STRATEGIJAZAŠTITE PODATAKA O LIČNOSTI ZA PERIOD OD 2023. DO 2030. GODINE("Sl. glasnik RS", br. 72/2023) |
Vlada Srbije donela je 2010. godine, Strategiju zaštite podataka o ličnosti, koja je objavljena u "Službenom glasniku RS", broj 58/10 (u daljem tekstu: Strategija iz 2010. godine), kao prvi planski dokument kojim je u oblasti zaštite podataka o ličnosti utvrđen strateški pravac delovanja i sprovođenja javnih politika. Strategijom iz 2010. godine utvrđena su ključna načela zaštite podataka o ličnosti, opšti i posebni ciljevi aktivnosti u ovoj oblasti, kao i institucionalni okvir za sprovođenje zaštite podataka o ličnosti. Strategijom iz 2010. godine je, takođe, bilo predviđeno da će, u roku od 90 dana od dana objavljivanja, Vlada Srbije doneti akcioni plan za njeno sprovođenje, sa definisanim aktivnostima, očekivanim efektima, nosiocima konkretnih zadataka i rokovima za izvršenje zadataka i da će, da bi se obezbedila njena puna primena, formirati posebno radno telo koje će nadzirati obezbeđenje uslova i sprovođenje te strategije i akcionog plana, vršiti koordinaciju državnih organa u cilju efikasnog funkcionisanja sistema zaštite podataka o ličnosti, izveštavati nadležne organe o sprovođenju Strategije i uočenim problemima pri njenoj realizaciji i inicirati izmenu Strategije, u skladu sa novonastalim potrebama i uočenim nedostacima. Akcioni plan za sprovođenje Strategije iz 2010. godine, međutim, nije donet, niti je formirano posebno radno telo za njeno sprovođenje, što je za rezultat imalo izostajanje očekivanih efekata tog dokumenta u deceniji koja je iza nas, posebno imajući u vidu činjenicu da se radi o vremenskom periodu u kome je, kako u domaćem, tako i u međunarodnom okruženju, došlo do dinamičnih promena u pogledu tehnologije i obima obrade podataka o fizičkim licima.
1.1. Inicijativa za donošenje strategije
Navedeno predstavlja ključni razlog zbog koga je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) pokrenuo inicijativu za inoviranje javne politike u oblasti zaštite podataka o ličnosti, koju je Ministarstvo pravde, kao nadležni predlagač u smislu člana 29. stav 1. Zakona o planskom sistemu ("Službeni glasnik RS", broj 30/18) prihvatilo, pa se pristupilo izradi nove strategije, za period do 2030. godine.
1.2. Učesnici u izradi Strategije zaštite podataka o ličnosti za period od 2023-2030. godine (u daljem tekstu: Strategija)
U izradi Strategije učestvuju:
- Kabinet predsednika Vlade;
- Ministarstvo pravde koje je, pored ostalog, nadležno za pripremu propisa o zaštiti podataka o ličnosti;
- Poverenik, koji je nadležan da vrši nadzor i obezbeđuje primenu Zakona o zaštiti podataka o ličnosti, kao i da obavlja druge poslove određene tim zakonom;
- Ministarstvo za rad, zapošljavanje, boračka i socijalna pitanja;
- Ministarstvo unutrašnjih poslova;
- Ministarstvo kulture;
- Ministarstvo državne uprave i lokalne samouprave;
- Ministarstvo prosvete;
- Ministarstvo unutrašnje i spoljne trgovine;
- Ministarstvo informisanja i telekomunikacija;
- Ministarstva građevinarstva, saobraćaja i infrastrukture;
- Ministarstvo privrede;
- Ministarstvo zdravlja;
- Ministarstvo finansija;
- Ministarstvo finansija - Poreska uprava;
- Ministarstvo finansija - Uprava carine;
- Centralni registar obaveznog socijalnog osiguranja;
- Republički sekretarijat za javne politike;
- Kancelarija za informacione tehnologije i elektronsku upravu;
- Institut za javno zdravlje "Dr Milan Jovanović Batut";
- Narodna banka Srbije;
- Upravni sud;
- Prekršajni sudovi;
- Vrhovno javno tužilaštvo;
- Gradska uprava grada Beograda;
- Pravosudna akademija;
- Privredna komora Srbije;
- organizacije civilnog društva.
2. PLANSKI DOKUMENTI I PRAVNI OKVIR RELEVANTAN ZA STRATEGIJU
Strategija je pripremljena u skladu sa drugim planskim dokumentima, odnosno programima planiranja i koordinacije javnih politika. Dokumenta javnih politika koja su uzeta u obzir tokom pripreme strategije su:
1) Strategija reforme javne uprave u Republici Srbiji za period od 2021. do 2030. godine ("Službeni glasnik RS", br. 42/21 i 9/22);
Strategijom reforme javne uprave u Republici Srbiji za period od 2021. do 2030. godine utvrđeni su ciljevi, mere i aktivnosti koji treba da doprinesu poboljšanju pravnog i organizacionog okvira javne uprave, njenih institucionalnih, organizacionih i kadrovskih kapaciteta, kao i omogućavanje stvaranja organizacione kulture okrenute građanima. Navedena strategija od značaja je za dalji razvoj stručne službe Poverenika kao nezavisnog državnog organa, što će doprineti i ostvarenju ciljeva utvrđenih ovom strategijom.
2) Strategija razvoja veštačke inteligencije u Republici Srbiji za period 2020-2025. godine ("Službeni glasnik RS", broj 96/19);
Zaštita podataka o ličnosti je usko povezana sa razvojem veštačke inteligencije, imajući u vidu da je jedan od izazova koje razvoj tehnologije veštačke inteligencije donosi upravo sprečavanje zloupotrebe te tehnologije i pronalaženje balansa između njene upotrebe i obezbeđivanja uslova za zaštitu privatnosti.
3) Strategija razvoja digitalnih veština u Republici Srbiji za period od 2020. do 2024. godine ("Službeni glasnik RS", broj 21/20);
Misija Strategije razvoja digitalnih veština u Republici Srbiji za period od 2020. do 2024. godine odnosi se na unapređenje sistema kojim se ostvaruju veće digitalne veštine građana razvojem računarskog razmišljanja, pružanjem veština koje su potrebne za svakodnevni život i razvoj uspešne karijere u digitalnoj ekonomiji, kao i pružanjem uslova za dalje unapređivanje znanja i veština IKT stručnjaka. Sastavni deo tog sistema čini i poznavanje materije koja se odnosi na zaštitu podataka o ličnosti, što je posebno naznačeno u vezi sa elektronskom trgovinom i obrazovanjem.
4) Strategija razvoja informacionog društva i informacione bezbednosti u Republici Srbiji za period od 2021. do 2026. godine ("Službeni glasnik RS", broj 86/21);
Ovom strategijom uređuje se razvoj informacionog društva i elektronske uprave u službi građana i privrede koji se, između ostalog, realizuje kroz različite mehanizme informacione bezbednosti građana, javne uprave i privrede i zaštitu podataka o ličnosti. Primena novih tehnoloških rešenja koji unapređuju informaciono društvo utiču na način obrade podataka o ličnosti i kreiranje novih skupova podataka koji se moraju obrađivati u skladu sa zakonom uz primenu međunarodnih standarda kojima se uređuju tehnički i organizacioni mehanizmi zaštite.
5) Strategija za sprečavanje i borbu protiv rodno zasnovanog nasilja prema ženama i nasilja u porodici za period 2021-2025. godine ("Službeni glasnik RS", broj 47/21);
Ovom strategijom je predviđeno da je za adekvatno sprečavanje nasilja prema ženama i nasilja u porodici neophodno da se kreiraju politike zasnovane na činjenicama, te da je stoga prikupljanje sistematskih i uporedivih podataka iz svih dostupnih i relevantnih administrativnih izvora od ključnog značaja. U Republici Srbiji se prikupljaju različiti administrativni podaci o nasilju prema ženama i nasilju u porodici, koje prikupljaju državni organi i institucije koji su uključeni u sistem prevencije i zaštite od nasilja - Ministarstvo unutrašnjih poslova, sudovi, javna tužilaštva, Ministarstvo pravde, Ministarstvo za rad, zapošljavanje, boračka i socijalna pitanja, Ministarstvo zdravlja i dr. Administrativni podaci se vode u okviru odvojenih sistema uključenih u prevenciju i zaštitu od nasilja i prilagođeni su potrebama i nadležnostima pojedinačnih sistema, a predviđeno je i uspostavljanje jedinstvene centralizovane evidencija slučajeva nasilja u porodici, što podrazumeva obradu podataka o ličnosti koji se odnose kako na počinioca akta nasilja, tako i na žrtvu.
6) Strategija za borbu protiv visokotehnološkog kriminala za period 2019-2023. godine ("Službeni glasnik RS", broj 71/18);
Visokotehnološki kriminal je usko povezan sa zloupotrebom podataka o ličnosti kao i trgovinom istima, te borba protiv visokotehnološkog kriminala uključuje i zaštitu podataka o ličnosti.
7) Strategija zaštite potrošača za period 2019-2024. godine ("Službeni glasnik RS", broj 93/19);
Strategijom zaštite potrošača za period 2019-2024. godine se posebno targetira elektronska trgovina koja iziskuje posebne mere kako bi se uspostavili mehanizmi za njeno praćenje i povećala informisanost potrošača i trgovaca o eventualnim zamkama, ali i pravilima u obavljanju ovakvog vida trgovine, koje uključuju i automatsku obradu podataka o ličnosti i primenu mera zaštite.
8) Strategija unapređenja položaja osoba sa invaliditetom u Republici Srbiji za period od 2020. do 2024. godine ("Službeni glasnik RS", broj 44/20);
Uvođenje oblasti invaliditeta u javne politike, kako je predviđeno navedenom strategijom, podrazumeva primenu odgovarajućih analitičkih, obrazovnih i savetodavnih tehnika, kao što su evidentiranje i prikupljanje relevantnih podataka, što u najvećoj meri podrazumeva obradu posebnih vrsta podataka o ličnosti za koje je Zakonom o zaštiti podataka o ličnosti predviđen poseban (restriktivan) režim obrade.
9) Strategija integrisanog upravljanja granicom u Republici Srbiji za period 2022-2027. godine ("Službeni glasnik RS", broj 89/22);
Ovom strategijom želi se postići efikasna primena integrisanog upravljanja granicom u skladu sa standardima i pravnim propisima Evropske unije (u daljem tekstu: EU), kojom je obezbeđeno nesmetano kretanje ljudi i robe uz podizanje sveukupne unutrašnje i evropske bezbednosti. S tim u vezi vrši se obrada različitih podataka i informacija, uključujući i podatke o ličnosti (povezivanje relevantnih baza podataka, razmena informacija i saradnja sa državama članicama, agencijama EU i drugim međunarodnim organizacijama).
Prilikom izrade strategije vođeno je računa o procesima evropskih integracija i okvirom kojim EU meri napredak država kandidata u oblasti zaštite podataka o ličnosti, tako da su razmatrani i ključni međunarodni akti, i to:
1) Međunarodni pakt o građanskim i političkim pravima (Zakon o ratifikaciji Međunarodnog pakta o građanskim i političkim pravima, "Službeni list SFRJ - Međunarodni ugovori", broj 7/71);
Odredbama člana 17. Međunarodnog pakta o građanskim i političkim pravima utvrđeno je da niko ne može biti predmet samovoljnih ili nezakonitih mešanja u njegov privatni život, u njegovu porodicu, u njegov stan ili njegovu prepisku, niti nezakonitih povreda nanesenih njegovoj časti ili njegovom ugledu, kao i da svako lice ima pravo na zaštitu zakona protiv ovakvih mešanja ili povreda.
2) Konvencija Ujedinjenih nacija o pravima deteta (Zakon o ratifikaciji Konvencije Ujedinjenih nacija o pravima deteta - "Službeni list SFRJ - Međunarodni ugovori", broj 15/90 i "Službeni list SRJ - Međunarodni ugovori", br. 4/96 i 2/97);
Odredbama člana 16. Konvencije Ujedinjenih nacija o pravima deteta utvrđeno je da ni jedno dete ne sme biti izloženo samovoljnom ili nezakonitom mešanju u njegov privatni i porodični život, dom ili ličnu prepisku, nezakonitim napadima na njegovu čast i ugled, kao i da dete ima pravo na zaštitu zakona od takvog mešanja ili napada.
3) Evropska konvencija za zaštitu ljudskih prava i osnovnih sloboda (Zakon o ratifikaciji Evropske konvencije za zaštitu ljudskih prava i osnovnih sloboda "Službeni list SCG - Međunarodni ugovori", br. 9/03, 5/05 i 7/05 - ispravka i "Službeni glasnik RS - Međunarodni ugovori", br. 12/10 i 10/15);
Odredbama člana 8. Evropske konvencije za zaštitu ljudskih prava i osnovnih sloboda utvrđeno je: da svako ima pravo na poštovanje svog privatnog i porodičnog života, doma i prepiske; da se javne vlasti neće mešati u vršenje tog prava sem ako to nije u skladu sa zakonom i neophodno u demokratskom društvu u interesu nacionalne bezbednosti, javne bezbednosti ili ekonomske dobrobiti zemlje, radi sprečavanja nereda ili kriminala, zaštite zdravlja ili morala, ili radi zaštite prava i sloboda drugih.
4) Konvencija o zaštiti lica u odnosu na automatsku obradu ličnih podataka (Zakon o potvrđivanju Konvencije o zaštiti lica u odnosu na automatsku obradu ličnih podataka, "Službeni list SRJ - Međunarodni ugovori", broj 1/92, "Službeni list SCG - Međunarodni ugovori", broj 11/05 - dr. zakon i "Službeni glasnik RS - Međunarodni ugovori", br. 98/08 - dr. zakon, 12/10 i 4/20);
Konvencijom o zaštiti lica u odnosu na automatsku obradu ličnih podataka se svakom fizičkom licu na teritoriji svake strane ugovornice garantuje poštovanje njegovih osnovnih prava i sloboda, a naročito njegovog prava na privatnost bez obzira na njegovu nacionalnu pripadnost ili na mesto stanovanja.
5) Uredba (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti, i o slobodnom kretanju takvih podataka i o stavljanju Direktive 95/46/EZ van snage (u daljem tekstu: Opšta uredba o zaštiti podataka);
Opštom uredbom o zaštiti podataka EU je uspostavila pravni okvir za obradu podataka o ličnosti. Ova opšta uredba obavezujuća je za sve države članice EU i neposredno se primenjuje.
6) Direktiva 2016/680 Evropskog parlamenta i Saveta o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti od strane nadležnih organa u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih dela ili izvršavanja krivičnih sankcija (u daljem tekstu: Policijska direktiva);
Policijskom direktivom EU je utvrdila cilj koji je potrebno ostvariti u pogledu zaštite fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija i slobodnog protoka takvih podataka. Sve države članice EU obavezne su da svoje propise usklade sa Policijskom direktivom.
Tokom pripreme Strategije analizirani su zakoni od značaja za oblast zaštite podataka o ličnosti, i to:
1) Zakon o potvrđivanju Sporazuma o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge strane ("Službeni glasnik RS - Međunarodni ugovori", broj 83/08);
Članom 81. Zakona o potvrđivanju Sporazuma o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge strane. Republika Srbija se obavezala da uskladi svoje zakonodavstvo koje se odnosi na zaštitu ličnih podataka sa komunitarnim zakonodavstvom i ostalim evropskim i međunarodnim propisima o privatnosti, kao i da formira nezavisno nadzorno telo sa dovoljno finansijskih i ljudskih resursa kako bi efikasno nadzirala i garantovala primenu nacionalnog zakonodavstva o zaštiti ličnih podataka.
2) Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS", broj 87/18 - u daljem tekstu: ZZPL);
Navedenim zakonom uređuje se pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodni protok takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebni slučajevi obrade. Ovim zakonom se, takođe, uređuje i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka. Zakonom o zaštiti podataka o ličnosti utvrđeno je i da odredbe posebnih zakona koje se odnose na zaštitu podataka o ličnosti moraju biti u skladu sa tim zakonom.
3) Zakon o inspekcijskom nadzoru ("Službeni glasnik RS", br. 36/15, 44/18 - dr. zakon i 95/18);
Zakon o inspekcijskom nadzoru je bitan za oblast zaštite podataka o ličnosti u delu koji se tiče inspekcijskog nadzora nad primenom ZZPL-a, koji se sprovodi primenom ZZPL-a i shodnom primenom zakona kojim se uređuje inspekcijski nadzor. Takođe, ZZPL-om je propisano je da se u postupku po pritužbi koju može podneti lice koje smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ZZPL-a shodno primenjuju odredbe zakona kojim se uređuje inspekcijski nadzor u delu koji se odnosi na postupanje po predstavkama.
