Predlog da se Zakon o zaštiti podataka stavi na led je loš

English

U protekla dva dana, nedavno postavljeni prvi čovek srpskog nadzornog tela za zaštitu podataka o ličnosti najavio je jedan radikalan potez i oštro kritikovao neke od odredbi iz novog zakona o zaštiti podataka. Posvećenost i odvažnost Milana Marinovića trebalo bi da ohrabre one koji su se plašili da će novi poverenik biti sušta suprotnost njegovom vrlo angažovanom prethodniku, Rodoljubu Šabiću. Međutim, sadržaj izjava koje je Marinović dao, kada se pažljivije razmotri, daje razloga za zabrinutost.

Najvažnije što je Marinović istakao u nastupu na državnoj televiziji i u izjavi za novinski portal jeste da bi, prema njegovom mišljenju, primenu Zakona o zaštiti podataka o ličnosti (2018.) trebalo odložiti. Zakonom, usvojenim u novembru prošle godine, predviđen je devetomesečni prelazni period. Stoga, primena zakona bi trebalo da započne 21. avgusta 2019. godine. Marinović sada traži dodatno odlaganje od godinu dana. Da bi osnažio svoj zahtev, Marinović je izneo nekoliko policy i pravnih argumenata, čija vrednost je upitna.

Ko nije “spreman” za novi zakon o DP-u?

Novi poverenik je rekao da “društvo“, organi, rukovaoci podataka, i obrađivači podataka “nisu spremni“ za Zakon o DP-u 2018. To je bila vrlo opšta tvrdnja, bez potkrepljujućih detalja.

Marinović je bio mnogo konkretniji i uverljiviji kada se osvrnuo na problem koji opterećuje službu koju on sada vodi: toj službi, jednostavno, nedostaje (kvalifikovanog) osoblja. Iz onoga što je Marinović govorio u TV emisijama, jasno je da se tu nalazi stvarni problem.

Nije tajna da srpsko nadzorno telo nije pojačano dodatnim osobljem uprkos donošenju novog zakona po uzoru na GDPR. To realno jeste problem: novi zakon, kao i GDPR, zahteva proaktivno i dovoljno brojno osoblje za obavljanje nadzora, znatno više nego što je to iziskivao prethodni zakon (iz 2008. godine). Ali, to je pitanje koje bi trebalo rešavati paralelno sa primenom novog zakona.

Na jednu ili dve nedelje pre početka primene Zakona iz 2018. godine, odlaganje primene bilo bi štetno za mnoge kompanije koje su se pripremale, uz mnogo napora, za taj zakon. Kompanije su pažljivo i sistematski prilagođavale svoj način rada zahtevima novog zakona. Sada, ako bi parlament odložio primenu zakona, ove kompanije morale bi da preoblikuju planove i da vrate sat nazad na zastareli zakon o zaštiti podataka o ličnosti, iz 2008. godine.

Stari zakon čak ne priznaje “legitimne interese” kao pravni osnov za obradu podataka. Takođe, taj zakon zahteva isključivo pismeni oblik pristanka. Primorava rukovaoce podataka da unapred obaveštavaju nadzorno telo o svakom otpočinjanju obrade i da registruju obradu kod nadzornog tela. Prenos podataka u neevropske zemlje dozvoljen je samo ako nadzorno telo izda dozvolu. Sve to, u eri GDPR-a, izgleda kao kameno doba prava zaštite podataka o ličnosti.

Postoje, bez sumnje, kompanije koje se nisu pripremile za Zakon iz 2018 godine. Ali, način da se reši problem koji su ove kompanije same stvorile je da se edukuju i motivišu tokom primene novog zakona, a ne da se primena novog zakona odlaže na štetu onih koji su dali sve od sebe da se pripreme.

Opšti pravila prava zaštite podataka o ličnosti uređuju video nadzor

U jednom od svoja dva televizijska nastupa Marinović je prešao s policy argumenata na argumente pravne prirode. Izneo je dva takva argumenta, nagoveštavajući da bi novi zakon (iz 2018. godine) možda trebalo menjati pre početka primene. Po ovim pravnim pitanjima Marinović je bio, ako išta, još manje ubedljiv nego po policy pitanjima.

Njegov prvi argument je bio taj da novi zakon ne reguliše posebno obradu ličnih podataka do koje dolazi primenom video nadzora. Tačno je da se zakon tim pitanjem ne bavi detaljno. Ali, to ne čini ni GDPR.

Štaviše, među zakonima o zaštiti podataka usvojenim nakon GDPR-a u državama-članicama E.U., zakoni koji se ne bave posebno video nadzorom bar su onako brojni (Francuska, Velika Britanija, Danska, Belgija, Italija) kao i zakoni koji se tim pitanjem bave (Austrija, Nemačka, Hrvatska). To je prilično jasan pokazatelj da regulisanje video nadzora putem detaljnih zakonskih odredbi nije od tako suštinskog značaja kao što srpsko nadzorno telo insistira.

Umesto toga, rukovaoci podataka mogu da osmisle odgovarajuće mere video nadzora pridržavajući se opštih principa zaštite podataka sadržanih u članu 5 GDPR-a (takođe članu 5 srpskog Zakona iz 2018. godine) i drugih odredbi GDPR, odnosno Zakona. Nadzorna tela i sudovi mogu takođe da odlučuju na osnovu takvih opštih principa i odredbi. Francuski slučaj nedavno predstavljen ovde je primer nadzornog tela (CNIL, u tom slučaju) koje je donelo predvidljivu odluku primenom opštih principa i pravila iz GDPR-a.

