KONTROLNA LISTA – POJAM
Napomena: Tekst je ažuriran prema kontrolnoj listi “KL – 001” od 08.12.2022. godine.
U postupku inspekcijskog nadzora nad primenom Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS“, br. 87/2018 – dalje: ZZPL), Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti koristi kontrolnu listu (KL–001) kao standardizovan instrument preliminarne provere usklađenosti nadziranog subjekta sa zakonom.
Kontrolna lista u suštini predstavlja upitnik sa prioritetnim pitanjima provere, a nadzirani subjekt na svako pitanje odgovara zaokruživanjem ponuđenih odgovora, uz obavezu obrazlaganja kod pitanja gde je to izričito traženo. Rezultati bodovanja služe da se usklađenost sa ZZPL-om izrazi brojčano, te da se proceni stepen rizika za prava i slobode fizičkih lica.
Kontrolna lista je važna iz najmanje tri razloga:
- na osnovu nje Poverenik dobija inicijalni uvid u stanje usklađenosti i potencijalne rizične tačke;
- ona funkcioniše kao praksa “samoprocene” – subjekt može unapred realno sagledati gde su mu praznine;
- sadržina kontrolne liste i dati odgovori imaju težinu u inspekcijskom postupku, jer nadzirani subjekt odgovara za tačnost izjašnjenja.
Pristup popunjavanju kontrolne liste treba da bude pravnički i operativno disciplinovan: ne odgovarati “šablonski”, već navoditi konkretne činjenice, akte, datume, vrste obrada, pravne osnove, tehničke i organizacione mere, kao i stvarni način postupanja.
PITANJA IZ KONTROLNE LISTE I SMERNICE ZA ODGOVARANJE
Kontrolna lista obuhvata 14 pitanja, grupisanih oko nekoliko tipičnih osa usklađenosti: (i) organizacija zaštite podataka (DPO i akti), (ii) bezbednost obrade i incidenti, (iii) međunarodni prenos, (iv) evidencije i “visokorizične” kategorije podataka, (v) odnosi sa obrađivačima, primaoci i zajednički rukovaoci.
U nastavku je prikaz svakog pitanja i na šta treba obratiti pažnju pri odgovoru.
1.Da li je nadzirani subjekt odredio lice za zaštitu podataka o ličnosti (član 56. stav 8. ZZPL)?
Pozitivan odgovor donosi 10 bodova. Kod odgovora se traži da se navedu stručne kvalifikacije na osnovu kojih je lice određeno.
Ovde je ključna praktična poruka: imenovanje DPO-a nije samo formalno pitanje, već mora biti zasnovano na stvarnim stručnim kvalifikacijama, naročito znanju i iskustvu u oblasti zaštite podataka o ličnosti i sposobnosti da se obavljaju zakonske obaveze. U obrazloženju je korisno navesti: radno iskustvo, relevantne sertifikate/obuke, interne kompetencije, opis zadataka i položaj u organizaciji.
2.Da li je nadzirani subjekt objavio kontakt podatke DPO-a (član 56. stav 10. ZZPL)?
Pozitivan odgovor donosi 5 bodova. Traži se da se navede gde i kada su kontakt podaci objavljeni.
U praksi je najjednostavnije i najodrživije rešenje objava na veb-sajtu (npr. u politici privatnosti), uz mogućnost da se obezbedi i vidljivost u prostorijama subjekta, kada je to smisleno. Bitno je da kontakt podaci budu realno upotrebljivi, a ne dati samo kako bi se zadovoljila forma.
3.Da li je nadzirani subjekt dostavio Povereniku kontakt podatke DPO-a (član 56. stav 10. ZZPL)?
Pozitivan odgovor donosi 5 bodova.
Ovde nema prostora za apstraktne opise – potrebno je da subjekt može da pokaže da je dostavljanje izvršeno (trag: dopis, potvrda slanja, evidencija predaje). Suština je obezbeđivanje funkcionalne komunikacije između DPO-a i Poverenika.
4.Da li nadzirani subjekt raspolaže internim aktima o zaštiti podataka o ličnosti?
Pozitivan odgovor donosi 10 bodova, uz obavezu da se navede koji interni akti su doneti i kada.
