Razlog usvajanja novog Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čija primena počinje 21. avgusta 2019. godine, jeste harmonizacija domaće pravne regulative sa propisima Evropske unije, koji obezbeđuju najviši nivo zaštite podataka o ličnosti, konkretno sa:
- Uredbom 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka, od 27.4.2016. godine (GDPR) i
- Direktivom 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka, od 27.4.2016. godine.
Između ostalog, novi zakonski okvir uvodi nove institute, u skladu sa vremenom u kome živimo: profilisanje, pseudonimizacija, obrada biometrijskih podataka, usluga informacionog društva, uvođenje IP adrese kao podatka o ličnosti, obavezna izrada Procene uticaja na zaštitu podataka, kao i obaveštenja lica na koje se podaci odnose o povredi podataka o ličnosti, pod Zakonom utvrđenim uslovima, i slično.
Zakon o zaštiti podataka o ličnosti je donet po uzoru na Opštu uredbu o zaštiti podataka o ličnosti - GDPR, propis koji se ne primenjuje u Republici Srbiji, već EU, i to od 25. maja 2018. godine. I jedan i drugi propis obezbeđuju najviši nivo zaštite podataka o ličnosti i u velikoj meri menjaju način poslovanja svih subjekata koji se bave prikupljanjem i obradom podataka o ličnosti.
Od trenutka kada je oblast zaštite podataka o ličnosti poslednji put regulisana na evropskom nivou - 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža, te su regulatori prepoznali potrebu detaljnijeg i strožijeg regulisanja zaštite ovih podataka od neovlašćenog, neopravdanog, i pre svega prekomernog korišćenja i prenosa drugim licima.
Podaci o ličnosti su Zakonom formulisani veoma uopšteno. Podaci o ličnosti su brojni i različiti, jer su to svi podaci na osnovu kojih se direktno ili posredno može identifikovati neko lice (odnosno u kombinaciji sa drugim podacima). Očigledan primer su ime i prezime, e-mail adresa i JMBG, ali to su takođe i zapis glasa, fotografija, video zapis lica, IP adresa i slično.
Određeni podaci o ličnosti uživaju posebnu zaštitu na osnovu Zakona, te je njihova obrada u najvećem broju slučajeva zabranjena. U pitanju su sledeći podaci:
- rasno ili etničko poreklo,
- političko opredeljenje,
- versko ili filozofsko uverenje, članstvo u sindikatu, kao i
- obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica,
- podataka o zdravstvenom stanju,
- podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
U većini slučajeva, adrese e-pošte i poslovne kontakt informacije se smatraju podacima o ličnosti. Podatak o ličnosti Zakon definiše kao bilo koju informaciju koja se odnosi na fizičko lice koje je na osnovu te informacije određeno ili odredivo.
Budući da poslovne adrese e-pošte uglavnom sadrže ime i prezime, naziv poslodavca na osnovu kojih se može odrediti gde je pojedino fizičko lice zaposleno, naziv radnog mesta fizičkog lica i slične podatke koji bliže određuju pojedino fizičko lice, smatraju se podacima o ličnosti.
Navedeno ne važi u slučaju da S-Leasing obrađuje poslovne kontakt podatke o fizičkom licu kada to lice nije u kontaktu sa S-Leasing-om u svom privatnom svojstvu već istupa u okviru svojih radnih ili zakonskih zaduženja, kao predstavnik svog poslodavca u poslovnom odnosu sa S-Leasing-om.
Obrada podataka o ličnosti nije samo stručna analiza podataka o korisniku na osnovu koje se odlučuje o poslovnom odnosu između korisnika i S-Leasinga, već se pod tim podrazumeva čak i samo prikupljanje i čuvanje podataka, beleženje, razvrstavanje, ograničavanje, brisanje ili uništavanje podataka, itd.
Erste Leasing u svom poslovanju obrađuje podatke o ličnosti u svrhu sklapanja i izvršenja ugovornog odnosa sa korisnikom, kao i u cilju ispunjavanja obaveza određenih zakonom i drugim propisima. Realizacija poslovnog odnosa sa Erste Leasingom nije moguća bez prikupljanja i obrade obaveznih i poslovno uslovljenih podataka.
Prva grupa podataka su identifikacioni podaci, kao i ostali podaci koje je Erste Leasing obavezan da prikupi u skladu sa Zakonom o sprečavanju pranja novca i finansiranja terorizma i ostalim pozitivnim propisima, i to: ime i prezime, adresa prebivališta i/ili boravišta, jedinstveni matični broj (JMBG), datum, mesto i država rođenja, državljanstvo/državljanstva i drugi podaci u skladu sa propisima.
