Детаљно су разрађена нека од најбитнијих питања која се тичу пристанка за обраду података о личности према новом Закону, која се пре свега односе на руковаоце и њихову обавезу усклађивања пословања са законом у погледу обраде личних података на основу пристанка лица, и то: законско дефинисање пристанка лица за обраду података о личности; елементи који пристанак за обраду личних података чине правно ваљаним; рок трајања пристанка; опозив пристанка; пристанак малолетног лица за обраду података о личности.
Народна скупштина Републике Србије усвојила је нови Закон о заштити података о личности („Сл. гласник РС”, бр. 95/18 – даље: Закон), који је ступио на снагу 21. новембра 2018. године, а примењује се од 21. августа 2019. године. Текст Закона у највећој мери је усаглашен са Општом уредбом о заштити података о личности Европске Уније (даље: Општа уредба), као и са тзв. Полицијском директивом која уређује обраду података о личности од стране надлежних органа у вези са кривичним поступцима и претњама националној безбедности.
Закон је увео многобројне важне институте и измене које су предвиђене и самом Општом уредбом. Тако је, имајући у виду глобални процес дигитализације, развој технологија и електронске трговине, законодавац препознао потребу за другачијим регулисањем пристанка лица за обраду података о личности у односу на ранија законска решења, што је првенствено инспирисано одредбама Опште уредбе.
Пристанак лица и у новом закону представља један од законских основа за обраду података о личности, како је то предвиђено чланом 12. став 1. тачка 1) Закона.
ЗАКОНСКО ДЕФИНИСАЊЕ ПРИСТАНКА ЛИЦА ЗА ОБРАДУ ПОДАТАКА О ЛИЧНОСТИ
Чланом 4. став 1. тачка 12) Закона пристанак лица на које се подаци односе дефинисан је као свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим то лице, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе.
Дакле, за разлику од доскорашњег законског решења, по којем није ни постојала дефиниција пристанка као таква, а сам пристанак могао је бити дат само у писаној форми, новим законским решењем проширује се значење пристанка тако да то може да буде усмена, писана или електронска изјава или било која потврдна радња из које може да се недвосмислено закључи да је лице за заштиту података о личности дало пристанак за обраду података о личности.
ЕЛЕМЕНТИ КОЈИ ПРИСТАНАК ЗА ОБРАДУ ЛИЧНИХ ПОДАТАКА ЧИНЕ ПРАВНО ВАЉАНИМ
Поред форме пристанка, која је флексибилнија од оне предвиђене ранијим законским решењем, оно што је потребно посебно истаћи, имајући у виду горенаведену законску дефиницију, јесте неколико основних елемената који један пристанак чине правно ваљаним, односно законитим, а у претходном закону нису били на адекватан начин регулисани, при чему су то: 1) добровољност давања пристанка; 2) конкретност пристанка; 3) информисан пристанак и 4) недвосмисленост у погледу давања пристанка за обраду података о личности. У наставку овог текста детаљније ће бити обрађен сваки елемент, водећи се пре свега интерпретацијом елемената која је дата у Општој уредби и Смерницама Радне групе за заштиту података о личности Европске уније које се односе на пристанак од 28. новембра 2017. године (даље: Смернице), као и релевантном европском праксом надлежних органа која је настала приликом примене Опште уредбе.
1) Добровољност давања пристанка
Пре свега, да би пристанак био законски прихватљив, исти мора бити добровољан. Тако, уколико је пристанак укључен у неке друге услове као њихов неодвојиви део, сматраће се да није дат добровољно. Дакле, пристанак се неће сматрати добровољним ако лице чији се подаци обрађују не може одбити или повући свој пристанак без штетних последица.
С друге стране, чланом 15. став 2. Закона прописано је да, ако се пристанак даје у оквиру писмене изјаве која се односи и на друга питања, захтев за давање пристанка мора бити представљен на начин којим се издваја од тих других питања, у разумљивом и лако доступном облику, као и уз употребу јасних и једноставних речи.
Такође, посебно пажњу треба посветити и ставу 4. члана 15. Закона, по којем се приликом оцењивања да ли је пристанак за обраду података о личности слободно дат посебно мора водити рачуна о томе да ли се извршење уговора, укључујући и пружање услуга, условљава давањем пристанка који није неопходан за његово извршење. Тако, примера, ради, уколико је закључење или извршење уговора о пружању услуга условљено давањем пристанка лица за обраду података у сврху директног маркетинга, такав пристанак не може да се сматра добровољним.
Питање добровољности давања пристанка за обраду података о личности посебно је упитно када су у питању подаци запослених лица. Наиме, имајући у виду зависност која произлази из односа послодавац/запослени, није вероватно да запослени послодавцу може да ускрати пристанак за обраду података без страха или стварног ризика од штетних последица услед одбијања. Стога је Радна група у Смерницама заузела становиште по којем обрада података запослених на основу пристанка датог послодавцима као руковаоцима података представља проблем јер је мало вероватно да ће пристанак бити добровољан, као и да за већи део такве обраде података основ не може и не би смео бити пристанак запослених.
2) Одређеност пристанка
За разлику од осталих елемената који пристанак чине законитим односно ваљаним, овај елемент је у Закону остао неразрађен будући да представља само део законске дефиниције пристанка по којој исти, између осталог, мора да буде одређен. Осим члана 12. став 1. тачка 1) Закона, у којем се наводи да се пристанак даје у једну или више посебно одређених сврха, законодавац је пропустио да даље разради одређеност пристанка. У одсуству потпуног законског решења, детаљнију интерпретацију овог законског елемента требало би пронаћи коришћењем уводне одредбе бр. 32 Опште уредбе, по којој, у случају обраде података у више сврха, пристанак мора да се да за све њих.
Дакле, да би пристанак за обраду података о личности испунио елемент одређености, руковалац личних података мора да обезбеди:
– конкретизацију сврха обраде;
– грануларност у давању пристанка за обраду података, односно омогућавање лицу чији се подаци обрађују да, у случају постојања више сврха обраде података, за сваку конкретну сврху да посебан пристанак;
– раздвајање информација које се односе на добијање пристанка за обраду података од информација које се односе на друга питања.
Колико је елемент одређености у давању пристанка важан говори и релевантна пракса надлежних европских органа. Француска национална комисија за информатику и слободе 21. јануара 2019. године донела је одлуку о кажњавању компаније Google LLC у износу од 50 милиона евра због кршења Опште уредбе, поред свега, и зато што пристанак лица приликом отварања корисничког налога није био конкретан. Наиме, пре креирања налога од корисника је, између осталог, затражено да кликну на поље I agree to the processing of my information as described above and further explained in the Privacy Policy, чиме су једним пристанком дали пристанак за обраду података за све сврхе, што је супротно Општој уредби, сходно којој пристанак мора бити конкретан и дат одвојено за сваку конкретну сврху обраде.
3) Информисан пристанак
Пристанак мора бити информисан да би био правно ваљан. Овај елемент је утемељен пре свега на начелу транспарентности, које је прописано чланом 5. став 1. тачка 1) Закона. Дакле, пре давања пристанка лица чији се подаци обрађују руковалац је дужан да пружи све информације које су предвиђене Законом, а односе се на обраду личних података.
Врло често се у пракси дешавало, посебно приликом давања пристанка путем интернета, да руковаоци пропусте да претходно лицу пруже све информације које се тичу обраде личних података. Некада су пропусти били и ненамерни, у ситуацијама када су руковаоци на својим веб-сајтовима омогућавали посетиоцима приступ поменутим информацијама и опцију за давање пристанка, али тако да давање пристанка за обраду не буде условљено обавезним претходним упознавањем са информацијама о обради.
