Oblast zaštite podataka o ličnosti u Srbiji počela je da se razvija tek sa donošenjem Zakona o zaštiti podataka o ličnosti krajem 2008. godine. Iako je u ovoj oblasti zakon postojao i pre toga, on zapravo nikad nije bio primenjivan u praksi. Razlog ovome je bio veoma nizak nivo spremnosti države da ova prava fizičkih lica efektivno štiti kao i posledično nepostojanje svesti građana o sopstvenim pravima i stepenu njihove ugroženosti. Naime, u tom periodu još uvek nije bilo utvrđeno koji bi organ Republike Srbije bio nadležan da vrši nadzor nad primenom tadašnjeg zakona.
Ovakva situacija se nešto popravila sa „novim“ zakonom, iako ga je, već po njegovom donošenju, Evropska komisija ocenila samo kao „delimično usklađenog“ pre svega sa Direktivom Evropskog Parlamenta i Saveta 95/46/EZ od 24. oktobra 1995. godine o zaštiti građana u vezi sa obradom podataka o ličnosti i o slobodnom kretanju takvih podataka (u daljem tekstu: „Direktiva“), a zatim i sa drugim direktivama, propisima i mišljenjima koje čine komunitarno pravo u oblasti zaštite podataka o ličnosti.
Zakon o zaštiti podataka o ličnosti, koji je na snazi već više od pet godina (u daljem tekstu: „Zakon“), i pored svoje inicijalne neusklađenosti, menjan je u samo dva navrata i to ne značajno. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: „Poverenik“) ukazivao je u svakoj prilici kako na njegove normativne nedostatke, tako i nedostatke u primeni. Naime, ne samo da su izostali podzakonski propisi koji bi materiju uredili detaljnije i koji su nužni za sprovođenje Zakona (a ovde se pre svega misli na zaštitu naročito osetljivih podataka), već stalni rast upotrebe savremenih sredstava tehnike, elektronskih komunikacija, uređaja za video-nadzor, obrade biometrijskih podataka o ličnosti i sl. nije bio ispraćen odgovarajućim savremenim zakonskim rešenjima, što je neminovno imalo za posledicu to da su se rizici nezakonite obrade podataka brzo i u velikoj meri povećavali.
Poverenikova zabrinutost za nizak stepen usklađenosti sa evropskim standardima, neodgovarajuće odredbe i nepotpunu regulativu, rezultovala je sastavljanjem predloga novog zakona o zaštiti podataka o ličnosti (u daljem tekstu: „Model“) i njegovom prezentacijom Ministarstvu pravde 2014. godine od strane Poverenika. Ministarstvo pravde je dugo vremena pitanje nedovoljne zaštite podataka o ličnosti „stavljalo pod tepih“ čime se jedno od osnovnih, ustavom zagarantovanih prava građana Srbije – pravo na privatnost, ostavljalo po strani.
Međutim, Poverenikova inicijativa i apel za promenom propisa konačno su prepoznati od stane Ministarstva pravde u novembru ove godine u vidu donošenja i objavljivanja nacrta novog zakona o zaštiti podataka o ličnosti (u daljem tekstu: „Nacrt“) i zakazivanja javne rasprave o istom, dok je kao jedan od važnijih podsticaja za takvo postupanje svakako bilo ispunjavanje obaveza predviđenih Akcionim planom za Poglavlje 23. u okviru pregovora o pristupanju Srbije Evropskoj Uniji.
Poverenik je odmah po objavljivanju Nacrta iskazao svoje nezadovoljstvo. Naime, prema njegovom saopštenju, Poverenik ga je ocenio kao „značajno ispod potrebnog i očekivanog nivoa“, istaknuvši da „Nacrt praktično ignoriše većinu problema koji su uočeni u dosadašnjoj praksi, koji su izvor brojnih povreda prava građana“. U svakom slučaju, opšti utisak je da se Povernikov Model detaljnije bavi pitanjima koja su do sada pravila probleme u praksi o čemu svedoči i činjenica da je njegov tekst glomazniji budući da ima 30 članova više.
