Professional Documents
Culture Documents
KROZ ZAKON
O ZAŠTITI
PODATAKA
O LIČNOSTI I
GDPR
TUMAČENJE NOVOG PRAVNOG OKVIRA
VODIČ
KROZ ZAKON
O ZAŠTITI
PODATAKA
O LIČNOSTI I
GDPR
TUMAČENJE NOVOG PRAVNOG OKVIRA
VODIČ KROZ ZAKON O ZAŠTITI PODATAKA O LIČNOSTI I GDPR
TUMAČENJE NOVOG PRAVNOG OKVIRA
UREDNIK
DANILO KRIVOKAPIĆ
AUTORI
DANILO KRIVOKAPIĆ
JELENA ADAMOVIĆ
DUNJA TASIĆ
ANDREJ PETROVSKI
PETAR KALEZIĆ
DR ĐORĐE KRIVOKAPIĆ
IZDAVAČI
MISIJA OEBS-A U SRBIJI
SHARE FONDACIJA
OBRADA TEKSTA
MILICA JOVANOVIĆ
DIZAJN
OLIVIA SOLIS VILLAVERDE
PRELOM
UNDERDOG
ŠTAMPA
FIDUCIA 011 PRINT D.O.O.
TIRAŽ
200 PRIMERAKA
ISBN 978-86-6383-084-4
Stavovi izraženi u ovoj publikaciji pripadaju isključivo autorima i ne predstavljaju zvaničan stav Misije
OEBS-a u Srbiji.
9 PREDGOVOR
21 OSNOVNI POJMOVI
21 PODATAK O LIČNOSTI
22 LICE NA KOJE SE PODACI ODNOSE
22 POSEBNE VRSTE PODATAKA O LIČNOSTI
23 OBRADA PODATAKA
24 ZBIRKA PODATAKA
3
27 OSNOVNE ULOGE U OBRADI PODATAKA
O LIČNOSTI
27 RUKOVALAC
27 ZAJEDNIČKI RUKOVAOCI
28 OBRAĐIVAČ
29 PODELA ODGOVORNOSTI
30 ODNOS RUKOVAOCA I OBRAĐIVAČA
30 PRIMALAC
31 TREĆA STRANA
49 TEHNIČKE
LIČNOSTI
MERE ZAŠTITE PODATAKA O
49 PRIVATNOST I BEZBEDNOST
49 TEHNIČKE MERE PO NOVOJ REGULATIVI
50 UGRAĐENA I PODRAZUMEVANA PRIVATNOST
51 PROCENA RIZIKA
53 MERE ZAŠTITE
54 OBAVEŠTAVANJE POVERENIKA
55 OBAVEŠTAVANJE LICA NA KOJE SE PODACI ODNOSE
57 OSTALE OBAVEZE
57 LICE ZA ZAŠTITU PODATAKA O LIČNOSTI
59 EVIDENCIJE RADNJI OBRADE
60 PROCENA UTICAJA NA ZAŠTITU PODATAKA
63 PRENOS PODATAKA
63 OPŠTE PRAVILO ZA PRENOS PODATAKA
63 PRENOS NA OSNOVU PRIMERENOG NIVOA ZAŠTITE
64 PRENOS UZ PRIMENU ODGOVARAJUĆIH MERA ZAŠTITE
64 PRENOS PODATAKA U POSEBNIM SITUACIJAMA
67 NOVI INSTITUTI
67 KODEKS POSTUPANJA
68 SERTIFIKACIJA
69 OBAVEZUJUĆA POSLOVNA PRAVILA
5
73 PRAVA
ODNOSE
LICA NA KOJE SE PODACI
81 POVERENIK ZA INFORMACIJE
OD JAVNOG ZNAČAJA I ZAŠTITU
PODATAKA O LIČNOSTI
81 ISTORIJAT INSTITUCIJE POVERENIKA I NJEGOV STATUS
82 NADLEŽNOSTI POVERENIKA
82 SARADNJA SA POVERENIKOM
85 POSEBNI
PODATAKA
SLUČAJEVI OBRADE
91 ODGOVORNOST
91 PREKRŠAJNE KAZNE
91 NENOVČANA ODGOVORNOST
92 NAKNADA ŠTETE
92 REPUTACIONI RIZIK
93 KRIVIČNA ODGOVORNOST
INDEKS POJMOVA I
INDEKS POJMOVA I SKRAĆENICA
SKRAĆENICA
Kolačići - eng. cookies, komadići po- svrsi prikupljanja i obrade ličnih podataka,
dataka koje internet sajtovi razmenjuju obavezama rukovaoca i pravima građana.
sa korisničkim uređajem za kratkoročno
Poverenik - Poverenik za informacije od
pamćenje aktivnosti korisnika na sajtu.
javnog značaja i zaštitu podataka o ličnosti.
Kolačići trekeri - eng. tracker cookies,
Radna grupa 29 - Radna grupa za zašti-
posebna vrsta kolačića koja se koristi za
tu pojedinaca u vezi sa obradom podata-
dugoročno pamćenje aktivnosti korisnika,
ka o ličnosti.
njihovo profilisanje na osnovu ponaša-
nja, posebno preko trekera treće strane. Ugrađena privatnost - eng. privacy by de-
Spadaju u vrste kolačića koji nisu neop- sign, privatnost po dizajnu; pristup izgrad-
hodni za korišćenje onlajn servisa i kao nji, programiranju, oblikovanju, razvoju,
takvi podložni su odredbama GDPR o in- itd. hardvera ili softvera, koji podrazume-
formisanom pristanku. va da je zaštita privatnosti korisnika inte-
gralni deo uređaja, programa ili sistema.
Opt in - Predefinisani model odnosa sa
korisnicima koji podrazumeva aktiviranje CJEU - Court of Justice of the European
usluge tek pošto korisnici izraze izričitu Union, Sud pravde Evropske unije
saglasnost.
EDPB - European Data Protection Bo-
Opt out - Predefinisani model odnosa sa ard, Evropski odbor za zaštitu podataka
korisnicima koji podrazumeva da auto-
matski aktivirana usluga prestaje tek po- EDPS - European Data Protection Su-
što korisnici to izričito zatraže. pervisor, Evropski supervizor za zaštitu
podataka o ličnosti
Podrazumevana privatnost - eng. priva-
cy by default, privatnost po difoltu, pre- EU – European Union, Evropska unija
definisana privatnost; pristup prodaji ili GDPR – General Data Protection Dire-
distribuciji koji podrazumeva da su stan- ctive, Opšta uredba o zaštiti podataka
dardna podešavanja proizvoda ili usluge
postavljena tako da štite privatnost. ICO - Information Commissioner’s Offi-
ce, Služba poverenika za informacije (UK)
Policijska direktiva - Direktiva EU
2016/680 o zaštiti pojedinaca u vezi s IMEI - International Mobile Equipment
obradom podataka o ličnosti od strane Identity, međunarodni identitet mobilnog
nadležnih organa u svrhe sprečavanja, uređaja
istrage, otkrivanja ili progona krivičnih IP – internet protokol
dela ili izvršavanja krivičnih sankcija i o
slobodnom kretanju takvih podataka. JMBG – jedinstveni matični broj građana
7
PREDGOVOR
PREDGOVOR
1 World Economic Forum, The Fourth Industrial Revolution, by Klaus Schwab, dostupno na: weforum.org
9
stva uz pomoć kojih donosimo informisa- U okviru savremene ekonomije, koja se
nije odluke pri radu. Drugu ulogu poda- sve češće naziva ekonomijom podataka,
ci igraju kao resursi koji nastaju dok se podaci su postali svojevrsna valuta. Di-
u svom svakodnevnom radu služimo ra- gitalni servisi na kojima građani provode
zličitim digitalnim rešenjima (eng. Digital najviše vremena, ne mogu se platiti nov-
data footprint). cem. Usluge društvenih mreža ili pretrage
sadržaja plaćamo sopstvenim podacima
Pretpostavku za razvoj Industrije 4.0
na osnovu ugovora koje olako zaključuje-
čini tehnička infrastruktura koja omogu-
mo, prihvatajući uslove korišćenja usluga.
ćava prikupljanje, strukturiranje, katego-
U nedostatku svesti, često nismo u stanju
rizaciju, analizu i distribuciju raznovrsnih
da razaznamo da neke mobilne aplikacije
i veoma obimnih tokova podataka različi-
koje praktično pružaju istovetne usluge,
tog kvaliteta (Big data). Sve to utiče na
na primer usluge pretrage (Google, Bing i
okolnost da savremene organizacije pre-
DuckDuckGo), zadržavaju pravo da sa na-
težno investiraju u digitalne komunikacije,
ših mobilnih uređaja preuzmu prilično ra-
kolaborativne alate, okvir za upravljanje
zličite vrste i količine podataka i koriste
podacima i digitalnu bezbednost.2
ih za svoje dalje poslovanje.
Upotrebna, a shodno tome i ekonomska
Kao roba, podaci postaju predmet ra-
vrednost podataka raste s njihovim obi-
znovrsnih poslovnih transakcija. Trgovci
mom i kvalitetom. Što su specifičnije in-
podacima se razvijaju u svim sektorima,
formacije čiju ekstrakciju omogućavaju
nudeći zainteresovanim stranama sirove
podaci, to je veća šansa da će im se naći
podatke ili njihove informacione derivate.
komercijalna primena. Kao resurs nove
ekonomije, podaci su, poput informaci- Tako su podaci postali ključni resurs di-
ja, po mnogo kriterijuma vrlo specifični.3 gitalne ekonomije. Svaka od tehnologija
Njihova proizvodnja često nije sama sebi koje pokreću Industriju 4.0, mora koristi-
svrha. Oni nastaju kao posledica čitavog ti podatke u velikim količinama kao pogon-
niza operacija, a njihovo beleženje i ču- sko gorivo. Konkurentska prednost koju
vanje obično ne zahteva posebne dodatne pruža usavršavanje veštačke inteligenci-
resurse. Tako su podaci nusproizvod naj- je, može biti zasnovana samo na pristupu
različitijih procesa u digitalnom ekosiste- velikim podacima, neophodnim za trenira-
mu, vrlo često bez razumevanja da mogu nje algoritama putem naprednih metoda
biti naknadno iskorišćeni. mašinskog učenja.
Zahvaljujući digitalnim tehnologijama, Evropska unija prepoznaje značaj poda-
troškovi multiplikovanja, odnosno umno- taka kao ključnog resursa za ekonomski
žavanja podataka i njihovog transfera razvoj, konkurentnost, inovacije, stvaranje
trećim licima praktično su nepostojeći. U novih poslova i ukupan društveni napre-
okviru informacionih sistema, umnožava- dak. Izgradnja ekonomije podataka jedan
nje podataka se odvija konstantno i nesve- je od stubova razvoja jedinstvenog digital-
sno, a svako davanje ovlašćenja za pristup nog tržišta Evrope. Procenjena vrednost
podacima potencijalno ih multiplikuje. evropske ekonomije podataka u 2016. go-
dini iznosila je 300 milijardi EUR, što je či-
Dodatno, za razliku od ostalih dobara,
nilo 1.99� evropskog društvenog dohot-
podaci se ne mogu potrošiti. Njihovo ko-
ka. Očekuje se da će ubrzani rast u ovom
rišćenje ni na koji način ne umanjuje nji-
segmentu dovesti do rasta obima ekono-
hov obim i kvalitet, već ih zapravo pobolj-
mije podataka do 2020. godine na iznos od
šava. Korišćenje podataka omogućava
739 milijardi EUR, što će predstavljati 4�
da se prepoznaju i otklone svi eventual-
evropskog GDP.4 Nastojeći da kreira sti-
ni nedostaci njihovog kvaliteta, kao i da
mulativno okruženje za razvoj novih proi-
se kontinuirano proizvode dodatni poda-
zvoda i usluga zasnovanih na podacima, EU
ci koji osnovnim samo povećavaju kvalitet
teži da pospeši što širu upotrebu raspolo-
i upotrebljivost.
2 Schwab, K., 2016, The Fourth Industrial Revolution, World Economic Forum
3 Više o specifičnostima podataka: Lazović, V., Đuričković, T., 2018, Digitalna ekonomija, Miba Books
4 IDC 2017, European Data Market Study, Final Report, dostupno na: ec.europa.eu
živih podataka. To čini kroz mere koje olak- votnog standarda koje donose proizvodi i
PREDGOVOR
11
NOVO DOBA
ZAŠTITE
PODATAKA
O LIČNOSTI
NOVO DOBA ZAŠTITE
NOVO DOBA ZAŠTITE PODATAKA O LIČNOSTI
PODATAKA O LIČNOSTI
OPŠTA UREDBA O nacionalne zakone, uz preširok prostor
za njeno prilagođavanje unutrašnjim pri-
ZAŠTITI PODATAKA likama, što je neminovno vodilo ka nejed-
nakom stepenu zaštite ovog bitnog prava.
Iako se GDPR direktno primenjuje u svih
28 članica, EU i dalje ostavlja prostor dr-
U Evropskoj uniji je, u maju 2018. godine,
žavama članicama da mnoge detalje sa-
na snagu stupila Opšta uredba o zaštiti
mostalno regulišu u skladu sa svojim na-
podataka koja je podatke o ličnosti stavi-
cionalnim propisima. Takođe, GDPR štiti
la pod zaštitu bez presedana.5 Bilo je to fi-
prava građana EU, što znači da se njego-
nale dugogodišnjeg procesa: usaglašava-
ve odredbe odnose na svaku organizaciju
nje konačne verzije teksta trajalo je četiri
u svetu koja obrađuje podatke stanovnika
godine (2012-2016), na sam tekst podne-
zemalja članica EU, bilo da im nudi robu i
to je rekordnih 4000 amandmana, dok su u
usluge ili prati njihovo ponašanje na in-
javnoj raspravi učestvovali gotovo svi re-
ternetu. Na ovaj način je pristup najve-
levantni akteri iz javnog, privatnog i civil-
ćem tržištu na svetu posredno uslovljen
nog sektora. Nakon što je regulativa usvo-
poslovanjem usklađenim sa novom regu-
jena, maja 2016, državama članicama EU i
lativom, bez obzira da li je reč o javnim ili
obveznicima je ostavljeno dve godine da se
privatnim organizacijama, pristupu gran-
usaglase sa novim propisima.
tovima, stručnoj saradnji i slično.
Iako se GDPR često predstavlja kao
svojevrsna revolucija koja iz korena me-
nja pravila zaštite podataka, nova regu-
lativa ipak je prirodni naslednik EU Direk-
tive 95/46 o zaštiti podataka o ličnosti6
NOVI ZAKON O
i suštinski se nadovezuje na iste princi- ZAŠTITI PODATAKA
pe i norme. S druge strane, regulatori su
iskoristili priliku da dodatno urede broj- O LIČNOSTI
na sporna pitanja nastala tokom razvoja
interneta i novih tehnologija, u pokušaju
da obnove narušeni balans a građanima U Srbiji je novi propis o zaštiti podata-
omoguće da povrate kontrolu nad svojim ka o ličnosti usvojen u novembru 2018.
podacima. Kako je reč o vrlo kompleksnoj i sa odloženom primenom od devet meseci,
sveobuhvatnoj regulativi, iz njene prime- počev od avgusta 2019. godine.7 Tekst u
ne tek se očekuju preciznija tumačenja. najvećoj meri predstavlja adaptirani pre-
vod GDPR-a kao i tzv. Policijske direktive8
Značajna težnja GDPR-a jeste usagla- koja uređuje obradu podataka o ličnosti
šavanje pravila među članicama EU, s od strane nadležnih organa u vezi sa kri-
obzirom na to da je prethodna Direktiva vičnim postupcima i pretnjama nacional-
95/46 služila pre svega kao smernica za
5 Iako se odnosi na engleski naziv, General Data Protection Regulation, GDPR je skraćenica koju ćemo
koristiti u ovom tekstu, budući da je u tom obliku već u širokoj upotrebi kod nas. Integralni tekst evropskog
propisa dostupan je u prevodu na hrvatski jezik, na adresi: eur-lex.europa.eu
6 Direktiva EU 95/46/EC o zaštiti podataka o ličnosti, tekst dostupan na: eur-lex.europa.eu
7 Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018), dostupan na: parlament.gov.rs
8 Direktiva EU 2016/680 o zaštiti pojedinaca u vezi s obradom podataka o ličnosti od strane nadležnih
organa u svrhe sprečavanja, istrage, otkrivanja ili progona krivičnih dela ili izvršavanja krivičnih sankcija i
o slobodnom kretanju takvih podataka, dostupna na hrvatskom jeziku na: eur-lex.europa.eu
13
noj bezbednosti. Stoga se može smatrati Osnovni cilj novih pravila jeste da se
da su načela GDPR-a (i Policijske direkti- građanima omogući da povrate kontrolu
ve) uvedena na domaći teren. nad svojim podacima. Propisani su novi
uslovi za pristanak na obradu podataka,
Nedostaci novog Zakona o zaštiti po-
te više neće biti moguće davati blanko sa-
dataka o ličnosti (ZZPL) su brojni, a pre
glasnost, niti će se prihvatanje kompliko-
svega se odnose na nejasne odredbe i
vanih i prosečnom korisniku nerazumlji-
prepisane mehanizme koji ne postoje u
vih politika privatnosti smatrati validnim
domaćem pravnom sistemu, što dovodi u
pristankom. Iako se odnose na svaku vr-
pitanje njegovu primenjivost. Ipak, zna-
stu obrade ličnih podataka, u analognom
čajno je napomenuti da ovakav Zakon, ma-
ili digitalnom okruženju, stroge norme
kar i samo normativno, predstavlja najviši
Uredbe ciljaju pre svega na zauzdava-
standard zaštite podataka o ličnosti. Pre
nje ekonomije podataka, zbog čega im se
ili kasnije, manjkavosti i praznine će biti
već prognozira najradikalniji uticaj na in-
rešeni naknadnim intervencijama, dok će
ternet u njegovoj istoriji. U senci pani-
značajne pravne inovacije ostati ugrađe-
ke u poslovnom sektoru, ostala je činjeni-
ne u naš sistem zaštite ljudskih prava. Po
ca da je GDPR jedan od prvih propisa koji
svoj prilici će se i tumačenje domaćeg Za-
teži da reguliše kompleksne odnose na in-
kona ugledati na primenu evropskog pro-
ternetu, koji su do sada uspešno izmica-
pisa, čije su namere izražene u Preambuli,
li normiranju.
počev od potvrde da je zaštita ličnih po-
dataka jedno od temeljnih ljudskih prava. S obzirom na prilično nisku kulturu za-
štite ličnih podataka u Srbiji i retku pri-
menu propisa iz ove oblasti, svako pravi-
lo nove regulative verovatno predstavlja
ŠTA JE NOVO U novost za mnoge kompanije, ali i državne
institucije. Usklađivanje njihovog poslo-
NOVOM PRAVNOM vanja stoga praktično počinje ispočetka.
OKVIRU?
