U ovom slučaju smo napravili izuzetak i odlučili da objavimo blog na srpskom jeziku.

Praktično, usklađivanje sa odredbama novog Zakona o zaštiti podataka o ličnosti (u daljem tekstu:ZZPL) predstavlja trenutno jedinu ‘’regulatory compliance advisory’’ uslugu koju OCTA IT Sourcing pruža privrednim subjektima na ‘’srpskom tržištu’’, te smo procenili da bi bilo celishodno da i ovaj tekst, koji je posvećen upravo toj problematici bude napisan i objavljen na maternjem jeziku.

Verujem da naslov teksta, na neki način, prejudicira kako će isti biti intoniran u nastavku. Naime, u prethodnom periodu mnogo se govorilo o Uredbi (EU) o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti i o slobodnom kretanju takvih podataka.

Ne deluje poznato? – To je očekivano, s obzirom da ovaj naziv nije toliko prepoznatljiv u odnosu na akronim koji je postao ‘’pravni buzzword’’ širom sveta, pa i u Srbiji: GDPR. Sadržinu Uredbe ne bih nastavljao da obrazlažem u ovom tekstu, budući da je prethodno već jedan (‘’uvodni’’) blog napisan na tu temu, međutim značaj GDPR se, i te kako, može prepoznati i u kontekstu ZZPL. Ovaj zakon je stupio na snagu 21. Novembra 2018. godine, a počeće da se primenjuje po isteku devet meseci od dana stupanja na snagu, dakle 21. avgusta 2019. godine.

Poznato je već da su srpski zakonodavci i regulatori, u velikoj meri odlučili da slede evropske (EU) legislativne uzore i ZZPL nije izuzetak. Površnom opservacijom, prvobitno se stiče utisak da su odredbe novog zakona (pomalo nespretno) ‘’prepisane’’ iz GDPR, međutim, iako je to u određenoj meri tačno, postoje izvesne razlike i nekonzistentnosti u odnosu na Uredbu koje navodno treba da predstavljaju refleksiju našeg pravnog sistema. Verovatno i najupečatljiviji primer ove disproporcije je veliki broj odredbi ZZPL koji se odnosi na ‘’obradu podataka o ličnosti od strane nadležnih organa u posebne svrhe’’, kao izuzetak od opštih pravila obrade koje predviđa taj zakon, što potencijalno može da naruši pravnu sigurnost lica na koje se podaci odnose i ostavlja širok prostor za zloupotrebu od strane javne vlasti.

 

Zašto u ovom smislu usklađivanje poslovanja sa ZZPL može predstavljati izazov?

 

Na osnovu našeg praktičnog iskustva u ovoj oblasti, imali smo prilike da vidimo kako proces usklađivanja poslovanja rukovalaca i obrađivača podataka o ličnosti sa ZZPL može biti dodatno otežan zbog nejasnog domašaja određenih odredbi tog zakona. Nezakonito postupanje sa podacima o ličnosti prethodno navedenih subjekata, u smislu ZZPL iziskuje, pre svega, finansijski, ali i reputacioni rizik, tako da pravna nesigurnost, u ovom kontekstu, može da bude veoma štetna, ne samo za lica na koje se podaci odnose, nego i za poslovanje privrednih subjekata koji te podatke obrađuju.  

 

Kako biti siguran da je vaše poslovanje usklađeno sa ZZPL?

 

Kako bi minimizirali rizik od sankcionisanja po osnovu povrede prava lica na koje se podaci odnose, OCTA compliance team tim se odlučio da prilikom usklađivanja poslovanja naših klijenata sa ZZPL postupamo u skladu sa uporednom praksom implementacije GDPR u EU. Uzimajući u obzir trenutni nedostatak smernica i pojašnjenja određenih odredbi ZZPL, kao i odsustvo podzakonskih akata koji bliže uređuju pojedine segmente novog zakona, pošli smo od pretpostavke da se problem praznina u tumačenju može ublažiti na ovaj način, jer je neupitno da je GDPR bio uzor za pisanje ZZPL. Međutim, čak i sa takvim pristupom se ne može uvek shvatiti u potpunosti smisao pojedinih odredbi ako se uzme u obzir, na primer, tehnička kompleksnost načela ‘’podrazumevane i ugrađene zaštite privatnosti podataka o ličnosti’’ što proklamuje GDPR (Art 25.),a koje, po našem mišljenju nije adekvatno formulisano u novom zakonu. Iz ovog razloga, prilikom pružanja usluge usklađivanja sa GDPR i ZZPL, angažujemo, ne samo naš pravni (compliance) tim, nego i članove tehničkog (software development) tima. Nadalje, pristup shodnog primenjivanja odredbi GDPR u pojedinim slučajevima ne može dati zadovoljavajuće rezultate, jer određene institute ZZPL tretira drugačije u odnosu na GDPR. Na primer, pristanak na obradu podataka o ličnosti, kao jedan od osnovnih instituta GDPR i ZZPL, sa formulacijom ‘’potvrdne radnje’’ iz člana 4. stav 1. Tačka 12. ZZPL ostavlja prostora za veoma široko tumačenje šta zapravo predstavlja ta ‘’potvrdna radnja’’ pristanka, dok je u uvodnom pojašnjenju (Recital 32), GDPR definisano da radnja ‘’pristanka’’ mora da potvrđuje da je isti slobodno dat, da je konkretan, da je zasnovan na prethodnoj informisanosti lica na koga se podaci odnose i da je nesumnjivi pokazatelj postojanja saglasnosti od strane tog lica za obradu njegovih ličnih podataka. GDPR navodi da su to pisana izjava, uključujući izjavu datu elektronskim putem, ili usmena izjava. Način davanja pristanka je veoma značajan, jer ukoliko je isti dat u suprotnosti sa odredbama zakona, ne proizvodi pravno dejstvo. U tom slučaju, ako ne postoji drugi zakonski osnov za obradu, svaka obrada podataka može da se kvalifikuje kao nezakonita (bez prethodno pribavljenog pristanka lica na koga se podaci odnose).

 

Kako vi planirate da se suočite sa poteškoćama usklađivanja vašeg poslovanja sa ZZPL?

 

OCTA vam je na raspolaganju za sva pitanja, komentare i sugestije.

Kontaktirajte nas na www.8ctait.com