Zastava Bosne i Hercegovine

Dragan Milić - intervju
Email Print


Pravo na privatnost - novi Zakon o zaštiti podataka o ličnosti

Dragan Milić za Pravo u privredi

Paragraf intervju - SEPTEMBAR 2019



Vest da je u EU izglasan GDPR-a takođe je odjeknula i kod nas, čak mnogo više nego činjenica da je stupio na snagu novi Zakon koji faktički implementira rešenja iz Uredbe. S tim u vezi, mislim da su sva pravna lica koja odgovorno posluju imala dovoljno vremena da sagledaju šta to nova pravila nose i koje su njihove obaveze po tom pitanju. S druge strane, predsam početak primene Uredbe EU, nije se znalo na koji način će to uticati na Rukovaoce podacima, pa se spekulisalo o mogućim posledicama, strogim sankcijama i tako dalje. Međutim, kada je primena počela, bura se malo stišala jer se ništa značajno nije dogodilo preko noći, pa samim tim i taj pomalo relaksirani odnos se verovatno prelio i na naše firme. Što ne znači da nova pravila treba relativizovati, naprotiv. Treba im pristupiti krajnje ozbiljno. Da se vratim na pitanje. S obzirom na kompleksnost samog akta s jedne strane, i potrebu da isti bude propraćen nizom tumačenja, saveta i propratnih obrazaca od strane kompetentnih institucija a što je izostalo, moje mišljenje je da je 9 meseci bio prekratak rok za prilagođavanje Zakonu. Ako tome dodamo činjenicu da mesecima nismo imali imenovanog Poverenika baš u tom vremenskom periodu, a koji mora biti ključna figura u procesu prilagođavanja, jasno je koliko smo daleko od spremnosti Rukovaoca i obrađivača da primenjuju Zakon, ali i od informisanosti lica čiji se podaci obrađuju i njihovim pravima i obavezama.


Od obima obrade podataka, kategorija podataka koji se obrađuju odnosno osetljivosti i podobnosti da njihova obrada ugrozi nečiju privatnost, zavisi i obim obaveza koje Rukovaocima i obrađivačima nameće Zakon. Tako se može zaključiti da nemaju sva pravna lica obavezu donošenja Pravilnika. Međutim da bi adekvatno odgovorili na to pitanje, treba da sagledamo i sam koncept i pristup Zakona. Naime, GDPR odnosno ZZPL retko gde navode taksativne obaveze koje imaju lica koja prikupljaju i obrađuju podatke, već imaju dosta uopšteniji pristup. Tvorac ovih pravila je rekao bih mudro, prebacio svu odgovornost na Rukovaoca odnosno obrađivača, obavezujući ga da sam sagleda i proceni koji je to nivo bezbednosti podataka koji treba da primeni u svom poslovanju. S druge strane, neka lica imaju pogrešnu percepciju o tome šta su sve lični podaci i često i nisu svesna da ih zapravo prikupljaju i vrše obradu. S toga je moja preporuka da bi trebalo preventivno implementirati procedure i pravila u poslovanje i izvršiti mapiranje podataka kroz evidenciju, jer je ključno da se ima uvid u to šta se i na koji način obrađuje od podataka o ličnosti. Takođe, ukoliko dođe do neke povrede odnosno curenja podataka ili pritužbe Povereniku, jako je bitno na koji način je lice koje rukuje podacima ili ih obrađuje iste tretirao, da li je ta pitanja regulisao opštima aktima i procedurama.


To je pitanje i zadatak za IT podršku Rukovaoca i obrađivača. Kada se pribavlja pristanak na ovaj način, vebsajt odnosno platforma mora biti tako programirana da kada davalac pristanka izvrši određenu radnju, zapamti i sačuva taj podatak u programerskom kodu tzv. consent code. To je najuobičajeniji način obezbeđivanja dokaza.