Akreditacija prema DP Act 2018: jasna i u skladu sa GDPR

Drugi pravni argument koji je Marinović izneo takođe nije uspeo da ubedi. Argumentacija ide ovako (Marinović referira na srpsko nadzorno telo pod njegovim nazivom “Poverenik”):

Imamo apsurdnu situaciju, Poverenik je sada nadležan da propiše kriterijume za sertifikaciju i akreditaciju, po kojima treba da postupaju oni koji su akreditovani, koji treba da budu akreditovani i koji izdaju sertifikate. Međutim, Poverenik je dobio i nadležnost da on vrši akreditaciju i sertifikaciju. Dolazimo u apsurdnu situaciju, da Poverenik to treba da radi pored već postojećeg Biroa za akreditaciju, a osim toga on treba da propiše kriterijum sam za sebe!

Ova kritika ja zasnovana na pogrešnom tumačenju relevantne odredbe u srpskom Zakonu iz 2018. godine (i u GDPR-u). Poverenik je poistovetio koncept akreditovanja, s jedne strane, i procenjivanja da li sertifikaciono telo ima nezavisnost i stručnost, a nema sukob interesa, sa druge strane.

Član 62, stav 2, Zakona o DP kaže sledeće:

Sertifikaciono telo iz stava 1. ovog člana može biti akreditovano samo ako: 1) dokaže Povereniku svoju nezavisnost i stručnost u odnosu na predmet sertifikacije;… 5) dokaže Povereniku da u izvršavanju njegovih poslova ne može nastati sukob interesa.

U ranijem pismu Ministarstvu pravde, upućenom 7. avgusta 2018. godine, nadzorno telo je pogrešno zaključilo da “iz odredbi stava 2. ovog člana proizlazi da je, pošto sertifikaciono telo može biti akreditovano samo ako Povereniku dokaže da ispunjava uslove koji su tom odredbom propisani, Poverenik taj koji sprovodi postupak [akreditacije]”.

Ovo je non sequitur. U stvari, utvrđivanje da sertifikaciono telo ima nezavisnost / stručnost i da nema sukoba interesa konceptualno se razlikuje od akreditovanja sertifikacionog tela. Jedno telo (nadzorno telo) može činiti ono prvo, a drugo telo (u Srbiji: Akreditaciono telo Srbije) ono potonje. Kada Akreditaciono telo Srbije odlučuje da li će akreditovati sertifikaciono telo ili ne, uzima u obzir nalaz nadzornog tela o nezavisnosti itd., kao preduslov – između ostalih preduslova – za akreditaciju.

GDPR pokazuje da je takva podela rada moguća. Član 43(1) GDPR prepušta državama članicama da odluče ko može da akredituje sertifikaciona tela: (a) nacionalno nadzorno telo; (b) nacionalno telo za akreditaciju; ili (c) oba. Shodno tome, u odredbama o poslovima i ovlašćenjima nacionalnog nadzornog tela, GDPR ovlašćuje nacionalno nadzorno telo – ako država članica tako odluči – da sprovede akreditaciju sertifikacionih tela (član 57(1)(k) i član 58(3)(e) GDPR).

U svakom slučaju, tj. bez obzira na to koju opciju akreditacije država članica izabere, nadzorno telo je jedino telo sa zakonskim ovlašćenjem da formalno utvrdi da li sertifikaciono telo ispunjava konkretne zahteve nezavisnosti, stručnosti, i nepostojanja sukoba interesa. Član 43(2) GDPR, ekvivalent članu 62(2) srpskog Zakona iz 2018. godine, to izričito kaže.

Srpski Zakon iz 2018. godine je, ako ništa drugo, još jasniji od GDPR-a po pitanju podele rada između nadzornog tela i tela za akreditaciju. Za razliku od GDPR-a, Zakon o DP-u 2018. čak ne razmatra mogućnost da Poverenik bude taj koji akredituje sertifikaciono telo.

Ovlašćenje za sprovođenje akreditacije pripada Akreditacionom telu Srbije. To ovlašćenje proizilazi iz Zakona o akreditaciji (2010), kojim je propisano da je Akreditaciono telo Srbije “jedino u Republici Srbiji kome se ovim zakonom poverava obavljanje poslova akreditacije”. Zakon o zaštiti podataka o ličnosti, iz 2018. godine, izričito upućuje na Zakon o akreditaciji kao relevantan izvor (član 62, stav 1, Zakona o zaštiti podataka o ličnosti: ” Sertifikaciono telo, koje ima odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje je akreditovano u skladu sa zakonom kojim se uređuje akreditacija …”). U skladu s tim, Zakon iz 2018. godine ne uključuje sprovođenje akreditacije u zatvorenu listu poslova (član 78) i ovlašćenja (član 79) Poverenika.

Kao što je Marinović rekao u jednom od svoja dva javna nastupa prikazana u ovom blog postu, možda će biti teško sazvati parlament usred leta a kako bi izmenio zakon o zaštiti podataka, tj. odložio njegovu primenu. To je verovatno najbolja vest vezana za poslednju inicijativu koja je došla od nadzornog tela za zaštitu podataka o ličnosti.