Једна од најбитнијих новина коју Закон о заштити података о личности доноси, која је и предмет разматрања у овом тексту, јесте институт лица за заштиту података о личности.
Народна скупштина Републике Србије усвојила је нови Закон о заштити података о личности („Сл. гласник РС”, бр. 95/18 – даље: Закон), који је ступио на снагу 21. новембра 2018. године, а започеће са применом 21. августа 2019. године. Текст Закона у највећој мери представља адаптирани превод Опште уредбе о заштити података о личности Европске Уније (даље: Општа уредба), као и тзв. Полицијске директиве, која уређује обраду података о личности од стране надлежних органа у вези са кривичним поступцима и претњама националној безбедности.
Закон је увео многобројне важне институте који су предвиђени и самом Општом уредбом, а институт лица за заштиту података о личности уведен је у нови Закон по узору на Општу уредбу, са циљем усклађивања руковаоца и обрађивача са одредбама Закона, па самим тим и обезбеђивања највишег нивоа заштите личних података.
У том смислу овај текст се бави најбитнијим темама које се тичу лица за заштиту података о личности, и то:
– случајевима када је обавезно именовање лица за заштиту података о личности од стране руковаоца и обрађивача;
– именовањем и положајем лица за заштиту података о личности у односу на руковаоца/обрађивача који га је именовао на ту позицију;
– обавезама лица за заштиту података о личности.
СЛУЧАЈЕВИ У КОЈИМА ЈЕ ОБАВЕЗНО ИМЕНОВАЊЕ ЛИЦА ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ ОД СТРАНЕ РУКОВАОЦА И ОБРАЂИВАЧА
Чланом 56. став 1. Закона прописана је пре свега могућност за све руковаоце и обрађиваче да именују лице за заштиту података о личности. Дакле, именовање наведеног лица није ограничено само на одређене руковаоце или обрађиваче, већ свака организација која на било који начин обрађује личне податке има право да именује своје лице за заштиту података о личности.
С друге стране, члан 56. став 2. Закона о заштити података о личности прописује да су руковаоци и обрађивачи обавезни да именују лице за заштиту података о личности ако се:
1) обрада врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања својих овлашћења;
2) основне активности руковаоца или обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски надзор великог броја лица на која се подаци односе;
3) основне активности руковаоца или обрађивача састоје у обради: (1) посебних врста података о личности из члана 17. став 1. Закона (подаци о расном или етничком пореклу, политичком мишљењу, верском или филозофском уверењу или чланству у синдикату, генетски подаци, биометријски подаци у циљу јединствене идентификације лица, подаци о здравственом стању или подаци о сексуалном животу или сексуалној оријентацији физичког лица) или (2) података о личности у вези са кривичним пресудама и кажњивим делима из члана 19. Закона (подаци који се односе на кривичне пресуде, кажњива дела и мере безбедности) – у великом обиму.
Да би се у свакој конкретној ситуацији утврдило да ли су руковаоци и обрађивачи дужни да именују лице за заштиту података о личности, потребно је претходно разумевање најбитнијих одредница из горенаведених законских одредби које уређују случајеве обавезног именовања лица за заштиту података о личности, и то:
– обрада личних података од стране органа власти,
– основне активности руковаоца и обрађивача,
– обрада личних података у великом обиму,
– редован и систематски надзор лица.
Обрада података о личности од стране органа власти
Закон прописује обраду података о личности од стране органа власти као први случај у којем је обавезно именовање лица за заштиту података о личности.
За правилно разумевање ово законске одредбе потребно је пре свега одговорити на питање ко су органи власти у смислу овог закона. Одговор је дат у члану 4. тачка 25) Закона, по којем је орган власти државни орган, орган територијалне аутономије и јединице локалне самоуправе, јавно предузеће, установа и друга јавна служба, организација и друго правно или физичко лице које врши јавна овлашћења.
Из горенаведеног може да се закључи да је законодавац максимално проширио круг субјеката који ће се сматрати органом власти у смислу обраде личних података, као и да је у исти уврстио и организације и физичка лица која врше јавна овлашћења. Тиме је законодавац практично поступио у складу са смерницама Радне групе за заштиту података о личности Европске уније у вези са лицем за заштиту података о личности од 13. децембра 2016. године (даље: Смернице), које су препоручивале да национална законодавства држава чланица ЕУ прошире круг субјеката који ће се сматрати органом власти, будући да Општом уредбом та класификација није предвиђена.
За разлику од друга два случаја, за утврђивање обавезности именовања лица за заштиту података о личности, у случају обраде података о личности од стране органа власти, не захтева се квантитативан услов – велики обим обраде података о личности.
