Ustav Republike Srbije u članu 42. garantuje zaštitu podataka o ličnosti, kao jedno od ljudskih prava, i to na sledeći način: "Zajemčena je zaštita podataka o ličnosti. Prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju se zakonom. Zabranjena je i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom. Svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe."
Ovako definisano ustavno jemstvo upućuje na zakonsko regulisanje tretmana podataka o ličnosti (prikupljanje, držanje, obrada i korišćenje), zabranu i kažnjivost radnji obrade podataka o ličnosti van svrhe za koju su prikupljeni, te pravo svakog lica na sudsku zaštitu zbog njihove zloupotrebe.
Na ovom mestu je potrebno ukazati na izvesnu terminološku nedoslednost i neusklađenost ustavne norme i Zakona o zaštiti podataka o ličnosti ("Sl. glasnik RS", broj 87/2018). Prema članu 4. tačka 3. zakona, "obrada podataka o ličnosti" je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje. U tom smislu, pojmovi prikupljanja, držanja i korišćenja podataka o ličnosti, sadržani u ustavnoj garantiji, obuhvaćeni su pojmom obrada podataka o ličnosti, iako ih Ustav navodi kao zasebne kategorije. Pojam prikupljanje je u zakonu eksplicitno naveden u značenju izraza "obrada podataka o ličnosti", u kojoj definiciji se takođe mogu prepoznati i pojmovi čuvanje i korišćenje podataka o ličnosti.
Ustav garantuje zabranu i kažnjivost upotrebe podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom. Zakon o zaštiti podataka o ličnosti, kao jedno od načela obrade, definiše u članu 5. stav 1. tačka 2. da se podaci o ličnosti moraju prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama ("ograničenje u odnosu na svrhu obrade"). Uslovi za obradu podataka u druge svrhe, kako u opštem, tako i u posebnom režimu (nadležni organi koji obrađuju podatke u posebne svrhe) propisani su u članu 6. i 7. istog zakona. Kršenje ovih normi prouzrokuje prekršajnu odgovornost rukovaoca.
Kao što je navedeno, Ustav garantuje i da svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe. Pojam "zloupotreba podataka o ličnosti" pominje se jedino u članu 40. stav 2. tačka 4. Zakona o zaštiti podataka o ličnosti, kojim su regulisana ograničenja prava lica na koje se podaci odnose, pa se tako, prilikom primene ograničenja prava i obaveza moraju, prema potrebi, uzeti u obzir najmanje mere zaštite u cilju sprečavanja zloupotrebe, nedozvoljenog pristupa ili prenosa podataka o ličnosti.
Sudska zaštita, garantovana Zakonom o zaštiti podataka o ličnosti, obuhvata pravo lica na koje se podaci odnose na pokretanje: a) upravnog spora, podnošenjem tužbe protiv odluke Poverenika u pritužbenom postupku, ako lice na koje se podaci odnose smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona (član 83); b) parničnog spora, podnošenjem tužbe za zaštitu prava, ako lice na koje se podaci odnose smatra da mu je, suprotno ovom zakonu, od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno pravo propisano ovim zakonom (član 84); c) parničnog spora, podnošenjem tužbe za naknadu štete - ako je lice pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao (član 86); d) prekršajnog postupka, podnošenjem zahteva za pokretanje prekršajnog postupka, koji može inicirati Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, kao državni organ nadležan za nadzor nad primenom ovog zakona, ali i oštećeni, u skladu sa članom 180. stav 3. Zakona o prekršajima ("Sl. glasnik RS", br. 65/2013, 13/2016, 98/2016 - odluka US, 91/2019 i 91/2019 - dr. zakon).
Zakon o zaštiti podataka o ličnosti, međutim, ne tretira krivičnopravnu sudsku zaštitu u slučaju "zloupotrebe podataka o ličnosti", kao što pojedini zakoni propisuju krivična dela iz oblasti koju uređuju (npr. Zakon o poreskom postupku i poreskoj administraciji, Zakon o javnom redu i miru, Zakon o osiguranju). Umesto toga, ova zaštita regulisana je Krivičnim zakonikom ("Sl. glasnik RS", br. 85/2005, 88/2005 - ispr., 107/2005 - ispr., 72/2009, 111/2009, 121/2012, 104/2013, 108/2014, 94/2016 i 35/2019), koji u članu 146. propisuje krivično delo Neovlašćeno prikupljanje ličnih podataka, kao jedno od krivičnih dela protiv sloboda i prava čoveka i građanina. Na ovome mestu je zanimljivo napomenuti da je Ustav Republike Srbije iz 1990. godine poznavao kategorije sloboda i prava čoveka i građanina, dok važeći Ustav reguliše ljudska i manjinska prava i slobode, koja promena očigledno nije sprovedena u Krivičnom zakoniku. Isto krivično delo regulisano je na sledeći način:
(1) Ko podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni, kazniće se novčanom kaznom ili zatvorom do jedne godine. (2) Kaznom iz stava 1. ovog člana kazniće se i ko protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi. (3) Ako delo iz stava 1. ovog člana učini službeno lice u vršenju službe, kazniće se zatvorom do tri godine.
U skladu sa članom 153. stav 1. KZ, gonjenje za krivično delo iz člana 146. st. 1. i 2. preduzima se po privatnoj tužbi (a za delo iz stava 3. po službenoj dužnosti).
Najpre je neophodno uočiti izvesnu terminološku neusklađenost između ustavne garantije i naziva ovog krivičnog dela, jer Ustav garantuje zaštitu podataka o ličnosti, dok se krivično delo naziva Neovlašćeno prikupljanje ličnih podataka, koji termin nije definisan nijednim propisom.
