Zakon o zaštiti podataka o ličnosti „na ledu”: Hoćemo li čekati još godinu dana na primenu?

Da li bi odlaganje primene novih zakonskih pravila o zaštiti podataka o ličnosti donelo više štete nego koristi?

Aleksandar Krunić - 7. Avgust, 2019.

Zakon o zaštiti podataka o ličnosti, koji je izazvao brojne kritike stručne javnosti, a kojim bi Srbija trebalo da uskladi regulativu ove oblasti sa EU zakonodavstvom (GDPR) primenjivaće se od 21. avgusta ove godine, osim ako se njegova primena ne odloži, kako je tražio novi Poverenik za informacija od javnog značaja. 

Poverenik je istakao da novi Zakon o zaštiti podataka o ličnosti „predstavlja veliki izazov kako za brojne organe vlasti koji nemaju dovoljno kapaciteta da odgovore obavezama koje nameće zakon, tako i za privredne subjekte, kao i ulaganje u pogledu podizanja svesti o značaju, obavezama ili pravima lica i ulaganje u informacione tehnologije i bezbednost podataka”.

Istovremeno primena novog zakona iziskuje organizacione izmene Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, kako u pogledu broja službenika, tako i u pogledu podizanja kapaciteta struke. Imajući sve ovo u vidu poverenik je zatražio odlaganje primene novog zakona do 1. septembra 2020. godine. To bi bilo odlaganje od godinu dana od sadašnjeg datuma početka primene, 21. avgusta, stoji u saopštenju Poverenika.

Na naše pitanje o posledicama odlaganja primene ovog zakona, iz kancelarije Poverenika odgovaraju:

Verujem da nije popularno javno reći nešto što zapravo mi svi znamo. Međutim, smatram da je neophodno da sagledamo širu sliku, a ne da postupamo isključivo iz pojedinačne pozicije i broja klijenata ili formalno ispunjenih obaveza. Kada na nivou društva nismo spremni za neku, rekao bih za nove obaveze zaštite podataka, tektonsku promenu, onda treba to i da priznamo. Zamislite samo sve škole, domove zdravlja i druge zdravstvene ustanove u Srbiji koje su već odredile lice za zaštitu podataka o ličnosti, a koje nedovoljno poseduje znanja u ovoj materiji. Velike kompanije imaju svest, možda je ona čak nametnuta od osnivača koji se nalazi u Evropskoj uniji ili posluje tamo, mnoge čak imaju dovoljno sredstava da ulože u usaglašavanje svog poslovanja, ali to nije slučaj sa brojnim malim i srednjim preduzećima koji, prema podacima resornog ministarstva, čine 99% naše privrede. Razumem da su neke kompanije već uložile vreme, trud i finansijska sredstva, ali odlaganje primene ne znači da prestaje obaveza. Za one koji inače posluju sa ili unutar Evropske unije odlaganje svakako ne znači mnogo.

Poverenik objašnjava da se ne radi samo o kapacitetima njegove institucije, ali da je možda njih najlakše predstaviti:

Počeću od broj zaposlenih u Službi. Poredeći se sa kolegama iz Evrope, Služba Poverenika mora da ima značajno povećanje. Neki od organa u susednim zemljama su čak duplo povećali ukupan broj. Svakako da ne smatram da je nužno tako veliko povećanje, ali povećanje ukupnog broja je neminovnost ukoliko želimo da kao društvo zaista štitimo ovo pravo. Ono što je meni lično interesantnije su kapaciteti drugih, posebno organa vlasti, koji prema Zakonu imaju posebne obaveze. Da opet zamislimo te organe vlasti kojih, prema definiciji iz Zakona, ima preko 12.000. To je preko 12.000 pojedinačnih lica za zaštitu podataka o ličnosti. Pretpostavka je da svako od njih poseduje znanja iz ove oblasti. I sad pod pretpostavkom da je to lice već angažovano kod rukovaoca, ipak je to dodatni trošak, a da ne govorimo o trošku kada se angažuje sa strane.

On kaže da veruje da ima onih koji dele ovaj stav, koji je, kako kaže, “naivno i hrabro” izneo u javnost.

