Ministarstvo pravde je 4. novembra 2015. godine objavilo Nacrt novog Zakona o zaštiti podatka o ličnosti (“Nacrt“). U ovom blog postu i nekoliko narednih, ukazaćemo na ključne karakteristike Nacrta. Ministarstvo je pozvalo zainteresovane da učestvuju u javnoj raspravi o Nacrtu, koja će trajati do 30. novembra.
Zakon o zaštiti podataka koji je sada na snazi (“Zakon“) usvojen je 2008. godine, a 2009. i 2012. godine usvojene su izmene Zakona. Pokazalo se u primeni da Zakon sadrži izvesna nepraktična, zastarela rešenja (kao što su veoma restriktivne odredbe o načinu na koji lice može dati saglasnost za obradu podataka – pismeno ili usmeno na zapisnik), kao i važne praznine (odsustvo odredbi o video nadzoru, na primer). Iako Zakon sledi neke od osnovnih principa iz Direktive EU o zaštiti podataka o ličnosti (95/46/EC) (“Direktiva“), isuviše često odstupa od načina na koji Direktiva tretira određena konkretna pitanja.
Početkom juna 2014. godine, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik“) je napravio Model zakona o zaštiti podataka o ličnosti (“Model“) i stavio ga na raspolaganje za potrebe javne rasprave, kao prvi korak u procesu koji je trebalo da vodi ka usvajanju novog zakona. Model je uzeo u obzir sadašnje trendove unutar EU u regulisanju obrade podataka o ličnosti, tako što se oslonio kako na rešenja iz Direktive tako i na ona iz nacrta buduće Uredbe, koji je Komisija predložila u januaru 2012. godine (“Nacrt Uredbe“).
Model je bio korak u dobrom pravcu, ka daljoj harmonizaciji srpskog prava o zaštiti podataka o ličnosti sa standardima EU. (BDK Advokati su detaljno analizirali prvu verziju Modela u dokumentu objavljenom 30. juna 2014. godine (verzija na engleskom je ovde). Finalna verzija Modela sadrži značajna poboljšanja u odnosu na inicijalnu.)
Izgledalo je da će biti i dodatnih razloga za optimizam, kada je, u maju 2015.godine, Vlada Srbije izdala finalnu verziju Akcionog plana za Poglavlje 23 (o pravosuđu i osnovnim pravima) EU acquis communautaire-a(“Akcioni plan”). Akcioni plan izričito navodi da novi Zakon o zaštiti podataka o ličnosti treba da bude usvojen u trećem kvartalu 2015. godine i da će biti zasnovan na Poverenikovom Modelu.
Međutim, treći kvartal je prošao, a da nacrt novog zakona nije bio predočen Skupštini. Važnije od toga, Nacrt kog je Ministarstvo predložilo početkom novembra ima malo toga zajedničkog sa Poverenikovim Modelom.
BDK će analizirati na “stranicama” ovog bloga o zaštiti podataka o ličnosti najvažnije odredbe iz Nacrta i uporediti ih – tamo gde poređenja mogu biti korisna – sa odgovarajućim odredbama u Modelu, Zakonu, Direktivi, i Nacrtu Uredbe. Tamo gde, prema našem mišljenju, Nacrt bez dobrog razloga podiže prepreke normalnom poslovanju kompanija, ili žrtvuje prava i legitimne interese lica maglovitim državnim interesima, ukazaćemo na alternativne pristupe koje sadrže Model i/ili ostali navedeni izvori.
U ovom blog postu kratko navodimo najvažnija pitanja koja će, među ostalima, biti detaljnije obrađena u predstojećim blog postovima:
- Odsustvo konkludentnih radnji kao načina na koji lice može dati saglasnost lica za obradu podataka;
- Eksplicitno upućivanje na korukovaoce i podobrađivače (novina u srpskom pravu);
- Odsustvo odredbi koje bi regulisale video nadzor i obradu podataka primenom biometrijskih mera (iako Nacrt sadrži definicije ovih pojmova);
- Teritorijalna primena budućeg zakona (odsustvo kriterijuma za procenu da li se obrada podataka obavlja na teritoriji Srbije);
- Legitimni interes kao izuzetak od opšteg pravila da je za obradu podataka potreban pristanak lica (Nacrt verovatno odlazi predaleko određujući, kao osnov za izuzetak, i legitimni interes obrađivača, primaoca i trećih lica);
- Obrada podataka o maloletnim licima (konfuzna odredba);
- Član 28 Nacrta – Državna tajna, Strogo poverljivo, Poverljivo (ovakvoj odredbi nije mesto u zakonu koji reguliše zaštitu podataka o ličnosti);
- Zaštita prava lica (žalba i pritužba – da li su obe zaista potrebne?);
- Mere bezbednosti (poboljšanje u odnosu na važeći Zakon, Nacrt usvaja pristup iz Modela);
- Obaveštenje o povredi bezbednosti podataka (još jedna korisna novina);
- Prethodna procena rizika (u skladu sa Procenom uticaja na zaštitu podataka, koju predviđa Nacrt Uredbe);
- Notifikacija Poverenika i (odvojeno) registracija evidencije zbirki podataka u dva koraka, ostaje kao važeće (anahrono) rešenje;
- Iznošenje podataka iz Republike Srbije (ostavljen prividni prostor za primenu tzv. obavezujućih korporativnih pravila (BCRs – binding corporate rules) i standardnih ugovornih odredbi (standard contractual clauses) kao osnova za iznošenje podataka, ali je obim njihove primene veoma ograničen obavezom da pravila/ugovor budu regulisani srpskim pravom);
- Novčane kazne (značajno povećane – verovatno dobar pristup).