KONTROLNA LISTA – POJAM

Nepune dve godine od početka primene Zakona o zaštiti podataka o ličnosi (dalje: ZZPL), i procene da su rukovaoci i obrađivači u Republici Srbiji imali dovoljno vremena da usklade svoje poslovanje sa tim aktom, Poverenik je odlučio da iskoristi ovlašćenja koja su mu dodeljena i započne inspekcijski nadzor.

Poverenik se najpre odlučio da iskoristi zakonsku mogućnost uspostavljanja i slanja tzv. kontrolne liste, koja predstavlja vrstu upitnika sa relevantnim pitanjima za nadzirane subjekte, a iz čijih odgovora nadležna služba kod Poverenika kategoriše subjekte prema stepenu rizika odnosno odlučuje o daljim koracima kada je inspekcijski nadzor u pitanju.

Prema zakonskoj definiciji kontrolna lista je dokument koji sadrži spisak prioritetnih pitanja provere i drugih radnji za koje je inspekcija ovlašćena, određenih prema težini mogućih štetnih posledica u određenoj oblasti saglasno pravilima o proceni rizika, i predmet i obim provere.

S obzirom da je inspekcija dužna da kontrolne liste donese unapred i objavi, njihova sadržina je poznata i mogu se pronaći na veb prezentaciji službe Poverenika. Dakle, svaki subjekt i pre početka postupka nadzora može samoinicijativno preuzeti kontrolnu listu i izvršiti samoprocenu usklađenosti svog poslovanja sa zakonom odnosno izračunati po broju dobijenih bodova da li je stepen rizika u pogledu obrade podataka o ličnosti neznatan, nizak ili pak visok ili kritičan.

Kontrolna lista je važan dokument, ne samo iz razloga što se na osnovu njega inicijalno donosi odluka od strane Poverenika da li i u kom pravcu će inspekcijski nadzor dalje teći, već i zbog činjenice da je ista sastavni deo budućeg zapisnika o inspekcijskom nadzoru, a nadzirani subjekt odgovara za tačnost njene sadržine.

Poverenikova lista sa sastoji od šesnaest pitanja, na koja se odgovara najpre sa da ili ne, ali u okviru svakog od njih, postoji obaveza ili opcija da se odgovor obrazloži odnosno da se nadzirani subjekt detaljnije izjasni o postavljenom pitanju.

Poverenik je doneo dva obrasca Kontrolnih lista, jednu ukoliko su nadzirani subjekti organi vlasti, a drugu za subjekte koji to nisu. Predmetne kontrolne liste se razlikuju u pogledu formulacije samo kod pitanja označenog brojem deset. Dok su ostale razlike vezane mahom za terminološko prilagođavanje specifičnostima ovim vrstama nadziranih subjekata.

 


 

PITANJA IZ POVERENIKOVE KONTROLNE LISTE I OBJAŠNJENJA

Set od prva tri pitanja tiče se lica za zaštitu podataka o ličnosti, i pozitivni odgovori na ta pitanja nose čak 20 poena od mogućih 100, što ukazuje koliku važnost Poverenik pridaje ovom personalnom institutu.
Napred ćemo prikazati svako od šesnaest pitanja i pojasniti na šta treba obratiti pažnju prilikom odgovaranja na ista:

1. Da li je nadzirani organ odredio lice za zaštitu podataka?

Pozitivan odgovor nosi deset bodova, a negativan nijedan.Ovde se s razlogom može postaviti pitanje, zbog čega Poverenik boduje imenovanje Lica za zaštitu podataka o ličnosti, ukoliko na strani nadziranog subjekta ne postoji obaveza njegovog imenovanja. Međutim, i pored nepostojanja zakonske obaveze, svakako je preporuka da subjekti imaju određeno Lice koje će biti zaduženo za zaštitu podataka, jer zakon njegovo imenovanje ostavlja i kao opciju, što svakako snižava rizik u pogledu obrade podataka o ličnosti. Dakle, bez obzira da li se po zakonu u obavezi da postavite Lice odnosno tzv. DPO-a svakako je preporuka da nekog kompetentnog iz redova vaših zaposlenih ili eksterno stručno lice imenujete na tu funkciju.

Važno je podvući da se Lice za zaštitu podataka o ličnosti određuje na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje zakonskih obaveza.

