Novi Zakon o zaštiti podataka o ličnosti počeo je da se primenjuje od 22. avgusta, a mnogim građanima Srbije i dalje je nepoznanica kako tačno novine u zakonu utiču na njih i koje promene donose.
Ko sme da mi traži matični broj, da li je u redu da PIN kreditne kartice naglas kažem prodavačici pred punom radnjom; je li dozvoljeno da me na određenim javnim mestima snimaju kamere koje će kasnije prepoznati moje lice. Ove, ali i mnoge druge nedoumice muče većinu zbunjenih građana koji, često u neznanju, svoje lične podatke daju onima koji za njihovo prikupljanje nemaju dozvolu. „Blic“ je razgovarao sa Mladenom Raonićem, stručnjakom kada je u pitanju korporativna bezbednost, i ovo je sve što treba da znate kada je u pitanju zaštita vaših ličnih podataka.
Opšta uredba o zaštiti podataka, odnosno GDPR (Dženeral data protekšn regulejšn) stupio je na snagu 21. maja 2018. godine u zemljama EU nakon što je državama članicama kao i kompanijama dat rok od dve godine da se usaglase sa odredbama istog.
– GDPR predstavlja uredbu koja podatke o ličnosti stavlja, može se slobodno reći, u sam vrh prioriteta zaštite, a građanima daje funkcionalne mogućnosti da mnogo kvalitetnije i transparentnije upravljaju svojom privatnošću. U suštini, GDPR jeste finalni proizvod jedne opšte građanske i političke inicijative koja je pokrenula dugogodišnji proces „mučne borbe“ u cilju postizanja zakonskih okvira u kojima bi svaki pojedinac imao veću zaštitu svoje privatnosti i u kome bi kompanije dobile mnogo jasnija pravila i procedure po kojima mogu da obrađuju i koriste podatke o ličnosti – objašnjava za „Blic“ Mladen Raonić, konsultant za korporativnu bezbednost.
U prilog tome, dodaje Raonić, govori i činjenica da je usaglašavanje konačne verzije teksta trajalo četiri godine (2012-2016), dok je na sam tekst uredbe, uglavnom od strane predstavnika privrede, podneto rekordnih 4.000 amandmana.
– Novi zakon o zaštiti podataka o ličnosti, koji u najvećoj meri predstavlja prevedenu i adaptiranu GDPR regulativu, usvojen je u novembru 2018. godine i stoga se pouzdano može smatrati da su načela GDPR-a uvedena i na domaći teren. Zakonodavac je predvideo odloženu primenu predmetnog zakona od devet meseci, što predstavlja dosta kraći rok od onoga koje su dobile države članice EU i njihova privreda. Samim tim, iako je poverenik s pravom ukazivao na potrebu odlaganja primene zakona o zaštiti podataka o ličnosti, on je na snazi od kraja avgusta ove godine jer Skupština Srbije u međuvremenu nije zasedala i nije mogla raspravljati o datom predlogu za odlaganje – podvlači Raonić.
Niska svest o samom razlogu zaštite privatnosti i činjenica da se kod nas mnoge kompanije još nisu usaglasile ni sa starim pravnim okvirom iz ove oblasti (1995. godina), koji mnogi nazivaju „praistorijskim“, ističe, ukazuje na to da predstoje veliki izazovi kako za privredna društva, javne ustanove i državne organe, tako i za samu kancelariju poverenika koja takođe treba da se pripremi i dodatno kadrovski pojača za početak primene kompleksnih zakonskih odredbi.
– Ono što građani treba da znaju jeste da su propisani novi uslovi za pristanak na obradu vaših podataka, te više neće biti moguće davanje blanko saglasnosti, niti će se prihvatanje zamršenih i nerazumljivih politika privatnosti smatrati validnim pristankom lica za obradu njegovih podataka. Stroge norme uredbe u najvećoj meri su usmerene na digitalno okruženje i imaju najveći uticaj na internet od njegovog nastanka, jer teže regulisanju kompleksnih odnosa koji su do sada vešto izmicali normativnom uređenju – kaže Mladen Raonić.
Zakon o zaštiti podataka o ličnosti propisuje i obavezu da se podaci čuvaju u obliku koji omogućuje identifikaciju lica samo u onoj meri i onoliko dugo koliko je to potrebno u ostvarivanju same svrhe obrade.
