IVAN TRIŠOVIĆ: „Najvažnija je sopstvena odgovornost u zaštiti podataka o ličnosti“

Društvene mreže, internet i nove tehnologije čine da veoma često na dnevnom nivou iza sebe ostavimo sijaset digitalnih tragova koji su par ekselans podaci o ličnosti. Nešto činimo potpuno nesvesno, dok na nešto pristajemo potpuno svesno...

1253
- Sponzor članka -hikvision srbija

Uvek imamo brojne nedoumice i pitanja o ličnim podacima, od toga zašto su bitni, kako možemo da se zaštitimo, ko je garant naše bezbednosti, koja su prava, pa sve do toga ko i kako može da ugrozi našu bezbednost i privatnost.

Svedoci smo da je razvoj tehnologije uvek bio nekoliko koraka ispred zakonske regulative, te se sve većom upotrebom video nadzora i drugih tehnologija koje mogu biti invazivne na privatnost pojedinaca, otvara niz kontroverznih pitanja.

No, poći ćemo od onih najvažnijih u domenu zaštite podataka o ličnosti u kontekstu upotrebe video nadzora, na koja će, za magazin SecuritySEE dati odgovore Ivan Trišović –  Šef Odseka u Sektoru za nadzor nad zaštitom podataka o ličnosti, Službe Poverenika.

1. Iako je već na snazi par godina, većina ipak nije dovoljno upućena u to šta tačno predstavlja ZZPL/GDPR. Zašto je donet, kome je namenjen i kakve veze ima sa video nadzorom?

Pođimo od GDPR-a, jer ovaj propis prethodi našem ZZPL-u. GDPR, odnosno Opšta uredba o zaštiti podataka jeste opšti pravni akt na kojem se temelji pravni sistem zaštite podataka u EU. Ova uredba stupila je na mesto stare Direktive o zaštiti podataka iz 1995. ZZPL je naš ekvivalent GDPR-u. Ali, ne treba ga posmatrati isključivo u tom svetlu. Naprotiv. Članom 42. našeg Ustava zajemčena je zaštita podataka o ličnosti i propisano je da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom, da je zabranjena i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike, na način predviđen zakonom. Ustav propisuje da svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe. Dakle, naš ZZPL proizilazi iz Ustava i detaljno razrađuje ovu normu, ali i niz drugih. Tu leži njegova snaga. Iako neodoljivo podseća na GDPR, njegovo glavno uporište je Ustav. I tu je deo odgovora na Vaše pitanje zašto je ZZPL donet.

S druge strane, ZZPL je donet u procesu usklađivanja sa pravom EU, čiji je GDPR važan element. ZZPL je namenjen zaštiti osnovnih prava i sloboda fizičkih lica, naročito njihovog prava na zaštitu podataka o ličnosti.

Definicija video nadzora, kao sistema optičke kontrole i nadziranja putem kamera, koji mogu da postave i koriste javne vlasti ali i privatna lica, govori sama za sebe o vezi sa ZZPL-om. Ali, na ovom mestu podsetimo Vaše čitaoce na jedan važan pojam a to je obrada podataka o ličnosti.

Već prvi član ZZPL-a propisuje da se ovim zakonom uređuje pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti itd. Dakle, ključna je obrada, koja je prema slovu ovog zakona svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, a to su, između ostalog,  prikupljanje, beleženje, pohranjivanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje. U video nadzoru se mogu steći sve ove radnje.

2. Da li mislite da smo uspešno implementirali evropski GDPR i koliko smo bili spremni tada, a koliko sada?

U vezi sa pitanjem o uspešnosti primene GDPR-a i spremnosti na to, za ovako kompleksan i sistemski zakon objektivno je potrebno malo više vremena kako bi pustio čvršći koren u pravnom poretku.

…Svaka obrada naših podataka koja nije zakonita jeste vid ugrožavanja naših podataka.

3. Šta sve spada u lične podatke? Kako sve mogu biti ugroženi?

Podaci o ličnosti u smislu i duhu ovog zakona su dosta široko postavljeni. Međutim, ovakva postavka se pokazuje kao ispravna, pre svega imajući u vidu sve šire mogućnosti ugrožavanja, odnosno mogućnosti povreda podataka o ličnosti koje nam donose nove tehnologije i razvitak društva. Širina norme garantuje njenu dugotrajniju primenu.

Prema slovu ZZPL-a  podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta. Na ovom mestu je jasna intencija zakonodavca da obuhvati što širi spektar i predvidi moguće rizike.

Što se tiče ugroženosti, obim ovog našeg intervjua, pa i celog izdanja ne bi bio dovoljan da se pobroje svi rizici. Ali osvrnimo se na nešto najvažnije a to je naša, sopstvena odgovornost u zaštiti svojih podataka o ličnosti. Društvene mreže, internet i nove tehnologije čine da veoma često na dnevnom nivou iza sebe ostavimo sijaset digitalnih tragova koji su par ekselans podaci o ličnosti. Nešto činimo potpuno nesvesno, dok na nešto pristajemo potpuno svesno, recimo prilikom registracija na web sajtovima.

Zloupotreba podataka o ličnosti putem interneta je jedno posebno poglavlje. S druge strane, rukovaoci podataka o ličnosti mogu prikupljati i one podatke koji im nisu neophodni, jednostavno rečeno prekomerni su.

Šire posmatrano, svaka obrada naših podataka koja nije zakonita jeste vid ugrožavanja naših podataka. Obrada mora biti zakonita. Naposletku, ukoliko pod ugrožavanjem podataka o ličnosti podrazumevamo povredu podataka o ličnosti, predviđenu ZZPL-om, onda se radi o povredi bezbednosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani.

4. Na koji način se sve mogu kompromitovati podaci putem sistema video nadzora? Koja je najčešće utvrđena „praksa“ povrede podataka putem CCTV-a?

Podaci o ličnosti obrađivani putem sistema video nadzora se pre svega mogu kompromitovati samim video nadzorom. Mislim na činjenicu da video nadzor mora biti zakonit, u smislu da je ugrađen od strane licenciranog subjekta i da je izrađen Akt o proceni rizika u zaštiti lica, imovine i poslovanja kao i drugi akti, poput plana tehničke zaštite, projekta itd.

Ukoliko je video nadzor ugrađen u skladu sa propisima, može se desiti da se video zapisi, odnosno fotografije otkriju, dostave trećim licima i slično, da završe na internetu. U praksi se dešava da video nadzor pokriva prostor koji ne sme biti pokriven, poput svlačionice i slično. Naročito je intrigantna problematika video nadzora u stambenim zajednicama. Ova oblast zahteva sistemska rešenja i zakonsko uobličavanje.

5. Koja su moja opšta prava kao nosioca ličnih podataka u kontekstu ZZPL-a, a koja kada dođe do povrede podataka? Kome se mogu obratiti? I da li mogu i u kojim slučajevima tražiti odštetu?

Sklon sam da opšta prava posmatram u svetlu načela obrade podataka o ličnosti, koja pre svega propisuju da se podaci o ličnosti moraju obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se odnose.

Dakle, Vaše osnovno pravo je pravo na zakonitu obradu, a obrada je zakonita ukoliko se vrši u skladu sa ZZPL-om, odnosno drugim zakonom kojim se uređuje obrada.

Nadalje, imate pravo da se podaci o Vašoj ličnosti prikupljaju  u svrhe koje su konkretno određene, izričite, opravdane i zakonite, kao i da budu ograničeni na ono što je neophodno u odnosu na svrhu obrade.

ZZPL naravno propisuje konkretna prava, koja su brojna. Tako na primer, između ostalog  imate pravo da od rukovaoca zahtevate informaciju o tome da li obrađuje vaše podatke o ličnosti, pristup tim podacima i kopiju dokumenta u kojem su sadržani ovi podaci.

Imate pravo da zahtevate i informacije o svrsi obrade, vrsti podataka o ličnosti koji se obrađuju, o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, o predviđenom roku čuvanja itd.

Takođe, imate pravo da se vaši podaci o ličnosti izbrišu, ukoliko su ispunjeni zakonski uslovi za to. Na primer, u slučaju da podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani.

Pored ovih prava i niza drugih, za čije ostvarivanje, podvlačim, moraju biti ispunjeni zakonski uslovi, imate pravo na sudsku zaštitu ako smatrate da vam je suprotno ovom zakonu, od strane rukovaoca ili obrađivača, radnjom obrade vaših podataka o ličnosti povređeno pravo propisano ovim zakonom. Vredno je istaći da podnošenje tužbe sudu ne utiče na vaše pravo da pokrenete druge postupke upravne ili sudske zaštite.  Možete se dakle obratiti Povereniku i/ili sudu, dok ukoliko ste pretrpeli materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona imate pravo na novčanu naknadu štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao, a koju možete ostvariti preko suda. Prijave su česte i po njima svakodnevno postupaju ovlašćena lica Poverenika. Prijava se može podneti bilo elektronski bilo pismeno, oba vida se podjednako i sa dužnom pažnjom uzimaju u razmatranje. Kao što smo rekli, građani se mogu obratiti Povereniku, a mogu i podneti tužbu sudu, što  ne utiče na njihovo pravo  da pokrenu druge postupke upravne ili sudske zaštite.

Podaci o ličnosti moraju obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se odnose.

6. Savet za privredna društva: Kako se CCTV može koristiti: sa jedne strane da ispuni svoju svrhu, a sa druge strane da ne bude invazivan i ne ugrozi privatnost fizičkih lica? Koji su koraci?

Obrada podataka o ličnosti putem video nadzora mora kao i svaka druga obrada biti zakonita, dakle mora biti ispunjen jedan od uslova propisanih članom 12. ZZPL i mora biti u skladu sa nečelima obrade, propisanih članom 5. ovog zakona. Prava mera između prava i sloboda lica i prekomerne invazivnosti zavisi od slučaja do slučaja i ne može se paušalno određivati. Suština je u tome da se ne sme izlaziti van svrhe obrade. Podsećam vas da naša zemlja za sada nema poseban zakon koji bi regulisao oblast video nadzora, što ima presudan uticaj na oblast obrade podataka o ličnosti putem video nadzora.

7. Da li je i pod kojim uslovima potrebna saglasnost lica/ zaposlenih za uvođenje video nadzora? Ako da, u kojim slučajevima bi se to tražilo? Ako ne, zašto saglasnost nije validna, obzirom da se za obradu skoro uvek traži?

Saglasnost, odnosno pristanak zaposlenih nije potreban ukoliko je video nadzor uveden u skladu sa Zakonom o privatnom obezbeđenju, koji uređuje između ostalog i oblast video nadzora. Ovim zakonom predviđeno je da se planiranje sistema tehničke zaštite vrši na osnovu procene rizika koju je izradilo pravno ili fizičko lice sa odgovarajućom licencom, kao i da tehnička sredstva moraju u pogledu kvaliteta, sigurnosti i garancija ispunjavati zakonske norme i tehničke standarde koji važe u našoj zemlji.  Balansiranje interesa da se zaštiti imovina, poslovanje i privatnost je svakako težak zadatak čije se rešenje mora tražiti u Zakonu o privatnom obezbeđenju, odnosno njegovoj doslednoj primeni.

8. Da li ista pravila važe i za maloletna lica? Da li se sa podacima maloletnih lica i dece podjednako postupa ili postoje neke posebne mere zaštite podataka prikupljenih video nadzorom?

Jedan od poslova Poverenika, propisan ZZPL-om jeste staranje o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom, a posebno ako se radi o obradi podataka o maloletnom licu. ZZPL predviđa  da maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva, dok ako se radi o maloletnom licu koje nije navršilo 15 godina, pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik. ZZPL takođe predviđa obavezu rukovaoca da preduzme razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.

9. Shodno vašem iskustvu, koliko su ljudi svesni rizika koji proizilazi korišćenjem video nadzora, a pogotovu postavljanjem na neodgovarajuća i neprikladna mesta?

Iskustvo ukazuje da su građani svesni ovih rizika, naročito imajući u vidu veliko interesovanje javnosti za glasine da će u Beogradu od strane MUP-a biti postavljeno oko 1.000 video-kamera na oko 800 pozicija u narednih nekoliko godina, te da će ove kamere imati softvere za prepoznavanje lica.

Ta vest iz januara 2019. godine uznemirila je duhove i praktično inicirala čitav niz događaja. Veoma brzo organizovan je sastanak predstavnika MUP-a i Službe Poverenika na kojem je predstavnicima MUP-a ukazano da u pogledu uvođenja ovakvog sistema MUP treba da ima u vidu  obavezu sprovođenja procene uticaja na zaštitu podataka o ličnosti i obavezu prethodnog pribavljanja mišljenja Poverenika.

Iskoristio bih prvi deo vašeg pitanja da ukažem na ovu složenu problematiku. Naime, još jednom vas podsećam da naša zemlja još uvek nema poseban zakon koji bi regulisao oblast video nadzora, a time i oblast obrade podataka o ličnosti putem video nadzora.

U svakom slučaju, dva su osnovna oblika video nadzora, prvi, „klasični“ koji se koristi već decenijama i koji upotrebljavaju recimo policija i komunalna milicija u okviru obavljanja poslova iz svojih nadležnosti, kao i video nadzor koji se sprovodi prema pomenutom Zakonu o privatnom obezbeđenju. Ovaj oblik video nadzora ima pravni osnov i nije sporan, pravni osnov mu je u Zakonu o policiji i Zakonu o evidencijama i obradi podataka u oblasti unutrašnjih poslova, Zakonu o komunalnoj miliciji, odnosno u Zakonu o privatnom obezbeđenju.

Ivan Trišović - Šef Odseka u Sektoru za nadzor nad zaštitom podataka o ličnosti, Službe Poverenika
Ivan Trišović – Šef Odseka u Sektoru za nadzor nad zaštitom podataka o ličnosti, Službe Poverenika

Drugi oblik video nadzora, koga možemo nazvati kvalifikovanim ili sofisticiranim video nadzorom, je video nadzor kojim se vrši obrada biometrijskih podataka. Ističem da u ovom trenutku nema pravnog osnova za uvođenje ovog oblika video nadzora.

U vezi sa tim, Poverenik je u junu 2019. godine po službenoj dužnosti pokrenuo postupak nadzora nad sprovođenjem i izvršavanjem ZZPL od strane MUP-a, a povodom uspostavljanja kvalifikovanog video nadzora, koji u smislu ZZPL predstavlja uvođenje nove informacione tehnologije u obradi podataka o ličnosti. Tom prilikom utvrđeno je i konstatovano zapisnikom da MUP ne raspolaže ovom tehnologijom. Preciznije, tačno je da je MUP u to vreme nabavio više stotina kamera sa visokom rezolucijom, ali istovremeno nije nabavljen odgovarajući softver koji bi omogućio funkcionisanje ovih kamera na sofisticiran način.

Utvrđeno je da trenutno instalirana softverska verzija sistema video nadzora nema mogućnost korišćenja funkcionalnosti prepoznavanje lica, odnosno da nije izvršena nabavka i instalacija softverske verzije sistema sa potrebnim licencama za aktivaciju funkcionalnosti prepoznavanja lica.

Takođe, krajem 2021. godine Poverenik je izvršio još jedan inspekcijski nadzor u sedištu MUP-a, ovaj put povodom sumnji da su pripadnici MUP-a putem sofisticiranih uređaja sa mogućnošću prepoznavanja lica izvršili identifikaciju većeg broja lica, kojima su nakon toga izricani prekršajni nalozi. Preciznije, predmet ovog nadzora bila je obrada podataka o ličnosti učesnika protesta održanih 04.12.2021. godine i tokom protesta održanih u periodu pre toga a putem uređaja za snimanje za koje se sumnja da koriste tehnologiju prepoznavanja lica radi jedinstvene identifikacije, na osnovu koje su potom izdati prekršajni nalozi i podneti zahtevi za pokretanje prekršajnog postupka. Utvrđeno je i konstatovano zapisnikom da su snimanja navedenih protesta u Beogradu vršena ručnim terminalima visoke klase za širokopojasne radio mreže, odnosno radio stanicama novije generacije, tehnološki znatno naprednijim od radio stanica tipa Motorola, čija je upotreba uređena Zakonom o kritičnoj infrastrukturi i Pravilnikom o metodologiji rada i načinu pristupa podacima i zaštite nacionalnog sistema TETRA, sistema mobilnih radio komunikacija i kritične infrastrukture.

I kao najbitnije, utvrđeno je da navedeni sistem ne poseduje alate za naprednu, inteligentnu analitiku video materijala, odnosno da sistem ne podržava funkciju prepoznavanja lica. U vezi sa tim, utvrđeno je i da je identitet lica protiv kojih su izdati prekršajni nalozi i podneti zahtevi za pokretanje prekršajnog postupka utvrđen isključivo uvidom u lični dokument.

Naposletku, podvukao bih da se nepostojanje pravnog osnova za biometrijsku obradu može prevazići na jedan od dva načina, a to je izmena aktuelnog Zakona o policiji i Zakona o evidencijama i obradi podataka u oblasti unutrašnjih poslova, ili donošenje posebnog Zakona o video nadzoru.

10. Kakva je statistika u pogledu kazni? Koliko su učestale, koji je najčešći razlog?

Statistika u pogledu kazni je zadovoljavajuća, pre svega sa pozicije prevencije. Poverenik polazi od one korektivne mere koja bi ispunila svoju svrhu, u skladu sa ZZPL ali i Zakonom o prekršajima i Zakonom o inspekcijskom nadzoru.

Ukoliko se subjektu nadzora izrekne opomena, on se obavezuje da otkloni nepravilnosti i o tome obavesti Poverenika i naravno dostavi dokaze. S druge strane, kod težih oblika podnosimo zahtev za pokretanje prekršajnog postupka. Takođe, za prekršaje gde je predviđena novčana kazna u fiksnom iznosu Poverenik je ovlašćen ZZPL-om na izdavanje prekršajnog naloga.

Prema članu 79. stav 2. tačka 9. ZZPL Poverenik je ovlašćen da izrekne novčanu kaznu na osnovu prekršajnog naloga ako je prilikom inspekcijskog nadzora utvrđeno da je došlo do prekršaja za koji je ovim zakonom propisana novčana kazna u fiksnom iznosu, umesto drugih mera propisanih ovim stavom (korektivne mere) ili uz njih, a u zavisnosti od okolnosti konkretnog slučaja. Tako, na primer, prema članu 95. stav 2. ZZPL novčanom kaznom u iznosu od 100.000 dinara  kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako ne vodi propisane evidencije o obradi iz člana 47 ZZPL ili ne beleži radnje obrade predviđene članom 48 ZZPL, ili ako  ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku, kako propisuje član 56 ZZPL. Što se tiče najčešćeg razloga, tu se svakako radi o postupanju suprotno načelima obrade, predviđenim članom 5. ZZPL.

11. Da li je neophodno da postoji lice za upravljanje podacima putem sistema video nadzora i pod kojim uslovima?

ZZPL ne poznaje institut lica za upravljanje podacima putem video nadzora, ali je vaše pitanje potpuno na mestu jer otvara problem uređenosti oblasti video nadzora o čemu smo prethodno govorili. Budući zakon o video nadzoru, za koji se zalažemo, svakako bi trebalo da se pozabavi i tom temom.

Da zaključimo:

I pored sopstvenih napora da zaštitimo svoju privatnost, ipak je najvažniji zakonski okvir, o čemu je za magazin govorio gospodin Ivan Trišović. Neophodno je da postoji zaštita koja svoje uporište ima u adekvatnoj regulativi i odgovornoj primeni iste, što pored postojećeg ZZPL u Srbiji uključuje i zakonsku nadgradnju u smislu donošenja novih zakonskih/ podzakonskih akata, koji će moći, bar, u nekom procentu da isprate razvoj i upotrebu napredne tehnologije video nadzora i biometrije.

5/5 - (4 votes)
Prethodni članakTIPOVI PERIMETARSKE ZAŠTITE – Koliko je važna prva linija odbrane?
Sledeći članakZA ONE KOJI VOLE ADRENALIN: 🔥NAJOPASNIJI POSLOVI U OBLASTI BEZBEDNOSTI 🔥