Novi Zakon o zaštiti podataka o ličnosti počeo je da se primenjuje u avgustu 2019. Međutim, sa njegovim odredbama još uvek nisu usaglašeni ranije doneti propisi koji uređuju ovu oblast, a ni on sam ne reguliše sva pitanja u potpunosti. Takvo stanje može imati negativne posledice po građane, a jedna od njih je da građani ne znaju kako da zaštite svoje pravo na privatnost u trenutku kada se, na primer, broj kamera za video-nadzor svakodnevno povećava.
Da bismo ostvarili neko od svojih prava ili iskoristili određenu uslugu, često smo u situaciji da prilažemo kopiju lične karte i dajemo svoj jedinstveni matični broj. Na recepciji hotela građani bez mnogo razmišljanja pružaju ličnu kartu ili pasoš, isto to čine na svakom šalteru ili prilikom reklamacije neke robe, kada uz podatke iz lične karte daju i imejl-adresu ili broj mobilnog telefona.
U takvim situacijama se retko ko zapita da li je zaista neophodno dati sve zatražene lične podatke i na koji način će oni biti korišćeni.
Često dajemo više podataka nego što je to potrebno
Stručnjaci upozoravaju da zaštita podataka o ličnosti nije u dovoljnoj meri razrađena u domaćim zakonima, a posledica toga je da ih državne institucije obrađuju i čuvaju na neadekvatan način.
Jedan od čestih primera neadekvatne zaštite podataka o ličnosti je postupak koji se sprovodi u slučaju gubitka lične karte. Uslov da neko dobije novu ličnu kartu je da izgubljeni dokument oglasi nevažećim u Službenom glasniku. Međutim, propisima nije preciziran obim podataka koji se u tom slučaju objavljuje, pa dolazi do prekomernog objavljivanja podataka o ličnosti.
Mnogi se sećaju skandala iz decembra 2014, kada je Agencija za privatizaciju na svom sajtu objavila lične podatke skoro pet miliona i dvesta hiljada ljudi, inače vlasnika besplatnih akcija. Njihovim podacima je svako mogao da pristupi i da ih preuzme, što znači i da ih eventualno zloupotrebi.
Kada se dođe u posed JMBG-a i imena osobe kojoj taj broj pripada moguće je počiniti različite zloupotrebe, od pretraživanja drugih baza, do krađe identiteta i korišćenja tuđeg identiteta u kriminalne svrhe.
Novi Zakon o zaštiti podataka o ličnosti
Da bi se regulisalo prikupljanje, čuvanje, korišćenje i obrada podataka o ličnosti, Skupština Srbije je novembra 2018. usvojila Zakon o zaštiti podataka o ličnosti (ZZPL), dok je njegova primena počela u avgustu 2019.
Pored uređenja domaće prakse, ovaj zakon je donet i sa ciljem da se domaće zakonodavstvo uskladi sa novom Opštom uredbom o zaštiti podataka o ličnosti Evropske unije, koja se smatra „najstrožom regulativom za zaštitu privatnosti i bezbednosti na svetu“. Poznata pod skraćenicom GDPR, ova evropska uredba je stupila na snagu u maju 2018.
Do donošenja Zakona o zaštiti podataka o ličnosti (ZZPL), ova problematika je u Srbiji tretirana kroz različite zakone, koje je sada neophodno uskladiti sa novim krovnim zakonom. Međutim, taj proces se sporo odvija i još mu se ne nazire kraj, iako je zakonom bilo predviđeno da bude završen do kraja ove, 2020. godine.
Obrada podataka o ličnosti u sektoru bezbednosti
Obradom i čuvanjem podataka o ličnosti posebno se bave organi sektora bezbednosti, pa je od izuzetnog značaja da se regulativa koja uređuje ovaj sektor usaglasi sa odredbama novog zakona. Za sada je samo jedan propis iz ove oblasti usaglašen sa ZZPL-om, što znači da je preostalo još puno posla.
Da bi podstakle ovaj proces, Misija OEBS-a u Srbiji i Vlada Švedske, podržale su izradu Analize propisa koji uređuju sektor bezbednosti sa aspekta zaštite podataka o ličnosti. Pored ispitivanja stepena usklađenosti postojećeg pravnog okvira, u Analizi su ponuđene i preporuke za njegovu izmenu. To je prva analiza regulative iz neke oblasti nakon stupanja na snagu ZZPL-a, a njome je obuhvaćeno preko devedeset propisa.
Analiza je objavljena ovog decembra, a njene autorke Nevena Ružić i Ana Toskić Cvetinović složne su u oceni da je postojeće propise „potrebno izmeniti i dopuniti, kao i da je potrebno razmotriti usvajanje novih“.