2. Da li je nadzirani organ objavio kontakt podatke lica za zaštitu podataka?

ZZPL propisuje da su rukovalac ili obrađivač dužni da objave kontakt podatke lica za zaštitu podataka o ličnosti, kako bi isti bili dostupni zainteresovanim licima na koje se podaci odnose, odnosno dostupni javnosti. Zavisno od karakteristika poslovanja nadziranog subjekta, objavljivanje se može izvršiti najmanje oglašavanjem odluke u prostorijama nadziranog subjekta ili objavom na njegovoj veb prezentaciji.
Ovakva objava nosi pet bodova na Poverenikovoj kontrolnoj listi.

Svaki od rukovalaca ili obrađivača koji su dužni ili žele da odrede lice za zaštitu podataka o ličnosti – određuju samo jedno, a ne više fizičkih lica i objavljuju njegove podatke. Prema mišljenju Poverenika, napred navedeno ne isključuje mogućnost formiranja tima stručnjaka za zaštitu podataka koji bi iz organizacionih ili nekih drugih praktičnih razloga, pružali podršku licu određenom za zaštitu podataka o ličnosti.

3. Da li je nadzirani organ dostavio Povereniku kontakt podatke lica za zaštitu podataka?

Pored obaveze objave, ZZPL obavezuje rukovaoca ili obrađivača da o imenovanju DPO-a obavesti i Poverenika.

Obrazac i način vođenja evidencije lica za zaštitu podataka o ličnosti utvrđeni su posebnim pravilnikom čiji sastavni deo predstavlja Obrazac koji pored podataka o Rukovaocu sadrži i ime i prezime, adresu, imejl adresu i broj telefona imenovanog lica.

Podatke koji čine evidenciju Poverenika, rukovalac, odnosno obrađivač dostavljaju po sopstvenom nahođenju, na jedan ili više od propisanih načina:

• u pisanom obliku, neposredno
• putem pošte
• na imejl adresu: licezazastitu@poverenik.rs

Važno je skrenuti pažnju da dostavljanje na opštu imejl adresu Poverneikove kancelarije office@poverenik.rs, ili neku drugu imejl adresu Poverenika neće biti uvaženo.

Kako je jedna od obaveza Lica za zaštitu podataka o ličnosti i komunikacija sa Poverenikom, uključujući i obaveštavanje i pribavljanje mišljenja u vezi sa izvršenim procena uticaja na zaštitu podataka o ličnosti nameravanih radnji obrade, izuzetno je bitno da rukovaoci i obrađivači nakon određivanja lica za zaštitu podataka dostave Povereniku ispravne kontakt podatke tog lica, kako bi u slučaju potrebe komunikacija s njim bila uspostavljena na najbrži i najefikasniji način.

S tim u vezi, Poverenik je preporučio otvaranje zasebnog imejl naloga lica za zaštitu podataka o ličnosti, kao i dostavljanje posebnog broja mobilnog ili fiksnog telefona lica za zaštitu podataka ili, eventualno, uz broj telefonske centrale, broja lokala za neposredno uspostavljanje kontakta, na koji broj se može brzo i nesmetano uspostaviti veza.

Obaveštavanje Poverenika o postavljenom Licu za zaštitu podataka dodaje pet bodova u sklopu Kontrolne liste.

4. Da li nadzirani organ raspolaže internim aktima o zaštiti podataka o ličnosti?

Obaveza donošenja internih opštih akata crpi se iz odredbe ZZPL-a po kojoj je rukovalac dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica, što uključuje i primenu odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti, ako je to u srazmeri sa obradom. Doneti interni akti, uz ostale mere moraju se stalno preispitivati i ažurirati.

Takođe, primenjujući i jedno od najvažnih načela ZZPL-a – načelo transparentnosti, možemo zaključiti da je prethondo donošenje adekvatnih opštih akata kojim se lica čiji se podaci obrađuju pravovremeno i detaljno informišu o svim relevantim činjenicama vezanim za obradu, jedan od primarnih načina da se predmetno načelo ispoštuje.

Posedovanje internih akata, nagrađuje se sa čak deset bodova na kontrolnoj listi.

