“U skladu sa novim Zakonom o zaštiti podataka o ličnosti (ZZPOL), potrebna nam je Vaša saglasnost da bismo Vas dalje obaveštavali o…”.
Stotine hiljada imejlova ove sadržine ovih dana stiže na adrese ljudi širom Srbije tražeći saglasnost za korišćenje ličnih podataka u skladu sa novim zakonom čija je primena počela prošle nedelje. Slanje obaveštenja je samo jedan delić obaveza koje novi zakon donosi kompanijama, državnim organima i svim ostalima koji na neki način obrađuju podatke o ličnosti. A to su skoro svi.
Tijana Žunić, partner u advokatskoj kancelariji Žunić, objašnjava da podatke o ličnosti obrađuju gotovo sve kompanije, tako da je teško zamislivo da je bilo ko izuzet od obaveze da se uskladi sa zakonom.
“Na primer, i kompanije koje ne prikupljaju podatke direktno od potrošača, kao fizičkih lica koja kupuju robu i usluge za potrebe svog domaćinstva, obrađuju podatke svojih zaposlenih, kandidata za posao i lica koja su angažovana u toj kompaniji po ugovoru o delu ili ugovoru o privremenim i povremenim poslovima, kao i podatke o ličnosti zaposlenih kod svojih poslovnih partnera, dobavljača i klijenata. Takođe, gotovo sve kompanije, koje imaju sajt, prikupljaju podatke o ličnosti (na primer, putem kontakt formulara ili upotrebom kolačića koji nisu strogo neophodni za funkcionisanje sajta)“, napominje Žunić.
Iako je primena zakona odložena devet meseci, ipak svi upućeni, pa čak i sam Poverenik za zaštitu podataka ličnosti smatraju da je primenu trebalo još odložiti zbog nespremnosti. Žunić kao neko ko je radio na desetinama projekata usklađivanja sa ZZPOL ističe da kod mnogih kompanija postoji svest o ozbiljnosti obaveza i postojanju visokih standarda koji su uvedeni.
“Ipak, to su uglavnom ćerke firme kompanija iz EU, gde je GDPR stupio na snagu i već uveliko se izriču visoke kazne za nepoštovanje ovog akta. Daleko je veći broj kompanija koje još uvek nisu preduzele nikakve mere u cilju usklađivanja. Nalazim da je jedan deo odgovornosti za takvo stanje na nadležnim državnim organima. Činjenica da je za usklađivanje sa ZZPOL ostavljeno devet meseci, a da smo bez Poverenika bili čak sedam meseci, te činjenica da ni sama služba Poverenika nije spremna za početak primene, jer Poverenik nije doneo sve neophodne podzakonske akte i uputstva za primenu zakona su sigurno uticali na stvaranje opšte atmosfere pasivnosti na strani kompanija”, ocenjuje ona.
Miloš Stojković, predsedavajući Amčema, odbora za digitalnu ekonomiju, podseća da smo mi već imali zakon o zaštiti podataka ličnosti 2009. godine i da je ovo samo nadogradnja.
“Neka preduzeća i državni organi, koji su bili usklađeni sa prethodnim zakonom o zaštiti podataka o ličnosti neće imati toliko problema sa usklađivanjem. Međutim, problem je što se taj stari zakon nije baš mnogo poštovao, pa je subjektima koji se nisu prilagodili ni tom zakonu sada teže da se prilagode unapređenoj verziji zakona sa više obaveza”, napominje on.
Jedna od najvažnijih novina u Zakonu je uvođenje lica za zaštitu podataka o ličnosti (DPO). To je osoba u kompaniji ili državnom organu koja prati obradu podataka o ličnosti i komunicira sa Poverenikom, kao i korisnicima.
“Najbolje bi bilo da svaka kompanija ima takvu osobu. Ona ne mora biti zaposlena u kompaniji, jer je poenta da je to nezavisno lice koje kontroliše obradu podataka. Lice odgovara najvišem organu uprave i ne može se pozvati na odgovornost vezanu za obavljanje svog posla”, objašnjava Stojković.
Novina u novom zakonu je i to što je ukinuta obaveza iz starog zakona da kompanije obaveste poverenika ukoliko žele da obrađuju podatke o ličnosti. Poverenik bi pregledao da li je taj zahtev u skladu sa zakonom i zatim daje saglasnost.
“To je najvažniji kontrolni mehanizam i jedini način preventivne kontrole, ali je istovremeno usporavao poslovanje privrede. Sada je većina stvari prepuštena rukovaocu, koji odgovaraju za usklađenost sa zakonom. Poverenik sada može samo da ode u naknadnu kontrolu da proveri da li se propisi poštuju. Takođe, uvedena je obaveza rukovaoca da ukoliko dođe do incidenta, hakerskog napada, izgubljenih podataka… mora da za najviše 72 sata obavesti poverenika. Takođe, i poverenik je dobio velike nadležnosti. Mora da utvrdi da li u subjektu postoje svi zakonom propisani dokumenti, mora da ima osnovno tehničko znanje o zaštiti podataka i na kraju mora da kontroliše sve rukovaoce, a to su skoro sva preduzeća i državni organi”, kaže Stojković, dodajući i da je obim odgovornosti, nadležnosti i poslova toliki da treba povećati ljudske i tehničke i organizacione kapacitete poverenika.
On smatra da će proći još puno vremena pre nego što budemo došli do nivoa zadovoljavajuće usklađenosti sa ovim propisima.
“Ne može se ni za koga reći da je 100 odsto usklađen, a neće ni biti neko vreme, jer je usklađivanje stalan proces. Mislim da će najveći problem biti sa implementacijom procedura. Čak i da primenjujete najsavremenija tehnička dostignuća i moderne prakse niste sigurni da li ste usklađeni sa zakonom. Problemi su između ostalog što je zakon u nekim delovima uopšten, pa će dosta zavisiti od prakse poverenika u konkretnim slučajevima. Takođe, kod novog koncepta inkorporirane privatnosti koji traži da se pre uvođenja novih procesa obrade podataka o ličnosti predvide i uklone mogućnosti zloupotrebe podataka problem je kako zatečeno stanje i ogromne količine podataka koje su kompanije stekle ranije podvesti pod Zakon. Kako stvari stoje najsigurniji način je da se svi ti podaci obrišu”, zaključuje on.
Stojković ukazuje i da je zakonom predviđeno da se svi drugi zakoni koji obuhvataju obradu podataka usklade sa ovim zakonom u roku od dve godine. Dakle, duži je period usklađivanja nego za kompanije.
“S druge strane, imamo kompanije koje imaju sektorske zakone, kao u farmaciji, bankarstvu, telekomunikacijama, a koji uopšte nisu usklađeni, negde su čak i kontradiktorni sa novim ZZPOL. Formalno oni će dok se zakoni ne usklade kršiti neki od zakona, ali toga je svestan i poverenik i verujem da će imati razumevanja”, kaže Stojković.
Pratite nas na našoj Facebook i Instagram stranici, ali i na X nalogu. Pretplatite se na PDF izdanje lista Danas.