– U praksi to znači da se ne mogu obrađivati prikupljeni podaci osim po osnovi po kojoj je lice dalo pristanak na obradu. Na primer, ukoliko ste kupili usisivač u jednoj radnji i ostavili lične podatke prilikom pisanja garantnog lista u svrhu ostvarivanja prava na popust ili dobijanje lojaliti kartice, to rukovaocu ne daje za pravu da vas poziva za učešće u nagradnoj igri ili da vas obaveštava o novim proizvodima jer za to nema vašu saglasnost. Takođe, kanal informacija ka vama mora biti u skladu sa vašom saglasnosšću, znači ako je naveden imejl, zabranjeno je slanje SMS-a koji mnogi smatraju i agresivnim i neprihvatljivim marketingom – objašnjava Raonić i dodaje da kompanije moraju svim licima, čiji se podaci obrađuju, pružiti sve potrebne informacije o obradi njihovih ličnih podataka već pri samom prikupljanju i pre same obrade.
Nedostaci novog zakona
Postoji dosta neusaglašenosti, a pre svega se odnose na dosad nedefinisane poslovne pojmove, prakse i mehanizme koji ne postoje ili nisu dovoljno pojašnjeni u domaćem pravnom sistemu, što dovodi u pitanje njegovu potpunu funkcionalnost.
– Svakako treba naglasiti da je ovo veliki korak na polju uređenja privatnosti u Republici Srbiji i da će manjkavosti sasvim sigurno biti rešene izmenama i dopunama kao i donošenjem podzakonskih akata. Treba napomenuti da je tendencija da se i naš zakon ugleda na najbolju praksu primene evropskog propisa koji u svojoj preambuli ističe da je zaštita ličnih podataka jedno od temeljnih ljudskih prava. S obzirom na već ustaljenu praksu nipodaštavanja ličnog podataka kao vrednosti i prilično nisku bezbednosnu kulturu u Srbiji kao veoma retku primenu propisa iz ove oblasti, svako pravilo nove regulative već predstavlja „čudnu novost“ za veliki broj kompanija, ali i državnih institucija te usklađivanje njihovog poslovanja sa aspekta zaštite podataka praktično počinje iz početka – objašnjava Mladen Raonić.
GDPR termini koje treba da znate
Rukovodilac
Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti. U praksi to znači da, u odnosu na podatke o ličnosti koje obrađuje, rukovalac ima sveobuhvatnu kontrolu jer on odlučuje da počne prikupljanje i obradu podataka, te utvrđuje pravni osnov za takvu obradu, odnosno zašto i kako se takvi podaci o ličnosti obrađuju.
Obrađivač
Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca. To znači da obrađivač ne određuje svrhu i sredstva za obradu ličnih podataka i predstavlja odvojeno pravno lice od rukovaoca. Obično je to organizacija sa posebnim znanjima i veštinama koju rukovalac angažuje kako bi izvršila obradu podataka o ličnosti (knjigovodstvene agencije, marketing i HR agencije, služba obezbeđenja…).
Načela obrade
I rukovalac i obrađivač su u obavezi da obrađuju podatke o ličnosti u skladu sa načelima obrade, ali će samo rukovalac imati obavezu da demonstrira usklađenost sa načelima obrade, što ne znači da obrađivač ne mora da se pridržava ovih načela.
DPO lice za zaštitu podataka ličnosti
Ovlašćeno lice za zaštitu podataka ili „Data protekšn ofiser“ (DPO) je lice koje je u kompaniji imenovano da rukovodi podacima o ličnosti u pogledu kreiranja strategija za zaštitu podataka o ličnosti i praćenju njihovih usklađenosti sa GDPR regulativom.
Prenos podataka van Srbije
U slučaju iznošenja podataka o ličnosti iz Srbije, i rukovalac i obrađivač imaju obavezu da ispune brojne uslove koje ZZPL pred njih postavlja. Takođe, i rukovalac i obrađivač sarađuju sa poverenikom na ispunjavanju svojih zakonskih obaveza, te su dužni da se povinuju zahtevima poverenika u ovom smislu.
Pravo na zaborav
Jedna od novina je i koje se postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se naši podaci konstantno objavljuju i dele. Slično je i sa pravom na prenosivost podataka (data portability) koje podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.
Šta kompanije treba da znaju i sprovode
GDPR navodi nekoliko načela koja se odnose na obradu podataka o ličnosti i njih menadžment u kompanijama treba da ima na umu prilikom svake planirane obrade podataka jer predstavljaju ključni deo ZZPL / GDPR, čije kršenje povlači drakonske kazne. Ta načela su:
ZAKONISTOST, PRAVIČNOST, TRANSPARENTNOST – podaci se ne smeju obrađivati na drugi način osim na jasnoj i valjanoj zakonskoj osnovi, na pošten i prema licu transparentan način.