Члан 5. став 2. Закона предвидео је у том смислу експлицитну обавезу руковаоцима по којој су исти одговорни за примену свих начела обраде, укључујући и начело транспарентности, а морају да буду у могућности и да предоче примену истих, што практично значи да ће у случају вођења било ког поступка у вези са обрадом података о личности по основу пристанка лица, руковаоци бити дужни да, по потреби, предоче да је пре давања пристанка лице чији се подаци обрађују било информисано о обради на начин прописан Законом.
Чланови 23. и 24. Закона регулишу садржину информација које се пружају лицима чији се подаци обрађују, у којој се јављају извесна одступања у зависности од тога да ли се подаци прикупљају од стране лица чији се подаци обрађују или на неки други начин. Ако се обрада података заснива на пристанку, руковалац је дужан да пружи лицу чији се подаци обрађују следеће информације:
– о идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;
– контакт податке лица за заштиту података о личности, ако је оно одређено;
– о сврси намераване обраде и правном основу за обраду;
– о примаоцу, односно групи прималаца података о личности, ако они постоје;
– о врсти података о личности који се прикупљају;
– о извору из ког потичу подаци о личности, уколико се подаци не прикупљају од лица чији се подаци обрађују;
– о чињеници да руковалац намерава да изнесе податке о личности у другу државу или међународну организацију, као и о томе да ли се та држава или међународна организација налази на листи из члана 64. став 7. Закона, а у случају преноса из чланова 65. и 67. или члана 69. става 2. Закона, о упућивању на одговарајуће мере заштите, као и о начину на који се лице на које се подаци односе може упознати са тим мерама;
– о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;
– о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде, права на приговор, као и права на преносивост података;
– о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива;
– о праву да се поднесе притужба Поверенику;
– о постојању аутоматизованог доношења одлуке, укључујући профилисање, али и најмање сврсисходне информације о логици која се притом користи, као и о значају и очекиваним последицама поменуте обраде по лице на које се подаци односе.
Обавеза пружања информација о обради обавезна је приликом обраде личних података по било ком законском основу, а не само по основу пристанка лица чији се подаци обрађују. Тако је 26. марта 2019. године председник Канцеларије за заштиту личних података Пољске одредио казну за руковаоца у износу од око 220.000,00 евра због кршења одредби Опште уредбе у погледу транспарентности обраде података, конкретно због пропуштања руковаоца да пре обраде личних података достави лицима чији се подаци обрађују (око шест милиона људи) све информације о обради које се тичу њихових личних података. Колико је ова законска обавеза руковаоца важна и друштвено значајна говори у прилог и чињеница да је у конкретном случају, од 90.000 људи којима је овај руковалац пружио информације пре обраде личних података, више од 12.000 приговорило било којој даљој обради њихових личних података.
4) Недвосмислени пристанак
Законом је експлицитно предвиђено да давање пристанка претпоставља јасну потврдну радњу. Дакле, иако Закон, идући у корак са временом и напредном технологијом, више не предвиђа искључиво писану изјаву као једину правно ваљану форму давања пристанка, исти инсистира на томе да пристанак мора да представља недвосмислену изјаву воље лица чији се подаци обрађују.
Уводне одредбе бр. 97 Опште уредбе наводе да пристанак обухвата и штиклирање поља приликом посете интернет страна, бирање техничких подешавања за услуге информационог друштва или другу изјаву или радњу којом се јасно показује у том контексту да лице на које се подаци односе прихвата предложену обраду својих података о личности, док ћутање, унапред штиклирано поље или неизвршавање активности због тога не треба сматрати пристанком. Иако Закон није имплементирао горенаведену уводну одредбу Опште уредбе, имајући у виду законску дефиницију пристанка, не видимо разлог за другачије тумачење или интерпретацију горенаведених случајева у пракси надлежних органа Републике Србије.
Пред тога, Радна група у Смерницама напомиње потребу да руковаоци сами обликују механизме давања пристанка тако да буду јасни и разумљиви за лица чији ће се подаци потенцијално обрађивати. Тако, у случају посете веб-сајту, само наставак коришћења веб-сајта не би требало да се тумачи као пристанак лица за обраду података о личности.
