Andrej Diligenski

SAGOVORNICI

Andrej Diligenski

 

Novi Zakon o zaštiti podataka o ličnosti mnogim građanima u Srbiji, pa čak i pravnicima, otvorio je niz nepoznanica o tome kako novine ovog zakona utiču na njih i koje promene donosi. 

Mr Andrej Diligenski, stručnjak za zaštitu podataka, vrsni poznavalac internet prava i opasnosti koje vrebaju sa društvenih mreža pojasnio je za Kolegu neke od nedoumica u ovoj oblasti.

DA LI SU PODACI O LIČNOSTI U SRBIJI DANAS ZAŠTIĆENI?

Nalazimo se, na globalnom planu, ne samo u Srbiji, u jednom „mračnom dobu“ zaštite podataka. Situacija je toliko alarmantna, da je u jednu ruku dobro što ljudi nisu svesni šta se sa podacima o ličnosti radi, dok su, sa druge strane, mogućnosti zloupotrebe podataka o ličnosti enormne. U Srbiji upravo svest običnih građana uopšte nije prisutna u pogledu zaštite njihovih podataka o ličnosti, pa se često može čuti „Šta neka kompanija ili država ima od mojih podataka, zašto sam ja njima bitan?“. U pravu zaštite podataka se ne radi o tome da li je neko bitan ili nije, već se radi o pravu na informaciono samoodređenje pojedinca, o tome koji će podaci o ličnosti u koje svrhe biti korišteni. To pravo ima svaki pojedinac, da odredi koji će se podaci o njemu u koje svrhe koristiti. Takođe se često može čuti „Ja nemam šta da krijem“. Ova izjava je upravo obrnuta paradigma same zaštite podataka, jer se masovno koristi u prilog aktivnosti nadzora drzava ili velikih kompanija u svrhe bezbednosti – odbrane od terorizma, teških krivičnih dela itd. U Srbiji je svest o značaju zaštite podataka na vrlo niskom nivou, koji je pre svega sa jedne strane kulturološki uslovljen, a sa druge strane problem predstavlja potpuna tehnološka nepismenost. Do donošenja novog Zakona o zaštiti podataka o ličnosti (u daljem tekstu ZZPL) bilo je ogromnih propusta na polju zaštite podataka. Tako smo imali problem sa aplikacijom „Izabrani lekar“, iznošenja ogromne količine podataka građana Srbije u inostranstvo bez odobrenja Poverenika, objavljivanja preko 5 miliona podataka o JMBG na sajtu APR. Trenutno je veoma sporan sistem prepoznavanja lica putem kamera, koji MUP želi da uvede u Beogradu.

ŠTA SRBIJA DOBIJA NOVIM ZAKONOM?

Srbija novim zakonom dobija, pre svega, usklađenost sa evropskim zakonodavstvom u oblasti zaštite podataka o ličnosti. Novi zakon predstavlja zapravo kopiju Opšte uredbe o zaštiti podataka (poznatije kao GDPR). Najveći problem novog Zakona o zaštiti podataka o ličnosti je što on ne predstavlja adekvatnu kopiju GDPR-a. ZZPL ne sadrži uvodne tačke razmatranja iz GDPR-a, koje objašnjavaju primenu same uredbe i tako odredbe novog zakona u Srbiji ostaju nedorečene. Sa druge strane, u GDPR postoji ogroman broj tzv. otvorenih klauzula, koje daju mogućnost za dalju regulaciju evropskim državama. One u ZZPL uopšte nisu uzete u obzir, pa je tako ostao neregulisan videonadzor, zaštita podataka zaposlenih, obrada fotografija itd. Dobre strane ZZPL su da su konačno data veća ovlašćenja Povereniku, da postoji u ogromnom obimu usklađenost i prepoznatljivost propisa u skladu sa GDPR; takođe, mogućnost sankcionisanja i kažnjavanja kompanija i državnih institucija je značajno promenjena u odnosu na stari zakon. Stoga se ipak, i pored navedenih nedostataka, ne može pričati o negativnim uticajima samog zakona. Za obveznike zakona, a to su sve kompanije, državne institucije koje obrađuju podatke, razumevanje zakona i njegova primena su noćna mora, iz razloga što je pored GDPR regulisana u ZZPL i tzv. Policijska direktiva, koja posebno reguliše zaštitu podataka za organe bezbednosti. Stoga je razumevanje za firme bitno smanjeno i zahteva stručnjake iz oblasti zaštite podataka, kako bi se ZZPL adekvatno primenio u praksi. 

