Sadržaj:

 


 

1 Uvod

2. Načelo zakonitosti

3. Legitimni interes kao osnov obrade podataka o ličnosti

3.1. Definicija legitimnog interesa u Zakonu

3.2. Legitimni interes u Preambuli Opšte uredbe o zaštiti podataka EU

3.3. Utvrđivanje zakonitosti obrade na osnovu legitimnog interesa – tripartitni test

3.3.1. Test neophodnosti

3.3.2. Test svrhe

3.3.3. Test ravnoteže

3.3.3.1. Priroda podatka o ličnosti

3.3.3.2. Razumna očekivanja

3.3.3.3. Uticaj na prava pojedinca i bezbednosne mere

3.4. Primena legitimnog interesa

3.5. Legitimni interes i direktni marketing

3.6. Legitimni interes i organi vlasti

3.7. Procena uticaja i legitimni interes

4. Zaključak

 


 

 


 

Apstrakt

 


 

Opšta uredba o zaštiti podataka o ličnosti EU (2016/679), kao i srpski Zakon o zaštiti podatka o ličnosti (u daljem tekstu: Zakon), svojim odredbama propisuju direktnu primenu principa odnosno načela na kojima su zasnovani. Direktna primena ovih načela i principa je predviđena sa ciljem da se u što većoj meri ukaže na značaj koji imaju vrednosti i prava koja ovi propisi proklamuju, po cenu toga da upravo oni učine ove akte previše uopštenim i podložnim kritici i tumačenjima. Smisao ove odredbe jeste svakako i da se lica čiji se podaci o ličnosti obrađuju što efikasnije zaštite, kao a priori slabija strana u pravnim odnosima kod kojih se kao jedna od posledica javlja obrada njihovih ličnih podataka. Prvo načelo koje proklamuje Zakon jeste ono koje se tiče zakonitosti obrade, odnosno koje propisuje u kojim situacijama će se obrada smatrati usklađenom sa Zakonom. Svaki od šest taksativno navedenih osnova obrade, razlikuju se kako sadržinski tako i formalno, i svaki od njih zaslužuje posebnu pažnju i donekle drugačiji pristup iz teoretskog i praktičnog ugla. Najfleksibilniji među njima je svakako osnov obrade koji se bazira na legitimnim interesima, a njegova zakonska formulacija zadaje glavobolje mnogima koji je tumače i primenjuju, najpre iz razloga što je preuopšteno postavljena (jer je jedino tako mogla adekvatno da pokrije široko polje njegove primene), ali i zbog toga što u tekst Zakona nisu ušla pojašnjenja i primeri sadržani u Preambuli koja je sastavni deo Opšte uredbe EU (u daljem tekstu: Preambula). U nedostatku preciznije regulacije u domaćem zakonodavstvu, javlja se potreba za pravnim raščlanjavanjem osnova obrade podataka tačke šest Zakona, i njegovog tumačenja u kontekstu ostalih odredbi Zakona i cilja koji se želi njime postići.

Ključne reči: NAČELA ZAŠTITE PODATAKA O LIČNOSTI. NAČELO ZAKONITOSTI OBRADE PODATAKA O LIČNOSTI. LEGITIMNI INTERES. GDPR. ZAKON O ZAŠTITI PODATAKA O LIČNOSTI. DIREKTNI MARKETING.

 


 

  1. UVOD

Tokom poslednje decenije svedoci smo velike smene u vrhu liste najvrednijih kompanija sveta koje se kao javna akcionarska društva nalaze na berzi. Tako, naftne gigante i fondove koji upravljaju milionima kvadratnih metara najvrednih nekretnina ili u svom portfoliju imaju akcije globalno najuspešnijih korporacija sveta, smenile su kompanije koje u svom posedu jedva da imaju i zgrade u kojima imaju registrovano sedište, a koje su svoj poslovni model zasnovale na benefitima interneta.  Ove kompanije svoje usluge između ostalog naplaćuju ličnim podacima fizičkih lica kao korisnika njihovih usluga, koji sa manje ili više razvijenom svešću o tome bezuslovno pristaju na njihove uslove. Između ostalog, zbog potrebe da se u tom neravnopravnom odnosu korisnici interneta zaštite od internet giganata ali i od sebe samih odnosno da im se pruže pravovremene informacije, obezbede prava, kao i da se uvede red u obradu ličnih podataka generalno, EU je usvojila Opštu uredbu o zaštiti podatka 2016/679 (u daljem tekstu: Opšta uredba ili GDPR), koja se zasniva na nekoliko osnovnih principa zašite. Po cenu da ovaj krovni propis učini i previše opštim, tvorac rešenja iz Opšte uredbe je omogućavanjem direktne primene načela istakao veliki značaj istih i  potrebu da se njihovo dejstvo u što većoj meri proširi. Razumevanje ovih principa, nužno je i za razumevanje drugih odredbi Uredbe, odnosno njene konkretne primene. Isto rešenje Opšte uredbe, u formi načela sledi i naš Zakon.

