Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti

Kazne za kršenje Zakona o zaštiti podataka o ličnosti

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu predstavljati ozbiljan finansijski i poslovni rizik za kompanije, preduzetnike, ustanove i druge organizacije koje obrađuju podatke fizičkih lica. Pored novčanih sankcija, neusklađena obrada može dovesti do nadzora, zabrane ili ograničenja obrade, zahteva za naknadu štete i gubitka poverenja klijenata, zaposlenih i poslovnih partnera.

U savremenom poslovanju gotovo svaka organizacija obrađuje podatke o ličnosti. To mogu biti imena i prezimena, email adrese, brojevi telefona, podaci zaposlenih, evidencije kupaca, snimci video-nadzora, IP adrese, informacije prikupljene putem kolačića i drugi podaci pomoću kojih se fizičko lice može odrediti ili prepoznati.

Obaveze iz oblasti zaštite podataka zato se ne odnose samo na velike međunarodne kompanije. Zakon se primenjuje i na mala privredna društva, preduzetnike, udruženja, obrazovne i zdravstvene ustanove, državne organe i druge subjekte koji obrađuju podatke o ličnosti.

Šta uređuje Zakon o zaštiti podataka o ličnosti?

Zakon o zaštiti podataka o ličnosti uređuje prava fizičkih lica u vezi sa obradom njihovih podataka, načela obrade, obaveze rukovalaca i obrađivača, bezbednost podataka, prenos podataka, nadzor i odgovornost zbog kršenja propisa.

Organizacija koja obrađuje podatke treba da utvrdi:

  • koje podatke prikuplja;
  • zbog čega su joj ti podaci potrebni;
  • po kom pravnom osnovu ih obrađuje;
  • koliko dugo ih čuva;
  • ko ima pristup podacima;
  • kome se podaci dostavljaju;
  • koje mere zaštite primenjuje;
  • kako lica mogu da ostvare svoja prava.

Usklađivanje sa Zakonom ne podrazumeva samo postavljanje politike privatnosti na internet stranicu. Pravila moraju biti primenjena u ugovorima, evidencijama, internim procedurama, informacionim sistemima i svakodnevnim poslovnim procesima.

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti za pravna lica

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti za rukovaoca ili obrađivača koji ima svojstvo pravnog lica mogu iznositi od 50.000 do 2.000.000 dinara, u zavisnosti od učinjenog prekršaja.

Pravno lice može odgovarati ako:

  • obrađuje podatke suprotno načelima obrade;
  • nema odgovarajući pravni osnov;
  • koristi podatke u svrhu koja nije unapred određena;
  • prikuplja više podataka nego što je potrebno;
  • ne omogućava ostvarivanje prava lica;
  • ne vodi potrebne evidencije aktivnosti obrade;
  • ne primenjuje odgovarajuće mere zaštite;
  • ne prijavi povredu podataka kada postoji takva obaveza;
  • ne odredi lice za zaštitu podataka kada je to obavezno;
  • ne objavi ili ne dostavi kontakt podatke tog lica;
  • nezakonito prenosi podatke u drugu državu;
  • ne postupi po nalogu nadležnog organa.

Pored novčane kazne, organizaciji može biti naloženo da promeni način obrade, ograniči korišćenje podataka, izbriše podatke ili obustavi određenu obradu. Takve mere mogu imati ozbiljan uticaj na poslovanje čak i kada je iznos novčane sankcije manji.

Kazne za preduzetnike

Preduzetnici takođe mogu odgovarati zbog nepoštovanja propisa o zaštiti podataka. Činjenica da neko posluje u manjem obimu ne znači da može slobodno da prikuplja i koristi podatke klijenata, zaposlenih ili korisnika internet stranice.

Preduzetnik može obrađivati podatke:

  • zaposlenih i radno angažovanih lica;
  • kupaca i klijenata;
  • kandidata za posao;
  • dobavljača;
  • korisnika newslettera;
  • posetilaca sajta;
  • lica evidentiranih putem video-nadzora.

Za preduzetnika su Zakonom predviđene novčane kazne od 20.000 do 500.000 dinara, u zavisnosti od prekršaja.

Čak i obična tabela sa imenima, brojevima telefona i email adresama klijenata predstavlja obradu podataka o ličnosti. Za takvu obradu mora postojati određena svrha, pravni osnov i odgovarajuća zaštita.

Odgovornost odgovornih lica

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti ne moraju pogoditi samo kompaniju ili ustanovu. U određenim slučajevima može odgovarati i fizičko lice koje je bilo zaduženo za donošenje odluka ili sprovođenje obaveza.

To može biti direktor, rukovodilac organizacione jedinice, odgovorno lice u državnom organu ili drugo lice kojem je povereno upravljanje određenim procesom obrade.

Zato je potrebno da organizacija:

  • jasno podeli odgovornosti;
  • odredi nadležna lica;
  • donese odgovarajuće procedure;
  • obuči zaposlene;
  • dokumentuje postupanje sa podacima;
  • redovno proverava primenu usvojenih pravila.