5. Da li nadzirani organ u obradi podataka o ličnosti koristi mere bezbednosti, kao što su pseudonimizacija ili kriptozaštita, testiranje i ocenjivanje tehničkih, organizacionih i kadrovskih mera bezbednosti obrade?

Kada je bezbednost u pitanju, ZZPL ne ulazi u detaljno propisivanje u kojim situacijama treba primeniti koji nivo bezbednosti, već prepušta rukovaocima i obrađivačima da sami odrede bezbednosne mere s tim što ih obavezuje.
Naime, Rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik, sve u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica. Prilikom procenjivanja odgovarajućeg nivoa bezbednosti iz stava 1. ovog člana posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneti, pohranjeni ili obrađivani na drugi način. Takođe, Rukovalac i obrađivač su dužni da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke isključivo po nalogu rukovaoca ili ako je na to obavezano nekim zakonom.

Pomenute bezbednosne mere, po potrebi mogu naročito obuhvatati:

• pseudonimizaciju i kriptozaštitu podataka o ličnosti;
• sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
• obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
• postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.

Ukoliko nadzirani subjekt primenjuje neke od pomenutih mera, može računati na dodatnih 10 bodova. U svakom slučaju, preporuka je da se opišu mere koje su primenjene u kontekstu karakteristika obrade i kategorije i obima podataka koji se obrađuju.

6. Da li nadzirani organ prenosi podatke o ličnosti u drugu državu ili međunarodnu organizaciju?

Jedna od oblasti regulisanih ZZPL-om svakako je prenos podataka u druge države. Ukoliko nadzirani subjekt ne vrši transfer podataka, obrada je manje rizična po bezbednost podataka i obratno. Međutim, pre nego što se odgovori na ovo pitanje, transfer podataka se mora šire shvatiti. Na primer, veliki broj kompanija orjentisanih isključivo na domaće tržište, bez ikakvih potreba da podatke prenosi van granica, ipak koristi razne servere ili cloud servise za skladištenje podataka, koji su locirani u inostranstvu.

Inače, prenos podataka o ličnosti u inostranstvo, može se izvršiti i bez prethodnog odobrenja ako je utvrđeno da ta druga država ili međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti. To su na primer potpisnice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka ili država odnosno međunarodna organizacija sa kojom je zaključen međunarodni sporazum o prenosu podataka o ličnosti.

Ukoliko nadzirani subjekt ne prenosi podatke u drugu državu i samim tim ih ne izlaže tom obliku rizika, za ovo pitanje može računati na dodatnih pet bodova.

7. Da li nadzirani organ vodi evidencije radnji obrade iz člana 47. Zakona o zaštiti podataka o ličnosti?

Ukoliko analiziramo zakonsku odredbu koja propisuje koje kategorije subjekata ne moraju da vode evidencije, možemo zaključiti da su to svi subjekti koji imaju manje od 250 zaposlenih, nemaju stalnu obradu (odnosno ista nije povremena), njihova obrada ne prouzrokuje visok rizik odnosno radnje se ne sastoje od obrade podataka koji ukazuju na krivična dela. Međutim, relativnost pojmova „povremena obrada“ i „visok rizik“ vode zaključku da bi oslobođenje obaveze vođenja evidencije trebalo shvatiti vrlo restriktivno. Na primer, ukoliko je neka radnja obrade stalna ili se ponavlja, takav obrađivač/rukovalac je svakako kandidat za obavezno vođenje evidencije. Dodatno, kako ovo pitanje nosi pet bodova na kontorlnoj listi, postojanje evidencije nadziranom subjektu može pomoći da se plasira bolje u odnosu na rizične kategorije obrada odnosno subjekata koji ih vrše. Takođe, ne treba zanemariti i značaj tzv. mapiranja podatka koja radnja prethodni izradi evidencije, a koja nam pomaže da stvorimo jasnu sliku o obradama koje vršimo i kategorijama podataka koje obrađujemo, a samim tim i umanjimo mogućnost povrede neke odredbe ZZPL-a.

8. Da li nadzirani organ obrađuje posebne vrste podataka o ličnosti (podaci kojima se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica)?

