OSNOVNE AKTIVNOSTI KOJE JE POTREBNO
PREDUZETI ZA USKLAĐIVANJE SA ZAKONOM O ZAŠTITI LIČNIH PODATAKA
1. Osnovna aktivnost koju trebaju preduzeti kontrolori
podataka je da utvrde čije lične podatke
obrađuju (npr. zaposlenika, pacijenata, korisnika usluga, potrošača), zatim
koje lične podatke obrađuju - prikupljaju (npr. ime i prezime, JMB, broj LK,
adresa, IP adresa, podaci o plati) i gdje se ti podaci nalaze i u kojem obliku
(materijalni- papirni ili u elektronskom –digitalnom obliku)
Posebno
treba biti oprezan ako se obrađuju podaci koji spadaju u posebne kategorije
(rasno ili etničko porijeklo, političko mišljenje, vjersko ili filozofsko
uvjerenje ili pripadnost sindikatu, biometrijski podaci u svrhu jedinstvene
identifikacije lica, zdravlje, spolni život ili seksualna orijentacija)
2.
Odrediti
odgovarajući pravni osnov za obradu ličnih podataka iz člana 8. Zakona o
zaštiti ličnih podataka ili člana 64 za nadležne organe.
Jedno od najvažnijih
pitanja za kontrolore podataka na koje moraju dati odgovor prije početka obrade
je: „Koji je moj razlog ili opravdanje odnosno pravni osnov za obradu ličnih
podataka?” To je od ključne važnosti jer obrada može biti zakonita samo ako je
kontrolor podataka prethodno utvrdio pravni osnov za obradu ličnih podataka, te
isti identifikovao i dokumentovao.
3.
Poštovati
principe zakonite obrade ličnih podataka iz člana 7. ili člana 60 za nadležne
organe.
Principi
obrade ličnih podataka izuzetno su važni (kao i pravni osnov jer pravni osnov
proizlazi iz principa) i čine suštinu Zakona. Član 7. Zakona utvrđuje principe povezane sa obradom ličnih
podataka, a kojih se moraju pridržavati svi kontrolori javni organi, prava lica
i fizička lica.
Član 60. Zakona propisuje principe zaštite
ličnih podataka kojih su dužni da se pridržavaju nadležni organi, kao
kontrolori podataka.
4.
Primijeniti
odgovarajuće tehničke i organizacijske mjere kako bi osigurali sigurnost obrade
iz člana 34. ili člana 85. za nadležne organe.
Jedna
od glavnih obaveza prema Zakonu je osigurati odgovarajuću sigurnost ličnih
podataka, uključujući zaštitu od neovlaštenih ili nezakonitih obrada
(uključujući krađu, uništavanje, oštećenje i otkrivanje) ličnih podataka. Kako
biste zaštitili lične podatke svojih zaposlenika/ klijenata/korisnika usluga/zaposlenika
(nosilaca ličnih podataka čijim ličnim podacima raspolažete), dužni ste
provoditi odgovarajuće tehničke i organizacijske mjere, putem Planova
sigurnosti ili drugih akata kojima ćete propisati organizacijske i tehničke
mjere. Na ovaj način, mogućnost nezakonite obrade ličnih podataka i povreda ličnih
podataka bio bi minimalan. Svi kontrolori podataka i obrađivači trebaju biti
svjesni važnosti ove obaveze, a posebno kada obrađuju posebne kategorije ličnih
podataka. Kada su u pitanju povrede sigurnosti ličnih podataka jedno od prvih
pitanja
koje
će Agencija u nadzornim i inspekcijskim poslovima postaviti kontroloru podataka
i obrađivaču, je „koje je mjere preduzeo za sigurnost ličnih podataka“.
5.
Omogućiti nosiocima podataka ostvarivanje njihovih
prava iz člana 17 – 24. ili člana 70 – 73. (nadležni organi)
Kontrolori podataka i
obrađivači, dužni su poštovati prava nosilaca podataka čije lične podatke
obrađuju, prije svega putem, Pravila
privatnosti, te im i na drugi način omogućiti da ostvaruju svoja prava.
PREPORUKA
Agencije:
Ukoliko kontrolor podataka u svom radu koristi web stranicu potrebno je da na
web stranici objavi koja prava nosilaca ličnih podataka ima, te eventualno obrazac
zahtjeva putem kojih nosilac podataka može ostvariti svoja prava. Na zahtjeve
nosilaca podataka za ostvarivanje njihovih prava iz Zakona kontrolor podataka i
obrađivač su dužni odgovoriti bez nepotrebnog odgađanja, poštujući propisane
rokove.
6.
Izraditi
interne akte radi usklađivanja sa
Zakonom
7. Agencija vrši kontrolu usklađenosti sa
Zakonom putem nadzora, kada pismenim putem zahtijeva od kontrolora podataka i
obrađivača da joj dostave odgovarajuće informacije i dokaze ili putem
inspekcije kada provjeru usklađenosti vrši neposredno kod kontrolora podataka
ili obrađivača, na licu mjesta.
