Digitalizacija i zaštita podataka o ličnosti u Srbiji 2023

Privacy policy Serbia 2'23

Čini se da zaštita podataka o ličnosti nikada nije dobijala više na značaju, te da je izloženost ličnih podataka sve veća, uzimajući u obzir nagli razvoj digitalnih tehnologija. Sve više vlasnika biznisa svoje poslovanje, ili bar deo istog, orijentiše na digitalne tehnologije i internet, kako je nesporno da su ovi alati jedni od najzastupljenijih u razvoju biznisa. Ipak, razvoj ovih alata neminovno otvara i pitanje zaštite ličnih podataka, a koje pitanje je sve zastupljenije i otvara brojne nedoumice. Šta sve treba da znate o zaštiti ličnih podataka, na koji način da uskladite svoje poslovanje u ovoj oblasti, kao i koji su to primeri iz prakse u kojima najčešće dolazi do povrede ličnih podataka, pročitajte u nastavku teksta.

Digitalizacija i njena uloga u poslovanju

Počev od jutarnjeg čitanja novina na internet portalima, korišćenja gugl mapa radi snalaženja po gradu, do onlajn poručivanja najrazličitijih vrsta robe i usluga, svako od nas na dnevnom nivou svakodnevno koristi digitalne tehnologije. Digitalne tehnologije nam u značajnoj meri olakšavaju preduzimanje različitih životnih aktivnosti i doprinose bržem, lakšem i efikasnijem odvijaju poslovanja različitih privrednih subjekata. Činjenica je da se dešava digitalna transformacija u različitim sferama, a da ista sa sobom nosi i dosta izazova, od kojih je najuticajniji onaj koji se odnosi na obradu ličnih podataka korisnika platformi. Iako je neminovno da je digitalizacija nužna za razvoj poslovanja, neophodno je i da se poslovanje uskladi sa propisima o zašiti podataka o ličnosti. Zbog toga, bitno je imati u vidu na koji način se lični podaci prikupljanju, obrađuju i čuvaju.

Zaštita podataka o ličnosti je u Srbiji uređena važećim Zakonom o zaštiti podataka o ličnosti, koji je usvojen 2018. godine, a kojim su doslovce preuzete odredbe Opšte uredbe o zaštiti podataka EU (GDPR). Predmetna činjenica je izazvala brojne kritike ali je zakon do danas ostao isti, počev od njegove primene od avgusta 2019. godine. Ipak, važeći zakon definiše brojne pojmove i obaveze koje je nužno preduzeti u poslovanju, a radi celishodne zaštite ličnih podataka. O tome šta se sve smatra ličnim podatkom, kao i šta predstavlja obradu podataka o ličnosti se upoznajte u nastavku.

Zakon o zaštiti podataka o ličnosti kao pravni okvir

Pre svega, podatak o ličnosti se definiše kao svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno. Dakle, nije nužno da se putem podatka identitet lica smatra određenim, već je dovoljno da isti bude odrediv, te da se na osnovu njega može zaključiti o identitetu lica. Zakon navodi neke od podataka koji se mogu smatrati ličnim, kao što je ime i identifikacioni broj, podatak o lokaciji, identifikator u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta određenog lica. Pod obradom podataka o ličnosti se podrazumeva svaka radnja izvršena na podacima, koja se vrši automatizovano ili neautomatizovano. Takve radnje predstavljaju recimo prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje.

Izuzetak od primene zakona jeste situacija u kojoj obradu podataka o ličnosti vrši fizičko lice za lične potrebe, odnosno potrebe svog domaćinstva. Takođe, Zakon se primenjuje samo na obradu podataka o ličnosti koju vrši rukovalac odnosno obrađivač koji ima sedište, odnosno prebivalište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije. Zakon se primenjuje i na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu ili na praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije. Dakle, Zakon uspostavlja i primenu na rukovaoce odnosno obrađivače koji nemaju prebivalište odnosno sedište na teritoriji Republike Srbije, što u određenim slučajevima stvara i obavezu određivanja predstavnika u Srbiji. Predstavnik je fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa Zakonom ovlašćeno da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama.

