Inspekcija zaštite podataka o ličnosti u Srbiji

Kontrolna lista Poverenika koja odlučuje da li rizikujete kaznu

Inspekcija zaštite podataka o ličnosti u Srbiji može delovati kao nešto što se dešava drugima – sve dok se ne dogodi Vama.

Naime, zamislite situaciju. Poslujete, posao cveta, sve Vam ide od ruke. Kad onda – na vrata Vam kuca inspekcija. Proveravaju da li ste obezbedili zaštitu podataka o ličnosti u okviru svojeg poslovanja. Da li znate šta Vam je činiti?

Na prvi pogled, sve deluje jako neodređeno. Definisanje podataka, određivanje zaštite, evidencija obrade… Deluje da Vam izmiče suština celog procesa.

Ipak, nije sve toliko apstraktno. Tokom sprovođenja inspekcije, koristi se jasno određena kontrolna lista, u kojoj svaki element ima unapred određenu bodovnu vrednost, i nema mesta proizvoljnoj oceni. Konačni rezultat bodova, nakon što se svaka stavka na bodovnoj listi prekontroliše, pokazuje nivo rizika koji Vaše poslovanje predstavlja za zaštitu podataka o ličnosti, a koji se može kretati od beznačajnog do kritičnog. Tako, kroz naizgled nejasan proces kontrole, inspekcija dolazi do veoma jasne ocene Vašeg poslovanja – a na Vama je da obezbedite da ova ocena bude pozitivna. Pitate se, verovatno, kako to da postignete? Sada ćemo Vam objasniti bitne korake koje treba da napravite.

Imate li osobu koja je odgovorna – ili se svi nadaju da neće biti kontrole?

Prvi, i možda najopipljiviji element Vašeg sistema zaštite podataka o ličnosti jeste određivanje osobe koja je odgovorna za ovaj deo Vašeg poslovanja. Zavisno od toga na koji način i koje podatke obrađujete, imenovanje lica za zaštitu podataka o ličnosti nije samo mogućnost, već može biti i obaveza za Vas.

Lice za zaštitu podataka o ličnosti morate imenovati ukoliko količina, način i obim rukovanja i/ili obrade zahtevaju sistematičan pristup i nadzor. Ovo će se proceniti u svakom konkretnom slučaju. Dodatno, ova obaveza je neizostavna ukoliko podaci kojima rukujete predstavljaju posebno osetljivu vrstu podataka (npr. rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje, seksualno opredeljenje i sl.)

Ukoliko morate da imenujete lice za zaštitu podataka o ličnosti, potrebno je da to lice ima odgovarajuće stručne kvalifikacije, odnosno da ima stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti. Način na koji ćete angažovati ovo lice ne mora biti radni odnos – podjednako je odgovarajuće obezbediti obavljanje ovog posla i na osnovu drugog ugovora. Međutim, neophodno je da bude potpuno jasno ko je lice koje ste imenovali za vršenje ove funkcije.

Jedan od načina na koji obezbeđujete ovu jasnoću u pogledu odgovornosti za zaštitu podataka o ličnosti jeste i objavljivanje kontakt podataka lica za zaštitu podataka o ličnosti, kao i dostavljanje ovih podataka Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.

Iako Vam može delovati kao formalnost, ispunjenje obaveze imenovana lica za zaštitu podataka o ličnosti za Poverenika je znak da zaštitu podataka o ličnosti shvatate ozbiljno i da imate izgrađen sistem zaštite i kontrole. Ukoliko ovu obavezu ipak ne ispunite, automatski gubite bodove tokom inspekcije, i povećavate svoj ukupni rezultat nivoa rizika koji Poverenik procenjuje za Vaš slučaj.

Naravno, moguće je da Vaše poslovanje ne stvara zakonsku obavezu imenovanja lica za zaštitu podataka o ličnosti kao zakonsku obavezu. U tom slučaju, imenovanje ovog lica može da dokaže posebno detaljan pristup u zaštiti podataka o ličnosti, što Vam može ići u prilog – ipak, odsustvo ovog lica sa sobom u tom slučaju ne nosi gubitak bodova.

Možete li dokazati da vodite evidencije – ili samo mislite da je sve u redu?

Pratite sva pravila. Sve podatke obrađujete tačno onako kako je zakonom predviđeno – ništa niste pogrešno uradili. Ipak, nije dovoljna reč, već i slovo na papiru – imate li kako da dokažete da postupate pravilno?

Kada poverenik počne da ispituje Vaše poslovanje, ne postoji apsolutna pretpostavka da postupate u skladu sa zakonom, već je neophodno da neke stvari i dokažete. Tome služe evidencije radnji obrade.

