Zaštita podataka o ličnosti je deo korpusa zagarantovanih ljudskih prava i predstavlja neodvojivi deo ljudskog prava na privatnost, čija je zaštita propisana kako međunarodnim, tako i regionalnim i nacionalnim propisima. Zaštita podataka o ličnosti odnosi se isključivo na zaštitu prava građana, a u vezi sa njihovim podacima o ličnosti. Ako informacija ne predstavlja podatak o ličnosti, propisi o zaštiti podataka se ne primenjuju i podaci mogu da se obrađuju bez daljih ograničenja (osim u slučaju da su drugim zakonima predviđeni posebni uslovi za korišćenje određenih podataka). Zaštita podataka o ličnosti važna je sa stanovišta zaštite osnovnih ljudskih prava i sloboda, a naročito prava na privatnost, slobodu izražavanja i okupljanja.
Sa razvojem informaciono-komunikacionih tehnologija (IKT), koje omogućavaju visok stepen razmene podataka o pojedincima, ovo pravo postaje sve ugroženije i postavlja se pitanje na koji način zaštiti privatnost, tj. lične podatke korisnika, naročito imajući u vidu statičnost i nefleksibilnost postojeće regulative koja uređuje zaštitu podataka o ličnosti. Takođe, novi biznis-modeli se sve češće oslanjaju na prikupčljanje, obradu i korišćenje podataka o ličnosti korisnika. Istovremeno, podaci o ličnosti predstavljaju temelj odgovornosti kompanija koje prikupljaju i obrađuju informacije o korisnicima njihovih usluga. Internet komunikaciju i postojeće biznis-modele je često teško uklopiti u zakonodavni okvir zaštite podataka o ličnosti. Pojedinac u većini slučajeva ne može da izbegne davanje podataka o ličnosti (koji u stvari predstavljaju svojevrstan način plaćanja na Internet stranicama poput Facebook-a i Instagram-a, koje su naizgled besplatne, ali je pritup njima uslovljen davanjem podataka o ličnosti korisnika, pod njihovim uslovima poslovanja) , a Internet platforme i biznis-modeli zasnovani na prikupljanju podataka o ličnosti su dužni da omoguće da oni budu bezbedni i zaštite građane od svake zloupotrebe i nedozvoljene obrade.
Još jedna opasnost koja preti kršenju prava na privatnost i zaštiti podataka o ličnosti jeste stvaranje velikih “banaka podataka” u svim oblastima. Pristup informacijama na osnovu kojih je utvrđen ili se može utvrditi identitet neke osobe može se iskoristiti i na način da ovi podaci budu zloupotrebljeni za nadgledanje te osobe, za stvaranje čitavih baza podataka o pojedincima, za razmenu i trgovinu ovim podacima, kao i za krađu identiteta i mnoge druge oblike zloupotreba. Ukoliko se obrada podataka ne vrši na pravno dozvoljen način, stvara se mogućnost za ozbiljno narušavanje prava na privatnost, ali i uticaj na društvo u celini i raznovrsne etičke probleme, uključujući i nadzor na komunikacijama, prodaju podataka o ličnosti i krađu identiteta. Društveno odgovorno poslovanje kompanija u digitalnoj eri teži da uspostavi ravnotežu između zaštite korisnika i bezbednosti njihovih podataka, uz istovremeno neometano poslovanje i inovaciju. Stoga bi konstantni dijalog, edukacija i saradnja različitih aktera trebalo da dovedu do zaštite podataka o ličnosti u skladu sa najvišim standardima, a da pritom ne utiču negativno na razvoj tržišta, slobodnu komunikaciju na Internetu i razvoj.
Contents
[hide]
- 1 Odnos prava na privatnost i zaštite podataka o ličnosti
- 2 Principi i načela obrade podataka o ličnosti
- 3 Zaštita podataka o ličnosti u sajber prostoru
- 4 Pravni okvir – utvrđivanje relevantnih pravnih izvora / propisa
- 4.1 Važeći propisi
- 4.2 Identifikacija relevantnih pravnih propisa
- 4.3 Analiza pravnih mehanizama na raspolaganju zainteresovanim stranama i nadležni organi
- 4.4 Nadležni organi: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti
- 4.5 Sudska i administrativna praksa
- 4.6 Propisi u razvoju i proceduri
- 5 Usklađenost sa međunarodnim izvorima prava
- 6 Pregled principa i politika koji su kreirani od strane zajednice
- 7 Preporučene mere kako bi došlo do otklanjanja odstupanja
- 8 Reference
Odnos prava na privatnost i zaštite podataka o ličnosti[edit | edit source]
Pravo na privatnost je lično pravo svakog pojedinca koje je prisutno u pravnoj nauci od davnina. Prvu definiciju prava na privatnost postavili su 1890. godine Luis Brandejz i Semjuel Varen (Louis Brandeis i Samuel Warren)[1] i ona je pravo na privatnost definisala kao “pravo da se bude ostavljen na miru” (the right to be let alone). Kako je vreme prolazilo, pravo na privatnost je dobijalo sve veći obim, i sada obuhvata sve aspekte privatnog i porodičnog života, uključujući i zaštitu psihičkog i fizičkog integriteta, zaštitu doma i prepiske, imena i identiteta lica, zaštitu od nedozvoljenog prikupljanja podataka o ličnosti, kao i slobodu da pojedinci žive život po svom nahođenju. Države imaju obavezu da poštuju ovo lično pravo, koje mogu da ograniče jedino u slučajevima kada je to u skladu sa zakonom i neophodno u demokratskom društvu u interesu nacionalne bezbednosti, javne bezbednosti ili ekonomske dobrobiti zemlje, radi sprečavanja nereda ili kriminala, zaštite zdravlja ili morala, ili radi zaštite prava i sloboda drugih.
Međutim, kad je u pitanju zaštita podataka o ličnosti, definicija prava na privatnost je u međunarodnim dokumentima postavljena je široko i neophodno je utvrditi konkretnu vezu između privatnosti i zaštite podataka o ličnosti. Jedna od definicija odnosa zaštite podataka i privatnosti, koju je dao Gelman[2] (Gellman) je da je zaštita podataka “parče privatnosti”, i da predstavlja “koristan evropski pojam koji se odnosi na pravila o sakupljanju, korišćenju i širenju podataka o ličnosti” i “važan deo prava na privatnost”.
Pojam “zaštita podataka” je nastao u Evropi, a danas je usvojen u celom svetu. Iako se u članovima Konvencija kojima se reguliše pravo na privatnost izričito ne spominje, Komitet za ljudska prava (Human Rights Committee), u svom Generalnom komentaru br. 16 o članu 17 Međunarodnog pakta o građanskim i političkim pravima (Pravo na privatnost, porodičan život, dom i prepisku, zaštitu časti i reputacije])[3] je još 1988. godine uvrstio ovaj pojam kao sastavni deo prava na privatnost. Komitet je naveo da “prikupljanje i čuvanje podataka o ličnosti na kompjuterima, bazama podataka i drugim uređajima, bilo od strane državnih organa ili privatnih lica ili organa, mora biti regulisano zakonom” i da “svaki pojedinac treba da bude u mogućnosti da utvrdi koji javni organi, privatna lica ili tela kontrolišu ili mogu kontrolisati njihove podatke”. Ako takvi podaci sadrže pogrešne informacije ili su prikupljeni ili obrađeni u suprotnosti sa odredbama zakona, svaki pojedinac treba da ima pravo da traži ispravljanje ili brisanje.” Većina zakonodavstava, uključujući i zakonodavstvo Republike Srbije, prihvatilo je ovaj predlog i regulisalo zaštitu podataka o ličnosti posebnim zakonima. Međutim, zbog naglog razvoja informacionih tehnologija, ali i Internet komunikacije, mnogi zakoni nisu usklađeni sa sadašnjim stanjem tehnike i stoga ih treba revidirati kako bi zaštita podataka o ličnosti bila na odogovarajućem nivou. Više o međunarodnim, evropskim i zakonima Republike Srbije možete pročitati ovde.
Principi i načela obrade podataka o ličnosti[edit | edit source]
Smernice OECD za zaštitu privatnosti i prekograničnu razmenu podataka o ličnosti iz 1980.[4] godine su postavile temelje zaštite privatnosti i podataka o ličnosti na Internetu. Već 1980. godine, OECD je uvidela povezanost ljudskog prava na privatnost podataka i razvoj ekonomije, pogotovo sektora bankarstva i osiguranja. Ove smernice su razvijene kako bi se podaci o ličnosti zaštitili od nezakonitog prikupljanja i prikupljanja netačnih podataka, kao i od zloupotrebe i neovlaščenog otkrivanja, a u isto vreme osigurao slobodan promet podataka i ekonomski razvoj. U Aneksu, koji predstavlja sastavni deo Smernica, navedeno je osam osnovnih principa zaštite privatnosti i podataka o ličnosti koji treba da budu primenjeni na nacionalnom nivou.
Ovi principi obuhvataju:
- princip ograničenog prikupljanja podataka,
- princip kvaliteta podataka,
- princip ograničenja svrhe obrade i korišćenja podataka,
- princip bezbednosne zaštite podataka,
- princip otvorenosti, odnosno transparentnosti rada državnih organa u vezi sa podacima o ličnosti,
- princip učešća pojedinca u prikupljanju i obradi njegovih podataka o ličnosti, kao i
- princip odgovornosti rukovaoca podacima o ličnosti.
OECD je 2013. doneo nove, revidirane Smernice, imajući u vidu razvoj tehnologije i moderne načine komunikacije, odnosno njihov uticaj na zaštitu podataka o ličnosti. Ove revidirane Smernice su potekle iz poziva Ministara u Seulskoj deklaraciji o budućnosti internet ekonomije[5] da se Smernice iz 1980. godine revidraju u svetlu “razvoja novih tehnologija, tržišta i ponašanja korisnika, kao i sve većoj važnosti digitalnih identiteta”. Izmene Smernica iz 1980. godine mogu se svrstati u dve oblasti: praktičnu implementaciju zaštite privatnosti kroz upravljanje rizicima i poboljšanje interoperabilnosti na globalnom nivou. Uvedeno je i nekoliko novih koncepata, koji između ostalog uključuju i nacionalne strategije privatnosti, zatim programi upravljanja privatnošću za organizacije, kao i mehanizmi obaveštavanja nadležnih organa ili pojedinaca o povredi zaštite podataka o ličnosti. I pored ovih izmena, deo Smernica iz 1980. godine koji se odnosi na osnovne principe ostao je nepromenjen.
Prema Direktivi Evropskog parlamenta i Saveta Evropske unije o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i slobodnom protoku podataka br. 95/46 od 1995. godine[6] pet fundamentalnih principa na kojima počiva sistem zaštite podataka o ličnosti su:
(a) podaci moraju biti obrađivani pošteno i zakonito;
(b) podaci moraju biti prikupljani u određene, izričite i zakonite namene, i ne smeju se dalje obrađivati na način koji je neprimeren tim namenama;
(c) podaci moraju biti primereni, relevantni i ne smeju biti prekomerni u odnosu na namenu radi koje se prikupljaju i/ili se dalje obrađuju;
(d) podaci moraju biti tačni i, po potrebi, ažurirani; mora biti preduzet svaki razuman korak da bi se obezbedilo da podaci koji su netačni ili nepotpuni, s obzirom na namenu radi koje se prikupljaju ili radi koje se dalje obrađuju, budu izbrisani ili ispravljeni.
(e) podaci moraju biti čuvani u obliku koji omogućuje identifikaciju lica koja su predmet podataka, ali ne duže nego što je neophodno u svrhu radi koje su podaci prikupljani ili radi koje su dalje obrađivani. Države članice će propisati odgovarajuće mere zaštite za podatke o ličnosti koji se čuvaju na duži vremenski period radi korišćenja u istorijske, statističke ili naučne svrhe.
Dakle, obrada podataka treba da bude svedena na meru koja je neophodna, mora postojati visok stepen transparentnosti obrade podataka i mora biti uspostavljen efikasan nadzor nad obradom podataka.
Osnovna načela[7] u oblasti obrade podataka o ličnosti prema Zakonu o zaštiti podataka o ličnosti Republike Srbije (ZZPL)[7] su načela zakonitosti, ograničavanja svrhe, srazmernosti, tačnosti, ograničenog zadržavanja i zabrana diskriminacije.
- Načelo zakonitosti
Prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje se zakonom. Načelo zakonitosti znači da rukovalac podacima o ličnosti mora da ima opravdan osnov za svako prikupljanje i korišćenje podataka o ličnosti, zatim da ne sme koristiti podatke na način koji ima neopravdano štetno dejstvo po lica čiji su podaci u pitanju, da mora na transparentan način da objasni kako koristi podatke i da licima pruži odgovarajuće informacije prilikom prikupljanja njihovih podataka o ličnosti, da mora da rukuje podacima o ličnosti samo na način koji lice može razumno da očekuje i da mora da se uveri da se podacima ne rukuje nezakonito ni u jednoj fazi obrade. Načelo ograničavanja svrhe Svrha za koju se podaci obrađuju mora da bude konkretna i unapred utvrđena. Ako rukovalac pribavi podatke o ličnosti (od lica na koje se podaci odnose) za konkretnu svrhu, on ne sme dalje da koristi te podatke niti da ih otkrije trećem licu ukoliko nisu u skladu sa s prvobitno navedenom svrhom obrade.
- Načelo srazmernosti
Ovo načelo znači da je rukovaocu dozvoljeno da obrađuje podatke samo u meri u kojoj je to očigledno potrebno da bi se ostvarila utvrđena svrha obrade. U skladu s ovim principom, rukovaoci podacima bi morali da nastoje da odrede koji minimum informacija (u kvantitativnom i kvalitativnom smislu) koji je potreban za pravilno ostvarivanje njihove svrhe. Ovo praktično znači[8] da rukovаoci mogu da obrаđuju sаmo one podаtke koji su potrebni zа donošenje neke odluke, izvršenje određenog ugovorа ili poslа i sl. Ukoliko obim i vrstа podаtаkа o ličnosti koje rukovalac može da prikuplja i obrađuje nisu predviđeni zakonom, rukovаoci morаju, u zаvisnosti od situаcije odlučivаti kojа obrаdа predstаvljа srаzmernu obrаdu podаtаkа o ličnosti. Dakle, o ovom načelu se odlučuje u svakom slučaju pojedinačno. Tаko nа primer[8], ukoliko rukovalac orgаnizuje nаgrаdnu igru u kojoj mogu učestvovаti sаmo punoletnа licа, on sme od učesnikа da zаhtevа samo podatak o dаtumu/godini rođenjа, ali ne i onaj o jedinstvenom mаtičnom broju grаđаnа, jer to ne bi bilo u srazmerno, odnosno ne bi bilo potrebno da bi se ostvarila svrha obrade.
