Uroša Martinovića 8, 11070 Beograd

Zaštita podataka o ličnosti

1. PRAVO NA PRIVATNOST

Pravo na privatnost predstavlja osnovno ljudsko pravo proklamovano međunarodnim sporazumima i konvencijama, konstitutivnim aktima nacionalnih država i unija, ali i zakonima. Takođe, pravne norme koje propisiju njenu zaštitu predstavlja jednu od najvažnijih tekovina pravne teorije i prakse.

Isprva zamišljena da pruži garancije čoveku da će njihova pošta, kasnije i poruke poslate drugim telekomunikacionim kanalima, kao i stan gde borave biti nepovredivi od strane trećih lica, moderne visoke tehnologije, a naročito internet, dale su sasvim novu i dublju dimenziju pojmu privatnosti.

Sama etimologija reči Privatnost, seže u antičko doba. Najpre ga Aristotel u svom delu Politika pominje razdvajajući privatnu i javnu sferu, u smislu dobra od pojedinačnog ili opšteg značaja.[1] Međutim, stari Grci su i u praksi sprovodili odvajanje privatnog i javnog. Počevši, od arhitekture, gde su kuće pravili na način da pojedinim odajama obezbede tajnost, a s druge strane prozori i drugi otvori na građevinama su bili tako projektovani da dozvoljavaju ulazak svetlosti, ali ne i mogućnost pogleda sa javnih površina. Međutim, to što su u staroj Grčkoj i Rimu poznavali privatnost, ne znači i da je ona sprovođena u meri u kojoj je danas poznajemo. Naročito u Rimu, bili su moderni široki neograđeni vrtovi, javna kupatila, gde su nagi ljudi bili uobičajena pojava. Tek sa ranim hrišćanstvom i propagiranjem molitvi u tišini, prava i potrebe za osamljenošću i izolacijom, privatnost u punom smislu reči dobija na značaju. Ako uzmemo u obzir i čin ispovesti, a naročito praksu u zapadnoevropskom hiršćanstvu, gde su ispovedaonice projektovane na način da obezbede vizuelnu privatnost ispovedanog, možemo zaključiti koliko je čin privatnosti unutar društva i odnosa ljudi međusobno značajan u hrišćanskoj veri. Međutim, u odnosu prema Bogu, prema hrišćanskim verovanjima i običajima, privatnosti nema, jer je odnosu između čoveka i Boga, neposredan i transparentan.

[1] D. Popović, M. Jovanović, Pravo Interneta – odabrane teme, Pravni fakultet u Beogradu 2017, strana 123

U svojoj vekovnoj i decenijskoj borbi da zauzme što značanije mesto u regulatornim hijerarhijama, privatnost kao takva morala je da bude podvrgavana kompromisima zbog drugih prava, kao što su sloboda izražavanja i štampe ili bezbednosni i drugi državni i javni interesi.

Privatnost je u formi kako je danas poznajemo inkorporirana u moderna zakonodavstva i postala ustavna kategorija tek u 19-tom veku. Međutim najvažniji međunarodni akt koji je na vrelika vrata pravo na privatnost svrstao među osnovna ljudska prava je svakako Evropska konvencija o ljudskim pravima i njen član 8:

Svako ima pravo na poštovanje svog privatnog i porodičnog života, doma i prepiske.

Već stavom 2, istog člana, Konvencija ograničava dejstvo ovog prava, a uzimajući u obzir javni interes i interes drugih lica:

Javne vlasti neće se miješati u vršenje ovog prava sem ako to nije u skladu sa zakonom i neophodno u demokratskom društvu u interesu nacionalne bezbijednosti, javne bezbijednosti ili ekonomske dobrobiti zemlje, radi spriječavanja nereda ili kriminala, zaštite zdravlja ili morala, ili radi zaštite prava i sloboda drugih.

Dalje, isti akt u članu 10. proklamuje slobodu izražavanja i stavlja je u direktnu korelaciju sa pravom na privatni život:

Svako ima pravo na slobodu izražavanja. Ovo pravo uključuje slobodu posjedovanja sopstvenog mišljenja, primanja i saopštavanja informacija i ideja bez miješanja javne vlasti i bez obzira na granice. Ovaj član ne spriječava države da zahtijevaju dozvole za rad televizijskih, radio i bioskopskih preduzeća.

Pošto korišćenje ovih sloboda povlači za sobom dužnosti i odgovornosti, ono se može podvrgnuti formalnostima, uslovima, ograničenjima ili kaznama propisanim zakonom i neophodnim u demokratskom društvu u interesu nacionalne bezbijednosti, teritorijalnog integriteta ili javne bezbijednosti, radi spriječavanja nereda ili kriminala, zaštite zdravlja ili morala, zaštite ugleda ili prava drugih, spriječavanja otkrivanja obavještenja dobijenih u povjerenju, ili radi očuvanja autoriteta i nepristrasnosti sudstva.