Чланом 15. став 1. Закона прописано је да руковаоци морају бити у могућности да предоче да је лице пристало на обраду својих података о личности. То практично значи да све док траје обрада наведених података, руковаоци су дужни да буду у могућности да докажу да је пристанак за обраду дат, а након завршетка обраде, доказ о истој не би требало даље да се чува, осим у случају постојања обавезе руковаоца да испуни одређене правне обавезе или ради постављања, остваривања или одбране правних захтева, при чему би доказ о пристанку могао да се чува све док такве обавезе буду примењиве за руковаоце.
РОК ТРАЈАЊА ПРИСТАНКА ЗА ОБРАДУ ПОДАТАКА О ЛИЧНОСТИ
Законом није уређено питање трајања пристанка за обраду података о личности. Међутим, може се закључити да питање трајања, односно важности првобитно датог пристанка зависи од околности под којима је пристанак дат и других фактора који могу да буду примењиви у сваком конкретном случају. Сходно упутствима из Смерница које се односе на одредбе Опште уредбе, које свакако могу бити корисне и за бољу интерпретацију Закона, најбоља пракса била би да се пристанак прибавља у одговарајућим интервалима, будући да би се поновним достављањем свих информација обезбедило да лице чији се подаци обрађују остане добро информисано о томе како се употребљавају његови подаци и како може да оствари своја законска права.
ОПОЗИВ ПРИСТАНКА ЗА ОБРАДУ ПОДАТАКА О ЛИЧНОСТИ
Члан 15. став 3. Закона регулише питање опозива пристанка. Лице на које се подаци односе има право да опозове пристанак у сваком тренутку. Оно што је битно напоменути јесте да опозив пристанка не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива и да је руковалац дужан да пре прибављања пристанка обавести лице о наведеном дејству опозива.
Такође, Закон прописује да опозивање, као и давање пристанка мора бити једноставно. Тако, када се пристанак даје путем интернета, кликом на опцију за давање пристанка, лицима чији се подаци обрађују мора да буде омогућено да на једнако једноставан начин могу да повуку тако дати пристанак, и то без икаквих штетних последица. У пракси постоји доста изазова везаних за могућност да се опозове пристанак на поменути начин, будући да обрађивачи морају да поседују адекватну техничку опрему и вештине како би у сваком конкретном случају могли да омогуће лицу такав начин опозива.
Уколико не постоји неки други законски основ за обраду података о личности од стране руковаоца, опозив пристанка за последицу мора да има брисање података о личности и престанак било какве друге активности у вези са подацима лица које је опозвало свој пристанак. Радна група у Смерницама наводи да, у случају да лице чији се подаци обрађују опозове пристанак, а руковалац жели да настави са обрадом личних података по другом законском основу, није могуће прећутно променити законски основ пристанка (који је опозван) у тај други законски основ. О свакој промени законског основа за обраду руковалац је дужан да обавести лице чији се подаци обрађују, као и да пружи информације о обради личних података из чланова 23. и 24. Закона, поштујући законско начело транспарентности.
ОБРАДА ПОДАТАКА О ЛИЧНОСТИ ЗАСНОВАНА НА ПРИСТАНКУ МАЛОЛЕТНОГ ЛИЦА
Ово питање је незаобилазно када се говори о пристанку као основу за обраду података о личности. Водећи се одредбама Опште уредбе, и наш законодавац је у новом закону уредио пристанак малолетног лица у вези са коришћењем услуга информационог друштва. То је свакако корак напред у односу на претходни закон, који ни на који начин није регулисао пристанак малолетног лица. Међутим, чини се да је Законом морало бити регулисано и питање пристанка малолетних лица за обраду личних података који се не односи на коришћење услуга информационог друштва, како не би и даље постојала потреба за консултовањем других прописа који уређују пословну способност малолетних лица. Због тога ће пристанак за обраду личних података дат од стране малолетних лица бити обрађен грануларно – као пристанак малолетног лица у вези са коришћењем услуга информационог друштва и као пристанак малолетног лица за обраду података који се не односи на услуге информационог друштва.