4) Zakon o prekršajima ("Službeni glasnik RS", br. 65/13, 13/16, 98/16 - US, 91/19, 91/19 - dr. zakon i 112/22 - US);
Materija uređena Zakonom o prekršajima: uslovi za prekršajnu odgovornost, uslovi za primenu prekršajnih sankcija, prekršajni postupak i dr., od značaja je za primenu kaznenih odredbi Zakona o zaštiti podataka o ličnosti, kojima su utvrđeni slučajevi u kojima će se kazniti za prekršaj rukovalac, odnosno obrađivač.
5) Zakon o opštem upravnom postupku ("Službeni glasnik RS", br. 18/16, 95/18 - autentično tumačenje i 2/23 - US);
U vršenju svojih ovlašćenja u oblasti zaštite podataka o ličnosti Poverenik postupa u skladu sa navedenim zakonom, ako ZZPL-om nije drugačije određeno.
6) Zakon o upravnim sporovima ("Službeni glasnik RS", broj 111/09);
Pravo na sudsku zaštitu protiv odluke Poverenika, donete u skladu sa ZZPL-om, ostvaruje se podnošenjem tužbe za pokretanje upravnog spora u skladu sa Zakonom o upravnim sporovima.
7) Krivični zakonik ("Službeni glasnik RS", br. 85/05, 88/05 - ispravka, 107/05 - ispravka, 72/09, 111/09, 121/12, 104/13, 108/14, 94/16 i 35/19);
Krivični zakonik je od značaja za zaštitu podataka o ličnosti jer je tim zakonom, pored ostalog, utvrđeno krivično delo neovlašćeno prikupljanje ličnih podataka i propisane su kazne za izvršenje krivičnog dela.
8) Zakon o slobodnom pristupu informacijama od javnog značaja ("Službeni glasnik RS", br. 120/04, 54/07, 104/09, 36/10 i 105/21);
Navedenim zakonom su uređena pitanja koja se tiču sedišta Poverenika, izbora Poverenika i zamenika Poverenika, prestanka njihovog mandata, postupka njihovog razrešenja, položaja stručne službe Poverenika, kao i finansiranja i podnošenja izveštaja. Pored toga, Zakonom o slobodnom pristupu informacijama od javnog značaja uspostavljen je pravni osnov za obradu podataka o ličnosti koju vrše organi javne vlasti radi ostvarenja i zaštite interesa javnosti da zna i ostvarenja slobodnog demokratskog poretka i otvorenog društva.
9) Zakona o elektronskoj upravi ("Službeni glasnik RS", broj 27/18);
Zakonom o elektronskoj upravi uređuje se obavljanje poslova javne uprave upotrebom informaciono-komunikacionih tehnologija (elektronska uprava), a što može podrazumevati opsežnu obradu podataka o ličnosti od strane različitih organa, kao i ukrštanje i razmenu podataka između istih, i druge aktivnosti kod kojih postoji verovatnoća da će prouzrokovati visok rizik po prava i slobode fizičkih lica čiji se podaci obrađuju.
10) Zakon o informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16, 94/17 i 77/19);
Materija koja se uređuje Zakonom o informacionoj bezbednosti (mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema, organi nadležni za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite) nadovezuje se na sistemska rešenja u oblasti zaštite podataka o ličnosti.
11) Zakon o zaštiti potrošača ("Službeni glasnik RS", broj 88/21);
Zakon o zaštiti potrošača uređuje materiju koja se odnosi na prava i obaveze potrošača, a koja je od značaja i za ostvarivanje prava potrošača kao lica čije podatke trgovci obrađuju u svojstvu rukovalaca.
12) Zakon o bankama ("Službeni glasnik RS", br. 107/05, 91/10 i 14/15);
Navedeni zakon uređuje poslovanje banaka, pa, između ostalog, i obradu podataka o ličnosti klijenata.
13) Zakon o sprečavanju pranja novca i finansiranja terorizma ("Službeni glasnik RS", br. 113/17, 91/19 i 153/20);
Zakon o sprečavanju pranja novca i finansiranja terorizma propisuje radnje i mere koje se preduzimaju radi sprečavanja i otkrivanja pranja novca i finansiranja terorizma, odnosno nadležnost organa za sprovođenje odredaba ovog zakona, a veoma važan segment tih radnji predstavlja obrada podataka o ličnosti stranaka (fizičkih lica, preduzetnika koje vrši transakciju ili uspostavlja poslovni odnos sa obveznikom zakona).
14) Zakon o zaštiti stanovništva od zaraznih bolesti ("Službeni glasnik RS", br. 15/16, 68/20 i 136/20);
Zakonom o zaštiti stanovništva od zaraznih bolesti uređuju se pitanja od značaja za sprovođenje epidemiološkog nadzora, uključujući uslove i nadležnost za obradu podataka o zdravstvenom stanju fizičkih lica obuhvaćenih epidemiološkim nadzorom.
15) Zakon o bezbednosti i zdravlju na radu ("Službeni glasnik RS", br. 113/17, 91/19 i 153/20);
Zakonom o bezbednosti i zdravlju na radu uređuje se sprovođenje i unapređivanje bezbednosti i zdravlja na radu a radi sprečavanja povreda na radu, profesionalnih oboljenja i oboljenja u vezi sa radom, što podrazumeva i obradu podataka o zdravstvenom stanju lica za koju se, zbog osetljivosti podataka, moraju utvrditi posebni uslovi.
16) Zakon o nauci i istraživanjima ("Službeni glasnik RS", broj 49/19);
Obrada podataka o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe predstavlja jedan od posebnih slučajeva obrade, pa su odredbe navedenog zakona od značaja za određivanje svrhe obrade i postojanja pravnog osnova za obradu, kao uslova za zakonitu obradu.
17) Zakon o elektronskim komunikacijama ("Službeni glasnik RS", br. 44/10, 60/12 - US, 62/14 i 95/18 - dr. zakon);
Ovim zakonom uređuju se, između ostalog, uslovi i način za obavljanje delatnosti u oblasti elektronskih komunikacija; zaštita prava korisnika i pretplatnika; bezbednost i integritet elektronskih komunikacionih mreža i usluga; tajnost elektronskih komunikacija, zakonito presretanje i zadržavanje podataka.
18) Zakon o radu ("Službeni glasnik RS", br. 24/05, 61/05, 54/09, 32/13, 75/14, 13/17 - US, 113/17 i 95/18 - autentično tumačenje);
Ovim zakonom uređuju se prava, obaveze i odgovornosti iz radnog odnosa, odnosno po osnovu rada i s tim u vezi obrada podataka o ličnosti (ugovor o radu, ugovori po osnovu rada van radnog odnosa, evidencija o prekovremenom radu, mesečna evidencija o zaradi i naknadi zarade, itd.).
19) Zakon o evidencijama u oblasti rada ("Službeni glasnik SRJ", br. 46/96 i "Službeni glasnik RS", br. 101/05 - dr. zakon i 36/09 - dr. zakon);
Ovim zakonom uređuju se vrste, sadržaj i način vođenja evidencija u oblasti rada, kao i način prikupljanja, obrade, korišćenja i zaštite podataka iz tih evidencija.
20) Zakon o evidencijama i obradi podataka u oblasti unutrašnjih poslova ("Službeni glasnik RS", broj 24/18);
Ovim zakonom uređuje se obrada podataka o ličnosti u oblasti unutrašnjih poslova, svrha obrade, prava i zaštita prava lica čiji se podaci obrađuju, vrste i sadržina evidencija, rokovi u kojima se podaci obrađuju, razmena podataka, čuvanje, zaštita i kontrola zaštite podataka, kao i druga pitanja od značaja za obradu podataka u oblasti unutrašnjih poslova.
21) Zakon o privatnom obezbeđenju ("Službeni glasnik RS", br. 104/13 i 42/15);
Ovim zakonom uređuje se obrada podataka o ličnosti upotrebom tehničkih sredstava i uređaja za obezbeđenje lica, imovine i poslovanja koji se realizuju i kroz video-obezbeđenje, satelitsko praćenje vozila (GPS) čime se vrši obrada podataka o ličnosti.
22) Zakon o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva ("Službeni glasnik RS", br. 123/14, 106/15, 105/17 i 25/19 - dr. zakon).
Ovim zakonom uređuje se zdravstvena dokumentacija i evidencije u oblasti zdravstva, vrste i sadržina zdravstvene dokumentacije i evidencija, način i postupak vođenja, lica ovlašćena za vođenje zdravstvene dokumentacije i upisivanje podataka, rokovi za dostavljanje i obradu podataka, način raspolaganja podacima iz medicinske dokumentacije pacijenata koja se koristi za obradu podataka, obezbeđivanje kvaliteta, zaštite i čuvanja podataka, kao i druga pitanja od značaja za vođenje zdravstvene dokumentacije i evidencija.
3. PREGLED I ANALIZA POSTOJEĆEG STANJA
3.1 Pregled podataka sadržanih u godišnjim izveštajima o radu Poverenika u periodu 2018-2021. godina i podataka sadržanih u službenoj evidenciji Poverenika za period 1. januar 2022. - 31. oktobar 2022. godina
Uvidom u Izveštaj o radu Poverenika za 2018. godinu1 može se konstatovati da je Poverenik tokom te godine sproveo ukupno 1.452 postupka nadzora nad primenom tada važećeg Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS", br. 97/08, 104/09 - drugi zakon, 68/12 - US i 107/12 - u daljem tekstu: raniji ZZPL).
Najčešća pitanja za pokretanje postupka nadzora odnose se na obradu podataka o ličnosti u sledećim oblastima: obrada podataka u oblasti radnog prava (28,3%), lični podaci (16,6%), zaštita potrošača (11,5%), internet i elektronske komunikacije (5,9%), video nadzor (4,8%), zdravstvo (3,5%), JMBG (2,9%), obrada naročito osetljivih podataka (2,6%), bankarski poslovi (2,2%), lična dokumenta (fotokopiranje, zadržavanje i sl.) (1,7%), ustupanje ličnih podataka korisnicima podataka (1,7%), telekomunikacija, pošta i radiodifuzija (1,4%), obrazovanje (1,3%), obrada podataka o maloletnim licima (1,3%), službeni registri u kojima su sadržani lični podaci (1,2%), porodična i socijalna zaštita (1,1%), obrada podataka u ugovornim odnosima između fizičkih i pravnih lica (1,1%), odbrana, bezbednost, unutrašnji poslovi (1%), osiguranje imovine i lica 19, stambeni odnosi 15 (0,8%) ostali (8,1%).
Rukovaoci nad kojima je Poverenik pokrenuo postupak nadzora su: privredna društva (privatne firme i preduzetnici) - 972 (67, 3%), državna uprava - 78 (5,4%), ustanove u oblasti zdravstva - 63 (4,3%), javna preduzeća - 54 (3,7%), organi lokalne samouprave - 53 (3,6%), pravosudni organi - 47 (3,2%), NVO i druga udruženja građana - 42 (2,9%), banke - 37 (2,6%), obrazovne ustanove - 23 (1,6%), osiguravajuća društva - 14 (1%), ustanove socijalne zaštite - 14 (1%), ustanove iz oblasti nauke i kulture - 14 (1%) i ostali 39 - (2,7%).
U slučajevima u kojima je utvrdio da su povređene odredbe ranijeg ZZPL-a (792), Poverenik je: doneo 760 upozorenja i 7 rešenja, podneo 19 zahteva za pokretanje prekršajnog postupka i 6 krivičnih prijava.
Dijagram 1. Najčešće nepravilnosti koje su utvrđene u postupku nadzora u 2018. godini
______
1 Izveštaj o radu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti za 2018. godinu, br. 073-10-1772/2018-01, dostupan na adresi www.poverenik.rs
Povereniku su u istom periodu izjavljene 232 žalbe u postupku ostvarivanja prava lica u vezi sa obradom podataka o ličnosti.
Dijagram 2. Razlozi za izjavljivanje žalbe Povereniku u 2018.
U odlukama donetim po izjavljenim žalbama, Poverenik je utvrdio da je žalba bila osnovana u 40,6% slučajeva, u 20,9% slučajeva Poverenik je zaključkom obustavio postupak jer je rukovalac, pre donošenja odluke Poverenika po žalbi, postupio po zahtevu ili je podnosilac odustao od žalbe, u 23% slučajeva odbio žalbu kao neosnovanu, a u 15,7% slučajeva Poverenik je odbacio žalbu iz formalnih razloga (kao nepotpunu, preuranjenu, neblagovremenu, neurednu, nedozvoljenu i zbog nenadležnosti).
Prema podacima navedenim u Izveštaju o radu Poverenika za 2019. godinu2, Poverenik je tokom te godine sproveo ukupno 701 postupak nadzora u oblasti zaštite podataka o ličnosti, od kojih 680 nad primenom ranijeg ZZPL-a i 21 nad primenom ZZPL-a, koji se primenjuje od 22. avgusta 2019. godine.
Najčešća pitanja za pokretanje postupka nadzora odnose se na obradu podataka o ličnosti u sledećim oblastima: lični podaci (ime, prezime, adresa) (19,1%), zaštita potrošača (14,8%), obrada podataka u oblasti radnog prava (10%), internet i elektronske komunikacije (10%), obrada naročito osetljivih podataka (5,1%), video nadzor (4,2%), JMBG (3,6%), bezbednost ličnih podataka (3,5%), zdravstvo (2,5%), telekomunikacija, pošta i radiodifuzija (2.3%), obrada podataka o maloletnim licima (2,2%), bankarski poslovi (1,8%), javno informisanje-mediji (1,7%), obrazovanje (1,6%), lična dokumenta (fotokopiranje, zadržavanje i sl.) (1,6%), odbrana, bezbednost, unutrašnji poslovi (1,3%), porodična i socijalna zaštita (1,2%), službeni registri u kojima su sadržani lični podaci (1,1%), komunalna delatnost (1,1%), stambeni odnosi (1%), ugovorna obrada (0,8%), obrada podataka na društvenim mrežama (0,7%), javni prevoz (0,7%), zloupotreba ličnih podatka (0,7%), audio nadzor (0,6%), biometrija (0,5%) i ostali (2,7%).
Rukovaoci nad kojima je Poverenik 2019. godine pokrenuo postupak nadzora (474) su: privredna društva (privatne firme i preduzetnici) (54,2%), državna uprava (8,6%), organi lokalne samouprave (5,9%), nevladine organizacije i druga udruženja građana (5,3%), ustanove u oblasti zdravstva (4,8%), banke (4%), obrazovne institucije (3,2%), javna preduzeća (2,7%), ustanove iz oblasti nauke i kulture (2,1%), ustanove socijalne zaštite (1,3%), mobilni operatori (1,3%), internet provajderi (1,3%), ustanove iz oblasti pravosuđa (1,1%), i ostali (4,2%).
Nakon sprovedenog postupka nadzora, Poverenik je u 264 slučaja doneo upozorenje nakon što je utvrdio postojanje povreda zakona, u tri slučaja je podneo krivične prijave zbog krivičnog dela iz člana 146. Krivičnog zakonika (neovlašćeno prikupljanje ličnih podataka), a u 23 slučaja je podneo zahtev za pokretanje prekršajnog postupka.
Dijagram 3. Najčešće nepravilnosti koje su utvrđene u postupku nadzora u toku 2019.
______
2 Izveštaj o radu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti za 2019. godinu, br. 073-10-2395/2019-01, dostupan na adresi www.poverenik.rs
Povereniku je tokom 2019. godine, u skladu sa ranijim ZZPL-om izjavljena 121 žalba u postupku ostvarivanja prava lica u vezi sa obradom podataka o ličnosti i 60 pritužbi.
Dijagram 4. Razlozi za izjavljivanje žalbe Povereniku u 2019. godini
U odlukama donetim po izjavljenim žalbama, Poverenik je utvrdio da je žalba bila osnovana u 52,3% slučajeva, u 24,5% slučajeva Poverenik je zaključkom obustavio postupak jer je rukovalac, pre donošenja odluke Poverenika po žalbi, postupio po zahtevu ili je podnosilac odustao od žalbe, u 15,2% slučajeva Poverenik je odbio žalbu kao neosnovanu, a u odnosno 8% slučajeva Poverenik je odbacio žalbu iz formalnih razloga (izjavljena od neovlašćenog lica, nepotpuna, nedozvoljena, preuranjena i neblagovremena žalba).
