Nakon našeg prvog blog posta, od 10. novembra, sada analiziramo neke od ključnih odredbi u Nacrtu novog srpskog Zakona o zaštiti podataka o ličnosti (“Nacrt“), koje, po našem mišljenju, pokazuju nedostatke u poređenju sa odgovarajućim odredbama Modela zakona o zaštiti podataka o ličnosti (“Model“) koji je izradio Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik“), Direktive EU o zaštiti podataka o ličnosti (95/46/EC) (“Direktiva“), nacrta Uredbe EU o zaštiti podataka o ličnosti (“Nacrt EU Uredbe“), kao i sa nacionalnim zakonodavstvima u okviru EU i na teritoriji bivše Jugoslavije. U sledećem postu ćemo se osvrnuti na druge sporne odredbe Nacrta, a zatim ćemo ovu seriju postova završiti blog postom o pozitivnim aspektima Nacrta.
1) Odsustvo konkludentnih radnji kao načina za davanje pristanka lica za obradu
Potencijalno najštetnija odredba u Nacrtu je ona prema kojoj fizička lica mogu dati svoj pristanak za obradu podataka “u pisanoj formi ili usmeno na zapisnik”. Ova odredba se nalazi na samom početku Nacrta, u članu 3, pa odmah daju ton Nacrtu kao dokumentu koji ne uzima u obzir poslovnu realnost. Ograničavanje dopuštenih načina za izražavanje pristanka u suprotnosti je sa tretiranjem pristanka u doslovno svakom savremenom zakonu o zaštiti podataka o ličnosti, uključujući i Nacrt EU Uredbe. I Evropski parlament i Savet Evropske unije prihvataju rešenje da se pristanak može dati i putem konkludentnih radnji. Ovaj oblik pristanka obuhvata pritiskanje dugmeta (clicking the button) i obeležavanje “kućice” (ticking the box) na internetu.
Važeći Zakon o zaštiti podataka o ličnosti u Srbiji, usvojen 2008. godine (“Važeći Zakon“) već sadrži zastarelo rešenje zahtevajući da pristanak bude dat pismeno ili usmeno na zapisnik. Poverenik je toga bio svestan, te je u Modelu iz juna 2014. godine predložio da pristanak može biti dat i putem konkludentne radnje. Začuđujuće je da Vlada “preslikava” iz starog zakona u novi odredbu koja je preterano restriktivna i na kraju krajeva neupotrebljiva. Na drugom mestu u Nacrtu propisano je da punopravni pristanak podrazumeva i pristanak dat u elektronskom obliku sa kvalifikovanim elektronskim potpisom lica, što dodatno pojačava utisak da je Nacrt restriktivan i usmeren na otežavanje poslovanja.
2) U Nacrtu nisu sadržani kriterijumi za određivanje da li se obrada podataka vrši na teritoriji Srbije
Nacrt propisuje da se njegove odredbe primenjuju na “svaku obradu koja se vrši na teritoriji Republike Srbije, kao i izvan teritorije Republike Srbije, kada se u skladu sa međunarodnim pravom, ovim zakonom ili ugovorom primenjuju propisi Republike Srbije, bez obzira na sedište, odnosno prebivalište rukovaoca, odnosno obrađivača, osim u slučaju kada se podaci samo prenose preko teritorije Republike Srbije” (član 4(3)).
Ova odredba ne daje konkretan kriterijum za utvrđivanje da li se obrada podataka obavlja na teritoriji Republike Srbije. Suprotno tome, Poverenikov Model je sadržao kriterijum upotrebe opreme koja se nalazi na teritoriji Republike Srbije. Poverenik je evidentno predložio to rešenje zbog toga što Direktiva takođe utvrđuje da se nacionalno pravo države članice primenjuje na rukovaoca (koji nema ogranak/predstavništvo na teritoriji Evropske unije) koji, u svrhu obrade podataka, koristi opremu koja se nalazi na teritoriji države članice (osim ukoliko se ta oprema koristi samo u svrhu prenosa preko teritorije Evropske unije). Kako smo objasnili u blog postu iz avgusta ove godine, organi nadležni za zaštitu podataka u Španiji, Francuskoj i Belgiji, kao i Apelacioni sud u Berlinu, u protekle dve godine su koristili kriterijum “opreme” (ili “sredstva za obradu”) da bi zaključili da se u slučaju upotrebe kolačića (cookies) od strane Facebook-a i Google-a primenjuju odredbe nacionalnog prava (države o kojoj je reč). Njihovo rezonovanje je da rukovalac, koji se nalazi u inostranstvu, koristi “opremu” u određenoj državi članici Evropske unije smeštajući kolačiće u korisnikov računar ili drugi uređaj koji se nalazi u toj državi članici.
