- Uredbom 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka, od 27.4.2016. godine (GDPR) i
- Direktivom 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka, od 27.4.2016. godine.
Razlog usvajanja novog Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čija primena počinje 21. avgusta 2019. godine, jeste harmonizacija domaće pravne regulative sa propisima Evropske unije, koji obezbeđuju najviši nivo zaštite podataka o ličnosti, konkretno sa:
Između ostalog, novi zakonski okvir uvodi nove institute, u skladu sa vremenom u kome živimo: profilisanje, pseudonimizacija, obrada biometrijskih podataka, usluga informacionog društva, uvođenje IP adrese kao podatka o ličnosti, obavezna izrada Procene uticaja na zaštitu podataka, kao i obaveštenja lica na koje se podaci odnose o povredi podataka o ličnosti, pod Zakonom utvrđenim uslovima, i slično.
Zakon o zaštiti podataka o ličnosti je donet po uzoru na Opštu uredbu o zaštiti podataka o ličnosti - GDPR, propis koji se ne primenjuje u Republici Srbiji, već EU, i to od 25. maja 2018. godine. I jedan i drugi propis obezbeđuju najviši nivo zaštite podataka o ličnosti i u velikoj meri menjaju način poslovanja svih subjekata koji se bave prikupljanjem i obradom podataka o ličnosti.
Od trenutka kada je oblast zaštite podataka o ličnosti poslednji put regulisana na evropskom nivou - 1995. godine, svet se suočio sa ekspanzijom komunikacija i pojavom društvenih mreža, te su regulatori prepoznali potrebu detaljnijeg i strožijeg regulisanja zaštite ovih podataka od neovlašćenog, neopravdanog, i pre svega prekomernog korišćenja i prenosa drugim licima.
- rasno ili etniÄko poreklo,
- politiÄko opredeljenje,
- versko ili filozofsko uverenje, Älanstvo u sindikatu, kao i
- obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica,
- podataka o zdravstvenom stanju,
- podataka o seksualnom životu ili seksualnoj orijentaciji fiziÄkog lica.
- rasno ili etničko poreklo,
- političko opredeljenje,
- versko ili filozofsko uverenje, članstvo u sindikatu, kao i
- obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica,
- podataka o zdravstvenom stanju,
- podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
Podaci o liÄnosti su Zakonom formulisani veoma uopÅ¡teno. Podaci o liÄnosti su brojni i razliÄiti, jer su to svi podaci na osnovu kojih se direktno ili posredno može identifikovati neko lice (odnosno u kombinaciji sa drugim podacima). OÄigledan primer su ime i prezime, e-mail adresa i JMBG, ali to su takoÄe i zapis glasa, fotografija, video zapis lica, IP adresa i sliÄno.
OdreÄeni podaci o liÄnosti uživaju posebnu zaÅ¡titu na osnovu Zakona, te je njihova obrada u najveÄem broju sluÄajeva zabranjena. U pitanju su sledeÄi podaci:
Podaci o ličnosti su Zakonom formulisani veoma uopšteno. Podaci o ličnosti su brojni i različiti, jer su to svi podaci na osnovu kojih se direktno ili posredno može identifikovati neko lice (odnosno u kombinaciji sa drugim podacima). Očigledan primer su ime i prezime, e-mail adresa i JMBG, ali to su takođe i zapis glasa, fotografija, video zapis lica, IP adresa i slično.
Određeni podaci o ličnosti uživaju posebnu zaštitu na osnovu Zakona, te je njihova obrada u najvećem broju slučajeva zabranjena. U pitanju su sledeći podaci:
U većini slučajeva, adrese e-pošte i poslovne kontakt informacije se smatraju podacima o ličnosti. Podatak o ličnosti Zakon definiše kao bilo koju informaciju koja se odnosi na fizičko lice koje je na osnovu te informacije određeno ili odredivo.
Budući da poslovne adrese e-pošte uglavnom sadrže ime i prezime, naziv poslodavca na osnovu kojih se može odrediti gde je pojedino fizičko lice zaposleno, naziv radnog mesta fizičkog lica i slične podatke koji bliže određuju pojedino fizičko lice, smatraju se podacima o ličnosti.
