Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti objavio je godišnji plan inspekcijskih nadzora za 2026. godinu.
U fokusu se nalaze zdravstvene ustanove u privatnoj svojini, medicinske laboratorije i apotekatske ustanove u privatnoj svojini, privređivači igara na sreću, sportska udruženja i mnogi drugi.
Ako ste među njima, velika je verovatnoća da ste primili ili ćete uskoro primiti kontrolnu listu, a zatim i da će vam doći u inspekciju Poverenik.
Šta je zapravo kontrolna lista?
Kontrolna lista je u suštini skup pitanja koja služe inspekciji za proveru usklađenosti sa obavezama iz Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS“, broj 87/2018) i to: da li imate imenovano lice za zaštitu podataka o ličnosti, da li su imate odgovarajuća interna akta koja se tiču zaštite podataka, da li imate zaključene odgovarajuće ugovore koji se tiču obrade, da li primenjujete odgovarajuće mere zaštite podataka i ostalo.
Cilj kontrolne liste je da omogući sistematičan i transparentan nadzor, a rukovaocima i obrađivačima, kao licima koji obrađuju podatke o ličnosti, da sami procene sopstveni stepen usklađenosti i preventivno otklone nedostatke.
Nakon što primite kontrolnu listu, Vaš zadatak je da, iskreno i precizno, odgovorite na svako pitanje, uz obavezna dodatna objašnjenja tamo gde se to traži.
Svaki odgovor nosi određeni broj bodova, a na osnovu ukupnog broja bodova, procenjuje se stepen rizika poslovanja vaše organizacije : od „neznatnog“ do „kritičnog“.
Kako minimizovani rizik iz kontrolne liste?
Nažalost, određene obrade podataka po svojoj prirodi nose visok rizik, poput obrade posebnih vrsta podataka (npr. podaci o zdravlju, biometrijski podaci). U takvim slučajevima, kada je obrada ovih podataka neophodna, sam rizik se ne može u potpunosti ukloniti. Ipak, ispunjavanjem drugih zakonskih obaveza i preduzimanjem odgovarajućih mera zaštite, moguće je značajno umanjiti taj rizik.
Na primer, vođenje evidencija radnji obrade, imenovanje lica za zaštitu podataka o ličnosti (DPO), zaključenje odgovarajućih ugovora o obradi, sprovođenje procene uticaja na zaštitu podataka (DPIA), redovna edukacija zaposlenih i slično – sve su to mere koje doprinose smanjenju rizika i usklađivanju sa zahtevima iz kontrolne liste Poverenika.
Dakle, kako bi se umanjio rizik, organizacije koje obrađuju podatke o ličnosti bi trebalo da u potpunosti usklade svoje poslovanje sa odredbama Zakona o zaštiti podataka o ličnosti.
Kako pravilno popuniti kontrolnu listu?
Da biste ispravno sproveli postupak i popunili kontrolnu listi kako treba, sledite sledeće korake:
- Pažljivo pročitati svako pitanje
Ukoliko imate nedoumica u vezi sa značenjem pitanja, možete se obratiti službi Poverenika ili konsultovati stručnjaka za zaštitu podataka o ličnosti.
- Zaokružiti samo jedan ponuđeni odgovor (a, b ili v).
Nije ispravno zaokružiti više odgovora.
- Obavezno pojasniti odgovor tamo gde se to traži
Recimo kod pitanja broj 4) gde je potrebno da navedete koji su interni akti doneti i kada, napisati: Pravilnik o zaštiti podataka o ličnosti od 30.07.2019. godine, Procedura za postupanje po zahtevima lica i Procedura za postupanje u slučaju povrede podataka o ličnosti, obe od 10.08.2019. godine itd.
- Sabrati bodove koje ste osvojili na osnovu svojih odgovora
Nakon što date odgovore na sva pitanja, potrebno je sabrati iste i na osnovu ukupnog broja bodova, zaokružiti redni broj stepena rizika koji se nalazi na samom kraju kontrolne liste.
- Vratiti popunjenu listu Povereniku
Nakon što ste popunili kontrolnu listu, potrebno je istu potpisati i pečatirati (ako koristite pečat) i vratiti Povereniku mail-om ili poštom u ostavljenom roku. Trebalo bi uz kontrolnu listu da dobijete instrukcije od Poverenika kako istu da im dostavite.
Imajte u vidu da Poverenik u postupku inspekcijskog nadzora proverava dostavljene podatke i traži dokumentaciju kojom potvrđujete navode iz kontrolne liste, te ukoliko dostavite netačne ili nepotpune podatke, može doći do do potencijalnih sankcija, ne samo za neusklađenost za Zakonom, već i za davanje netačnih podataka državnom organu.
Zaključak: Bolje je da budete spremni
Kontrolna lista nije tu da vas „uhvati nespremne“, već da vas navede da na vreme ispravite sve što nije u skladu sa Zakonom o zaštiti podataka o ličnosti.
Usklađenost sa propisima iz oblasti zaštite podataka o ličnosti nije samo pravna obaveza. Izostanak usklađenosti može dovesti do ozbiljnih posledica kao što su curenje ili gubitak podataka, loša reputacija, kazne za nepoštovanje propisa i slično.
S druge strane, usklađeno postupanje ne samo da smanjuje navedene rizike, već i jača poverenje korisnika, poslovnih partnera i zaposlenih, olakšava upravljanje podacima i povećava operativnu efikasnost, a kontrolna lista i inspekcija Poverenika onda predstavljaju samo rutinsku proveru koju ćete lako proći.