Praktično rečeno, morate beležiti podatke o svakoj obradi podataka koju vršite. Ova evidencija mora biti detaljna na način koji obezbeđuje da je u svakom trenutku jasno ko i šta obrađuje – transparentnost je Vaš najveći prijatelj i štit od nepotrebnog gubitka bodova prilikom kontrole. Morate odrediti ko obrađuje podatke (imena i kontakt podaci rukovalaca i lica za zaštitu podataka o ličnosti), vrstu lica čiji se podaci obrađuju, vrsti primalaca kojima se podaci otkrivaju (posebno primalaca u inostranstvu i međunarodnih organizacija), podatke o prenosu podataka u inostranstvo ili međunarodne organizacije, svrhu obrade i rok posle kojeg prikupljene podatke brišete. Ukoliko u Vašem procesu obrade postoji veći stepen rizika po podatke o ličnosti, potrebno je da evidentirate i mere bezbednosti koje preduzimate da taj rizik smanjite, poput pseudonimizacije i kriptozaštite podataka, redovnog testiranja mera bezbednosti i sl.

Evidentiranja obrade nije obavezno ukoliko imate manje od 250 zaposlenih, ali samo u slučajevima kada je Vaša obrada podataka povremena, ne stvara visok rizik o prava i slobode lica na koja se podaci odnose, niti obuhvata posebne vrste podataka za koje je neophodno imenovanje lica za zaštitu podataka o ličnosti (etnički, verski, i slični podaci, i informacije o krivičnim presudama, kažnjivim delima i merama bezbednosti).

Ako dođe do curenja podataka – znate li šta ste dužni da uradite?

Ko radi, taj i greši. Ili mu se makar dogodi poneka nezgoda. Izgubljen laptop, pogrešno poslat fajl, kompromitovan mejl nalog. Inspekcija poverenika nije nesvesna ove činjenice, i sistem ne izjednačava izolovane propuste sa sistemski visokim nivoom rizika. Svakome se može desiti da podaci „iscure“ – međutim, ono što čini razliku u očima Poverenika jeste šta učinite nakon ovakvog događaja.

Najjednostavnije rečeno – svaku povredu morate da dokumentujete. Bitno je da ubeležite način na koji je do povrede došlo, posledice koje su zbog toga nastale, kao i preduzete mere za otklanjanje povrede. Inspekcija želi da vidi da zaštitu podataka shvatate ozbiljno, i da imate sistem koji se stara o tome. Vaš bodovni rezultat ostaje neizmenjen ukoliko su povrede na odgovarajući način dokumentovane – u pogledu rezultata inspekcije, uz odgovarajuće mere koje preduzmete, naći ćete se u položaju jednakom tome da povreda nije ni bilo.

Pored obaveze evidentiranja povreda, moguće je da o istoj morate da obavestite i Poverenika direktno. Ovo nije slučaj kod svake povrede, već samo ukoliko je u pitanju povreda podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica (tu se pre svega misli na gore pomenute posebno osetljive podatke). Ukoliko se ovakva povreda dogodi, neophodno je da Poverenika obavestite u roku od 72 sata, uz opis povrede (uključujući i vrste i broj podataka, kao i broj lica, na koje se povreda odnosi), ime i kontakt podatke lica za zaštitu podataka o ličnosti (ili druge informacije o tome kako da Poverenik dobije dodatne podatke o povredi), opis mogućih posledica povrede i opis mera koje ste preduzeli, ili čije ste preduzimanje predložili, kako biste smanjili štetne posledice.

Ko sve zapravo ima pristup podacima vaših klijenata?

Poverenje u zaštitu podataka o ličnosti najlakše stvara transparentnost u Vašem procesu obrade. Jedno od osnovnih pitanja koje se u tom pogledu postavlja jeste ko zapravo obrađuje podatke.

Formalno, Vi ste rukovalac podacima koje obrađujete u okviru svog poslovanja. Međutim, kako to u praksi često biva, niste jedini koji dolaze u dodir sa podacima, već često neki deo posla rade drugi subjekti – računovođe, marketiške agencije, IT podrška, hosting… Svi ovi akteri su relevantni za jasno razumevanje toga kome je sve obezbeđen pristup podacima Vaših klijenata.

Naravno, sve je ovo u potpunosti legitimno i zakonito. Obrađivači podataka, koji obradu vrše u ime Vas kao rukovaoca, sastavni su deo biznis sveta, i sami po sebi ne moraju biti problem u procesu inspekcije. Međutim, kao i za brojne druge elemente procesa obrade podataka o ličnosti, bitno je kako regulišete situaciju.

