Вести

21. 08. 2019.

Извор: Инсајдер

Закон о заштити података о личности ступа на снагу; Повереник: Преурањена примена убрзо ће показати његове мане

Повереник за информације од јавног значаја и заштиту података о личности Милан Мариновић каже за Инсајдер да ће, нажалост, по свему судећи, ипак почети примена Закона о заштити података о личности. Служба Повереника и невладине организације месецима упозоравају на то да је усвојени Закон нејасан и да ће доћи од бројних проблема у примени с обзиром на то да Закон није прилагођен правном систему Србије, већ је радна група само превела европску уредбу која уређује област заштите података о личности.

Повереник је недавно од председнице Скупштине Србије затражио једногодишње одлагање примене тог закона јер бројни органи власти и компаније немају довољно капацитета да одговоре обавезама које намеће закон. Скупштина, међутим, у међувремену није заседала.

„Нису биле велике шансе да Скупштина одложи примену закона, јер је на летњој паузи, али нека сатисфакција је да сам за иницијативу добио продршку људи из различитих сфера, од људи из министарстава до људи из привреде, који су наводили да је иницијатива потребна јер нису спремни за примену Закона. Због њих бих био задовољан да је примена одложена”, каже Мариновић за Инсајдер.

Повереник као пример наводи законску обавезу да сви органи јавне власти имају лица задужена за заштиту података о личности.

„Више од 12.000 органа јавне власти, министарстава, локалних самоуправа, градова општина, морају да именују такозване официре за заштиту података о личности. Питање је да ли ми уопште имамо толико људи са потребним знањем да би могли да обављају те послове”, каже повереник.

Мариновић подсећа да су пооштрени критеријуми за заштиту података о личности, због чега су потребна и знатна улагања у софтвере, односно информационе технологије, а да су за то потребна и новчана средства.

„Служби Повереника ће бити потребан већи број људи како би се Закон адекватно примењивао”

Он наводи да ће најмање проблема када је у питању примена Закона имати у служби Повереника, јер, како каже, ту је готово све спремно.

„Служба Повереника је урадила све што је могла, иако шест месеци није имала повереника. Донето је свих пет подзаконских аката. Нису једино уређени критеријуми за акредитацију сертификационих тела, али то није урађено ни у европским земљама”, наводи Мариновић.

Ипак, каже да ће Служби Повереника бити потребан већи број људи како би се Закон адекватно примењивао. Нова систематизација је, како наводи, послата административном одбору, али ни о томе Скупштина још није одлучила.  

Према речима Мариновића, европске земље су након доношења Опште уредбе о заштити података о личности (ГДПР) имале рок од две до две и по године да се припреме, а у Србији је тај рок био само девет месеци од доношења закона.

„Ми имамо три групе на које се закон односи и он мора бити разумљив за све. То су Повереник, 12.000 органа јавне власти, онда све предузећа и компаније, и на крају сами грађани чији се подаци обрађују. Сви они морају да разумеју закон”, каже Повереник.

Према Закону, сви органи јавне власти морају да именују лица за заштиту података о личности и о томе морају да обавесте повереника. У случају да то не учине, биће кажњени или ће бити покренут прекршајни поступак.

То значи да би Повереник, ако се стриктно придржава Закона, могао већ прекосутра да пошаље на хиљаде прекршајних налога или покрене поступке.

„Преурањена примена брзо ће показати мане закона”, каже Мариновић.

Он сматра да је и одлагање почетка примене Закона, које је предложио Скупштини, односно 1. септембар следеће године, такође кратак, али би ипак било више времена да се многи обвезници припреме, као и да се можда неке законске одредбе дораде.

За одлагање примене закона било је потребно да Скупштина Србије промени само један члан тог закона и уместо рока од девет месеци стави да је датум примене 1. септембар следеће године. То не би било необично јер је примена неких других закона такође одлагана, као што је рецимо Законик о кривичном поступку чије примена је одложена са 2008. на 2010. годину.

Закон о заштити података о личности је усвојен почетком новембра прошле године, а примена би требало да почне девет месеци од усвајања, односно 22. августа ове године.

На непримењивост његових одредби указивао је претходни повереник Родољуб Шабић, који је рекао да „када уђеш у погрешан воз све станице су погрешне”. Међу најозбиљнијим замеркама је била та да, иако је то пропис који уређује основна грађанска права, написан „језиво тешким језиком”, да игнорише „акутне проблем” попут тога да видео-надзор или обрада биометријских података није нигде поменута у тексту Закона.

И Европска комисија је у свом ранијем мишљењу навела да је проблематична структура Закона, да је неразумљив и компликован. Закон је, међутим, усвојен без предлаганих корекција.

