Podaci o ličnosti su postali osnova novih biznis-modela, ali istovremeno i temelj odgovornosti kompanija koje prikupljaju i obrađuju informacije o korisnicima njihovih usluga. Pojedinac u većini slučajeva ne može da izbegne davanje ličnih podataka, a biznis-modeli zasnovani na prikupljanju podataka o ličnosti su dužni da omoguće da lični podaci budu bezbedni i zaštite građane od svake zloupotrebe i nedozvoljene obrade, u suprotnom, stvara se mogućnost za ozbiljno narušavanje ljudskih prava, pre svega prava na privatnost.
U Srbiji je pravni okvir za zaštitu podataka o ličnosti ustanovljen tek 2008. godine, usvajanjem Zakona o zaštiti podataka o ličnosti (ZZPL). Iako je pre usvajanja ovog zakona već postojao Zakon o zaštiti podataka o ličnosti koji je Savezna Republika Jugoslavija usvojila još 1998. godine, nikada nije primenjen u praksi. Treba imati u vidu da sam Ustav Republike Srbije (član 42) jemči zaštitu podataka o ličnosti.
ZZPL određuje da rukovalac podacima, dakle kompanija, mora da ispuni određene uslove pre nego što započne obradu podataka – saglasnost korisnika, cilj (svrha) obrade mora biti jasan i dozvoljen, podatak mora biti potreban za ostvarenje svrhe obrade, srazmeran broj podataka u odnosu na cilj koji se želi postići, a podaci moraju biti potpuni, istiniti i nezastareli (član 8). Nadalje, zakon ovlašćuje lica da zahtevaju anonimiziranje ili brisanje podataka nakon što se ispuni cilj (član 8). Rukovalac podacima je pravno lice, odnosno kompanija, dok zakon određuje i pojam korisnika podataka kao lice koje koristi podatke na osnovu pristanka lica čiji su podaci u pitanje, dok je obrađivač lice kome rukovalac na osnovu ugovora poverava obradu podataka (član 3).
Zakon o zaštiti podataka o ličnosti propisuje da Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (Poverenik) vrši poslove zaštite podataka o ličnosti kao samostalan organ, nezavisan u vršenju svoje nadležnosti (član 1 stav 3 ZZPL). On takođe vodi i Centralni registar zbirki podataka, koji predstavlja evidenciju koju čini registar zbirki podataka i katalog zbirki podataka, a kompanije su obavezne da prijave svoje baze podataka (član 3, stav 10).
Osim toga, Poverenik odlučuje po žalbi lica za ostvarivanje prava u vezi sa obradom podataka o ličnosti (čl. 38). Lice može izjaviti žalbu iz sledećih protiv odluke rukovaoca kojom je odbijen ili odbačen zahtev ili ako ne odluči o zahtevu u propisanom roku, odnosno ako ne stavi na uvid podatak, ili ako rukovalac uslovi izdavanje kopije podataka uplatom naknade koja prevazilazi iznos nužnih troškova izrade kopije, kao i u slučaju da rukovalac, suprotno zakonu, otežava ili onemogućava ostvarivanje prava. Rešenja Poverenika su obavezujuća, konačna i izvršna.
Po procenama Poverenika, u Srbiji postoji između 300.000 i 350.000 rukovalaca-obveznika Zakona o zaštiti podataka o ličnosti. U Srbiji trenuntno ne postoje podaci o tome da li rukovaoci poštuju i sprovode Zakon, kao ni o tome da li preduzimaju organizacione i tehničke mere u cilju zaštite ličnih podataka od zloupotreba, što je takođe jedna od obaveza koje su predviđene Zakonom. Evropska komisija je u godišnjem Izveštaju za 2012. godinu navela da neadekvatni resursi predstavljaju kontinuirani problem sa kojim se suočava ova institucija i da stoga Poverenik nije u mogućnosti da sprovodi nadzor nad svim rukovaocima podataka o ličnosti. U svetlu navedenih činjenica, zaključuje se da Poverenik ne može sam da vrši nadzor nad primenom odredbe Zakona o zaštiti podataka o ličnosti od strane kompanija, te je na taj način i stvoren prostor da kompanije donošenjem samoregulatornih akata bliže urede ovu oblast i zaštite potrošače od nedozvoljene upotrebe njihovih podataka.