Iako inicijalno ustanovljena još konvencijom iz 1950. Godine, Evropski sud za ljudska prava u Strazburu je kasnije dejstva pomenutog člana 8 kroz sudsku praksu proširio i na internet i drugu elektronsku komunikaciju, praćenje, prikupljanje i obrada ličnih podataka koji se tiču fizičkog i psihičkog integriteta čoveka, poput zdravstvenog stanja, imena, porekla, sklonosti, praćenja lokacija i IP adresa uređaja sa kojih se pristupa internetu itd. Tako je između ostalog u čuvenoj odluci Hannover v. Germany, 40660/08, sud proširio dejstvo člana 8 na način što je utvrdio da pravo na zaštitu privatnog života obuhvata i pravo na zabranu objavljivanja fotografija i snimaka koji nisu od javnog interesa i nisu napravljeni u javne svrhe.[1]

[1] Ibid. 127

Međutim dejstvo opisanog stava 1, člana 8, nije neograničeno. Već članom 2 istog člana Konvencije, Savet Evrope je predvideo njena ograničenja, kao što su interesi bezbednosti ili zaštite zdravlja, ali samo u opravdanoj meri i u skladu sa principima podobnosti, neophodnosti i uporedivosti. Pod načelom uporedivosti, podrazumeva se procena važnosti javnog interesa koji se štiti naspram vrednosti dobra koje se takvim ograničenjem ugrožava.

Nivo zaštite privatnosti u nacionalnim zakonodavstvima varira. Tako francuski Code Civile u članu 9 garantuje pravo na privatnost. Iako je zadiranje u privatni život u 19. Veku bilo mnogo manje izraženo nego kasnije, a neuporedivo u odnosu na današnje vreme, francusko pravo je još tada inkriminisalo objavljivanje činjenica o nečijem privatnom životu.

Međutim, Sjedinjene Američke Države nisu ustavom ustanovile zaštitu privatnosti, kao i mnoga druga privatna prava koja su pod velikim uticajem prvog amandmana i zaštite slobode govora i izražavanja. Ali USA je pojam privatnosti počela da razrađuje zakonskim rešenjima, još od 1890 godine. A takođe  četvrti amandman zabranjuje upad na privatni posed od strane javne vlasti bez dozvole, što predstavlja jedno od prava na privatnosti, iako se eksplicitno u predmetnom amandmanu nigde ne pominje.

Italija i Nemačka prepoznaju pravo na privatnosti, dok se Velika Britanija oslanja na Evropsku konvenciju o ljudskim pravima i njen član 8.

Internet je doneo nove načine na koje se može povrediti nečija privatnost sa mnogo pogubnijim i dalekosežnijm posledicama po oštećenog. Kroz podatke ličnosti koji se tim putem mogu prikupiti, može se zaći u najdublje sfere ličnosti, a ljudski integritet se može nepopravljivo ugroziti na najteže načine.

Jedan o karakterističnih načina povrede prava na zašititu ličnih podataka i privatnosti na internetu jeste neovlašćeno praćenje, skladištenje i obrada informacija o aktivnostima korisnika interneta. Najopasniji vid podataka koji razotkriva ličnost u najprivatnijem smislu su tzv. metapodaci, o kojima će biti više reči dalje u tekstu, a koji predstavljaju informacije o samim komunikacijama. Ovi podaci predstavljaju visoko rizične kategorije informacija po privatnost čoveka, jer današnji softverski sistemi uz pomoć algoritama, lako povezuju i ukrštaju dobijene podatke i na osnovu njih generišu veoma preciznu i detaljnu sliku o ostvarenim kontaktima, interesovanjima i drugim sklonostima lica na koja se metapodaci odnose.[1]

[1] Ibid 128.

Zbog toga je, nakon više prethodnih preporuka i smernica za zaštitu privatnosti, Evropska unija usvojila Direktivu o zaštiti podataka 95/46 EC, od 23. Novembra 1995. godine, kojom je prvi put detaljno i u obavezujućoj formi regulisana ova oblast. Imala je dva cilja, da obezbedi pravo na poštonaje privatnosti kao jedno od osnovnih prava čoveka, kao i da ostvari slobodan i bezbedan promet podataka ličnosti između članica EU.

Direktiva je obavezala države članice da donesu svoje zakone i u njih implemetniraju pravila iz iste, s obzirom da Direktive nisu direktan izvor prava u EU.[1]

[1] Ibid. 132

Pored lica čiji se podaci obrađuju koje je definisano kao svako lice čiji je identitet određen ili se može odrediti na osnovu nekog podatka na posredan ili neposredan način, Direktiva je prvi put predvidela obavezno formiranje nadzornih tela, u formi nadzornika iz reda javne vlasti.

Osnovna prava lica koja im je garantovao ovaj propis, bila su:

  • pravo na obaveštenost,
  • pravo na pristup prikupljenim podacima i
  • pravo na protest

Sa razvojem interneta i visokih tehnologija, Direktiva je pokazivala svoje manjkavosti. Naročito u smislu protoka informacija između članica i trećih država, što je bilo dozvoljeno pod određenim uslovima. Upravo taj odliv podataka u treće zemlje, a naročito one čija su pravila privatnosti znatno različita od EU, kao što je SAD, predstavljala je najveći problem za zaštitu podataka građana EU. Nakon prvobitne odluke Evroske komisije iz 2000. godine kojom je odobren transfer podataka u SAD a koja je oglašena ništavom od strane Suda pravde EU, Evroska komisija je usvojila novu odluku kojom je uređena ova obast, poznatu kao Privacy Shield.

U međuvremenu, nevezano za konkretan problem izvoza podatak van EU, pojavila se potreba za znatno strožijom regulativom kada je zaštita podataka u pitanju. Praksa je pokazala da građani nisu dovoljno obučeni i pažljivi kako bi mogli na aktivan način da se odupru rukovaocima i obrađivačima podataka.

2. PODACI LIČNOSTI I POSEBNE KATEGORIJE PODATAKA LIČNOSTI

Podacima o ličnosti se mogu okarakteristati svi podaci koji se odnose na fizičko lice čiji je identitet određen ili se može odrediti. U vreme modernih tehnologija i sredstava komunikacije, frazu “odrediv” treba ozbiljno shvatiti, jer je uz pomoć savremenih algoritama, ukrštanjem određenih podataka veoma lako doći do identiteta neke osobe odnosno do podatka koji sa velikom sigurnošću mogu identifikovati određeno lice.