Druga grupa podataka koje Erste Leasing prikuplja su oni čija je obrada neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji na zahtev lica na koje se podaci odnose, a pre zaključenja ugovora. Ovi podaci u konkretnom slučaju zavise od usluge/proizvoda koji se ugovara, odnosno koristi, pri čemu Erste Leasing strogo vodi računa o poštovanju principa „minimizacije podataka” (te vrši obradu samo onih podataka o ličnosti koji su neophodni u navedenu svrhu obrade).
Podatak neophodan za izvršenje ugovora može biti i kontakt podatak, ukoliko je isti potreban za realizaciju usluge ili proizvoda Erste Leasinga (npr. adresa e-pošte ili broj mobilnog telefona za uslugu slanja SMS-a o stanju duga).
Treća grupa podataka su kontakt podaci kao dobrovoljno dati podaci, koji služe da Vas Erste Leasing na najbrži i najjednostavniji način obavesti o činjenicama značajnim za proizvod i uslugu za koju ste iskazali interes ili koju koristite, te da dostavi ostale korisne informacije/dokumentaciju na Vaš zahtev, s tim što to može biti i pravna obaveza Erste Leasinga.
Pristanak na obradu podataka možete dati za jednu ili više tačno definisanih svrha obrade, kao što su:
- Kreiranje posebnih ponuda/preporuka o proizvodima, uslugama i mogućnostima njihovog korišćenja (personalizovani marketing), kako biste kao korisnik efikasnije upravljali svojim finansijama.
- Povremeno informisanje o proizvodima i uslugama, pogodnostima, novostima i promenama u poslovanju Erste Leasinga, članica Erste Grupe i poslovnih partnera sa kojima možete ugovoriti saradnju preko Erste Leasinga (direktni marketing), kako bi Vam na raspolaganju bile za Vas korisne informacije o poslovanju Erste Leasinga, proizvodima i uslugama koji Vas mogu interesovati.
- Unapređenje proizvoda i usluga Erste Leasinga prema vašim zahtevima i očekivanjima, a na osnovu rezultata povremenih istraživanja o vašem zadovoljstvu i iskustvu u vezi sa korišćenjem proizvoda i usluga Erste Leasinga.
U svakom trenutku dat pristanak za obradu podataka možete povući (opozvati), tako da S-Leasing nakon toga više neće obrađivati Vaše podatke u svrhu za koju je pristanak bio dat.
Erste Leasing u odnosu na poslovni odnos sa korisnikom ne koristi automatizovano pojedinačno donošenje odluka kojom se proizvode negativne pravne posledice po to lice.
Erste Leasing ima zakonsku obavezu u skladu sa Zakonom o finansijskom lizingu i relevantnim podzakonskim aktima da izračunava kreditnu ocenu (rejting). Kreditna ocena određuje se upoređivanjem statističkih modela na temelju dostupnih podataka, između ostalog, podataka prikupljenih od korisnika, podataka o proizvodima i uslugama koje korisnik koristi, kao i urednosti u podmirivanju obaveza.
Pojedine procese obrade podataka Erste Leasing obavlja koristeći usluge pružaoca usluga, uz primenu odgovarajućih tehničkih i organizacionih mera zaštite podataka o ličnosti, npr. pružaoca IT usluga, usluga arhiviranja, ispisa i slanja dopisa korisnicima, itd.
Erste Leasing vodi računa da su ti pružaoci usluga uvek iz Republike Srbije, EU ili država koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, a čime je osiguran najviši stepen zaštite podataka o ličnosti korisnika, shodno Zakonu o zaštiti podataka o ličnosti. Takođe, Erste Leasing je u slučaju poveravanja obrade podataka trećem licu (pružaocu usluga) dužan da ugovorom obezbedi isti nivo zaštite koji sam pruža u ovoj oblasti, a u skladu sa Zakonom.
Pored toga, Erste Leasing ima pravo, a u određenim slučajevima i obavezu, da podatke o ličnosti prosledi:
- članovima svojih organa, svojim članovima društva, članicama Erste Grupe čiju ažuriranu listu možete pronaći na sledećoj web stranici https://www.erstegroup.com/en/about-us
- spoljnom revizoru Erste Leasinga,
- Kreditnom birou Udruženja banaka Srbije,
- Narodnoj banci Srbije,
- drugim državnim organima i licima koji zbog prirode posla koji obavljaju moraju imati pristup takvim podacima, a u skladu sa zakonom.
Lice na koje se podaci odnose ima pravo na pristup podacima o ličnosti koji se obrađuju od strane Erste Leasinga.
U slučajevima predviđenim Zakonom o zaštiti podataka o ličnosti, lice na koje se podaci odnose ima pravo da zahteva brisanje podataka, kao i ograničenje obrade.
Pravo koje je takođe garantovano Zakonom je pravo na ispravku i ažuriranje podataka, no ovde napominjemo da je u poslovnom odnosu ispravka i ažuriranje podataka ugovorna obaveza korisnika Erste Leasinga, te da se ta obaveza sprovodi u skladu sa ugovorom, u najvećem broju slučajeva uz prilaganje dokaza koji ukazuje da je podatak potrebno ispraviti (na primer, promena lične karte, adrese i slično).