OGRANIČENOST SVRHOM – Obavezno je navođenje svih svrha obrade u koje se podaci prikupljaju.
MINIMIZACIJA – Smeju se prikupljati samo podaci koji su relevantni i potrebni za ispunjavanje svrhe u koju se obrađuju.
TAČNOST – Podaci trebaju biti ažurni i tačni.
OGRANIČENJE ČUVANJA – Podaci se ne smeju čuvati duže od perioda neophodnog za ispunjavanje svrhe zbog koje su prikupljeni.
INTEGRITET I POVERLJIVOST – Lični podaci se moraju čuvati i zaštititi od nezakonite i nedozvoljene obrade, slučajnog gubitka, uništenja ili oticanja.
Šta su to lični podaci?
Lični podaci su svi podaci koji se odnose na osobu čiji identitet se njihovim korišćenjem može direktno ili indirektno utvrditi. Obično se radi o podacima koje svakodnevno koristimo u svojim aktivnostima na poslu, u trovini, u banci, školi, na internetu…
Primeri ličnih podataka
Ime i prezime, adresa, imejl adresa, brojevi telefona, podaci o zdravstvenom stanju, JMBG, visina zarade, ocene u školi, podaci o obrazovanju, bračnom statusu, računi u bankama, poreske prijave, podaci o članstvima u organizacijama i udruženjima, kreditna zaduženost, istorija pregleda na internetu, biometrijski podaci (skeniranje zenice ili otisak prsta), broj lične karte ili broj pasoša…
Primeri iz prakse
Lični podaci na izvol’te
Ostavljanje ličnih podataka na stolovima, oglasnim tablama, bacanje štampanih biografija kandidata za posao u korpu za smeće samo su neke od nepravilnosti na koje niko ne obraća pažnju, niti ih smatra rizičnim po poslovanje, a koje se često zatiču u domaćim kompanija. Stoga je neophodno, pre svega, kroz edukaciju raditi na podizanju svesti o značaju ličnih podataka i rizicima koje generiše nova zakonksa regulativa. Takođe, neophodno je uvođenje posebnih procedura koje bi ukinule ovo neprimereno ponašanje zaposlenih, ali i menadžmenta, čime bi se oticanje podataka minimiziralo. Jedna od najboljih politika u ovom domenu je “klin desk polisa” (politika čistog stola), koja je i redovna preporuka u procesu usaglašavanja sa GDPR regulativom.
Online profilisanje
Mnogo puta smo kliknuli i prihvatili određene “pop-ap” prozorčiće na pojedinim sajtovima i bez čitanja obaveštenja o “kolačićima” gde je navedeno za šta se koriste naši lični podaci odnosno podaci o našoj IP adresi. Na primer ukoliko neko želi da kupi aranžman za letovanje i na internetu pretražuje ponude, on do tada nije upisao nijedan lični podatak, ali su na većini stranica instalirani kolačići koji prate njegovo ponašanje i samim tim rade njegovo profilisanje. Ponuđač na osnovu tih saznanja tačno zna šta lice traži, a to je, na primer, što jeftiniji hotelski smeštaj na određeni datum. Ponuđač zatim prati koliko puta dotično lice traži određenu destinaciju i kad se odluči za željeni datum i zatraži online ponudu, algoritam koji je profilisao njegovo ponašanje, dao je ocenu da postoji ozbiljna namera kupovine turističkog aranžmana i po ugrađenom automatizmu može prikazati veću cenu. Ovo spada u primere neprimerene obrade podataka koja treba da se sankcioniše shodno GDPR uredbi
Video-nadzor u kancelarijama i javnom prostoru
Nije retko da se u firmama video-nadzor postavlja bez prethodne procene rizika i plana obezbeđenja, što je obaveza po zakonu o privatnom obezbeđenju, i bez procene uticaja, što je obaveza po ZZPL-u. Mnogo puta kada odete na sastanak u neku domaću ali i inostranu kompaniju, vidite da su određene kancelarije i prostorije pod sistemom video-nadzora čija svrha treba da bude u osnovi zaštita lica, imovine i poslovanja. Veoma često kompanije bez procene rizika samoinicijativno po sopstvenom nahođenju nekog menadžera ili vlasnika postavljaju CCTV sistem čime čine prestup i u domenu ZZPL-a i zakona o privatnom obezbeđenju. Treba naglasiti da takav video-nadzor suštinski nije upotrebljiv jer bi video-materijal sa istog lako bio osporen u svakom postupku i suštinski je veliki rizik po kompaniju koja kroz njega protivno zakonu snima zaposlene, posetioce i treća lica i arihivira njihove podatke. Na pitanje zašto se snimaju kancelarije ili neki javni prostor, odgovor koji se često čuje je „tako je rekao gazda“.
