• Advokat Dragan Milić - Autorsko pravo, Medijsko pravo, internet i IT pravo

  • Emailoffice@milic.rs
  • Phone+381 11 42 80 267

SRB | ENG


PRAVO PRIVATNOSTI I ZAŠTITA PODATAKA LIČNOSTI


 

 1. UVOD

Pravo na privatnost predstavlja osnovno ljudsko pravo proklamovano međunarodnim sporazumima i konvencijama, konstitutivnim aktima nacionalnih država i unija, ali i zakonima. Takođe, pravne norme koje propisiju njenu zaštitu predstavlja jednu od najvažnijih tekovina pravne teorije i prakse.

Isprva zamišljena da pruži garancije čoveku da će njihova pošta, kasnije i poruke poslate drugim telekomunikacionim kanalima, kao i stan gde borave biti nepovredivi od strane trećih lica, moderne visoke tehnologije, a naročito internet, dale su sasvim novu i dublju dimenziju pojmu privatnosti.

Sama etimologija reči Privatnost, seže u antičko doba, gde ga Aristotel u svom delu Politika pominje razdvajajući privatnu i javnu sferu, u smislu dobra od pojedinačnog ili opšteg značaja.[1]

U svojoj vekovnoj i decenijskoj borbi da zauzme što značanije mesto u regulatornim hijerarhijama, privatnost kao takva morala je da bude podvrgavana kompromisima zbog drugih prava, kao što su sloboda izražavanja i štampe ili bezbednosni i drugi državni i javni interesi.

Time je pravo na privatnost propisana članom 8. Evropske konvencije o ljudskim pravima direktno stavljena u korelaciju sa pravima iz člana 10 iste konvencije koji propisuju slobodu izražavanja.

Iako inicijalno ustanovljena još konvencijom iz 1950. Godine, Evropski sud za ljudska prava u Strazburu je kasnije dejstva pomenutog člana 8 kroz sudsku praksu proširio i na internet i drugu elektronsku komunikaciju, praćenje, prikupljanje i obrada ličnih podataka koji se tiču fizičkog i psihičkog integriteta čoveka, poput zdravstvenog stanja, imena, porekla, sklonosti, praćenja lokacija i IP adresa uređaja sa kojih se pristupa internetu itd. Tako je između ostalog u čuvenoj odluci Hannover v. Germany, 40660/08, sud proširio dejstvo člana 8 na način što je utvrdio da pravo na zaštitu privatnog života obuhvata i pravo na zabranu objavljivanja fotografija i snimaka koji nisu od javnog interesa i nisu napravljeni u javne svrhe.[2]

Međutim dejstvo opisanog stava 1, člana 8, nije neograničeno. Već članom 2 istog člana Konvencije, Savet Evrope je predvideo njena ograničenja, kao što su interesi bezbednosti ili zaštite zdravlja, ali samo u opravdanoj meri i u skladu sa principima podobnosti, neophodnosti i uporedivosti. Pod načelom uporedivosti, podrazumeva se procena važnosti javnog interesa koji se štiti naspram vrednosti dobra koje se takvim ograničenjem ugrožava.


Nivo zaštite privatnosti u nacionalnim zakonodavstvima varira. Tako francuski Code Civile u članu 9 garantuje pravo na privatnost. Iako je zadiranje u privatni život u 19. Veku bilo mnogo manje izraženo nego kasnije, a neuporedivo u odnosu na današnje vreme, francusko pravo je još tada inkriminisalo objavljivanje činjenica o nečijem privatnom životu.

Međutim, Sjedinjene Američke Države nisu ustavom ustanovile zaštitu privatnosti, kao i mnoga druga privatna prava koja su pod velikim uticajem prvog amandmana i zaštite slobode govora i izražavanja. Ali USA je pojam privatnosti počela da razrađuje zakonskim rešenjima, još od 1890 godine. A takođe  četvrti amandman zabranjuje upad na privatni posed od strane javne vlasti bez dozvole, što predstavlja jedno od prava na privatnosti, iako se eksplicitno u predmetnom amandmanu nigde ne pominje.

Italija i Nemačka prepoznaju pravo na privatnosti, dok se Velika Britanija oslanja na Evropsku konvenciju o ljudskim pravima i njen član 8.


Internet je doneo nove načine na koje se može povrediti nečija privatnost sa mnogo pogubnijim i dalekosežnijm posledicama po oštećenog. Kroz podatke ličnosti koji se tim putem mogu prikupiti, može se zaći u najdublje sfere ličnosti, a ljudski integritet se može nepopravljivo ugroziti na najteže načine.