Upoređivanjem Modela i Nacrta, uopšteno govoreći, zaista se uočavaju diskrepancije u predloženim zakonskim rešenjima. Dok Poverenikov pristup odgovara stvarnosti jer se najpre zasniva na problemima na koje su on i njegovi saradnici nailazili u praksi usled nepostojanja odgovarajućih (ili bilo kakvih) zakonskih rešenja, pristup na kojem se zasniva Nacrt koji je pripremila Radna grupa obrazovana u okviru Ministarstva pravde deluje više usmeren na očuvanje nacionalnog interesa.
Jedna od najosnovnijih primedbi Poverenika koju Radna grupa u svom Nacrtu nije usvojila odnosi se na oblast upravljanja posebno osetljivim podacima i posebnim vidovima obrade podataka. Razlika se u tom pogledu ogleda već u samoj definiciji „osetljivih podataka“. Naime, Nacrt je u svojoj definiciji (pogrešno) zadržao pol kao element u odnosu na kog se određuje „osetljivost“ podatka iz trenutno važećeg Zakona, pri čemu je preneo i problem njegovog različitog tumačenja. Za razliku od Nacrta, Model je u definiciju uneo nešto jasnije određenje – promenu pola, čime je obezbedio viši stepen pravne sigurnosti.
Isto tako, za razliku od Zakona koji se uopšte nije bavio biometrijskim podacima kao posebnom kategorijom osetljivih podataka, Nacrt ih uključuje u definiciju posebno osetljivih podataka, ali njihovu obradu reguliše na jedinstven način, bez uzimanja u obzir posebnosti njihove obrade i sve veće rasprostranjenosti njihove upotrebe. Nacrt ostavlja Vladi ovlašćenje da način čuvanja i mere zaštite posebno osetljivih podataka uredi podzakonskim aktom, zadržavajući isto rešenje u odnosu na trenutno važeći Zakon, koje se pokazalo kao veoma loše s obzirom da je donošenje odnosnog akta u potpunosti izostalo.
S druge strane, Model podrobno reguliše obradu posebno osetljivih podataka, izdvajajući obradu biometrijskih podataka i podataka pribavljenih putem video-nadzora, obradu u svrhu neposrednog oglašavanja različitim sredstvima komunikacija, evidencijama o ulasku i izlasku iz poslovnog prostora, kao i obradu jedinstvenog matičnog broja građana na internetu i upotrebu ličnih identifikacionih dokumenata, kao posebne vidove obrade čiju je upotrebu u praksi Poverenik identifikovao kao najrasprostranjeniju te stoga i uredio na poseban način. Poverenik u svom obrazloženju Modela navodi da je glavni razlog izdvajanja navedenih vidova obrade i njihove posebne regulacije činjenica da je u dosadašnjem zakonu ova materija bila apsolutno neuređena što je pravilo značajne probleme u praksi.
Kada je u pitanju teritorijalna primena propisa, i Model i Nacrt, svaki na svoj način, vezuju primenu propisa za teritoriju Republike Srbije, što u Zakonu do sada nije bio slučaj. Naime, Model svoju primenu vezuje za rezidentne rukovaoce, kao i za nerezidentne rukovaoce ukoliko koriste opremu u Republici Srbiji (u kom slučaju su takvi rukovaoci dužni da odrede svog zastupnika sa sedištem odnosno prebivalištem ili boravištem na teritoriji), osim ako se ta oprema koristi isključivo za prenos podataka o ličnosti preko srpske teritorije. Model posebno izdvaja i naglašava svoju primenu na diplomatsko-konzularna i druga predstavništva Republike Srbije u inostranstvu, otklanjajući svaku dilemu po tom pitanju. Za razliku od Modela, Radna grupa je izričito isključila vezivanje primene za sedište, odnosno prebivalište ili boravište, dajući prioritet samom činu obrade podataka o ličnosti. U tom smislu, Nacrt propisuje da će se primenjivati na svaku obradu koja se vrši na teritoriji Republike Srbije, kao i izvan nje, ako je takva primena propisana međunarodnim pravom, Nacrtom ili ugovorom, osim ako se takvi podaci samo prenose preko srpske teritorije. Ostaje nejasno zašto je Radna grupa odstupila od rešenja propisanog ne samo Direktivom, već i od zakonskih rešenja u regionu, koji kao element za koji se vezuje njihova primena uzimaju upravo rezidentnost rukovaoca, odnosno korišćenje opreme na teritoriji.
