Наведени закон предвиђа институт процене утицаја на заштиту података о личности. Питања којима је посвећена посебна пажња у овом тексту везана су за ситуације у којима се обавезно спроводи ова процена и шта она треба да садржи.
[pdfjs-viewer url=“https%3A%2F%2Fwww.legeartis.rs%2Fwp-content%2Fuploads%2F2019%2F12%2F1004.pdf“ viewer_width=100% viewer_height=1360px fullscreen=true download=true print=true]
71
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
(Не)обавезност спровођења и
садржина процене утицаја на
заштиту података о личности
према новом Закону о заштити
података о личности
Наведени закон предвиђа институт процене утицаја на заштиту
података о личности.
Питања којима је посвећена посебна пажња у
овом тексту
везана су за ситуације у којима се обавезно спроводи ова
процена и шта она треба да садржи.
Народна
скупштина
Републике Србије
усвојила је нови Закон о заштити података
о личности
(„Сл. гласник РС”,
бр. 95/18 – даље: Закон), који је ступио на
снагу 21. новембра 2018. године, а започео са
применом 21. августа 2019. године. Текст
Закона
у највећој мери је усаглашен са Општом
уредбом о заштити података о личности
Европске
Уније (даље: Општа
уредба), као и
са тзв. Полицијском директивом, која уређује
обраду података о личности
од стране надлежних
органа у вези са кривичним
поступцима
и претњама националној безбедности.
Развојем модерних технологија
и генералним
развојем дигитализације повећали су се
и ризици злоупотребе личних
података. Ту
се као највидљивији пример може навести
развој софтвера,
односно
апликација које
појединци инсталирају на мобилним телефонима
иако врло често несвесни чињенице да
инсталација и коришћења истих никада није
бесплатна, већ се иста управо „плаћа” личним
подацима. Ту се пре свега у питању IP адресе
појединаца, подаци о њиховој локацији,
Петар Мијатовић,
адвокат
приступ приватном садржају унутар мобилног
уређаја, као и понашању појединаца на
интернету
ради анализирања преференција
појединаца. У те сврхе руковаоци личним
подацима
неретко
немају адекватно прибављен
пристанак појединаца или други законити
основ за обраду података, нити обезбеђене
техничке,
кадровске и организационе мере
којима би се заштитили лични
подаци.
С друге стране, до злоупотребе личних
података не долази само у онлајн-сфери, а на
обим последица незаконите обраде личних
података не утиче увек начин повреде безбедности
личних
података, већ пре свега врста
личних
података који су злоупотребљени и
њихов значај за лица чији су подаци повређени.
Имајући у виду све ове разлоге, Закон је, по
узору на одредбе Опште
уредбе, увео институт
процене утицаја на заштиту података о личности.
Стога ће у овом тексту
детаљно бити
разрађена најбитнија питања која се јављају
у
вези са проценом утицаја на заштиту података
о личности,
и то: дилема приликом утврђивања
ситуација у којима су руковаоци дужни
да
спроведу процену утицаја на заштиту података
о личности,
као и питање садржине саме
процене утицаја, односно
приступа руковаоца
приликом израде процене утицаја.
72
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
КАДА ЈЕ ОБАВЕЗНО СПРОВЕСТИ
ПРОЦЕНУ УТИЦАЈА НА ЗАШТИТУ
ПОДАТАКА О ЛИЧНОСТИ?
Чланом 54. став 1. Закона прописано је
да „ако је вероватно да ће нека врста обраде,
посебно употребом нових технологија
и узимајући
у обзир природу, обим, околности и
сврху обраде, проузроковати висок ризик за
права и слободе физичких лица, руковалац је
дужан да пре него што започне
са обрадом
изврши процену утицаја предвиђених радњи
обраде на заштиту података о личности”.
Горенаведена одредба представља
генералну
одредницу
преузету из Опште
уредбе
која садржи упућивање на употребу нових
технологија
као на фактор који може бити од
утицаја на евентуалну
обавезност руковалаца
да спроведу процену утицаја. Оно што је
кључно,
а произлази из горенаведене одредбе,
јесте да, у случају постојања потребе за
спровођењем процене утицаја, иста мора
бити спроведена пре започињања обраде
личних
података, која захтева
спровођење
процене утицаја.
Сходно
ставу 3. члана
54. Закона и Одлуци
о листи врста радњи обраде података о
личности
за које се мора извршити процена
утицаја на заштиту података о личности
и
тражити мишљење Повереника за информације
од јавног значаја и заштиту података о
личности
број 021-00-14/2019-04 од 19. јуна
2019. године (даље: Одлука), процена утицаја
на заштиту података о личности
обавезно се
врши у случају:
1) систематске и свеобухватне процене стања
и особина физичког лица, која се врши
помоћу аутоматизоване обраде података о
личности,
укључујући и профилисање, а на
основу које се доносе одлуке од значаја за
правни положај појединца или на сличан начин
значајно утичу на њега;
2) обраде посебних врста података о личности
или података о личности
у вези са
кривичним
пресудама и кажњивим делима у
великом обиму;
3) систематског надзора над јавно доступним
површинама у великој мери;
4) обраде података о личности
деце и малолетника
у сврху профилисања, аутоматизованог
одлучивања или у маркетиншке
сврхе;
5) употребе нових технологија
или технолошких
решења за обраду података о личности
или са могућношћу обраде података о личности
који служе за анализу или предвиђање
економске ситуације, здравља,
склоности или
интересовања,
поузданости или понашања,
локације или кретања физичких лица;
6) обраде података о личности
на начин који
укључује праћење локације или понашања
појединца у случају системске обраде података
о комуникацији насталих употребом
телефона, интернета
или других средстава
комуникације;
7) обраде биометријских
података у циљу
јединствене идентификације
запослених од
стране послодавца и у другим случајевима
обраде података о личности
запослених од
стране послодавца употребом апликација
или система за праћење њиховог рада, кретања,
комуникације и сл.;
8) обраде података о личности
укрштањем,
повезивањем или провером подударности из
више извора;
9) обраде посебних врста података о личности
у сврху профилисања или аутоматизованог
одлучивања.