Jedan o karakterističnih načina povrede prava na zašititu ličnih podataka i privatnosti na internetu jeste neovlašćeno praćenje, skladištenje i obrada informacija o aktivnostima korisnika interneta. Najopasniji vid podataka koji razotkriva ličnost u najprivatnijem smislu su tzv. metapodaci, o kojima će biti više reči dalje u tekstu, a koji predstavljaju informacije o samim komunikacijama. Ovi podaci predstavljaju visoko rizične kategorije informacija po privatnost čoveka, jer današnji softverski sistemi uz pomoć algoritama, lako povezuju i ukrštaju dobijene podatke i na osnovu njih generišu veoma preciznu i detaljnu sliku o ostvarenim kontaktima, interesovanjima i drugim sklonostima lica na koja se metapodaci odnose.[3]


Zbog toga je, nakon više prethodnih preporuka i smernica za zaštitu privatnosti, Evropska unija usvojila Direktivu o zaštiti podataka 95/46 EC, od 23. Novembra 1995. godine, kojom je prvi put detaljno i u obavezujućoj formi regulisana ova oblast. Imala je dva cilja, da obezbedi pravo na poštonaje privatnosti kao jedno od osnovnih prava čoveka, kao i da ostvari slobodan i bezbedan promet podataka ličnosti između članica EU.

Direktiva je obavezala države članice da donesu svoje zakone i u njih implemetniraju pravila iz iste, s obzirom da Direktive nisu direktan izvor prava u EU.[4]

Pored lica čiji se podaci obrađuju koje je definisano kao svako lice čiji je identitet određen ili se može odrediti na osnovu nekog podatka na posredan ili neposredan način, Direktiva je prvi put predvidela obavezno formiranje nadzornih tela, u formi nadzornika iz reda javne vlasti.


Osnovna prava lica koja im obezbeđuje ovaj propis, bila su:

  • pravo na obaveštenost,
  • pravo na pristup prikupljenim podacima i
  • pravo na protest

Sa razvojem interneta i visokih tehnologija, Direktiva je pokazivala svoje manjkavosti. Naročito u smislu protoka informacija između članica i trećih država, što je bilo dozvoljeno pod određenim uslovima. Upravo taj odliv podataka u treće zemlje, a naročito one čija su pravila privatnosti znatno različita od EU, kao što je SAD, predstavljala je najveći problem za zaštitu podataka građana EU. Nakon prvobitne odluke Evroske komisije iz 2000. godine kojom je odobren transfer podataka u SAD a koja je oglašena ništavom od strane Suda pravde EU, Evroska komisija je usvojila novu odluku kojom je uređena ova obast, poznatu kao Privacy Shield.

U međuvremenu, nevezano za konkretan problem izvoza podatak van EU, pojavila se potreba za znatno strožijom regulativom kada je zaštita podataka u pitanju. Praksa je pokazala da građani nisu dovoljno obučeni i pažljivi kako bi mogli na aktivan način da se odupru rukovaocima i obrađivačima podataka.


2. OPŠTA UREDBA O ZAŠTITI PODATAKA LIČNOSTI EU – GDPR (General Data Protection Regulation)

Zbog pomenutih manjkavosti propisa koji su regulisali obradu i protok informacija unutar EU i ka trećim zamljana, nakon višegodišnjih priprema Evropski parlament je 27. Aprila 2016.  izglasao Opštu uredbu o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti o slobodnom kretanju takvih podataka,  broj 2016/679, koja stupa na snagu 25. Maja 2018, donosi niz novih pravila sa namerom da podatke ličnosti zaštite u većoj meri nego što je to prethodno bio slučaj.

Opšta uredba sadrži niz novih pojmova i kategorija u odnosu na prethodni regulatorni okvir, kao što je pojam pseudonimizacija, biometrijski podaci, glavno mesto poslovnog sedišta kompanije koja se ima smatrati rukovaocem odnosno obrađivačem podataka itd.

Zbog kompleksnosti pitanja, ali i same uredbe čija primena zahteva profesionalnu pomoć i visok nivo odgovornosti, evropski pralment je predvideo i novu kategoriju – Lice zaduženo za zaštitu podataka (Data Protection Officer), koje je zaduženo za pružanje profesionalne pomoći i savetovanje javnih i državnih organa u svojstvu rukovaoca i obrađivača, kao i u slučaju rukovaoca kojima je osnovna delatnost masovno praćenje, prikupljanje i obrada podataka. Obaveza angažovanja Lica zaduženog za zaštitu podataka postoji i u slučaju obrađivanja osetljivih kategorija informacija o ličnosti.

