Zakonom je predviđeno da pristanak građana na obradu podataka o ličnosti mora biti nedvosmislen, zatim i da su kompanije dužne da građanima detaljno objasne kako obrađuju podatke o ličnosti. Istovremeno kompanijama se daje čitav niz obaveza koje prethodnim zakonom nisu bile propisane.
Dok je u prethodnoj verziji Zakona bilo predviđeno da su kazne za zloupotrebu podataka o ličnosti 50.000 do milion dinara, sada se kazne kreću od 50.000 do dva miliona dinara.
Danilo Krivokapić iz „Share Fondacije“ za Insajder objasnio je da je novina i da svi državni organi moraju da imaju osobu koja je zadužena za zaštitu podataka o građanima.
Krivokapić je dodao da je u normativnom smislu usvajanjem ovog zakona napravljen pomak, ali da je problem njegova primena i pravna sigurnost građana. „Postupak zaštite prava nije jasan i to može da bude problem“, objasnio je.
Upitna primena Zakona
Na to da je ovaj Zakon samo „preslikana“ Opšta uredba o zaštiti podataka (GDPR) koja je 2016. godine usvojena u Evropskoj uniji, ranije je ukazivao poverenik Rodoljub Šabić, kao i nevladina organizacija „Share Fondacija“. Oni su ocenili da je ovaj Zakon doslovni prevod GDPR-a, pa je tako formalna usklađenost sa regulativom EU na najvišem nivou, ali je sama primena u Srbiji upitna.
Novim zakonom nije uređena oblast obrade podataka o ličnosti putem video nadzora, pa tako i dalje nema kontrole nad kamerama koje se nalaze na svakom koraku: u kafićima, restoranima, prodavnicama, bankama. Ne zna se gde ti snimci završavaju, niti ko može da im pristupi.
Na ovu činjenicu je skrenuo pažnju i sam Poverenik, koji je u Modelu zakona zaštite podataka o ličnosti koji je on napisao, ipak dao prostor odredbama o video nadzoru u poslovnim prostorima, privatnim stanovima, stambenim zgradama, kućama. Poverenik i deo civilnog sektora su ranije upozorili i na to da usvajanje ovakve verzije zakona predstavlja propuštenu šansu da se spreče moguće zloupotrebe JMBG-a građana i uspostavi efikasnija zaštita podataka u javnom sektoru.
Predstavnici Ministarstva pravde, koje je bilo predlagač ovog zakona, naveli su da se radi o „krovnom zakonu“, a da se za pojedinačne slučajeve očekuje regulisanje drugim zakonima.
Inače, prema Zakonu, predviđen je mehanizam da građani reaguju ukoliko neko zloupotrebi njihove podatke. Taj mehanizam je „pritužba“.
Iz Kancelarije Poverenika za zaštitu podataka o ličnosti ukazali su ranije na to da je pojam „pritužbe“ zapravo stran našem sistemu i da postoji uglavnom kao mehanizam zaštite unutar neke organizacije – na primer pritužba predsedniku suda na rad nekog pojedinačnog sudije.
Međutim, jedan od autora Zakona Saša Gajin rekao je ranije za Insajder da je pritužba „novi pravni lek koji se uvodi po uzoru na Regulativu EU“.
„Poverenik ima dve mogućnosti – ili da sam pokrene postupak zaštite, da ode u inspekciju, ili da to učini po pritužbi nekog lica. Na ova rešenja se kasnije nadovezuju i odredbe o prekršajima. U jednoj grupi slučajeva, onda kada se jednostavno može utvrditi da je pravo lica povređeno, Poverenik će moći da izriče novčane kazne neposredno, na osnovu prekršajnog naloga, u skladu sa Zakonom o prekršajima, a u drugoj grupi slučajeva on će podnositi zahtev za pokretanje prekršajnog postupka pred sudom“, rekao je Gajin tada za Insajder.
Evropska komisija je dala mišljenje o ovom Zakonu još pre nego što je on usvojen u Vladi. Tom prilikom Evropska komisija je navela da je problematična sama struktura tadašnjeg Nacrta zakona, zatim da je nerazumljiv, kao i da je problematična suština određenih zakonskih odredbi.
Šabić i „Share Fondacij“a su nedavno upozorili i na to da je u tekst Zakona uneta potencijalno neustavna odredba. Radi se o članu 40, koji propisuje ograničenje prava na privatnost i zaštitu podataka o ličnosti u određenim situacijama.
Član 40, koji Poverenik i „Share Fondacija“ smatraju neustavnim, propisuje u kojim slučajevima može biti ograničeno pravo na privatnost i zaštitu podataka o ličnosti. U pitanju su situacije kao što su zaštita nacionalne i javne bezbednosti, odbrane, zaštita nezavisnosti pravosuđa, zaštita prava i sloboda drugih.
Koliko je bitno da postoji zakon koji sveobuhvatno uređuje oblast zasitite podataka o ličnosti pokazuje i to da lični podaci u Srbiji neretko završe na društvenim mrežama ili naslovnim stranama tabloida. Međutim, odgovorni za dostavljanje ovih podataka, kako je pokazalo istraživanje Insajdera, prolaze bez krivične odgovornosti.
Brojne krivične prijave koje je Poverenik podneo za neovlašćeno prikupljanje ličnih podataka i dalje su bez epiloga, a još više zabrinjava činjenica da su sve prijave podnete zbog sumnji da su pojedinci u državnim institucijama prekršili pravo građana na privatnost.
Pravno ograničenje kojim se policiji, obaveštajnim agencijama ili privatnim kompanijama omogućava da zadiru u privatnost građana samo kada je to propisano zakonom izbrisano je iz Predloga zakona o zaštiti podataka o ličnosti.
„Share Fondacija“ je apelovala na poslanike da amandmanima vrate prvobitnu formulaciju kojom je predviđeno da se prava građana vezana za uvid, brisanje, izmenu i druge mere kontrole nad obradom njihovih podataka mogu ograničiti zakonom u slučaju zaštite nacionalne bezbednosti, odbrane, javne bezbednosti, prava i sloboda drugih. Međutim, to se nije dogodilo.
Kako je navedeno u saopštenju, izostavljanje takve odredbe iz usvojenog Zakona, omogućava državnim organima ili privatnim kompanijama koji rukuju ličnim podacima građana, da bez izričitog zakonskog ovlašćenja i po sopstvenom nahođenju ograniče prava građana.
„Formulacija koja svakome ko rukuje ličnim podacima građana nalaže da postupa u skladu sa zakonom nije fraza koja se može prevideti jer se obaveze rukovalaca podrazumevaju. Naprotiv, jedinu prepreku proizvoljnom uskraćivanju prava predstavlja upravo izričita odredba zakona koja strogo definiše kada rukovalac može da ograniči prava građana“, navela je Share Fondacija.
Podsetili su i da je takva obaveza ugrađena u član 42. Ustava Srbije u kom se navodi da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom, kao i da „svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe“.
Usvajanje novog Zakona o zaštiti podataka o ličnosti trebalo je da obezbedi građanima niz novih prava, kao što su pravo na ispravku, dopunu, brisanje, i ograničenje obrade i prenosivosti podataka, po uzoru na Opštu uredbu EU o zaštiti podataka ličnosti GDPR koja je počela da se primenjuje 25. maja.
Međutim, usvojeni Zakon o zaštiti podataka o ličnosti, očigledno predstavlja samo formalno i minimalno ispunjavanje obaveze prema Evropskoj uniji, dok se rešenja za neka od suštinskih problema u ovoj oblasti za sada ne nude.