FOTO: Pexels

Kako će srpski GDPR uticati na građane i privredu?

FOTO: Pexels

Za manje od mesec dana stupa na snagu novi Zakon o zaštiti podataka o ličnosti koji donosi velike novine za građane i privredni sektor. Novi Zakon je usvojen pre skoro devet meseci, a stupa na snagu tek sada, te se opravdano postavlja pitanje čemu tako dugačak period pripreme. Razlog iza ovakvog rešenja je jednostavan, nikom baš nije jasno kako primeniti novi Zakon u ovim okvirima. 

Naime, ovaj Zakon unosi ogromne i teško dostižne izmene. 

Pre nego što se osvrnem na izmene treba naglasiti da je novi Zakon o zaštiti podataka o ličnosti praktično prepisan GDPR, što je izazovno iz dva razloga. Prvo, GDPR se teško primenjuje i u Evropskoj uniji i već su predložene izmene u novim regulativama EU i drugo Srbija je daleko od institucionalnih kapaciteta i tehnološkoh razvoja da bi prepisala ovakav Zakona. 

Da je ovo nerealan korak govori činjenica da se iz radne grupe za pripremu ovog Zakona povukla služba Poverenika, a da je Ministarstvo pravde uprkos tome i Poverenikovim sugestijama, predložilo a Narodna skupština usvojila novi Zakona o zaštiti podataka o ličnosti.

Istini za volju ovaj Zakon kao i GDPR imaju jedan pozitivan efekat, a to je podizanje nivoa svesti o važnosti i ugroženosti ličnih podataka, te to opravdava njihovu svrhu, uprkost tome što su u dobrom delu kao preambula Ustava RS, spisak lepih i teško ostvarivih želja.

Pre nego što uđem u detalje novog Zakona, kratak uvod o tome šta je GDPR? GDPR je Regulativa Evropske unije o zaštiti podataka o ličnosti koja je stupila na snagu pre nešto više od godinu dana i koja je unela do sada neviđene izmene u pravnom regulisanju rada pružalaca informativnih usluga i zaštiti podataka o ličnosti. Zbog ove regulative ogromne izmene su pravili veliki igrači na tržištu kao što su Facebook, Google, Yahoo, Apple i slični.

Što se tiče srpske verzije GDPR-a odnosno novog Zakona o zaštiti podataka o ličnosti treba poći od pojma odnosno definicije podata o ličnosti koja je postavljana kao i u GDPR-u dosta široko. Lični podatak je je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta. 

Iako ova definicija postavlja visok nivo standarda zaštite ličnih podataka što treba podržati, ona u praksi rađa sumnje, nedoumice i zloupotrebe koji predstavljaju teret privrednicima, a nedostižan standard građanima. 

Međutim, uprkos izazovima ovakvu ideju definisanja ličnih podataka treba pohvaliti iako treba dati vremena tehnologiji da ovakav standard podrži, jer bez tehnološke podrške ovaj standard je samo mrtvo slovo na papiru. 

U istom duhu, pored pojma ličnog podatka, treba napomenuti da je i pojam obrade podataka o ličnosti dosta široko postavljen, dok su definicije automatizovane obrade i pseudonimizacije vremenski fiksirani mnogo više u budućnost nego u sadašnjost.

Ono što je najveća prepreka novog Zakona je činjenica da on nameće nerealno velike tehničke, kadrovske i finansijske obaveze privrednim društvima s jedne strane, i nerelane kontrolne i inspekcijske obaveze Poverenika s druge strane.

Jedan od prvih izazova za privredni sektor, a i građane, može biti ostvarivanje prava na ispravku, dopunu, brisanje, ograničenje i prenosivost ličnih podataka koji su prikupljeni pomoću takozvanih „kolačića" odnosno „coockies". 

„Kolačići" su podaci koji prikupljaju podatke o poseticima website-a i oni služe pružaocu usluga (website-u) da prilagodi sadržaj website preferencijama posetioca.  Shodno odredbi člana 4. stav 1. tačka 1. Zakona takvi podaci predstavljaju podatak o ličnosti jer oni na odrediv i posredan način predstavljaju podatke o fizičkom licu koje posećuje website. Međutim, problem nastaje kada posetilac website-a želi da njegovi podaci npr. budu izbrisani. To je pravo koje je u široj javnosti i u GDPR-u poznato kao „right to be forgotten" ili „pravo na zaborav". 

Jedno od prvih izazova jeste kako napraviti nesumnjivu vezu između takvih podataka i konkretnog fizičkog lica? Imajući u vidu da je za sakupljanje takvih podataka tačka vezivanja IP adresa sa koje korisnik pristupa website-u, postavlja se pitanje da li pristup uređajima imalo samo jedno ili više lica i da li svi ili samo jedno lice imaju takvo pravo i kako takva lica na nesumnjiv način identifikovati?

