zaštita podataka o ličnosti

Projekat “Zaštita podataka o ličnosti kao osnovno ljudsko pravo“ sprovodi organizacija Partneri za demokratske promene Srbija u saradnji sa Mrežom odbora za ljudska prava u Srbiji (CHRIS), uz podršku Delegacije Evropske unije u Republici Srbiji i Fondacije za otvoreno društvo Srbija.

Uvođenje poverenika za zaštitu podataka unutar firme

Uvođenje poverenika za zaštitu podataka unutar firme
Podeli na Facebook-uRetvitujPodeli na Google+Podeli na LinkedInPošalji na email

Mnoge firme širom Evrope su se odlučile da uvedu poziciju poverenika za zaštitu podataka. Pogotovu se taj trend uočava za ona preduzeća, koja imaju više od 50 zaposlenih.

Uvođenje ove pozicije ima mnogobrojnih prednosti pre svega po organizacionu strukturu unutar firme, kao i funkcionisanje redovnih poslovnih transakcija. Pored toga uvođenje ove pozicije omogućuje jasno dokumentovanu nadležnost u pitanjima zaštite podataka, koja predstavlja izuzezno komplikovanu pravnu, tehničku kao i organizacionu proceduru. Stoga se ova pozicija ne može svrstati ni u IT, ni u pravno odeljenje, pa je jedna zato jedna sui generis pozicija, koja zahteva razumevanje prava, tehnologije, menadzmenta. Uvođenjem poverenika unutar firme olakšava se sprovođenje kao i koordinacija mera za zaštitu podataka, koje su u skladu sa zakonom dužne da ispune sve firme.

Ogromne prednosti se pokazuju u pogledu pridržavanja rokova i obaveza, koji proizlaze iz zakona o zaštiti podataka u pogledu prijava zbirki podataka o ličnosti i njihovom unosu u registar, mera koje se tiču sigurnosti podataka, obuke zaposlenih u ovoj oblasti, sačinjavanja ugovora o prenosu podataka, kao i kontrole saglasnosti za obradu podataka.

Za zaposlene, dobavljače, klijente ova institucija predstavlja nadležno telo, kome se mogu obratiti za bilo koje pitanje, probleme vezane za zaštitu podataka, nezavisno od toga koji poslovni sektori su u pitanju. Upravo poverenici su u stanju da stručnim, adekvatnim i transparentnim odgovorima povećaju poverenje lica, čiji se podaci obrađuju.

Tipični poslovi poverenika sastoje se u sledećim zadacima:

  1. Sprovođenje i nadzor zbriki podataka, kao i njihova registracija u centralni registar podataka;
  2. Pribavljanje dozvola za transfer podataka u inostranstvo;
  3. Sačinjavanje ugovora o prenosu podataka i njihov nadzor;
  4. Kontrola izjava o saglasnosti za obradu podataka o ličnosti;
  5. Savetovanje prilikom sačinjavanja pogodbi unutar firme vezanih za obradu podataka;
  6. Unutrašnje i spoljašnje lobiranjje u vidu razvoja pozicije firme, kontakata sa nadležnim regulatornim telima za zaštitu podataka;
  7. Savetovanje, informisanje zaposlenih;
  8. Razvoj organizacione politike o privatnosti;
  9. Konstantne obuke zaposlenih u pogledu mera za zaštitu podataka kao i povećanje svesti zaposlenih o važnosti zaštite podataka;
  10. Konstantno unapređivanje, poboljšavanje i donošenje predloga za implementaciju sigurnosnih mera za zaštitu podataka;
  11. Nadziranje obaveze informisanja lica, čiji se podaci obrađuju;
  12. Implementacija subjektivnih prava lica čiji se podaci obrađuju (prava na dobijanje informacije, uvida koji se podaci obrađuju, prava na prigovor na dalju obradu podataka, prava na brisanje i ispravku podataka).

