Šta su standardne ugovorne klauzule i zašto su važne?

Kada firma iz Srbije koristi cloud servis van zemlje ili sarađuje sa partnerima u inostranstvu koji obrađuju lične podatke, postavlja se pitanje sigurnosti: da li su ti podaci zaštićeni na adekvatan način? Ako zaštita podataka nije obezbeđena, veći je rizik da podaci o ličnosti budu zloupotrebljeni.

Podaci o ličnosti

Podaci o ličnosti su informacije koje se odnose na pojedinca i putem kojih se osoba može identifikovati, direktno ili indirektno. To mogu biti ime, adresa, JMBG, IP adresa, ali i podaci o navikama, ponašanju ili potrošačkim sklonostima. Upravo zato se smatraju osetljivim, jer njihovo neadekvatno korišćenje može dovesti do povrede privatnosti ili zloupotrebe. 

Prenos u inostranstvo je posebno rizičan. Kada se podaci o zaposlenima, klijentima ili korisnicima prenose van granica Srbije, oni izlaze iz domaćeg pravnog okvira.

Regulativa

U Evropskoj uniji od 2018. godine važi Opšta uredba o zaštiti podataka o ličnosti (GDPR), koja garantuje sigurno rukovanje podacima i daje pojedincu pravo da zna ko i kako koristi njegove podatke. 

Srbija je 2019. godine donela Zakon o zaštiti podataka o ličnosti, po uzoru na GDPR, pa su pravila kod nas u velikoj meri usklađena sa evropskim standardima. 

Zakon kaže da se podaci o ličnosti mogu prenositi u inostranstvo samo ako ta država obezbeđuje primeren nivo zaštite. Ako takva zaštita nije obezbeđena, prenos je dozvoljen jedino uz primenu dodatnih mera zaštite i garancije da će prava lica biti zaštićena, kao što su standardne ugovorne klauzule.

Standardne ugovorne klauzule

Standardne ugovorne klauzule (SUK) su unapred pripremljeni ugovorni obrasci koji se koriste prilikom prenošenja podataka o ličnosti u zemlje koje nemaju adekvatan nivo zaštite. 

Umesto da svaka strana piše komplikovane pravne formulacije, u ugovor se dodaje gotov šablon koji već sadrži sve potrebne elemente (obaveze rukovaoca i obrađivača, mere zaštite, odgovornost za eventualne povrede i slično). 

Tako se osigurava zakonito rukovanje podacima o ličnosti prilikom prenošenja van granica Srbije, gde god da putuju ti podaci.

Šta piše u standardnim ugovornim klauzulama?

SUK obično sadrže odredbe koje 

• Definišu odnos između rukovaoca i obrađivača;
• Propisuju obaveze obrađivača (da radi isključivo po instrukcijama rukovaoca, da obezbedi poverljivost podataka i slično);
• Uređuju postupanje u slučaju povrede podataka (obaveštavanje, odgovornost); i
• Određuju pravila o brisanju ili vraćanju podataka nakon završetka obrade.

Klauzula o obavezama rukovaoca: 

Rukovalac je dužan da vrši obradu podataka o ličnosti u skladu sa Zakonom, kao i da primeni sve mere zaštite podataka i obezbedi ostvarivanje prava i sloboda lica na koja se podaci odnose. Rukovalac se obavezuje da će obrađivaču izdavati uputstva u vezi sa obradom podataka o ličnosti u pisanom obliku, kao i da će ista biti jasna, precizna i u svemu u skladu sa važećim propisima.

Ova klauzula pokazuje da rukovalac nosi punu odgovornost za zakonitost obrade i da mora jasno da usmerava obrađivača.

Klauzula o proceni uticaja: 

Uzimajući u obzir prirodu obrade i informacije koje su mu dostupne, obrađivač je dužan da pomaže rukovaocu u ispunjavanju njegove obaveze koja se tiče procene uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti i obaveze da zatraži mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti pre započinjanja radnje obrade.

Ova klauzula jasno pokazuje da obrađivač mora aktivno pomagati rukovaocu u proceni rizika obrade podataka. Odgovornost je na rukovaocu, ali obrađivač ima obavezu saradnje i podrške.

Zemlje koje imaju primeren nivo zaštite

Postoji zvanična lista „sigurnih“ zemalja, sa primerenom zaštitom podataka. Na toj listi nalaze se sve zemlje EU, članice Evropske ekonomske oblasti (Norveška, Island, Lihtenštajn), kao i Švajcarska, Andora, Farska ostrva i još nekoliko država. 

Ako se lični podaci prenose u ove zemlje, prenos je dozvoljen i bez SUK. Ako se podaci šalju u zemlje van liste, poput SAD-a, Kine ili Indije, SUK su obavezne kako bi se obezbedila zakonitost i zaštita privatnosti.

Kako se koriste SUK?

Iako zvuče apstraktno, SUK su jednostavne za primenu. Firme u Srbiji koje razmenjuju podatke o ličnosti sa inostranstvom treba da isprate sledeće korake:

1. Provera liste „sigurnih zemalja“ – zvanična lista država sa primerenim nivoom zaštite podataka nalazi se ovde. Ako zemlja nije na listi, obavezno se koriste SUK;

2. Preuzimanje teksta SUK – tekst je dostupan na sajtu Poverenika i u „Službenom glasniku RS“ (br. 5/2020);

3. Uključivanje SUK u ugovor – SUK se dodaju kao aneks postojećeg ugovora (npr. ugovor o usluzi). Ako nema osnovnog ugovora, SUK mogu biti samostalan ugovor. Važno je da se koriste u celosti i bez izmena, jer samo u originalu imaju status „standardnih“;

4. Popunjavanje priloga – popunjavaju se samo prilozi koji se odnose na konkretan posao (npr. prenos podataka u inostranstvo);

5. Potpisivanje i čuvanje ugovora – obe strane potpisuju ugovor u pisanom ili elektronskom obliku. Dokument se čuva kao dokaz da je prenos podataka o ličnosti zakonit.

Rezime

Podaci o ličnosti su informacije putem kojih se osoba može identifikovati, direktno ili indirektno, pa se zato smatraju osetljivim i zahtevaju posebnu zaštitu.

Kada se takvi podaci prenose van granica naše zemlje, potreban je povećan oprez jer izlaze iz domaćeg pravnog okvira.

Pre prenosa u inostranstvo, neophodno je proveriti da li država prijema obezbeđuje primeren nivo zaštite podataka.

Ako takva zaštita ne postoji, u ugovor se obavezno dodaju standardne ugovorne klauzule, kao dodatna garancija zakonitosti i sigurnosti obrade.

Time se osigurava zaštita podataka o ličnosti kada se koriste van domaćeg pravnog okvira.