Opšta uredba o zaštiti podataka (GDPR) i značaj za domaću privredu
Rodoljub Šabić za PRAVO U PRIVREDI
Paragraf intervju - SEPTEMBAR 2018
Opšte je već poznato da je nakon 25.5.2018. godine poslovanje u okviru koga se obrađuju podaci o ličnosti u Evropskoj uniji daleko strože regulisano. Sankcije za nepoštovanje ove uredbe su veoma visoke i iznose do 4% globalnog prihoda kompanije na godišnjem nivou, odnosno 20 miliona evra (zavisno od toga šta iznosi više). Kakvo je Vaše mišljenje kao Poverenika o navedenom, da li verujete da će na ovaj način podaci biti zaštićeni u meri u kojoj to zahteva moderno poslovanje a da sa druge strane ne oteža komunikacijaizmeđu privrednih subjekata?
Opšta uredba pripremana je dugo, godinama.
Usvajanju je prethodio proces usaglašavanja mnoštva kontradiktornih interesa, to je podrazumevalo traganje za “pravom merom” u odgovorima na brojna pitanja koja su otvorena. To se odnosi i na sankcije o kojima govorite. Iz naše perspektive te sankcije izgledaju zastrašujuće, nezamislive. Međutim, one su svakako izraz značaja koje Evropska unija pridaje zaštiti podataka o ličnosti. Naravno, najteže sankcije neće se izricati često, a pogotovo ne olako. Uredba uz ostalo predviđa čitav mehanizam pravila za njihovu primenu. Kako će to konkretno izgledati treba tek da pokaže praksa organa nadležnih za zaštitu podataka o ličnosti i sudova EU.
Ali svakako ne treba imati iluzija da se te najoštrije sankcije uopšte neće izricati. Onda kad za to bude odgovarajućih razloga sigurno će se izricati, bez obzira što je njihova oštrina evidentno problem čak i za ekonomski najjače, što bi mogla dovesti u pitanje čak i opstanak onih koji bi zbog povrede prava na zaštitu podataka o ličnosti njima mogle biti izložene. O svemu što sam rekao svakako treba da vode računa i naši subjekti koji deluju na prostoru EU, odnosno koji se bave obradom podataka njenih građana.
A u vezi s tim da li verujem da će ovako oštre sankcije obezbediti podatke o ličnosti u meri u kojoj to zahteva moderno poslovanje reći ću da nikad i nigde sankcije same po sebi nisu dovoljne da se obezbedi primena odgovarajućih pravnih standarda. Potrebno je, zna se, mnogo više, na organizacionom, logističkom, kadrovskom planu. Ali su i sankcije, svakako nužan deo instrumentarija.
Što se sankcija u okvirima našeg pravnog poretka tiče stvari stoje bitno drugačije nego u GDPR-u. Iako su neki od autora trenutno aktuelnog nacrta zakona govorili da on obezbeđuje “punu usklađenost”, ta tvrdnja je “svetlosnim godinama” udaljena od istine. Kazne predviđene u nacrtu zakona kreću se u rasponu od 20.000 do dva miliona dinara. Sasvim je izvesno da se takvim kaznama ne može obezbediti željeni cilj.
Pri tome treba imati u vidu da se kod nas kazne generalno izriču retko, da su organi gonjenja krajnje “neraspoloženi” da otkrivaju ili sankcionišu situacije u kojima dolazi do povrede prava na zaštitu podataka o ličnosti. Naša praksa ukazuje na slučajeve koje su iz perspektive zemalja članica EU gotovo nezamislive. Teško da bi iko u EU mogao zamisliti da bez ikakvih sankcija ostane slučaj kompromitacije baze ličnih podataka gotovo 5,2 miliona ljudi, što se desilo u Agenciji za privatizaciju; ili da npr. pojavljivanje psihijatrijske medicinske dokumentacije novinara, oponenta vlasti u televizijskom tok šouu za jedinu posledicu ima izricanje opomene jednom od aktera. Da ne nabrajam dalje, ponoviću i ovom prilikom, moraćemo radikalno menjati odnos državnih organa prema zaštiti podataka o ličnosti. Oštrije sankcije od prekršajnih, u vidu tzv. upravnih mera, moraju postati deo sistema u ovoj oblasti. Uostalom, proces uvođenja tzv. upravnih mera u naš pravni poredak je već započet. Primer je Zakon o zaštit konkurencije sa odgovarajućim ovlašćenjima za kažnjavanje datim nadležnoj komisiji. Rekao bih da je indikativno uzdržavanje države da sličnim putem krene i kad je u pitanju zaštita ljudskih prava.