Naime, kako Uredba propisuje fizičko lice čiji se identitet može odrediti je lice koja se može identifikovati posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj (JMBG), podaci o lokaciji, jedan ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog fizičkog lica. GDPR akcenat stavlja na mogućnošću odredivosti identiteta, jer uz pomoć današnje tehnologije i kompjuterskih algoritama, dovoljan je mali broj podataka da bi se izvršilo profilisanje ličnosti ili čak identifikacija fizičkog lica.

Kao uža kategorija podataka koji se odnose na fizičko lice, pojavljuju se i njihove posebne kategorije, koje zbog osetljivosti i potencijalnog rizika čije otkrivanje i zloupotreba nosi, zaslužuju da se nađu pod posebnim režimom regulacije. Zbog toga je u procesu mapiranja podataka jako bitno utvrditi ukoliko Rukovalac prikuplja odnosno obrađuje neki od podataka iz kategorije osetljivih. U svakom slučaju takvu odredbu treba svesti na minimum odnosno samo u obimu u kom je to neophodno da bi se ostvarila zakonita svrha.

GDPR se ne primenjuje na pravna lica, a u preambuli Uredbe je ograničeno njegovo dejstvo i u odnosu na preminule osobe. To je jedna od razlika GDPR-a u odnosu na ZZPL Republike Srbije. Naime, kako naš zakon nije obuhvatio rešenja preambule, ostaje nejasno iz slova zakona da li se isti primenjuje i na preminule osobe ili ne. Da zabuna bude veća, naš prethodni Zakon o zaštiti podatak o ličnosti iz 2008. godine, izričito je propisivao da njegove odredbe imaju dejstvo i na privatnost osoba koje više nisu žive.

Pod posebnim podacima ličnosti podrazumevaju se:

  • Rasno ili etničko poreklo
  • Političko opredeljenje
  • Verska ili filozofska ubeđenja
  • Pripadnost sindikatu
  • Genetski podaci
  • Biometrijski podaci
  • Zdravstveno stanje
  • Seksualni život
  • Seksuala orjentacija

Obrada ovih kategorija podataka je načelno zabranjena, sa izuzetcima ukoliko je ispunjen neki od sledećih uslova:

  • Postoji izričit, dobrovoljan i prethodno dat pristanak lica čiji se podaci obrađuju
  • Izvršavanje zakonskih dužnosti i prava rukovaoca ili lica na koje se podaci odnose u oblasti prava zapošljavanja i prava socijalnog osiguranja i socijalne zaštite
  • Kada lice nije fizički ili pravno sposobno da da pristanak, a obrada je u njegovom interesu
  • Ukoliko obradu vrši fondacija, udruženje i neprofitno telo, a odnosi se isključivo na članove
  • Obrada se odnosi na podatke o ličnosti za koje je očigledno da ih je objavilo lice na koje se podaci odnose
  • Obrada je neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva pred sudom
  • Obrada u javnom interesu, uz obavezno poštovanje mera bezbednosti i načela uredbe
  • Obrada je neophodna za potrebe javnog zdravlja, preventivne medicine ili medicine rada, medicinske dijagnoze, pružanja zdravstvene ili socijalne zaštite, s tim što je rukovalac obavezan da za obrađivača angažuje stručnu osobu
  • Arhiviranje u javnom interesu, potrebe naučnog ili istorijskog istraživanja ili statističke potrebe

 

3. METAPODACI KAO PODACI O LIČNOSTI

Tradicionalne metode praćenja I nadzora često zahtevaju resurse što ih čini neisplativim u smislu što direktno utiče na mogućnost masivnog praćenja, prikupljanja i obrade podataka. S jedne strane troškovi prikupljanja informacija (snimanje, prisluškivanje, ispitivanje), a s druge obrada istih od strane angažovane radne snage. Takođe, na ovakav način obrađeni podaci koji uključuju ljudski faktor dodatno su podložni greškama što ih čini nepozudanim.

S tim u vezi, mogućnost prikupljanja meta odataka i njihova automatizovana obrada predstavljaju revolucionarnu promenu celog koncepta praćenja aktivnosti fizičkih lica.

Današnje najveće svetske kompanije poput Google-a, Facebook-a, itd model svog poslovanja zasnivaju upravo na prikupljanju i korišćenju meta podatatka korisnika. Isti slučaj je mnogim drugim platformama za besplatnu razmenu poruka, blogovanje, razmenu slika, videa itd. Iako naizgled besplatni servisi, svoje usluge naplaćuju upravo privatnim podacima.

Metapodatci su tradicionalno korišćeni u kartografskim katalozima biblioteka do osamdesetih godina prošlog veka, kada su biblioteke pretvorile svoje katalogne podatke u digitalne baze. Tokom devedesetih godina, pošto su digitalni formati postali najvažniji način čuvanja podataka i informacija, metapodaci su takođe korišćeni za opisivanje digitalnih podataka koristeći odgovarajuće standarde.

Prvi opis “metapodataka” za računarske sisteme dali su stručnjaci Centra za međunarodne studije MIT-a David Griffel i Stuart McIntosh 1967. godine definišući ih kao izjave na objektnom jeziku o opisima podataka o subjektu i koji opisuju odnos podataka i transformacije, odnosno veze između podataka.

