Još jedan u nizu tekstova o zaštiti podataka o ličnosti. Ko je to lice za zaštitu podataka o ličnosti i zašto nam je ono veoma važno za rad firme, kompanije, preduzeća, institucije…?
Pre svega, moraćemo da se upoznamo sa osnovnim pojmovima, pa ćemo onda zaroniti dublje u priču.
U redu, kada ustanovimo da nam je rukovalac ili obrađivač podataka povredio neko pravo zagarantovano Zakonom o zaštiti podataka o ličnosti, kome se treba obratiti u toj firmi? Ima li neko nadležan i odgovoran za to, kome možemo uložiti žalbu?
Ima, naravno!
Šta je odgovorno lice za zaštitu podataka o ličnosti?
Odgovorno lice za zaštitu podataka o ličnosti je lice koje je ovlašććeno i imenovano od strane preduzeća/firme/kompanije (u daljem tekstu: preduzeće), radi rukovođenja podacima o ličnosti i to je osoba kojoj se obraćate kada Vam je nešto potrebno u vezi vaših ličnih podataka koje poseduje preduzeće.
Najčešće je to lice ujedno i zaposleno u samom preduzeću međutim to ne mora da bude slučaj. Preduzeće može samostalno da izabere eksterno lice koje će obavljati ove dužnosti za potrebe preduzeća.
Za dodeljivanje ove funkcije nekom od zaposlenih nadležan je član 56. a dalje ga uređuju prateći članovi Zakona o zaštiti podataka o ličnosti.
Da li svi imaju obavezu da imenuju ovo lice?
Ne, osim ako nekim posebnim zakonom nije drugačije propisano,međutim…
Postoje oni slučajevi i subjekti koji imaju obavezu da odrede odgovorno lice za zaštitu podataka o ličnosti, i to su:
- Organi (javne) vlasti;
- Ona preduzeća čija je osnovna delatnost obrada podataka o ličnosti;
- Ona preduzeća koja obrađuju senzitivnu grupu ličnih podataka, a koji su u zakonu pobrojani kao posebno osetljiva grupa podataka o ličnosti (primer: podaci o zdravstvenom stanju, političkom opredeljenju, podacic o kaznenim evidencijama…);
- Preduzeća koja obrađuju podatke u velikom obimu (šta je veliki obim zakon za sada nije definisao);
Kriterijumi za određivanje ko će biti odgovorno lice u preduzeću
Kao što je već navedeno u tekstu, lice može biti zaposleno u preduzeću, pa biti imenovano za lice odgovorno za zaštitu podataka o ličnosti (ukoliko ispunjava ostale kriterijume), ili se može angažovati eksterni saradnik na ovim poslovima.
Postoji još jedan oblik gde grupa od više preduzeća može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom preduzeću koje ga je angažovalo.
Da pređemo na kriterijume!
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje sledećih obaveza:
- da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
- da prati sve zakonske odredbe koje se tiču obe oblasti, da se konstantno edukuje i usavršava na temu zaštite podataka o ličnosti;
- da daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni;
- da sarađuje sa Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti kao i da bude glavna spona između preduzeća i Poverenika;
Šta ako nemamo lice koje je dovoljno stručno ili nema vremena da se usavršava zbog opisa posla kojim se primarno bavi?
Ukoliko imamo odgovorno lice za zaštitu podataka koje je zaposleno u preduzeću, a možda nije još uvek dovoljno stručno ili iskusno, a možda mu i redovne radne obaveze ne dozvoljavaju da se posveti dodatnom obrazovanju po pitanju zaštite podataka o ličnosti, možemo angažovati i dodatne eksterne konsultante, stručnjake za zaštitu podataka o ličnosti, koji će pomagati u radu našem odgovornom licu!
Šta ako ne imenujemo odgovorno lice?
Rukovaoci podataka (preduzeća) koja prekrše zakonske odredbe ove oblasti čine prekršaj i u skladu s tim mogu biti kažnjeni u prekršajnom postupku od 5.000,00 dinara do 2.000,000,00 dinara, odnosno do 4.000.000,00 dinara ukoliko je učinjeno više prekršaja.
Konkretnije: Neodređivanje odgovornog lica za zaštitu podataka o ličnosti od strane onih pravnih lica koji su na to obavezani Zakonom o zaštiti podataka o ličnosti, predstavlja svojevrstan prekršaj za koji se može izreći kazna od 5.000,00 dinara do 2.000,000,00 dinara. Skupo zar ne?
A gde su još i troškovi samog prekršajnog postupka?
Osim kazni koje mogu biti izrečene u okviru prekršajnog postupka postoji još jedna institucija koja nam može doneti dodatne troškove!
Poverenik može kazniti kompaniju putem prekršajnog naloga u iznosu od 100.000,00 dinara (primer: zbog lošeg vođenja evidencije o obradi podataka ličnosti).
PraviLaw Preporuka!
Imenujte lice za zaštitu podataka o ličnosti, čak i kada Vam to nije obaveza niti Vam zakon nalaže. Zašto?
Ukoliko lice koje postavite da bude odgovorno za zaštitu podataka o ličnosti poseduje stručna znanja i iskustva u oblasti zaštite podataka, može daleko pomoći u sprečavanju rizika da platite kazne koje su prethodno navedene.