- Načelo tačnosti
Obrada podataka o ličnosti mora se vršiti na način kojim se obezbeđuje istinitost, potpunost i ažurnost. Podaci su neistiniti ako su netačni ili dovode u zabludu (npr. nepotpuni podaci) u pogledu svrhe obrade. Prema tome, obrada dokumentacije o lečenju ne može da se „ispravlja” brisanjem prvobitno postavljene pogrešne dijagnoze, zbog toga što postoji zakonska obaveza istinitog dokumentovanja svakog koraka u lečenju. U principu, sa stanovišta neistinitosti mogu da se osporavaju samo činjenice, ali ne i mišljenja.
Ažuriranje podataka podrazumeva zamenu podataka koji su u određenom trenutku bili tačni aktuelnim podacima o istoj pojedinosti, npr. mestu boravka nakon preseljenja lica. Ažuriranje se vrši samo prema potrebi. Svrha za koju se podaci koriste će svakako biti od značaja prilikom odlučivanja o potrebi ažuriranja.
Rukovaoci podacima nemaju lak zadatak da neprekidno revidiraju sve sačuvane podatke. Međutim, oni moraju da se revidiraju redovno. To takođe zavisi i od prirode podataka o ličnosti koje rukovalac podataka prikuplja i čuva. Na primer, podaci koji se ne menjaju često ili se ne menjaju uopšte moraju da budu istiniti i ažurirani u svakom trenutku – datum rođenja, broj socijalnog osiguranja, JMBG itd. Kod jednokratne obrade podataka o ličnosti, obaveza obezbeđivanja istinitosti i ažurnosti podataka o ličnosti zadovoljava se proverom da li su podaci koji se obrađuju istiniti, potpuni i ažurirani najkasnije u vreme početka obrade (odnosno prilikom prikupljanja).
Neistiniti ili nepotpuni podaci moraju da budu ispravljeni, dopunjeni ili obrisani, ili njihova obrada mora da bude prekinuta ili ograničena, što može zahtevati lice na koje se ovi podani odnose (član 22. ZZPL-a).
- Načelo ograničenog zadržavanja
Ovo načelo ograničava rok u kojem podaci o ličnosti mogu zakonito da se obrađuju. Da bi se obezbedilo poštovanje ovog načela, rukovaoci podacima moraju redovno da revidiraju svoje baze podataka o ličnosti i da obrišu ili anonimiziraju podatke (obrišu deo podatka na osnovu kojeg je moguće odrediti identitet) koji im više nisu potrebni za njihove svrhe. Ovo može da se vrši i automatski.
Ako je zbirka podataka uspostavljena ugovorom, odnosno na osnovu pristanka u pismenom obliku, u slučaju raskida ugovora, odnosno povlačenja pristanka u pismenom obliku, rukovalac je obavezan da podatke briše u roku od 15 dana od dana raskida ugovora, odnosno povlačenja pristanka, osim ako je drugačije propisano ili ugovoreno (član 36. ZZPL).
Ako su podaci o ličnosti evidentirani na osnovu ugovornog odnosa između rukovaoca podacima i lica na koje se podaci odnose, potreba za čuvanjem podataka obično prestaje sa prestankom postojanja tog odnosa. Shodno tome, podaci moraju da budu obrisani.
- Zabrana diskriminacije
Budući da zaštita podataka o ličnosti predstavlja univerzalno ljudsko pravo, ona se obezbeđuje svakom fizičkom licu, bez obzira na državljanstvo i prebivalište, rasu, godine života, pol, jezik, veroispovest, političko i drugo uverenje, nacionalnu pripadnost, socijalno poreklo i status, imovinsko stanje, rođenje, obrazovanje, društveni položaj ili druga lična svojstva (član 1, stav 2. ZZPL).
Zaštita podataka o ličnosti u sajber prostoru[edit | edit source]
Ubrzani tehnološki razvoj omogućava pojedincima u svim delovima sveta da koriste nove informaciono-komunikacione tehnologije i u isto vreme povećava mogućnost da države, kompanije i pojedinci vrše nadzor, presretanje i prikupljanje podataka o ličnosti, što povređuje osnovna ljudska prava, a pogotovo pravo na privatnost. Srž problema zaštite podataka o ličnosti na Internetu je to što korisnici ostavljaju tragove svuda kroz sajber prostor. Postoji veliki broj načina na koji se podaci o ličnosti mogu sakupljati dok korisnik surfuje Internetom i time kompromituje svoju privatnost, uključujući tragove korišćenja Interneta, takozvane kolačiće (cookies), zatim špijunske softvere (spyware) i mnoge druge. Ovde nije sporno prikupljanje informacija gde korisnici znaju i daju saglasnost da se njihovi podaci prikupljaju i koriste, već problem nastaje kada korisnici nisu svesni toga.
Imajući u vidu globalnu prirodu Interneta, treba uspostaviti ravnotežu između prava na privatnost korisnika Interneta i prava javnosti da zna i da pristupi informacijama, što je takođe zagarantovano pravo. Cilj kojem treba da težimo jeste mogućnost korišćenja Interneta za privatne potrebe, bez straha da treća lica, uključujući i države, kompanije, bezbednosne i obaveštajne agencije, pristupaju, prodaju, obrađuju ili javno objavljuju naše podatke iz bezbednosnih razloga ili radi sticanja profita, bez naše saglasnosti, ili na bilo koji drugi način ugrožavaju našu privatnost.
Jedna od glavnih pitanja u odnosu na prikupljanje i obradu podataka na Internetu, jeste prikupljanje i čuvanje takozvanih meta podataka, odnosno zadržanih podataka, koji predstavljaju podatke o tome ko, gde, kada i koliko komunicira na Internetu, izostavljajući podatke o sadržini te komunikacije.[9] Ovi podaci su postali posebno interesantni za javnost nakon što je otkriven tajni program nadzora američke Agencije za nacionalnu bezbednost.[10] Podaci koji se prikupljaju ne sadrže lične podatke ili podatke koje sadrže specifičan sadržaj. Problem sa meta podacima jeste taj što, iako ne daju informaciju o konretnom sadržaju komunikacije, pa samim tim možda osoba na koje se odnose ovi podaci neće biti odmah određena ili odrediva, ukoliko se dovoljan broj ovih podataka ukrsti, veoma lako može doći do dobijanja podataka o ličnosti korisnika. Prema Direktivi Evropskog parlamenta i Saveta o zadržanim podacima (Data retention directive 2006/24/EC), operatori imaju obavezu prikupljanja ovih podataka, ali je sporno njihovo dalje deljenje i obrada koje nisu u skladu sa zakonom ili odlukom suda.[11] Više o zadržanim podacima možete pročitati u wiki stranici o nadzoru i postupanju u skladu sa zakonom.
Kako bi ilustrovali koje sve podatke Internet platforme prikupljaju na dnevnom nivou, uzeli smo primere Facebook-a, Twitter-a i Google-a. Tako na primer, pri poseti Facebook nalogu, Facebook prikuplja podatke o imenu korisnika i njegovim biografskim podacima (datum rođenja, mesto boravka, radnu istoriju itd), korisničko ime, stranice na koje se korisnik pretplatio, lokaciju, uređaj, vreme i vremensku zonu, aktivnosti, “lajkove”, čekiranje i događaje. Twitter prikuplja korisnikovo ime, lokaciju, jezik, profilne informacije i URL, zatim datum kada je napravljen twitter nalog, korisničko ime i jedinstveni identifikator, lokaciju sa koje je tweet poslat, datum, vreme i vremensku zonu, jedinstveni ID tweet-a, i ID tweet-a na koji je odgovoreno, pratioce, praćene sajtove i broj “favourite-a”, verifikacioni status kao i aplikaciju sa koje je tweet poslat. Sa druge strane, Google search prikuplja podatke o upitu za pretragu, rezultate upita i stranice koje su posećene preko pretrage.[12]
Politike privatnosti Internet operatora[edit | edit source]
Većina Internet operatora, stranica i platformi baziraju svoje poslovanje na prikupljanju podataka o ličnosti korisnika, počevši od IP adrese, imena, prezimena, pa sve do brojeva platnih kartica i ličnih identifikacionih brojeva građana. Sve je veća svesnost korisnika o ovome, a samim tim oni žele da razumeju, ali i da kontrolišu koji podaci će biti prikupljani i čuvani, od strane koga, za koju svrhu, koliko dugo i sa kim se dele i kome se ustupaju. Baš zbog toga, neophodno je da svi koji obavljaju delatnost na Internetu imaju sastavljene i objavljene Politike privatnosti koje obuhvataju sva ova,ali i druga pitanja, koja moraju biti uređena kako bi se obezbedila pravna sigurnost korisnika na Internetu.
Jedna od najvećih svetskih Internet kompanija, Google, predstavlja najbolji primer poslovanja zasnovanog na prikupljanju, obradi i korišćenju podataka korisnika. Ovo se posebno vidi kroz hronološki pregled[13] politika privatnosti i uslova korišćenja. Naime, 1999. godine objavljena je prva politika privatnosti kompanije Google, u kojoj je pisalo da Google ne prikuplja lične podatke, osim ukoliko ih korisnik sam da. Poslednja promena Politike privatnosti desila se 2013. godine.[14] (prethodne su bile 2001, 2004, 2005, 2008, 2009, 2011. i 2012. godine).
U ovoj Politici navedeno je da se, između ostalih, prikupljaju podaci o ličnosti koje sam korisnik daje, a koji obuhvataju ime, prezime, email adresu, podatke sa kreditnih kartica i sliku, zatim informacije koje Google dobija na osnovu korišćenja Google usluga, informacije o uređaju (model hardvera, verzija operativnog sistema, jedinstveni identifikacioni brojevi uređaja i informacije o mobilnoj mreži, uključujući broj telefona), podaci evidencije (detalje o tome kako se koristila njihova usluga, informacije iz evidencije telefonije, kao što su broj telefona, broj telefona pozivaoca, brojevi telefona za prosleđivanje, vreme i datum poziva, trajanje poziva, informacije o SMS usmeravanju i tipovi poziva, IP adresu, događaje na nivou uređaja kao što su otkazivanja, aktivnost sistema, podešavanja hardvera, tip i jezik pretraživača, datum i vreme upućivanja zahteva, referentna URL adresa, cookies), informacije o lokaciji (kao što su GPS signali koje šalje mobilni uređaj; mogu da koriste različite tehnologije za određivanje lokacije, kao što su senzorski podaci sa uređaja koji mogu da pruže informacije o obližnjim pristupnim tačkama za Wi-Fi i predajnicima mobilne telefonije), jedinstvene brojeve aplikacija, lokalno skladištenje, kolačiće i anonimne identifikatore. Svrha za koju se ovi podaci prikupljaju je da bi se pružale, održavale, zaštitile, poboljšale, razvijale nove usluge, i zaštitili Google i njihove korisnike, kao i da bi se nudi prilagođen sadržaj. Ime koje je korisnik naveo za Google profil može se koristiti na svim uslugama koje Google nudi, a za koje je potreban Google nalog, kada korisnik kontaktira Google, mogu da sačuvaju zapis komunikacije koja može da im pomogne da reše neke probleme, da bi korisnicima poslali obaveštenje o uslugama, da bi poboljšali korisnički doživljaj i celokupni kvalitet usluga, kao i da bi olakšali deljenje sa ljudima koje korisnik poznaje.
Kada je u pitanju deljenje podataka trećim licima, Google ne deli podatke sa kompanijama, organizacijama i pojedincima izvan Google-a osim u nekoj od sledećih situacija: uz saglasnost korisnika, sa administratorima domena, zatim za spoljnu obradu (povezanim društvima ili drugim pouzdanim pravnim ili fizičkim licima da bi ih u Google-ovo ime obradili na osnovu uputstava i u skladu sa Politikom privatnosti) i iz pravnih razloga (da bi se postupalo u skladu sa važećim zakonima, propisima, zakonskim procesima ili izvršnim zahtevima državnih organa, da bi se primenili važeći Uslovi korišćenja usluga, uključujući istraživanje potencijalnih kršenja ovih uslova, da bi se otkrili, sprečili ili na neki drugi način rešili problemi sa prevarama i bezbednošću ili tehnički problemi, da bi se zaštitila prava, vlasništvo i bezbednost Google- a, korisnika ili javnosti kao što se to zahteva ili je dozvoljeno zakonom). Kada se govori o transparentnosti, odnosno obaveštavanju korisnika koji se podaci prikupljaju i u koju svrhu, Google traži saglasnost pre nego što informacije iskoristi u svrhu koja nije navedena u Politici privatnosti. Ako je Google uključen u spajanje ili kupovinu društava ili prodaju imovine, nastaviće da obezbeđuje poverljivost svih podataka o ličnosti i da obaveštava korisnike na koje se to odnosi pre nego što se podaci o ličnosti prenesu ili na njih počne da se primenjuje neka druga politika privatnosti. Takođe, bez izričite saglasnosti neće umanjivati prava korisnika u skladu sa Politikom privatnosti, postavljaće na stranici eventualne promene Politike privatnosti i, ukoliko su promene značajne, poslaće dodatno obaveštenje i zadržaće ranije verzije Politike privatnosti u arhivi kako bi korisnici mogli da ih pregledaju.