Сама чињеница да орган власти обрађује личне податке аутоматски подразумева обавезу именовања лица за заштиту података о личности, што ће у пракси значити да ће сви органи власти имати поменуту обавезу. Изузетак од овог правила је случај обраде личних података од стране суда, коју он врши у сврху обављања својих овлашћења.
Основне активности руковаоца и обрађивача
Да би се сматрало да су руковаоци и обрађивачи обавезни да именују лице за заштиту података о личности у случајевима из члана 56. став 2. тачке 2) и 3) Закона, потребно је да се, између осталог, њихове основне активности састоје из радњи обраде личних података. Законом није дефинисан термин „основне активности”, који се користи приликом утврђивања (не)обавезности именовања лица за заштиту података о личности.
У недостатку законског решења, тумачења и мишљења домаћих надлежних органа, једино адекватно тумачење, односно интерпретација овог термина може да се изведе из одредби Опште уредбе које су коришћене приликом израде и усвајања новог закона.
Тако је у уводној одредби бр. 97 Опште уредбе дефинисано да се у приватном сектору основне активности руковаоца и обрађивача података односе на његове примарне активности, а не на обраду података о личности као додатне активности. Овако дефинисан термин основних активности са аспекта законодавства Републике Србије не треба уско везивати само за претежну делатност која се региструје у Агенцији за привредне регистре, односно чињеница да претежна делатност обрађивача или руковаоца није обрада личних података не значи аутоматски да њихове основне активности не подразумевају и ту радњу. Управо супротно, врло често се дешава да без обраде личних података руковаоци и обрађивачи не могу да обављају своју претежну делатност, па се тада поменута обрада третира као основна активност руковаоца или обрађивача.
Тако је и у самим Смерницама наведено да, иако је основна делатност нпр. болнице – пружање здравствених услуга, у њене основне активности спада и обрада личних података, јер болница не би могла да на поуздан начин пружи здравствену услугу без обраде здравствених података својих пацијената. До таквог закључка може да се дође и у случају приватне компаније за обезбеђење која врши надзор на јавним просторима и трговинским центрима. Наиме, иако је њена основна делатност надзор, у основне активности сврставају се и радње обраде података, будући да без обраде личних података она не би могла да врши надзор као своју основну делатност.
Обрада личних података у великом обиму
Да би се сматрало да су руковаоци и обрађивачи обавезни да именују лице за заштиту података о личности у случајевима из члана 56. став 2. тачке 2) и 3) Закона, поред основних активности обраде података, неопходно је да се, између осталог, и обрада личних података врши у великом обиму.
Као и у случају термина „основни подаци”, Закон не разрађује, односно не прописује ситуације, односно радње обраде које могу да се сматрају обрадом података у великом обиму, у смислу овог закона. И сама Општа уредба, која је представљала основно полазиште за усвајање новог закона, не прописује ни на exampli causa начин случајеве који би се сматрали обрадом података у великом обиму.
Смернице у вези са лицем за заштиту података о личности прописују одређене чиниоце које би сваки руковалац и обрађивач требало да узме у обзир приликом утврђивања (не)постојања обраде великог обима, и то: број лица чији се подаци обрађују, односно њихов конкретан број или њихов удео у релевантном становништву; обим података и/или опсег различитих података који се обрађују; трајање или трајност активности обраде података; географски опсег активности обраде.
Поред тога, Смернице пружају примере обраде података у великом обиму, који су консултативне природе, а руковаоцима и обрађивачима могу да послуже као одреднице приликом утврђивања (не)постојања обраде података у великом обиму, и то су:
– обрада података о пацијенту у оквиру редовног пословања болнице;
– обрада података о путовањима појединаца који користе јавни градски превоз (нпр. праћење помоћу путних картица);
– обрада података у стварном времену у погледу геолокације клијената међународног ланца брзе хране у статистичке сврхе, коју спроводи обрађивач специјализован за те активности;
– обрада података о клијентима у оквиру редовног пословања осигуравајућег друштва или банке;
– обрада личних података у оквиру интернет претраживача ради бихевиористичког оглашавања;
– обрада података (садржај, промет, локација) коју спроводе пружаоци телефонских или интернет услуга.
Редован и систематски надзор лица
Као и у претходним случајевима, Закон не дефинише појам редовног и систематског надзора, нити елементе на бази којих би руковаоци и обрађивачи били у могућности да утврде у сваком конкретном случају да ли врше редован систематски надзор лица.
Међутим, Радна група за заштиту података о личности дала је у Смерницама о лицима за заштиту података о личности своје тумачење у овом погледу.
Тако се, сходно Смерницама, термин „редован надзор” тумачи на најмање један од следећих начина, као праћење:
– које је трајно или се спроводи у одређеним интервалима у одређеном раздобљу,
– које се понавља у тачно одређено време,
– које се спроводи стално или периодично.
