakon

U slučaju nepoštovanja Zakona kaznene odredbe su mnogobrojne. Zaista, odeljak IX član 95. stav 1 kaže da će se novčanom kaznom od 50.000 do 2.000.000 dinara kazniti za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako, prekrši neku od navedene 32) tačke. Potom se naglašava da je za prekršaj fizičkog lica propisana novčana kazna u iznosu od 5.000 do 150.000 dinara.

Jasno se vidi da Zakon o zaštiti podataka o ličnosti propisuje brojne kažnjive situacije koje se odnose istovremeno kako na rukovaoca, tako i na obrađivača. Međutim, pojedine obaveze nisu primenjive na obrađivače, na primer, postupanje po zahtevima lica na koje se odnose podaci. Obrađivač ne postupa po zahtevima pojedinaca iz logičnog razloga – njegov odnos ne tiče se svrhe obrade podataka, kao što smo već u ovom tekstu naveli, već ga se tiče samo i jedino ono što je ugovorom između njega i rukovaoca propisano.

Obrađivač postupa po nalogu rukovaoca – to smo takođe već naveli u tekstu. U slučaju da postupi mimo naloga obrađivač i koristi podatke za neku drugu, svoju svrhu, on tada postaje rukovalac podacima, i to nezakoniti rukovalac koji nema pravni osnov za obradu podataka, pa je ova obrada nezakonita.

BONUS – POSEBNI SLUČAJEVI OBRADE

Obrada i slobode izražavanja i informisanja Član 88

Na obradu koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima, kao i u svrhe naučnog, umetničkog ili književnog izražavanja, ne primenjuju se odredbe koje se tiču:

  • “Načela Zakona”,
  • odredbe o “Rukovaocu i Obrađivaču”
  • odredbe “Pravnih lica na koje se podaci odnose”.

Takođe, ne primenjuju se odredbe koje se tiču:

  • Informacija od javnog značaja,
  • obrada u oblasti rada i zapošljavanja,
  • Mere zaštite i ograničenje primene zakona na obradu u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe
  • Obrada od strane crkve i verskih zajednica,
  • Obrada u humanitarne svrhe od strane organa vlasti.

Ako su u konkretnom slučaju ova ograničenje neophodna u cilju zaštite slobode izražavanja i informisanja.

Obrada i slobodan pristup informacijama od javnog značajaČlan 89

Informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu informacije od strane organa vlasti na način kojim se obezbeđuje da se pravo javnosti da zna i pravo na zaštitu podataka o ličnosti mogu ostvariti zajedno, u meri propisanoj zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja i ovim zakonom.

Obrada jedinstvenog matičnog broja građanaČlan 90

Na obradu jedinstvenog matičnog broja građana, primenjuju se odredbe zakona kojim se uređuje jedinstveni matični broj građana, odnosno drugog zakona, uz primenu odredbi ovog zakona koje se odnose na zaštitu prava i sloboda lica na koje se podaci odnose.

Obrada u oblasti rada i zapošljavanjaČlan 91

Na obradu u oblasti rada i zapošljavanja primenjuju se odredbe zakona kojima se uređuje rad i zapošljavanje i kolektivni ugovori, uz primenu odredbi ovog zakona.

Ako zakon koji uređuje rad i zapošljavanje ili kolektivni ugovor sadrže odredbe o zaštiti podataka o ličnosti, moraju se propisati i posebne mere zaštite dostojanstva ličnosti, legitimnih interesa i osnovnih prava lica na koje se podaci odnose, posebno u odnosu na transparentnost obrade, razmenu podataka o ličnosti unutar multinacionalne kompanije, odnosno grupe privrednih subjekata, kao i sistem nadzora u radnoj sredini.

Pravilaw i obrada podataka

Važno je razumeti težinu i važnost OBRAĐIVAČA podataka o ličnosti, kao i o procesu ko i na koji način sme da obrađuje naše podatke.

PraviLaw Vas podstiče da pročitate našu politiku privatnosti i upoznate se sa tim kako mi obrađujemo prikupljene podatke o ličnosti.

Takođe, steknite neke osnovne informacije o zaštiti podataka o ličnosti tako što ćete pročitati naš prvi tekst na ovu temu:

Autor: Tadija Mitić

Izvori: Paragraf Lex, Domen RNIDS

Оставите одговор

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *