Novi Zakon o zaštiti podataka o ličnosti počeo je da se primenjuje od 22. avgusta, a mnogim je i dalje nepoznanica kako tačno novine u zakonu utiču na trgovce, kupce ali marketare odnosno koje promene donose.
Opšta uredba o zaštiti podataka, odnosno GDPR stupio je na snagu 21. maja 2018. godine u zemljama EU nakon što je državama članicama kao i kompanijama dat rok od dve godine da se usaglase sa odredbama istog.
Pa da počnemo…
Nov Zakon o zaštiti podataka ličnosti
Nedavno je počeo da se primenjuje nov Zakon o zaštiti podataka ličnosti. Istraživali smo koje su novine vezane za prikupljanje i obrađivanje ličnih podataka u odnosu na prethodni Zakon o zaštiti podataka ličnosti.
Što se tiče novog Zakona, veći broj odredbi Zakona o zaštiti podataka ličnosti nije promenjen, već je nov Zakon usklađen sa odredbama GDPR-a ( General Data Protection Regulation ).
Novina je što se zakon sada primenjuje na online trgovinu i odnosi na regulisanje automatizovane obrade podataka. Zakon prepoznaje nova zanimanja kao što je DPO (Data protection officer) iliti lice za zaštitu podataka o ličnosti koje je u firmi zaduženo da upravlja podacima o ličnosti i sve usklađuje sa GDPR-om.
Uvedena su nova prava, kao što je pravo na prenosivost podataka, koje daje mogućnost građanima da prenose svoje podatke sa jedne društvene mreže na drugu društvenu mrežu.
Još jedna novina je obaveza obaveštavanja lica na koja se podaci odnose i Poverenika ukoliko dođe do povrede podataka o ličnosti kao što je „curenje“ podataka.
Zakon predviđa nove obaveze za sve koji obrađuju podatke o ličnosti građana, bilo da su iz javnog ili privatnog sektora.
Od svih online prodavnica očekuje se da će imati dosta posla oko usklađivanja sa novim pravilima koje nov Zakon propisuje.
Za kršenje pravila GDPR-a pravna lica u Srbiji mogu da plate novčanu kaznu od 50.000 dinara do 2.000.000 dinara.
Najviša kazna koju srpski online trgovci mogu da plate je 2 miliona dinara što je dosta niža kazna u odnosu na kazne koje plaćaju firme unutar EU.
Interesantno je to da je prvu kaznu zbog kršenja GDPR-a platila Unicredit banka u Rumuniji. Banka je platila kaznu od 130.000 evra nakon što je Nacionalno nadzorno telo istražilo da je došlo do kršenja u korišćenju ličnih podataka.
Nov Zakon o zaštiti podataka ličnosti koji uključuje GDPR ima za cilj da građani budu obavešteni o tome ko i zašto uzima njihove podatke.
Po novom Zakonu više se neće potpisivati blanko saglasnost kao ni komplikovane i nerazumljive politike privatnosti.
GDRP je jedan od prvih propisa koji reguliše prikupljanje podataka o ličnosti na interentu.
Novim Zakonom nije obuhvaćeno obrađivanje podataka o ličnosti koje vrši fizičko lice za svoje lične potrebe ili potrebe domaćinstva.
Tako na primer, ako imate brojeve telefona svojih prijatelja ne snosite nikavu zakonsku odgovornost, ali ako te brojeve telefona koristite u marketinške svrhe bez pristanka vaših prijatelja pravite prekršaj.
Nov Zakon o zaštiti podataka ličnosti, možete pročitati OVDE.
Termini koje treba da znaju trgovci, marketari i kupci
Rukovalac podacima
Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti. U praksi to znači da, u odnosu na podatke o ličnosti koje obrađuje, rukovalac ima sveobuhvatnu kontrolu jer on odlučuje da počne prikupljanje i obradu podataka, te utvrđuje pravni osnov za takvu obradu, odnosno zašto i kako se takvi podaci o ličnosti obrađuju.
Obrađivač podataka
Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca. To znači da obrađivač ne određuje svrhu i sredstva za obradu ličnih podataka i predstavlja odvojeno pravno lice od rukovaoca. Obično je to organizacija sa posebnim znanjima i veštinama koju rukovalac angažuje kako bi izvršila obradu podataka o ličnosti (knjigovodstvene agencije, marketing i HR agencije, služba obezbeđenja…).
Načela obrade podataka
I rukovalac i obrađivač su u obavezi da obrađuju podatke o ličnosti u skladu sa načelima obrade, ali će samo rukovalac imati obavezu da demonstrira usklađenost sa načelima obrade, što ne znači da obrađivač ne mora da se pridržava ovih načela.
Lice za zaštitu podataka ličnosti (DPO)
Ovlašćeno lice za zaštitu podataka ili „Data protekšn ofiser“ (DPO) je lice koje je u kompaniji imenovano da rukovodi podacima o ličnosti u pogledu kreiranja strategija za zaštitu podataka o ličnosti i praćenju njihovih usklađenosti sa GDPR regulativom.