Većina osnovnih principa novog pravnog
TUMAČENJE ZAKONA
okvira nije novina, s obzirom na to da se
oslanja na instrumente zaštite ličnih po-
Brojni koncepti novog Zakona, prepisa-
dataka iz doba papira i fascikli. Novost je
ni iz evropske regulative, nisu poznati do-
u tome što su ovi principi dobili izričitu
maćem pravnom sistemu, pa je novi pro-
primenu na promet robe i usluga na inter-
pis zasad jedino moguće tumačiti na isti
netu, a konačno je otvoreno i sporno pi-
način na koji se tumače norme GDPR-a,
tanje regulisanja automatizovane obrade
za šta već postoji čitav niz instrumenata.
podataka i tzv. algoritamskog odlučiva-
nja. Takođe, proširena je odgovornost lju-
di i organizacija koji prikupljaju i obrađuju
podatke, detaljno su razrađeni instru- PREAMBULA GDPR
menti i procedure sprovođenja propisa, Integralni deo nove evropske regulati-
dok su kazne drakonske i mogu iznositi i ve, Preambula se sastoji od čak 173 tač-
do 20 miliona evra ili 4� globalnog godiš- ke koje dodatno razrađuju pravne norme
njeg obrta, pri čemu se prednost daje vi- i pojašnjavaju cilj svih odredbi GDPR-a,
šem iznosu. Mada domaći Zakon predvi- počev od tačke 1 koja definiše zaštitu po-
đa više kazne nego ranije, one ni približno dataka o ličnosti kao fundamentalno ljud-
nisu tako visoke kao prema GDPR. Tako će sko pravo. Preambula je stoga ne samo
rukovaoci u prekršajnom postupku riziko- korisna, već predstavlja neophodno pola-
vati kazne od najviše 2.000.000 dinara po zište za tumačenje propisa. Domaći Za-
pojedinačnom prekršaju, dok je najmanja kon nije preuzeo Preambulu GDPR.
zaprećena novčana kazna za prekršaje iz
ove oblasti 50.000 dinara.
RADNA GRUPA 29 I PRAKSA NADLEŽNOG
NOVO DOBA ZAŠTITE PODATAKA O LIČNOSTI
15
OBIM
PRIMENE
ZAKONA
OBIM PRIMENE ZAKONA
OBIM PRIMENE ZAKONA
11 EDPB, 2018, Smernice 3/2018 o teritorijalnoj primeni GDPR-a, dostupno na: edpb.europa.eu
OBIM PRIMENE ZAKONA
19
OSNOVNI
POJMOVI
OSNOVNI POJMOVI
OSNOVNI POJMOVI
Dileme
PODATAK O LIČNOSTI Da li je svojeručni potpis lični podatak?
Jeste, ukoliko se može dovesti u vezu
Podatak o ličnosti je svaki podatak koji sa određenim ili odredivim fizičkim
se odnosi na neko fizičko lice, uz pomoć licem.12 Načelno govoreći, za kate-
kojeg je identitet tog fizičkog lica određen gorizaciju jednog podatka kao po-
ili odrediv, posredno ili neposredno. Po- datka o ličnosti bitno je utvrditi da li
datak o ličnosti je, dakle, svaka informaci- se uz pomoć njega neko lice može po-
ja koja nas, kao fizička lica, bliže određuje sredno ili neposredno identifikovati.
i koja se može dovesti u vezu sa konkret- Ukoliko je odgovor potvrdan, onda se
nom osobom. To mogu biti ime i prezime, radi o podatku o ličnosti.
adresa, JMBG, broj telefona, broj računa
u banci i slično, ali i svaki drugi podatak Da li je podatak o mom zdravstvenom
koji nešto govori o nama. stanju koji me bliže ne određuje i ko-
risti se u statističke svrhe - podatak
Veliki broj naših ličnih podataka se na- o ličnosti?
lazi na internetu, poput IP adrese, IMEI
broja uređaja kojim pristupamo mreži, Ukoliko se uz pomoć takvog podat-
lozinki, naših naloga za elektronsku po- ka osoba ne može identifikovati, on
štu i društvene mreže, istorije aktivno- ne predstavlja podatak o ličnosti. U
sti sa takvih naloga (šerovi, lajkovi, kli- statističke svrhe se koriste anoni-
kovi), istorije pretrage interneta i slično. mizovani podaci, oni koji se više ne
Iako mnogi digitalno generisani podaci mogu dovesti u vezu sa konkretnim
na prvi pogled ne deluju kao podaci o lič- osobama. Na primer, informacija da
nosti, uz pomoć njih se neko lice može po- je od gripa u 2019. godini na odre-
sredno identifikovati, u nekim slučajevima đenoj teritoriji oboleo određeni broj
čak i samo na osnovu takvih podataka, ili u ljudi, predstavlja skup anonimizova-
kombinaciji sa još nekim podacima. Upra- nih podataka iz kojih se ne može sa-
vo mogućnost identifikacije fizičkog lica znati o kojim se ljudima radi.
i te podatke čini ličnim podacima. Zbog
toga kategorizacija određenog podatka
kao podatka o ličnosti ponekad zahteva da Praksa
se u obzir uzme celokupan kontekst kon- U prilog stavu da je IP adresa poda-
kretnog slučaja, pa je i pravna definici- tak o ličnosti govori i presuda Suda
ja podatka o ličnosti dovoljno široka da bi pravde Evropske unije C‑582/14.13
se u primeni testirala u odnosu na razli- Po njoj, dinamička IP adresa se može
čite situacije i neke još nepredvidljive do- smatrati podatkom o ličnosti ukoliko
gađaje koji mogu uticati na osnovna pra- postoji razumno očekivanje da ruko-
va i slobode. valac ima mogućnost da odredi ko-
jem licu ta adresa pripada, odnosno
ima mogućnost da identifikuje vla-
snika IP adrese.
12 Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije, 2017, Zaštita
podataka o ličnosti: stavovi i mišljenja Poverenika - Publikacija br. 2, str. 13, dostupno na: poverenik.rs
13 Sud pravde EU, 2016, Slučaj C‑582/14, Patrick Breyer v Bundesrepublik Deutschland, dostupno na:
eur-lex.europa.eu
21
LICE NA KOJE SE POSEBNE VRSTE
PODACI ODNOSE PODATAKA O
LIČNOSTI
Fizičko lice čiji se podaci o ličnosti obra-
đuju i koje se uz pomoć takvih podataka
može posredno ili neposredno identifiko- Podatke koji se odnose na rasno ili et-
vati, jeste lice na koje se podaci odnose. ničko poreklo, političko mišljenje, versko,
Kao što i sam naziv govori, podaci o lič- filozofsko uverenje, članstvo u sindikatu,
nosti su uvek samo oni podaci koji se od- genetske i biometrijske podatke, kao i po-
nose na fizičko lice, prema tome, podaci o datke o zdravstvenom stanju, seksualnom
ličnosti nisu podaci koji se odnose na en- životu ili seksualnoj orijentaciji fizičkog
titete poput pravnih lica, životinja ili slič- lica, Zakon tretira kao posebne vrste po-
no. Međutim, ukoliko podatak o nekom dataka o ličnosti.
pravnom licu može da dovede do indenti- Radi se, dakle, o naročito osetljivim po-
fikacije nekog fizičkog lica, takav podatak dacima čija obrada zahteva viši stepen
se smatra podatkom o ličnosti. pažnje u odnosu na ostale podatke o lič-
Iako ZZPL eksplicitno ne predviđa da lice nosti. ZZPL propisuje da je obrada po-
na koje se podaci odnose mora biti živo sebnih vrsta podataka o ličnosti zabra-
lice, naše je shvatanje da ovaj uslov mora njena, osim u određenim izuzecima, koji
biti ispunjen, te da se Zakon ne primenju- su taksativno navedeni u Zakonu.
je u odnosu na podatke o ličnosti lica koja Intencija zakonodavca je da kao osnovno
su preminula. Tačka 27 Preambule propi- pravilo uspostavi zabranu obrade poseb-
suje da se GDPR ne primenjuje na premi- nih vrsta podataka o ličnosti, ali da isto-
nula lica, s tim što se ostavlja mogućnost vremeno predvidi izuzetke u kojima je nji-
nacionalnim zakonodavstvima država čla- hova obrada dozvoljena. Prilikom obrade
nica EU da propišu pravila u vezi sa obra- posebnih vrsta podataka o ličnosti kao
dom podataka o ličnosti umrlih lica. Po- naročito osetljivih podataka, svakako
red toga, određena zaštita podataka o treba primeniti načelo minimizacije po-
ličnosti umrlog lica može da bude ostva- dataka, odnosno obradu svesti na mini-
rena kroz zakonodavstvo koje ne reguliše mum koji je neophodan da bi se ostvari-
materiju zaštite podataka o ličnosti. Pri- la svrha obrade. Izuzetak od poštovanja
mera radi, Zakon o javnom informisanju pravila obrade posebnih vrsta podata-
i medijima propisuje mogućnost članova ka o ličnosti koji se primenjuje na obradu
porodice umrlog lica da daju pristanak za koju nadležni organi vrše u posebne svr-
objavljivanje informacija o privatnom ži- he, ukazuje da postoje prilike kada je svr-
votu umrlog, kao i pravo članova porodi- ha obrade pretežnija od zaštite posebnih
ce umrlog lica da umesto umrlog lica pod- podataka o ličnosti, u ovom slučaju radi
nesu tužbu za objavljivanje odgovora ili otkrivanja, sprečavanja i kažnjavanja za
ispravke u slučaju objavljivanja nepotpu- krivična dela, odnosno pretnji po javnu i
nih ili netačnih informacija o umrlom licu, nacionalnu bezbednost.
odnosno informacija koje su podobne da
povrede pravo ili interes umrlog.14
14 Zakon o javnom informisanju i medijima (“Sl. glasnik RS”, br. 83/2014, 58/2015 i 12/2016 - autentično
tumačenje)
Dileme
OBRADA PODATAKA
OSNOVNI POJMOVI
15 Sud pravde EU, 2019, Saopštenje povodom mišljenja nezavisnog advokata u slučaju C-136/17, G.C. and
Others v CNIL, dostupno na: curia.europa.eu
23
rukovalac će odlučiti koji su to ko- Stari Zakon o zaštiti podataka o ličnosti
raci koje je optimalno da preduzme ustanovio je Centralni registar zbirki po-
u skladu sa ZZPL-om. Što je obrada dataka koji vodi Poverenik, a koji se sasto-
manje invanzivna i kraće traje, to će ji iz registra i kataloga zbirki podataka.
i mere zaštite podataka koje se pre- Po starom propisu takođe su rukovaoci
duzimaju biti jednostavnije. bili u obavezi da pre započinjanja obra-
de, odnosno uspostavljanja zbirke poda-
taka dostave Povereniku obaveštenje o
nameri uspostavljanja zbirke, zajedno sa
ZBIRKA PODATAKA propisanim podacima koji identifikuju tu
zbirku podataka. Drugim rečima, rukova-
oci su morali da registruju svaku zbirku
koju vode u Centralnom registru Povere-
Zbirka podataka je svaki strukturisa- nika. Međutim, u praksi je malo rukovala-
ni skup podataka o ličnosti kojem se može ca poštovalo ove obaveze. Najčešće regi-
pristupiti, ili se može pretraživati po ne- strovane zbirke podataka su bile one koje
kom kriterijumu, bez obzira da li je zbir- su kompanije vodile o svojim zaposlenima.
ka centralizovana, decentralizovana ili
razvrstana po funkcionalnim ili geograf- Novi Zakon predviđa da Centralni regi-
skim osnovama. Prema tome, da bi se ra- star zbirki podataka prestaje da se vodi
dilo o zbirci podataka u smislu Zakona, danom stupanja na snagu. Budući da je
potrebno je da su podaci sistematizova- primena ZZPL odložena za avgust 2019.
ni i strukturno grupisani na jednom me- godine, u međuvremenu su na snazi sta-
stu, bilo da su to fascikle u ormaru, fleš re odredbe.
memorija, disk, kompjuter ili nešto drugo.
Primera radi, pod zbirkom podataka mo-
žemo smatrati listu korisnika nekog ser- Dileme
visa poređanih po abecednom redu, dok Da li je neophodno obavestiti Pove-
razbacane hartije oko kopir mašine ne renika o nameri uspostavljanja zbir-
predstavljaju strukturisani skup podata- ke podataka, ako će se ona usposta-
ka. Međutim, ukoliko ove hartije poređa- viti tek nakon što novi Zakon stupi na
mo po nekom kriterijumu, tako da se lični snagu i ukine ovu obavezu?
podaci mogu pretraživati po tom kriteri-
jumu, takav skup postaje zbirka podata- Na osnovu člana 49 starog Zakona o
ka o ličnosti. zaštiti podataka o ličnosti, rukovalac
Imajući u vidu da se ZZPL ne primenju- je dužan da pre uspostavljanja zbir-
je na obradu podataka o ličnosti koju vrši ke dostavi Povereniku obaveštenje o
fizičko lice za lične potrebe, odnosno po- nameri uspostavljanja takve zbirke.
trebe svog domaćinstva, zbirkom poda- Međutim, novi Zakon članom 98 uki-
taka u smislu Zakona ne smatraju se lič- da obavezu vođenja Centralnog re-
ni adresari, foto albumi i slično, u slučaju gistra, pa samim tim i obavezu oba-
da ih vlasnik koristi isključivo u lične, ne- veštenja o nameri. U ovom slučaju
poslovne svrhe. Međutim, ukoliko se fi- treba imati u vidu mišljenje Povere-
zičko lice registruje kao preduzetnik za nika u kom se ističe da obaveza pri-
pružanje određenih usluga, pa svoj lični javljivanja zbirki podataka postoji
adresar iskoristi za slanje poslovnih po- sve do početka primene novog Za-
nuda licima čije brojeve telefona ima, ono kona, odnosno do 21. avgusta 2019.
postaje rukovalac u smislu Zakona dok godine,16 što se svakako odnosi na
adresar postaje zbirka podataka, jer se ostale obaveze iz starog Zakona, uk-
više ne koristi isključivo u lične, privat- ljučujući i obaveštenje o nameri.
ne svrhe.
16 Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije, 2018, Mišljenje u
vezi sa vođenjem evidencija o obradi podataka o ličnosti, dostupno na: poverenik.rs
OSNOVNI POJMOVI
25
OSNOVNE
ULOGE U
OBRADI
PODATAKA
O LIČNOSTI
OSNOVNE ULOGE U
OSNOVNE ULOGE U OBRADI PODATAKA O LIČNOSTI
OBRADI PODATAKA
O LIČNOSTI
Strožije nego do sada, novi pravni re- čuje da počne prikupljanje i obradu po-
žim zaštite podataka definiše odgovornost dataka, te utvrđuje pravni osnov za takvu
lica koja u različitim ulogama dolaze u do- obradu, odnosno zašto i kako se takvi po-
dir sa podacima o ličnosti. To mogu biti daci o ličnosti obrađuju.
rukovaoci, zajednički rukovaoci, obrađi-
Rukovalac takođe određuje:
vači, primaoci i treća strana. Glavni akte-
ri u obradi podataka o ličnosti su svakako
rukovalac i obrađivač, čija se prava i oba- • koji podaci o ličnosti se obrađuju,
veze razlikuju - rukovalac određuje način • u koju svrhu se oni obrađuju,
i svrhu obrade podataka, pa je logično da
ima širi spektar zakonskih obaveza u od- • o kojim pojedincima se prikupljaju
nosu na obrađivača. Međutim, i obrađivač podaci,
mora ispuniti niz propisanih obaveza. • da li će se podaci dalje distribuirati i,
Svako ko obrađuje podatke o ličnosti, ako da, kome,
mora najpre da utvrdi da li se u odnosu • koliko dugo će se čuvati podaci.
na konkretnu obradu javlja u ulozi ruko-
vaoca, zajedničkog rukovaoca ili obrađi-
vača. U praksi se često dešava da se isti
entitet u odnosu na jednu grupu podataka
javlja kao rukovalac, a u odnosu na drugu
ZAJEDNIČKI
kao obrađivač. Zbog toga je potrebno is-
pitati uloge u odnosu na svaku konkret-
RUKOVAOCI
nu obradu i kategoriju podataka o ličnosti
koji se obrađuju. U nekim slučajevima moguće je da više
Tokom utvrđivanja uloga, u obzir se uzi- od jednog entiteta vrši ulogu rukovaoca,
maju sve okolnosti konkretnog slučaja, odnosno više od jednog entiteta donosi
ali se najpre utvrđuje ko određuje svr- odluke o svrsi i načinu na koji se ti podaci
hu obrade podataka - odgovor na pita- obrađuju - tada će se oni smatrati zajed-
nje “zašto se podaci obrađuju?” - i način ničkim rukovaocima, pa će imati obavezu
obrade podataka. da na transparentan način odrede odgo-
vornost svakog od njih za poštovanje pra-
va i obaveza predviđenih Zakonom, a po-
sebno u pogledu ostvarivanja prava lica
RUKOVALAC na koje se podaci odnose.
27
valaca jeste jasan i transparentan način ce dozvolila Fejsbuku da prikuplja i
raspodele njihove odgovornosti u vezi sa obrađuje lične podatke posetilaca te
ostvarivanjem prava lica na koje se po- stranice, te se ima smatrati zajed-
daci odnose. U suprotnom se može desi- ničkim rukovaocem.18
ti da lice na koje se podaci odnose želi da
Štaviše, prema mišljenju nezavisnog
ostvari prava prema oba zajednička ru-
advokata Suda pravde Evropske uni-
kovaoca (na šta ima pravo, jer su oba za-
je, vlasnik vebsajta koji je embedovao
jednička rukovaoca odgovorna licu na koje
fejsbukovo ‘lajk’ dugme na svoj sajt
se podaci odnose za ostvarivanje njegovih
mora se smatrati zajedničkim ru-
prava), umesto u odnosu na jednog zajed-
kovaocem sa Fejsbukom, jer samim
ničkog rukovaoca koji je za to nadležan, u
tim što je embedovao ‘lajk’ dugme on
skladu sa internim sporazumom sa dru-
omogućava prikupljanje podataka o
gim zajedničkim rukovaocem.17
ličnosti.19
Primera radi, kompanija koja koristi us-
luge agencije za zapošljavanje biće u po-
ložaju zajedničkog rukovaoca sa agenci-
jom, budući da i jedna i druga određuju OBRAĐIVAČ
svrhu i način obrade. U slučaju kompani-
je, ona kao faktički poslodavac omogućava
da radnici vrše posao, dok agencija kao Obrađivač je fizičko ili pravno lice, od-
formalni poslodavac treba da zaključuje nosno organ vlasti, koji obrađuje podat-
ugovore o radu i ispunjava svoje obave- ke o ličnosti u ime rukovaoca. To znači da
ze iz drugih relevantnih zakona. U odnosu obrađivač ne određuje svrhu i sredstva za
zajedničkih rukovalaca mogu biti turistič- obradu ličnih podataka i predstavlja od-
ka agencija i hotelski lanac, recimo, koji vojeno pravno lice od rukovaoca. Obično
odluče da uspostave zajedničku internet je to organizacija sa posebnim veštinama
stranicu za onlajn rezervacije smeštaja. i znanjima koju rukovalac angažuje kako bi
Oni se dogovaraju koje će podatke priku- izvršila obradu podataka o ličnosti. Od-
pljati i na koji način, za koje svrhe, kako nos obrađivača sa rukovaocem je takav
će ih i koliko dugo čuvati, ko im može pri- da obrađivač u principu mora da postupa
stupiti i slično. Svako od zajedničkih ru- u skladu sa pisanim uputstvima rukova-
kovalaca mora izvršiti sve obaveze pro- oca, što znači da rukovalac ima kontrolu
pisane Zakonom, odnosno svako od njih je nad obradom, ali sledstveno i odgovornost
u potpunosti odgovoran licu čiji se poda- ukoliko obrada nije zakonita.
ci obrađuju. Ukoliko neka kompanija koja traži novog
radnika, ne želi da troši svoje resurse na
proces selekcije kandidata, ona u tu svr-
hu može da unajmi kadrovsku agenciju. U
Praksa ovom slučaju, agencija će obrađivati po-
Status zajedničkog rukovaoca po- datke o ličnosti mnogih kandidata za koje
nekad nije moguće jasno razaznati u kompanija nikada neće saznati jer nisu
onlajn sferi. Međutim, u jednoj svo- prošli selekciju, ali će to agencija raditi
joj odluci, Sud pravde Evropske unije u ime kompanije i u svrhu koju je odredi-
pojašnjava da, pored Fejsbuka, od- la kompanija. Sve dok agencija postupa u
govornost mora da snosi i kompani- skladu sa pisanim instrukcijama kompani-
ja koja je kreirala, odnosno koja je je koja u krajnjoj liniji kontroliše i svrhu i
administrator fejsbuk stranice, jer način obrade podataka (tako što kompani-
je samim činom kreiranja strani- ja daje uputstva koje podatke da obrađu-
17 Rücker, D., Kugler, T. (eds.), 2018, New European General Data Protection Regulation: A Practicioner’s
Guide, C.H. Beck, Hart, Nomos
18 Sud pravde EU, 2018, Slučaj C‑210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Hol-
stein v Wirtschaftsakademie Schleswig-Holstein GmbH, dostupno na: curia.europa.eu
19 Sud pravde EU, 2018, Saopštenje povodom mišljenja nezavisnog advokata u slučaju C-40/17, Fashion ID
GmbH & Co. KG v Verbraucherzentrale NRW eV, dostupno na: curia.europa.eu
je i kako), agencija će se smatrati obrađi- NAČELA OBRADE
OSNOVNE ULOGE U OBRADI PODATAKA O LIČNOSTI
ODNOS RUKOVAOCA I
OBRAĐIVAČA PRIMALAC
Primalac je fizičko ili pravno lice, odno-
Za obrađivača koji u njegovo ime vrši sno organ vlasti, kome su podaci o ličnosti
obradu, rukovalac može da odredi samo otkriveni, bez obzira da li se radi o trećoj
ono lice ili organ vlasti koji u potpunosti strani ili ne, osim ako se radi o organi-
garantuje primenu tehničkih, organizaci- ma vlasti koji u skladu sa zakonom prima-
onih i kadrovskih mera na način koji obez- ju podatke o ličnosti u okviru istraživanja
beđuje da obrada bude zakonita. Namera određenog slučaja i obrađuju ove podatke
zakonodavca je da osigura isti nivo bez- u skladu sa pravilima o zaštiti podataka o
bednosti podataka koji se obrađuju u si- ličnosti koja se odnose na svrhu obrade.
tuaciji kada, pored rukovaoca, podatke To je, dakle, onaj kome su podaci učinje-
obrađuje jedan ili više obrađivača. Ima- ni dostupnim, a taj neko može biti i drugi
jući u vidu da rukovalac određuje da li će rukovalac i obrađivač i tzv. treća strana.
Lice na koje se podaci odnose ima pra-
OSNOVNE ULOGE U OBRADI PODATAKA O LIČNOSTI
TREĆA STRANA
Treća strana je fizičko ili pravno lice,
odnosno organ vlasti, koji nije lice na koje
se podaci odnose, rukovalac ili obrađivač,
kao ni lice koje je ovlašćeno da obrađuje
podatke o ličnosti pod neposrednim nad-
zorom rukovaoca ili obrađivača.
31
NAČELA
OBRADE
PODATAKA
NAČELA OBRADE
NAČELA OBRADE PODATAKA
PODATAKA
ZNAČAJ PRINCIPA I su na lice na koje se podaci odnose ("za-
konitost, poštenje i transparentnost").
DOMEN PRIMENE Zakonita obrada je obrada koja se vrši u
skladu sa ovim zakonom, odnosno drugim
zakonom kojim se uređuje obrada.20
Načela obrade podataka uspostavljena Iz formulacije ovog načela jasno je da
novom evropskom regulativom, a koja su se ono sastoji iz više međusobno poveza-
ugrađena i u novi domaći Zakon, imaju vi- nih, ali zasebnih delova. Naime, ovo nače-
šestruki značaj. Najpre, ovim načelima se lo sadrži pravila da lični podaci moraju da
praktično usmerava tumačenje konkret- budu obrađeni zakonito, pravično i tran-
nih odredbi koje mogu biti nejasne. Dakle, sparentno u odnosu na lice na koje se od-
ukoliko je rukovalac ili obrađivač u dilemi nose. Ovo konkretno znači sledeće:
na koji način da primeni neku konkretnu
• podaci mogu da budu obrađivani
odredbu, uvek treba da se osloni na ono
samo ukoliko postoji odgovarajući
tumačenje koje je u duhu ovih načela.
pravni osnov za konkretnu obradu i uz
Međutim, postavljena načela imaju još poštovanje svih propisa koji se na tu
jednu značajnu dimenziju, budući da za obradu primenjuju;
samo nepoštovanje bilo kog od načela
• rukovaoci moraju uvek imati u vidu i
rukovaoci i obrađivači mogu odgovara-
interese lica čije podatke obrađuju
ti prekršajno. Dakle, bez obzira na to što
i ponašati se pošteno u konkretnim
formalno poštuju ostale obaveze iz Zako-
okolnostima, u zavisnosti od toga čije
na, moguće je da se utvrdi odgovornost
podatke prikupljaju;
ukoliko način na koji su te obaveze spro-
vedene nije u skladu sa nekim od nače- • od momenta kada započne
la. Kršenje načela obrade ličnih podata- prikupljanje, lice čiji se podaci
ka ujedno povlači i najteže kazne - prema obrađuju u svakom trenutku ima pravo
domaćem Zakonu, kazna za pojedinač- da zna kako se sa njima postupa - što
ni prekršaj kojim se krši neko od načela uključuje pravo da bude upoznato sa
iznosi 2.000.000 dinara, dok u sticaju ka- činjenicom da se podaci obrađuju,
zna može biti i duplo veća. Prema GDPR, u kojoj meri, za koje svrhe, ko je
za kršenje načela može se izreći kazna u rukovalac i ko su obrađivači, i slično
visini od 20 miliona evra ili 4� ukupnog - a te informacije treba da budu
godišnjeg prihoda, šta god je veće. saopštene na jasan i razumljiv način.
Drugim rečima, ovo načelo zahteva od
rukovalaca da ne zloupotrebljavaju svo-
ZAKONITOST, ju nesrazmerno jaču poziciju naspram
vlasnika podataka, u odnosu na koje po-
POŠTENJE I stoji asimetrija informacija, već da pre-
ma njima imaju pošten i iskren stav. Taj
TRANSPARENTNOST stav podrazumeva da se rukovaoci obra-
de podataka ponašaju na način koji bi nji-
hovi klijenti, korisnici ili partneri čije po-
Podaci o ličnosti moraju se obrađivati datke obrađuju smatrali prihvatljivim i
zakonito, pošteno i transparentno u odno- očekivanim.
33
Smernice
Prema stavovima Radne grupe 29,
SVRHA OBRADE
transparentnost je načelo koje je re-
levantno u svim aspektima primene Podaci o ličnosti moraju se prikupljati u
pravila o zaštiti ličnih podataka, i na svrhe koje su konkretno određene, izriči-
snazi je u tri centralne oblasti: (1) te, opravdane i zakonite i dalje se ne mogu
informisanje lica čiji se podaci obra- obrađivati na način koji nije u skladu sa
đuju u vezi sa poštenom obradom; tim svrhama ("ograničenje u odnosu na
(2) način na koji rukovaoci komunici- svrhu obrade").22
raju sa nosiocima podataka povodom
njihovih prava; i (3) načini na koje Princip ograničenosti svrhe obrade u
rukovaoci mogu nosiocima podataka suštini se sastoji od dva osnovna zahte-
pomoći da svoja prava efikasno isko- va: (1) da se pre započinjanja obrade pre-
riste. Takođe, načelo transparentno- cizno definiše i izričito objasni zbog čega
sti je jednako značajno kroz sve ci- se podaci prikupljaju, kao i da se (2) poda-
kluse obrade podataka: pre početka ci prikupljeni za inicijalnu svrhu ne mogu
obrade tj. u fazi prikupljanja podata- dalje obrađivati za bilo koju drugu, ne-
ka, tokom same obrade - što uključu- kompatibilnu svrhu.
je i komunikaciju po osnovu prava na
informisanost i ostalih prava, i uko-
liko se tokom obrade dese nepredvi- Smernice
đene okolnosti koje ugrožavaju bez-
Da li je svrha dovoljno jasno odre-
bednost i poverljivost podataka.21
đena može biti diskutabilno pitanje,
Kao primer, možemo zamisliti situaciju međutim, prema mišljenju Radne
u kojoj rukovalac na svom vebsajtu obja- grupe 29 to svakako znači da svrha
vi politike privatnosti gde klijentima čije ne može biti definisana uopštenim
podatke prikuplja preko svog onlajn ser- terminima kao što su “poboljšanje
visa, obelodani koje sve podatke o njima iskustva korisnika” ili “marketinš-
poseduje, po kom osnovu ih koristi i koli- ke svrhe”. Izričitost svrhe podrazu-
ko dugo ih čuva, pa čak i da podatke deli meva zahtev da je svrha izražena u
sa nekim svojim partnerima (često se u jasnim i nedvosmislenim terminima,
ovim slučajevima samo navede da su par- koji omogućavaju razumevanje o ka-
tneri “pouzdani”). Međutim, ovaj princip kvoj tačno se svrsi radi.23
zaštite biće prekršen ako u tekstu politi-
Što se tiče drugog zahteva, takođe
ka privatnosti ne navede činjenicu da za-
će ponekad biti jasno da su svrhe
pravo nema nikakvu kontrolu nad tim za
nekompatibilne. Na primer, kontak-
šta tačno partneri koriste podatke, koje
ti prikupljeni za potrebe ispunje-
podatke preuzimaju, koliko ih dugo čuvaju
nja ugovora, ne mogu se koristiti za
i da li ih dalje dele sa neodređenom gru-
marketing. Za ne tako jasne situa-
pom lica - tako da se na kraju ispostavlja
cije, Radna grupa 29 je dala odre-
da je obrada koja se odvija na onlajn plat-
đene smernice rukovaocima, suge-
formi samog rukovaoca beznačajno mala
rišući okolnosti o kojima se mora
u poređenju sa obradom kod raznih par-
voditi računa prilikom sprovođe-
tnera o kojoj lica na koja se podaci odnose
nja "testa kompatibilnosti". Te okol-
nisu obaveštena.
nosti su: (1) da li postoje i kakve su
veze između inicijalne svrhe i svrhe
dalje obrade, (2) u kakvom su kon-
tekstu podaci bili inicijalno priku-
pljeni i kakva je u tom trenutku bila
veza rukovaoca i lica čiji se poda-
21 Radna grupa 29, 2018, Smernice za transparentnost prema Uredbi 2016/679, dostupno na: ec.europa.eu
22 Član 5, stav 1, tačka 2 ZZPL
23 Radna grupa 29, 2013, Mišljenje 03/2013 o ograničenosti svrhe, dostupno na: ec.europa.eu
ci obrađuju, odnosno kakva su ra- ni i relevantni baš za tu svrhu. Na primer,
NAČELA OBRADE PODATAKA
zumna očekivanja tih lica u datoj ukoliko rukovalac klijentima želi da šalje
situaciji, (3) kakva je priroda lič- obaveštenja elektronskom poštom, za to
nih podataka, a pogotovo da li se su mu potrebne samo njihove mejl adrese,
radi o posebno osetljivim poda- dok je obrada svih ostalih podataka za ovu
cima, (4) koje su moguće posledi- svrhu nepotrebna. Drugim rečima, svaki
ce dalje obrade (pri čemu se mogu podatak bez kog bi se svrha obrade mogla
uzeti u obzir i pozitivne i negativ- ispuniti, predstavlja višak i podrazumeva
ne posledice) i (5) kakve mere si- kršenje ovog načela.
gurnosti, predostrožnosti i opre-
Načelo minimizacije podataka je u uskoj
za su preduzete (npr. enkripcija,
vezi sa GDPR institutima ugrađene i po-
pseudonimizacija).24
drazumevane privatnosti (privacy by de-
Najzad, prema Zakonu se, pod odre- sign & by default), koji su u ZZPL imple-
đenim uslovima, izuzetno može dozvoliti mentirani članom 42 i nazivaju se “mere
dalja obrada u svrhe arhiviranja u javnom zaštite”. Naime, pravila ovog člana nala-
interesu, u svrhe naučnog i istorijskog žu rukovaocima i obrađivačima da se još
istraživanja i u statističke svrhe. u fazi razvoja i oblikovanja načina obra-
de i planiranja toka podataka, sistemi
Uzmimo za primer rukovaoca koji vodi
koji obrađuju podatke podese tako da se
sportski centar, gde drži i veliku zbirku
u njima ne nalaze podaci čija obrada nije
podataka o svojim korisnicima, njihovim
neophodna.
navikama i interesovanjima, prikupljenim
kako bi oni u sportskom centru mogli da Zamislimo onlajn knjižaru koja sa svo-
treniraju i kako bi mogao da se izvrši nji- jim korisnicima zaključuje ugovor o pro-
hov korisnički ugovor. U međuvremenu, daji knjiga, za šta su joj zapravo potreb-
rukovalac ostvari poslovnu saradnju sa ni podaci za plaćanje i podaci za isporuku
novim sportskim brendom na tržištu pa, kupljene knjige. Princip minimizacije biće
u cilju promocije novog brenda, sportski prekršen ukoliko se u onlajn formularu za
centar svom partneru stavi na raspola- kupovinu kao obavezna polja navode i po-
ganje određene lične podatke svojih kori- daci koji nisu neophodni za izvršenje ovog
snika, kako bi im bile dostavljene ponude ugovora, kao što su datum rođenja, broj
za sportsku opremu u skladu sa njihovim telefona, pol i slično, pri čemu onlajn ku-
interesovanjima. Iako je ideja rukovaoca povina ne može da se izvrši dok se ovi po-
da bi korisnici bili srećni da dobiju ovakve daci ne unesu.
ponude, jer one uključuju i određene po-
Ilustrativan primer može biti i kompani-
puste, u pitanju je korišćenje podataka u
ja čija delatnost podrazumeva i neke opa-
potpuno druge svrhe od one za koju su ini-
sne poslove, ili poslove sa povećanim ri-
cijalno bili prikupljeni.
zikom. Dok bi obrada podataka o krvnoj
grupi zaposlenih koji rade ovakve poslove
mogla biti opravdana u slučaju incidenta,
nije neophodno tražiti takav podatak od
MINIMIZACIJA onih radnika koji obavljaju administrativ-
ne poslove u svojim kancelarijama.
24 Ibid.
25 Član 5, stav 1, tačka 3 ZZPL
35
sve razumne mere kojima se obezbeđuje je pogrešan, te mu svake nedelje časopis
da se netačni podaci o ličnosti bez odla- stiže kod komšije iz susednog ulaza koji
ganja izbrišu ili isprave ("tačnost").26 sticajem okolnosti ima isto prezime. Od
početka pretplate prošlo je dva meseca
Ovo načelo praktično zahteva od ruko-
tokom kojih je korisnik uredno plaćao svo-
valaca pedantnost u obradi ličnih podata-
ju pretplatu, ali časopis nije dobijao zbog
ka. Podaci koji se koriste u obradi moraju
pogrešnog podatka.
biti tačni i, kada za tim postoji potre-
ba, usklađeni sa eventualnim promena-
ma. Imajući u vidu svrhe za koje se podaci
obrađuju, rukovalac mora da obezbedi da
netačni podaci budu bez odlaganja obri- OGRANIČENJE
sani ili ispravljeni. Podaci se mogu sma-
trati netačnim i u situacijama kada su ne-
ČUVANJA
potpuni ili kada su izvučeni iz konteksta.27
U određenim situacijama, primena ovog Podaci o ličnosti moraju se čuvati u obli-
načela može imati značajne i dalekosež- ku koji omogućava identifikaciju lica samo
ne posledice po nosioce podataka. To će u roku koji je neophodan za ostvarivanje
uvek biti slučaj kada se na osnovu ličnih svrhe obrade ("ograničenje čuvanja").28
podataka donosi odluka o nekim pravi-
ma ili mogućnostima, na primer, prilikom Lični podaci smeju da se čuvaju u obliku
odobravanja kredita. Svakodnevni primer koji omogućava identifikaciju fizičkih lica
takođe može biti prodavnica koja obra- samo onoliko dugo koliko je neophodno za
đuje adresu korisnika kom na nedeljnom ispunjenje svrhe za koju se podaci obra-
nivou šalje kupljene proizvode i koja efi- đuju. Dakle, kada odredi konkretnu svrhu
kasno mora da izmeni ovaj podatak kada obrade i vrste podataka koje je potrebno
korisnik promeni boravište. Primena ovog da prikupi da bi ta svrha mogla da bude
načela je u direktnoj vezi sa pravom na ostvarena, rukovalac bi u tom trenut-
ispravku i dopunu podataka. ku trebalo da odredi i koliko dugo je ne-
ophodno da se predmetni podaci nalaze u
U zavisnosti od prirode posla i zakon- njegovom posedu. Načelo ograničenja ču-
skih obaveza, ponekad može biti jako važ- vanja tako u sebi sadrži dve komponente:
no da rukovalac čuva i celu istoriju izme- (1) obavezu da se unapred odredi period
na određenog podatka, odnosno da čuva i čuvanja podataka, u zavisnosti od svrhe
prethodne netačne podatke i informaciju obrade, pri čemu taj period mora biti ne-
o tome kada su i zašto izmenjeni. ophodan za ispunjenje svrhe, tj. mora po-
Uzmimo za primer bolničkog pacijenta koji stojati racionalno i ubedljivo obrazloženje
je tokom lečenja dobio pogrešnu dijagnozu, zašto svrha ne može biti ostvarena u kra-
na osnovu koje je nedeljama primao odre- ćem roku, i (2) brisanje ili anonimizaciju
đenu terapiju. Nakon dodatnih analiza, di- podataka (tako da više nije moguća iden-
jagnoza je promenjena i pacijent je dobio tifikacija) posle isteka tog perioda. U teo-
novu terapiju. Međutim, inicijalna pogreš- riji se ovo načelo još označava i kao "vre-
na terapija je na njegov organizam ostavila menski aspekt načela minimizacije".29
posledice koje se takođe moraju pratiti. Da Rok čuvanja svakako je u direktnoj vezi i
bi lečenje bilo uspešno, jednako je važno da sa pravnim osnovom za obradu podataka.
se čuvaju i pogrešni i tačni podaci. Ukoliko se lični podaci obrađuju u kontek-
Ili, na primer, imamo korisnika koji se stu ispunjavanja ugovora, kada se ugo-
pretplatio na nedeljno izdanje nekog časo- vor izvrši obrada po tom pravnom osnovu
pisa. Međutim, podatak o njegovoj adresi prestaje. Međutim, u tom slučaju će ruko-
valac po pravilu imati interes da određe-
30 Zakon o evidencijama u oblasti rada (“Sl. list SRJ”, br. 46/96 i “Sl. glasnik RS”, br. 101/2005 - dr.
zakon i 36/2009 - dr. zakon)
31 Član 5, stav 1, tačka 1 ZZPL
32 ZZPL navodi primere ovih mera u članu 50
37
ni nivo sigurnosti i bezbednosti obrade. značajna promena za rukovaoce u Srbi-
Konkretizacija ovog načela sadržana je u ji, pošto uvodi drastično drugačiju logi-
članovima ZZPL koji regulišu bezbednost ku od one na kojoj se temelji stari Zakon o
podataka. zaštiti podataka o ličnosti. Naime, prema
starom Zakonu, rukovalac je bio obavezan
Za primer možemo uzeti rukovaoca koji
da zbirke podataka prijavi Povereniku kao
u svom poslovanju koristi softversku apli-
nadležnom organu, pa je taj mehanizam
kaciju u kojoj se obrađuju i podaci klije-
trebalo da obezbedi rukovaocima svoje-
nata i podaci samih zaposlenih. Sa sta-
vrsnu potvrdu da su njihove zbirke zako-
novišta odgovarajućih organizacionih i
nite, odnosno da su njihove prakse obra-
tehničkih mera, nije prihvatljivo da se sa
de ličnih podataka u skladu sa zakonskim
svih korisničkih naloga može pristupa-
pravilima. Pošto se prema novom Zakonu
ti svim podacima, već rukovalac treba da
zbirke ne prijavljuju, rukovaoci sada sami
uvede sistem rola i autorizacija koje će da
moraju obezbediti primenu svih potrebnih
obezbede da samo kadrovska služba može
pravila u svojim sistemima obrade ličnih
da ima uvid u podatke zaposlenih, dok za-
podataka, dok se eventualna provera nji-
posleni kojima je to potrebno za obavlja-
hove usklađenosti sa propisima vrši samo
nje radnih zadataka mogu da imaju uvid u
ukoliko je rukovalac u situaciji da mora
odgovarajuće podatke klijenata.
svoju usklađenost da dokazuje u nekom
Ili, na primer, fizikalna ambulanta u ulo- postupku (na primer, u postupku nadzora
zi rukovaoca koja o svojim klijentima čuva koji pokreće Poverenik).
informacije o programu vežbi koje fizi-
Praktičan aspekt ovog načela se ogleda
oterapeut treba da sprovede sa svakim
u tome da bi rukovaoci trebalo da doku-
klijentom, što uključuje i osetljive zdrav-
mentuju sve svoje odluke u vezi sa prime-
stvene podatke. Recimo da se iz praktič-
nom ZZPL načela. Takva dokumenta mogu
nih razloga predmetne informacije, pored
da uključuju odgovarajuće politike privat-
elektronske forme, čuvaju i na papiru koji
nosti ili politike zaštite ličnih podataka,
se koristi svaki put kada klijent dođe na
koje su se u praksi pokazale vrlo korisnim
terapiju. Odgovarajuće mere zaštite po-
iako Zakon ne nameće obavezu njihovog
drazumevaju da se papirna forma čuva
donošenja. U zavisnosti od svrhe i sadrži-
pod ključem i da joj pristupaju samo ovla-
ne takvih dokumenata, oni mogu mogu biti
šćena lica, kao i to da se papirna forma
javno dostupni (na primer, politike privat-
uništava čim ispuni svoju svrhu.
nosti objavljene na vebsajtu), ali mogu biti
izrađeni i u formi internih akata, sa ci-
ljem da se regulišu interni postupci i pro-
cedure (na primer, pravilnik o postupanju
ODGOVORNOST sa podacima o ličnosti). Takođe, rukovao-
RUKOVAOCA ci mogu imati koristi od primene mehani-
zama dobrovoljne sertifikacije.34
39
ZAKONITOST
OBRADE
PODATAKA
ZAKONITOST OBRADE
ZAKONITOST OBRADE PODATAKA
PODATAKA
KADA JE OBRADA ispuni sledeće zahteve i usvojene evrop-
ske standarde:40
ZAKONITA? • dat je slobodno, nije dat pod ucenom,
pritiskom ili prinudom, što između
ostalog podrazumeva da ne postoji
Kada govorimo o zakonitosti obrade lič- velika neravnoteža u odnosu sa
nih podataka, u suštini govorimo o tome rukovaocem (u suprotnom, rukovalac
da rukovalac ima pravo da vrši obradu teško može da dokaže da ta
samo ukoliko je ona utemeljena, zasnova- neravnoteža nije praktično izvršila
na na jednom od šest raspoloživih prav- pritisak na lice koja pristanak treba
nih osnova. Drugim rečima, kada odredi da slobodno da);
za koju su mu svrhu podaci potrebni, ru-
• bezuslovan je, što znači da nije
kovalac mora da se odluči na osnovu kog
uslovljen prihvatanjem drugih usluga
pravnog osnova će se obrada vršiti - jer
ili uslova (na primer, nije spojen
pravila obrade u velikoj meri od toga za-
sa prihvatanjem celokupnih uslova
vise. Ako obrada za željenu svrhu ne može
poslovanja);
da se zasnuje ni na jednom od raspoloži-
vih pravnih osnova, onda je takva obrada • specifičan je, odnosno dat je za
nedozvoljena, odnosno nezakonita. Tako- konkretnu a ne neodređenu i preširoko
đe treba naglasiti da nijedan od pravnih definisanu svrhu (ako je svrha
osnova nije “jači” ili “bolji” od drugih, već određena preširoko, to bi praktično
se za osnov bira onaj koji najviše odgova- vodilo blanko pristanku za svrhe
ra konkretnoj svrsi pre početka obrade. koje licu uopšte nisu bile poznate
u trenutku pristajanja, te zapravo
Prema našem Zakonu, a u skladu sa
ni ne zna za šta je sve dalo svoju
GDPR, raspoloživi pravni osnovi su: pri-
saglasnost);
stanak lica na koje se podaci odnose, za-
ključenje i izvršenje ugovora, poštovanje • ukoliko postoji više svrha na koje je
pravnih obaveza, zaštita životno važnih potrebno da lice pristane, pristanak
interesa, obavljanje poslova u javnom in- mora biti granuliran, što znači da
teresu i legitimni interes rukovaoca. jasan pristanak treba da se da za
svaku pojedinačnu svrhu;
• informisan je, lice razume na šta
PRISTANAK pristaje, ima sve potrebne informacije
od rukovaoca da bi moglo da donese
informisanu odluku;
40 Ibid.
41
• može da se povuče u bilo koje vreme, i zahteva konkretne radnje pre zaključenja
to jednostavno i lako, odnosno rukovalac ugovora. Dakle, ovaj pravni osnov se za-
mora da obezbedi da na isti način na pravo sastoji iz dva pod-osnova, koja ne
koji je pristanak bio dat, on može biti moraju biti korišćena istovremeno, a to
i povučen (nije opravdano otežavati su zaključenje i izvršenje ugovora.
povlačenje pristanka dodatnim
Kod zaključenja ugovora, ovaj osnov
formalnostima, na primer popunjavanjem
može da se koristi ako se prikupljaju lični
formulara ili pozivanjem određenih
podaci da bi do zaključenja ugovora doš-
službi, ako je pristanak dat mejlom).
lo, i to baš po zahtevu tog lica. Ovo će, na
Posebna pravila o davanju pristanka primer, biti slučaj kada lice pošalje zah-
važe ako su davaoci deca, tj. maloletna tev prodavcu da dobije ponudu za kupo-
lica. Određena posebna pravila iz ZZPL vinu nekog proizvoda, a prodavac zadrži
odnose se samo na obradu podataka o podatke o imenu i (mejl) adresi određeni
deci u vezi sa uslugama informacionog period vremena da bi mu poslao odgova-
društva. Ako rukovalac obrađuje podat- rajuću ponudu.
ke lica mlađih od 15 godina u tom kontek-
Kod izvršenja ugovora mora se voditi
stu, onda će obrada njihovih podataka biti
računa da su podaci zaista neophodni za
zakonita samo ako je pristanak dalo lice
izvršenje, tj. sama činjenica da su poda-
koje je nosilac roditeljske odgovornosti
ci dati u ugovornom kontekstu ne znači da
nad detetom (obično roditelji). Ako je lice
rukovalac po ovom osnovu može da koristi
starije od 15 godina, pristanak može dati
sve podatke do kojih je došao. Zbog toga
samostalno. Stoga bi rukovaoci koji pru-
ovo nije odgovarajući pravni osnov za, re-
žaju usluge koje su u vezi sa uslugama in-
cimo, prodavca koji hoće da profiliše svo-
formacionog društva, trebalo da uspo-
je kupce na osnovu postojećih kupovina i
stave mehanizme koji omogućavaju da se
da im šalje nove promotivne ponude, iako
utvrdi da je svako lice koje daje svoj pri-
je do podataka došao u kontekstu ugovo-
stanak dovoljno staro da ima pravo to da
ra. Takođe, ZZPL eksplicitno navodi da se
učini (bez potrebe da se utvrdi tačna sta-
radi o ugovoru baš sa licem čiji se poda-
rosna dob). U zavisnosti od rizika koji se
ci obrađuju. Dakle, ovaj pravni osnov se
odnose na obradu podataka, ova verifika-
ne može koristiti ako se radi o izvršavanju
cija se može uraditi jednostavno, traže-
ugovora sa nekim trećim licem. Međutim,
njem izjave da je korisnik dovoljno star da
pošto ZZPL ne navodi da ugovorna strana
obezbedi sopstveni pristanak ili, u nekim
mora biti sam rukovalac, možemo zaklju-
slučajevima, korišćenjem usluge verifika-
čiti da se ovaj pravni osnov može koristiti i
cije treće strane.
ako rukovalac obrađuje lične podatke u ci-
U svakom slučaju, ukoliko pristanak daju lju izvršavanja ugovora između lica na koje
maloletna lica, tekst pristanka treba da se podaci odnose i nekog trećeg lica.41
bude posebno prilagođen njihovom uzrastu.
POŠTOVANJE
ZAKLJUČENJE PRAVNIH OBAVEZA
I IZVRŠENJE
UGOVORA Pored poštovanja ugovora, Zakon kao
poseban osnov predviđa poštovanje prav-
nih obaveza koje ima rukovalac. Iako je
Ugovor je čest osnov u poslovnim odno- termin “pravne obaveze” poprilično neo-
sima rukovaoca sa partnerima i korisni- dređen, uz oslanjanje na tumačenje pra-
cima, kada je obrada neophodna za izvr- vila iz GDPR možemo zaključiti da se ovde
šenje ugovora ili kada nosilac podataka
41 Rücker, D., Kugler, T. (eds.), 2018, New European General Data Protection Regulation: A Practicioner’s
Guide, C.H. Beck, Nomos, Hart, str. 77
u stvari radi o obavezama rukovaoca da kaže da se prikupljanje, držanje, obra-
ZAKONITOST OBRADE PODATAKA
43
Česti primeri legitimnog interesa jesu Na kraju valja napomenuti da prema
obrada podataka koja je neophodna radi pravilima ZZPL organi vlasti ne smeju da
direktnog marketinga pod odgovarajućim koriste ovaj osnov prilikom obavljanja po-
uslovima, ostvarivanje prava slobode iz- slova iz svoje nadležnosti.
ražavanja ili informacija, otkrivanje pre-
vare ili prijavljivanje kriminalnih aktiv-
nosti, ukazivanje na eventualne pretnje
javnoj sigurnosti od strane rukovaoca,
zaštita mreže i sigurnosti informacija kod
ZAKONITOST
rukovaoca, obezbeđenje poslovnih pro- OBRADE POSEBNIH
storija putem identifikacije posetilaca ili
postavljanja sigurnosnih kamera, i slično. VRSTA PODATAKA
Primena testa balansiranja u svim ovim
situacijama podrazumeva da rukovalac Zakon propisuje da je obrada poseb-
uzme u obzir više okolnosti. Što se tiče nih vrsta podataka o ličnosti u principu
ličnih interesa, oni su posebno važni ako zabranjena, osim u izuzetnim slučajevi-
je lice na koje se podaci odnose dete. Mo- ma.42 Drugim rečima, za obradu podata-
gućnost oslanjanja na legitimni interes ka iz ove kategorije nije dovoljno samo da
zavisi i od odnosa koji rukovalac ima sa postoji jedan od opisanih pravnih osnova,
konkretnim fizičkim licem, kao i od toga već mora da bude ispunjen bar još jedan
kakva su očekivanja tog lica. Tako će indi- dodatni uslov.43 Dodatni uslovi u kojima je
vidualna prava biti ugrožena ako obrada obrada posebnih vrsta podataka dozvo-
može dovesti do isključivanja ili diskrimi- ljena uključuju sledeće situacije:
nacije pojedinaca, do klevete ili povre-
de reputacije, ali i ako postoje širi emo- • kada lice na koje se podaci odnose da
tivni uticaji kao što su iritacija, strah ili izričit pristanak na obradu za jednu
stres koji nastaju usled gubitka kontro- ili više svrha obrade, osim ako je
le nad ličnim podacima, ili zbog shvatanja zakonom propisano da se obrada ne
da oni jesu ili mogu biti zloupotrebljeni ili vrši na osnovu pristanka;
kompromitovani. Takođe, važno je uze- • kada je obrada neophodna u cilju
ti u obzir i prirodu i osetljivost podata- izvršenja obaveza ili primene zakonom
ka koji se obrađuju. Test balansiranja in- propisanih ovlašćenja rukovaoca ili
teresa će teže proći podaci koji spadaju lica na koje se podaci odnose u oblasti
u kategoriju posebno osetljivih podataka, rada, socijalnog osiguranja i socijalne
nego podaci koje je lice već na neki način zaštite, ako je takva obrada propisana
učinilo dostupnim (mada, prema GDPR, i zakonom ili kolektivnim ugovorom;
javno dostupni lični podaci uživaju prav-
nu zaštitu). • kada je obrada neophodna u cilju
zaštite životno važnih interesa lica
Dakle, iako legitimni interes može biti na koje se podaci odnose ili drugog
primamljiv za rukovaoce, pošto praktič- fizičkog lica, ako lice na koje se podaci
no može da obuhvati neograničeni broj odnose nije u mogućnosti da da
situacija za svrhe koje ne mogu da budu pristanak za obradu;
opravdane drugim pravnim osnovima, sa-
vetuje se oprez. Jasno je da rukovaoci ne • kada se obrada vrši u okviru
mogu jednostavno i jednostrano da pro- registrovane delatnosti i uz primenu
glase zaštitu nekih svojih interesa (kao odgovarajućih mera zaštite od strane
što su razni čisto komercijalni interesi), zadužbine, fondacije, udruženja ili
pogotovo kad se uzme u obzir da sama lica druge neprofitne organizacije, pod
čiji se podaci obrađuju imaju neka poseb- uslovom da se takva obrada vrši samo
na prava koja mogu da iskoriste baš u tim u odnosu na članove, bivše članove
situacijama, kao što je pravo na prigovor. ili lica koja imaju redovne kontakte
42 Član 17 ZZPL
43 Ovakav stav je zauzela Radna grupa 29, videti na primer Smernice za automatizovano donošenje odluka o
pojedincima i profilisanje za potrebe Uredbe 2016/679 iz februara 2018. godine, dostupno na: ec.europa.eu
sa organizacijom u vezi sa ciljem srazmerna ostvarivanju ciljeva koji
ZAKONITOST OBRADE PODATAKA
44 Radna grupa 29 izdala je više smernica na ovu temu tokom godina primene Direktive 95/46/EC, a pos-
lednja verzija smernica u skladu sa GDPR je izdata u aprilu 2018. godine, videti: Smernice za pristanak
prema Uredbi 2016/679, dostupno na: ec.europa.eu. Mišljenje Radne grupe 29 o legitimnom interesu je
doneto 2014. godine na osnovu teksta Direktive 95/46/EC, ali je i dalje validno, videti: Mišljenje 06/2014
o legitimnom interesu rukovaoca podacima prema članu 7 Direktive 95/46/EC, dostupno na: ec.europa.eu
45
da li se svrha može postići na dru- talje prikupljanja zakonski definisa-
gi način koji ne uključuje obradu lič- nih podataka od trećih lica, ali se ne
nih podataka, da li se može koristi- može određivati rukovalac podataka
ti manje podataka, da li obrada može koji je ovlašćen da prikuplja podatke,
da bude manje intruzivna; (3) “test kao ni svrha, odnosno skup podataka
balansiranja” - koji stavlja na drugi koji se mogu obrađivati” (Upozore-
tas interese, prava i slobode lica čiji nje broj 164-00-00300/2012-07 od
se podaci obrađuju, uz pitanja: kakva 03.10.2014. godine).
su razumna očekivanja tih lica, da li
su oni sami dali podatke, da li sa nji-
ma postoji već prethodno uspostav- Dileme
ljena veza i kakva, kakva je vrsta po-
dataka u pitanju, itd.45 Jedna od glavnih tema tokom pripre-
ma evropskih kompanija za GDPR,
bio je strah od mogućnosti da će
nova regulativa zahtevati od rukova-
Praksa laca da za veliki broj svojih procesa
Pitanje legitimnog interesa kao prav- obrade ličnih podataka imaju validan
nog osnova bila je tema jedne odluke pristanak. Pristanak je tih mese-
CJEU, koji je zauzeo stav da je va- ci postao toliko popularan, da se u
lidan legitimni interes rukovaoca da određenim krugovima raširila ideja
zahteva lične podatke od treće stra- kako je on glavni i superiorni prav-
ne kako bi mogao da pokrene sudski ni osnov, dok su svi ostali pravni os-
postupak protiv lica koje mu je pro- novi manje bitni. Ta ideja nije tačna,
uzrokovalo štetu. U ovom slučaju je a svakako može biti veoma opa-
lice - nosilac podataka bilo malolet- sna. Pristanak nije glavni ni najbo-
no. Međutim, stav CJEU je da sama lji osnov, a često nije ni odgovaraju-
ova činjenica nije dovoljan dokaz da ći. Svi pravni osnovi su ravnopravni
prava i interesi tog lica svakako pre- i svi funkcionišu u određenim okol-
težu, već da je to jedna od činjenica nostima, dok u nekim drugim uopšte
koja mora biti uzeta u obzir prilikom nisu primereni ili su čak nezakoniti.
sprovođenja “testa balansiranja”.46
Primer hotela kao rukovaoca po-
U vezi sa pravnim osnovom koji se dacima o ličnosti može da ilustruje
tiče izvršenja javnih ovlašćenja, Po- kako ponekad i isti podaci mogu da
verenik je oktobra 2014. izdao upo- se obrađuju po više pravnih osnova,
zorenje u kom se, između ostalog, uvek u zavisnosti od konkretne svr-
navodi: “Kako je prema članu 42 Us- he obrade. Kada gost dođe u hotel da
tava Republike Srbije prikupljanje, iznajmi sobu ili zatraži druge uslu-
čuvanje, obradu i korišćenje poda- ge hotela, svakako treba da da odre-
taka o ličnosti moguće urediti is- đene podatke koji su neophodni da bi
ključivo zakonom, a članom 8, tač- se zaključio i izvršio ugovor o sme-
ka 2 ZZPL je propisano da obrada štaju. Hotel takođe ima obavezu da
podataka o ličnosti nije dozvoljena određene podatke koje tom prilikom
ako fizičko lice nije dalo pristanak prikupi, dostavi policiji u skladu sa
za obradu, odnosno ako se obrada merodavnim propisima koji ga na to
vrši bez zakonskog ovlašćenja, tako obavezuju. Tokom boravka u hote-
i skup podataka o ličnosti koje se lu, gostu može biti ponuđeno da ko-
obrađuje i svrha obrade moraju biti risti određene neobavezne pogod-
definisani samim zakonom. Podza- nosti, na primer da učestvuje u tzv.
konskim propisima moguće je urediti lojaliti programu - u tom slučaju on
način pribavljanja (od koga se podaci daje pristanak za obradu podata-
prikupljaju), kao i druge tehničke de- ka u te svrhe, a svoj pristanak može
PODATAKA O LIČNOSTI
Svet dnevno proizvodi 2.5 kvintiliona vesti do različitih problema, počev od fi-
bajtova47 podataka dnevno.48 Kako se teh- nansijskih kazni propisanih domaćom i
nologija sve više integriše u naše privatne evropskom regulativom; može uticati na
i profesionalne živote, udeo podataka koji kontinuitet rada, odnosno funkcionisanje
se mogu smatrati ličnim podacima postaje sistema, ili ugroziti bezbednost lica na
sve veći. Samim tim, rastu i rizici po lič- koja se podaci odnose. Posledice po kre-
ne podatke u digitalnom okruženju. Česte dibilnost i reputaciju organizacije koja je
zloupotrebe kreću se od kompanija koje pretrpela bezbednosni incident su dugo-
profilišu korisnike kako bi njihove profi- ročne i mogu dovesti do teških gubitaka.
le, zasnovane na ličnim podacima, kori-
stili ili preprodavali za oglašavanje; preko
državnih organa koji nadziru sve građane
bez razlike, kako bi uštedeli resurse ili se
obračunavali sa političkim neistomišljeni-
TEHNIČKE MERE PO
cima - sve do različitih vrsta sajber pre- NOVOJ REGULATIVI
datora i pljačkaša koji kupovinu preko in-
terneta vrše tuđim kreditnim karticama.
