Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu predstavljati ozbiljan finansijski i poslovni rizik za kompanije, preduzetnike, ustanove i druge organizacije koje obrađuju podatke fizičkih lica. Pored novčanih sankcija, neusklađena obrada može dovesti do nadzora, zabrane ili ograničenja obrade, zahteva za naknadu štete i gubitka poverenja klijenata, zaposlenih i poslovnih partnera.
U savremenom poslovanju gotovo svaka organizacija obrađuje podatke o ličnosti. To mogu biti imena i prezimena, email adrese, brojevi telefona, podaci zaposlenih, evidencije kupaca, snimci video-nadzora, IP adrese, informacije prikupljene putem kolačića i drugi podaci pomoću kojih se fizičko lice može odrediti ili prepoznati.
Obaveze iz oblasti zaštite podataka zato se ne odnose samo na velike međunarodne kompanije. Zakon se primenjuje i na mala privredna društva, preduzetnike, udruženja, obrazovne i zdravstvene ustanove, državne organe i druge subjekte koji obrađuju podatke o ličnosti.
Zakon o zaštiti podataka o ličnosti uređuje prava fizičkih lica u vezi sa obradom njihovih podataka, načela obrade, obaveze rukovalaca i obrađivača, bezbednost podataka, prenos podataka, nadzor i odgovornost zbog kršenja propisa.
Organizacija koja obrađuje podatke treba da utvrdi:
Usklađivanje sa Zakonom ne podrazumeva samo postavljanje politike privatnosti na internet stranicu. Pravila moraju biti primenjena u ugovorima, evidencijama, internim procedurama, informacionim sistemima i svakodnevnim poslovnim procesima.
Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti za rukovaoca ili obrađivača koji ima svojstvo pravnog lica mogu iznositi od 50.000 do 2.000.000 dinara, u zavisnosti od učinjenog prekršaja.
Pravno lice može odgovarati ako:
Pored novčane kazne, organizaciji može biti naloženo da promeni način obrade, ograniči korišćenje podataka, izbriše podatke ili obustavi određenu obradu. Takve mere mogu imati ozbiljan uticaj na poslovanje čak i kada je iznos novčane sankcije manji.
Preduzetnici takođe mogu odgovarati zbog nepoštovanja propisa o zaštiti podataka. Činjenica da neko posluje u manjem obimu ne znači da može slobodno da prikuplja i koristi podatke klijenata, zaposlenih ili korisnika internet stranice.
Preduzetnik može obrađivati podatke:
Za preduzetnika su Zakonom predviđene novčane kazne od 20.000 do 500.000 dinara, u zavisnosti od prekršaja.
Čak i obična tabela sa imenima, brojevima telefona i email adresama klijenata predstavlja obradu podataka o ličnosti. Za takvu obradu mora postojati određena svrha, pravni osnov i odgovarajuća zaštita.
Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti ne moraju pogoditi samo kompaniju ili ustanovu. U određenim slučajevima može odgovarati i fizičko lice koje je bilo zaduženo za donošenje odluka ili sprovođenje obaveza.
To može biti direktor, rukovodilac organizacione jedinice, odgovorno lice u državnom organu ili drugo lice kojem je povereno upravljanje određenim procesom obrade.
Zato je potrebno da organizacija:
Nejasna podela odgovornosti često dovodi do situacije u kojoj zaposleni smatraju da je za zaštitu podataka zadužen isključivo pravni ili IT sektor. U stvarnosti, zaštita podataka zahteva saradnju svih lica koja učestvuju u prikupljanju, korišćenju, čuvanju i dostavljanju podataka.
Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu biti posledica različitih propusta, od nepostojanja pravnog osnova do nedovoljnih tehničkih mera zaštite.
Među čestim problemima u praksi nalaze se:
Poseban rizik postoji kada organizacija ima pripremljenu dokumentaciju, ali zaposleni u praksi postupaju drugačije. Dokumentacija mora odgovarati stvarnim poslovnim procesima, vrstama podataka i rizicima obrade.
Svaka obrada podataka mora imati odgovarajući pravni osnov.
U zavisnosti od okolnosti, pravni osnov može biti:
Pristanak nije jedini pravni osnov i ne treba ga automatski koristiti za svaku obradu.
Problem nastaje kada kompanija prikuplja podatke bez prethodnog utvrđivanja svrhe i pravnog osnova. Takva obrada može dovesti do zahteva za brisanje podataka, ograničenja obrade, naknade štete i prekršajne odgovornosti.