Nejasna podela odgovornosti često dovodi do situacije u kojoj zaposleni smatraju da je za zaštitu podataka zadužen isključivo pravni ili IT sektor. U stvarnosti, zaštita podataka zahteva saradnju svih lica koja učestvuju u prikupljanju, korišćenju, čuvanju i dostavljanju podataka.

Koje povrede najčešće dovode do odgovornosti?

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu biti posledica različitih propusta, od nepostojanja pravnog osnova do nedovoljnih tehničkih mera zaštite.

Među čestim problemima u praksi nalaze se:

  • prekomerno prikupljanje podataka;
  • nejasna obaveštenja o obradi;
  • nepostojanje evidencija aktivnosti obrade;
  • korišćenje podataka u novu, neodređenu svrhu;
  • neuređeni odnosi sa obrađivačima;
  • nepropisno organizovan video-nadzor;
  • marketing bez odgovarajućeg pravnog osnova;
  • nepravilna upotreba kolačića;
  • predugo čuvanje dokumentacije;
  • neograničen pristup bazama podataka;
  • slabe lozinke i neadekvatna kontrola pristupa;
  • nepostojanje procedure za povredu podataka;
  • nepostupanje po zahtevima fizičkih lica;
  • neodređivanje DPO-a kada je to obavezno.

Poseban rizik postoji kada organizacija ima pripremljenu dokumentaciju, ali zaposleni u praksi postupaju drugačije. Dokumentacija mora odgovarati stvarnim poslovnim procesima, vrstama podataka i rizicima obrade.

Obrada bez odgovarajućeg pravnog osnova

Svaka obrada podataka mora imati odgovarajući pravni osnov.

U zavisnosti od okolnosti, pravni osnov može biti:

  • pristanak lica;
  • izvršenje ugovora;
  • poštovanje zakonske obaveze;
  • zaštita životno važnih interesa;
  • obavljanje poslova u javnom interesu;
  • legitimni interes rukovaoca ili trećeg lica.

Pristanak nije jedini pravni osnov i ne treba ga automatski koristiti za svaku obradu.

Problem nastaje kada kompanija prikuplja podatke bez prethodnog utvrđivanja svrhe i pravnog osnova. Takva obrada može dovesti do zahteva za brisanje podataka, ograničenja obrade, naknade štete i prekršajne odgovornosti.

Neispunjavanje obaveze obaveštavanja

Lice čiji se podaci obrađuju ima pravo da bude jasno i razumljivo obavešteno o obradi.

Obaveštenje treba da sadrži informacije o:

  • identitetu rukovaoca;
  • svrsi obrade;
  • pravnom osnovu;
  • primaocima podataka;
  • rokovima čuvanja;
  • pravima lica;
  • kontaktu službenika za zaštitu podataka, ako postoji;
  • mogućnosti podnošenja pritužbe;
  • prenosu podataka u druge države;
  • automatizovanom donošenju odluka, kada se ono primenjuje.

Obaveštenje ne treba da bude skriveno u teško dostupnom dokumentu niti napisano na način koji prosečan korisnik ne može da razume.

Neuređeni odnosi sa obrađivačima

Mnoge organizacije poveravaju deo obrade podataka drugim kompanijama i pružaocima usluga.

To mogu biti:

  • knjigovodstvene agencije;
  • hosting kompanije;
  • IT pružaoci usluga;
  • marketinške agencije;
  • cloud platforme;
  • kompanije za arhiviranje;
  • pružaoci video-nadzora;
  • spoljni saradnici.

Kada drugi subjekt obrađuje podatke u ime rukovaoca, potrebno je zaključiti odgovarajući ugovor kojim se uređuju predmet i trajanje obrade, vrste podataka, kategorije lica, mere zaštite i postupanje sa podacima nakon prestanka saradnje.

Postojanje običnog poslovnog ugovora nije uvek dovoljno. Odredbe o zaštiti podataka moraju odgovarati konkretnoj usluzi i stvarnom načinu obrade.

Povreda bezbednosti podataka

Povreda podataka može nastati kada dođe do:

  • gubitka dokumentacije;
  • slanja podataka pogrešnoj osobi;
  • neovlašćenog pristupa nalogu;
  • krađe računara ili telefona;
  • hakerskog napada;
  • objavljivanja poverljivih podataka;
  • gubitka baze;
  • uništavanja ili izmene podataka;
  • neovlašćenog preuzimanja dokumenata.

Organizacija treba da ima postupak za prepoznavanje, evidentiranje i procenu svakog incidenta.

U određenim situacijama povredu je potrebno prijaviti Povereniku, dok se lica obaveštavaju kada postoji visok rizik po njihova prava i slobode.

Ako zaposleni ne znaju kome treba da prijave incident, može biti izgubljeno vreme koje je važno za sprečavanje daljih posledica.

Kazne prema GDPR-u

Za organizacije na koje se primenjuje Opšta uredba o zaštiti podataka – GDPR, administrativne kazne mogu biti znatno više od sankcija predviđenih domaćim propisima.