Nacrt EU Uredbe zadržava ovo rešenje, ali ga formuliše na drugačiji način. Uredba će se primenjivati ukoliko rukovalac (koji nema ogranak/predstavništvo na teritoriji Evropske unije) obrađuje podatke lica koja imaju prebivalište na teritoriji Evropske unije u kontekstu “nadgledanja njihovog ponašanja” (kolačići čine upravo to). Za razliku od Direktive, Nacrt EU Uredbe takođe propisuje pravilo po kome se na privrednog subjekta osnovanog van Evropske unije primenjuje Uredba ukoliko (privredni subjekt) nudi robu i usluge stanovnicima Evropske unije. Tipični primer za ovu situaciju je kada se takav privredni subjekt bavi direktnim marketingom usmerenim ka stanovnicima Evropske unije.
3) Legitimni interes obrađivača ne bi trebalo da bude osnov za netraženje pristanka lica za obradu
Član 10, tačka 6 Nacrta propisuje da će obrada bez pristanka biti dozvoljena ukoliko se vrši “u cilju ostvarenja opravdanog interesa rukovaoca, obrađivača, primaoca ili trećeg lica, ako potreba zaštite tih interesa preteže nad potrebom zaštite osnovnih prava i sloboda lica na koje se podaci odnose”.
Među članicama Evropske unije, “legitimni interes” subjekta koji nije lice čiji podaci se obrađuju je već dugo godina izuzetak od opšteg pravila da se za zakonitu obradu traži pristanak lica. Odsustvo ovakve odredbe u Važećem Zakonu (u Srbiji) predstavlja ozbiljan propust.
Međutim, zakoni i ostali pravni instrumenti koji koriste koncept legitimnog interesa svakako ne uključuju obrađivače među one čiji interesi mogu da pretegnu nad interesima ili osnovnim pravima i slobodama lica na koja se podaci odnose. Ni Direktiva (član 7, tačka f), ni Nacrt EU Uredbe (član 6(1)(f)), ne navode obrađivače među onima čiji legitimni interesi daju osnov za otklanjanje obaveze rukovaoca da obezbedi pristanak lica za obradu. Nacionalni zakoni Francuske, Italije, Holandije, Nemačke, Hrvatske, Bosne i Hercegovine, Crne Gore, i brojnih drugih zemalja, takođe isključuju “legitimne interese” obrađivača.
4) Odsustvo preciznosti i minimalnih standarda kad je reč o ustupanju podataka “primaocu”
Nacrt predložen od strane srpske Vlade daje značajna ovlašćenja “primaocima” ličnih podataka. Opšte pravilo prema Nacrtu je da, ukoliko primalac želi da ostvari pristup ličnim podacima određenog lica, mora da podnese pisani zahtev rukovaocu. Međutim, ovo pravilo ima dva izuzetka koja su formulisana toliko široko da je teško izbeći utisak da je cilj ovih izuzetaka da daju široko diskreciono pravo policiji i i bezbednosnim agencijama, tj. da ih oslobode stvarnih ograničenja u njihovim zahtevima da ostvare pristup ličnim podacima.
Relevantna odredba Nacrta (član 22) propisuje da zahtev za pristup podacima, koji se podnosi rukovaocu, ne mora da bude u pisanoj formi ukoliko je to predviđeno posebnim zakonom, pod uslovom da je svrha podnošenja zahteva zaštita nacionalne bezbednosti, odbrane zemlje, ili sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela. Još jedan izuzetak od obaveze podnošenja pisanog zahteva postoji kada razlozi hitnosti to zahtevaju.
Obrazloženje Vlade uz Nacrt zakona (“Obrazloženje“) ne rasvetljava razloge za uvođenje ove odredbe, niti daje njene jasne obrise. U Obrazloženju se kratko navodi da “praktične potrebe” zahtevaju pristup prema kome rukovaoci u hitnim stvarima treba da predaju lične podatke neodređenim primaocima čak i u odsustvu pisanog zahteva primaoca. Ovde treba primetiti da, za razliku od nekih drugih država koje su se zaista susrele sa ozbiljnim terorističkim pretnjama u poslednjoj deceniji, Srbija je imala dovoljno sreće da ne bude meta interesovanja savremenih terorista. Drugim rečima, čini se da nema opravdanja za loše definisane odredbe koje verovatno daju široka ovlašćenja policiji i bezbednosnim službama.