Advokat Bogdan Ivanišević iz advokatske kuće BDK Advokati kaže da bi odlaganje primene ovog zakona imalo praktične posledice na kompanije koje su se pripremile za njegovu primenu od avgusta ove godine. Za njih to znači da moraju da „vrate sat unazad” i u dobroj meri ponište ono što su uradili proteklih godinu dana. Daje i neke plastične primere:

Praktično recimo, neko je računao na novi pravni osnov obrade, koji novi zakon donosi, umesto saglasnosti koja je dominantan pravni osnov za obradu prema bivšem zakonu iz 2008. godine, i računao je da će od avgusta 2019. godine moći da se osloni na legitimni interes, umesto da traži saglasnost. Računao je i na to da neće morati da notifikuje unapred Poverenika o obradi koju namerava, jer prema novom zakonu ta obaveza ne postoji. Napravio je aranžman za iznošenje podataka u određenu državu van Evrope, jer je računao na to da u skladu sa novim zakonom neće morati da traži od Poverenika dozvolu za iznošenje. Ako je čekao 21. avgust da krene sa takvom obradom ili iznošenjem, a nastavi da se primenjuje stari zakon još godinu dana, to znači mnoge izgubljene mesece, jer u praksi dobijanje zelenog svetla od Poverenika može dugo da potraje,  a i prikupljanje saglasnosti od lica zahteva vreme. Da je kompanija mogla da nasluti pre par meseci da novi zakon neće biti primenjen, možda bi se recimo već obratila Povereniku i možda bi već prikupila saglasnost od lica, umesto da čeka primenu novog zakona.

To bi bila opipljiva šteta za kompanije, smatra on, naročito za one veće, multinacionalne kompanije, koje su se mahom pripremale za ovaj novi zakon.

Stari zakon, prema našem sagovorniku, u GDPR eri predstavlja „kameno doba” za oblast zaštite podataka, i njegovo produžavanje nije dobro, čak ni za Poverenika, a ni za kompanije koje nisu pripremljene za njega. Obrazlažući stav iz svog autorskog teksta, Ivanišević kaže:

Primena zakona bi naterala i instituciju Poverenika, i obrađivače i rukovaoce koji nisu spremni da ozbiljnije pristupe izgradnji kapaciteta za postupanje u skladu sa novom zakonom. Jedan scenario je primena novog zakona, usklađenog sa GDPR, a drugi scenario je još godinu dana prakse sa veoma lošim, starim zakonom.

Rodoljub Šabić, bivši poverenik, s druge strane podržava odlaganje primene ovog zakona:

Zahtev novog poverenika je izvesno opravdan. I sam sam, dok sam bio na toj funkciji, ukazivao da je to nužno, isto je ukazivala i gđa Mandić, zamenica poverenika nakon mog odlaska, a pre dolaska Marinovića na to se ukazalo i u Izveštaju poverenika za 2018. Stoje svi razlozi za odlaganje primene koje je naveo Marinović u pismu predsednici Skupštine. Ali ono što nije dobro je to što se u pismu govori o logisitčkim i kadrovskim problemima (nepripremljenost organa rada vlasti za primenu zakona, potreba edukacije, drugačije organizacije itd), a ne pominje se nešto mnogo važnije.

On dodaje da je i on, u vreme pripreme zakona ukazivao da je vakacio legis, odložni rok za primenu zakona jako kratak i neadekvatan, pa su tvorci zakona produžili taj rok sa 6 meseci na 9.

I tada sam, uz brojne primedbe na zakon upozorio da je i to vreme izvesno nedovoljno, ukazujući da su članice EU, iako neuporedivo bolje pripremljene za primenu famozne GDPR ostavile sebi vacaio legis od čak dve godine.

On smatra da, i ako dođe do odlaganja od godinu dana, kako je predloženo, za potrebne efekte neće biti dovoljno ni to vreme za rešavanje logističkih, organizacionih  i kadrovskih rešenja. Glavni problem je ipak, prema Šabiću, to što je zakon „nedopustivo loš”.

On predstavlja ozbiljan rizik po prava građana kad god počeli sa njegovom primenom. Odlaganje primene imalo bi ozbiljnog smisla samo ako bi se to vreme iskoristilo za njegovo menjanje.

ZZPL je izuzetno loša kompilacija zapravo loš prevod i neuspešna kombinacija GDPR i tzv. Policijske uredbe EU, nejasan, konfuzan, praktično neprimenljiv. Više puta sam upozoravao na to da je zakon neusklađen sa EU propisima, ali i sa, što je još važnije, Ustavom Srbije. Povodom očite neustavnosti člana 40 još kao poverenik pokrenuo sam postupak za ocenu ustavnosti, ali Ustavni sud još uvek ćuti. Pre mesec ili dva stigla je iz EU još jedna studija o “usklađenosti” ZZPL sa GDPR. Studija potvrđuje manje više sve na šta sam ranije ukazivao , da je pomenuti član 40 ne samo suprotan našem Ustavu, već i GDPR i Policijskog uredbi i praksi evropskog suda. Dakle imamo zakon koji ostavlja odrešene ruke “nadležnimaa” da obrađuju podatke građana ne samo kada je zakonom predviđeno, nego kada oni nađu za shodno.

