Ako niste, vreme je!
Novina iz oblasti zaštite podataka je svakog dana sve više i više. Ključni razlog za to je što se ova oblast konstantno unapređuje kako se na terenu tj. u praksi otkrivaju nove stvari koje bi mogle da budu zloupotrebljene na različite načine a od vitalnog su značaja i za kompanije i za pojedince/fizička lica. Po uzoru na GDPR, aktuelni Zakon o zaštiti podataka o ličnosti Republike Srbije je u naš pravni sistem uveo novi institut, lice za zaštitu podataka o ličnosti, ili kako GDPR ovo lice naziva, Data Protection Officer-a (DPO). Svojim delovanjem u okviru kompanije, ovo lice ima ključnu ulogu u obezbeđivanju usklađenosti poslovanja u ovoj oblasti.
Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u slučajevima:
- Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
- Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
- U slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
U svim drugim slučajevima, određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju vezano za obradu podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.
Zakonska regulativa: Visoke kazne za nepoštovanje obaveza
Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara. Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazini koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u EU tako i u Srbiji.
Zakon (možda nažalost) pred rukovaoce i obrađivače stavlja samo načelni zahtev da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.
Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno niti mu može biti otkazan ugovor o radu. Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.
Nezavisan položaj lica za zaštitu podataka znači da, primera radi, tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je učestalo u praksi), tj., niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.
Na narednoj strani saznajte i koje su obaveze Data Protection Officer-a…