Tako je i postupila kompanija “Limundo”, koja je donošenjem i objavljivanjem Uslova za korišćenje i Pravlinika o privatnosti osigurala poslovanje u skladu sa Zakonom i na taj način postala primer dobre prakse upravljanja podacima. U uslovima korišćenja “Limunda” stoji da, kada je u pitanju korišćenje podataka o ličnosti, mogućnost korišćenja ličnih podataka imaju samo zaposlena lica u kompaniji koji imaju ovlašćenje za korišćenje podataka, zatim lica sa kojima član o čijim podacima je reč stupa u obligacioni odnos, kao i “svi državni organi koji na osnovu zakona i/ili odluke suda ostvaruju pravo korišćenja podataka”. Dakle, državni organi mogu pristupiti podacima o ličnosti članova ili na osnovu odluke suda ili u zakonom propisanim slučajevima.
“Limundo” ima i poseban Pravilnik o privatnosti u kom je navedeno da “Limundo” d.o.o. vrši obradu neophodnih podataka onih lica koja su dala pristanak za obradu, u za to jasno određenu svrhu, na zakonom dozvoljen način, tako da lice na koje se podaci odnose ne bude određeno ili odredivo i nakon što se ostvari svrha obrade, a u srazmeri sa svrhom obrade. Podaci koji se obrađuju moraju biti istiniti i potpuni, kao i da se zasnivaju na verodostojnom izvoru odnosno izvoru koji nije zastareo.”
Drugi primer dobre prakse odnosi se na “Telenor grupu” koja u svom Kodeksu postupanja navodi da “korisnici, zaposleni i drugi treba da budu sigurni da se lični podaci obrađuju na način da se koriste samo za legitimne poslovne svrhe” (deo 4.6). Takođe, “Telenor” sakuplja, obrađuje i čuva podatke o ličnosti samo za legitimne poslovne svrhe i ne čuva takve podatke duže nego što je potrebno za svrhu prikupljanja. Lični podaci korisnika se obrađuju u skladu sa relevantnim zakonima i drugim propisima o zaštiti podataka o ličnosti.
Prema Politici privatnosti „Telenora Srbija”, kompanija će održavati samo one lične podatke čiju su obradu klijenti izričito tražili od “Telenora”. Takođe, u skladu sa praksom mnogih svetskih kompanija, “Telenor” će ukoliko odluči da promeni ovu Politiku privatnosti, obaveštavati klijente o tome tako što će izmene postavljati na veb stranici, ali i slanjem e-mail obaveštenja, najmanje 30 dana pre promene Politike, kako bi korisnici bili svesni koje lične podatke “Telenor” obradjuje, kako ih koristi i pod kojim okolnostima ih otkriva, ako je to slučaj. “Telenor” takođe ima Rukovodioca za privatnost podataka koji je odgovoran za poštovanje i primenu Politike privatnosti od strane “Telenora”, o čemu ćemo pisati u jednom od narednih tekstova.
Prva incijativa za donošenje samoregualtornih pravila na nivou sektora marketniških agencija nastala je pod okriljem International advertising association. U radnom dokumentu srpskog Kodeksa marketinških komunikacija zaštita podataka i privatnost su obuhvaćeni članom 17, koji je podeljen na više delova (prikupljanje podataka i obaveštavanje, korišćenje podataka, zaštita obrade podataka, lični podaci o deci, prava potrošača itd).
U delu “Politika privatnosti” navodi se da “oni koji prikupljaju podatke za potrebe aktivnosti marketinške komunikacije treba da imaju razvijenu politiku privatnosti čiji uslovi treba da budu lako dostupni potrošačima i u kojima treba da bude jasno naznačeno da li je u toku prikupljanje ili obrada podataka, bilo da je to očigledno ili ne.” Načela Kodeksa, u odgovarajućim slučajevima, treba da primenjuju sve organizacije, kompanije i pojedinci angažovani u svim fazama procesa marketinških komunikacija (član 23). Kodeks propisuje i da se nijedan učesnik na tržištu (agencija za marketinške komunikacije, izdavač, vlasnik medija…) ne sme baviti marketinškim komunikacijama koje nadležno samoregulatorno telo smatra neprihvatljivim (član 24). Kako ovaj Kodeks još uvek nije stupio na snagu, sa posebnom pažnjom ćemo pratiti njegovu primenu usled činjenice da je prikupljanje podataka o ličnosti izuzetno popularno i raspostranjeno u marketinškom sektoru, naročito zbog mogućnosti direktnog marketinga u digitalnom okruženju.
ZZPL predstavlja dobar osnov za dalju izradu propisa koji dotiču oblast obrade i rukovanja podacima, a za potrebe IKT biznis sektora. Međutim, treba imati u vidu i činjenicu da regulativa ne prati trenutne društvene i ekonomske potrebe i da ponekad može da usporava inovacije, dok biznis-modeli teže slobodnom razvijanju. Zbog toga u svetu kompanije primenjuju alternativne regulatorne principe o kojima će biti više reči u sledećem tekstu.
Nastaviće se…