Одговорност администратора личних података и обрађивача према ГДПР-у

Служба

Прикупљање личних података клијената, извођача, па и запослених у току пословања предузећа, обавезује предузетника да те податке безбедно чува и обрађује. Субјект одговоран за заштиту података о личности у сваком предузећу је руковалац података. Заузврат, свака друга особа која добије приступ овим подацима постаје обрађивач, једнак контролору. Ко су заправо контролор и обрађивач података? Које су њихове функције? Која је одговорност контролора података? О томе у чланку испод.

Ко је контролор података?

ГДПР прецизно дефинише појам и одговорност руковаоца личних података у чл. 4 тачка 7. Овом одредбом је прописано да је администратор физичко лице, правно лице, орган јавне власти, јединица или друго лице које самостално или заједно са другима утврђује сврхе и начине обраде података о личности.

Одговорности администратора

Администратор личних података који поступа у складу са захтевима ГДПР-а треба да обезбеди коришћење таквих техничких и организационих мера у компанији које ће гарантовати трајну и поуздану заштиту података који се обрађују у компанији. Он мора да води рачуна о стварању правила о заштити података и да надгледа њихову администрацију.

Посебно се од администратора тражи да заштити обрађене податке од:

  • откривање неовлашћеним лицима;

  • уклањање од стране неовлашћеног лица;

  • обрада у супротности са Законом;

  • промена;

  • губитак;

  • оштећења;

  • уништење.

Од осталих обавеза администратора издвајамо и вођење документације која описује начин обраде података и мере којима се обезбеђује њихова заштита; обезбеђивање контроле врсте личних података који се уносе у досије; као и вођење евиденције о лицима овлашћеним за обраду прикупљених података.

Поред тога, уколико то одредбе налажу, администратор је дужан да именује инспектора за заштиту података о личности, тзв. ИОДО.

Ко је процесор?

Администратор података о личности, у оквиру свог пословања, може поверити базе података о личности другом субјекту тзв. процесор. На основу чл. 4 тачка 8 ГДПР-а, субјект обраде може бити физичко или правно лице, јавни орган, организациона јединица или други субјект који обрађује личне податке у име руковаоца. Обрада на коју се односи уредба је прилично обимна. Узимамо за њих, између осталих чување, снимање, организовање, модификовање, прегледање, дељење, уништавање или брисање личних података.

Уредба ЕУ намеће одговорност контролору података за избор обрађивача и његове активности. Из наведеног произилази да обрађивач приликом обављања својих дужности, слично као и контролор, мора да примени одговарајуће техничке и организационе мере како би обрада испунила захтеве ГДПР-а и заштитила права субјеката података.

Контролор података и процесор

Најважнија разлика између дотичних субјеката је ко одлучује о сврхама и начину обраде података о личности. Мора се имати на уму да ће процесор увек обрађивати податке према упутствима контролора, тако да мора бити у складу са сврхама које је овај други поставио. Сврхе обраде података о личности су обавезан елемент сваког уговора о обради личних података, који руковалац података сваки пут треба да закључи са субјектима обраде. С друге стране, обично је на самом процесору да одлучи о начину обраде. Процесор је тај који одлучује о врсти безбедносних система којима су поверени лични подаци или софтвер који се користи за обраду ових података.

Пример 1.

Најчешћи, јер се тиче већине предузетника, пример односа између контролора података и обрађивача је рачуноводствени уговор. Одабрана рачуноводствена служба обрађује личне податке уговарача администратора у циљу вођења регистра и измиривања његових прихода и расхода по фактури са ПДВ-ом, односно за сврху коју одреди администратор. Истовремено, уз наведену обраду података, рачуноводство је та која одлучује о начину обраде, јер бира методу обрачуна, на пример коришћењем одређеног рачуноводственог програма.

Грађанскоправна одговорност руковаоца података

ГДПР, поред обавеза, регулише и обим одговорности наметнуте администратору и обрађивачу. Ова одговорност је компензаторна за лица која су претрпела материјалну или нематеријалну штету услед повреде одредаба о заштити обраде података о личности.

Према броју 146 Преамбуле ГДПР-а: „За сваку штету коју је неко лице претрпело као резултат обраде кршењем ове уредбе, надокнада треба да се плати од контролора или обрађивача. Међутим, контролор или обрађивач треба да буду ослобођени правне одговорности ако могу доказати да штета ни на који начин није проузрокована њиховом кривицом.' То значи да су и контролор података и обрађивач одговорни за повреде по основу кривице, односно када се докаже да је штета настала намерном радњом или непоштовањем захтева предострожности потребних у датим условима.