Organizacija Electronic Frontier Foundation (EFF) objavila je u aprilu 2013. godine Treći godišnji izveštaj o praksama pružaoca Internet usluga u odnosu na privatnost i transparentnost koje se odnose na pristup državnih organa podacima korisnika – Who has your back?.[15] U ovom izveštaju, EFF je ispitala politike većih Internet kompanija – uključujući pružaoce internet usluga (ISPs), operatore, pružaoce “cloud” usluga skladištenja, usluge zasnovane na lokaciji i društvene mreže – kako bi procenili da li su se javno obavezali da poštuju pravnu regulativu kada državni organi traže pristup l podacima o ličnosti. Za ovaj Izveštaj, EFF je razvio šest kriterijuma na osnovu kojih je analizirana praksa ovih kompanija, i to:
- da li traže sudski nalog za pristup sadržaju komunikacija,
- da li obaveštavaju korisnike o zahtevima državnih organa za pristup njihovim podacima o ličnosti,
- da li objavljuju “izveštaje o transparentnosti”,
- da li objavljuju pravilinike za postupanje sa zahtevima za izvršenje koje podnose državni organi,
- da li se bore za prava korisnika pred sudovima, i
- da li ih zastupaju pred Kongresom SAD.[15]
Prema nalazima istraživanja, kompanije koje su dobile najbolje ocene su društvena mreža Twitter i operator Sonic.net, koje su dobile zvezdicu u svih šest oblasti, zatim kompanije Dropbox i Spider oak koje pružaju usluge “cloud” skladištenja podataka, društvena mreža Linkedin i Google sa po pet zvezdica. Ostale kompanije, koje uključuju i Facebook, Myspace, Microsoft, Tumblr i WordPress su dobile između dve i četiri zvezdice, pretežno za traženje sudskog naloga za pristup podacima i objavljivanje pravilnika za postupanje po zahtevima za izvršenje. Najgore ocenjene kompanije, sa po jednom zvezdicom su kompanije Apple, AT&T, Yahoo!, i ni sa jednim ispunjenim uslovom, kompanija Verizon.[15]
Politike privatnosti, iako veoma korisne, nisu uvek dobar vid zaštite podataka o ličnosti, pogotovo imajući u vidu njihovu dužinu, sadržaj i kompleksnost onoga šta uređuju. One se najčešće baziraju na takozvanom “opt-in” sistemu, gde korisnici imaju mogućnost da se opredele da li će koristiti određenu uslugu na Internetu i da samim tim samoregulišu svoju privatnost. Za razliku od “opt-in” sistema, gde su, kako je već rečeno, korisnici ti koji odlučuju da li će koristiti određenu uslugu ili ne, najčešće označavanjem odgovarajućeg polja, kod “opt-out” sistema korisnici moraju da izričito označe da ne žele da koriste određenu uslugu, jer bi u suprotnom oni automatski postali korisnici iste. Iako je u početku bio pristalica “opt-in” sistema saglasnosti, jedan od vodećih istraživača na temu privatnosti i zaštite podataka o ličnosti, Daniel Solove, tvrdi da je jedan od razloga za neuspeh “opt-in” saglasnosti u tome što će mnoge organizacije pronaći napredne načine da generišu visok nivo “opt-in” saglasnosti.[16] One to jednostavno mogu da učine uslovljavajući pristup proizvodima i uslugama koristeći “opt-in” saglasnost. Uprkos tome što je ovakav pristup regulisanju pitanja saglasnosti imao najbolje namere, “opt-in” sistem, odnosno zahtev za afirmativnu saglasnost za veliki broj novih načina korišćenja podataka će voditi samo ka većem broju polja za kliktanje, odnosno većem broju formulara za potpisivanje, a neće dovesti do značajnije zaštite privatnosti. Ukoliko bi kompanije morale da zahtevaju opt-in saglasnost, moguće da bi to dovelo do povećanja broja podataka koje zahtevaju. Takođe, rukovaoci podacima će se možda truditi da odrede svrhu prikupljanja šire i manje precizno kako bi izbegli da ponovo traže saglasnosti. Veliki problem politika privatnosti jeste i njihova dužina, zatim neupućenost korisnika i takozvano “naopako” donošenje odluka. Kako navodi Solove, većina ljudi ne čita obaveštenje o obradi, niti se trudi da promeni postojeća podešavanja (default privacy settings) na Internet stranicama. Iako je postojalo mnogo predloga da se skrate i pojednostave politike privatnosti, ove mere nisu pokazale značajan pomak u razumevanju smisla prikupljanja i obrade podataka kod pojedinaca. Prema njegovom mišljenju, čak i kada bi većina ljudi čitala politike privatnosti, nedostatak iskustva u procenjivanju posledica davanja saglasnosti na određene vrste obrada podataka onemogućava pravilno donošenje odluka. Ljudi po navici ostavljaju svoje podatke radi malih koristi, što može dovesti do zaključka da korisnici ne cene privatnost. Ipak, istraživanja pokazuju nešto sasvim drugo, da je stav prema privatnosti između starih i mladih iznenađujuće veoma sličan. Ovo znači da postoji raskorak između onoga što ljudi tvrde i načina na koji se ponašaju, što pokazuje veoma nisko vrednovanje privatnosti u onlajn svetu. Ljudi su takođe voljni da podele lične podatke kada osećaju da imaju kontrolu, bez obzira da li je ona stvarna ili ne. Bolje rečeno, ljudi su spremniji da preuzmu rizik i procenjuju te rizike kao manje opasne kada osećaju da imaju kontrolu.[16] Takođe, jedna studija je procenila da, kad bi svako čitao politike privatnosti na svakoj Internet stranici koju posećuje, to dovelo do gubitka od 781 milijardu dolara izgubljenje produktivnosti godišnje, ili 25% od prosečne satnice, a da ne pominjemo i činjenicu da većina stranica menja svoje politike, tako da jedno čitanje nije dovoljno.[17]
Zaštita podataka o ličnosti u sajber prostoru u Republici Srbiji[edit | edit source]
Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti započeo je postupak nadzora nad sprovođenjem i izvršavanjem Zakona o zaštiti podataka o ličnosti od strane operatora javnih komunikacionih mreža i usluga u Republici Srbiji. Postupak nadzora obuhvata ukupno 462 operatora javnih komunikacionih mreža, koliko ih ima prema evidenciji Republičke agencije za elektronske komunikacije (RATEL). Njima je upućen upitnik na koji su dužni da odgovore u roku od 30 dana od dana prijema.[18]
Upitnik, između ostalog, sadrži pitanja o pravilima privatnosti ovih operatora, odnosno da li ona postoje i šta obuhvataju, da li su dostupna korisnicima i zaposlenima i na koji način. Zatim, postavljeno je pitanje da li postoje propisane procedure za zaštitu privatnosti i bezbednosti podataka, procedure autorizacije pristupa podacima, koja lica i na koji način imaju pristup podacima, da li postoji ugovorna obaveza čuvanja tajnosti podataka, zatim na koji način se čuvaju zadržani podaci, koje su procedure za pristup podacima i korišćenje Interneta od strane korisnika, kao i da li su operatori prijavili zbirke Povereniku.[19] Prema rečima Poverenika, cilj ove akcije je da “obezbedi što je moguće pouzdaniju sliku o postupanju sa podacima o ličnosti u oblasti elektronskih komunikacija, odnosno o načinu i stepenu ostvarivanja ustavom zajamčenog prava građana na zaštitu podataka u ovoj oblasti, posebno u vezi sa komunikacijom na Internetu.”[18] Planirano je da nakon okončanja postupka nadzora bude sačinjen poseban izveštaj, koji bi trebalo da bude dostavljen nadležnim institucijama i stavljen na raspolaganje javnosti.
Nakon završene pismene faze postupka prema operatorima koji pružaju usluge „pristupa širokopojasnoj mreži“, odnosno Internetu, Poverenik je izrazio zabrinutost zbog rezultata koji su proistekli iz ovog dela postupka. Naime, od 184 operatora prema kojima je sproveden postupak, na pitanja je odgovorilo i dostavilo tražene priloge njih 162. Protiv ostalih biće pokrenut prekršajni postupak. Ono što je zabrinjavajuće, prema rečima Poverenika, jeste činjenica da, iako su formalno odgovorili na pitanja iz upitnika, jedan deo operatora je u stvari opstruiralo postupak podnošenjem neistinitih odgovora ali i upitnika “koji su apsolutno identično popunjeni, uključujući i identične slovne, gramatičke i logičke greške.” Činjenice koje još više zabrinjavaju su te da, između ostalog:
– čak 92 operatora (57%) navodi da nema evidenciju o ulasku i vremenu boravka lica u prostorije u kojima se može pristupiti podacima o komunikaciji, a mnogi i da ne raspolažu zasebnim prostorijama u kojima se tehnički uređaji nalaze,
– samo 93 operatora (57%) odgovorilo je da ima instalirane sisteme za detekciju neovlašćenog pristupa, ali je to i dokumentovao samo jedan,
– čak 115 operatora (71%) izjavljuju da za lica koja radeći kod njih ostvaruju pristup podacima o elektronskim komunikacijama bilo u realnom vremenu bilo u arhivi, nisu kao uslov predviđeni nikakva posebna stručna sprema, završena obuka ili bezbednosni sertifikat,
– samo 25 operatora (15%) odgovorilo je da tzv. „zadržane podatke“ čuva 12 meseci od dana obavljene komunikacije, kako to i izričito nalaže Zakon o elektronskim komunikacijama, svi drugi su naveli duže ili kraće rokove.[20] Ostaje da vidimo kako će proći najavljeni prekršajni postupci ali i faza neposrednog nadzora nad radom operatora koje je Poverenik najavio.
Takođe, u Srbiji postoji nekoliko primera dobre prakse Internet kompanija koje u svojim uslovima korišćenja i politikama privatnosti imaju predviđenu zaštitu podataka o ličnosti. Jedan od primera je kompanija “Limundo d.o.o.” koja koja je donošenjem i objavljivanjem Uslova za korišćenje i Pravilnika o privatnosti osigurala poslovanje u skladu sa zakonom i na taj način postala primer dobre prakse upravljanja podacima. U Uslovima korišćenja “Limunda” stoji da, kada je u pitanju korišćenje podataka o ličnosti, mogućnost korišćenja podataka o ličnosti imaju samo zaposlena lica u kompaniji. Oni imaju ovlašćenje za korišćenje podataka, kao i lica sa kojima član o čijim podacima je reč stupa u obligacioni odnos, kao i “svi državni organi koji na osnovu zakona i/ili odluke suda ostvaruju pravo korišćenja podataka”. Dakle, državni organi mogu pristupiti podacima o ličnosti članova samo na osnovu odluke suda i u zakonom propisanim slučajevima.[21]
“Limundo” ima i poseban Pravilnik o privatnosti u kome je navedeno da:“Limundo d.o.o. vrši obradu neophodnih podataka onih lica koja su dala pristanak za obradu, u za to jasno određenu svrhu, na zakonom dozvoljen način, tako da lice na koje se podaci odnose ne bude određeno ili odredivo i nakon što se ostvari svrha obrade, a u srazmeri sa svrhom obrade. Podaci koji se obrađuju moraju biti istiniti i potpuni, kao i da se zasnivaju na verodostojnom izvoru odnosno izvoru koji nije zastareo.”[22]
Nažalost, ovi primeri dobre prakse su retki, i većina operatora i Internet kompanija u Srbiji nema adekvatne akte niti praksu kad je u pitanju zaštita podataka o ličnosti korisnika. Share Defense trenutno sprovodi istraživanje (po ugledu na navedeno istraživanje EFF-a), pod nazivom “Ko vam čuva leđa?” i u tom cilju je razvijeno 6 kriterijuma na osnovu kojih je moguće utvrditi stepen usaglašenosti rada ovih kompanija sa zakonskim okvirom iz ove oblasti. Za sada, prema onome što operatori i internet kompanije imaju objavljeno na svojim Internet stranicama, zaštita podataka o ličnosti nije na zavidnom nivou. Polovina od ukupno 30 kompanija koje su obuhvaćene istraživanjem – operatori, Internet provajderi i kompanije koje se bave elektronskom trgovinom, nema pozitivan odgovor ni na jedan od postavljenih kriterijuma ili samo na pojedine. Dve kompanije, jedan internet provajder i e-commerce kompanija imaju odgovore na sve kriterijume, a takodje je zanimljivo i da sve e-commerce kompanije imaju objavljene politike privatnosti uključujući i obavepštenja o obradi. Ipak, jasno je da postoji veliko polje za poboljšanje kvaliteta zaštite podataka o ličnosti i opravdani strah da naši podaci nisu zaštićeni na odgovarajući način.
Pravni okvir – utvrđivanje relevantnih pravnih izvora / propisa[edit | edit source]
Važeći propisi[edit | edit source]
Član 42. stav 2. Ustava Republike Srbije propisuje da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje se zakonom. U Srbiji je je zakonski okvir za zaštitu podataka o ličnosti ustanovljen tek 2008. godine, usvajanjem Zakona o zaštiti podataka o ličnosti[23] („Sl. glasnik RS“, br. 97/2008, 104/2009 – dr. zakon, 68/2012 – odluka US i 107/2012) (ZZPL). Pre usvajanja ovog zakona već postojao Zakon o zaštiti podataka o ličnosti koji je Savezna Republika Jugoslavija usvojila još 1998. godine, koji nikada nije primenjen u praksi. Treba imati u vidu da sam Ustav Republike Srbije jemči zaštitu podataka o ličnosti u članu 42, koji propisuje da je zabranjena i kažnjiva “upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vodjenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predvidjen zakonom”, kao i da “svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe.”
ZZPL uređuje uslove za prikupljanje i obradu podataka o ličnosti, prava lica i zaštitu prava lica čiji se podaci prikupljaju i obrađuju, ograničenja zaštite podataka o ličnosti, postupak pred nadležnim organom za zaštitu podataka o ličnosti, obezbeđenje podataka, evidenciju, iznošenje podataka iz Republike Srbije i nadzor nad izvršavanjem ovog zakona (član 1. ZZPL-a). Ovaj zakon definiše obradu, rukovaoce podataka, zbirke podataka, korisnike podataka, prava korisnika podataka, obaveze rukovaoca i sl. Cilj ovog zakona, određen u članu 2, jeste da, u vezi sa obradom podataka o ličnosti, svakom fizičkom licu obezbedi ostvarivanje i zaštitu prava na privatnost i ostalih prava i sloboda.
Srbija je takođe potpisala i ratifikovala Konvenciju Sаvetа Evrope broj 108 o zаštiti licа u odnosu nа аutomаtsku obrаdu podаtаkа o ličnosti[24] u septembru 2005. godine, kojа je u odnosu nа RS stupilа nа snаgu 1. jаnuаrа 2006, a u oktobru 2008. potpisаlа je i rаtifikovаlа Dodаtni protokol uz Konvenciju 108 u vezi sа nаdzornim orgаnimа i prekogrаničnim protokom podаtаkа[25] („Sl. glаsnik RS – Međunаrodni ugovori“, br. 98/2008)
Identifikacija relevantnih pravnih propisa[edit | edit source]
Pojam podatka o ličnosti definisan je u članu 3. Zakona o zaštiti podataka o ličnosti[23] kao “svaka informacija koja se odnosi na fizičko lice, bez obzira na oblik u kome je izražena i na nosač informacije (papir, traka, film, elektronski medij i sl), po čijem nalogu, u čije ime, odnosno za čiji račun je informacija pohranjena, datum nastanka informacije, mesto pohranjivanja informacije, način saznavanja informacije (neposredno, putem slušanja, gledanja i sl, odnosno posredno, putem uvida u dokument u kojem je informacija sadržana i sl), ili bez obzira na drugo svojstvo informacije”. Podaci o ličnosti nisu ograničeni na privatne ili porodične podatke i ne postoji nikakav poseban način na koji ovi podaci moraju da se odnose na pojedinca – od značaja je svaki aspekat života pojedinca, bilo da je poslovni, stručni ili privatni. ZZPL se ne odnosi na obradu podataka koji su dostupni svakome i objavljeni u javnim glasilima i publikacijama ili pristupačni u arhivama, muzejima i drugim sličnim organizacijama. Takođe se ne odnosi na obradu onih podataka koji se obrađuju za porodične i druge lične potrebe i nisu dostupni trećim licima, podataka koji se o članovima političkih stranaka, udruženja, sindikata, kao i drugih oblika udruživanja obrađuju od strane tih organizacija, pod uslovom da član dâ pismenu izjavu da određene odredbe ovog zakona ne važe za obradu podataka o njemu za određeno vreme, ali ne duže od vremena trajanja njegovog članstva, kao i podataka koje je lice, sposobno da se samo stara o svojim interesima, objavilo o sebi, osim ako očigledno pretežu suprotni interesi lica.
