PRAVO NA PRIVATNOST I ZAŠTITA PODATAKA O LIČNOSTI
Aktuelni, sada već više ne tako „novi“, Zakon o zaštiti podataka o ličnosti („ZZPL“) stupio je na snagu odnosno primenjuje se od 21. avgusta 2019. godine.
Srpski ZZPL donet je po uzoru na Opštu uredbu EU o zaštiti podataka o ličnosti („GDPR“) čime su principi, standardi i načela GDPR-a uvedeni na „domaći teren“. Cilj donošenja kako GDPR-a, a samim tim i našeg pratećeg ZZPL-a je povećanje svesti građana o zaštiti privatnosti i pravima koja imaju u pogledu sopstvenih ličnih podataka.
NAČELA ZZPL-A
Osnovna načela ZZPL-a su:
Zakonitost, pravičnost i transparentnost – ova tri načela nalažu da se podaci o ličnosti mogu obrađivati samo na jasnoj i valjanoj zakonskoj osnovi i na transparentan način;
Integritet i poverljivost – koji podrazumevaju da se lični podaci moraju čuvati i zaštititi od nezakonite i nedozvoljene obrade, kao i slučajnog gubitka ili uništenja;
Ograničenje svrhom – ovo načelo podrazumeva da je prilikom prikupljanja i obrade ličnih podataka obavezno navesti svrhu u koju se podaci prikupljaju i obrađuju;
Minimizacija – podrazumeva da se mogu prikupljati samo podaci koji su relevantni i potrebni za ispunjenje svrhe u koju se obrađuju;
Tačnost – podaci moraju biti ažurni i tačni.
Period čuvanja – što podrazumeva da se lični podaci ne smeju čuvati duže od perioda neophodnog za ispunjavanje svrhe zbog koje su prikupljeni.
PRAVA I OBAVEZE U ZZPL-U
ZZPL uređuje pravo fizičkih lica na zaštitu u vezi sa obradom podataka o ličnosti i slobodni protok takvih podataka, načela obrade podataka o ličnosti, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti i dr.
ZZPL se primenjuje kako na privatna privredna društva (mali, srednji i veliki privredni subjekti), tako i na javni sektor. Obaveze privrednih subjekata u pogledu fizičkih lica čiji se podaci prikupljaju i obrađuju podrazumevaju naročito sledeće:
–upoznavanje tog lica o razlozima prikupljanja i obrade njegovih podataka;
–vođenje evidencije o podacima i radnjama preduzetim prilikom prikupljanja i obrade ovih podataka;
–obaveze prema Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti i drugim organima, kao što su obavezno traženje mišljenja, dostavljanje podataka i sl.
ZZPL propisuje kazne za pravna lica koje se kreću od 50.000,00 do 2.000.000,00 dinara, a u slučaju više povreda kazna može ići čak do 4.000.000,00 dinara.
U nastavku nabrajamo najznačajnije obaveze rukovaoca koje mogu biti kažnjive:
-ukoliko nastavi sa obradom suprotno načelima obrade u skladu sa ZZPL-om;
-nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu;
-ne odredi svog predstavnika u Republici Srbiji;
-ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku itd.
Takođe kazna može biti izrečena i fizičkom licu, te tako licu koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova, može biti izrečena novčana kazna od 5.000,00 do 150.000,00 dinara za učinjeni prekršaj.
Pored obaveza pravnih i fizičkih lica, ZZPL propisuje i obezbeđuje brojna prava fizičkim licima u pogledu zaštite podataka o ličnosti, od kojih su najznačajnija pravo na prenosivost podataka, pravo na ograničenje obrade i pravo na prigovor, a koja prava fizičko lice ostvaruje podnošenjem zahteva licu koje je obrađivač podataka, koji se zakonskom terminologijom naziva rukovalac.
RUKOVALAC/OBRAĐIVAČ/DPO – KO JE KO?
Definicija rukovaoca u skladu sa ZZPL-om podrazumeva svako fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti. Dakle, rukovalac je lice koje podatke prikuplja i obrađuje u skladu sa osnovom koji utvrdi (koji podrazumeva razlog zašto se podaci obrađuju), te samim tim ima kontrolu nad njima.
