Савремени начин пословања, неизбежне информационе технологије, као и услови рада током пандемије сада већ несумњиво указују на то да су подаци о личности: a) свеприсутни у сваком раду, и б) бизнис за многе.
Још од усвајања Опште уредбе о заштити података о личности (ГДПР), а потом и Закона о заштити података о личности, пажња је усмерена готово искључиво на руковаоце подацима, њихове обавезе и могуће казне. Овај текст посвећујемо онима који помажу руковаоцу да буде усаглашен са Законом – бројним обрађивачима.
Наиме, редак је онај руковалац који све радње обраде података може да подведе под непосредан надзор. За многе послове – исплате зарада и друге рачуноводствене услуге, обезбеђивање простора и лица – неретко је одлука компаније да их повери неком другом, односно, према терминологији заштите података о личности, обрађивачу. За поједине специфичне послове ангажовање обрађивача није предмет избора, већ без њих рад није могућ.
За онлајн пословање, регистрацију назива домена или хостинг сајтова, интернет сервис провајдери, који уједно нуде и услуге складиштења података, jeсу неизбежни. Тако и сваки овлашћени регистар РНИДС-а који нуди и услуге хостовања за своје клијенте јесте и обрађивач података.
Кад је реч о односу обрађивача са подацима о личности, као и лицима на којa се подаци односе, за разлику од руковаоца, обрађивач нема директан однос ни према сврси, односно циљу обраде података, ни према појединцу. За њега, обрада података је посао за себе и донекле независна од природе података. Докле год поступа у складу са законима и на праву заснованим захтевима налогодавца, обрађивачу није од пресудног значаја да ли обрађује податке о димензијама објеката или податке који се односе на физичка лица. То, наравно, не значи да никаква одговорност не постоји.
Према Закону о заштити података о личности, обавезе обрађивача могу бити опште, присутне код свих обрађивача независно од обима података који се обрађују или њихове природе, и посебне.
Опште обавезе обрађивача
Основна обавеза обрађивача је уређен однос са руковаоцем.
Обрађивач мора бити одређен законом или, што је углавном случај, уговором са руковаоцем. У нашој пракси, ретки су случајеви одређивања обрађивача законом.
Иако је постојање уговора превасходно обавеза руковаоца, будући да он сноси одговорност за целокупну обраду података, ни обрађивач не сме да прими податке без адекватног уговора.
Сама садржина уговора руковаоца и обрађивача у великој мери уређена је Законом о заштити података о личности (чл. 45).
Повереник за информације од јавног значаја и заштиту података о личности донео је Одлуку о утврђивању стандардних уговорних клаузула, које могу послужити као модел уговора између руковаоца и обрађивача. Иначе, ове стандардне уговорне клаузуле су значајне за све руковаоце који имају намеру да обраду података повере неком лицу ван територије Србије.
У случају да се не користи овај модел уговора, укратко, неопходно је да уговор садржи одредбе које ће (редослед не прати одредбе Закона):
- прописати обавезу обрађивача да може да обрађује податке само на основу писаних упутстава руковаоца, укључујући и упутство у односу на преношење података о личности у друге државе или међународне организације;
- прецизирати да су се физичка лица која су овлашћена да обрађују податке у име обрађивача обавезала на чување поверљивости података или подлежу законској обавези чувања поверљивости података;
- обавезати обрађивача да предузме све потребне мере у погледу безбедности обраде, као и да помаже руковаоцу у случају повреде података и обавештавања Повереника о повреди;
- обавезати обрађивача да помаже руковаоцу у испуњавању његових обавеза у односу на захтеве за остваривање права лица на које се подаци односе;
- ограничити обрађивача у случају поверавања обраде неком другом обрађивачу;
- уредити обавезу да, након окончања уговорених радњи обраде, избрише или врати руковаоцу све податке о личности и избрише све копије ових података;
- уговорити обавезу да је обрађивач дужан да руковаоцу учини доступне све информације које су неопходне за предочавање испуњености обавеза обрађивача, као и могуће контроле његовог рада.
Друга општа обавеза јесте вођење евиденције о свим врстама радњи обраде које се врше у име руковаоца. Дакле, реч је о документацији коју обрађивач припрема и чува као своју, за сваког руковаоца понаособ, и може бити предмет контроле Повереника као надзорног органа.
Евиденција садржи информације о руковаоцу, врсти обраде које се врше у име сваког од њих, преносу података у друге државе или међународне организације, као и општем опису мера заштите података.
Дакле, хостинг провајдер мора водити евиденцију о обради за сваког клијента.
Посебна обавеза обрађивача
У погледу посебних обавеза, поједини обрађивачи су дужни да именују лице за заштиту података о личности.
Наиме, ову обавезу имају органи власти у свим ситуацијама. За друге обрађиваче, као што су правна лица (и хипотетички, физичка) ова обавеза постоји када се активности састоје у радњама обраде које по својој природи, обиму, односно сврхама, захтевају редован и систематски надзор великог броја лица на које се подаци односе, или у обради посебних врста података о личности или података о личности у вези са кривичним пресудама и кажњивим делима, у великом обиму.
Исто важи и за интернет сервис провајдере, будући да је реч о основним активностима обрађивача које углавном подразумевају редован и системски надзор великог броја лица, па мора да се именује лице за заштиту података о личности и о томе обавести Повереник.
Последице непоштовања закона
Закон о заштити података о личности прописује бројне кажњиве ситуације које се односе истовремено на руковаоца и обрађивача. Међутим, поједине обавезе нису примењиве на обрађиваче, као што је, на пример, поступање по захтевима лица на које се односе подаци. Обрађивач не поступа по захтевима појединаца из логичног разлога – његов однос не тиче се сврхе обраде података, већ уговорног односа са руковаоцем.
По правилу, обрађивач поступа по налогу руковаоца. У случају да мимо налога обрађивач користи податке за неку другу, своју сврху, он постаје руковалац подацима, и то незаконити руковалац који нема правни основ за обраду података, па је ова обрада незаконита.
На крају, исто лице може бити и обрађивач података, када је реч о услугама које пружа другима, и руковалац подацима у односу на податке који су неопходни за његов рад. Хостинг провајдери су прави пример таквог споја и стога је важно да се обавезе које имају као руковаоци јасно одвоје од оних које имају као обрађивачи.
Закључак
Ако се вратимо на почетну реченицу, нема посла без обраде података, а закони намећу бројне обавезе. Како је обрада података уједно и (добар) бизнис, онда адекватна припрема и посебна брига о подацима може да буде предност на тржишту. Уз све већи број појединаца који приватност сматрају важном, израженију свест друштва и очекивања да се закони поштују, није изненађујуће да се услуга више не вреднује само кроз цену. Стога, спремност неког обрађивача да одговори на нове захтеве законодавца уз промовисање друштвено одговорног пословања свакако је значајан при избору пословног партнера.