Претходно
наведене ситуације јасно
стављају
акценат на обраду података употребом
нових технологија,
као и на аутоматизовану
обраду и профилисање као
главне детерминанте
у одређивању (не)
постојања обавезности спровођења процене
утицаја. На другом месту налазе се ситуације
које се односе
на обраду одређених
врста података о личности
чији резултат,
уколико се врши на неки од горенаведених
начина, може бити обавезивање руковаоца
да спроведе процену утицаја иако се обрада
не врши употребом нових технологија.
То се
пре свега односи
на обраду личних
података
малолетних лица, биометријских
података
запослених лица и посебних личних
података (подаци о расном или етничком
пореклу, политичком мишљењу, верском
или филозофском уверењу или чланству
у
синдикату, генетски подаци, биометријски
подаци у циљу јединствене идентификације
лица, подаци о здравственом стању или по73
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
даци о сексуалном
животу или сексуалној
оријентацији
физичког лица).
Иако поменута одлука Повереника за
информације од јавног значаја и заштиту
података од личности
прописује широк дијапазон
радњи обраде личних
података за које
је неопходно
претходно
спровести процену
утицаја, истом се не исцрпљују све ситуације
по којима би руковалац био дужан да спроведе
процену утицаја.
Сходно
члану
54. став 1. Закона и тачки
3) Одлуке, руковалац је обавезан да изврши
процену утицаја на заштиту података о
личности
и у другим случајевима ако је вероватно
да ће нека врста обраде, посебно
употребом нових технологија
и узимајући
у обзир природу, обим, околности и сврху
обраде, проузроковати висок ризик за права
и слободе физичких лица.
У наставку текста
биће разрађени најважнији
критеријуми из наведене одлуке који
опредељују ситуације у којима је неопходно
спровести процену утицаја, са навођењем
примера датих у Смерницама Радне
групе за
заштиту података о личности
Европске
уније
које се односе
на процену утицаја на заштиту
података о личности
и утврђивања да ли
ће обрада „вероватно проузроковати висок
ризик” од 4. априла 2017. године, последњи
пут ревидиране 4. октобра 2017. године (даље:
Смернице). Оне могу да користе руковаоцима
приликом анализирања и неких других
врста радњи обраде које могу да проузрокују
висок ризик по права и слободе лица чији се
подаци обрађују.
Систематске и свеобухватне процене стања
и особина физичког лица које се врше
помоћу аутоматизоване обраде података о
личности,
укључујући и профилисање, на
основу које се доносе одлуке од значаја за
правни положај појединца или на сличан
начин значајно утичу на њега – Смернице
као пример наводе ситуацију када финансијска
институција проверава своје клијенте
у референтној
бази података о кредитној
способности, у базама података о сузбијању
прања новца и финансирања тероризма или
у бази података о преварама, као и биотехнолошко
предузеће које својим купцима
директно нуди генетска тестирања ради процене
и предвиђања болести / здравствених
ризика или компанија која израђује бихевиоралне
и маркетиншке
профиле засноване
на употреби или прегледу њихове интернет
странице.
Систематски надзор – представља
обраду
која се користи за посматрање, праћење или
контролу
физичких лица, укључујући податке
прикупљене путем мрежа или „систематског
надзора над јавно доступним
површинама”.
Смернице напомињу да је ово само један пример
систематског надзора, као и да лични
подаци
могу да се прикупљају и у ситуацијама
у којима физичка лица нису свесна ко прикупља
њихове податке
и у које ће сврхе они бити
употребљени.
Обрада посебних врста података о личности
или података о личности
у вези са
кривичним
пресудама и кажњивим делима
– као пример ове врсте обраде може да се узме
болница која чува медицинску документацију
пацијената или приватни детектив који чува
појединости о деликвентима.
С друге стране,
за неке категорије података о личности
може
се сматрати да повећавају могући ризик за
права и слободе појединаца јер су повезани
с домаћинством и приватним активностима
(попут електронске комуникације чија је
поверљивост заштићена), зато што утичу на
остваривање основних људских
права (попут
података о локацији чије прикупљање доводи
у питање слободу кретања) или зато што
њихова повреда подразумева значајан утицај
на свакодневни
живот лица чији се подаци
обрађују (попут финансијских
података који
могу бити употребљени за превару у платном
промету).
Обрада података у великом обиму – Закон
не разрађује, односно
не прописује ситуације,
односно
радње обраде које могу да се
сматрају обрадом података у великом обиму.
Радна
група Европског
одбора за заштиту података
о личности
прописује одређене чиниоце
које би сваки руковалац требало да узме
у обзир приликом утврђивања (не)постојања
обраде великог обима, и то: број лица чији се
подаци обрађују, односно
њихов конкретни
број или удео у релевантном
становништву,
обим података и/или опсег
различитих података
који се обрађују, трајање или трајност
74
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
активности и географски опсег
активности
обраде података.