Uredba ima obavezujuće dejstvo u odnosu na prethodnu Direktivu, i sve države članice, je moraju idrektno primenjivati bez obzira na nacionalne zakone koji ne smeju biti u suporotnosti sa njenim odredbama. Odnosno, Uredba je dala veliki prostor državama članicama da drugačije reše neka pitanja i mahom da pooštre uslove i način prikupljanja i obrade, ali bez uticaja na osnovna načela same Uredbe koja ne smeju biti dovedena u pitanje.

Uredba je donela i promene koje se tiču teritorijalne i personalne primene, jer se odnosi i na zemlje koje su van Unije odnosno ukoliko rukovaoc i obrađivač  imaju sedište van unije ako su njihove aktivnosti usmerene ka građanima EU. Uredba detaljno određuje u kojim situacijama će se nuđenje robe ili usluga ima smatrati uperenom ka građanima EU, pri čemu se uzima u obzir jezik na kom se ponuda vrši, valuta itd.


2.1. PODACI LIČNOSTI I POSEBNE KATEGORIJE PODATAKA LIČNOSTI

Podacima o ličnosti se mogu okarakteristati svi podaci koji se odnose na fizičko lice čiji je identitet određen ili se može odrediti. 

Fizičko lice čiji se identitet može odrediti je lice koja se može identifikovati posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj (JMBG), podaci o lokaciji, jedan ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog fizičkog lica. GDPR akcenat stavlja na mogućnošću odredivosti identiteta, jer uz pomoć današnje tehnologije i kompjuterskih algoritama, dovoljan je mali broj podataka da bi se izvršilo profilisanje ličnosti ili čak identifikacija fizičkog lica.

Kao uža kategorija podataka koji se odnose na fizičko lice, pojavljuju se i njihove posebne kategorije, koje zbog osetljivosti i potencijalnog rizika čije otkrivanje i zloupotreba nosi, zaslužuju da se nađu pod posebnim režimom regulacije.

GDPR se ne primenjuje na pravna lica, a u preambuli Uredbe je ograničeno njegovo dejstvo i u odnosu na preminule osobe.


Pod posebnim podacima ličnosti podrazumevaju se:

  • Rasno ili etničko poreklo
  • Političko opredeljenje
  • Verska ili filozofska ubeđenja
  • Pripadnost sindikatu
  • Genetski podaci
  • Biometrijski podaci
  • Zdravstveno stanje
  • Seksualni život
  • Seksuala orjentacija

Obrada ovih kategorija podataka je načelno zabranjena, sa izuzetcima ukoliko je ispunjen neki od sledećih uslova:

  • Postoji izričit, dobrovoljan i prethodno dat pristanak lica čiji se podaci obrađuju
  • Izvršavanje zakonskih dužnosti i prava rukovaoca ili lica na koje se podaci odnose u oblasti prava zapošljavanja i prava socijalnog osiguranja i socijalne zaštite
  • Kada lice nije fizički ili pravno sposobno da da pristanak, a obrada je u njegovom interesu
  • Ukoliko obradu vrši fondacija, udruženje i neprofitno telo, a odnosi se isključivo na članove
  • Obrada se odnosi na podatke o ličnosti za koje je očigledno da ih je objavilo lice na koje se podaci odnose
  • Obrada je neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva pred sudom
  • Obrada u javnom interesu, uz obavezno poštovanje mera bezbednosti i načela uredbe
  • Obrada je neophodna za potrebe javnog zdravlja, preventivne medicine ili medicine rada, medicinske dijagnoze, pružanja zdravstvene ili socijalne zaštite, s tim što je rukovalac obavezan da za obrađivača angažuje stručnu osobu
  • Arhiviranje u javnom interesu, potrebe naučnog ili istorijskog istraživanja ili statističke potrebe

 


ŠTA SU METAPODACI

Tradicionalne metode praćenja I nadzora često zahtevaju resurse što ih čini neisplativim u smislu što direktno utiče na mogućnost masivnog praćenja, prikupljanja i obrade podataka. S jedne strane troškovi prikupljanja informacija (snimanje, prisluškivanje, ispitivanje), a s druge obrada istih od strane angažovane radne snage. Takođe, na ovakav način obrađeni podaci koji uključuju ljudski faktor dodatno su podložni greškama što ih čini nepozudanim.

S tim u vezi, mogućnost prikupljanja meta odataka i njihova automatizovana obrada predstavljaju revolucionarnu promenu celog koncepta praćenja aktivnosti fizičkih lica.

Današnje najveće svetske kompanije poput Google-a, Facebook-a, itd model svog poslovanja zasnivaju upravo na prikupljanju i korišćenju meta podatatka korisnika. Isti slučaj je mnogim drugim platformama za besplatnu razmenu poruka, blogovanje, razmenu slika, videa itd. Iako naizgled besplatni servisi, svoje usluge naplaćuju upravo privatnim podacima.

