26 апр, 2017

Novine u sprovođenju pravila o zaštiti podataka o ličnosti: da li je vaša kompanija spremna?

Privrednici, imajte u vidu – izricanje novčane kazne u iznosu do 10% godišnjeg prihoda kompanije ostvarenog u Republici Srbiji u prethodnoj godini, u cilju usaglašavanja sa propisima o zaštiti podataka o ličnosti, biće jedna od mera koje će počevši od 1. juna 2017. godine stajati na raspolaganju Povereniku1. Tada će na snagu stupiti novi Zakon o opštem upravnom postupku, a izmene postupka upravnog izvršenja omogućiće ovom organu da sprovede svoje odluke putem izricanja novčanih kazni privrednim društvima koje te odluke ne poštuju. Ove kazne mogu da dosegnu navedeni iznos, koji je značajno veći od maksimalnog iznosa kazne predviđenog trenutnim zakonom, odnosno od 200.000,00 RSD.

Ovo dalje znači da će privredna društva, ukoliko tako odredi Poverenik, morati da uspostave punu usklađenost sa propisima o zaštiti podataka o ličnosti, i to u vremenskom okviru koji Poverenik utvrđuje od slučaja do slučaja. Budući da usklađivanje sa ovim pravilima može da predstavlja kompleksan proces, posebno za multinacionalne kompanije koje su prenele neke od svojih funkcija na inostrane članove grupe, razmatranje potencijalnih problemima pre nego što Poverenik pokaže interesovanje za konkretnu kompaniju se može smatrati preporučljivim.

U nastavku smo naveli pitanja na osnovu kojih možete da izvedete okvirne zaključke o tome u kojoj meri privredno društvo poštuje pravila o zaštiti podataka o ličnosti, i samim tim o potencijalnoj izloženosti. Ukoliko imate bilo kakva pitanja u vezi sa ovom temom, naš tim koji se sastoji od Nikole Aksića i Dušana Romčevića Vam stoji na raspolaganju.

ZAŠTITA PODATAKA O LIČNOSTI: PITANJA ZA PROCENU RIZIKA VASE KOMPANIJE

Da li je privredno društvo registrovalo svoje zbirke podataka o ličnosti kod Poverenika?

Osim nekoliko izuzetaka, privredna društva koja poseduju zbirke podataka o ličnosti su u obavezi da takve zbirke i sa njima povezane informacije registruju kod Poverenika. Ovo uključuje zbirke podataka o klijentima, kandidatima za posao, poslovnim partnerima itd. Čak i pojedine zbirke podataka o zaposlenima moraju da se registruju. Spisak privrednih društava koje su izvršile makar delimičnu registraciju se nalazi sa na internet stranici Poverenika.2
Zakon o zaštiti podataka o ličnosti definiše podatak o ličnosti (samim tim i pojam zbirke podataka o ličnosti) u veoma širokim crtama, tako da podatke o ličnosti predstavljaju sve informacije povezane sa konkretnim fizičkim licem, poput imena, broja telefona, e-mail adrese, pola, itd.

Da li privredno društvo iznosi podatke o ličnosti iz Republike Srbije?

Iznošenje podataka o ličnosti, u praktičnom smislu, predstavlja prenos podataka o ličnosti inostranom licu, uključujući i prenos podataka u elektronskoj formi na inostrani računarski server. Ukoliko privredno društvo iznosi podatke o ličnosti u državu koja nije potpisnica Konvencije o privatnosti Saveta Evrope3(npr. SAD, UAE ili Kinu), Poverenik mora da odobri takvo iznošenje, pri čemu se radi o dugotrajnoj proceduri. Ovo pitanje zaštite podataka o ličnosti ima naročit značaj za multinacionalne kompanije.

Da li privredno društvo rukuje podacima o ličnosti koji se odnose na više od 250 lica?

U ovom trenutku, domaće pravo ne predviđa posebne obaveze zaštite podataka o ličnosti za privredna društva koja rukuju takvim podacima za više od 250 lica. Ipak, Poverenik je predložio izmene Zakona o zaštiti podataka o ličnosti kojima bi takve obaveze bile ustanovljene. Budući da Poverenik ima slobodu da izabere koja privredna društva će biti predmet njegovog nadzora, može se pretpostaviti da će upravo ova društva biti suočena sa intenzivnijim ispitivanjem od strane Poverenika.

Treba imati u vidu da se navedeno ograničenje (250 lica) ne odnosi samo na zaposlene i podatke o njima, već i na podatke o klijentima, dobavljačima, licima na listi kontakata itd.

Da li se privredno društvo pridržava pravila/procedura o čuvanju podataka?

Pravo Srbije sadrži pravila o vođenju evidencija koja, između ostalog, podrazumevaju obavezu privrednih društava da u određenom vremenskom periodu čuvaju podatke (u zavisnosti od vrste podataka), obavezu sprovođenja mera bezbednosti, kao i usvajanja odgovarajućih opštih akata – uključujući Listu kategorija registraturskog materijala s rokovima čuvanja. Pravila i procedure o čuvanju podataka su usko povezani sa zaštitom podataka o ličnosti i privredna društva se njima najčešće bave paralelno.

Ova pravila se do sada nisu dosledno sprovodila, mahom zbog nepostojanja adekvatnih kazni – u nekim slučajevima kazne su ograničene na (zanemarljiv) iznos od 10.000,00 RSD. Međutim, u kontekstu kazni koje mogu biti izrečene u okviru novog postupka upravnog izvršenja, savetujemo savesniji pristup pomenutim pravilima i njihovu doslednu primenu.

Dalji koraci

Ukoliko ova pitanja ukazuju na to da privredno društvo ne poštuje neka od pravila o zaštiti podataka o ličnosti, preporučujemo sprovođenje analize usklađenosti sa tim i, na osnovu rezultata te analize, preduzimanje neophodnih mera za usaglašavanje. Analiza bi trebalo da obuhvati ispunjenost svih obaveza u pogledu zaštite podataka o ličnosti, kao i rešenja za eventualne probleme.

Opšta usklađenost poslovanja

Iako se ovaj članak prvenstveno bavi zaštitom podataka o ličnosti, treba imati na umu da će izmene postupka upravnog izvršenja uticati na celokupni poslovno-pravni okvir, a ne samo na ovu oblast. Iz tog razloga može biti neophodno i sprovođenje dodatnih analiza usklađenosti poslovanja, na primer sa pravilima koja uređuju konkretnu branšu, propisima o sprečavanju pranja novca, pravilima o deviznom poslovanju, itd.

Ukoliko imate bilo kakva pitanja u vezi sa ovom temom slobodno kontaktirajte Nikolu Aksića ili Dušana Romčevića.

————————————-

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, u skladu sa Zakonom o zaštiti podataka o ličnosti Republike Srbije
http://registar.poverenik.rs/onlineusers/search
Konvencija o zaštiti lica u odnosu na automatsku obradu podataka