Članom 54. stav 1 Zakona o zaštiti podataka o ličnosti propisano je da „ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti”.

Ono što je ključno, a proizlazi iz gorenavedene odredbe, jeste da, u slučaju postojanja potrebe za sprovođenjem procene uticaja, ista mora biti sprovedena pre započinjanja obrade ličnih podataka, koja zahteva sprovođenje procene uticaja.

Procena uticaja na zaštitu podataka o ličnosti obavezno se vrši u slučaju:

1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica, koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, a na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;

2) obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu;

3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri;

4) obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili u marketinške svrhe;

5) upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;

6) obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;

7) obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;

8) obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;

9) obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

Prethodno navedene situacije jasno stavljaju akcenat na obradu podataka upotrebom novih tehnologija, kao i na automatizovanu obradu i profilisanje kao glavne determinante u određivanju (ne)postojanja obaveznosti sprovođenja procene uticaja. Na drugom mestu nalaze se situacije koje se odnose na obradu određenih vrsta podataka o ličnosti čiji rezultat, ukoliko se vrši na neki od gorenavedenih načina, može biti obavezivanje rukovaoca da sprovede procenu uticaja iako se obrada ne vrši upotrebom novih tehnologija. To se pre svega odnosi na obradu ličnih podataka maloletnih lica, biometrijskih podataka zaposlenih lica i posebnih ličnih podataka (podaci o rasnom ili etničkom poreklu, političkom mišljenju, verskom ili filozofskom uverenju ili članstvu u sindikatu, genetski podaci, biometrijski podaci u cilju jedinstvene identifikacije lica, podaci o zdravstvenom stanju ili podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica).

Rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica.

U tekstu u okviru časopisa Lege Artis Propisi u praksi, u januarskom broju  bliže su opisani navedeni kriterijumi a  dato je i uputstvo šta procena uticaja na zaštitu podataka o ličnosti treba da sadrži.

Redakcija

Članak Kada je obavezno sprovesti procenu uticaja na zaštitu podataka o ličnosti? se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

U Zakonu o zaštiti podataka o ličnosti  posebna  pažnja posvećena je zaštiti ličnih podataka dece putem interneta, pa je tako uređen je pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva.

Više o ovoj temi pisali smo u časopisu Lege Artis Propisi u praksi u tekstu Pristanak lica za obradu podataka o ličnosti prema novom Zakonu o zaštiti podataka o ličnosti.

Čini se da je u Zakonu moralo biti regulisano i pitanje pristanka maloletnih lica za obradu ličnih podataka koji se ne odnosi na korišćenje usluga informacionog društva, kako ne bi i dalje postojala potreba za konsultovanjem drugih propisa koji uređuju poslovnu sposobnost maloletnih lica. U tom smislu, relevantne su dve vrste pristanka maloletnih lica:

1) Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva

Maloletna lica koja su navršila 15 godina mogu samostalno da daju pristanak za obradu podataka o svojoj ličnosti pri korišćenju usluga informacionog društva.

Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu njegovih ličnih podataka pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.

Rukovalac mora da preduzme razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.

Budući da Zakon ne propisuje konkretne načine na koje bi rukovaoci trebalo da utvrđuju da li maloletna lica imaju preko 15 godina, kao ni načine na koje bi trebalo da prikupljaju pristanak roditelja i da utvrđuju nečije pravo na davanje takvog pristanka, znači da sami rukovaoci moraju da odrede i sistematizuju mehanizme za realizaciju ovih obaveza. Radna grupa u Smernicama napominje da pristup rukovalaca u takvim situacijama mora biti srazmeran informacijama koje prikupljaju, što praktično znači da su dužni da prikupljaju samo ograničene količine informacija, u zavisnosti od svakog konkretnog slučaja.

2) Pristanak maloletnog lica za obradu podataka koja nije u vezi sa korišćenjem usluga informacionog društva

Usluga informacionog društva, jeste svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektronskim sredstvima na zahtev primaoca usluga.

Kao što je već napomenuto, Zakon ne uređuje slučajeve pristanka maloletnog lica na tzv. oflajn–obradu podataka o ličnosti, odnosno na obradu podataka koja nije u vezi sa korišćenjem usluga informacionog društva, tj. pristanak lica na obradu podataka nije uređen tako da uspostavlja jedinstvenu starosnu granicu.

Različiti propisi u Republici Srbiji propisuju različite starosne granice za pojedine pravne poslove i radnje koje mogu da preduzimaju maloletna lica.

Shodno članu 64. Porodičnog zakona  („Sl. glasnik RS”, br. 18/05 i 72/11 – dr. zakon), dete koje nije navršilo 14. godinu života (mlađi maloletnik) može da preduzima pravne poslove kojima pribavlja isključivo prava, pravne poslove kojima ne stiče ni prava ni obaveze i pravne poslove malog značaja.

Dete koje je navršilo 14. godinu života (stariji maloletnik), pored pravnih poslova koje može da preduzme mlađi maloletnik, može da preduzme i sve ostale pravne poslove uz prethodnu ili naknadnu saglasnost roditelja, odnosno organa starateljstva za zakonom određene pravne poslove.