Ponovo se vraćamo na činjenicu da je bitno imati dokaz – morate imati ugovor ili drugi pravno obavezujući akt. U ovom aktu, određujete pojedinosti obrade – njen predmet i trajanje, prirodu i svrhu, vrste podataka o ličnosti i lica čiji se podaci obrađuju, kao i prava i obaveze Vas kao rukovaoca.

Ipak, bitno je da znate da izmeštanje obrade podataka u ruke obrađivača ne oslobađa Vas od odgovornosti. Obrada podataka izvorno je Vaša nadležnost – ukoliko se odlučite da je prepustite nekome drugom, Vaš izbor je Vaša odgovornost.

Može se desiti i da zajednički određujete svrhu i način obrade podataka sa još jednim ili više rukovalaca. I u tom slučaju, bitno je da odgovornost svakog od rukovalaca uredite sporazumom, kojim ćete utvrditi i lice za kontakt sa licima na koje se podaci odnose, i način na koji svaki od rukovalaca komunicira sa klijentom.

Da li obrađujete osetljive podatke, a da toga niste ni svesni?

Već smo pominjali osetljive kategorije podataka – to su upravo oni podaci zbog čije obrade zakonski morate da odredite lice za zaštitu podataka o ličnosti. Dakle, govorimo o rasnom ili etičkom poreklu lica, političkom mišljenju, verskom ili filozofskom uverenju ili članstvu u sindikatu, genetskim podacima, biometrijskim podacima u cilju jedinstvene identifikacije lica, podacima o zdravstvenom stanju ili podacima o seksualnom životu ili seksualnoj orijentaciji lica, kao i podacima o krivičnim presudama i kažnjivim delima i merama bezbednosti, u velikom obimu.

Obrada ovih podataka nosi veći rizik za klijente. Posledice „curenja“ podataka mogu biti značajno ozbiljnije, a njihovi efekti teže uklonjivi. Upravo zato, morate se pridržavati još strožih procedura za obezbeđivanje zaštite podataka.

U privredi nema razumevanja za nepoznavanje zakonskih normi i pravila. Dakle, čak i ako istinski niste znali da podatak koji obrađujete spada u kategoriju osetljivih podataka, ne može Vam se „progledati kroz prste“. Zato je važno da unapred proverite koje su Vaše obaveze, i kako da ih ispunite.

Da li prenosite podatke u inostranstvo – i da li je to zakonito?

Međunarodni prenos podataka. Na prvi pogled, možda Vam deluje da se Vas ova pravila ne tiču – ako radite u Srbiji, sa lokalnim klijentima, nije čudno da zaključite da nije bitno da se uopšte bavite temom prenosa podataka u inostranstvo. Međutim, možda ipak niste u pravu.

Koristite li cloud servise? Da li komunicirate sa klijentima putem stranih platformi? Sve je ovo značajno. I sve je bitno kada inspekcija dođe na prag Vašeg biznisa.

Sam po sebi, prenos podataka izvan Republike Srbije nije problem. Štaviše, u savremenoj poslovnoj praksi, ponekad ga je i gotovo nemoguće izbeći. Ipak, da biste ostali „čisti“ u očima inspekcije, bitno je da ovaj prenos vršite sa zakonitim osnovom, uz primenu odgovarajućih mehanizama zaštite.

Bitno je da budete sigurni da država do koje podaci stižu od Vas, obezbeđuje potrebne standarde njihove zaštite. Dalje, morate odgovarajućim obavezujućim aktima utvrditi potreban nivo zaštite za podatke koje prenosite. U suštini, situacija je slična onoj kada određujete odvojenog obrađivača podataka – na Vama je da obezbedite bezbednost podataka koji su Vama povereni, i vi odgovarate za svaki korak koji se u tom procesu dogodi.

Planiranje je Vaš najsnažniji adut. Ako svoju praksu izgradite na zdravim temeljima, uz precizno određenje svih pravnih odnosa između Vas i drugih subjekata koji pristupaju podacima koje obrađujete, nemate razloga za brigu prilikom inspekcijskog nadzora.

Koliki je Vaš rizik – neznačajan ili kritičan i šta ako je kritičan?

Konačno, dolazimo do tog trenutka. Inspekcija je izvršena, i Poverenik Vam dodeljuje ocenu nivoa rizika – neznatan, nizak, srednji, visok ili kritičan. Šta ovo znači, i koliko je ocena zapravo „nasumična“, odnosno proizvoljna?

