28 maj
Pitanje:
Molimo pojašjenje člana 39. stav (1) tačka a) tj. Izuzetak od obaveze imenovanja službenia za zaštitu ličnih podataka za sudove koji postupaju u okviru sudske nadležnosti. Šta tačno podrazumijeva ova odredba za sudove.
Odgovor:
Novi Zakon o zaštiti ličnih podataka u članu 39. (Imenovanje službenika za zaštitu ličnih podataka), u stavu (1) propisuje da su kontrolor podataka i obrađivač dužni imenovati službenika za zaštitu ličnih podataka u slučajevima: a) ako obradu vrši javni organ, osim sudova koji postupaju u okviru sudske nadležnosti.
Navedeno znači da su sudovi izuzeti od obaveze imenovanja službenika za zaštitu ličnih podataka kada obrađuju npr. lične podatke stranaka u sudskim postupcima koji se vode pred sudovima, dakle , kada obavljaju poslove iz sudske nadležnosti propisane zakonom.
Međutim, za pravilno i efikasno funkcionisanje, sudovi obavljaju i druge, administrativne poslove, sarađuju sa drugim institucijama, pa i sa Agencijom za zaštitu ličnih podataka u Bosni i Hercegovini u kom slučaju bi od izuzetne važnosti bilo da kontakt osoba između suda i Agencije bude službenik za zaštitu lični podataka.
Stoga, preporuka je da, bez obzira što sudovi nisu u obavezi imenovati služenika za zaštitu ličnih podataka prilikom obavljanja poslova iz sudske naležnosti, za obavljanje svih drugih poslova koji obuhvataju i obradu ličnih podataka, imenuju takvog služenika koji će ujedno biti kontakt osoba sa Agencijom za zaštitu linih podataka u Bosni i Hercegovini
Pitanje:
Da li svaka institucija ima obavezu donijeti Kodeks ponašanja iz člana 42. Zakona, te da li se radi o posebnom aktu ili to može biti dio etičkog kodeksa koji većina institucija već ima.
Odgovor:
U smislu člana 42. Zakona Agencija za zaštitu ličnih podataka izdaje preporuku za izradu kodeksa ponašanja s ciljem pravilne primjene Zakona o zaštiti ličnih podataka, uzimajući u obzir specifičnost različitih sektora obrade i posebne potrebe mikro, malih i srednjih privrednih subjekata.
Zakon o zaštiti ličnih podataka (“Službeni glasnik BiH” br. 49/06, 76/11 i 89/11 ) koji je još uvijek u primjeni, je u članu 11. propisao obavezu javnih organa da donesu Pravilnik o provođenju Zakona o zaštiti ličnih podataka a svi kontrolori, bez obzira da li su javni organi ili ne, moraju donijeti Plan sigurnosti podataka kojim se određuju tehničke i organizacione mjere za sigurnost ličnih podataka koje brađuju.
Imaući u vidu član 42. novog Zakona o zaštiti ličnih podataka, kojim je propisano da Kodeks ponašanja treba da sadrži: pravičnu i transparentnu obradu; legitimne interese kontrolora podataka u posebnim kontekstima, prikupljanje ličnih podataka; informisanost javnosti i nosioca podataka; ostvarivanje prava nosioca podataka; oganizacione i tehničke mjere i tehniču i integrisanu zaštitu podataka, te sigurnost podataka uzimajući u obzir pseudonimizaciju i enkripciju ličnih podataka, jasno je da Kodeks ponašanja objedinjuje sve ono što treba da sadrži Pravilnik i Plan sigurnosti.
Stoga, Kodeks ponašanja u smislu člana 42. Zakona, nije i ne može biti dio Etičkog kodeksa.
Pitanje:
Saglasnost za obradu ličnih podataka uposlenika kao klauzula, odnosno, dio ugovora o radu, da li bi bilo prihvatljivo ili je možda preporuka da navedena saglasnost bude u vidu zasebnog dokumenta?
