OPŠTA UREDBA O ZAŠTITI PODATAKA LIČNOSTI EU – GDPR 2016/679 (General Data Protection Regulation)
Zbog pomenutih manjkavosti propisa koji su regulisali obradu i protok informacija unutar EU i ka trećim zamljana, nakon višegodišnjih priprema Evropski parlament je 27. Aprila 2016. izglasao Opštu uredbu o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti o slobodnom kretanju takvih podataka, broj 2016/679, koja stupa na snagu 25. Maja 2018, donosi niz novih pravila sa namerom da podatke ličnosti zaštite u većoj meri nego što je to prethodno bio slučaj.
Opšta uredba sadrži niz novih pojmova i kategorija u odnosu na prethodni regulatorni okvir, kao što je pojam pseudonimizacija, biometrijski podaci, glavno mesto poslovnog sedišta kompanije koja se ima smatrati rukovaocem odnosno obrađivačem podataka itd.
Zbog kompleksnosti pitanja, ali i same uredbe čija primena zahteva profesionalnu pomoć i visok nivo odgovornosti, evropski pralment je predvideo i novu kategoriju – Lice zaduženo za zaštitu podataka (Data Protection Officer), koje je zaduženo za pružanje profesionalne pomoći i savetovanje javnih i državnih organa u svojstvu rukovaoca i obrađivača, kao i u slučaju rukovaoca kojima je osnovna delatnost masovno praćenje, prikupljanje i obrada podataka. Obaveza angažovanja Lica zaduženog za zaštitu podataka postoji i u slučaju obrađivanja osetljivih kategorija informacija o ličnosti.
Uredba ima obavezujuće dejstvo u odnosu na prethodnu Direktivu, i sve države članice, je moraju idrektno primenjivati bez obzira na nacionalne zakone koji ne smeju biti u suporotnosti sa njenim odredbama. Odnosno, Uredba je dala veliki prostor državama članicama da drugačije reše neka pitanja i mahom da pooštre uslove i način prikupljanja i obrade, ali bez uticaja na osnovna načela same Uredbe koja ne smeju biti dovedena u pitanje.
Uredba je donela i promene koje se tiču teritorijalne i personalne primene, jer se odnosi i na zemlje koje su van Unije odnosno ukoliko rukovaoc i obrađivač imaju sedište van unije ako su njihove aktivnosti usmerene ka građanima EU. Uredba detaljno određuje u kojim situacijama će se nuđenje robe ili usluga ima smatrati uperenom ka građanima EU, pri čemu se uzima u obzir jezik na kom se ponuda vrši, valuta itd.
GDPR PREAMBULA – ZAŠTO JE BITNA
Preambula GDPR-a veoma je bitna kako za bolje razumevanje integralnog teksta uredbe, njegovu što precizniju primenu, ali i za razumevanje suštinskih razloga zbog čega je ovaj propis morao biti donet, i koje tekovine i vrednosti se njime štite. Teško je očekivati od jednog propisa koji ima svojstvo lex generalis akta za tako važnu oblast, a još nepunih sto članova da omogući jednostavnu i jasnu formulaciju pravnih normi, odnosno da precizno zada zadatak subjektima koji ove odredbe treba da primenjuju. Zbo toga je ovako opštiran uvod u formi preambule u velikoj meri omogućio da GDPR razumemo na pravi način.
Na njenom početku, preambula upućuje na član 8, Konvencije o ljudskim pravima, kao i član 16, stav 1, Ugovora o funkcionisanju Evropske unije, potvrđujući da je zaštita fizičkih lica u odnosu na obradu podataka o ličnosti osnovno pravo, kao i da načela i pravila o zaštiti fizičkih lica u odnosu na obradu njihovih podataka o ličnosti moraju da poštuju njihova osnovna prava i slobode, bez obzira na njihovo državljanstvo ili prebivalište, čime tvorac regulative pravi neophodnu vezu sa drugim relevantnim propisima i daje legitimitet samoj Uredbi.