GDPR se ne bavi specifičnim detaljima
Podaci su postali valuta za onlajn pla-
u vezi sa tehničkim merama koje treba da
ćanje raznih vrsta dobara, pa je i radi-
osiguraju adekvatan nivo zaštite podata-
kalan predlog da prestanemo sa korišće-
ka. Takav pristup ima u vidu brzinu kojom
njem svih tih “besplatnih” servisa postao
se tehnologija razvija i relativan odnos
besmislen i neefikasan. U najvećem broju
trenutno odgovarajućih mera sa tehno-
slučajeva, privatnost u onlajn sferi može
loškim razvojem u određenom periodu.
se u dobroj meri zaštititi održavanjem
Takođe, tehničke mere svrstane su za-
“higijene” ličnih podataka i razvojem sve-
jedno sa organizacionim, budući da su u
sti o postojećim rizicima.
uzajamnoj vezi te da i na najsloženije in-
formacione sisteme, pored tehničkih as-
pekata, presudno utiče ljudski faktor.
PRIVATNOST I Proces uspostavljanja principa podra-
zumevane privatnosti (privacy by default)
BEZBEDNOST u sistemu polazi od privatnosti kao te-
meljnog uslova, dok ne sme da zanemari
upotrebljivost i funkcionalnu komponentu;
Koncepti privatnosti i bezbednosti bli- sistem koji je previše komplikovan za ko-
sko su povezani. Sistem ne može biti sma- rišćenje će biti napušten, bez obzira ko-
tran privatnim ako nije bezbedan i obr- liko su dobri tehnički standardi zaštite
nuto. Bezbednost informacionog sistema privatnosti i bezbednosti.
je kompleksna materija sačinjena od više
Sistem ne mora da čini jedan softver
komponenata i faktora koji utiču na nju, a
koji je implementirala treća strana. On
jedan od njih svakako je privatnost.
može biti sačinjen od seta različitih pro-
Nedekvatna zaštita ličnih podataka u grama i procedura koje sama organiza-
okviru informacionog sistema može do- cija definiše, što je upravo i slučaj kod
49
mnogih malih preduzeća. Na primer, or- 3. Mogućnost da se ponovo uspostave
ganizacija može koristiti Microsoft Offi- dostupnost i pristup podacima o
ce za kancelarijske poslove i Dropbox za ličnosti na blagovremen način u
onlajn čuvanje podataka. slučaju fizičkog ili tehničkog incidenta.
4. Proces redovnog testiranja, procene
i evaluacije efektnosti tehničkih i
BEZBEDNOST OBRADE organizacionih mera za očuvanje
Domaći Zakon se uzgred dotiče tehnič- bezbednosti obrade.
kih, kadrovskih i organizacionih mera za-
štite podataka o ličnosti u članovima 41 i
42, a detaljnije se bezbednošću podataka
bavi u članu 50. UGRAĐENA I
Konkretno, ZZPL koncept tehničkih
mera uvodi zajedno sa kadrovskim i or-
PODRAZUMEVANA
ganizacionim merama. Zakon propisuje
primenu odgovarajućih mera u skladu sa
PRIVATNOST
prirodom, obimom, okolnostima i svrhom
obrade, te sa verovatnoćom nastupanja i Koncepti ugrađene, odnosno privatnosti
stepenom rizika po prava i slobode fizič- po dizajnu i podrazumevane privatnosti
kih lica. Takođe, uređuje se i dokazivanje (privacy by design & privacy by default)
primene mera. predstavljaju međunarodni standard i,
Član 50 ZZPL, kao i 32 GDPR, predvi- mada se u novom Zakonu ne pominju izri-
đa nivo neophodne bezbednosti koji treba čito, smisao ovih principa je razrađen u
da se primeni prilikom obrade podataka članu 42:
o ličnosti. Prema ovoj odredbi, utvrđiva- • Minimizacija količine podataka kroz
nje odgovarajućeg nivoa i mera treba da pseudonimizaciju (stav 1, tačka 1).
bude zasnovano na dostupnoj tehnologi-
ji, prirodi, obimu i svrsi obrade, kao i na • Primena neophodnih mehanizama
proceni rizika, tj. implikacija koje bi inci- zaštite u toku obrade kako bi se
dent mogao da ima po ljudska prava. ispunili uslovi za obradu propisani
ZZPL i zaštita prava i sloboda lica čiji
Postoje mnogi faktori koji se smatra- se podaci obrađuju (stav 1, tačka 2)
ju relevantnim u procesu definisanja bez- - što je primena principa privacy by
bednosnih mera i protokola, uključuju- design.
ći veličinu organizacije, grupe podataka
koja se prikuplja i dalje obrađuje, vrstu • Obrađuju se samo oni podaci o ličnosti
zaposlenih koji dolaze u kontakt sa poda- koji su neophodni za ostvarivanje
cima, itd. Međutim, najvažniji faktor jeste svake pojedinačne svrhe obrade (stav
procena rizika koja se sprovodi od sluča- 2) - što je primena principa privacy by
ja do slučaja; ne postoji opšti rizik koji se default.
može pripisati određenoj vrsti podataka, Ovim principima treba da se vodi ruko-
pošto kontekst može široko da varira. valac prilikom određivanja načina obrade,
Četiri principa proističu iz stava 1, čla- odnosno pre nego što je obrada uopšte za-
na 50 ZZPL, odnosno člana 32 GDPR, i počela, tako da njihova primena adekvat-
koliko god se činili široko postavljenim, no prati tehnološka dostignuća, imajući
oni pokrivaju sve aspekte bezbednosti i u vidu troškove, prirodu, obim, okolnosti
pouzdanosti sistema. To su: i svrhu obrade, kao i nivo i verovatnoću
nastupanja rizika po prava i slobode fizič-
1. Pseudonimizacija i enkripcija podataka kih lica, a koji proizlaze iz obrade.
o ličnosti.
S druge strane, GDPR eksplicitno uvodi
2. Mogućnost da se kontinuirano koncepte zaštite podataka by design i by
obezbede poverljivost, integritet, default, čime nedvosmileno nameće oba-
dostupnost i otpornost sistema i veze da se privatnost podataka razmatra
usluga za obradu podataka. u početnim stadijumima dizajna projekta,
ali i tokom čitavog životnog ciklusa obra- 6. Vidljivost i transparentnost - proces
TEHNIČKE MERE ZAŠTITE PODATAKA O LIČNOSTI
49 Cavoukian, A., 2010, Privacy by Design - The 7 Foundational Principles, dostupno na: iab.org
51
Primer klasifikacije podataka
Poverljivi podaci
Gde Koja su fizička i/ili logička mesta gde se pretnja može ostvariti?
53
tifikatom, biometrijskim informacijama. Primer
Lozinke ili šifre su najčešći metod auten-
tifikacije i zato je važno da budu što kom- Podatak Pseudonimizacija Anonimizacija
pleksnije, da ne sadrže podatke o korisni-
ku ni reči prirodnog jezika.
Pera Perić OSOBA 1 XXX XXX
50 Regionalni sud u Vircburgu, 2018, Odluka 11 O 1741/18 UWG, dostupno na: gesetze-bayern.de
OBAVEŠTAVANJE mere zaštite u odnosu na podatke o
TEHNIČKE MERE ZAŠTITE PODATAKA O LIČNOSTI
55
OSTALE
OBAVEZE
OSTALE OBAVEZE
OSTALE OBAVEZE
51 Radna grupa 29, 2017, Smernice za lica za zaštitu podataka o ličnosti, str. 8-9, dostupno na: ec.europa.eu
57
zaciono, dok imenovanje zajedničkog uključe lice za zaštitu podataka o
lica za zaštitu podataka o ličnosti ne ličnosti u sve poslove koji se odnose na
umanjuje zakonske obaveze rukova- zaštitu podataka o ličnosti;
laca, odnosno obrađivača.52
• rukovalac i obrađivač dužni da
ZZPL takođe propisuje uslove na osnovu omoguće licu za zaštitu podataka o
kojih se određuje lice za zaštitu podata- ličnosti izvršavanje zakonskih obaveza
ka o ličnosti, a to su stručne kvalifikacije, na taj način što mu obezbeđuju
stručno znanje i iskustvo u oblasti zašti- neophodna sredstva za izvršavanje
te podataka o ličnosti, kao i sposobnost ovih obaveza, pristup podacima o
za izvršavanje zakonskih obaveza. Među- ličnosti i radnjama obrade, kao i
tim, Zakon propušta da bliže definiše koje njegovo stručno usavršavanje;
su to kvalifikacije, stručna znanja i isku- • rukovalac i obrađivač dužni da
stva, odnosno da odredi način na koji se obezbede nezavisnost lica za zaštitu
ovi kriterijumi utvrđuju. podataka o ličnosti u izvršavanju
njegovih obaveza.
52 EDPS, 2018, Mišljenje o ulozi lica za zaštitu podataka o ličnosti u institucijama i telima EU, str. 5, dostup-
no na: edps.europa.eu
53 Radna grupa 29, 2017, Smernice za lica za zaštitu podataka o ličnosti, str. 11, dostupno na: ec.europa.eu
54 Ibid., str. 13-14
OBAVEZE LICA ZA ZAŠTITU • obrada nije povremena;
OSTALE OBAVEZE
59
PROCENA UTICAJA de, svrhu obrade, opis legitimnog interesa
rukovaoca ako postoji, procenu rizika za
NA ZAŠTITU prava i slobode lica na koje se podaci od-
nose i slično.
PODATAKA
Smernice
Poučen evropskom regulativom, ZZPL u Radna grupa 29 navodi više kriteri-
nacionalno zakonodavstvo uvodi obavezu juma koji se moraju uzeti u obzir pri-
procene uticaja na zaštitu podataka o lič- likom odlučivanja da li je neophodno
nosti. To je proces koji za cilj ima da po- izvršiti procenu uticaja:
mogne rukovaocima da lakše identifikuju i
umanje rizike koje obrada podataka o lič- 1. Evaluacija ili bodovanje, uključujući
nosti nosi sa sobom, a u pogledu prava i profilisanje i predviđanje, posebno
sloboda lica na koje se ti podaci odnose. iz ugla koji se tiče učinka lica na
koje se podaci odnose na poslu,
Pošto uvede obavezu procene uticaja na ekonomsku situaciju, zdravlje, lične
zaštitu podataka o ličnosti, Zakon nalaže preferencije ili interesovanja,
rukovaocu da pre započinjanja obrade iz- ponašanja, lokacije ili kretanja
vrši procenu uticaja radnji obrade na za- (npr. provera lica u kreditnom
štitu podataka o ličnosti, ukoliko je vero- birou, institucijama koje se bave
vatno da će neka vrsta obrade, posebno sprečavanjem pranja novca).
upotrebom novih tehnologija i uzimaju-
ći u obzir prirodu, obim, okolnosti i svr- 2. Automatizovano donošenje odluke
hu obrade, prouzrokovati visok rizik za sa pravnim ili sličnim značajnim
prava i slobode fizičkih lica. Zakon takođe uticajem na fizička lica (npr. obrada
predviđa mogućnost zajedničke procene može dovesti do diskriminacije
uticaja, ali samo ukoliko više sličnih rad- pojedinaca).
nji obradi može prouzrokovati slične vi-
3. Sistematsko nadgledanje, obrada
soke rizike za zaštitu podataka o ličnosti,
koja se koristi za posmatranje,
te propisuje obavezu konsultovanja lica za
nadgledanje ili kontrolu lica. Ovaj
zaštitu podataka o ličnosti prilikom pro-
kriterijum se mora uzeti u obzir jer
cene, ukoliko je takvo lice određeno.
lični podaci lica mogu biti prikupljeni
Zakonom su takođe definisane prilike bez njihovog znanja, a posebno kada
kada je neophodno izvršiti procenu utica- lica na koja se podaci odnose ne
ja, a to su: mogu da izbegnu da budu predmet
takve obrade.
• sistematske i sveobuhvatne procene
stanja i osobina fizičkog lica koja se 4. Obrada u velikom obimu mora uzeti
vrši pomoću automatizovane obrade u obzir sledeće kriterijume: broj lica
podataka o ličnosti, uključujući i na koje se obrada odnosi, obim i/
profilisanje, na osnovu koje se donose ili opseg različitih podataka koji se
odluke od značaja za pravni položaj obrađuju.
pojedinca ili na sličan način značajno
5. Usklađivanje ili kombinovanje
utiču na njega;
skupova podataka koji potiču od dva
• obrade posebnih vrsta podataka o ili više procesa obrade podataka
ličnosti ili podataka o ličnosti u vezi koje se obavljaju u različite svrhe i/
sa krivičnim presudama i kažnjivim ili od strane različitih rukovalaca
delima, u velikom obimu; i to na način koji bi premašio
razumna očekivanja lica na koja se
• sistematskog nadzora nad javno podaci odnose.
dostupnim površinama u velikoj meri.
6. Obrada podataka ranjivih lica kod
Dodatno, Zakon navodi i da procena uti- kojih postoji značajan disbalans moći
caja, između ostalog, mora da sadrži sve- između njih i rukovaoca podataka,
obuhvatan opis predviđenih radnji obra- odnosno lica čiji su podaci predmet
obrade neće moći lako da prihvate
OSTALE OBAVEZE
Dileme
Da li je neophodno izvršiti ponov-
nu procenu uticaja kada novi Zakon
stupi na snagu?
55 Radna grupa 29, 2017, Smernice za procenu uticaja na zaštitu podataka, str. 9-11, dostupno na: ec.eu-
ropa.eu
56 Ibid., str. 13
61
PRENOS
PODATAKA
PRENOS PODATAKA
PRENOS PODATAKA
57 Prema navodima Evropske komisije, trenutno su u toku pregovori sa Južnom Korejom, videti na: ec.europa.eu
63
kvatan nivo zaštite za podatke koje uvezu. Takođe, ukoliko nijedan od ovih mehani-
Stoga je odgovor na pitanje koje su kom- zama nije primenjiv u konkretnoj situaci-
panije prošle ovu proveru i smatraju se ji, rukovaoci i obrađivači mogu obezbedi-
adekvatnim prema uslovima “štita pri- ti odgovarajuće mere zaštite i na osnovu
vatnosti” donekle dinamičan, te se pre- posebnog odobrenja Poverenika za kon-
poručuje da se pre prenosa podataka na kretan slučaj, i to: (1) ugovornim odred-
odgovarajućem vebsajtu proveri status bama koje je odobrio Poverenik; ili (2)
potencijalnog uvoznika.58 odredbama koje se unose u sporazum iz-
među organa vlasti, a kojima se obezbe-
ZZPL predviđa pravilo da se lista te-
đuje delotvorna i sprovodiva zaštita pra-
ritorija za koje se smatra da obezbeđu-
va lica na koje se podaci odnose.
ju primereni nivo zaštite, odnosno za koje
je Vlada Srbije utvrdila da ne obezbeđuju
primereni nivo zaštite, objavljuje u Služ-
benom glasniku.
Dakle, ako podatke izvoze na teritorije
PRENOS PODATAKA
sa primerenim nivoom zaštite, rukovaoci i U POSEBNIM
obrađivači ne moraju da preduzimaju nika-
kve dodatne korake - smatra se da je pri- SITUACIJAMA
meren nivo zaštite već ustanovljen u odno-
su na celu teritoriju gde se uvoze podaci.
Zakon izričito popisuje specifične situa-
cije u kojima je prenos dozvoljen ako nije
moguće primeniti nijedan od mehaniza-
PRENOS UZ PRIMENU ma za primenu odgovarajućih mera za-
štite. To su prilike u kojima je: (1) lice na
ODGOVARAJUĆIH koje se podaci odnose izričito pristalo na
izvoz, nakon što je informisano o mogućim
MERA ZAŠTITE rizicima vezanim za izvoz podataka zbog
nepostojanja primerenog nivoa zaštite,
odnosno odgovarajućih mera zaštite; (2)
U ovom slučaju, sami rukovaoci ili obra- prenos neophodan za izvršenje ugovo-
đivači obezbeđuju da su primalac, odno- ra između lica na koje se podaci odnose i
sno uvoznik podataka primenili odgovara- rukovaoca, ili za primenu predugovornih
juće mere zaštite. mera preduzetih na zahtev lica na koje se
podaci odnose; (3) izvoz neophodan za za-
Rukovalac ili obrađivač obezbeđuju ključenje ili izvršenje ugovora zaključe-
ostvarivost prava i pravnu zaštitu licu na nog u interesu lica na koje se podaci od-
koje se odnose podaci, bez posebnog odo- nose; (4) izvoz neophodan za podnošenje,
brenja Poverenika, na jedan od sledećih ostvarivanje ili odbranu pravnog zahteva.
načina koje predviđa ZZPL:
• pravno obavezujućim aktom sačinjenim
između organa vlasti; Praksa
• standardnim ugovornim klauzulama Odgovornost za neovlašćeni izvoz
koje izrađuje Poverenik (a koje se ne može biti višestruka, a može se utvr-
smeju menjati da bi mogle da služe kao đivati u prekršajnom, parničnom i
pravni osnov za prenos); krivičnom postupku. Prema raspolo-
• obavezujućim poslovnim pravilima; živoj sudskoj praksi, izvoz podataka
van Srbije bez odgovarajućeg prav-
• odobrenim kodeksom postupanja; nog osnova sudovi su kvalifikovali
• izdatim sertifikatima koje reguliše kao radnju neovlašćenog prikuplja-
ZZPL. nja ličnih podataka, iz člana 146 Kri-
vičnog zakonika.
