Evropski parlament i Savet EU su 15. decembra 2015. godine usaglasili konačni tekst Generalne uredbe o zaštiti podataka o ličnosti (“Uredba“). Sada znamo kakav će biti pravni režim koji uređuje zaštitu podataka o ličnosti u EU na duži rok posle 2018. godine, kada Uredba stupa na snagu.
Pre dva meseca, početkom novembra, srpsko Ministarstvo pravde objavilo je Nacrt zakona o zaštiti podataka o ličnosti (“Nacrt“). Kada smo analizirali predloženi Nacrt u seriji od četiri blog posta, još uvek su bile u opticaju dve verzije nacrta Uredbe – Parlamentova i Savetova. Sada smo u poziciji da uporedimo tekst Nacrta sa konačnom verzijom Uredbe. Srpski zakonodavac treba da učini sve u narednim nedeljama i mesecima da osigura da budući srpski zakon bude u skladu sa budućom Uredbom. Srbija je otvorila prva dva poglavlja u svojim pregovorima o pristupanju sa Evropskom unijom 14. decembra, i u obavezi je da u potpunosti uskladi svoje propise sa zakonodavstvom Evropske unije. Ukoliko tekst Nacrta ne bude korigovan, zakon bi na kraju mogao izgledati tako da zaostaje u odnosu na važne standarde usvojene na nivou Evropske unije.
Nacrt predviđa da lica mogu dati svoj pristanak za obradu samo “u pisanoj formi ili usmeno na zapisnik”. Ograničenje u vezi sa izražavanjem pristanka u Nacrtu ne uzima u obzir realnosti poslovnog života. Suprotno tome, Uredba propisuje da pristanak može biti dat i konkludentnom radnjom (član 4, tačka 8). Kako uvodna napomena (recital) br. 25 Uredbe korisno pojašnjava, označavanje “kućice” (ticking a box) na nekom website-u takođe predstavlja validan pristanak.
Nacrt propisuje da će se odredbe novog srpskog zakona primenjivati na, između ostalog, “svaku obradu koja se vrši na teritoriji Republike Srbije“. Ova odredba ne daje konkretan kriterijum – kao što je upotreba opreme koja se nalazi na teritoriji Srbije – za utvrđivanje da li se obrada podataka vrši na teritoriji Srbije. Suprotno tome, Uredba daje precizne kriterijume. Uredba se primenjuje ukoliko rukovalac (koji nije osnovan u Evropskoj uniji) nudi proizvode i usluge stanovnicima Evropske unije, ili ukoliko obrađuje lične podatke lica koja imaju prebivalište u Evropskoj uniji u kontekstu “nadgledanja njihovog ponašanja” (član 3(2)). Prva radnja se dešava kada se kompanija bavi direktnim marketingom usmerenim prema stanovnicima Evropske unije, dok potonja radnja obuhvata upotrebu kolačića (cookies).
Odredba Nacrta koja uređuje legitimni interes kao osnov za dozvoljenu obradu bez pristanka lica, neopravdano širi krug lica čiji interesi opravdavaju netraženje pristanka lica, jer u taj krug uvrštava i obrađivače. Uredba ne uključuje obrađivače među lica čiji legitimni interesi daju osnov za otklanjanje obaveze za rukovaoca da pribavi pristanak za obradu (član 6(1)(f)).
Nacrt svojom definicijom “posebnih podataka” obuhvata i podatke koji ne bi trebalo da budu uključeni među posebne podatke (pol i jedinstveni matični broj građanina – JMBG). Privilegovani tretman JMBG-a se u Obrazloženju uz Nacrt opravdava mogućnošću da se iz broja sazna pol lica. Međutim, tretiranje pola kao posebne kategorije podataka o ličnosti nije u skladu sa preovlađujućim stanovištem u Evropskoj uniji i njenim državama članicama. U konačnom tekstu Uredbe, pol ne spada u posebnu kategoriju podataka o ličnosti (član 9).
Prema Nacrtu, svaki rukovalac koji obrađuje posebne kategorija podataka o ličnosti je obavezan da (i) usvoji opšti akt kojim bliže uređuje pitanja vezana za dopuštenost obrade, ostvarivanje prava lica, i mere bezbednosti koje rukovalac primenjuje, i (ii) imenuje lice za zaštitu podataka. Ovde pitanje JMBG-a i pola postaje značajno, zbog toga što mnogi rukovaoci u Srbiji obrađuju JMBG, pa ako tekst Nacrta ostane nepromenjen u tretiranju JMBG-a kao posebne kategorije ličnih podataka teško da će neki rukovalac moći da izbegne obavezu usvajanja opšteg akta i imenovanja lica za zaštitu podataka. Suprotno tome, Uredba ni od jednog rukovaoca ne zahteva da usvoji “opšti akt”.