Iz Fondacije Share ipak ne vide dobre strane odlaganja ove primene:

Razumemo da je Poverenik tek stupio na dužnost i da nije bio uključen u proces pisanja i donošenja novog zakona, kao i nezgodnu poziciju u kojoj se našao zbog zakona koji je usvojen sa nedostacima, ali sa druge strane odlaganje primene samo po sebi ne donosi ništa. U slučaju da se primena zaista odloži, subjekti koji su radili na usklađivanju sa novim pravilima bi na neki način bili izigrani, dok bi oni koji se uopšte nisu bavili standardima iz novog zakona bili podstaknuti da i dalje nastave da se ponašaju neodgovorno.

Odlaganje početka primene Zakona o zaštiti podataka o ličnosti bi jedino imalo smisla ako bi se u tom periodu usvojile izmene i dopune zakona koje bi ispravile nedostatke na koje su ukazivali civilno društvo, kancelarija Poverenika i Evropska komisija, tvrde oni.

Činjenica je da ni kompanije ni organi za zaštitu podataka o ličnosti u državama članicama EU nisu bili u potpunosti spremni za početak primene GDPR-a u maju prošle godine. Reč je o dugoročnom procesu prilagođavanja i usklađivanja koji se ne završava početkom primene nekog propisa, tako da nije opravdanje da ne postoji spremnost za primenu novog domaćeg zakona. Takođe smatramo da bi odlaganje zakona bilo neozbiljno i u odnosu prema stranim kompanijama koje žele da pružaju usluge na teritoriji Srbije i usklade svoje poslovanje sa domaćim Zakonom o zaštiti podataka o ličnosti, u vezi sa čim je SHARE Fondacija slala pisma na adrese 20 svetskih kompanija.

Novi zakon je pre svega od najveće važnosti za građane, koji će imati više mogućnosti da zaštite svoja prava u vezi sa podacima o ličnosti što pre zakon bude počeo da se primenjuje, zaključuju iz ove fondacije.

Novi zakon pratile su brojne kritike javnosti, ali je jedna od ozbiljnijih došla upravo od Evropske komisije, koja je ocenila da je sama struktura zakona problematična, da je problematična suština određenih zakonskih odredbi, kao i da je „narazumljiv” i „prekomerno komplikovan”.

Kao loše strane zakona navođeni su i neadekvatno uređen postupak zaštite prava građana, neprimereno niske kazne za njegovo kršenje, ali je najbolnija tačka upravo član 40, koji propisuje da se policiji, obaveštajnim agencijama ili privatnim kompanijama omogučava da zadiru u privatnost građana u situacijama kao što su zaštita nacionalne bezbednosti, odbrane, javne bezbednosti, prava i sloboda drugih lica. U prvobitnoj verziji ovo pravo zadiranja u privatnost bilo je dozvoljeno samo kada je „propisano zakonom” ali je ovo nestalo iz finalne verzije. Sada je procena kada je dozvoljeno zadiranje u privatne podatke građana vrlo nejasna i upućuje na to da bi mogla biti zloupotrebljena.

Ukratko, šta donosi novi zakon?

Novi zakon nudi potpunu drugačiju definiciju pristanka na obradu podataka o ličnosti, koja je sada oslobođena obavezne pisane forme, čime se hvata korak sa digitalizacijom. Sadržinski pristanak na obradu mora da ispuni znatno veće zahteve – mora biti dobrovoljan, određen, informativan i nedvosmislen, a volja lica izražena izjavom ili jasnom potvrdnom radnjom.

Detaljnije je regulisano pravo na ispravku, dopunu i brisanje podataka o ličnosti iz evidencije rukovaoca. Rukovalac odnosno obrađivač podataka o ličnosti, u svakom slučaju imaju mogućnost da imenuju lice za zaštitu podataka o ličnosti, s tim da u pojedinim slučajevima to predstavlja obavezu.

Ukoliko rukovalac odnosno obrađivač posluju u okviru grupa privrednih subjekata, onda mogu da odrede zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe. Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora.

Prenos podataka o ličnosti u druge države i međunarodne institucije je u velikoj meri liberalizovan novim Zakonom, po uzoru na GDPR. Takođe lica imaju pravo na neposredno pravno sredstvo – pritužbu Povereniku ako smatraju da se obrada njihovih podataka ne vrši u skladu sa odredbama Zakona, što do sada nije bio slučaj. Maksimalna kazna koja se može izreći rukovaocu za prekršaje iz ovog Zakona je dva miliona dinara.

Važna novina je i prestanak vođenja Centralnog registra i obaveza registracije baze podataka pred Poverenikom. Odgovornost vođenja evidencija o bazama podataka prelazi sa Poverenika na rukovaoce obrade, što bi Povereniku trebalo da omogući kvalitetnije izvršavanje nadzora nad primenom zakona.