Nedostaci Nacrta novog srpskog Zakona o zaštiti podataka o ličnosti(“Nacrt“), koje smo analizirali u našim blog postovima od 13. i 17.novembra, ne pružaju punu sliku o Nacrtu. Ovaj dokument, naime, sadrži i pozitivne karakteristike, i to uglavnom (mada ne samo) tamo gde usvaja nova rešenja iz nacrta Uredbe EU o zaštiti podataka ličnosti (“Nacrt EU Uredbe“). Sve u svemu, dok su nedostaci Nacrta dovoljno brojni i ozbiljni da zahtevaju temeljne intervencije, aspekti opisani u ovom blog postu (poslednjem od četiri blog posta iz serijala koji se bavi Nacrtom) treba da budu zadržani u izmenjenoj verziji Nacrta.
U ovom blog postu obrađujemo najvažnije pozitivne karakteristike Nacrta.
1) Ukidanje obaveze pribavljanja dozvole za iznošenje podataka o ličnosti u države koje nisu potpisnice međunarodnog ugovora
Nacrt u znatnoj meri olakšava iznošenje podataka o ličnosti u inostranstvo. Prema važećem Zakonu o zaštiti podataka o ličnosti, usvojenom 2008. godine (“Važeći zakon“), za svako iznošenje podataka o ličnosti u države koje nisu potpisnice Konvencije Saveta Evrope br. 108 potrebna je dozvola od strane Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Dobijanje takvog odobrenja može biti dugotrajan i često opterećujući proces. Nacrt napušta koncept dozvole za iznošenje u potpunosti. Iako Nacrt ide predaleko time što ne zahteva nikakvu ocenu adekvatnosti zaštite podataka o ličnosti (od strane Poverenika) u zemlji nameravanog uvoza – što je propust Nacrta analiziran u drugom delu ove serije blog postova – osnovna namera da se olakša iznošenje zaslužuje pozitivnu ocenu.
Prema Nacrtu, osnovni preduslov za iznošenje podataka o ličnosti u inostranstvo je da je to propisano zakonom, bilateralnim ili multilateralnim međunarodnim ugovorom iz oblasti zaštite podataka o ličnosti, koju je potpisala i ta država (po svoj prilici, Nacrt ima u vidu Konvenciju Saveta Evrope br. 108). U odsustvu ovog preduslova, iznošenje je dozvoljeno ako se zasniva na nekom od sledećih osnova: pristanak lica; izvršenje ugovora zaključenog između lica i rukovaoca; postojanje javnog interesa kao što je zaštita nacionalne i javne bezbednosti, odbrane, važnih ekonomskih ili finansijskih interesa države, kao i sprečavanje, otkrivanje, gonjenje učinilaca krivičnih dela ili zaštita sloboda i prava; ugovor između rukovaoca koji ima prebivalište odnosno sedište u Republici Srbiji (na jednoj strani ) i rukovaoca, obrađivača odnosno primaoca koji ima prebivalište, odnosno sedište, izvan Republike Srbije (na drugoj strani), pod uslovom da se na ugovor primenjuje pravo Srbije; itd. U većini ovih slučajeva, rukovalac je dužan da bez odlaganja obavesti Poverenika i lice na koje se podaci odnose da su podaci izneti iz Republike Srbije.
Predložena odredba bi donela olakšanje rukovaocima. Prema Važećem zakonu, rukovaoci moraju tražiti dozvolu od srpskog Poverenika u odsustvu odgovarajuće konvencije (Konvencije Saveta Evrope br. 108) prihvaćene od strane zemlje uvoza. Prema Nacrtu, ako iznošenje u određenu zemlju nije predviđeno odgovarajućim zakonom ili konvencijom, rukovalac koji može da se osloni na jedan od nabrojanih alternativnih osnova ne mora da traži dozvolu za iznošenje podataka o ličnosti od Poverenika.
Problem i dalje postoji u situaciji kada u odsustvu zakona, međunarodnog ugovora ili alternativnih osnova za zakonito iznošenje, rukovalac ne može izneti podatke u drugu državu (koja nije potpisnica odgovarajućeg međunarodnog ugovora, i koja nije obuhvaćena srpskim zakonom) čak i ako je u toj državi obezbeđen adekvatan nivo zaštite ličnih podataka. Ovo je zbog toga što, za razliku od Nacrta Uredbe EU, Nacrt ne predviđa adekvatan nivo zaštite u državi uvoza kao samostalan osnov za iznošenje podataka o ličnosti u tu državu. Dodatni nedostatak ove odredbe Nacrta je taj što, kada se kao (alternativni) osnov za iznošenje koristi potreba zaštite nacionalne i javne bezbednosti, odbrane, važnih ekonomskih i finansijskih interesa države, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela ili zaštite prava i sloboda, rukovalac ne mora o iznošenju da obavesti Poverenika, niti lice na koga se podaci odnose. Ovo može dovesti do nekontrolisanog iznošenja podataka o ličnosti u države koje ne omogućavaju odgovarajući nivo zaštite podataka, a predstavljaju političke saveznike ili ekonomske partnere Srbije.