Dijagram 5. Osnov podnošenja pritužbi u 2019. godini
U odlukama (sedam) donetim po podnetim pritužbama, Poverenik je utvrdio da je pritužba bila osnovana u tri slučaja, odnosno 42,86%, te je doneto rešenje sa nalogom rukovaocu da postupi po zahtevu. Poverenik je jednu pritužbu odbio kao neosnovanu, a zaključkom obustavio postupak u preostala tri slučaja, odnosno 42,86%, jer je rukovalac, pre donošenja odluke Poverenika po pritužbi, postupio po zahtevu.
U toku 2019. godine obavezu da podatke o licu za zaštitu podataka o ličnosti dostavi Povereniku izvršilo je 2 112 rukovalaca.
Prema podacima navedenim u Izveštaju o radu Poverenika za 2020. godinu3, Poverenik je tokom te godine sproveo ukupno 205 postupaka nadzora nad primenom ZZPL-a, od toga pet nad primenom ranijeg ZZPL-a i 200 nad primenom ZZPL-a.
Najčešća pitanja za pokretanje postupka nadzora odnose se na obradu podataka o ličnosti u sledećim oblastima: bezbednost podataka o ličnosti (30,8%), internet i elektronska komunikacija (11,8%), video nadzor (5,7%), JMBG (5,4%), zdravstvo (4,2%), obrada podataka bez pravnog osnova odnosno bez zakonskog ovlašćenja i bez pristanka lica (4,2%), naročito osetljivi podaci (3,5%), bankarski poslovi (3%), lični podaci (ime, prezime, adresa) (2,7%), zaštita potrošača (2,5%), ustupanje ličnih podataka korisnicima podataka (2,5%), telekomunikacije, pošta, radiodifuzija (2,2%), odbrana, bezbednost, unutrašnji poslovi (2,2%), obrada podataka u oblasti radnog prava (2%), obrada podataka o maloletnim licima (2%), lična dokumenta (fotokopiranje, zadržavanje i sl.) (2%), obrazovanje (1,7%), javno informisanje (mediji) (1,7%) službeni registri u kojima su sadržani lični podaci (1,5%), obrada podataka u sudskim postupcima (1,2%), audio nadzor (1%), obrada podataka u ugovornim odnosima između fizičkih i pravnih lica (0,7%), stambeni odnosi (0,7%), komunalna delatnost (0,7%), obrada podataka u postupku prinudnog izvršenja (0,7%), javni prevoz (0,7%), obrada podataka na društvenim mrežama (0,5%) osiguranje imovine i lica (0,5%), porodična i socijalna zaštita (0,5%) i ostali (1,2%).
Rukovaoci nad kojima je Poverenik pokrenuo postupak nadzora su: privredna društva (privatne firme i preduzetnici) (29,6%), državna uprava (21,5%), ustanove u oblasti zdravstva (11.7%), organi lokalne samouprave (7,2%), javna preduzeća (6,7%), banke (5,4%), ustanove iz oblasti pravosuđa (4%), obrazovne institucije (2,7%), organizacije civilnog društva i druga udruženja građana (1,8%), ustanove socijalne zaštite (1,3%), mobilni operatori (1,3%), advokati (1,3%), ustanove iz oblasti nauke i kulture (0,4%), sindikati (0,4%), osiguravajuće društvo (0,4%), sportske organizacije (0,4%) i ostali (3,6%).
U slučajevima u kojima je utvrdio da su povređene odredbe ZZPL-a (81), Poverenik je: podneo šest zahteva za pokretanje prekršajnog postupka, tri krivične prijave, doneo 71 korektivnu meru u kojima je u 64 slučaja izrekao opomene rukovaocima, u pet slučajeva privremeno ili trajno ograničio vršenje radnje obrade, uključujući i zabranu obrade i u dva slučaja naložio rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ZZPL-a, doneo jedno upozorenje po članu 56. ranijeg ZZPL-a zbog vršenja obrade podataka o ličnosti bez zakonskog ovlašćenja. Razlog ovome jeste odredba ZZPL-a prema kojoj se svi postupci započeti po ranije važećem zakonu moraju po istom i okončati.
U najvećem broju slučajeva u kojima je izrekao opomene, Poverenik je utvrdio sledeće (nepravilnosti) povrede odredaba zakona: podaci se ne obrađuju zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose; podaci nisu primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade; podaci se ne obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.
Povereniku je tokom 2020. godine izjavljeno 139 pritužbi i jedna žalba.
_______
3 Izveštaj o radu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti za 2020. godinu, br. 073-10-2653/2020-01, dostupan na adresi www.poverenik.rs
Dijagram 6. Razlozi za podnošenje pritužbe
U odlukama donetim po podnetim pritužbama (149), Poverenik je utvrdio da je pritužba bila osnovana u 36,24% slučaja.
U toku 2020. godine podatke o licu za zaštitu podataka o ličnosti Povereniku je dostavilo 947 rukovalaca.
Uvidom u Izveštaj o radu Poverenika za 2021. godinu4 može se konstatovati da je Poverenik tokom te godine sproveo 303 postupka nadzora nad primenom ZZPL-a.
______
4 Izveštaj o radu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti za 2021. godinu, br. 073-10-3176/2021-01, dostupan na adresi www.poverenik.rs
Najčešća pitanja za pokretanje postupka nadzora odnose se na obradu podataka o ličnosti u sledećim oblastima: bezbednost podataka o ličnosti (54,08%), internet i elektronska komunikacija (5,31%), video nadzor (3,47%), obrada posebnih vrsta podataka (3,27%), zdravstvo (3,27%), lični podaci (ime, prezime, adresa) (3,06%), ustupanje ličnih podataka korisnicima podataka (2,86%), JMBG (2,24%), obrada podataka u oblasti rada i zapošljavanja (2,24%), obrazovanje (2,04%), obrada podataka o maloletnim licima (1,63%), telekomunikacije, pošta, radiodifuzija (1,63%), odbrana, bezbednost, unutrašnji poslovi (1,63%), bankarski poslovi (1,02%), obrada podataka u sudskim postupcima (1,02%), komunalni odnosi (1,02%), službeni registri u kojima su sadržani lični podaci (1,02%), lična dokumenta (fotokopiranje, zadržavanje i sl.) (0,82%), obrada podataka u postupku prinudnog izvršenja (0,82%), javno informisanje (0,82%), zaštita potrošača (0,82%), javni prevoz (0,82%), zloupotreba ličnih podataka (0,82%), obrada podataka na društvenim mrežama (0,61%), obrada podataka koju vrše inspekcijski organi (0,61%), obrada podataka u ugovornim odnosima između fizičkih i pravnih lica (0,61%), porodična i socijalna zaštita (0,61%), audio nadzor (0,61%), osiguranje imovine i lica (0,41%), penzijsko i invalidsko osiguranje (0,41%), ugovorna obrada (odnosi između rukovalaca i obrađivača) (0,2%), podaci o ekonomskom stanju lica na koje se odnose (pokretna i nepokretna imovina) (0.2%).
Rukovaoci nad kojima je Poverenik pokrenuo postupak nadzora su najčešće: privredna društva (privatne firme i preduzetnici) (49,72%), organi lokalne samouprave (11,33%), pokrajinski organi (8,84%), državna uprava (8,01%), javna preduzeća (4,14%), ustanove u oblasti zdravstva (4,14%), pravosudni organi i ustanove iz oblasti pravosuđa (2,49%), obrazovne institucije (1,93%), banke (1,38%), organizacije civilnog društva i druga udruženja građana (1,38%), mobilni operatori i internet provajderi (1,11%), građani (0,83%), ustanove iz oblasti nauke i kulture (0,83%), ustanove iz oblasti omladine i sporta (0,55%), mediji (0,55%), osiguravajuća društva (0,55%), ustanove socijalne zaštite (0,28%), političke stranke (0,28%) i ostali (1,66%).
U slučajevima u kojima je utvrdio da su povređene odredbe ZZPL-a (63), Poverenik je: podneo šest zahteva za pokretanje prekršajnog postupka, tri krivične prijave, doneo 71 korektivnu meru u kojima je u 64 slučaja izrekao opomene rukovaocima, u pet slučajeva privremeno ili trajno ograničio vršenje radnje obrade, uključujući i zabranu obrade i u dva slučaja naložio rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ZZPL-a, doneo jedno upozorenje po članu 56. ranijeg ZZPL-a zbog vršenja obrade podataka o ličnosti bez zakonskog ovlašćenja.
Poverenik je doneo 63 korektivne mere u kojima je u 60 slučajeva izrekao opomene rukovaocima, u dva slučaja privremeno ili trajno ograničio vršenje radnje obrade, uključujući i zabranu obrade i u jednom slučaju naložio rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ZZPL-a, i to zbog sledećih nepravilnosti: podaci se ne obrađuju zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose; podaci nisu primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade; podaci se ne obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera; rukovalac obrađuje posebne vrste podataka o ličnosti suprotno ZZPL-u; licu na koje se odnose podaci koji se prikupljaju nisu pružene informacije u skladu sa ZZPL-om; rukovalac prilikom određivanja načina obrade, kao i u toku obrade ne preduzima odgovarajuće tehničke, organizacione i kadrovske mere; odnos između zajedničkih rukovalaca nije uređen na način propisan ZZPL-om: rukovalac ili obrađivač ne vode propisane evidencije o obradi; rukovalac nije obavestio Poverenika o povredi bezbednosti podataka; rukovalac nije izvršio procenu uticaja obrade na zaštitu podataka.
Povereniku su, tokom 2021. godine, izjavljene 204 pritužbe koje su se odnosile na ostvarivanje: prava na pristup podacima (85%), prava na brisanje podataka o ličnosti (14,5%), prava na ispravku i dopunu (0,5%), a najčešći razlozi za podnošenje pritužbe bili su: odbijanje, odnosno odbacivanje zahteva od strane rukovaoca (87), nepostupanje rukovaoca po zahtevu (80) i delimično postupanje rukovaoca po zahtevu (37).
U odlukama donetim po podnetim pritužbama (209), Poverenik je utvrdio da je pritužba bila osnovana u 39,71% slučajeva. Poverenik je rešenjem obustavio postupak u 12,92% slučajeva jer je rukovalac, pre donošenja odluke Poverenika po pritužbi, postupio po zahtevu (22), odnosno podnosilac pritužbe je odustao od iste (5). Poverenik je u 19,14% slučajeva pritužbu odbacio iz formalnih razloga, dok je u 28,23% slučajeva pritužbe rešenjem odbio kao neosnovane.
U toku 2021. godine podatke o licu za zaštitu podataka o ličnosti dostavilo je 704 rukovalaca.
Dijagram 7. Razlozi za podnošenje pritužbi u 2021. godini
Prema podacima sadržanim u službenoj evidenciji Poverenika, u periodu 1. januar 2022. - 31. oktobar 2022. godine Poverenik je sproveo 363 postupka nadzora nad primenom ZZPL-a.
Najčešća pitanja za pokretanje postupka nadzora odnose se na obradu podataka o ličnosti u sledećim oblastima: bezbednost podataka o ličnosti (279), internet i elektronska komunikacija (17), lični podaci i lična dokumenta (20), obrada podataka u predškolskim ustanovama (73), podaci o zdravstvenom stanju (23), obrada posebnih vrsta podataka (18), obrada podataka u oblasti radnog prava (10), video nadzor (16) itd.
Rukovaoci nad kojima je Poverenik pokrenuo postupak nadzora su najčešće: predškolske ustanove (119), organi lokalne samouprave (109), privatne firme (58), ustanove iz oblasti zdravstva (14), javna preduzeća (10), ministarstva (4), mobilni operateri (2), nevladine organizacije i druga udruženja (4), pravosudni organi (3), republičke agencije, zavodi i sl. (3) i dr.
U slučajevima u kojima je utvrdio da su povređene odredbe ZZPL-a, Poverenik je: podneo jedan zahtev za pokretanje prekršajnog postupka, doneo 33 korektivne mere u kojima je u 30 slučajeva izrekao opomene rukovaocima, u tri slučaja privremeno ili trajno ograničio vršenje radnje obrade, i naložio rukovaocu da uskladi radnje obrade sa odredbama ZZPL-a, i to zbog sledećih nepravilnosti: podaci se ne obrađuju zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose; podaci nisu primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade; podaci se ne obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera; rukovalac obrađuje posebne vrste podataka o ličnosti suprotno ZZPL-u; licu na koje se odnose podaci koji se prikupljaju nisu pružene informacije u skladu sa ZZPL-om; rukovalac prilikom određivanja načina obrade, kao i u toku obrade ne preduzima odgovarajuće tehničke, organizacione i kadrovske mere; odnos između zajedničkih rukovalaca nije uređen na način propisan ZZPL-om: rukovalac ili obrađivač ne vode propisane evidencije o obradi; rukovalac nije izvršio procenu uticaja obrade na zaštitu podataka itd.
Povereniku je u datom periodu podneta 151 pritužba. Razlozi za podnošenje pritužbi su: delimično postupanje (57), odbijanje, odnosno odbacivanje (49) i nepostupanje po zahtevu (45).
U odlukama donetim po podnetim pritužbama, Poverenik je utvrdio da je pritužba bila osnovana u 47 slučaja i doneto je rešenje sa nalogom rukovaocu da postupi po zahtevu. Poverenik je rešenjem obustavio postupak u 12 slučajeva, 37 pritužbi odbacio iz formalnih razloga, dok je 55 pritužbi rešenjem odbio kao neosnovane.
U periodu 2022. godine podatke o licu za zaštitu podataka o ličnosti dostavilo je 429 rukovalaca.
Od početka primene ZZPL-a Poverenik je rukovaocima u javnom i privatnom sektoru dostavio 2896 kontrolnih listi, koje sadrže spisak pitanja za samoproveru ispunjenosti zahteva iz kontrolne liste i samoprocenu rizika od strane rukovaoca, a koje je potrebno popuniti i, kao izveštaj o samoproveri ispunjenosti zahteva iz kontrolne liste i samoproceni rizika, poslati Povereniku, koji taj dokument koristi u svrhu procene rizika, kao i izrade i realizacije plana inspekcijskog nadzora.
3.2. Analiza postojećeg stanja
Nakon donošenja Opšte uredbe o zaštiti podataka i Policijske direktive, kao relevantnih propisa u oblasti zaštite podataka u EU, imajući u vidu obaveze Republike Srbije u procesu pridruživanja EU, prema kojima je Republika Srbija obavezna da uskladi svoje zakonodavstvo koje se odnosi na zaštitu podataka o ličnosti sa komunitarnim zakonodavstvom, bilo je neophodno doneti novi zakon u oblasti zaštite podataka o ličnosti kojim će se obezbediti usklađenost sa Opštom uredbom o zaštiti podataka i Policijskom direktivom, kojim će se ujedno građanima Republike Srbije pružiti efikasna zaštita prava.
Značaj zaštite podataka o ličnosti za EU (i države članice pojedinačno) izražen je pre svega u Povelji EU o osnovnim pravima, u kojoj je pravo na zaštitu podataka zajemčeno članom 8. Međutim, donošenjem Opšte uredbe o zaštiti podataka prestala je da bude oblast u okviru koje se pravni sistemi država članica EU usklađuju sa standardima te zajednice implementacijom standarda u nacionalno zakonodavstvo svake članice pojedinačno i postala je oblast u kojoj se neposredno primenjuju propisi EU.
Pridavanjem značaja pitanjima zaštite podataka o ličnosti kao što to čini EU, Republika Srbija iskazuje svoje opredeljenje da svojim građanima obezbedi nivo prava koji imaju građani EU, čineći ih ravnopravnim sa njima i obezbeđujući time uslove za ostvarivanje drugih društvenih vrednosti na kojima je zasnovana moderna demokratska država, kao što je dostojanstvo ličnosti, sloboda mišljenja i izražavanja, zabrana diskriminacije itd.
U cilju usaglašavanja sa pravom EU i standardima zaštite podataka o ličnosti, kao i radi prevazilaženja nedostataka u oblasti obrade podataka o ličnosti na koje je ukazivala višegodišnja primena ranije važećeg ZZPL-a ("Službeni glasnik RS", br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12), donet je ZZPL, koji je stupio na snagu 21. novembra 2018. godine, a primenjuje se od 22. avgusta 2019. godine i koji trenutno predstavlja osnovni propis u oblasti zaštite podataka o ličnosti.
