Savremeno poslovanje je takvo da gotovo da ne postoji kompanija koja na neki način ne dolazi u kontakt sa ličnim podacima – bilo zaposlenih, kandidata, klijenata ili korisnika usluga. Uprkos tome, nekoliko godina nakon stupanja na snagu Opšte uredbe o zaštiti podataka (GDPR) pa i Zakona o zaštiti podataka o ličnosti, pravna praksa u Srbiji još uvek pokazuje značajne nedoslednosti u primeni propisa o zaštiti ličnih podataka.
Kao advokati koji se svakodnevno suočavaju sa ovim izazovima, primetili smo da mnogi klijenti i dalje pogrešno tumače obim svojih obaveza ili potpuno zanemaruju zahteve usklađenosti. To može biti opasno.
Bez obzira na to što nedostaju podzakonski propisi koji bi bliže pojasnili Zakon o zaštiti podataka o ličnosti u Srbiji (koji se oslanja na GDPR), on ipak predviđa obaveze za sve koji prikupljaju, čuvaju ili na bilo koji način obrađuju lične podatke. A kazne za njihovo nepoštovanje mogu biti ozbiljne – kako u finansijskom smislu, tako i u smislu narušavanja reputacije.
Pravni okvir zaštite podataka u Srbiji
Srbija je usvojila Zakon o zaštiti podataka o ličnosti (ZZPL) koji u određenoj meri harmonizuje domaće pravo sa evropskim standardima. Međutim, za razliku od detaljno razrađenih EU propisa, naš zakon ostaje prilično opšti, bez dovoljno preciznih smernica za praktičnu primenu.
Ova normativna praznina stvara prostor za različita tumačenja. To u praksi često rezultuje nedoslednom primenom. Posebno problematično je što neophodni podzakonski propisi nisu doneti.
Da li vi obrađujete lične podatke?
Na ovo pitanje većina poslodavaca instinktivno odgovara sa „ne“, jer, ističu, oni ne prodaju/prosleđuju podatke, ne vode korisničke baze niti imaju CRM sistem.
Međutim, ako vodite evidenciju o zaposlenima, čuvate njihove biografije, ugovore, lekarska uverenja, email adrese ili brojeve telefona – vi obavljate obradu podataka.
Prema Zakonu, obrada podataka o ličnosti podrazumeva svaku radnju nad tim podacima – beleženje, čuvanje, uvid, izmene, brisanje, organizovanje, kopiranje… bez obzira da li je radnja automatizovana ili ne.
Dakle, čak i ako samo imate Excel tabelu sa podacima o zaposlenima – zakon se odnosi na vas. Stoga, svaki pravni subjekt koji zapošljava radnike već po tom osnovu postaje rukovalac podacima.
Ne postoji „pasivno“ čuvanje podataka koje bi bilo izuzeto od zakona.
Šta sve ulazi u pojam „ličnih podataka“
Lični podaci nisu samo ime i prezime. Zakon štiti i:
- JMBG, adresu stanovanja, broj pasoša ili lične karte
- Email adrese, IP adrese, geolokaciju
- Fotografije, video snimke, biometrijske i zdravstvene podatke
- Podatke o bankovnim računima, karticama, kao i sadržaj internih HR evidencija
Svaki poslodavac je obveznik zakona već samim tim što poseduje dokumentaciju o zaposlenima, vodi video-nadzor, sprovodi konkurse ili komunicira putem email marketinga.
Kada se primenjuje GDPR, a kada naš Zakon o zaštiti podataka o ličnosti?
- GDPR se primenjuje ako obrađujete podatke lica koja imaju prebivalište u EU, bez obzira na to gde se vaša firma nalazi.
- Zakon o zaštiti podataka o ličnosti se primenjuje ako podatke obrađujete o licima koja žive u Srbiji.
Dakle, osnovni kriterijum nije gde se firma nalazi, već gde žive fizička lica čiji se podaci obrađuju.