Daljim tekstom ukazuje se na ograničenja prava na zaštitu podataka ličnosti zarad drugih interesa koji u tom trenutku pretežu nad interesom privatnosti. Pravo na zaštitu podataka svakako nije apsolutno pravo, tako da mora biti uzet u obzir i društveni kontekst, odnsono mora biti sagledano unutar jedinstvenog pravog sistema da bi se postigao neophodan balans sa ostalim subjektivnim pravima. U svakom slučaju Uredba mora da poštuje garantovana prava, slobode i načela priznata Evropskom konvencijom o ljudskim pravima, Poveljom UN i drugim važnim međunardonim aktima sa akcentom upravo na pravima koja se tiču privatnosti kao što je neophodnost garancije privatnog i porodičnog života, doma i komunikacija, ali i sloboda mišljenja, savesti i veroispovesti, sloboda izražavanja i informisanja, sloboda poslovanja, pravo na delotvoran pravni lek i pošteno suđenje, kao i pravo na različitost vezano za kulturu, religiju i jezik.
Preambulom se pojašnjava dejstvo uredbe u personalnom smislu, pa se precizira da zaštita koja se pruža ovom uredbom mora da se primenjuje na fizička lica, bez obzira na njihovo državljanstvo ili prebivalište, odnosno ukazuje da se aktom ne obuhvataju obrade podataka o ličnosti koji se tiču pravnih lica, uključujući poslovno ime, formu i kontakt podatke. Čime se faktički isključuje mogućnost tumačenja da li su podaci o adresama, nepersonalizovanim imejlovima i brojevima telefona pravnog lica u domenu GDPR-a ili ne. Dalje se priceizira se ova uredba ne primenjuje na obradu podataka o ličnosti koju vrše fizičke lica u toku isključivo lične ili kućne aktivnosti.
Uredba propisuje da se njena pravila ne primenjuju ni na sudske organe, u delu koji se odnosi obavljanje njihove sudijske odnosno pravosudne funkcije, a sve u cilju obezbeđivanja nezavisnosti pravosuđa u odnosu na izvršnu, ali i zakonodavnu vlast. S tim što tu zakonodavac upravo iz razloga fukcionalnijeg mehanizma podele vlasti pojašnjava da ovaj deo pravosudne delatnosti ne sme ostati potpuno van kontrole zakona, pa bi trebalo da bude omogućen nadzor nad takvim radnjama obrade podataka od strane posebnih organa kroz sistem pritužbi, čime bi se povećala svest sudija o njihovim obavezama.
Važan deo Preambule je onaj koji se tiče definisanja personalnog dejstva dokumenta u pogledu na preminule osobe. S obzirom da tekst same uredbe o tome ne govori, preambula tu dilemu razrešava i ograničava dejstvo samo na živa fizička lica.
Takođe, vezano za postupak pribavljanja saglasnosti za obradu podataka dece, GDPR ne ulazi u detalje ove regulacije, već prebacuje odgovornost na rukovaoca odredbom da je dužan da učini sve što je u njegovoj moći da u takvim slučajevima proveri da li je pristanak dao ili odobrio vršilac roditeljskog prava nad detetom, uzimajući u obzir dostupnu tehnologiju. Ovako preopširno postavljeno pravilo, donekele pojašnjava preambula tako što dodaje da deca zaslužuju posebnu zaštitu u pogledu svojih podataka o ličnosti s obzirom na to sa mogu da budu manje svesna rizika, posledica i mera zaštite, kao i svojih prava u vezi sa obradom podataka o ličnosti, a takva posebna zaštita mora posebno da se primenjuje na korišćenje podataka o ličnosti dece u svrhu marketinga ili pravljenja ličnih ili korisničkih profila i prikupljanje podataka o ličnosti o deci prilikom korišćenja usluga koje se nude direktno detetu. Odnosno u ovim situacijama, pristanak vršilaca roditeljskog prava ne treba da bude neophodan ako je u kontekstu preventivnih ili savetodavnih usluga koje se nude direktno detetu. Ovim pojašnjenjem se znatno ograničava obim situacija u kojima bi rukovalac morao da pribavi prethodnu saglasnost roditelja, odnosno vršioca roditeljskog prava, što često u praksi može biti neizvodljivo, ali i nepotrebno.
