Srpski Zakon o zaštiti uzbunjivača (“Zakon o uzbunjivačima”), koji se primenjuje od 5. juna, fokusira se na zaštitu uzbunjivača, tako što predviđa brojne mere zaštite koje bi trebalo da ohrabre potencijalne uzbunjivače da prijave nezakonite aktivnosti u svom radnom okruženju, a bez straha od posledica u vidu nekog oblika odmazde.

U meri u kojoj funkcionisanje uzbunjivačkog mehanizma podrazumeva obradu podataka o ličnosti zaposlenih na koje se odnose informacije, samog uzbunjivača ili drugih lica, primenjuju se odredbe Zakona o zaštiti podataka o ličnosti (2008) (“ZZPL”). Nije očigledno da li bi svaki aspekt ZZPL-a mogao da bude primenjen u materiji uzbunjivanja. Čini se, na primer, da poslodavac ne mora da obavesti telo nadležno za zaštitu podataka (“Poverenik”) o nameravanoj primeni mehanizma uzbunjivanja. Takođe, moguća su i različita stanovišta o obavezi, ukoliko je uopšte ima, da poslodavac prijavi Povereniku prikupljene podatke (zbirku podataka) izvedene iz uzbunjivačkog mehanizma.

Nepostojanje obaveze obaveštavanja Poverenika o nameravanoj primeni mehanizma uzbune?

U proteklih sedam meseci, od usvajanja Zakona, Poverenik nije javno zauzeo stav o tome da li bi poslodavci trebalo da ga obaveštavaju pre nego što uspostave mehanizam uzbunjivanja. Ovo ćutanje bi moglo da odražava stav Poverenika da, u stvari, obaveza obaveštavanja ne postoji.

Moguće je izvesti nekoliko argumenata o tome zašto poslodavci koji uspostavljaju uzbunjivački mehanizam ne bi morali da obaveste Poverenika o tome. Opšte pravilo ZZPL-a je da rukovalac podataka ima obavezu obaveštavanja Poverenika pre početka obrade podataka, odnosno  pre formiranja zbirke podataka (čl 49, stav 1). Ipak, kao izuzetak od pravila, ne postoji obaveza obaveštavanja ukoliko određeni propis određuje svrhu obrade, vrstu podataka koji se obrađuju, kategoriju korisnika koji imaju pristup podacima i vreme za koje će podaci biti arhivirani (član 49, stav 2).

U slučaju uzbunjivanja, uslovi koji opravdavaju izuzetak verovatno su ispunjeni. Zakon o uzbunjivačima je poseban propis koji propisuje svrhu obrade podataka (otkrivanje informacija o nezakonitom ili opasnom ponašanju i prevencija štete), vrstu podataka za obradu (podaci koji ukazuju na kršenje zakona, zloupotrebu javne vlasti, ili opasnost za život, zdravlje, bezbednost ili okolinu), i kategorije korisnika (poslodavac, organi vlasti).

Zakon ne određuje period arhiviranja – četvrti uslov za izuzeće rukovaoca od obaveze obaveštavanja – ali obavezuje poslodavca sa više od deset zaposlenih da statutom reguliše interni postupak uzbunjivanja. Statuti, po pretpostavci, predviđaju period za vreme koga bi se podaci držali, čime bi poslednji uslov za oslobođenje od obaveze obaveštavanja Poverenika bio ispunjen.

S obzirom na to da Zakon obavezuje svakog poslodavca da ustanovi mehanizam uzbunjivanja – imenovanjem lica ovlašćenog za prijem informacije i vođenje postupka u vezi sa uzbunjivanjem, i, u slučaju poslovanja sa deset ili više zaposlenih, donošenjem opšteg akta kojim uređuje postupak unutrašnjeg uzbunjivanja – obaveštavanje Poverenika o tome da će mehanizam biti ustanovljen je suvišno.

Još jedan mogući argument u prilog stavu da ne postoji obaveza obaveštavanja Poverenika je taj da se u svrhu primene mehanizma uzbunjivanja ne prikupljaju podaci o ličnosti, pa nema ni potrebe da se prijavljuje Povereniku. Slovenački poverenik je zauzeo ovaj stav 2007. godine, ističući da se kao rezultat funkcionisanja mehanizma uzbunjivanja prikupljaju “navodi, mišljenja, sumnje i zapažanja”, a da oni “teško da mogu da se smatraju podacima o ličnosti”,  iz razloga što “ne predstavljaju činjenice o pojedincu – osim ako su na odgovarajući  način ispitani”. Samo ukoliko je poslodavac detaljno ispitao sve navode iz primljenih pritužbi i tako preobrazio navode u činjenice, morao bi da prijavi mehanizam povereniku za zaštitu podataka o ličnosti.

Pod pretpostavkom da je tumačenje srpskog prava, odnosno zakonskog izuzetka predviđenog članom 49, stav 2, ispravno, pravni okvir u Srbiji koji se tiče prijavljivanja mehanizma uzbunjivanja razlikuje se od preovlađujućeg – iako ne jedinog – pristupa unutar EU. U većini zemalja članica, prethodno obaveštavanje je obavezno.

Mađarska je jedan od retkih primera zemalja članica sa zakonom koji reguliše zaštitu uzbunjivača. Zakon CLXV iz 2013. godine o pritužbama i obelodanjivanju u javnom interesu je stupio na snagu 1. januara 2014. godine i izričito obavezuje rukovaoca da o obradi podataka u vezi sa sistemom uzbunjivanja obavesti poverenika, zaduženog za vođenje registra o podacima o ličnosti (član 14, stav 1).

Međutim, većina država u EU – uključujući Francusku, Nemačku, Belgiju, Austriju i Dansku – nema posebne zakone koji regulišu zaštitu uzbunjivača. Tela nadležna za zaštitu podataka su iz opštih zakona koji regulišu zaštitu podataka izvela zaključak da rukovaoci imaju obavezu obaveštavanja tog tela pre nego što uspostave mehanizam uzbunjivanja. Najčešći argument u tim jurisdikcijama je taj da, s obzirom na to da mehanizam uzbunjivanja podrazumeva prikupljanje podataka o ličnosti koji se odnose na postupke kažnjive pred sudovima ili upravnim organima, ili osetljivih podataka (npr. o  zdravlju), ili da bi postupak obrade mogao da isključi prijavljene pojedince iz uživanja nekog prava, koristi ili iz ugovora, takva obrada podataka zahteva neku vrstu nadzora. Obrada u okviru uspostavljanja mehanizma uzbunjivanja ne predstavlja izuzetak u odnosu na obradu ovakvih podataka u nekom drugom kontekstu.

Razlike među jurisdikcijama postoje u pogledu toga ko bi trebalo da bude nadležan za nadzor: u većini zemalja članica EU, to je telo nadležno na nacionalnom nivou za zaštitu podataka o ličnosti, a u nekim jurisdikcijama je to takozvani službenik za zaštitu podataka, imenovan od strane kompanije/rukovaoca podataka:

  • Austriji, na primer, uspostavljanje mehanizma uzbunjivanja obično zahteva prethodnu proveru i odobrenje nadležnog tela.
  • Nadležno telo u Danskoj je prihvatilo sličan pristup.
  • Nadležno telo u Francuskoj (CNIL) je donelo odluku 2005. godine u kojoj je zauzelo stanovište da je prethodno obaveštenje obavezno i da obrada zahteva odobrenje CNIL-a. Ova i naredne odluke CNIL-a su razjasnile da kompanije mogu da ispune te uslove auto-certifikovanjem, ukoliko je mehanizam uzbunjivanja uspostavljen u nekim od sledećih oblasti: finansije, računovodstvo, bankarstvo i anti-korupcija, borba protiv monopolske prakse, borba protiv diskriminacije i zlostavljanja na radnom mestu, zdravlje, higijena, i bezbednost na radu, zaštita životne sredine, i mehanizmi uzbune uspostavljeni u skladu sa Odeljkom 301(4) američkog Sarbanes-Oxley Act ili japanskog zakona o finansijskim instrumentima i razmeni.
  • Belgijsko nadležno telo je donelo preporuku (01/2006, od 29. novembra 2006. godine) u kojoj je zauzelo stav da je prethodno obaveštenje obavezno.