1) Пристанак малолетног лица у вези са коришћењем услуга информационог друштва
Услуга информационог друштва, сходно члану 4. став 1. тачка 23) Закона, јесте свака услуга која се уобичајено пружа уз накнаду, на даљину, електронским средствима на захтев примаоца услуга.
Имајући у виду горенаведену законску дефиницију, закључује се да је законодавац посебну пажњу посветио заштити личних података деце путем интернета. Сходно члану 16. ст. 1. и 2. Закона, малолетна лица која су навршила 15 година могу самостално да дају пристанак за обраду података о својој личности при коришћењу услуга информационог друштва. Ако се ради о малолетном лицу које није навршило 15 година, за обраду његових личних података пристанак мора дати родитељ који врши родитељско право, односно други законски заступник малолетног лица.
Чланом 16. став 3. Закона предвиђено је да руковалац мора да предузме разумне мере у циљу утврђивања да ли је пристанак дао родитељ који врши родитељско право, односно други законски заступник малолетног лица, узимајући у обзир доступне технологије.
Будући да Закон не прописује конкретне начине на које би руковаоци требало да утврђују да ли малолетна лица имају преко 15 година, као ни начине на које би требало да прикупљају пристанак родитеља и да утврђују нечије право на давање таквог пристанка, значи да сами руковаоци морају да одреде и систематизују механизме за реализацију ових обавеза. Радна група у Смерницама напомиње да приступ руковалаца у таквим ситуацијама мора бити сразмеран информацијама које прикупљају, што практично значи да су дужни да прикупљају само ограничене количине информација, у зависности од сваког конкретног случаја.
2) Пристанак малолетног лица за обраду података која није у вези са коришћењем услуга информационог друштва
Као што је већ напоменуто, Закон не уређује случајеве пристанка малолетног лица на тзв. офлајн–обраду података о личности, односно на обраду података која није у вези са коришћењем услуга информационог друштва, тј. пристанак лица на обраду података није уређен тако да успоставља јединствену старосну границу.
Различити прописи у Републици Србији прописују различите старосне границе за поједине правне послове и радње које могу да предузимају малолетна лица. Сходно члану 64. Породичног закона („Сл. гласник РС”, бр. 18/05 и 72/11 – др. закон), дете које није навршило 14. годину живота (млађи малолетник) може да предузима правне послове којима прибавља искључиво права, правне послове којима не стиче ни права ни обавезе и правне послове малог значаја. С друге стране, дете које је навршило 14. годину живота (старији малолетник), поред правних послова које може да предузме млађи малолетник, може да предузме и све остале правне послове уз претходну или накнадну сагласност родитеља, односно органа старатељства за законом одређене правне послове.
Наведеним чланом Породичног закона даље је прописано да дете које је навршило 15. годину живота може да предузима правне послове којима управља и располаже својом зарадом или имовином коју је стекло сопственим радом.
Имајући у виду горенаведено, јасно је да старосна граница малолетног лица за давање пристанка за офлајн–обраду података о личности није одређена. Међутим, ако се узму у обзир законске старосне границе малолетног лица за предузимање појединих правних послова, могло би се поћи од претпоставке да малолетно лице може да дâ свој пристанак за офлајн–обраду оних података о личности који би били неопходни за предузимање правних радњи које ова лица по закону могу да предузимају. У зависности од старосне границе малолетног лица која је прописана за предузимање појединих правних радњи, такав пристанак за офлајн–обраду података о личности могла би да дају како малолетна лица са тако и малолетна лица без навршених 14 година живота.
У сваком случају, имајући у виду ограничену пословну способност малолетних лица прописану законом, може се закључити да ће у веома малом броју случајева пристанак малолетног лица (које нема навршену 18. годину живота) за офлајн–обраду података о личности бити дозвољен без сагласности родитеља, односно органа старатељства за законом одређене правне послове.
Оставите одговор
Жао нам је, да би поставили коментар, морате бити пријављени.