Preporuka je da se ne navodi generički “Imamo pravilnik”, već da se pobroje ključni dokumenti (npr. politika zaštite podataka/politika privatnosti, politika zadržavanja i brisanja, procedura za ostvarivanje prava lica, politika upravljanja incidentima, pravilnik o tehničkim i organizacionim merama, politika upravljanja obrađivačima i sl.). U inspekcijskom kontekstu, vrednost akata je u tome da se pokaže: (i) da postoje, (ii) da su prilagođeni konkretnim obradama, (iii) da se primenjuju.
5.Da li nadzirani subjekt sprovodi odgovarajuće mere bezbednosti (član 50. ZZPL)?
Pozitivan odgovor donosi 10 bodova, uz obavezu da se navedu konkretne mere bezbednosti.
Odgovor treba pisati u formi kratkog, ali sadržajnog pregleda: kontrola pristupa (role-based access), autentifikacija (npr. MFA gde je primenljivo), enkripcija u mirovanju i u prenosu, backup i recovery, logovanje pristupa, segmentacija sistema, antivirus/EDR, obuke zaposlenih, NDA/obaveza poverljivosti, testiranja i procene (penetration test, vulnerability management), procedure za upravljanje incidentima, itd. Poenta nije da se nabroji sve što “postoji u teoriji”, već ono što se realno koristi, razmerno riziku.
6.Da li su se desile povrede bezbednosti podataka i da li se vodi evidencija svake povrede (član 52. stav 6. ZZPL)?
Ovo pitanje boduje i situaciju kada je povreda bilo (ali je vođena evidencija), i situaciju kada povreda nije bilo.
Praktično: inspekcija očekuje da postoji interni mehanizam evidencije povreda, koji obuhvata najmanje činjenice o povredi, posledice i preduzete mere. Ako povreda nije bilo, i to je odgovor koji nosi bodove, ali je korisno kratko naznačiti da postoji procedura i odgovorna lica, kao i način internog prijavljivanja (incident intake).
7.Da li se desila povreda koja može da proizvede rizik i da li je Poverenik obavešten (član 52. ZZPL)?
I ovde se boduje i “nije bilo povreda koje mogu da proizvedu rizik”.
Ukoliko je obaveštavanje bilo potrebno, treba imati spremno: datum saznanja, procenu rizika, sadržaj prijave Povereniku, opis preduzetih mera i eventualno obaveštavanje lica na koje se podaci odnose (kada je primenljivo). Ako nije bilo takvih povreda, korisno je ukratko navesti da subjekt ima kriterijume/proceduru za procenu rizika i eskalaciju incidenta.
8.Da li se prenose podaci u drugu državu ili međunarodnu organizaciju, i da li je prenos u skladu sa ZZPL?
Pitanje predviđa tri tipa odgovora: (i) prenosi u skladu sa Zakonom, (ii) prenosi, ali nije u skladu, (iii) ne prenosi. Kada se prenosi, traži se da se navede koji podaci, gde, kome i po kom pravnom osnovu.
Ovde je ključna zamka: transfer se ne posmatra samo kao “mi šaljemo nekome”, već i kao korišćenje infrastrukture/usluga gde se podaci hostuju ili obrađuju van Srbije (cloud, SaaS, support, remote access). U odgovoru treba biti precizan: kategorije podataka, primaoci, lokacije, mehanizmi/pravni osnovi za prenos i osnovne mere zaštite.
9.Da li se vode evidencije radnji obrade (član 47. ZZPL)?
Pozitivan odgovor donosi 10 bodova, uz obavezu da se navedu koje evidencije.
Evidencije su praktično “mapa obrade”: svrhe, kategorije podataka, lica, primaoci, rokovi čuvanja, mere bezbednosti, transferi, obrađivači. Čak i kad subjekt smatra da je oslobođen obaveze, u inspekcijskom kontekstu je razumno da evidencije postoje, makar u svedenijoj formi, jer upravo one omogućavaju dokazivanje usklađenosti.
10.Da li se obrađuju posebne vrste podataka i da li je obrada u skladu sa članom 17. ZZPL?
