Број: 073-11-1289/2019-02 Датум: 9.9.2019. године
Повереник за информације од јавног значаја и заштиту података о личности примио је Вашу електронску поруку од 19.8.2019. године, којом од овог органа тражите мишљење о томе да ли су апотекарске установе и апотеке, као приватна пракса, према новом Закону о заштити података о личности („Сл. гласник РС“ број 87/2018) дужне да именују лице за заштиту података, да ли таква обавеза постоји без обзира на „количину личних података које обрађују“, по којим критеријумима би требало да буде именовано и које компетенције треба да има лице за заштиту података, да ли се може ангажовати екстерно лице за заштиту података, као и да ли је компанија која је добављач софтверског решења на којем апотеке обављају своју основну делатност издавања лекова и медицинских средстава има обавезу да, у својству обрађивача, одреди лице за заштиту података и да ли та обавеза зависи од броја клијената и количине личних података која се обрађује на њиховом систему.
У вези са Вашим обраћањем, обавештавамо Вас о следећем.
Одредбама чл. 56.-58. Закона о заштити података о личности уређено је одређивање лица за заштиту података о личности, његов положај и обавезе.
Одредбом члана 56. став 1. Закона предвиђено је да руковалац/обрађивач може да одреди лице за заштиту података о личности, док су ставом 2. истог члана утврђени случајеви када је одређивање лица за заштиту података о личности обавезно.
Тако, руковалац/обрађивач мора да одреди лице за заштиту података ако се обрада врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања његових судских овлашћења; ако се основне активности руковаоца или обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски надзор великог броја лица на које се подаци односе и ако се основне активности руковаоца или обрађивача састоје у обради посебних врста података о личности из члана 17. став 1. или података о личности у вези са кривичним пресудама и кажњивим делима из члана 19. овог закона, у великом обиму.
Одредбом члана 4. тачка 25) Закона о заштити података о личности утврђено је да је орган власти државни орган, орган територијалне аутономије и јединице локалне самоуправе, јавно предузеће, установа и друга јавна служба, организација и друго правно или физичко лице које врши јавна овлашћења.
Према томе, како је апотекарска установа орган власти у смислу одредаба Закона о заштити података о личности, из одредбе члана 56. став 2. тачка 1. Закона произлази да она мора одредити лице за заштиту података о личности.
С друге стране, апотеке приватне праксе као руковаоци података имају обавезу да одреде лице за заштиту података ако се њихове основне активности састоје у обради посебних врста података о личности у великом обиму. Начелни је став Повереника да апотека приватна пракса, када обавља делатност издавања лекова путем е-рецепта, обраду података врши у великом обиму.
Лице за заштиту података о личности може бити запослено код руковаоца или обрађивача или може обављати послове на основу уговора, односно може бити екстерно ангажовано.
Руковалац/ обрађивач дужан је да објави контакт податке лица за заштиту података о личности и достави их Поверенику, који води евиденцију лица за заштиту података о личности.
Oбавезе лица за заштиту података утврђене су одредбама члана 58. Закона, којим је предвиђена његова обавеза да информише и даје мишљење руковаоцу или обрађивачу, као и запосленима који врше радње обраде о њиховим законским обавезама у вези са заштитом података о личности; да прати примену одредби тог закона, других закона и интерних прописа руковаоца или обрађивача који се односе на заштиту података о личности; да даје мишљење, када се то затражи, о процени утицаја обраде на заштиту података о личности и прати поступање по тој процени, као и да сарађује са Повереником у вези са питањима која се односе на обраду података и др.
Законом је утврђено да се лице за заштиту података о личности одређује на основу његових стручних квалификација, а нарочито стручног знања и искуства у области заштите података о личности, као и способности за извршавање обавеза из члана 58. овог закона.
Како је уређено чланом 57. став 6. Закона, лица на које се подаци односе могу се обратити лицу за заштиту података о личности у вези са свим питањима која се односе на обраду својих податка о личности, као и у вези са остваривањем својих права прописаних законом.
Такође је чланом 57. став 8. Закона предвиђено да лице за заштиту података о личности може да обавља друге послове и извршава друге обавезе, а руковалац или обрађивач дужни су да обезбеде да извршавање других послова и обавеза не доведе лице за заштиту података о личности у сукоб интереса.
У вези са питањима која се односе на евентуалну обавезу добављача софтверског решења на којем апотеке обављају своју основну делатност издавања лекова и медицинских средстава да одреди лице за заштиту података, напомињемо да је ова обавеза, како је напред наведено, уређена чланом 56. Закона о заштити података о личности. Руковалац, односно обрађивач сам утврђује да ли обрађује податке под условима и на начин предвиђен том одредбом Закона и сходно томе одређује лице за заштиту података.
Напомињемо и то да сваки руковалац, у складу са својом пословном политиком, може одредити лице за заштиту података и онда када таква обавеза није утврђена законом.