Dana 9. novembra 2018. godine Narodna skupština Republike Srbije je donela dugo očekivani novi Zakon o zaštiti podataka o ličnosti (Službeni glasnik Republike Srbije br. 87/2018) (u daljem tekstu: Zakon).
Osnovni razlog za donošenje Zakona je usklađivanje sa regulativom Evropske unije, odnosno garantovanje istog stepena zaštite podataka o ličnosti kao u državama članicama Evropske unije. Uvođenje novog zakonskog rešenja deo je obaveza Srbije u procesu pridruživanja Evropskoj uniji. Dodatno, Zakon je donet i sa ciljem da olakša poslovanja privrednih subjekata, imajući u vidu današnji stepen primene savremenih informacionih tehnologija, ali i društvenih mreža. Naime, opšta ocena je da je prethodni zakon o zaštiti podataka o ličnosti već u momentu njegovog donošenja bio anahron, te je stoga njegova primena u praksi često bila praćena brojnim poteškoćama.
Stav Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) u vezi teksta donetog Zakona je da predstavlja doslovni prevod Opšte regulative o zaštiti podataka o ličnosti (u daljem tekstu: GDPR), pa tako omogućava formalnu usklađenost sa regulativom Evropske unije na najvišem nivou, ali da je njegova praktična primena u Srbiji veoma upitna.
Dalje, i pored brojnih zamerki i sugestija Poverenika, Zakon propušta da reguliše video nadzor, koji tako ostaje u sivoj zoni. Takođe, Poverenik je ukazao na kontroverznost člana 40. Zakona, budući da omogućava ograničavanje određenih fundamentalnih prava i obaveza propisanih Zakonom na prilično neprecizan način, i bez upućivanja na zakon kao pravni osnov takvog ograničenja. Dakle, postoji potencijalna opasnost da organi vlasti ili privredna društva koja rukuju podacima o ličnosti mogu da ograniče prava građana bez izričitog zakonskog ovlašćenja i po sopstvenom nahođenju.
Ključne novine
Zakon se u velikoj meri oslanja na rešenja koja je predvideo GDPR, a kako je u pitanju potpuno novi zakon, koji je značajno obimniji od njegovog prethodnika, ovde ćemo se osvrnuti samo na značajnije odredbe i ključne novine koje donosi.
Najpre, Zakon se primenjuje u slučajevima kada rukovalac odnosno obrađivač podataka koji ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije vrši obradu podataka o ličnosti u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnje obrade vrše na teritoriji Republike Srbije. Dodatno, bez obzira na sedište, odnosno prebivalište ili boravište rukovaoca ili obrađivača podataka, Zakon se primenjuje i na slučajeve obrade podataka u slučaju da lica na koje se podaci odnose imaju prebivalište odnosno boravište u Republici Srbiji, i to u dva slučaja – u slučaju ponude robe i usluga, i u slučaju praćenja aktivnosti lica ako se aktivnosti vrše u Republici Srbiji.
Zakon proširuje i precizira nadležnosti i ovlašćenja Poverenika kao nezavisnog državnog organa i usklađuje ih sa relevantnim principima Evropske unije. U skladu sa Zakonom, Poverenik pre svega obavlja inspekcijske poslove, ali, pored toga, ima i brojna druga ovlašćenja. Tako Poverenik može da preduzme odgovarajuće korektivne mere, obezbeđuje primenu zakona, izrađuje standardne ugovorne klauzule u vezi obrade podataka, odobrava odredbe ugovora ili sporazuma između organa vlasti u vezi prenosa podataka, vodi interne evidencije o povredama Zakona, preispituje izdate sertifikate, a obavlja i poslove međunarodne saradnje.
Zakon predviđa čitav niz različitih mogućnosti za zaštitu prava pojedinaca. Pre svega, može se podneti prigovor rukovaocu na obradu podataka, ali i podneti pritužba Povereniku. Protiv odluke Poverenika, odnosno u slučaju da takva odluka nije doneta u roku od 60 dana od dana podnošenja pritužbe, može da se pokrene upravni spor. Dodatno, nezavisno od drugih postupaka može se ostvariti i neposredna sudska zaštita.
Zakonom su prvi put jasno propisane posebne odredbe koje se odnose samo na nadležne organe, čime se obezbeđuje zakonitost njihovog postupanja i istovremeno određuju slučajevi kada postoje odstupanja od opšteg režima. Veliki deo Zakona je posvećen upravo prikupljanju i obradi podataka od strane nadležnih organa, ali i brojnim izuzecima na koje se mogu pozivati (preko četrdeset izuzetaka). Stoga se čini opravdana kritika Evropske komisije na strukturu i čitljivost samog Zakona (tada u formi nacrta). Naime, stav Evropske komisije je između ostalog da je nacrt Zakona bio previše komplikovan, a samim tim i da je manje transparentan.
Zakonom se uvodi obaveza analize rizika pre započinjanja radnji obrade, a ako je rizik visokog nivoa propisuje se neophodnost traženja mišljenja nadzornog organa, odnosno Poverenika.
Zakon sada izričito propisuje pravo na naknadu štete, koje podrazumeva da lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Značajna novina je i da se Zakonom ukida Centralni registar zbirki podataka, a koji stupanjem na snagu Zakona prestaje da postoji. Više ne postoji ni obaveza obaveštavanja Poverenika o nameri uspostavljanja zbirke podataka, kao ni obaveza registracije zbirki podataka. Naime, ubuduće će se evidencija zbirki podataka voditi na nivou rukovaoca, tj. interno, a u skladu sa Zakonom.
Prenos podataka iz Republike Srbije je sada značajno drugačije i detaljnije uređen, a naročito u pogledu uslova za iznošenje. Zakon takođe uvodi i brojne druge novine, kao što su obavezujuća poslovna pravila, sertifikacija, određivanje lica za zaštitu podataka o ličnosti, kao i kodeks postupanja i potpuno uređenje obrade podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, te elemente ugovora ili drugog obavezujućeg akta na osnovu koga se vrši poveravanje obrade podataka obrađivaču. Na kraju, odredbe Zakona koje regulišu kaznenu politiku i su značajno pooštrene.
Početak primene
Zakon stupa na snagu 21. novembra 2018. godine, ali počinje sa primenom devet meseci od dana njegovog stupanja na snagu. U tom periodu će se doneti relevantni podzakonski akti. Jedini izuzetak predstavlja član Zakona koji reguliše prestanak obaveze vođenja Centralnog registra zbirki podataka koji se primenjuje odmah po stupanju na snagu Zakona. Postojeći podaci u okviru Centralnog registra zbirki podataka će biti arhivirani.
Odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiće se sa odredbama Zakona do kraja 2020. godine.