Заштита података у Србији (ЗЗПЛ) — Водич за фирме

Заштита података о личности више није тема која се тиче само великих компанија и ИТ сектора. Свака фирма у Србији — од фризерског салона који чува податке клијената, преко онлајн продавнице, до адвокатске канцеларије — има обавезе према Закону о заштити података о личности (ЗЗПЛ). Неусклађеност може коштати од 50.000 до 2.000.000 РСД, а штета по репутацију може бити и већа. Овај водич објашњава шта ЗЗПЛ захтева и како да се ускладите.

Закон о заштити података о личности ("Сл. гласник РС", бр. 87/2018), у примени од августа 2019. године, представља српски одговор на европску Општу уредбу о заштити података (ГДПР). ЗЗПЛ је у великој мери усклађен са ГДПР-ом, уз одређене специфичности прилагођене српском правном систему.

Кључни појмови:

• Податак о личности — Свака информација која се односи на физичко лице чији је идентитет одређен или одредив (име, емаил, ЈМБГ, ИП адреса, биометријски подаци)
• Руковалац — Лице које одређује сврху и начин обраде података (ваша фирма)
• Обрађивач — Лице које обрађује податке у име руковаоца (нпр. хостинг провајдер, рачуноводствена агенција)
• Лице на које се подаци односе — Физичко лице чији се подаци обрађују (ваш клијент, запослени)

ЗЗПЛ је 'национална верзија" ГДПР-а. Главна сличности:

• Принципи обраде су идентични — законитост, поштење, транспарентност, ограничење сврхе, минимизација података, тачност, ограничење чувања, интегритет и поверљивост
• Правни основи за обраду су исти — пристанак, извршење уговора, законска обавеза, витални интереси, јавни интерес, легитимни интерес
• Права лица су готово идентична
• Обавезе руковаоца су веома сличне

Кључне разлике:

• ЗЗПЛ не предвиђа казне у процентима од годишњег промета (као ГДПР са 4%), већ фиксне новчане казне у распонима
• Надзорни орган је Повереник за информације од јавног значаја и заштиту података о личности
• ЗЗПЛ не предвиђа механизам 'оне-стоп-схоп" за прекограничне случајеве
• Трансфер података изван Србије регулисан је сличним механизмима као код ГДПР-а (адекватност, стандардне клаузуле)

Свака фирма која обрађује податке о личности — а то је практично свака фирма. Ако имате:

• Сајт са контакт формом
• Базу података клијената
• Запослене (ХР подаци)
• Камере за видео надзор
• Неwслеттер листу
• Онлајн продавницу
• ЦРМ систем

... онда обрађујете податке о личности и морате имати политику приватности.

Шта политика приватности мора да садржи (чл. 23 ЗЗПЛ):

1. Идентитет и контакт податке руковаоца
2. Контакт податке лица за заштиту података (ако постоји)
3. Сврху обраде и правни основ
4. Категорије података који се обрађују
5. Примаоце или категорије прималаца података
6. Информацију о преносу података у другу државу
7. Рок чувања података
8. Права лица на које се подаци односе
9. Право на подношење притужбе Поверенику
10. Да ли је давање података законска или уговорна обавеза

ЗЗПЛ, у складу са ГДПР-ом, прописује обавезу именовања лица за заштиту података о личности у следећим случајевима (чл. 56):

1. Државни органи и јавна тела — обавезно
2. Фирме чија основна делатност захтева редовно и систематско праћење лица у великој мери
3. Фирме које обрађују посебне категорије података у великој мери (здравствени подаци, биометрија, верска уверења)

Ко не мора имати ДПО-а? Мала фирма са 5 запослених која води евиденцију клијената и запослених у правилу не мора имати ДПО-а. Али именовање ДПО-а је и даље препоручљиво као добра пракса.

ДПО може бити:

• Запослени у фирми (уз обезбеђење независности)
• Екстерни консултант или фирма (на основу уговора о пружању услуга)
• Једно лице за више повезаних фирми

ЗЗПЛ гарантује физичким лицима следећа права (чл. 26-35):

Право на информисање (чл. 23-25) — Лице има право да зна ко обрађује његове податке, зашто и како.

