ZAKON O ZAŠTITI PODATAKA O LIČNOSTI: Briga o zaštiti podataka o ličnosti kao obeležje odgovornog poslovanja

Zaštita podataka o ličnosti danas je bitna tema za svako poslovanje, bez obzira na njegovu veličinu. Zakon u Srbiji ne pravi razliku između velikih IT kompanija i malih preduzetnika: ako imate makar jednog zaposlenog, sarađujete sa knjigovođom ili koristite video-nadzor, postajete obveznik Zakona o zaštiti podataka o ličnosti. Nadležni organ u Srbiji je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, koji prati primenu zakona i objavljuje smernice koje pomažu organizacijama da usklade svoje postupke sa propisima.

Svaka zakonita obrada počinje jasnom svrhom. Pre nego što počnete da prikupljate podatke, morate znati zbog čega ih tražite, koliko dugo će se čuvati i kome će biti dostupni. Tipične svrhe u poslovanju uključuju vođenje kadrovske evidencije, ispunjenje ugovornih obaveza, kao što su slanje robe ili izdavanje računa, kao i obezbeđenje imovine putem video-nadzora. Važno je da svrha obrade ne bude “šira od nužnog” - obrada “za bilo koju poslovnu svrhu” nije zakonita.

Pravni osnov obrade je sledeći ključni element. Zakon prepoznaje nekoliko osnovnih pravnih osnova: saglasnost ispitanika, izvršenje ugovora, ispunjenje zakonske obaveze, zaštitu životno važnih interesa, izvršenje zadataka u javnom interesu i legitimni interes rukovaoca ili trećeg lica. Legitimni interes je često praktičan, na primer za zaštitu imovine, ali zahteva sprovođenje prethodne procene. Pre nego što se obrada zasniva na legitimnom interesu, potrebno je proveriti da li je svrha obrade jasno definisana i opravdana, te da li koristi koje firma ima od obrade nadmašuju potencijalne rizike po prava i slobode lica čiji se podaci obrađuju. Takođe, važno je dokumentovati svrhu obrade i vrstu podataka, te osigurati da se obrada sprovede na način na koji bi minimalno mogla da ugrožava privatnost. Ako se utvrdi da su prava ispitanika ugrožena, obrada na osnovu “legitimnog interesa nije dozvoljena”.

Građani imaju niz prava koja rukovalac mora omogućiti: Pravo na informisanje o obradi, pristup sopstvenim podacima, ispravku, brisanje, ograničenje obrade, prenosivost podataka i pravo na prigovor, naročito kod obrade zasnovane na legitimnom interesu ili u svrhu marketinga. Rukovalac je dužan da zahteve obradi u zakonskim rokovima i vodi evidenciju o takvim zahtevima. Ukoliko lice proceni da su mu prava povređena, može podneti pritužbu Povereniku. Poverenik tada ima ovlašćenja da sprovede nadzor i izrekne mere.

U svakodnevnom poslovanju često se prave greške koje izgledaju “sitne”, ali su zakonski značajne i rizične. Na primer, video-nadzor je dozvoljen isključivo u svrhu zaštite ljudi i imovine visoke vrednosti i ne sme služiti za stalnu procenu učinka zaposlenih. Kamere postavljene kako bi se stalno pratila produktivnost zaposlenih prelaze granicu zakonitosti i predstavljaju neprimerenu obradu. Snimanje zvuka je u principu zabranjeno, pa je važno da mikrofon ne hvata razgovore zaposlenih ili posetilaca. Poverenik je više puta ukazivao na neadekvatne prakse video-nadzora i naglašavao potrebu za jasnim obaveštavanjem i ograničenjem pristupa snimcima.

Ne smeju se čuvati osetljivi finansijski podaci u neuobičajenom formatu. Skenirane platne kartice sa trocifrenim CVC kodom, na primer, ne bi trebalo da budu deo interne evidencije firme, jer predstavljaju direktan rizik od zloupotrebe. Ukoliko je potreban broj tekućeg računa zaposlenog zbog uplate zarade, takva informacija se može prepisati u elektronsku evidenciju ili voditi u papirnom obliku, u zavisnosti od organizacionih mogućnosti firme ili institucije. Kopije ličnih dokumenata, poput ličnih karata, pasoša ili zdravstvene dokumentacije, treba čuvati samo ako postoji zakonski osnov ili jasna poslovna potreba koja zahteva takvo čuvanje ili dostavljanje kopije dokumenta. “Za svaki slučaj” nije dovoljan razlog. Čuvanje dokumenata bez valjanog osnova može dovesti do sankcija i ugroziti reputaciju firme, tako da svaka vođena evidencija treba prethodno biti proverena i da se vodi u meri, obimu i u skladu sa propisima iz te oblasti rada.

