GDPR, opšta uredba o zaštiti podataka, je trenutno jedna od najznačajnijih tema o kojoj razgovaraju pravnici, informatičari i mnogi drugi. Dan početka pune primene, 25. maj, je sasvim blizu. Šta možete da učinite u tako kratkom roku da biste se prilagodili novom zakonodavstvu?
Redovni čitaoci našeg časopisa i posetioci portala pcpress.rs već su upoznati sa značajem Uredbe i pojedinim njenim aspektima. Stoga se u ovom tekstu bavimo Uredbom kao „baukom“, ali iz ugla usklađivanja domaćih propisa – da li Srbija mora da se uskladi i kako? Važno je razmotriti i značaj Uredbe za državne organe, a posebno za Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Da li Srbija mora da uskladi propise sa Uredbom?
Najkraći odgovor na ovo često postavljano pitanje glasi – da, mora! Zašto mora? Iz mnogo razloga, koje možemo podeliti u formalne, kao lako objašnjive i suštinske, kao bitne! Formalni razlozi svode se na obaveze koje Srbije ima prema Evropskoj uniji i na obaveze koje je Srbija sama sebi nametnula.
U svojstvu kandidata za članstvo u Evropskoj uniji Srbija je u obavezi da uskladi svoje zakonodavstvo s pravnim tekovinama EU. Članom 81. Zakona o potvrđivanju Sporazuma o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica s jedne strane, i Republike Srbije s druge strane (iz 2008. godine), Republika Srbija se obavezala da uskladi svoje zakonodavstvo koje se odnosi na zaštitu ličnih podataka s komunitarnim zakonodavstvom i ostalim evropskim i međunarodnim propisima o privatnosti, kao i da formira nezavisno nadzorno telo s dovoljno finansijskih i ljudskih resursa kako bi efikasno nadzirala i garantovala primenu nacionalnog zakonodavstva o zaštiti ličnih podataka.
Dalje, Srbija se sama obavezala u okviru Akcionog plana za poglavlje 23, koje je Ministarstvo pravde još aprila 2016. godine pripremilo i objavilo, da izradi novi Zakon o zaštiti podataka o ličnosti u skladu s tabelama usklađenosti i preporukama eksperta, Nacrtom zakona poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti i Predlogom Uredbe nakon njenog usvajanja (strana 222), dok je kao rok za izradu novog zakona bio predviđen kraj 2016. godine (strana 360).
Gotovo identična sadržina nalazila se i u Akcionom planu za poglavlje 23 iz septembra 2015. godine (videti strane 218 i 356 Akcionog plana), s tim što je rok bio poslednji kvartal 2015. godine.
Suštinski razlozi
Nevena Ružić, Pomoćnica generalnog sekretara Službe poverenika za informacije
od javnog značaja i zaštitu podataka o ličnosti
U postupku usklađivanja važniji su suštinski razlozi koji su uticali na to da se GDPR uredba uopšte usvoji, pa i suštinski razlozi za donošenje novog zakona o zaštiti podataka o ličnosti.
1. Bolja zaštita pojedinca i njegovog prava na privatnost i zaštitu podataka o ličnosti
Uredbom je pojedinac stavljen u centar zaštite podataka o ličnosti. Lice o kome se podaci obrađuju ima pravo da zna ko, zašto, koje podatke o njemu obrađuje, a Uredba pooštrava postojeće osnove za obradu podataka i uvodi nova prava u okviru prava pojedinaca, kao što su pooštreni kriterijumi za pristanak lica na obradu ili pooštrene obaveze rukovaocu u vezi sa obaveštenjem o obradi, ili novo pravo pojedinca na prenosivost podataka o sebi od jednog na drugog rukovaoca.
2. Pravna sigurnost za sve one koji obrađuju podatke u Republici Srbiji, bilo da su rukovaoci, bilo da su obrađivači
Rukovaoci ne samo da dobijaju više obaveza, iako su u nekim državama EU one odavno postojale, već Uredba nameće obavezu svima koji žele da obrađuju podatke da u svojim poslovnim odnosima s drugim licima urede zaštitu podataka, i posebno odgovornost u vezi s podacima.
S tehničkog aspekta, nove ili pooštrene obaveze imaju za cilj da do povrede podataka uopšte ne dođe. U našoj praksi puno je slučajeva da se započne ili barem najavi neka obrada podataka, pa tek onda da se razmatra da li su oni uopšte potrebni, kao i da li uopšte takva obrada može biti zakonita.