Употреба нових технологија
или технолошких
решења – попут комбиновања
отисака прстију и препознавања лица ради
побољшане контроле
физичког приступа.
Управо овај тип технологије
може да резултира
високим ризиком за права и слободе
појединаца. На пример, одређене апликације
могу знатно да утичу на свакодневни
живот и приватност појединаца, па је у таквим
случајевима потребно спровести процену
утицаја. Као пример који јасно показује
утицај који једна
инсталирана апликација на
мобилном уређају потенцијално има на приватност
појединца може да се узме одлука
шпанског надзорног органа за заштиту података
(АЕПД) о кажњавању Шпанске фудбалске
лиге (Ла Лигa) у поступку у којем је
утврђено да апликација Ла Лиге која је инсталирана
у телефонима 4 милиона корисника
даљински активира микрофон телефона и
на основу звучног
окружења утврђује да ли
се корисник налази у бару. Наводна
сврха
активирања микрофона била је детектовање
потенцијалног коришћења апликације за незаконито
„стримовање”.
САДРЖИНА ПРОЦЕНЕ УТИЦАЈА НА
ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Закон не прописује стриктну процедуру
које руковаоци морају да се придржавају
приликом спровођења процене утицаја на
заштиту података о личности.
Очигледно
да
је, водећи се моделом предвиђеним Општом
уредбом, законодавац ово питање препустио
руковаоцу, а Законом прописао само обавезне
елементе
које процена утицаја мора да
садржи. Тако је чланом
54. став 6. Закона о
заштити података о личности
прописано да
процена утицаја најмање
мора да садржи:
■ свеобухватан опис предвиђених радњи
обраде и сврху обраде, укључујући и опис
легитимног
интереса
руковаоца, ако он постоји;
■ процену неопходности
и сразмерности вршења
радњи обраде у односу
на сврхе обраде;
■ процену ризика за права и слободе лица на
које се подаци односе;
■ опис мера које се намеравају предузети
у односу
на постојање ризика, укључујући
механизме заштите, као и техничке,
организационе
и кадровске мере у циљу заштите
податка
о личности
и обезбеђивања
доказа о
поштовању одредби овог закона, узимајући
у обзир права и легитимне
интересе
лица на
која се подаци односе
и других лица.
Оно што је битно да се нагласи јесте да
се процена утицаја на заштиту података о
личности
спроводи пре обраде која може да
проузрокује висок ризик за права и слободе
физичких лица, односно
пре започињања
обраде на начин који подразумева претходно
спровођење процене утицаја.
Иако Закон, као ни Општа
уредба која
представља
узор законодавцу за усвајање Закона,
не прописују процедуру у погледу спровођења
процена утицаја на заштиту података
о личности,
Смернице Европског
одбора за
заштиту података о личности,
као и смернице
француског надзорног органа за заштиту
података о личности
пружају упутства која
свакако у добром делу могу да буду имплементирана
и од стране домаћих руковалаца. У наставку
тексту
ће на што практичнији
начин
бити изложени принципи и смернице за сва
четири наведена садржинска елемента,
које
би руковаоци требало да узму у обзир приликом
израде процене утицаја на заштиту
података о личности.
1. Свеобухватан опис предвиђених
радњи обраде и сврха обраде,
укључујући и опис легитимног
интереса руковаоца, ако он постоји
Да би на адекватан начин испунили први
обавезни елемент
процене утицаја на заштиту
података о личности,
руковаоци би требало
да претходно
изврше тзв. мапирање
личних
података који су планирани за обраду
на начин који подразумева претходно
спровођење процене утицаја. То мапирање
пре свега подразумева:
■ утврђивање врсте података који су планирани
за обраду на начин који подразумева
претходно
спровођење процене утицаја;
■ утврђивање локација на којима ће такви
подаци бити сачувани;
75
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
■ пописивање свих уређаја на којима је планирано
складиштење и обрада предметних
личних
података;
■ утврђивање свих лица унутар организације
која ће имати приступ таквим личним
подацима;
■ документовање
законских
основа по којима
би се вршила обрада личних
података.
Предузимањем горенаведених корака руковаоци
ће унутар организације имати јасну
структуру личних
података који су предмет
обраде, која захтева
спровођење процене
утицаја, односно
конкретне информације у
погледу врсте података који су предмет
планиране
обраде, лица која би имала приступ
подацима, локација на којима би се налазили
ти подаци и законских
основа по којима би се
вршила обрада наведених личних
података.
Након што се спроведу наведене радње,
руковаоци би требало да приступе конкретизацији
првог елемента,
односно
првој
фази израде процене утицаја, која подразумева:
■ презентовање
свих радњи обраде, њихове
природе, обима, контекста
и сврхе;
■ пописивање свих личних
података, примаоца
података и рокова чувања личних
података;
■ пописивање средстава и уређаја од којих
зависе лични
подаци (опрема, рачунарски
програми, мреже, лица, документи
у папирном
облику или канали за слање докумената
у папирном облику);
■ утврђивање екстерних
субјеката – обрађивача
који би вршили предметне
радње обраде
у име и за рачун руковаоца (уколико постоје);
■ пописивање свих сврха због којих се врше
предметне
радње обраде.