Lice čiji se podaci obrađuju ima pravo da bude jasno i razumljivo obavešteno o obradi.
Obaveštenje treba da sadrži informacije o:
Obaveštenje ne treba da bude skriveno u teško dostupnom dokumentu niti napisano na način koji prosečan korisnik ne može da razume.
Mnoge organizacije poveravaju deo obrade podataka drugim kompanijama i pružaocima usluga.
To mogu biti:
Kada drugi subjekt obrađuje podatke u ime rukovaoca, potrebno je zaključiti odgovarajući ugovor kojim se uređuju predmet i trajanje obrade, vrste podataka, kategorije lica, mere zaštite i postupanje sa podacima nakon prestanka saradnje.
Postojanje običnog poslovnog ugovora nije uvek dovoljno. Odredbe o zaštiti podataka moraju odgovarati konkretnoj usluzi i stvarnom načinu obrade.
Povreda podataka može nastati kada dođe do:
Organizacija treba da ima postupak za prepoznavanje, evidentiranje i procenu svakog incidenta.
U određenim situacijama povredu je potrebno prijaviti Povereniku, dok se lica obaveštavaju kada postoji visok rizik po njihova prava i slobode.
Ako zaposleni ne znaju kome treba da prijave incident, može biti izgubljeno vreme koje je važno za sprečavanje daljih posledica.
Za organizacije na koje se primenjuje Opšta uredba o zaštiti podataka – GDPR, administrativne kazne mogu biti znatno više od sankcija predviđenih domaćim propisima.
Za teže povrede GDPR predviđa kazne do 20 miliona evra ili do 4% ukupnog godišnjeg svetskog prometa iz prethodne poslovne godine, u zavisnosti od toga koji je iznos viši.
GDPR se u određenim okolnostima može primenjivati i na organizacije koje nemaju sedište u Evropskoj uniji, na primer kada nude robu ili usluge licima u EU ili prate njihovo ponašanje.
Zbog toga kompanije iz Srbije koje posluju sa korisnicima i klijentima u Evropskoj uniji treba da provere da li se GDPR primenjuje na njihove aktivnosti.
Irska Komisija za zaštitu podataka izrekla je kompaniji Meta Platforms Ireland kaznu od 1,2 milijarde evra u predmetu koji se odnosio na prenos podataka korisnika iz EU i Evropskog ekonomskog prostora u Sjedinjene Američke Države. Pored kazne, određene su i korektivne mere povezane sa budućim prenosima i usklađivanjem obrade.
Ovaj slučaj pokazuje da posledice neusklađenosti ne podrazumevaju samo plaćanje novčane sankcije. Nadležni organ može naložiti promenu poslovnog procesa, obustavu obrade ili zabranu prenosa podataka.
Da bi se smanjio rizik od kazne, potrebno je uspostaviti funkcionalan sistem zaštite podataka koji se primenjuje u svakodnevnom poslovanju.
Organizacija bi trebalo da:
Usklađivanje ne treba da bude jednokratan projekat. Poslovni procesi, tehnologije, propisi i rizici se menjaju, zbog čega je potrebno redovno proveravati dokumentaciju i primenjene mere.
Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti jesu važan rizik, ali usklađivanje ne treba sprovoditi isključivo zbog straha od sankcije.
Pravilno upravljanje podacima doprinosi:
Kompanija koja može jasno da objasni koje podatke prikuplja, zbog čega ih koristi i kako ih štiti pokazuje viši nivo profesionalnosti i odgovornosti.
Kec grupa organizuje Obuku za službenika za zaštitu podataka o ličnosti – DPO.
Program je namenjen licima koja učestvuju u usklađivanju poslovanja, primeni Zakona i obavljanju poslova službenika za zaštitu podataka.
Obuka obuhvata:
Cilj programa je da polaznici nauče kako se zakonske obaveze primenjuju u stvarnim poslovnim procesima.
Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti mogu pogoditi pravna lica, preduzetnike i odgovorna lica.
Pored finansijskih sankcija, neusklađena obrada može dovesti do:
Zaštitu podataka zato ne treba posmatrati kao administrativnu formalnost. Ona treba da bude sastavni deo upravljanja rizicima i svakodnevnih poslovnih aktivnosti.
Pravovremena analiza obrade, odgovarajuća dokumentacija, obuka zaposlenih i primena tehničkih i organizacionih mera mogu značajno smanjiti mogućnost nastanka povrede i odgovornosti.