Author: olisol

Odgovornost i obaveze rukovaoca, obrađivača i korisnika podataka

Od statusa organa vlasti u konkretnom slučaju, zavisiće i njegove odgovornosti i obaveze.

Rukovalac je primarno odgovoran za obradu podataka o ličnosti i ima sve obaveze propisane ZZPL-om:

  • Obavezu da vrši obradu podataka u skladu sa zakonom i načelima obrade podataka;
  • Obavezu da primenjuje organizacione i tehničke mere za zaštitu podataka;
  • Odgovornost za izbor obrađivača;
  • Obavezu da obavesti lica o obradi pre samog početka obrade(član 15 ZZPL-a);
  • Obavezu da postupa po zahtevima za ostvarivanje prava (članovi 19-43 ZZPL-a);
  • Obaveze u vezi vođenja evidencija i Centralnog registra Poverenika (članovi 48-52 ZZPL-a).

Obrađivač ima:

  • Obavezu da vrši obradu podataka u skladu sa Zakonom i načelima obrade podataka;
  • Obavezu da primenjuje organizacione i tehničke mere za zaštitu podataka;
  • Obavezu da postupa u svemu u skladu sa nalogom koji mu je dao rukovalac.

Korisnik podataka ima:

  • Obavezu da vrši obradu podataka u skladu sa Zakonom i načelima obrade podataka.

U principu, za svaku obradu podataka je od presudnog značaja odrediti ko je rukovalac. “To znači da je prva i najvažnija uloga postojanja koncepta rukovaoca da se utvrdi ko je prvenstveno odgovoran za poštovanje pravila o zaštiti podataka o ličnosti, i da se utvrdi prema kome građani mogu ostarivati svoja prava. Drugim rečima, da se dodeli odgovornost.”[1] Ovo je veoma važno, jer rukovalac ima obavezu ali i mogućnosti da presudno utiče na zakonitu obradu podataka o ličnosti. Pored toga što i sam mora poštovati sve obaveze propisane ZZPL-om, on je odgovoran za izbor obrađivača i za zakonito ustupanje podataka korisniku podataka.

[1] Radna grupa za zaštitu podataka, Mišljenje o konceptu rukovaoca i obrađivača, 2010, strana 4. Dostupno na: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf

Kada je obrada podataka o ličnosti dozvoljena

Da bi obrada podataka o ličnosti bila dozvoljena, tokom čitavog trajanja obrade mora biti ispunjen makar jedan od dva uslova:

 

  • Podaci se obrađuju na osnovu zakonskog ovlašćenja;
  • Podaci se obrađuju na osnovu pristanka lica čiji se podaci o ličnosti obrađuju.

Continue reading Kada je obrada podataka o ličnosti dozvoljena

Zakonsko ovlašćenje kao osnov za obradu podataka

Organi vlasti će se veoma često naći u situaciji da ovlašćenje za obradu podataka crpe iz zakona, imajući u vidu da su upravo zakonima utvrđene nadležnosti i obaveze organa vlasti u svrhe za čije ostvarenje je neophodno obrađivati podatke o ličnosti.

Continue reading Zakonsko ovlašćenje kao osnov za obradu podataka

Obrada bez pristanka

Članom 13 ZZPL-a propisano je kada organi vlasti mogu obrađivati podatke o ličnosti bez pristanka lica. Formulacija ovog člana može izazvati nedoumice, pa bi se van konteksta moglo zaključiti da organi vlasti mogu obrađivati podatke bez pristanka jedino na osnovu člana 13 ZZPL-a. To naravno nije tačno; podsetimo, obrada podataka o ličnosti je dozvoljena kad postoji zakonsko ovlašćenje ili pristanak lica čiji se podaci obrađuju, što važi za privatni i za javni sektor. U tom smislu, član 13 ZZPL-a treba tumačiti kao izuzetak od postavljenog pravila i organi vlasti ga mogu primeniti samo u vanrednim i hitnim situacijama, a nikako ne može služiti kao osnov za redovnu obradu podataka koja proističe iz nadležnosti organa vlasti.