Primeri iz prakse
Slučaj 1: Srpska IT kompanija koja razvija aplikaciju za nemačku kompaniju mora poštovati GDPR jer će aplikaciju koristiti lica iz EU, bez obzira što je sam developer u Srbiji.
Slučaj 2: Međunarodna korporacija sa sedištem u EU, ali sa lokalnim predstavništvom u Srbiji, mora poštovati ZZPL za podatke svojih zaposlenih u Srbiji, čak i ako su oni državljani EU zemalja.
Slučaj 3: E-commerce sajt registrovan u Srbiji koji prodaje robu širom regiona mora voditi računa o tome da za kupce iz EU primenjuje GDPR, a za domaće kupce ZZPL.
Ovi primeri pokazuju da je granica između GDPR-a i ZZPL-a fluidna, a kompanije to moraju imati na umu.
Ljudi se konstantno kreću, ali ne samo fizički prelazeći granice, nego i pretraživanjem interneta i ostavljanjem svojih podataka svuda širom sveta.
Šta nije obrada podataka o ličnosti
GDPR ni Zakon o zaštiti podataka o ličnosti ne odnose se na:
- Lične kontakte koje fizička lica čuvaju za privatne potrebe (npr. imenik u telefonu, lični imejl nalozi i slično)
- Anonimizovane podatke (ako se uopšte ne može identifikovati fizičko lice)
- Neorganizovane, nestrukturirane evidencije (mada je granica u praksi nejasna – šta bi bile zaista neorganizovane evidencije)
Obaveze rukovalaca podacima – šta konkretno Zakon o zaštiti podataka o ličnosti traži?
Zakon postavlja šest osnovnih principa koje svaki rukovalac mora poštovati:
- Transparentnost – Jasno i vidljivo obaveštenje o tome koje podatke prikupljate, u koje svrhe, na koji rok i po kom pravnom osnovu (npr. Politika privatnosti na sajtu, odredba u ugovoru i slično)
- Jasna svrha obrade – Prikupljanje samo onih podataka koji su neophodni i u jasno određenu svrhu (npr. za zaključivanje ugovora o radu, za slanje porudžbine na adresu…). Slanje promotivnih poruka bez izričite saglasnosti je zabranjeno.
- Minimizacija podataka nalaže prikupljanje samo onih podataka koji su stvarno potrebni. Mnogi web sajtovi traže nepotrebne informacije „za svaki slučaj“, što predstavlja kršenje ovog principa.
- Tačnost podataka podrazumeva obavezu ažuriranja i ispravljanja netačnih informacija. Ovo je posebno važno za dugoročne baze podataka klijenata ili zaposlenih. Stare informacije koje više nemaju svrhu, treba na adekvatan način brisati.
- Ograničenost čuvanja zahteva definisanje rokova brisanja podataka. Podaci ne smeju biti sačuvani duže nego što je to neophodno (npr. snimci video-nadzora ne smeju se čuvati „zauvek“). Neophodno je doneti interne akte koji precizno određuju koliko dugo se koji podaci čuvaju.
- Bezbednost obuhvata tehničke i organizacione mere zaštite. Podaci moraju biti zaštićeni od neovlašćenog pristupa i dostupni samo ovlašćenim licima. Ovo uključuje enkripciju, kontrolu pristupa, ali i obuku zaposlenih.
Kazne za povredu propisa
Značajna razlika između GDPR-a i našeg zakona ogleda se u visini kazni. Dok EU propisi predviđaju kazne do 20 miliona evra ili 4% godišnjeg prometa, maksimalna kazna u Srbiji je 2 miliona dinara.
Međutim, ne treba potcenjavati rizik. Poverilac za informacije od javnog značaja počinje aktivnije da sprovodi nadzor, a kazne se izriču sve češće. Štaviše, kompanije koje posluju internacionalno, mogu podleći evropskom zakonodavstvu, odnosno GDPR-u i njegovim strogim kaznama.
Kako se uskladiti sa Zakonom o zaštiti podataka o ličnosti?