3. Jača i obuhvatnija uloga organa za zaštitu podataka o ličnosti
Iako je mogućnost organa za zaštitu podataka o ličnosti da izrekne novčanu kaznu u iznosu od čak dva miliona evra bila udarna vest po usvajanju Uredbe, ovaj dokument zapravo uvodi nove obaveze ovih organa, tačnije nameće obavezu tešnje saradnje s rukovaocima i stav
lja ga u ulogu ne samo organa koji nadzire primenu zakona već i u ulogu savetnika.
4. Nameće obavezu društvu da omogući uživanje prava na privatnost i zaštitu podataka o ličnosti
Sve članice EU su ujedno i članice Evropske konvencije o ljudskim pravima Saveta Evrope, čija je članica i Republika Srbija. U pogledu prava na privatnost (član 8. Konvencije), Evropska konvencija nameće obavezu svakoj ponaosob državi članici ne samo da se suzdržava od ugrožavanja i kršenja nečijeg prava na privatnost, već da omogući uslove da se ovo pravo nesmetano uživa. Na osnovu Uredbe, prilikom priprema zakona koji imaju uticaj na zaštitu podataka o ličnosti, organi bi trebalo da uzmu u obzir i efekte takvog zakona na pravo na privatnost, a državama članicama ostavljeno je na odluku da li da ovu radnju predvide kao obaveznu. Primera radi, predlog zakona Irske predviđa ovakvu obavezu.
Kako uskladiti propise sa Uredbom?
Način usklađivanja svakako je stvar konkretnog pravnog sistema. Na različitost ovih pravnih sistema država članica Evropske unije vodilo se računa prilikom pripreme Uredbe. Primer toga može se naći u brojnim odredbama koje ostavljaju izbor ponuđenih alternativnih rešenja ili konačno uređenje pojedinačnog pitanja nacionalnim zakonima. Primer izbora alternativnih rešenja je odredba o načinu sertifikovanja usklađenosti sa Uredbom, dok je primer uređenja pojedinačne oblasti očigledan u odredbi o obradi podataka kada je rukovalac crkva ili verska zajednica.
Kada je Srbija krajem 2008. godine usvojila Zakon o zaštiti podataka o ličnosti, bilo je jasno da se taj zakon brzo mora menjati jer je bio i ostao, arhaičan u pogledu obrade posredstvom Interneta. Dodatno je bilo jasno da se moraju menjati i mnogi drugi zakoni koji propisuju obradu podataka o ličnosti, a takvih zakona ima na stotine. Krajem 2009. godine poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti je, uz podršku Evropske unije, sproveo projekat koji je imao za cilj da se mapiraju propisi koji se odnose na obradu podataka u pojedinim oblastima i proceni njihova usklađenost s pomenutom Direktivom o zaštiti podataka iz 1995. godine. Tim povodom mi kao društvo nismo učinili ništa značajno.
Nevena Ružić je pomoćnica generalnog sekretara Službe poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. U Službi poverenika je od 2009. godine i rukovodi Sektorom za harmonizaciju. Oblast njenog rada je informaciono pravo: pravo na pristup informacijama, sloboda izražavanja, pravo na privatnost, pravo na zaštitu podataka o ličnosti, kao i poverljivost informacija, zaštita uzbunjivača i upravljanje Internetom. Izabrana je za člana Biroa za zaštitu podataka Konvencije Saveta Evrope o zaštiti podataka o ličnosti 2012. godine. Stavovi izneseni u ovom tekstu su isključivo lični i ne predstavljaju stav organa u kojem radi.
Kao ilustraciju šta zapravo znači usklađivanje, ističemo primer Slovenije, koja nam je bliske po pravnom sistemu i pravnoj prošlosti. Pre nego što je 2004. postala članica Evropske unije, Slovenija je, da bi se usaglasila s Direktivom o zaštiti podataka iz 1995, pregledala više od 800 propisa koji su se odnosili na zaštitu podataka o ličnosti. Taj podatak dala nam je tadašnja slovenačka poverenica za informacije.
