Примена Закона о заштити података о личности у пракси ствара бројне недоумице, тако да ће неке од њих у овом тексту бити размотрене, а затим ће бити понуђена и могућа решења.
Иако је Закон о заштити података о личности („Сл. гласник РС”, бр. 97/2008, 104/2009 – др. закон, 68/2012 – одлука УС и 107/2012 – у даљем тексту: Закон), са изменама и допунама, већ десет година на снази, у пракси се и даље јављају многе дилеме у вези са његовом применом. Будући да још увек није усвојен нови Закон о заштити података о личности који би се ускладио са Општом уредбом о заштити података о личности Европске Уније, као и да се свакако очекује да ће и по усвајању новог закона бити одређен примерени vacatio legis, који ће одложити примену истог, јасно је да ће се постојећи закон примењивати и у догледној будућности.
И поред тога што не садржи превелики број чланова, усвајање овог закона пробудило је свест о значају заштите података о личности и у ову област увело неке европске стандарде који се у пракси нису у пуној мери поштовали од стране субјеката на које се овај закон односи.
С друге стране, баш због неких штурих одредби у којима је законодавац покушао да на што свеобухватнији начин покрије све до тада усвојене стандарде, Закон је отворио простор за различита тумачења и одређене дилеме у његовој примени.
У наставку текста разматраће се дилеме које се тичу:
– разграничења, односно дефинисања ситуација у којима руковаоци података могу да обрађују податке о личности без пристанка лица чији се подаци обрађују;
– начела обраде које руковаоци у праски често занемарују, а чија примена је неопходна приликом обраде података;
– података о личности који у одређеним случајевима не потпадају под режим примене овог закона;
– пристанка лица чији се подаци обрађују, као основа за обраду података о личности.
Пре свега, да би се у потпуности разумела проблематика којом се овај чланак бави, односно како би читаоци које ова тема директно дотиче могли да утврде да ли њихове ситуације из праксе имају такав облик да потпадају под примену овог закона, потребно је поћи од корена овог закона, односно дефиниције податка о личности, обраде података о личности, руковаоца, обрађивача и корисника података.
Чланом 3. став 1 тачка 1) Закона прописано је да је податак о личности свака информација која се односи на физичко лице, без обзира на облик у коме је изражена и на носач информације (папир, трака, филм, електронски медиј и сл.), по чијем налогу, у чије име, односно за чији рачун је информација похрањена, датум настанка информације, место похрањивања информације, начин сазнавања информације (непосредно, путем слушања, гледања и сл., односно посредно, путем увида у документ у којем је информација садржана и сл.), или без обзира на друго својство информације.
Сходно члану 3. став 1 тачка 3) Закона, обрада података је свака радња предузета у вези са подацима као што су: прикупљање, бележење, преписивање, умножавање, копирање, преношење, претраживање, разврставање, похрањивање, раздвајање, укрштање, обједињавање, уподобљавање, мењање, обезбеђивање, коришћење, стављање на увид, откривање, објављивање, ширење, снимање, организовање, чување, прилагођавање, откривање путем преноса или на други начин чињење доступним, прикривање, измештање и на други начин чињење недоступним, као и спровођење других радњи у вези са наведеним подацима, без обзира на то да ли се врши аутоматски, полуаутоматски или на други начин.
Из горенаведених законских дефиниција може да се закључи да је законодавац на доста широк начин дефинисао појмове „податак о личности” и „обрада података”, и то тако да се, с једне стране, сваки податак који на било који начин може да се повеже са физичким лицем сматра податком о личности, док се, с друге стране, свака радња предузета у вези са подацима о личности сматра обрадом података. Тиме је могућност за избегавање одговорности и обавеза утврђених овим законом од стране субјеката који предузимају било које радње у вези са подацима о личности, а то се пре свега односи на руковаоце, сведена на минимум.
Поред тога, чланом 3. ставом 1. тачкама 5), 7) и 8) Закона прописано је да је руковалац података физичко или правно лице, односно орган власти који обрађује податке, корисник података физичко или правно лице, односно орган власти, који је законом или по пристанку лица овлашћен да користи податке, а обрађивач података физичко или правно лице, односно орган власти, коме руковалац на основу закона или уговора поверава одређене послове у вези са обрадом.