Zakon o zaštiti podataka o ličnosti sadrži ozbiljne nedostatke
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Milan Marinović u izjavi za Nedeljnik ukazuje da i sam Zakon o zaštiti podataka o ličnosti (ZZPL) sadrži „ozbiljne nedostatke“, kao i da u vreme stupanja tog zakona na snagu, „mnogi subjekti na koje se zakon odnosi nisu bili spremni za početak njegove primene“. Iako je Poverenik zbog toga zatražio odlaganje primene ZZPL-a za godinu dana, do toga nije došlo jer je Narodna skupština bila na letnjoj pauzi.
„Pojedini pojmovi koji su sadržani u zakonu nisu dovoljno precizno razjašnjeni, kao npr. ko sve spada u nadležne organe koji vrše obradu podataka u posebne svrhe, što zahteva naknadno tumačenje odredbi zakona“, kaže poverenik Marinović. „Takođe, ozbiljan nedostatak je što neke veoma važne oblasti kao što su: obrada putem video-nadzora, obrada biometrijskih podataka, odnos razvoja i upotrebe veštačke inteligencije i zaštite podataka o ličnosti, zatim zaštita podataka o ličnosti u slučaju vanrednih okolnosti (kao što je slučaj sa aktuelnom situacijom prouzrokovanom pandemijom bolesti kovid-19) uopšte nisu regulisane“, upozorava Marinović.
Neregulisani video-nadzor
Obrada podataka o ličnosti putem video-nadzora, koja, kako ukazuje Poverenik, nije regulisana novim zakonom, pitanje je o kome javnost u Srbiji mesecima bruji. Ova tema je dospela u žižu javnosti zbog intenzivnog postavljanja pametnih kamera koje omogućavaju prepoznavanje lica, kao i najave MUP-a da će do kraja ove godine biti raspoređeno hiljadu takvih kamera na osam stotina lokacija u Beogradu.
S obzirom na to da vršenje video-nadzora još uvek nije adekvatno regulisano zakonom, ono se ne bi smelo ni primenjivati sve dok se ne obezbedi odgovarajući pravni okvir, upozoravaju stručnjaci.
„Korišćenje tehnologije prepoznavanja lica nije propisano zakonom, a bez adekvatnog pravnog osnova ta vrsta nadzora se ne može primeniti. Hipotetički, lice nad kojim bi se sprovodio video-nadzor bi dobilo spor na sudu, makar išlo i do Evropskog suda za ljudska prava“, objašnjava jedna od autorki analize Nevena Ružić.
Autorke analize u svojim preporukama ukazuju i da je neophodno izmeniti Zakon o policiji i Zakon o evidencijama kako bi se regulisala policijska ovlašćenja koja se tiču „nadzora lica i snimanja na javnim mestima“.
Upozoravaju i da je neophodno precizirati ovlašćenja komunalne milicije kada je u pitanju audio i video snimanje, s obzirom na to da je sada ono „dosta široko postavljeno“, što komunalnoj miliciji ostavlja mogućnost da snima prilikom vršenja svakog posla za koji je nadležna.
„Komunalnom milicajcu se ostavlja široko ovlašćenje da sam proceni kada je svrsishodno koristiti audio i video snimanje, pa se tako on može odlučiti na snimanje postupka identifikacije u javnom prevozu, što bi predstavljalo značajno zadiranje u privatnost građana. Neophodno je zakonom jasno predvideti situacije u kojima je audio i video snimanje adekvatna radnja obrade“, kaže Ana Toskić Cvetinović.
„Sada su ovlašćenja za obradu biometrijskih podataka od strane komunalne milicije uvedena ’na mala vrata’ kroz podzakonski akt, a ne kroz zakon, što je u suprotnosti sa Ustavom RS, i što je veoma zabrinjavajuće“, ističe autorka analize.
Obrada ličnih podataka
U analizi se, između ostalog, ukazuje i na problem sa propisima koji uređuju rad Bezbednosno-informativne agencije po pitanju zaštite podataka o ličnosti, koji su „nepotpuni i neujednačeni“, kao i na široka ovlašćenja za obradu podataka o ličnosti koje sada imaju Vojnobezbednosna agencija i Vojnoobaveštajna agencija.