Obrada podataka detaljno je definisana u članu 3. stav 1. ZZPL, i obuhvata svako rukovanje podacima o ličnosti, uključujući, ali ne ograničajvajući se na, prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski (u elektronskom obliku), poluautomatski ili na drugi način. Rukovaoci i obrađivači podataka o ličnosti (koji obradu podataka vrše u ime rukovalaca) mogu biti pravna i fizička lica i organi vlasti, ali odgovornost za obezbeđivanje poštovanja Zakona ostaje na rukovaocima, nezavisno od toga da li podatke obrađuju sami ili za to angažuju obrađivače. ZZPL određuje da rukovalac podacima mora da ispuni određene uslove pre nego što započne obradu podataka – treba da postoji saglasnost korisnika, cilj (svrha) obrade mora biti jasan i dozvoljen, podatak mora biti potreban za ostvarenje svrhe obrade, treba da postoji srazmeran broj podataka u odnosu na cilj koji se želi postići, a podaci moraju biti potpuni, istiniti i nezastareli (čl. 8. ZZPL). Nadalje, Zakon ovlašćuje lica da zahtevaju anonimiziranje ili brisanje podataka nakon što se ispuni cilj (čl. 8. ZZPL).[26]
Posebna katergorija podataka su takozvani “osetljivi podaci” o ličnosti koji se odnose na nacionalnu pripadnost, rasu, pol, jezik, veroispovest, pripadnost političkoj stranci, zdravstveno stanje, žrtve nasilja i dr. (ZZPL, čl. 16. stav 1.). U pogledu ovih podataka primenjuju se stroža pravila njihove obrade, s obzirom na to da se ove informacije mogu koristiti na diskriminatoran način. Da bi obrada ovih podataka bila u skladu sa zakonom, mora se ispuniti jedan od tri propisana uslova. Prvenstveno, lice na koje se podatak odnosi mora dati prethodni, informisan i slobodan pristanak za obradu ovih podataka u pisanoj formi (čl. 17. stav 1.). Drugi uslov je da je obrada neophodna da bi se zaštitili životno važni interesi, a naročito život, zdravlje i (fizički) integritet lica na koje se podaci odnose ili drugog lica, u slučaju da lice na koje se podaci odnose nije u mogućnosti da lično dâ pristanak, ukoliko obradu vrši zdravstveni radnik ili drugo lice koje ima obavezu čuvanja profesionalne tajne (čl. 12. stav 1.). Poslednji uslov je da je obrada posebno osetljivih podataka neophodna radi uspostavljanja ili zaštite zakonskog interesa pred sudom ili drugim organima.[26]
Prava lica na koje se podaci o ličnosti odnose
Prema ZZPL-u korisnici imaju pravo na obaveštenje o obradi (čl. 19.), pravo na uvid u podatke koji se na njih odnose (čl. 20.), i pravo na kopiju (čl. 21.). Ova prava omogućavaju licu da obezbedi zakonitu obradu svojih podataka o ličnosti. Pored toga, sva ova prava su takođe i propisana članom 42 Ustava Republike Srbije, a sadržana su i u Konvenciji br. 108 Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka[24] koja je implementirana u pravni sistem Srbije 1. januara 2006. godine. Ova prava omogućavaju licu na koje se podaci odnose da donese informisanu odluku, a istovremeno obezbeđuju i transparentnost obrade. Njihova svrha je obezbeđivanje poštene i zakonite obrade.
Pravo na obaveštenje obuhvata pravo lica da zahteva da ga rukovalac istinito i potpuno obavesti o tome da li rukovalac obrađuje podatke o njemu i koju radnju obrade vrši, koje podatke obrađuje o njemu, od koga su prikupljeni ovi podaci, odnosno ko je izvor podataka, u koje svrhe se obrađuju i po kom pravnom osnovu, zatim u kojim zbirkama podataka se nalaze ovi podaci, ko su korisnici podataka, koje podatke, odnosno koje vrste podataka o njemu koriste, u koje svrhe se koriste ovi podaci o ličnosti, po kom pravnom osnovu, koji se podaci prenose, kome, u koje svrhe i po kom pravnom osnovu se prenose, kao i u kom vremenskom periodu se podaci obrađuju.
Rukovalac podataka može da prikuplja podatke o ličnosti na tri načina: neposredno od lica na koje se podaci odnose, od drugih lica ili iz drugih izvora, kao što su zbirke podataka drugih rukovalaca (posredno prikupljanje podataka o ličnosti).
U svim navedenim slučajevima, a posebno u slučaju posrednog prikupljanja, rukovaoci podacima moraju da daju određene informacije licu na koje se podaci odnose (to važi i za rukovaoca koji prikuplja podatke i za rukovaoca koji otkriva podatke drugom rukovaocu). To je preduslov za poštenu i zakonitu obradu podataka o ličnosti. Informacije moraju da budu jasne i razumljive, jer lice na koje se podaci odnose samo na osnovu tih informacija može da odluči da li će dati pristanak za obradu njegovih podataka o ličnosti (takozvani informisani pristanak[27] – ako lice ne zna šta će se desiti s njegovim podacima, ne može da dâ informisani pristanak).
Rukovaoci imaju obavezu da lice čiji se podaci o ličnosti obrađuju o tome obaveste prilikom prilikom prikupljanja podataka. U obaveštenju se navodi ime, prezime i adresa rukovaoca podacima, svrha obrade, način korišćenja podataka, pravni osnov obrade, identitet korisnika podataka, pouka o postojanju prava na uvid i ispravljanje podataka, kako i druge relevantne informacije. Ukoliko rukovalac vrši izmenu, dopunu ili brisanje podataka, obavezan je da o ovome obavesti lice čiji se podaci menjaju, dopunjuju ili brišu prilikom obavljanja konkretne radnje, ili u roku od 15 dana. Treba takođe imati u vidu[27] da obaveštenje lica na koje se podaci odnose o obradi podataka nije isto što i dobijanje njegove saglasnosti za obradu.
Ovo pravo ima poseban značaj u slučajevima kada se podaci ne prikupljaju od lica na koje se odnose, već iz dugih izvora, i rukovalac ima obavezu da pre svake obrade podataka obavesti lice na koje se ovi podaci odnose o svim navedenim informacijama. Ova obaveza izostaje kada takvo upoznavanje, s obzirom na okolnosti slučaja, nije moguće, odnosno zahteva prekomerni utrošak vremena i sredstava ili je očigledno nepotrebno, kao i ako je lice na koje se odnose podaci već upoznato sa svojim pravima (čl. 14.** ZZPL) – ovaj izuzetak treba koristiti izuzetno retko i oprezno jer rukovaoci mogu lako da budu optuženi za kršenje zakona. Situacije u kojima rukovalac ne može da komunicira s licem na koje se podaci odnose nije moguće (npr. kada nema kontakt podatke) ili bi to zahtevalo prekomerni napor ili utrošak sredstava ili vremena mogle bi da se smatraju „posebnim okolnostima”[27], ako je prikupljanje i dalja obrada podataka o ličnosti propisana zakonom.
Pravo na uvid u podatke koji se na njega odnose obuhvata pravo na pregled, čitanje i slušanje podataka, kao i pravljenje zabeležaka. Ovo pravo, za razliku od prava na obaveštenje, ostvaruje se zahtevom lica na koje se podaci odnose, i ono se vrši bez naknade.
Povodom izvršenog uvida u podatke, lica imaju pravo da od rukovaoca zahtevaju ispravku, dopunu, ažuriranje, brisanje podataka, kao i prekid i privremenu obustavu obrade (čl. 22.).
Korisnici imaju pravo na brisanje podataka ako svrha obrade nije jasno određena; ako je svrha obrade izmenjena, a nisu ispunjeni uslovi za obradu za tu izmenjenu svrhu, ukoliko je svrha obrade ostvarena, odnosno podaci više nisu potrebni za ostvarivanje svrhe, u slučaju je način obrade nedozvoljen, ako podatak spada u broj i vrstu podataka čija je obrada nesrazmerna svrsi, ako je podatak netačan, a ne može se putem ispravke zameniti tačnim i ukoliko se podatak obrađuje bez pristanka ili ovlašćenja zasnovanog na zakonu i u drugim slučajevima kada se obrada ne može vršiti u skladu sa odredbama ovog zakona.
Lice ima pravo na prekid i privremenu obustavu obrade, ako je osporilo tačnost, potpunost i ažurnost podataka, kao i pravo da se ti podaci označe kao osporeni, dok se ne utvrdi njihova tačnost, potpunost i ažurnost.
Pravo na kopiju obuhvata pravo lica da od rukovaoca zahteva kopiju podatka koji se na njega odnosi. Rukovalac izdaje kopiju podatka (fotokopiju, audio kopiju, video kopiju, digitalnu kopiju i sl) u obliku u kojem se informacija nalazi, odnosno u drugom obliku ako bi u obliku u kome se informacija nalazi licu bila nerazumljiva. Ovo pravo ne mora nužno da se ostvaruje bez naknade, već prema članu 21. stav 3. lice koje traži kopiju podataka snosi nužne troškove izrade i predaje kopije podatka. Ovi troškovi obuhvataju troškove kao što su bruto cena papira, poštanske marke i ambalaža i slično. Prema Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu Poverenik) sadržina ovih prava, pored onih izričito navedenih u ZZPL-u, jeste sledeća: Pravo na davanje/nedavanje pristanka za obradu – svako fizičko lice ima pravo da rukovaocu dozvoli/ne dozvoli obradu podataka o sebi, ako rukovalac ne vrši obradu na osnovu zakonskog ovlašćenja. Fizičko lice može da da punovažan pristanak i preko punomoćnika, s tim da se pristanak može i opozvati. Da bi lice dalo pristanak, rukovalac je dužan da ga prethodno upozna o svom identitetu i svim ostalim pitanjima iz člana 15. Zakona. Prava povodom izvršenog uvida – lice ima i pravo[23] da od rukovaoca zahteva ispravku, dopunu, ažuriranje ili brisanje podataka, kao i prekid i privremenu obustavu obrade, ako su ispunjeni uslovi predviđeni članom 22. Zakona. Ograničenja od ovih prava su propisana u članu 23. ZZPL-a. Treba naglasiti da ograničenja ovih postoje samo dok postoji razlog za te izuzetke. Nakon prestanka postojanja razloga, rukovalac mora da ispuni zahtev lica na koje se podaci odnose. Takođe treba imati u vidu da Poverenik krajnje strogo proverava razloge za uvođenje ograničenja i prilikom odlučivanja može da uzme (i uzeće) u obzir promenutu Konvenciju br. 108.
Bezbednost podataka o ličnosti
Prema članu 47. Zakona o zaštiti podataka o ličnosti (ZZPL-a), podaci moraju biti odgovarajuće zaštićeni od zloupotreba, uništenja, gubitka, neovlašćenih promena ili pristupa, pa samim tim rukovalac i obrađivač imaju obavezu da preduzmu tehničke, kadrovske i organizacione mere zaštite podataka, u skladu sa utvrđenim standardima i postupcima, a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde obavezu lica koja su zaposlena na obradi, da čuvaju tajnost podataka.[23]
Rukovalac mora da obezbedi i primeni standarde i tehničke mere u pogledu priključenja i smeštaja računara sa bazama podataka i druge računarske opreme, neprekidnog napajanje električnom energijom, zaštite modemskih priključaka (i brojeva) od neovlašćenog lokalnog i daljinskog pristupa, obezbeđenja računarskih programa i opreme za sigurnosno prijavljivanje i evidentiranje pristupa za rad na računaru, za sprečavanje neovlašćenog iznosa i unosa podataka upotrebom prenosnih informatičkih medija, komunikacionih priključaka i priključaka za ispis podataka, za zaštitu od računarskih virusa i drugih štetnih programa, kao i obezbeđenja opreme kriptološkog osiguranja posebnih kategorija podataka o ličnosti na prenosnim informatičkim medijima za čuvanje i u toku prenosa tih podataka informatičkim i telekomunikacionim sredstvima, primene mera obaveznog obaveštavanja rukovaoca podataka od strane obrađivača podataka, administratora mrežnog sistema, administratora zbirke podataka o svakom pokušaju neovlašćenog pristupa podacima, obezbeđenja prostorija u kojima je smeštena računarska i telekomunikaciona oprema, u pogledu kontrole ulaza, odnosno zabrane pristupa neovlašćenim licima, primene mera zaštite od: požara, električnog i magnetnog polja, jonizujućeg zračenja i elektriciteta, vlage, hladnoće i toplote, opasnih materija eksplozivnih i lako zapaljujućih sredstava, prašine, potresa i drugih elementarnih nepogoda, u pogledu prostorija, uređaja i opreme, obezbeđenja pristupa zbirkama podataka, upotrebe korisničkih imena, i odgovarajućih propusnica,bezbeđenja dnevnog, nedeljnog, mesečnog i godišnjeg pohranjivanja podataka na druge prenosive informatičke medije (sigurnosne kopije zbirki) uz primenu mera sigurnosti i tajnosti podataka, za slučaj uništenja aktivnih baza podataka, kao ii obezbeđenja evidencije tih prenosivih medija. U slučaju da ovlašćeno lice utvrdi da ne postoji pravni osnov za obradu podataka ili da zakonom nisu uređena najvažnija pitanja za njihovu obradu, kao što su: svrha obrade, vrsta podataka koji se obrađuju, korisnici podataka i dužina trajanja obrade, Poverenik će doneti rešenje kojim će privremeno zabraniti takvu obradu podataka dok se ne otklone razlozi koji su prouzrokovali zabranu. Poverenik će privremeno zabraniti obradu podataka i u slučaju da nisu primenjene odgovarajuće organizacione, kadrovske i tehničke mere radi zaštite podataka od mogućih zloupotreba, uništenja, gubitka, nedopuštenog pristupa, neovlašćenih promena, objavljivanja i svake druge zloupotrebe podataka, kao i mere u pogledu utvrđivanja obaveza čuvanja tajnosti podataka od strane lica koja su zaposlena na obradi, sve dok rukovalac zbirke podataka ne dostavi dokaz da je preduzeo odgovarajuće mere obezbeđenja i zaštite podataka. U slučaju da se u vezi sa obradom podataka utvrdi da postoje manji propusti koji neće bitno ugroziti njihovu bezbednost, Poverenik će naložiti preduzimanje odgovarajućih mera uz ostavljanje primerenog roka da se nedostaci otklone. U slučaju da rukovalac podataka ne otkloni utvrđene nedostatke u ostavljenom roku, Poverenik će zabraniti obradu podataka.[28]
Centralni registar i evidencije o obradi podataka o ličnosti
Centralni registar[29] zbirki podataka je jedinstvena evidencija zbirki podataka koje uspostavljaju svi rukovaoci koji obrađuju podatke o ličnosti u Republici Srbiji (čl. 3, stav 10. ZZPL), a uspostavlja ga i vodi Poverenik za informacije od javnog zanačaja i zaštitu podataka o ličnosti, (čl. 44, stav 1, tačka 3. i čl. 52. ZZPL). Svrha Centralnog registra je da se svako lice upozna sa obradom podataka o ličnosti. Centralni registar predstavlja nastavak vođenja evidencija o obradi podataka o ličnosti, koje rukovaoci obrazuju na osnovu izričite obaveze iz čl. 48. Zakona i Uredbe o obrascu za vođenje evidencije i načinu vođenja evidencije o obradi podataka o ličnosti[30] . U Centralni registar upisuju se i namere rukovaoca da vrše obradu podataka o ličnosti i uspostavljaju zbirke podataka (čl. 49. ZZPL). Centralni registar je važan kako za jedinstveno i sveobuhvatno upoznavanje lica sa obradama njihovih podataka o ličnosti od strane rukovaoca, tako i zbog ostvarivanja svih vidova nadzora nad obradom podataka o ličnosti. Ovaj registar je posebna evidencija o zbirkama podataka i rukovaocima, sastoji se od registra zbirki podataka i kataloga zbirki podataka (čl. 52. stav 2, 3 i 4. ZZPL) Sastoji se od dva segmenta i to:
- Pretrage rukovaoca podacima, kao i pretrage upisanih zbirki i namera uspostavljanja zbirki podataka;
- Upisa namere uspostavljanja zbirki ili upisa postojećih zbirki podataka od strane rukovaoca, kao i upisa izmena ili birsanja evidentiranih zbirki podataka.
