PREDLOG STRATEGIJE ZAŠTITE PODATAKA O LIČNOSTI ZA PERIOD 2023. DO 2030. GODINE: Izveštaj o sprovedenoj javnoj raspravi

Inicijativu za donošenje nove strategije zaštite podataka o ličnosti podneo je Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti, imajući u vidu da je ranija strategija koja se odnosila na ovu oblast doneta još 2010. godine i da nikada nije donet prateći akcioni plan, što je za rezultat imalo izostajanje efekata koji se očekivao od tog dokumenta. Pored toga, u vidu se imala i činjenica da se radi o vremenskom periodu u kome je, kako u domaćem, tako i u međunarodnom okruženju, došlo do dinamičnih promena u pogledu tehnologije i obima obrade podataka o fizičkim licima. Tekst Predloga strategije je pripremila radna grupa koju je obrazovala Vlada.

Strateške prioritete je u dogovoru sa proširenim sastavom radne grupe, kao i na osnovu analize postojećeg stanja, postavila Radna grupa Vlade koju su činili donosioci odluka i predstavnici relevantnih organa i organizacija. Prvi sastanak Radne grupe je održan u julu 2021. godine, kada su otpočele pripreme za izradu strateškog dokumenta. Tokom 2021. i 2022. godine održano je više konsultativnih sastanaka i radionica na kojima je rađeno na tekstu Predloga strategije.

Na pojedine teme koje se tiču zaštite podataka o ličnosti održane su konsultacije i javni skupovi sa organizacijama civilnog društva, među kojima se izdvajaju:

- konsultacije tokom 2022. godine na temu video identifikacije i nadzora;

- konsultacije tokom 2022. godine na temu razvoja i korišćenja sistema veštačke inteligencije;

- konferencije Poverenika;

- tribine i okrugli stolovi u okviru Nedelje privatnosti 2022. i 2023. godine i dr.

Tokom marta 2023. godine održane su javne konsultacije sa zainteresovanim stranama u okviru javne rasprave.

Javna rasprava o Predlogu strategije zaštite podataka o ličnosti za period od 2023. do 2030. godine, sprovedena je u periodu od 15. marta do 7. aprila 2023. godine, u skladu sa zaključkom Odbora za pravni sistem i državne organe Vlade. Istim zaključkom određen je program javne rasprave.

Program javne rasprave o Predlogu strategije, zajedno sa tekstom Predloga strategije objavljen je na internet stranici Ministarstva pravde www.mpravde.gov.rs i na Portalu eKonsultacije. Učesnici u javnoj raspravi (relevantni državni organi, predstavnici civilnog društva, stručna javnost, kao i druge zainteresovane strane) pozvani su da svoje sugestije, predloge, inicijative i komentare na tekst Predloga strategije dostave Ministarstvu pravde, na odgovarajuću elektronsku adresu ili pisanim putem.

 U toku javne rasprave organizovana su i dva okrugla stola, i to 27. marta 2023. godine u Novom Sadu i 31. marta 2023. godine u Beogradu. Na okruglom stolu u Beogradu pored predstavnika radne grupe koji su predstavili tekst Predloga strategije, učestvovali su i predstavnici “Kec grupeˮ iz Novog Sada, advokat Strahinja Mavrenski, Prekršajnog suda u Beogradu, “Paragrafa leksˮ, kompanije Ernst & Young, advokat Ivana Ružičić (“PR legalˮ), organizacije “Partneri Srbijaˮ, organizacije “Beogradski centra za bezbednosnu politikuˮ, “Telekoma Srbijaˮ, “Nezavisnog udruženja novinara Srbije” i kompanije “Deloitteˮ.

U toku javne rasprave, Ministarstvu pravde je putem elektronske pošte pristiglo tri komentara na tekst Predloga strategije i to od strane : “NIS a.d. Novi Sad, advokat Ivane Ružičić, iz advokatske kancelarije PR Legal i Ortačkog advokatskog društva Janković, Popović & Mitić, iz Beograda.