Sve zavisi od sadržine i forme prethodno pribavljenog pristanka. I prethodni Zakon je imao niz zahteva u pogledu sadržine pristanka, tako da za neke svrhe i načine obrade se može i dalje koristiti. Međutim, takav dokument je ranije često egzistirao kao obaveštenje o obradi, što je dovoljan formalni i sadržinski razlog da se ne može smatrati pristankom u svetlu novog zakona. Tako svakom prethodno pribavljenom pristanku treba pristupiti pojedinačno i proce niti njegovu zakonitost.


Pitanje legitimnog interesa kao osnova obrade jedno je od najslabijih karika našeg zakona. Legitimni interes detaljnije je objašnjen i preciziran Preambulom GDPR-a, koja nažalost nije ušla u integralni tekst našeg zakona niti ima osnova da se ista primenjuje kod nas. Zbog čega je nastala velika pravna praznina kada je tumačenje ovog bitnog osnova u pitanju. Sve što možemo zaključiti iz slova zakona je da Rukovalac i Obrađivač mogu proceniti kada lice čiji lični podatak obrađuju ima legitimni interes za nešto, ali moraju biti i u mogućnosti da kasnije svoju tvrdnju i dokažu. Najšira primena ove vrste obrade je u tzv. direktnom marketingu. S druge strane čak i GDPR sa svojom preambulom i dalje ne reguliše precizno ovaj osnov naročito u kontekstu marketinga, pa se očekuje od sledeće važne uredbe E-Privacy regulation da obezbedi neke detaljnije smernice i pravila.


Ne bih da licitiram o broju kompetentnih pravnika koji su trenutno u mogućnosti da pruže kvalitetno ovu vrstu usluge. Jedno je sigurno, potrebe tržišta će dovesti do toga da će sve više kolega da se profilišu u ovoj grani prava.


Ako društvo koje je primalac informacija nije obrađivač u smislu zakona, onda nema potrebe zaključivati ugovor o obradi. Bitno je samo taj transfer uraditi u skladu sa propisima i jasno mapirati podatke i voditi evidenciju o tome gde se podaci nalaze. Takođe, opštim aktima unutar grupacije bi trebalo detaljno regulisati protok i tretman ovako prikupljenih i skladištenih podataka, što je svakako jedan vid regulacije.


“Konflikt” privatnosti s jedne i slobode informisanja i pravu na informisanost s druge strane, traje jako dugo. Mnogo duže nego aktuelnost današnjeg konteksta zaštite podataka o ličnosti. Ta linija se nikada ne može precizno povući i zavisi od niza konkretnih okolnosti. Najpre od važnosti dobra koje se čuva i podobnosti da izloženost jednog takvog podatka ugrozi nečije vitalne interese, ali i od prava i interesa javnosti da ima pristup određenom podatku. To pitanje će biti uvek aktuelno.


I GDPR i ZZPL su opšti akti koji se ne bave konkretnim načinima obrade. Tačno je da video nadzor nije regulisan, i da je to neophodno da bi se popunila ta pravna praznina i samim tim pravna nesigurnost. Međutim, oba propisa daju dovoljno opštih pravila čijom primenom možemo izvući neke okvire. Ako tome dodamo i preporuke i mišljenja Poverenika o pitanju video nadzora, možemo lako naći čvrsto tlo za zakonito sprovođenje i ove vrste obrade. Svakako, zaštita imovine kao svrha uvođenja video nadzora ne bi smela da bude sporna. Međutim, kontrola zaposlenih i njihovo nadgledanje kao svrha sama po sebi je veoma upitna i ne bi smela da egzistira kao primaran i osnovni razlog obrade.


Veoma često. Nekada i čisto informativno, a ne samo kada mi zatreba rešenje za konkretno pravno pitanje.


Zaštita podataka o ličnosti je jedan segment prava na privatnost koje poprima sve veći značaj u eri novih tehnologija i interneta kada se broj načina na koji privatnost fizičkih lica može biti povređena neizmerno povećao. Iako ova pravna oblast podrazumeva specijalizaciju da bi bili u mogućnosti da adekvatno pruže pravnu pomoć u cilju zaštite privatnosti, kolege moraju i da se oslanjaju i na druge pravne grane, da budu informisani o strukturi interneta, modernim komunikacijama, mestima gde se danas povrede najčešće dešavaju.



Email Print