 Neophodne organizacione i stručne klasifikacije poverenika

Pozitivni kriterijumi koje treba uzeti u obzir prilikom zapošljavanja:

  • pravno I informaciono-tehničko znanje
  • obaveza direktnog obaveštavanja u vidu izveštaja rukovodstva firme
  • samostalno rukovođenje
  • učestvovanje u razvitku poslovnih procesa I projekata firme
  • sopstveni budzet

Pozitivni i negativni kriterijumi koje treba uzeti u obzir prilikom zapošljavanja:

  • uvođenje poverenika u pravno odeljenje ili u druga odeljenja
  • angažovanje eksternog (spoljnog) poverenika
  • angažovanje poverenika sa skraćenim radnim vremenom

Negativni kriterijumi koje treba uzeti u obzir prilikom zapošljavanja:

  • klasifikacija poverenika u jednoj dugačkoj hijerarhijskog lestvici unutar firme
  • šef IT odeljenja je ujedno i poverenik za zaštitu podataka unutar firme
  • odgovorno lice za sigurnost je ujedno i poverenik za zaštitu podataka firme
  • isključivo pravno ili tehničko znanje

Austrijski pravni okvir

Austrijski zakon o zaštiti podataka (za razliku od npr. nemačkog) ne predviđa instituciju poverenika unutar firme. Prilikom poslednje izmene zakona 2010.godine, predviđena je bila ova pozicija u predlogu izmene zakona. Međutim, zbog velikog pritiska interesnih sfera u ovoj oblasti, izbačena je iz predloga i samim tim nije ubačena u zakonski tekst.

U svetlu novog predloga uredbe o zaštiti podataka EU, Austrija je takođe krajem 2012. godine donela predlog izmene zakona, kojom je predviđena upravo institucija poverenika unutar firme. Time ova pozicija neće biti obavezna, kako je predviđeno u predlogu uredbe EU (firme koje imaju 250 i više, zaposlenih moraće da imaju poverenika), ali će doneti mnogobrojna olakšanja za firme koje uvedu ovu poziciju:

  1. Veliko olakšanje predstavlja ukidanje obaveznih prijava zbirki podataka Komisiji za zaštitu podataka;
  2. Poverenikova funkcija se prijavljuje Komisiji za zaštitu podataka, koja vodi poseban registar o tome;
  3. U pogledu stručnosti poverenika postoje nedoumice, kakve kvalifikacije treba da poseduje određeno lice da bi bilo izabrano za poverenika, kao i koja institucija je nadležna da ove sposobnosti utvrdi;
  4. Odgovornost i eventualne štete u pogledu zaštite podataka snosi isključivo rukovodstvo firme, što je izuzetno važno i značajno, za nesmetano obavljanje funkcije poverenika;
  5. Predviđeno je angažovanje poverenika na minimum 3 godine, tokom koje bi bilo nemoguće sa poverenikom raskinuti ugovor o radu. Ovime se želi postići nezavisnost u obavljanju funkcije poverenika. Na taj način država kao garant ljudskih prava, prenosi zapravo jedan deo svoje nadležnosti na firme, pošto nije u stanju da iskontroliše ubrzani razvoj tehnologije i peveliku količinu podataka kako u privatnom tako i u javnom sektoru;
  6. Država uvodi ovu poziciju bez nadoknade troškova firmama, što pogađa pre svega manje firme i na taj način stavlja u privilegovan položaj velike firme. Pošto je za poziciju poverenika predviđena minimalna plata od 25.000 evra godišnje, jasno je da su manja preduzeća na ovaj nači stavljena u podređen položaj.

Predlog uredbe EU

Za razliku od austrijskog zakonodavca, evropski predviđa obaveznu funkciju poverenika u firmama:

  1. Samo za velika preduzeća, koja imaju najmanje 250  zaposlenih (moguće je imenovati i jednog poverenika za više firmi);
  2. Imenovanje je predviđeno takođe i za nosioce javnih funkcija (moguće je imenovanje za više javnih oblasti);
  3. Razlika u odnosu na austrijski predlog je i u tome što se predviđa angažovanje poverenika na period od minimum 2 godine, pri čemu je ponovno imenovanje moguće. Postoj mogućnost angažovanja poverenika i putem ugovora, tzv. eksternog poverenika;
  4. Ova pozicija se prijavljuje regulatornom telu za zaštitu podataka uz kontakt podatke poverenika. On je dužan da odgovara na sva relevantna pitanja iz oblasti zaštite podataka;
  5. Firma ili javna ustanova je dužna da mu omogući uvid u sve relevantne aspekte zaštite podataka, kao i da njegovo delovanje bude ispraćeno izveštajima rukovodećim strukturama firme/javne ustanove uz garantovanje njegove nezavisnosti. Firme, ustanove su dužne da omoguće povereniku odgovarajući personal, opremu, prostorije radi obavljanja funkcije;
  6. Poverenikova funkcija je predviđena i kao jedna od mera za zaštitu podataka, pa su i vođenje dokumentacije sa imenom poverenika kao i njegovi kontakt podaci sastavni deo sadržaja svakog relevantnog dokumenta. Poverenika treba obavezno navesti u okviru obaveze o informisanju lica čija se obrada vrši.
  7. Predviđeno je da se naknadno reguliše postupak sertifikacije poverenika, kao i neophodnih kvalifikacija koje ovo lice treba da poseduje.
  8. Kazna koja je predviđena za nepoštovanje imenovanja, izbora, zadataka poverenika iznosi 2% godišnjeg profita preduzeća, što predstavlja pozamašnu sumu. Ipak, ta suma ne bi trebala da prekorači granicu od milion evra.

Sve ovo pokazuje da država sama nije u stanju da omogući građanima osnovno ljudsko pravo, zbog prebrzog razvitka tehnologije i razmene, prikupljanja podataka. Upravo adekvatne kazne i mere nadzora državnih intitucija mogu učiniti da se prava pojedinaca u praksi ostvare i ne ostanu mrtvo slovo na papiru.

tagovi:

Magistar prava Andrej Diligenski, poverenik za zaštitu podataka firme Simacek Facility Management Group GmbH, Beč, saradnik instituta Evropski centar za elektronsku trgovinu i internet pravo, Beč

Komentari:

  1. Posebno bi izdvojio video nadzor. To je zanimljiva tema, jer kao što sam u jednom delu napomenuo da postoji standardna evidencija podataka, koja se ne prijavljuje Komisiji za zaštitu podataka, tako je njeno uvođenje koje nije u skladu sa tim standardom obavezno prijaviti. Ovo pričam konkretno za Austriju.
    Tu je važno istaći da je uvođenje video nadzora u svrhu isključive kontrole radnika ZABRANJENO!!! Navedena standardna evidencija se odnosi npr. na video nadzor zlatara, prostorija gde su serveri, parkinga itd.

    Isto važi i za mejlove, surfovanje po netu, i tu postoji zaštita privatnosti radnika. Sa time je povezano i uvođenje otisaka prstiju prilikom kontrole pristupa itd itd. Sve se to reguliše posebnim pogodbama i izjavama saglasnosti pogođenih lica.

    Kako je ova tema u drugim zemljama to regulisano ne znam. Moram da naglasim da ta oblast spada u radno pravo, znači sektorski zakon je u pitanju. Stoga i nije uveden u predlog nove uredbe EU, jer novi predlog uredbe predstavlja krovni zakon za sve zemlje EU.

    U pogledu vaše poslednje opaske, to je u praksi zaista tako. Velikim firmama je to jedan značajan korak u poverenju prema klijentima.
    Treba uvek imati u vidu da bezbednost i sigurnost podataka nije proizvod, već proces.
    Što se države tiče citirao bih: “Oslanjajući se na državu da zaštiti vaše podatke odnosno vašu privatnost, je kao da pitate voajera da postavi roletne na prozore” John Perr. U svakom slučaju je po meni značajno da se to uradi u bolnicama, ali i npr u kompanijama koje proizvode hranu. Svuda gde život i zdravlje ljudi može biti ugroženo.

    Komentar dobrio Andrej Diligenski
  2. Drugo pitanje je veoma zanimljivo i odlično. Radi se o tome da je spolja prema državi uvek i isključivo odgovorno rukovodstvo firme. Što je zapravo logično!
    Stoga je glavni i odgovorni npr. generalni direktor kompanije. Uloga poverenika se sastoji u tome sa njim direktno komunicira i ukazuje mu na mere za poboljšanje, propuste, konstantno praćenje stanja privatnosti unutar firme.