2) Izričito predviđanje zajedničkog rukovaoca i podobrađivača (novina u srpskom pravu)
Nacrt uvodi smislenu definiciju rukovaoca, napuštajući loše napisanu i nejasnu definiciju rukovaoca u Važećem zakonu. Nacrt takođe sadrži korisnu referencu na zajedničkog rukovaoca i podobrađivača.
Prema Važećem zakonu, rukovalac je fizičko lice, pravno lice ili državni organ koji obrađuje podatke o ličnosti. Ovakva definicija rukovaoca ne sadrži dovoljno osnova za pravljenje distinkcije između rukovaoca i obrađivača.
Prema definiciji u Nacrtu, rukovalac samostalno ili zajednički sa drugima određuje svrhu i način obrade podataka. Ova definicija je u skladu sa definicijom Direktive EU o zaštiti podataka o ličnosti (95/46/EC) i Nacrtom EU Uredbe.
U Važećem zakonu se ne navodi da li mogu da postoje i zajednički rukovaoci. Ako se usvoji definicija iz Nacrta, više neće biti prepušteno tumačenju da li više subjekata koji zajednički određuju svrhu i način obrade podataka – što je scenario koji nije neuobičajen u praksi – mogu biti zajednički rukovaoci. Negativna strana je međutim ta, što za razliku od Nacrta EU Uredbe, Nacrt ne spominje obavezu zajedničkih rukovalaca da razgraniče svoje odgovornosti za postupanje prema zakonu, a naročito svoje odgovornosti prema licima čiji podaci se obrađuju.
3) Jači akcenat na bezbednosti podataka
Nacrt sadrži niz odredbi koje za cilj imaju obezbeđivanje podataka o ličnosti. Ove odredbe su prilično detaljne u poređenju sa Važećim zakonom. Taj zakon u samo jednom članu i dosta šturo određuje obavezu rukovaoca i obrađivača da preduzmu sve neophodne tehničke, kadrovske i organizacione mere zaštite podataka u skladu sa utvrđenim standardima i postupcima, a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde obavezu lica koja su zaposlena na obradi da čuvaju tajnost podataka.
Nacrt detaljnije razrađuje mere bezbednosti, pružajući listu mera koje se primenjuju na osnovu procene rizika narušavanja bezbednosti. Prilikom odlučivanja koje mere da primeni, rukovalac treba da uzme u obzir vrstu podataka koji se obrađuju i postojeće standarde zaštite, imajući u vidu razvijenost tehnologije i troškove primene mera (jedna od mera je obuka zaposlenih na poslovima obrade).
Uvođenje obaveznog obaveštavanja o povredi bezbednosti podataka – što je odredba preuzeta iz Nacrta EU Uredbe – predstavlja značajnu novinu, jer Važeći zakon ne predviđa obavezu takvog obaveštavanja na strani rukovaoca. Prema Nacrtu, rukovalac je dužan da bez odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu bezbednosti, obavesti Poverenika ako je u slučaju povrede bezbednosti podataka nastala opasnost od ugrožavanja prava i sloboda lica, a naročito prava na privatnost, identitet, ugled ili jednak tretman, odnosno od ugrožavanja zaštićenih interesa u oblasti ekonomske i socijalne sigurnosti. Istu obavezu ima i obrađivač prema rukovaocu. Pored obaveštenja Poverenika, rukovalac je (u istom roku) obavezan da obavesti i lice na koje se podaci odnose, sa nekoliko izuzetaka, uključujući situaciju kada je rukovalac preduzeo mere koje su sprečile i otklonile posledice povrede bezbednosti. Za razliku od Nacrta EU Uredbe, Nacrt ne upućuje eksplicitno na situaciju u kojoj su podaci samo u enkriptovanom obliku dostupni licu koje nije ovlašćeno da im pristupi, kao izuzetak od obaveze obaveštavanja. Međutim, može se tumačiti da je enkripcija obuhvaćena izuzetkom koji podrazumeva “mere koje su sprečile posledice povrede bezbednosti”.
Konačno, uvođenje obaveze da se izvrši procena rizika od povrede bezbednosti podataka je još jedan korak ka EU standardima kada je u pitanju regulisanje bezbednosti podataka. Prema Nacrtu, procena rizika od povrede bezbednosti podataka zahteva se u slučajevima kada bi zbog prirode, načina ili cilja obrade moglo doći do povrede prava, slobode ili zaštićenog interesa lica. Ova formulacija je donekle neprecizna, ali – kao što je objašnjeno u trećem delu ove serije blog postova – njena suština je da obaveza procene rizika od povrede bezbednosti postoji u ovim slučajevima: ako podaci koji se obrađuju spadaju u posebne podatke o ličnosti; u slučaju nadzora nad objektima i površinama u javnoj upotrebi, posebno u slučaju vršenja nadzora većih razmera; obrade podataka o deci; u slučaju automatske obrade koja bi uključivala sveobuhvatnu procenu ekonomskog stanja, kretanja, sklonosti i ponašanja lica; kao i u nekoliko drugih slučajeva.