65
NOVI
INSTITUTI
NOVI INSTITUTI
NOVI INSTITUTI
67
konom koji uređuje akreditaciju”. Pritom, Međutim, posedovanje sertifikata olakša-
kontrola takvog akreditovanog lica ne uti- va rukovaocu da demonstrira usklađenost
če na mogućnost kontrole i inspekcijskih sa Zakonom i, na kraju krajeva, može da
ovlašćenja koje ima Poverenik u vezi sa dovede do konkurentske prednosti na tr-
kodeksom postupanja (podsticanje izrade žištu jer povoljno utiče na reputaciju ru-
kodeksa i davanje mišljenja i saglasnosti kovaoca kao tržišnog učesnika.
na kodeks).
Slično kao i sa kodeksom postupanja, Po-
Zakon predviđa koje uslove pravno lice verenik ima nadležnost da podstiče izda-
mora da ispunjava da bi bilo akreditova- vanje sertifikata za zaštitu podataka o lič-
no, ali ostaje nejasno ko su pravna lica nosti, budući da se radi o procesu koji je
koja će se baviti kontrolom primene ko- dobrovoljan. Poverenik propisuje kriteriju-
deksa ukoliko mogućnost izrade kodeksa me za sertifikaciju, proverava ispunjenost
zaživi u praksi (budući da je izrada kodek- uslova za sertifikaciju i sprovodi periodič-
sa samo mogućnost, a ne i obaveza). Je- no preispitivanje izdatih sertifikata. Kri-
dan od uslova da pravno lice bude akre- terijumi Poverenika za sertifikaciju, dakle,
ditovano jeste i da “dokaže Povereniku tek treba da budu razvijeni u praksi.
svoju nezavisnost i stručnost u odnosu na
sadržinu kodeksa”, a pritom se ne odre-
đuje bliže na koji način se takva nezavi- Smernice
snost i stručnost dokazuju.
Prema Smernicama 1/2018 o ser-
U slučaju da rukovalac ili obrađivač po- tifikaciji i sertifikacionim kriteri-
vrede kodeks postupanja, akreditovano jumima EDPB-a od 23.01.2019. go-
pravno lice može, između ostalih mera, dine, kriterijumi moraju biti takvi da
privremeno ili trajno isključiti rukovaoca odražavaju zahteve i principe zašti-
odnosno obrađivača iz primene kodeksa, a te lica u odnosu na obradu njihovih
dužno je da o preduzetim merama obave- ličnih podataka, kao i da doprine-
sti Poverenika. Mere koje je akreditovano su konzistentnoj primeni GDPR-a.59
pravno lice preduzelo ne utiču na ovlašće- Prilikom izrade kriterijuma sertifi-
nja Poverenika, niti na pravo lica na koje kacije, na snazi su neki opšti princi-
se podaci odnose da podnese pritužbu Po- pi: kriterijumi treba da budu unifor-
vereniku ili zatraži sudsku zaštitu. mni i podložni verifikaciji i kontroli,
treba da uzmu u obzir okolnosti slu-
čaja i na koga se oni odnose (da li se,
na primer, odnose na dve kompanije
SERTIFIKACIJA koje sarađuju ili na kompaniju i nje-
nog klijenta), treba da budu fleksi-
bilni tako da se mogu primeniti na
ZZPL uvodi mogućnost ustanovljavanja različite tipove organizacija uklju-
postupka za izdavanje sertifikata o zašti- čujući mikro, mala i srednja predu-
ti podataka o ličnosti, u cilju dokazivanja zeća, itd.
da rukovalac i obrađivač poštuju odred-
be Zakona, posebno uzimajući u obzir po-
trebe malih i srednjih kompanija. Smisao Sertifikate izdaje ili Poverenik, ili tzv.
izdavanja sertifikata je, dakle, lakše do- sertifikaciono telo, na osnovu kriteriju-
kazivanje da je rukovalac, odnosno obra- ma koje propisuje Poverenik. Kako takvi
đivač, implementirao ZZPL u svoje po- kriterijumi još uvek nisu usvojeni, osta-
slovanje i da ga se pridržava, ali samo je da se vidi koje sve uslove jedan ruko-
izdavanje sertifikata ne utiče na prava i valac, odnosno obrađivač mora da ispu-
obaveze koje rukovaoci i obrađivači ima- ni da bi mu se sertifikat izdao, kao i koja
ju u skladu sa Zakonom, niti utiče na in- je njegova motivacija da se upusti u po-
spekcijska i druga ovlašćenja Poverenika. stupak sertifikacije. Naime, sertifikacija
vaču, da u postupku kontrole lakše dokaže nose se na prenos podataka unutar multi-
usklađenost sa Zakonom i pozitivno utica- nacionalnih kompanija. Ovo praktično zna-
ti na njegovu reputaciju. S druge strane, či da više kompanija koje pripadaju jednoj
posedovanje sertifikata ne utiče na pro- grupi i imaju jednog krajnjeg vlasnika u
pisana prava i obaveze rukovalaca u vezi više različitih država (korporativne grupe)
sa obradom podataka o ličnosti. Drugim mogu da ustanove svoja interna pravila o
rečima, posedovanje sertifikata ne znači zaštiti podataka o ličnosti u cilju regulisa-
automatsku usklađenost sa Zakonom, ali nja transfera podataka rukovaocu ili obra-
može da se iskoristi za dokazivanje uskla- đivaču van teritorije Srbije, ali unutar iste
đenosti. Jednom izdati sertifikat može korporativne grupe i na taj način regulišu
isteći ili biti oduzet, tako da entitet koji transfer podataka o ličnosti bez primene
je pribavio sertifikat i dalje mora da vodi komplikovanih pravila za transfer podata-
računa da, prilikom obrade podataka, po- ka koje propisuje ZZPL.
stupa u skladu sa ZZPL-om.
Sertifikat se izdaje na period od najviše Obavezujuća poslovna pravila odobrava
tri godine, a može se i obnoviti pod uslo- Poverenik, ukoliko takva pravila ispunja-
vom da imalac sertifikata i dalje ispunja- vaju sledeće uslove:
va kriterijume za njegovo izdavanje. Po-
verenik ili sertifikaciono telo mogu ukinuti • pravno su obavezujuća, primenjuje ih
sertifikat ukoliko se utvrdi da imalac ser- i sprovodi svaki član multinacionalne
tifikata više ne ispunjava potrebne krite- kompanije ili grupe privrednih
rijume. Poverenik vodi i objavljuje spisak subjekata, uključujući i njihove
sertifikacionih tela i izdatih sertifikata na zaposlene;
svojoj internet stranici. • izričito obezbeđuju ostvarivanje prava
Slično kao i kod akreditovanog pravnog lica na koje se podaci odnose u vezi sa
lica za kodeks postupanja, ZZPL predviđa obradom njihovih podataka;
postojanje sertifikacionog tela koje, po- • definišu strukturu, kontakt podatke
red Poverenika, ima pravo da izdaje ser- multinacionalne kompanije ili grupe
tifikate. Poverenik propisuje i objavljuje privrednih subjekata; prenos podataka
kriterijume za akreditaciju sertifikacio- o ličnosti, vrste podataka o ličnosti,
nog tela, ali ostaje da se vidi na koji način radnje obrade, svrhu, lica na koja se
će ova tela funkcionisati u praksi, te da podaci odnose i naziv države u koju
li će se rukovaoci i obrađivači odlučivati se prenose; propisuju obaveznost
da izdavanje sertifikata zatraže od serti- sopstvene primene; određuju primenu
fikacionih tela ili od Poverenika. opštih načela zaštite podataka o
ličnosti i prava lica na koje se podaci
odnose, kao i načine ostvarivanja
takvih prava; definišu prihvatanje
OBAVEZUJUĆA odgovornosti rukovaoca, odnosno
POSLOVNA PRAVILA obrađivača na teritoriji Republike
Srbije za povredu pravila koju je
učinio drugi član korporativne grupe
sa sedištem, prebivalištem, odnosno
Interna pravila o zaštiti podataka o lič- boravištem van Srbije, osim ukoliko
nosti Zakon smatra obavezujućim poslov- rukovalac ili obrađivač dokaže da taj
nim pravilima. Njih usvaja i primenjuje drugi član grupe nije odgvoran za
rukovalac, odnosno obrađivač sa prebi- događaj koji je prouzrokovao štetu;
valištem ili boravištem, odnosno sedištem ovlašćenja lica za zaštitu podataka
na teritoriji Republike Srbije, u svrhu re- o ličnosti; postupak po pritužbama;
gulisanja prenošenja podataka o ličnosti način saradnje sa Poverenikom, itd.
rukovaocu ili obrađivaču u jednoj ili više
država unutar multinacionalne kompanije
ili grupe privrednih subjekata.
69
Ukoliko obavezujuća poslovna pravila is-
punjavaju zakonske uslove, Poverenik ih
odobrava u roku od 60 dana od dana pod-
nošenja zahteva za njihovo odobrenje.
Međutim, budući da se po prirodi stvari
ovde radi o multinacionalnoj grupi kom-
panija, ostaje da se vidi na koji način će
obavezujuća poslovna pravila koje je odo-
brio srpski Poverenik primeniti (a možda
i dalje verifikovati) organi nadležni za za-
štitu podataka o ličnosti u zemljama u ko-
jima druge povezane kompanije iste kor-
porativne grupe imaju sedište. Takođe se
postavlja pitanje šta se dešava u situaci-
ji da srpska kompanija, koja je deo multi-
nacionalne korporativne grupe, nije usvo-
jila obavezujuća poslovna pravila, već je
to učinjeno u državi neke druge kompa-
nije-članice korporativne grupe. Po slo-
vu Zakona, Poverenik bi morao da odobri
i takva obavezujuća poslovna pravila, iako
je njih možda već odobrio nadležni organ
druge države.
NOVI INSTITUTI
71
PRAVA LICA
NA KOJE
SE PODACI
ODNOSE
PRAVA LICA NA KOJE SE
PRAVA LICA NA KOJE SE PODACI ODNOSE
PODACI ODNOSE
Po uzoru na GDPR, Zakon određuje či- pravila i procedure po kojima postupaju
tav niz prava koja imaju lica čiji se podaci njihovi zaposleni kada pristigne zahtev za
obrađuju, pri čemu je obaveza rukovaoca ostvarivanje nekog od prava.
da obezbedi njihovu primenu. Ukoliko ru-
Rukovalac je dužan da licu na koje se
kovalac ne postupa u skladu sa ovim pra-
podaci odnose pruži sve propisane in-
vima, ili ne ogovara na zakonit način na
formacije na sažet, transparentan, ra-
zahteve za njihovo ostvarivanje, tim lici-
zumljiv i lako dostupan način, korišće-
ma je na raspolaganju niz pravnih sred-
njem jasnih i jednostavnih reči, a posebno
stava i lekova. U prvom redu, to su pra-
ako se radi o informaciji koja je namenje-
vo na žalbu Povereniku i pravo na tužbu
na detetu. Oblik i način u kom će infor-
sudu.
macije biti pružene zavise od konkretnih
Ostvarivanje prava u praksi može da okolnosti. ZZPL u tom smislu nije isklju-
dovede do promene čitavih biznis modela čiv, već pominje pisani i elektronski oblik,
pojedinih rukovalaca, posebno onih koji su ali i mogućnost da se informacije pruže
poslovanje razvili u složenoj industriji po- usmeno (pod uslovom da je identitet lica
dataka. U cilju ostvarivanja prava, fizička nesumnjivo utvrđen). Međutim, pravilo je
lica koja koriste pravna sredstva koja su da se informacija mora pružiti elektron-
im na raspolaganju direktno učestvuju u skim putem (ako je to moguće) onda kada
formiranju određenih pravnih standarda. je lice na taj način i podnelo zahtev, osim
Na primer, od osećanja i stavova fizičkih ako podnosilac traži da se informacija
lica u vezi sa njihovim interesima i slobo- pruži na drugi način.
dama, direktno može zavisiti mogućnost
Što se tiče rokova, rukovalac je dužan
rukovaoca da se u obradi podataka osloni
da podnosiocu pruži informacije o postu-
na svoj legitimni interes.
panju na osnovu njegovog zahteva najka-
Što se tiče obrađivača, oni su u obave- snije u roku od 30 dana od dana prijema
zi da asistiraju rukovaocu u ostvarivanju zahteva. Taj rok može biti produžen za još
prava putem implementacije odgovaraju- 60 dana ako je to neophodno. U slučaju da
ćih tehničkih i organizacionih mera, re- rukovalac ne postupi po zahtevu, dužan je
sursa i sredstava, u meri u kojoj su te ak- da o razlozima za nepostupanje obavesti
tivnosti u njihovoj kontroli. podnosioca najkasnije u roku od 30 dana
od dana prijema zahteva, kao i o pravu na
podnošenje pritužbe Povereniku, odnosno
tužbe sudu.
OSTVARIVANJE U principu, rukovalac pruža informacije
PRAVA I bez naknade. Ukoliko su zahtevi nekog lica
šikanozni i očigledno neosnovani, pogoto-
TRANSPARENTNOST vo ako se ponavljaju, rukovalac ima pra-
vo da ih odbije ili da naplati obradu (teret
dokaza je na rukovaocu).
Postupak i rokovi ostvarivanja svih pra-
va regulisani su odredbama Zakona i oni
su u principu isti bez obzira na vrstu za-
hteva za ostvarivanje prava. Kako bi ovaj
postupak išao glatko i bio završen u pred-
viđenim rokovima, preporuka za rukova-
oce je da unapred imaju spremna interna
73
PRAVO NA informacije o relevantnoj obradi tre-
ba da s jedne strane budu potpune
INFORMISANJE (dakle da se ništa od važnih informa-
cija ne sakrije) ali i da, s druge stra-
ne, te informacije budu date na jasan
i sažet način (umesto dosadašnje
Pravo na informisanje je svojevrsni de-
prakse pisanja dugih i nerazumljivih
rivat načela transparentnosti. ZZPL ja-
politika privatnosti). Predlog razre-
sno reguliše koje sve informacije licu
šenja ove tenzije jeste “slojevit pri-
moraju biti date pre nego što uopšte za-
stup”. On podrazumeva da se u pr-
počne obrada, bez obzira na to da li je
vom sloju daju zbirne informacije o
lice zahtevalo te informacije. Spisak oba-
glavnim pitanjima obrade kao što su
veznih informacija nalazi se u članovima
svrha obrade, identitet rukovaoca i
22 i 23 Zakona. Ukoliko se podaci o lič-
prava nosilaca podataka, a da se u
nosti prikupljaju direktno od lica na koje
drugom sloju nosiocu podataka omo-
se odnose, ovaj spisak obuhvata identitet i
gući da detaljnije pročita o pojedi-
kontakt podatke rukovaoca, svrhu obrade
nom segmentu obrade koji ga poseb-
i pravni osnov za obradu, primaoce poda-
no zanima. Tehničko rešenje ovakvog
taka, izvoz podataka, rok čuvanja ili krite-
pristupa opet treba da bude jasno i
rijume za njegovo određivanje, postojanje
intuitivno za korisnike (user friendly)
svih prava lica na koje se podaci odnose i
a ne napravljeno da bi korisnike do-
prava da se podnese pritužba Povereni-
vodilo u zabludu i otežavalo im dola-
ku, postojanje automatizovanog donoše-
zak do željene informacije.
nja odluke, itd. Ako se prikupljaju od tre-
ćeg lica, spisku su dodate informacije o
licu od kog su dobijeni podaci, o vrsti po-
dataka koji se obrađuju, itd.
U praksi, rukovaoci usvajaju politike pri-
PRAVO NA PRISTUP
vatnosti u kojima su u velikoj meri sadr-
žane informacije koje zahteva ZZPL, što Pravo na pristup podacima (ili pravo na
svakako doprinosi ostvarivanju prava na uvid u podatke) najpre podrazumeva da
informisanost.60 Međutim, ukoliko je broj lice ima pravo da od rukovaoca traži po-
obrada ličnih podataka kod rukovaoca ve- tvrdu o tome da li rukovalac uopšte obra-
liki, teško je zamislivo da politike privat- đuje njegove podatke. Ako je odgovor po-
nosti mogu obuhvatiti sve što je potreb- zitivan, lice ima pravo da dobije pristup
no. Stoga rukovaoci moraju voditi računa tim podacima, kao i pravo da dobije odre-
da u odgovarajućim okolnostima dostave đene informacije u vezi sa njihovom obra-
licima minimum zahtevanih informacija na dom koje se, u velikoj meri, poklapaju sa
drugi primeren način (elektronski ili u pa- informacijama koje rukovalac i bez poseb-
pirnom obliku). nog zahteva mora da obelodani pre zapo-
činjanja obrade u okviru poštovanja pra-
va na informisanost.
Smernice Takođe, komponenta ovog prava je i pra-
Radna grupa 29 izdala je smernice vo na kopiju. Rukovalac je dužan da licu
u kojima su date detaljne preporu- na njegov zahtev dostavi kopiju podata-
ke rukovaocima oko pitanja o kojima ka koje obrađuje. U tom slučaju, rukovalac
treba da vode računa kada postu- može da zahteva naknadu nužnih troško-
paju u cilju ispunjenja prava na in- va za izradu dodatnih kopija, ako ti troš-
formisanje.61 Jedno od kompleksnih kovi postoje. Rukovalac takođe treba da
tema u tom smislu je svakako određi- se postara da ostvarivanjem prava na do-
vanje prave mere između zahteva da stavljanje kopije ne budu ugrožena pra-
60 SHARE Fondacija je pripremila besplatan alat koji rukovaocima može pomoći da izrade svoju politiku pri-
vatnosti u skladu sa novim pravilima zaštite podataka o ličnosti, dostupan na: gdpr.mojipodaci.rs
61 Radna grupa 29, 2018, Smernice za transparentnost prema Uredbi 2016/679, dostupno na: ec.europa.eu
va i slobode drugih lica (na primer, prava Ako je rukovalac javno objavio podatke o
PRAVA LICA NA KOJE SE PODACI ODNOSE
62 SHARE Fondacija je 2016. godine sprovela istraživanje na temu obrade geolokacijskih podataka od
strane operatora elektronskih komunikacija, sa predlogom kako korisnici ovih usluga mogu da od operato-
ra dobiju kopiju ove vrste svojih podataka. Istraživanje je dostupno na: resursi.sharefoundation.info
75
finisanim situacijama: uz pristanak, za
ostvarivanje pravnih zahteva, za zaštitu PRAVO NA PRIGOVOR
prava drugog fizičkog ili pravnog lica.