 


 

  1. NAČELO ZAKONITOSTI

Oba pomenuta akta, su pozicionirala načelo zakonitosti na prvo mesto, propisujući uslove pod kojima će se obrada podataka o ličnosti smatrati zakonitom. Dakle, Zakon naglašava da će obrada podataka biti zakonita ukoliko je ispunjen jedan od šest taksativno navedenih uslova, odnosno svaki od navedenih uslova predstavlja osnov obrade za sebe i njegovim ispunjenjem obrada će se smatrati zakonitom. Odnosno, obrada će biti dozvoljena ukoliko su podaci o ličnosti neophodni da bi se izvršile ugovorne obaveze, pod uslovom da je pojedinac čiji se podaci obrađuju ugovorna strana. Takođe, obrada će biti dozvoljena ukoliko je neophodna radi poštovanja zakonskih obaveza rukovaoca podacima, ili je neophodna radi zaštite životno važnih interesa pojedinca čiji se podaci obrađuju ili drugog fizičkog lica, kao i u slučaju obrade radi obavljanja poslova u javnom interesu ili javnih ovlašćenja rukovaoca. Međutim, ukoliko nijedan od navedena četiri uslova ne može biti ispunjen, odnosno ukoliko svrha obrade ne odgovara ni jednoj od ponuđenih opcija, rukovalac ima mogućnost da obradu vrši po osnovu svog ili legitimnog interesa treće strane, a ukoliko to nije slučaj obrada podataka je uslovljena pribavljanjem izričitog i nedvosmislenog pristanka lica čije podatke želi da obrađuje.[1]

Iako je za neke svrhe obrade, pristanak iz ugla zakonitosti najsigurniji i najadekvatniji osnov, njegovo pribavljanje često nije lak zadatak, kako iz subjektivnih razloga – mogućeg neslaganja pojedinca sa obradom ili njegovog pasivnog držanja, tako i zbog okolnosti koje proizilaze iz objektivnih nemogućnosti da se određeni pristanak pribavi. S tim u vezi, rukovaocu podacima je često jedina opcija da obradu podataka u određene svrhe pokuša da opravda legitimnim interesom, kao osnovom obrade. Takođe, u situacijama kada interes rukovaoca ili javnosti prevagne nad interesima pojedinca, naročito u odnosu na vrste obrade o kojima će biti reči u ovom tekstu, kao i okolnosti koje prate radnju obrade, legitimni interes treba tretirati kao primarni osnov obrade, u kom slučaju pristanak na obradu svakako ne bi ni bio odgovarajući osnov, a njegovo pribavljanje ne bi bilo celishodno. Upravo će obrada koja ima za osnov legitimni interes odnosno zakonitost biti tema izlaganja i detaljnije analize u ovom tekstu.

 


 

  1. LEGITIMNI INTERES KAO OSNOV OBRADE PODATAKA O LIČNOSTI

Iako je legitimni interes kao osnov obrade podataka o ličnosti propisivala i Direktiva[2] iz 1995. godine, koja je prethodila Opštoj uredbi o zaštiti podataka,  posredna primena ovog akta i drugi nedostaci koji su pratili Direktivu, rezultirali su time da ona nije dala željene rezultate na polju zaštite podataka o ličnosti na nivou EU. Tek sa stupanjem na snagu GDPR-a, došlo je do podrobnije primene instututa legitimnog interesa (kao i njegovih propratnih tumačenja i smernica za njegovu primenu iz Preambule), najviše zahvaljujući odredbama o direktnoj primeni načela GDPR-a, odredbama koje se tiču širokog teritorijalnog i personalnog dejstva, kao i visokih novčanih kazni koje ovaj akt predviđa.

 


 

3.1.         DEFINICIJA LEGITIMNOG  INTERESA U ZAKONU

Obrada je zakonita, između ostalog ukoliko je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.[3]

I pre nego što je Zakon počeo da se primenjuje, već se nametnulo pitanje šta zakonodavac podrazumeva pod legitimnim interesom rukovaoca ili treće strane, i koje bi primere za to stručna javnost mogla da da radi lakšeg razumevanja ove odredbe. Nešto dubljom analizom zakonske definicije ovog pojma, odmah se postavlja i pitanje gde su granice gde prestaje legitimni interes, a počinje privatni interes lica na koja se podaci odnose, odnosno javni interes za zaštitom privatnosti. Odgovore na to, kao i na pitanje u kojim situacijama će se obrada smatrati neophodnom i interesi kog subjekta su pretežniji, ovako formulisana pravna norma Zakona, svakako ne može da pruži.