Metapodatci su tradicionalno korišćeni u kartografskim katalozima biblioteka do osamdesetih godina prošlog veka, kada su biblioteke pretvorile svoje katalogne podatke u digitalne baze. Tokom devedesetih godina, pošto su digitalni formati postali najvažniji način čuvanja podataka i informacija, metapodaci su takođe korišćeni za opisivanje digitalnih podataka koristeći odgovarajuće standarde.

Prvi opis "metapodataka" za računarske sisteme dali su stručnjaci Centra za međunarodne studije MIT-a David Griffel i Stuart McIntosh 1967. godine definišući ih kao izjave na objektnom jeziku o opisima podataka o subjektu i koji opisuju odnos podataka i transformacije, odnosno veze između podataka.

Postoje različiti standardi metapodataka za svaku drugu disciplinu (npr. muzejske zbirke, digitalne audio datoteke, veb stranice itd.). Opisivanje sadržaja i konteksta podataka ili datoteka podataka povećava njegovu korisnost. Na primer, veb stranica može uključivati metapodatke navodeći koji je jezik softvera na kojoj je napisana strana (npr., HTML), koji su alati korišteni za njegovo kreiranje, koje su teme o kojima se stranica nalazi, i gde se može pronaći više informacija o subjektu. Ovaj metapodatak može automatski poboljšati iskustvo čitaoca i olakšati korisnicima da pronađu veb stranicu na mreži.

Metapodaci nam govore takođe, o datumu kreiranja podatka, nameni, značenju, autoro odnosno kreatora, lokaciji kompjutera na kom je kreiran, koripćenim standardima, velični fajla, kvaliteta, izvora podatka i procesa i metoda korišćenih kod njegove proizvodnje.

Iako su meta podaci zaštićeni zakonskog regulativom i privatne kompanije ih ne moguj prikupljati bez saglasnosti korisnika, problem leži u činjenici što sami korisnici nisu dovoljno obavešteni o svojim pravima i posledicama svojih postupaka i olako pristaju na predložena pravila privatnosti koja su često nerazumljiva, predugačaka i s namerom pozicionirana da ne budu pročitana pre davanja saglasnosti. Nova regualtiva je nametnula niz obaveza rukovocima podataka u cilju bolje informisanosti korisnika, jasnim i razumljivim jezikom, u izdvojenoj celini na za to predviđenom mestu.

Drugi veliki obrađivači metapodataka su državne odnosno službe koje brinu o javnoj bezbednosti, kojima zakon daje mogućnosti da podatke prikupljaju i obrađuju i bez saglasnosti fizičkih lica, ali uz poštovanje unapred određenih svrha i u slučaju poštovanja legitimnih interesa za tu obradu. Zapravo, Ustav i zakoni predstavlju posredno izraženu volju fizičkih lica koja se može tumačiti kao indirektno data saglasnost za prikupljanje i obradu. Tako Ustav Srbije, tako, u članu 41 garantuje tajnost pisama i drugih sredstava komunikacije, dok član 42  štiti podatke građana od zloupotreba koje se dalje definišu i detaljno regulišu zakonima.

Interes nacionalne bezbednosti često prevagne u praksi ali i u svesti javnog mnjenja, što je slučaj kako u USA, tako i u zemljama Zapadne Evrope, od kojih mnoge i same učestvuju u razvoju nadzora i masovnog prikupljanja metapodataka o komunikaciji. Suočeni sa terorističkim napadima na svojoj teritoriji, građani rado ustupaju deo svojih prava i sloboda, tretirajući privatnost kao dobro kog će se rado odreći u strahu od nasilja i napada kakva se beleže širom Evrope i sveta. S druge strane, među mnogim korisnicima, naročito mlađe generacije  Instagram, Facebook i druge slične platforme su već obesmislili stare ideje o privatnosti, a zakonske odredbe o zaštiti podataka o ličnosti među mladima su okarakterisane kao - konzervativne mere koje ometaju modernu svakodnevicu.


Najkraće rečeno Metapodaci su podaci koji pružaju informacije o drugim podacima.


Postoje različite vrste metapodataka, među ovim deskriptivnim metapodacima, strukturnim metapodacima, administrativnim metapodacima, statističkim i referentnim metapodacima.

  • Deskriptivni metapodatci opisuju resurs za svrhe obrade kao što je otkrivanje i identifikacija. Može da sadrži elemente kao što su naslov, apstrakt, autor i ključne reči.
  • Strukturni metapodaci su skupovi podataka koji ukazuju na to na koji način su neki podaci strukturirani. Opisuje tipove, verzije, odnose i druge karakteristike digitalnih materijala.
  • Administrativni metapodatci pružaju informacije za pomoć u upravljanju resursima, kao što je difinisanje kada i kako je kreiran neki tio datoteka ili druge slične informacije, kao i ko im može imati pristup.
  • Statistički metapodaci mogu takođe opisati procese koji prikupljaju, obrađuju ili proizvode podatke za potrebe statistike. Još se zovu i procesni podaci.
  • Referentni metapodaci opisuju sadržaj i kvalitet statističkih podataka.