Imajući u vidu da se bez učešća u zajedničkom evropskom prostoru za razmenu podataka o ličnosti ne može zamisliti uspešno učešće na jedinstvenom digitalnom tržištu Evropske unije, koliko smo mi u Srbiji spremni da izađemo u susret izazovima koje ove novine donose kako bi održali postignuti nivo saradnje i poslovanja sa firmama iz EU?
Pa, u skladu sa opštim stanjem u oblasti zaštite podataka o ličnosti, te nove izazove ne dočekujemo spremni. A ako je nešto za utehu to je da je, za razliku od države, odnos preduzeća, kompanija prema ovom pitanju, na sreću, ipak bolji. Velike multinacionalne korporacije i organizacije vrše usklađivanje svog poslovanja sa GDPR, što uključuje svaku njihovu filijalu u bilo kojoj zemlji, pa i u Srbiji. Vidim to kroz komunikaciju sa onima koji se obraćaju Povereniku tražeći mišljenje i konsultacije. Oni će tražiti i naći način da svoje poslovanje dovedu u sklad sa GDPR. Dobro je da se to može reći i za jedan broj malih i srednjih preduzeća, koja nisu deo velikih globalnih kompanija, a koja posluju sa EU. Ali svakako, jednom broju takvih preduzeća pomoć bi itekako dobro došla, mogla bi čak biti i neophodna. To pitanje se ne bi smelo potcenjivati, ali do sada država nije pokazala ozbiljnije interesovanje da se njim pozabavi na odgovarajući način. U aprilu je Poverenik organizovao zaista veliku i veoma kvalitetnu dvodnevnu konferenciju posvećenu Uredbi, a u saradnji sa civilnim sektorom organizovao još nekoliko konferencija, ali to svakako nije dovoljno. Odavno upozoravam da je naš glavni problem potpuno odsustvo strateškog pristupa na globalnom planu.
Za ilustraciju toga dovoljno je reći da novi zakon o zaštiti podataka o ličnosti, na kom nadležni “rade” skoro šest godina, kao što znate, nije donet. Strategija za zaštitu podataka doneta je još 2010, ali Akcioni plan za njeno sprovođenje nikad nije ni donet, pa je Strategija sada, logično, zastarela i prevaziđena. A bukvalno „za Ginisa“ je podatak da Vlada sa donošenjem o čuvanju tzv. naročito osetljivih podataka o ličnosti docni celu deceniju. Da ne nabrajam dalje, država očigledno hronično ne prepoznaje značaj ovog pitanja.
Zakon o zaštiti podataka o ličnosti, koji je trenutno na snazi, donet je pre 10-ak godina i ne može da isprati sve tehnološke promene koje su se u međuvremenu dogodile. Čeka se usvajanje novog zakona. Šta se dešava na tom planu i u kojoj je fazi tekst nacrta zakona, odnosno koliko nas vremena deli, po Vašem mišljenju, od njegovog usvajanja?
Odavno, već godinama je jasno da nam je nov Zakon o zaštiti podataka o ličnosti bukvalno neophodan. Uprkos tome, nažalost, ono što se na tom planu dešava može se oceniti samo kao veoma loše i krajnje zabrinjavajuće. Deluje neverovatno ali Radna grupa Ministarstva pravde formirana sa zadatkom da pripremi nov zakon trebalo je da taj posao obavi do sredine 2013. godine. A mi se nismo ni mrdnuli od početka. Čak bi se moglo reći da smo situaciju samo pogoršali.
U Akcionom planu za poglavlje 23 usaglašenom sa EU stajalo je da osnov za novi zakon treba da predstavlja Model koji je pripremio Poverenik i stavio ga na raspolaganje Vladi. Taj Model koji je izradila radna grupa sačinjena odmojih saradnika prošao je i široku javnu raspravu i dobio snažnu podršku struke. Ta podrška dobila je i svoj formalni izraz u Inicijativi 18 nevladinih organizacija koji su se u maju 2017. obratili Vladi s predlogom da se pristupi usvajanju zakona na osnovu Modela Poverenika. Međutim, nacrt koji je početkom godine predstavila Radna grupa Ministarstva pravde nema baš nikakvih dodirnih tačaka sa Modelom Poverenika.