Iako pet nivoa rizika može delovati neprecizno, to nikako nije slučaj. Sve čime ste se bavili do sada, u svojem nastojanju da obezbedite usklađenost sa zakonom – evidencije, mere zaštite, imenovanje lica za zaštitu podataka, ugovorno određivanje načina obrade – sve se računa i meri. Inspekcija ispituje ceo Vaš sistem zaštite podataka kroz bodovnu listu od 14 pitanja, i dodeljuje Vam bodove u skladu sa stepenom ispunjenosti zakonskih obaveza koji posedujete. Iako na prvi pogled stvar utiska, rad inspekcije ispada čista matematika – jasna, transparentna i predvidiva.

Povrede zakonskih obaveza, i nivo procenjenog rizika, sa sobom može doneti zakonske sankcije – kako za pravno lice, tako i za pojedince koji su odgovorni. U zavisnosti od toga u kojoj meri odstupate od zakonskog optimuma, nakon inspekcije možete završiti sa opomenom ili kaznom za nezakonito postupanje, uz potencijalno visoke novčane iznose koji se nameću kao posledica nepravilnog poslovanja.

Pored zakonskih posledica, nepovoljan rezultat inspekcije loše se odražava i na Vašu poslovnu reputaciju i dalje poslovanje. Status „biznisa koji ne vodi računa o zaštiti podataka svojih klijenata“ ni u kojem slučaju nije preporuka na tržištu gde se konkurencija meri u nijansama. Od puke formalnosti i sada već sveprisutnih izjava o saglasnosti sa obradom podataka i sličnih dokumenata, dolazite do veoma opipljivih i realnih posledica po Vaše poslovanje u celosti.

Šta učiniti?

Rizik po poslovanje nikad nije dobra vest, a prepuštanje daljeg razvoja situacije „slučaju“ i „sreći“ nije deo ni jednog ozbiljnog biznis plana. Dakle, morate ozbiljno pristupiti ovoj temi.

Kako se to često kaže, bolje je sprečiti nego lečiti. Trenutak u kojem se inspekcija najavila da će doći ostavlja usko polje za Vaše delovanje i sprečavanje nepovoljnih posledica. Iako možda nikada nije kasno, svakako je preporučljivo da se zaštitom podataka o ličnosti bavite i pre nego što za proveru imate zakazan datum i vreme.

Interna provera procedura koje imate, i temeljna pravna analiza sistema koji ste postavili u svojem poslovanju, najbolja su preventiva od loših rezultata inspekcijske kontrole. Svako pravilo se može razumeti, primeniti, i obezbediti usklađenost sa njime – samo ako se pitanju pristupi ozbiljno i stručno.

Ukoliko želite podršku i pomoć u ovom procesu, i više informacija u oblasti zaštite podataka o ličnosti, možete nas kontaktirati na +381 11 328 19 14 ili putem mejla [email protected] – naš tim je uvek spreman da Vam pruži potrebnu asistenciju i sigurnost. Ne dozvolite da zaštita podataka od ličnosti bude apstraktna pretnja po Vaše poslovanje, već preuzmite inicijativu i obezbedite da sve Vaše procedure i postupci budu „po slovu zakona“.

O autorima

Sofija Lekić

Sofija Lekić je pravni saradnik u advokatskoj kancelariji Stojković Advokati (STATT), sa fokusom na zaštitu podataka o ličnosti, regulatornu usklađenost i korporativno pravo. Učestvuje u izradi i implementaciji sistema zaštite podataka i sprovođenju internih provera usklađenosti sa važećim propisima.

Pogledajte profil

WhatsApp Image 2026 03 02 at 13.45.39 (2)

Petar Kilibarda

Petar Kilibarda je advokat u kancelariji Stojković Advokati (STATT), sa iskustvom u oblasti regulatorne usklađenosti, zaštite podataka o ličnosti i korporativnog prava. Tekst je pripremljen uz njegovu asistenciju, nadzor i pravnu verifikaciju u skladu sa Zakonom o zaštiti podataka o ličnosti i inspekcijskom praksom.

Pogledajte profil

 

    Spremni da napravite prvi korak?

    Popunite kratak formular ispod i javite nam u čemu vam je potrebna podrška. Nakon toga vas kontaktiramo sa predlogom narednih koraka, i to brzo, jasno, jednostavno.

    Slanjem Vaših kontakt informacija, slažete se da Vas možemo kontaktirati telefonom (uključujući i tekst) i putem email-a u skladu sa našim Uslovima i Politikom privatnosti.

    Poziv Poruka