Navedeno ne važi u slučaju da Banka obrađuje poslovne kontakt podatke o fizičkom licu kada to lice nije u kontaktu sa Bankom u svom privatnom svojstvu (npr. kao ugovorna strana u okviru ugovora o kreditu koji uzima u svoje ime i za svoj račun), već istupa u okviru svojih radnih ili zakonskih zaduženja, kao predstavnik svog poslodavca u poslovnom odnosu sa Bankom.
Da, sistemi video nadzora takođe obrađuju podatke o ličnosti (identifikovanje aktivnosti fizičkog lica). Dobijanje pismenog pristanka od lica u ovom slučaju nije neophodno u skladu sa Zakonom, a sad druge strane nije ni fizički uvek moguće. Zbog toga je važno utvrditi pravnu osnovu za obradu video zapisa, a to je legitimni interes Banke da spreči kriminalne aktivnosti i ugrožavanje bezbednosti njenih klijenata i zaposlenih, te imovine Banke i imovine klijenata koja je Banci poverena na čuvanje ili upravljanje.
Obrada podataka o ličnosti nije samo stručna analiza podataka o klijentu na osnovu koje se odlučuje o poslovnom odnosu između klijenta i Banke, već se pod tim podrazumeva čak i samo prikupljanje i čuvanje podataka, beleženje, razvrstavanje, ograničavanje, brisanje ili uništavanje podataka, itd.
Banka u svom poslovanju obrađuje podatke o ličnosti u svrhu sklapanja i izvršenja ugovornog odnosa sa klijentom, kao i u cilju ispunjavanja obaveza određenih zakonom i drugim propisima. Realizacija poslovnog odnosa sa Bankom nije moguća bez prikupljanja i obrade obaveznih i poslovno uslovljenih podataka.
Prva grupa podataka su identifikacioni podaci, kao i ostali podaci koje je Banka obavezna da prikupi u skladu sa Zakonom o sprečavanju pranja novca i finansiranja terorizma i ostalim pozitivnim propisima, i to: ime i prezime, adresa prebivališta i/ili boravišta, jedinstveni matični broj (JMBG), datum, mesto i država rođenja, državljanstvo/državljanstva i drugi podaci u skladu sa propisima.
Druga grupa podataka koje Banka prikuplja su oni čija je obrada neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji na zahtev lica na koje se podaci odnose, a pre zaključenja ugovora. Ovi podaci u konkretnom slučaju zavise od usluge/proizvoda koji se ugovara, odnosno koristi, pri čemu Banka strogo vodi računa o poštovanju principa „minimizacije podataka” (te vrši obradu samo onih podataka o ličnosti koji su neophodni u navedenu svrhu obrade).
Podatak neophodan za izvršenje ugovora može biti i kontakt podatak, ukoliko je isti potreban za realizaciju usluge ili proizvoda Banke (npr. adresa e-pošte za netbanking uslugu ili broj mobilnog telefona za uslugu slanja SMS-a o stanju/prometu po računu).
Treća grupa podataka su kontakt podaci kao dobrovoljno dati podaci, koji služe da Vas Banka na najbrži i najjednostavniji način obavesti o činjenicama značajnim za proizvod i uslugu za koju ste iskazali interes ili koju koristite, te da dostavi ostale korisne informacije/dokumentaciju na Vaš zahtev, s tim što to može biti i pravna obaveza Banke (npr. obaveza Banke da šalje izvode po računu).
- Kreiranje posebnih ponuda/preporuka o proizvodima, uslugama i mogućnostima njihovog korišćenja (personalizovani marketing), kako biste kao klijent efikasnije upravljali svojim finansijama.
- Povremeno informisanje o proizvodima i uslugama, pogodnostima, nagradnim igrama, novostima i promenama u poslovanju Banke, članica Erste Grupe i poslovnih partnera sa kojima možete ugovoriti saradnju preko Banke (direktni marketing), kako bi Vam na raspolaganju bile za Vas korisne informacije o poslovanju Banke, proizvodima i uslugama koji Vas mogu interesovati.
- Unapređenje proizvoda i usluga Banke prema vašim zahtevima i očekivanjima, a na osnovu rezultata povremenih istraživanja o vašem zadovoljstvu i iskustvu u vezi sa korišćenjem proizvoda i usluga Banke.
Pristanak na obradu podataka možete dati za jednu ili više tačno definisanih svrha obrade, kao što su:
U svakom trenutku dat pristanak za obradu podataka možete povući (opozvati), tako da Banka nakon toga više neće obrađivati Vaše podatke u svrhu za koju je pristanak bio dat.