Takođe, kod prava na zaborav , pravna norma glasi da lice na koje se podaci odnose ima to pravo ako podaci više nisu potrebni za svrhe u koju su prikupljeni ili na druge načine obrađivani. Ali preaumbulom se dodatno pojašnjava u kojim situacijama podaci nisu više potrebni. Tako ukoliko su lica na koje se podaci odnose povukla svoj pristanak ili ako daju prigovor na obradu podataka o ličnosti koji se odnose na njih ili ako obrada njihovih podataka o ličnosti na druge načine nije u skladu s ovom uredbom, obrada podataka neće biti smatrana neophodnom. Ovo pravo je posebno od značaja ako je neko lice dalo svoj pristanak dok je bilo dete kada nije bio u potpunosti svesno rizika obrade, a u nekom trenutku kasnije ima potrebu da ukloni takve podatke o ličnosti, posebno na internetu. . S obzirom na važnost prava na zaborav u cilju pojačavanja njegovog dejstva u internet okruženju, pravo na brisanje treba da bude prošireno na način da rukovalac koji je objavio podatke o ličnosti ima obavezu da obavesti druge rukovaoce podataka koji takve podatke o ličnosti obrađuju da obrišu sve kopije odnosno linkove koji vode ka tom sadržaju. Tom prilikom rukovalac mora da preduzme prihvatljive mere, a uzimajući u obzir dostupnu tehnologiju i sredstva dostupna rukovaocu podataka, uključujući i tehničke mere, da obavesti rukovaoce podataka koji obrađuju podatke o ličnosti o zahtevu lica na koje se podaci odnose, što nimalo nije lak zadatak, ali svakako doprinosi većem nivou zaštite pojedinca.
Uredba propisuje se pravilo da ako rukovalac ne može da odredi identitet fizičkog lica na osnovu podataka o ličnosti koje obrađuje, rukovalac nema obavezu da prikuplja dodatne informacije kako bi odredio identitet lica na koje se podaci odnose, a sve u cilju prikupljanja što manje informacija čime se indirektno i smanjuje rizik po privatnost samog lica čiji se podaci obrađuju. Međutim, Preambula detaljnije razrađuje tu odredbu pa predviđa da rukovalac ne sme da odbije dodatne informacije koje je pružilo lice na koje se podaci odnose kako bi podržalo ostvarivanje svojih prava. Identifikacija treba da obuhvata digitalnu identifikaciju lica na koje se podaci odnose, kao na primer putem mehanizma autentifikacije kao što su isti podaci koje lice na koje se podaci odnose koristi da bi se prijavilo za onlajn usluge koje nudi rukovalac kao što je tzv. Double opt-in autentifikacija (dvostruka provera identiteta korisnika odnosno provera da li predmetni korisnik zaista raspolaže pristupom nalozima odnosno drugim kontakt podacima, i to tako što će slati email, SMS ili automatski poziv sa verifikacionim kodom i linkom.
GDPR PREAMBULA I POSEBNE KATEGORIJE LIČNOSTI
Podatke o ličnosti koji su po svojoj prirodi posebno osetljivi u pogledu osnovnih prava i sloboda prembula uvršćuje u kategoriju podataka koji zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo da dođe do značajnih rizika za osnovna prava i slobode. Ti podaci o ličnosti moraju da obuhvataju svakako podatke o ličnosti koji otkrivaju rasno ili etničko poreklo. Dalje, fotografija odnosno obrada iste ne treba po svaku cenu biti smatrana posebnom kategorijom podataka o ličnosti jer će se one smatrati biometrijskim podatkom samo ukoliko su tretirane posebnim tehničkim sredstvima i algoritmima za prepoznavanje koji omogućavaju identifikaciju fizičkog lica, kao što je to slučaj sa pojedinim internet platformama koje uz pomoć svojih programa identifikuju lica na fotografijama. Takva obrada u načelu nije dozvoljena, osim ako je propisana u posebnim slučajevima u ovoj uredbi, s tim što je državama članicama ostavljeno da same bliže propišu posebne odredbe o zaštiti podataka kako bi se primena pravila iz ove uredbe prilagodila radi poštovanja zakonske obaveze ili za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu. Od pravila o načelnoj zabrani može se odstupiti i ukoliko je lice čiji se identitet otkriva dali svoj izričit pristanak, koji ispunjava se uslove bitne za njegovu punovažnosti.
Dalje se navodi da se odstupanje od zabrane može dozvoliti i u zdravstvene svrhe, uključujući i javno zdravlje i upravljanje zdravstvenim uslugama, posebno kako bi se tako obezbedio kvalitet i isplativost postupaka koji se koriste za rešavanje zahteva za davanjima i uslugama u sistemu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, takođe i u svrhe naučnih ili istorijskih istraživanja ili u statističke svrhe.
Odstupanjem bi takođe trebalo omogućiti obradu takvih podataka o ličnosti ako je to neophodno za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva pred sudom ili organom uprave.