S druge strane, svaki razvijen pravni poredak teži da njegovi pravni izvori regulišu sva pitanja koja treba pravno regulisati, ostavljajući pojedinačnim aktima samo konkretizaciju tih normi.  Međutim, ukoliko se posmatra društvena i pravna stvarnost, jednostavno je utvrditi da pravo nikad ne može biti sasvim potpuno, odnosno da u njemu mora biti praznina, kao i da se iste moraju popunjavati pojedinačnim normama sve dok ne budu regulisane opštim. Dakle, pravnih praznina mora biti jer je život mnogo složeniji od prava, a odnosno praksa uvek ide bar korak ispred. S tim u vezi, postoje dve vrste praznina, one početne, koje su postojale u trenutku usvajanja akta i koje je zakonodavac prevideo i svesno zanemario i naknadne koje nisu mogle da budu sagledane ranije, a koje su na primer plod promena i razvoja društva.[4]

Kada je u pitanju preuopštena zakonska formulacija legitimnog interesa, praznine čiju potrebu za popunjavanjem nam nameće praksa, svakako su početne, jer je tvorac Zakona svesno postavio pravnu normu na ovakav način, ostavljajući subjektima koji učestvuju u postupcima obrade da dalje svojim stavovima i rešenjima iz prakse izgrade sistem i postupak koji će preciznije voditi do utvrđivanja legitimnog interesa u praksi. Iako u našem pravnom sistemu ne postoji propis koji izričito govori o popunjavanju pravnih praznina, on ipak postoji prećutno, sadržan je u duhu celog prava. Dakle, društvenom interesu kome pravo služi, u ovom slučaju se daje prednost nad formalno shvaćenim načelom zakonitosti. Mesto opštih normi, moraju da popune one pojedinačne, gde će sudovi kroz svoja slobodna sudijska uverenja i postojeća rešenja iz sudske prakse ili pravne teorije, uprkos činjenici da ovo nisu obavezujući izvor prava, pronaći pravilo koje će na najbolji način odbraniti društveni interes.[5]

Svakako, čini se da se kod ni jednog drugog osnova obrade podataka o ličnosti ne ističe potreba za uzimanjem u obzir potreba i konteksta društva, kao što je to kod legitimnog interesa. Iako nisu sinonimi, društveni i legitimni interes se u velikoj meri preklapaju, i postojanje društvenog u velikom broju slučajeva biće jedan od uslova obrađivanja podataka o ličnosti na osnovu legitimnih interesa.

Dakle, postavljanje pravne norme koja propisuje mogućnost primene legitimnog interesa kao osnova obrade, u uopštenom smislu, svakako je bila najadekvatnije rešenje, jer se jedino na ovaj način može pokriti širok spektar slučajeva iz prakse koji će zahtevati mogućnost podvođenja pod ovu pravnu normu.

 


 

3.2.         LEGITIMNI INTERES U PREAMBULI OPŠTE UREDBE O ZAŠTITI PODATAKA EU

Problem konkretizacije i praktične primene zakonske formulacije pojma legitimnog interesa, mogao je da bude delimično rešen ili ublažen u procesu izrade odnosno usvajanja Zakona, međutim ta prilika je propuštena kada je zakonodavac doneo odluku da ne implementira rešenja iz Preambule koja se tiču legitimnog interesa u tekst Zakona.. Upravo iz ovog razloga, evropska regulativa je i dalje u znatnoj prednosti u odnosu na domaću, jer ona kroz Preambulu koja prati Opštu uredbu, u velikoj meri pomaže razumevanju slova zakona, dajući primere, pojašnjenja i kontekst pravnim normama. Kako ove odredbe nisu ušle u tekst našeg Zakona, a Opšta uredba se ne može direktno primenjivati u Republici Srbiji jer ona nije članica EU, ostaje nam da analiziramo pravnu normu našeg Zakona po svojoj trenutnoj sadržini i pokušamo da je razložimo i iz nje izvučemo što više zaključaka.

Tako, između ostalog, Preambula uredbe odnos prevage interesa rukovaoca ili pojedinca na koga se podaci odnose stavlja u kontekst razumnih očekivanja pojedinca i njegove veze sa rukovaocem. Na primer, legitimni interes bi mogao postojati u slučaju relevantnog odnosa između ova dva subjekta ukoliko je pojedinac klijent rukovaoca ili je na drugi način poslovno angažovan. Svakako, utvrđivanje postojanja legitimnog interesa zahtevalo bi pažljivu procenu, između ostalog, i činjenice može li pojedinac u vreme i u kontekstu prikupljanja ličnih podataka razumno očekivati obradu u predmetnu svrhu. Odnosno, interesi i osnovna prava pojedinca posebno bi mogli prevagnuti u odnosu na interese rukovaoca obrade ako se lični podaci obrađuju u okolnostima u kojima pojedinci razumno ne očekuju dalju obradu.