Dobra strana usklađenosti ZZPL sa GDPR je i ta da je GDPR doneo skoro globalnu primenu. Pored država članica EU, odredbe GDPR u manjoj ili većoj meri primenjuju Brazil, Japan, Hongkong, Nigerija, Bahrein, Ujedinjeni Arapski Emirati, Kalifornija, Kanada itd. Stoga je teško govoriti o lošem zakonodavnom okviru u oblasti zaštite podataka EU, a samim tim i u Srbiji. Srbija bi trebalo pre svega da u sektorskim zakonima, iako bi bilo pametnije da je to u samom ZZPL, da razradi i posebno reguliše pojedine teme zaštite podataka. 

DA LI INSTITUCIJE U SRBIJI MOGU ADEKVATNO DA ODGOVORE ZAHTEVIMA KOJI SU PROPISANI ZAKONOM?

Institucije u Srbiji uopšte nisu pripremljene na novi zakon. U EU je institucijama dato 2 godine za usaglašavanje sa GDPR-om, dok je naš zakonodavac predvideo svega 9 meseci za usaglašavanje sa ZZPL. Stoga je Poverenik u avgustu mesecu 2019. godine i tražio odlaganje primene ZZPL, pošto u Srbiji još uvek ne postoji adekvatna stručnost, ali i resursi da bi se adekvatno primenile zakonske odredbe. 

Iz tih razloga je GDPR Institut iz Beograda sačinio skup dokumenata DPMS, usklađenih sa ZZPL, koji predstavljaju prave standarde u oblasti zaštite podataka o ličnosti. Radi se o procesima, procedurama i šablonima koji predstavljaju bazu za primenu ZZPL. Samim tim je firmama i državnim institucijama olakšano da u svojim organizacijama primene zakon. 

GDPR Institut iz Beograda je takođe jedini koji vrši adekvatnu obuku lica za zaštitu podataka o ličnosti. U pitanju je trodnevni kurs sa praktičnim sticanjem znanja putem radionica. Do sada je u Srbiji obučeno preko 100 ljudi, koji su u stanju da odgovore zahtevima ZZPL i GDPR. Po ZZPL postoji obaveza imenovanja lica za zaštitu podataka (čl. 56 ZZPL):

a) za državne institucije tj. „organe vlasti“; 

b) organizacije koje izrađuju profile;

c) organizacije koje obrađuju osetljive podatke (zdravstvene, biometrijske podatake, podatke o verskoj pripadnosti, podatke o krivičnopravnoj osuđivanosti itd.). 

Organ vlasti je po ZZPL svaki državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja. Radi lakšeg razlikovanja u odnosu na kompanije, nazivaćemo ih u daljem tekstu organizacije.

VAŠA KNJIGA FEJSBUK, ZAŠTITA PODATAKA I SUDSKA PRAKSA GOVORI O PROBLEMIMA ZAŠTITE PODATAKA NA DRUŠTVENOJ MREŽI.

Na Fejsbuku postoje problemi vezani za zaštitu podataka pre svega u: 

a) prikupljanju prevelike količine podataka od korisnika Fejsbuka. Fejsbuk na svojim serverima samo u švedskom gradiću Lunea ima servere sa podacima korisnika u razmeri od 17 fudbalskih terena;

b) prikupljanju i obrađivanju podataka bez pristanka korisnika Fejsbuka (npr. Kembridž Analitika, prosleđivanje podataka marketinškim agencijama, korišćenje kolačića (eng. Cookies) bez odobrenja korisnika itd.);

c) pravljenju profila iz senke u okviru friend finder opcije, kojom se šalju pozivnice korisnika Fejsbuka potencijalnim korisnicima Fejsbuka da pristupe ovoj društvenoj mreži. Tom prilikom se prave profili iz senke, a da nekorisnici Fejsbuka nisu svesni o ovoj obradi podataka od strane Fejsbuka;

d) obeležavanju tj. „tagovanju“ korisnika i nekorisnika Fejsbuka na slikama;

e) profilisanju u političke svrhe (slučaj Kembridž Analitika);

f) skeniranju lica i prepoznavanje lica;

g) korišćenju „lajk“ dugmeta, kojim korisnici mogu, pored praćenja putem kolačića, biti na osnovu „Opštih uslova poslovanja“ biti korišteni kao reklama u zavisnosti od toga koji su sadržaj lajkovali;

h) korišćenju opasnih aplikacija (npr. igrica koje imaju prevelika ovlašćenja pristupa mobilnim uređajima, kamerama, fotografijama Fejsbuk korisnika);

i) kreiranju večnih profila (otežano navodno brisanje Fejsbuk profila, suštinski se podaci nikad ne brišu).