2. Процена неопходности
и
сразмерности вршења радњи
обраде у односу
на сврхе обраде
Овај други елемент
практично
представља
„продужену руку” начела ограничења у односу
на сврху обраде, као и начела минимизације
података, при чему су оба утемељена
у члану
5. Закона, по којем лични
подаци могу
да се прикупљају у сврхе које су конкретно
одређене, изричите, оправдане и законите и
даље не могу да се обрађују на начин који није
у складу са тим сврхама, а сами лични
подаци
морају бити примерени, битни и ограничени
на оно што је неопходно
у односу
на сврху
обраде.
Ова врста процене може да се подели у две
подврсте:
■ процена механизама који гарантују
пропорционалност
и сразмерност обраде података;
■ процена механизама који штите права лица
чији се подаци обрађују.
Што се тиче процене механизама који
гарантују
пропорционалност и сразмерност
обраде података, руковалац је дужан да приликом
спровођења ове процене образложи
и оправда изборе које је направио у циљу
усклађивања са законским
захтевима
у погледу:
■ сврха обраде, које морају бити конкретне,
неопходне
и оправдане за радње обраде које
су предмет
процене утицаја;
■ законитих основа за обраду података и забране
незаконите обраде;
■ минимизације података, која се огледа у
томе да лични
подаци морају да буду примерени,
битни и ограничени на оно што је
неопходно
у односу
на сврху обраде;
■ квалитета података, при чему би лични
подаци
морали да буду тачни
и редовно ажурирани;
■ рокова чувања личних
података, при чему
би лични
подаци морали да буду чувани у
ограниченом периоду.
С друге стране, процена механизама који
штите права лица чији се подаци обрађују
подразумева обавезу руковаоца да утврди
и опише механизме које је изабрао у циљу
поступања у складу са законским
захтевима
у погледу:
■ информација које се пружају лицима чији
се подаци обрађују, и то пре свега у погледу поштовања
начела транспарентности,
односно
пружања информација на лак, једноставан
и
разуман начин, у роковима прописаним Законом;
■ пристанка који дају лица чији се подаци обрађују,
који се огледа у могућности руковаоца
да докаже да је прибавио законити пристанак
и омогућио повлачење истог;
76
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
■ омогућавања лицима права на приступ и
преносивост података, права на ограничење
обраде личних
података и права на приговор;
■ обрађивача који обрађују личне
податке
у
име и за рачун руковаоца (уколико постоје),
и то пре свега у погледу постојања уговора
закљученог између руковаоца и обрађивача
са свим елементима
предвиђеним Законом,
који, између осталог, прописује и спровођење
одговарајућих техничких,
кадровских
и организационих мера које служе заштити
података о личности;
■ преноса личних
података, и то у погледу
поступања у складу са законским
обавезама
преноса личних
података изван Републике
Србије.
3. Процена ризика за права и
слободе лица на које се подаци
односе
Ово је кључни
елемент
процене утицаја на
заштиту података о личности.
Да би руковалац
уопште
дошао у позицију да изврши процену
ризика које намераване радње обраде
могу да проузрокују по права и слободе лица
чији се подаци обрађују, неопходно
је да су
претходна
два елемента
од стране руковаоца
испуњена на адекватан начин, односно
да је
руковалац на свеобухватан начин извршио
опис предвиђених радњи и сврху обраде, као
и да је извршио процену неопходности
и сразмерности
вршења радњи обраде у односу
на
намераване сврхе обраде.
Главна детерминанта
у процењивању постојања
и обима ризика по права и слободе
лица представља
безбедност
података. Да
би правилно и свестрано извршио процену
ризика, руковалац би морао да узме у обзир
заштитне механизме, али и узроке и последице
евентуалне
повреде безбедности
личних
података. У том смислу, процена ризика требало
би да се састоји из процене:
■ постојећих или планираних механизама
који служе заштити података о личности;
■ повреде безбедности
података о личности.
Имајући у виду претходно
наведено, руковалац
би прво требало да утврди постојеће
или планиране механизме који служе
заштити података о личности,
и то:
■ механизме заштите који се односе
на личне
податке
који су предмет
обраде: криптозаштита,
псеудонимизације
и сл.;
■ безбедносне
механизме заштите који се односе
на систем у оквиру којег се врши обрада
личних
података (механизми заштите хардвера,
„бекап” система и сл.);
■ организационе мере заштите (правилници,
односно
акти руковаоца, организовање запослених
лица у вези са обрадом личних
података,
процедуре поступања у случају повреде
безбедности
података о личности
итд.).
Након тога, руковалац би требало да, у
оквиру процене последица повреде безбедности
података о личности,
утврди и детаљно
опише:
■ потенцијални утицај који би повреда
безбедности
података имала на лица чији су
подаци повређени;
■ процену јачине тог утицаја;
■ опасности, односно
претње по средства и
уређаје на којима се налазе лични
подаци, као и
изворе који изазивају настанак таквих претњи;
■ вероватнoћу да ће доћи до повреде безбедности
података о личности.
4. Опис мера које се намеравају
предузети у односу
на постојање
ризика
Уколико је горенаведена процена показала
да постоји, барем и у малом проценту,
ризик
да може доћи до повреде безбедности
личних
података, руковалац је дужан да опише мере
које намерава да предузме у односу
на постојање
таквог ризика.
Уколико су постојеће или планиране мере
које су узете у обзир приликом анализирања
ризика већ довољне за отклањање
било ког
ризика по безбедност
података о личности,
руковалац би такве закључке требало да инкорпорише
у последњем делу процене утицаја.
У супротном, уколико постојеће или
планиране мере нису довољне да се отклоне
ризици по слободу и права лица чији се подаци
обрађују, руковалац је дужан да предложи
додатне корективне мере за заштиту података
о личности,
па да након тога спроведе поновну
процену ризика по права и слободе лица
чији се подаци обрађују.
