3 min čitanja

Podeli ovaj članak

Rate this Post

GDPR Srbija – Ministarstvo pravde izgubljeno u prevodu?

01/09/2018

Presuda je doneta. Brisel se izjasnio da Nacrt Zakona o zaštiti podataka o ličnosti ne zadovoljava standarde EU, uprkos pogrešnoj interpretaciji Ministarstva.

Iako se već godinama vodila debata u vezi sa zaštitom prava na privatnost građana Srbije, sada je jasno da ni novi zakon neće obezbediti nivo zaštite građanima koji imaju građani EU. Tokom avgusta 2018. godine, EU je zauzela jasan stav povodom poslednjeg nacrta Zakona o zaštiti podataka o ličnosti (dalje: Zakon): ako se usvoji predloženi nacrt, Srbija će morati da menja celokupan pravni okvir zaštite podataka o ličnosti prvog dana članstva u EU. Proističe da je pripremanje novog zakona tokom prethodnih pet godina bilo uzaludno za građane Srbije.

Prema tome, pitanje je da li se Ministarstvo pravde još jednom izgubilo u prevodu? Ovo je izgleda još jedan „nesporazum” u nizu zbog „jezičkih razlika”. Prethodni je nastao kada je Ministarstvo pravde izjavilo da je zadovoljno mišljenjem Venecijanske komisije datim povodom predloga Ustavnih amandmana. Međutim, nakon kritika javnosti i struke, ispostavilo se da Venecijanska komisija ima veoma ozbiljne i suštinske zamerke koje nemaju veze sa jezičkim nijansama, iako je to Ministarstvo pokušalo da opravda, između ostalog „razlikama u prevodu”.

Podsećamo da je trenutno važeći Zakon o zaštiti podataka o ličnosti donet još 2008. godine. Da je potrebno da se zakonski okvir promeni bilo je jasno još 2013. godine, kada je i formirana radna grupa za nacrt novog zakona. Kao glavni motivator za promenu zakona navodila se „harmonizacija sa pravnim tekovinama EU”. Radna grupa je trebalo da završi svoj posao u maju 2013. godine.

Pa ipak, prvi nacrt Zakona bio je objavljen gotovo četiri godine kasnije i to krajem 2017. godine. Od objavljivanja, nacrt je trpeo ozbiljne kritike u okviru Srbije, a i Brisel je Ministarstvu ukazivao na brojne nedostatke. Nažalost, uticaj na Ministarstvo bio je ograničen. U treći nacrt su unete samo kozmetičke izmene koje nisu suštinski uskladile oblast zaštite privatnosti i podataka o ličnosti sa propisima EU.

Početkom avgusta su mediji u Srbiji objavili izjavu Ministarstva pravde da je treći (i za sada poslednji) nacrt Zakona o zaštiti podataka o ličnosti pozitivno ocenjen od strane Evropske komisije i Eurojust-a. Na pitanje pripadnika civilnog sektora da se javnosti omogući da te pozitivne komentare pročita i samostalno, Ministarstvo pravde je odgovorilo da je to nemoguće, jer mišljenje „ne postoji kao jedinstveni tekst”.

Ipak, pojedine organizacije civilnog društva su se, korišćenjem mehanizma koji je predviđen Zakonom o slobodnom pristupu informacijama od javnog značaja, obratile Ministarstvu za evropske integracije. Tim putem javnost je konačno došla do dva dokumenta:

  • Opšti, načelni komentari Evropske komisije na Nacrt zakona i
  • Konkretni, pravno-tehnički komentari na pojedine članova Nacrta zakona.

 

Analizirajući nedvosmislene navode EK, sumirali smo nekoliko razloga zašto Srbija neće ispunjavati standarde pravne zaštite podataka o ličnosti koje imaju ostale članice EU. Uprkos izjavama Ministarstva pravde o pozitivnoj oceni, smatramo da je ni najširim mogućim tumačenjem stava Brisela teško izvesti optimističan zaključak. Prema našem mišljenju, presuda EU je jasna: nacrt ne zadovoljava.

1. LEKCIJA O OSNOVNIM PRAVILIMA PRAVA EU

U opštim komentarima, EU daje „lekciju” Ministarstvu pravde o osnovnim pravilima prava EU, a koja bi državi u statusu kandidata morala biti veoma dobro poznata. Uredbe EU (kao što je uostalom i Opšta uredba o zaštiti podataka o ličnosti (dalje: GDPR)) imaju obaveznu pravnu snagu i direktno se primenjuju u svim članicama EU. One se primenjuju neposredno i ne zahtevaju usvajanje dodatnih nacionalnih propisa ili administrativnih mera, kao nadnacionalni (evropski) zakoni. Njima se postiže unifikacija prava na nivou EU.

Sa druge strane, pojašnjavamo da je Direktiva EU zakonodavni akt kojim se utvrđuje cilj koji sve države članice EU-a moraju ostvariti. Međutim, svaka država samostalno odlučuje o načinu na koji će ostvariti taj cilj. Direktivom se postiže harmonizacija, ali ne i unifikacija.

Upravo najznačajnija izmena u oblasti zaštite podataka o ličnosti u okviru EU je zamena Direktive o zaštiti podataka o ličnosti iz 1995. sa Opštom Regulativom o zaštiti podataka o ličnosti, radi postizanja potpune unifikacije.

Dakle, kao kandidat za članstvo u EU, Srbija ne treba posebno da „prenosi” ili „interpretira” GDPR u svoje zakonodavstvo (osim kada je to posebno označeno u uredbi ili kada je neophodno za njenu primenu), a naročito ne na nepravilan način ili na način direktno suprotstavljen odredbama ove opšte uredbe. Razlog tome je što će momentom dobijanja statusa članice EU, bilo koje odredbe koje budu bile u suprotnosti sa opštom uredbom biti automatski nevažeće. Uprkos tome, izgleda da Srbija kao država kandidat ne poštuje takva pravila, već uvodi sopstvenu verziju GDPR-a u pojedinim delovima Nacrta zakona ili potpuno zanemaruje odredbe opšte uredbe. Stoga, kritike EU su, prema našem mišljenju, potpuno opravdane.

2. DVA-U-JEDAN PRISTUP NIJE PRIHVATLJIV

Veoma je čudno da je Radna grupa odlučila da u jedan zakon stavi materiju koja je na nivou EU regulisana u okviru GDPR, sa jedne strane, i Direktivom o policiji, sa druge strane. Svako ko je samo pokušao da prelista GDPR (čak i bez pokušaja da razume kompleksnost i opsežnost čitavog akta) je mogao da vidi da se radi o izuzetno obimnom pravnom aktu. Sa druge strane, Direktiva o policiji, kao lex specialis, na poseban način uređuje pitanje ovlašćenja državnih organa u prikupljanju i obrađivanju podataka o ličnosti prilikom otkrivanja krivčnih dela.

U EU su ovo dva režima koja su uvek bila odvojena. Dok je prvi režim pre stupanja na snagu GDPR bio u okviru Direktive 95/46 EC, ovlašćenja policije i drugih organa su prethodno bila propisana Opštom Odlukom 2008/977/JHA. Za to je postojao i logičan razlog: neophodnost da se prepoznaju specifične potrebe državnih organa u prevenciji, istrazi i gonjenju počinilaca krivičnih dela.

Paket promena koji je stupio na snagu u maju 2018. godine u okviru EU zadržao je dualni režim. Dok se GDPR odnosi na zaštitu podataka o ličnosti uopšte, Direktiva o policiji se odnosi na prikupljanje podataka za svrhu prevencije, istrage, otkrivanja i gonjenja počinilaca krivičnih dela, kao i radi izvršenja krivičnih sankcija. Uopšteno gledano, obrada podataka koja je predmet GDPR podrazumeva veća ograničenja, ali je predviđeno više pravnih osnova za takvu obradu. Kontrolor može da bira jedan od navedenih šest pravnih osnova za obradu podataka.

U Direktivi o policiji je slučaj da su pojedinim državnim organima data šira ovlašćenja, ali samo po jednom pravnom osnovu – kada postoji neophodnost da se „izvrši zadatak od strane ovlašćenog organa, onda kada je takav zadatak zasnovan na nacionalnom pravu ili pravu EU”. Šira ovlašćenja policije nekada zadiru u osnovna prava lica čiji se podaci prikupljaju, a koja su inače predviđena GDPR. Na primer: kada prikupljaju podatke radi istrage krivičnog dela, organi o tome ne moraju da obaveste lica čije podatke prikupljaju, što je inače jedno od fundamentalnih pravila u GDPR.

Imajući u vidu ovo objašnjenje, ostaje potpuno nejasno zašto se radna grupa odlučila da u jednom zakonu reguliše oblasti koje EU nije mogla da objedini u jedan pravni instrument.

