Koliko firmu košta neodgovarajuća zaštita podataka?

Inspekcija zaštite podataka o ličnosti u Srbiji često deluje kao daleka tema, rezervisana za velike kompanije ili one koji posluju „na ivici“.

Međutim, stvarnost je znatno drugačija jer kontrola može zakucati na vrata bilo kog preduzetnika ili firme, i to u trenutku kada poslovanje ide uzlaznom putanjom.

Inspektori proveravaju kako se u sistemu poslovanja rukuje podacima o ličnosti.

„Na prvi pogled, cela oblast deluje zamršeno. Pominju se evidencije, svrhe obrade, kategorije podataka, bezbednosne mere. Međutim, iza tog sloja stručnih izraza krije se prilično precizan mehanizam kontrole. Inspekcija koristi unapred definisanu bodovnu listu, gde svaka stavka nosi određeni broj poena. Na kraju, zbir bodova određuje nivo rizika – od zanemarljivog do kritičnog“, objašnjavaju pravnici advokatske kancelarije Stojković Advokati.

Prema njihovim rečima, u takvom sistemu nema mnogo prostora za slobodnu procenu, jer sve se meri.

„Od toga da li imate imenovano odgovorno lice, vodite evidencije, kako reagujete u slučaju problema, sa kim delite podatke i pod kojim uslovima“, navode advokati.

Jedna od prvih stvari koju inspektori proveravaju je da li postoji jasno određena osoba zadužena za zaštitu podataka. U određenim situacijama, posebno kada se obrađuju osetljive informacije ili veće količine podataka, imenovanje tog lica nije izbor već obaveza. Njegova uloga mora biti jasno definisana, a kontakt podaci dostupni i nadležnom organu i javnosti.

„Ako takvo lice nije imenovano kada je to bilo potrebno, to se odmah odražava na rezultat kontrole. Sa druge strane, čak i kada zakon to izričito ne zahteva, postojanje odgovorne osobe može pokazati viši nivo organizovanosti i brige o podacima“, savetuju pravnici.

Drugi važan segment odnosi se na evidencije. Nije dovoljno postupati pravilno, već je potrebno  to i dokumentovati. Svaka radnja obrade mora biti zabeležena, od toga ko obrađuje podatke, čije podatke, u koju svrhu, koliko dugo ih čuva i kome ih eventualno prosleđuje. U suprotnom, čak i uredno poslovanje može izgledati problematično tokom kontrole.

„Posebna pažnja posvećuje se situacijama kada dođe do incidenta, poput gubitka uređaja, pogrešno poslatog mejla ili neovlašćenog pristupa podacima. Takvi događaji nisu automatski razlog za najgoru ocenu, ali način na koji se kompanija nosi sa njima jeste. Svaka povreda mora biti evidentirana, uz opis uzroka, posledica i mera koje su preduzete“, pojašnjavju propise advokati kancelarije Stojković Advokati.

Ističu da u  određenim slučajevima, naročito kada postoji rizik po prava građana, o incidentu se mora obavestiti i nadležni organ – i to u roku od 72 sata. Izostanak reakcije ili kašnjenje može značajno pogoršati ukupnu sliku poslovanja.

Inspektori takođe analiziraju ko sve ima pristup podacima. U savremenom poslovanju retko koja firma funkcioniše samostalno – računovodstvene agencije, IT podrška, marketinške firme i cloud servisi često učestvuju u obradi podataka. Takva saradnja nije sporna, ali mora biti jasno regulisana ugovorima koji definišu obaveze i odgovornosti.

„Važno je naglasiti da odgovornost ostaje na onome ko podatke prikuplja. Čak i kada se deo posla poveri drugima, posledice eventualnih propusta ne mogu se jednostavno preneti na saradnike. Dodatni nivo opreza potreban je kada se obrađuju osetljivi podaci.  Oni koji se odnose na zdravlje, politička uverenja, versku pripadnost ili biometrijske informacije. Njihova zloupotreba može imati ozbiljne posledice, pa zakon predviđa strože uslove za njihovu obradu“, objašnjavaju pravnici.

Kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti (ZZPL) u Srbiji su visoke i kreću se od 50.000 do dva miliona dinara za pravna lica, dok odgovorna lica mogu biti kažnjena od 5.000 do 150.000 dinara. Poverenik može izreći i fiksne prekršajne naloge od 100.000 dinara za specifične povrede, kao što su neobjavljivanje kontakta lica za zaštitu podataka.

Slično važi i za prenos podataka u inostranstvo. Iako mnoge firme koriste strane digitalne servise, to ne znači da su oslobođene obaveza. Potrebno je obezbediti da zemlje u koje podaci odlaze garantuju adekvatan nivo zaštite, kao i da postoje pravni mehanizmi koji regulišu taj proces.

Na kraju kontrole, svi ovi elementi sabiraju se u jedinstvenu ocenu. Sistem funkcioniše po principu bodovanja kroz niz konkretnih pitanja, pa rezultat nije stvar utiska već zbir jasno definisanih kriterijuma.

„Ishod može varirati, od upozorenja do novčanih kazni koje mogu biti značajne. Osim finansijskog aspekta, negativna ocena može uticati i na reputaciju firme. U okruženju gde klijenti sve više obraćaju pažnju na način na koji se njihovi podaci čuvaju, takav signal može imati dugoročnije posledice. Zbog toga se sve više kompanija okreće preventivnom pristupu, odnosno preispitivanju sopstvenih procedura, uređivanju internih pravila i uspostavljanju jasnih odnosa sa partnerima“, zaključuju pravnici advokatske kancelarije Stojković Advokati.