Sledeća značajna razlika ova dva predloga novog zakona ogleda se u tome što Model previđa mogućnost izražavanja pristanka lica na koji se podatak o ličnosti odnosi ne samo pismenim putem ili usmenim putem na zapisnik, već i konkludentnom radnjom, koju definiše kao jednu ili više radnji, odnosno postupanje, koje je jasno i nedvosmisleno i na osnovu koga se sa sigurnošću može zaključiti da postoji pristanak lica. Ova značajna novina predstavlja zapravo reakciju na sve napredniji razvitak tehnologije i sve veću prisutnost Interneta u svakodnevnom životu i komunikaciji. S druge strane, čini se da je Radna grupa stavila veći fokus na umanjenje rizika od mogućih zloupotreba podataka o ličnosti do kojeg bi došlo uvođenjem pristanka konkludentnom radnjom, u odnosu na činjenicu da bi uvođenje ove novine olakšavalo promet.
Dok Nacrt proširuje krug izuzetaka od obaveznog pribavljanja pristanka za obradu podataka o ličnosti u odnosu na Zakon, predviđajući, u vidu vrlo širokih formulacija u korist javnog interesa, da je obrada bez pristanka dozvoljena između ostalog i u svrhu izvršenja obaveza rukovaoca određenih zakonom, kao i ako je obrada neophodna u cilju izvršenja zadataka radi ostvarivanja javnog interesa ili u cilju izvršavanja zakonskih ovlašćenja rukovaoca ili treće strane kojoj su podaci učinjeni dostupnim. Model zakona izuzetke predviđa samo u dve situacije i to različito u zavisnosti od vrste rukovaoca, uvodeći legitimni interes kao smisleni koncept po prvi put – dok rukovalac koji je organ vlasti može da obrađuje podatke bez pristanka lica samo u slučaju da je sa tim licem u ugovornom odnosu ili sa kojim pregovara o zaključenju ugovora, rukovalac koji nije organ vlasti može obrađivati podatke bez pristanka i u slučaju kada je obrada podataka u legitimnom interesu rukovaoca. Ovi izuzeci su u svakom slučaju dozvoljeni samo u onoj meri u kojoj je obrada podataka neophodna i prikladna, a u slučaju ostvarivanja neophodnog legitimnog interesa rukovaoca – pod uslovom da prava, slobode i legitimni interesi lica na koje se podaci odnose nemaju prevagu nad interesima rukovaoca.
Značajna novina u odnosu na Zakon koju predviđaju i Nacrt i Model jeste uvođenje obaveze angažovanja lica za zaštitu podataka o ličnosti i obaveze donošenja opšteg akta o zaštiti podataka o ličnosti. Međutim, dok u Modelu ove obaveze postoje samo za rukovaoce koji su organi vlasti, koji obrađuju posebno osetljive podatke o ličnosti ili koji imaju više od 500 zaposlenih, Nacrt se u tom pogledu ne vezuje za broj zaposlenih, već propisuje da ove obaveze postoje, osim za organe vlasti i obrađivače posebno osetljivih podataka, i za sve rukovaoce čija se poslovna delatnost sastoji u obradi podataka. Isto tako, Model propisuje i detaljno reguliše polaganje odgovarajućeg stručnog ispita pred Poverenikom, kao neophodni uslov za obavljanje poslova u vezi sa zaštitom podataka o ličnosti, a u slučaju kada se ovim poslovima bave pravna lica ili preduzetnici – sticanje licence. Nacrt ovaj uslov ne predviđa, već samo uopšteno propisuje da ova lica moraju imati odgovarajuće stručno znanje neophodno za obavljanje poslova zaštite podataka.
