Zakon o zaštiti podataka o ličnosti stupa na snagu; Poverenik: Preuranjena primena ubrzo će pokazati njegove mane

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Milan Marinović kaže za Insajder da će, nažalost, po svemu sudeći, ipak početi primena Zakona o zaštiti podataka o ličnosti. Služba Poverenika i nevladine organizacije mesecima upozoravaju na to da je usvojeni Zakon nejasan i da će doći od brojnih problema u primeni s obzirom na to da Zakon nije prilagođen pravnom sistemu Srbije, već je radna grupa samo prevela evropsku uredbu koja uređuje oblast zaštite podataka o ličnosti.

Poverenik

Poverenik je nedavno od predsednice Skupštine Srbije zatražio jednogodišnje odlaganje primene tog zakona jer brojni organi vlasti i kompanije nemaju dovoljno kapaciteta da odgovore obavezama koje nameće zakon. Skupština, međutim, u međuvremenu nije zasedala.

„Nisu bile velike šanse da Skupština odloži primenu zakona, jer je na letnjoj pauzi, ali neka satisfakcija je da sam za inicijativu dobio prodršku ljudi iz različitih sfera, od ljudi iz ministarstava do ljudi iz privrede, koji su navodili da je inicijativa potrebna jer nisu spremni za primenu Zakona. Zbog njih bih bio zadovoljan da je primena odložena”, kaže Marinović za Insajder.

Poverenik kao primer navodi zakonsku obavezu da svi organi javne vlasti imaju lica zadužena za zaštitu podataka o ličnosti.

„Više od 12.000 organa javne vlasti, ministarstava, lokalnih samouprava, gradova opština, moraju da imenuju takozvane oficire za zaštitu podataka o ličnosti. Pitanje je da li mi uopšte imamo toliko ljudi sa potrebnim znanjem da bi mogli da obavljaju te poslove”, kaže poverenik.

Marinović podseća da su pooštreni kriterijumi za zaštitu podataka o ličnosti, zbog čega su potrebna i znatna ulaganja u softvere, odnosno informacione tehnologije, a da su za to potrebna i novčana sredstva.

„Službi Poverenika će biti potreban veći broj ljudi kako bi se Zakon adekvatno primenjivao”

On navodi da će najmanje problema kada je u pitanju primena Zakona imati u službi Poverenika, jer, kako kaže, tu je gotovo sve spremno.

„Služba Poverenika je uradila sve što je mogla, iako šest meseci nije imala poverenika. Doneto je svih pet podzakonskih akata. Nisu jedino uređeni kriterijumi za akreditaciju sertifikacionih tela, ali to nije urađeno ni u evropskim zemljama”, navodi Marinović.

Ipak, kaže da će Službi Poverenika biti potreban veći broj ljudi kako bi se Zakon adekvatno primenjivao. Nova sistematizacija je, kako navodi, poslata administrativnom odboru, ali ni o tome Skupština još nije odlučila.  

Prema rečima Marinovića, evropske zemlje su nakon donošenja Opšte uredbe o zaštiti podataka o ličnosti (GDPR) imale rok od dve do dve i po godine da se pripreme, a u Srbiji je taj rok bio samo devet meseci od donošenja zakona.

„Mi imamo tri grupe na koje se zakon odnosi i on mora biti razumljiv za sve. To su Poverenik, 12.000 organa javne vlasti, onda sve preduzeća i kompanije, i na kraju sami građani čiji se podaci obrađuju. Svi oni moraju da razumeju zakon”, kaže Poverenik.

Prema Zakonu, svi organi javne vlasti moraju da imenuju lica za zaštitu podataka o ličnosti i o tome moraju da obaveste poverenika. U slučaju da to ne učine, biće kažnjeni ili će biti pokrenut prekršajni postupak.

To znači da bi Poverenik, ako se striktno pridržava Zakona, mogao već prekosutra da pošalje na hiljade prekršajnih naloga ili pokrene postupke.

„Preuranjena primena brzo će pokazati mane zakona”, kaže Marinović.

On smatra da je i odlaganje početka primene Zakona, koje je predložio Skupštini, odnosno 1. septembar sledeće godine, takođe kratak, ali bi ipak bilo više vremena da se mnogi obveznici pripreme, kao i da se možda neke zakonske odredbe dorade.

Za odlaganje primene zakona bilo je potrebno da Skupština Srbije promeni samo jedan član tog zakona i umesto roka od devet meseci stavi da je datum primene 1. septembar sledeće godine. To ne bi bilo neobično jer je primena nekih drugih zakona takođe odlagana, kao što je recimo Zakonik o krivičnom postupku čije primena je odložena sa 2008. na 2010. godinu.

Zakon o zaštiti podataka o ličnosti je usvojen početkom novembra prošle godine, a primena bi trebalo da počne devet meseci od usvajanja, odnosno 22. avgusta ove godine.

Na neprimenjivost njegovih odredbi ukazivao je prethodni poverenik Rodoljub Šabić, koji je rekao da „kada uđeš u pogrešan voz sve stanice su pogrešne”. Među najozbiljnijim zamerkama je bila ta da, iako je to propis koji uređuje osnovna građanska prava, napisan „jezivo teškim jezikom”, da ignoriše „akutne problem” poput toga da video-nadzor ili obrada biometrijskih podataka nije nigde pomenuta u tekstu Zakona.

I Evropska komisija je u svom ranijem mišljenju navela da je problematična struktura Zakona, da je nerazumljiv i komplikovan. Zakon je, međutim, usvojen bez predlaganih korekcija.

Ipak, on i pored manjkavosti predstavlja proširenje prava građana u zaštiti ličnih podataka.