С друге стране, појам „систематски надзор” Смернице тумаче на најмање један од следећих начина, као праћење:
– које се спроводи у складу са одређеним системом,
– које је претходно договорено, организовано или методолошко,
– које је део општег плана за прикупљање података,
– које се спроводи као део стратегије.
Будући да се редован и систематски надзор тумачи прилично широко, широк је и сам дијапазон делатности које могу да се сматрају редовним и систематским праћењем лица, као што су: управљање телекомуникацијском мрежом, пружање телекомуникацијских услуга, маркетиншке активности засноване на подацима, праћење локације, праћење података о општем стању организма, телесној кондицији и здрављу помоћу уређаја који се носе на телу итд.
Дакле, иако је за редовни и систематски надзор прва (и углавном једина) асоцијација праћење лица путем интернета, овај појам свакако не може да се тумачи тако уско јер редован и систематски надзор може да се врши и на друге начине, попут праћења путем телекомуникацијских уређаја и др.
- ИМЕНОВАЊЕ, ПОЛОЖАЈ И ОБАВЕЗЕ ЛИЦА ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ У ОДНОСУ НА РУКОВАОЦА/ОБРАЂИВАЧА КОЈИ ГА ЈЕ ИМЕНОВАО НА ТУ ПОЗИЦИЈУ
Након што руковаоци и обрађивачи утврде да припадају оној групи субјеката која врши обраду података о личности на начин и у обиму који обавезује на именовање лица за заштиту података о личности, такве организације приступају одабиру лица за заштиту података о личности и истом пружају услове и могућности за обављање послова и задатака који су истоветни условима предвиђеним Законом.
Именовања лица за заштиту података о личности
Када је у питању именовање лица за заштиту података о личности, пре свега треба имати у виду неколико ставки:
– врсту ангажовања,
– именовање једног лица за више организација,
– стручност лица за заштиту података о личности.
а) Врста ангажовања лица за заштиту података о личности
Законом је предвиђено да лице за заштиту података о личности може бити ангажовано од стране руковаоца или обрађивача као лице у радном односу, што би представљало неку врсту интерног ангажовања, или само на основу уговора, што би представљао екстерно ангажовање тог лица. Иако Закон не прецизира о ком се уговору ради када је у питању екстерно ангажовање лица за заштиту података о личности, имајући у виду позитивно право Републике Србије, може да се претпостави да би најадекватнији уговор за такву врсту ангажовања био уговор о делу.
б) Именовање једног лица за више организација
Законом је даље прописано да група привредних субјеката може да именује заједничко лице за заштиту података о личности, под условом да је ово лице једнако доступно сваком члану групе. С друге стране, када су руковаоци или обрађивачи органи власти или надлежни органи, може да се одреди заједничко лице за заштиту података о личности, узимајући у обзир организациону структуру и величину тих органа власти.
в) Стручност лица за заштиту података о личности
Чланом 56. став 8. Закона предвиђено је да се лице за заштиту података о личности одређује на основу стручних квалификација, а нарочито стручног знања и искуства у области заштите података о личности, као и способности за извршавање обавеза предвиђених Законом.
Дакле, Закон не прописује формалне квалификације као одређени минимум који би свако лице за заштиту података о личности требало да поседује како би било именовано на ту позицију. С друге стране, уводном одредбом бр. 97 Опште уредбе, која може да послужи као одредница за ову тематику, наведено је да би нужни ниво стручног знања лица које претендује на позицију лица за заштиту података о личности требало да се утврди у односу на поступке обраде података који се спроводе и на обавезну заштиту личних података који се обрађују.
У сваком случају, оно што би свако лице за заштиту података о личности морало да поседује јесте изврсно познавање прописа који уређују заштиту и обраду личних података, па и искуство које може да користи у свакодневном обављању задатака. То не значи да ово лице мора да има правничко образовање, али, имајући у виду његова права, обавезе и дужности прописане Законом, правничко искуство у погледу сагледавања процедура, састављања поднесака, давања мишљења и смерница свакако је неопходно за обављање послова на овој позицији.
Поред тога, у зависности од врсте и обима података које обрађују руковалац или обрађивач који су га именовали на ту позицију, лице за заштиту података о личности треба да има добро знање и разумевање процеса обраде, преноса и чувања личних података, као и познавање пословног сектора и организације у којој је ангажован, како би било у могућности да на адекватан начин обавља задатке прописане Законом.
Положај лица за заштиту података о личности
Члан 57. Закона уређује положај лица за заштиту података о личности тако да с једне стране прописује обавезе руковаоца, односно обрађивача који су га именовали, а с друге стране дужности самог лица за заштиту података о личности којих мора да се придржава како би очувало положај загарантован Законом.