Metapodaci mogu biti upisani u originalni digitalni fajl fotografije (RAW file) koja će identifikovati ko ga poseduje, autorska prava i kontakt informacije, koja marka ili model kamere je kreirala datoteku, zajedno sa informacijama o ekspoziciji (brzina zatvarača, f-stop itd.) kao i opisne informacije, kao što su ključne reči o fotografiji, čineći datoteku ili sliku za pretragu na računaru ili na Internetu. Neke metapodate kreira kamera, a neke od njih unose fotograf ili softver nakon preuzimanja na računar.

Metapodaci se mogu koristiti da bi olakšali organizovanje u postprodukciji koristeći ključne reči.


Standarde fotografskih metapodataka regulišu organizacije koje uključuju, ali se ne ograničavaju na sledeće standarde:

  • IPTC Information Interchange Model IIM (International Press Telecommunications Council),
  • IPTC Core Schema for XMP
  • XMP – Extensible Metadata Platform (an ISO standard)
  • EXIF – Exchangeable image file format, Maintained by CIPA (Camera & Imaging Products Association) and published by JEITA (Japan Electronics and Information Technology Industries Association)
  • Dublin Core (Dublin Core Metadata Initiative – DCMI)
  • PLUS (Picture Licensing Universal System).
  • VRA Core (Visual Resource Association)

2.2. NAČELA/PRINCIPI GDPR-A

 

  • NAČELO ZAKONITOSTI

Obrada je zakonita, ukoliko je:

  • lice na koje se podaci odnose je dalo svoj pristanak
  • obrada je potrebna radi izvršenja ugovora u kojem je lice na koje se podaci odnose ugovorna strana
  • obrada je potrebna za izvršavanje zakonske obaveze koja se primenjuje na rukovaoca
  • obrada je potrebna radi zaštite životnih interesa lica na koje se podaci odnose ili drugog fizičkog lica
  • obrada je potrebna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu
  • obrada je potrebna zbog legitimnih interesa čijem ostvarenju teži rukovalac ili treće lice, osim kada nad tim interesima preovlađuju interesi osnovni prava i sloboda lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose dete

  • NAČELO TRANSPARENTNOSTI

Delovanje rukovaoca mora biti zakonito, pravično i transparentno prema licu čiji se podaci koriste, odnosno potrebno je da mu se na jasan i nedvosmislen način, jednostavnim , njemu razumljivim jezikom, ukaže na prava koja ima po osnovu zaštite podataka.


  • NAČELO SVRSISHODNOSTI

Podaci se smeju koristiti samo u svrhu u koju su i prikupljeni za koju je lice dalo saglasnost. Promena svrhe iziskuje potrebu za zahtevanjem nove saglasnosti osim u slučajevima koja su predviđena uredbom. Dalja obrada za drugu svrhu bez pristanka lica dozvoljena je samo pod uslovima propisanim Uredbom.


  • NAČELO PRIMERENOSTI I OGRANIČENOSTI

Podaci se smeju koristiti samo u obimu neophodnom da se ispuni svrha obrade odnosno – najmanji mogući obim obrade. S toga je preporuka da se prikupljaju odnosno obrađuju samo podaci koji su zaista neophodni rukovaocu, a s vremena na vreme je potrebno revidirati vrstu podataka ličnosti i proceniti da li potreba za njihovom obradom i dalje egzistira.


  • NAČELO TAČNOSTI

Podaci moraju biti tačni, a licu treba obezbediti mogućnost da besplatno ukaže na netačnost, da zahteva ažuriranje ili brisanje takvih podataka.


  • NAČELO MINIMALIZACIJE KORIŠĆENJA ILI PRIMERENOSTI

Podaci se smeju koristiti samo u obimu neophodnom da se ispuni svrha obrade odnosno – najmanji mogući obim obrade


  • NAČELO OGRANIČENOG VREMENA OBRADE I ČUVANJA

Podaci se čuvaju u što kraćem vremenu, odnosno ne smeju se čuvati duže nego što je to neophodno u svrhe u koje su i prikupljeni, a lice mora biti obavešteno o dužini trajanja čuvanja njegovih podataka.


  • NAČELO INTEGRITETA - BEZBEDNOSTI ČUVANJA

Rukovaoc i obrađivač moraju učiniti sve da se obezbedi odgovarajuća bezbednost podataka uključujući i zaštitu od  neovlašćene i nezakonite obrade ili od slučajnog gubitka.