    Ukoliko se desi da rukovodstvo firme donese interni propis koji je protivpravan, kažnjiv i slično, rukovodstvo firme je isključivo odgovorno. Pored toga je poverenik zaštićen time što je angažovan na minimum 2 godine (po predlogu EU) po austrijskom (3 godine). Na taj način ga je u tom periodu nemoguće opozvati.
    Slučajevi u kojima je to moguće svode se na nečinjenje, odnosno gledanje kroz prste, ako dolazi do povrede privatnosti. Tada je odgovoran novčano. Osim toga postoji mogućnost da se obrati Regulatornom telu za zaštitu podataka i ukaže državi na očigledne propuste poslodavca.

    Komentar dobrio Andrej Diligenski
  3. Ideja o broju klijenata nije loša, međutim i to je veliko pitanje, koliko i kada neko ima određeni broj klijenata. Zato bih ja pre uzeo neku fiksnu kategoriju.

    Kod osetljivih podataka suština je samo u merama zaštite. U tome je zapravo glavna razlika u odnosu na ostale podatke o ličnosti. Video nadzor npr. spada u Austriji u kategoriju gde se snimci posebno štite (moraju biti posebno zaključani) i u određenom vremenu čuvaju, iako video nadzor kao sam tj. slike ne spadaju u posebnu kategoriju podataka koja je definisana zakonom.
    To ne znači da je samo zbog toga potrebno da se uvede poverenik. Svi podaci po meni zaslužuju jednak tretman, ali samo mere zaštite ne treba da budu izuzetno rigorozne kod običnih podataka o ličnosti.

    Po meni suština je u tome što malo ko zaista razume i poznaje ovu materiju. Ljudi misle da je sve dozvoljeno, a pogotovu poslodavci, a upravo je suprotno – sve je zabranjeno, osim onog što je dozvoljeno zakonom. Pošto ne postoji svest o tome, već nažalost shvati kakav je značaj njegovih podataka tek kad npr. neko napusti firmu, želi da promeni banku ili uđe u spor sa bankom. U Nemačkoj je takođe regulisan Scoring postupak, na osnovu koga prati, procenjuje ponašanje klijenata ali i radnika. Zato se slažem sa nemačkim zakonom i smatram da uvođenje poverenika u firmi treba da bude OBAVEZA . Privatnost je danas postala luksuz!!!

    Komentar dobrio Andrej Diligenski
    • Upravo sam procitao interesantnu informaciju u pogledu kriterijuma za uvodjenje poverenika u okviru EU predloga. Postoji predlog da se umesto broja zaposlenih u nekoj firmi uvede poverenik na nivou firme za sve firme, koje imaju 500 snimljenih podataka. To bi po tvrdnji jednog eksperta znacilo da bi npr. jedan fudbalski savez trebalo vec da ima poverenika.

      U svakom slucaju to predstavlja kao sto sam naveo stabilan kriterijum. Sustina je da ce se do Maja raspravljati o celokupnom predlogu. Konacno bi sve trebalo da se usvoji do pocetka 2014.godine. Kad ce stupiti na snagu, videcemo….

      Komentar dobrio uros
  4. Htedoh reći da broj zaposlenih ne treba da bude primarni kriterijum pri postavljanju pravila za uvođenje poverenika unutar firme, odnosno, da i drugi faktori možda mogu biti jednako značajni. Meni se čini da treba voditi računa o broju osoba čiji se podaci obrađuju, nevezano za to da li se radi o zaposlenim osobama.

    Primer – knjigovodstvena agencija koja može imati svega petoro zaposlenih, ali koja ujedno ima podatke o stotinama osoba koje klijenti pomenute agencije angažuju kao autore ili kao zaposlene.

    Dalje, osim broja osoba čiji se podaci obrađuju, pomenuo sam i vrstu podataka, pre svega zbog toga što naročito osetljivi podaci uživaju viši stepen zaštite.

    Imam još jedno pitanje.

    Šta se dešava ako rukovodstvo kompanije zaobiđe poverenika i bez njegovog znanja i odobrenja usvoji neke politike privatnosti koje su invazivne po privatnosz zaposlenih ili privatnost korisnika? Recimo, šta se dešava ako poslodavac uredi oblast video nadzora na radnom mestu bez konsultacija sa poverenikom? Ili ako bez njegovog znanja propiše pod kojim uslovima se podaci o korisnicima ustupaju trećoj strani. Šta poverenik može da uradi u tom slučaju? Da li ima obavezu da reaguje? Na koji način može da reaguje?