Pitanje je postavljeno tako da se boduje i obrada posebnih vrsta podataka ako je zakonita, kao i situacija kada se takvi podaci ne obrađuju; a “neusklađena obrada” ostaje bez bodova. Traži se da se navede koji podaci, po kom pravnom osnovu i u koju svrhu.
Ovo je tačka gde se najčešće greši u praksi: navede se da se posebne vrste podataka obrađuju, ali se ne navede precizno iz kog osnova (npr. izričit pristanak, radno pravo i socijalna zaštita, medicina rada, zaštita vitalnih interesa itd.) i u kom obimu. Ako se ne obrađuju, preporuka je da se to jasno potvrdi, uz napomenu o “minimizaciji” (obrađujemo samo ono što je neophodno).
11.Da li se obrađuju podaci o krivičnim presudama i kažnjivim delima (član 19. ZZPL)?
Kod zakonite obrade traži se da se navede u okviru koje zbirke se obrađuju, po kom osnovu i u koju svrhu, kao i koje posebne mere zaštite se primenjuju.
Ako se obrađuju, odgovor mora biti “tvrdo” potkrepljen: ograničenje pristupa, posebne evidencije, rokovi čuvanja, pravni osnov (npr. izričita zakonska obaveza), i jasna svrha. Ako se ne obrađuju, to je često najbezbednija pozicija i u bodovanju.
12.Da li je određen obrađivač i da li je odnos uređen ugovorom ili drugim pravno obavezujućim aktom (član 45. ZZPL)?
Pitanje je bodovno “teško” (10 bodova) i traži da se navede koji poslovi obrade su povereni obrađivaču i kojim aktom je odnos uređen.
Ovo je jedna od ključnih tačaka inspekcije: nije dovoljno reći “imamo dobavljača”, već se mora pokazati da je odnos uređen u skladu sa članom 45. (predmet i trajanje, priroda i svrha, vrste podataka i lica, obaveze obrađivača, podobrađivači, mere bezbednosti, pomoć u ostvarivanju prava, brisanje/vraćanje podataka, revizije i sl.). Ako je obrađivač angažovan, a odnos nije uređen – to je tipičan indikator povišenog rizika.
13.Da li se podaci otkrivaju primaocima u skladu sa članom 12. ZZPL?
Kada se otkriva, traži se da se navede: koji podaci, identitet primalaca, pravni osnov i svrha otkrivanja. Ako se otkriva bez pravnog osnova – nema bodova. Ako se ne otkriva – bodovi se dobijaju.
Primalac je široko definisan i obuhvata i treća lica i određene organe vlasti (u granicama definicije). U odgovoru treba izbegavati opšte fraze (“državni organi”, “partneri”) i navesti konkretno, naročito kod eksternih pružalaca usluga (računovodstvo, hosting, support, HR platforme, banke, kurirske službe, itd.).
14. Da li postoje zajednički rukovaoci i da li je odnos uređen sporazumom (član 43. ZZPL)?
Ako su subjekti zajednički odredili svrhu i način obrade, mora postojati međusobni sporazum, a u odgovoru se traži da se navede: u okviru koje zbirke, koji rukovaoci i kojim sporazumom.
U praksi je važno razlikovati:
- situaciju “mi imamo obrađivača” (član 45), od
- situacije “mi zajedno odlučujemo” (član 43).
Ako postoji zajedničko odlučivanje, sporazum treba da razgraniči odgovornosti, naročito u pogledu informisanja lica i ostvarivanja prava, kao i kontakt tačku za lica na koja se podaci odnose.
BODOVANJE I PROCENA RIZIKA
Ukupan zbir je 100 bodova, a procena rizika se razvrstava:
- Neznatan: 91–100
- Nizak: 51–90
- Srednji: 41–50
- Visok: 31–40
- Kritičan: 30 i manje
Bitno je naglasiti: manji broj bodova ne mora automatski značiti da je došlo do povrede ZZPL-a, ali je u praksi gotovo uvek signal da subjekt nije uspostavio dovoljnu meru organizacione i/ili tehničke kontrole nad obradama, što povećava rizik i za lica na koja se podaci odnose i za sam subjekat u inspekcijskom postupku.
Ovaj tekst je informativnog karaktera i ne može biti shvaćen kao pravni savet.