Komentari, predlozi i sugestije su detaljno razmotreni od strane Radne grupe. Oni su navedeni u ovom izveštaju, zajedno sa odgovorima Radne grupe.

 1. Komentari “NIS a.d. Novi Sad:

Komentar: Predmetna Strategija sadrži odredbe kojima se ukazuje na pravne propise, konkretno na Zakon o zaštiti podataka o ličnosti, ali i na druge propise koje nisu usklađeni sa Zakonom o zaštiti podataka o ličnosti (ne navodeći ih poimenično).

Odgovor Radne grupe: Određivanje zakona koji nisu usklađeni sa Zakonom o zaštiti podataka o ličnosti je jedna od aktivnosti koje će se realizovati tokom 2023. godine.

Komentar: Ono što je potrebno dodatno razraditi u predmetnoj Strategiji ili pak imati na umu prilikom izmena i dopuna Zakona o zaštiti podataka o ličnosti, ogleda se u pravljenju distinkcije između podataka o ličnosti (kojima se može zadirati u privatnost lica čiji se podaci obrađuju) od podataka o ličnosti koji se koriste u poslovne svrhe. Naime, reč je o podacima, kao što su ime i prezime, službeni broj telefona, službena adresa elektronske pošte i sl.

Odgovor Radne grupe : Komentar se odnosi na izmene Zakona o zaštiti podataka o ličnosti. Tokom procesa izmene Zakona preciziraće se obrada podataka o ličnosti koje se koriste u poslovne ili službene svrhe.

Komentar: Imajući u vidu preširoko definisan pojam podataka o ličnosti (član 4. stav 1. tačka 1. Zakona o zaštiti podataka o ličnosti), kao i nedostatak preambularnog dela pomenutog Zakona (kao što je to slučaj sa GDPR) u praksi često nastaje problem što se podaci koji se koriste u poslovne svrhe poistovećuju sa podacima o ličnosti kojima se zadire u privatnost konkretnog lica.

Podaci o ličnosti koji se koriste, primera radi, za potrebe razmene dokumentacije između saugovarača, podaci potrebni za zaključivanje ugovora (imenovanje lica koja će pratiti realizaciju ugovora i sl.), ne bi trebali da imaju identičan tretman, kao što su podaci kojima se zadire u privatnost lica.

Zahtevi za obradu podataka o ličnosti, pogotovo načela Zakona, komplikuju često obradu podataka koji se koriste u poslovne svrhe. Stoga smo mišljenja da bi navedeno trebalo imati na umu, prilikom izmena i dopuna Zakona o zaštiti podataka o ličnosti, odnosno prilikom izmena i dopuna, odnosno sprovođenja odredaba ove Strategije.

Odgovor Radne grupe: Komentar se odnosi na izmene Zakona o zaštiti podataka o ličnosti. Tokom procesa izmene Zakona preciziraće se obrada podataka o ličnosti koje se koriste u poslovne ili službene svrhe. 

2. Komentari advokat Ivana Ružičić, iz advokatske kancelarije PR Legal

Komentar: normiranje, tj. uvođenje mogućnosti regulisanja odnosa između dva rukovaoca podacima putem standardnih ugovornih klauzula, kao što je slučaj sa GDPR (umesto sadašnjeg zakonskog rešenja koje podrazumeva primenu ovog mehanizma samo u odnosu rukovalac - obrađivač).

Odgovor Radne grupe: Komentar se odnosi na izmene Zakona o zaštiti podataka o ličnosti. Tokom procesa izmene Zakona urediće se i ovo pitanje.

Komentar: upodobljavanje zakonske terminologije normama srpskog jezika (npr. rukovalac podacima, ne rukovalac podataka).

