Народна странка

Зоран Јовановић: Закон o заштити података о личности

Зоран Јовановић: Закон o заштити података о личности

Недавно је усвојен нови Закон о заштити података о личности, тачније усвојен је 21.11.2018. године. Закон је потпуно хармонизован са ГДПР (General Data Protection Regulation – Општа уредба о заштити података о личности) и треба да одговори на савремене изазове заштите података о личности као и да представља значајно унапређење заштите личних података у односу на претходни Закон. 

Претходног закона ћемо се највише сећати по полемици везаној за коришћење ЈМБГ. Дилема је била да ли је коректно, у смислу Закона да нам неко тражи идентификацију путем ЈМБГ. Констатовано је да није у реду да се захтева идентификација путем ЈМБГ јер открива неке додатне чињенице о нама па се усвојило као сасвим прихватљиво да нас неко идентификује помоћу броја личне карте. Јединствена лична идентификација се тражи приликом враћања производа продавцу, остваривања права на гаранцију за производ, за чланство у клубу за рекреацију, остварење попуста и за картице за попусте, персонализоване карте за превоз градским саобраћајем и у многим другим случајевима. Претходна верзија закона је била на снази од 2012. до 2018. године а све до краја важења закона није спроведена комплетна имплементација. 

Током дугог периода је вршена замена тезе јер није питање да ли неко евидентира наш ЈМБГ или број личне карте већ је право питање зашто се било који од тих података уопште евидентира? За шта све се користи  податак? Колико се податак чува, односно колико дуго се са тим податком располаже и ко све има приступ податку? Да ли можемо да будемо анонимни у свом свакодневном животу приликом обављања разних једноставних радњи? Долазимо до кључног питања а то је шта све представља „податак о личности“ ?

Дефиниција гласи: "Податак о личности" је сваки податак који се односи на физичко лице чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, података о локацији, идентификатора у електронским комуникационим мрежама или једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета. 

Нови закон, заштиту овако дефинисаног податка о личности подиже на нови ниво руководећи се следећим начелима:     
1) законитост, поштење и транспарентност;                            

2) ограничење у односу на сврху обраде;                              

3) минимизација података;                                            

4) тачност;                                                          

5) ограничење чувања;                                                

6) интегритет и поверљивост.

Из наведеног произилази да се за свако прикупљање и обраду података мора тражити јасна и транспарентна сагласност власника личног податка. Сагласност треба да садржи јасне информације за које потребе, са којим разлогом, у ком обиму, у чије име, коме ће све тачно и на који период информације бити доступне, начин на који можемо да опозовемо наш пристанак и коме и на који начин можемо да поднесемо притужбу на поступак прикупљања и обраде личних података. То значи да уколико се у продавницама прикупљају лични подаци за коју се тражи сагласност купаца, мора постојати информација за које тачно сврхе (пропаганда, слање реклама, статистике и какве тачно), на који тачно период се информације прикупљају и ако се информације прослеђују још некоме треба да пише коме тачно. Пракса до сада је била да смо сагласни да податке користи онај ко их прикупља и сва „повезана лица“!? Такође, пракса је била да се сагласност даје на неодређени период што сада мора бити дефинисано колики је период важења наше сагласности и тај период не може бити „заувек“. Закон предвиђа и повлачење сагласности што треба да буде  једноставан и транспарентан поступак о коме треба да смо обавештени у тренутку давања сагласности. 

Прикупљање података треба да је ограничено у односу на сврху обраде и не могу се користити у друге сврхе. Потребно је да се изврши минимизација података који се прикупљају за одређену сврху, односно за већину потреба нису потребни сви наши подаци. Да ли је можемо да купујемо и враћамо производе и остварујемо гаранције, анонимно? Да ли је довољна информација приликом идентификације само наше име и адреса електронске поште на пример? Колико дуго продавци могу да нам шаљу поруке или да зову телефоном, у случају да смо податке оставили добровољно? 

Иста правила важе и за органе државне и локалне управе. Обавеза органа управе је да попишу и оптимизују све процесе у којима се лични подаци прикупљају и обрађују, да се одреди и пропише ко подацима приступа, да се за сваку појединачну сврху одреди који су подаци минимално потребни  и  колико се прикупљени лични податак чува у органу управе. Свако физичко лице има право да добије информацију којим личним подацима располаже државни орган или руковалац, ко је личним подацима приступао и са којим разлогом. Лице на које се подаци односе има право да се на њега не примењује одлука донета искључиво на основу аутоматизоване обраде, укључујући и профилисање, ако се том одлуком производе правне последице по то лице или та одлука значајно утиче на његов положај. 