ZAPAMTIMO JEDNO, iako nas Zakon ne obavezuje da imenujemo odgovorno lice za zaštitu podataka o ličnosti, ne znači da ne možemo načiniti prekršaj i platiti kaznu koja ide čak do 4.000.000,00 dinara. Baš tu dolazi do izražaja lice koje nas savetuje da do toga ne dođe!
Konkretnije o prednostima odgovornog lica
Počnimo od sledeće pretpostavke: Posedujemo vebsajt na stranom jeziku, recimo na engleskom, u okviru kog možemo prikupljati podatke o ličnosti državljana Evropske Unije. Ako napravimo prekršaj u ovom segmentu, kazne mogu biti višemilionske (ali u evropskoj protivvrednosti) – zbog famoznog GDPR-a (Opšta uredba o zaštiti podataka o ličnosti).
Šta nam je u ovom primeru bitno da shvatimo? Ako imamo lice koje je odgovorno za zaštitu podataka o ličnosti, vrlo verovatno neće doći do negativnog scenarija po naše preduzeće i možemo mirno da spavamo, kada je ta tema u pitanju.
Šta odgovorno lice (DPO – data protection officer) zapravo radi u praksi, osim što nam zakon određuje da se bavi svime što se tiče zaštite podataka o ličnosti?
Prevashodno nadzire usklađenost poslovanja našeg preduzeća sa Zakonom o zaštiti podataka o ličnosti i GDPR-om (ako smo prisutni na EU tržištu) i dužno je da se stara i o tome da naše preduzeće obrađuje podatke u skladu sa Zakonom.
NAPOMENA: Uloga Lica je informativnog i savetodavnog karaktera, te ne postoji mogućnost da nas obaveže na neko (ne)činjenje, već da nam ukaže na eventualne propuste, mere poboljašnja poslovanja i usklađivanja sa nadležnim zakonima iz ove oblasti.
Šta još radi?
- Rukovodi našim internim aktima, dakle pravilnikom o zaštiti podataka o ličnosti i politikom privatnosti, što znači da postoji i mogućnost da izradi interne akte i politike privatnosti, te kontinuiarno da ažurira iste, jer je materija podaka o ličnosti često promenljiva, kako se unarpređuje u skladu sa stalnim tehnološkim inovacijama i novim načinima prikupljanja podataka o ličnosti;
- Predstavlja kontakt osobu za odnose sa Poverenikom savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja u vezi sa izvršenim procena uticaja na zaštitu podataka o ličnosti nameravanih radnji obrade;
- Predstavlja glavnu sponu između naše kompanije kao rukovaoca/obrađivača podacima o ličnosti i svih lica na koja se podaci odnose, a u pogledu informisanja i ostvarivanja zakonom garantovanih prava. Dakle, lice čije podatke posedujemo kao preduzeće se može obratiti odgovornom licu za zaštitu podataka o svim pitanjima obrade njegovih podataka (zatražiti uvid u obrađivane podatke).
- Pruža stručne savete o vođenju evidencije o aktivnostima obrade – koja je naročito važna i obavezna ukoliko imamo preduzeće sa preko 250 zaposlenih – a za sve druge je veoma preporučljiva, budući da može poslužiti kao dokaz u slučaju spora, da naša kompanije obrađuje podatke u skladu sa Zakonom.
- Vrlo često se može desiti da ovo lice kontinuirano sarađuje i sa licima zaduženim za implementaciju tehničko-bezbednosnih mera radi zaštite podataka, kao i radi implementacije zakonskih rešenja na veb sajtovima naših preduzeća.
Obaveze preduzeća prema odgovornom licu?
Preduzeće nam je u obavezi da osigura odgovornom licu da obavlja svoj posao na najkvalitetniji mogući način, te je u skladu sa tim dužna da obezbedi adekvatna hardverska i softverska rešenja, koja mogu obezbediti odgovornom licu da prati način obrade podataka i razume sve te procese. Danas postoje mnoge IT kompanije koje nude vrlo efikasna softverska rešenja za sve prethodno navedeno, po još uvek pristupačnim cenama, te se o tome mora ozbiljno misliti.
Preporuka je da lice za zaštitu podataka o ličnosti što pre “baci u vatru”.
To znači da bude što ranije uključeno u sve procese naše kompanije koji se odnose na obradu, odnosno na zaštitu podataka o ličnosti – bilo da se radi o našim zaposlenima ili našim klijentima.
Dakle, ovo lice bi trebalo da: učestvuje na većini sastanaka višeg i srednjeg rukovodstva (menadžmenta) preduzeća, da bude prisutno prilikom donošenja odluka koje se odnose na zaštitu podataka o ličnosti, da bude inicijalno konsultovano u slučaju povrede podataka o ličnosti te i za apsolutno sve ostale odluke ili situacije koje se tiču bezbednosti podataka i same zaštite podataka o ličnosti koje prolaze kroz naše preduzeće!
PRAVILAW I OBRADA PODATAKA
Važno je razumeti težinu i važnost odgovornog lica za zaštitu podataka o ličnosti, i to iz perskpektive lica čiji se podaci obrađuju, ali i iz perspektive samog obrađivača (preduzeća).
Pogledajte odgovorno lice za zaštitu podataka o ličnosti ispred udruženja PraviLaw – Odluka
PraviLaw Vas podstiče da pročitate našu politiku privatnosti i upoznate se sa tim kako mi obrađujemo prikupljene podatke o ličnosti.
Autor: Tadija Mitić
Pingback: 10 činjenica o GDPR-u | PraviLaw