Ипак, он и поред мањкавости представља проширење права грађана у заштити личних података.

Законом је предвиђено да пристанак грађана на обраду података о личности мора бити недвосмислен, затим и да су компаније дужне да грађанима детаљно објасне како обрађују податке о личности. Истовремено, компанијама се даје читав низ обавеза које претходним законом нису биле прописане.

Док је у претходној верзији Закона било предвиђено да су казне за злоупотребу података о личности 50.000 до милион динара, сада се казне крећу од 50.000 до два милиона динара.

Шер фондација је саопштила да су права грађана сада детаљније описана и проширена, те су поред уобичајених права на увид, копију и исправку проширена права на информисање и брисање, а уведена и нова права, као што је право на преносивост података, које даје могућност грађанима да преносе своје податке са једне друштвене мреже на другу.

Шер фондација наводи и да је још једна важна новина обавеза обавештавања лица на која се подаци односе и Повереника уколико дође до повреде података о личности, нпр. цурења података.

Упитна примена Закона

Инсајдер је раније писао о томе да овим законом Србија само формално испуњава европски стандард, али да је упитна његова примена.

На то да је овај закон само „пресликана“ Општа уредба о заштити података (ГДПР) која је 2016. године усвојена у Европској унији, раније је указивао Шабић, као и невладина организација Шер фондација. Они су оценили да је овај Закон дословни превод ГДПР-а, па је тако формална усклађеност са регулативом ЕУ на највишем нивоу, али је да ће током примене бити доста тешкоћа.

Пропуштено је да се овим законом уреди област обраде података о личности путем видео надзора. Тако и даље нема контроле над камерама које се налазе на сваком кораку – у кафићима, ресторанима, продавницама, банкама. Не зна се где ти снимци завршавају, нити ко може да им приступи.

На то је скренуо пажњу и Шабић док је обављао функцију повереника. Наиме, у Моделу закона заштите података о личности који је он написао, ипак је дао простор одредбама о видео надзору у пословним просторима, приватним становима, стамбеним зградама, кућама. Повереник и део цивилног сектора су раније упозорили и на то да усвајање овакве верзије закона представља пропуштену шансу да се спрече могуће злоупотребе ЈМБГ-а грађана и успостави ефикаснија заштита података у јавном сектору.

„У питању је кровни закон”

Представници Министарства правде, које је било предлагач овог закона, навели су раније да се ради о „кровном закону“, а да се за појединачне случајеве очекује регулисање другим законима.

Иначе, према Закону, предвиђен је механизам да грађани реагују уколико неко злоупотреби њихове податке. Тај механизам је „притужба“.

Из Канцеларије Повереника за заштиту података о личности указали су раније на то да је појам „притужбе“ заправо стран нашем систему и да постоји углавном као механизам заштите унутар неке организације – на пример притужба председнику суда на рад неког појединачног судије.

Један од аутора Закона Саша Гајин рекао је раније за Инсајдер да је притужба „нови правни лек који се уводи по узору на Регулативу ЕУ“.

„Повереник има две могућности – или да сам покрене поступак заштите, да оде у инспекцију, или да то учини по притужби неког лица. На ова решења се касније надовезују и одредбе о прекршајима. У једној групи случајева, онда када се једноставно може утврдити да је право лица повређено, Повереник ће моћи да изриче новчане казне непосредно, на основу прекршајног налога, у складу са Законом о прекршајима, а у другој групи случајева он ће подносити захтев за покретање прекршајног поступка пред судом“, рекао је Гајин.

Шабић и Шер фондација: Унет потенцијално неуставан члан

Шабић и Шер фондација су упозорили и на то да је у текст Закона унета потенцијално неуставна одредба. Ради се о члану 40, који прописује ограничење права на приватност и заштиту података о личности у одређеним ситуацијама.

Члан 40, који Повереник и Шер Фондација сматрају неуставним, прописује у којим случајевима може бити ограничено право на приватност и заштиту података о личности. У питању су ситуације као што су заштита националне и јавне безбедности, одбране, заштита независности правосуђа, заштита права и слобода других...

 Колико је битно да постоји закон који свеобухватно уређује област зашитите података о личности показује и то да се подаци о томе да ли је неко на рођењу имао крива стопала, шта пише у нечијој радној књижици, зашто није служио војску или какав је чији социјални и материјални статус у Србији неретко заврше на друштвеним мрежама или насловним странама таблоида. Међутим, одговорни за достављање ових података, како је показало истраживање Инсајдера, пролазе без кривичне одговорности.

Бројне кривичне пријаве које је Повереник поднео за неовлашћено прикупљање личних података и даље су без епилога. Још више забрињава чињеница да су све пријаве поднете због сумњи да су појединци у државним институцијама прекршили право грађана на приватност.