Zaštita podataka o ličnosti zajemčena je članom 42. Ustava Republike Srbije kao ljudsko pravo koje se ostvaruje u skladu sa zakonom. ZZPL, čije je donošenje bilo zasnovano pre svega na obavezi Republike Srbije kao kandidata za članstvo u EU, da svoje nacionalno zakonodavstvo uskladi sa pravom EU, rešenja sadržana u Opštoj uredbi o zaštiti podataka i Policijskoj direktivi su uneta u pravni sistem naše zemlje. Međutim, zbog obimnosti i kompleksnosti materije, kao i zbog razlika u pravnoj prirodi navedenih propisa EU u odnosu na domaći zakon, izostalo je potpuno usklađivanje, s obzirom na to da pojedini novi pravni instituti (kao što su, primera radi: nadležni organ, kodeks postupanja i dr.) preuzeti iz propisa EU, nisu precizno uređeni ZZPL-om, niti je ZZPL-om uspostavljen pravni osnov za donošenje podzakonskog akta kojim bi oni bili bliže uređeni. Stoga, iako ZZPL obezbeđuje bolju zaštitu prava lica čiji se podaci obrađuju i propisuje veći obim obaveza i odgovornosti svima koji obrađuju podatke, nejasne odredbe i preuzeti mehanizmi koji ne postoje u domaćem pravnom sistemu, dovode u pitanje njegovu punu primenljivost.
Kako tekst ZZPL-a u najvećoj meri predstavlja prevod Opšte uredbe o zaštiti podataka, bez Preambule kao njenog integralnog dela koja predstavlja neophodno polazište za tumačenje same Opšte uredbe o zaštiti podataka kao i prevod Policijske direktive, usled načina na koji je Policijska direktiva transponovana, u ZZPL-u su uspostavljena i prepliću se dva paralelna režima u pogledu obrade podataka, od kojih je jedan opšti, a drugi, koji se odnosi na "nadležne organe", poseban, što otežava razumevanje odredaba samog ZZPL-a i njegovu praktičnu primenu.
Odmah nakon početka primene ZZPL-a ispoljili su se nedostaci koji sprečavaju efektivno ostvarivanje prava na zaštitu podataka o ličnosti i prouzrokuju pravnu nesigurnost u oblasti koju uređuje. Ova nesigurnost ogleda se naročito u nemogućnosti da se u svakoj situaciji na nedvosmislen način utvrde obaveze određenog rukovaoca, što se posledično odražava i na mogućnost ostvarivanja prava fizičkih lica na koja se odnose podaci koji se obrađuju. Usled toga je primenljivost pojedinih odredaba ZZPL-a dovedena u pitanje, otežana, ili čak onemogućena, pa je zato neophodno pristupiti njegovim izmenama i dopunama.
Problem za efektivno ostvarivanje prava na zaštitu podataka o ličnosti predstavlja i neusaglašenost drugih zakona koji se odnose na obradu podataka o ličnosti sa ZZPL-om. S obzirom na to da ZZPL na opsežniji način uređuje oblast zaštite podataka u odnosu na raniji zakon koji je uređivao ovu materiju, uključujući i propisivanje kvaliteta i sadržine odredaba drugih propisa, te da je veliki broj propisa donet pre početka primene ZZPL-a, kao i da u pojedinim slučajevima mišljenja Poverenika na nacrte zakona nisu preneta u konačne odredbe usvojenih zakona, neophodno je izmeniti i dopuniti relevantne propise, odnosno razmotriti usvajanje novih. Obaveza usklađivanja odredaba drugih zakona, koje se odnose na obradu podataka o ličnosti, sa odredbama ZZPL-a, bila je oročena do kraja 2020. godine (član 100. ZZPL-a). Iako je ovaj rok istekao 31. decembra 2020. godine, time nije prestala obaveza usklađivanja drugih propisa sa ZZPL-om, što je neophodno učiniti u najskorije vreme.
Brz tehnološki napredak u današnje vreme podrazumeva obradu podataka o ličnosti u sve većem obimu. Podaci postaju sve vrednija imovina, a kompanije koje su koristile tehnologije obrade podataka postale su najvrednije na svetu, dominirajući ne samo svojim tržištima već i globalnim tokovima informacija. Državama, uključujući i Republiku Srbiju, je neophodna nova tehnologija koja obećava inovacije, efikasnost, bolju odbranu zemlje i koja je ekonomski isplativa.
Svedoci smo doba "pametnih" zgrada, gradova i automobila, algoritamskog odlučivanja, sistema biometrijske tehnologije i drugih pametnih sistema za prepoznavanje lica, virtuelne stvarnosti, digitalnog učenja i slično, gde svakodnevno ljudi generišu sve veće količine podataka kroz svoje digitalne aktivnosti.
Značajan deo sadržaja na društvenim mrežama i video platformama je usmerena na decu, a to ostavlja veliki prostor za uznemiravanje i eksploataciju dece, što se mora sprečiti. Nepostojanje mogućnosti tačnog utvrđivanja starosne dobi najmlađih korisnika interneta, uz navođenje netačnog sadržaja prilikom kreiranja naloga za pristup neprikladnim sadržajima i socijalnim mrežama namenjenim odraslima, imaju za rezultat ne samo neselektivno prikupljanje i obradu podataka maloletnih lica od strane onih koji to ne bi smeli da čine, već i njihovu izloženost opasnostima na internetu. Nemajući samosvest o rizicima takvog ponašanja na internetu, njegovi najmlađi korisnici razmenjuju osetljive, često vrlo privatne i senzitivne sadržaje, od kojih značajan broj predstavljaju video zapisi i geotagovane fotografije na osnovu kojih, oni koji to žele, lako mogu utvrditi lokaciju lica koja se na njima nalaze, njihove dnevne maršrute, navike i slično. Nažalost, ogroman broj podataka o ličnosti najmlađeg dela populacije koji se nalaze u internetskom okruženju postavljaju upravo njihovi najbliži srodnici, nemajući predstavu o rizicima kojima ih na taj način izlažu, a ponajmanje o njihovom pravu na privatnost koje im nesumnjivo pripada.
Istraživanje koje su 2022. godine sproveli Centar za slobodne izbore i demokratiju (CeSID) i Propulsion u okviru programa "Nova pismenost" u partnerstvu s Američkom agencijom za međunarodni razvoj (USAID)5, a kojim je bio obuhvaćen 431 ispitanik starosti 10-18 godina, pokazalo je da 60% ispitanika kaže da im roditelji dozvoljavaju da neograničeno koriste internet, te da skoro svako drugo dete (47%) koristi internet više od tri sata dnevno. Kada je reč o korišćenju društvenih mreža, dominiraju Instagram, You Tube, Tik Tok, a u polju aplikacija za komunikaciju Viber, WhatsApp, FB Messenger. Većina dece je otvorila nalog lično (73%) - 41% dece kaže da su nalog sami otvorili pošto su imali dovoljan broj godina, dok je 32% dece otvorilo nalog lično, iako nisu imali dovoljno godina.
Čak 60% ispitanika navelo je da smatra da treba pojačati zaštitu objava na internetu koje sadrže njihove lične podatke. Istovremeno, velika većina ispitanika se izjasnila da ne zna čemu služi "politika kolačića", odnosno, da ne zna dovoljno o tome, dok se polovina srednjoškolske dece izjasnila da ne čita "politiku kolačića". Rezultati pomenutog istraživanja pokazali su da su deca i mladi posebno osetljiva grupa, ukazujući na potrebu prilagođavanja komunikacije toj ciljnoj grupi, u saradnji sa roditeljima i školom.
Takođe, vulnerabilnim grupama, (nezaposleni mladi, maloletne majke sa decom, radnici, migranti i sl.), potrebna je dodatna podrška i edukacija kako bi mogli da prepoznaju povredu privatnosti i načine zaštite iste i ostvarivanje prava u oblasti zaštite podataka.
Veštačka inteligencija otvorila je mnoge mogućnosti za poboljšanje života ljudi, ali i postavila izazov kako zaštiti privatnost i podatke u takvim uslovima.
S porastom broja elektronskih usluga, sve većeg broja uspostavljenih elektronskih evidencija - registara, masovnom razmenom podataka između različitih organa i organizacija, pitanje zaštite podataka o ličnosti koji čine najveći udeo obrađivanih informacija, postaje pitanje od posebnog značaja. Kako bi se smanjila mogućnost zloupotrebe podataka o ličnosti, koja može dovesti i do krađe identiteta, potrebno je zakonom urediti slučajeve u kojima je dozvoljeno kopiranje ili zadržavanje ličnih dokumenata građana.
Na već navedeno, zdravstvena kriza svetskih razmera prouzrokovana pandemijom zarazne bolesti "COVID-19" samo je dodatno povećala značaj digitalne ekonomije. Mere zatvaranja i socijalnog udaljavanja znatno su ubrzale tempo digitalne transformacije i više nego ikad, država, društvo i ekonomija se oslanjaju na digitalne pristupe u svakodnevnim aktivnostima, što je ukazalo na potrebu za efikasnim garancijama u vezi sa zaštitom podataka i privatnosti.
Ovakva nova realnost zahteva dugoročno sagledavanje trendova u razvoju tehnologije, u cilju pažljive analize potencijalnih mogućnosti, ali i rizika koje nudi ovaj napredak i integracije zaštite podataka u takve inovacione procese.
Istraživanje opažanja građana o zaštiti podataka o ličnosti, koje je naručila Misija Organizacije za Evropsku bezbednost i saradnju u Republici Srbiji (u daljem tekstu: Misija OEBS), a koje je sprovedeno krajem 2020. godine, a u koje je bilo uključeno 1217 ispitanika sa teritorije cele Republike Srbije uzimajući u obzir i urbana i ruralna područja, pokazalo je da građani imaju ambivalentan odnos prema zaštiti svoje privatnosti. Dok, s jedne strane, smatraju da je privatnost generalno važna i izražavaju potrebu za očuvanjem svoje privatnosti, ispoljavajući određenu svest o rizicima koji postoje, sa druge strane većina sumnja ili ne veruje u uspešnu primenu zakona i mogućnost zaštite svojih prava, navodeći da se u slučaju eventualne povrede prava nikome ne bi obratili, pre svega jer ne znaju kako i kome, ne veruju u pozitivan ishod, očekuju da proces dugo traje ili da je suviše komplikovan. Ovo jasno ukazuje na značaj informisanja javnosti o ovoj temi, naročito o pravima i proceduri zaštite podataka o ličnosti i institucijama nadležnim za ostvarivanje i zaštitu prava. Rezultati pomenutog istraživanja pokazali su da su posebno osetljive grupe stariji, niže obrazovani građani i građani iz seoskih sredina, ukazujući na potrebu prilagođavanja komunikacije tim ciljnim grupama.
Transparentnost obrade predstavlja jedno od osnovnih načela zaštite podataka i podrazumeva da je rukovalac dužan da licu na koje se podaci odnose pruži sve informacije u vezi sa obradom podataka, odnosno informacije u vezi sa ostvarivanjem prava, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Ukoliko je obrada usmerena na maloletna lica, rukovalac bi morao da osigura da koristi rečnik, ton i stil jezika primeren deci kako bi maloletno lice kome je informacija namenjena moglo da shvati poruku odnosno informacije koje su mu namenjene i posledice obrade. Ovo je naročito bitno s obzirom na sve više prisutnu obradu podataka o ličnosti maloletnih lica, posebno u digitalnom svetu.
______
5 Klačar B, Jeremić J, Komatina S, (2022), Izveštaj iz istraživanja javnog mnjenja: Nova pismenost - Istraživanje iz zaštite podataka o ličnosti: deca i privatnost na internetu, Centar za slobodne izbore i demokratiju (CeSID, dostupan na adresi: https://www.poverenik.rs/images/stories/dokumentacija-nova/prezentacije/DECA_I_PRIVATNOST_NA_INTERNETU_2022.pdf
Transparentnost je preduslov za poštenu obradu, neophodna za izgradnju poverenja lica na koje se podaci odnose u odnosu na one koji njihove podatke obrađuju i jačanje prava na zaštitu podataka kao jednog od osnovnih ljudskih prava. Transparentnost je podjednako bitna u svim fazama obrade, kako pre započinjanja obrade, odnosno u trenutku prikupljanja informacija, tako i tokom celog trajanja obrade, prilikom komunikacije sa licima po pitanju ostvarivanja njihovih prava ili u specifičnim situacijama, kada dođe do povrede podataka ili do značajnih promena u obradi.
Iz navedenih razloga, neophodno je podići svest o značaju načela transparentnosti obrade što se može postići prevashodno kroz kontinuirane edukacije rukovalaca i obrađivača, kojima će se obezbediti da učesnici u obradi proaktivno, kontinuirano, jasno, sažeto i razumljivo, prilagođeno svakoj konkretnoj ciljnoj grupi, na lako dostupan način, pružaju informacije o obradi licima čije podatke obrađuju.
Načelo transparentnosti usko je povezano i sa načelom "odgovornost za postupanje" koje podrazumeva da su rukovaoci u mogućnosti da predoče da su ispunili svoje obaveze koje proizilaze iz ZZPL-a. Navedeno u suštini znači da nije dovoljno da neko misli da je usaglašen sa ZZPL-om, već je potrebno da isto i dokaže. Usaglašenost sa ZZPL-om je moguće dokazati različitim internim aktima rukovalaca i obrađivača, javno dostupnim politikama privatnosti, zaključenim ugovorima, evidencijama o obradi podataka, sprovedenim procenama uticaja, odobrenim kodeksima postupanja, izdatim sertifikatima i ostalim dokumentovanim informacijama. Međutim, mnogi propisani mehanizmi kojima bi mogla da se dokaže usaglašenost sa ZZPL-om su samo preuzete iz Opšte uredbe o zaštiti podataka i Policijske direktive, a da nisu stvoreni svi neophodni uslovi za njihovu primenu u pravnom sistemu Republike Srbije.
Prilikom poštovanja načela odgovornosti za postupanje, posebnu pažnju je potrebno posvetiti usklađenosti sa zahtevima u pogledu ugrađene (eng. privacy by design) i podrazumevane (eng. privacy by default) zaštite. Svi koji vrše obradu podataka o ličnosti su dužni da osiguraju mere zaštite podataka, nezavisno od veličine rukovaoca i obrađivača i razlike u složenosti obrade. Saglasno ZZPL-u, rukovalac je u obavezi da sprovodi odgovarajuće tehničke i organizacione mere u cilju zaštite prava i sloboda lica čije podatke obrađuje. Ugrađena zaštita podrazumeva da bilo koja radnja koju rukovalac preduzima mora biti preduzeta imajući na umu zaštitu podataka i privatnost, što uključuje interne projekte, razvoj proizvoda, razvoj softvera, IT sisteme i slično. Sa druge strane, podrazumevana zaštita znači da su u svaki proizvod ili uslugu rukovaoca i drugih lica koja vrše obradu podataka inkorporirana najstroža podešavanja privatnosti. Različite elemente ugrađene i podrazumevane zaštite podataka bi trebalo razmotriti i uzeti u obzir u svim fazama osmišljavanja aktivnosti obrade, uključujući planiranje i sprovođenje projekata, postupak javnih nabavki, razvoj opreme, podršku, održavanje, brisanje podataka i slično. Rukovaoci, obrađivači i proizvođači proizvoda, odnosno pružaoci usluga, bi trebalo da posvete posebnu pažnju i osiguraju posebnu zaštitu, u skladu sa svojim obavezama ugrađene i podrazumevane zaštite podataka, kada obrađuju podatke o maloletnim licima.
U cilju ostvarenja predmetnog cilja, potrebno je stvoriti uslove i omogućiti učesnicima u obradi primenu svih propisanih mehanizama za dokazivanje usaglašenosti sa ZZPL-om, prevashodno kroz izmene propisa, sticanja stručnog znanja lica koja rade na poslovima zaštite, propisivanje uslova za akreditaciju i sertifikaciju, podsticanje rukovalaca i obrađivača da izrađuju kodekse postupanja, primenjuju koncept ugrađene i podrazumevane zaštite podataka, čime će doći do smanjenog kršenja ZZPL-a i veće zaštite prava lica čiji se podaci obrađuju.
Kako značajan broj rukovalaca i obrađivača još uvek ne ispunjava svoje obaveze koje proizilaze iz ZZPL-a, niti su razvili adekvatne mehanizme postupanja po zahtevima za ostvarivanje prava u vezi sa obradom podataka o ličnosti, usled čega dolazi do učestalog kršenja prava na zaštitu podataka o ličnosti, potrebno je pored preventivnog delovanja i kontinuiranih edukacija rukovalaca i obrađivača, pojačati i odgovornost za povredu osnovnih načela, kao i drugih obaveza utvrđenih ZZPL-om, što bi trebalo da utiče na učesnike u obradi da veću pažnju posvete zaštiti podataka o ličnosti.
