Podaci o ličnosti građana Srbije i dalje neadekvatno zaštićeni

Opšta uredba o zaštiti podataka o ličnosti, poznatija kao GDPR, u primeni je već tri godine u Evropskoj uniji, od 25. maja, te je došao i trenutak za sumiranje efekata njene primene. GDPR se primenjuje na stanovnike, institucije i poslovne subjekte sa sedištem u EU, ali i one subjekte izvan EU, pa tako i one iz Srbije, koji delatnost zasnivaju na obradi podataka o ličnosti stanovnika EU.

Primera radi, turistička agencija iz Srbije koja nudi aranžmane srpskoj dijaspori u Francuskoj, smatra se obveznikom GDPR-a.

„GDPR je u javnosti doživljavan kao revolucionaran propis, koji je trebalo da vrati snagu pojedincu, pre svega u odnosu prema korporacijama koje posluju u digitalnoj oblasti i upotrebljavaju korisničke podatke u sopstvene komercijalne svrhe. Od ovog propisa se mnogo očekivalo i u kontroli razvoja veštačke inteligencije i novih tehnologija koje se oslanjaju na podatke fizičkih lica“, objašnjava za Biznis.rs Višnja Crnogorac iz kompanije Coming – Computer Engineering.

Kako kaže, iako GDPR nije doneo revoluciju, pošto je postojalo prilično visoko očekivanje od jednog pravnog akta, niti je doveo do potpunog izostanka neetičkih praksi u poslovanju, doneo je mnogo toga. Osnovni cilj ovog propisa bio je da prepozna specifičnosti poslovanja u digitalnom okruženju i novih metoda obrade podataka, uz vraćanje kontrole nad podacima o ličnosti pojedincu garantovanjem novih prava i mehanizama njihove zaštite.

„Ono što je možda najveći dobitak, koji uveliko prevazilazi teritorijalnu primenu ovog propisa, jeste podizanje svesti o značaju zaštite ličnih podataka. Po podacima European Data Protection Board-a, već nakon prvih devet meseci primene ovaj propis je imao više Google pretraga od najpoznatih lica pop kulture i imao više prisustva u medijima od osnivača Facebook-a“, istakla je naša sagovornica.

Dodala je da je širom sveta pokrenut talas izmene propisa o zaštiti podataka o ličnosti, gde se GDPR nametnuo kao zlatni standard u oblasti, podižući lestvicu svima.

„Srbija je, ispunjavajući svoje obaveze iz Sporazuma o stabilizaciji i pridruživanju, po kojima mora da usaglasi svoje nacionalno zakonodavstvo sa pravnim tekovinama EU, donela zakon koji se umnogome oslanja na GDPR. Zakon o zaštiti podaka o ličnosti (ZZPL) je, kao nesavršen prevod propisa koji je u primeni u drugoj jurisdikciji, doneo mnogo kritika, čak i pre početka primene, avgusta 2019. godine, tako da su u najavi i njegove izmene“, naglasila je Crnogorac.

Ona napominje da iako nesavršen, ZZPL je, kao i GDPR, doneo dosta turbulencija u stručnoj javnosti i privredi, gde je krenulo prilagođavanje poslovanja novom propisu.

„Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, imajući u vidu našu društvenu stvarnost, i dalje ima donekle blagonaklon stav ka obveznicima primene, te se rad ove institucije za sada fokusira na podizanju svesti i usmeravanju, pre nego na kažnjavanju“, navodi naša sagovornica.

Crnogorac dodaje da je potrebno posebno istaći da je primena ovog propisa „stvorila“ novo zanimanje, lice za zaštitu podataka o ličnosti, kao specijalistu u ovoj oblasti.

„Takođe je, uz veliko zalaganje Poverenika, pokrenuta dobra praksa da kompanije koje obrađuju podatke o ličnosti građana Srbije, imenuju predstavnike u Srbiji. Na taj način, građani imaju adresu u zemlji kojoj mogu direktno da se obrate radi ostvarenja svojih prava, umesto da komuniciraju sa kompanijama u inostranstvu, uz nejasne procedure i neizvestan ishod“, zaključuje ona.

Primena GDPR u Evropskoj uniji uzrokovala je značajna prilagođavanja poslovanja tamošnjih obveznika, čemu su doprinele i visoke kazne predviđene u slučaju kršenja utvrđenih obaveza. Do sada su nacionalni sudovi i/ili nezavisni organi za zaštitu podataka izricali više milionskih kazni.

Tako je kompaniji Google izrečena kazna od 50 miliona evra zbog neadekvatnog informisanja korisnika o uslovima obrade njihovih podataka prilikom personalizovanog oglašavanja, dok se kompanija H&M suočila sa kaznom od 35 miliona evra zbog nedozvoljene obrade podataka zaposlenih. 

„Sa druge strane, Srbija je početak primene GDPR-a dočekala nedovoljno spremna u pogledu sadržine pravnog okvira i njegove primene. Novi Zakon o zaštiti podataka o ličnosti, koji je u međuvremenu usvojen, iako zasnovan na GDPR-u, sadrži odredbe koje nisu usklađene sa drugim propisima, stvarajući tako nedoumice u pogledu načina njegove primene“, navode u organizaciji Partneri Srbija.

Pored toga, napominju da su propušteni rokovi utvrđeni ZZPL-om da se odredbe sektorskih zakona koje se odnose na obradu podataka o ličnosti usklade sa odredbama ZZPL do kraja 2020. godine. Zbog toga, kako kažu, podaci o ličnosti građana Srbije i dalje su neadekvatno zaštićeni, a samim tim i podložni slučajnim ili namernim povredama.

„Kada se govori o neadekvatnoj zaštiti ličnih podataka građana Srbije, tokom pandemije korona virusa uočeni su propusti u bezbednosti sistema koji sadrži zdravstvene podatke građana. Primećene su nepravilnosti u okviru Jedinstvenog informacionog sistema prosvete, dok se novi izazovi u zaštiti podataka o ličnosti mogu očekivati i u vezi sa primenom nedavno usvojenog Zakona o socijalnoj karti koji utvrđuje pravila obrade velikog obima podataka, uključujući i one koji naročito zadiru u intimu građana“, ističu u pomenutoj organizaciji.

Osim toga, dodaju da je u slučajevima nedozvoljene obrade podataka, sudska praksa i dalje nerazvijena – u poslednjih pet godina sudovi su izrekli samo dve osuđujuće kazne u krivičnim predmetima koji su vođeni, dok krivične prijave koje Poverenik podnosi javnim tužilaštvima ne dobijaju svoje epiloge.

„Imajući u vidu sve navedeno, nužno je da nadležni organi intenziviraju rad na unapređenju pravnog okvira, pruže neophodnu podršku za njegovu primenu, a u slučajevima povrede prava da osiguraju da građani budu na odgovarajući način zaštićeni uz sankcionisanje odgovornih lica i rukovalaca. Ovo je nužan preduslov da bi građani Republike Srbije dobili zaštitu svojih prava poput one koju imaju građani Evropske unije“, konstatuju u organizaciji Partneri Srbija.

Predstavljeni problemi u primeni važećih standarda zaštite podataka nedavno su objavljeni i u publikaciji Privatnost i zaštita podataka o ličnosti u Srbiji – Analiza odabranih sektorskih propisa i njihove primene, a na osnovu sprovedene analize organizacije Partneri Srbija.