Izazovi usklađivanja sa Zakonom o zaštiti podataka o ličnosti

Novi Zakon o zaštiti podataka o ličnosti (ZZPL - Sl. glasnik RS 87/2018) počeo je da se primenjuje od 22. avgusta prošle godine, devet meseci nakon što je stupio na snagu, a sve zdravstvene ustanove i apotekarske prakse bile su u obavezi do tada da prilagode svoje poslovanje odredbama nove legislative. 

Iako je Zakon, koji je donesen sa ciljem da prilagodi domaći pravni okvir savremenim tehnološkim izazovima po privatnost građana i uskladi domaće standarde sa evropskom regulativom (Opšta uredba o zaštiti podataka EU – GDPR), već skoro šest meseci u primeni, tek mali broj ustanova uspeo je da uskladi svoje poslovanje sa zahtevima novog normativnog okvira. Svi oni koji to još nisu uradili izloženi su mogućim kaznama za kršenje odredbi u iznosima i do dva miliona dinara za svaki pojedinačni slučaj.

Zakon predviđa brojne nove obaveze za sve koji obrađuju podatke o ličnosti, bilo da su iz privatnog ili javnog sektora. Garantovana prava građana su detaljnije opisana i proširena, te su pored prava na uvid, kopiju i ispravku proširena prava na informisanje i brisanje, a uvedena su i nova prava, kao što je pravo na prenosivost podataka. Još jedna važna novina je obaveza obaveštavanja lica na koja se podaci odnose i Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti ukoliko dođe do povrede podataka o ličnosti (curenje, incident). 

Takođe, novina je i da sve organizacije koje obrađuju posebne vrste podataka o ličnosti, a u koje su kategorisani svi medicinski podaci, odnosno, prema mišljenju Poverenika broj 073-11-1289/2019-02 od 9. septembra 2019, sve zdravstvene ustanove i apotekarske prakse koje izdaju lekove na recept dužne su da imenuju Lice za zaštitu podataka o ličnosti, da objave njegove podatke i da ih dostave Nadzornom organu.

Ono što je neophodno naglasiti je da svi oni koji još nisu usaglasili svoje poslovanje sa Zakonom moraju da budu svesni da je usklađivanje sa novim pravilima kompleksan, dugotrajan i konstantan proces, koji mora da ima potporu u praktičnoj primeni, s obzirom na to da nova legislativa definiše načela obrade i zahteva da je rukovalac u mogućnosti da predoči (dokaže) primenu svih pravila (član 5). Kao i da je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa Zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica (član 41). 

Sa aspekta usklađivanja najveći izazov je kako dokazati da su izabrane mere zaista adekvatne i da se kontinuirano i dosledno primenjuju u praksi. U tom smislu nužno je ispuniti tri uslova – odgovornost (da su definisane i primenjene odgovarajuće organizacione, kadrovske i tehničke mere), vlasništvo(da su utvrđene odgovornosti za kontinuiranu primenu tih mera) i dokaz (da se kao rezultat izvođenja procesa kreira zahtevana dokumentacija kao dokaz usklađenosti).

Većina pokuša da problem usklađivanja sa novim Zakonom reši tako što se usko fokusira na pravila, zanemarujući pri tome u potpunosti konkretne procese u kojima bi ta pravila trebalo da se primenjuju. Krenu sekvencijalno po članovima Zakona i za svaki član definišu odgovarajuće procedure (pravila) čijim poštovanjem, smatraju, da će rešiti problem dokazivanja odgovornosti rukovaoca. 

Ozbiljna manjkavost takvog pristupa je, međutim, u tome što je odgovornost teško dokazati jer u većini slučajeva nije moguće utvrditi na osnovu kojih kriterijuma su pojedine mere (kontrole) izabrane i kako se može meriti efektivnost i efikasnost njihove primene. Takođe, procedura pokrenuta kao odgovor na zakonske zahteve ne može se efikasno uključiti u ključne poslovne procese organizacije pošto u startu nisu uzeti u obzir priroda, obim, okolnosti i svrhe obrade, kao i rizici različitih stepena verovatnoće i ozbiljnosti za prava i slobode fizičkih lica, a kako se procedure ne primenjuju u konketnim poslovnim procesima teško je pružiti odgovarajuće dokaze da se zahtevi normativnog okvira kontinuirano primenjuju u praksi. 

Odgovornost da su primenjene najbolje moguće organizacione i tehničke mere se najlakše dokazuje primenom odgovarajućih kontrola domaćih ili međunarodnih standarda, jer su standardi aksiomi koje nije potrebno dokazivati. Vlasništvo nad definisanim organizacionim i tehničkim merama se može dokazati samo implementacijom tih mera u konkretne poslovne procese, a dokazi se mogu pružiti samo ako svaki zapis i dokument nisu definisani zasebno, nego su direktna posledica izvođenja konkretnog procesa.

Da zaključim, primena i implementacija zakonskih zahteva u svakom smislu je zahtevan zadatak, kako sa organizacione, tako još više sa tehničke strane, i objektivno zdravstvene ustanove i apotekarske prakse, imajući u vidu potrebne stručne kvalifikacije, a naročito stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti, teško će se samostalno, bez ozbiljne pomoći sa strane, izboriti i usaglasiti sa novim propisom. 

Angažovanje kvalifikovanog eksternog Lica za zaštitu podataka o ličnosti, s obzirom na to da Zakon daje tu mogućnost (član 56), može biti jedno o rešenja, koje doduše proizvodi dodatni trošak, ali je on, ipak, neznatan u poređenju sa rizikom od propisanih kazni koje mogu da ugroze kontinuitet poslovanja. 

Autor:
Jovan Milošević 

Ekspert za informacionu bezbednost i sertifikovano Lice za zaštitu podataka o ličnosti na nivou EU 

Email adresa: DPO@extracare.rs