U Republici Srbiji ne postoje propisi koji na sistemski način uređuju upotrebu sredstava za video i audio nadzor, čija je pristupačnost na tržištu i mogućnost kontrole koju pružaju dovela do širokog korišćenja ovih sredstava u mnogim sferama života kako u privatnom tako i u javnom prostoru, a time i do obrade podataka o fizičkim licima. Pri tome svrha obrade nije uvek konkretno određena i opravdana, niti je uspostavljen odgovarajući pravni osnov za obradu, a što su osnovne pretpostavke zakonitosti obrade i isključenja, odnosno svođenja na minimum slučajeva zloupotrebe tih sredstava. Iako je upotreba sistema za video nadzor pre svega povezana sa radom policije, i poslovima u oblasti zaštite bezbednosti ljudi i imovine, često sisteme video nadzora koriste i jedinice lokalne samouprave, obrazovne ustanove, ustanove kulture i slično. Sa stanovišta zaštite podataka o ličnosti građana, veoma je važno precizirati ko upravlja određenim sistemom video nadzora i da li sprovodi adekvatne mere zaštite kako bi se sprečile moguće zloupotrebe. Obrada podataka o ličnosti korišćenjem sistema za video nadzor na javnim površinama spada u tzv. masovne obrade podataka o ličnosti za koje ZZPL zahteva ispunjenje dodatnih obaveza od strane rukovaoca u pogledu zaštite podataka o ličnosti. Studija slučaja6 koju je pripremila organizacija Partneri Srbija prikazuje šta su obaveze lokalnih samouprava prilikom uspostavljanja sistema za video nadzor, gde lokalne samouprave najčešće greše, i kako mogu da unaprede svoje postupanje u cilju bolje zaštite podataka o ličnosti građana. Detaljnije uređivanje pitanja korišćenja video nadzora postaje dodatno značajno zbog pojave tehnologija koje omogućavaju prepoznavanje lica. Zbog toga se postavlja pitanje da li je ovoj temi mesto u ZZPL-u ili ju je potrebno urediti posebnim zakonom.
Obrada podataka koji se dobijaju analizom biološkog materijala, kao što su genetski i biometrijski podaci, koji pružaju jedinstvene informacije o određenom fizičkom licu, zbog osetljive prirode tih podataka zahteva dodatno zakonsko uređivanje kako bi bio uspostavljen zaokružen sistem u oblasti zaštite fizičkih lica u vezi sa obradom podataka o ličnosti.
Razvoj i upotreba veštačke inteligencije predstavlja još jedan izazov u oblasti zaštite podataka o ličnosti, s obzirom na mogućnost automatizovanog prikupljanja i analize velikih količina podataka i, s tim u vezi, praćenja ponašanja fizičkih lica i profilisanja.
Podaci sadržani u godišnjim izveštajima o radu Poverenika u periodu 2018-2021. godina i podaci sadržani u službenoj evidenciji Poverenika za period 1. januar 2022. - 31. oktobar 2022. godine ukazuju na to da se u Republici Srbiji iz godine u godinu održava trend delimičnog izvršavanja obaveza rukovalaca podacima koje proizlaze iz obrade podataka o ličnosti (vođenje evidencije radnji obrade, određivanje lica za zaštitu podataka o ličnosti, uređivanje odnosa između rukovaoca i obrađivača, obaveštavanje Poverenika i lica na koje se podaci odnose o povredi podataka o ličnosti, postupanje po zahtevima za ostvarivanje prava lica na koje se podaci odnose i omogućavanje ostvarivanja tih prava i dr.) - bilo da je reč o nepoznavanju propisa ili njihovom svesnom nepoštovanju - dok se u isto vreme povećava obim obrade podataka, naročito sa razvojem novih tehnologija i usluga koje se u sve većem broju pružaju elektronskim putem, a pojedinci ispoljavaju sve veću zainteresovanost za zaštitu svoje privatnosti i drugih prava i sloboda, iako i sami nedovoljno upoznati sa suštinom tih prava i načinom njihovog ostvarivanja. Stoga, obezbeđivanje uslova za zakonitu, poštenu i transparentnu obradu podataka, s jedne strane, kao i delotvornih procedura za ostvarivanje i zaštitu prava, s druge strane, predstavlja izazov na koji treba odgovoriti u narednom periodu.
_______
6 Kalajdžić K, (2022), Studija slučaja: Uspostavljanje video nadzora od strane lokalnih samouprava i zaštita ličnih podataka, Partneri Srbija, dostupan na adresi: https://www.partners-serbia.org/public/news/Prelom_-_Studija_Slucaja_-_Partneri_Srbija.pdf
Osim pred Poverenikom, lica mogu da ostvare svoje pravo na zaštitu podataka o ličnosti podnošenjem tužbe za zaštitu prava mesno nadležnom višem sudu na teritoriji Republike Srbije saglasno članu 84. ZZPL-a, kao i podnošenjem tužbe za naknadu štete saglasno članu 86. istog zakona. Prema informacijama prikupljenim od svih viših sudova, od početka primene ZZPL-a do februara 2021. godine, pred tim sudovima je pokrenuto samo tri postupka i to dva postupka gde je tužbenim zahtevom traženo dobijanje informacija u vezi sa obradom podataka i jedan u kome se tužbom traži utvrđivanje nezakonitosti obrade i brisanje podataka.
Na osnovu navedenog, može se zaključiti da sudska zaštita prava lica još uvek nije zaživela u Republici Srbiji, te da se lica prevashodno oslanjaju na mehanizme zaštite pred Poverenikom.
Odredbama člana 95. ZZPL-a propisana je i prekršajna odgovornost za rukovaoce i obrađivače u slučaju kršenja odredbi tog zakona. Saglasno navedenim odredbama, novčanom kaznom od 50.000 do 2.000.000 dinara za teže povrede zakona, odnosno od 100.000 dinara, za lakše povrede zakona kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica, preduzetnik novčanom kaznom od 20.000 do 500.000 dinara za teže povrede, odnosno u iznosu od 50.000 dinara za lakše povrede zakona, a fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od 5.000 do 150.000 dinara za teže povrede zakona, odnosno u iznosu od 20.000 dinara za lakše povrede zakona. Od početka primene ZZPL-a do kraja 2022. godine Poverenik je podneo 12 zahteva za pokretanje prekršajnog postupka od kojih je okončano 11 postupaka.
Krivična odgovornost za učinjeno krivično delo neovlašćeno prikupljanje ličnih podataka propisana je članom 146. Krivičnog zakonika. Navedenim članom Krivičnog zakonika je propisano da će se kazniti novčanom kaznom ili zatvorom do jedne godine lice koje podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni ili ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi, a ako krivično delo učini službeno lice u vršenju službe, kazniće se zatvorom do tri godine. U periodu od januara 2015. godine do jula 2020. godine, Poverenik je nadležnim osnovnim javnim tužilaštvima podneo ukupno 17 krivičnih prijava za krivična dela iz oblasti zaštite podataka o ličnosti, sve u vezi pomenutog člana 146. Krivičnog zakonika. Prijave su upućene osnovnim javnim tužilaštvima u Nišu, Kragujevcu, Prvom osnovnom javnom tužilaštvu u Beogradu i Trećem osnovnom javnom tužilaštvu u Beogradu, kao i Višem javnom tužilaštvu u Beogradu, odeljenju za borbu protiv visokotehnološkog kriminala. Po podnetim krivičnim prijavama Poverenika postupak je ili okončan zbog zastarelosti krivičnog gonjenja ili još uvek nema svoj ishod. Na osnovu analize koju je izradio nevladin sektor uz finansijsku pomoć Evropske unije i Ministarstva za ljudska i manjinska prava i društveni dijalog u martu 2021. godine, pred sudovima u Republici Srbiji od januara 2015. godine do jula 2020. godine formirano je ukupno 28 predmeta za krivično delo iz člana 146. Krivičnog zakonika, pred 14 osnovnih sudova. Dva predmeta pokrenuta su po optužnom aktu nadležnog javnog tužilaštva, dok je preostalih 26 pokrenuto po privatnim tužbama. U šest postupaka, doneto je rešenje o odbacivanju tužbenog zahteva, u 13 slučajeva doneto je rešenje o odbijanju, u dva slučaja doneto je rešenje o obustavi postupka. Dva predmeta okončana su osuđujućom presudom, u četiri slučaja doneta je oslobađajuća presuda, dok je jedan sud preinačio presudu i odbio optužbu.
Imajući u vidu navedeno, ne samo da su propisane kazne nesrazmerno niske za povredu ZZPL-a kao osnovnog ljudskog prava, naročito imajući u vidu kazne propisane Opštom uredbom o zaštiti podataka koje se kreću do 20.000.000 evra ili, u slučaju pravnog lica, do 4% ukupnog godišnjeg prometa u svetu za prethodnu finansijsku godinu, u zavisnosti od toga koji iznos je veći, nego ni prekršajna ni krivično-pravna sudska zaštita lica nije još uvek dovoljno razvijena, naročito ako se uzme u obzir učestalost kršenja prava na zaštitu podataka o ličnosti u Republici Srbiji u istom periodu, što se može videti iz godišnjih izveštaja Poverenika.
U tom smislu, potrebno je unaprediti sudske postupke za zaštitu prava, i to kako upravne i parnične tako i prekršajne i krivične, prvenstveno kroz jačanje kapaciteta sudova koji postupaju u predmetima u oblasti zaštite podataka o ličnosti, podsticanje bržeg okončanja postupaka, kontinuirano unapređenje nivoa stručnosti nosilaca pravosudnih funkcija u oblasti zaštite podataka o ličnosti, pooštravanje kazni za učinioce prekršajnih i krivičnih dela iz oblasti zaštite podataka. Dodatno, s obzirom da lica mogu voditi paralelne postupke pred Poverenikom i pred sudom povodom iste pravne stvari, potrebno je uspostaviti blisku saradnju između sudova i Poverenika radi ujednačavanja prakse u oblasti zaštite podataka o ličnosti i sprečavanja različitog postupanja u istoj pravnoj i činjeničnoj situaciji, čime se doprinosi većoj pravnoj sigurnosti, kako rukovalaca i obrađivača, tako i lica na koje se podaci odnose. Posebnu pažnju potrebno je posvetiti preporukama organizacija civilnog društva koje sprovode monitoring u ovoj oblasti.
Teritorijalna primena ZZPL-a, pored obrade koju vrše rukovaoci i obrađivači koji imaju sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, obuhvata i rukovaoce i obrađivače koji nemaju sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, kada su radnje obrade vezane za ponudu robe, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije i kada su radnje obrade vezane za praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije. Istovremeno, ZZPL je utvrđeno da Poverenik svoja ovlašćenja vrši na teritoriji Republike Srbije, a da preduzima odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama i međunarodnim organizacijama u cilju: razvoja mehanizama međunarodne saradnje za olakšavanje delotvorne primene zakona koji se odnose na zaštitu podataka o ličnosti; obezbeđivanja međunarodne uzajamne pomoći u primeni zakona koji se odnose na zaštitu podataka o ličnosti, uključujući i obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju nadzora, kao i razmenu informacija, pod uslovom da su preduzete odgovarajuće mere zaštite podataka o ličnosti i osnovnih prava i sloboda; angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona koji se odnose na zaštitu podataka o ličnosti; i podsticanja i unapređivanja razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti i njegovoj primeni, uključujući i pitanja sukoba nadležnosti sa drugim državama u ovoj oblasti. Ove norme nisu razrađene, niti postoje odgovarajući sporazumi koji bi omogućili njihovu primenu, posebno u domenu međunarodne uzajamne pomoći u primeni zakona i u vršenju nadzora.
Ipak, da bi sektorske oblasti bile adekvatno uređene sa stanovišta obrade podataka o ličnosti, krovni zakon koji uređuje tu materiju nije dovoljan, imajući u vidu specifičnosti obrade podataka u svakoj oblasti. Na primer, evidentno je da ZZPL ne može urediti vrste podataka i rokove čuvanja podataka koji se obrađuju u sferi radnih odnosa, niti da propiše koji se podaci prikupljaju i na koji način kasnije koriste prilikom bezbednosnih provera u organima u sastavu Ministarstva odbrane. Zbog toga, sektorski propisi moraju sadržati norme većeg stepena preciznosti, oslanjajući se na načela obrade i pravila zaštite podataka koja su utvrđena krovnim ZZPL-om. Drugim rečima, standardi utvrđeni ZZPL-om konkretizuju se sektorskim propisima, pri čemu se od njih može odstupiti samo u smeru davanja dodatnih prava licima na koja se podaci odnose. Reforma pravnog okvira koji uređuje materiju obrade podataka o ličnosti u Republici Srbiji predstavlja temeljan posao koji se ne sprovodi u skladu sa utvrđenim rokovima i obavezama. Aktivnost 3.9.1.2. u okviru Akcionog plana za poglavlje 23 (Revidirani akcioni plan iz jula 2020. godine), utvrđuje da se do poslednjeg kvartala 2020. godine sprovede "Analiza sektorskih propisa i izrada plana za njihovo usklađivanje sa novim Zakonom o zaštiti ličnih podataka". Ipak, ovakva analiza do sada nije sačinjena, odnosno, utvrđeni rok je probijen. Isto se može reći i za propuštanje da se ispuni obaveza utvrđena ZZPL-om, da se "odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, usklade sa odredbama ovog zakona do kraja 2020. godine"7. Kako bi se pružila podrška nadležnim organima da usklađivanje propisa urade na adekvatan način Partneri za demokratske promene Srbija, SHARE Fondacija, Udruženje "Da se zna!", Beogradska otvorena škola, NVO ATINA i Inicijativa A11 pripremili su Vodič za izradu i izmenu sektorskih propisa koji uređuju obradu i zaštitu podataka o ličnosti8, koji je objavljen uz finansijsku pomoć Evropske unije. Dokument nudi smernice za način otpočinjanja legislativnog procesa sa stanovišta usklađivanja sa krovnim okvirom ZZPL-a, savete za utvrđivanje sastava radnih grupa za izradu sektorskih propisa, zatim minimalne standarde obrade i zaštite podataka o ličnosti koji se utvrđuju sektorskim propisima, pojašnjenje načela obrade podataka o ličnosti iz ZZPL-a koja se konkretizuju sektorskim propisima, pojašnjenje kada je i na koji način potrebno izraditi procenu uticaja obrade na zaštitu podataka, itd.
_____
7 Član 100. Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS", broj 87/18).
Analiza odabranih sektorskih propisa i njihove primene prikazana je u publikaciji Privatnost i zaštita podataka o ličnosti u Srbiji9. Deo analize obuhvatio je postupanje nadležnih sudova u vezi sa krivičnim delom iz člana 146. Krivičnog zakonika - Neovlašćeno prikupljanje ličnih podataka u periodu 1. januar 2015. - 1. jul 2020. godine. U analiziranim sudskim odlukama nisu uočeni propusti, kako u pogledu primene procesnih pravila postupka, tako i u pogledu primene samog člana Krivičnog zakonika. Na osnovu samo dve osuđujuće presude nije ni moguće izjasniti se o tome je li kaznena politika sudova za ovo krivično delo blaga ili oštra.
Okolnost da su od 2015. godine pred sudovima u Republici Srbiji izrečene samo dve osuđujuće presude za član 146. Krivičnog zakonika - i to na uslovne osude - navodi na zaključak da pred krivična odeljenja sudova u Republici Srbiji još uvek nije stigao predmet sa značajnijom povredom privatnosti, bilo u pogledu ozbiljnosti posledica po oštećenog, bilo u pogledu broja oštećenih. Razloge što se takvi slučajevi i dalje ne vode pred sudovima svakako treba tražiti izvan sudova, imajući u vidu nadležnosti za pokretanje takvih predmeta. Jedan razlog može se naći u malom broju predmeta koje inicira javno tužilaštvo, odnosno, malom broju optužnica koje javna tužilaštva upućuju sudovima.
Na osnovu predstavljenih nalaza sudske prakse, u periodu koji obuhvata više od pet godina u samo dva predmeta se u ulozi tužioca pojavljuje nadležno javno tužilaštvo. Kada se ima u vidu da je javno tužilaštvo u obavezi da ex officio goni učinioce ovog dela, očekuje se da u svom radu budu značajno aktivnije. Krivičnopravna zaštita oštećenim krivičnim delom iz člana 146. Krivičnog zakonika nije ni efikasna, ni delotvorna. Nijedna krivična prijava Poverenika podneta u navedenom periodu nije dobila svoj epilog, što se može smatrati osnovnim razlogom što sudska praksa u ovoj oblasti nije razvijena10.