Banka u odnosu na poslovni odnos sa klijentom ne koristi automatizovano pojedinačno donošenje odluka kojom se proizvode negativne pravne posledice po to lice.
Za klijente koji koriste proizvode i usluge sa kreditnom izloženošću, Banka ima zakonsku obavezu u skladu sa Zakonom o bankama i relevantnim podzakonskim aktima da izračunava kreditnu ocenu (rejting). Kreditna ocena određuje se upoređivanjem statističkih modela na temelju dostupnih podataka, između ostalog, podataka prikupljenih od klijenta, podataka o proizvodima i uslugama koje klijent koristi, kao i urednosti u podmirivanju obaveza.
- članovima svojih organa, svojim akcionarima, članicama Erste Grupe čiju ažuriranu listu možete pronaći na sledećoj web stranici https://www.erstegroup.com/en/about-us
- spoljnom revizoru Banke,
- Kreditnom birou Udruženja banaka Srbije,
- Narodnoj banci Srbije,
- drugim državnim organima i licima koji zbog prirode posla koji obavljaju moraju imati pristup takvim podacima, a u skladu sa Zakonom o bankama.
Pojedine procese obrade podataka Banka obavlja koristeći usluge pružaoca usluga, uz primenu odgovarajućih tehničkih i organizacionih mera zaštite podataka o ličnosti, npr. pružaoca IT usluga, usluga arhiviranja, ispisa i slanja dopisa klijentima, pružaoca usluga procesuranja kartičnih transakcija, pružaocausluga izrade (personalizacije) kartica i PIN-ova itd.
Banka vodi računa da su ti pružaoci usluga uvek iz Republike Srbije, EU ili država koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, a čime je osiguran najviši stepen zaštite podataka o ličnosti klijenata, shodno Zakonu o zaštiti podataka o ličnosti. Takođe, Banka je u slučaju poveravanja obrade podataka trećem licu (pružaocu usluga) dužna da ugovorom obezbedi isti nivo zaštite koji sama pruža u ovoj oblasti, a u skladu sa Zakonom.
Pored toga, Banka ima pravo, a u određenim slučajevima i obavezu, da podatke o ličnosti prosledi:
Banka putem analitičkog Google servisa dobija anonimne izveštaje (bez prenosa podataka o ličnosti konkretnog klijenta) u slučaju da se dogodi kvar ili defekt u performansama korišćenja aplikacije a u cilju njihovog pravovremenog otklanjanja i omogućavanja stabilnog korišćenja mBanking-a.
Banka radi vršenja usluga platnog prometa putem korišćenja navedenog platnog instrumenta (pravni osnov – izvršavanje ugovora zaključenog sa licem na koje se podaci odnose) mora imati uvid u lične podatke klijenta koji koristi aplikaciju. Navedeno je regulisano Okvirnim ugovorom I Opštim uslovima poslovanja banke.
Lice na koje se podaci odnose ima pravo na pristup podacima o ličnosti koji se obrađuju od strane Banke.
U slučajevima predviđenim Zakonom o zaštiti podataka o ličnosti, lice na koje se podaci odnose ima pravo da zahteva brisanje podataka, kao i ograničenje obrade.
Pravo koje je takođe garantovano Zakonom je pravo na ispravku i ažuriranje podataka, no ovde napominjemo da je u bankarskom poslovnom odnosu ispravka i ažuriranje podataka ugovorna obaveza klijenta Banke, te da se ta obaveza sprovodi u skladu sa ugovorom, u najvećem broju slučajeva uz prilaganje dokaza koji ukazuje da je podatak potrebno ispraviti (na primer, promena lične karte, adrese i slično).
Lice na koje se podaci odnose, pod uslovima određenim Zakonom o zaštiti podataka o ličnosti, ima pravo na prenosivost podataka o ličnosti, odnosno pravo da podatke koje je prethodno dostavilo Banci primi od nje, a radi prenosa drugom rukovaocu, kao i pravo da podaci o njemu budu neposredno preneti drugom rukovaocu od strane Banke, ukoliko je to tehnički izvodljivo i ukoliko je, u skladu sa procenom Banke, obezbeđen potreban standard bezbednosti prenosa podataka o ličnosti. Za sada ovi standardi na nivou bankarskog sektora u našoj državi još uvek nisu definisani.