Taj Nacrt je, to sam već javno rekao, iako nekoliko puta korigovan, ostao izuzetno loš. Moram da kažem da teško da sam ikada video tekst koji je i s normativnog i s funkcionalnog stanovišta na tako niskom nivou. On je konfuzan, nejasan i što je najvažnije, potpuno neprimenljiv. Ne bih da po ko zna koji put ponavljam čak ni najvažnije od mnoštva konkretnih primedbi koje sam na njega izneo, a Vaše čitaoce koji bi o tome želeli više informacija upućujem na tekst Mišljenja o nacrtu Zakona o zaštiti podataka o ličnosti koji je Poverenik dostavio Ministarstvu pravde, (koji možete pročitati i nakon ovog teksta (prim. ur)).
Najkraće, mislim da smo još daleko od usvajanja novog zakona. Možda i na sreću, jer bi usvajanje zakona zasnovanog na nacrtu koji je prezentiran, za rezultat imalo samo veću pravnu nesigurnost i urušavanje ljudskih prava.
Kako ste i sami naveli u odgovorima na najčešće postavljena pitanja u vezi sa primenom Opšte uredbe o zaštiti podataka (GDPR), pravo da se bude zaboravljen, ili pravo na zaborav, je dobilo svoj formalni okvir odlukom Evropskog suda pravde 2014. godine. U internet okruženju, pravo na zaborav predstavlja pravo lica da ne bude pretraživo prema imenu i prezimenu, kao i nekom drugom podatku o ličnosti. Reč je o mogućnosti uklanjanja rezultata pretrage prema određenim podacima o ličnosti, dok sadržaj predmetnih stranica i dalje ostaje na internetu u funkciji ostvarivanja slobode izražavanja. Na koji način fizička lica mogu da ostvare ovo svoje pravo u praksi? Kome mogu da se obrate kako bi se neki podatak o njima uklonio iz internet sadržaja?
Presuda koju spominjete zaista je na svoj način istorijska. Nakon te presude Evropskog suda pravde koje se odnosila na pravo na zaborav, Google, na koga se upravo i odnosila, je objavio poseban način za ostvarivanje ovog prava za lica u Evropskoj uniji. Međutim, ako Google-u kao pretraživaču možda i nije neostvarivo da izvrši brisanje rezultata pretrage, tačnije samu pretragu, prema nekom podatku o ličnosti, stvari sa ostvarivanjem ovog prava u praksi kada je reč o drugim rukovaocima objektivno ne stoje ni izbliza isto. Objektivno, mnogo toga zavisi i zavisiće od načina obrade, ali i od napora i mogućnosti rukovaoca da ukloni i sve linkove koji se tiču nekog konkretnog podatka o ličnosti.
Važno je istaći da pravo na zaborav nekog lica ne mora nužno da znači potpuno brisanje svih podataka. Upravo kako navodite u pitanju, reč je pre svega o pretraživosti. U slučaju Evropskog suda pravde nije se razmatralo pitanje slobode medija da brišu podatke iz svoje arhive.
Što se ostvarivanja prava tiče to podrazumeva prvo komunikaciju sa rukovaocem, odnosno odgovarajući zahtev njemu upućen, a potom u slučaju “spora” obraćanje organu nadležnom za zaštitu podataka o ličnosti ili sudu. U slučaju spora, glavno pitanje će najverovatnije biti dokazivost da je rukovalac preduzeo razumne mere u skladu sa dostupnom tehnologijom i troškovima. A to nas vraća na pitanje o uspostavljanju nekih standarda koji će se uspostavljati i rasti vremenom, kako tehnologija postaje sve dostupnija, a troškovi manji.
Procena uticaja na zaštitu podataka postaje obavezni preduslov za otpočinjanje obrade podataka o ličnosti koja bi mogla da predstavlja veći rizik za privatnost. Kome se obratiti za procenu?