Za utvrđivanje postojanja legitimnog interesa, izuzetno je važna i smernica Preambule koja ukazuje da se može smatrati da postoji legitimni interes kod obrade ličnih podataka koja se vrši za potrebe direktnog marketinga.[6]

Takođe, rukovaoci koji su deo privredne grupacije ili institucija, povezanih centralnim telom mogu imati legitimni interes za prenos ličnih podataka unutar te grupacije, za unutrašnje administrativne potrebe, između ostalog za obradu ličnih podataka klijentata i zaposlenih, s tim što se na premetni prenos primenjuju opšta pravila o prenosu podataka u treće zemlje.[7]

Dalje, Preambula pojašnjava da će postojati legitimni interes i u slučaju obrade ličnih podataka u meri koja je nužna i proporcionalna za potrebe bezbednosti i sigurnosti mreže i informacija, odnosno sposobnosti informacionog sistema da se odupre u odnosu na konkretan nivo poverljivosti, slučajnim događajima ili nezakonitim ili zlonamernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i poverljivost pohranjenih ili prenetih ličnih podataka kao i sigurnost povezanih usluga koje su dostupne putem tih mreža i sistema, a koje sprovode organi javne vlasti, CERT-ovi [8], CSIRT -ovi[9] ili internet i provajderi elektronskih komunikacija. Ovaj vid obrade ima za cilj da omogući blagovremeno sprečavanje neovlašćenog pristupa elektronskim komunikacionim mrežama, kao i širenje malware kodova, odnosno zaustavljanje napada obustavom usluge i samim tim i sprečavanje štete na računarima i komunikacionim sistemima.[10]

Na kraju, Preambula ukazuje i da bi se legitimnim interesom smatralo i ukazivanje rukovaoca podacima na potencijalna krivična dela odnosno pretnje javnoj bezbednosti, pa bi tako prenos ličnih podataka u pomenutu svrhu nadležnim organima bio zakonit. Međutim, dejstvo ovog pravila je ograničeno daljim objašnjenjem da bi takav prenos trebalo zabraniti ako obrada nije u skladu s pravnim, profesionalnim ili drugim imperativnim normama koja obavezuju na poštovanje tajnosti.[11]

 


 

3.3.         UTVRĐIVANJE ZAKONITOSTI OBRADE PO OSNOVU LEGITIMNOG INTERESA – TRIPARTITNI TEST

Iz zakonski postavljene pravne norme[12] koja se odnosi na legitimni interes, možemo izdvojiti tri uslova koja moraju da budu ispunjena da bi obrada po ovom osnovu bila usklađena sa načelom zakonitosti:

  • Neophodnost obrade;
  • Postojanje legitimnog interesa rukovaoca ili treće strane;
  • Prevaga legitimnih interesa rukovaoca ili treće strane nad interesima pojedinca na koga se podaci odnose

S tim u vezi, postupak utvrđivanja osnovanosti obrade možemo organizovati kao tripartitni test, i činjenice koje su vezane za konkretnu obradu dovesti u kontekst tri navedena uslova i na taj način utvrditi da li su oni ispunjeni. Odnosno, možemo uspostaviti sledeće testove: test za proveru postojanja legitimnog interesa, test neophodnosti i test ravnomernosti.[13]

 


 

3.3.1.     TEST UTVRĐIVANJA NEOPHODNOSTI

Kod utvrđivanja činjenice da li je obrada neophodna ključno je najpre odgovoriti na pitanje da li je moguće istu svrhu postići na drugi način,odnosno da li je moguće svrhu postići obradom manjeg broja ličnih podataka ili obradom koja se vrši na manje invazivan način. Dakle, kako bismo odgovorili na pitanje da li je obrada neophodna, najpre moramo utvrditi da li postoje alternative i koje. Takođe, drugo važno pitanje za koje u okviru ovog testa treba pronaći odgovor jeste da li obrada uopšte može dovesti do ostvarenja svrhe, pa samim tim i da li je njeno sprovođenje uopšte potrebno i neophodno. I treća okolnost koju treba razmotriti je odnos radnji obrade i svrhe, odnosno njihova proporcionalnost. Dakle, obrada će se smatrati neophodnom samo ukoliko je vredna svrhe koja se želi postići, odnosno ukoliko je njeno sprovođenje celishodno.

 


 

3.3.2.     TEST PROVERE POSTOJANJA LEGITIMNOG INTERESA – Test svrhe

Testiranje postojanja legitimnog interesa ili test svrhe bi trebalo da nam odgovori da li postoji legitimni interes na strani rukovaoca ili nekog trećeg lica ili ne. S tim u vezi  potrebno je utvrditi nekoliko činjenica. Najpre, legitimni interes mora biti postojan i jasan i može se sastojati iz ličnih, društvenih, ali i komercijalnih efekata. Odnosno, u tu svrhu potrebno je analizirati vrednosti koje donosi takva obrada i utvrditi iz čega se sastoje, ko ih ima i zbog čega su važne, kao i da li potencijalne benefite uživa samo rukovalac ili i treća strana, odnosno šira javnost. Dakle, prvenstveno je potrebno utvrditi da li je i zbog čega obrada podataka potrebna rukovaocu ili trećem licu, a što je korist koja se može ostvariti obradom veća i vrednija sa društvenog aspekta, to su veće šanse da se dokaže postojanje legitimnog interesa.

Preambulom je navedeno nekoliko svrha u koje se korišćenje legitimnog interesa može podrazumevati, poput sprečavanja krivičnih dela i prevarnih radnji, ugrožavanja sistema informacione bezbednosti ili razmene informacija unutar grupe povezanih subjekata, o čemu je više bilo reči u delu teksta koji se odnosi na Preambulu.