Pravo na prigovor zapravo testira le-
gitimni interes ili javni interes kao prav-
PRAVO NA ni osnov za obradu, i ono nosicu podataka
pruža mogućnost da takav osnov za obra-
PRENOSIVOST du ospori. Kada primi ovakav zahtev, ru-
kovalac je dužan da prekine sa obradom
PODATAKA podataka, osim ako može da pokaže da
postoje zakonski razlozi za obradu koji
pretežu nad interesima, pravima ili slo-
Pravo na prenosivost je novo pravo u bodama lica ili su u vezi sa podnošenjem,
evropskom zakonodavstvu, sa ciljem da ostvarivanjem ili odbranom pravnog zah-
ojača kontrolu koju građani imaju nad teva. Da bi ovo pravo bilo efikasno, ZZPL
svojim ličnim podacima, dok ga u naš zahteva od rukovaoca da najkasnije prili-
pravni sistem uvodi ZZPL. Na izvestan kom uspostavljanja prve komunikacije sa
način, to je proširenje prava pristupa, jer nosiocem podataka upozori to lice na po-
nalaže rukovaocu da na zahtev lica obez- stojanje ovog prava, na način koji je izri-
bedi lične podatke u strukturiranom, uo- čit, jasan i odvojen od svih drugih infor-
bičajenom i mašinski čitljivom formatu, a macija koje mu pruža.
lice ima pravo da ih prenese drugom ru-
U slučaju prigovora direktnom marke-
kovaocu, bez ometanja. Rukovalac mora
tingu, što uključuje profilisanje, rukovalac
da udovolji ovom pravu samo ako su za-
mora obustaviti obradu u tu svrhu čim primi
jedno ispunjeni sledeći uslovi: (1) obrada
prigovor. Dakle, rukovaoci koji šalju promo-
je zasnovana na pristanku ili na osnovu
tivne poruke mejlom ili SMS-om ili na dru-
ugovora, i (2) obrada se vrši automatizo-
gi način kontaktiraju lica u cilju sprovođenja
vano. Od rukovaoca se takođe može zah-
marketinških akcija, moraju da obezbede
tevati da prenese podatke direktno dru-
mehanizam potpunog prekida takve prakse
gom rukovaocu, kada je takav postupak
čim neko lice uputi takav zahtev.
tehnički izvodljiv.
Ovo pravo posebno dobija na značaju
u onlajn okruženju pružanja usluga, gde
jedna osoba ima niz različitih naloga ili
profila, od društvenih mreža, preko ser-
AUTOMATIZOVANO
visa za strimovanje sadržaja do aplikacija DONOŠENJE ODLUKA
koje obrađuju osetljive podatke kao što su
zdravstveni podaci (razne trening i fitnes
aplikacije). U svim ovim slučajevima, ko- Pošto se obrada ličnih podataka sve
risteći pravo na prenosivost, lice bi ima-više vrši u digitalnom okruženju, nova
lo pravo da zahteva da se njegovi poda- evropska i domaća regulativa prepozna-
ci prebace, na primer, na novu društvenu je odgovornost i u situacijama kada ličnim
mrežu ili na konkurentsku platformu. podacima “rukuju” mašine, kao i komple-
Kao i kod prava na kopiju podataka, mentarna prava fizičkih lica. Automatizo-
ZZPL reguliše da ostvarivanje ovog pra- vano donošenje odluka odnosi se na situ-
va ne može štetno uticati na ostvarivanje acije kada je odluka u potpunosti doneta
prava i sloboda drugih lica. bez ljudskog učešća. Automatski priku-
pljeni i obrađeni podaci koji se tiču neke
konkretne osobe, njenih navika, sklonosti
i ponašanja na internetu (“profilisanje”) i
dalje su podaci o ličnosti. Često su ti po-
daci i posebno osetljivi, pa zbog toga uži-
vaju dodatnu zaštitu. Prava koja se tra-
dicionalno vezuju za podatke o ličnosti
moraju biti na snazi i kada je reč o au-
OGRANIČENJE
PRAVA LICA NA KOJE SE PODACI ODNOSE
63 Radna grupa 29, 2018, Smernice za automatizovano donošenje odluka o pojedincima i profilisanje za
potrebe Uredbe 2016/679, dostupno na: ec.europa.eu
77
“None Of Your Business” (NOYB) i čiti pravo na pristup informacijama
“La Quadrature du Net” (LQDN), pri o tome ko su bili primaoci podata-
čemu je LQDN zastupao 10.000 lju- ka i koji su im sve podaci bili dati na
di. Nakon sprovedene istrage, utvr- raspolaganje, samo na period do go-
đeno je da je Gugl povredio više pra- dinu dana pre datuma kada je nosi-
va svojih korisnika, pre svega pravo lac podataka podneo zahtev za pri-
na informisanost. Ocenjeno je da in- stup. Sud je stao na stanovište da
formacije nisu bile lako dostupne na ograničavanje prava na pristup na
Guglovom sajtu jer su bile raštrka- ovaj način nije opravdano ukoliko
ne na više mesta, nekoherentno i ne- se svi ostali podaci o tom licu ču-
transparentno predstavljene, dok vaju u znatno dužem periodu. Sud
određene informacije nisu bile ja- je takođe naglasio da pravo na pri-
sne ili su bile nepotpune. Zbog sve- stup ima, između ostalog, svrhu da
ga ovoga, pristanak koji je trebalo omogući nosiocu podataka ostva-
da bude pravni osnov za obradu nije rivanje svih drugih prava, te da se
bio zakonit, jer je jedan od osnov- nacionalnim propisima pravo na pri-
nih uslova zakonitog pristanka da on stup može ograničiti samo izuzet-
bude u dovoljnoj meri informisan (tj. no, ukoliko konkretne okolnosti to
da licu na osnovu raspoloživih infor- opravdavaju.65
macija bude jasno na šta pristaje).64
Pravo na brisanje i pravo na prigo-
Pravo na zaborav ugrađeno je u vor razmatrao je Sud pravde u slu-
pravni okvir EU presudom Suda čaju Manni. Italijanski građanin je
pravde EU u slučaju Google Spain zahtevao od nacionalnog privred-
v AEPD and M. C. González iz 2014. nog registra (koji je bio uspostavljen
godine. Državljanin Španije Mario u skladu sa EU regulativom) da iz-
Kosteha Gonzalez je od kompanije briše podatke, u tom trenutku stare
Gugl tražio da se iz rezultata pre- oko 10 godina, o tome da je bio upra-
trage uklone informacije o njegovim vnik kompanije koja je bankrotirala.
dugovima koje su bile objavljene na CJEU je ovde ličnom pravu na bri-
sajtu lokalnih novina 1990-ih godina. sanje podataka suprotstavio pravo
Iako je dugove davno vratio, kada se javnosti da zna, koje je i bilo zaštiće-
guglalo njegovo ime ponovo je u re- no uspostavljanjem privrednog re-
zultatima izlazio isti članak iz lokalnih gistra u koji su uvid imala sva treća
novina, koji više nije bio relevantan. zainteresovana lica. U konačnom
Sud je presudio u Gonzalesovu ko- zaključku, Sud je dao prednost pra-
rist, čime je praktično uspostavlje- vu javnosti da zna, ali je ostavio mo-
no pravo građana EU da od servisa gućnost da se nacionalnim propisima
za pretraživanje (Gugl, Jahu, Bing, predvide pravila da se nakon isteka
itd) traže da se iz rezultata pretrage određenog vremenskog perioda pra-
brišu veze ka podacima koji su “nea- vo javnosti da zna ograniči, odnos-
dekvatni, nerelevantni ili prekomerni no da se udovolji pravu na prigovor
u odnosu na svrhu obrade”. Ipak, va- na određene vrste obrade podataka.
lja napomenuti to da, pošto naša ze- Pritom, tvrdnje italijanskog građa-
mlja još uvek nije članica EU, na naše nina da njegov trenutni posao trpi
građane se ova presuda ne prime- zbog toga što svi njegovi potencijalni
njuje, odnosno Gugl nema obavezu da klijenti imaju uvid u sporni podatak,
postupa po zahtevima za “pravo na Sud nije cenio kao okolnost koja je od
zaborav” ako zahtev dolazi iz Srbije. značaja za pravo na brisanje i pra-
vo na prigovor. Drugim rečima, pra-
U slučaju Rijkeboer CJEU je razma-
va i interesi lica koje zahteva brisa-
trao pitanje da li se nacionalnim pro-
nje moraju biti takve prirode da štite
pisima država članica može ograni-
64 Sažetak odluke se može naći na sajtu francuskog nadležnog organa (CNIL): cnil.fr
65 Sud pravde EU, 2009, Slučaj C-553/07, College van burgemeester en wethouders van Rotterdam v M. E.
E. Rijkeboer, dostupno na: curia.europa.eu
neke značajnije vrednosti koje pre-
PRAVA LICA NA KOJE SE PODACI ODNOSE
Dileme
Pre GDPR ere, zahtevi za ostvariva-
nje prava su bili retki, između osta-
log i zato što su građani imali utisak
da su nemoćni pred velikim i boga-
tim kompanijama, na šta su i same
kompanije često računale. Među-
tim, značajnu promenu unosi pravi-
lo koje preuzima i naš ZZPL da fi-
zička lica ne moraju u postupcima
za ostvarivanje svojih prava da uče-
stvuju sami. Naime, prema članu 85
Zakona, lice na koje se podaci odno-
se ima pravo da ovlasti predstavni-
ka ovlašćenih organizacija da ga za-
stupa u postupcima pred sudovima i
Poverenikom. Uvođenje ovog prava
je dovelo do značajnog osnaživanja
građana. U Evropi već postoje orga-
nizacije koje na strateški način pri-
stupaju ostvarivanju prava građana,
koje po pravilu počinje dostavljanjem
odgovarajućeg zahteva rukovaocu.
66 Sud pravde EU, 2017, Slučaj C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di
Lecce v Salvatore Manni, dostupno na: eur-lex.europa.eu
79
POVERENIK ZA
INFORMACIJE
OD JAVNOG
ZNAČAJA I
ZAŠTITU
PODATAKA
O LIČNOSTI
POVERENIK ZA
POVERENIK ZA INFORMACIJE OD JAVNOG ZNAČAJA I ZAŠTITU PODATAKA O LIČNOSTI
INFORMACIJE OD JAVNOG
ZNAČAJA I ZAŠTITU
PODATAKA O LIČNOSTI
ISTORIJAT no za Poverenka najviše dva puta. Pove-
renik mora biti lice koje je završilo pravni
INSTITUCIJE fakultet, ima najmanje deset godina rad-
nog iskustva i uživa priznati ugled i struč-
POVERENIKA I nost u oblasti zaštite i unapređenja ljud-
skih prava.
NJEGOV STATUS Donošenjem Zakona o zaštiti podataka o
ličnosti 2008. godine, nadležnost Povere-
nika se širi i na ovu oblast. Tako je njego-
Institucija Poverenika za informacije
va nadležnost raspoređena u dva nivoa:
od javnog značaja ustanovljena je Zako-
jedan se odnosi na zaštitu prava na slo-
nom o slobodnom pristupu informacijama
bodan pristup informacijama i nadzor nad
od javnog značaja (ZSPIJZ) iz 2004. go-
sprovođenjem ZSPIJZ, dok se drugi nivo
dine.67 Kao fundamentalni mehanizam za
odnosi na zaštitu prava na privatnost,
povećanje transparentnosti rada organa
odnosno zaštitu podataka o ličnosti i nad-
vlasti, taj propis je građanima omogućio
zor nad sprovođenjem ZZPL. Ova dva ni-
da aktivno traže informacije od javnog in-
voa nadležnosti su, po prirodi stvari, su-
teresa, a ne samo da ih pasivno prima-
protstavljena i predstavljaju dve strane
ju u zavisnosti od dobre volje organa vla-
jedne medalje - odnos prava javnosti da
sti i javnih funkcionera. Najveću korist su
zna i prava na privatnost, pa je u vrše-
svakako imali novinari, posebno oni koji
nju optimalne zaštite ova dva prava uvek
se bave dubinskim istraživačkim novinar-
potrebno vagati i naći adekvatan balans.
stvom i temama od najvišeg interesa za
To je, između ostalog, jedna od obaveza
društvo, poput korupcije i organizovanog
Poverenika.
kriminala. Danas je teško zamisliti bilo
kakvo ozbiljno novinarsko istraživanje Narodna skupština je 2004. imenova-
bez učestalog pozivanja na Zakon o slo- la Rodoljuba Šabića za prvog Povereni-
bodnom pristupu informacijama od jav- ka u Srbiji, da bi 2011. bio reizabran na
nog značaja. Iako su se novinari u počet- ovaj položaj, tako da mu je mandat istekao
ku najviše interesovali za ostvarivanje krajem 2018. godine. Srbija u trenutku
ovog prava, tokom godina su zahteve ak- pisanja ovog Vodiča čeka izbor novog Po-
tivno počeli da podnose i drugi građani. verenika, pred kojim će biti veliki izazov
primene novog Zakona o zaštiti podata-
ZSPIJZ ustanovljava instituciju Pove-
ka o ličnosti koji uvodi niz novih instituta
renika kao samostalnog državnog organa
u domaći pravni sistem i zahteva strožu
koji je nezavisan u vršenju svoje nadlež-
primenu. To će od službe Poverenika izi-
nosti. Poverenika bira Narodna skupšti-
skivati napor da razvije potrebne dobre
na, na predlog odbora Narodne skupštine
prakse i smernice kako bi ZZPL mogao da
nadležnog za informisanje, na vreme od
zaživi na pravi način.
sedam godina, a isto lice može biti izabra-
67 Zakon o slobodnom pristupu informacijama od javnog značaja ("Sl. glasnik RS", br. 120/2004, 54/2007,
104/2009 i 36/2010)
81
Poverenik je, dakle, samostalan organ Poverenik može da preduzme i određene
vlasti nadležan za sprovođenje dva zako- korektivne mere, poput izricanja opome-
na i obavljanje drugih zakonom propisa- ne rukovaocu odnosno obrađivaču u slu-
nih poslova, a koji bi u vršenju svojih ovla- čaju da se obradom krše odredbe Zakona,
šćenja trebalo da bude potpuno nezavisan da im naloži da posutupe po zahtevu lica
od bilo kakvih političkih ili drugih uticaja. na koje se podaci odnose u vezi sa ostva-
Njegova je uloga nadzornog karaktera - rivanjem prava tog lica, da naloži rukova-
on vrši poslove praćenja primene zakona i ocu i obrađivaču da usklade radnje obra-
u tom smislu ima brojne nadležnosti. de sa ZZPL-om na tačno određeni način
i u određenom roku, da naloži rukovaocu
Poverenik je obavezan da sačini godišnji
da obavesti lice na koje se podaci odnose
izveštaj o svojim aktivnostima, koji pod-
da je došlo do povrede njegovih podataka
nosi Narodnoj skupštini, a dostavlja ga i
o ličnosti, da izrekne privremeno ili trajno
Vladi i stavlja na uvid javnosti.
ograničenje vršenja radnje obrade i za-
branu obrade, da izrekne novčanu kaznu
na osnovu prekršajnog naloga ako je pri-
likom inspekcijskog nadzora utvrđeno da
NADLEŽNOSTI je došlo do prekršaja, itd.
POVERENIKA U vršenju svojih ovlašćenja, Povere-
nik može da pokrene postupak pred su-
dom, a sud vrši kontrolu akata Poverenika
Po novom Zakonu o zaštiti podataka o koje donese u vršenju svojih inspekcijskih
ličnosti, Poverenik ima širok spektar nad- nadležnosti.
ležnosti. On najpre vrši nadzor i obezbe-
đuje primenu ZZPL-a; stara se o podi-
zanju svesti javnosti o rizicima, merama
zaštite i pravima u vezi sa obradom po- SARADNJA SA
dataka o ličnosti kao i o podizanju svesti
rukovaoca i obrađivača u vezi sa njiho- POVERENIKOM
vim zakonskim obavezama; pruža infor-
macije o zakonskim pravima za zahtev lica
na koje se podaci odnose; postupa po pri- Lice na koje se podaci odnose ima pra-
tužbama lica na koje se podaci odnose i vo da Povereniku podnese pritužbu, uko-
utvrđuje da li je došlo do povrede ZZPL; liko smatra da obrada njegovih podata-
sarađuje sa nadzornim organima drugih ka o ličnosti nije u skladu sa Zakonom,
država u vezi sa zaštitom podataka o lič- pri čemu iskorišćavanje prava na podno-
nosti, u razmeni informacija i pružanju šenje pritužbe ne sprečava to lice da po-
uzajamne pravne pomoći; sačinjava i jav- krene druge upravne ili sudske postupke.
no objavljuje na svojoj internet stranici li- Poverenik je dužan da podnosioca prituž-
stu vrsta radnji obrade za koje se mora be obavesti o toku i rezultatima postup-
izvršiti procena uticaja na zaštitu poda- ka po pritužbi, kao i o njegovom pravu da
taka o ličnosti; vodi evidenciju lica za za- tužbom protiv odluke Poverenika pokrene
štitu podataka o ličnosti koje mu dostav- upravni spor u roku od 30 dana od dana
lja rukovalac ili obrađivač; i tome slično. prijema odluke.