Za teže povrede GDPR predviđa kazne do 20 miliona evra ili do 4% ukupnog godišnjeg svetskog prometa iz prethodne poslovne godine, u zavisnosti od toga koji je iznos viši.

GDPR se u određenim okolnostima može primenjivati i na organizacije koje nemaju sedište u Evropskoj uniji, na primer kada nude robu ili usluge licima u EU ili prate njihovo ponašanje.

Zbog toga kompanije iz Srbije koje posluju sa korisnicima i klijentima u Evropskoj uniji treba da provere da li se GDPR primenjuje na njihove aktivnosti.

Primer kazne kompaniji Meta

Irska Komisija za zaštitu podataka izrekla je kompaniji Meta Platforms Ireland kaznu od 1,2 milijarde evra u predmetu koji se odnosio na prenos podataka korisnika iz EU i Evropskog ekonomskog prostora u Sjedinjene Američke Države. Pored kazne, određene su i korektivne mere povezane sa budućim prenosima i usklađivanjem obrade.

Ovaj slučaj pokazuje da posledice neusklađenosti ne podrazumevaju samo plaćanje novčane sankcije. Nadležni organ može naložiti promenu poslovnog procesa, obustavu obrade ili zabranu prenosa podataka.

Kako izbeći kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti?

Da bi se smanjio rizik od kazne, potrebno je uspostaviti funkcionalan sistem zaštite podataka koji se primenjuje u svakodnevnom poslovanju.

Organizacija bi trebalo da:

  1. utvrdi koje podatke obrađuje;
  2. mapira tokove podataka;
  3. odredi svrhu i pravni osnov svake obrade;
  4. utvrdi rokove čuvanja;
  5. vodi evidencije aktivnosti obrade;
  6. pripremi odgovarajuća obaveštenja;
  7. reguliše odnose sa obrađivačima;
  8. proveri obavezu određivanja DPO-a;
  9. uredi video-nadzor;
  10. uredi kolačiće i direktni marketing;
  11. proceni rizike obrade;
  12. sprovede procenu uticaja kada je potrebna;
  13. uvede tehničke i organizacione mere;
  14. obuči zaposlene;
  15. uspostavi postupak za povredu podataka;
  16. redovno proverava usklađenost prakse i dokumentacije.

Usklađivanje ne treba da bude jednokratan projekat. Poslovni procesi, tehnologije, propisi i rizici se menjaju, zbog čega je potrebno redovno proveravati dokumentaciju i primenjene mere.

Zaštita podataka i poverenje klijenata

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti jesu važan rizik, ali usklađivanje ne treba sprovoditi isključivo zbog straha od sankcije.

Pravilno upravljanje podacima doprinosi:

  • većem poverenju klijenata;
  • sigurnijem poslovanju;
  • jasnijim odgovornostima;
  • boljoj organizaciji procesa;
  • smanjenju rizika od incidenata;
  • zaštiti ugleda kompanije;
  • lakšem odgovaranju na zahteve lica;
  • sigurnijoj saradnji sa partnerima.

Kompanija koja može jasno da objasni koje podatke prikuplja, zbog čega ih koristi i kako ih štiti pokazuje viši nivo profesionalnosti i odgovornosti.

Obuka za službenika za zaštitu podataka o ličnosti

Kec grupa organizuje Obuku za službenika za zaštitu podataka o ličnosti – DPO.

Program je namenjen licima koja učestvuju u usklađivanju poslovanja, primeni Zakona i obavljanju poslova službenika za zaštitu podataka.

Obuka obuhvata:

  • pravne osnove obrade;
  • mapiranje podataka;
  • evidencije aktivnosti obrade;
  • ugovore sa obrađivačima;
  • obaveštenja o privatnosti;
  • procenu rizika;
  • procenu uticaja;
  • postupanje u slučaju povrede podataka;
  • video-nadzor;
  • marketing i kolačiće;
  • ulogu službenika za zaštitu podataka.

Cilj programa je da polaznici nauče kako se zakonske obaveze primenjuju u stvarnim poslovnim procesima.

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti – zaključak

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu pogoditi pravna lica, preduzetnike i odgovorna lica.

Pored finansijskih sankcija, neusklađena obrada može dovesti do:

  • gubitka poverenja;
  • narušavanja ugleda;
  • zahteva za naknadu štete;
  • nadzora nadležnog organa;
  • ograničenja ili zabrane obrade;
  • brisanja podataka;
  • zabrane prenosa podataka;
  • izmene poslovnih procesa;
  • dodatnih troškova usklađivanja.

Zaštitu podataka zato ne treba posmatrati kao administrativnu formalnost. Ona treba da bude sastavni deo upravljanja rizicima i svakodnevnih poslovnih aktivnosti.

Pravovremena analiza obrade, odgovarajuća dokumentacija, obuka zaposlenih i primena tehničkih i organizacionih mera mogu značajno smanjiti mogućnost nastanka povrede i odgovornosti.

Scroll to Top