Odsustvo obrade osetljivih podataka nagrađuje nadziranog subjekta sa čak deset bodova, što govori o tome koliko je važno sa aspekta bezbednosti ličnih podataka pokušati sa obradom što manje podataka odnosno što manje osetljivih podataka koji se ne tiču nekih ličnih osobina koje svakoga od nas mogu kompromitovati i negativno uticati na našu privatnost.

Po ZZPL-u obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica, načelno je zabranjena. Međutim, obrada će ipak biti dozvoljena ukoliko se radi o nekom od taksativno navedenih slučajeva, poput izričitog pristanka na obradu, neophodnosti obrade radi ispunjenja zakonskih obaveza rukovaoca, radi ostvarenja životno važnih interesa, ako je lice samo podatke učinilo javno dostupnim itd.

9. Da li se osnovne aktivnosti nadziranog organa sastoje u obradi posebnih kategorija podataka o ličnosti?

Kao što je važna okolnost da li nadzirani subjekt obrađuje posebne kategorije podataka o ličnosti, takođe je bitno i da li je ta obrada njegova osnovna aktivnost ili supsidijarna. Zavisno od toga, nadzirani subjekt može imati dodatnih pet bodova ukoliko osetljive podatke obrađuje sporadično ili ostati bez bodova ako njegova delatnost podrazumeva obradu ovakvih podataka.

10/1. Da li nadzirani organ beleži radnje obrade prilikom upotrebe sistema automatske obrade podataka o ličnosti?

Da bi računao na bodove u okviru ovog pitanja, nadzirani organ koji obrađuje podatke u posebne svrha najpre mora obrađivati podatke sistemom automatizovane obrade, pa tek da u okviru toga ima uspostavljen mehanizam za beleženje svakog pristupa odnosno svakoj radnji obrade tako skladištenih podataka.

Naime, nadležni organ koji obrađuje podatke u posebne svrhe dužan je da obezbedi da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje. Beleženje uvida i otkrivanja podataka o ličnosti mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka. Bitno je naglasiti da predmetno beleženje može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka.

Negativan odgovor nosi pet bodova, nadziranom subjektu odnosno organu.

10/2. Da li se osnovne aktivnosti nadziranog subjekta sastoje u radnjama obrade koje bi po svojoj prirodi, obimu, odnosno svrhama zahtevale redovan i sistematski nadzor velikog broja lica na koje se podaci odnose?

Nadzirani subjekt koji u radnjama obrade sistematski nadzire veliki broj lica, ima drugačiji odnosno znatno strožiji zakonski tretman. Pored povećanog nivoa primenjene bezbednosti i obaveze da angažuje Lice za zaštitu podataka o ličnosti, najbitnija okolnost za ovakvog subjekta je obaveza da izvrši procenu uticaja pre otpočinjanja obrade.

11. Da li nadzirani organ obrađuje podatke o krivičnim presudama i kažnjivim delima?

Pre odgovora na ovo pitanje, važno je razlikovati vođenje evidencije o krivičnim presudama i kažnjivim delima koje radnje su poverene isključivo nadležnim organima, sa obradom ovih podataka koja može biti vršena samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose. Ukoliko nadzirani subjekt izbegne ovu vrstu obrade, ima dodatnih pet bodova u ukupnom zbiru.

12. Da li je nadzirani organ angažovao obrađivače podataka o ličnosti?

Ukoliko je nadzirani subjekt ipak sposoban da sam obrađuje svoje podatke može računati na dodatnih pet bodova. Međutim, u praksi stvari stoje drugačije. Ogromna većina rukovalaca za određene obrade ipak koristiti usluge obrađivača, zbog nemogućnosti da samostalno obradu sprovede do kraja ili veće finansijske isplativosti angažovanja specijalizovanog subjekta.

Rukovaoca razlikujemo od obrađivača po tome što je rukovalac subjekt koji samostalno ili zajedno sa drugima određuje svrhu i način obrade, dok je obrađivač subjekt koji obrađuje podatke o ličnosti u ime rukovaoca.

Rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose. Dakle, rukovalac odrgovara za izbor obrađivača.

U svakom slučaju, u odgovoru na ovo pitanje treba navesti i koje poslove obrade je rukovalac preneo na obrađivača.

13. Da li je nadzirani organ uredio odnos sa obrađivačima, u skladu sa odredbama člana 45. Zakona o zaštiti podataka o ličnosti?