Kad se ima u vidu da je u međuvremenu Slovenija, kao članica EU, mnogo uradila na zaštiti podataka o ličnosti i da njoj usaglašavanje sa Uredbom predstavlja veliki izazov, a da Srbija nije uradila ni analizu propisa koji se moraju menjati ili razmotriti, kao ni da postojeći pravni okvir nije usaglašen ni sa arhaičnom Direktivom iz 1995. godine, a usaglašavanje sa Uredbom procenjuje kao proces od nekoliko meseci, navodi se zaključak ili da se obrada podataka u Srbiji olako shvata ili da ne postoji razumevanje zbog čega je to važno i kako zaštititi ovo pravo.
Usklađivanje sa Uredbom podrazumeva da se promeni ne samo važeći Zakon o zaštiti podataka o ličnosti već da se izmene ili usvoje i drugi zakoni koji uređuju obradu podataka o ličnosti. Takođe, nužno je doneti i podzakonske akte. Nažalost, iskustvo nam nameće opreznost, jer nikad nije usvojena uredba koja bi propisala način čuvanja i mere zaštite naročito osetljivih podataka o ličnosti, što je obaveza Vlade prema Zakonu o zaštiti podataka o ličnosti. Rok za donošenje ovog akta bio je april 2009. godine.
Način usklađivanja zavisiće i od ustavnog uređenja, ali i prakse. Ustav Republike Srbije određuje da se obrada podataka uređuje zakonom. U Srbiji nije adekvatno uređen sve prisutniji video-nadzor, tako da, sem situacija uređenih Zakonom o privatnom obezbeđenju ili Zakonom o bezbednosti saobraćaja, nama nije jasno ko i kad ili gde može da postavi kamere. Čak smo u praksi imali slučaj video-nadzora u javnom toaletu.
Uređivanjem ove oblasti ne samo da bismo uveli pravila obrade podataka koja bi bila po standardima EU, već bismo zaštitili pojedinca, a ujedno svima koji razmatraju postavljanje kamera ukazali na situacije i uslove kada je to dozvoljeno, to jest nekažnjivo. Na kraju, važno je istaći da Uredba ima 99 članova, ali postoje i 173 stava Preambule koji su u pojedinim slučajevima od suštinskog značaja za razumevanje teksta neke konkretne odredbe. Bez čitanja Preambule teško da ćemo razumeti „pravo na zaborav“ (right to be forgotten).
Jedno je potpuno sigurno: prosto prepisivanje Uredbe nije način usaglašavanja!
Šta Uredba predstavlja za organe za zaštitu podataka o ličnosti?
Onoliko novina koliko Uredba donosi rukovaocima, toliko donosi i organima za zaštitu podataka o ličnosti. I za njih Uredba predstavlja evoluciju. Ovi organi imaju veliku odgovornost, jer od kvaliteta njihovog rada zavisiće i poštovanje prava. Teza se ne odnosi samo na pojedinca i zaštitu njegovog prava u nekom konkretnom slučaju povrede, npr. kada neko javno objavi podatke iz zdravstvenog kartona lica. Ova teza odnosi se i na rukovaoce, bilo da su organi vlasti, bilo da su pravna lica. Uredba nameće obavezu organima za zaštitu podataka o ličnosti da budu savetnici i saradnici, a ne da reaguju samo onda kad je obrada podataka o ličnosti počela ili je neka šteta već pričinjena.
Prema Uredbi, organi za zaštitu podataka o ličnosti imaju istražna, korektivna, ali i savetodavna ovlašćenja. Među potonjim je i da zajedno s rukovaocima pripremaju kodeks ponašanja koji se odnosi na zaštitu podataka ili procenu rizika uticaja neke obrade na zaštiti podataka o ličnosti. Njihova uloga je da edukuju pojedinca i da ga štite, čak i u situacijama kada je to zapravo zaštita od njih samih.
Svako ovlašćenje organa za zaštitu podataka o ličnosti, u našem slučaju poverenika, druga je strana obaveze rukovaoca. Da bi ovi organi mogli da obavljaju takvu ulogu, Uredba pooštrava i kriterijume kojima se obezbeđuje njihova nezavisnost i samostalnost. U procesu usaglašavanja svi su uključeni i svako treba da preuzme odgovornost za svoje obaveze. Samo tako Uredba neće biti bauk, već prilika da, poštujući prava pojedinca i štiteći njegovo dostojanstvo, poslujemo ili delujemo na način da smo sigurni da je zakonit, jer su država i organi uspostavili odgovarajući pravni okvir i utvrdili jasna pravila, pa i sankcije.