Zakon o zaštiti podataka o ličnosti propisuje u članu 4. tačka 1. da je "podatak o ličnosti" svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.
Nadalje, neusklađenost se može uočiti i komparacijom naziva ovog krivičnog dela i njegove sadržine, jer samo delo sadrži termin podaci o ličnosti, a ne lični podaci. Takođe, nekonzistentnost je primetna i kod same radnje sadržane u nazivu krivičnog dela (Neovlašćeno prikupljanje ličnih podataka), jer se krivičnim delom inkriminišu: a) neovlašćeno pribavljanje, saopštavanje drugom ili upotreba u svrhu za koju nisu namenjeni podataka o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona i b) prikupljanje podataka o ličnosti građana protivno zakonu ili korišćenje tako prikupljenih podataka.
Kao što je već navedeno u ovom tekstu, prikupljanje predstavlja samo jedan oblik obrade podataka o ličnosti, dok se ovim krivičnim delom inkriminišu i druge neovlašćene radnje obrade (pribavljanje, saopštavanje drugom, upotreba u svrhu za koju nisu namenjeni, korišćenje). Inkriminisane radnje obrade u prvom stavu ovog krivičnog dela odnose se isključivo na podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona, dok je u drugom stavu inkriminisano protivzakonito prikupljanje ili korišćenje tako prikupljenih podataka o građanima, bez obzira o kojim podacima se radi.
Za ovo se krivično delo goni po službenoj dužnosti samo ako delo iz stava 1. učini službeno lice u vršenju službe, pa je neophodno konsultovati član 112. stav 3. KZ, koji propisuje da se službenim licem smatra: 1) lice koje u državnom organu vrši službene dužnosti; 2) izabrano, imenovano ili postavljeno lice u državnom organu, organu lokalne samouprave ili lice koje stalno ili povremeno vrši službene dužnosti ili službene funkcije u tim organima; 3) javni beležnik, javni izvršitelj i arbitar, kao i lice u ustanovi, preduzeću ili drugom subjektu, kojem je povereno vršenje javnih ovlašćenja, koje odlučuje o pravima, obavezama ili interesima fizičkih ili pravnih lica ili o javnom interesu; 4) službenim licem smatra se i lice kojem je faktički povereno vršenje pojedinih službenih dužnosti ili poslova; 5) vojno lice.
Neovlašćeno prikupljanje ličnih podataka od strane lica koje nema svojstvo službenog lica, ili od strane službenog lica koje ne postupa u vršenju službe, podleže krivičnoj odgovornosti samo po podnetoj privatnoj krivičnoj tužbi. U tom smislu, krivičnopravna sudska zaštita zog zloupotrebe podataka o ličnosti značajno je sužena i otežana, a donekle i nemoguća, zbog ograničenih ovlašćenja kojima privatni tužilac može raspolagati, u skladu sa ZKP.
Tako, npr. ako neko ko nije službeno lice neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona, lice na koje se podaci odnose moraće da preduzme privatno krivično gonjenje istog lica (pod uslovom da uopšte može da utvrdi njegov identitet). Krivična prijava se za ovo krivično delo može podneti javnom tužilaštvu samo ako postoje osnovi za sumnju da je učinilac dela službeno lice koje je postupalo u vršenju službe.
Najveći izazovi u zaštiti podataka o ličnosti su u internetskom okruženju, a najveće zloupotrebe podataka o ličnosti vrše se upravo upotrebom modernih tehnologija koje koriste to okruženje. U tom smislu, pozicija lica na koja se podaci odnose, kao privatnog tužioca, još je teža, posebno u uslovima masovnih kompromitacija podataka o ličnosti građana na internetu, gde građani obično ni nemaju saznanja da je došlo do povrede njihovih podataka, niti raspolažu tehničkim mogućnostima da utvrde ko je lice protiv kojeg treba tužbu podneti. Pojedine ovakve situacije ne mogu se podvesti ni pod jedno od krivičnih dela protiv bezbednosti računarskih podataka, a treba imati u vidu da je analogija u krivičnom pravu isključena.
Nadalje, službeno lice u vršenju službe goni se po službenoj dužnosti za krivično delo iz stava 1, ali ne i za krivično delo iz stava 2, odnosno ako protivno zakonu prikuplja podatke o ličnosti građana ili tako prikupljene podatke koristi.
Praksa Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti ukazuje da najveći broj podnetih krivičnih prijava za krivično delo iz člana 146. KZ pred javnim tužilaštvima okončava zastarelošću postupka ili bez ikakvog ishoda, čak i kada je delo učinjeno in flagranti, što u praksi obesmišljava krivičnu sudsku zaštitu zbog zloupotrebe podataka o ličnosti, kako to Ustav garantuje.
Zakon o zaštiti podataka o ličnosti propisuje u članu 2. stav 2. da odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom, a u članu 100. da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiti sa odredbama ovog zakona do kraja 2020. godine. Kao što je objašnjeno u ovom tekstu, odredbe KZ kojima se inkriminiše zloupotreba podataka o ličnosti morale bi biti usklađene sa odredbama Ustava i Zakona o zaštiti podataka o ličnosti, kako terminološki, tako i suštinski. U tom smislu, trebalo bi preispitati postojeće zakonsko rešenje i ponuditi novo koje bi moglo da odgovori na izazove sve prisutnijih zloupotreba podataka o ličnosti.
Autor: Zlatko Petrović