Lice na koje se podaci odnose, pod uslovima određenim Zakonom o zaštiti podataka o ličnosti, ima pravo na prenosivost podataka o ličnosti, odnosno pravo da podatke koje je prethodno dostavilo Erste Leasingu primi od njega, a radi prenosa drugom rukovaocu, kao i pravo da podaci o njemu budu neposredno preneti drugom rukovaocu od strane Erste Leasinga, ukoliko je to tehnički izvodljivo i ukoliko je, u skladu sa procenom Erste Leasinga, obezbeđen potreban standard bezbednosti prenosa podataka o ličnosti. Za sada ovi standardi na nivou finansijskog sektora u našoj državi još uvek nisu definisani.
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice čiji se podaci obrađuju ima pravo da u svakom trenutku podnese Erste Leasingu kao rukovaocu prigovor na obradu njegovih podataka o ličnosti, koja se vrši u skladu sa Zakonom o zaštiti podataka o ličnosti, uključujući i profilisanje koje se zasniva na tom zakonu.
Ako Erste Leasing ne postupi po zahtevu lica čiji se podaci obrađuju, dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja i u zakonskom roku i da ga pouči o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Pravo na brisanje nije apsolutno pravo. Moguće je staviti ga na snagu samo ako podaci više nisu potrebni za svrhu za koju su izvorno prikupljeni i za koju i dalje postoji pravni osnov obrade. Imajte u vidu da određene podatke Erste Leasing mora da obrađuje već na osnovu samog Zakona (recimo, Zakon o sprečavanju pranja novca i finansiranja terorizma određuje veliki set obaveznih podataka), kao i da bi uopšte mogao da izvršava svoje ugovorne obaveze sa korisnikom.
U velikom broju slučajeva pojedini zakoni direktno zabranjuju brisanje u tačno određenom vremenskom roku nakon prestanka poslovnog odnosa (na primer, spomenuti Zakon o sprečavanju pranja novca i finansiranja terorizma propisuje jasnu obavezu za Erste Leasing da podatke i dokumentaciju u vezi sa strankom, uspostavljenim poslovnim odnosom sa strankom, izvršenom analizom rizika i izvršenom transakcijom, čuva najmanje deset godina od dana okončanja poslovnog odnosa).
Takođe, Zakon propisuje i tzv. legitimni interes za obradu podataka o ličnosti bez pristanka, koji jeste punovažni pravni osnov za obradu, recimo, u slučaju zaštite Erste Leasinga u sudskom postupku sa korisnikom koji i dalje traje, radi sprečavanja prevarnih radnji u Erste Leasingu, sprečavanja ugrožavanja bezbednosti korisnika i slično. Ovaj legitimni interes je nužno tumačiti veoma restriktivno, što Erste Leasing i čini.
Erste Leasing je u skladu sa Zakonom imenovao posebno, nezavisno i stručno Lice za zaštitu podataka o ličnosti, čiji je kontakt e-mail adresa: zastita.podataka@s-leasing.rs.
Zahtev za ostvarivanje svojih prava korisnik, odnosno lice čiji se podaci obrađuju, podnosi Erste Leasingu uvek uz popunjavanje određene forme za predmetni zahtev koji dostavlja:
- neposredno, u sedištu Erste Leasinga,
- u pisanoj formi, putem redovne pošte, pod uslovom da je naznačena adresa pošiljaoca upravo adresa koju je korisnik prijavio Erste Leasingu kao zvaničan kanal komunikacije.
Erste Leasing je dužan da korisniku, odnosno licu čiji se podaci obrađuju, pruži informacije o postupanju na osnovu njenog/njegovog zahteva najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana, ako je to neophodno.
Da, ali ova saglasnost mora biti evidentirana i dokumentovana (u konkretnom slučaju snimljena uz prethodnu saglasnost datu za snimanje razgovora) za slučajeve kontrole od strane nadzornog organa (Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti) i mora zadovoljiti sve zahteve Zakona za ispravno davanje saglasnosti (uključujući i identifikaciju korisnika u skladu sa Zakonom, što nije uvek moguće, ili samo za ograničenu obradu podataka za koju identifikacija nije neophodna – npr. samo za kontakt telefon u smislu budućeg poziva od strane Erste Leasinga).
Da, moguće je pristanak na obradu podataka dati i putem mejla, ali samo u tačno određene svrhe, o kojima se možete informisati na vebsajtu, kao i u sedištu Erste Leasinga.
U svrhu bezbednosti vaših podataka, i u ovom slučaju moraju biti ispunjeni određeni preduslovi, a to su: adekvatna identifikacija korisnika u skladu sa Zakonom, kao i kontaktiranje Erste Leasinga isključivo preko adrese elektronske pošte prethodno prijavljene S-Leasingu kao kanal komunikacije sa korisnikom.