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice čiji se podaci obrađuju ima pravo da u svakom trenutku podnese Banci kao rukovaocu prigovor na obradu njegovih podataka o ličnosti, koja se vrši u skladu sa Zakonom o zaštiti podataka o ličnosti, uključujući i profilisanje koje se zasniva na tom zakonu.
Ako Banka ne postupi po zahtevu lica čiji se podaci obrađuju, dužna je da o razlozima za nepostupanje obavesti to lice bez odlaganja i u zakonskom roku i da ga pouči o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Pravo na brisanje nije apsolutno pravo. Moguće je staviti ga na snagu samo ako podaci više nisu potrebni za svrhu za koju su izvorno prikupljeni i za koju i dalje postoji pravni osnov obrade. Imajte u vidu da određene podatke Banka mora da obrađuje već na osnovu samog Zakona (recimo, Zakon o sprečavanju pranja novca i finansiranja terorizma određuje veliki set obaveznih podataka), kao i da bi uopšte mogla da izvršava svoje ugovorne obaveze sa klijentom.
U velikom broju slučajeva pojedini zakoni direktno zabranjuju brisanje u tačno određenom vremenskom roku nakon prestanka poslovnog odnosa (na primer, spomenuti Zakon o sprečavanju pranja novca i finansiranja terorizma propisuje jasnu obavezu za Banku da podatke i dokumentaciju u vezi sa strankom, uspostavljenim poslovnim odnosom sa strankom, izvršenom analizom rizika i izvršenom transakcijom, čuva najmanje deset godina od dana okončanja poslovnog odnosa).
Takođe, Zakon propisuje i tzv. legitimni interes za obradu podataka o ličnosti bez pristanka, koji jeste punovažni pravni osnov za obradu, recimo, u slučaju zaštite Banke u sudskom postupku sa klijentom koji i dalje traje, redi sprečavanja prevarnih radnji u Banci, sprečavanja ugrožavanja bezbednosti klijenata i slično. Ovaj legitimni interes je nužno tumačiti veoma restriktivno, što Banka i čini.
- neposredno, u bilo kojoj filijali Banke ovlašćenom bankarskom službeniku, koji obavezno identifikuje podnosioca zahteva elektronskim putem na e-mail adresu: dpo@erstebank.rs ili zalbe.stanovnistvo@erstebank.rs, pod uslovom da je email adresa pošiljaoca adresa koju je klijent registrovao kod Banke kao zvaničan kanal komunikacije sa Bankom,
- u pisanoj formi, putem redovne pošte, pod uslovom da je naznačena adresa pošiljaoca upravo adresa koju je klijent prijavio Banci kao zvaničan kanal komunikacije.
Banka je u skladu sa Zakonom imenovala posebno, nezavisno i stručno Lice za zaštitu podataka o ličnosti, čiji je kontakt e-mail adresa: dpo@erstebank.rs
Zahtev za ostvarivanje svojih prava klijent, odnosno lice čiji se podaci obrađuju, podnosi Banci uvek uz popunjavanje određene forme za predmetni zahtev koji dostavlja:
Banka je dužna da klijentu, odnosno licu čiji se podaci obrađuju, pruži informacije o postupanju na osnovu njenog/njegovog zahteva najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana, ako je to neophodno.
Da, ali ova saglasnost mora biti evidentirana i dokumentovana (u konkretnom slučaju snimljena uz prethodnu saglasnost datu za snimanje razgovora) za slučajeve kontrole od strane nadzornog organa (Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti) i mora zadovoljiti sve zahteve Zakona za ispravno davanje saglasnosti (uključujući i identifikaciju klijenta u skladu sa Zakonom, što nije uvek moguće, ili samo za ograničenu obradu podataka za koju identifikacija nije neophodna – npr. samo za kontakt telefon u smislu budućeg poziva od strane Banke).
Da, moguće je pristanak na obradu podataka dati i putem mail-a, ali samo u tačno određene svrhe, o kojima se možete informisati na veb-sajtu, kao i u filijalama Banke.
U svrhu bezbednosti vaših podataka, i u ovom slučaju moraju biti ispunjeni određeni preduslovi, a to su: adekvatna identifikacija klijenta u skladu sa Zakonom, kao i kontaktiranje Banke isključivo preko adrese elektronske pošte prethodno prijavljene Banci kao kanal komunikacije sa klijentom.