Centralni registar je javan i objavljuje se putem Interneta (čl. 52. stav 5. ZZPL), dok se uvid u evidenciju o pojedinim zbirkama podataka može uskratiti samo u skladu sa članom 52. stav 7. ZZPL, odnosno ukoliko to zahteva rukovalac, pod uslovom da je to neophodno za ostvarivanje pretežnog interesa očuvanja nacionalne ili javne bezbednosti, odbrane zemlje, rada organa vlasti, finansijskog interesa države ili ako je zakonom, drugim propisom ili aktom zasnovanim na zakonu određeno da se evidencija o zbirci podataka čuva kao tajna. Vodi se elektronskim putem kod Poverenika, dok se upis zbirki podataka od strane rukovaoca vrši putem Interneta ili dostavljanjem prijava zbirki podataka na propisanim obrazcima. Upis u Centralni registar ima deklarativni karakter, a Poverenik ne donosi posebnu odluku o upisu u Centralni registar i objavljivanju podataka o zbirkama (osim u slučaju iz čl. 52. stav 7. ZZPL), ako je ispoštovana procedura upisa, jer upis predstavlja obavezu rukovaoca koji odgovara za tačnost dostavljenih podataka. Nepoštovanje odredaba o Centralnom registru i evidentiranju zbirki podataka, povlači odgovornost za prekršaj po članu 57. stav 1. tačka 13. i 14. ZZPL.
Analiza pravnih mehanizama na raspolaganju zainteresovanim stranama i nadležni organi[edit | edit source]
Ukoliko dođe do povrede Zakona o zaštiti podataka o ličnosti (ZZPL)[23] od strane rukovaoca podacima, lice na koga se podaci o ličnosti odnose može izjaviti žalbu Povereniku, u skladu sa članom 38 Zakona.
Žalba se može izjaviti Povereniku u sledećim slučajevima:
1. Protiv rešenja rukovaoca kojim je odbijen zahtev podnosioca ili protiv zaključka kojim je njegov zahtev odbačen iz formalnih razloga. Rok za žalbu u ovom slučaju je 15 dana od dana dostavljanja rešenja ili zaključka podnosiocu. Uz žalbu se prilaže kopija zahteva podnosioca i kopija rešenja, odnosno zaključka protiv koga se žalba izjavljuje. (čl. 38. stav 1. tačka 1.)
2. Ako rukovalac ne odluči o zahtevu podnosioca u propisanom roku, odnosno ne obavesti ga o tome da li poseduje podatak koji je tražio zahtevom, ne stavi na uvid podatak, odnosno ne izda kopiju podatka (zavisno od toga šta je traženo zahtevom), ili to ne učini u roku i na način propisan zakonom. To je žalba zbog tzv. „ćutanja“ organa (čl. 38 stav 1. tačka 2-3.)
Uz žalbu Povereniku zbog „ćutanja“ organa žalilac prilaže kopiju podnetog zahteva rukovaocu i dokaz o njegovoj predaji, odnosno upućivanju. Ova žalba se može izjaviti po isteku zakonskog roka od 15 dana za postupanje rukovaoca po zahtevu za dobijanje obaveštenja, odnosno 30 dana za postupanje po zahtevu za uvid i izdavanje kopije. Ukoliko žalilac u međuvremenu, nakon izjavljene žalbe, od rukovaoca dobije tražene podatke, on može odustati od žalbe izjavljene Povereniku.
3. Ukoliko Rukovalac uslovi izdavanje kopije podataka uplatom naknade koja prevazilazi iznos nužnih troškova izrade kopije u pitanju, ili na bilo koji način suprotno zakonu otežava ili onemogućava ostvarivanje prava (čl. 38 stav 1. tačka 4-5.).[31]
Obrasci žalbi dostupni su na sajtu Poverenika.
Poverenik donosi odluku po žalbi u roku od 30 dana od dana podnošenja, osim ukoliko je ona neblagovremena, nepotpuna ili je izjavljena od strane neovlašćenog lica u kom slučaju je odbacuje rešenjem i dostavlja ovu odluku rukovaocu radi odgovora. (čl. 39 stav 1-2 ZZPL) Ukoliko je žalba izjavljena zbog nedonošenja odluke po zahtevu, a Poverenik utvrdi da je žalba osnovana, rešenjem će naložiti rukovaocu da u određenom roku postupi po zahtevu (čl. 39. stav 3.). Postupak po žalbi se obustavlja ukoliko rukovalac, nakon izjavljene žalbe zbog nepostupanja po zahtevu, a pre donošenja odluke po žalbi, omogući ostvarivanje prava na uvid, odnosno kopiju ili po zahtevu odluči. (čl. 39. stav 4.), ili kada podnosilac odustane od žalbe (čl. 39. stav 5.). Rešenje Poverenika je obavezujuće, konačno i izvršno (čl. 41. ZZPL)
Tužba Upravnom sudu
Protiv odluke Poverenika nije dopuštena žalba već se može pokrenuti upravni spor tužbom Upravnom sudu, u roku od 30 dana od dana prijema odluke.
Nadležni organi: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti[edit | edit source]
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti[32] (Poverenik) je samostalan državni organ, nezavisan u vršenju svoje nadležnosti, koji vrši nadzor nad ostvarivanjem prava na pristup informacijama od javnog značaja kojima raspolažu organi javne vlasti, kao i nadzor nad sprovođenjem i izvršavanjem Zakona o zaštiti podataka o ličnosti, tj. nadzor nad zaštitom podataka o ličnosti.
Poverenik ima dve vrste ovlašćenja – prvenstveno deluje kao drugostepeni organ koji pravo na zaštitu podataka o ličnosti štiti u postupku po žalbi, ali takođe ima i funkciju nadzora nad sprovođenjem zakona. Prema ZZPL-u (čl. 44), Poverenik nadzire sprovođenje zaštite podataka, odlučuje po žalbi u slučaju propisanim ovim zakonom, vodi Centralni registar zbirki podataka, zatim nadzire i dozvoljava iznošenje podataka iz Republike Srbije, ukazuje na uočene zloupotrebe prilikom prikupljanja podataka, sastavlja listu država i međunarodnih organizacija koje imaju odgovarajuće uređenu zaštitu podataka. Poverenik takođe daje mišljenje u vezi sa uspostavljanjem novih zbirki podataka, odnosno u slučaju uvođenja nove informacione tehnologije u obradi podataka. Nadalje, on daje mišljenje, u slučaju kada postoji sumnja da li se neki skup podataka smatra zbirkom podataka u smislu ovog zakona, kao i Vladi u postupku donošenja akta o načinu arhiviranja i o merama zaštite naročito osetljivih podataka.
Dodatno, Poverenik prati primenu mera za zaštitu podataka i predlaže poboljšanje tih mera, daje predloge i preporuke za unapređenje zaštite podataka, prati uređenje zaštite podataka u drugim zemljama, sarađuje sa organima nadležnim za nadzor nad zaštitom podataka u drugim zemljama. Zanimljivo je da Poverenik određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji, osim ako je propisano drukčije.
Sudska i administrativna praksa[edit | edit source]
Poverenik je pred Ustavnim sudom Republike Srbije pokrenuo Postupak za ocenu ustavnosti odredaba Zakona o zaštiti podataka o ličnosti, i to odredaba koje su se odnosile na određivanje uslova za obradu podataka kada lice na koje se podaci odnose nije dalo pristanak na obradu, ili kad za obradu ne postoji zakonsko ovlašćenje. Sud je odlučivao o odredbama člana 12. stav 1. tačka 3) i člana 14. stav 2. tačka 2) koji su se odnosili na mogućnost određivanja uslova za obradu “drugim propisom donetim u sklаdu sа ovim zаkonom“ ili “drugim propisom”, a u odnosu na član 42. stav 2. i 3. Ustava Republike Srbije. Prema mišljenju Poverenika, ovakvo propisivanje uslova za obradu koje omogućava da i akt niže pravne snage, odnosno podzakonski akt, može biti osnov za obradu može “da ima za posledicu unutrаšnju koliziju zаkonа, i u direktnoj je suprotnosti sа člаnom 42. st. 2. i 3. Ustаvа Republike Srbije.” [33]
Članom 42. Ustava zаjemčenа je zаštitа podаtаkа o ličnosti i određeno je dа se prikupljаnje, držаnje, obrаdа i korišćenje podаtаkа o ličnosti uređuje zаkonom, dа je zаbrаnjenа i kаžnjivа upotrebа podаtаkа o ličnosti izvаn svrhe zа koju su prikupljeni, u sklаdu sа zаkonom, osim zа potrebe vođenjа krivičnog postupkа ili zаštite bezbednosti Republike Srbije, nа nаčin predviđen zаkonom, dа svаko imа prаvo dа bude obаvešten o prikupljenim podаcimа o svojoj ličnosti, u sklаdu sа zаkonom, i prаvo nа sudsku zаštitu zbog njihove zloupotrebe. U skladu sa ovim, Sud je u svom obrazloženju naveo da “iz navedenog sledi dа se sаmo zаkonom može urediti prikupljаnje, držаnje, obrаdа i korišćenje podаtаkа” i shodno utvrdio da “odredbe člаnа 12. stаv 1. tаčkа 3) u delu koji glаsi: „ili drugim propisom donetim u sklаdu sа ovim zаkonom“, člаnа 13. u delu koji glаsi: „ili drugim propisom“ i člаnа 14. stаv 2. tаčkа 2) u delu koji glаsi: „ili drugim propisom donetim u sklаdu sа zаkonom“ Zаkonа o zаštiti podаtаkа o ličnosti („Službeni glаsnik RS“, br. 97/08 i 104/09), nisu u sаglаsnosti sа Ustаvom.”
Ostali primeri sudske prakse domaćih sudova iz oblasti zaštite podataka o ličnosti dostupni su na Internet stranici Poverenika.
Studije slučajeva (faktičke)
Partneri za demokratske promene Srbija[34] od 2010. godine sprovode projekte u oblasti zaštite podataka o ličnosti[34] sa ciljem ustanovljavanja “primene Zakona o zaštiti podataka o ličnosti u pravnom sistemu Srbije, i obezbeđivanja privatnosti građana putem efektivne implementacije zaštite podataka o ličnosti usklađene sa najvišim međunarodnim standardima.” U skladu sa ovim ciljem Partneri organizuju seminare, specijalizovane obuke iz obliasti zaštite podataka o ličnosti ali i razne oblike aktivizma u ovom domenu kako podigli svest javnosti u Srbiji o neohodnosti zaštite podataka o ličnosti.
Jedan od rezultata ovih aktivnosti je i objavljivanje Analize primene Zakona o zaštiti podataka o ličnosti[35] koja je proizašla iz šestomesečnog istraživanja postupanja sa podacima o ličnosti više od 50 rukovalaca širom Srbije i konačno je objavljena u aprilu 2013. godine. Dvanaest istraživača je tokom 2011. i 2012. godine na konkretnim primerima ispitivalo da li ministarstva, sudovi, jedinice lokalne samouprave, zdravstvene ustanove, obrazovne institucije, javna preduzeća i druge javne institucije, političke partije i privatni subjekti poštuju Zakon, odluke Poverenika i da li na adekvatan način obrađuju lične podatke građana. Publikacijom su obuhvaćene četiri studije slučaja a to su: Evidencije o vlasnicima sezonskih propusnica i ulaznica za sportske priredbe, Evidencije MUPa o legitimisanim osobama, Najava uspostavljanja centralizovane baze podataka o pacijentima i Postupanje političkih partija.
Između ostalog, Partneri su doneli preporuku o primeni ISO standarda 27001 unutar rukovaoca u Srbiji. Naime, primenu ovih mera neko unutar rukovaoca mora da propiše i zato je preporuka analize da rukovaoci, naročito oni koji obrađuju podatke o velikom broju građana, ili oni koji obrađuju naročito osetljive podatke o ličnosti, internim aktom odrede određenu zaposlenu osobu nadležnu za oblast obrade podataka o ličnosti, na sličan način na koji su neki obveznici Zakona o slobodnom pristupu informacijama od javnog značaja delegirali određenu osobu za postupanje institucije po ovom zakonu. Nacrtom nove Uredbe o zaštiti podataka na nivou Evropske unije, predviđa se obaveza „velikih rukovalaca“ da ustanove poziciju poverenika za podatke o ličnosti unutar rukovaoca, što je obaveza koja će vremenom svakako biti propisana za ovakve rukovaoce i u Republici Srbiji, u procesu usklađivanja pravnog okvira acquis communautaire.
Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti je takođe sproveo više postupaka nadzora[36] nad sprovođenjem ZZPL-a. Poslednji u nizu je postupak nadzora nad sprovođenjem i izvršavanjem Zakona strane operatora javnih komunikacionih mreža i usluga u Republici Srbiji[37]. Postupak nadzora obuhvata ukupno 462 operatora javnih komunikacionih mreža, koliko ih ima prema evidenciji Republičke agencije za elektronske komunikacije. Njima je upućen upitnik na koji su dužni da odgovore u roku od 30 dana od dana prijema.
