Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti rešenjem od 17.06.2022. godine trajno je zabranio privrednom društvu „ITX RS“ doo Beograd (u daljem tekstu: Rukovalac) obradu podataka o ličnosti i to podatke o broju isprave (lične karte/pasoša) koji se prikupljaju od fizičkih lica prilikom „online“; kupovine robe putem sledećih internet stranica:
https://www.oysho.com/rs; https://www.massimodutti.com/rs; https://www.stradivarius.com; https://www.zara.com/rs/;
https://www.zarahome.com/rs/; https://www.pullandbear.com/rs/ и https://www.bershka.com/rs/.
U postupku inspekcijskog nadzora utvrđeno je da Rukovalac predmetne podatke prikuplja kako bi izvršio (eventualni) povraćaj novca kupcima, te da ih obrađuje prevremeno, odnosno da vrši obradu pre momenta povraćaja novca; tako da u vreme prikupljanja spornih podataka obrada nije zakonita, jer pravna obaveza Rukovaoca nastaje u momentu povraćaja novca kupcu za već kupljenu robu ili uslugu, ili u momentu odustajanja od kupovine u slučaju prethodno plaćenog avansa.
Povodom navedenog rešenja, Rukovalac je dopisom od 06.07.2022. godine obavestio Poverenika da je u potpunosti postupio po istom, te je naveo da je prestao sa daljim prikupljanjem brojeva identifikacionih dokumenata fizičkih lica, kao i da je obrisao sve do sada prikupljene podatke.
Poverenik koristi i ovu priliku da upozori sve rukovaoce i obrađivače podataka da obradu podataka o ličnosti vrše isključivo na zakonit način u svrhu za koju su ti podaci prikupljeni, odnosno da ne prikupljaju od građana više podataka od onih koji su potrebni za ostvarivanje svrhe, kako stoji i u čl. 5. Zakona o zaštiti podataka o ličnosti :
“Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose („zakonitost, poštenje i transparentnost”). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama („ograničenje u odnosu na svrhu obrade”);
3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade („minimizacija podataka”);
4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave („tačnost”);
5) se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade („ograničenje čuvanja”);
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera („integritet i poverljivost”).
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu („odgovornost za postupanje”).”
Izvor: sajt Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (www.poverenik.rs)
Izvor: Izvodi iz propisa preuzeti su iz programa „Propis Soft“, Redakcija Profi Sistem Com-a.