а) Обавезе руковаоца и обрађивача у односу на лице за заштиту података о личности
Руковалац и обрађивач су пре свега дужни да благовремено и на одговарајући начин укључе лице за заштиту података о личности у све послове који се односе на заштиту података о личности. У том смислу руководство организације које је именовало лице за заштиту података о личности требало би да предузме низ мера како би оно могло у потпуности да испуни функцију која је Законом предвиђена. Смернице наводе неколико таквих мера:
– лице за заштиту података о личности позвано је да учествује на редовним састанцима високог и средњег руководства;
– обавезно је присуство лица за заштиту података о личности кад се доносе одлуке које могу да утичу на заштиту података, при чему све релевантне информације морају да се пруже лицу за заштиту података како би могло да пружи одговарајући савет;
– мишљење лица за заштиту података увек мора да се узме у обзир;
– саветовање са лицем за заштиту података требало би да се спроведе одмах након што је дошло до повреде података или до неког другог инцидента.
Омогућавање извршавања обавеза од стране лица за заштиту података о личности врши се и кроз обезбеђивање неопходних средстава за извршавање обавеза и приступ подацима о личности и радњама обраде, као и кроз његово стручно усавршавање. Пружање неопходних средстава за рад поменутог лица мора да се обезбеди пре било које обраде података, односно пре спровођења процене утицаја на заштиту података о личности, а у циљу спровођења целокупног процеса у складу са одредбама Закона.
Руковалац и обрађивач дужни су такође да обезбеде независност лица за заштиту података о личности приликом извршавања обавеза. Та независност гарантује се пре свега тиме да руковалац или обрађивач не могу да казне лице за заштиту података о личности нити да раскину радни однос, односно уговор са њим због извршавања обавеза прописаних Законом.
За извршавање обавеза које су предвиђене Законом лице за заштиту података о личности непосредно је одговорно руководиоцу руковаоца или обрађивача.
б) Дужности лица за заштиту података о личности
Лице за заштиту података о личности дужно је да пре свега чува тајност, односно поверљивост података до којих је дошло у извршавању обавеза предвиђених Законом.
Ово лице може да обавља друге послове и извршава друге обавезе, а руковалац или обрађивач дужни су да обезбеде да га извршавање других послова и обавеза не доведе у сукоб интереса. Тако би до сукоба интереса дошло када, би, примера ради, за лице за заштиту података о личности било именовано неко лице из руководства организације или уколико би се од екстерно ангажованог лица за заштиту података о личности затражило да пред судовима представља руковаоца или обрађивача у питањима која се односе на заштиту података о личности.
III. ОБАВЕЗЕ ЛИЦА ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Чланом 58. Закона прописано је да лице за заштиту података о личности има најмање обавезу да:
– информише и даје мишљење руковаоцу или обрађивачу, као и запосленима који врше радње обраде о њиховим законским обавезама у вези са заштитом података о личности;
– прати примену одредби Закона, других закона и интерних прописа руковаоца или обрађивача које се односе на заштиту података о личности, укључујући и питања поделе одговорности, подизања свести и обуке запослених који учествују у радњама обраде, као и контроле;
– даје мишљење, када се то затражи, о процени утицаја обраде на заштиту података о личности и прати поступање по тој процени у складу са обавезама предвиђеним Законом;
– сарађује са Повереником за информације од јавног значаја и заштиту података о личности (даље: Повереник), представља контакт тачку за сарадњу са њим и саветује се са њим у вези са питањима која се односе на обраду, укључујући и обавештавање и прибављање претходног мишљења Повереника, у складу са одредбама Закона.
Законодавац на јасан начин дефинише обавезе лица за заштиту података о личности. Оно што из горенаведених одредби недвосмислено може да се закључи јесте да ће претежан део свог радног времена ово лице посвећивати обавези која се тиче тзв. day-to-day пословања организације која га је поставила, а то је информисање и саветовање запослених у погледу радњи обраде и законских обавеза у вези са заштитом података о личности, будући да праћење примене одредби Закона, процена утицаја обраде на заштиту личних података и коресподенција са Повереником, због своје повремене природе, неће бити у свакодневном фокусу рада лица за заштиту података о личности, а ни саме организације која га је на ту позицију именовала.
Међутим, без обзира на повремену природу горенаведених обавеза лица за заштиту података о личности, то не значи да су оне мање значајне у односу на обавезу информисања и саветовања запослених у погледу заштите личних података. Управо супротно, да би поменуто лице било у могућности да тачно, ефикасно и правовремено информише и саветује у погледу заштите личних података, потребно је да своје повремене обавезе благовремено испуњава, односно да прати примену одредби Закона и праксу надлежних органа, као и да оствари ефикасну сарадњу са Повереником у вези са обрадом личних података.