Da bi po ovom osnovu organ vlasti mogao da obrađuje podatke, neophodno je da kumulativno budu ispunjeni sledeći uslovi:

 

  • obrada se vrši radi obavljanja poslova iz nadležnosti organa vlasti određenih zakonom, a nikako radi obavljanja poslova koji su utvrđeni nižim pravnim aktom ili su slobodna delatnost organa vlasti;
  • obrada je neophodna za obavljanje ovih poslova, odnosno ne postoji mogućnost da se ti poslovi obavljaju bez predmetne obrade;
  • obrada se vrši samo u cilju ostvarivanja jednog od navedenih interesa:
    • nacionalna ili javna bezbednost;
    • odbrana zemlje;
    • otkrivanje, istraga i gonjenje za krivična dela;
    • ekonomski, odnosno finansijski interesi države;
    • zaštita zdravlja i morala;
    • zaštita prava i sloboda;
    • drugi javni interesi;

Primena ovog člana bi trebalo da bude izuzetak koji se primenjuje samo u situacijama kada je potrebno zaštititi najvažnije interese društva, te se on nikako ne može koristiti kao pravni osnov za najveći deo obrade podataka o ličnosti u javnom sektoru. Pobrojani interesi se već štite brojnim zakonima Republike Srbije, koji daju zakonsko ovlašćenje za obradu podataka u smislu koji smo već naveli. Takođe, svi naizgled široko postavljeni interesi, poput zaštite morala i drugih javnih interesa, moraju se tumačiti izuzetno restriktivno i njihovoj zaštiti u smislu ovog člana ZZPL-a treba pribegavati samo u slučajevima kada je potrebno zaštititi najvažnije interese društva.

Dodatno, ukoliko primenju član 13 ZZPL to ne isključuje obavezu organa vlasti da primenjuje sva postavljena načela obrade podataka o ličnosti, ali i da poštuje odredbe drugih zakona, tako da ovaj član ne daje neograničeno ovlašćenje za obradu podataka.

PRIMER: Više javno tužilaštvo u Beogradu, u cilju sprovođenja istrage, od operatora mobilne telefonije zahteva podatke o ličnosti P.A. i to listing poziva i geo-lokaciju njegovog mobilnog telefona (zadržani podaci). Na prvi pogled moglo bi se reći da postoje svi uslovi za primenu člana 13, imaući u vidu da bi se obrada (prikupljanje) podataka vršila radi obavljanja poslova iz nadležnosti tužilaštva određenih zakonom (Zakon o krivičnom postupku i Zakon o javnom tužilaštvu), da je prikupljanje podataka u ovom slučaju neophodno za istragu i da ne postoji drugi način da se istraga sprovede, te da se obrada vrši u cilju otkrivanja, istrage i gonjenja za krivična dela. Ipak, iako su u opisanom slučaju ispunjeni svi neophodni uslovi, Više javno tužilaštvo u Beogradu ne bi bilo ovlašćeno da navedene podatke prikuplja bez odluke suda, imajući u vidu član 41, stav 2 Ustava Republike Srbije, u kome je propisano da se od tajnosti sredstava komuniciranja može odstupiti samo na osnovu odluke suda, ili član 128, stav 2 Zakona o elektronskim komunikacijama, koji nalaže da pristup zadržanim podacima (npr. listing i geo-lokacija) nije dopušten bez odluke suda.

Načela obrade podataka

Nakon što je utvrdio da postoji neki od opisanih uslova za dozvoljenost obrade, organ vlasti sve vreme tokom obrade mora voditi računa da se poštuju načela obrade, te da usklađuje obradu podataka o ličnosti sa načelima. To znači da zakonsko ovlašćenje, pristanak lica, a u specifičnim situacijama i dozvoljenost obrade bez pristanka, predstavljaju samo prvi filter o kome organi vlasti moraju voditi računa kada je u pitanju dozvoljenost obrade. Drugi filter predstavljaju dodatna pravila o tome kada će obrada podataka o ličnosti biti dozvoljena i koja postoje kako bi organe vlasti dalje usmeravala, jer zakonsko ovlašćenje i pristanak lica čiji se podaci obrađuju ne omogućavaju neograničenu obradu podataka.

Continue reading Načela obrade podataka

Razmena podataka o ličnosti

Imajući u vidu nadležnosti i prirodu posla kojim se bave, organi vlasti će često imati potrebu da razmenjuju podatke sa drugim organima vlasti, ali i sa drugim pravnim i fizičkim licima. Bez obzira na potrebe, treba imati u vidu da je razmena podataka jedan od vidova obrade, te da se i u ovom slučaju moraju primenjivati sva pravila o dozvoljenosti obrade. Konkretno, to znači da se podaci mogu razmenjivati samo ako postoji zakonski osnov ili pristanak lica na koje se podaci odnose, te da se i u ovom slučaju moraju primenjivati sva načela obrade. Načelno govoreći, iako postoji takva mogućnost, nije primereno da pravni osnov za razmenu bude pristanak građana, već bi pitanje razmene podataka između organa vlasti uvek trebalo urediti zakonom jer se na taj način obezbeđuje pravna sig- rukovaoce podataka,