Navedenim članom Porodičnog zakona dalje je propisano da dete koje je navršilo 15. godinu života može da preduzima pravne poslove kojima upravlja i raspolaže svojom zaradom ili imovinom koju je steklo sopstvenim radom.

Ako se uzmu u obzir zakonske starosne granice maloletnog lica za preduzimanje pojedinih pravnih poslova, moglo bi se poći od pretpostavke da maloletno lice može da dâ svoj pristanak za oflajn–obradu onih podataka o ličnosti koji bi bili neophodni za preduzimanje pravnih radnji koje ova lica po zakonu mogu da preduzimaju. U zavisnosti od starosne granice maloletnog lica koja je propisana za preduzimanje pojedinih pravnih radnji, takav pristanak za oflajn–obradu podataka o ličnosti mogla bi da daju kako maloletna lica sa tako i maloletna lica bez navršenih 14 godina života.

U svakom slučaju, imajući u vidu ograničenu poslovnu sposobnost maloletnih lica propisanu zakonom, može se zaključiti da će u veoma malom broju slučajeva pristanak maloletnog lica (koje nema navršenu 18. godinu života) za oflajn–obradu podataka o ličnosti biti dozvoljen bez saglasnosti roditelja, odnosno organa starateljstva za zakonom određene pravne poslove.

 Redakcija

Članak Pristanak maloletnika na obradu podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.

General Data Protection Regulation (GDPR) je uredba Evropske unije koja se direktno primenjuje u svim državama članicama EU.

Osim što se radi o dokumentu koji je godinama unazad služio i bio predstavljen kao svojevrsno „strašilo“ za kompanije širom EU, radi se i o logičnoj nadogradnji na nekadašnju Direktivu 95/46 koja je doneta još u vreme „kada je internet bio mlad“, odnosno kada je svega 1 odsto građana EU koristilo globalnu mrežu. U međuvremenu se mnogo toga promenilo, a regulativa nije ni predvidela ni ispratila drastične tehnološke promene i migraciju biznisa na internet, te neverovatne razmere monetizacije ličnih podataka koje su korisnici ustupali internet kompanijama kao „naknadu“ za pristup njihovim servisima. Dakle, stari okvir je bio zreo za „penziju“.

Drugi bitni razlog za donošenje regulative je bila želja za unifikacijom pravila 28 članica EU, budući da je prethodni okvir dozvoljavao veliki stepen slobode državama članicama da pravila privatnosti prilagode svojim unutrašnjim prilikama (donošenjem posebnih zakona), što je neminovno vodilo ka nejednakom stepenu zaštite ovog bitnog prava.

Ne treba ispustiti i to da je reforma okvira koji uređuje zaštitu podataka o ličnosti jedan od koraka koji EU preduzima da bi uklonila regulatorne prepreke za kreiranje jedinstvenog digitalnog tržišta (Digital single market).

Na kraju, brojne odluke Evropskog suda pravde iz temelja su uzdrmale sistem zaštite podataka o ličnosti i zadale mu jak udarac, a kao najbitnije se izdvajaju: Mario Costeja Gonsales vs Google Spain (odluka koja sistematizovala „pravo na zaborav“ iz 2014. godine), Max Schrems vs Facebook Ireland (odluka koja je uzrokovala pad Safe Harbour Agreement EU i SAD iz 2015. godine) i Weltimo vs Nemzeti (odluka koja je uzdrmala princip one-stop shop kod obrade podataka o ličnosti iz 2015. godine).

Najbitnije odlike

Iako je ovaj dokument dugo predstavljan kao revolucionaran, suštinski ne donosi mnogo do sada nepoznatih novina, jer se i dalje zasniva na tome da svaka obrada podataka mora da bude transparentna, zakonita i srazmerna. Ono što jeste novost je bolja sistematizacija, jasnoća i razrada ovih pravila, kao i drastične kazne za nepoštovanje tih pravila, što zapravo i predstavlja pravi razlog za medijsku pažnju u odnosu na ovaj dokument. Jedna od zanimljivijih novina se tiče „ekstrateritorijalne primene“ GDPR na države koje nisu članice EU, kada se radi o podacima lica pod jurisdikcijom EU, u vezi sa njihovim aktivnostima u EU. Na primer, po tim pravilima bi naša domaća turistička agencija koja nudi turističke usluge Austrijancima u Austriji bila dužna da primenjuje GDPR iako se nalazi u državi koja nije članica EU.

Druga bitna novina su znatno više novčane kazne četiri posto godišnjeg prometa ili 20 miliona evra (zavisi od toga koja je cifra veća) za bitne povrede i dva odsto godišnjeg prometa ili 10 miliona evra (opet zavisno od toga koja je cifra veća). Drastične kazne i jesu pravi razlog nervoze oko GDPR-a.