Odgovor Radne grupe: pre objavljivanja Strategije izvršiće se detaljna pravno-tehnička redakcija teksta, u saradnji sa Republičkim sekretarijatom za zakonodavstvo.

Komentar: preispitati ovlašćenje Vlade za donošenje Odluke o listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti (“Sl. glasnik RS”, br. 55/2019). Naime, krug ovih država, teritorija i organizacija je već utvrđen samim ZZPL-om (član 64. stav 2), dok je Vlada samo ovlašćena da utvrdi listu država, teritorija i organizacija koje ne obezbeđuju primereni nivo zaštite (član 64. stav 3) ZZPL dalje propisuje da se (1) lista država, teritorija i organizacija koje obezbeđuju primereni nivo zaštite, kao i (2) lista država, teritorija i organizacija za koje je Vlada utvrdila da ne obezbeđuju primereni nivo zaštite, objavljuju u Službenom glasniku (član 64. stav 7), što ni u kom slučaju ne daje pravo Vladi da svojom odlukom utvrđuje listu pod (1). Smatram da je u ovom trenutku predmetna odluka Vlade nezakonita jer nema osnov u ZZPL. Štaviše, tako smo došli u “problem” nakon poništaja Štita privatnosti, budući da od jula 2020. godine EU više ne smatra da u SAD postoji primeren nivo zaštite, dok u domaćoj odluci (koja nije izmenjena ni nakon dve i po godine) i dalje na “listi” imamo SAD uz primenu Štita privatnosti, iako je to u suštini u suprotnosti sa odredbom člana 64. stav 2. ZZPL.

Odgovor Radne grupe: I ovde se komentar odnosi na sadašnji tekst Zakona o zaštiti podataka o ličnosti, koji će biti izmenjen, odnosno dopunjen. Međutim, treba imati u vidu da važeća zakonska odredba nije u suprotnosti sa Opštom uredbom o zaštiti podataka (GDPR), kao i da Vlada ima zakonsko ovlašćenje da utvrdi dvostruku listu država, teritorija, međunarodnih organizacija i sektora delatnosti, i to kako onih koji obezbeđuje primereni nivo zaštite, tako i onih gde takav nivo zaštite ne postoji. Mišljenja smo da treba omogućiti Vladi da ima takvo ovlašćenje, jer je u praksi moguće da je u nekom delu teritorije, odnosno u određenim sektorima delatnosti u nekoj državni došlo do neadekvatne zaštite podataka o ličnosti, pa bi Vlada u tom slučaju mogla blagovremeno da interveniše i odredi da stepen zaštite na tom delu neke države (ili u nekom sektoru) više nije adekvatan. Problem vezan za “Štit privatnostiˮ će biti vrlo brzo rešen ažuriranjem postojeće liste Vlade.

3. Komentari Ortačkog advokatskog društva Janković, Popović & Mitić, Beograd

Komentar: Nejasno je zbog čega Ministarstvo nauke, tehnološkog razvoja i inovacija i Republički zavod za statistiku ne učestvuju u radu Radne grupe za izradu Predloga strategije.

Obrazloženje komentara:

Neophodno je kroz sistemske zakone konkretizovati sledeće odredbe ZZPL:

Član 93. stav 3. ZPPL (Zakon o zaštiti podataka o ličnosti) - Odredbe o pravima lica na koje se podaci odnose iz čl. 26, 29, 31. i 37. ZPPL se ne primenjuju ako se obrada vrši u svrhe naučnog ili istorijskog istraživanja ili statističke svrhe, ako je to neophodno za ostvarivanje tih svrha ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala njihovo ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.

Član 93. stav 4. ZPPL - odredbe o pravima lica na koje se podaci odnose iz čl. 26. i 29. i čl. 31. do 37. ZZPL ne primenjuju se ako se obrada vrši u svrhe arhiviranja u javnom interesu, ako je to neophodno za ostvarivanje te svrhe ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala njeno ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.