Poverenik takođe u okviru izvršavanja svoje funkcije donosi mišljenja[38] i odluke[39] u oblasti zaštite podataka o ličnosti koji su dostupni na Internet stranici Poverenika.
Pregled drugih studija i medijskog pokrivanja teme
Zaštita podataka o ličnosti prisutna je i u medijima koji ekstenzivno pokrivaju ovu temu. Fokus je najčešće na slučajevima kršenja Zakona o zaštiti podataka o ličnosti, ali i na nesposobnosti državnih organa[40] da donesu neophodne podzakonske akte koji omogućuju sprovođenje ovog zakona u praksi. Poverenik je takođe u medijima postavio pitanje sistemskog rešavanja problema obrade podataka u radnim odnosima.[41]
Takođe, Partneri za demokratske promene Srbija su napravili Internet portal koji se bavi temom zaštite privatnosti i podataka o ličnosti i sadrži informacije o pravu na privatnost, o mehanizmima za ostvarivanje ovog prava, iskustva građana, besplatne pravne savete za zaštitu podataka o ličnosti i sve druge neophodne infromacije.[42]
Propisi u razvoju i proceduri[edit | edit source]
ZZPL predstavlja dobar osnov za dalju izradu zakona koji regulišu druge oblasti, a koji dotiču oblast obrade i rukovanja, poput bankarstva i privrede. U ovim zakonima neophodno je dodatno razraditi načela ovog Zakona. Međutim, treba imati u vidu i činjenicu da regulativa uglavnom ne odgovara trenutnim društvenim i ekonomskim potrebama i da usporava inovacije, a biznis-modeli moraju da se razvijaju slobodno. Zbog toga je neophodno da kompanije takođe usvajaju određena pravila ponašanja koja su obavezujuća za njih i u kojima tačno određuju način obrade i korišćenja podataka svojih korisnika. Trenutno postoje dva zakona u proceduri koji su relevantni za oblasti zaštite podataka o ličnosti, naime Zakon o detektivskoj delatnosti i Zakon o privatnom obezbeđenju, a koji nisu usklađeni sa ZZPL-om.
Privatni sektor bezbednosti, u koji spadaju privatni detektivi i privatno obezbeđenje, u svom poslovanju dolazi u posed podataka o ličnosti lica, kako onih sa kojima stupa u ugovorni odnos, tako i trećih lica koji su predmet tog ugovornog odnosa, a nisu obavešteni niti su dali saglasnost da se vrši obrada njihovih podataka o ličnosti. Treba napomenti da pored očigledne neusaglašenosti sa ZZPL-om, ovi predlozi u svom tekstu takođe imaju propuste u pogledu određivanja uslova pod kojim pojedinci i organizacije mogu da se bave ovim poslovima, odnosno nedostatak odredbi kojima bi se isključila mogućnost obavljanja ovih delatnosti određenim licima. Naime, u javnosti su iskazane zamerke[43] na to da će, ukoliko budu usvojeni u izvornom obliku, ovi zakoni otvoriti mogućnost da se osobe sa kriminalnom prošlošću legalno bave poslovima privatnog obezbeđenja, odnosno da legalno nose oružje, vode dresirane pse, lišavaju građane slobode i legitimišu ih.
Predlog Zakona o detektivskoj delatnosti uređuje rad pravnih lica, preduzetnika i fizičkih lica koji se bave pružanjem detektivskih usluga, tj. detektivskom delatnošću, kao i uslovi za njihovo licenciranje, način vršenja poslova i ostvarivanje nadzora nad njihovim radom (član 1. Nacrta ZDD). S druge strane, Zakonom o privatnom obezbeđenju propisuje se obavezno obezbeđenje i zaštita određenih objekata, imovine, lica, zatim poslovi i rad pravnih i fizičkih lica u oblasti privatnog obezbeđenja, kao i uslovi za njihovo licenciranje, način vršenja poslova i ostvarivanje nadzora nad njihovim radom (član 1. i 2. Nacrta ZPO).
Sasvim je jasno da pri se obavljanju detektivske delatnosti, kao i poslova privatnog obezbeđenja, dolazi u posed podataka o ličnosti velikog broja lica, te je stoga veoma bitno da ovi zakoni budu usaglašeni sa odredbama ZZPL-a. Postojeći nacrti ovih zakona, nažalost, imaju mnogo propusta u pogledu zaštite podataka o ličnosti. Treba napomenuti da je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u Izveštaju za 2012. godinu[44] iskazao zabrinutost zbog činjenice da detektivske agencije (u ovom slučaju iz Crne Gore) podnose zahteve za dostavljanje zadržanih podataka operaterima mobilne i fiksne telefonije u Republici Srbiji, što je očigledno protivno ZZPL-u.
Kao prvo, svrha obrade podataka o ličnosti nije propisana pomenutim zakonima o privatnom sektoru bezbednosti, iako je Ustavni sud Republike Srbije u Odluci 68/2012 utvrdio da ni članovi ZZPL-a (čl. 12, 13), kojima je bilo predviđeno da se pravni osnov za obradu podataka može utvrditi i podzakonskim aktom, nisu u saglasnosti sa Ustavom, jer se, po oceni Suda, samo zakonom može urediti prikupljanje, držanje, obrada i korišćenje podataka. Svrha prikupljanja i obrade podataka mora biti konkretna i unapred utvrđena, jer rukovalac ne sme obrađivati lične podatke, niti ih otkrivati trećem licu, iz razloga koji nisu usklađeni sa ovom konkretnom svrhom. Dakle, ovi zakoni moraju u svom tekstu definisati svrhu prikupljanja i obrade podataka, te samim tim rukovaoci podacima, pomenute detektivske agencije i agencije za privatno obezbeđenje, ne mogu prikupljati podatke u druge svrhe osim one navedene u ovim zakonima.[33]
Ovi zakoni su usvojeni u Novembru 2013. godine. Tekst zakona još nije javno dostupan. Ostaje da se vidi kako je rešeno pitanje zaštite podataka o ličnosti i da li je neophodno da se u odnosu na to reaguje. Više o problematičnim odredbama ovih zakona možete pročitati ovde.
Usklađenost sa međunarodnim izvorima prava[edit | edit source]
Pregled međunarodnih principa i regulative[edit | edit source]
Univerzalna deklaracija UN o ljudskim pravima iz 1948. godine je deklaracija Generalne skupštine Ujedinjenih nacija (A/RES/217, usvojena 10. decembra 1948. u Parizu). Iako pravno neobavezujuća, ova deklaracija predstavlja deo običajnog prava i sadrži principe i odredbe koje svaka država treba da garantuje. Pravo na privatnost propisano je u članu 12. koji glasi “Niko se ne sme izložiti proizvoljnom mešanju u privatni život, porodicu, stan ili prepisku, niti napadima na čast i ugled. Svako ima pravo na zaštitu zakona protiv ovakvog mešanja ili napada.”[45]
Evropska konvencija za zaštitu ljudskih prava i osnovnih sloboda doneta je u okviru Saveta Evrope , u Rimu, 4. novembra 1950. godine. Pravo na privatnost zagarantovano je članom 8. koji propisuje da:
“Svako ima pravo na poštovanje svog privatnog i porodičnog života, doma i prepiske. Javna vlast se ne meša u vršenje ovog prava, osim ako je takvo miješanje predviđeno zakonom i ako je to neophodna mera u demokratskom društvu u interesu nacionalne sigurnosti, javne sigurnosti, ekonomske dobrobiti zemlje, sprečavanja nereda ili sprečavanja zločina, zaštite zdravlja i morala ili zaštite prava i sloboda drugih”.[46]
Međunarodni pakt o građanskim i političkim pravima iz 1966. godine, u članu 17. propisuje da:
“Niko ne može biti predmet samovoljnih ili nezakonitih mešanja u njegov privatni život, u njegovu orodicu, u njegov stan ili njegovu prepisku, niti nezakonitih povreda nanesenih njegovoj časti ili njegovom ugledu. Svako lice ima pravo na zaštitu zakona protiv ovakvih mešanja ili povreda”.[47]
Komitet za ljudska prava (Human Rights Committee) je u svom Generalnom komentaru br. 16 o članu 17. Međunarodnog pakta o građanskim i političkim pravima (Pravo na privatnost, porodičan život, dom i prepisku, i zaštitu časti i reputacije) je još 1988. godine uvrstio ovaj pojam kao deo prava na privatnost. Komitet je naveo da “prikupljanje i čuvanje ličnih podataka na kompjuterima, bazama podataka i drugim uređajima, bilo od strane državnih organa ili privatnih lica ili organa, mora biti regulisano zakonom” i da “svaki pojedinac treba biti u mogućnosti da utvrdi koji javni organi, privatna lica ili tela kontrolišu ili mogu kontrolisati njihove podatke. Ako takvi podaci sadrže pogrešne informacije ili su prikupljeni ili obrađeni u suprotnosti sa odredbama zakona, svaki pojedinac treba da ima pravo da traži ispravljanje ili eliminaciju.”[48]
Konvencija Sаvetа Evrope broj 108 o zаštiti licа u odnosu nа аutomаtsku obrаdu podаtаkа o ličnosti ima za cilj da:
“na teritoriji svake strane ugovornice garantuje svakom fizičkom licu, bez obzira na njegovu nacionalnu pripadnost ili na mesto stanovanja, poštovanje njegovih osnovnih prava i sloboda, a naročito njegovog prava na privatnost kada je reč o automatskoj obradi njegovih ličnih podataka” (čl. 1).[49]
Ovaj Konvencija uređuje, između ostalog, i osnovne principe u vezi zaštite ličnih podataka, obaveze ugovornica, bezbednost podataka i izuzetke i ograničenja zaštite podataka. Takođe, u Poglavlju III, uređuje i prekograničnu razmenu informacija, i propisuje da “Jedna strana ugovornica ne može, samo radi zaštite privatnosti, da zabrani ili da uslovi izdavanje nekakve specijalne dozvole, prekogranični protok ličnih podataka na teritoriju neke druge strane ugovornice”, osim u slučaju da, zbog karaktera ličnioh podataka i zbirki podataka, u njenom zakonodavstvu postoje posebni propisi za te kategorije ličnih podataka ili automatizovanih zbirki sa ličnim podacima, ili ukoliko se prenos podataka vrši sa njene teritorije na teritoriju neke države koja nije potpisnica Konvencije, uz posredstv neke druge strane ugovornice, a radi obezbeđenja da se takav protok vrši mimo zakonodavstva te strane ugovornice. Dodаtni protokol uz Konvenciju 108 u vezi sа nаdzornim orgаnimа i prekogrаničnim protokom podаtаkа, potpisan 8. novembra 2001. godine, predstavlja sastavni deo Konvencije i sve odredbe Konvencije primenjuju se u skladu sa ovim Protokolom.[50]
UN Rezolucija o privatnosti u digitalnom dobu
Generalna skupština Ujedinjenih nacija, koju čine predstavnici sve 193 svetske države, 20. decembra 2013. godine jednoglasno je usvojila Rezoluciju o pravu na privatnost u digitalnom dobu, što je prvi dokument UN koji se bavi zaštitom privatnosti posle 25 godina. Nemačka i Brazil su pokrenuli inicijativu u Ujedinjenim Nacijama da se ova Rezolucija usvoji zbog masovnog nadgledanja koje su vršile vlade širom sveta. Rezolucija je jednoglasno usvojena pred Trećim komitetom Ujedinjenih nacija, da bi potom, opet jednoglasno bila usvojena i u Generalnoj skupštini.
Rezolucijom je ukazano na to da ubrzan napredak tehnološkog razvoja omogućava pojedincima iz celog sveta da koriste nove IKT, ali i da istovremeno povećava mogućnost da države, kompanije i pojedinaci vrše nadzor, presretanje i prikupljanje podataka, što može da dovede do kršenja ljudskih prava, posebno prava na privatnost. Rezolucija je takođe potvrdila ljudsko pravo na privatnost, u skladu sa kojim niko ne može biti podvrgnut arbitrarnom i nezakonitom mešanju u njegovu privatnost, porodičan život, dom i prepisku, kao i pravo na pravnu zaštitu u odnosu na takvo mešanje. Takođe je potvrdila da je pravo na privatnost važno za realizaciju slobode izražavanja i mišljenja, bez ikakvog uznemiravanja, ali i jedan od osnova demortatskog društva. Rezolucijom se još zahteva da Visoki komesar za ljudska prava UN Generalnoj skupštini podnese izveštaj o zaštiti prava na privatnost u kontekstu nacionalnog i ekstrateritorijalnog nadzora i/ili presretanja digitalnih komunikacija i sakupljanja ličnih podataka, uključujući takvo postupanje i na masovnom nivou. U Rezoluciji se takođe navodi da, iako se prikupljanje i obrada podataka može opravdati zaštitom javne bezbednosti, države moraju da osiguraju poštovanje obaveza koje imaju u skladu sa međunarodnim standardima ljudskih prava. Rezolucija pruža mogućnost da se problem zaštite privatnosti dalje razmatra u Ujedinjenim nacijama. Iako nije pravno obavezujuća za države članice UN, značaj ove Rezolucije je nesporan i predstavlja prvi korak ka usvajanju pravno-obavezujuće zaštite privatnosti u digitalnom dobu. Ovo nije prvi put da se jedna rezolucija UN smatra za deo običajnog prava, koje je jedan od glavnih izvora međunarodnog prava, s obzirom da se glasanjem u Generalnoj skupštini najbolje oslikava praksa država, ali i njihov stav o obavezujućoj prirodi norme koju usvajaju. Imajući ovo u vidu, može se reći da je jednoglasno usvajanje ove Rezolucije dokaz o opštem stavu država članica o neophodnosti zaštite privatnosti u digitalnom dobu.[51]
Pregled EU principa i regulative[edit | edit source]
Direktiva Evropskog parlamenta i Saveta Evropske unije 95/46/EZ od 24.10.1995. o zaštiti građana u vezi sa obradom podataka o ličnosti i o slobodnom kretanju takvih podataka[52] obavezuje države članice da štite osnovna prava i slobode fizičkih lica, a posebno njihovo pravo na privatnost u pogledu obrade podataka o ličnosti. Ova Direktiva uređuje osnovna načela u pogledu zaštite ličnih podataka, zatim obaveze rukovalaca i prava lica na koje se podaci odnose, postupanje sa osetljivim podacima, prekogranični prenos podataka i drugo. Direktivom je, između ostalog, osnovana i Radna grupa za zaštitu pojedinaca u pogledu obrade podataka o ličnosti (čl. 29), koju čine predstavnici nadzornih organa ili organa koje svaka država članica za to odredi i predstavnika vlasti ili više organa vlasti čiji su osnivači institucije i tela Zajednice, kao i predstavnik Komisije. Radna grupa razmatra sva pitanja koja se odnose na sprovođenje mera nacionalnog zakonodavstva usvojenih u skladu sa ovom Direktivom kako bi doprinela jednoobraznoj primeni takvih mera, zatim daje Komisiji mišljenje o nivou zaštite u Zajednici i u trećim zemljama, savetuje Komisiju o svakoj predloženoj izmeni i dopuni Direktive, o svakoj dodatnoj ili posebnoj meri u cilju očuvanja prava i sloboda fizičkih lica u pogledu obrade podataka o ličnosti i o svakoj drugoj predloženoj meri Zajednice koja utiče na ta prava i slobode i daje mišljenje o kodeksima ponašanja izrađenim na nivou Zajednice (čl. 30).