Postoje različiti standardi metapodataka za svaku drugu disciplinu (npr. muzejske zbirke, digitalne audio datoteke, veb stranice itd.). Opisivanje sadržaja i konteksta podataka ili datoteka podataka povećava njegovu korisnost. Na primer, veb stranica može uključivati metapodatke navodeći koji je jezik softvera na kojoj je napisana strana (npr., HTML), koji su alati korišteni za njegovo kreiranje, koje su teme o kojima se stranica nalazi, i gde se može pronaći više informacija o subjektu. Ovaj metapodatak može automatski poboljšati iskustvo čitaoca i olakšati korisnicima da pronađu veb stranicu na mreži.

Metapodaci nam govore takođe, o datumu kreiranja podatka, nameni, značenju, autoro odnosno kreatora, lokaciji kompjutera na kom je kreiran, koripćenim standardima, velični fajla, kvaliteta, izvora podatka i procesa i metoda korišćenih kod njegove proizvodnje.

Iako su meta podaci zaštićeni zakonskog regulativom i privatne kompanije ih ne moguj prikupljati bez saglasnosti korisnika, problem leži u činjenici što sami korisnici nisu dovoljno obavešteni o svojim pravima i posledicama svojih postupaka i olako pristaju na predložena pravila privatnosti koja su često nerazumljiva, predugačaka i s namerom pozicionirana da ne budu pročitana pre davanja saglasnosti. Nova regualtiva je nametnula niz obaveza rukovocima podataka u cilju bolje informisanosti korisnika, jasnim i razumljivim jezikom, u izdvojenoj celini na za to predviđenom mestu.

Drugi veliki obrađivači metapodataka su državne odnosno službe koje brinu o javnoj bezbednosti, kojima zakon daje mogućnosti da podatke prikupljaju i obrađuju i bez saglasnosti fizičkih lica, ali uz poštovanje unapred određenih svrha i u slučaju poštovanja legitimnih interesa za tu obradu. Zapravo, Ustav i zakoni predstavlju posredno izraženu volju fizičkih lica koja se može tumačiti kao indirektno data saglasnost za prikupljanje i obradu. Tako Ustav Srbije, tako, u članu 41 garantuje tajnost pisama i drugih sredstava komunikacije, dok član 42  štiti podatke građana od zloupotreba koje se dalje definišu i detaljno regulišu zakonima.

Interes nacionalne bezbednosti često prevagne u praksi ali i u svesti javnog mnjenja, što je slučaj kako u USA, tako i u zemljama Zapadne Evrope, od kojih mnoge i same učestvuju u razvoju nadzora i masovnog prikupljanja metapodataka o komunikaciji. Suočeni sa terorističkim napadima na svojoj teritoriji, građani rado ustupaju deo svojih prava i sloboda, tretirajući privatnost kao dobro kog će se rado odreći u strahu od nasilja i napada kakva se beleže širom Evrope i sveta. S druge strane, među mnogim korisnicima, naročito mlađe generacije  Instagram, Facebook i druge slične platforme su već obesmislili stare ideje o privatnosti, a zakonske odredbe o zaštiti podataka o ličnosti među mladima su okarakterisane kao – konzervativne mere koje ometaju modernu svakodnevicu.

Najkraće rečeno Metapodaci su podaci koji pružaju informacije o drugim podacima.

Postoje različite vrste metapodataka, među ovim deskriptivnim metapodacima, strukturnim metapodacima, administrativnim metapodacima, statističkim i referentnim metapodacima.

  • Deskriptivni metapodatci opisuju resurs za svrhe obrade kao što je otkrivanje i identifikacija. Može da sadrži elemente kao što su naslov, apstrakt, autor i ključne reči.
  • Strukturni metapodaci su skupovi podataka koji ukazuju na to na koji način su neki podaci strukturirani. Opisuje tipove, verzije, odnose i druge karakteristike digitalnih materijala.
  • Administrativni metapodatci pružaju informacije za pomoć u upravljanju resursima, kao što je difinisanje kada i kako je kreiran neki tio datoteka ili druge slične informacije, kao i ko im može imati pristup.
  • Statistički metapodaci mogu takođe opisati procese koji prikupljaju, obrađuju ili proizvode podatke za potrebe statistike. Još se zovu i procesni podaci.
  • Referentni metapodaci opisuju sadržaj i kvalitet statističkih podataka

Metapodaci mogu biti upisani u originalni digitalni fajl fotografije (RAW file) koja će identifikovati ko ga poseduje, autorska prava i kontakt informacije, koja marka ili model kamere je kreirala datoteku, zajedno sa informacijama o ekspoziciji (brzina zatvarača, f-stop itd.) kao i opisne informacije, kao što su ključne reči o fotografiji, čineći datoteku ili sliku za pretragu na računaru ili na Internetu. Neke metapodate kreira kamera, a neke od njih unose fotograf ili softver nakon preuzimanja na računar.

Metapodaci se mogu koristiti da bi olakšali organizovanje u postprodukciji koristeći ključne reči.