Član 17. stav 1. propisuje da je zabranjena je obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.

Tačkom 10) stav 2. istog člana je propisano da je izuzetno, obrada iz stava 1. ovog člana dopuštena je ako obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. istog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.

Takođe je potrebno da se konkretizuje odredba člana 30. stav 5. tačka 4) ZZPL - da lice čiji se podaci obrađuju nema pravo na brisanje podataka o ličnosti ako je obrada neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ZPPL, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.

Potrebno je da se kroz sistemske zakone propiše o kojim slučajevima obrade u svrhe naučnog ili istorijskog istraživanja ili statističke svrhe je reč, šta znači formulacija “suština prava na zaštitu podataka o ličnosti” i šta znači formulacija “srazmerna ostvarivanju ciljeva koji se nameravaju postići”. Iz navedenog razloga je neophodno da i predstavnici Ministarstva nauke, tehnološkog razvoja, porede ministarstva zdravlja učestvuju u radu Radne grupe - smatramo bi ovo ministarstvo trebalo naročito da se uključi u sprovođenje mere: Uređenje automatizovane obrade genetskih podataka (član 17 stav 2 tačka 10 ZZPL).

Odgovor Radne grupe: Ministarstvo nauke, tehnološkog razvoja i inovacija i Republički zavod za statistiku, pored drugih državnih organa, učestvuju u definisanju aktivnosti iz svoje nadležnosti koje će Akcionim planom, kao pratećim dokumentom Strategije, biti uvrštene u strateški okvir. Nije bilo neophodno da svi državni organi učestvuju u pripremi predloga Strategije. Pored toga, predlozi i nejasnoće oko pojedinih odredbi Zakona o zaštiti podataka o ličnosti će biti detaljno razmotrene prilikom rada na izmenama i dopunama zakona.

Komentar: Na strani 31 predloga Strategije, u podpasusu “Mera 5.1.1: Unapređenje pravnog okvira u oblasti zaštite podataka o ličnosti”, predlažemo da se doda sledeći tekst:

“Nepostupanje u skladu sa principom “odgovornost za postupanje”, obaveza primene adekvatnih tehničkih, organizacionih i kadrovskih mera u cilju bezbednosti obrade podataka o ličnosti iz člana 50. ZZPL i obaveza sprovođenja procene uticaja radnji obrade na podatke o ličnosti nisu sankcionisani ZZPL.

Opšta obaveza sprovođenja odgovarajućih tehničkih, organizacionih i kadrovskih mera u cilju obezbeđivanja i dokazivanja primene ZZPL iz člana 41 ZZPL konkretizovana je obavezom sprovođenja procene rizika za bezbednost obrade (član 50. ZZPL) i procene uticaja radnji obrade na podatke o ličnosti (član 54. ZZPL). Na osnovu ovih procena se identifikuju rizici za bezbednosti obrade i rizici za prava i slobode lica čiji se podaci obrađuju i drugih lica. Interni akti se izrađuju na osnovu procena iz člana 50. i 54. ZZPL i tim aktima se propisuju odgovarajuće tehničke, organizacione mere ublažavanje rizika identifikovanih rizika u procenama. Izmenama i dopunama ZPPL je potrebno razjasniti opisane obaveze postupanja rukovalaca i preporučiti metodologiju za procene rizika.ˮ

Odgovor Radne grupe: Primedba je prihvaćena. Tekst čije se dodavanje predlaže ugrađen je u tekst Predloga strategije.

Komentar: ZPPL suštinski ne pravi razliku između mehanizama za prenos podataka o ličnosti bez odobrenja Poverenika u države koje ne obezbeđuju primeren nivo zaštite podataka (standardnih ugovornih klauzula) od modela ugovora o obradi podataka sa obrađivačima i rukovaocima u Srbiji i u državama koje obezbeđuju primeren nivo zaštite podataka o ličnosti, a što direktno utiče na zaštitu prava naših građana u slučajevima kada se podaci prenose u države koje ne obezbeđuju primeren nivo zaštite podataka (treće zemlje). Potrebno je da se mehanizmi za prenos (standardne ugovorne klauzule) usklade sa rešenjima u evropskom zakonodavstvu.

