Savremeni način poslovanja, neizbežne informacione tehnologije, kao i uslovi rada tokom pandemije sada već nesumnjivo ukazuju na to da su podaci o ličnosti: a) sveprisutni u svakom radu, i b) biznis za mnoge.
Još od usvajanja Opšte uredbe o zaštiti podataka o ličnosti (GDPR), a potom i Zakona o zaštiti podataka o ličnosti, pažnja je usmerena gotovo isključivo na rukovaoce podacima, njihove obaveze i moguće kazne. Ovaj tekst posvećujemo onima koji pomažu rukovaocu da bude usaglašen sa Zakonom – brojnim obrađivačima.
Naime, redak je onaj rukovalac koji sve radnje obrade podataka može da podvede pod neposredan nadzor. Za mnoge poslove – isplate zarada i druge računovodstvene usluge, obezbeđivanje prostora i lica – neretko je odluka kompanije da ih poveri nekom drugom, odnosno, prema terminologiji zaštite podataka o ličnosti, obrađivaču. Za pojedine specifične poslove angažovanje obrađivača nije predmet izbora, već bez njih rad nije moguć.
Za onlajn poslovanje, registraciju naziva domena ili hosting sajtova, internet servis provajderi, koji ujedno nude i usluge skladištenja podataka, jesu neizbežni. Tako i svaki ovlašćeni registar RNIDS-a koji nudi i usluge hostovanja za svoje klijente jeste i obrađivač podataka.
Kad je reč o odnosu obrađivača sa podacima o ličnosti, kao i licima na koja se podaci odnose, za razliku od rukovaoca, obrađivač nema direktan odnos ni prema svrsi, odnosno cilju obrade podataka, ni prema pojedincu. Za njega, obrada podataka je posao za sebe i donekle nezavisna od prirode podataka. Dokle god postupa u skladu sa zakonima i na pravu zasnovanim zahtevima nalogodavca, obrađivaču nije od presudnog značaja da li obrađuje podatke o dimenzijama objekata ili podatke koji se odnose na fizička lica. To, naravno, ne znači da nikakva odgovornost ne postoji.
Prema Zakonu o zaštiti podataka o ličnosti, obaveze obrađivača mogu biti opšte, prisutne kod svih obrađivača nezavisno od obima podataka koji se obrađuju ili njihove prirode, i posebne.
Opšte obaveze obrađivača
Osnovna obaveza obrađivača je uređen odnos sa rukovaocem.
Obrađivač mora biti određen zakonom ili, što je uglavnom slučaj, ugovorom sa rukovaocem. U našoj praksi, retki su slučajevi određivanja obrađivača zakonom.
Iako je postojanje ugovora prevashodno obaveza rukovaoca, budući da on snosi odgovornost za celokupnu obradu podataka, ni obrađivač ne sme da primi podatke bez adekvatnog ugovora.
Sama sadržina ugovora rukovaoca i obrađivača u velikoj meri uređena je Zakonom o zaštiti podataka o ličnosti (čl. 45).
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti doneo je Odluku o utvrđivanju standardnih ugovornih klauzula, koje mogu poslužiti kao model ugovora između rukovaoca i obrađivača. Inače, ove standardne ugovorne klauzule su značajne za sve rukovaoce koji imaju nameru da obradu podataka povere nekom licu van teritorije Srbije.