Prenos podataka van Srbije
U slučaju iznošenja podataka o ličnosti iz Srbije, i rukovalac i obrađivač imaju obavezu da ispune brojne uslove koje ZZPL pred njih postavlja. Takođe, i rukovalac i obrađivač sarađuju sa poverenikom na ispunjavanju svojih zakonskih obaveza, te su dužni da se povinuju zahtevima poverenika u ovom smislu.
Pravo na zaborav podataka
Jedna od novina je i koje se postojeće pravo na brisanje podataka prilagođava stvarnosti interneta u kojima se naši podaci konstantno objavljuju i dele. Slično je i sa pravom na prenosivost podataka (data portability) koje podrazumeva da će kompanije koje se bave analitikom ličnih podataka svojim korisnicima na zahtev morati da dostave sve podatke o njima u mašinski čitljivom formatu, kako bi ti podaci mogli da se koriste i za druge usluge.
Šta kompanije treba da znaju i sprovode
GDPR navodi nekoliko načela koja se odnose na obradu podataka o ličnosti i njih menadžment u kompanijama treba da ima na umu prilikom svake planirane obrade podataka jer predstavljaju ključni deo ZZPL / GDPR, čije kršenje povlači drakonske kazne.
Načela zaštite podatak o ličnosti
ZAKONISTOST, PRAVIČNOST, TRANSPARENTNOST – podaci se ne smeju obrađivati na drugi način osim na jasnoj i valjanoj zakonskoj osnovi, na pošten i prema licu transparentan način.
OGRANIČENOST SVRHOM – Obavezno je navođenje svih svrha obrade u koje se podaci prikupljaju.
MINIMIZACIJA – Smeju se prikupljati samo podaci koji su relevantni i potrebni za ispunjavanje svrhe u koju se obrađuju.
TAČNOST – Podaci trebaju biti ažurni i tačni.
OGRANIČENJE ČUVANJA – Podaci se ne smeju čuvati duže od perioda neophodnog za ispunjavanje svrhe zbog koje su prikupljeni.
INTEGRITET I POVERLJIVOST – Lični podaci se moraju čuvati i zaštititi od nezakonite i nedozvoljene obrade, slučajnog gubitka, uništenja ili oticanja.
Šta spada u podatke o ličnosti?
Podaci o ličnosti su ime, prezime, adresa, JMBG, broj telefona, broj računa u banci kao i svaki drugi podatak koji pruža informacije kojim se osoba može identifikovati.
Treba znati da je i naš potpis lični podatak, kao i naša IP adresa.
Zakon kaže: Podaci o ličnosti moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade („minimizacija podataka“).
Ako imate online shop da bi se izvršila porudžbina, kupac mora da unese lične podatke, a to su ime, prezime, adresa i telefon. Minimizacija podataka će biti prekršena ako pored ovih bitnih podataka koji su vam potrebni za isporuku robe u formular koji kupac popunjava unesete JMBG i pol kao obavezna polja koja treba popuniti.
Zakon o zaštiti podataka ličnosti zajedno sa Zakonom o slobodnom pristupu informacijama se primenjuje na obradu podataka o ličnosti.
Ni jedan zakon ne daje pravo online trgovcima da od kupaca uzimaju JMBG.
Ako online trgovci traže JMBG i druge lične podatke, treba da jasno objasne za koju svrhu prikupljaju lične podatke. Ukoliko date pristanak, ne možete da se žalite, ali imate pravo da ne date pristanak ili ako vas zbog toga uslovljavaju, žalite se udruženju potrošača.
Ukoliko online trgovci kažu da je unos JMBG-a bitan zbog reklamacije ili zamene robe, to nije tačno. Za reklamaciju ili zamenu robe je dovoljan račun.
Najčešči razlog zbog koga online trgovci traže vaš jmbg je zbog postojanja starog naloga za ispravku koji između ostalog obuhvata podatak o JMBG-u.
Novina u Zakonu se odnosi na brisanje podataka na internetu gde se naši podaci konstantno objavljuju i dele. Kompanije koje se bave analitikom ličnih podataka će morati svojim korisnicima da dostave sve podatke o njima u čitljivom formatu kako bi ti podaci mogli uz pristanak korsnika da se koriste u druge svrhe.
Podaci treba da budu ažurni i tačni i ne smeju se čuvati duže od perioda koji je neophodan za ispunjavanje svrhe zbog kojih su prikupljeni.
Obavezno je navođenje svih svrha obrade ličnih podataka zbog kojih se lični podaci prikupljaju.
Zaključak
Online trgovci nemaju pravo za svaku sitnicu da traže dodatne podatke o ličnosti osim neophodnih za realizaciju prodaju. Jedino prilikom popunjavanja naloga za povraćaj novca online trgovic moraju u skladu sa zakonom tražiti JMBG jer je to tražena procedura.
U ministrarstvu finansija kažu da razmatraju uvođenje novih naloga za ispravku bez popunjavanja jmbg-a.
JMBG je lični podatak koji ne treba svuda ostavljati.
U primeni je od nedavno nov Zakon o elektronskoj trgovini. Pisali smo o tome kako nov Zakon o elektronskoj trgovini utiče na internet prodavnice, a više o tome možete pročitati OVDE.
Do sledećeg čitanja, pozdrav!
Ostavite odgovor