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
(Не)обавезност спровођења и
садржина процене утицаја на
заштиту података о личности
према новом Закону о заштити
података о личности
Наведени закон предвиђа институт процене утицаја на заштиту
података о личности.
Питања којима је посвећена посебна пажња у
овом тексту
везана су за ситуације у којима се обавезно спроводи ова
процена и шта она треба да садржи.
Народна
скупштина
Републике Србије
усвојила је нови Закон о заштити података
о личности
(„Сл. гласник РС”,
бр. 95/18 – даље: Закон), који је ступио на
снагу 21. новембра 2018. године, а започео са
применом 21. августа 2019. године. Текст
Закона
у највећој мери је усаглашен са Општом
уредбом о заштити података о личности
Европске
Уније (даље: Општа
уредба), као и
са тзв. Полицијском директивом, која уређује
обраду података о личности
од стране надлежних
органа у вези са кривичним
поступцима
и претњама националној безбедности.
Развојем модерних технологија
и генералним
развојем дигитализације повећали су се
и ризици злоупотребе личних
података. Ту
се као највидљивији пример може навести
развој софтвера,
односно
апликација које
појединци инсталирају на мобилним телефонима
иако врло често несвесни чињенице да
инсталација и коришћења истих никада није
бесплатна, већ се иста управо „плаћа” личним
подацима. Ту се пре свега у питању IP адресе
појединаца, подаци о њиховој локацији,
Петар Мијатовић,
адвокат
приступ приватном садржају унутар мобилног
уређаја, као и понашању појединаца на
интернету
ради анализирања преференција
појединаца. У те сврхе руковаоци личним
подацима
неретко
немају адекватно прибављен
пристанак појединаца или други законити
основ за обраду података, нити обезбеђене
техничке,
кадровске и организационе мере
којима би се заштитили лични
подаци.
С друге стране, до злоупотребе личних
података не долази само у онлајн-сфери, а на
обим последица незаконите обраде личних
података не утиче увек начин повреде безбедности
личних
података, већ пре свега врста
личних
података који су злоупотребљени и
њихов значај за лица чији су подаци повређени.
Имајући у виду све ове разлоге, Закон је, по
узору на одредбе Опште
уредбе, увео институт
процене утицаја на заштиту података о личности.
Стога ће у овом тексту
детаљно бити
разрађена најбитнија питања која се јављају
у
вези са проценом утицаја на заштиту података
о личности,
и то: дилема приликом утврђивања
ситуација у којима су руковаоци дужни
да
спроведу процену утицаја на заштиту података
о личности,
као и питање садржине саме
процене утицаја, односно
приступа руковаоца
приликом израде процене утицаја.
72
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
КАДА ЈЕ ОБАВЕЗНО СПРОВЕСТИ
ПРОЦЕНУ УТИЦАЈА НА ЗАШТИТУ
ПОДАТАКА О ЛИЧНОСТИ?
Чланом 54. став 1. Закона прописано је
да „ако је вероватно да ће нека врста обраде,
посебно употребом нових технологија
и узимајући
у обзир природу, обим, околности и
сврху обраде, проузроковати висок ризик за
права и слободе физичких лица, руковалац је
дужан да пре него што започне
са обрадом
изврши процену утицаја предвиђених радњи
обраде на заштиту података о личности”.
Горенаведена одредба представља
генералну
одредницу
преузету из Опште
уредбе
која садржи упућивање на употребу нових
технологија
као на фактор који може бити од
утицаја на евентуалну
обавезност руковалаца
да спроведу процену утицаја. Оно што је
кључно,
а произлази из горенаведене одредбе,
јесте да, у случају постојања потребе за
спровођењем процене утицаја, иста мора
бити спроведена пре започињања обраде
личних
података, која захтева
спровођење
процене утицаја.
Сходно
ставу 3. члана
54. Закона и Одлуци
о листи врста радњи обраде података о
личности
за које се мора извршити процена
утицаја на заштиту података о личности
и
тражити мишљење Повереника за информације
од јавног значаја и заштиту података о
личности
број 021-00-14/2019-04 од 19. јуна
2019. године (даље: Одлука), процена утицаја
на заштиту података о личности
обавезно се
врши у случају:
1) систематске и свеобухватне процене стања
и особина физичког лица, која се врши
помоћу аутоматизоване обраде података о
личности,
укључујући и профилисање, а на
основу које се доносе одлуке од значаја за
правни положај појединца или на сличан начин
значајно утичу на њега;
2) обраде посебних врста података о личности
или података о личности
у вези са
кривичним
пресудама и кажњивим делима у
великом обиму;
3) систематског надзора над јавно доступним
површинама у великој мери;
4) обраде података о личности
деце и малолетника
у сврху профилисања, аутоматизованог
одлучивања или у маркетиншке
сврхе;
5) употребе нових технологија
или технолошких
решења за обраду података о личности
или са могућношћу обраде података о личности
који служе за анализу или предвиђање
економске ситуације, здравља,
склоности или
интересовања,
поузданости или понашања,
локације или кретања физичких лица;
6) обраде података о личности
на начин који
укључује праћење локације или понашања
појединца у случају системске обраде података
о комуникацији насталих употребом
телефона, интернета
или других средстава
комуникације;
7) обраде биометријских
података у циљу
јединствене идентификације
запослених од
стране послодавца и у другим случајевима
обраде података о личности
запослених од
стране послодавца употребом апликација
или система за праћење њиховог рада, кретања,
комуникације и сл.;
8) обраде података о личности
укрштањем,
повезивањем или провером подударности из
више извора;
9) обраде посебних врста података о личности
у сврху профилисања или аутоматизованог
одлучивања.