Načela obrade – smernice koje se moraju poštovati

Prepoznajući i štiteći značaj ličnih podataka, Zakon definiše određena načela koja su obavezna prilikom obrade podataka o ličnosti. Tako, Zakon pre svega predviđa da se podaci o ličnosti moraju obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose. Dakle, obrada je dozvoljena samo uz poštovanje zakonskih odredbi i uz transparentno obaveštavanje o obradi. Nadalje, Zakon decidno predviđa i načelo ograničenosti svrhe, odnosno propisuje da se podaci moraju prikupljati jedino u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama. U tom smislu, prilikom svake obrade neophodno je odrediti svrhu obrade, a koja je suštinski opravdana i zakonita. Dodatno, podatak o ličnosti koji se obrađuje u određenu svrhu se ne može obrađivati u druge svrhe za koje nije prethodno određeno da će se obrađivati. Jedno od suštinskih načela jeste i načelo minimizacije podataka, koje ustanovljava obavezu da se vrši obrada samo onih podataka koji su primereni, bitni i ograničeni na ono što je neophodno u svrhu obrade. Na navedeni način Zakon ograničava obradu broja ličnih podataka, predviđajući da rukovaoci i obrađivači moraju voditi računa da obradom što manjeg broja ličnih podataka ostvare neophodnu svrhu. Tako, kada poručujete hranu putem određene digitalne platforme, otkrivate lične podatke kao što su ime (uz to i pol), adresu i broj telefona, dok je recimo apsolutno suvišno otkrivati i svoj jedinstveni identifikacioni matični broj (JMBG), s obzirom na to da se svrha (dostava hrane na Vašu adresu) može postići i bez ovog podatka.

Naredno načelo predviđa da podaci moraju biti tačni, te da ako je to neophodno budu i ažurirani. Načelo ograničenog čuvanja podataka podrazumeva da se isti moraju čuvati samo u roku koji je neophodan za ostvarivanje svrhe. Na kraju, podjednako važno kao i ostala načela, ali jedno od ključnih jeste načelo integriteta i poverljivosti. Ovo načelo podrazumeva da se podaci moraju obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih mera. Dakle, potrebno je primeniti odgovarajuće mere kako bi se obezbedila i odgovarajuća zaštita podataka o ličnosti te sprečila neovlašćena ili nezakonita obrada, o čijem primeru možete pročitati u nastavku.

Slučajevi neovlašćene i nezakonite obrade

U praksi često dolazi do situacija neovlašćene i nezakonite obrade podataka o ličnosti. Takav primer su upravo hakerski napadi koji su sve učestaliji sa razvojem digitalnih tehnologija. Ukoliko dođe do ovakvih situacija, neophodno je što pre utvrditi da li je moglo da dođe do povrede podataka o ličnosti, te ukoliko da, kojih tačno, zatim o broju lica čiji su podaci o ličnosti povređeni, te preduzeti odgovarajuće mere da se dalja povreda spreči. Svakako, rukovalac je dužan da obavesti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu. Dakle, rok od 72 časa, koji je izuzetno kratak, što ukazuje na potrebu hitnog postupanja, nije prekluzivan, odnosno moguće je obavestiti Poverenika i nakon navedenog roka, ali je u tom slučaju rukovalac dužan da obrazloži razloge zbog kojih nije postupio u tom roku.

Rukovalac je dužan da obavesti i lice na koje se podaci odnose ukoliko povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode. Dakle, ukoliko dođe do povrede podataka o ličnosti, neophodno je svakako obavestiti Poverenika, dok obaveza obaveštavanja lica na koje se podaci odnose postoji samo ukoliko takva povreda može da proizvede visok rizik po prava i slobode tih lica. Zakonodavac nije definisao šta se podrazumeva pod visokim rizikom po prava i slobode fizičkih lica, tako da je prilikom određivanja da li određena povreda može da proizvede takav nivo rizika usled kojeg se moraju obavestiti i lica na koje se povreda odnosi, neophodno pre svega konsultovati praksu Poverenika.

Što se tiče zakonitosti obrade podataka o ličnosti, Zakon predviđa u kojim se sve slučajevima obrada smatra zakonitom. U tom smislu, obrada je zakonita samo ukoliko je ispunjen jedan od sledećih uslova:

1) lice na koje se podaci o ličnosti odnose je dalo pristanak na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;

2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;

3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;

4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;

5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;

6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.

U skladu sa navedenim, izuzetno je važno da se pre same obrade podataka o ličnosti u potpunosti uskladi poslovanje i izbegnu situacije u kojima se vrši nezakonita obrada podataka o ličnosti. Najčešći slučajevi nezakonite obrade podataka o ličnosti jesu u slučaju obrade podataka o ličnosti prilikom onlajn kupovine robe. Praksa Poverenika pokazuje da nezakonita obrada podataka o ličnosti postoji u situaciji kada rukovalac obrađuje podatak o broju isprave (lične karte ili pasoša) koji se prikupljaju prilikom onlajn kupovine robe posredstvom određenih internet stranica, zbog toga što u vreme prikupljanja spornih podataka nisu bili ispunjeni uslovi propisani Zakonom, odnosno zato što obrada ovih ličnih podataka nije bila neophodna u cilju poštovanja pravnih obaveza rukovaoca. Naime, Poverenik je zauzeo stanovište da pravna obaveza rukovaoca nastaje u momentu povraćaja novca kupcu (što je i bila svrha prikupljanja ovog podatka), čime je rukovalac postupio i suprotno načelu zakonitosti, poštenja i transparentnosti kao i načelu minimizacije podataka.