Standarde fotografskih metapodataka regulišu organizacije koje uključuju, ali se ne ograničavaju na sledeće standarde:

  • IPTC Information Interchange Model IIM (International Press Telecommunications Council),
  • IPTC Core Schema for XMP
  • XMP – Extensible Metadata Platform (an ISO standard)
  • EXIF – Exchangeable image file format, Maintained by CIPA (Camera & Imaging Products Association) and published by JEITA (Japan Electronics and Information Technology Industries Association)
  • Dublin Core (Dublin Core Metadata Initiative – DCMI)
  • PLUS (Picture Licensing Universal System).
  • VRA Core (Visual Resource Association)

 

4. NAČELA/PRINCIPI ZAŠTITE PODATAKA U ZAKONU O ZAŠTITI PODATAKA O LIČNOSTI I OPŠTOJ UREDBI EU

  • NAČELO ZAKONITOSTI / zakonitost, poštenje i transparentnost

Prvo i najvažnije načelo zaštite podataka je svakako – načelo zakonitosti, jer od njega zavisi da li Rukovalac uopšte ima osnov da određenu radnju obrade vrši. Dakle, obrada će se smatrati legalnom, ukoliko je:

  • lice na koje se podaci odnose je dalo svoj PRISTANAK
  • obrada je potrebna radi IZVRŠENJA UGOVORA u kojem je lice na koje se podaci odnose ugovorna strana
  • obrada je potrebna za IZVRŠENJE PRAVNE OBAVEZE koja se primenjuje na rukovaoca
  • obrada je potrebna radi ZAŠTITE ŽIVNOTNIH INTERESA lica na koje se podaci odnose ili drugog fizičkog lica
  • obrada je potrebna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru IZVRŠAVANJA ZAKONOM PROPISANIH OVLAŠĆENJA dodeljenih rukovaocu
  • obrada je potrebna zbog LEGITIMNIH INTERESA čijem ostvarenju teži rukovalac ili treće lice, osim kada nad tim interesima preovlađuju interesi osnovni prava i sloboda lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose dete

  • NAČELO TRANSPARENTNOSTI / zakonitost, poštenje i transparentnost

Delovanje rukovaoca mora biti zakonito, pravično i transparentno prema licu čiji se podaci koriste, odnosno potrebno je da mu se na jasan i nedvosmislen način, jednostavnim , njemu razumljivim jezikom, ukaže na prava koja ima po osnovu zaštite podataka. Ovim principom se fizička lica štite od prikrivenih pravila, tzv. sitnih slova, složenih i stručnih pravnih konstrukcija koje velika većina ljudi ne može da razume na pravi način ili nije zainteresovano da se udubljuje u analiziranje poruke teksta koji može biti i kreiran smišljeno u cilju da bude nejasan. Zbog toga zakonodavac insistira na transparentnosti, jednostavnom jeziku i lakoj uočiljivosti bitnih podataka. S toga i forma pristanka po zakonu mora biti izdvojena iz drugih pravila, i jasno označena kao saglasnost.

  • NAČELO SVRSISHODNOSTI / ograničenje u odnosu na svrhu obrade

Podaci se smeju koristiti samo u svrhu u koju su i prikupljeni za koju je lice dalo saglasnost, odnosno dok se ne ispuni svrha bez obzira koji je osnov obrade podataka. Podaci se smeju koristiti samo u obimu neophodnom da se ispuni određena unapred poznata svrha obrade. S toga je preporuka da se prikupljaju odnosno obrađuju samo podaci koji su zaista neophodni rukovaocu, a s vremena na vreme je potrebno revidirati vrstu podataka ličnosti i proceniti da li potreba za njihovom obradom i dalje egzistira, odnosno da li lice koje vrši obradu i dalje ima potrebu za tom ispunjenjem predmetne svrhe.

Ako je osnov obrade pristanak – promena svrhe iziskuje potrebu za zahtevanjem nove saglasnosti osim u slučajevima koja su predviđena uredbom. Dalja obrada za drugu svrhu bez pristanka lica dozvoljena je samo pod uslovima taksativno propisanim Zakonom. Odnosno, prilikom takve procene treba uzeti u obzir vezu između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade, zatim opšte okolnosti u kojima su podaci prikupljeni, kao i odnos između rukovaoca i lica čiji se podaci obrađuju, prirodu samih podataka (da li su osetljivi i u kojoj meri) i treba predvideti koje su moguće posledice dalje obrade za lice na koje se podaci odnose. Naravno, treba primeniti i odgovarajuće mere zaštite takvih podataka.

  • NAČELO TAČNOSTI

Podaci moraju biti tačni, a licu čija je privatnost u pitanju treba obezbediti mogućnost da besplatno ukaže na netačnost, da zahteva ažuriranje ili brisanje takvih podataka. Na primer, ukoliko neko lice ukaže na netačnost nekog ličnog podatka, Rukovalac podacima je dužan da ga ažurira, u suprotnom se suočava sa kršenjem odredbi ovog zakona.

  • NAČELO MINIMALIZACIJE KORIŠĆENJA / minimizacija podataka

Podaci se smeju koristiti samo u obimu neophodnom da se ispuni svrha obrade odnosno – najmanji mogući obim obrade. S toga je početna pozicija svakog ko odabira način obrade i količinu podataka koju namerava da obrađuje mora da bude – što manje to bolje. Obrada svakog podatka koji je nepotreban vodi ka riziku od curenja podataka, ali i zavisno od prirode podatka može zahtevati i sasvim drugačije bezbednosne mere od strane Rukovaoca. Naime, ukoliko neko prikuplja podatak o otisku prsta zaposlenih u svrhe kontrole dolaska na rad zaposlenih, ne samo da koristi nepotrebno invazivan metod po privatnost, radi postizanja svrhe, već mora sistem informacione bezbednosti podići na značajno viši nivo. Što može biti komplikovano, i finansijski opterećujuće.

  • NAČELO OGRANIČENOG VREMENA OBRADE I ČUVANJA / ograničenje čuvanja

Podaci se čuvaju u što kraćem vremenu, odnosno ne smeju se čuvati duže nego što je to neophodno u svrhe u koje su i prikupljeni, a lice mora biti obavešteno o dužini trajanja čuvanja njegovih podataka.