- Napravite popis svih aktivnosti u kojima vaša firma prikuplja podatke – od HR sektora, preko klijentskih baza, do web analitike. Mnogi klijenti su iznenađeni obimom podataka koje obrađuju.
- Uvedite interne procedure i politike (npr. Politika privatnosti, Pravilnik o zaštiti podataka). Ova pravila moraju biti funkcionalna, a ne samo formalna.
- Za svaku kategoriju podataka odredite pravni osnov obrade – saglasnost, ugovor, zakonska obaveza ili opravdani interes. Različiti osnovi imaju različite zahteve.
- Obučite zaposlene o osnovnim obavezama u vezi sa rukovanjem podacima
- Uvedite tehničke mere zaštite – pristup lozinkama, kriptovanje, fizičko zaključavanje dokumenata. Ne postoji univerzalno rešenje – svako poslovanje zahteva individualni pristup.
- Ukoliko vam je neki od ovih koraka komplikovan ili nejasan – kulsultujte se sa advokatom oko tumačenja odredbi zakona za vaš konkretan slučaj
Zaključak
Zaštita podataka o ličnosti više nije stvar izbora – već obaveza. Kompanije su svakodnevno u poziciji da rukovode osetljivim ličnim informacijama, bilo da je reč o zaposlenima, kandidatima ili korisnicima.
Evropska unija konstantno razvija svoju praksu primene GDPR-a, a Srbija u procesu pristupanja mora harmonizovati svoju praksu. Očekuje se pooštravanje nadzora i povećanje kazni.
Nepoznavanje propisa ne oslobađa od odgovornosti. Ne čekajte da dođe poverenik. Ako niste sigurni da li vaša firma posluje u skladu sa Zakonom o zaštiti podataka o ličnosti i GDPR-om – vreme je da to proverite.
Daljinska trgovina i elektronska trgovina: obaveze trgovaca i prava potrošača
Pre samo nekoliko godina internet prodavnica je delovala kao novotarija. Danas poručujemo i kupujemo na „na klik“, preuzimamo u paketomatima, a isporuke stižu sa drugih
(NE)POSTOJANJE OBAVEZE STRANOG PRAVNOG LICA DA ODREDI PORESKOG PUNOMOĆNIKA I DA SE EVIDENTIRA ZA OBAVEZU PLAĆANJA PDV U SLUČAJU KADA OBAVLJA GRAĐEVINSKE RADOVE NA TERITORIJI REPUBLIKE SRBIJE
(NE)POSTOJANJE OBAVEZE STRANOG PRAVNOG LICA DA ODREDI PORESKOG PUNOMOĆNIKA I DA SE EVIDENTIRA ZA OBAVEZU PLAĆANJA PDV U SLUČAJU KADA OBAVLJA GRAĐEVINSKE RADOVE NA TERITORIJI
Advokatska tarifa 2025
ADVOKATSKA TARIFA 2025 Advokatska tarifa 2025 doneta je odlukom Upravnog odbora Advokatske komore Srbije dana 21. juna 2025. godine. Izmenom Tarife o nagradama i naknadama
Legalizacija u Srbiji i novi zakon „Konačno svoji na svome“?
Problemi sa nelegalno izgrađenim objektima u Srbiji traju decenijama. Pominje se broj od ukupno 4.8 miliona nelegalnih objekata. Država je i ranije pokušavala donošenjem novih
Zabrana izvršenja na jedinom stanu – šta donose izmene Zakona o izvršenju i obezbeđenju?
Pitanje zaštite doma od prinudne prodaje, odnosno zabrana izvršenja na jedinom stanu, jedno je od najosetljivijih pitanja u izvršnom postupku. S jedne strane imamo jasnu
Založno pravo na vazduhoplovu u Srbiji
Vazduhoplovi su po pravilu stvari velike vrednosti i stoga su vrlo podobna sredstva obezbeđenja potraživanja. Zavisno od toga da li su same ugovorne strane imale