Ustav Republike Srbije u članu 42. garantuje zaštitu podataka o ličnosti, kao ljudsko pravo, i to na sledeći način: "Zajemčena je zaštita podataka o ličnosti. Prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju se zakonom. Zabranjena je i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom. Svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe."

 

U skladu sa međunarodno prihvaćenim obavezama usklađivanja sa relevantnim evropskim propisima u ovoj oblasti (GDPR i Law Enforcement Directive (LED) 680/16), Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", broj 87/2018) uredio je:

  • pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodni protok takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebni slučajevi obrade;
  • pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka.

 

Zakon o zaštiti podataka o ličnosti u članu 2. stav 2. propisuje da odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom, a u članu 100. da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiti sa odredbama ovog zakona do kraja 2020. godine.

 

U tom smislu, svi zakoni Republike Srbije koji uređuju neku specifičnu obradu podataka o ličnosti moraju se uskladiti sa Zakonom o zaštiti podataka o ličnosti, kako u terminološkom i načelnom smislu, tako i u pogledu načina ostvarivanja prava lica na koja se podaci odnose, statusa rukovalaca i obrađivača i svih drugih normi koje ovaj zakon, kao lex generali, propisuje.

Odredba člana 100. Zakona o zaštiti podataka o ličnosti, kojom se oročava obaveza usklađivanja svih drugih zakona kojima se uređuje obrada podataka o ličnosti sa istim zakonom do kraja tekuće godine, proizvodi značajne obaveze za izvršnu i zakonodavnu vlast.

 

Navedeno usklađivanje podrazumeva temeljnu analizu pravnog poretka Republike Srbije, evidentiranje odredaba zakona kojima se uređuje obrada podataka o ličnosti i njihovu komparativnu analizu sa odgovarajućim odredbama Zakona o zaštiti podataka o ličnosti, izradu nacrta zakona o izmenama i dopunama zakona, pribavljanje mišljenja relevantnih organa, sačinjavanje predloga zakona o izmenama i dopunama zakona, te raspravu u Narodnoj skupštini, njihovo usvajanje i objavljivanje do kraja 2020. godine. Takođe, isto podrazumeva i adekvatnu analizu svih relevantnih podzakonskih propisa, njihove izmene, te transponovanje njihovih odredbi u zakon, u pojedinačnim slučajevima.

 

Pored navedenog, obaveza usklađivanja obuhvatila bi, takođe, i sve nove zakone koji u potpunosti menjaju stare, kao i zakone koji uređuju oblast društvenog života koja nije do tog trenutka bila pravno uređena.

 

Problem u primeni ovih zakona već je nastao i u trenutnom interregnumu, odnosno do usklađivanja svih relevantnih propisa do kraja tekuće godine, jer član 2. stav 2. Zakona o zaštiti podataka o ličnosti nedvosmisleno daje primat istom propisu u odnosu na druge ("odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom"). A šta ako nisu?

 

U tom smislu, očigledno je da pojedinačni propisi danas nisu usklađeni sa Zakonom o zaštiti podataka o ličnosti, iako bi, prema slovu zakona morali da budu, pa se dovodi u pitanje i ustavno načelo jedinstvenosti pravnog poretka. Zakonodavna vlast je na ovakav način propisala obavezu unutrašnje harmonizacije pravnog poretka Republike Srbije, te upodobljavanje posebnih zakona Zakonu o zaštiti podataka o ličnosti.

 

Navedena temeljna analiza podrazumevala bi odgovarajući strateški pristup, koordiniran na nivou izvršne vlasti, uz donošenje akcionog plana koji bi jasno propisao obaveze i rokove postupanja, kako bi se svi relevantni propisi našli u skupštinskoj proceduri do kraja ove godine, čime bi se u potpunosti ispunila obaveza iz člana 100. Zakona o zaštiti podataka o ličnosti. U suprotnom, sam Zakon o zaštiti podataka o ličnosti morao bi pretrpeti izmene i dopune, kojima bi bio produžen rok za usklađivanje svih zakona.

 

Kao primer potrebe za terminološkim usklađivanjem možemo razmotriti odredbe npr. Zakona o pravima pacijenata ("Sl. glasnik RS", br. 45/2013 i 25/2019 - dr. zakon), koji u članu 21. propisuje: podaci o zdravstvenom stanju, odnosno podaci iz medicinske dokumentacije, spadaju u podatke o ličnosti i predstavljaju naročito osetljive podatke o ličnosti pacijenta, u skladu sa zakonom (stav 1); podatke iz stava 1. ovog člana, dužni su da čuvaju svi zdravstveni radnici, odnosno zdravstveni saradnici, kao i druga lica zaposlena u zdravstvenim ustanovama, privatnoj praksi, organizacionoj jedinici visokoškolske ustanove zdravstvene struke koja obavlja zdravstvenu delatnost, drugom pravnom licu koje obavlja određene poslove iz zdravstvene delatnosti u skladu sa zakonom, organizaciji obaveznog zdravstvenog osiguranja, kao i pravnom licu koje obavlja poslove dobrovoljnog zdravstvenog osiguranja, kod kojih je pacijent zdravstveno osiguran, a kojima su ti podaci dostupni i potrebni radi ostvarivanja zakonom utvrđenih nadležnosti (stav 2); naročito osetljivim podacima o ličnosti pacijenta smatraju se i podaci o ljudskim supstancama, na osnovu kojih se može utvrditi identitet lica od koga one potiču (stav 3); lica iz stava 2. ovog člana, kao i druga lica koja neovlašćeno, odnosno bez pristanka pacijenta ili zakonskog zastupnika, raspolažu podacima iz medicinske dokumentacije u suprotnosti sa ovim članom, i neovlašćeno iznose u javnost te podatke, odgovorni su za odavanje naročito osetljivih podataka, u skladu sa zakonom (stav 4).

