Šta preduzeća u Srbiji treba da znaju? Koji su to osetljivi lični podaci i šta nam nalaže zakon?

Postoje određene vrste podataka koje Opšta uredba o zaštiti podataka (GDPR), a u Srbiji Zakon o zaštiti podataka o ličnosti (ZZPL) smatra osetljivim ličnim podacima i zbog toga ih kvalifikuje kao posebnu kategoriju ličnih podataka. Rukovalac – Privredno društvo mora biti upoznato sa svojim obavezama, ne samo da ispunjava traženu formu – slovo na papiru, već izgradnju sistema korporativne bezbednosti, gde su podaci i upravljanje podacima krucijalna kategorija na kojoj se i bazira poslovanje. Jedino tako se istinski gradi poverenje, beleži ekspanzija biznisa, jača kredibilitet, jer je upravo bezbednosna funkcija temelj prosperiteta.

391
Šta preduzeća u Srbiji treba da znaju? Koji su to osetljivi lični podaci i šta nam nalaže zakon?

Koje su posebne kategorije ličnih podataka?

ZZPL/GDPR jasno određuje koji se to podaci svrstavaju u posebnu kategoriju podataka:

  • podaci koji se odnose na rasno ili etničko poreklo
  • politička mišljenja
  • religijska ili filozofska uverenja
  • članstvo u sindikatu
  • genetski podaci
  • biometrijski podaci u svrhu jedinstvene identifikacije fizičke osobe
  • podaci o zdravlju
  • podaci o seksualnom životu ili seksualnoj orijentaciji pojedinca

Obrada gore navedenih vrsta podataka zabranjena je Zakonom /GDPR-om. Naravno, postoje određena izuzeća o kojima će biti reči u daljem tekstu!

Kada je dozvoljena obrada osetljivih ličnih podataka ?

Postoje određeni izuzeci od zabrane obrade pomenutih podataka i moguće je obrađivati ih pod posebnim merama zaštite propisanih Zakonom, kako bi se ostvarila funkcija zaštite ličnih podataka i zaštitila osnovna prava i slobode ljudi:

  • u oblasti radnog prava,
  • zakon o socijalnoj zaštiti (uključujući penzije)
  • razlozi zdravstvene sigurnosti,
  • zaštita vitalnog interesa subjekta podataka
  • javno zdravlje i upravljanje zdravstvenim uslugama
  • u kontekstu pravne tužbe
  • arhiviranje, istraživanje i statistika (ako je to dozvoljeno zakonom)
  • opšti interes

Dakle, neophodno je da odstupanje od zabrane obrade posebnih kategorija ličnih podataka bude predviđeno zakonom i kada shodno tome podleže bezbednosnim merama obrade kojima se štiti privatnost. U kontekstu sa tim, osetljivi lični podaci mogu se obrađivati ako postoje sledeći propisani  uslovi:

  1. Izričiti pristanak

Obrada osetljivih ličnih podataka je moguća jedino ako je nosilac podataka dao izričitu saglasnost za obradu tih podataka. Pojedinac može dati izričitu saglasnost u jednu ili više određenih svrha, osim kada se zakonski propiše da subjekt podataka ne može ukinuti zabranu obrade.

  1. Zapošljavanje, socijalna sigurnost i socijalna zaštita

Ako je obrada osetljivih podataka dozvoljena zakonom i neophodna za ostvarivanje prava Rukovaoca  podataka ili subjekta podataka Ili ako je to neophodno za izvršavanje obaveza u vezi sa zakonom o zapošljavanju, socijalnoj socijalnoj zaštiti. U svim slučajevima moraju biti prisutne odgovarajuće zaštitne mere za zaštitu osnovnih prava i interesa subjekta podataka.

  1. Vitalni interesi

Osetljivi podaci mogu se obrađivati ako je ključno zaštititi vitalne interese nosioca podataka ili drugog pojedinca, a subjekat podataka fizički ili pravno nije u stanju da da saglasnost.

  1. Neprofitna tela

Ako obradu sprovodi odgovarajuća bezbednosna fondacija, udruženje ili neko drugo neprofitno telo sa političkim, filozofskim, verskim ili sindikalnim ciljem. Pod uslovom da se obrada odnosi samo na članove, bivše članove ili pojedince koji imaju redovan kontakt sa njom u vezi sa njenom svrhom. Neprofitno telo mora da osigura da se lični podaci ne otkrivaju van tog tela bez odgovarajuće saglasnosti subjekata podataka.

