Lice za zaštitu podataka o ličnosti – DPO

 

PRUŽANJE USLUGA LICA ZA ZAŠTITU PODATAKA O LIČNOSTI OD STRANE ADVOKATA

Jedna od usluga koje pružamo našim klijentima je i mogućnost da obavljamo dužnost lica za zaštitu podataka o ličnosti, u situacijama u kojima su Rukovaoci odnosno obrađivači po zakonu dužni da imenuju to lice, odnosno ukoliko iz drugih razloga odluče da imaju profesionalnu pomoć i podršku za sprovođenje ovog bitnog zakona i niza obaveza koje ovaj zahtevni akt propisuje. Naime, kako je Upravni odbor Advokatske komore Beograda zvanično zauzeo stav da advokat može biti angažovan na ovim poslovnima, odnosno da isti nisu nespojivi sa advokatskom delatnošću, nema ni pravnih prepreka da advokati mogu biti eksterno angažovani od strane njihovih klijenata.

Dakle, pored implementacije rešenja zakona o zaštiti podataka o ličnosti u poslovanje klijenata, izrade potrebnih opštih akata, izrada evidnecija radnji obrade, vođenje istih, kao i sve vrste konsaltinga, pružamo i usluge formalnog angažovanja u svojstvu DPO-a, što uključuje i upis u registar lica zaduženih za zaštitu podatak kod Poverenika.

S toga u vaše ime možemo obavljati sve što je neophodno u skladu sa Zakonom, kako u svojstvu DPO-a, tako i kao eksterni konsultanti za deo poslovanja koji je povezan sa podacima o ličnosti, postojećih klijenata, onih potencijalnih i targetiranih, ali i zaposlenih odnosno po drugom osnovu angažovanih lica.

Dakle, između ostalo usluge podrazumevaju pravovremeno informisanje i savetovanje rukovaoca ili obrađivača i odnosno zaposlenih koji vrše obradu unutar pravnog lica ili drugog pravnog subjekta. Takođe, bićete na vreme informisani o svim izmenama i dopunama zakona, novim podzakonskim aktima, mišljenjima i upustvima poverenika, a koji su od značaja za vaše poslovanje. Usluge podrazumevaju i komunikaciju sa Poverenikom, kako po zahtevu istog, ali i vezano za druga važna pitanja i u isto vreme biti kontakt za sva obraćanja od strane nadzornog organa. To naročito podrazumeva i eventualno sprovođenje postupka procene uticaja kada je to neophodno i pomoć pri izradi tog akta. 

Prilikom procene uticaja, odnosno donošenja odluke da li je takva procena potrebna, za vas analiziramo prirodu, obim, okolnosti i svrhe obrade, kako bi doneli ispravnu oduku o realnoj potrebi ostvarenja određene svrhe u poređenju sa potencijalnim opasnostima takve obrade.

U okviru usluge Lica za zaštitu podataka o ličnosti, pružamo i u usluge izrade internih opštih akata, evidencija, ugovora o obradi podataka, sporazuma o zajedničkoj obradi, kao i asistiramo pri popunjavanju kontrolnih lista koje Poverenik šalje na početku inspekcijskog nadzora.

 


 

ZBOG ČEGA BI TREBALO DA IMENUJETE LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Nova Opšta uredba evropskog parlamenta o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti o slobodnom kretanju takvih podataka,  broj 2016/679, od 27. Aprila 2016, koja stupa na snagu 25. Maja 2018, donosi niz novih pravila koja bi trebalo da podignu nivo zaštite podataka ličnosti pojedinca na znatno viši nivo, a njena rešenja prati i naš Zakon o zaštiti podataka o ličnosti. Promene koje donose ova dva akta ogledaju se najviše u teritorijalnoj i personalnoj primeni, zatim vrsti podataka koja se smatraju ličnim i znatno oštrije postavljenim kriterijumima za prikupljanje i obradu podataka ličnosti. Uredba, kao opšti akt koji donosi okvir za detaljniju regulaciju, dozvoljava državama članicama Unije da drugačije urede pojedine načine obrade podataka, naročito kada su u pitanju osetljivi podaci poput biometrijskih, ili osetljive kategorije lica poput maloletnika.