Претходно
наведене ситуације јасно
стављају
акценат на обраду података употребом
нових технологија,
као и на аутоматизовану
обраду и профилисање као
главне детерминанте
у одређивању (не)
постојања обавезности спровођења процене
утицаја. На другом месту налазе се ситуације
које се односе
на обраду одређених
врста података о личности
чији резултат,
уколико се врши на неки од горенаведених
начина, може бити обавезивање руковаоца
да спроведе процену утицаја иако се обрада
не врши употребом нових технологија.
То се
пре свега односи
на обраду личних
података
малолетних лица, биометријских
података
запослених лица и посебних личних
података (подаци о расном или етничком
пореклу, политичком мишљењу, верском
или филозофском уверењу или чланству
у
синдикату, генетски подаци, биометријски
подаци у циљу јединствене идентификације
лица, подаци о здравственом стању или по73
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
даци о сексуалном
животу или сексуалној
оријентацији
физичког лица).
Иако поменута одлука Повереника за
информације од јавног значаја и заштиту
података од личности
прописује широк дијапазон
радњи обраде личних
података за које
је неопходно
претходно
спровести процену
утицаја, истом се не исцрпљују све ситуације
по којима би руковалац био дужан да спроведе
процену утицаја.
Сходно
члану
54. став 1. Закона и тачки
3) Одлуке, руковалац је обавезан да изврши
процену утицаја на заштиту података о
личности
и у другим случајевима ако је вероватно
да ће нека врста обраде, посебно
употребом нових технологија
и узимајући
у обзир природу, обим, околности и сврху
обраде, проузроковати висок ризик за права
и слободе физичких лица.
У наставку текста
биће разрађени најважнији
критеријуми из наведене одлуке који
опредељују ситуације у којима је неопходно
спровести процену утицаја, са навођењем
примера датих у Смерницама Радне
групе за
заштиту података о личности
Европске
уније
које се односе
на процену утицаја на заштиту
података о личности
и утврђивања да ли
ће обрада „вероватно проузроковати висок
ризик” од 4. априла 2017. године, последњи
пут ревидиране 4. октобра 2017. године (даље:
Смернице). Оне могу да користе руковаоцима
приликом анализирања и неких других
врста радњи обраде које могу да проузрокују
висок ризик по права и слободе лица чији се
подаци обрађују.
Систематске и свеобухватне процене стања
и особина физичког лица које се врше
помоћу аутоматизоване обраде података о
личности,
укључујући и профилисање, на
основу које се доносе одлуке од значаја за
правни положај појединца или на сличан
начин значајно утичу на њега – Смернице
као пример наводе ситуацију када финансијска
институција проверава своје клијенте
у референтној
бази података о кредитној
способности, у базама података о сузбијању
прања новца и финансирања тероризма или
у бази података о преварама, као и биотехнолошко
предузеће које својим купцима
директно нуди генетска тестирања ради процене
и предвиђања болести / здравствених
ризика или компанија која израђује бихевиоралне
и маркетиншке
профиле засноване
на употреби или прегледу њихове интернет
странице.
Систематски надзор – представља
обраду
која се користи за посматрање, праћење или
контролу
физичких лица, укључујући податке
прикупљене путем мрежа или „систематског
надзора над јавно доступним
површинама”.
Смернице напомињу да је ово само један пример
систематског надзора, као и да лични
подаци
могу да се прикупљају и у ситуацијама
у којима физичка лица нису свесна ко прикупља
њихове податке
и у које ће сврхе они бити
употребљени.
Обрада посебних врста података о личности
или података о личности
у вези са
кривичним
пресудама и кажњивим делима
– као пример ове врсте обраде може да се узме
болница која чува медицинску документацију
пацијената или приватни детектив који чува
појединости о деликвентима.
С друге стране,
за неке категорије података о личности
може
се сматрати да повећавају могући ризик за
права и слободе појединаца јер су повезани
с домаћинством и приватним активностима
(попут електронске комуникације чија је
поверљивост заштићена), зато што утичу на
остваривање основних људских
права (попут
података о локацији чије прикупљање доводи
у питање слободу кретања) или зато што
њихова повреда подразумева значајан утицај
на свакодневни
живот лица чији се подаци
обрађују (попут финансијских
података који
могу бити употребљени за превару у платном
промету).
Обрада података у великом обиму – Закон
не разрађује, односно
не прописује ситуације,
односно
радње обраде које могу да се
сматрају обрадом података у великом обиму.
Радна
група Европског
одбора за заштиту података
о личности
прописује одређене чиниоце
које би сваки руковалац требало да узме
у обзир приликом утврђивања (не)постојања
обраде великог обима, и то: број лица чији се
подаци обрађују, односно
њихов конкретни
број или удео у релевантном
становништву,
обим података и/или опсег
различитих података
који се обрађују, трајање или трајност
74
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
активности и географски опсег
активности
обраде података.
Употреба нових технологија
или технолошких
решења – попут комбиновања
отисака прстију и препознавања лица ради
побољшане контроле
физичког приступа.
