GDPR – bolja zaštita podataka zaposlenih i kandidata za posao

9.12.2019.

Nekoliko meseci od kako je u primeni novi Zakon o zaštiti podataka o ličnosti bilo je dovoljno da i poslodavci i kandidati za posao shvate šta se, prema novim pravilima, sme a šta ne. Evo malog pregleda, kako sada izgleda odnos zaposleni – poslodavac, u svetlu prikupljanja i obrade podataka.

Da krenemo iz početka. Šta su zapravo podaci o kojima pričamo? To su svi oni podaci koji se odnose na građane, počev od imena i prezimena, ličnog broja (JMBG), adrese, mejl adrese itd. A Zakon je tu kao mehanizam koji će smanjiti mogućnost zloupotrebe podataka o ličnosti.

Za početak u novom zakonu je, recimo, definisana uloga osobe za zaštitu podataka o ličnosti, uvedena je analiza rizika pre nego što se počne sa obradom i novo uređenje prenosa podataka van granica zemlje. To znači da direktor ili rukovodilac, moraju da omoguće obradu tih podataka u skladu sa zakonom, a osoba koja obrađuje podatke mora to da radi isključivo prema pismenim uputstvima i poštujući mere zaštite podataka i princip poverljivosti.

Jedna od važnijih novina je upravo ta da je uvedeno lice za zaštitu podataka o ličnosti. Reč je o osobi koja će se brinuti o zaštiti podataka i koja će u kompaniji ili državnom organu pratiti obradu podataka i komunicirati sa poverenikom kao i korisnicima. Kompanije su dužne da odrede posebnu osobu koja će se baviti zaštitom podataka, koja će davati stručno mišljenje o zaštiti podataka i koja će se brinuti o usklađenosti sa zakonom, posebno imajući u vidu da je u nekim slučajevima linija veoma tanka između zakonitog i nezakonitog postupanja.

Video nadzor – šta se menja?

Pored toga što zakon tretira pretragu i zaštitu podataka, odnosi se i na način na koji se koristi video nadzor. Video nadzor danas koriste brojne kompanije, institucije, ima ga u javnom prevozu... Sa druge strane, važno je kako se nadzor koristi. Za početak, nova pravila su takva da ne možete legalno snimati zaposlene bez njihovog znanja. Dakle, ako imate video nadzor, zaposleni moraju da budu o tome obavešteni. Podrazumeva se da video nadzor ne može biti postavljen u prostorijama poput toaleta, a nema potrebe ni da se postavlja u kancelarijama.

Pravo na brisanje

Ukoliko ste prikupljali podatke o ličnosti kroz konkurs za posao, morate kao poslodavac da imate na umu da je “dozvoljeno” da čuvate te podatke samo dok to ima smisla za konkurs za koji su dati. Recimo, ako kandidat više ne traži posao, ima pravo da traži da se njegovi podaci ne koriste i da se brišu iz evidencije.

Još noviteta

Zakonom su propisani novi uslovi za pristanak na obradu podataka građana. Tako se više ne mogu obrađivati prikupljeni podaci osim po osnovu po kome je građanin dao pristanak na obradu.

Novim zakonom proširene su nadležnosti i obaveze povernika. Novina je i to što je ukinuta obaveza da kompanije obaveste poverenika ukoliko žele da obrađuju podatke o ličnosti. Upućeni kažu da je to bio najvažniji kontrolni mehanizam i jedini način preventivne kontrole, ali da je usporavao poslovanje privrede. Sa druge strane, u slučaju povrede podataka o ličnosti, neophodno je obavestiti poverenika u roku od 72 sata da bi mogao da preduzme odgovarajuće korake. Novim zakonom su, inače, predviđene visoke kazne za zloupotrebu ličnih podataka. Za firme koje posluju u Srbiji, a koje budu na nepropisan način skupljale i čuvale lične podatke, maksimalna kazna je dva miliona dinara.

Prekršajni sud može da kazni obrađivača podataka novčanom kaznom u rasponu od 50.000 do 2.000.000 dinara. Ukoliko se ustanovi da je obrađivač istovremeno učinio više povreda, može biti kažnjen novčanom kaznom do najviše 4.000.000 dinara.

Kako stvari stoje, fizičkom licu, koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova, može biti izrečena novčana kazna od 5.000 do 150.000 dinara.

Ništa od odlaganja

Zakon o zaštiti podataka o ličnosti usvojen je početkom novembra prošle godine, a i pored negodovanja pre svega Poverenika za informacije od javnog značaja i zaštitu odataka o ličnosti da njegovu primenu treba odložiti - do toga nije došlo.

Novi zakon je počeo da se primenjuje devet meseci nakon usvajanja, sredinom avgusta ove godine. Upozorenje poverenika da mnogi, kako organi vlasti, tako i privredni subjekti, na koje se taj dokument odnosi nisu spremni za početak njegove primene nisu uzeti u obzir.

Inače, cilj donošenja zakona bio je usklađivanje srpskog zakonodavstva sa regulativom Evropske unije, odnosno sa Opštom uredbom o zaštiti podataka (General Data Protection Regulation - GDPR). Novi zakon u najvećoj meri predstavlja prevedenu i adaptiranu GDPR regulativu, čime su načela te uredbe uvedena i kod nas.

Na koga se sve odnosi zakon?

Da se usklade sa obavezama po novom zakonu imaju organi vlasti, velika privredna društva, srednja i mala preduzeća i preduzetnici. Zato se može reći da skoro niko nije izuzet od te obaveze.

Zakon dotiče sve segmente poslovanja privrednih subjekata. Podatke o ličnosti obrađuju gotovo sve kompanije koje treba ozbiljno da shvate primenu novog zakona. I dok, kako kažu upućeni, kod mnogih postoji svest o važnosti usklađivanja, ipak je veći broj onih koji još uvek nisu preduzeli nikakve mere.

Kompanije koje imaju svest i koje su preduzele mere su uglavnom ćerke firme kompanija iz EU gde je GDPR stupio na snagu i već se izriču visoke kazne za njegovo nepoštovanje.

Upućeni smatraju i da preduzeća i državni organi koji su bili usklađeni sa prethodnim zakonom neće sada imati problema sa usklađivanjem.

Ipak, upozoravaju da se mnoge kompanije još nisu usaglasile ni sa starim pravnim okvirom.

GDPR je regulativa koja se u Evropskoj uniji primenjuje od maja 2018. godine. Ona donosi nova, strožija pravila i propise o zaštiti podataka o ličnosti stanovnika EU.

Kada je reč o kaznama, kompanije na koje se primenjuje GDPR, a koje povrede podatke o ličnosti suočavaju se sa velikim kaznama.

Te kazne dosežu do 4 odsto od njihovog svetskog godišnjeg prihoda ostvarenog u prethodnoj finansijskoj godini ili do 20 miliona evra.