Šta je to lični podatak? Kako se pravilno prikupljaju, a kako se upravlja podacima o ličnosti? Šta jedna kompanija treba da uradi da bi mogla da prikuplja određene vrste podataka o ličnosti?
Usklađivanje poslovanja kompanije sa Zakonom o zaštiti podataka o ličnosti (i GDPR-om) je PROCES koji za cilj ima da se poslovanje jednog privrednog subjekta uredi tako da se na zakonit način prikupljaju podaci.
Rečenica koja, po mom skromnom mišljenju, definiše primenu ovog zakona je sledeća: „Zakon nema za cilj da ZABRANI prikupljanje i obradu podataka, samo daje jasna PRAVILA kako se to sprovodi.“
Šta su posledice arhaičnog pristupa prikupljanju podataka i nepoštovanja zakona?
- Novčana kazna za prekršaj;
- Zabrana prikupljanja određene vrste podataka ili prikupljanja na određeni način.
Neke kompanije formiraju baze podataka, korisnika, potencijalnih korisnika, kupaca, formiraju bazu emailova za newsletter ili na drugi način veliki obim podataka koji mogu biti korišćeni u svrhe plasmana proizvoda i usluga. Nekada su ove baze podataka specijalizovane, i nekada predstavljaju ogromnu poslovnu prednost i nose veliku vrednost. Neke firme se kupuju samo radi kupovine baze podataka koju poseduju. Eventualna naredba o brisanju baze, zbog nelegalnog prikupljanja podataka mogla bi značiti poništenje višegodišnjih napora kompanije na formiranju baze podataka. Ovo je moguće izbeći ako od početka podatke prikupljamo zakonito.
Kazne po ovom zakonu propisane su u rasponu od 50.000 dinara, do 2.000.000,00 dinara.
Ove dve posledice mogu se primeniti zajedno, istovremeno, jedna ne isključuje drugu, čak će najčešće ići „pod ruku“. Tu je značaj zakonitog poslovanja. Zato moramo poslovanje kompanije prilagoditi Zakonu o zaštiti podataka o ličnosti samoinicijativno i u što ranijoj fazi poslovanja, pre nego što nam je zaprećeno inspekcijskom posetom državnog organa (što je svojstveno na našim prostorima).
Usklađivanje sa ZZPL-om se u našem poslovanju svelo na 2 FAZE:
- Analiza postojećeg stanja i rizika po podatke o ličnosti;
- Primena mera usklađivanja.
Prva faza se sastoji sa upoznavanjem poslovanja kompanije koja nas angažuje, i u toj fazi ćemo postaviti pitanja koja bi postavio nadzorni organ (inspekcija) kada bi došli do analize stanja pri ulazu u saradnju sa kompanijom. Tom prilikom će se sprovesti MAPIRANJE PODATAKA. Mapiranje podrazumeva odgovor na pitanje koji se podaci o ličnosti uzimaju i kako se obrađuju, gde se čuvaju itd.
*Za ovo pitanje potrebno je da znamo šta je podatak o ličnosti. A to je svaki onaj podatak koji može dovesti do određenog ili odredivog lica. Odredivo lice je ono do kojeg se uz pomoć podataka može doći iako u prvi mah nije podatak direktno dao odgovor o kojem se licu radi. Na primer, email je kontakt podatak i ujedno podatak o ličnosti. Pominjemo email, jer je ovaj podatak često uziman na sajtu kompanije.
Na kraju druge faze kompaniji koja nas je angažovala nudimo set mera koje smatramo za shodne nakon analize. To je savetodavni momenat. Kompanija može samostalno rešiti da nastavi u narednu fazu ili da ne nastavi. Takođe kompanija ako nastavi može izabrati nekoga drugoga da sprovede date mere.
Druga faza se sastoji iz primene mera, a to podrazumeva:
- Pripremu dokumentacije;
- Implementaciju dokumentacije;
- Uvođenje tehničkih rešenja na terenu.
U najsloženijim slučajevima moguće je da bude potrebno i do 7 različitih dokumenata koje kompanija mora posedovati. Pre svega pomenućemo Pravilnik o zaštiti podataka o ličnosti, koji je krovni dokument kompanije za ovu oblast, gde će se urediti najvažnija pitanja i dati osnov i pravila po kojima će se izvesti ostala dokumentacija. Moramo misliti i na poslovanje kompanije na internetu. Neretko je i obaveza da se odredi Lice za zaštitu podataka o ličnosti.
Samo usklađivanje sa ZZPL-om je složen proces, i nije poželjno sprovoditi isti u kratkom roku. Savet je kompanijama da sprovedu ova pravila pre nego što dobiju najavu inspekcije o poseti. Jer za pravilnu implementaciju, potrebno je vreme.
Jedna od zabluda u praksi je da ovo može uraditi bilo ko, bilo koji pravnik ili advokat. Ovaj zakon mnogi ne razumeju ni posle više čitanja, potrebno je da se neko posvećeno bavi duži period ovim pitanjima na unutrašnjem i međunarodnom nivou, da bi mogao da kaže da razume logiku iza zakona. Ova potreba je još više pojačana činjenicom da zakon nije potkrepljen podzakonskim aktima i još uvek sudska praksa stranih sudova, pravna savetovanja u ovoj oblasti, pisanje naučnih radova, predstavljaju način da pravnici postanu kompetentni za ovu oblast. A najveći broj pravnika, će „pogoditi“ posao, i ne znajući šta je podatak o ličnosti, u nadi da će iščitati zakon jednom i uraditi posao lako. Ipak, praksa pokazuje da ovo nije realno, niti moguće.
Napomena: Ovaj tekst ne predstavlja zamenu za angažovanje pravnika, pravnog savetnika ili advokata, već edukovano mišljenje autora teksta.
Autor teksta: Denis Tul
[…] naći sledeća: načelo sigurnosti sistema, načelo zabrane diskriminacije, načelo poštovanja podataka o ličnosti, načelo obaveznost obaveštavanja (informisanost), načelo ljudske […]
[…] potrebno je da kompanije koje prikupljaju ove podatke usklade poslovanje sa ZZPL-om, da pripreme Procenu uticaja na podatke o ličnosti i da transparentno o svemu izveste […]