Da li ste imenovali lice za zaštitu podataka o ličnosti? Ako niste, vreme je

Novina iz oblasti zaštite podataka je svakog dana sve više i više. Kako se u praksi otkrivaju nove stvari koje bi mogle da budu zloupotrebljene na različite načine, a od vitalnog su značaja i za kompanije i za pojedince ili fizička lica, ova oblast se konstantno unapređuje.

Po uzoru na GDPR, aktuelni Zakon o zaštiti podataka o ličnosti Republike Srbije je u naš pravni sistem uveo novi institut, lice za zaštitu podataka o ličnosti, ili kako GDPR ovo lice naziva - „Data Protection Officer“.

Svojim delovanjem u okviru kompanije, ovo lice ima ključnu ulogu u obezbeđivanju usklađenosti poslovanja u ovoj oblasti.

Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u slučajevima da se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja.

Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose.

Ili u slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.

U svim drugim slučajevima, određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju vezano za obradu podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.

Zakonska regulativa: Visoke kazne za nepoštovanje obaveza

Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara.

Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazini koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u Evropskoj Uniji tako i u Srbiji.

Zakon pred rukovaoce i obrađivače stavlja samo načelni zahtev da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti.

Kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.

Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno niti mu može biti otkazan ugovor o radu.

Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.

Nezavisan položaj lica za zaštitu podataka znači da, npr. tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je učestalo u praksi), tj. niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.

Obaveze DPO-a

Što se tiče opisa dužnosti, zakon predviđa da lice za zaštitu podataka o ličnosti najmanje ima obavezu da daje mišljenja i savete vezane za zakonske obaveze, prati primenu propisa kod rukovaoca i obrađivača, uključujući i pitanja podele odgovornosti i kontrole i da daje mišljenje o proceni uticaja na zaštitu podataka o ličnosti, tj. o „DPIA“ analizi.

Takođe treba da sarađuje sa poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti i predstavlja kontakt tačku za saradnju sa tom institucijom.

Lice bi trebalo da bude dovoljno stručno da adekvatno razume nacionalni i evropski zakonodavni okvir koji se tiče zaštite podataka o ličnosti, da bude upućeno u savremene informacione tehnologije, da bude dovoljno stručno da razume šta znači sigurnost obrade podataka, kao i da razume poslovanje kompanije i poslovne procese u njoj.

Kako je lice dužno da sagledava i rizik koji se odnosi na radnje obrade, kao i da daje mišljenje o proceni uticaja, bilo bi dobro da poznaje i problematiku i mehanizme upravljanja rizicima.

DPO je u praksi i prva tačka komunikacije sa licima čiji se podaci obrađuju, kao i ključna osoba u upravljanju incidentima koji se tiču podataka o ličnosti, te bi i ovi zadaci trebalo da budu uzeti u obzir prilikom izbora lica.

Zakon predviđa da lice za zaštitu podataka o ličnosti može obavljati ove poslove i na osnovu ugovora, te ove zahtevne aktivnosti možete poveriti saradniku van kompanije.

U poveravanju ovih aktivnosti treba takođe poći od zahtevanih kompetencija lica, te od činjenice da, što je kompleksnija obrada, lice za zaštitu podataka treba da bude potkovanije znanjem i iskustvom da bi moglo da se pouzdano brine o usaglašenosti.

Iako zakon ne precizira, tumačenjem odredbi gde se govori o licu i posmatrajući obavezu nezavisnosti u vršenju dužnosti i vezanosti odgovornosti za najviši nivo rukovodstva, zaključuje se da je lice za zaštitu podataka o ličnosti uvek isključivo jedna osoba, tj. jedno fizičko lice.

Njegovi podaci se nakon imenovanja dostavljaju povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Naravno, nije problem da na ovim poslovima bude angažovan tim stručnjaka, od kojih je jedno lice određeno kao lice za zaštitu podataka o ličnosti.

„Dinamičnost i kompleksnost oblasti zaštite podatakao ličnosti zahtevaju znanje, iskustvo i dodatno angažovanje već opterećenih kapaciteta, te brigu o poslovima zaštite podataka o ličnosti prepustite stučnjacima“, kaže IT stručnjak, Roberto Poleto. 

div id="adoceanrsvdcfhklggd">