EK kritikuje nacrt zbog ovakve strukture, jer smatra da nije konzistentan. Navode da toliko veliki broj izuzetaka koji su predviđeni u Nacrtu (a koji su trebali da budu predmet potpuno drugog zakona koji bi bio lex specialis) predstavlja potencijalni problem za pravnu sigurnost i ostavlja širok prostor za zloupotrebe. Kao jedan od primera, navodi se da se u nacrtu predviđa preko 40 izuzetaka od pravila.

Iz takve kritike proističe da se EU u nekoj meri slaže sa primedbama koje je Poverenik do sada isticao u oštroj debati sa Ministarstvom pravde, koja traje od objavljivanja prvog nacrta. Poverenik je, čini nam se s pravom, isticao da se „neizbežno ostavlja utisak da je pisan više u interesu „bezbednosnih struktura” nego u interesu prava građana”. To je istinski alarmantno, jer je osnovni cilj GDPR upravo stavljanje pojedinca i njegovih prava na centralno mesto.

3. ČITLJIVOST I JASNOĆA ZAKONA SU OZBILJNO DOVEDENI U PITANJE

U opštim komentarima na Nacrt, Brisel podseća Ministarstvo da je pravo na zaštitu podataka o ličnosti fundamentalno pravo EU, zbog čega se posebna pažnja mora posvetiti jasnoći Zakona. EK zaključuje „da je to nešto, što se ne bi moglo reći za trenutni nacrt”.

Pojašnjavamo da je pojam zaštite podataka o ličnosti potekao iz Prava na privatnost kao ljudskog prava, te da na međunarodnom nivou još uvek nije stekao potpunu samostalnost. Međutim, koliku važnost EU pridaje oblasti zaštite podataka najbolje ukazuje činjenica da je ono prepoznato kao samostalno pravo u članu 8 Povelje EU o osnovnim pravima. Povelja EU je ovo pravo predvidela nezavisno od Prava na poštovanje ličnog i porodičnog života (član 7 Povelje), za razliku od, recimo, Evropske konvencije o ljudskim pravima i osnovnim slobodama.

Osim toga, nezavisno od standarda EU i procesa pridruživanja, čitljivost i jasnoća zakona bi trebali da budu imperativ zbog dobrobiti građana Srbije. Ako to nije slučaj, i državni organi, i drugi subjekti će biti u prilici da zloupotrebljavaju nejasno slovo zakona na račun našeg prava na privatnost.

4. NEUSAGLAŠENOST SA GDPR

 

Evropska Komisija kritikuje nacrt, kako zbog pukog prepisivanja pojedinih odredbi GDPR, tako i zbog toga što su pojedine odredbe direktno suprotstavljene odredbama Opšte uredbe.

Paradoksalno, iz mišljenja proističe da tamo gde sama uredba ostavlja prostor za dalju konkretizaciju i prilagođavanje nacionalnom zakonodavstvu, takva prilika se propušta. Sa druge strane, neki od osnovnih instituta iz opšte regulative se definišu na način suprotstavljen GDPR. Takav pristup predstavlja potencijalan problem, jer se ostavlja prostor za tumačenje i pogrešnu primenu odredbi u okviru Srbije u odnosu na članice EU.

Kao jedan od primera neusaglašenosti sa GDPR-om navodi se definicija „saglasnosti” lica čiji se podaci obrađuju.

Pojašnjavamo, da bi bilo koji subjekat prikupljao ili obrađivao podatke o ličnosti, mora imati određeni pravni osnov za takvo postupanje. U članu 6 GDPR predviđa ukupno šest mogućih pravnih osnova za obradu podataka.

 

U uvodnom pojašnjenju 32, GDPR daje objašnjenje saglasnosti navodeći da ona mora biti data radnjom koja potvrđuje da postoji slobodno dat, konkretan, zasnovan na prethodnoj informisanosti i nesumnjivi pokazatelj da postoji saglasnost za obradu podataka. GDPR navodi da su to pismena izjava, uključujući izjavu datu elektronskim putem ili usmena izjava.

Ipak, kako i EU jasno navodi u svojim komentarima na član 4, Nacrt zakona daje definiciju koja se ne poklapa sasvim sa definicijom u GDPR. Ovo može biti veoma opasno, budući da je saglasnost ključni institut u okviru GDPR-a i Zakona o zaštiti privatnosti.

Osim što je različita, u Nacrtu zakona se u jednom momentu pojavila definicija saglasnosti koja je proširena do te mere da obuhvata vrlo problematične situacije. Tako, na primer: ranije predložena odredba predviđa da će se smatrati da je lice saglasno sa prikupljanjem i obradom podataka o ličnosti putem video nadzora, samim ulaskom u prostor sa video nadzorom, pod uslovom da je na tom prostoru označeno da postoji video nadzor.