OBJAŠNJENJE I BLIŽE DEFINISANJE PROCENE UTICAJA U PREAMBULI
Preambula objašnjava kroz primere u kojim situacijama bi trebalo vršiti procenu uticaja, pa je preporuka da se primenjuje na radnje obrade velikog obima čiji je cilj obrada v količinaelikih podataka o ličnosti na regionalnom, nacionalnom ili nadnacionalnom nivou i koje bi mogle da utiču na veliki broj lica na koje se podaci odnose i koje će verovatno prouzrokovati veliki rizik. Procenu uticaja na zaštitu podataka takođe treba vršiti kada se podaci o ličnosti obrađuju radi donošenja odluka o koji se tiču pojedinaca odnosno nakon profilisanja podataka prikupljenih o fizičkim licima ili nakon obrade posebnih kategorija podataka o ličnosti, biometrijskih podataka ili podataka o krivičnim osudama i krivičnim delima.
Takođe, u slučaju obimnog praćenje javnih površina, posebno ako se koriste kamere potrebno je vršiti prethodnu procenu uticaja.
OBJAŠNJENJE LEGITIMNIH INTERESA KAO OSNOVA OBRADE PREAMBULOM
Uredba propisuje nekoliko pravnih osnova da bi obrada bila smatrana zakonitom, odnosno da bi načelo zakonitosti obrade bilo ispunjeno. Tako, pored izvršenja zakonske obaveze, obavljanja službenih ovlašćenja, ispunjenja ugovorne obaveze i datog izričitog pristanka na obradu, zakonodavac propisuje i legitimni interes kao osnov. I pored važnosti koju je tvorac uredbe dao legitimnom interesu podižući ga na novi osnova obrade, inicijalni tekst GDPR-a od 99 članova, se ne bavi definisanjem pojma, čime ostavlja prostor tumačenju, a samim tim i pravnoj nesigurnosti. Međutim preambula Opšte uredbe ipak nešto detaljnije obrađuje ovaj osnov obrade pa konstatuje da legitimni interesi rukovaoca, uključujući i one interese rukovaoca kojem se podaci o ličnosti mogu otkriti, ili trećeg lica, mogu da predstavljaju pravnu osnovu za obradu, pod uslovom da interesi ili osnovna prava i slobode lica na koje se podaci odnose nisu preovlađujući, uzimajući u obzir razumna očekivanja lica na koje se podaci odnose zasnovana na njihovom odnosu sa rukovaocem podataka. Takav legitiman interes bi mogao na primer da postoji u slučaju relevantnog i odgovarajućeg odnosa između lica na koje se podaci odnose i rukovaoca u situacijama kao što je situacija kada je lice na koje se podaci odnose klijent rukovaoca ili angažovano lice kod njega u službi. U svakom slučaju postojanje legitimnog interesa bi zahtevalo pažljivu procenu u svakom konkretnom slučaju, uključujući i procenu da li lice na koje se podaci odnose može u kontekstu prikupljanja podataka o ličnosti razumno da očekuje obradu u tu svrhu. Interesi i osnovna prava lica na koje se podaci odnose mogu posebno da preovlađuju nad interesom rukovaoca ako se podaci o ličnosti obrađuju u okolnostima u kojima lica na koja se podaci odnose razumno ne očekuju dalju obradu, odnosno ukoliko bi im ta obrada štetila. Jako je važno pojašnjenje zakonodavca vezano za obradu od strane organa javne vlasti u tom pogledu. Naime legitimni interes ne treba da bude osnov obrade koju vrše organi vlasti prilikom izvršavanja svojih zadataka, kako se preambulom navodi.
Dalje, obrada podataka o ličnosti koja je strogo neophodna u svrhe sprečavanja prevara takođe predstavlja legitiman interes rukovaoca. Može da se smatra da postoji legitiman interes kod obrade podataka o ličnosti za potrebe direktnog marketinga.
S obzirom da naš Zakonodavac prilikom donošenja novog Zakona o zaštiti podataka Republike Srbije koji je implementirao mnoga rešenja Uredbe EU, nije uzeo u obzir preambulu, ona nije ni uključena u tekst našeg pravnog akta. A s obzirom da Republika Srbija nije deo EU zajednice Opšta uredba nema ni dejstvo u smislu direktne primene, kao što se to odnosi na njene članove, možemo zaključiti da ZZPL se ne bavi detaljno legitimnim interesom kao osnovom obrade, odnosno iz trenutne zakonske formulacije ili prakse se ne može zaključiti kada se i u pod kojim uslovima može smatrati da je ispunjen uslov da se primeni ovaj osnov obrade podataka.