Odgovor Radne grupe: Predlog je vezan za tekst Zakona o zaštiti podataka o ličnosti i detaljno će biti razmotren prilikom rada na izmenama i dopunama zakona.

Komentar: Brisati odeljak na strani 32 Predloga Strategije koji se odnosi na primenu načela “ne bis in idem”.

Odgovor Radne grupe: Komentar je prihvaćen i obrisan je deo koji se odnosi na to pitanje.

Komentar: Brisati odeljak na početku strane 33 Predloga Strategije koji se odnosi na izmene i dopune Zakona o prekršajima “Unapređen Zakon o prekršajimaˮ.

Odgovor Radne grupe: primedba nije prihvaćena. Naime, neophodno je izmeniti i Zakon o prekršajima kako bi se stvorio potreban pravni okvir za propisivanje adekvatnih prekršajnih sankcija i za prekršaje propisane Zakonom o zaštiti podataka o ličnosti.

Komentar: Brisati formulaciju “Institucija nadležna za sprovođenje mere: Kancelarija za informacione tehnologije i elektronsku upravuˮ na strani 40 Predloga Strategije u okviru 5.3.1: Pravno uređenje odnosa digitalizacije i tehnološkog napretka sa zaštitom podataka o ličnosti (formulacija označava instituciju nadležnu za sprovođenje mera: Uređenje automatizovane obrade genetičkih i/ili biometrijskih podataka o ličnosti i Uređenje obrade podataka o ličnosti korišćenjem audio i video nadzora umesto navedene formulacije uneti: “Ministarstvo informisanja i telekomunikacijaˮ i “Ministarstvo unutrašnjih poslovaˮ;

Odgovor Radne grupe: primedba nije prihvaćena. Zakon o ministarstvima uređuje da je Kancelarija za informacione tehnologije i elektronsku upravu uspostavlja i vodi registar, ne ulazeći u pitanje ko će konkretno biti predlagač nekog zakona ispred Vlade.

Komentar: Nejasno je na koji način će Poverenik sprovesti meru 5.3.2: Funkcionalno uređenje odnosa digitalizacije i tehnološkog napretka sa zaštitom podataka o ličnosti i na koji način će se Poverenik ostvariti pokazatelje da je ostvarena ova mera (na primer: kako će Poverenik doprineti ostvarenju mere da je formiran određen broj organa državne uprave i pravnih lica koji se bave obradom genetičkih i/ili biometrijskih podataka o ličnosti ili broj organa državne uprave i pravnih lica koji se bave obradom podataka korišćenjem sredstva za video i audio nadzor.

Odgovor Radne grupe: primedba nije prihvaćena. Poverenik, u skladu sa Zakonom o zaštiti podataka o ličnosti, vrši inspekcijski nadzor, a posebnim zakonima će biti propisana posebna obaveza državnih organa i pravnih lica da moraju da prijave ove vrste obrade Povereniku.

Komentar: Na strani 34 Predloga strategije formulaciju “Broj rukovalaca/obrađivača koji su doneli interne akte koji se odnose na obradu podataka o ličnosti (pravilnik / politiku privatnosti) zameniti sa formulacijom “Broj rukovalaca/obrađivača koji su doneli interne akte koji sadrže adekvatne tehničke, organizacione i kadrovske mere na osnovu procena iz člana 50. i 54. ZZPL.ˮ

Odgovor Radne grupe: Komentar je prihvaćen i odgovarajuće izmene su ugrađene u tekst Predloga strategije.

Izvor: Vebsajt Ministarstva pravde, 21.04.2023.
Naslov: Redakcija