Obaveze rukovaoca podataka koje se najčešće previde

Zaštita podataka o ličnosti se u svakodnevnom govoru često svede na politiku privatnosti i obaveštenje o kolačićima. To jeste vidljivi deo, ali iza njega stoji niz obaveza koje rukovalac ima i kada posetilac to ne primećuje. Za ustanove i preduzeća te obaveze nisu stvar dobre volje, već zakona, pa vredi proći kroz one koje se u praksi najčešće zanemare.

Pre nego što pređem na pojedinosti, jedno pojašnjenje. Rukovalac je onaj ko odlučuje zašto se i kako podaci obrađuju, dakle sama ustanova ili firma. Većina onoga što sledi proističe iz Zakona o zaštiti podataka o ličnosti, koji je u primeni od 2019. godine i u velikoj meri prati evropski GDPR.

Postojanje pravnog osnova

Sve počinje od pitanja sme li se podatak uopšte obrađivati. Zakon u članu 12 nabraja osnove na kojima obrada može da počiva, među kojima su saglasnost lica, neophodnost za izvršenje ugovora, poštovanje zakonske obaveze, zaštita životno važnih interesa, obavljanje poslova u javnom interesu i legitimni interes rukovaoca. Za organe vlasti osnov najčešće nije saglasnost, već zakonska obaveza ili javni interes, što je važno razlikovati, jer od osnova zavise i prava građanina.

Evidencija o radnjama obrade

Jedna od obaveza koje se najlakše previde jeste vođenje evidencije o radnjama obrade, predviđeno članom 47. Reč je o internom pregledu toga ko se obrađuje, u koju svrhu, koje vrste podataka, ko su primaoci, koliko se dugo čuvaju i kako su zaštićeni. Ta evidencija nije namenjena javnosti, ali je dokaz da ustanova zna šta radi sa podacima, i upravo to nadzorni organ po pravilu prvo i traži.

Procena uticaja kada je rizik visok

Kada neka obrada, naročito uz upotrebu novih tehnologija, verovatno nosi visok rizik za prava građana, zakon u članovima 54 i 55 traži da se pre početka sprovede procena uticaja na zaštitu podataka. Ako i posle preduzetih mera rizik ostane visok, pribavlja se prethodno mišljenje Poverenika. U praksi ovo dolazi do izražaja kod sistemskog praćenja, obrade osetljivih podataka u velikom obimu ili automatizovanog odlučivanja, pa je dobro na vreme prepoznati spada li neki planirani sistem u tu kategoriju.

Postupanje kada nešto pođe naopako

Bezbednosni incidenti se dešavaju i najpažljivijima, pa zakon uređuje i to. Prema članu 52, rukovalac obaveštava Poverenika o povredi podataka bez nepotrebnog odlaganja, a ako je moguće u roku od sedamdeset dva časa od saznanja. Kratak rok ima smisla, jer šteta od procurelih podataka po pravilu raste sa vremenom. Zato je korisno unapred znati ko u ustanovi prijavljuje incident i kojim putem, kako se ne bi gubilo vreme onda kada ga najmanje ima.

Lice za zaštitu podataka

Za javni sektor postoji obaveza koja se često ispusti iz vida. Prema članu 56, organ vlasti dužan je da odredi lice za zaštitu podataka o ličnosti, i to bez obzira na obim obrade. To lice je tačka kontakta za građane i za Poverenika i pomaže ustanovi da se uskladi sa propisima. Kod privatnih firmi obaveza zavisi od prirode i obima obrade, ali kod organa vlasti ona je po pravilu bezuslovna.

Kako sve to povezati sa sajtom

Veći deo ovih obaveza ne vidi se na sajtu, ali se sa njim prepliće. Politika privatnosti i obaveštenje o kolačićima, o kojima pišemo u tekstu o zaštiti podataka i kolačićima, javni su izraz tih dužnosti. Kada sajt održava spoljna firma ili kada koristite usluge u oblaku, u igru ulazi i ugovor o obradi podataka. Zajedno, te obaveze čine okvir koji ustanovu štiti jednako koliko i građanina.

Ako niste sigurni gde se vaša ustanova nalazi u odnosu na ove zahteve, dobro je krenuti od evidencije i od pitanja imate li određeno lice za zaštitu podataka. Za pomoć oko usklađivanja sajta sa ovim obavezama, tu smo.

Tekst je informativan i ne predstavlja pravni savet. Tačan obim obaveza zavisi od konkretnog slučaja.

Česta pitanja