Kontrola
usklađenosti se vrši analizom dokumentacije kojom se dokazuje usklađenost:
- Dokument
iz kojeg je vidljivo da je zaposlenik ili na drugi način angažovano lice
ovlašteno od strane kontrolora podataka za komunikaciju sa Agencijom (npr.
punomoć za zastupanje ili punomoć advokata, Odluka o imenovanju službenika za
zaštitu podataka)
- Interni
akti kojima je regulisana zaštita ličnih podataka (npr. Pravila privatnosti, obavještenja
koje se daju nosiocima podataka na njihov zahtjev, instrukcije ili uputstva o
postupanju u konkretnim situacijama obrade ličnih podataka (ako je potrebno),
Pravila privatnosti, Obavijest/informacije koje se pružaju nosiocima podatka o
njihovim pravima)
- Akte
iz kojih su vidljiva ovlaštenja zaposlenika ili vanjskih saradnika (Ugovor u
radu ili drugi akt koji propisuju nivoi ovlaštenja kao npr. Pravilnik o
ovlaštenjima)
- Izjave
o povjerljivosti
- Evidencije
aktivnosti obrade
- Ugovor
o obradi ličnih podataka između kontrolora podataka i obrađivača (ako je
primjenjivo)
- Dokumentaciju u odnosu na mjere zaštite
(organizacijske i tehničke)
- Dokumentaciju
koja se odnosi na određeni slučaj i nosioce podataka, na koji način su prikupljeni
određeni lični podaci, na osnovu kojeg koje pravnog osnova i u koju tačno svrhu
(npr. obrazac saglasnosti ako se obrada zasniva na saglasnosti, obrazac
legitimnog interesa ako se obrada zasniva na legitimnom interesu, dokumentovanu
procjenu uticaja na zaštitu ličnih podataka ako je provedena procjena uticaja,
dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, dokumentacija u vezi videonadzora, te uvid u video-zapise, logove, baze
podataka i dr.)
8. Informisati nosioce podataka na transparentan
i razumljiv način, kako se obrađuju njihovi lični podaci
Kontrolor podataka i
obrađivač dužan je nosioce podataka informisati o vrstama ličnih podataka koje
prikuplja i njihovim pravima iz Zakona, u koju svrhu i po kojem pravnom osnovu
obrađuje lične podatke, na koji način i ko koristi lične podatke, te koje mjere
zaštite ličnih podataka provodi i dr. (članovi 14- 16. ili 68-70).
Tom prilikom, kontrolor
podataka i obrađivač je dužan koristiti jednostavan i lako razumljiv jezik, te
pružiti licima navedene informacije u sažetom obliku.
Ističemo da je potrebno
uskladiti interne akte vezane uz radno-pravne odnose, odnosno uskladiti/odredbe
internih akata koje se odnose na zaštitu ličnih podataka u kojima će na
sveobuhvatan i jasan način biti ugrađene informacije koje je kontrolor podataka
u trenutku prikupljanja ličnih podataka obavezan dati nosiocu podataka (Pravila
privatnosti).
9. Voditi evidencije obrade (član 32. ili član 80. - za nadležne organe))
Nezavisno od broja
zaposlenih, kontrolor podataka je dužan voditi evidenciju obrade ukoliko je
ispunjen jedan od sljedećih uslova iz člana 32. stav (5) Zakona:
- ako
će obrada vjerovatno prouzrokovati rizik za prava i slobode nosilaca podataka
(npr. uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje
lica, IT servisa koji obrađuju lične podatke),
- ako obrada nije povremena, odnosno ako je
obrada stalna (npr. obrada ličnih podataka zaposlenika u svrhu isplate plata),
- ako
obrada uključuje posebne kategorije podataka (npr. zdravstveni podaci,
biometrijski podaci, genetski
podaci),
- ako
obrada uključuje lične podatke u vezi s kaznenim osudama i kažnjivim djelima.
Nadležni
organi, kao kontrolori podataka, u svakom slučaju su dužni voditi evidenciju
obrade, u skladu sa članom 80. Zakona.
10. Imenovati službenika za zaštitu podataka,
sa odgovarajućim kvalifikacijama, ako je primjenjivo
Sve
informacije o službeniku za zaštitu podataka su dostupne na posebnom meniju
„Službenik za zaštitu podataka“
11. Provesti procjenu uticaja na zaštitu
podataka kada obradu ličnih podataka može prouzrokovati visok rizik za prava i slobode pojedinaca,
ako je primjenjivo.
Sve
informacije o procjeni uticaja su dostupne u prethodnom tekstu u okviru obaveza
kontrolora podataka.
NAPOMENA:
Svi obrasci koje možete koristiti u svom radu su dostupni na posebnom podmeniju.