Postupak za zaštitu prava regulisan je na drugačiji način u Modelu u odnosu na Nacrt. Naime, dok Model akt za iniciranje postupka zaštite pred Poverenikom posmatra kao zahtev za zaštitu prava bez obzira na vrstu rukovaoca, Nacrt predviđa dva postupka – postupak po žalbi, ako pravo nije ostvareno u postupku pred rukovaocem koji je organ vlasti, i postupak po pritužbi, ako rukovalac nije organ vlasti, pri čemu propisuje da se pritužba može uložiti iz svih razloga kao i žalba, osim ukoliko je zahtev za ostvarivanje prava pred ovakvim rukovaocem odbačen ili odbijen.
Nacrt, za razliku od trenutno važećeg Zakona koji propisuje obavezu prijavljivanja zbirke za sve podatke, propisuje obavezu prijavljivanja zbirke podataka samo za rukovaoce, odnosno obrađivače posebnih podataka, odnosno podataka koje predstavljaju posebni rizik. Model sa druge strane od ove obaveze izuzima sve one rukovaooce/obrađivače koji obrađuju podatake za koje je obavezno vođenje evidencije propisano drugim zakonom. Na taj način, rukovaoci podataka o zaposlenima, planovima zdravstvene zaštitie i sl., bili bi oslobođeni obaveze prijavljivanja ovih evidencija više od jednog puta.
Za razliku od Zakona, i Model i Nacrt posebnu pažnju posvećuju bezbednosti podataka o ličnosti koja je do sada bila regulisana podzakonskim propisom i to u okviru postupka prethodne provere radnji obrade koje je sprovodio Poverenik. Isto tako, tekstovi oba predloga novog zakona unose u ovom delu još jednu novinu – obavezu rukovalaca da o povredi/prodoru u bezbednost obaveste Poverenika, s tim što se u Nacrtu primećuje veća hitnost koja se ogleda u kraćem roku za prijavu povrede u odnosu na isti rok propisan u Modelu (Nacrt – 72,Model- čak 15 dana). S druge strane, Model proširuje obavezu prijavljivanja povrede rukovaoca i na obrađivače koji u ime i za račun rukovaoca obrađuju posebno osetljive podatke o ličnosti ili podatke o ličnosti za više od 500 lica. Model takođe posebno reguliše situaciju u kojoj je sam Poverenik rukovalac podacima. Naime, u ovakvim slučajevima, Model predviđa obrazovanje Komisije nezavisnih stručnjaka, u želji da se otkloni nepristrasnost lica koji bi o tome odlučivali s obzirom da bi se u suprotnom, kontrola vršila ili od strane državnih službenika zaposlenih kod Poverenika, ili od strane drugog organa (a posebno organa izvršne vlasti što bi opet dovelo u pitanje nezavisnost Poverenika).
Još jedna bitna oblast gde se tekstovi Modela i Nacrta razlikuju jeste oblast iznošenja podataka iz Republike Srbije. Model vrlo detaljno uređuje postupak iznošenja podataka iz zemlje s obzirom da je, kako se u obrazloženju Modela navodi, nedostatak regulative u tom pogledu predstavljao značajnu prepreku u primeni ovih odredbi i otežavao dobijanje dozvole za iznošenje. Za razliku od Modela, Nacrt ne reguliše sam postupak iznošenja ali propisuje znatno veću listu izuzetaka, kada dozvola Poverenika nije potrebna naspram svega 3 izuzetka koja predviđa Model.
Ostale razlike, kao na primer razlikovanje novčanih kazni za prekršaje u rasponu (Nacrt), od novčanih kazni za prekršaje u fiksnom iznosu (Model) ili odredbe o pravnim sledbenicima rukovaoca u slučaju njegovog prestanka postojanja koje su predviđene Nacrtom a nisu Modelom, nisu od velikog značaja u odnosu na gore opisane.
Javna rasprava o Nacrtu održava se do kraja novembra, kada će ovlašćena lica, među kojima je svakako i Poverenik, priložiti svoje komentare i sugestije na njegov tekst. Poverenik je u svom saopštenju za javnost već iskazao svoje nezadovoljstvo Nacrtom, tako da ostaje da se vidi krajnji rezultat i konačan tekst zakona koji će ući u skupštinsku proceduru na usvajanje.