Nezavisna tela nadležna za vršenje nadzora u oblasti zaštite podataka o ličnosti („DPA“), poput Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti u Republici Srbiji („Poverenik“), imaju važnu ulogu i ovlašćenja u slučaju povrede podataka o ličnosti.

Quis custodiet ipsos custodes? (Ko će nas čuvati od čuvara?)

Budući da su DPA i sami rukovaoci određenim podacima o ličnosti, povreda podataka može nastupiti i u pogledu podataka koji su pod njihovom kontrolom.

Upravo to se nedavno desilo danskom DPA – Datatilsynet. Naime, krajem avgusta Datatilsynet je objavio saopštenje o povredi podataka o ličnosti do kojeg je došlo u njegovim kancelarijama tako što papirni otpad sastavljen od dokumenata koji su sadržali poverljive i osetljive informacije, nije uništen u šrederu već je odložen kao običan papirni otpad (u integralnom obliku). Utvrđeno je da je takva praksa postojala u periodu od februara do avgusta 2020. godine, s tim da su u periodu od marta do juna zaposleni Datatilsynet radili od kuće, što je svakako umanjilo obim povrede.

Kako je navedeno, ovi dokumenti su sadržali informacije o zaposlenima i licima koja su podnela pritužbe upravo radi zaštite svojih ličnih podataka (ime, predmet pritužbe, adresa i slično).

Imajući u vidu obaveze rukovalaca iz čl. 33. i 34. GDPR, Datatilsynet je prijavio povredu podataka na isti način kako su to dužni da učine drugi rukovaoci, pri čemu je i u ovom slučaju došlo do propusta jer je propisani rok od 72 časa za prijavu prekoračen za dodatna 24 časa. Datatilsynet je naveo i da je sankcionisao zaposlenog koji je propustio ovaj rok, kao i da je revidirao interne procedure, uključujući one koje se odnose na odlaganje papirnog otpada. Ujedno, Datatilsynet je o povredi obavestio i lica koja su potencijalno ugrožena ovom povredom.

Kakva je situacija u Republici Srbiji?

Rukovalac je u skladu sa Zakonom o zaštiti podataka o ličnosti (“ZZPL”) dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica. Rukovalac je dužan da ove mere preispituje i ažurira, kao i da onda kada je to u srazmeri sa obradom podataka, primenjuje odgovarajuća interna akat o zaštiti podataka o ličnosti.

Obrađivač podataka takođe mora da garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ZZPL i da se obezbeđuje zaštita prava lica na koje se podaci odnose.

Dakle, rukovaoci i obrađivači su prevashodno dužni da deluju preventivno, kako do povrede ne bi došlo.

Šta uraditi kada do povrede ipak dođe?

ZZPL uređuje ovo pitanje na sličan način kao GDPR. Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu, uz obavezu da obrazloži razloge zbog kojih eventualno nije postupio u navedenom roku.

Ovo obaveštenje se dostavlja na propisanom obrascu, zajedno sa evidencijama radnji obrade koje rukovalac vodi u skladu sa članom 47. ZZPL. Obaveštenje se dostavlja u pisanom obliku, neposredno ili putem pošte, a skenirani primerak može biti dostavljen na posebnu mejl adresu Poverenika.

Rukovalac je dužan i da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.

Sa druge strane, ukoliko je do povrede došlo kod obrađivača, on je dužan da bez nepotrebnog odlaganja obavesti rukovaoca o toj povredi, koji dalje preduzima propisane mere.

Ukoliko povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da o povredi obavesti i lica na koje se podaci odnose.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.