Право на приступ (чл. 26) — Лице може тражити потврду да ли се његови подаци обрађују и копију тих података.

Право на исправку (чл. 29) — Лице може захтевати исправку нетачних података.

Право на брисање — 'право на заборав" (чл. 30) — Лице може захтевати брисање података када они више нису неопходни, када је пристанак повучен, или када је обрада незаконита.

Право на ограничење обраде (чл. 31) — Лице може захтевати да се обрада ограничи у одређеним околностима.

Право на преносивост података (чл. 33) — Лице може захтевати да му се подаци предају у структурисаном, машински читљивом формату.

Право на приговор (чл. 37) — Лице може уложити приговор на обраду засновану на легитимном интересу или јавном интересу.

Рок за одговор: Руковалац мора одговорити на захтев у року од 30 дана, са могућношћу продужења за још 60 дана за сложеније захтеве.

ЗЗПЛ предвиђа следеће казне за прекршаје:

За правна лица:

• 50.000 — 2.000.000 РСД за теже прекршаје (обрада без правног основа, кршење права лица, непријављивање повреде података)
• 20.000 — 500.000 РСД за лакше прекршаје (неадекватна евиденција, недостатак политике приватности)

За одговорно лице у правном лицу:

• 10.000 — 500.000 РСД

За предузетника:

• 20.000 — 500.000 РСД

Иако су ове казне значајно ниже од ГДПР-ових (који предвиђа до 20 милиона ЕУР или 4% глобалног промета), за мала и средња предузећа у Србији и даље представљају озбиљан финансијски удар.

Идентификујте:

• Које податке о личности прикупљате
• Од кога (клијенти, запослени, посетиоци сајта)
• Зашто (сврха обраде)
• Где се чувају (сервер, цлоуд, папирна архива)
• Ко им има приступ
• Колико дуго се чувају
• Да ли се преносе трећим лицима или ван Србије

За сваку категорију података, одредите правни основ:

• Пристанак — За маркетинг, неwслеттер, колачиће који нису неопходни
• Извршење уговора — За податке потребне за испоруку услуге
• Законска обавеза — Рачуноводствени подаци, порески подаци, евиденција запослених
• Легитимни интерес — Видео надзор, превенција превара (уз балансирање са правима лица)

Припремите:

• Политику приватности — За сајт и за клијенте
• Интерну политику заштите података — За запослене
• Евиденцију радњи обраде (чл. 47) — Обавезна за фирме са 250+ запослених, али препоручљива за све
• Уговор о обради података — Са сваким обрађивачем (хостинг, цлоуд, ЦРМ провајдер)
• Пристанак за обраду — Обрасце пристанка који су јасни, специфични и слободно дати

• Шифровање података у мировању и у транспорту
• Контрола приступа — само запослени којима су подаци потребни за рад
• Редовни бацкуп и план опоравка
• Обука запослених о заштити података
• Процедура за пријављивање повреде података (72 сата за обавештавање Повереника — чл. 52)

Ако имате сајт, морате:

• Приказати банер за колачиће пре него што се активирају колачићи који нису стриктно неопходни
• Омогућити корисницима да бирају које категорије колачића прихватају
• Омогућити повлачење пристанка у сваком тренутку
• У политици колачића навести све колачиће, њихову сврху и рок трајања

1. 'Ми смо мали, нас се ЗЗПЛ не тиче" — Нетачно. ЗЗПЛ се примењује на све који обрађују податке о личности, без обзира на величину
2. Пристанак као дефаулт правни основ — Пристанак није увек потребан. За извршење уговора или законску обавезу, пристанак је непотребан (и чак проблематичан)
3. Унапред чекирани цхецкбоxови — Пристанак мора бити активна радња корисника, не пасивно прихватање
4. Непостојање уговора са обрађивачима — Коришћење Маилцхимпа, Гоогле Аналyтицса или цлоуд ЦРМ-а без уговора о обради података је прекршај
5. Неограничено чување података — 'Чувамо заувек, за сваки случај" је кршење принципа ограничења чувања

На еправо.рс можете саставити политику приватности, уговор о обради података и пристанак за обраду — све усклађено са ЗЗПЛ-ом и прилагођено вашем типу пословања. Ускладите се пре него што дође инспекција.