Zakon o zaštiti podataka o ličnosti na čekanju - Hoćemo li čekati još godinu dana na primenu?

Zakon o zaštiti podataka o ličnosti, koji je izazvao brojne kritike stručne javnosti, a kojim bi Srbija trebalo da uskladi regulativu ove oblasti sa EU zakonodavstvom (GDPR) primenjivaće se od 21. avgusta ove godine, osim ako se njegova primena ne odloži, kako je tražio novi Poverenik za informacija od javnog značaja.

Poverenik je istakao da novi Zakon o zaštiti podataka o ličnosti "predstavlja veliki izazov kako za brojne organe vlasti koji nemaju dovoljno kapaciteta da odgovore obavezama koje nameće zakon, tako i za privredne subjekte, kao i ulaganje u pogledu podizanja svesti o značaju, obavezama ili pravima lica i ulaganje u informacione tehnologije i bezbednost podataka".

Istovremeno primena novog zakona iziskuje organizacione izmene Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, kako u pogledu broja službenika, tako i u pogledu podizanja kapaciteta struke. Imajući sve ovo u vidu poverenik je zatražio odlaganje primene novog zakona do 1. septembra 2020. godine. To bi bilo odlaganje od godinu dana od sadašnjeg datuma početka primene, 21. avgusta, stoji u saopštenju Poverenika.

Iz ove institucije su za medije navodili kako zbog novih poslova i nadležnosti postoji potreba da se poveća broj zaposlenih i izvršilaca, kao i da je teško naći stručnjake iz ove oblasti. Ipak, na naša pitanja o posledicama odlaganja primene ovog zakona do objavljivanja teksta nismo dobili odgovore.

Advokat Bogdan Ivanišević iz advokatske kuće BDK Advokati kaže da bi odlaganje primene ovog zakona imalo praktične posledice na kompanije koje su se pripremile za njegovu primenu od avgusta ove godine. Za njih to znači da moraju da "vrate sat unazad" i u dobroj meri ponište ono što su uradili proteklih godinu dana. Daje i neke plastične primere:

- Praktično recimo, neko je računao na novi pravni osnov obrade, koji novi zakon donosi, umesto saglasnosti koja je dominantan pravni osnov za obradu prema bivšem zakonu iz 2008. godine, i računao je da će od avgusta 2019. godine moći da se osloni na legitimni interes, umesto da traži saglasnost. Računao je i na to da neće morati da notifikuje unapred Poverenika o obradi koju namerava, jer prema novom zakonu ta obaveza ne postoji. Napravio je aranžman za iznošenje podataka u određenu državu van Evrope, jer je računao na to da u skladu sa novim zakonom neće morati da traži od Poverenika dozvolu za iznošenje. Ako je čekao 21. avgust da krene sa takvom obradom ili iznošenjem, a nastavi da se primenjuje stari zakon još godinu dana, to znači mnoge izgubljene mesece, jer u praksi dobijanje zelenog svetla od Poverenika može dugo da potraje, a i prikupljanje saglasnosti od lica zahteva vreme. Da je kompanija mogla da nasluti pre par meseci da novi zakon neće biti primenjen, možda bi se recimo već obratila Povereniku i možda bi već prikupila saglasnost od lica, umesto da čeka primenu novog zakona - kaže Ivanišević.

To bi bila opipljiva šteta za kompanije, smatra on, naročito za one veće, multinacionalne kompanije, koje su se mahom pripremale za ovaj novi zakon.

Stari zakon, prema našem sagovorniku, u GDPR eri predstavlja "kameno doba" za oblast zaštite podataka, i njegovo produžavanje nije dobro, čak ni za Poverenika, a ni za kompanije koje nisu pripremljene za njega. Obrazlažući stav iz svog autorskog teksta, Ivanišević kaže:

- Primena zakona bi naterala i instituciju Poverenika, i obrađivače i rukovaoce koji nisu spremni da ozbiljnije pristupe izgradnji kapaciteta za postupanje u skladu sa novom zakonom. Jedan scenario je primena novog zakona, usklađenog sa GDPR, a drugi scenario je još godinu dana prakse sa veoma lošim, starim zakonom - kaže.

Rodoljub Šabić, bivši poverenik, s druge strane podržava odlaganje primene ovog zakona:

- Zahtev novog poverenika je izvesno opravdan. I sam sam, dok sam bio na toj funkciji, ukazivao da je to nužno, isto je ukazivala i gđa Mandić, zamenica poverenika nakon mog odlaska, a pre dolaska Marinovića na to se ukazalo i u Izveštaju poverenika za 2018. Stoje svi razlozi za odlaganje primene koje je naveo Marinović u pismu predsednici Skupštine. Ali ono što nije dobro je to što se u pismu govori o logisitčkim i kadrovskim problemima (nepripremljenost organa rada vlasti za primenu zakona, potreba edukacije, drugačije organizacije itd), a ne pominje se nešto mnogo važnije - kaže Šabić.

On dodaje da je i on, u vreme pripreme zakona ukazivao da je vakacio legis, odložni rok za primenu zakona jako kratak i neadekvatan, pa su tvorci zakona produžili taj rok sa 6 meseci na 9.

- I tada sam, uz brojne primedbe na zakon upozorio da je i to vreme izvesno nedovoljno, ukazujući da su članice EU, iako neuporedivo bolje pripremljene za primenu famozne GDPR ostavile sebi vacaio legis od čak dve godine.