Управо овај тип технологије
може да резултира
високим ризиком за права и слободе
појединаца. На пример, одређене апликације
могу знатно да утичу на свакодневни
живот и приватност појединаца, па је у таквим
случајевима потребно спровести процену
утицаја. Као пример који јасно показује
утицај који једна
инсталирана апликација на
мобилном уређају потенцијално има на приватност
појединца може да се узме одлука
шпанског надзорног органа за заштиту података
(АЕПД) о кажњавању Шпанске фудбалске
лиге (Ла Лигa) у поступку у којем је
утврђено да апликација Ла Лиге која је инсталирана
у телефонима 4 милиона корисника
даљински активира микрофон телефона и
на основу звучног
окружења утврђује да ли
се корисник налази у бару. Наводна
сврха
активирања микрофона била је детектовање
потенцијалног коришћења апликације за незаконито
„стримовање”.
САДРЖИНА ПРОЦЕНЕ УТИЦАЈА НА
ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Закон не прописује стриктну процедуру
које руковаоци морају да се придржавају
приликом спровођења процене утицаја на
заштиту података о личности.
Очигледно
да
је, водећи се моделом предвиђеним Општом
уредбом, законодавац ово питање препустио
руковаоцу, а Законом прописао само обавезне
елементе
које процена утицаја мора да
садржи. Тако је чланом
54. став 6. Закона о
заштити података о личности
прописано да
процена утицаја најмање
мора да садржи:
■ свеобухватан опис предвиђених радњи
обраде и сврху обраде, укључујући и опис
легитимног
интереса
руковаоца, ако он постоји;
■ процену неопходности
и сразмерности вршења
радњи обраде у односу
на сврхе обраде;
■ процену ризика за права и слободе лица на
које се подаци односе;
■ опис мера које се намеравају предузети
у односу
на постојање ризика, укључујући
механизме заштите, као и техничке,
организационе
и кадровске мере у циљу заштите
податка
о личности
и обезбеђивања
доказа о
поштовању одредби овог закона, узимајући
у обзир права и легитимне
интересе
лица на
која се подаци односе
и других лица.
Оно што је битно да се нагласи јесте да
се процена утицаја на заштиту података о
личности
спроводи пре обраде која може да
проузрокује висок ризик за права и слободе
физичких лица, односно
пре започињања
обраде на начин који подразумева претходно
спровођење процене утицаја.
Иако Закон, као ни Општа
уредба која
представља
узор законодавцу за усвајање Закона,
не прописују процедуру у погледу спровођења
процена утицаја на заштиту података
о личности,
Смернице Европског
одбора за
заштиту података о личности,
као и смернице
француског надзорног органа за заштиту
података о личности
пружају упутства која
свакако у добром делу могу да буду имплементирана
и од стране домаћих руковалаца. У наставку
тексту
ће на што практичнији
начин
бити изложени принципи и смернице за сва
четири наведена садржинска елемента,
које
би руковаоци требало да узму у обзир приликом
израде процене утицаја на заштиту
података о личности.
1. Свеобухватан опис предвиђених
радњи обраде и сврха обраде,
укључујући и опис легитимног
интереса руковаоца, ако он постоји
Да би на адекватан начин испунили први
обавезни елемент
процене утицаја на заштиту
података о личности,
руковаоци би требало
да претходно
изврше тзв. мапирање
личних
података који су планирани за обраду
на начин који подразумева претходно
спровођење процене утицаја. То мапирање
пре свега подразумева:
■ утврђивање врсте података који су планирани
за обраду на начин који подразумева
претходно
спровођење процене утицаја;
■ утврђивање локација на којима ће такви
подаци бити сачувани;
75
УНАКРСНИ ПОГЛЕД LEGE ARTIS ● ЈАНУАР 2020.
■ пописивање свих уређаја на којима је планирано
складиштење и обрада предметних
личних
података;
■ утврђивање свих лица унутар организације
која ће имати приступ таквим личним
подацима;
■ документовање
законских
основа по којима
би се вршила обрада личних
података.
Предузимањем горенаведених корака руковаоци
ће унутар организације имати јасну
структуру личних
података који су предмет
обраде, која захтева
спровођење процене
утицаја, односно
конкретне информације у
погледу врсте података који су предмет
планиране
обраде, лица која би имала приступ
подацима, локација на којима би се налазили
ти подаци и законских
основа по којима би се
вршила обрада наведених личних
података.
Након што се спроведу наведене радње,
руковаоци би требало да приступе конкретизацији
првог елемента,
односно
првој
фази израде процене утицаја, која подразумева:
■ презентовање
свих радњи обраде, њихове
природе, обима, контекста
и сврхе;
■ пописивање свих личних
података, примаоца
података и рокова чувања личних
података;
■ пописивање средстава и уређаја од којих
зависе лични
подаци (опрема, рачунарски
програми, мреже, лица, документи
у папирном
облику или канали за слање докумената
у папирном облику);
■ утврђивање екстерних
субјеката – обрађивача
који би вршили предметне
радње обраде
у име и за рачун руковаоца (уколико постоје);
■ пописивање свих сврха због којих се врше
предметне
радње обраде.
2. Процена неопходности
и
сразмерности вршења радњи
обраде у односу
на сврхе обраде
Овај други елемент
практично
представља
„продужену руку” начела ограничења у односу
на сврху обраде, као и начела минимизације
података, при чему су оба утемељена
у члану
5. Закона, по којем лични
подаци могу
да се прикупљају у сврхе које су конкретно
одређене, изричите, оправдане и законите и
даље не могу да се обрађују на начин који није
у складу са тим сврхама, а сами лични
подаци
морају бити примерени, битни и ограничени
на оно што је неопходно
у односу
на сврху
обраде.