  1. Javno objavljeno od strane subjekta podataka

Dozvoljeno je obrađivati osetljive lične podatke subjekta podataka ako je subjekt podataka već učinio podatke javnim i dostupnim

  1. Pravni zahtevi ili sudski akti

Obrada podataka je neophodna za uspostavljanje, vršenje ili odbranu pravnih zahteva ili kad god sudovi deluju u svom sudskom svojstvu. Bilo u sudskom postupku ili u upravnom ili vanparničnom postupku.

  1. Javni interes

Obrada osetljivih podataka dozvoljena je ako je u pitanju vitalni  javni interes. Međutim, obrada treba da bude dozvoljena zakonom i srazmerna cilju kome se teži. Obrada bi takođe trebalo da se sprovodi u pogledu prava na zaštitu podataka i da obezbedi zaštitne mere za osnovna prava i interese subjekta podataka;

  1. Zdravstvena ili socijalna zaštita

Obrada je neophodna u svrhu preventivne medicine ili medicine rada, za procenu:

  • radne sposobnosti zaposlenog,
  • medicinske dijagnoza,
  • pružanje zdravstvene i socijalne zaštite
  • pružanje zdravstvenog tretmana
  • upravljanje zdravljem
  • upravljanje sistemima i uslugama socijalne zaštite

Ova obrada mora biti dozvoljena zakonom  ili u skladu sa ugovorom sa zdravstvenim radnikom. Treba obezbediti dodatne zaštitne mere za zaštitu osetljivih podataka.

GDPR takođe navodi da države koje su implementirale isti mogu dodati specifične uslove i ograničenja za genetske, biometrijske ili zdravstvene podatke.

  1. Javno zdravlje

Obrada osetljivih podataka usmerena je na prevenciju ili kontrolu zaraznih bolesti i drugih pretnji po zdravlje. Ova vrsta obrade usmerena je na prekogranične pretnje po zdravlje i obezbeđivanje visokih standarda bezbednosti zdravstvene zaštite, lekova ili medicinskih sredstava.

Obrada u ime javnog zdravlja mora se zasnivati na zakonu sa odgovarajućim merama i zaštitnim merama za zaštitu prava i sloboda subjekta podataka, posebno profesionalne tajne.

  1. Arhiviranje, istraživanje i statistika

Obrada se vrši za:

  • svrhe arhiviranja u javnom interesu,
  • naučna ili istorijska istraživanja
  • statističke svrhe

Obrada mora biti srazmerna cilju koji se želi postići, i uz posebne mere za zaštitu osnovnih prava,  sloboda i interesa lica na koga se podaci odnose.

Koja je razlika između ličnih podataka i osetljivih ličnih podataka?

Ne smatra se svaki podatak ličnim podatkom. ZZPL/ GDPR nudi definiciju onoga što se kvalifikuje kao lični podatak. Shodno tome : „lični podaci su podaci koji se odnose na identifikovano ili utvrdivo fizičko lice.“ To znači da ti ( lični ) podaci omogućavaju identifikaciju subjekta podataka direktno ili indirektno, imenom, identifikacionim brojem, podacima o lokaciji, mrežnim identifikatorom ili fizičkim, fiziološkim, genetskim, mentalnim, ekonomskim, kulturnim ili socijalnim identitetom tog fizičkog lica. Termin se široko koristi i može sadržavati manje specifične informacije, poput IP adrese.

Razlika između ličnih podataka i osetljivih ličnih podataka je u tome što obrada osetljivih ličnih podataka zahteva dodatnu zaštitu koju daje GDPR (koja je predviđena regulativom), jer obrada tih vrsta podataka može da uključuje ozbiljne i neprihvatljive rizike za osnovna ljudska prava i slobode.

Napomena za Rukovaoca i Obrađivača: primenjuju se različita pravila prilikom obrade posebnih kategorija podataka.

Države, čiji se tretman podataka bazira na GDPR-u, mogu takođe da uvedu dodatne uslove, uključujući ograničenja, u pogledu obrade genetskih, biometrijskih ili zdravstvenih.U tom sluaju potrebno je pojasniti određene pojmove:

  1. PRIMER BIOMETRIJSKIH PODATAKA
  • prepoznavanje lica
  • otisci prstiju
  • prepoznavanje glasa
  • skeniranje šarenice
  • verifikacija dlana
  • prepoznavanje mrežnjače
biometrijski podaci

Jedna napomena, fotografije se smatraju biometrijskim podacima samo kada se obrađuju sa određenim sredstvima koja omogućavaju jedinstvenu identifikaciju subjekta podataka, uprkos činjenici da fotografija može otkriti nečiji rasni identitet ili druge osetljive informacije.