  • NAČELO INTEGRITETA I POVERLJIVOST – BEZBEDNOSTI ČUVANJA

Rukovalac i obrađivač moraju učiniti sve da se obezbedi odgovarajuća bezbednost podataka uključujući i zaštitu od  neovlašćene i nezakonite obrade ili od slučajnog gubitka. Zakonodavac svesno nije ulazio u detaljno propisivanje u kojoj situaciji, odnosno u odnosu na koje podatke i koje radnje obrade treba primeniti koji nivo bezbednosti. Istina, date su preporuke za enkripciju ili pseudonimizaciju podataka, ali je na Rukovaocu da izabere na osnovu procene rizika koji će nivo bezbednosti primeniti, i za taj izbor će odgovarati ukoliko se ispostavi da podaci nisu bili dovoljno zaštićeni, a on za to odgovoran.

Takođe, na rukovaocu je obaveza da dokaže usklađenost svog delovanja sa svim prethodno nabrojanim načelima, odnosno da dokaže zakonitost svog postupanja i legitimne interese za prikupljanjem i obradom na određeni način i u određenoj meri. Iako je negativne činjenice jako teško dokazivati u praksi, zarad “viših” interesa, i adekvatne zaštite fizičkih lica i njihove privatnosti, ta je obaveza Zakonom svaljena na teret Rukovaoca podacima.

  • NAČELO ODGOVORNOSTI ZA POSTUPANJE

Rukovalac je odgovoran za poštovanje zakonskih obaveza i načela i teret dokazivanja poštovanja tih odredbi je na njemu. Odnosno, isti mora biti u mogućnosti da predoči njihovu primenu.

 

5. PRISTANAK NA OBRADU PODATAKA LIČNOSTI

Ukoliko nema drugog osnova da bi neka obrada bila zakonita, a rukovalac odnosno obrađivač želi da obrađuje podatke, potreban je pristanak, odnosno osnov takve obrade je pristanak dat pod uslovima i na način u skladu sa Zakonom. Inače, pristanak možemo definisati kao svako dobrovoljno, izričito, informisano i nedvosmisleno izražavanje volje lica na koje se podaci odnose kojim on izjavom ili konkludentnom radnjom  daje pristanak za obradu podataka o ličnosti koji se na njega odnose.

Pristanak mora da se daje jasnom potvrdnom radnjom kojom se izražava dobrovoljan, konkretan, informisan i nedvosmislen pristanak lica na koje se podaci odnose na obradu koji se odnose na njega, kao što je pisana izjava (uključujući i elektronsku izjavu) ili izjava u usmenoj formi. Iako zakon uključuje usmenu formu, kao zakonit način pribavljanja pristanka, treba imati u vidu problem sa eventualnim dokazivanjem, pa se zbog toga ovaj vid forme ne preporučuje.

Može da obuhvata štikliranje polja prilikom posete internet stranama, biranje tehničkih podešavanja za usluge informacionog društva ili drugu izjavu ili radnju kojom se jasno pokazuje u tom kontekstu da lice na koje se podaci odnose prihvata predloženu obradu svojih podataka o ličnosti.

Pristanak neće biti zakonito pribavljen ukoliko:

  • je držanje korisnika pasivno odnosno uzdržano
  • ukoliko je polje za označavanje pristanka u elektronskoj formi unapred štiklirano
  • postoji jasna neravnoteža u odnosu stranaka (posebno ukoliko je jedna strana organ vlasti)
  • nema istinskog i slobodnog izbora
  • je nemoguće odbiti ili povući pristanak bez posledica

Zakonodavac posebno obraća pažnju na Uslove za pristanak, jer teret dokazivanja da je određeno lice dali pristanak je na rukovaocu. Uz pristanak je potrebno obezbediti punu informisanost lica na jasan i nedvosmislen način, u razumljivom i lako dostupnom obliku. Takođe, jako je bitno jasno razdvojiti tekst pristanka od drugog teksta ili drugih informacija.

Lice koje je jednom dalo pristanak, ima pravo da ga u svakom trenutku povuče na jednako jednostavan način kao što je to propisano i za davanje saglasnoti. Povlačenje ne utiče na zakonitost obrade izvršene pre povlačenja. Za prikupljanje i obradu podataka lica mlađih od 16 godina, potrebno je pribaviti saglasnost roditelja. Nacionalna zakonodavstva ovu granicu mogu pomeriti do 13-te godine.

Karakteristično kog pribavljanja saglasnosti roditelja, je što je uredba pored tereta dokazivanja da je saglasnost pribavljena, obavezala rukovaoca da učini sve što je u njegovoj moći da proveri da li je pristanak zaista dao roditelj odnosno zakonski zastupnika deteta.

 

6. PRAVA LICA ČIJI SE PODACI OBRAĐUJU

Uz poštovanje načela obrade podataka, za Rukovaoce je od velike važnosti da se staraju da lica čije podatke obrađuju pravovremeno i detaljno obaveste o svim bitnim elementima obrade, kao i o njihovim pravima koje im zakon garantuje vezano za obradu.

  • PRAVO NA INFORMISANOST

Rukovalac preduzima odgovarajuće mere kako bi se licu na koje se podaci odnose pružile sve informacije i sva saopštenja u vezi sa obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namenjena detetu.

Informacije se pružaju u pisanom obliku ili na druge načine, uključujući i elektronski oblik kada je primereno

Rukovalac na zahtev pruža licu na koje se podaci odnose informacije o preduzetim radnjama bez nepotrebnog odlaganja, a u svakom slučaju najkasnije u roku od mesec dana od prijema zahteva.