Rukovaoca treba razlikovati od obrađivača koji predstavlja odvojeno lice od rukovaoca koje rukovalac angažuje kako bi izvršilo obradu podataka o ličnosti. Obrađivač može biti fizičko ili pravno lice.
Obrađivača dalje treba razlikovati od lica ovlašćenog za zaštitu podataka (DPO od engl.skraćenice Data Protection Officer) koje predstavlja lice koje je u okviru pravnog lica određeno za rukovođenje ličnim podacima i njihovoj usklađenosti sa ZZPL-om.
POSTUPAK PRED POVERENIKOM
ZZPL propisuje i postupak pred Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik“) u slučaju da dođe do povrede odredaba ZZPL-a, te u tom smislu lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku, ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno ZZPL-u. Nakon podnete pritužbe; Poverenik pokreće postupak u kom je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu podnosioca pritužbe da pokrene sudski postupak.
Protiv odluke Poverenika lice ima pravo da pokrene upravni spor, kao i da ostvari sudsku zaštitu putem tužbe za zaštitu prava kojom može zahtevati između ostalog ograničenje obrade, ispravku odnosno brisanje podataka, prekid obrade podataka, itd.
Rukovalac, odnosno obrađivač podataka može se osloboditi odgovornosti za štetu ukoliko dokaže da ni na koji način nije odgovoran za njen nastanak.
PRAVO NA NAKNADU ŠTETE
ZZPL propisuje i pravo na naknadu štete lica koje je pretrpelo bilo materijalnu (npr.novčanu) bilo nematerijalnu (npr. povreda časti ili ugleda) štetu zbog povrede odredaba ovog zakona.
Tako, lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog nezakonite obrade njegovih podataka ima pravo da tužbom zahteva novčanu naknadu za štetu od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
O naknadi štete i iznosu naknade štete lica koje je štetu eventualno pretrpelo odlučuje sud u parničnom postupku.
INSTITUT POVERENIKA
ZZPL-om je predviđen organ pod nazivom Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti koji ima ovlašćenje da vrši nadzor nad sprovođenjem ZZPL-a i obezbeđuje njegovu primenu, te, između ostalog, da naloži rukovaocu odnosno obrađivaču da mu pruži sve informacije koje zatraži u vršenju svojih ovlašćenja, da na zahtev lica pruži licu informacije o njegovim pravima, kao i da zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.
Takođe, pored navedenog, Poverenik je ovlašćen da preduzme korektivne mere, u okviru kojih je ovlašćen da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, da upozori rukovaoca i obrađivača dostavljanjem pismenog mišljenja da se nameravanim radnjama obrade mogu povrediti odredbe ZZPL-A, da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka o ličnosti, da izrekne privremeno ili trajno ograničenje vršenja radnje obrade podataka o ličnosti, uključujući i zabranu obrade.
KRIVIČNI ZAKONIK
Najzad napominjemo da Krivični zakonik Republike Srbije u članu 146 predviđa krivično delo „Neovlašćeno prikupljanje ličnih podataka“ koje predviđa da lica koja podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni i ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi, može se kazniti novčanom kaznom ili kaznom zatvora do jedne godine. Takođe, ukoliko ovo delo učini službeno lice u vršenju službene dužnosti, preti mu kazna zatvora do 3 godine.
Na kraju ovog teksta, napominjemo i da ZZPL definiše iznošenje podataka o ličnosti iz Republike Srbije u kom slučaju i rukovalac odnosno obrađivač moraju ispuniti zakonom propisane uslove, te u zavisnosti od konkretnog slučaja i da sarađuju sa Poverenikom.
Umesto zaključka
Ukoliko ste pravno lice, razmislite na vreme o usklađivanju sa odredbama ZZPL-a jer iako je u pitanju zakon koji još uvek nije u dovoljnoj meri zaživeo u Srbiji, neminovno je da će se i to u jednom trenutnku desiti, kao što je to slučaj sa GDPR-om u drugim državama. Naročito imajući u vidu propisane kazne koje svakako ne želite u svom poslovanju.