Obaveštavamo Vas da je usvojen novi Zakon o zaštiti podataka o ličnosti čije puna primena će početi 21. avgusta 2019. godine. Izuzetno, odredba koja se odnosi na prestanak vođenja Centralnog registra zbirki podataka primenjuje se od 21. novembra 2018. godine o čemu su inače već počele diskusije i različita tumačenja.
Devetomesečni rok je ostavljen radi upoznavanja i usklađivanja poslovanja sa odredbama Zakona, a sve imajući u vidu da se radi o dugoočekivanim i sveobuhvatim promenama regulative zaštite podataka o ličnosti u Srbiji,u cilju harmonizacije iste sa regulativom EU, odnosno Opštom Uredbom o zaštiti podataka o ličnosti („GDPR“) koja se inače primenjuje od maja 2018. godine.
U daljem tekstu dajemo prikaz najvažnijih novina:
- Teritorijalna primena – Zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište ili boravište na teritoriji Srbije, u okviru aktivnosti koje se vrše na teritoriji Srbije, bez obzira da li se radnja obrade vrši na teritoriji Srbije. Pored toga, Zakon se primenjuje i na rukovaoce i obrađivače iz inostranstva koji se bave obradom podataka lica koja imaju prebivalište ili boravište u Srbiji, u dva slučaja:
-
nuđenja robe, odnosno usluga licu na koje se podaci odnose na teritoriji Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
-
praćenja aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Srbije.
-
- Pribavljanje pristanka na obradu podataka o ličnosti – U kontekstu praktičnih problema koji su pratili pribavljanje pristanka za obradu podataka o ličnosti shodno važećem zakonskom rešenju, novi Zakon nudi potpuno drugačiju definiciju pristanka koja je oslobođena obavezne pisane forme, čime zakonodavac napokon hvata konce sa savremenim digitalnim svetom.
Nove tehnologije nose veće rizike od zloupotrebe podataka, pa tako, uprkos ukidanju obavezne pisane forme, sadržinski pristanak na obradu mora da ispuni znatno veće zahteve. Pristanak mora biti dobrovoljan, određen, informativan i nedvosmislen, a volja lica izražena izjavom ili jasnom potvrdnom radnjom.
Pored pristanka, predviđeni su i drugi pravni osnovi obrade podataka kao što su izvršenje ugovora, poštovanje pravnih obaveza rukovaoca, ostvarivanje legitimnih interesa rukovaoca i dr. - Informisanje lica o njihovim pravima – Novi Zakon značajno proširuje prava lica na koje se podaci odnose. Rukovaoci moraju naročito da vode računa o pravima lica da budu informisana o obradi podataka, o transparentnosti obrade podataka i obaveštavanju lica o pravima koja imaju. Novina je svakako pravo na prenosivost podataka. Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu, primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku, i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, ako je obrada automatska i bazirana na pristanku ili izvršenju ugovora.
Takođe, detaljnije je regulisano pravo na ispravku, dopunu, i naročito brisanje podataka o ličnosti iz evidencije rukovaoca.
Lice za zaštitu podataka o ličnosti – Rukovalac odnosno obrađivač podataka o ličnosti, u svakom slučaju imaju mogućnost da imenuju lice za zaštitu podataka o ličnosti, as tim da u pojedinim slučajevima to predstavlja obavezu.
Ukoliko rukovalac odnosno obrađivač posluju u okviru grupa privrednih subjekata, onda mogu odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe.
Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora.
- Prenos podataka o ličnosti u druge države i međunarodne organizacije – Prenos podataka o ličnosti je u velikoj meri liberalizovan novim Zakonom, po uzoru na GDPR.
- Obaveštavanje Poverenika o povredi podataka o ličnosti – Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.
- Pravna sredstva, odgovornost i kazne – Lica imaju pravo na neposredno pravno sredstvo – pritužbu Povereniku ako smatraju da se obrada njihovih podataka ne vrši u skladu sa odredbama Zakona, što do sada nije bio slučaj. Maksimalna kazna koja se može izreći rukovaocu za prekršaje iz ovog Zakona je 2 miliona dinara.
- Prestanak vođenja Centralnog registra i obaveza registracije baze podataka pred Poverenikom – Odredba koja se odnosi na prestanak vođenja Centralnog registra zbirki podataka pri Povereniku, jedina odredba novog zakona primenjiva od 21. novembra 2018. godine je prouzrokovala dosta konfuzije u stručnoj javnosti zbog očigledne kolizije sa odredbama dosadašnjeg zakona o Centralnom registru podataka o ličnosti. Iako Centralni registar prestaje da se vodi po našem mišljenju, obaveza prijave baza podataka Povereniku i registracija baza podataka nije ukinuta stupanjem ove odredbe na snagu već je tehnički- formalno modifikovana a razlog za zabrinutost usled nejasnog tumačenja i domašaja može da dovede do problema ili arbitrarnosti u slučaju prekršajne odgovornosti. Obaveza evidentiranja i registracije pred Poverenikom će otići u istoriju tek početkom primene novog zakona u avgustu 2019. godine, Od tog trenutka, odgovornost vođenja evidencija o bazama podataka prelazi sa Poverenika na rukovaoce obrade, što bi Povereniku trebalo da omogući kvalitetnije izvršavanje nadzora nad primenom zakona.
Ovaj sumarni prikaz predstavlja pregled najvažnijih izmena i rešenja (ili problema) koje donosi novi Zakon o zaštiti podataka o ličnosti.
Stojimo Vam na raspolaganju za sva pitanja i pojašnjenja, kao i za asistenciju prilikom usaglašavanja Vašeg poslovanja sa obavezama predviđenih novim zakonom.