 


 

3.3.3.     TEST RAVNOTEŽE – balance test

Test ravnoteže ili balance test podrazumeva stavljanje interesa i koristi rukovaoca odnosno trećeg lica u kontekst prava pojedinca čiji se podaci obrađuju i utvrđivanje čiji interesi u konkretnom slučaju preovlađuju. Dakle, prilikom procene da li će prevagnuti legitimni interes nad interesima lica na koga se podaci odnose, naročito će se uzeti u obzir:[14]

  • Priroda podataka koji se obrađuju;
  • Očekivanja pojedinca u pogledu obrade;
  • Verovatni uticaj obrade na pojedinca i njegovu privatnost i mere za ublažavanje negativnog uticaja.

 

3.3.3.1. Priroda podatka o ličnosti

Vrsta odnosno priroda podatka koji se obrađuje od velikog je uticaja pri utvrđivanju ravnoteže interesa između subjekata koji učestvuju u obradi. Tako, obrađivanje podataka koji su Zakonom okarakterisani kao posebne osetljive kategorije, podataka o krivičnoj osuđivanosti ili gonjenju, kao i podataka koji se odnose na decu i maloletnike u znatnoj meri ograničavaju domet interesa rukovaoca ili trećeg lica. Takođe, treba posebno ceniti i sve druge podatke koje ljudi uobičajeno smatraju privatnim, poput materijalnog stanja, njihovih profesionalnih osobina ili sposobnosti, a naročito karakteristika vezanih za ličnost i zdravstveno stanje pojedinca.[15]

3.3.3.2. Razumna očekivanja

Činjenica da se obrada očekuje ili podrazumeva sa aspekta pojedinca, takođe može ima veliki uticaja kod utvrđivanja postojanja ravnoteže interesa. Kako bismo što preciznije utvrdili očekivanja druge strane potrebno je odgovoriti na nekoliko važnih pitanja. Najpre, da li su rukovalac i pojedinac u poslovnom ili privatnom odnosu ili su to bili, kao i da li su radnje obrade u sličnu svrhu između istih subjekata rađene u prošlosti. Zatim, bitna je i okolnost u kojoj su podaci prikupljeni, odnosno da li su prikupljeni direktno od pojedinca ili od trećeg lica, kao i da li pojedinac zna i da li je obavešten da su podaci o njemu dobijeni od trećeg lica.  Dalje, važna okolnost koja utiče na očekivanja radnji obrade je i protek vremena od trenutka kada su podaci prikupljeni do trenutka obrade. Ukoliko je prošlo prviše vremena od kada su podaci prikupljeni, verovatnije je da su se okolnosti promenile, pa i očekivanja pojedinca u pogledu moguće obrade podataka od strane subjekta koji je podatke prikupljao.

3.3.3.3. Uticaj na prava pojedinca i bezbednosne mere

Treća važna okolnost koju moramo da uzmemo u obzir prilikom primene testa ravnoteže je uticaj obrade na privatnost pojedinca. S tim u vezi, ukoliko postoji mogućnost da obrada negativno utiče na njega, potrebno je analizirati bezbednosne mere koje će taj negativni uticaj preduprediti i ukloniti. Obrada može na više načina negativno uticati na pojedica i može se manifestovati ograničenjem korišćenja njegovih prava, gubitkom kontrole nad podacima ili materijalnom štetom koja se ogleda u umanjenju postojeće imovine ili izgubljenoj dobiti. Takođe,  obrada može na strani pojedinca prouzrokovati i nematerijalnu štetu, kao posledicu duševnog bola usled društvene osude ili odbačenosti, smanjenja ugleda u društvu itd.

Ukoliko se radnjama obrade rukovaoca teži ka postizanju koristi za širu društvenu zajedinicu, u smislu slobode govora i interesa javnosti, potrebe novinarskog istraživanja koje zahteva objavu ličnih podataka, takođe je potrebno sprovesti test ravnoteže i utvrditi da li je postoji negativni uticaj odnosno da li je celishodno žrtvovati prava i privatnost pojedinca zarad benefita koji će ostvariti javnost.

Primenom testa ravnoteže, važno je utvrditi i da li postoji disbalans u odnosima između rukovaoca i pojedinca, odnosno da li je rukovalac u dominantom položaju. Ovo je naročito potrebno kada obradu po osnovu legitimnog interesa u izuzetnim slučajevima vrše organi javne vlasti izvan njihove javne delatnosti.

U slučaju da se utvrdi prisustvo negativnog uticaja, u cilju njegovog  neutralisanja ili smanjenja, rukovalac je dužan da preduzme sve potrebne mere u skladu sa Zakonom. Mere se odnose, kako na poštovanje načela obrade kao što su minimizacija podataka i ograničenje vremena čuvanja, tako i na propisane obveze sprovođenja mera bezbednosti poput pseudonimizacije ili enkripcije.

 


 

3.3.4.     PRIMENA LEGITIMNOG INTERESA

S obzirom na svoju fleksibilnost, legitimni interes kao osnov obrade podataka o ličnosti ima veoma široku primenu, ali upravo njegova prilagodljivost i neodređenost može ga činiti u isto vreme i nepopularnom i rizičnom opcijom za rukovaoce. Zbog toga se i procena uticaja najviše vrši u slučaju obrada koje za osnov imaju upravo legitimni interes.