On smatra da, i ako dođe do odlaganja od godinu dana, kako je predloženo, za potrebne efekte neće biti dovoljno ni to vreme za rešavanje logističkih, organizacionih i kadrovskih rešenja. Glavni problem je ipak, prema Šabiću, to što je zakon "nedopustivo loš".

- On predstavlja ozbiljan rizik po prava građana kad god počeli sa njegovom primenom. Odlaganje primene imalo bi ozbiljnog smisla samo ako bi se to vreme iskoristilo za njegovo menjanje.

Iz Fondacije Share ipak ne vide dobre strane odlaganja ove primene:

- Razumemo da je Poverenik tek stupio na dužnost i da nije bio uključen u proces pisanja i donošenja novog zakona, kao i nezgodnu poziciju u kojoj se našao zbog zakona koji je usvojen sa nedostacima, ali sa druge strane odlaganje primene samo po sebi ne donosi ništa. U slučaju da se primena zaista odloži, subjekti koji su radili na usklađivanju sa novim pravilima bi na neki način bili izigrani, dok bi oni koji se uopšte nisu bavili standardima iz novog zakona bili podstaknuti da i dalje nastave da se ponašaju neodgovorno - kažu iz Fondacije Share.

Odlaganje početka primene Zakona o zaštiti podataka o ličnosti bi jedino imalo smisla ako bi se u tom periodu usvojile izmene i dopune zakona koje bi ispravile nedostatke na koje su ukazivali civilno društvo, kancelarija Poverenika i Evropska komisija, tvrde oni.

Činjenica je da ni kompanije ni organi za zaštitu podataka o ličnosti u državama članicama EU nisu bili u potpunosti spremni za početak primene GDPR-a u maju prošle godine. Reč je o dugoročnom procesu prilagođavanja i usklađivanja koji se ne završava početkom primene nekog propisa, tako da nije opravdanje da ne postoji spremnost za primenu novog domaćeg zakona. Takođe smatramo da bi odlaganje zakona bilo neozbiljno i u odnosu prema stranim kompanijama koje žele da pružaju usluge na teritoriji Srbije i usklade svoje poslovanje sa domaćim Zakonom o zaštiti podataka o ličnosti, u vezi sa čim je SHARE Fondacija slala pisma na adrese 20 svetskih kompanija.

Novi zakon je pre svega od najveće važnosti za građane, koji će imati više mogućnosti da zaštite svoja prava u vezi sa podacima o ličnosti što pre zakon bude počeo da se primenjuje, zaključuju iz ove fondacije.

Novi zakon pratile su brojne kritike javnosti, ali je jedna od ozbiljnijih došla upravo od Evropske komisije, koja je ocenila da je sama struktura zakona problematična, da je problematična suština određenih zakonskih odredbi, kao i da je "nerazumljiv" i "prekomerno komplikovan".

Kao loše strane zakona navođeni su i neadekvatno uređen postupak zaštite prava građana, neprimereno niske kazne za njegovo kršenje, ali je najbolnija tačka upravo član 40, koji propisuje da se policiji, obaveštajnim agencijama ili privatnim kompanijama omogučava da zadiru u privatnost građana u situacijama kao što su zaštita nacionalne bezbednosti, odbrane, javne bezbednosti, prava i sloboda drugih lica. U prvobitnoj verziji ovo pravo zadiranja u privatnost bilo je dozvoljeno samo kada je "propisano zakonom" ali je ovo nestalo iz finalne verzije. Sada je procena kada je dozvoljeno zadiranje u privatne podatke građana vrlo nejasna i upućuje na to da bi mogla biti zloupotrebljena.

Novi zakon nudi potpunu drugačiju definiciju pristanka na obradu podataka o ličnosti, koja je sada oslobođena obavezne pisane forme, čime se hvata korak sa digitalizacijom. Sadržinski pristanak na obradu mora da ispuni znatno veće zahteve – mora biti dobrovoljan, određen, informativan i nedvosmislen, a volja lica izražena izjavom ili jasnom potvrdnom radnjom.

Detaljnije je regulisano pravo na ispravku, dopunu i brisanje podataka o ličnosti iz evidencije rukovaoca. Rukovalac odnosno obrađivač podataka o ličnosti, u svakom slučaju imaju mogućnost da imenuju lice za zaštitu podataka o ličnosti, s tim da u pojedinim slučajevima to predstavlja obavezu.

Ukoliko rukovalac odnosno obrađivač posluju u okviru grupa privrednih subjekata, onda mogu da odrede zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe. Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora.

Prenos podataka o ličnosti u druge države i međunarodne institucije je u velikoj meri liberalizovan novim Zakonom, po uzoru na GDPR. Takođe lica imaju pravo na neposredno pravno sredstvo – pritužbu Povereniku ako smatraju da se obrada njihovih podataka ne vrši u skladu sa odredbama Zakona, što do sada nije bio slučaj. Maksimalna kazna koja se može izreći rukovaocu za prekršaje iz ovog Zakona je dva miliona dinara.

Važna novina je i prestanak vođenja Centralnog registra i obaveza registracije baze podataka pred Poverenikom. Odgovornost vođenja evidencija o bazama podataka prelazi sa Poverenika na rukovaoce obrade, što bi Povereniku trebalo da omogući kvalitetnije izvršavanje nadzora nad primenom zakona.