Na rukovaocu je obaveza da dokaže usklađenost svog delovanja sa svim prethodno nabrojanim načelima, odnosno da dokaže zakonitost svog postupanja i legitimne interese za prikupljanjem i obradom na određeni način i u određenoj meri.


 

2.3. PRISTANAK NA OBRADU PODATAKA LIČNOSTI

Pristanak lica na koje se podaci odnose je svako dobrovoljno, izričito, informisano i nedvosmisleno izražavanje volje lica na koje se podaci odnose kojim on izjavom ili konkludentnom radnjom  daje pristanak za obradu podataka o ličnosti koji se na njega odnose.

Pristanak mora da se daje jasnom potvrdnom radnjom kojom se izražava dobrovoljan, konkretan, informisan i nedvosmislen pristanak lica na koje se podaci odnose na obradu koji se odnose na njega, kao što je pisana izjava (uključujući i elektronsku izjavu) ili usmena izjava.

Može da obuhvata štikliranje polja prilikom posete internet stranama, biranje tehničkih podešavanja za usluge informacionog društva ili drugu izjavu ili radnju kojom se jasno pokazuje u tom kontekstu da lice na koje se podaci odnose prihvata predloženu obradu svojih podataka o ličnosti.

Pristankom se ne smatra:

  • Pasivno držanje korisnika
  • Unapred štiklirano polje
  • Jasna neravnoteža u odnosu stranaka (posebno ako je jedna strana organ vlasti)
  • Nema istinskog i slobodnog izbora
  • Nemogućnost odbijanja ili povlačenja pristanka bez posledica

Zakonodavac posebno obraća pažnju na Uslove za pristanak, jer teret dokazivanja da je određeno lice dali pristanak je na rukovaocu. Uz pristanak je potrebno obezbediti punu informisanost lica na jasan i nedvosmislen način, u razumljivom i lako dostupnom obliku uz jasnu razliku od drugih pitanja.

Lice koje je jednom dalo pristanak, ima pravo da ga u svakom trenutku povuče na jednako jednostavan način kao što je to propisano i za davanje saglasnoti. Povlačenje ne utiče na zakonitost obrade izvršene pre povlačenja. Za prikupljanje i obradu podataka lica mlađih od 16 godina, potrebno je pribaviti saglasnost roditelja. Nacionalna zakonodavstva ovu granicu mogu pomeriti do 13-te godine.

Karakteristično kog pribavljanja saglasnosti roditelja, je što je uredba pored tereta dokazivanja da je saglasnost pribavljena, obavezala rukovaoca da učini sve što je u njegovoj moći da proveri da li je pristanak zaista dao roditelj odnosno zakonski zastupnika deteta.

 


2.4. PRAVA LICA ČIJI SE PODACI OBRAĐUJU

 

  • PRAVO NA INFORMISANOST

Rukovalac preduzima odgovarajuće mere kako bi se licu na koje se podaci odnose pružile sve informacije i sva saopštenja u vezi sa obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namenjena detetu.

Informacije se pružaju u pisanom obliku ili na druge načine, uključujući i elektronski oblik kada je primereno

Rukovalac na zahtev pruža licu na koje se podaci odnose informacije o preduzetim radnjama bez nepotrebnog odlaganja, a u svakom slučaju najkasnije u roku od mesec dana od prijema zahteva.

Taj rok može prema potrebi da se produži za dodatna dva meseca, uzimajući u obzir složenost i broj zahteva.

Rukovalac obaveštava lice na koje se podaci odnose o svakom takvom produženju u roku od mesec dana od prijema zahteva, pri čemu navodi razloge za odlaganje.


  • PRAVO NA PRISTUP I KOPIJU

Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se obrađuju njegovi podaci o ličnosti i ako se takvi podaci o ličnosti obrađuju, ima pravo pristupa podacima o ličnosti i pravo na kopiju istih

Informacije se pružaju u uobičajenom elektronskom obliku, osim ako lice zahteva drugačije.

Pronaći modalitet za što lakše ostvarenje prava


  • PRAVO NA ISPRAVKU

Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući ispravku netačnih podataka o ličnosti koji se na njega odnose.

Uzimajući u obzir svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni nepotpune podatke o ličnosti, između ostalog davanjem dodatne izjave.