Dakle, u odnosu na druge osnove obrade, legitimni interes traži oprezniji i analitičniji pristup obradi, naročito u fazi njene pripreme. Na primer, ukoliko prikupljanje i upotrebu određenih podataka nalaže Zakon ili su oni potrebni za izvršenje ugovorne obaveze, zakonitost obrade nije upitna i rukovalac se ne mora preispitivati njenu osnovanost niti je dodatno obrazlagati i pravdati. S obzirom na to da se pravo na obradu po osnovu legitimnog interesa ne crpi iz imperativne norme, ugovora, službenih ovlašćenja niti vitalnih interesa, njegovu bazu treba u startu postaviti i kroz tripartitni test utvrditi da li je obrada zakonita.

Međutim legitimni interes ne treba posmatrati kao osnov obrade koji se javlja kao izuzetak i u situacijama kada nijedan drugi osnov ne može da bude primenjen. Naprotiv, pored podrazumevanih svrha koje su bliže definisane Preambulom, legitimni interes može imati primarnu primenu i u nekim slučajevima obrade između subjekata koji već imaju izgrađen poslovni odnos, gde je takva obrada očekivana i uobičajena.

Takođe, ukoliko je legitimni interes očigledan, a svrha neophodna i sama obrada bez negativnog uticaja na privatnost pojedinca, prikupljanje saglasnosti može biti suvišno. Ujedno, obraćanje pojedincima sa ciljem pribavljanja pristanka u situacijama kada postoji primenjivi legitimni interes i neophodnost obrade može biti i kontraproduktivno u odnosu na privatnost pojedinca.

Kada su je u pitanju obrada osetljivih podataka o ličnosti ili podataka koji se odnose na decu tu treba biti oprezan. Iako Zakon ne zabranjuje ove vidove obrade, dejstvo legitimnog interesa kao osnova u odnosu na osetljive podatke znatno je ograničeno u poređenju za drugim kategorijama podataka odnosno podataka koji se odnose na punoletna lica.

I u samoj pravnoj normi Zakonodavac propisuje da će se prilikom procene čiji su interesi pretežniji, naročito uzeti u obzir ukoliko je lice na koje se odnosi podatak maloletno. Analogno tome, isto se može primeniti i na obradu podataka iz kategorije osetljivih. Takođe, treba uzeti i u obzir druge zahteve koje Zakonodavac nameće rukovaocima i obrađivačima ličnih podataka koji se opredele da obrađuju ove podatke.[16]

Kada je obrada podataka zaposlenih od strane poslodavca u pitnju, ona se obično bazira na ispunjenju zakonske ili ugovorne obaveze. Međutim, obrade poput video nadzora ili elektronske evidencije dolaska na rad mogu se vršiti i na osnovu legitimnog interesa, ukoliko su ispunjeni drugi zakonski uslovi odnosno ukoliko obrada prolazi trostruki test koji propisuje pravna norma.

 


 

3.3.5.     LEGITIMNI INTERES I DIREKTNI MARKETING

Polje primene gde legitimni interes kao osnov obrade zauzima važno mesto, svakako je direktni marketing. Iako ga Zakon ne pominje eksplicitno u delu gde je regulisano načelo zakonitosti, direktno oglašavanje je jedan od primera primene ovog osnova koji su ponuđeni Preambulom, kao što je u tekstu ukazano. Dakle, iako naš Zakon ne propisuje primenu ovog osnova u svrhe direktnog marketinga, on ga svakako ne zabranjuje i stavlja ga u opšti kontekst svoje pravne norme. S druge strane, Zakon pominje dirketno oglašavanje u delu zakona gde su propisana prava pojedinaca, konkretno pravo na prigovor.

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem. Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.[17]

Dakle, pojedinac ima pravo da prigovori obradi njegovih podataka, nakon čega je rukovalac obavezan da prekine obradu, osim ukoliko mu je predočio da postoje zakonski razlozi za obradu koji pretežu nad njegovim interesima, pravima ili slobodama lica ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.[18]  Međutim, kada je u pitanju obrada u svrhe direktnog marketinga, rukovalac je ipak dužan da prekine obradu, bez obzira da li nad njegovim interesima prevlađuju interesi pojedinca ili ne.

Zakonodavac je ovakvom formulaciom s jedne strane indirektno potvrdio mogućnost primene instituta legitimnog interesa u svrhe direktnog oglašavanja. S druge strane, ovom odredbom svrha direktnog marketinga je izgubila na snazi i zakonodavac u njoj ne vidi dovoljno interesa na strani rukovaoca i dovoljnog stepena neophodnosti da bi se u slučaju protivljenja pojedinca uopšte i postavilo pitanje njene opravdanosti.