Taj rok može prema potrebi da se produži za dodatna dva meseca, uzimajući u obzir složenost i broj zahteva.

Rukovalac obaveštava lice na koje se podaci odnose o svakom takvom produženju u roku od mesec dana od prijema zahteva, pri čemu navodi razloge za odlaganje.

  • PRAVO NA PRISTUP I KOPIJU

Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se obrađuju njegovi podaci o ličnosti i ako se takvi podaci o ličnosti obrađuju, ima pravo pristupa podacima o ličnosti i pravo na kopiju istih

Informacije se pružaju u uobičajenom elektronskom obliku, osim ako lice zahteva drugačije.

  • PRAVO NA ISPRAVKU

Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući ispravku netačnih podataka o ličnosti koji se na njega odnose.

Uzimajući u obzir svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni nepotpune podatke o ličnosti, između ostalog davanjem dodatne izjave.

  • PRAVO NA ZABORAV

Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose bez odlaganja (i obriše podatke kod svih obrađivača ili 3. lica kod kojih se nalaze), ako je ispunjen jedan od sledećih uslova:

  • podaci o ličnosti više nisu neophodni za svrhe u koje su prikupljeni
  • lice na koje se podaci odnose je povuklo i ako ne postoji druga pravna osnova za obradu;
  • lice na koje se podaci odnose je uložilo prigovor na obradu
  • podaci o ličnosti su nezakonito obrađeni
  • podaci o ličnosti moraju da budu obrisani radi postupanja u skladu sa zakonskom obavezom prema pravu Unije ili pravu države članice koje se primenjuje na rukovaoca
  • podaci o ličnosti su prikupljeni u vezi s ponudom usluga informacionog društva licu mlađem od 16 godina

Pravo na zaborav i na brisanje ne postoji ukoliko je obrada neophodna:

  • radi ostvarivanja prava na slobodu izražavanja i informisanja;
  • radi poštovanja zakonske obaveze kojom se zahteva obrada u pravu Unije ili pravu države članice koje se primenjuje na rukovaoca ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka
  • zbog javnog interesa u oblasti javnog zdravlja
  • za potrebe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe ako bi pravo iz stava 1. verovatno onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade
  • radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva

Pravno na zaborav tekovina je sudske prakse Evroske unije. Naime, pozivajući se na Direktivu 95/46/ce, jedan španski državljanin Mario Costeja Gonzales, zatražio je od suda da naloži kompaniji Google da u rezultatima pretrage ne prikazuje stranice sa ličnim podacima koji su vezani za njega, a koji nisu više relevantni. Prvostepeni sud u Kraljevini Španiji je zastao sa postupkom i prosledio prethdno pitanje na rešavanje Evropskom sudu pravde. Odluka koju je ECJ doneo bila je veoma važna za pitanje zaštite podataka o ličnosti na internetu u tom trenutku, ali je i trasirala put za razvijanje prava na brisanje podataka u budućnosti, što je indirektno uticalo i na implementaciju ovog rešenja u GDPR. Iako je prvobitni domet Right to be forgotten instituta bio značajno ograničen i delovao je samo na neprikazivanje stranice u rezultatima pretrage kod pretraživača, u odnosu na današnje znatno šire dejstvo, tekovine ove sudske presude su nemerljive po naše pravo na privatnost.

  • PRAVO NA OGRANIČENOST OBRADE

Lice na koje se podaci odnose ima pravo da zahteva ograničenje obrade od strane rukovaoca ako je ispunjen jedan od sledećih uslova:

  • lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji rukovaocu podataka omogućava da proveri tačnost podataka o ličnosti
  • obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto toga traži ograničavanje njihove upotrebe
  • rukovaocu podataka više nisu potrebni podaci o ličnosti za potrebe obrade, ali ih lice na koje se podaci odnose traži uspostavljanja, ostvarivanja ili odbrane pravnih zahteva;
  • lice na koje se podaci odnose je uložilo prigovor na obradu, a još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad razlozima lica na koje se podaci odnose
  • Lice čiji se podaci obrađuju takođe ima pravo na ispravku već prikupljenih podataka kao i pravo na zaborav, odnosno na njihovo brisanje pod određenim uslovima.
  • PRAVO NA PRENOSIVOST PODATAKA

Ima pravo da (neposredno) prenosi te podatke drugom rukovaocu podataka bez ometanja od strane rukovaoca kojem su podaci o ličnosti pruženi, ako:

  • je obrada zasnovana na pristanku
  • se obrada vrši automatski
  • PRAVNO NA PRIGOVOR

U bilo kom trenutku uloži prigovor ako se podaci obrađuju na osnovu saglasnosti.

Rukovalac je dužan da obustavi osim ako dokaže legitimne razloge za obradu

U slučaju prigovora povodom korišćenja u direktnom marketingu, posaci se više ne smeju koristiti.

Nezavisno od prava na prigovor nadzornom organu, licu čiji se podaci obrađuju u svakom slučaju je na raspolaganju pravo na pokretanje sudskog postupka radi naknade štete.

 

7. POVERENIK U SVOJSTVU NADZORNOG ORGANA

Zakonodavac je kroz instituciju nadzornog organa sa svim svojim javnim ovlašćenjima, obezbedio jaču zaštitu nad podacima, u cilju što bolje kontrole nad obradom i prenosom. U Republici Srbiji, ulogu nadzornog organa vrši Poverenik za informacija od javnog značaja i zaštitu podatak o ličnosti.