Poverenik vrši i inspekcijska ovlašćenja, Lice na koje se podaci odnose, dakle, ima
pa je tako ovlašćen da, između ostalog, pravo pokretanja upravnog spora protiv
naloži rukovaocu i obrađivaču, odnosno odluke Poverenika koja se na njega odno-
njihovim predstavnicima, da mu pruže sve si, a pokretanje upravnog spora ne utiče
potrebne informacije, da od njih dobije na njegovo pravo da pokrene i neki drugi
pristup svim podacima o ličnosti i ostalim postupak pravne zaštite.
informacijama potrebnim za vršenje ovla- Sa stanovišta organizacije koja obra-
šćenja, kao i pristup svim prostorijama, đuje podatke te se javlja u svojstvu ru-
sredstvima i opremi rukovaoca i obrađi- kovaoca ili obrađivača, veoma je bitno da
vača, da obaveštava rukovaoca i obrađi- uspostavi dobru saradnju sa službom Po-
vača o mogućim povredama Zakona, itd.
verenika, budući da će po novom Zako- renikom, predstavlja kontakt tačku za sa-
POVERENIK ZA INFORMACIJE OD JAVNOG ZNAČAJA I ZAŠTITU PODATAKA O LIČNOSTI
83
POSEBNI
SLUČAJEVI
OBRADE
PODATAKA
POSEBNI SLUČAJEVI
POSEBNI SLUČAJEVI OBRADE PODATAKA
OBRADE PODATAKA
SLOBODA žavanje. Nakon što je konkretna aktivnost
gotova, sve podatke koji više nisu potrebni
IZRAŽAVANJA I trebalo bi obrisati ili anonimizovati.69
INFORMISANJA
Praksa
Jedan od prvih slučajeva zloupotre-
U velikoj meri, Zakon se ne primenjuje na be GDPR-a odigrao se u Rumuniji u
obradu koja se vrši u svrhe novinarskog novembru 2018. godine. Novinar-
istraživanja i objavljivanja informacija u sko-istraživački projekat RISE iz
medijima, kao i u svrhe naučnog, umetnič- Rumunije objavio je nekolicinu doku-
kog ili književnog izražavanja ukoliko su, menata koji sadrže lične podatke po-
u svakom konkretnom slučaju, ograniče- znatog političara i s njim povezanih
nja primene ZZPL neophodna u cilju za- osoba.70 Odmah nakon objave na fej-
štite slobode izražavanja i informisanja. sbuk stranici istraživačkog projek-
Na ovaj način, Zakon daje prednost slobo- ta, reagovala je rumunska agencija
di izražavanja i informisanja u odnosu na za zaštitu podataka o ličnosti i izdala
striktnu zaštitu podataka o ličnosti. Kon- nalog projektu da dostavi sve infor-
kretnije, u ovim situacijama se neće pri- macije u vezi sa ovim slučajem, uk-
menjivati odredbe ZZPL koje se odnose na: ljučujući i svoje izvore, pod pretnjom
(1) načela obrade; (2) prava lica na koja se novčane kazne od 650 evra za svaki
podaci odnose; (3) rukovaoca, obrađivača dan zakašnjenja u izvršenju obave-
i zajedničkog rukovaoca, kao i njihove oba- ze, do maksimalnog iznosa od 20 mi-
veze; (4) prenos podataka o ličnosti u dru- liona evra.71
ge zemlje i međunarodne organizacije; (5)
ostale posebne slučajeve obrade. Rumunski zakon o zaštiti podataka o
ličnosti sadrži odredbu koja se od-
Domaći zakonodavac je tako, po uzoru nosi na obradu podataka o ličnosti u
na GDPR, predvideo značajan izuzetak od novinarske svrhe, odnosno novinar-
strogih pravila zaštite podataka, imaju- ski izuzetak koji bi morao biti prime-
ći u vidu sukob dva fundamentalna pra- njen u ovom slučaju. Nadležna služba
va: slobode izražavanja i informisanja s je, međutim, rešila da drugačije tu-
jedne, i prava na privatnost s druge stra- mači zakon čime je, svesno ili omaš-
ne. Svaki put kada ovaj sukob pretegne u kom, izvršila pritisak na istraživač-
korist slobode govora i interesa javnosti, ke novinare. O slučaju se oglasila i
konkretne aktivnosti će biti oslobođene Evropska komisija napomenom da
obaveza zaštite ličnih podataka. primena opštih propisa o zaštiti po-
Izuzetak od primene određenih odred- dataka koja krši osnovna prava, po-
bi Zakona važi tokom konkretne aktivnosti put slobode govora i informisanja,
koja za svrhu ima novinarsko istraživanje predstavlja zloupotrebu GDPR-a.
i objavljivanje informacija u medijima, od-
nosno naučno, umetničko ili književno izra-
69 Adamović, J. et al., 2018, Vodič za medije: zaštita ličnih podataka i novinarski izuzetak, SHARE Fondacija,
str. 42, dostupno na: resursi.sharefoundation.info
70 OCCRP, 2018, OCCRP Strongly Objects to Romania’s Misuse of GDPR to Muzzle Media, dostupno na: occrp.org
71 Engleski prevod pisma rumunske službe za zaštitu podataka upućenog projektu RISE, dostupno na: occrp.org
85
SLOBODAN PRISTUP OBRADA JMBG-A
INFORMACIJAMA OD
JAVNOG ZNAČAJA Na obradu jedinstvenog matičnog broja
građana (JMBG) primenjuju se odredbe
posebnog zakona koji reguliše JMBG,73 uz
primenu odredbi ZZPL u delu koji se od-
Na obradu informacija od javnog znača-
nosi na zaštitu prava i sloboda lica na koje
ja koje sadrže podatke o ličnosti prime-
se podaci odnose.
njuje se, pored Zakona o zaštiti podataka
o ličnosti, i Zakon o slobodnom pristupu Zakon o jedinstvenom matičnom broju
informacijama od javnog značaja. To zna- građana propisuje da se JMBG određu-
či da organ javne vlasti koji tražiocu in- je elektronski, u skladu sa pravilima pro-
formacije čiji dostupnim takve informa- pisanim ovim zakonom, i unosi se u jedin-
cije, a da one pritom sadrže podatke o stvenu elektronsku evidenciju o matičnim
ličnosti, mora voditi računa o tome da us- brojevima koju vodi Ministarstvo unu-
postavi balans između prava javnosti da trašnjih poslova. Zakon o JMBG propisu-
zna s jedne, i prava na zaštitu podataka o je da se na obradu podataka o ličnosti i
ličnosti s druge strane. evidencije koje vodi MUP, kao i na sadr-
žinu tih evidencija, ažuriranje, brisanje,
Organ javne vlasti od koga su tražene
rokove čuvanja i mere zaštite podataka,
informacije od javnog značaja koje sadr-
primenjuju odredbe onih zakona kojim se
že podatke o ličnosti, trebalo bi da, pre
uređuju evidencije i obrada podataka u
nego što tražene informacije učini dostu-
oblasti unutrašnjih poslova.74
pnim, anonimizuje sve one lične podatke
koji nisu apsolutno neophodni za konkret- JMBG služi za vođenje evidencije po-
nu informaciju i njen kontekst. To dalje dataka o ličnosti, kao i za povezivanje s
znači da će organ javne vlasti u svakom drugim evidencijama državnih organa i
konkretnom slučaju morati da pronađe korisnika koji imaju zakonski osnov za ko-
odgovarajući balans između dva suprot- rišćenje matičnog broja.
stavljena prava - prava javnosti da zna i
prava na zaštitu podataka o ličnosti.
ZSPIJZ propisuje da organ vlasti neće
tražiocu omogućiti ostvarivanje prava na OBRADA U
pristup informacijama od javnog znača-
ja ukoliko bi time povredio pravo na pri- OBLASTI RADA I
vatnost, ugled ili koje drugo pravo lica na
koje se tražena informacija odnosi, osim
ZAPOŠLJAVANJA
(1) ako je lice na to pristalo, (2) ako se
radi o ličnosti, pojavi ili događaju od inte- Na obradu u oblasti rada i zapošljava-
resa za javnost, a naročito o nosiocu dr- nja, uz primenu odredbi ZZPL, primenjuju
žavne i političke fukncije i ako je informa- se i odredbe Zakona o radu.75
cija važna s obzirom na funkciju koju to
lice vrši, ili (3) ako se radi o licu koje je Po Zakonu o radu, podaci o ličnosti za-
svojim ponašanjem, a naročito u vezi sa poslenog koji se obrađuju u svrhu zaklju-
privatnim životom, dalo povoda za traže- čenja ugovora o radu jesu ime i prezime,
nje informacije.72 adresa prebivališta/boravišta, vrsta i
stepen stručne spreme, kao i podaci koji
se odnose na radno mesto zaposlenog
(naziv i opis poslova, mesto rada, vrsta
72 Član 14 ZSPIJZ
73 Zakon o jedinstvenom matičnom broju građana (“Sl. glasnik RS”, br. 24/2018)
74 Zakon o evidencijama i obradi podataka u oblasti unutrašnjih poslova (“Sl. glasnik RS”, br. 24/2018)
75 Zakon o radu (“Sl. glasnik RS”, br. 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017 - odlu-
ka US, 113/2017 i 95/2018 - autentično tumačenje)
radnog odnosa, trajanje ugovora, dan po- nimizacije podataka. Primera radi, ukoli-
POSEBNI SLUČAJEVI OBRADE PODATAKA
četka rada, radno vreme, iznos zarade). ko se svrha obrade može ostvariti uz pri-
Ovi podaci se prikupljaju prilikom zaklju- menu pseudonimizacije, onda bi trebalo
čenja ugovora o radu, prikuplja ih poslo- primeniti ovu tehničku meru zaštite po-
davac, ali nije bliže određen rok čuvanja dataka o ličnosti.
podataka. Pritom, pravni osnov za obradu
Namera zakonodavca je da obaveže onog
konkretno ovih podataka je zakon, ali se u
ko vrši obradu ličnih podataka za neku od
praksi često dešava da poslodavci priku-
ovih svrha, da anonimizuje podatke o lič-
pljaju mnogo širi spektar podataka o svo-
nosti tako da se lice o čijim se podacima
jim zaposlenima. U tom slučaju poslodav-
radi ne može identifikovati, pod uslovom
ci treba da razmisle da li mogu da obradu
da se na ovakav način može ostvariti svr-
pojedinih podataka svrstaju pod neki dru-
ha obrade.
gi pravni osnov kao što je, na primer, le-
gitimni interes. Poslodavci treba da budu Ukoliko se obrada vrši u svrhe nauč-
naročito oprezni kada o svojim zaposleni- nog ili istorijskog istraživanja ili u sta-
ma prikupljaju posebno osetljive podatke tističke svrhe, ne primenjuju se odred-
i podatke o krivičnoj osuđivanosti, svesni be ZZPL koje regulišu pravo na pristup
da moraju jasno odrediti svrhu i pravni lica na koje se podaci odnose, pravo na
osnov obrade. U suprotnom, ne bi trebalo ispravku i dopunu, pravo na ograničenje
da obrađuju ovakve podatke. obrade i pravo na prigovor, ukoliko je ta-
kvo ograničenje neophodno za ostvariva-
ZZPL propisuje da ako zakon koji ure-
nje ovih svrha obrade, odnosno ukoliko bi
đuje rad i zapošljavanje ili kolektivni ugo-
primena odredbi o pravima onemogućila
vor sadrže odredbe o zaštiti podataka o
ili značajno otežala ostvarenje ovih svr-
ličnosti, moraju se propisati i posebne
ha obrade. Isto važi i za obradu u svrhu
mere zaštite dostojanstva ličnosti, legi-
arhiviranja u javnom interesu, s tim što
timnih interesa i osnovnih prava lica na
se u tom slučaju ne primenjuju ni odredbe
koje se podaci odnose, posebno s obzirom
ZZPL koje se odnose na pravo na prenosi-
na transparentnost obrade, razmenu po-
vost podataka, pravo na brisanje ili ogra-
dataka o ličnosti unutar multinacional-
ničenje obrade koju vrši nadležni organ
ne kompanije, odnosno grupe privrednih
u posebne svrhe, obavezu rukovaoca da
subjekata, kao i sistem nadzora u radnoj
vrši obaveštavanje u vezi sa ispravkom ili
sredini. Imajući u vidu da ZZPL predviđa
brisanjem podataka i ograničenjem obra-
da se odredbe drugih zakona koje se od-
de, obavezu obaveštavanja rukovaoca u
nose na obradu podataka o ličnosti mora-
vezi sa ispravkom ili brisanjem podataka
ju uskladiti sa ZZPL do kraja 2020. godi-
i ograničenjem obrade koju vrše nadlež-
ne, Zakon o radu bi trebalo da propiše i
ni organi u posebne svrhe, kao i ostvari-
posebne mere koje će štititi prava zapo-
vanje prava lica na koje se odnose podaci
slenih čiji se podaci obrađuju.
kada obradu vrše nadležni organi u po-
sebne svrhe i provera Poverenika.
OBRADA U SVRHU
ARHIVIRANJA, OBRADA OD STRANE
ISTRAŽIVANJA I CRKAVA I VERSKIH
STATISTIKE ZAJEDNICA
Ukoliko se obrada podataka o ličnosti ZZPL propisuje da, ukoliko crkve i ver-
vrši u svrhe arhiviranja u javnom intere- ske zajednice primenjuju sveobuhvat-
su, u svrhe naučnog ili istorijskog istra- na pravila u pogledu zaštite fizičkih lica
živanja ili u statističke svrhe, primenjuju u odnosu na obradu, ta postojeća pravi-
se odgovarajuće tehničke, organizacione i la se mogu i dalje primenjivati pod uslo-
kadrovske mere u cilju obezbeđivanja mi- vom da se usklade sa ZZPL. U tom slu-
87
čaju, primenjuju se odredbe ZZPL koje se
odnose na inspekcijska i druga ovlašće-
nja Poverenika, osim ukoliko crkva, od-
nosno druga verska zajednica ne obrazu-
je posebno nezavisno telo koje će vršiti ta
ovlašćenja, pod uslovom da takvo telo is-
punjava uslove predviđene Poglavljem VI
Zakona, a koje se odnosi na uslove za iz-
bor Poverenika.
OBRADA U
HUMANITARNE
SVRHE OD STRANE
ORGANA VLASTI
ZZPL propisuje da organ vlasti može da
obrađuje podatke o ličnosti u cilju pri-
kupljanja sredstava za humanitarne svr-
he, ali da tom prilikom mora primeniti od-
govarajuće mere zaštite prava i sloboda
lica na koje se podaci odnose u skladu sa
ZZPL. Tako prikupljene podatke, organ
vlasti ne može da ustupa drugim licima.
POSEBNI SLUČAJEVI OBRADE PODATAKA
89
ODGO-
VORNOST
ODGOVORNOST
ODGOVORNOST
del rukovaoca važan odnos poverenja sa i interese lica na koje se podaci odnose,
korisnicima i klijentima, reputacioni rizi- kao što su formalna pravila o vođenju evi-
ci mogu doći u prvi plan i pre opasnosti dencija radnji obrade.
od novčnih kazni. Rad na snižavanju tih
rizika je kontinuiran proces i, pored po-
štovanja zakonskih pravila, podrazume- Smernice
va posvećenost višim standardima. To se
posebno ogleda u domenu dobijanja va- Preporuka za rukovaoce koji su u di-
lidnog pristanka i dostupnosti relevan- lemi oko primene ZZPL na svoje po-
tnih informacija, efikasnosti odgovora na slovanje, jeste da svakako konsultuju
zahteve korisnika, kao i primene pažlji- prethodnu praksu putem javno do-
vo odabranih mera za zaštitu bezbedno- stupnih izvora. Na sajtu Poverenika
sti podataka. moguće je pronaći informacije i do-
kumentaciju u vezi sa raznim postup-
cima iz oblasti zaštite ličnih podata-
ka i njihovim rezultatima, uključujući
KRIVIČNA odluke i mišljenja Poverenika, odlu-
ke domaćih sudova, odluke Ustavnog
ODGOVORNOST suda Srbije kao i odluke međunarod-
nih sudova i tela. U pitanju je nefor-
malni izvor ovakve prakse, mada ve-
Fizička lica koja krše propise o zaštiti oma koristan, pre svega u domenu
ličnih podataka mogu i krivično odgova- prekršajnog prava.
rati. Naime, Krivični zakonik Srbije pro-
pisuje novčanu kaznu ili kaznu zatvora
do jedne godine ukoliko neko (1) neovla- Praksa
šćeno pribavi, saopšti drugom ili upotre- Praksa domaćih parničnih i krivičnih
bi u svrhu za koju nisu namenjeni podat- sudova je u ovoj oblasti još uvek ne-
ke o ličnosti koji se prikupljaju, obrađuju razvijena. S obzirom na okolnost da
i koriste na osnovu zakona, kao i kada (2) tekst novog Zakona praktično uvodi
protivno zakonu prikuplja podatke o lič- GDPR u Srbiju, može se očekivati da
nosti građana ili tako prikupljene podatke se praksa razvija u skladu sa rele-
koristi. Kvalifikovani oblik ovog krivičnog vantnom praksom evropskih sudova.
dela, koje se kažnjava zatvorom do tri go- Što se tiče oblasti krivičnog prava,
dine, postoji ako delo učini učini službeno ona ostaje nacionalno specifična i u
lice u vršenju službe. Evropi. Prema javno dostupnoj prak-
Krug radnji obuhvaćenih ovim krivičnim si srpskih sudova krivični postupci
delom je veoma širok, te se može odnosi- su još uvek retki, dok je postojanje
ti na bilo koju situaciju nezakonite obra- krivične odgovornosti, na primer,
de ličnih podataka. Na osnovu pravila iz utvrđeno u slučaju izvoza ličnih po-
ZZPL, može se zaključiti da svaka obrada dataka iz Srbije bez validnog prav-
podataka koja je suprotna načelima obra- nog osnova za prenos.
de predstavlja radnju ovog krivičnog dela. Praksa evropskih sudova je po pra-
Isto možemo da pretpostavimo i za obra- vilu mnogo lakše i ažurnije dostupna
du podataka kojom se krše ona pravila na odgovarajućim internet stranica-
ZZPL koja su zapravo razrada svih nače- ma samih institucija.
la. Među takva pravila, na primer, spada-
ju ona o postojanju zakonskih osnova za
obradu ili, još konkretnije, pravila o do-
bijanju pristanka kada je taj pravni osnov
relevantan. S druge strane, postoje neka
zakonska pravila iz ZZPL čije kršenje ve-
rovatno ne bi moglo dovesti do krivič-
ne odgovornosti, jer zbog svoje formal-
93
Dileme nje i slično. Uspostavljanjem direk-
tne nadležnosti nad ovim licima, EU
Rukovaoci i obrađivači koji posluju u
organi mogu da faktički spreče pri-
Srbiji, ali na koje se primenjuju i pra-
kupljanje podataka ili dostupnost
vila GDPR zbog toga što nude robu
servisa i sajtova u EU, koristeći se
ili usluge na EU teritoriji ili prate po-
izvršnim i ostalim ovlašćenjima koja
našanje subjekata u EU, često su u
imaju prema svojim nacionalnim pro-
nedoumici da li postoji stvarna opa-
pisima. Takođe, ne treba očekiva-
snost da budu kažnjeni prema GDPR
ti da će rukovaoci i obrađivači koji
pravilima. Naime, evropska regulati-
su u direktnoj nadležnosti evropske
va je predvidela da će se primenji-
regulative, rizikovati da sami budu
vati i van EU granica u konkretnim
kažnjeni jer sarađuju sa licima koja
slučajevima, što podrazumeva da li-
očigledno ne poštuju GDPR pravila.77
cima van EU mogu biti izrečene mak-
simalne kazne koje predviđa GDPR.
Praktično je, međutim, pitanje na
koji način i kojim mehanizmima bilo
koji organ iz neke države članice EU
može izreći kaznu i naplatiti je od
lica koje nema ni sedište niti bilo ka-
kvu imovinu u EU. Zbog toga što se
čini da je malo verovatno da se ova
kazna praktično izvrši, rukovaoci iz
Srbije mogu steći (pogrešan) utisak
da su u takvim okolnostima bezbedni
od drakonskih kazni. Međutim, važ-
no je imati na umu nekoliko činjenica:
• Svi rukovaoci koji nemaju sedište u
EU, a na koje se GDPR primenjuje,
moraju da imaju svog EU predstavni-
ka, koga sami biraju. Evropski odbor
za zaštitu podataka je potvrdio da se
predstavniku mogu izreći propisa-
ne kazne i da se prema njemu može
sprovesti izvršenje, ukoliko pravi-
la krše lica koja su ga postavila kao
predstavnika.76 To je mehanizam di-
rektnog kažnjavanja lica van EU.
• Ukoliko lica van EU prekrše i obave-
zu da imenuju svog EU predstavni-
ka, praktično je onemogućeno direk-
tno izvršenje (naravno, na ovaj način
je prekršena još jedna GDPR obave-
za za koju je takođe predviđena ad-
ministrativna kazna), ali još uvek su
na raspolaganju indirektni mehaniz-
mi. Naime, teško je zamislivo da se
obrada podataka lica sa teritorije
EU vrši bez uspostavljanja neke vr-
ste saradnje sa licima koja jesu u EU,
kao što su IT provajderi i posredni-
ci, servisi koji omogućavaju plaća-
76 EDPB, 2018, Smernice 3/2018 o teritorijalnoj primeni GDPR-a, dostupno na: edpb.europa.eu
77 Madge, R., 2018, GDPR’s global scope: the long story, MyData Journal, dostupno na: medium.com
ODGOVORNOST
95
2019