Nemačka ima osoben pristup, u tom smislu što privatni rukovalac podataka nema obavezu obaveštavanja nadležnog tela o mehanizmu uzbunjivanja ukoliko je rukovalac podataka imenovao službenika za zaštitu podataka, a službenik utvrdi da je mehanizam u skladu sa zakonom (član 4d, stav 2, Saveznog zakona o zaštiti podataka o ličnosti). Ovo pravilo se takođe primenjuje na uspostavljanje zbirke koja sadrži podatke izvedene iz postupka uzbunjivanja.

Prijavljivanje Povereniku zbirke podataka stvorene pritužbama uzbunjivača

Kada postupak dostavljanja informacija od strane uzbunjivača rezultira prikupljanjem navoda o nepravilnom postupanju konkretno navedenih pojedinaca, da li je time ustanovljena zbirka podataka i da li poslodavac ima obavezu registrovanja takve zbirke kod Poverenika?

Opšte pravilo u ZZPL je da rukovalac podataka mora dostaviti evidenciju o zbirci podataka Povereniku najkasnije 15 dana od kada je zbirka uspostavljena (član 51, stav 1). Ovo je opšte pravilo i ne poznaje izuzetke. Dok u izuzetnim situacijama regulisanim članom 49, stav 2, rukovalac nema obavezu obaveštavanja Poverenika o nameri obrade podataka, ne postoji zakonska odredba koja omogućava rukovaocu da izbegne obavezu registracije uspostavljene zbirke podataka.

U Srbiji, stoga, obaveza obaveštavanja o nameravanoj obradi podataka i registracija zbirke podataka nastale obradom su dve različite aktivnosti, koje podrazumevaju korišćenje dva različite prijave Povereniku od strane rukovaoca, iako dva načina prijave suštinski jedva da se razlikuju. Utoliko je moguće da, i ako poslodavac nema obavezu obaveštavanja Poverenika o postojanju mehanizma uzbunjivanja, zbirka podataka izvedena iz mehanizma uzbunjivanja mora biti registrovana

Kada poslodavac prikuplja, na osnovu dobijanja informacija od uzbunjivača, podatke o ličnosti onih koji se sumnjiče da su pogrešno postupali, takvo prikupljanje podataka se ne razlikuje od bilo kog drugog prikupljanja podataka koje čini “zbirku podataka”, u smislu takvog pojma prema Zakonu o zaštiti podataka. Stoga, pravna pravila koja se primenjuju na zbirke podataka generalno treba da se primenjuju na zbirke podataka u kontekstu uzbunjivanja.

Izgleda, onda, da bi zakon trebalo tumačiti tako da, dok ne postoji obaveza da se obavesti Poverenik o nameravanom uspostavljanju mehanizma uzbunjivanja, zbirke podataka koje su oformljene treba da budu registrovane kod Poverenika. Ovde je instruktivna analogija sa jednom drugom vrstom zbirke podataka koja nastaje u kontekstu zapošljavanja. Zakon o evidencijama u oblasti rada dopušta, u skladu sa članom 49, stav 2 ZZPL, izuzeće od obaveze obaveštavanja Poverenika o nameravanoj obradi podataka. Međutim, poslodavci koji obrađuju lične podatke zaposlenih u meri koja je obavezna prema Zakonu o evidencijama u oblasti rada su dužni da registruju oformljenu zbirku podataka – da bi ispunili svoju obavezu prema članu 51, stav 1, ZZPL.