  1. PRIMER ZDRAVSTVENIH PODATAKA
  • informacije prikupljene tokom prijave ili registracije u zdravstvenoj ustanovi ili tokom prijave za lečenje
  • istorija bolesti pacijenta
  • informacije o bilo kojoj invalidnosti, bolesti, medicinskoj dijagnozi, medicinskom lečenju, lekarsko mišljenje
  • rezultati zdravstvenih testova, lekarski pregled
  • detalji sastanka
  • medicinske fakture iz kojih možete saznati detalje o zdravlju pojedinaca
  1. PRIMER GENETSKIH PODATAKA
  • hromozomska analiza
  • analiza deoksiribonukleinske kiseline (DNK)
  • analiza ribonukleinske kiseline (RNK)

Zahtevi za obradu ličnih podataka

Postoje određeni principi, preduslovi i koraci koje treba preduzeti pre obrade bilo koje vrste ličnih podataka, a ovo je primenljivo kada se obrađuje gorena vedena posebna kategorija ličnih podataka:

  • lični podaci moraju se obrađivati zakonito, pošteno i transparentno
  • podaci se moraju prikupljati za određenu svrhu
  • obrada mora biti odgovarajuća, ograničena i relevantna (princip minimiziranja podataka)
  • podaci moraju biti što precizniji i ažurirani
  • podatke treba čuvati u obliku koji omogućava identifikaciju subjekata podataka onoliko dugo koliko je potrebno (ograničenje skladištenja, anonimizacija, pseudonimizacija)
  • Sprovesti odgovarajuće kadrovske, tehničke i organizacione mere zaštite podataka

Koraci koje treba preduzeti prilikom obrade posebne kategorije podataka

  1. Prilikom obrade osetljivih ličnih podataka, neophodno je osigurati da ne postoji drugi način za postizanje željenog cilja koji bi bio manje nametljiv u ličnim podacima pojedinca.
  2. Da bi obrada bila zakonita, morate biti u skladu sa članom 5. i članom 12. Zakona o zaštiti podatka o ličnosti – Zakonitost obrade. Potrebno je da se utvrdi zakonska osnova za obradu ličnih podataka u konkretnom slučaju,a obrada mora biti rađena u skladu sa principima i zahtevima navedenom u članu 5.

3.Uslov je takođe da se utvrdi koji su to izuzeci osetljivih podataka  koji podležu obradi u konkretnom slučaju.

Ukoliko ne možete da pronađete odgovarajući izuzetak za svoje svrhe, tada nećete moći da obrađujete osetljive podatke.

  1. Međutim, ako ste utvrdili pravi izuzetak, ipak je nephodan stručan „back up“ specijalista za Zaštitu podataka o ličnosti. Ukoliko želite da budete sigurni u proces zakonskog usklađivanja i da niste u prekršaju po određenim pitanjima, obratite se stručnom timu koji reguliše ovu oblast kako biste ispunili dodatne uslove.
  2. Sledeći korak biće procena da li treba da popunite procenu uticaja na zaštitu podataka (DPIA) za bilo koju vrstu obrade za koju postoji verovatnoća da predstavlja visok rizik. Sprovođenje DPIA je važan aspekt obaveza organizacije prema Zakonu o zaštiti podataka o ličnosti / GDPR.
  3. Dokumentujte ceo postupak, ažurirajte obaveštenje o privatnosti, uključujući sve relevantne informacije u vezi sa obradom podataka posebne kategorije.
  4. Obrada posebnih kategorija podataka može podrazumevati i druge obaveze, poput imenovanja DPO-a, sprovođenja DPIA-e, poštovanja odredbi koje se tiču automatizovanog pojedinačnog donošenja odluka, uključujući profilisanje, i primene odgovarajućih mera za zaštitu prava i sloboda nosioca podataka i legitimni interesi.
  5. Takođe treba dodatno proveriti da li postoje dodatna ograničenja u vezi sa obradom genetskih podataka, biometrijskih podataka ili podataka koji se tiču zdravlja.

Rukovalac – Privredno društvo mora biti upoznato sa svojim obavezama, ne samo da ispunjava traženu formu – slovo na papiru, već izgradnju sistema korporativne bezbednosti, gde su podaci i upravljanje podacima krucijalna kategorija na kojoj se bazira preko 90% poslovanja. Jedino tako se istinski gradi poverenje, beleži ekspanzija biznisa, jača kredibilitet jer je upravo bezbednosna funkcija temelj prosperiteta.