Što se tiče imenovanja lica za zaštitu podataka, konačna verzija Uredbe u članu 35(1) takvu obavezu propisuje samo ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje od (i) radnji obrade koje, zbog svoje prirode, svog obima i/ili svoje svrhe, zahtevaju redovno i sistematsko nadgledanje lica u velikom obimu (kao što su npr. mobilni operateri), ili (ii) obrade u velikom obimu posebnih kategorija podataka (npr. kada zdravstvene institucije obrađuju podatke koji se odnose na zdravstveno stanje) ili podataka koji se odnose na krivična dela i presude. Stoga, budući zakon o zaštiti podataka o ličnosti ne bi trebalo automatski da zahteva da svaki rukovalac koji obrađuje osetljive podatke imenuje lice za zaštitu podataka.
Prema Uredbi, osnovno pravilo za iznošenje podataka u inostranstvo je da država uvoza podataka obezbeđuje adekvatni nivo zaštite (član 41). Deo Nacrta koji uređuje iznošenje podataka u inostranstvo izostavlja bilo kakvo upućivanje na adekvatnost zaštite podataka o ličnosti u zemlji nameravanog uvoza, kao kriterijum za ocenu dozvoljenosti nameravanog iznošenja podataka. Umesto toga, osnovni preduslov za dopušteno iznošenje podataka je formalne prirode: iznošenje se može odvijati ukoliko zakon (nije jasno koji zakon), bilateralni ugovor, ili multilateralni ugovor o zaštiti podataka (po svoj prilici, Konvencija Saveta Evrope br. 108), predstavljaju osnov za takvo iznošenje. Tačno je da Nacrt poznaje i neke dodatne osnove za dozvoljeno iznošenje podataka – kao što su pristanak lica, izvršenje ugovora zaključenog između rukovaoca i lica, ili interesi nacionalne bezbednosti i odbrane. Međutim, propuštanje da se adekvatni nivo zaštite podataka tretira kao samostalni kriterijum može rezultirati nemogućnošću rukovaoca da iznese lične podatke u zemlju u kojoj je zaštita podataka odgovarajuća, ali ta zemlja nije članica nijednog ugovora koji je Srbija zaključila, i ne postoji nijedan drugi osnov za iznošenje podataka.
Odredba u Nacrtu zakona deluje kao da ostavlja prostor za primenu tzv. obavezujućih korporativnih pravila (BCRs – binding corporate rules) i standardnih ugovornih odredbi(standard contractual clauses) kao osnova za dopušteno iznošenje podataka u inostranstvo, i ako nema bilateralnog ili multilateralnog ugovora koji obuhvata zemlju uvoza, i čak i bez pristanka lica. Međutim, obim primene ove odredbe je bitno ograničen dvema obavezama: (i) da pravila/ugovor budu regulisani srpski pravom, i (ii) da organi Republike Srbije budu nadležni u slučaju spora do kog može doći u pogledu zaštite podataka koji se iznose. Ne postoji analogna obaveza u relevantnim odredbama Uredbe (članovi 42 i 43).
Nacrt, u odnosu na Uredbu, nameće znatno više tereta rukovaocima u pogledu obavezne “papirologije“. Uredba ne zahteva usvajanje opšteg akta, niti predviđa opštu obavezu obaveštavanja organa nadležnog za zaštitu podataka o nameravanoj obradi posebnih kategorija podataka, kao ni registraciju već uspostavljene zbirke podataka koja sadrži takve podatke. Umesto toga, rukovalac mora da izvrši prethodnu procenu rizika ukoliko priroda, obim i svrhe nameravane obrade mogu da stvore stvarni rizik za prava i slobode pojedinaca (član 33(1)). Procena mora biti izneta u dokumentu koji opisuje planirane radnje obrade, procenu rizika za prava i slobode pojedinaca i mere za smanjenje rizika i dokazivanje postupanja u skladu sa Uredbom (član 33(3)). Ukoliko procena ukazuje na verovatnoću visokog rizika, rukovalac se mora obratiti nacionalnom organu za zaštitu podataka koji (organ) može i da zabrani nameravanu obradu podataka (članovi 34 i 53(1b)).
Nacrt takođe zahteva prethodnu procenu rizika pod uslovima sličnim onima propisanim u članu 33 konačnog teksta Uredbe. Međutim, Nacrt odstupa od Uredbe zahtevajući od svakog rukovaoca koji obrađuje osetljive podatke, sledeće: (i) usvajanje opštieg akta kojim se bliže uređuju pitanja vezana za dopuštenost obrade, prava lica i mere bezbednosti koje rukovalac primenjuje; (ii) obaveštavanje organa za zaštitu podataka o nameravanoj obradi; i (iii) registraciju uspostavljene zbirke podataka. U našem blog postu od 17. novembra 2015. godine detaljno smo razmotrili prethodnu procenu rizika, obaveštavanje organa za zaštitu podataka o nameravanoj obradi i registraciju uspostavljene zbirke podataka.
Nacrt eksplicitno reguliše postojanje zajedničkih rukovalaca (ko-rukovaoci) i podobrađivača. Negativna strana je međutim ta, što za razliku od Uredbe (član 24), Nacrt ne spominje obavezu zajedničkih rukovalaca da razgraniče svoje odgovornosti za postupanje prema zakonu, a naročito svoje odgovornosti prema licima čiji podaci se obrađuju.