 AUTOR STE KNJIGE PRAVO ZAŠTITE PODATAKA GDPR, PRVE KNJIGE O ZAŠTITI PRAVA U REGIONU BIVŠE JUGOSLAVIJE. 

Knjiga Pravo zaštite podataka GDPR je prva i jedina knjiga u regionu koja se na sveobuhvatan način bavi pravom zaštite podataka. Knjiga omogućava pre svega stručnoj javnosti uvid i objašnjenje najvažnijih delova GDPR-a, na kojima je baziran naš ZZPL. U knjizi su objašnjeni najvažniji delovi GDPR-a:

a) definicije u pravu zaštite podataka (šta su podaci o ličnosti, biometrijski podaci, ko je rukovalac, ko je obrađivač, big data itd.);

b) načela obrade podataka;

c) prava svih nas, pojedinaca (brisanje, ispravka, pristup podacima, ograničenje obrade, prenosivost itd.);

d) ugrađena odnosno podrazumevana privatnost (privacy by design & default);

e) evidencija radnji obrade podataka;

f) bezbednost obrade podataka;

g) rizik u pravu zaštite podataka (pristup baziran na riziku, procena uticaja u vezi sa zaštitom podataka o ličnosti);

h) povreda bezbednosti podataka o ličnosti (data breach);

i) lice za zaštitu podataka (data protection officer);

j) obavezujuća korporativna pravila.

Glavna poruka knjige je da se mi nalazimo u vremenu u kom mnogi teoretičari podatke o ličnosti nazivaju novom naftom, nalik prirodnom resursu. Ja bih ipak rekao da oni nisu nova nafta, jer nisu resurs, pošto se nafta može potrošiti, a podaci nemaju tu ograničenost u upotrebi, te se stoga potencijalno mogu neograničeno upotrebljavati.

KOJE SUDSKE ODLUKE I SLUČAJEVI NA NAJBOLJI NAČIN PRAVNICIMA PRIBLIŽAVAJU ZAŠTITU LIČNIH PODATAKA?

Postoje mnogobroje odluke regulatornih tela (poverenika) iz različitih zemalja EU po različitim pitanjima. Navešćemo samo neke. 

Gugl je kažnjen sa 50 miliona evra u Francuskoj zbog nedostatka transparentnosti prilikom obrade podataka. Takođe, ovom prilikom je kažnjen i zbog toga što je prosleđivao podatke u marketinške svrhe bez pristanka korisnika. Nedostatak transparentnosti se ogledao u opštim uslovima poslovanja Gugla koji nisu na razumljiv i jednostavan način predočili podatke o svrsi obrade, čuvanju podataka, vrstama podataka koji se obrađuju. Svi ovi podaci su bili rasuti po raznim dokumentima i njima je bilo moguće pristupiti samo putem linka, tako da običnim korisnicima nije bilo jasno o kakvoj se obradi podataka radi. Pružanje ovako nerazumljivih informacija je uticalo na to da Gugl ne bude u stanju da dokaže i predoči da je dobio punovažan pristanak korisnika da njihove podatke prosleđuje u marketinške svrhe. 

British Airways je kažnjen sa preko 20 miliona evra u Britaniji, jer je izgubio podatke oko 500.000 klijanata. Do ovog „curenja“ podataka došlo je kompromitacijom veb sajta. Naime, korisnici su prilikom online rezervacije letova bili upućivani na pogrešnu veb stranicu i tamo su im ukradeni podaci kao što su pristupni kodovi, šifre, podaci o kreditnim karticama, podaci o adresama klijenata, ostali lični podaci (ime, prezime). Ovaj propust se dogodio zbog slabe bezbednosne zaštite sistema. 

Fejsbuk je kažnjen u Belgiji sa 100 miliona evra zbog korišćenja „lajk“ dugmeta korisnika i nekorisnika. Fejsbuk je snimao i obrađivao ove podatke u svrhu profilisanja, kako bi korisnicima i nekorisnicima dostavljao ciljane reklame (target marketing). Ni korisnici ni nekorisnici Fejsbuka nisu dali svoj pristanak za obradu ovih podataka. 

Fejsbuk je kažnjen u Italiji sa 10 miliona evra zbog dovođenja internet korisnika u zabludu prilikom registracije i otvaranja naloga na Fejsbuku. Fejsbuk je, naime, tvrdio da je korišćenje Fejsbuka „besplatno“, a podatke korisnika je koristio u marketinške svrhe. Dovođenje u zabludu je urađeno na taj način, jer bi se korisnici verovatno drugačije opredelili tj. ne bi koristili Fejsbuk, da su znali da se njihovi podaci prodaju. Na ove činjenice im nije ukazano prilikom kreiranja naloga. Podaci korisnika ne smeju se prosleđivati drugim platformama bez njihovog pristanka. 