Према трећој реченици горе наведеног броја Преамбуле, појам штете треба тумачити широко, на начин који у потпуности одражава циљеве Уредбе. То значи да ће у случају материјалне штете оштећени имати право на накнаду штете за стварни губитак и надокнаду изгубљене добити. С друге стране, у случају нематеријалне штете, оштећени ће имати право на захтев за накнаду претрпљене штете.

ГДПР је мишљења да је, по правилу, руковалац личних података у потпуности одговоран за штету у вези са кршењем прописа. С друге стране, одговорност обрађивача је ограничена – сразмерна је обиму права и обавеза које намеће руковалац. Члан 82 (2) ГДПР изричито указује да је обрађивач одговоран за штету проузроковану обрадом само када није поштовао обавезе које му је наметнуо пропис или када је поступио мимо законитих упутстава администратора или против ових упутстава. .

ГДПР предвиђа услов који искључује обавезу контролора или обрађивача да надокнади штету. Одредбом чл. 82 сец. 3 ГДПР појашњава одредбе Преамбуле, наводећи да када контролор или обрађивач докажу да ни на који начин нису криви за догађај који је довео до штете, они су по закону изузети од одговорности.

Из наведене одредбе такође произилази да за доказивање своје кривице неће одговарати оштећени. Субјекти одговорни за обраду података ће морати да докажу своју невиност.

ГДПР је такође регулисао правила одговорности у ситуацији када је у процес обраде података било укључено више администратора и један обрађивач. На основу чл. 82 (4) Уредбе, ако у истој обради учествује више руковаоца или обрађивача, они су солидарно одговорни за целокупну проузроковану штету. Солидарна одговорност значи да у случају повреде личних података и штете оштећени може захтевати пуну одштету од било ког од криваца или од свих њих заједно. Ово је да би се осигурало да жртва заиста добије одштету.

Солидарна одговорност рађа и тзв регрес. То значи да лице које је исплатило накнаду за целокупну причињену штету има право да од других лица која су крива за штету, захтева надокнаду дела накнаде који одговара делу штете за коју они одговарају.

Административна одговорност руковаоца података

Руковалац података и обрађивач у случају непоштовања обавезе безбедне обраде личних података, поред грађанскоправне одговорности према оштећеном, могу бити изложени и административним казнама.

Надзорни орган може изрећи административну казну или корективну меру (или обе) одговорном субјекту у случају кршења ГДПР-а од стране одговорног субјекта. Поред очигледне финансијске казне, разликујемо корективне мере као што су упозорење, опомена, наређивање исправке, брисање личних података или чак наметање забране обраде.

Започните бесплатни пробни период од 30 дана без обавеза!

Износ новчаних казни

ГДПР прави разлику између два распона износа казни, тј.:

  • новчана казна до 10 милиона евра или до 2% укупног годишњег светског промета у претходној финансијској години, шта год је веће;

  • новчана казна до 20 милиона евра или до 4% укупног годишњег светског промета у претходној финансијској години, у зависности од тога шта је веће.

Орган, приликом одлучивања да ли ће изрећи административну казну и приликом одређивања њеног износа, мора у сваком појединачном случају обратити дужну пажњу на:

  • природу, тежину и трајање повреде;

  • намерна или ненамерна природа кршења;

  • радње које се предузимају да би се смањила штета коју су претрпели субјекти података;

  • степен одговорности узимајући у обзир техничке и организационе мере које субјект спроводи;

  • степен сарадње са надзорним органом у отклањању кршења;

  • категорије личних података на које се кршење односи;

  • како је надзорни орган сазнао за кршење.

Сви горе наведени услови одређују могуће изрицање казне и њену величину. Не постоје чврсте и брзе смернице за конкретну казну за одређени прекршај. На сваку административну одлуку ће утицати индивидуалне околности сваког случаја.

Укратко, ГДПР намеће многе обавезе и контролорима и обрађивачима података да осигурају сигурност података физичких лица чији се лични подаци обрађују. Штавише, пропис захтева од прерађивача да се стриктно и доследно придржавају одредби, јер њихово кршење може довести до административне одговорности и високих новчаних казни, као и грађанскоправне одговорности која укључује обавезу плаћања штете.