_______
8 Toskić Cvetinović A., Mileusnić D., Mišljenović U., (2022) Vodič za izradu i izmenu sektorskih propisa koji uređuju obradu i zaštitu podataka o ličnosti, Partneri Srbija, dostupan na adresi: https://www.partners-serbia.org//public/news/Prelom_-_Vodic_-_Partneri_Srbija.pdf
9 Mileusnić D., Ćurčić D., Tasić D., Adamović J., Kalajdžić K., Kovačević M., Pavlović M., Nicović N., Mišljenović U., (2021), Privatnost i zaštita podataka o ličnosti u Srbiji, Partneri Srbija, dostupan na adresi: https://www.partners-serbia.org/public/news/Privatnost_i_za%C5%A1tita_podataka_o_li%C4%8Dnosti_u_Srbiji_Analiza_odabranih_sektorskih_propisa_i_njihove_primene.pdf
10 Mileusnić D., Ćurčić D., Tasić D., Adamović J., Kalajdžić K., Kovačević M., Pavlović M., Nicović N., Mišljenović U., (2021), Privatnost i zaštita podataka o ličnosti u Srbiji, Partneri Srbija, dostupan na adresi: https://www.partners-serbia.org/public/news/Privatnost_i_ za%C5%A1tita_podataka_o_li%C4%8Dnosti_u_Srbiji_Analiza_odabranih_sektorskih_propisa_i_njihove_primene.pdf
Kako bi se dobio opšti uvid u opseg i načine na koji mediji krše pravo na privatnost građana, sa posebnim fokusom na pitanje u kojoj meri je ovo pravo uskraćeno osetljivim i marginalizovanim grupama organizacija civilnog društva Partneri Srbija sprovela je istraživanje11 u kojem je praćeno 12 medija tokom 14 ciklično odabranih dana u periodu april - jul 2021. godine. U spomenutom istraživanju se navodi da: "U posmatranom periodu identifikovano je 322 teksta i priloga u kojima se bez javnog interesa razotkriva identitet građana i iznose podaci o njihovom privatnom životu. Rezultati pokazuju da onlajn mediji, kao i mediji tabloidne uređivačke orijentacije posebno agresivno zadiru u privatnost građana, najčešće u vestima o nasilju i nesrećama. Među 625 instanci kršenja prava na privatnost, sa dve trećine preovlađuju građani koji su se našli u ulozi žrtava, iako Kodeks novinara Srbije12 i Pravilnik REM-a13 posebno skreću pažnju na to da su ova lica posebno ranjiva.
Najviše zabrinjava nalaz da su maloletnici direktno ili indirektno identifikovani 75 puta, takođe najčešće kao žrtve. Sa 23 objavljene fotografije i 75 puta identifikovanim maloletnim licima, najčešće u kontekstu različitih nesreća i nasilja, mediji pokazuju zabrinjavajući nivo neosetljivosti za dalje odrastanje i bol koji uzrokuju porodicama. Za razliku od maloletnika, druge društveno-osetljive i marginalizovane grupe relativno se retko pojavljuju u tekstovima kojima se zadire u privatnost. Marginalizovani u svakodnevnom medijskom izveštavanju, migranti, Romi i osobe sa invaliditetom, nevidljivi su i u ovoj specifičnoj vrsti analiziranih tekstova. Za razliku od njih, za svoju privatnost mogu da strepe ljudi iz prigradskih i ruralnih naselja, kojima udaljenost od medijskih i administrativnih centara ne predstavlja zaštitu. Ukupno posmatrano, vesti i izveštaji u kojima se objavljuju podaci iz privatnog života nastaju u miljeu rada koji se odvija izvan standarda profesionalne etike. Tipična vest neće imati potpis novinara, neće imati zvanične izvore već će se oslanjati na dobro obaveštene izvore, anonimne rođake i komšije, a jedino što će imati jeste pregršt ličnih podataka i fotografije iz privatnih arhiva.
_______
11 Kleut J., Prodanović D., (2022) Monitoring kršenja prava na privatnost u medijima, Partneri Srbija, dostupan na adresi: https://www.partners-serbia.org//public/news/monitoring-medija-publikacija.pdf
12 Kodeks novinara Srbije, dostupan na adresi: https://www.uns.org.rs/kodeks-novinara-srbije.html
13 Pravilnik o zaštiti ljudskih prava u oblasti pružanja medijskih usluga ("Službeni glasnik RS", br. 55/15), dostupan na adresi: http://www.rem.rs/uploads/files/Podzakonska%20regulativa/Pravilnik%20o%20zastiti%20ljudskih%20prava%20u%20oblasti%20pruzanja%20medijskih%20usluga.pdf
Navedeni izazovi na koje bi trebalo odgovoriti u ovoj strategiji prikazani su i kroz Drvo problema na Dijagramu 8.
Dijagram 8. Drvo problema
Kako bi se odredio dalji pravac razvoja, odnosno mere i aktivnosti koje je potrebno preduzeti, definisani su vizija i ciljevi strategije koji daju usmerenje svim učesnicima u procesu.
4. ŠTA ŽELIMO POSTIĆI - VIZIJA STRATEGIJE
Imajući u vidu značaj prava na zaštitu podataka o ličnosti kao Ustavom garantovanog prava i ljudskog prava prepoznatog u brojnim međunarodnim pravnim instrumentima (uključujući Konvenciju 108 Saveta Evrope i Evropsku povelju o osnovnim pravima EU), u vremenu sveopšte digitalizacije i naprednih kompjuterskih tehnologija, potrebno je dodatno jačanje mehanizama zaštite podataka, uz obezbeđivanje nesmetanog protoka podataka na otvorenom (digitalnom) evropskom i svetskom tržištu. Prepoznajući značaj ovog pitanja, strategijom se utvrđuju ciljevi i mere za dosledno usklađivanje pravnog okvira Republike Srbije sa pravilima i standardima EU o zaštiti podataka o ličnosti kako bi se obezbedilo unapređivanje prava građana u vezi sa obradom podataka o njihovoj ličnosti, kao i veća produktivnost i konkurentnost tržišta, što je u interesu kako građana i privrednih subjekata tako i demokratskog društva u celini.
Budući da informacije, uključujući i podatke o ličnosti, predstavljaju temelj modernog ekonomskog razvoja na kojem se baziraju mnogi proizvodi i usluge i da su zaštita i sigurnost podataka postale istinski globalni fenomen, vizija kojoj se teži ovom strategijom je:
Zaštićeni podaci - bezbedniji građani!
Pravedan, jasan, praktičan i usklađen pravni okvir kojim se uređuje obrada podataka uz puno poštovanje evropskih pravila i vrednosti, a naročito pravila o zaštiti podataka o ličnosti i položaj Poverenika kao samostalnog i nezavisnog organa, zahteva i obezbeđenje odgovarajućih finansijskih, organizacionih, kadrovskih i tehničkih resursa. Osnaživanje kapaciteta ovog organa dovelo bi do jačanja uloge Poverenika u podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom podataka o ličnosti, što bi predstavljalo dodatni doprinos merama koje se preduzimaju kako bi Republika Srbija poštovala i promovisala osnovne vrednosti porodice evropskih država kojoj ona nesumnjivo pripada, kao i dodatno ojačali postojeći mehanizmi zaštite podataka o ličnosti, koji pored osnaživanja individualnih prava lica, podrazumevaju i bolje razumevanje i efikasnije izvršavanje obaveza rukovalaca i obrađivača, uz jasne i delotvorne mere za ostvarivanje tih prava.
Uspostavljanje funkcionalnog sistema zaštite podataka o ličnosti omogućava Evropskoj komisiji da donese odluku sa dejstvom u celoj EU da Republika Srbija pruža odgovarajući nivo zaštite podataka, čime će se steći uslov da prenos podataka o ličnosti iz zemalja EU u Republiku Srbiju može da se obavlja bez dodatnih administrativnih obaveza.
Ova strategija zasniva se na načelima predvidljivosti (pravne sigurnosti), transparentnosti, društvene odgovornosti i očuvanju bezbednosti u oblasti zaštite podataka o ličnosti. Prateći ova načela određen je i opšti cilj strategije: Poštovanje prava na zaštitu podataka o ličnosti u svim oblastima života.
Ostvarenje ovog cilja meri se kroz ostvarenje pokazatelja efekata strategije, i to:
- Odluku Evropske komisije o adekvatnoj zaštiti podataka o ličnosti
Početna vrednost (u daljem tekstu: PV): Ne, Ciljana vrednost (u daljem tekstu: CV): Da
Izvor provere: "Službeni list" EU;
Kao i kroz ostvarivanje tri posebna cilja Strategije:
1. Unapređeni funkcionalni mehanizmi zaštite podataka o ličnosti;
2. Unapređena svest o značaju zaštite podataka o ličnosti i načinima ostvarivanja prava;
3. Unapređen sistem zaštite podataka o ličnosti pri razvoju i primeni informaciono-komunikacionih tehnologija u procesima digitalizacije.
5.1. Poseban cilj 1. Unapređeni funkcionalni mehanizmi zaštite podataka o ličnosti
Zaštita podataka o ličnosti obezbeđuje zaštitu osnovnih prava i sloboda fizičkih lica, u skladu sa vrednostima demokratskog društva. Mehanizmi zaštite podataka o ličnosti treba da budu dostupni svakom fizičkom licu, a njihova funkcionalnost je pretpostavka neophodna za afirmaciju prava, posebno u okruženju u kome dolazi do dinamičnog razvoja informacionih tehnologija i njihove sve šire primene kako u privatnom, tako i u javnom sektoru, što dovodi do povećanog rizika za prava pojedinaca.
Ostvarenje ovog cilja meri se kroz pokazatelje ishoda koji su:
- Omogućen prenos podataka o ličnosti između zemalja EU i Republike Srbije bez dodatnih administrativnih obaveza
PV: Ne, CV: Da
Izvor provere: Izveštaj (Odluka) Evropske komisije;
- Omogućeno podnošenje pritužbe o povredi prava na zaštitu podataka o ličnosti i praćenje statusa postupka elektronskim putem
PV: Ne, CV: Da
Izvor provere: Izveštaj o radu Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, Statistika o elektronskim uslugama na Portalu eUprava, Izveštaj Republičkog zavoda za statistiku.
Mera 5.1.1: Unapređenje pravnog okvira u oblasti zaštite podataka o ličnosti
ZZPL koji je u primeni od 2019. godine u velikoj meri je usklađen sa pravom EU i standardima zaštite podataka o ličnosti. Na neophodnost novih rešenja ukazuje dosadašnja primena važećeg zakona i istraživanja domaćih organizacija civilnog društva i nezavisnih eksperata.
ZZPL obezbeđuje bolju zaštitu prava na zaštitu podataka o ličnosti, i propisuje veći obim obaveza i odgovornosti svima koji obrađuju podatke. Ipak, osnovne prepreke u ostvarivanju prava na zaštitu podataka o ličnosti su brojni nedostaci ZZPL-a koji se, pre svega, odnose na nejasne odredbe i prepisane mehanizme koji ne postoje u domaćem pravnom sistemu, što dovodi u pitanje njegovu primenljivost. Tekst ZZPL-a u najvećoj meri predstavlja adaptirani prevod Opšte uredbe za zaštitu podataka (s tim što njen integralni deo Preambula koja predstavlja neophodno polazište za tumačenje propisa nije uključena u ZZPL), kao i Policijske direktive kojom je uređena obrada podataka o ličnosti od strane nadležnih organa u vezi sa krivičnim postupcima i pretnjama nacionalnoj bezbednosti. Usled neodgovarajućeg načina transponovanja Policijske direktive, u ZZPL-u su uspostavljena dva paralelna režima u pogledu obrade podataka, od kojih je jedan opšti, a drugi, koji se odnosi na "nadležne organe", poseban.
U ZZPL-u nisu primereno razrađene procesne odredbe o postupanju Poverenika po pritužbama. ZZPL sadrži odredbu prema kojoj lice na koje se podaci odnose, ima pravo da podnese pritužbu Povereniku, kao i da to ne utiče na pravo tog lica da pokrene druge postupke upravne ili sudske zaštite. Organi pred kojim se može voditi postupak (Poverenik, Upravni sud, viši sudovi) nemaju obavezu međusobnog obaveštavanja, niti proveravanja da li se kod drugog organa vodi neki postupak. To znači da se u svakom postupku u kom se pokrene više mehanizama zaštite prava lica, dovodi u pitanje pravna sigurnost.
S obzirom na to da u okviru našeg pravnog sistema postoji primer Komisije za zaštitu konkurencije, koja je (kao što je slučaj i u EU) dobila nadležnost za određivanje upravnih mera (u obliku obaveze plaćanja novčanog iznosa u određenoj visini) u slučaju kada utvrdi povredu Zakona o zaštiti konkurencije, značajno bi bilo da se ovaj model primeni i u oblasti zaštite podataka o ličnosti, u cilju veće efikasnosti nadzora nad sprovođenjem ZZPL-a.
Imajući u vidu da više pitanja u ZZPL-u nije uopšte ili nije odgovarajuće uređeno, odnosno da neke odredbe nisu dovoljno konkretizovane, da brojni članovi sadrže neprimereno mnogo stavova i da postoji izuzetno veliki broj slučajeva izuzimanja od primene ZZPL-a, njegova efektivna primena je otežana, te je zato neophodno pristupiti njegovim izmenama i dopunama.
Takođe, obaveza iz člana 100. ZZPL-a kojom je propisano da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti uskladiti sa odredbama ZZPL-a do kraja 2020. godine nije ispunjena.
S obzirom da ZZPL u odnosu na prethodni režim zaštite podataka materiju uređuje na opsežniji način, uključujući i propisivanje kvaliteta i sadržine odredaba drugih propisa, da je veliki broj propisa donet pre početka primene ZZPL-a, kao i da u pojedinim slučajevima mišljenja Poverenika na nacrte zakona nisu preneta u konačne odredbe usvojenih zakona neophodno je relevantne propise izmeniti i dopuniti, odnosno razmotriti usvajanje novih.
Nepostupanje u skladu sa principom "odgovornost za postupanje", obaveza primene adekvatnih tehničkih, organizacionih i kadrovskih mera u cilju bezbednosti obrade podataka o ličnosti iz člana 50. ZZPL-a i obaveza sprovođenja procene uticaja radnji obrade na podatke o ličnosti nisu precizno sankcionisani ZZPL-om.
Opšta obaveza sprovođenja odgovarajućih tehničkih, organizacionih i kadrovskih mera u cilju obezbeđivanja i dokazivanja primene ZZPL-a iz člana 41. ZZPL-a konkretizovana je obavezom sprovođenja procene rizika za bezbednost obrade (član 50. ZZPL-a) i procene uticaja radnji obrade na podatke o ličnosti (član 54. ZZPL-a). Na osnovu ovih procena se identifikuju rizici za bezbednosti obrade i rizici za prava i slobode lica čiji se podaci obrađuju i drugih lica. Interni akti se izrađuju na osnovu procena iz čl. 50. i 54. ZZPL-a i tim aktima se propisuju odgovarajuće tehničke, organizacione mere ublažavanje rizika identifikovanih rizika u procenama. Izmenama i dopunama ZZPL-a je potrebno razjasniti opisane obaveze postupanja rukovalaca i preporučiti metodologiju za procene rizika.
Institucija nadležna za sprovođenje mere: Ministarstvo pravde
Period sprovođenja: 2023-2030.
Vrsta mere: Regulatorna
Pokazatelj rezultata:
- Unapređen ZZPL
PV: Ne, CV: Da
Izvor provere: ZZPL sa pratećim obrazloženjem, Izveštaj o radu Poverenika, istraživanja nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata;
- Unapređen Zakon o prekršajima
PV: Ne, CV: Da
Izvor provere: Zakon o prekršajima sa pratećim obrazloženjem, Izveštaj o radu Poverenika, istraživanja nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata;
- Unapređen Krivični zakonik
PV: Ne, CV: Da
Izvor provere: Krivični zakonik sa pratećim obrazloženjem, Izveštaj o radu Poverenika, istraživanja nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata
- Procenat sektorskih zakona usaglašenih sa unapređenim ZZPL-om PV: 40%, CV: 100%
Izvor provere: Izveštaj o usaglašenosti propisa sa ZZPL-om Ministarstva pravde, Izveštaj o radu Poverenika, istraživanja nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata.
Mera 5.1.2: Unapređenje institucionalnog okvira u oblasti zaštite podataka o ličnosti
U aprilu 2021. godine Vlada Republike Srbije je usvojila Strategiju reforme javne uprave u Republici Srbiji za period od 2021-2030. godine sa Akcionim planom za period od 2021-2025. godine za njeno sprovođenje, kojom je predviđeno jačanje kapaciteta Poverenika, odnosno obaveza Vlade Republike Srbije da obezbedi adekvatne uslove i finansijska sredstva za nesmetan rad Poverenika kao samostalnog državnog organa, nezavisnog u vršenju svoje nadležnosti, posebno u odnosu na: proširenje nadležnosti Poverenika utvrđene novim Zakonom o zaštiti podataka o ličnosti i Zakonom o izmenama i dopunama Zakona o slobodnom pristupu informacijama od javnog značaja; vršenje funkcije nadzora; sprovođenje drugostepenog postupka, kao i rastući obim poslova čije neblagovremeno izvršenje proizvodi troškove sudskog spora na teret budžeta. Kako bi se unapredio institucionalni okvir neophodno je obezbediti dodatne regionalne kancelarije Poverenika i kroz posebnu edukaciju povećati broj specijalizovanih lica za zaštitu podataka o ličnosti u organima koji se bave zaštitom podataka o ličnosti.