EU je jasno istakla da je ovaj primer davanja saglasnosti problematičan sa aspekta GDPR. U poslednjoj verziji nacrta izgleda da je ovaj primer izostavljen, ali u praksi može doći do njegovog ulaska na mala vrata kroz šire tumačenje izraza „potvrdne radnje” iz člana 4 stav 1 tačka 12 nacrta.

Razlog za to je činjenica, a što i EK izričito navodi u svom mišljenju, što radna grupa nije uzela u obzir uvodna pojašnjenja iz GDPR-a, koja pomažu tumačenje i razjašnjenje jezika sadržanog u samim normama.

Inače, prikupljanje podataka o ličnosti putem video nadzora je jedno od najkontroverznijih pitanja u dosadašnjoj debati povodom Nacrta Zakona. Poverenik je naročito isticao da je ovo pitanje veoma problematično u praksi, jer nije jasno regulisano u postojećem pravnom okviru.

Iz komentara Evropske komisije jasno je da neusaglašenost sa GDPR postoji i u mnogim drugim apsektima. Na primer: više puta se naglašava da „legitimni interes” nije „interes zasnovan na zakonu”, da odredbe o prenosu podataka nisu adekvatne, kao i da je problematično odsustvo mogućnosti ostvarivanja obeštećenja putem suda.

Stoga, čini se da GDPR još uvek nije stigao u Srbiju (bar ne na pravilan način).

5. INSTITUT POVERENIKA

Kada je u pitanju institut Poverenika, u pojedinim odredbama Nacrt upućuje na Zakon o pristupu informacijama od javnog značaja. Ipak, trenutno važeći zakon pod ovim imenom je iz 2004. godine i u toku je njegova izmena, pa nije jasno šta će biti epilog za ovu spornu temu.

U ovakvim okolnostima, jasno je da treći nacrt ne bi smeo biti i poslednji. Na kraju, od toga polazi i sama EU. Mišljenje se završava predlogom da se organizuje zajednički sastanak Ministarstva, Poverenika i predstavnika EU, radi sačinjavanja novog nacrta zakona. U takvim okolnostima, smatramo da bi bilo nedopustivo da se ovakav stav EU ne ispoštuje, kako zbog samog procesa pridruživanja EU, tako i zbog zaštite osnovnih prava građana Republike Srbije.

Ipak, ostaje da se vidi kako će saga o zaštiti podataka u Srbiji završiti (a možda i započeti).

1. Prvi Nacrt zakona je objavljen 27.11.2017. godine i dostupan je na: https://www.mpravde.gov.rs/sekcija/53/radne-verzije-propisa.php (datum poslednje posete: 01.09.2018. godine)
2. Na primer, http://www.rts.rs/page/stories/sr/story/125/drustvo/3222037/ek-i-eurodzast-dali-pozitivno-misljenje-na-nacrt-zakona.htm
3. Na primer, https://insajder.net/sr/sajt/pitanjedana/11944/
4. Dostupno na: https://insajder.net/sr/sajt/vazno/11936/.
5. Direktiva EU 2016/680 o zaštiti pojedinaca u vezi sa obradom ličnih podataka od strane nadležnih organa u svrhe sprečavanja, istrage, otkrivanja ili progona krivičnih dela ili izvršavanja krivičnih sankcija i o slobodnom kretanju takvih podataka (dalje: Direktiva o policiji).
6. Član 1 Direktive o policiji.
7. U odeljku 4 pojašnjavamo šest pravnih osnova za obradu podataka o ličnosti u skladu sa GDPR.
8. Saopštenje Poverenika je dostupno na: https://www.poverenik.rs/sr/ (poslednja poseta: 01.09.2018. godine).
9. U članu 8 Evropska konvencija za zaštitu ljudskih prava i osnovnih sloboda predviđa Pravo na poštovanje privatnog i porodičnog života. Tekst same odredbe upućuje na zaštitu od postupanja državnih organa. Ipak, u sudskoj praksi Evropski sud za ljudska prava je primenu ove odredbe proširio na zaštitu ličnih podataka na internetu (na primer, K.U. v. Finland, predstavka br. 2872/02, 2. decembar 2008. godine).

Slični blogovi

Najnoviji blogovi

Niste sigurni odakle da krenete?

Ukoliko niste sigurni koji je prvi korak, zakažite konsultacije sa jednim od naših stručnjaka.

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Ovo nije samo još jedan newsletter

Zaboravite dosadne pravničke analize i teoriju.
Saznajte za rokove i primajte vesti koje zaista pomažu vašem poslovanju.