Između ostalog Rukovaocima i obrađivačima je nametnuta obaveza informisanja Poverenika o svim pitanjima koji se tiču kršenja pravila uredbe, naročito zloupotrebe i odliva podataka trećim licima. Držanje rukovaoca pred Poverenikom odnosno odnos prema obavezama prema Povereniku će između ostalog, biti uzeto u obzir prilikom procene visine eventualne novčane kazne čije im plaćanje može biti nametnuto u prekršajnom postupku.

EU – USA Data Privacy Framework – Novi pravni okvir za razmenu podataka između EU i SAD

Početkom oktobra 2002. godine, Bela kuća je dala izvršnu naredbu za sprovođenje novog pravnog okvira za razmenu podataka između EU i SAD, čije donošenje je najavljeno još početkom 2022. godine. Predlog je u julu 2013 potvrđen od strane Evropske komisije čime se stavila tačka na probleme koji su se pojavili nakon što je Evropski sud pravde u julu 2020. proglasio nevažećim Privacy Shield, prethodni sporazum koji je predstavljao osnov za razmenu podataka između ova dva međunarodna entiteta.

Iako je trebalo više od dve godine da se novi sporazum usaglasi odnosno tačno tri da se usvoji, što je za ovako osetljivo pitanje i velike probleme koje je nedostatak pravnog okvira donosio izuzetno dug period, činjenica da je ovaj dokument sveobuhvatniji od njegovih prethodnika, donekle opravdava vreme koje je bilo potrebno za njegovo usaglašavanje.

Takođe, za razliku od Privacy Shield-a i Safe Harbor Privacy Principles-a, kao neuspelih pokušaja da se ovo pitanje reši u najboljem interesu obe strane, novi dokument ima sasvim generički naziv EU – USA Data Privacy Framework, a ova uopštena fraza ima za cilj da njome ukaže na šire dejstvo samog akta, kao i na činjenicu da se njime objedinjuju sve svrhe u koje se podaci obrađuju razmenjuju i pohranjuju.

STRUKTURA DOKUMENTA

Dakle, za razliku od prethodnih sporazuma između EU i SAD, koji su bili vezani samo za određenu oblast zaštite podataka o ličnosti, kao što se recimo Privacy shield odnosio samo na komercijalne aspekte transatlanske obrade, novi Pravni okvir zaokružuje razmenu podataka u svim sferema, kako privatnim tako i javnopravnim. Sa akcentom na regulisanje bezbednosno informacionih aspekata kontrole podataka građana EU, koja obrada je uslovljena poštovanjem principa neophodnosti i proporcionalnosti, čija primena ima bogatu istoriju unutar EU, kako kroz regulativu, tako i kroz tumačenja Evropskog suda za ljudska prava i Evropskog suda pravde.

ODGOVOR EVROPSKE UNIJE

Nezvaničan stav Unije je da su od strane Sjedinjenih Država u tekst novog Pravnog okvira implementirana prava i obaveze dogovorene na zajedničkim sastancima iz marta ove godine, kao i da je napravljen veliki napredak u odnosu na Privacy shield. Primarna karakteristika dogovorenih principa se odnosi na ograničenje pristupa podacima građana EU od strane američkih obaveštajnih službi sa izuzetkom situacija kada je ta obrada neophodna u cilju zaštite nacionalne sigurnosti.

INSTITUCIONALNI SISTEM KONTROLE PRIMENE SPORAZUMA PO PRITUŽBAMA GRAĐANA

Sporazumom je propisana obaveza osnivanja posebnog sudskog tela (Data Protection Review Court), koje će imati zadatak da drugostepeno odlučuje po žalbama građana EU u vezi potencijalnog pristupa podacima od strane američkih bezbednosnih službi ili kršenja prava generalno. Predmetni sud bi imao funkciju kontrole odluka Lica za zaštitu građanskih sloboda (Civil Liberties Protection Officer) kome će prethodno biti direktno upućivane pritužbe i koji će po pritužbama prvostepeno odlučivati. Lice za zaštitu građanskih sloboda je preuzelo funkciju rešavanja slučajeva po pritužbama građana od prethodnog Privacy Shield Ombudsmana (Ombudsperson), čija je funkcija bila propisana istoimenim aktom.

Ukoliko bi u žalbenom postupku Sudsko telo za zaštitu podataka o ličnosti utvrdilo da su podaci o ličnosti prikupljeni odnosno obrađivani protivno novom Pravnom okviru, između ostalog ima mogućnost da naredi prekid obrade i brisanje podataka o ličnosti.

OČEKIVANJA OD NOVOG PRAVNOG OKVIRA

Stručna javnost je za sada uzdržana i očigledno se čeka dublja analiza propisa i provera kako će sve funkcionisati u praksi. Austrijski državljanin Maksimilijan Šrems  (Maximilian Schrems) po čijim tužbama su i prethodni sporazumi preispitivani, se već u prvim izjavama ogradio navodeći da sporazum tek treba da bude predmet analize, ali da mu se na prvi pogled čini da ključni problemi još uvek nisu rešeni i da će pitanje i ovog sporazume pre ili kasnije dobiti epilog pred Evropskim sudom pravde.

U svakom slučaju, kompanije kojima se poslovni model zasniva na razmeni podataka o ličnosti između EU i SAD, uglavnom imaju velika očekivanja od ovog dokumenta, najviše iz praktičnih razloga. Početak primene novog Pravnog okvira značio bi i prekid dosadašnje prakse koja se primenjuje od 2020. godine, a koja transfer podataka zasniva na komercijalnim ugovorima, odnosno standardnim ugovornim klazulama koje su najzastupljeniji mehanizam za prekookeansku obradu podataka.