Suština ove obaveze jeste da se razmotre i, posledično, umanje rizici koje obrada podataka o ličnosti može da ima po prava lica. Nove tehnologije pored brojnih prednosti i pozitivnih uticaja na nas imaju i one negativne, koje ne smemo smetnuti sa uma. Obaveza je rukovaoca, dakle onog koji smatra da su podaci neophodni za ostvarivanje neke svrhe, da sprovede procenu uticaja. Sama Opšta uredba propisuje neke situacije koje naročito predstavljaju rizik po prava lica, kao što su automatska obrada koja uključuje profilisanje lica, ili obimna obrada posebne kategorije podataka o ličnosti, kao što su podaci o zdravstvenom stanju, ali ostavlja se mogućnost, odnosno ovlašćenje organima nadležnim za zaštitu podataka o ličnosti da propišu i druge vrste obrade čije bi sprovođenje bilo uslovljeno prethodnom procenom uticaja.
Dakle, reč je o obavezi rukovaoca podacima, on je izvršava sâm. To, razume se, podrazumeva da će sopstvene kadrovske resurse dići i održavati na nivou koji omogućava da tu obavezu izvršava ne samo formalno, već suštinski, kvalitetno. To “sâm”, naravno, podrazumeva mogućnost angažovanja odgovarajućih stručnjaka, specijalizovanih agencija i sličnih subjekata kakvi će s tim u vezi sigurno biti sve više. Mislim da je reč o procesu koji je tek otvoren i koji će dobiti maha.
Što se situacije kod nas tiče ona je, kao i uostalom i u većini pitanja u vezi sa zaštitom podataka o ličnosti, zabrinjavajuća, ne samo zbog očajno loše situacije sa pravnim okvirom, nego i zbog objektivnog stanja svesti o dimenzijama problema. Ilustracije radi spomenuću samo primer koji asocira na obavezu o kojoj govorimo.
Dakle, prema članu 44. važećeg Zakona o zaštiti podataka o ličnosti jedna od nadležnosti Poverenika je da daje mišljenje u vezi sa uspostavljanjem novih zbirki podataka, odnosno u slučaju uvođenja nove informacione tehnologije u obradi podataka.
A, naše Ministarstvo zdravlja ignorišući obavezu da zatraži ovakvo mišljenje upustilo se i to čak dosta pompezno u prezentiranje famozne aplikacije “Izabrani doktor”, a što je na kraju rezultiralo tim da je Poverenik nakon što je pokrenuo postupak nadzora morao Višem javnom tužilaštvu dostaviti odgovarajuću informaciju i predložiti mu da ispita osnovanost sumnji koje ukazuju na izvršenje krivičnog dela iz člana 146. KZ-a - neovlašćeno prikupljanje ličnih podataka.
Radi se o sumnji da je došlo do ozbiljne kompromitacije zbirki podataka o ličnosti građana Republike Srbije, i to matične evidencije RFZO, te Integrisanog zdravstvenog informacionog sistema (IZIS). Naročito osetljivi podaci građana koji se obrađuju na osnovu zakona, upotrebom promovisane aplikacije ustupljeni su, i to za svrhe direktnog marketinga i profilisanja građana, kako je to nedvosmisleno stajalo u uslovima korišćenja, privrednom društvu bez reputacije, D.o.o.-u problematičnog statusa, imena i adrese. Štaviše, tokom postupka nadzora utvrđeno je da Sorsix International doo nije imao ni validne podatke za kontakt, ni zakonskog zastupnika. Direktorka je podnela ostavku još u maju, a novi direktor, strani državljanin, postavljen tek nedavno.
Uslovi korišćenja i politika privatnosti aplikacije, odmah pošto je Poverenik otvorio postupak nadzora, uklonjeni su sa interneta, tako da je sasvim nepoznato pod kojim uslovima se podaci koriste. Nakon otvaranja postupka nadzora, aplikacija je na brzinu pretrpela više izmena, od kojih je najznačajnija ta što je, kao vlasnik iste, umesto privrednog društva Sorsix International doo, sada označeno Ministarstvo zdravlja RS, uz oznaku da aplikacija predstavlja sastavni deo IZIS-a. Ali, s obzirom da ministarstvo nije zakonom predviđeni rukovalac IZIS, već je to Institut za javno zdravlje Srbije “Dr Milan Jovanović Batut”, neminovno se otvara pitanje zakonitosti obrade podataka, odnosno neovlašćenog pristupa podacima iz IZIS-a. Ne bih dalje o ovom slučaju. Mislim da ovo što sam rekao dovoljno ilustruje dominantan, neodgovoran odnos državnih organa prema zaštiti podataka o ličnosti.