Од свега постоје изузеци па закон тако препознаје прикупљање и обраду података које спроводе надлежни органи у „посебне сврхе“. Посебне сврхе су општа безбедност, борба против тероризма или прикупљање података о кривичним радњама и починиоцима и слично. Иако се овакво прикупљање лични података и њихова обрада чине сасвим оправданим, морамо да приметимо да се често безбедност олако користи као изговор за неконтролисано прикупљање личних података. И у овим случајевима је потребно дефинисати који се подаци прикупљају, због ког ризика – односно разлога прикупљају подаци, колико се дуго чувају и ко тим подацима има приступ. Видео надзор представља радњу која се увек поставља под изговором безбедности али није у складу са законом да свако и на свим местима поставља камере, снима све без ограничења сврхе, појаса снимања, рока чувања и дефинисаних особа које могу да приступе снимцима.   

Закон доноси значајна унапређења на пољу заштите података о личности али морамо се запитати колико ће бити ефикасна имплементација закона? Да ли ће имплементација Закона бити само на појединцу, односно да свако индивидуално решава неправилности везане за прикупљање података о личности. То појединца ставља у незавидан положај јер питање заштите личних података треба да решавамо правним путем против великих трговинских ланаца или wеб портала и сличних неравноправно јачих опонената. У свакој ситуацији када сматрамо да су нам права, у смислу Закона о заштити података о личности, угрожена, очекује се од појединца да поднесе притужбу Поверенику за информације од јавног значаја и заштиту података о личности.  То значи да је свако од нас путујући инспектор, да се свуда и на сваком месту боримо прса у прса за очување својих личних података, односно својих елементарних грађанских права!? Чекајте, да ли постоји нека институција која у овој држави гарантује поштовање Закона о заштити података о личности, институција која ће по службеној дужности успешно извршити имплементацију и контролу примене Закона?     
   
Повереник је институционално одређен да врши инспекцијски надзор над применом овог закона, такође Повереник је дужан да прати развој информационих и комуникационих технологија, као и пословне и друге праксе од значаја за заштиту података о личности. Питамо се колико је већ субјеката контролисано и да ли се спроводе кампање које промовишу примену Закона? Колико је казни наплаћено? Ако је одговор број нула, онда можемо да питамо када је планирано да се почне са надзором примене Закона?

Обезбеђивање успешне имплементације Закона о заштити података о личности ће бити утолико теже јер у нашој држави је врло прихваћена једна парадоксална законодавна пракса одложене примене и провере примене закона иако је закон већ ступио на снагу. Сетимо се да је у ЕУ ГДПР усвојен у мају 2016. године те да је било времена да се спроведе темељна припрема органа управе и кампања за његову имплементацију а да су сви на које се овај закон односи имали времена да се припреме, унесу измене у пословање и информационе системе, да испуне законом предвиђене норме до датума ступања Закона на снагу а то је 25.5. 2018. године. У случају наше државе, закон о заштити података о личности је ступио на снагу 21.11.2018. године без припремног периода, и велико је питање колико су правна лица и органи управе припремљени за имплементацију Закона. Да ли смо у могућности да остваримо права из овог Закона одмах или се сматра да постоји недефинисани „грејс период“ када се имплементација закона неће ни проверавати а ми као грађани нећемо моћи да остваримо своје право које нам је на папиру загарантовано? 

Оваква пракса ствара и простор за корупцију јер се закон селективно примењује, према некоме у потпуности а према некоме са толеранцијом. Овакви различити аршини стварају утисак да закон у ствари није битан, да Закон нико не поштује, да је Закон немогуће имплементирати и да не постоји правни систем у нашој држави коме може да се верује. 

Циљ Закона је да се обезбеди заштита основних права и слобода физичких лица, а ми сви желимо да се то оствари у пракси. Желимо, заједно са Народном странком, да изградимо систем заснован на неприкосновеној владавини права и грађанских слобода, што представља и један од стубова – начела Програма Народне странке. Закон мора бити једнак за све и да се у том систему осећамо сигурно и поштовано. 


Зоран Јовановић
Ресорни одбор за саобраћај