Posle donošenja zakona o e-trgovini a kojim smo se bavili u prethodnim blogovima, na red je došao i novi zakon. Zakon o zaštiti podataka o ličnosti ili srpska verzija evropskog GDPR-a. Kao i svaka srpska verzija nekog inostranog poduhvata, došla je uz mnogo “lomljave preko kolena”, intervencija stručne javnosti i tradicionalnog formalizma naših zakonodavaca.
Na ovaj zakon koji je ranije usvojen a počeo da se primenjuje 21. avgusta 2019. godine, razni akteri su dali svoj komentar. Uglavnom su to bile zamerke. Doduše bilo je i nekih ohrabrenja od strane zakonodavca da je ovo tek “krovni zakon” i da će se tek raditi na konkretnim oblastima primene.
O čemu je zapravo zakon o zaštiti podataka o ličnosti?
Ipak, tekst zakona koji smo dobili , ma koliko “krovan” bio, tek je prevod evropskog GDPR-a. Na to su ukazivali stručnjaci i sam bivši poverenik Rodoljub Šabić.
Služba sledećeg Poverenika, zajedno sa stručnim organizacijama iz ove oblasti su unazad mesecima upozoravali na nejasnoće u primeni Zakona, kao i činjenicu da Zakon nije prilagođen pravnom sistemu Srbije. Samo prevođenje uredbe iz stranog zakonodavstva ne pije vodu i može dovesti do multiplikovanih problema. Ovo važi za brojne institucije i kompanije koje na kraju neće imati dovoljno kapaciteta da odgovore obavezama koje nameće zakon.
Šta to znači zapravo? Svi državni organi, tj. organi javne vlasti po ovom Zakonu moraju da imaju lica zadužena za zaštitu podataka o ličnosti. U pitanju je ogroman broj, preko 12000 organa. To je u prevodu isto toliko ljudi koje odnekud treba “iskopati” i zaposliti kao službenike za zaštitu podataka o ličnosti. Pitanje je kako stojimo sa ljudstvom, budžetom i vremenom, ali izgledi nisu sjajni.
Šta je sa ostalima?
Pored pomenutih organa javne vlasti, a hiljade njih su u pitanju, postavlja se pitanje – šta da rade ostali? Prema onom što u zakonu piše, uslovi za obradu podataka su dosta pooštreni. To znači da je potrebno i dodatno uložiti u osoblje, ali i u alate. Pre svega mislimo na softvere koji bi privredi i ostalim entitetima pomogli da pravilno primenjuju Zakon. Dakle, da li se ostavilo dovoljno prostora kompanijama, preduzetnicima, marketarima ali i samim građanima da se pripreme? Očigledno da nije, jer sada su svi na jednoj pravnoj vetrometini. Građani imaju prava koja ni sami državni organi nisu spremni da im garantuju, a privreda obaveze koje nije tražila niti je bila spremna da prihvati.
O iskoraku na bolje kada su u pitanju građani i odredbe ovog zakona malo kasnije u tekstu, ali šta sve to znači za privredu, preduzeća i marketare?
Novim odredbama, oni moraju da na nedvosmislen način dobiju pristanak građana na obradu podataka. Dakle, mora postojati pisani (digitalni) trag o njihovom pozitivnom odgovoru na jasan i nedvosmislen upit.
Odnosi li se zakon i na građane?
Dalje, prema Zakonu, svi privredni subjekti su dužni da građanima detaljno objasne kako obrađuju podatke o ličnosti, dakle bezbednost, proces i da im se omogući opoziv pristanka. Na njima je kako će te odredbe sprovesti i kakva digitalna i ostala rešenja imaju na raspolaganju. Dakle, kompanije su dobile set obaveza koje prethodnim zakonom nisu bile propisane. Što se tiče kaznene politike, od toga da su se kazne za zloupotrebu podataka o ličnosti ranije kretale od 50 hiljada do milion, sada je raspon do čak dva miliona dinara.
Građani i nisu tako loše prošli jer se zaista mnogo detaljnije uređuje ova oblast nego ranije i značajno proširuju prava građana u zaštiti ličnih podataka. Oni su, pored već sada uobičajenih prava na uvid, kopiju i ispravku podataka dobili i pravo na informisanje i brisanje podataka. Uvedena su i nova prava, kao što je pravo na prenosivost podataka, koje nam omogućava da jednom prosleđene podatke firma mora da ustupi drugoj firmi, na vaš zahtev.
Nedostaci “našeg” GDPR-a
Prvi nedostatak na koji su ukazivali mnogi nije nužno morao da bude nedostatak. Ovaj Zakon je doslovce prevedena EU uredba o zaštiti podataka o ličnosti. Da je naša država pratila korak u harmonizaciji pravila i zakona sa EU, da je na malo većem stupnju razvoja i uspela da uskladi sve odredbe i uvede nove institute i pravila, onda ovaj prevod ne bi “legao” toliko loše. Ovako, sve je upitno – struktura zakona je nerazumljiva i prekomplikovana, sa mnoštvom rešenja koja nisu kompatibilna sa našim pravnim sistemom.
Građani bi, prema Zakonu trebali da reaguju ukoliko neko zloupotrebi njihove podatke a sada imaju potreban mehanizam da to učine. To mogu da učine tako što upute “pritužbu” Povereniku za za zaštitu podataka o ličnosti. Sve bi to bilo u redu da taj institut nije stran našem pravnom sistemu. On u stvari postoji, kao mehanizam koji reguliše potpuno drugačiju pravnu oblast. U nekoj organizaciji na primer.
Procedura sprovođenja
Prema tumačenjima kreatora zakona, „Poverenik može sam da pokrene postupak zaštite, da ode u inspekciju, ili da to učini po pritužbi nekog lica.” Ako se utvrdi da je nedvosmisleno utvrđeno da je nečije pravo povređeno, Poverenik će moći da izriče novčane kazne neposredno, a na osnovu prekršajnog naloga, u skladu sa Zakonom o prekršajima. Ukoliko postoje neke sumnje ili je potrebno dalje utvrđivanje, Poverenik će podnositi zahtev za pokretanje prekršajnog postupka pred sudom.
Jednostavno, zar ne? Lakši deo je urađen, Zakon je stupio na snagu. Ali, šta ćemo sa primenom? Imamo situaciju gde se gro donešenih zakona ne primenjuje ili selektivno primenjuje. Šta je sa silnim postupcima koje je Poverenik već pokrenuo? Epilog se ne nazire. Još problematičnije je što su i sami pojedinci u državnim institucijama niz godina pod sumnjom da su više puta kršili pravo građana na privatnost. Potrebno je jačati vladavinu prava i uvesti sistem odgovornosti za sve – to je jedini put do uspešne primene zakona.