Marketing i elektronske komunikacije zahtevaju posebnu pažnju. Slanje promotivnih imejlova ili objavljivanje fotografija zaposlenih bez saglasnosti smatra se zloupotrebom i može rezultirati novčanim sankcijama i žalbama. Jasna mogućnost za prigovor i odjavu ili brisanje mora biti dostupna u svakoj komunikaciji.

Praktični primeri dodatno ilustruju posledice nepoštovanja pravila. Francuska nacionalna komisija za informatičke i građanske slobode izrekla je kaznu kompaniji Google zbog nedovoljne transparentnosti i nedostatka validnih saglasnosti za personalizaciju oglasa.

Nacionalna kancelarija za zaštitu podataka sankcionisala je Budapest Bank zbog automatizovane analize poziva bez odgovarajućeg pravnog osnova. Italijanska Garante kaznila je TIM zbog nezakonite prakse marketinga i nepravilne obrade podataka velikog broja lica. Clearview AI i druge kompanije u EU i Velikoj Britaniji takođe su kažnjene zbog prikupljanja biometrijskih podataka bez zakonskog osnova. Ovi primeri pokazuju da regulatorne agencije ozbiljno pristupaju kontroli obrade podataka, a finansijske posledice i javne kampanje ukazuju na potrebu za doslednim sprovođenjem mera usklađenosti.

Pored zakonske strane, važno je razmišljati i o digitalnoj sigurnosti. Redovno ažuriranje softvera, antivirus, enkripcija i bekap podataka nisu samo tehnički detalji, oni su sastavni deo zakonite i sigurne obrade. Lozinke treba čuvati segmentirano, a pristup podacima ograničiti samo na ovlašćena lica. U firmama gde se koristi Oblak ili eksterni serveri, ugovori sa provajderima moraju jasno regulisati odgovornost za zaštitu podataka.

Praktična primena u firmi zahteva niz koraka. Korisne su mape toka podataka (gde se beleže sve tačke prikupljanja, obrade i prosleđivanja informacija, od obračuna plata i prijava za posao do baza kupaca i video-nadzora), poželjno je određivanje odgovornog lica ili tima koji je zadužen za zaštitu podataka (DPO). Za obradu visokog rizika, kao što su stalna video-analitika, automatizovane odluke ili biometrija, potrebno je sprovođenje procene uticaja na zaštitu podataka (DPIA) i dokumentovanje rezultata.

Ugovori sa obrađivačima, poput knjigovođa, IT podrške ili agencija za nadzor, moraju sadržati klauzule o zaštiti podataka i odgovornosti. Jasno obaveštavanje i saglasnost zaposlenih, kandidata i klijenata su neophodni, dok tehničke mere uključuju enkripciju, redovan bekap, ažuriranje softvera, antivirus, jake lozinke i segmentaciju pristupa podacima. Potreban je plan za incidente, sa procedurom otkrivanja, izveštavanja i sanacije incidenata, a obuka zaposlenih o bezbednom rukovanju podacima i reakciji u slučaju incidenta dodatno smanjuje rizik.

Osim ovoga, firme mogu uključiti i interne smernice koje konkretno regulišu čuvanje i obradu podataka, kao što su ograničenje pristupa finansijskim i ličnim dokumentima, zabrana fotografisanja ili skeniranja dokumenata bez odobrenja i obavezno brisanje zastarelih podataka. Ove interne mere nisu formalno obavezne, ali su snažan pokazatelj odgovornog pristupa i smanjuju rizik od prekršaja.

Usklađivanje sa Zakonom o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 87/2018) nije samo pravna obaveza, već i poslovna prednost. Briga o zaštiti podataka o ličnosti sve više se prepoznaje kao važan deo odgovornog i efikasnog poslovanja. Kompanije koje sistematski pristupaju upravljanju podacima građana često uživaju veće poverenje klijenata, manji rizik od neprijatnih situacija i lakše usklađuju svoje interne procese.

Izvor: Vebsajt Asocijacije sudijskih pomoćnika, Suzana Ležaić, 3.10.2025.
Naslov: Redakcija