Institucija nadležna za sprovođenje mere: Poverenik
Period sprovođenja: 2023-2030.
Vrsta mere: Institucionalno-upravljačko-organizaciona
Pokazatelj rezultata:
- Broj kancelarija Poverenika regionalno raspoređenih na teritoriji Republike Srbije
PV: 1, CV: 3
Izvor provere: Izveštaj o radu Poverenika;
- Broj specijalizovanih lica za zaštitu podataka o ličnosti u organima koji se bave zaštitom podataka o ličnosti
PV: 25, CV: 200
Izvor provere: Izveštaj o radu Poverenika, Statistika iz Jedinstvenog informacionog sistema prosvete.
Mera 5.1.3: Unapređenje primene mehanizama zaštite pri obradi podataka o ličnosti
Unapređenje primene mehanizama zaštite podataka o ličnosti zahteva povećanje kapaciteta ne samo Poverenika već i svih rukovalaca i obrađivača koji vrše različite radnje obrade. Kako bi se unapredio stepen zaštite podataka o ličnosti potrebno je uvođenje posebnih programa obuke na visokoškolskim ustanovama za lica za zaštitu podataka o ličnosti koja su angažovana kod rukovalaca i obrađivača podataka, uspostavljanje evidencije o radnjama obrade podataka o ličnosti, kao i donošenje internih akata kojima se uređuje zaštita podataka o ličnosti. Lica čiji se podaci obrađuju moraju biti obaveštavana o obradi koja se vrši. Takođe, neophodno je raditi na povećanju broja stranih rukovalaca na koje se ZZPL primenjuje koji izvršavaju obavezu određivanja predstavnika u Republici Srbiji. Neophodno je raditi i na unapređenju mehanizama sudske zaštite prava na zaštitu podataka o ličnosti, što se može pratiti kroz veći procenat postupanja po krivičnim prijavama Poverenika i građana od strane javnog tužilaštava, kao i veći procenat rešenih predmeta pred sudovima za ostvarenje prava po osnovu zaštite podataka o ličnost.
Institucija nadležna za sprovođenje mere: Poverenik
Period sprovođenja: 2023-2030.
Vrsta mere: Podsticajna
Pokazatelj rezultata:
- Broj lica za zaštitu podataka o ličnosti angažovanih kod rukovalaca i obrađivača koja su završila poseban program obuke na visokoškolskoj ustanovi
PV: 100, CV: 3.000
Izvor provere: Izveštaj o radu Poverenika, Statistika iz Jedinstvenog informacionog sistema prosvete;
- Broj rukovalaca i obrađivača koji su odredili lice za zaštitu podataka o ličnosti
PV: 4.480, CV: 12.000
Izvor provere: Evidencija lica za zaštitu podataka o ličnosti koju vodi Poverenik;
- Broj rukovalaca, odnosno obrađivača koji su doneli interne akte koji se odnose na obradu podataka o ličnosti i sadrže adekvatne tehničke, organizacione i kadrovske mere na osnovu procena
PV: 100, CV: 3.000
Izvor provere: Izveštaj o radu Poverenika, broj rukovalaca koji su uspostavili evidenciju o radnjama obrade podataka o ličnosti
PV: 5.000, CV: 15.000
Izvor provere: Izveštaj o radu Poverenika;
- Broj stranih rukovalaca koji su odredili predstavnika za zaštitu podataka o ličnosti
PV: 10, CV: 100
Izvor provere: Evidencija o prijavljenim predstavnicima stranih rukovalaca koju vodi Poverenik;
- Procenat rešenih predmeta po pritužbama, prekršajnim i krivičnim prijavama u oblasti zaštite podataka o ličnosti
PV: 70% CV: 95%
Izvor provere: Izveštaj o radu Poverenika, Izveštaji Republičkog zavoda za statistiku, Izveštaj o radu javnih tužilaštava na suzbijanju kriminaliteta i zaštiti ustavnosti i zakonitosti, po godinama, istraživanja nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata.
5.2. Poseban cilj 2. Unapređena svest o značaju zaštite podataka o ličnosti i načinima ostvarivanja prava
Kultura poštovanja ljudskih prava uključujući pravo na zaštitu podataka o ličnosti, pored odgovarajućeg institucionalnog okvira, podrazumeva visok nivo svesti titulara prava o značaju prava koja im pripadaju i načinu njihovog ostvarivanja. Kako bi se stekla i razvila svest o značaju zaštite svojih podataka o ličnosti uz istovremeno poštovanje istog prava drugih lica od najranijeg uzrasta, potrebno je uvođenje edukacije o zaštiti podataka o ličnosti u sadržaje planova i programa nastave i učenja na svim nivoima obrazovanja, naročito imajući u vidu razvoj informacionih tehnologija i njihovu sve širu primenu i dostupnost. Takođe, u cilju podizanja svesti građana o zaštiti podataka o ličnosti potrebno je organizovati i sprovesti odgovarajuće aktivnosti za stručnu i opštu javnost.
Ostvarenje ovog cilja meri se kroz pokazatelje ishoda koji su:
- Broj posetilaca veb prezentacije (u sekciji: Zaštita podataka) i obraćanja putem zvaničnih kanala komunikacije (kol centra, elektronske pošte i društvenih mreža) Poverenika, na godišnjem nivou
PV: 5.000, CV: 50.000
Izvor provere: Statistički izveštaji sa veb prezentacije i društvenih mreža.
Mera 5.2.1: Unapređenje sadržaja planova i programa nastave na svim nivoima obrazovanja temama iz oblasti zaštite podataka o ličnosti i digitalne privatnosti
Obrazovanje i vaspitanje ostvaruje se na osnovu kvalitetnih programa nastave i učenja zasnovanih na ishodima koji vode ka razvijanju kompetencija učenika koji su utvrđeni nacionalnim standardima kvalifikacija. Kompetencijski pristup standardima stavlja u prvi plan svrhu učenja i funkcionalnost znanja koja učenici tokom svog obrazovanja stiču i aktivno primenjuju u mnogobrojnim situacijama školskog i svakodnevnog života.
Reforma u obrazovanju koja je predviđena Strategijom razvoja obrazovanja i vaspitanja u Republici Srbiji do 2030. godine ("Službeni glasnik RS", broj 63/21), neminovno će dovesti do revizije programa nastave i učenja, ali i do značajnih novina u izradi udžbenika, digitalnih materijala i ostalih didaktičkih sredstava. Osim što se očekuje da će programi afirmisati kompetencijski pristup učenju i dovesti do redukovanja sadržaja - činjeničnog materijala koji afirmiše reproduktivna znanja, prilikom izrade i standarda i programa, u obzir će biti uzete i teme koje u prethodnom periodu nisu bile dovoljno prepoznate kao važne u smislu neophodnog fundusa znanja i veština za 21. vek i za dalji razvoj Republike Srbije i njenih građana. Među temama koje treba da razvijaju i željene vrednosti prepoznata je i zaštita podataka o ličnosti koje se mora proučavati tokom celoživotnog procesa učenja. Zbog toga je neophodno uraditi reviziju postojećih planova i programa i uvesti privatnost i zaštitu podataka o ličnosti u kurikulume na svim nivoima obrazovanja.
Institucija nadležna za sprovođenje mere: Ministarstvo prosvete
Period sprovođenja: 2023-2030.
Vrsta mere: Informativno-edukativna
Pokazatelj rezultata:
- Broj predmeta u planovima i programima nastave i učenja koji sadrže teme iz oblasti zaštite podataka o ličnosti i digitalne privatnosti
PV: 1, CV: 5
Izvor provere: Akreditovani planovi i programi nastave i učenja;
- Broj nastavnika koji su obučeni za obrazovno-vaspitni rad u oblasti zaštite podataka o ličnosti i digitalne privatnosti
PV: 100, CV: 2.000
Izvor provere: Izveštaj o održanim obukama Zavoda za unapređivanje obrazovanja i vaspitanja;
- Broj predmeta na studijskim programima koji sadrže teme iz oblasti zaštite podataka o ličnosti i digitalne privatnosti
PV: 4, CV: 20
Izvor provere: Akreditovani studijski programi visokoškolskih ustanova;
- Broj učenika i studenata koji su stekli obrazovanje u oblasti zaštite podataka o ličnosti
PV: 60.000, CV: 500.000
Izvor provere: Izveštaj o broju učenika i studenata koji su pozitivno ocenjeni na predmetima u okviru kojih se izučava zaštita podataka o ličnosti iz Jedinstvenog informacionog sistema prosvete.
Mera 5.2.2: Stručno usavršavanje zaposlenih u javnoj upravi u oblasti zaštite podataka o ličnosti
Novine koje je ZZPL uveo u pravni poredak Republike Srbije, kompleksnost ukupne materije i pravne nejasnoće koje sadrži, kao i nedovoljna spremnost pojedinih organa uprave da u svemu postupaju u skladu sa ZZPL-om, zahteva da se rukovaoci i obrađivači podataka o ličnosti što bolje i što pre u potpunosti osposobe za njegovu primenu.
Nacionalna akademija za javnu upravu, kao centralna institucija sistema stručnog usavršavanja u javnoj upravi, uz primenu savremenih oblika i metoda rada na stručnom usavršavanju, unapređuje kompetencije zaposlenih u javnoj upravi, neophodne za kvalitetno obavljanje posla. Time se obezbeđuje stalno unapređenje kvaliteta usluga i poštovanje prava u svim oblastima, pa i u oblasti zaštite podataka o ličnosti.
Kontinuirano stručno usavršavanje obezbeđuje da je svaki zaposleni službenik javne uprave uvek u stanju da odgovori na potrebe građana i pravilno, efikasno i ekonomično sprovede propise bez diskriminacije i na standardizovan način. Profesionalizacija i depolitizacija uprave su ključni principi reforme, kojima Nacionalna akademija za javnu upravu daje značajan doprinos razvijajući i realizujući savremene programe obuke kao i praćenjem postignutih rezultata.
Poverenik je na osnovu ZZPL-a jedini ovlašćen da prati i obezbeđuje primenu ovog zakona, a posebno da se stara o podizanju svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom, kao i da se stara o podizanju svesti rukovalaca i obrađivača u vezi sa njihovim obavezama propisanim ZZPL-om. Osim toga, Poverenik je, na osnovu samog ZZPL-a, ovlašćen da o ovim i srodnim pitanjima iz oblasti zaštite podataka o ličnosti sprovodi odgovarajuće obuke.
U tom cilju Poverenik, u dogovoru sa Nacionalnom akademijom za javnu upravu, realizuje obuke za predstavnike rukovalaca i obrađivača, pre svega za lica koja su već određena za zaštitu podataka o ličnosti ili za ona koja će tek biti određena, kako bi ova lica stekla nova i dogradila postojeća znanja o pravu na zaštitu podataka o ličnosti i kako bi se bliže upoznala sa obavezama koje, u skladu sa ZZPL-om, imaju rukovaoci i obrađivači podataka o ličnosti. Sa ciljem poboljšanja programa stručnog usavršavanja u ovoj oblasti, kao i broja polaznika zaposlenih u javnoj upravi koji svakodnevno obrađuju podatke građana, neophodno je unaprediti postojeće i akreditovati nove programe obuka i omogućiti edukaciju što većeg broja službenika.
Institucija nadležna za sprovođenje mere: Nacionalna akademija za javnu upravu
Period sprovođenja: 2023-2030.
Vrsta mere: Informativno-edukativna
Pokazatelj rezultata:
- Broj akreditovanih programa stručnog usavršavanja koji obuhvataju tematsku celinu zaštite podataka o ličnosti
PV:1, CV: 5
Izvor provere: Izveštaj Nacionalne akademije za javnu upravu iz Centralne evidencije programa stručnog usavršavanja u javnoj upravi;
- Broj polaznika obuka u oblasti zaštite podataka o ličnosti
PV: 50, CV: 1.000
Izvor provere: Izveštaj o održanim obukama u Nacionalnoj akademiji za javnu upravu;
- Broj realizovanih obuka iz tematskih celina koje se odnose na zaštitu podataka o ličnosti
PV: 50, CV: 1.000
Izvor provere: Izveštaj o radu Nacionalne akademije za javnu upravu.
Mera 5.2.3 Obrazovanje sudija i nosilaca javnotužilačke funkcije u oblasti zaštite podataka o ličnosti
Unapređenje mehanizama zaštite podataka o ličnosti zahteva i kontinuiranu obuku javnih tužilaca i sudija koji postupaju u prekršajnim i krivičnim postupcima. Usaglašavanje sudske prakse, efikasno postupanje i obezbeđivanje pravne sigurnosti zahteva podizanje kapaciteta zaposlenih u pravosuđu. Pravosudna akademija organizuje i sprovodi stalnu obuku sudija i javnih tužilaca i vrši stručno usavršavanje sudskog i javnotužilačkog osoblja, uz saradnju sa domaćim i međunarodnim organizacijama i telima. S obzirom na to da je Poverenik, na osnovu ZZPL-a, jedini ovlašćen da prati i obezbeđuje primenu ovog zakona, kao i da je ovlašćen da o pitanjima iz oblasti zaštite podataka o ličnosti sprovodi odgovarajuće obuke, neophodno je kreirati i realizovati specijalizovane obuke na ovu temu u okviru postojećih početnih i stalnih programa obuke Pravosudne akademije.
Institucija nadležna za sprovođenje mere: Pravosudna akademija
Period sprovođenja: 2023-2030.
Vrsta mere: Informativno-edukativna
Pokazatelj rezultata:
- Broj obuka koji sadrže tematsku celinu zaštitu podataka o ličnosti
PV: 0, CV: 2
Izvor provere: Program početne obuke i Program stalne obuke Pravosudne akademije;
- Broj sudija i nosilaca javnotužilačke funkcije obučenih u oblasti zaštite podataka o ličnosti
PV: 350, CV: 1.000
Izvor provere: Izveštaj o realizovanim obukama Pravosudne akademije.
Mera 5.2.4: Podizanje svesti građana o značaju zaštite podataka o ličnosti
Iako je ZZPL u primeni od avgusta 2019. godine, građani nisu u potpunosti upoznati sa njihovim pravima iz ove oblasti.
Istraživanje o stavovima građana o zaštiti podataka o ličnosti, sprovedeno 2020. godine koje je podržala misija OEBS, pokazalo je da 77% građana Republike Srbije veruje da je rizik od zloupotrebe podataka o ličnosti donekle ili veoma visok, dok 64% veruje da građani nisu upoznati sa njihovim pravima u vezi sa zaštitom podataka o ličnosti. Pored toga, polovina ispitanika rekla je da dostupne informacije o zaštiti podataka o ličnosti nisu uopšte jasne ili su samo donekle jasne. Rezultati istraživanja potvrdili su da građani Republike Srbije nemaju dovoljno informacija o njihovom pravu na zaštitu podataka o ličnosti, mada izjavljuju da ga smatraju veoma važnim. Zbog toga je Misija OEBS, u partnerstvu sa Poverenikom, tokom 2022. godine realizovala kampanju "Neka ostane lično" u cilju podizanja svesti građana o njihovim pravima u ovoj oblasti.
Ovakve inicijative, kao i okrugle stolove, tribine, seminare, neophodno je realizovati kako bi građani znali da je njihovo pravo na zaštitu podataka o ličnosti zagarantovano Ustavom i ZZPL-om, koji striktno propisuju pod kojim uslovima rukovaoci i obrađivači mogu da obrađuju njihove podatke o ličnosti, i kako bi prepoznali ulogu Poverenika kao nezavisne institucije koja obezbeđuje sprovođenje zakona i postupa po pritužbama građana. Zbog toga je neophodno, u koordinaciji sa Poverenikom, definisati aktivnosti koje će podići svest građana o značaju ove teme i mehanizmima zaštite prava na privatnost i zaštitu podataka o ličnosti.
Institucija nadležna za sprovođenje mere: Poverenik
Period sprovođenja: 2023-2030.