Direktiva Evropskog parlamenta i Saveta Evropske unije u vezi sa obradom ličnih podataka i zaštite privatnosti u elektronskom komunikacionom sektoru (2002/58EC od 12.jula 2002)[53] navodi da je poverljivost komunikacija zagarantovana u skladu sa međunarodnim instrumentima koji se odnose na ljudska prava, naročito Evropskom konvencijom za zaštitu ljudskih prava i osnovnih sloboda i ustavima Država članica EU. Ova Direktiva usklađuje odredbe Država članica koje se traže za obezbeđenje nekog ekvivalentnog nivoa zaštite osnovnih prava i sloboda, naročito prava na privatnost, u odnosu na obradu ličnih podataka u sektoru elektronske komunikacije i za obezbeđenje slobodnog kretanja takvih podataka i podataka o opremi za elektronsku komunikaciju i usluge u Zajednici, i uređuje pitanja poput poverljivosti komunikacije, bezbednosti, podacima o saobraćaju podacima o lokaciji mimo podataka o sabraćaju i druga relevantna pitanja za elektronsko komunikacioni sektor, kao što su kolačići (“cookies”), zatim uvođenje naplate računa po stavkama, upotreba spyware opreme i opreme za prisluškivanje i drugo.
Analiza usklađenosti[edit | edit source]
Zakon o zaštiti podataka o ličnosti delimično je u skladu sa međunarnodnom i EU regulativom. Evropska Komisija je u svom izveštaju o napretku Republike Srbije ocenila primenu ZZPL-a kao delimično usklađenu sa pravom EU. Problem prvenstveno predstavlja nezainteresovanost za izmenu i usklađivanje Zakona, iako je Poverenik za informacije od javnog značaja nekoliko puta predlagao izmene i dopune. Zakon je do sada menjan samo dva puta, i to odlukom Ustavnog suda o neustavnosti odredaba člana 12. st. 1, člana 13. i člana 14, st. 2, tač. 2. Zakona, kao i drugi put, 2012. godine, u vidu dopune u pogledu dozvoljenosti promene svrhe obrаde podаtаkа o ličnosti (član 8, st. 3). Problem takođe predstavljaju i specijalni zakoni koji uređuju oblasti koje se takođe odnose na obradu podataka o ličnosti (npr. pomenuti Zakon o detektivskoj delatnosti i Zakon o privatnom obezbeđenju, zatim Zakon o BIA itd). Takođe ono što predstavlja problem i što treba da bude uređeno jeste praktična primena ZZPLa. Naime državni organi, ali i privatni sektor ne obavljaju svoju delatnost u skladu sa ovim zakonom i veoma su česte povrede privatnosti građana iz ovog razloga.
U svetlu Sporazuma o stabilizaciji i pridruživanju između Evropskih zаjednicа i njihovih držаvа člаnicа i Republike Srbije, koji je stupio na snagu 1. septembrа 2013. godine, Republika Srbija ima obavezu da svoje zakonodavstvo uskladi sa regulativom EU. Ovo se odnosi i na Zakon o zaštiti podataka o ličnosti, koji treba uskladiti sa propisima o zaštiti privatnosti (čl. 81. Sporazuma). Prva relevantna poglavlja otvorena za pregovore sа Evropskom Unijom – poglаvlje 23: Reformа prаvosuđа i osnovnа prаvа, i poglаvlje 24: Prаvdа, slobodа i bezbednost – odnose se nа zаštitu podаtаkа o ličnosti, ali i Povglavlje 10: informacine tehnologije i mediji, koji se indirektno tiče i zaštite privatnosti prilikom upotrebe informaciono komunikacionih tehnologija, o čemu je bilo reči u članku o Zaštiti podataka o ličnosti u sajber prostoru.
Pregled principa i politika koji su kreirani od strane zajednice[edit | edit source]
13 principa za zaštitu privatnosti predstvaljaju rezultat široke debate na globalnom nivou, u kojoj su učestvovale organizacije civilnog društva, predstavnici IT industrije i međunarodno priznati stručnjaci koji se bave raznim aspektima nadzora i pristupa elektronskim komunikacijama. Ovi principi se odnose na nadzor elektronskih komunikacija i pristup elektronskim komunikacijama građana, koji države sprovode na svojoj teritoriji u odnosu na svoje državljane, kao i na ekstrateritorijalni nadzor i pristup komunikaciji državljana drugih država. Principi se primenjuju bez obzira da li se svrha odnosi na sprovođenje zakona, zaštitu državne bezbednost ili na neku drugu regulatornu svrhu. Oni se odnose podjednako i na obavezu države da poštuje i ispuni prava pojedinaca, kao i na obavezu da zaštiti prava pojedinaca od zloupotrebe od strane nedržavnih aktera, uključujući i privredne subjekte. Privatni sektor snosi podjednaku odgovornost u poštovanju ljudskih prava, naročito zbog toga što ima ključnu ulogu u projektovanju, omogućavanju i obezbeđivanju komunikacija i gde je neophodno, u saradnji sa državnim organima koji sprovode nadzor. Ipak, trenutni opseg principa je ograničen i obavezuje samo države.
Principi su sledeći:
1. Princip zakonitosti, prema kome bilo kakvo ograničenje prava na privatnost mora biti propisano zakonom.
2. Princip legitimnosti cilja, prema kome bi zakon trebalo da dopusti nadzor i pristup elektronskim komunikacijama jedino od strane tačno utvrđenih državnih organa ako je nadzor kao mera neophodan u demokratskom društvu radi zaštite zakonom utvrđenih legitimnih ciljeva
3. Princip neophodnosti u skladu sa kojim zakoni koji dozvoljavaju nadzor i pristup elektronskim komunikacijama od strane države se moraju ograničiti na nadzor koji je neophodan i jasno usmeren ka ostvarivanju legitimnog cilja.
4. Princip adekvatnosti koji propisuje da svaka mera nadzora i pristupa elektronskim komunikacijama, omogućena u skladu sa zakonom, na svakom nivou mora da bude prikladna za ostvarivanje legitimnog cilja.
5. Princip proporcionalnosti koji utvrđuje da nadzor i pristup elektronskim komunikacijama treba posmatrati kao meru koja u velikoj meri zadire u pravo na privatnost i slobodu izražavanja i koja kao takva može da ugrozi temelje demokratskog društva.
6. Princip nadležnosti sudskog organa prema kome odluke u vezi sa nadzorom i pristupom elektronskim komunikacijama mora da donese nadležan sud koji je nezavisan i nepristrasan.
7. Princip pravičnog suđenja koji uređuje da sudski postupak zahteva da države članice poštuju ljudska prava, tako što će obezbediti da je bilo koje ograničavanje ljudskih prava taksativno propisano u zakonu, da se dosledno sprovodi u praksi i da je javno dostupno.
8. Princip obaveštenja korisnika u skladu sa kojim lica na koja se podaci odnose bi trebalo da budu obaveštena o odluci odobravanja nadzora i pristupa elektronskim komunikacijama, kako bi im se u razumnom roku omogućilo da se žale na odluku kojom je odobren nadzor elektronskih komunikacija, a trebalo bi i da im se omogući pristup dokumentima na kojima se temelji donošenje te odluke.
9. Princip transparentnosti koji propisuje da države moraju da omoguće transparentnost u pogledu upotrebe i obima mera nadzora i pristupa elektronskim komunikacijama i ovlašćenja u vezi sa tim nadzorom.
10. Princip javnog nadzora prema kome države treba da ustanove nezavisne mehanizme kontrole nad primenom mera nadzora i pristupa elektronskim komunikacijama, kako bi osigurale transparentnost i predvidivost ovog nadzora.
11. Princip integriteta komunikacija i sistema propisuje da, kako bi osigurali integritet, sigurnost i privatnost elektronskog nadzora, države ne smeju da prisiljavaju operatore ili prodavce hardvera i softvera da ugrađuju elektronski nadzor ili funkcije praćenja u svoje sisteme, niti da prikupljaju ili zadržavaju određene informacije isključivo za svrhe državnog nadzora.
12. Princip zaštitnih mera za međunarodnu saradnju prema kom će, imajući u vidu promene u načinu protoka informacija, komunikacijskih tehnologija i usluga, države možda morati da traže pomoć od stranih operatora. Takođe, države ne smeju da koriste međunarodnu pravnu pomoć i strane zahteve u vezi sa zaštićenim informacijama kako bi zaobišle domaća zakonska ograničenja za nadzor i pristup elektronskim komunikacijama. Procesi međunarodne pravne pomoći i drugi sporazumi treba da budu jasno dokumentovani, dostupni javnosti i podvrgnuti garancijama u skladu sa načelom pravičnosti.
13. Princip usvajanja mera zaštite od nezakonitog pristupa prema kome Države treba da donesu zakone koji će inkriminisati nezakonit nadzor i pristup elektronskim komunikacijama od strane državnih organa ili privatnih lica. Ovi zakoni treba da obezbede odgovarajuće i značajne građanske i krivične sankcije, zaštitu za uzbunjivače i pravna sredstva za obeštećenje oštećenih lica.[54]
Preporučene mere kako bi došlo do otklanjanja odstupanja[edit | edit source]
Global Network Initiative
Primer dobre prakse za uspostavljanje “pakta” potrošača i kompanija uz posredničku ulogu organizacija civilnog društva je i projekat Global Network Initiative[55](GNI). GNI nastoji da uspostavi pravni okvir zasnovan na međunarodno prihvaćenim standardima koji bi obezbedio odgovorno poslovanje IKT sektora, pružio šansu za angažman u oblasti kreiranja samoregulatornih pravila i stvorio prostor za uzajamnu razmenu ideja i iskustava.
Principi slobode izražavanja i privatnosti[56], koji predstavljaju jedan od tri osnovna dokumenta Inicijative, opisuju sveobuhvatno posvećenost članova Inicijative za saradnju u unapređivanju prava na slobodu izražavanja i privatnosti korisnika. Smernice za primenu ovih Principa daju detaljnija uputstva za IKT kompanije o tome kako da u praksi primene Principe, kao i okvir za saradnju između kompanija, nevladinih organizacija, investitora i akademije. Tako Smernice za primenu propisuju u delu Zaštite podataka da kompanije treba da:
- “usko tumače zahtev državnih organa za pristup podacima kompanije, imajući u vidu da zahtev može da ugrozi privatnost;
- da zahtevaju dodatna razjašnjenja ili izmenu zahteva ukoliko je reč o zahtevu kojim je traženo više ličnih podataka u odnosu na svrhu kojoj ti podaci služe, ili ako vladin zahtev nije u skladu sa zakonom ili sa prihvaćenim međunarodnim ljudskim pravima i standardima privatnosti;
- u daljoj komunikaciji sa vladinim organima, kompanije treba da, najbolje pismeno, održavaju komunikaciju, zahtevaju objašnjenje u vezi sa pravnim osnovom poslatog zahteva, sa akcentom na ime organa, službenika, njegovu poziciju i potpis zvaničnika;
- kompanije treba da utiču da državni organi poštuju domaću pravnu proceduru u ovim situacijama;
- kompanije treba da usvoje pravila i procedure kojima će regulisati postupanja u situacijama kada je reč o zahtevu koji nije u pisanoj proceduri ili nije u skladu sa pravnom procedurom.
- pravila treba da razmotre i situacije u kojima će kompanije pokretati sudske i druge postupke za ispitivanje legalnosti zahteva.
- kompanije treba da usko tumače ovlašćenje vlada za pristup ličnim podacima u zemlji u kojoj posluju i da u određenim situacijama u postupcima pred domaćim sudovima, uz asistenciju relevantnih stručnjaka, međunarodnih organizacija za ljudska prava, nevladnih organizacija, vode postupke kada zahtev nije u skladu sa domaćim ili međunarodnim propisima i standardima privatnosti. “
Ipak, treba imati u vidu da nije ni praktično ni poželjno da kompanije ispituju u postupcima sve zahteve, već je bolje da razviju posebne kriterujume na osnovu kojih će pokretati postupke (postupci koji će pozitivno uticati na zaštitu privatnosti, težina slučaja i ozbiljnost situacije, troškovi postupka, relevantnost slučaja za sudsku praksu i da li se već vode slični slučajevi). U primeni ovih Smernica, kompanije treba da predvide i situacije u kojima države pokušavaju da izbegnu domaću proceduru, pa zahtevaju pristup podacima kroz “proksi” (proxy) servere i preko trećih lica. Međunarodna praksa u zaštiti podataka o ličnosti je postavila standarde i fundamentalne principe u ovoj oblasti, koje kompanije treba da poštuju i slede da bi zakonito i odgovorno poslovale, kao i u cilju očuvanja reputacije.
ISO Standardi
ISO 27001 Jedan od načina na koji biznis sektor može da osigura poštovanje i zaštitu podataka o ličnosti svojih korisnika je uvođenje ISO standarda 27001 koji se odnosi na zaštitu podataka. Nova verzija Standarda ISO 2700[57] koji je objavljen još 2005. godine, nastala je 2013. godine i sada je skladu sa drugim ISO sertifikovanim menadžment sistem standardima. Standard ISO 27001[57] uveo je “Planiraj-Uradi-Proveri-Reaguj” (Plan-Do-Check-Act)[58] koncept. Ovaj standard je specifikacija sistema ISMS – Information Security Management Systems (Sistem upravljanja bezbednošću podataka), na osnovu kog se i ovaj standard dodeljuje. Cilj ovog standarda je da obezbedi uslove za uspostavljanje, implementaciju, održavanje i kontinuirano unapređivanje sistema upravljanja bezbednošću podataka (ISMS). Standard obuhvata sve vrste kompanija (komercijalna preduzeća, vladine, nevladine i neprofitne organizacije), svih veličina (od mikro preduzeća do velikih multinacionalnih kompanija) i sve industrije i segmente (npr. maloprodaja, bankarstvo, odbrana, zdravstvo, obrazovanje i vlada). Obavezan deo u postupku sertifikacije jeste da sprovođenje objektivne analize o tome šta kompanija treba da uradi kako bi primenila ISMS sistem, a u isto vreme služi kao osnova za formalnu procenu usklađenosti koju obavljaju ovlašćeni revizori. Obavezna dokumenta, odnosno dokumentovani podaci kako to naziva Standard su između ostalog sledeći: analiza već postojećeg ISMS, polise bezbednosti podataka, procena rizika bezbednosti podataka, način tretmana rizika po bezbednost podataka, dokaz o stručnosti i kvalifikacijama ljudi koji su zaduženi za bezbednost podataka, operativno planiranje i kontrola dokumenata, rezultalti procene rizika, odluke u vezi sa tretmanom rizika, dokazi o praćenju i merenju bezbednosti podataka, interni revizorski program ISMS sistema i rezultati o sprovedenim revizijama, dokazi o utvrđenim neusaglašenostima i korektivnim merama koje proizilaze i ostala propratna dokumentacija. Sertifikacija donosi brojne koristi koje prevazilaze cilj koji se želi postoći njegovim uvođenjem a to je usklađenost sa standardom. Upravo kao standardi iz ove serije govori više o kompanije i njenoj odgovornoj politici postupanja sa podacima, te ujedno ukazuje na lojalnu utakmicu na tržištu i prevashodnu zaštitu potrošača.
