Novina iz oblasti zaštite podataka je svakog dana sve više i više. Ključni razlog za to je što se ova oblast konstantno unapređuje kako se na terenu tj. u praksi otkrivaju nove stvari koje bi mogle da budu zloupotrebljene na različite načine a od vitalnog su značaja i za kompanije i za pojedince/fizička lica. Po uzoru na GDPR, aktuelni Zakon o zaštiti podataka o ličnosti Republike Srbije je u naš pravni sistem uveo novi institut, lice za zaštitu podataka o ličnosti, ili kako GDPR ovo lice naziva, Data Protection Officer-a (DPO). Svojim delovanjem u okviru kompanije, ovo lice ima ključnu ulogu u obezbeđivanju usklađenosti poslovanja u ovoj oblasti.
Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u slučajevima:
– Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
– Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
– U slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
U svim drugim slučajevima, određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju vezano za obradu podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.
Zakonska regulativa: Visoke kazne za nepoštovanje obaveza
Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara. Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazini koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u EU tako i u Srbiji.
Zakon (možda nažalost) pred rukovaoce i obrađivače stavlja samo načelni zahtev da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.
Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno niti mu može biti otkazan ugovor o radu. Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.
Nezavisan položaj lica za zaštitu podataka znači da, primera radi, tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je učestalo u praksi), tj., niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.
Koje su obaveze DPO-a?
– Što se tiče opisa dužnosti, zakon predviđa da lice za zaštitu podataka o ličnosti najmanje ima obavezu da:
– Daje mišljenja i savete vezane za zakonske obaveze;
– Prati primenu propisa kod rukovaoca i obrađivača, uključujući i pitanja podele odgovornosti i kontrole;
– Daje mišljenje o proceni uticaja na zaštitu podataka o ličnosti, tj. o DPIA analizi;
Sarađuje sa Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti i predstavlja kontakt tačku za saradnju sa tom institucijom.
Lice bi trebalo da bude dovoljno stručno da adekvatno razume nacionalni i evropski zakonodavni okvir koji se tiče zaštite podataka o ličnosti, da bude upućeno u savremene informacione tehnologije, da bude dovoljno stručno da razume šta znači sigurnost obrade podataka, kao i da razume poslovanje kompanije i poslovne procese u njoj.
Kako je lice dužno da sagledava i rizik koji se odnosi na radnje obrade, kao i da daje mišljenje o proceni uticaja, bilo bi dobro da poznaje i problematiku i mehanizme upravljanja rizicima. DPO je u praksi i prva tačka komunikacije sa licima čiji se podaci obrađuju, kao i ključna osoba u upravljanju incidentima koji se tiču podataka o ličnosti, te bi i ovi zadaci trebalo da budu uzeti u obzir prilikom izbora lica.
Zakon predviđa da lice za zaštitu podataka o ličnosti može obavljati ove poslove i na osnovu ugovora, te ove zahtevne aktivnosti možete poveriti saradniku van kompanije. U poveravanju ovih aktivnosti treba takođe poći od zahtevanih kompetencija lica, te od činjenice da, što je kompleksnija obrada, lice za zaštitu podataka treba da bude potkovanije znanjem i iskustvom da bi moglo da se pouzdano brine o usaglašenosti.
Iako zakon ne precizira, tumačenjem odredbi, gde se govori o “licu” i posmatrajući obavezu nezavisnosti u vršenju dužnosti i vezanosti odgovornosti za najviši nivo rukovodstva zaključuje se da je lice za zaštitu podataka o ličnosti uvek isključivo jedna osoba, tj. jedno fizičko lice, čiji podaci se nakon imenovanja dostavljaju Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Naravno, nije problem da na ovim poslovima bude angažovan tim stručnjaka, od kojih je jedno lice određeno kao lice za zaštitu podataka o ličnosti.
Tim stručnjaka je uvek prednost
Kako DPO treba da poseduje raznovrsna stručna znanja i veštine, angažovanje tima saradnika može da bude i velika prednost.
Tim Coming-a ima iskustvo u oblasti zaštite podataka o ličnosti u finansijkom, proizvodnom, sektoru transporta i drugim sektorima, te može pružiti pouzdanu DPO uslugu. DPO Coming tim se sastoji od pravnika sa iskustvom u oblasti zaštite podataka o ličnosti, stručnjaka za poslovne procese i ISO standardizaciju, te jakog inženjerskog tima, sastavljenog od security, sistem i mrežnih inženjera.
Dinamičnost i kompleksnost oblasti zaštite podatakao ličnosti zahtevaju znanje, iskustvo i dodatno angažovanje već opterećenih kapaciteta, a Coming DPO as a Service koncept preduzećima omogućava da se u poslovanju fokusiraju na svoje osnovne aktivnosti, a da brigu o poslovima zaštite podataka o ličnosti prepustite stučnjacima. – poručio je Roberto Poletto ispred kompanije Coming.
Saradnja se zasniva na fleksibilnom modelu gde se sa klijentom procene potrebe i zahtevi organizacije, te se kroz spoj pravnog i IT znanja i iskustva i najsavremenijih praksi napravi plan rada koji bi obezbedio najbolje rezultate i usaglašenost poslovanja. Fleksibilan model podrazumeva da neko iz Coming tima može da bude određen za lice za zaštitu podatka o ličnosti ili da se pruža stručna podrška licu koje je već određeno iz redova zaposlenih.