Usklađenost poslovanja

Ukoliko razmišljate da Vaš biznis bude dostupan i na digitalnoj platformi, onda je važno da znate da postoje određene obaveze koje morate da preduzmete. Tako, ukoliko posedujete veb sajt onda je potrebno a donesete i objavite Politiku privatnosti kao i Politiku o kolačićima, ukoliko iste koristite u Vašem poslovanju. Politika privatnosti je sveobuhvatan dokument gde je potrebno da navedete koje sve podatke o ličnosti obrađujete i u koje svrhe. Veoma je važno da Politika privatnosti na jasan i transparentan način pruži sva neophodna obaveštenja u vezi sa obradom podataka o ličnosti ali i pravima lica na koje se obrada odnosi.

Sa druge strane, Politika o kolačićima se donosi kada Vaš veb sajt koristi i „kolačiće“ odnosno delove kompjuterskog koda, koji imaju različite funkcije. U tom smislu, određeni kolačići se koriste za analizu posete određenim internet stranicama, zatim dužinu zadržavanja na internet stranici, marketing i slično. Shodno navedenom postoje i različite vrste kolačića – neophodni, funkcionalni, statistički, marketinški i drugi. U pogledu kolačića neophodno je da na veb sajtu postoji obaveštenje o korišćenju istih odnosno o svrsi prikupljanja i obrade podataka, te da lice može na jednostavan način da takvu obradu odbije.

Politika o kolačićima na jednostavan i transparentan način pojašnjava koje se sve vrste kolačića koriste prilikom posete veb sajta, koja je svrha svakog od njih, te na koji način možete iste blokirati.

Svakako, pored navedenih dokumenata važno je urediti i međusobne odnose rukovaoca i obrađivača zaključivanjem ugovora gde će se detaljno definisati međusobna prava i obaveze povodom obrade podataka o ličnosti. Zaključivanje ugovora je neophodno i u slučaju postojanja zajedničkih rukovaoca, odnosno u situaciji kada dva ili više rukovaoca određuju svrhu i način obrade. Kao dokument koji bi regulisao sva bitna pitanja obrade podataka o ličnosti, donosi se Interna politika privatnosti koja na detaljan i sveobuhvatan način reguliše obradu podataka o ličnosti.

Ne samo da je nužno uskladiti poslovanje sa zaštitom podataka o ličnosti, već ovaj korak u Vašem poslovanju značajno doprinosi i boljoj reputaciji na tržištu, s obzirom na to da korisnici sve više pažnje posvećuju utvrđivanju činjenice da li određena kompanija posluje društveno odgovorno.

U eri digitalizacije i brzog protoka velike količine informacija veoma je važno organizovati svoje poslovanje na način koji je u potpunosti usklađen sa zakonskim normama. Poštovanje privatnosti, kao jedno od relativno novijih prava je suštinski važno za zakonito poslovanje i razvijanje biznisa. Ukoliko još uvek niste uskladili svoje poslovanje sa obavezama iz oblasti zaštite podataka o ličnosti, potrebno je da to učinite što pre kako biste izbegli novčane kazne koje mogu biti i do 2.000.000,00 dinara. Budite slobodni da nas kontaktirate ukoliko Vam je potrebna pomoć u usklađivanju sa zakonskim obavezama.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije u vezi sa predmetnom temom, budite slobodni da nas kontaktirate putem imejla office@ncrlawyers.com ili putem telefona +381677049551.

Nemanja is attorney at law and founder of the law firm NCR Lawyers. Additionally, Nemanja is on the permanent list of arbitrators for the Commodity Exchange in Novi Sad and is also a member of the Belgrade Arbitration Center.

In his career, Nemanja has been involved in numerous complex legal transactions and has collaborated with clients from various industries. Dynamic and innovative in finding the best solutions for clients, Nemanja primarily focuses on corporate law, dispute resolution, and arbitration. Additionally, Nemanja’s legal expertise includes the protection of intellectual property for both domestic and international clients.

He completed his undergraduate and master’s studies at the Faculty of Law, University of Belgrade. Part of his master’s studies was completed at the Europa Institute in Saarbrücken as part of the Erasmus+ program.

Areas of Practice: