Agencija za zaštitu ličnih podataka i slobodan pristup informacijama Crne Gore (“Agencija“) pridružila se grupi evropskih organa koji su javno zauzeli stav o tome da li se na Facebook primenjuju nacionalni zakoni o zaštiti podataka o ličnosti. Crnogorsko pravo se, kako je istakla Agencija u mišljenju objavljenom 15. jula, ne primenjuje.
Međutim, za razliku od drugih organa nadležnih za zaštitu podataka o ličnosti, Agencija nije dala praktično nikakvo objašnjenje za svoje mišljenje o tome da li se nacionalno pravo primenjuje ili ne. U ovom blog postu ćemo se baviti pitanjima koja je, po našem mišljenju, Agencija trebalo da ispita pre zauzimanja stava o ovom pitanju. Agencija je pogrešila – ili barem upotrebila nepreciznu formulaciju – kada je dala (pre)široku tvrdnju da se “odredbe Zakona [o zaštiti podataka o ličnosti Crne Gore] ne primenjuju na obradu podataka od strane Facebook-a”. Međutim, manje je jasno da li crnogorsko pravo treba primeniti na uže pitanje kojim se Agencija bavila.
Crnogorski zakon (uglavnom) prati Direktivu Evropske unije
U maju 2015. godine, urednica sajta crnogorske nevladine organizacije (Centar za demokratsku tranziciju) zatražila je od Agencije da da mišljenje o merama koje Facebook preduzima u sprovođenju Pravila o pravom imenu. Prema Pravilima, korisnici Facebook-a su dužni da koriste svoja prava imena i email adrese kada se pridružuju ovoj društvenoj mreži. Ukoliko Facebook posumnja u istinitost ovih podataka, traži od korisnika da pošalje skenirani lični dokument (npr. ličnu kartu); ukoliko korisnik to odbije, Facebook mu/joj zatvara korisnički nalog. Urednica sajta je želela da zna da li Facebook zakonito može da traži lična dokumenta od korisnika i da li je korisnik dužan da ih dostavi.
Agencija je našla, pozivajući se na član 5 Zakona o zaštiti podataka o ličnosti Crne Gore (ZZPL), da se crnogorsko zakonodavstvo ne primenjuje na obradu podataka o ličnosti od strane Facebook-a.
Član 5 ZZPL je sličan članu 4 Direktive o zaštiti podataka o ličnosti EU (“Direktiva“) i napisan po uzoru na njega, iako ga ne prepisuje od reči do reči. Zbog te sličnosti, mišljenje Agencije je podložno upoređivanju sa odlukama nadležnih organa zemalja članica Evropske unije, koji su ispitivali primenjivost svojih nacionalnih zakona na Facebook (ili Google) na osnovu nacionalnih propisa u kojima je implementiran član 4 Direktive.
Član 5 ZZPL predviđa, u relevantnom delu:
- Po ovom zakonu obavezni su da postupaju rukovaoci zbirki ličnih podataka koji obrađuju lične podatke na teritoriji Crne Gore ili van Crne Gore gdje se u skladu sa međunarodnim pravom primjenjuju propisi Crne Gore.
- Ovaj zakon primjenjuje se i na rukovaoca zbirke ličnih podataka koji je osnovan van Crne Gore ili nema prebivalište u Crnoj Gori, ako se oprema za obradu ličnih podataka nalazi u Crnoj Gori, izuzev ako se ta oprema koristi samo za prenos ličnih podataka preko teritorije Crne Gore […].
Kao tačka poređenja, član 4 (1) Direktive predviđa da svaka država članica na obradu podataka o ličnosti primenjuje svoje nacionalne odredbe, koje je usvojila u skladu sa Direktivom, kada:
- obrada podataka se vrši u sklopu aktivnosti ogranka/predstavništva rukovaoca na teritoriji države članice […];
- rukovalac nije osnovan na teritoriji Unije i, u svrhu obrade podataka o ličnosti koristi opremu, automatsku ili drugačiju, koja se nalazi na teritoriji određene države članice, izuzev ukoliko se ta oprema koristi samo za prenos podataka preko teritorije Unije.
Kada je Agencija došla do širokog zaključka da se ZZPL ne primenjuje na Facebook, sigurno je smatrala da Facebook – kao rukovalac – ne vrši obradu podataka o ličnosti na teritoriji Crne Gore.
Stav Agencije o generalnom neprimenjivanju nacionalnih propisa – korak predaleko
Ali, da li je tačno da Facebook, kada sprovodi svoja Pravila o pravom imenu, ne vrši obradu podataka o ličnosti u Crnoj Gori? Po našem mišljenju, Agencija je pogrešila propuštajući da ispita uticaj člana 5, stav 2 ZZPL na slučaj o kom je odlučivala. Rezonovanje zastupljeno u brojnim odlukama i drugim izjavama organa nadležnih za zaštitu podataka i sudova u Evropi u poslednjih nekoliko godina, indirektno ukazuju da je ZZPL mogao da bude primenjen na obradu podataka o ličnosti od strane Facebook-a, zbog toga što se “oprema za obradu ličnih podataka” verovatno “nalazi u Crnoj Gori”.
Ključni faktor koji opravdava gornji zaključak je korišćenje kolačića (cookies) od strane Facebook-a. Pretpostavljajući da Facebook zaista koristi kolačiće kako bi prikupio informacije o online aktivnostima svojih korisnika, kolačići i korisnikov kompjuter su “oprema za obradu ličnih podataka” i nalaze se u Crnoj Gori.
Prema odlukama nadležnih organa u Evropskoj uniji i zemljama članicama, kada sajtovi i društvene mreže koriste kolačiće, time podvrgavaju sebe primeni nacionalnog prava države u kojoj se korisnikov kompjuter nalazi. Informacije o korisniku (njegova/njena IP adresa) i njegove/njene online aktivnosti čuvaju se u “krajnjoj opremi za elektronsku komunikaciju” (kompjuteru) korisnika. Kolačići pristupaju ovim informacijama putem pretraživača instaliranog na korisnikovom kompjuteru i prikupljaju te informacije.
U smislu prava o zaštiti podataka o ličnosti, pristup podacima i prikupljanje podataka o ličnosti su oblici obrade podataka, dok su kolačići i kompjuteri oprema koja se koristi za obradu podataka.
Španska Agencija za zaštitu podataka o ličnosti (AEPD) i Žalbeno veće francuske Nacionalne komisije za obradu podataka i slobode (CNIL) bili su među prvima koji su primenili argument kolačića u svojim obavezujućim odlukama, donetim u decembru 2013, odnosno januaru 2014. godine. Oba organa su zaključila da se na Google Inc. primenjuje nacionalni zakon o zaštiti podataka o ličnosti, iako je kompanija osnovana u SAD, odnosno van ovih jurisdikcija.
Prema CNIL-u, kolačiči koje koristi Google Inc. u odnosu na korisnike Google Search-a, Google Maps-a ili YouTube-a su “sredstva za obradu” koja se nalazi na teritoriji Francuske. Štaviše, prema CNIL-u,
“sva oprema i softver uključeni u ove operacije čitanja ili pisanja informacija – uključujući kolačiče i slične alate – moraju se smatrati opremom za obradu”.
Shodno tome, primenjuje se član 5, stav 2 francuskog Zakona o zaštiti podataka o ličnosti. Ta odredba je skoro istovetna u relevantnom delu sa odredbom člana 5, stav 2 ZZPL, citiranoj ranije u ovom blog postu.
Belgijska Komisija za zaštitu privatnosti (CPVP) je primenila isto rezonovanje u slučaju sa Facebook-om, u svojoj preporuci od 13. maja 2015. godine. CPVP je utvrdila da rukovalac, Facebook Inc., nije osnovan u Belgiji, ali se bez obzira na to primenjuje nacionalno pravo, jer Facebook Inc. koristi “automatska sredstva u svrhu obrade podataka o ličnosti na ovoj teritoriji, koristeći kolačiće, na primer”.
Nisu samo organi nadležni za zaštitu podataka o ličnosti koristili argument kolačića kako bi utvrdili da se primenjuju nacionalni propisi o zaštiti podataka o ličnosti. 24. januara 2014. godine Apelacioni sud u Berlinu je došao do istog zaključka nalazeći da je Facebook Inc. (koji se nalazi u SAD) rukovalac koji u Nemačkoj koristi “opremu” kada postavlja kolačiće na uređaje nemačkih korisnika i uređuje obradu podataka o ličnosti.
Zapravo, organi nadležni za zaštitu podataka o ličnosti i nemački sud su uradili malo više od pukog ponavljanja onoga što je Article 29 Working Party utvrdila – na neobavezujući ali veoma autoritativan način – još 2002. godine, u Radnom dokumentu o utvrđivanju međunarodne primene propisa o zaštiti podataka o ličnosti EU na obradu podataka o ličnosti na internetu od strane sajtova koji se ne nalaze u EU (WP 56). Radna grupa je protumačila da, kada je kolačić postavljen na hard disk korisnikovog ličnog kompjutera (dok kopiju može da ima web sajt ili treće lice), “korisnikov lični kompjuter se može posmatrati kao oprema u smislu člana 4 (1) c Direktive”.
U ovom određenom slučaju, nejasno da li treba primeniti nacionalno pravo
Dok Facebook generalno vrši obradu podataka o ličnosti u Crnoj Gori putem kolačića, što posledično dovodi do toga da ZZPL treba primeniti, manje je jasno da li okolnosti konkretnog slučaja kojim se Agencija bavila zahtevaju primenu crnogorskog prava.
Obrada podataka u ovom slučaju ima oblik prikupljanja kopija ličnih dokumenata koje korisnici u Crnoj Gori šalju elektronskim putem Facebook-u. Izgleda da u ovu komunikaciju nije uključena upotreba kolačića. Prema tome, ako se prikupljanje ličnih dokumenata posmatra izolovano, argument u korist uspostavljanja nadležnosti Agencije na osnovu mesta nalaženja opreme za obradu podataka ne stoji na raspolaganju.
U isto vreme, upotreba kolačića je možda ono što omogućava Facebook-u da identifikuje na prvom mestu potencijalnu upotrebu lažnog identiteta od strane korisnika i da se obrati korisniku sa zahtevom da dostavi kopiju svog ličnog dokumenta. U tom slučaju, moglo bi se tvrditi da kada Facebook prikuplja kopije ličnih dokumenata svojih korisnika, takva obrada podataka je neraskidivo povezana sa obradom podataka koju Facebook ostvaruje upotrebom kolačića, što za posledicu ima da crnogorsko pravo – primenjivo u ovom drugom slučaju – treba primeniti i na prikupljanje kopija ličnih dokumenata. Agencija je propustila priliku da se osvrne na ovaj aspekt problema. Umesto toga, našla je jednostavno rešenje tako što je iznela opštu tvrdnju, sadržanu u jednoj rečenici, da se ZZPL ne primenjuje na obradu podataka od strane Facebook-a.