Tabele sa podacima kruže e-poštom kompanija
Svaka baza, odnosno zbirka podataka, sa ličnim podacima u kompanijama mora biti evidentirana i zaštićena, tako da je, na primer, zabranjeno da putem imejla kruže tabele sa spiskom dece koja treba da dobiju paketiće za novu godinu, zatim spisak zaposlenih koji su se prijavili za dobrovoljno davanje krvi ili za kupovinu nekog proizvoda na rate i da se svi zaposleni sami upisuju, čime je narušena privatnost i uvećan rizik oticanja podataka o ličnosti.
Informacije o bolovanju i šifri oboljenja javna tajna
Sigurno ste bili u situaciji namerno ili nenamerno da saznate zašto je kolega sa posla na bolovanju. Pera Perić je otvorio bolovanje sa X šifrom bolesti i informacije iscure iz sektora za ljudske resurse pa svi znamo po šifri oboljenja koja je iskazana na formularu o sprečenosti za rad da Peru bole leđa ili da ima upalu krajnika. Informacije o bolestima su posebno osetljiv podatak i sa njima treba postupati na poseban način pa bi preporuka bila i anonimizacija tih podataka, a oticanje ovih podataka treba odmah prijaviti licu za zaštitu podataka o ličnosti (DPO – „data protekšn ofiser“) koji treba da ispita uzroke oticanja podataka i o istom obavesti poverenika najkasnije 72 sata od momenta incidenta.
Bombardovanje imejlovima i SMS-om – agresivni marketing
Marketing često ne poznaje granice pa samim tim pređe i granicu naše privatnosti čime se novi zakon posebno bavi. Svaka savremena kupovina zahteva uzimanje određenih podataka i podrazumeva aktivnosti kojima se žele otkriti namere i navike potrošača kako bi se ponuda prilagodila istim u cilju podizanja samog prometa i profita proizvođača. Komunikacija sa prodavcem uvek ide u smeru da se posle kupovine ostvari i drugi kontakt i da se kupac ponovo vrati odnosno postane lojalan. Loyalti programi su programi nagrađivanja kupaca za njihovu vernost, ali i kupcima koji redovno kupuju u istoj komapniji koja često može uključivati obradu osobnih podataka. Najčešće se takva komunikacija ostvaruju slanje personaliziranih pisama poštom, kontaktiranjem putem telefona, putem elektronske pošte, SMS-om, MMS-om, iskačućim prozorima tzv. Pop-up ali i na drugi način. Za svaku obradu ličnih podataka mora postojati relevantna pravna osnova, pa tako i za marketing a ona se može dobiti kroz pristanak lica ili u legitimnom interesu poslovnog subjekta (obrađivača).
„Kako ide matični?“
Mnogo puta smo svi čuli ovu rečenicu, naravno pre nekoliko godina mnogo više, ali ni danas nije retka. JMBG nedvosmisleno identifikuje lice i svakako se može dati u slučaju obrade podatka zbog legitimnog interesa, policija, sud, kupovina stana, automobila. Sve do skoro bila je ustaljena praksa da određeni prodavac, ustanova ili organizacija traži vaš matični broj ili zahteva kopiju vaše lične karte u cilju ostvarenja neke usluge što nije imalo realno opravdanje pa se ogroman broj kopija ličnih karata gomilao u registratorima koji su odlagani u arhive bez adekvatnog obezbeđenja. Bilo je slučajeva da se na šalteru jedne kompanije prilikom plaćanja kompanijskom karticom zahteva diktiranje matičnog broja dok iza vas u redu čeka nekoliko ljudi, što je tretirano kao bezbednosna procedura, ali svakako bez ikakve svrhe.
Kamere u obrazovnim ustanovama
Pre nekoliko dana Švedsko državno telo za zaštitu ličnih podataka – DPA izreklo je kaznu za opštinu Skeleftea zbog kršenja GDPR uredbe sa 200.000 švedskih kruna (17.000 evra). Procena državne agencije jeste da je srednja škola u Skeleftei, sprovodeći pilot-test sistema za prepoznavanje lica, povredilo podatke 22 učenika. Iako je ideja bila da se sistem koristi kako bi se lakše pratila prisutnost učenika na nastavi, GDPR klasifikuje slike lica kao specijalnu kategoriju podataka sa posebnim ograničenjem korišćenja.
