Usklađivanje sa propisima o zaštiti podataka o ličnosti – obaveza, izazov i prilika
Stupanjem na snagu Opšte uredbe o zaštiti podataka o ličnosti (GDPR) 25. maja 2018. godine, Evropska unija je uspostavila jedinstven i sveobuhvatan regulatorni okvir u oblasti zaštite podataka o ličnosti. Ubrzo po njenom donošenju, GDPR je privukla značajnu pažnju šire javnosti, naročito zbog izuzetno visokih propisanih novčanih kazni za nepoštovanje njenih odredbi. Mnoge organizacije, posebno one koje posluju na međunarodnom nivou, hitno su započele procese usklađivanja sa novim pravilima, bilo iz stvarne potrebe, bilo iz opreza. U tom periodu, GDPR je postala jedna od najčešće pominjanih skraćenica u poslovnom svetu i jedan od najpretraživanih pojmova na internetu tokom te 2018-te godine.
U Republici Srbiji, proces harmonizacije sa evropskim pravnim okvirom nastavljen je usvajanjem Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), koji je donet u novembru 2018. godine, a primena zakona započela je 21. avgusta 2019. godine. Ovaj zakon u velikoj meri prati rešenja iz GDPR-a, uz određene prilagodbe domaćem pravnom sistemu, te nameće nove obaveze rukovaocima i obrađivačima podataka u Republici Srbiji.
Advokatska kancelarija MILIĆ Legal pruža sveobuhvatne usluge pravnog usklađivanja sa propisima o zaštiti podataka o ličnosti, koje obuhvataju između ostalog:
- analizu postojećih pravnih akata i procesa obrade podataka,
- reviziju i/ili izradu nove dokumentacije usklađene sa važećim propisima (uključujući politike, pravilnike i interne procedure),
- izradu evidencija aktivnosti obrade i drugih obaveznih akata u skladu sa zakonom,
- pravno savetovanje u vezi sa konkretnim pitanjima primene zakona, posebno u radnopravnim odnosima.
Poseban izazov u praksi predstavlja obrada podataka o ličnosti zaposlenih i drugih angažovanih lica. Usled izostanka detaljnijih normi u radnopravnom zakonodavstvu koje bi specijalno uređivale ovu oblast, poslodavci se u velikoj meri oslanjaju na opšte odredbe Zakona o zaštiti podataka o ličnosti, kao i na preporuke i mišljenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Jedan od ključnih primera jeste primena video nadzora na radnim mestima, koji takođe nije detaljno regulisan posebnim zakonom, te se u praksi uređuje internim aktima poslodavca, uz obavezno poštovanje načela zakonitosti, srazmernosti i transparentnosti.
Zbog navedenog, od izuzetnog je značaja da svaki poslodavac precizno i sveobuhvatno uredi pravila o obradi podataka o ličnosti zaposlenih, uključujući i video nadzor, kroz svoje opšte akte, i da ta pravila budu u skladu sa važećim zakonodavstvom, stavovima nadležnih organa i relevantnim evropskim standardima.
Praktični aspekti usklađivanja i uloga advokata u postupku implementacije
U procesu usklađivanja poslovanja sa propisima o zaštiti podataka o ličnosti, od naročitog je značaja da rukovaoci i obrađivači dobro razumeju sve faze obrade podataka i identifikuju potencijalne pravne i faktičke rizike. Samo “pro forme” posedovanje politika privatnosti ili internih pravilnika nije dovoljno ako obrada podataka nije u skladu sa zakonom u praksi. Zbog toga je neophodna celovita pravna i organizaciona analiza.
Advokatska kancelarija može pružiti podršku kroz na primer:
- procenu zakonitosti osnova obrade (npr. ugovor, zakonska obaveza, legitimni interes, pristanak…);
- izradu pravilno formulisane izjave o pristanku gde se pristanak javlja kao pravni osnov, sve u skladu sa članom 15 Zakona i članom 7 GDPR-a;
- analizu roka čuvanja i brisanja podataka;
- pravnu procenu rizika u vezi sa prenosom podataka van Republike Srbije ili EU, uključujući primenu standardnih ugovornih klauzula (SCC);
- uređenje odnosa sa obrađivačima putem ugovora o obradi podataka (član 45 Zakona / član 28 GDPR-a);
- obuku zaposlenih koji rukuju podacima o ličnosti u svakodnevnom radu.
Pored toga, u zavisnosti od veličine i delatnosti organizacije, može se razmotriti i potreba za imenovanjem lica za zaštitu podataka o ličnosti (Data Protection Officer – DPO), čija uloga nije samo formalna, već ima preventivnu i savetodavnu funkciju u cilju zakonite obrade.