PRIMER ZAKONSKOG OVLAŠĆE-NJA KAO OSNOVE ZA RAZMENU PODATAKA:
U članu 18, stav 2 Zakona o centralnom registru obaveznog socijalnog osigu- ranja regulisano je da “organizacije obaveznog socijalnog osiguranja preuzimaju iz Jedinstvene baze podatke neophodne za vođenje matične evidencije, odnosno druge evidencije propisane zakonom koji uređuje penzijsko i invalidsko osiguranje, zdravstveno osiguranje i osiguranje za slučaj nezaposlenosti”. Član 19 istog zakona kaže da se “podaci iz Jedinstvene baze koriste radi obavljanja poslova iz delatnosti organizacija povezanih u sistem Centralnog registra”. Time je zakonskim odredbama regulisano:
– sa kim se mogu razmenjivati podaci (organizacije obaveznog socijalnog osiguranja),
– koji podaci se mogu razmenjivati (podaci neophodni za vođenje matične evidencije) i
– u koju svrhu se podaci razmenjuju (radi obavljanja delatnosti ovih organizacija)
Dakle, i u slučaju razmene podataka moraju se ispuniti svi uslovi koji su neophodni da bi obrada na osnovu zakonskog ovlašćenja bila dozvoljena, odnosno mora se utvrditi koji se podaci mogu razmenjivati, sa kim i u koju svrhu.

MIŠLJENJE POVERENIKA broj 011-00-00377/2014-02 od 12.05.2014. godine, povodom zahteva gradske uprave grada Čačka kojim je od RFZO-a traženo da dostavi podatke iz Matične evidencije, a u svrhu utvrđivanja zaposlenih građana: “Zakoni kojima se na uopšten način uređuje saradnja i razmena podataka između organa državne uprave, organa lokalne samouprave i drugih organa vlasti se ne mogu smatrati pravnim osnovom koji navedenu obradu (dostavljanje, odnosno razmena podataka – prim. aut) čine dozvoljenom.”

Šta je zbirka podataka?

ZZPL zbirku podataka definiše kao “skup podataka koji se automatizovano ili neautomatizovano vode i dostupni su po ličnom, predmetnom ili drugom osnovu, nezavisno od načina na koji su pohranjeni i mesta gde se čuvaju”.
To praktično znači da zbirku podataka čini svaki skup podataka koji u sebi sadrži naj- manje jedan podatak o ličnosti bez obzira na formu – to mogu biti baze, evidencije, registri, upisnici, spiskovi, ali i razni ugo-vori, zapisnici, zdravstveni kartoni, video snimci i drugo.

Koje zbirke podataka vode organi vlasti?

Organi vlasti redovno vode tri vrste zbirki podataka:

 

  • Zbirke podataka koje u sebi sadrže podatke o licima koja su zaposlena u organu vlasti ili obavljaju poslove u organu vlasti po drugom osnovu, kao što su:
    • Kadrovska evidencija;
    • Evidencija o platama;
    • Evidencija o naknadama za prevoz;
    • Evidencija o prisutnosti na radu;
    • Evidencija korisnika službenih mobilnih telefona;
    • Video nadzor serverske sobe.

 

  • Zbirke podataka koje sadrže i podatke lica koja nisu zaposlena u organu vlasti, a koje nastaju u radu organa vlasti, dok obaveza njihovog vođenja nije propisana zakonom, kao što su:
    • Video nadzor ulaznih prostorija organa vlasti;
    • Evidencija o predstavkama i pritužbama građana;
    • Evidencija o licima sa kojima organ vlasti vodi sudske sporove;
    • Zbirka sigurnosnih kopija službene elektronske pošte organa vlasti.

 

  • Zbirke podataka čije je vođenje propisano zakonom, kao što su:
    • Matična evidencija o osiguranicima, obveznicima plaćanja doprinosa i korisnicima prava iz penzijskog i invalidskog osiguranja, koju vodi PIO fond u skladu sa članom 125 Zakona o penzijskom i invalidskom osiguranju;

Jedinstvena baza podataka osiguranika i osiguranih lica, koju vodi Centralni registar obaveznog socijalnog osiguranja, u

Koje su obaveze organa vlasti koji vodi zbirku podataka?

 

Organ vlasti je dužan da obrazuje i vodi Evidenciju o obradi, koja sadrži podatke o nazivu zbirke podataka, vrsti podataka, radnjama i svrsi obrade, roku čuvanja podataka, preduzetim merama zaštite i druge podatke, što je propisano članom 48 ZZPL-a.

Continue reading Koje su obaveze organa vlasti koji vodi zbirku podataka?