Međutim, ako sagledamo direktni marketing u kontekstu pozitivnog prava Republike Srbije, možemo zaključiti da su pojedine zakonske odredbe po tom pitanju u koliziji. Naime, Zakon o oglašavanju za direktno oglašavanje prema fizičkim licima zahteva njihovu prethodnu saglasnost.[19]  A ukoliko tako formulisanu pravnu normu uporedimo sa definicijom iz istog zakona koja oglašavanje određuje prilično široko, kao predstavljanje u bilo kom obliku u vezi sa poslovanjem odnosno profesionalnom ili poslovnom delatnošću, radi podsticanja prodaje robe i usluga, prodaje nepokretnosti, kao i prenosa prava i obaveza[20], možemo zaključiti da većina slučajeva obrade podataka u svrhu direktnog marketinga potpada pod pravilo o obaveznoj saglasnosti.  Dakle, s obzirom da Zakon o oglašavanju ima status specijalnog zakona u odnosu na Zakon o zaštiti podataka o ličnosti kada je oglašavanje u pitanju, obrada podataka o ličnosti u svrhe direktnog marketinga po osnovu legitimnog interesa pod velikim je znakom pitanja. Međutim, kako je Zakonom propisano da će odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, biti usklađene sa odredbama ovog zakona do kraja 2020. godine, ostaje da sačekamo da ta obaveza zakonodavca bude ispunjena.

Slična je situacija i u opštim aktima Evropske unije, gde takođe postoji određena, istina manja kolizija normi po ovom pitanju. Naime, osim GDPR-a kao opšteg zakona na tu oblast primenjuje i tzv. E-Privacy direktiva[21]  takođe kao lex specialis i detaljnije razrađuje oglašavanje putem elektronske pošte i SMS poruka. Pomenuta Direktiva obradu podataka koja podrazumeva slanje elektronske pošte u svrhe direktnog marketinga, takođe uslovljava prethodno pribavljenim pristankom.[22]  Ovo rešenje je donekle ublaženo, već sledećim stavom istog člana koji nudi tzv. soft opt-in rešenje koje podrazumeva mogućnost slanja imejlova potencijalnim zainteresovanim licima, u situacijama gde se njihova zainteresovanost i takva vrsta obrade podataka može očekivati prema redovnom toku stvari.[23]  Pomenutu Direktivu bi uskoro trebalo da zameni E-Privacy uredba  koja će svojom direktnom primenom, kao hijerarhijski viši akt, doprineti da ovo pitanje bude regulisano na jedinstven način unutar EU. Očekuje se da će E-Privacy uredba[24] detaljnije rešiti pitanje direktnog oglašavanja, kao i da će između ostalog postojeće soft opt-in rešenje proširiti i na celokupnu elektronsku komunikaciju.

 


 

3.3.6.     LEGITIMNI INTERES I ORGANI JAVNE VLASTI

Zakon izričito propisuje da obrada koju vrše organi javne vlasti u okviru svoje delatnosti, ne može da se vrši po osnovu legitimnog interesa. Najpre iz razloga što državni organi moraju da postupaju u okviru zakonskih nadležnosti, jer je zakon jedini osnov iz koga mogu crpeti svoja ovlašćenja i samim tim pristupati obradi podataka o ličnosti građana. S druge strane, zbog svoje neodređenosti i široke primenljivosti, primena ovog osnova u radu državnih organa mogla bi lako voditi zloupotrebema, prekoračenju ovlašćenja kojima se ne bi ni znale precizne granice i na kraju pravnoj nesigurnosti. Međutim, u aktivnostima koji nisu vezani za vršenje javne funkcije državnog organa, moguće je obrađivati podatke po ovom osnovu, uz poštovanje uslova za takvu obradu, sa naročito povećanom pažnjom u pogledu odnosa državnog organa i pojedinca i mogućeg negativnog uticaja na njegovo pravo na privatnost. Dakle, ukoliko se organ javne vlasti ipak odluči da vrši radnju obrade podataka po osnovu legitimnog interesa koja nije vezana za njegovu službenu delatnost,  odnos tog organa i pojedinca mora da bude posebno analiziran u okviru testa ravnoteže, jer postoji opravdana bojazan da dominantna pozicija državnog organa može takvu ravnotežu da ugrozi.

 


 

3.3.7.     PROCENA UTICAJA I LEGITIMNI INTERES

Zakon taksativno navodi vrste obrada za koje je potrebno prethodno uraditi procenu uticaja.[25]  Takođe, Poverenik je po nalogu iz Zakona svojom odlukom proširio spisak vrsti radnji obrada na koje se odnosi ista obaveza.[26] S obzirom da se veliki broj vrsta radnji obrada koje se nalaze na pomenutoj listi može vršiti upravo na bazi legitimnog interesa kao osnova obrade, značaj njegovog pravnog razumevanja i primene je ključan za donošenje procene uticaja i njegovog obrazloženja i elaboriranja u predmetnom aktu. Dakle, ukoliko se vrši procena uticaja za radnju obrade koja za osnov ima legitimni interes, primena trodelnog testa koji se bazira na pravnoj normi Zakona ključan je i neizostavni deo takve procene.