Fejsbuk je, takođe, kažnjen u Velikoj Britaniji sa 565.000 evra zbog skandala oko Kembridž Analitike. Jedna kompanija koja je koristilia aplikaciju kreirala je upitnik za Fejsbuk korisnike. Podaci su dostavljeni toj kompaniji bez njiovog pristanka. Firma Kembridž Analitika je kasnije ove podatke koristila u izbornoj kampanji Donalda Trampa za predsednika SAD. Ovom prilikom se radilo oko 300.000 učesnika ankete, koji su Fejsbuk korisnici.

U Austriji je Pošta kažnjena sa 18 miliona evra, zbog profilisanja u političke svrhe i prodaje podataka političkim partijama. Pošta je uz pomoć podataka kao što su adresa stanovanja ili starost obračunavala podatke klijenata u svrhu procene afiniteta ka određenoj političkoj partiji. Ti podaci su prodavani političkim partijama. Pored toga, pravljeni su profili o tome koliko često se paketi nekome šalju, koliko često se neko seli, u marketinške svrhe.

U Nemačkoj je kompanija Deutsche Wohnen platila kaznu od 14 miliona evra, jer je predugo, bez pravnog osnova i bez ograničenja, na svojim sistemima čuvala podatke klijenata. Pritom se radilo o podacima kao što su platni listići, ugovori o radu, obrazovanje, poreski podaci, podaci iz zdravstvenog i socijalnog osiguranja, podaci o stanju računa u bankama. 

ŠTA SU DONELA NOVA PRAVA U ODNOSU NA OBAVEZE I PRIBLIŽITE NAM „DIGITALNI ZABORAV“?

Pravo na „digitalni zaborav“ je novo pravo u pravu zaštite podataka. Ono je konstituisano u slučaju Gugl protiv Španije, a posle je svoju primenu našlo i u GDPR.

U ovom slučaju je jedan Španac tražio od Gugla da podatke iz pretraživača obriše. Radilo se o novinskom članku u kome je on označen kao dužnik kod isplate nekog kredita. To je, naravno, njega diskriminisalo u svakodnevnom životu i uticalo na ostvarivanje njegovih prava, pošto je on taj dug u međuvremenu namirio. Novinski članak je bio vrlo star i poticao iz devedesetih godina prošlog veka. Gugl se protivio brisanju i pozivao se na slobodu izražavanja i informisanja. Ovo protivljenje Gugla je spor provelo kroz sve instance i dovelo do odluke Evropskog suda u ovom slučaju, čime je konstituisano „pravo na digitalni zaborav“. Sud je zaključio da je pretraživač, u ovom slučaju Gugl, u obavezi da obriše ne samo podake i sadržaje iz svog pretraživača nego i sve linkove koji putem pretraživanja dovode do tih sadržaja. 

U praksi je krajem novembra 2019. godine nemački Ustavni sud potvrdio ovo pravo. Bivši osuđenik za krivično delo ubistva iz 1982. godine tražio je da se navodi o njegovom imenu i prezimenu uklone iz onlajn novinskog članka nemačkog novinskog lista Špigel. U svojoj presudi Ustavni sud je istakao da treba uzeti u obzir vremenski razmak prilikom procene između prava na slobodu informisanja i prava na zaštitu podataka kod novinarskih onlajn arhiva. Stoga onlajn arhive novina mogu biti u obavezi da preduzmu adekvatne mere protiv neograničenog čuvanja podataka o ličnosti iz svojih novinskih izveštaja od strane pretraživača.

Ovo pravo je inače utopistički postavljeno i formulisano, i sprovodivost u praksi je samo delimična. Nedavno je ovo pravo u jednoj presudi u Francuskoj ograničeno samo na evropske korisnike Gugla. To bi značilo da korisnici u SAD mogu da pročitaju neke diskriminatorske članke. Sprovodivost u praksi je takođe ograničena iz razloga što internet ništa ne „zaboravlja“, te je stoga pravo na zaborav utopija. Možete se prilično pouzdati u to da ćete neku informaciju koja je objavljena na internetu u proslosti moći da pronađete, iako je ona trenutno uklonjena sa nekog sajta. Samim tim je domašaj prava na zaborav ograničenog karaktera.

 

Preuzeto sa sajta www.kolega.rs - našeg biltena za pravnike praktičare. Tekst: Biljana Vučković.