Vrsta mere: Informativno-edukativna
Pokazatelj rezultata:
- Broj organizovanih tribina, okruglih stolova, seminara i kampanja u oblasti zaštite podataka o ličnosti
PV: 20, CV: 100
Izvor provere: Izveštaj o radu Poverenika, izveštaji nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata;
- Broj učesnika tribina, okruglih stolova, seminara i kampanja u oblasti zaštite podataka o ličnosti
PV: 200, CV: 5.000
Izvor provere: Izveštaj o radu Poverenika, izveštaji nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata;
- Broj specijalizovanih publikacija u oblasti zaštite podataka o ličnosti
PV: 10, CV: 50
Izvor provere: Izveštaj o radu Poverenika, izveštaji nezavisnih međunarodnih organizacija i tela, domaćih organizacija civilnog društva i nezavisnih eksperata.
5.3. Poseban cilj 3. Unapređen sistem zaštite podataka o ličnosti pri razvoju i primeni informaciono-komunikacionih tehnologija u procesima digitalizacije
Razvoj informaciono-komunikacionih tehnologija jedan je od osnovnih pokretača ekonomskog napretka svakog savremenog društva, ali njega treba da prati odgovarajući stepen zaštite podataka o ličnosti. Stoga bi odgovarajućim merama trebalo postići adekvatno pravno uređenje odnosa digitalizacije i tehnološkog napretka sa zaštitom podataka o ličnosti, kao i funkcionalno uređenje odnosa ove dve oblasti.
Ostvarenje ovog cilja meri se kroz pokazatelje ishoda koji su:
- Usvajanje Smernica za izradu procene uticaja obrade na zaštitu podataka o ličnosti
PV: Ne, CV: Da
Izvor provere: "Službeni glasnik Republike Srbije";
- Procenat softverskih rešenja koji imaju urađenu procenu uticaja obrade na zaštitu podataka o ličnosti u skladu sa Smernicama za izradu procene uticaja obrade na zaštitu podataka o ličnosti
PV: 0, CV: 95%
Izvor provere: Izveštaj Kancelarije za informacione tehnologije i elektronsku upravu, Izveštaj o radu Poverenika.
Mera 5.3.1: Pravno uređenje odnosa digitalizacije i tehnološkog napretka sa zaštitom podataka o ličnosti
U doba Interneta, "pametnih telefona" i društvenih mreža, jednostavno je deliti i pronaći razne podatke o ličnosti. Možda i previše jednostavno. Istraživanja u ovoj oblasti pokazuju da građani žele jasnu zakonsku regulativu a ne samoregulaciju, da im je važna anonimnost, ne žele da budu profilisani i plaše se zloupotreba od strane i privatnog i javnog sektora, naročito kada su u pitanju genetički i biometrijski podaci. Uvođenje novih tehnologija u obradu podataka o ličnosti, digitalizacija, video nadzor i korišćenje veštačke inteligencije ne smeju biti na štetu ostvarenja ljudskih prava i jednakosti među ljudima. Zbog toga je potrebno stalno praćenje procesa digitalizacije i regulisanje ove oblasti kako bi osigurala pravo na privatnost i zaštitu podataka o ličnosti. Neophodno je rukovaocima bliže odrediti pravila obrade genetičkih i biometrijskih podataka, kao i na koji način sprovoditi video nadzor tako da svrha, obim i način obrade bude adekvatan. Za uređivanje ove oblasti nadležna je Kancelarija za informacione tehnologije i elektronsku upravu, odnosno Ministarstvo unutrašnjih poslova u domenu bezbednosti građana i objekata. Adekvatna obrada ove vrste podataka o ličnosti biće moguća tek nakon izmena i dopuna ZZPL-a i donošenja posebnih propisa.
Institucija nadležna za sprovođenje mere: Kancelarija za informacione tehnologije i elektronsku upravu
Period sprovođenja: 2023-2024.
Vrsta mere: Regulatorna
Pokazatelj rezultata:
- Uređenje automatizovane obrade genetičkih i biometrijskih podataka o ličnosti
PV: Ne, CV: Da
Izvor provere: "Službeni glasnik Republike Srbije";
- Uređenje obrade podataka o ličnosti korišćenjem audio i video nadzora
PV: Ne, CV: Da
Izvor provere: "Službeni glasnik Republike Srbije".
Mera 5.3.2: Funkcionalno uređenje odnosa digitalizacije i tehnološkog napretka sa zaštitom podataka o ličnosti
Uspešna transformacija poslovanja u cilju uspostavljanja digitalne ekonomije i digitalnog društva u demokratskom okruženju zahteva kontrolisanu primenu širokog spektra modernih tehnologija uz istovremeno razvijanje odgovarajućih mehanizama prevencije i zaštite od neželjenih događaja, među kojima su i oni događaji kojima se ugrožava pravo fizičkog lica na zaštitu njegovih podataka o ličnosti. U tom kontekstu bitno je blagovremeno sagledavanje implikacija primene modernih tehnologija na prava fizičkih lica, vrstu i nivo rizika do kojih može doći usled te primene, donošenje adekvatnih odluka i sprovođenje mera kojima se štite integritet i poverljivost podataka, uz stalno preispitivanje i usklađivanje sa promenama do kojih dolazi. Značajnu ulogu u tom procesu treba da imaju lica za zaštitu podataka o ličnosti prilikom čijeg određivanja rukovaoci i obrađivači treba posebno da vode računa o znanju i iskustvu tih lica u oblasti zaštite podataka o ličnosti, naročito u slučajevima u kojima se radi o obradi genetičkih ili biometrijskih podataka, odnosno o obradi podataka o ličnosti upotrebom sredstava za audio ili video nadzor.
Institucija nadležna za sprovođenje mere: Poverenik
Period sprovođenja: 2023-2030.
Vrsta mere: Institucionalno-upravljačko-organizaciona
Pokazatelj rezultata:
- Broj organa državne uprave i pravnih lica koji se bave obradom genetičkih i biometrijskih podataka o ličnosti
PV: 1, CV: 10
Izvor provere: Izveštaj o radu Poverenika;
- Broj specijalizovanih lica za zaštitu podataka o ličnosti kod rukovalaca i obrađivača koja su posebno obučena za obradu genetičkih i biometrijskih podataka
PV: 2, CV: 50
Izvor provere: Izveštaj o radu Poverenika, Izveštaj o sprovedenim obukama;
- Broj organa državne uprave i pravnih lica koji se bave obradom podataka korišćenjem sredstva za video i audio nadzor
PV: 10, CV: 30
Izvor provere: Izveštaj o radu Poverenika, Statistika Ministarstva unutrašnjih poslova;
- Broj lica za zaštitu podataka o ličnosti kod rukovalaca i obrađivača koja su posebno obučena za obradu podataka korišćenjem sredstva za video i audio nadzor
PV: 10, CV: 30
Izvor provere: Izveštaj o radu Poverenika, Izveštaj o sprovedenim obukama Ministarstva unutrašnjih poslova;
- Broj zaposlenih u službi Poverenika koji se bave zaštitom podataka o ličnosti primenom informaciono-komunikacionih tehnologija u procesima digitalizacije
PV: 4, CV: 30
Izvor provere: Izveštaj o radu Poverenika.
6. MEHANIZAM ZA SPROVOĐENJE STRATEGIJE I NAČIN IZVEŠTAVANJA O REZULTATIMA SPROVOĐENJA
Strategija i prateći akcioni plan, kao dokumenti javne politike, sprovode se kroz mere i aktivnosti koje su ovim dokumentima definisane i detaljno razrađene, a za njihovo sprovođenje odgovorno je Ministarstvo pravde.
U procesu sprovođenja mera i aktivnosti, a u skladu sa nadležnostima, pored Ministarstva pravde, učestvuju Poverenik, državni organi, ustanove i drugi organi državne uprave nadležni za sprovođenje određene mere. Sprovođenje određenih mera zahteva intersektorsku saradnju, tj. uključivanje drugih ministarstava nadležnih za zdravlje, obrazovanje, državnu upravu i lokalnu samoupravu, socijalnu zaštitu, zaštitu životne sredine i druge, kao i institucije iz njihovog delokruga koje su relevantne za pojedine mere i aktivnosti.
Praćenje sprovođenja mera i aktivnosti preko kvantitativnih i kvalitativnih pokazatelja koji su definisani akcionim planom, obavljaće radna grupa koju će u roku od 90 dana, od dana usvajanja ove strategije, obrazovati Vlada Srbije.
Radnu grupu treba da čine predstavnici: Ministarstva pravde, Poverenika, Ministarstva unutrašnjih poslova, Ministarstva za rad, zapošljavanje, boračka i socijalna pitanja, Ministarstva prosvete, Ministarstva nauke, tehnološkog razvoja i inovacija, Ministarstva informisanja i telekomunikacija, Ministarstva zdravlja, Ministarstva unutrašnje i spoljne trgovine, Centralnog registra obaveznog socijalnog osiguranja, Kancelarije za informacione tehnologije i elektronsku upravu, Kabineta predsednika Vlade, Narodne banke Srbije, Upravnog suda, prekršajnih sudova i Vrhovnog javnog tužilaštva.
Sastancima Radne grupe će prisustvovati i predstavnici međunarodnih organizacija i tela, kao i organizacija civilnog društva koje se bave zaštitom podataka o ličnosti i koje će biti uključivane u rad radne grupe u odnosu na tematske oblasti o kojima se izveštava.
U situacijama kada je potrebno razmotriti neka specifična pitanja, u Radnu grupu će se uključivati i predstavnici drugih organizacija i institucija, bez obzira na to da li su akcionim planom predviđeni kao nosioci ili partneri određenih aktivnosti.
Pored praćenja, Radna grupa ima zadatak da priprema godišnje izveštaje o sprovođenju mera i aktivnosti, a Vlada Srbije da izveštaje učini javno dostupnim, u skladu sa Zakonom o planskom sistemu Republike Srbije.
Svi zadaci Radne grupe, kao i rokovi za njihovo izvršavanje, biće određeni odlukom Vlade Srbije.
Strategija kao dokument javnih politika se, takođe, prati kroz Informacioni sistem za planiranje, praćenje sprovođenja, koordinaciju javnih politika i izveštavanje koji predstavlja jedinstveni elektronski sistem u koji učesnici u planskom sistemu unose sadržaj svojih dokumenata javnih politika i srednjoročne planove i vrše izveštavanje u skladu sa Zakonom o planskom sistemu Republike Srbije. Ovaj informacioni sistem vodi Vlada Srbije preko Republičkog sekretarijata za javne politike, tako da se obezbedi veza između sadržaja javnih politika, srednjoročnih planova korisnika budžetskih sredstava nadležnih za sprovođenje mera javnih politika i njihovih finansijskih planova. Na osnovu člana 47. Zakona o planskom sistemu Republike Srbije, kroz ovaj informacioni sistem će se obezbeđivati blagovremeno izveštavanje o ostvarenim ciljevima i praćenje ostvarenih vrednosti pokazatelja učinka.
U cilju merenja efekata, odnosno evaluacije rezultata strategije, Ministarstvo pravde organizovaće tri ex-post analize - prvu na kraju treće godine sprovođenja mera i aktivnosti, drugu u 2028. godini, a treću u 2030, kao poslednjoj godini trajanja Strategije. U kontekstu Zakona o planskom sistemu Republike Srbije i Uredbe o metodologiji upravljanja javnim politikama, analizi efekata javnih politika i propisa i sadržaju pojedinačnih dokumenata javnih politika, planirane analize oslanjaće se na godišnje izveštaje o sprovođenju mera i aktivnosti, ali i na praćenje efekata ove strategije.
Praćenje sprovođenja mera i aktivnosti, kao i praćenje ostvarenosti posebnih i opštih ciljeva, vršiće se na osnovu pokazatelja rezultata (mere), pokazatelja ishoda (posebni ciljevi) i pokazatelja efekata (opšti ciljevi), koji su navedeni u Strategiji i Akcionom planu.
Procena ostvarenosti mera i aktivnosti, kao i procena ishoda i efekata, baziraće se na različitim statističkim i drugim podacima Poverenika, Republičkog zavoda za statistiku, organa u oblasti pravosuđa i drugih organa nadležnih za zaštitu podataka o ličnosti kojima rukuju, podacima koji proističu iz različitih međunarodnih istraživanja u kojima učestvuje Republika Srbija, ali i na podacima i analizama u okviru studija i izveštaja koje će proizvesti domaće i međunarodne institucije i tela, kao i organizacije civilnog društva.
7. SPROVEDENE KONSULTACIJE SA ZAINTERESOVANIM STRANAMA
Strateške prioritete je u dogovoru sa proširenim sastavom radne grupe, kao i na osnovu analize postojećeg stanja, postavila Radna grupa Vlade Srbije koju su činili donosioci odluka i predstavnici relevantnih organa i organizacija. Prvi sastanak Radne grupe je održan u julu 2021. godine, kada su otpočele pripreme za izradu ove strategije.
Tokom 2021. i 2022. godine održano je više konsultativnih sastanaka i radionica na kojima je rađeno na tekstu strategije.
Na pojedine teme koje se tiču zaštite podataka o ličnosti održane su konsultacije i javni skupovi sa organizacijama civilnog društva, među kojima se izdvajaju:
- konsultacije tokom 2022. godine na temu video identifikacije i nadzora;
- konsultacije tokom 2022. godine na temu razvoja i korišćenja sistema veštačke inteligencije;
- konferencije Poverenika;
- tribine i okrugli stolovi u okviru Nedelje privatnosti 2022. i 2023. godine i drugo.
Tokom marta 2023. godine održane su javne konsultacije sa zainteresovanim stranama u okviru javne rasprave.
Javna rasprava o Predlogu strategije zaštite podataka o ličnosti u Republici Srbiji u periodu od 2023. do 2030. godine, sprovedena je u periodu od 15. marta do 7. aprila 2023. godine. Izveštaj o sprovedenoj javnoj raspravi objavljen je 20. aprila 2023. godine u skladu sa Zakonom o planskom sistemu Republike Srbije.
8. PROCENA FINANSIJSKIH SREDSTAVA POTREBNIH ZA SPROVOĐENJE STRATEGIJE I ANALIZA FINANSIJSKIH EFEKATA
Sredstva za sprovođenje strategije, obezbeđivaće se iz različitih izvora kao što su: budžetska sredstva Republike Srbije i jedinica lokalne samouprave, kredit Svetske banke i donatorska sredstva, a na osnovu programa i projekata koji će se pripremati i donositi u skladu sa ovom strategijom. Sredstva za sprovođenje mera i aktivnosti navedenih u strateškom dokumentu biće iskazana u i pratećim akcionim planovima za sprovođenje strategije.
Planirana sredstva za sprovođenje mere i aktivnosti, iskazana u akcionim planovima neće uticati na javne prihode i javne rashode u srednjem i dugom roku. Očekuje se da planirana sredstva iz budžeta Republike Srbije, predviđena za realizaciju aktivnosti planiranih u 2023, 2024. i 2025. godini, budu u okviru predviđenih limita koje je odredilo Ministarstvo finansija za sve budžetske korisnike. Deo sredstava za realizaciju planiranih mera i aktivnosti obezbeđivaće se iz kredita Svetske banke u okviru projekta EDGE i donatorskih sredstava različitih bilateralnih donatora (EU, OEBS i drugih).
Skraćenica |
Pun naziv |
VJT |
Vrhovno javno tužilaštvo |
EU |
Evropska unija |
ZZPL |
Zakon o zaštiti podataka o ličnosti |
KEU |
Kancelarija za informacione tehnologije i elektronsku upravu |
MDULS |
Ministarstvo državne uprave i lokalne samouprave |
MIT |
Ministarstvo informisanja i telekomunikacija |
MRZBSP |
Ministarstvo za rad, zapošljavanje, boračka i socijalna pitanja |
MZ |
Ministarstvo zdravlja |
MNTR |
Ministarstvo nauke, tehnološkog razvoja i inovacija |
MP |
Ministarstvo pravde |
MPR |
Ministarstvo prosvete |
MT |
Ministarstvo unutrašnje i spoljne trgovine |
MUP |
Ministarstvo unutrašnjih poslova |
NAJU |
Nacionalna akademija za javnu upravu |
PA |
Pravosudna akademija |
Poverenik |
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti |
PS |
Prekršajni sudovi |
RSZ |
Republički zavod za statistiku |
RSJP |
Republički sekretarijat za javne politike |
US |
Upravni sud |
CROSO |
Centralni registar obaveznog socijalnog osiguranja |
Rok za usvajanje akcionog plana za sprovođenje ove strategije je 90 dana od dana usvajanja strategije.
Ovu strategiju, nakon usvajanja, objaviti na internet stranici Vlade, na Portalu e-Uprave, na internet stranici Ministarstva pravde i na internet stranici Poverenika u roku od sedam radnih dana od dana usvajanja.
Ovu strategiju objaviti u "Službenom glasniku Republike Srbije".