Podneli ste Ustavnom sudu Republike Srbije Predlog za utvrđivanje neustavnosti člana 45. stav 4. Zakona o zaštiti konkurencije. Reč je o odredbi koja predviđa da podaci koje “zaštiti” Komisija za zaštitu konkurencije “nemaju svojstvo informacija od javnog značaja u smislu zakona kojim se uređuje slobodan pristup informacijama od javnog značaja”. Tako se navedeni podaci žele u potpunosti, nezavisno od okolnosti, isključiti od domašaja javnosti, što je, kako navodite, potpuno suprotno rešenjima iz Zakona o slobodnom pristupu informacijama od javnog značaja kojim se na jedinstven način uređuje ostvarivanje prava javnosti. Na koji način se prisustvo ove odredbe odražava na praksu i kakve su zloupotrebe moguće?
Da, podneo sam Predlog za ocenu ustavnosti odredbe koju pominjete. Prisustvo, u pravnom poretku, odredbe koja predviđa da informacije o raspolaganju javnom imovinom mogu biti apsolutno izuzete od prava javnosti, da njihovu tajnost ni u kom slučaju, nezavisno od okolnosti, ne mogu “kontrolisati” ni Poverenik, ni sud, smatram i ekstremno kontraverznim i potencijalno vrlo koruptivnim. U dosadašnjoj praksi, bar koliko znam, na sreću nije bilo mnogo zloupotreba. Ipak, trenutno je hiperaktuelan primer koji mogućnost zloupotreba ilustruje na “odličan” način. Mislim na famozni ugovor o menadžerskom upravljanju Željezarom Smederevo, koji je Vlada Srbije zaključila sa HPK Inženjering-om, odnosno grupom menadžera okupljenih oko te firme. S pozivom na ovu odredbu Zakona o zaštiti konkurencije javnosti je potpuno uskraćena sadržina ugovora. Uvid u ugovor nije omogućen ni nakon naloga Poverenika, ni nakon kazne koje je on zbog neizvršenja naloga izrekao Ministarstvu privrede, ni nakon intervencije Ombudsmana. Ostalo je dakle potpuno nepoznato pod kojim uslovima, za koju naknadu, za koje rezultate, uz koje garancije je upravljanje Željezarom povereno ekipi stranih biznismena. Javnost je uskraćena za bilo koju informaciju o tom aranžmanu iako je već na prvi pogled očigledno da za to nije bilo legitimnih razloga. Tek kasnije, indirektno, javnost će saznati da je ta godina možda i najlošija u istoriji poslovanja Željezare Smederevo, da je završena sa znatno preko 100 miliona evra gubitaka.
Još nešto kasnije javnost se morala suočiti s činjenicom da je arbitraža u Londonu po tužbi HPK Inženjeringa zbog raskida ugovora, opet iz nepoznatih razloga, od strane naše Vlade tužiocu potrebno platiti još nekakvih 12 ili više miliona dolara. I više od toga, da po ugovoru HPK čak ima pravo i na proviziju od kasnije prodaje Željezare kineskom Hejstilu.
Sve te gubitke, honorare, provizije, naknade i sl., platili su ili će platiti građani Srbije. Apsurdno je da neko misli da ima pravo da im uskrati informacije o ovakvim poslovnim kombinacijama. A posebno je apsurdno da u ovom slučaju od Komisije za zaštitu konkurencije “zaštitu podataka” nije tražio samo strani partner, nego i naše Ministarstvo privrede.
I na kraju pitanje koje postavljamo svim našim sagovornicima, koliko u Vašem svakodnevnom radu koristite baze propisa i stručna izdanja kao što je Pravnik u pravosuđu?
Posao Poverenika podrazumeva svakodnevno suočavanje sa pitanjima iz više različitih pravnih oblasti. Samim tim podrazumeva konsultovanje mnoštva propisa ili odluka nadležnih organa. Stoga i ja i moji saradnici koristimo veći broj odgovarajućih baza propisa i stručne literature. U okviru toga npr. veoma često i zbirku propisa Paragraf Lex, i druge.