U slučaju da se ne koristi ovaj model ugovora, ukratko, neophodno je da ugovor sadrži odredbe koje će (redosled ne prati odredbe Zakona):
- propisati obavezu obrađivača da može da obrađuje podatke samo na osnovu pisanih uputstava rukovaoca, uključujući i uputstvo u odnosu na prenošenje podataka o ličnosti u druge države ili međunarodne organizacije;
- precizirati da su se fizička lica koja su ovlašćena da obrađuju podatke u ime obrađivača obavezala na čuvanje poverljivosti podataka ili podležu zakonskoj obavezi čuvanja poverljivosti podataka;
- obavezati obrađivača da preduzme sve potrebne mere u pogledu bezbednosti obrade, kao i da pomaže rukovaocu u slučaju povrede podataka i obaveštavanja Poverenika o povredi;
- obavezati obrađivača da pomaže rukovaocu u ispunjavanju njegovih obaveza u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose;
- ograničiti obrađivača u slučaju poveravanja obrade nekom drugom obrađivaču;
- urediti obavezu da, nakon okončanja ugovorenih radnji obrade, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka;
- ugovoriti obavezu da je obrađivač dužan da rukovaocu učini dostupne sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača, kao i moguće kontrole njegovog rada.
Druga opšta obaveza jeste vođenje evidencije o svim vrstama radnji obrade koje se vrše u ime rukovaoca. Dakle, reč je o dokumentaciji koju obrađivač priprema i čuva kao svoju, za svakog rukovaoca ponaosob, i može biti predmet kontrole Poverenika kao nadzornog organa.
Evidencija sadrži informacije o rukovaocu, vrsti obrade koje se vrše u ime svakog od njih, prenosu podataka u druge države ili međunarodne organizacije, kao i opštem opisu mera zaštite podataka.
Dakle, hosting provajder mora voditi evidenciju o obradi za svakog klijenta.
Posebna obaveza obrađivača
U pogledu posebnih obaveza, pojedini obrađivači su dužni da imenuju lice za zaštitu podataka o ličnosti.
Naime, ovu obavezu imaju organi vlasti u svim situacijama. Za druge obrađivače, kao što su pravna lica (i hipotetički, fizička) ova obaveza postoji kada se aktivnosti sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama, zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose, ili u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
Isto važi i za internet servis provajdere, budući da je reč o osnovnim aktivnostima obrađivača koje uglavnom podrazumevaju redovan i sistemski nadzor velikog broja lica, pa mora da se imenuje lice za zaštitu podataka o ličnosti i o tome obavesti Poverenik.
Posledice nepoštovanja zakona
Zakon o zaštiti podataka o ličnosti propisuje brojne kažnjive situacije koje se odnose istovremeno na rukovaoca i obrađivača. Međutim, pojedine obaveze nisu primenjive na obrađivače, kao što je, na primer, postupanje po zahtevima lica na koje se odnose podaci. Obrađivač ne postupa po zahtevima pojedinaca iz logičnog razloga – njegov odnos ne tiče se svrhe obrade podataka, već ugovornog odnosa sa rukovaocem.
Po pravilu, obrađivač postupa po nalogu rukovaoca. U slučaju da mimo naloga obrađivač koristi podatke za neku drugu, svoju svrhu, on postaje rukovalac podacima, i to nezakoniti rukovalac koji nema pravni osnov za obradu podataka, pa je ova obrada nezakonita.
Na kraju, isto lice može biti i obrađivač podataka, kada je reč o uslugama koje pruža drugima, i rukovalac podacima u odnosu na podatke koji su neophodni za njegov rad. Hosting provajderi su pravi primer takvog spoja i stoga je važno da se obaveze koje imaju kao rukovaoci jasno odvoje od onih koje imaju kao obrađivači.
Zaključak
Ako se vratimo na početnu rečenicu, nema posla bez obrade podataka, a zakoni nameću brojne obaveze. Kako je obrada podataka ujedno i (dobar) biznis, onda adekvatna priprema i posebna briga o podacima može da bude prednost na tržištu. Uz sve veći broj pojedinaca koji privatnost smatraju važnom, izraženiju svest društva i očekivanja da se zakoni poštuju, nije iznenađujuće da se usluga više ne vrednuje samo kroz cenu. Stoga, spremnost nekog obrađivača da odgovori na nove zahteve zakonodavca uz promovisanje društveno odgovornog poslovanja svakako je značajan pri izboru poslovnog partnera.