U Srbiji se nazire trend ovih tehnoloških unapređenja koji će sa saobraćajnica polako nalaziti primenu i u drugim društvenim sferama u prvom talasu uvođenja naprednog CCTV sistema će biti aerodromi, autobuske stanice, kritična infrastruktura, a zatim i drugi subjekti i organizacije od javnog značaja. Neophodno je određivanje balansa između svrhe prikupljanja podataka i narušavanja privatnosti.
Geo-lokacija, listing telefona, kontrola pristupa
Mnoge kompanije, ali i zaposleni, nisu svesni da su podaci o lokaciji i kretanju u stvari podaci o ličnosti čijim se ukrštanjem u velikoj meri može profilisati pojedino lice i zaći u njegovu privatnost. Zamislite da komercijalista jedne firme na svom poslu kao sredstva za rad ima službeni automobil koji koristi 00-24 časa sa GPS trakerom, službeni telefon, službeni laptop, RFID karticu za kontrolu pristupa. Mnogi bi rekli da je opremljen od glave do pete, ali mnogi bi rekli da je komercijalista profilisan od glave do pete i da firma zna sve o njemu. I jedna i druga premisa mogu biti tačne, ali se mora voditi računa da svrha obrade podataka bude usklađena sa zahtevom posla jer, ukoliko i nakon završetka radnog vremena poslodavac prati kretanje vozila zaposlenog, istoriju njegove IP adrese, onda je privatnost narušena
U Srbiji su manje kazne
Ovim zakonom znatno je proširena odgovornost kompanija i organizacija koji prikupljaju i obrađuju podatke o ličnosti, razrađeni su instrumenti i procedure za sprovođenje propisa, a kazne su izuzetno visoke i mogu ići i do 20 miliona evra ili četiri odsto ukupnog godišnjeg prihoda kompanije. – Domaći Zakon predviđa više kazne nego u prethodnom periodu, ali one nisu ni približno visoke kao prema GDPR-u. Rukovaoci podataka u Srbiji će u prekršajnom postupku rizikovati kazne od maksimalno dva miliona dinara po pojedinačnom prekršaju, dok je najmanja propisana novčana kazna za prekršaje iz ove oblasti 50.000 dinara i odnosi se na odgovorno lice u pravnom licu – pojašnjava Mladen Raonić.
Šta kažu u kancelariji Poverenika: Raditi na uspostavljanju efektivnog sistema zaštite podataka o ličnosti
– Za poslednjih deset godina poverenik je primio veoma veliki broj predstavki građana, koji su ukazivali na zloupotrebe podataka o ličnosti, ali i na nemaran odnos prema istim podacima, obradu podataka bez pravnog osnova i svrhe – kažu za „Blic“ iz Kabineta poverenika.
Samo u ovoj godini, registrovano je preko pet stotina prijava građana.
– Građani se žale na postupanje bolnica, banaka, policije, kompanija, lokalnih samouprava, osiguravajućih društava, škola, poslodavaca, sportskih društava, poreskih organa… Po ugledu na nove Evropske propise, novi zakon propisuje niz novih obaveza za rukovaoce i obrađivače podataka, kao što su imenovanje lica za zaštitu podataka, procena uticaja na zaštitu podataka, obaveštavanje poverenika o povredi podataka o ličnosti itd. S druge strane, novi zakon pruža licima nova prava koja mogu ostvariti podnošenjem zahteva rukovaocu, kao što su pravo na prenosivost podataka, pravo na ograničenje obrade i pravo na prigovor – saopštili su iz kabineta.
Zakon, dodaju, omogućava i licima da svoja prava zaštite u postupku podnošenja pritužbe povereniku ili parnične tužbe sudu.
– U Republici Srbiji najuočljiviji je problem nedovoljnog strateškog pristupa u uspostavljanju efektivnog sistema zaštite podataka o ličnosti, na čemu bi trebalo raditi u budućnosti. U tom smislu, strateški deficit se ne može nadomestiti samo donošenjem zakona, usklađenog sa propisima Evropske unije već i aktivnim delovanjem svih aktera u državi, kako poverenika tako i zakonodavne, izvršne i sudske vlasti – istakli su iz Kabineta poverenika.
Izvor: sajt Blic-a
Naslov: Redakcija