5) Pol i jedinstveni matični broj građanina (JMBG) ne treba da budu među “posebnim podacima”
Nacrt navodi jedinstveni matični broj građanina – poznat po svojoj skraćenici JMBG – među posebnim podacima (ranije zvani “naročito osetljivi podaci”). Ako bude usvojena, ova odredba će verovatno doneti više lošeg nego dobrog.
Obrazloženje uz Nacrt zakona opravdava takvo privilegovano tretiranje JMBG-a mogućnošću saznavanja nečijeg pola na osnovu JMBG-a. Prema Nacrtu, pol se smatra posebnim podatkom, te stoga JMBG po analogiji takođe ulazi u kategoriju posebnih podataka. Ali tretiranje pola kao posebne kategorije podataka o ličnosti nije u skladu sa preovlađujućim stanovištem u Evropskoj uniji i njenim članicama. Pol se ne pojavljuje kao posebna kategorija podataka o ličnosti ni u Direktivi, niti u Nacrtu EU Uredbe (verzija Saveta). Zakoni o zaštiti podataka o ličnosti Francuske, Nemačke, Holandije i Ujedinjenog Kraljevstva takođe ne tretiraju pol kao posebnu kategoriju podataka. Isto tako, Hrvatska, Slovenija, Bosna i Hercegovina i Crna Gora, koje su nekada bile deo Jugoslavije zajedno sa Srbijom, ne daju polu status posebne kategorije podataka o ličnosti.
Pisci novog srpskog zakona o zaštiti podataka o ličnosti možda su pogrešno zaključili da učestale kritike od strane Poverenika povodom raširene praksi nepotrebnog fotokopiranja ili zadržavanja ličnih dokumenata koja sadrže JMBG znače da JMBG spada u posebnu kategoriju podataka o ličnosti. Ali to nije slučaj, i Model predložen od strane Poverenika u junu 2014. godine nije uključivao JMBG među posebne kategorije podataka o ličnosti.
6) Preterana birokratizacija: obaveza donošenja opšteg akta i lice za zaštitu podataka
Nacrt zakona obavezuje svakog rukovaoca koji obrađuje posebne kategorije podataka da (i) donese opšti akt kojim bliže uređuje pitanja vezana za dopuštenost obrade, ostvarivanje prava lica, i mere bezbednosti koje rukovalac primenjuje, i (ii) imenuje lice za zaštitu podataka. Mnogi rukovaoci obrađuju JMBG-ove, i ako novi zakon bude tretirao JMBG kao posebnu kategoriju podataka, obaveza donošenja opšteg akta i imenovanja lica za zaštitu podataka će biti opšteprisutna.
Predloženo rešenje bi prosto moglo biti izraz otporne pravne kulture u Srbiji koja pre-regulisanje smatra vrednošću po sebi. (Zapravo, Nacrt zakona se u ovom pogledu ne razlikuje mnogo od Modela, koji takođe nameće obavezu svakom rukovaocu, koji obrađuje osetljive podatke, da usvoji opšti akt i imenuje lice za zaštitu podataka.)
Suprotno tome, prema Nacrtu EU Uredbe ni od kog rukovaoca se ne zahteva da usvoji “opšti akt”. Čak ni zakoni iz Srbiji susednih zemalja – Hrvatske, Crne Gore i Bosne i Hercegovine – ne sadrže takvu obavezu.
Što se tiče imenovanja lica za zaštitu podataka, ne vidi se dobar argument zašto bi svaki rukovalac koji obrađuje osetljive podatke bio u obavezi da imenuje lice za zaštitu podataka. Prema Nacrtu EU Uredbe (verzija Saveta) ne postoji obaveza na strani rukovaoca koji obrađuje posebne kategorije podataka o ličnosti da usvoji opšti akt ili imenuje lice za zaštitu podataka. Evropski parlament predviđa takvu obavezu, ali samo ukoliko obrada posebnih kategorija podataka o ličnosti pripada osnovnimaktivnostima rukovaoca ili obrađivača. (Obrada podataka o zdravstvenom stanju od strane zdravstvenih ustanova je primer za takve aktivnosti).