ISO 29100 Standard ISO/IEC 29100:2011[59] uređuje privatnost, odnosno zaštitu ličnih podataka unutar IKT sistema. Ovaj standard je opšti i cilj mu je usklađivanje organizacionih, tehničkih i proceduralnih aspektata IKT sistema i zaštite ličnih podataka, tj. privatnosti. Namenjen je fizičkim i pravnim licima i organizacijama koje se bave preciziranjem, nаbаvljаnjem, projektovаnjem, rаzvojem, testirаnjem, održаvаnjem, аdministrirаnjem operаtivnih IKT sistema ili usluga, gde su potrebne kontrole korišćenjа zа prerаdu ličnih podataka.
Solove i problem samoregulisanja privatnosti
Jedan od vodećih autora koji se bavi temom zaštite privatnosti i podataka o ličnosti, Daniel Solove, tvrdi[60], u cilju napretka, politike privatnosti i regulativa u vezi sa privatnošću moraju da se suoče sa problemima samoregulisanja, koje se bazira na saglasnosti lica na koje se podaci odnose na njihovu obradu i korišćenje, i da se okrenu novom pravcu. Solove između ostalog tvrdi da je veoma teško u današnje vreme regulisati pitanje zaštite podataka, a time i privatnosti. Pre svega, problem je u korisnicima koji niti žele niti imaju vremena da se detaljno bave analizom Politika privatnosti i sličnih dokumenata, pre davanja saglasnosti. S druge strane, ni državni organi nemaju resursa i kapaciteta da vrše kontrolu usaglašenosti ovih akata sa zakonskom regulativom, dok kompanije koriste ovu situaciju dolazeći do sve većeg broja podataka. Solove zato ističe da korisnik u svakom trenutku mora biti obavešten o kretanju svojih podataka, odnosno izmenama Obaveštenja o obradi, te mora imati mogućnost da se ne složi sa novim vidom obrade, pa će se u tom smislu na njega primenjivati Obaveštenja o obradi na koje je ranije dao saglasnost, a ne i nova sa kojima se nije saglasio. Solove ističe da “opt-in” rešenje ne treba isključiti, ali da treba aktivnije uključiti korisnika u kontrolisanje i “cost-benefit” analize dalje obrade njegovih podataka. Samo na taj način korisnik će biti siguran da su njegovi podaci zaštićeni i bezbedni.
Reference[edit | edit source]
- Jump up↑ Warren and Brandeis, The Right to Privacy, Harvard Law Review Vol. IV (1890), No.5.
- Jump up↑ Solove, Daniel J, Conceptualizing Privacy California Law Review (2002).
- Jump up↑ Komitet za ljudska prava, Generalni komentar br. 16 o članu 17 Međunarodnog pakta o građanskim i političkim pravima (Pravo na privatnost, porodičan život, dom i prepisku, zaštitu časti i reputacije) (1988), dostupan na:http://ccprcentre.org/doc/ICCPR/General%20Comments/HRI.GEN.1.Rev.9%28Vol.I%29_%28GC16%29_en.pdf, posećeno 05.03.2014.
- Jump up↑ OECD, Smernice OECD za zaštitu privatnosti i prekograničnu razmenu podataka o ličnosti (1980), dostupno na: http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm, posećeno 06.03.2014
- Jump up↑ OECD, Seulska deklaracija o budućnosti internet ekonomije (2008), dostupno na: http://www.oecd.org/sti/40839436.pdfposećeno 06.03.2014.
- Jump up↑ irektiva Evropskog parlamenta i Saveta Evropske unije o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i slobodnom protoku podataka br. 95/46 (1995), dostupno na: http://www.poverenik.rs/yu/pravni-okvir-zp/medjunarodni-dokumenti-zp/699–9546-24101995-.html, posećeno 06.03.2014.
- ↑ Jump up to:7.0 7.1 „Službeni glаsnik RS“, br. 97/08 i 104/09, Zakon o zaštiti podataka o ličnosti Republike Srbije (2009), dostupno na: http://paragraf.rs/propisi/zakon_o_zastiti_podataka_o_licnosti.html, posećeno 06.03.2014.
- ↑ Jump up to:8.0 8.1 Pirc Musar, Nataša, Vodič kroz zakon o zaštiti podataka o ličnosti (2009)
- Jump up↑ A Guardian guide to Metadata, dostupan na http://www.theguardian.com/technology/interactive/2013/jun/12/what-is-metadata-nsa-surveillance#meta=0001000
- Jump up↑ The Guardian, The NSA Files, dostupno na: http://www.theguardian.com/world/the-nsa-files
- Jump up↑ Direktiva Evropskog parlamenta i Saveta o zadržanim podacima 2006/24/EC
- Jump up↑ A Guardian guide to Metadata, dostupan na http://www.theguardian.com/technology/interactive/2013/jun/12/what-is-metadata-nsa-surveillance#meta=0001000
- Jump up↑ Hronološki pregled Google Politika Privatnosti (1999-2013)
- Jump up↑ Google Politika Privatnosti od 20 Decembra 2013. godine
- ↑ Jump up to:15.0 15.1 15.2 Electronic Frontier Foundation, „Who has your back?“ – Treći godišnji izveštaj o praksama pružaoca Internet usluga u odnosu na privatnost i transparentnost koje se odnose na pristup državnih organa podacima korisnika
- ↑ Jump up to:16.0 16.1 Solove, Daniel J, Conceptualizing Privacy, California Law Review (2002)
- Jump up↑ McDonald, Alicia M. and Cranor, Lorrie Faith, The Cost of Reading Privacy Policies, I/S: A Journal of Law and Policy, Vol. 4:3 (2008)
- ↑ Jump up to:18.0 18.1 Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, „Poverenik pokrenuo nadzor nad operatorima Interneta„, Saopštenje od 04.11.2013.
- Jump up↑ Nadzor Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti nad operatorima elektronskih komunikacija u pogledu bezbednosti podataka o ličnosti – UPITNIK
- Jump up↑ Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti, „Zabrinjavajući rezultati nadzora nad operatorima Interneta„, Saopštenje od 19. marta 2014.
- Jump up↑ Uslovi korišćenja Internet platformi društva Limundo d.o.o. od 24.12.2012. godine
- Jump up↑ Limundo d.o.o. „Pravilnik o privatnosti“ od 13.01.2012. godine
- ↑ Jump up to:23.0 23.1 23.2 23.3 23.4 Zakon o zaštiti podataka o ličnosti Republike Srbije, „Sl. glasnik RS“, br. 97/2008, 104/2009 – dr. zakon, 68/2012 – odluka US i 107/2012, dostupno na: http://paragraf.rs/propisi/zakon_o_zastiti_podataka_o_licnosti.html
- ↑ Jump up to:24.0 24.1 Konvencija Sаvetа Evrope broj 108 o zаštiti licа u odnosu nа аutomаtsku obrаdu podаtаkа o ličnosti (2005), dostupna na: http://www.poverenik.rs/yu/pravni-okvir-zp/medjunarodni-dokumenti-zp/1359-konvencija-o-zastiti-lica-u-odnosu-na-automatsku-obradu-podataka.html
- Jump up↑ Dodаtni protokol uz Konvenciju 108 u vezi sа nаdzornim orgаnimа i prekogrаničnim protokom podаtаkа (2008), dostupno na: http://www.poverenik.rs/yu/pravni-okvir-zp/medjunarodni-dokumenti-zp/1360-dodatni-protokol-uz-konvenciju-o-zastiti-lica-u-odnosu-na-automatsku-obradu-licnih-podataka-u-vezi-sa-nadzornim-organima-i-prekogranicnim-protokom-podataka.html
- ↑ Jump up to:26.0 26.1 Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Zaštita podataka: Priručnik za rukovaoce, 2012
- ↑ Jump up to:27.0 27.1 27.2 Mišič, Klemen, Lubarda, Maja, Zaštita podataka – Priručnik za rukovaoce.
- Jump up↑ Poverenik za zaštitu podataka o ličnosti, Pravilnik o načinu prethodne provere radnji obrade podataka o ličnosti.
- Jump up↑ Poverenik za informacije od javnog značaja, Centralni registar dostupno na:http://www.poverenik.rs/registar/index.php/sr/naslovna.html
- Jump up↑ Poverenik za informacije od javnog značaja, Uredba o obrascu za vođenje evidencije i vođenja evidencije o obradi podataka o ličnosti (2009)
- Jump up↑ overenik za informacije od javnog značaja i zaštitu podataka o ličnotst, Kome se žaliti?
- Jump up↑ Internet stranica Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, http://www.poverenik.rs/
- ↑ Jump up to:33.0 33.1 Ustavni sud Srbije, Odlukа o utvrđivаnju nesаglаsnosti-Zаkon o zаštiti podаtаkа o ličnosti („Službeni glаsnik RS“, br. 97/08 i 104/09), člаn 12. stаv 1. tаčkа 3) u delu koji glаsi: „ili drugim propisom donetim u sklаdu sа ovim zаkonom“, člаn 13. u delu koji glаsi: „ili drugim propisom“ i člаn 14. stаv 2. tаčkа 2) u delu koji glаsi: „ili drugim propisom donetim u sklаdu sа zаkonom“, Predmet br. IUz-41/2010, „Službeni glasnik RS“, број 68/2012, 30.05.2012
- ↑ Jump up to:34.0 34.1 Internet stranica Parthera za demokratske promene Srbija: http://www.partners-serbia.org/
- Jump up↑ Partneri za demokratske promene Srbija, Analiza primene Zakona o zaštiti podataka o ličnosti (2013)
- Jump up↑ Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Studije, dostupno na: http://www.poverenik.rs/sr/publikacije/studije.html
- Jump up↑ Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Nadzor nad operatorima Interneta (2013).
- Jump up↑ Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Mišljenja, dostupno na: http://www.poverenik.rs/index.php/yu/2011-05-21-08-29-18/2011-05-24-08-14-24.html
- Jump up↑ Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Odluke, dostupno na: http://www.poverenik.rs/index.php/yu/2011-05-21-08-29-18/2011-05-24-08-14-24/odluke.html
- Jump up↑ Rodoljub Šabić, Neslavan rekord, Politika, 23.11.2013, dostupno na http://www.politika.rs/rubrike/Pogledi-sa-strane/Neslavan-rekord.sr.html
- Jump up↑ Blic,Šabić: Sistemski rešiti problem obrade ličnih podataka, 17. 09. 2013, dostupno na: http://www.blic.rs/Vesti/Drustvo/405896/Sabic-Sistemski-resiti-problem-obrade-licnih-podataka
- Jump up↑ Partneri za demokratske promene Srbija, Portal Zaštita podataka o ličnosti
- Jump up↑ Mandić, Sofija, Dobrodošli u zemlju ćirilice, Peščanik, 2013, dostupno na: http://pescanik.net/2013/11/dobrodosli-u-zemlju-cirilice/
- Jump up↑ Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Izveštaj o sprovođenju zakona o slobodnom pristupu informacijama od javnog značaja i zaštiti podataka o ličnosti za 2012. godinu (2013).
- Jump up↑ Generalna skupština Ujedinjenih Nacija, Univerzalna deklaracija o ljudskim pravima,A/RES/217, 10. decembar 1948.
- Jump up↑ Savet Evrope, Evropska konvencija za zaštitu ljudskih prava i osnovnih sloboda, 4. novembar 1950.
- Jump up↑ Generalna skuština Ujedinjenih Nacija, Međunarodni pakt o građanskim i političkip pravima,16 Decembar 1966.
- Jump up↑ Komitet za ljudska prava,Generalni komentar br. 16 o članu 17. Međunarodnog pakta o građanskim i političkim pravima (Pravo na privatnost, porodičan život, dom i prepisku, i zaštitu časti i reputacije), HRI/GEN/1/Rev.9 (Vol. I), 8 April 1988.
- Jump up↑ Savet Evrope, Konvencija broj 108 o zаštiti licа u odnosu nа аutomаtsku obrаdu podаtаkа o ličnosti, 28. januar 1981.
- Jump up↑ Savet Evrope, Dodаtni protokol uz Konvenciju 108 u vezi sа nаdzornim orgаnimа i prekogrаničnim protokom podаtаkа, 8. novembar 2001. godine
- Jump up↑ Generalna skupština Ujedinjenih Nacija, Rezolucija o pravu na privatnost u digitalnom dobu, A/C.3/68/L.45/Rev.1, 20 Novembar 2013.
- Jump up↑ Direktiva 95/46/EZ od 24.10.1995. o zaštiti građana u vezi sa obradom podataka o ličnosti
- Jump up↑ Direktiva Evropskog parlamenta i Saveta u vezi sa obradom podataka o ličnosti i zaštite privatnosti u elektronskom komunikacionom sektoru 2002/58C (2012), dostupno na: http://www.poverenik.rs/yu/pravni-okvir-zp/medjunarodni-dokumenti-zp/701–200258.html
- Jump up↑ Međunarodni principi u pogledu poštovanja ljudskih prava kao temeljne vrednosti društva u odnosu na pravo državnih organa da vrše nadzor i pristup elektronskim komunikacijama građana, 10. Maj 2013. dostupno na: https://hr.necessaryandproportionate.org/text
- Jump up↑ Internet stranica Global Network Initiative, http://www.globalnetworkinitiative.org
- Jump up↑ Global Network Initiative, Principi slobode izražavanja i privatnosti, dostupno na: http://globalnetworkinitiative.org/principles/index.ph
- ↑ Jump up to:57.0 57.1 ISO standard 27001 (2005), dostupan na: http://www.27000.org/iso-27001.htm
- Jump up↑ Plan-Do-Check-Act, dostupan na: http://www.mindtools.com/pages/article/newPPM_89.htm
- Jump up↑ ISO standard 29100 (2011), dostupan na: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=45123
- Jump up↑ Solove, Daniel J, Privacy Self-Management aand the Consent Dilemma (2012).