Za nepridržavanje propisanih pravila uredba je propisala stroge sankcije, u vidu administrativnih novčanih kazni, koje se kreću i do vrtoglavih 20 miliona evra odnsono 4% godišnjeg prometa kompanije, zavisno od toga koja je vrednost viša. Naravno, najveće kazne rezervisane su samo za kategorije obrađivača i rukovaoca koji pravila prekrše sa namerom ili krajnjom nepoažnjom, ako su u pitanju osetljive kategorija podataka, takođe zavisno i od prethodnog ponašanja rukovaoca u pogledu zaštite podataka i saradnje sa nadzornim organom. U svakom slučaju, kazne su jako visoke i predstavljaju ogroman rizik po poslovanje kompanija koje se bave obradom ili u okviru svoje delatnost obrađuju neku vrstu podataka.

Zbog toga je Uredba propisala obavezu ili mogućnost obezbeđivanja profesionalnalne pomoći u vidu angažovanja lica za zaštitu podataka

Angažovanje lica predstavlja obavezu u situacijama kada:

  • obradu vrši organ javne vlasti
  • ukoliko se osnovna delatnost rukovaoca ili obrađivača sastoji iz radnji obrade podataka koja podrazumeva redovno i masovno praćenje lica na koja se ti podaci odnosi ili ukoliko se njihova osnovna delatnost sastoji iz masovne obrade posebnih kategorija podataka kao što su rasno ili etničko poreklo, političko opredeljenje, verska ili filozofska ubeđenja, pripadnost sindikatima, obrada genetskih ili biometrijskih podataka u svrhu jedinstvene idenifikacije fizičkog lica, zatim podataka o zdravstvenom stanju ili seksualnoj orjentaciji
  • kada su u pitanju podaci vezani za krivičnu i prekršajnu osuđivanost, koji registar se mora voditi samo pod kontrolom službenog organa.

 

Važno je naglasiti da se ova obaveza ne odnosi na sudove u okviru vršenja sudskih ovlašćenja odnosno obavljanja pravosudne funkcije.

Kada se podaci obrađuju u velikom obimu:

Sekretarijat Evropske komisije u preporučuje da se prilikom odlučivanja da li se obrada vrši u velikom obimu, posebno razmotre sledeći faktori:

  • Broj lica čiji se podaci obrađuju – bilo kao određeni broj ili kao procenat u odnosu na broj stanovnika stanovništvo
  • Obim obrađenih podataka
  • Trajanje ili trajnost obrade podataka
  • Geografska oblast na kojoj se aktivnost obrade vrši

 

Primeri obrade velikog obima:

  • kada bolnica obrađuje podatke o pacijentima u redovnom toku poslovanja
    obrada podataka o putovanju pojedinaca koji koriste gradski sistem javnog prevoza (npr. Praćenje putem putne karte)
  • obrada podataka o geolokaciji u realnom vremenu kupaca međunarodnog lanca brze hrane za statističke svrhe od strane procesora specijalizovanog za pružanje ovih usluga
  • obrada podataka o klijentima u redovnom toku poslovanja od strane osiguravajućeg društva ili banka
  • obrada ličnih podataka za oglašavanje ponašanja od strane pretraživača
  • obrada podataka (sadržaja, saobraćaja, lokacije) od strane telefonskih ili internet provajdera

 

Primeri kada se ne radi o obradi velikog obima:

  • obrada podataka o pacijentu od strane individualnog lekara
  • obrada ličnih podataka o krivičnim osudama i prekršajima od strane advokata pojedinca

 

Šta podrazumeva redovno i masovno praćenje:

Redovno podrazumeva jednu od sledećih situacija:

  • Obrada je u toku ili se dešava u određenim intervalima za određeni period
  • Obrada se stalno ponavlja ili se ponavljanje vrši na određeno vreme
  • Obrada je stalna ili periodična

 

Fraza masovno podrazumeva sledeće:

  • Obrada se vrši unapred dogovoreno, organizovano ili metodično
  • Obrada se odvija kao deo opšteg plana za prikupljanje podataka
  • Obrada se sprovodi se kao deo strategije

 

Radi ekonomičnosti, ali i efikasnosti omogućeno je grupi povezanih društava ili grupi od više organa javne vlasti da imenuju jedno ovlašćeno lice za zaštitu podataka. Međutim, to je uslovljeno obezbeđivanjem visokog nivoa komunikacije izmedju lica i svakog povezanog društva. Kada su u pitanju organi vlasti, važno je razmotriti i veličinu organa i potreban obim posla, i proceniti da li je moguće da jedno lice obavlja funkciju DPO-a kod više organa, ili je potrebno angažovati više lica.

U ostalim slučajevima rukovaoci i obrađivači mogu da angažuju ovlašćeno lice za zaštitu podataka ličnosti. Dakle, nemaju tu obavezu, ali svakako s obzirom na kompleksnost zakonskih odredbi i samog pitanja zaštite podataka, svako je preporuka imati interno ili eksterno angažovano lice koje je obučeno da vodi računa o zaštiti podataka.