Od rešavanja ovog problema zavise sve mere zaštite koje treba da primeni rukovalac ličnih podataka i ostvarenje svih prava fizičkog lica na ispravku, dopunu, brisanje, ograničenje i prenosivost podataka o ličnosti. 

Takođe, iz dva razloga je nejasno zašto je u Zakonu prepisana odredba GDPR koja propisuje zaštitu podataka o ličnosti pri saradnji sa međunarodnim organizacijama i zemljama van Evropske unije. Prvo, takva odredba ima u vidu takozvani „Digital single Market of the European Union" i tehnološki razvoj koji Srbija nema. 

I drugo, Srbija je listu trećih zemalja sa kojima se može u tom slučaju sarađivati prepisala iz GDPR, iako si kriterijumi koji su vodili Evropsku Uniju značajno drugačiji od kriterijuma koji treba da vode Republiku Srbiju pri određivanju ovakvog tipa zaštite.
Nejasna je odredba člana 64. Zakona koja prvo propisuje da se smatra da je dostignut odgovarajući nivo zaštite ličnih podataka kada je neka država članica Konvencije Saveta Evrope ili kada je Evropska Unija utvrdila da je određena država ili međunarodna organizacija obezbedila primerni nivo zaštite. 

Naime ova odredba je jedna vrsta lošeg prilagođavanja GDPR-u. GDPR propisuje da Evropska Unija odnosno njena ovlašćenja tela propisuju koje države i međunarodne organizacije ispunjavaju te standarde i te države i međunarodne organizacije nisu po automatizmu zemlje članice Konvencije Saveta Evrope, što potvrđuje da je ova odredba člana 64. Zakona potencijalno u kontradiktorna samoj sebi. 

Da postoji kolizija indikuje i odredba stava 3. istog člana koja propisuje pak da „Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana..", što upuće da je Vladi data uloga korektivnog faktora ako ovo gore ispadne da ne radi. I opravdano je postaviti pitanje koji organ Vlade je ovlašćen da donosi tako usko specijalizovano mišljenje i na osnovu čega? 

Da su ambicije bile velike govori i činjenica da je ovim Zakonom predviđeno pokretanje upravnog postupka, upravnog spora, sudskog postupka i to pred višim sudovima i prekršajnim sudovima. Dakle mi imamo jedan upitan novi institucionalni okvir u kome će biti upregnute ne samo službe Poverenika, nego i Upravni sud, kao i prekršajni i viši sud koji će odlučivati kako o povredi prava, tako i o naknadi materijalne i nematerijalne štete, a propisane kazne za privredna društva u prekršajnom postupku se kreću u opsegu od 50.000 dinara do čak 2.000.000 dinara. 

I konačno, Zakon počinje da se primenjuje za nešto manje od mesec dana odnosno 21. avgusta, a član 100. Zakona propisuje period prilagođavanja novog Zakona sa odredbama drugih zakona, koje se odnose na obradu podataka o ličnosti, do kraja 2020. godine. Kada se ovom periodu doda početni vacatio legis (važenje zakona) od devet meseci dolazi se do zaključka da su odredbe novog Zakona spisak lepih želja sa nategnutim institucionalnim kapacitetima koji će dodati novi pritisak privrednim društvima bez garancije podizanja nivoa zaštite prava ličnosti građana.

Strahinja Mavrenski
advokatPročitajte još

pošaljite komentar

Komentari (2)

  • Milica

    Uhvatite se vi tog novog zakona lepo, pitajte stručnjake za informacionu bezbednost i za ISO standarde kako se implementiraju zahtevi poput onih u GDPR ili u ZZPL, i malim koracima doći ćete sinergijom, uz dosta truda, do cilja. A šta cilj, da li ste se zapitali? Zaštita prava na privatnost građana, uključujući zaštitu podataka o ličnosti vaših klijenata, nas samih kao i naše dece, treba da je cilj. Ovde u Francuskoj gde boravim trenutno svi su se uhvatili u koštac sa GDPR propisom EU, jer su shvatili da ide u njihovu korist, uključujući advokate...

  • Dušan Petković

    Dobro, nagrdili ste novi Zakon o zaštiti podataka o ličnosti, pa i sam GDPR, koji predstavlja svetlo u tunelu zloupotreba podataka o ličnosti (Facebook, Google, Apple, Microsoft, Amazon, British Airways i mnogi drugi koji su već platili ozbiljne kazne zbog kršenja GDPR i curenja podataka svojih klijenata) i uzor drugim državama za donošenje sličnih propisa (CCPA u Kaliforniji, Južna Koreja, Australija, ostatak SAD itd, pa i Srbija), ali niste ponudili neko racionalno rešenje. Tipično advokatski, da se zakomplikuje, umesto da se razreši.