  • PRAVO NA ZABORAV

Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose bez odlaganja (i obriše podatke kod svih obrađivača ili 3. lica kod kojih se nalaze), ako je ispunjen jedan od sledećih uslova:

  • podaci o ličnosti više nisu neophodni za svrhe u koje su prikupljeni
  • lice na koje se podaci odnose je povuklo i ako ne postoji druga pravna osnova za obradu;
  • lice na koje se podaci odnose je uložilo prigovor na obradu
  • podaci o ličnosti su nezakonito obrađeni
  • podaci o ličnosti moraju da budu obrisani radi postupanja u skladu sa zakonskom obavezom prema pravu Unije ili pravu države članice koje se primenjuje na rukovaoca
  • podaci o ličnosti su prikupljeni u vezi s ponudom usluga informacionog društva licu mlađem od 16 godina

Pravo na zaborav i na brisanje ne postoji ukoliko je obrada neophodna:

  • radi ostvarivanja prava na slobodu izražavanja i informisanja;
  • radi poštovanja zakonske obaveze kojom se zahteva obrada u pravu Unije ili pravu države članice koje se primenjuje na rukovaoca ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka
  • zbog javnog interesa u oblasti javnog zdravlja
  • za potrebe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe ako bi pravo iz stava 1. verovatno onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade
  • radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva

  • PRAVO NA OGRANIČENOST OBRADE

Lice na koje se podaci odnose ima pravo da zahteva ograničenje obrade od strane rukovaoca ako je ispunjen jedan od sledećih uslova:

  • lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji rukovaocu podataka omogućava da proveri tačnost podataka o ličnosti
  • obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto toga traži ograničavanje njihove upotrebe
  • rukovaocu podataka više nisu potrebni podaci o ličnosti za potrebe obrade, ali ih lice na koje se podaci odnose traži uspostavljanja, ostvarivanja ili odbrane pravnih zahteva;
  • lice na koje se podaci odnose je uložilo prigovor na obradu, a još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad razlozima lica na koje se podaci odnose
  • Lice čiji se podaci obrađuju takođe ima pravo na ispravku već prikupljenih podataka kao i pravo na zaborav, odnosno na njihovo brisanje pod određenim uslovima.

  • PRAVO NA PRENOSIVOST PODATAKA

Ima pravo da (neposredno) prenosi te podatke drugom rukovaocu podataka bez ometanja od strane rukovaoca kojem su podaci o ličnosti pruženi, ako:

  • je obrada zasnovana na pristanku
  • se obrada vrši automatski

  • PRAVNO NA PRIGOVOR

U bilo kom trenutku uloži prigovor ako se podaci obrađuju na osnovu saglasnosti.

Rukovalac je dužan da obustavi osim ako dokaže legitimne razloge za obradu

U slučaju prigovora povodom korišćenja u direktnom marketingu, posaci se više ne smeju koristiti.

Nezavisno od prava na prigovor nadzornom organu, licu čiji se podaci obrađuju u svakom slučaju je na raspolaganju pravo na pokretanje sudskog postupka radi naknade štete.

 


2.5. NADZORNI ORGAN

Zakonodavac je kroz instituciju nadzornog organa sa svim svojim ovlašćenjima, obezbedio jaku zaštitu nad podacima. A rukovaocima i obrađivačima je nametnuo obavezu informisanja nadzornog organa o svim pitanjima koji se tiču kršenja pravila uredbe, naročito zloupotrebe i odliva podataka trećim licima. Držanje rukovaoca u ovim situacijama će biti uzimano u obzir prilikom procene visine administrativnih novčanih kazni koje čije im plaćanje može biti nametnuto.


2.6. DATA PROTECTION OFFICER

Nova Opšta uredba evropskog parlamenta o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti o slobodnom kretanju takvih podataka,  broj 2016/679, od 27. Aprila 2016, koja stupa na snagu 25. Maja 2018, donosi niz novih pravila koja bi trebalo da podignu nivo zaštite podataka ličnosti pojedinca na znatno viši nivo. Promene koje donosi ogledaju se najviše u teritorijalnoj i personalnoj primeni, zatim vrsti podataka koja se smatraju ličnim i znatno oštrije postavljenim kriterijumima za prikupljanje i obradu podataka ličnosti. Uredba, kao opšti akt koji donosi okvir za detaljniju regulaciju, dozvoljava državama članicama Unije da drugačije urede pojedine načine obrade podataka, naročito kada su u pitanju osetljivi podaci poput biometrijskih, ili osetljive kategorije lica poput maloletnika.

Za nepridržavanje propisanih pravila uredba je propisala stroge sankcije, u vidu administrativnih novčanih kazni, koje se kreću i do vrtoglavih 20 miliona evra odnsono 4% godišnjeg prometa kompanije, zavisno od toga koja je vrednost viša. Naravno, najveće kazne rezervisane su samo za kategorije obrađivača i rukovaoca koji pravila prekrše sa namerom ili krajnjom nepoažnjom, ako su u pitanju osetljive kategorija podataka, takođe zavisno i od prethodnog ponašanja rukovaoca u pogledu zaštite podataka i saradnje sa nadzornim organom. U svakom slučaju, kazne su jako visoke i predstavljaju ogroman rizik po poslovanje kompanija koje se bave obradom ili u okviru svoje delatnost obrađuju neku vrstu podataka.