Ова врста процене може да се подели у две
подврсте:
■ процена механизама који гарантују
пропорционалност
и сразмерност обраде података;
■ процена механизама који штите права лица
чији се подаци обрађују.
Што се тиче процене механизама који
гарантују
пропорционалност и сразмерност
обраде података, руковалац је дужан да приликом
спровођења ове процене образложи
и оправда изборе које је направио у циљу
усклађивања са законским
захтевима
у погледу:
■ сврха обраде, које морају бити конкретне,
неопходне
и оправдане за радње обраде које
су предмет
процене утицаја;
■ законитих основа за обраду података и забране
незаконите обраде;
■ минимизације података, која се огледа у
томе да лични
подаци морају да буду примерени,
битни и ограничени на оно што је
неопходно
у односу
на сврху обраде;
■ квалитета података, при чему би лични
подаци
морали да буду тачни
и редовно ажурирани;
■ рокова чувања личних
података, при чему
би лични
подаци морали да буду чувани у
ограниченом периоду.
С друге стране, процена механизама који
штите права лица чији се подаци обрађују
подразумева обавезу руковаоца да утврди
и опише механизме које је изабрао у циљу
поступања у складу са законским
захтевима
у погледу:
■ информација које се пружају лицима чији
се подаци обрађују, и то пре свега у погледу поштовања
начела транспарентности,
односно
пружања информација на лак, једноставан
и
разуман начин, у роковима прописаним Законом;
■ пристанка који дају лица чији се подаци обрађују,
који се огледа у могућности руковаоца
да докаже да је прибавио законити пристанак
и омогућио повлачење истог;
76
LEGE ARTIS ● ПРОПИСИ У ПРАКСИ УНАКРСНИ ПОГЛЕД
■ омогућавања лицима права на приступ и
преносивост података, права на ограничење
обраде личних
података и права на приговор;
■ обрађивача који обрађују личне
податке
у
име и за рачун руковаоца (уколико постоје),
и то пре свега у погледу постојања уговора
закљученог између руковаоца и обрађивача
са свим елементима
предвиђеним Законом,
који, између осталог, прописује и спровођење
одговарајућих техничких,
кадровских
и организационих мера које служе заштити
података о личности;
■ преноса личних
података, и то у погледу
поступања у складу са законским
обавезама
преноса личних
података изван Републике
Србије.
3. Процена ризика за права и
слободе лица на које се подаци
односе
Ово је кључни
елемент
процене утицаја на
заштиту података о личности.
Да би руковалац
уопште
дошао у позицију да изврши процену
ризика које намераване радње обраде
могу да проузрокују по права и слободе лица
чији се подаци обрађују, неопходно
је да су
претходна
два елемента
од стране руковаоца
испуњена на адекватан начин, односно
да је
руковалац на свеобухватан начин извршио
опис предвиђених радњи и сврху обраде, као
и да је извршио процену неопходности
и сразмерности
вршења радњи обраде у односу
на
намераване сврхе обраде.
Главна детерминанта
у процењивању постојања
и обима ризика по права и слободе
лица представља
безбедност
података. Да
би правилно и свестрано извршио процену
ризика, руковалац би морао да узме у обзир
заштитне механизме, али и узроке и последице
евентуалне
повреде безбедности
личних
података. У том смислу, процена ризика требало
би да се састоји из процене:
■ постојећих или планираних механизама
који служе заштити података о личности;
■ повреде безбедности
података о личности.
Имајући у виду претходно
наведено, руковалац
би прво требало да утврди постојеће
или планиране механизме који служе
заштити података о личности,
и то:
■ механизме заштите који се односе
на личне
податке
који су предмет
обраде: криптозаштита,
псеудонимизације
и сл.;
■ безбедносне
механизме заштите који се односе
на систем у оквиру којег се врши обрада
личних
података (механизми заштите хардвера,
„бекап” система и сл.);
■ организационе мере заштите (правилници,
односно
акти руковаоца, организовање запослених
лица у вези са обрадом личних
података,
процедуре поступања у случају повреде
безбедности
података о личности
итд.).
Након тога, руковалац би требало да, у
оквиру процене последица повреде безбедности
података о личности,
утврди и детаљно
опише:
■ потенцијални утицај који би повреда
безбедности
података имала на лица чији су
подаци повређени;
■ процену јачине тог утицаја;
■ опасности, односно
претње по средства и
уређаје на којима се налазе лични
подаци, као и
изворе који изазивају настанак таквих претњи;
■ вероватнoћу да ће доћи до повреде безбедности
података о личности.
4. Опис мера које се намеравају
предузети у односу
на постојање
ризика
Уколико је горенаведена процена показала
да постоји, барем и у малом проценту,
ризик
да може доћи до повреде безбедности
личних
података, руковалац је дужан да опише мере
које намерава да предузме у односу
на постојање
таквог ризика.
Уколико су постојеће или планиране мере
које су узете у обзир приликом анализирања
ризика већ довољне за отклањање
било ког
ризика по безбедност
података о личности,
руковалац би такве закључке требало да инкорпорише
у последњем делу процене утицаја.
У супротном, уколико постојеће или
планиране мере нису довољне да се отклоне
ризици по слободу и права лица чији се подаци
обрађују, руковалац је дужан да предложи
додатне корективне мере за заштиту података
о личности,
па да након тога спроведе поновну
процену ризика по права и слободе лица
чији се подаци обрађују.