 

Isti zakon u čl. 44. i 46. propisuje i prekršajnu odgovornost za prekršaj obaveze čuvanja naročito osetljivih podataka o ličnosti pacijenta.

 

Kategorija naročito osetljivih podataka postojala je u starom Zakonu o zaštiti podataka o ličnosti ("Službeni glasnik RS", br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12), ali u novom zakonu više ne postoji. Prema novom zakonu, podaci o zdravstvenom stanju spadaju u kategoriju posebnih vrsta podataka o ličnostiMeđutim, ni novi Zakon o zaštiti podataka o ličnosti nije terminološki dosledan, pa isti u članu 4. tačka 16. definiše izraz "podaci o zdravlju", koji se ne pominje nigde više u zakonu, ali se koristi izraz "podaci o zdravstvenom stanju". Takođe, Zakon o zaštiti podataka o ličnosti uvodi termin "genetski podatak", čija se definicija razlikuje u odnosu na Zakon o pravima pacijenata.

U tom smislu, s obzirom da "odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom", te da je u kaznenom pravu analogija isključena, postavlja se pitanje da li bi zdravstveni radnik mogao prekršajno odgovarati jer je prekršio obavezu čuvanja naročito osetljivih podataka o ličnosti pacijenta, kada isti termin ne postoji u Zakonu o zaštiti podataka o ličnosti.

 

Takođe, termin naročito osetljivi podaci i dalje je prisutan u Zakonu o osnovama sistema obrazovanja i vaspitanja ("Sl. glasnik RS", br. 88/2017, 27/2018 - dr. zakon, 10/2019, 27/2018 - dr. zakon i 6/2020).

 

Ukupan broj zakona koji sadrže ovakve neusklađenosti sa Zakonom o zaštiti podataka o ličnosti nije utvrđen.

 

Član 25. Zakona o zaštiti podataka o ličnosti propisuje koje se informacije stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose, ako obradu vrše nadležni organi u posebne svrhe. S obzirom da je nesporno da u kategoriju "nadležnih organa" spadaju policija i javno tužilaštvo, valjalo bi razmotriti da li Zakon o policiji ("Sl. glasnik RS", br. 6/2016, 24/2018 i 87/2018) i Zakonik o krivičnom postupku ("Sl. glasnik RS", br. 72/2011, 101/2011, 121/2012, 32/2013, 45/2013, 55/2014 i 35/2019) sadrže odgovarajuće odredbe o informisanju lica prema kojem se primenjuje neko od policijskih ovlašćenja koje podrazumeva obradu podataka o ličnosti ili tokom istrage.

 

Zakon o zaštiti podataka o ličnosti propisuje i uputstva predlagaču, odnosno zakonodavcu šta bi zakoni trebalo da sadrže, odnosno šta moraju propisivati, kao i standarde:

  • zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje (član 4. tačka 8)
  • Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade (član 13);
  • osnov za obradu iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom (stav 1); ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom se određuje i svrha obrade, a ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom se propisuje da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca (stav 2); zakonom iz stava 1. ovog člana propisuje se javni interes koji se namerava ostvariti, kao i obaveza poštovanja pravila o srazmernosti obrade u odnosu na cilj koji se namerava ostvariti, a mogu se propisati i uslovi za dozvoljenost obrade od strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose, lica kojima se podaci mogu otkriti i svrha njihovog otkrivanja, ograničenja koja se odnose na svrhu obrade, rok pohranjivanja i čuvanja podataka, kao i druge posebne radnje i postupak obrade, uključujući i mere za obezbeđivanje zakonite i poštene obrade (stav 3) (član 14);
  • Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz st. 1. do 4. ovog člana ako je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose (član 24).

 

Usklađivanje svih zakona i podzakonskih akata u pravnom poretku Republike Srbije sa Zakonom o zaštiti podataka o ličnosti predstavlja obiman i složen posao, za koji je nužna zainteresovanost svih relevantnih subjekata i osmišljen strateški pristup.

Na osnovu dosadašnjeg iskustva u oblasti zaštite podataka o ličnosti, ne postoji previše razloga za verovanje da će obaveza iz člana 100 Zakona o zaštiti podataka o ličnosti biti ispunjena. Podsećanja radi, Vlada Republike Srbije nikada nije donela Akcioni plan za primenu Strategije zaštite podataka o ličnosti ("Službeni glasnik RS", br. 58/2010), niti je, za deset godina važenja starog Zakona o zaštiti podataka o ličnosti, uredila način arhiviranja i mere zaštite naročito osetljivih podataka o ličnosti.

 

Prilikom sagledavanja celokupne situacije, ne može se zanemariti činjenica skoro dvomesečnog vanrednog stanja, kao i to da je tekuća godina izborna. Međutim, i bez ovih otežavajućih okolnosti, evidentno je da je zakonom postavljen cilj o harmonizaciji svih domaćih propisa sa Zakonom o zaštiti podataka o ličnosti do kraja 2020. godine preambiciozan.

   

Autor: Zlatko Petrović

Pravo