Сходно претходно наведеном, јасно је да је руковалац носилац обраде података о личности, односно лице које, у складу са основима за обраду и условима за обраду одређеним Законом, прикупља и обрађује податке о личности.
С друге стране, корисник података може да буде овлашћен да користи податке о личности прикупљене од стране руковаоца: (1) по основу Закона и само у сврхе утврђене Законом или (2) по основу пристанка лица на обраду, које то лице даје руковаоцу података.
Обрађивач података пак може да врши обраду података само као поверене послове од стране руковаоца, искључиво у име и за рачун руковаоца, а у границама одређеним Законом или уговором закљученим са руковаоцем.
Дакле, решавање дилеме која се односи на основ за обраду података тиче се пре свега руковаоца података који прибављају податке од лица чији се подаци обрађују или на неки други начин утврђен Законом, тако да су управо руковаоци она лица која питање обраде података највише дотиче. То не значи да корисници и обрађивачи података немају обавезе утврђене Законом, али они нису предмет разматрања у овом тексту.
1. Разграничење ситуација у којима руковаоци података могу обрађивати податке о личности без пристанка лица чији се подаци обрађују
Члановима 10–13. Закона извршена је подела основа за обраду података на две групе: обрада података са пристанком лица чији се подаци обрађују и обрада података без пристанка лица чији се подаци обрађују.
Обрада са пристанком конципирана је као правило, при чему лице чији се подаци обрађују пристанак даје писмено или усмено на записник.
С друге стране, обрада без пристанка дозвољена је у следећим ситуацијама:
1) да би се остварили или заштитили животно важни интереси лица или другог лица, а посебно живот, здравље и физички интегритет;
2) у сврху извршења обавеза одређених Законом, актом донетим у складу са Законом или уговором закљученим између лица и руковаоца, као и ради припреме закључења уговора;
3) у сврху прикупљања средстава за хуманитарне потребе;
4) у другим случајевима одређеним овим законом, ради остварења претежног оправданог интереса лица, руковаоца или корисника;
5) када обраду података врши орган власти, ако је обрада неопходна ради обављања послова из своје надлежности, одређених Законом, у циљу остваривања интереса националне или јавне безбедности, одбране земље, спречавања, откривања, истраге и гоњења за кривична дела, затим економских, односно финансијских интереса државе, заштите здравља и морала, заштите права и слобода и другог јавног интереса.
Оно што се у пракси показало као најпроблематичније за руковаоце јесте питање разграничења основа за обраду података, односно утврђивање граничних ситуација у којима је дозвољена обрада података без пристанка лица чији се подаци обрађују.
Ово питање разграничења односи се пре свега на основ за обраду података без пристанка, утврђен чланом 12. став 1. тачка 2) Закона, када се обрада врши:
– у сврху извршења обавеза одређених Законом, актом донетим у складу са Законом,
– у сврху извршења обавеза одређених уговором закљученим између лица и руковаоца,
– као и ради припреме закључења уговора.
Када руковалац врши обраду података ради извршења обавеза одређених Законом и актом донетим у складу са Законом, није неопходан пристанак лица чији се подаци обрађују. Међутим, било која обрада података која није неопходна ради извршења обавеза одређених Законом подлеже претходном пристанку лица чији се подаци обрађују.
На пример, уколико је руковалац приређивач наградне игре, истом је основ за обраду података о добитнику наградне игре извршење обавезе утврђене Законом о играма на срећу и Правилником о начину вођења базе података о лицима која су остварила добитак код приређивача игара на срећу, а то је вођење базе података о добитницима, која садржи, између осталог, име и презиме добитника, ЈМБГ и податке о пребивалишту добитника.
У конкретном примеру обрада таксативно побројаних података у сврху вођења базе података о добитницима представља обавезу утврђену Законом и Правилником донетим у складу са Законом и за исту није неопходан претходни пристанак лица чији се подаци обрађују.
С друге стране, обраду било којег податка који не чини базу података о добитницима, утврђену наведеним законом или правилником, односно обраду података у било које друге сврхе осим у сврху утврђену Законом и Правилником (у овом примеру у сврху вођења базе података о добитницима) није могуће вршити без претходног пристанка лица чији се подаци обрађују, у овом случају добитника наградне игре.
Такође, када руковаоци обрађују податке о личности у сврху извршења обавеза одређених уговором закљученим између лица чији се подаци обрађују и руковаоца, као и ради припреме закључења уговора, било која обрада података која није потребна за извршење уговора или која није неопходна за припрему закључења уговора не може да се врши без претходног пристанка лица чији се подаци обрађују.
Тако, уколико је руковалац компанија која има закључен уговор са физичким лицем у вези са пружањем одређене специфичне услуге, наведена компанија не може да врши понуду нових производа и услуга том физичком лицу коришћењем његових података прибављених приликом припреме или извршења уговора (нпр. телефон, имејл), без претходног писаног пристанка тог лица, будући да се таква обрада не би вршила у сврху извршења обавеза одређених уговором, када је дозвољена обрада без пристанка лица, већ у сврху директног маркетинга, за који је неопходан пристанак лица чији се подаци обрађују.
2. Начело сврсисходности и начело сразмерности обраде података
Без обзира на основ обраде података о личности, руковалац има обавезу да, сходно члану 8. став 1. тачке 6) и 7) Закона, води рачуна о:
– начелу сврсисходности, односно неопходности обраде података за остварење сврхе, и
– начелу сразмерности сврхе обраде у односу на број и сврху података.
То практично значи да је руковалац, примењујући наведена начела, дужан да пре почетка обраде података изврши процену да ли је, с једне стране, обрада одређеног податка о личности потребна за остварење сврхе за коју се подаци обрађују, а с друге стране, чак и ако је обрада податка потребна за остварење сврхе, да ли би обрада тог податка била прекомерна у односу на број и сврху за коју врши обраду података.
С обзиром на то да, сходно горенаведеним начелима, није дозвољена непотребна и несразмерна обрада, лице чији се подаци обрађују имало би право да, у случају несврсисходне и/или несразмерне обраде података, захтева брисање таквих података.
Тако, уколико је руковаоцу основ за обраду података пристанак лица, а сврха обраде директни маркетинг, свакако да су телефонски број и имејл лица чији се подаци обрађују – подаци који су неопходни за остварење сврхе обраде и сразмерни су броју и сврси обраде. Међутим, обрада податка о личности, попут ЈМБГ-а, не би спадала у податке који су неопходни за остварење сврхе обраде, па би лице чији се податак обрађује, чак и када је дало сагласност за обраду, имало право да у сваком тренутку захтева од руковаоца брисање таквог податка о личности.
Оно што је врло важно истаћи јесте да је, без обзира на основ обраде података о личности, руковалац дужан да претходно формира збирку података о личности у Централном регистру Повереника за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник), и то тако што ће Поверенику иницијално доставити обавештење о намери успостављања збирке података о личности најкасније 15 дана пре започињања обраде, односно пре успостављања збирке података о личности.
Повереник, односно служба Повереника, након пријема обавештења о намери успостављања збирке података о личности, у поступку претходне провере, између осталог, утврђује и да ли постоји законит основ за обраду података, као и да ли је, примењујући горенаведена начела, намеравана обрада података сврсисходна, односно сразмерна у односу на сврху за коју се обрада врши.
У случају позитивне оцене Повереника у поступку претходне провере, руковалац ће имати обавезу регистровања збирке података о личности у Централном регистру који се води код Повереника, након чега може да започне са обрадом података о личности у складу са основом, сврхом, начином и заштитом које су предвиђене у збирци података о личности.
Законом су предвиђени и изузеци од ове процедуре, али исти нису предмет разматрања у овом тексту.
Обрађивање података о личности супротно овом закону, као и недостављање обавештења о намери успостављања збирке података о личности у претходно наведеном року, подлеже прекршајној одговорности, за коју је прописана новчана казна у распону од 50.000 до 1.000.000 динара.
Подаци о личности који под одређеним условима не потпадају под режим примене овог закона
Законодавац је кроз овај закон препознао да постоје подаци који под одређеним условима не потпадају под примену истог. Тако је чланом 5. Закона прописано да се одредбе Закона о условима за обраду, као и о правима и обавезама у вези са обрадом, не примењују на обраду:
1) података који су доступни свакоме и објављени у јавним гласилима и публикацијама или приступачни у архивама, музејима и другим сличним организацијама;
2) података који се обрађују за породичне и друге личне потребе и нису доступни трећим лицима;
3) података који се о члановима политичких странака, удружења, синдиката, као и других облика удруживања, обрађују од стране тих организација, под условом да члан дâ писмену изјаву да одређене одредбе овог закона не важе за обраду података о њему за одређено време, али не дуже од времена трајања његовог чланства;
4) података које је лице, способно да се само стара о својим интересима, објавило о себи;
с тим да је Закон увео ограничење предвиђајући да ће се наведене одредбе Закона примењивати и на побројане податке уколико очигледно претежу супротни интереси лица чији се подаци обрађују, што је потребно ценити у сваком конкретном случају.
Највеће недоумице које се за руковаоце јављају у пракси у овом погледу јесу оне које се односе на изузетак под тачком 4) члана 5. Закона – подаци које је лице објавило о себи, тј. да ли руковаоци могу и у које сврхе могу да обрађују податке које је лице објавило о себи.
Будући да ови подаци не потпадају под примену основних одредби овог закона (изузев уколико очигледно не претежу интереси лица чији се подаци обрађују), руковалац може да их обрађује без пристанка тог лица и без обавезе да пре обраде податка формира збирку података о личности у Централном регистру Повереника.
Тако, уколико је руковалац правно лице, он може да искористи податак који је лице чији се подаци обрађују учинило јавно доступним (нпр. имејл-адресу објављену путем друштвене мреже), те исти обрађивати на више начина. Овде треба имати у виду дефиницију обрађивања из члана 3. став 1. тачка 3) Закона, која практично сваку радњу руковаоца у вези са податком дефинише као обрађивање (прикупљање, бележење, преписивање, умножавање, копирање, преношење, претраживање, разврставање, похрањивање, чување и др.).
Међутим, иако се предметни закон не примењује на наведене податке из тачке 4) члана 5. Закона (изузев уколико очигледно не претежу интереси лица чији се подаци обрађују), то не значи да обрада тих података може да се врши у било које сврхе, будући да је руковалац дужан да поштује императивне одредбе других закона.
У конкретним примеру, иако је физичко лице учинило јавно доступном своју имејл-адресу, руковалац – правно лице или предузетник, сходно члану 63. Закона о оглашавању („Сл. гласник РС”, бр. 6/2016) и члану 38. Закона о заштити потрошача („Сл. гласник РС”, бр. 62/2014 и 6/2016), не би имали право да се обраћају поменутом лицу ради директног оглашавања, односно ради понуде робе или услуга, без претходног пристанка тог лица.
Дакле, из наведеног примера јасно произлази да руковаоци и друга лица на која се Закон примењује не могу и не смеју да посматрају заштиту података о личности само са становишта овог закона, већ су дужни да приликом одлучивања о евентуалној обради и сврси обраде консултују и друге императивне прописе Републике Србије.
Предметни закон је општи закон који регулише заштиту података о личности и као такав се увек примењује, осим уколико су посебним законима одређена питања на другачији начин уређена, када одредбе тог закона имају примат у односу на овај матични Закон (lex specialis derogat legi generali).
3. Пристанак лица чији се подаци обрађују као основ за обраду података о личности
Једна од највећих дилема која се јавља приликом примене важећег закона јесте и пристанак лица чији се подаци обрађују, као основ за обраду података о личности, и то у два правца:
– форми пристанка лица чији се подаци обрађују и
– начину обавештавања лица чији се подаци обрађују о информацијама из члана 15. Закона.
Што се тиче прве ситуације, односно форме у којој лица чији се подаци обрађују дају пристанак на обраду података, члан 10. став 2. Закона јасно прописује да пристанак може да се да (1) писмено или (2) усмено на записник.
Оно што је пракса показала јесте да многи руковаоци погрешно тумаче Закон тако да под писменим пристанком подразумевају и пристанак дат нпр. путем обичне имејл-поруке или претходним кликтањем – штиклирањем на квадратић који се налази на сајту руковаоца, па су своје форме сагласности конципирали на такав начин.
Међутим, управо супротно, горенаведене радње никако не могу да се тумаче као законито дат пристанак за обраду података о личности, при чему је пракса Повереника недвосмислено показала да се писмени пристанак тумачи јасно и језички, како је то Закон прописао, па се једино потписан пристанак од стране лица чији се подаци обрађују сматра писменим пристанком. Под писменим пристанком подразумева се и пристанак дат у електронској форми, али само у складу са одредбама закона којима се уређује електронски потпис.
Оно што свакако очекује Србију приликом доношења новог закона о заштити података о личности јесте усклађивање са Општом уредбом о заштити података о личности Европске Уније, па ће пристанак за обраду података бити конципиран на много ширем нивоу, без обавезне писане форме, кроз јасну, недвосмислену потврдну радњу којом лице даје пристанак за обраду података, тако да ће се тада давање пристанка и у претходно наведеним примерима (нпр. штиклирање квадратића на сајту руковаоца) сматрати пристанком датим у складу са Законом.
До тада ће руковаоци имати обавезу придржавања овог закона, као и прибављања пристанка искључиво писаним путем (што укључује и електронски потпис) или пристанка датог усмено на записник, с тим да пристанак дат усмено на записник подразумева записник састављен у складу са одредбама Закона о општем управном поступку, по којем постоји обавеза лица да такав записник потпише, што практично значи да и у том случају пристанак мора да прође кроз писану форму.
Што се тиче друге ситуације, руковаоци података о личности у пракси често имају дилему у вези са формом, односно начином обавештавања лица које даје писмени пристанак за обраду података о информацијама о обради из члана 15. Закона.
Наиме, чланом 10. став 1. Закона прописано је да је пре него што лице чији се подаци обрађују да свој пристанка за обраду руковалац дужан да му пружи обавештење о обради у смислу члана 15. Закона.
Сходно члану 15. став 1. Закона, руковалац је дужан да пре прикупљања података лице на које се подаци односе упозна са:
1) својим идентитетом, односно именом и адресом или фирмом, односно идентитетом другог лица које је одговорно за обраду података у складу са Законом;
2) сврхом прикупљања и даље обраде података;
3) начином коришћења података;
4) идентитетом лица или врстом лица која користе податке;
5) обавезношћу и правним основом, односно добровољношћу давања података и обраде;
6) правом да пристанак за обраду опозове, као и правним последицама у случају опозива;
7) правима која припадају лицу у случају недозвољене обраде;
8) другим околностима чије би несаопштавање лицу на које се односе подаци, односно другом лицу, било супротно савесном поступању.
Будући да је чланом 15. став 5. прописано да се, у случају писменог пристанка на обраду, обавештење о обради мора дати писменим путем, осим ако лице чији се подаци обрађују пристане на усмено обавештење, јасно је да руковаоци по правилу морају да користе писмену форму за ово обавештење, а врло је пожељно да се та форма користи и у случају када лице чији се подаци обрађују да своју сагласност на усмено упознавање, с обзиром на тешкоће на које би руковалац наишао у случају евентуалног поступка за доказивање таквог пристанка.
Како је, ради избегавања било каквих негативних консеквенци, за руковаоце круцијално да имају чврст доказ да су извршили обавештење лица од којег прибављају писани пристанак, и то пре прикупљања података, пракса је показала да је инкорпорација обавештења о обради, као интегралног дела текста писане сагласности лица чији се подаци обрађују, у смислу члана 15. Закона, најефикаснији и најсигурнији доказ да су лица упозната са поменутим обавештењем о обради.
Како би се избегла свака сумња треба напоменути да се обавеза обавештења о обради, у смислу члана 15. Закона, примењује и у случају других основа за обраду података о личности, а поменути члан уређује да у одређеним ситуацијама и под одређеним условима ова обавеза обавештавања лица чији се подаци обрађују неће постојати, али такве ситуације нису предмет подробније анализе у овом тексту.
Оставите одговор
Жао нам је, да би поставили коментар, морате бити пријављени.