Odgovor:
Ugovor o radu ne treba da sadrži bilo kakvu klauzulu kao saglasnost za obadu ličnih podataka uposlenika niti bi takva saglasnost trebala biti u vidu posebnog dokumenta. Naime, samim potpisivanjem ugovora o radu, koji je kao obavezan dokumenat čija je sadržina propisana Zakonom o radu, uposlenik daje poslodavcu saglasnost za obradu njegovih ličnih u svrhu ostvarivanja prava iz radng odnosa.
Pitanje:
Ako saglasnost mora biti data dobrovoljno, a natpis o videonadzoru sprečava osobu da uđe npr. u neku instituciju, na koji način možemo potvrditi da je saglasnost data dobrovoljno- jer je „iznuđena“ zato što je vezana za pružanje usluge koju ta institucija pruža“
Odgovor:
U članu 4. Novog Zakona o zaštiti ličnih podataka date su definicije i značnja pojedinih izraza, te je u tački n) data definicija saglasnosti na način da je “saglasnost” nosioca podataka svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje volje nosioca podataka kada on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu ličnih podataka koji se na njega odnose.
U naprijed navedenom slučaju ne radi o pisanoj izjavi već o jasno potvrdnoj radnji ili konkldntnoj radnj nosioca podataka. Naime, nosilac podataka je slobodno izraženom voljom dao saglasnost jer je ušao u instituciju na kojoj je bio istaknut natpis da je objekat pod videonadzorom. Dakle, nosilac podataka je bio obavješten da će ulaskom u objekat njegovi lični podaci biti obrađeni putem kamera videonadzora, te je ulaskom u objekat praktično dao saglasnost za takvu obradu. Prema tome, ne radi se o „iznuđenoj“ saglasnosti jer je nosilac podataka prije obrade upoznat da će njegovi lični podaci biti obađeni na naprijed navedni način.
Da na ulasku u instituciju nije bilo obavještenje da je objekat pod videonadzorom a nosilac podataka ušao u taj objekat, to bi bila „iznuđena“ saglasnost jer isti nije bio obavješten o takvoj obradi njegovih ličnih podataka.
Pitanje:
Ako banka prati dospjeće zadnjih rata kredita i pred dospjeće zadnje rate- da li kreditni službenik može dobiti na uvid kompletnu listu (veći broj klijenata) kako bi ih kontaktirao i animirao za sljedeći kredit?
Odgovor:
U članu 7. Novog Zakona o zaštiti ličnih podataka propisani su principi obrade ličnih podataka te je u stavu (1) tačka b) istog propisan princip ograničenja svrhe, u smislu da podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
U konkretnom slučaju, kreditni službenik ne može dobiti lične podatke većeg broja klijenata koji ispaćuju kredit kako bi ih animirao za novi kredit jer je klijent dao saglasnost za obradu samo u slučaju odobravanja postojećeg kredita. Isplatom kredita ispujena je svrha obrade prikupljenih ličnih podataka, te se isti ne mogu koristiti u duge svrhe. Ukoliko bi kreditnom službeniku bili dostavljeni traženi lični podaci isti bi se koristili u svrhu direktnog marketinga , nuđenja novih kredita a ne u svrhu odobravanja kredita.
U članu 23. stavovi (2), (3) i (4) Novog Zakona o zaštiti ličnih podataka propisano je: „Ako se lični podatak obrađuje za potrebe direktnog marketinga, nosilac podataka ima pravo u bilo kojem trenutku uložiti prigovor na obradu ličnog podatka koji se odnosi na njega, za potrebe takvog marketinga…..Ako se nosilac podataka protivi obradi za potrebe direktnog marketinga, lični podatak više se ne smije obrađivati u te svrhe.“ Najkasnije u trenutku prve komunikacije s nosiocem podataka, isti se izričito mora uputiti na pravo da podnese prigovor i to se mora učiniti na jasan način i odvojeno od bilo koje druge informacije.
Ul. Nahorevska br.13, 71000 Sarajevo
Tel.: +387 (033) 863-446,
Fax.: +387 (033) 472-317,
Mob.: +387 (061) 849-330.
e-mail: info@apke.ba
JIB - Poreski (ID) broj: 4302447020000
PDV broj: 302447020000
UniCredit Bank d.d. Sarajevo 3387202206410406,