Stoga, čak i ako Vlada – ili Narodna skupština – izostave JMBG sa liste posebnih kategorija podataka o ličnosti, budući zakon o zaštiti podataka o ličnosti svejedno ne bi trebalo automatski da zahteva od rukovaoca koji obrađuje stvarno osetljive podatke da imenuje lice za zaštitu podataka. Umesto toga, zakon bi trebalo da uvede kvantitativni kriterijum prema kojem lice za zaštitu podataka mora biti imenovano ukoliko rukovalac obrađuje podatke o ličnosti određenog minimalnog broja lica. Takav pristup je standard u uporednom pravu, koji sledi i Nacrt EU Uredbe.
7) Iznošenje ličnih podataka iz Republike Srbije
Deo Nacrta zakona, koji uređuje iznošenje podataka u inostranstvo, problematičan je po više osnova.
Čudno je da Nacrt propušta bilo kakvo upućivanje na adekvatnost zaštite podataka o ličnosti u zemlji u koju se podaci iznose, kao kriterijum za ocenu dozvoljenosti nameravanog iznošenja podataka. Gotovo prema svakom drugom nacionalnom pravu, Direktivi i Nacrtu EU Uredbe, dva osnovna pravila su da (i) je iznošenje podataka u treću zemlju dozvoljeno ukoliko zemlja uvoza podataka obezbeđuje adekvatan nivo zaštite, što može biti slučaj čak i kada država nije potpisnica bilateralnog ili multilateralnog ugovora o zaštiti podataka, i (ii) organ nadležan za zaštitu podataka o ličnosti u zemlji izvoza, ili Evropska komisija, ovlašćen je da oceni adekvatnost zaštite podataka. Model predložen od strane Poverenika sadržao je odredbu sličnu onoj u crnogorskom Zakonu o zaštiti podataka o ličnosti, gde se procena adekvatnosti zaštite učinjena od strane Evropske komisije smatra tačnom.
Nacrt zakona, međutim, apsolutno ne poznaje odluke o adekvatnosti od strane srpskog Poverenika ili Evropske komisije. Umesto toga, osnovni preduslov za dopušteno iznošenje podataka je formalne prirode: iznošenje se može odvijati ukoliko zakon (nije jasno koji zakon), bilateralni ugovor, ili multilateralni ugovor o zaštiti podataka (po svoj prilici, Konvencija Saveta Evrope br. 108), predviđaju takvo iznošenje. Kao dodatak ovom opštem pravilu, Nacrt zakona poznaje i neke dodatne osnove za dozvoljeno iznošenje podataka (kao što su pristanak lica, izvršenje ugovora zaključenog između rukovaoca i lica, ili interesi nacionalne bezbednosti i odbrane), ali izgleda da je Nacrt indiferentan u pogledu nivoa zaštite podataka o ličnosti u zemlji u koju se podaci unose.
Odredba u Nacrtu zakona ostavlja prividni prostor za primenu tzv. obavezujućih korporativnih pravila (BCRs – binding corporate rules) i standardnih ugovornih odredbi (standard contractual clauses) kao osnova za punopravno iznošenje podataka u inostranstvo, i ako nema bilateralnog ili multilateralnog ugovora koji obuhvata zemlju uvoza, i čak bez pristanka lica. Međutim, obim primene ove odredbe je veoma ograničen obavezom da pravila/ugovor budu regulisani srpskim pravom.
Ova odredba dozvoljava iznošenje podataka ukoliko je rukovalac, koji ima sedište ili prebivalište u Srbiji, zaključio ugovor sa drugim rukovaocem, ili obrađivačem, ili primaocem koji ima sedište, tj. prebivalište u inostranstvu. Ova odredba pokriva ono što se Evropskoj uniji zove standardne ugovorne odredbe (klauzule u ugovorima zaključenim između rukovaoca koji se nalazi u Evropskoj uniji, i obrađivača, ili još jednog rukovaoca, obično iz zemlje koja ne obezbeđuje adekvatan nivo zaštite podataka o ličnosti). Ova odredba je možda dovoljno široka da obuhvati i takozvana obavezujuća korporativna pravila (kodeksi interno usvojeni od strane multinacionalnih kompanija, čija je svrha da dozvole transfer podataka svojim povezanim licima koja se nalaze van Evropskog ekonomskog prostora (države članice Evropske unije, Island, Lihtenštajn i Norveška)).
Međutim, da bi takvi ugovori predstavljali osnov za zakonito iznošenje ličnih podataka iz Srbije prema Nacrtu zakona, mora se predvideti primena srpskog zakona o zaštiti podataka o ličnosti i ugovoriti nadležnost srpskih organa u slučaju spora u pogledu zaštite podataka koji se iznose. Ne postoji uporediva obaveza u odgovarajućim odredbama Nacrta EU Uredbe (članovi 42, 43 i 53).