Zbog toga je Uredba propisala obavezu ili mogućnost obezbeđivanja profesionalnalne pomoći u vidu angažovanja lica za zaštitu podataka

Angažovanje lica predstavlja obavezu u situacijama kada obradu vrši organ javne vlasti, zatim ukoliko se osnovna delatnost rukovaoca ili obrađivača sastoji iz radnji obrade podataka koja podrazumeva redovno i masovno praćenje lica na koja se ti podaci odnosi ili ukoliko se njihova osnovna delatnost sastoji iz masovne obrade posebnih kategorija podataka kao što su rasno ili etničko poreklo, političko opredeljenje, verska ili filozofska ubeđenja, pripadnost sindikatima, obrada genetskih ili biometrijskih podataka u svrhu jedinstvene idenifikacije fizičkog lica, zatim podataka o zdravstvenom stanju ili seksualnoj orjentaciji. Obaveza se odnosi i kada su u pitanju podaci vezani za krivičnu i prekršajnu osuđivanost, koji registar se mora voditi samo pod kontrolom službenog organa.

Ova obaveza se ne odnosi na sudove u okviru sudskih ovašćenja odnosno obavljanja pravosudne funkcije.

Uredba omogućuje grupi povezanih društava ili grupi od više organa javne vlasti da imenuju jedno ovlašćeno lice za zaštitu podataka ukoliko se obezbedi visok nivo komunikacije izmedju lica i svakog povezanog društva. U slučaju organa javne vlasti mora se uzeti u obzir i veličina tih organa.

U ostalim slučajevima rukovaoci i obrađivači mogu da angažuju ovlašćeno lice za zaštitu podataka ličnosti, osim ukoliko nacionalna zakonodavstva ne prošire listu kategorija koja su obavezna da imaju jednu takvu vrstu profesionalne podrške. Ovlašćeno lice može biti i iz reda zaposlenih kod rukovaoca i obrađivača i imenuje se na osnovu stručne kompetentnosti znanja iz obasti zaštite podataka i sposobnosti da odgovori zahtevima posla. Ovlašćeno lice čak ne mora ni da bude u stalnom radnom odnosu, već može biti angažovano po drugom osnovu.

Podaci o ovlašćeno licu moraju biti objavljeni i o istom mora biti obavešten i nadzorni organ.


Delokrug poslova Lica zaduženog za zaštitu podataka naročito podrazumeva:

  • Aktivno učestvovanje u pripremi opšteg akta o zaštiti podataka ličnosti, predlaganje njegovih izmena i dopuna kao i odgovornost za primenu
  • Kontrola i preduzimanje mera u vezi zaštite
  • Nadzor nad obradom podataka
  • Poredlaže i pokreće disciplinske postupke u slučaju kršenja zakona odnosno uredbe, ukoliko je ta kategorija povrede radne obaveze predviđena disciplinskim pravilnikom ili drugim oštim aktom
  • Briga o posebnim merama za zaštitu podataka iz kategorije osetljivih
  • Predlaže i preduzima mere za obaveštavanje lica čiji se podaci obrađuju, u skladu sa zakonom i drugim propisima
  • Vodi računa o neophodnosti, obimu i svrsi obrade podataka
  • Vodi računa o vremenu čuvanja podataka i stara se o poštovanju načela minimalizacije
  • Obezbeđuje dostupnost prava licima čiji se podaci prikupljaju i obrađuju
  • Obaveštava lica o promeni svrhe obrade i zahteva dodatne saglasnosti kada je potrebno
  • Obaveštava lica i nadzorni organ o problemima bezbednosti ili drugom vidu krešenja pravila zakona i uredbe, u roku predviđenom oredbom.
  • Vodi ili organizuje registar evidencija podataka odnosno obrade
  • Obezbeđuje politiku zaštite podataka među zaposlenima
  • Edukuje i obučava zaposlene u cilju što efikasnije primene pravila Uredbe i umanjenja mogućnosti kršenja
  • Prati regulativu, i informiše nadležne o novim pravilima i potrebama koje se moraju implemetnirati u poslovanje i opšte i pojedinačne akte
  • Izveštava nadležne o stanju podataka i merama bezbednosti

[1] D. Popović, M. Jovanović, Pravo Interneta – odabrane teme, Pravni fakultet u Beogradu 2017, strana 123

[2] Ibid. 127

[3] Ibid 128.

[4] Ibid. 132