Zaštita podataka o ličnosti protiv slobode izražavanja

Često se zaboravlja koja bi trebalo da bude suštine zaštite podataka o ličnosti. Zaštita ličnih podataka je ljudsko pravo, koje predstavlja jednu od komponenti prava na privatnost, a koje je prepoznato i najvišim međunarodnim i domaćim aktima (naš Ustav ga prepoznaje u članu 42).

Kao ljudsko pravo ono je univerzalno i neotuđivo, a dostignuti nivo zaštite tog prava ne sme da se sužava. Istovremeno, ovo pravo je moguće ograničiti ako je mera ograničenja propisana zakonom, neophodna u demokratskom društvu, a radi zaštite osnovnih interesa takvog društva (javna i nacionalna bezbednost, zaštita zdravlja, zaštita prava i sloboda drugih itd.) uz to da takva mera mora da bude srazmerna cilju koji bi trebalo da postigne (principi koji su poznati u međunarodnim dokumentima o ljudskim pravima).

U tom kontekstu bi trebalo posmatrati i tzv. „pravo na zaborav“, koje je sistematizovano u EU nakon čuvene presude Mario Costeja Gonsales vs Google Spain, gde je Evropski sud pravde (radi se o sudu EU ne o poznatijem Evropskom sudu za ljudska prava) ukazao na obavezu internet pretraživača da uklone lične podatke iz pretrage ako „interes zaštite ličnih podataka preteže nad ekonomskim interesom pretraživača i interesom javnosti u vezi s tim konkretnim podacima“. GDPR je ovo pravo podigao na viši nivo jer ga je predvideo kao pravo koje fizičko lice može da koristi prema bilo kom rukovaocu, a kao jedan od izuzetaka je predviđeno upražnjavanje prava na slobodu izražavanja. Kod upražnjavanja ovog prava može doći do sukoba prava javnosti da sazna informacije u javnom interesu i prava pojedinca na zaštitu ličnih podataka. Na primer, da li bi neki bivši funkcioner koji nije aktivan u politici dugi niz godina mogao da traži da mu neki internet portal obriše lične podatke iz priče o zloupotrebi službenog položaja koja se desila pre 20 godina.

Posebno problematično je što bi medij bio taj koji to procenjuje, i samim tim rizik od pogrešne procene i od kažnjavanja se povećava. Ovaj rizik je posebno visok u zemljama sa niskim stepenom razvoja prava na slobodu izražavanja i demokratske kulture, pa je moguće zamisliti da Pravo na zaborav u Srbiji postane još jedno u nizu efikasnih sredstava za posrednu cenzuru prema medijima. Ovo nije jedina stvar oko koje medij može da ima problema u kontekstu poštovanja prava na privatnost. Dovoljno je pomenuti prikupljanje cookies, korišćenje alata za analitiku, upotrebu dodataka za društvene mreže (na primer Facebook pixel) i posedovanje baze podataka korisnika koji komentarišu objave na portalima ili baze podataka o ličnosti korisnika stranica medija na društvenim mrežama, pa čak i baze podataka pretplatnika, da bi se zaključilo da mediji nisu izolovani od novog regulatornog okvira, i da moraju da posvete veliku pažnju ovom pitanju.

Srbija i GDPR

Novi Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018 – dalje: Zakon) je stupio na snagu krajem novembra, s tim da je primena praktično odložena do 21. avgusta 2019. godine. Zakon je, možda čak i previše doslovno preneo GDPR u domaći poredak, što može da izazove probleme i brojne nedoumice u njegovoj praktičnoj primeni. Druga karakteristika je da je u Zakon „uneto“ i Uputstvo EU 2016/680, koje se tiče obrade podataka o ličnosti koju vrše organi javne vlasti u svrhe sprečavanja, istrage, otkrivanja i krivičnog gonjenja ili izvršenja krivičnih sankcija. Ovakva transpozicija dva inače obimna dokumenta EU je Zakon „pretvorilo“ u prilično obiman, za čitanje zahtevan zakon, kroz koji se nekad i stručnjaci teško snalaze. Jedna od upadljivih razlika Zakona i GDPR-a je u znatno nižim novčanim sankcijama. Naime, Zakon predviđa dve kategorije novčanih kazni, jednu koju izriče sud u prekršajnom postupku čija je gornja granica dva miliona dinara i novčanu kaznu u fiksnom iznosu koju izriče Poverenik, a najviša takva kazna je fiksirana na iznos od 100.000 dinara. Valjalo bi napomenuti i to da novi Zakon daje priličan broj novih ovlašćenja Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, a da istovremeno nema naznaka da će se tehnički i kadrovski kapaciteti ove institucije povećati, kao i da procedura za izbor novog Poverenika nije ni započela, može se sa razlogom izraziti bojazan u spremnost za primenu novog regulatornog okvira. S druge strane, panika u redovima rukovalaca pokazuje da ni sami obveznici Zakona nisu najspremniji na novi okvir.

Izvor: sajt Danas
Naslov: Redakcija

Članak Regulativa EU koja uređuje zaštitu podataka o ličnosti se pojavljuje prvo na PROPISI.NET | Svi propisi Republike Srbije online.