Zakon npr. ne pravi razliku u obradi i čuvanju podataka između lica koja su osumnjičena za izvršenje nekog krivičnog dela i običnih građana i daje BIA jednako široko ovlašćenje za obradu njihovih podataka. „Takođe, svi podaci koje BIA prikupi u svom radu tretiraju se kao tajni, bilo da se radi o podacima o ličnosti, ili o drugim informacijama. To znači da građani imaju otežan, a često i potpuno uskraćen pristup podacima koje o njima BIA obrađuje“, ukazuje Ana Toskić Cvetinović.
Potrebno je da se bezbednosne agencije prilikom obrade podataka o ličnosti rukovode načelima koje propisuje ZZPL, a to su načelo ograničenja u odnosu na svrhu obrade i načelo minimizacije podataka, kao i da koriste metode pseudonimizacije i kriptozaštite, objašnjavaju autorke analize.
Pseudonimizacija podrazumeva zamenu jednog podatka drugim, tako da onaj ko nema informaciju koji podatak je promenjen i na koji način, ne može da utvrditi identitet osobe o kojoj se radi. Na primer ime osobe može da se zameni brojem. Kriptozaštita se često primenjuje u onlajn komunikaciji a reč je o meri tehničke zaštite podataka kojom se sprečava da podacima pristupe oni koji nemaju ključ za pristup.
Vođenje DNK registra propisano podzakonskim aktom umesto zakonom
Jedan od problema na koji se ukazuje u Analizi je i nedovoljna usklađenost Zakona o nacionalnom DNK registru sa međunarodnim obavezama Srbije ali i sa ZZPL-om.
Podaci koji se dobijaju analizom biološkog materijala su posebno osetljivi podaci o ličnosti. Ustavni sud je krajem septembra 2020. odbio Predlog Poverenika da se pokrene postupak za ocenu ustavnosti odredbe člana zakona kojom je propisano da način vođenja nacionalnog DNK registra propisuje Vlada podzakonskim aktom, umesto da se ova pitanja urede zakonom.
„Bez obzira na ovakvu odluku Ustavnog suda, neophodno je izmeniti Zakon o nacionalnom DNK registru i uskladiti ga sa ZZPL-om, kako bi se preciziralo ko su lica čiji će podaci biti čuvani u toj bazi, da bi se jasno razdvojile grupe unutar baze, što sada nije slučaj, pa tako može da dođe do mešanja žrtava i počinilaca. Kao i kako bi se propisale mere zaštite, ili utvrdili rokovi za čuvanje podataka u DNK registru, koji ne mogu biti neograničeni“, objašnjava Nevena Ružić.
Neophodno što pre uskladiti propise o obradi podataka o ličnosti
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Milan Marinović upozorava da će se, dok god ne dođe do usklađivanja propisa, primenjivati i odredbe za obradu podataka o ličnosti iz ranije donesenih zakona, što sve ima negativne posledice po građane. „Posledice ove neusaglašenosti zakona koje trpe građani su brojne. Možda najilustrativniji primer je taj da u svim gradovima i opštinama gotovo na dnevnom nivou raste broj kamera postavljenih za video-nadzor a da građani ne znaju kako da zaštite svoje pravo na privatnost zato što oblast video-nadzora nije regulisana zakonom“, kaže Marinović.
Da bi se što pre „uredile sve oblasti obrade podataka o ličnosti koje sada nisu, ili nisu dovoljno uređene“, poverenik predlaže tri mere: „da u što kraćem roku započnu aktivnosti na usklađivanju posebnih zakona sa Zakonom o zaštiti podataka o ličnosti (ZZPL); da se aktivira i inovira Strategija zaštite podataka o ličnosti iz 2010. i donese odgovarajući Akcioni plan; kao i da se izvrši analiza dosadašnje primene ZZPL-a, utvrde nedostaci zakona i problemi u njegovoj primeni, te da se zatim pristupi izmenama tog zakona u cilju otklanjanja problema, a sve u svrhu efikasnije zaštite podataka o ličnosti“.
Analiza propisa koji uređuju sektor bezbednosti sa aspekta zaštite podataka o ličnosti, koja je realizovana u okviru projekta Misije OEBS-a u Srbiji „Konsolidovanje procesa demokratizacije u sektoru bezbednosti u Republici Srbiji“ i uz podršku Vlade Švedske, jedan je od prvih ali sigurno izuzetno važnih koraka u tom pravcu.
I u narednom periodu, Misija OEBS-a u Srbiji će u okviru istog projekta nastaviti da pomaže unapređenje zaštite podataka o ličnosti, i to kroz istraživanje stavova javnosti i putem kampanje za unapređenje svesti građana o pravu na privatnost i zaštitu podataka o ličnosti. Takođe, biće organizovani i stručni skupovi na ove teme koji će okupiti predstavnike službe Poverenika i institucija sektora bezbednosti.