Ukoliko nadzirani subjekt angažuje obrađivače, dužan je da sa njima zaključi i odgovarajuće ugovore, što donosi dodatnih pet bodova nadziranom subjektu.

Dakle, obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.

Taj akt između ostalog mora sadržati obavezu obrađivača da obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, uključujući i uputstvo u odnosu na prekogranično prenošenje podataka o ličnosti (osim ako je obrađivač zakonom obavezan da obrađuje podatke), da obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka, da preduzme sve potrebne bezbednosne mere itd.

14. Da li nadzirani organ podatke o ličnosti otkriva primaocima?

Primalac može biti fizičko ili pravno lice, kao i organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne. Ovoj kategoriji subjekata ne pripadaju organi vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade.

U okviru odgovora na ovo pitanje, trebalo bi taksativno navesti sve primaoce podataka, odnosno njihov identitet, kao i pravni osnov dostavljanja, i svrhu u koju se ti podaci otkrivaju.

Ukoliko nadzirani subjekt ne otkriva podatke primaocima, nagrađen je sa pet bodova u kontrolnoj listi.

15. Da li nadzirani organ donosi pojedinačne odluke zasnovane isključivo na automatizovanoj obradi podataka o ličnosti, uključujući i profilisanje?

ZZPL se primenjuje na obradu podataka o ličnosti koja se vrši, u celini ili delimično, bilo na automatizovan bilo na neautomatizovan način, dok je profilisanje svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja.

Donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni organi u posebne svrhe, uključujući i profilisanje zabranjeno je ukoliko takva odluka može da proizvede štetne pravne posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica. Ovo pravilo se ne odnosi na situacije ako je donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke. Profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta podataka o ličnosti, svakako nije dozvoljeno.

Ukoliko nadzirani subjekt ne donosi odluke na ovakav način i ne vrši profilisanje, ima dodatnih pet poena u kontrolnoj listi.

16. Da li je nadzirani organ sa drugim rukovaocem ili više rukovalaca zajednički odredio svrhu i način obrade podataka o ličnosti sadržanih u određenoj zbirci podataka (član 43. zakona)?

Pored odnosa rukovaoca i obrađivača, važan je i pravni odnos subjekata koji potpadaju pod kategoriju zajedničkih rukovaoca. Drugim rečima, ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima. Oni su dužni da na transparentan način određuju odgovornost svakog od njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije u skladu sa ZZPL-om. Istim sporazumom uređuje se i njihova međusobna odgovornost, lice za kontakt sa licem na koje se podaci odnose, kao i odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose, osim ako obradu vrše nadležni organi u posebne svrhe. Nezavisno od odredbi iz sporazuma koje uređuju međusobnnu odgovornost, lice na koje se podaci odnose može ostvariti svoja prava utvrđena ovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.

Nepostojanje zajedničke obrade na strani nadziranog subjekta nosi pet bodova u kontrolnoj listi.

 


 

Bodovanje i procena rizika:

Ukupan broj bodova koji se može dobiti samoprocenom kroz kontrolnu listu je 100. Ukoliko je razultat bodovanja takav da nadzirani subjekt ima 91 ili više bodova, stepen rizika će biti okrakterisan kao neznatan. Ukoliko su odgovori dati u potpunosti ispravno i nakon analize poslovanja nadziranog subjekta, zaista mali broj rukovalaca ili obrađivača se može pohvaliti ovim stepenom rizika.

Drugi nivo je mnogo češći u praksi. Od 51 do 90 bodova i takvi subjekti će imati nizak stepen rizika. Srednji stepen je od 41 do 50 bodova, dok je visok od 31 do 40. Nadzirani subjekti sa 30 ili manje bodova nalaze u kritičnoj zoni sa jako visokim stepenom rizika.

Činjenica da neko u okviru kontrolne liste ima manji broj bodova ne mora automatski značiti i da je povredio odredbe ZZPL-a. Svaki subjekt se mora truditi da uradi sve što može kako bi broj broj bodova povećao, što će direktno rezultirati i većem stepenu poštovanja zakonskih odredbi, pa samim tim i manjem riziku od povrede kako zakona, tako i podataka o ličnosti.