Zakonom je predviđeno da pristanak građana na obradu podataka o ličnosti mora biti nedvosmislen, zatim i da su kompanije dužne da građanima detaljno objasne kako obrađuju podatke o ličnosti. Istovremeno, kompanijama se daje čitav niz obaveza koje prethodnim zakonom nisu bile propisane.

Dok je u prethodnoj verziji Zakona bilo predviđeno da su kazne za zloupotrebu podataka o ličnosti 50.000 do milion dinara, sada se kazne kreću od 50.000 do dva miliona dinara.

Šer fondacija je saopštila da su prava građana sada detaljnije opisana i proširena, te su pored uobičajenih prava na uvid, kopiju i ispravku proširena prava na informisanje i brisanje, a uvedena i nova prava, kao što je pravo na prenosivost podataka, koje daje mogućnost građanima da prenose svoje podatke sa jedne društvene mreže na drugu.

Šer fondacija navodi i da je još jedna važna novina obaveza obaveštavanja lica na koja se podaci odnose i Poverenika ukoliko dođe do povrede podataka o ličnosti, npr. curenja podataka.

Upitna primena Zakona

Insajder je ranije pisao o tome da ovim zakonom Srbija samo formalno ispunjava evropski standard, ali da je upitna njegova primena.

Na to da je ovaj zakon samo „preslikana“ Opšta uredba o zaštiti podataka (GDPR) koja je 2016. godine usvojena u Evropskoj uniji, ranije je ukazivao Šabić, kao i nevladina organizacija Šer fondacija. Oni su ocenili da je ovaj Zakon doslovni prevod GDPR-a, pa je tako formalna usklađenost sa regulativom EU na najvišem nivou, ali je da će tokom primene biti dosta teškoća.

Propušteno je da se ovim zakonom uredi oblast obrade podataka o ličnosti putem video nadzora. Tako i dalje nema kontrole nad kamerama koje se nalaze na svakom koraku – u kafićima, restoranima, prodavnicama, bankama. Ne zna se gde ti snimci završavaju, niti ko može da im pristupi.

Na to je skrenuo pažnju i Šabić dok je obavljao funkciju poverenika. Naime, u Modelu zakona zaštite podataka o ličnosti koji je on napisao, ipak je dao prostor odredbama o video nadzoru u poslovnim prostorima, privatnim stanovima, stambenim zgradama, kućama. Poverenik i deo civilnog sektora su ranije upozorili i na to da usvajanje ovakve verzije zakona predstavlja propuštenu šansu da se spreče moguće zloupotrebe JMBG-a građana i uspostavi efikasnija zaštita podataka u javnom sektoru.

„U pitanju je krovni zakon”

Predstavnici Ministarstva pravde, koje je bilo predlagač ovog zakona, naveli su ranije da se radi o „krovnom zakonu“, a da se za pojedinačne slučajeve očekuje regulisanje drugim zakonima.

Inače, prema Zakonu, predviđen je mehanizam da građani reaguju ukoliko neko zloupotrebi njihove podatke. Taj mehanizam je „pritužba“.

Iz Kancelarije Poverenika za zaštitu podataka o ličnosti ukazali su ranije na to da je pojam „pritužbe“ zapravo stran našem sistemu i da postoji uglavnom kao mehanizam zaštite unutar neke organizacije – na primer pritužba predsedniku suda na rad nekog pojedinačnog sudije.

Jedan od autora Zakona Saša Gajin rekao je ranije za Insajder da je pritužba „novi pravni lek koji se uvodi po uzoru na Regulativu EU“.

„Poverenik ima dve mogućnosti – ili da sam pokrene postupak zaštite, da ode u inspekciju, ili da to učini po pritužbi nekog lica. Na ova rešenja se kasnije nadovezuju i odredbe o prekršajima. U jednoj grupi slučajeva, onda kada se jednostavno može utvrditi da je pravo lica povređeno, Poverenik će moći da izriče novčane kazne neposredno, na osnovu prekršajnog naloga, u skladu sa Zakonom o prekršajima, a u drugoj grupi slučajeva on će podnositi zahtev za pokretanje prekršajnog postupka pred sudom“, rekao je Gajin.

Šabić i Šer fondacija: Unet potencijalno neustavan član

Šabić i Šer fondacija su upozorili i na to da je u tekst Zakona uneta potencijalno neustavna odredba. Radi se o članu 40, koji propisuje ograničenje prava na privatnost i zaštitu podataka o ličnosti u određenim situacijama.

Član 40, koji Poverenik i Šer Fondacija smatraju neustavnim, propisuje u kojim slučajevima može biti ograničeno pravo na privatnost i zaštitu podataka o ličnosti. U pitanju su situacije kao što su zaštita nacionalne i javne bezbednosti, odbrane, zaštita nezavisnosti pravosuđa, zaštita prava i sloboda drugih...

Član 40 ZZLP

Koliko je bitno da postoji zakon koji sveobuhvatno uređuje oblast zašitite podataka o ličnosti pokazuje i to da se podaci o tome da li je neko na rođenju imao kriva stopala, šta piše u nečijoj radnoj knjižici, zašto nije služio vojsku ili kakav je čiji socijalni i materijalni status u Srbiji neretko završe na društvenim mrežama ili naslovnim stranama tabloida. Međutim, odgovorni za dostavljanje ovih podataka, kako je pokazalo istraživanje Insajdera, prolaze bez krivične odgovornosti.

Brojne krivične prijave koje je Poverenik podneo za neovlašćeno prikupljanje ličnih podataka i dalje su bez epiloga. Još više zabrinjava činjenica da su sve prijave podnete zbog sumnji da su pojedinci u državnim institucijama prekršili pravo građana na privatnost.