Ovlašćeno lice može biti i iz reda zaposlenih kod rukovaoca i obrađivača i imenuje se na osnovu stručne kompetentnosti znanja iz obasti zaštite podataka i sposobnosti da odgovori zahtevima posla. Ovlašćeno lice čak ne mora ni da bude u stalnom radnom odnosu, već može biti angažovano po drugom osnovu.

Podaci o ovlašćeno licu moraju biti objavljeni, odnosno ime i prezime, kao i kontakt podaci DPO-a moraju biti registrovani kod Poverenika, u skladu sa njegovim obrascem. Poverenik vodi registar svih Lica za zaštitu podataka o ličnosti.

 


 

Uredbom propisan delokrug poslova Lica zaduženog za zaštitu podataka naročito podrazumeva:

  • Aktivno učestvovanje u pripremi opšteg akta/Pravilnika o zaštiti podataka ličnosti, predlaganje njegovih izmena i dopuna kao i odgovornost za primenu
  • Kontrola i preduzimanje mera u vezi zaštite podataka
  • Nadzor nad postupkom obradom podataka
  • Poredlaganje i pokretanje disciplinskih postupaka u slučaju kršenja zakona odnosno uredbe, ukoliko je ta kategorija povrede radne obaveze predviđena disciplinskim pravilnikom ili drugim oštim aktom Rukovaoca
  • Briga o podacima koji su okarakterisani kao osetljivi
  • Predlaganje i preduzimanje mera za obaveštavanje lica čiji se podaci obrađuju, u skladu sa zakonom i drugim propisima
  • Stalna kontrola obrade u cilju provere neophodnosti obrade, potrebnom obimu i zakonitosti svrhe obrade podataka
  • Kontrolu perioda čuvanja podataka i staranje o poštovanju načela minimalizacije vremenskog perioda obrade
  • Obezbeđivanje dostupnost prava licima čiji se podaci prikupljaju i obrađuju, u skladu sa njihovim pravima
  • Obaveštavanje lica o promeni svrhe obrade i kreiranje i zahtevanje dodatne saglasnosti kada je potrebno
  • Obaveštavanje lica i nadzornog organa o problemima bezbednosti ili drugom vidu krešenja pravila zakona i uredbe, u roku predviđenom Uredbom.
  • Vođenje ili organizacija evidencije radnji obrade podataka, kao i redovno ažuriranje iste
  • Obezbeđivanje adekvatnog tretmana ličnih podataka zaposlenih 
  • Edukaciju i obuku zaposlenih u cilju što efikasnije primene pravila Uredbe što ima za cilj minimalizaciju rizika od kršenja pravila o zaštiti 
  • Praćenje regulative, i informisanje nadležnih osoba kod Rukovaoca o novim pravilima i potrebama koje se moraju implemetnirati u poslovanje i opšte i pojedinačne akte
  • Izveštavanje nadležnih osoba kod Rukovaoca o stanju podataka i preduzetim merama bezbednost

 


 

NIVO STRUČNOSTI POTREBAN ZA LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Potreban nivo stručnosti nije strogo definisan Zakonom, ali mora biti srazmeran osetljivosti podataka koji se obrađuju, složenosti obrade i količini podataka. Na primer, gde se vrši složena obrada podataka ili ako obrada podrazumeva veliku količinu osetljivih podataka,  recimo osoba sa invaliditetom, imenovanom Licu je 
potreban viši nivo stručnosti i podrške. Takođe treba praviti razliku u zavisnosti od toga da li je rukovalac ili obrađivač sistematski prenose lične podatke u treću zemlju i da li su takvi transferi stalni ili povremeni. Dakle, Lice za zaštitu podataka bi trebalo pažljivo odabrati, uzimajući u obzir specifičnosti pitanja zaštite podataka o ličnosti koja se javljaju unutar organizacije koja vrši obradu.

Zakon ne propisuje ni profesionalne kvalitete koje treba uzeti u obzir kada se
imenuje DPO. Svakako je preporuka da bi subjekti koji imenuju Lice za zaštitu podataka trebale imati kao kriterijum stručnost u pogledu nacionalne i Evropske pravne regulative i prakse u oblasti zaštite podataka. Preporuka je da angažovana lica idu na stalna usavršavanja i obuke. U slučaju organa javne vlasti, Lice za zaštitu bi trebalo imati i veštinu poznavanja pravila administracije i organizacije poslovanja u tim organima.