    Inače, meni je naročito zanimljivo to pitanje zaštite privatnosti kao komparativne prednosti na tržištu. Zato verujem da postojanje internog poverenika može podići kredibilitet kompanije koja posluje u konkurentnom okruženju. Za monopoliste u državnom vlasništvu ova tema verovatno nije interesantna.

  5. U pogledu toga da li su neki podaci vazniji od drugih, rekao bih da je tu tesko praviti razliku i da je ne treba praviti u ovom slucaju. Iako je ona zakonski regulisana, ne znaci da su npr. podaci o tome gde neko zivi manje vazni nego sto su zdravstveni podaci. Mogucnosti zloupotrebe su podjednake, a to ne utice na samu kategoriju podataka! Jos bolji primer su npr podaci o bankovnom racunu zaposlenih sa zdravstvenim podacima. Posto je to sve individualno, kome je sta vaznije, ne treba praviti razliku. Pravo privatnosti je garantovano i radniku JKP ali i svakom pacijentu.

    Stoga se moze zakljuciti, da je pristup sa brojem radnika bitan. Naime sto vise radnika ima u nekoj firmi, to je mogucnost i potreba veca za zastitom podataka.

    U Nemackoj postoji obaveza za sve firme koje imaju vise od 10 zaposlenih da angazuju poverenika unutar firme, institucije.

    Komentar dobrio uros
  6. Andrej, hvala na informativnom tekstu.

    Čini mi se da obavezu uvođenja poverenika treba vezati pre svega za obim i vrstu podataka koje rukovalac obrađuje, a ne za broj zaposlenih u instituciji. Primera radi, verujem da više razloga za uvođenje poverenika ima dom zdravlja (privatni ili državni, sve jedno) nego JKP Gradska čistoća.

    Kakva je uloga poverenika u situacijama kada dođe do povrede prava na privatnost na radnom mestu? Da li poverenik može u takvim situacijama da se angažuje kao medijator? Ako je osposobljen za takve poslove, naravno.

    • Urose hvala na dobrom pitanju.

      Uloga poverenika je vezana iskljucivo za zastitu zakona o licnosti i na ukazivanje na njihovu povredu, predloge za poboljsavanje, pisanje ugovora, pisanje politike privatnosti, kontrolisanje zbirki podataka, ali i kontrolisanje bezbedonosnih mera.

      Poverenikova uloga ipak nije da miri zaposlene sa rukovodstvom kao npr. ombusdsman u okviru firme. Medjutim dodirne tacke bi svakako bile u tome da se poverenik u firmi angazuje u npr. nadzornom odboru. Na taj nacin bi zapravo kao jedan od clanova odbora imao vazan glas, ali pored ombudsmana, koji bi svakako bio od presudnog znacaja.

      Pogotovu je ovo bitno kod tzv. uzbunjivaca. Tu dolazi do jos jedne dodirne tacke sa poverenikom. Tu bi zajednicko delovanje ombudsmana sa poverenikom bilo pozeljno i neophodno, pogotovu kada se radi o zastiti podataka (anonimnosti) lica koja imaju prituzbe. Svakako da bi 1 pozicija npr. pozicija ombudsmana u okviru firme resila pitanje mirenja, tuzbi, tuzbi za korupciju u okviru jedne firme.
      Ne znam na sta konkretno mislite povreda prava privatnosti na radnom mestu. Medjutim, ako se radi o povredi prava radnika, poverenik je tu da sastavlja izjave saglasnost, da vodi racuna da se njihova privatnost ne povredi, da sastavlja pogodbe sa nadzornim odborom. Kao i ombudsman je poverenik tu izmedju 2 vatre, zastite interesa firme sa jedne strane, i zastite privatnosti radnika sa druge strane.

      Komentar dobrio uros

Leave a Reply to Uroš Mišljenović Cancel reply

Vaša email adresa neće biti javno objavljena. Polja koja su obavezna obeležena su sa *