 


 

  1. ZAKLJUČAK

Po svojim karakteristikama i uslovima primene zadatim formulacijom pravne norme, sa aspekta njegove determinizacije i korišćenja u praksi, legitimni interes uz pristanak predstavlja verovatno najkompleksniji osnov obrade podataka o ličnosti. Međutim, bez ovog pravnog osnova, veliki broj radnji obrade ne bi mogao da se sprovede na zakonit način. Takođe, njegova zakonska formulacija koju karakteriše uopštenost svakako doprinosi širem dejstvu i većem rasponu primene.  S druge strane, uslov za njegovo razumevanje i pravilnu primenu u praksi, podrazumeva uzimanje u obzir i rešenja Preambule, zatim primenu trodelnog testa u konkretnim slučajevima, kao i potrebu za tumačenjima, relevantnim mišljenjima i smernicama Poverenika kao organa koji vrši nadzor nad primenom Zakona.

 


 

Summary

The General Regulation on Personal Data Protection of the EU (2016/679), as well as the Serbian Law on Personal Data Protection (hereinafter: The Law), prescribe the direct application of the principles on which they are based in their provisions. The direct application of these principles is envisaged in order to point out the importance of the values and rights proclaimed by these regulations, at the cost of making them too general and subject to criticism and interpretation. The meaning of this provision is certainly that persons whose personal data are processed are protected as efficiently as possible, as a priori a weaker party in legal relations in which the processing of their personal data occurs as one of the consequences . The first principle proclaimed by The Law is the one concerning the legality of processing, ie which prescribes in which situations the processing will be considered harmonized with The Law. Each of the six exhaustively listed bases of processing, that are to be considered legal, differ both in content and form, and each of them deserves special attention and a different approach, from a theoretical and practical point of view. The most flexible among them is certainly the basis of processing based on legitimate interests, but its legal formulation gives headaches to everyone who try to interpret and apply it, primarily because it is too general (because it was the only way to adequately cover a wide field of its application), but also because of the fact that The Law did not include clarifications and examples contained in GDPR Preamble, which is an integral part of the General Regulation of the EU. In the absence of more precise regulation in domestic legislation, there is a need for a legal analysis of the basis of data processing of item “six” of the Law, and its interpretation in the context of other provisions of The Law and the goal it seeks to achieve. Based on definition from the Law, processing should pass three-part test in order to be considered as a lawful. So Purpose, Necessity and Balance tests are important part of each processing which is based on legitimate interest. Also, GDPR Preamble is indispensable guideline for better understanding and applying legitimate interest in personal data processing. The most important application for the legitimate interest is processing for the purposes as direct marketing, network and information security or transmitting personal data within the group of undertakings or institutions for internal administrative purposes.

 


Autor: Dragan Milić


 

Keywords: LEGITIMATE INTERESTS. DATA PROTECTION PRINCIPLES.  LAWFULNES. LAWFUL BASIS. DIRECT MARKETING. GDPR. LAW ON PERSONAL DATA PROTECTION.

 


 

[1] Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čl. 12

[2] Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 95/46/EC, čl. 7

[3] Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čl. 12, stav 1, tačka 6

[4] R. Lukić, B. Košutić, D. Mitrović, Uvod u pravo, Beograd, 1999, str. 505

[5] Ibid. 506

[6] Opšta uredba o zaštiti podataka EU (2016/679), Preambula, recital 47

[7] Ibid. 48

[8] Computer emergency response team, u Republici Srbiji Nacionalni CERT Republike Srbije, u okviru Regulatorne agencija za elektronske komunikacije i poštanske usluge RATEL

[9] Computer Security Incident Response Team, у Републици Србији његову функцију врши Академска мрежа Републике Србије

[10] Opšta uredba o zaštiti podataka EU (2016/679), Preambula, recital 49

[11] Ibid. 50

[12] Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čl. 12, stav 1, tačka 6

[13] UK Information Commissioner’s Office: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/

[14] UK Information Commissioner’s Office: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/

[15] Ibid.

[16] Vid. Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čl. 17

[17] Ibid. Čl. 37, stav 2 i 3

[18] Ibid. Čl. 37, stav 1

[19] Zakon o oglašavanju (“Sl. glasnik RS”, br. 6/2016 i 52/2019 – dr. zakon), čl. 62

[20] Ibid. Čl. 2, stav 1, tačka 1

[21] Directive on privacy and electronic communications,2002/58/EC

[22] Ibid. Čl 13, stav 1

[23] Ibid. Čl 13, stav 2

[24] Proposal for a Regulation of the European Parliament and of the Council on Privacy and Electronic Communications, Brussels, 10.1.2017, COM(2017) 10 final, 2017/0003(COD): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52017PC0010

[25] Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), čl. 54

[26] Odluka o listi vrsta radnji obrade podataka o ličnosti za koje se mora izvršiti procena uticaja na zaštitu podataka o ličnosti i tražiti mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (Broj 021-00-14/2019-04, od 19.06.2019.) Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti: https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/zastitapodataka/Odlukaprocenauticaja.pdf (pristupljeno: 5.06.2020.)