Rukovalac podataka

Organ vlasti će imati status rukovaoca podataka kada određuje svrhu i način obrade podataka o ličnosti, ili su svrha i način obrade podatka ustanovljeni zakonom radi obavljanja poslova iz njegove nadležnosti. U ovom kontekstu, svrha bi se odnosila na razlog i potrebu zbog kojih se podaci obrađuju, dok se način obrade odnosi na pitanja kao što su “koji podaci će se obrađivati?”, “koliko dugo će se podaci obrađivati?”, “ko će imati pristup podacima?” i ostalo.

Continue reading Rukovalac podataka

Korisnik podataka

Korisnik podataka je lice koje je zakonom ili po pristanku lica ovlašćeno da koristi podatke. U tom smislu, korisnik podataka takođe obrađuje podatke ali nema status rukovaoca, jer ne određuje svrhu i načine obrade, niti ima status obrađivača jer ne vrši obradu podataka po nalogu rukovaoca.

PRIMER 1: Zakonom o prekršajima je predviđeno vođenje Registra novčanih kazni, te je propisano da se podaci o licima koja nisu platila novčane kazne, a čiji se podaci vode u ovom registru, mogu izdati sudovima, nadležnom tužilaštvu, policiji i organima inspekcije, pa u tom smislu svi ovi organi predstavljaju korisnike podataka.

Odgovornost i obaveze rukovaoca, obrađivača i korisnika podataka

Od statusa organa vlasti u konkretnom slučaju, zavisiće i njegove odgovornosti i obaveze.

Rukovalac je primarno odgovoran za obradu podataka o ličnosti i ima sve obaveze propisane ZZPL-om:

  • Obavezu da vrši obradu podataka u skladu sa zakonom i načelima obrade podataka;
  • Obavezu da primenjuje organizacione i tehničke mere za zaštitu podataka;
  • Odgovornost za izbor obrađivača;
  • Obavezu da obavesti lica o obradi pre samog početka obrade(član 15 ZZPL-a);
  • Obavezu da postupa po zahtevima za ostvarivanje prava (članovi 19-43 ZZPL-a);
  • Obaveze u vezi vođenja evidencija i Centralnog registra Poverenika (članovi 48-52 ZZPL-a).

Obrađivač ima:

  • Obavezu da vrši obradu podataka u skladu sa Zakonom i načelima obrade podataka;
  • Obavezu da primenjuje organizacione i tehničke mere za zaštitu podataka;
  • Obavezu da postupa u svemu u skladu sa nalogom koji mu je dao rukovalac.

Korisnik podataka ima:

  • Obavezu da vrši obradu podataka u skladu sa Zakonom i načelima obrade podataka.

U principu, za svaku obradu podataka je od presudnog značaja odrediti ko je rukovalac. “To znači da je prva i najvažnija uloga postojanja koncepta rukovaoca da se utvrdi ko je prvenstveno odgovoran za poštovanje pravila o zaštiti podataka o ličnosti, i da se utvrdi prema kome građani mogu ostarivati svoja prava. Drugim rečima, da se dodeli odgovornost.”[1] Ovo je veoma važno, jer rukovalac ima obavezu ali i mogućnosti da presudno utiče na zakonitu obradu podataka o ličnosti. Pored toga što i sam mora poštovati sve obaveze propisane ZZPL-om, on je odgovoran za izbor obrađivača i za zakonito ustupanje podataka korisniku podataka.

[1] Radna grupa za zaštitu podataka, Mišljenje o konceptu rukovaoca i obrađivača, 2010, strana 4. Dostupno na: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf

Obrada bez pristanka

Članom 13 ZZPL-a propisano je kada organi vlasti mogu obrađivati podatke o ličnosti bez pristanka lica. Formulacija ovog člana može izazvati nedoumice, pa bi se van konteksta moglo zaključiti da organi vlasti mogu obrađivati podatke bez pristanka jedino na osnovu člana 13 ZZPL-a. To naravno nije tačno; podsetimo, obrada podataka o ličnosti je dozvoljena kad postoji zakonsko ovlašćenje ili pristanak lica čiji se podaci obrađuju, što važi za privatni i za javni sektor. U tom smislu, član 13 ZZPL-a treba tumačiti kao izuzetak od postavljenog pravila i organi vlasti ga mogu primeniti samo u vanrednim i hitnim situacijama, a nikako ne može služiti kao osnov za redovnu obradu podataka koja proističe iz nadležnosti organa vlasti.

Da bi po ovom osnovu organ vlasti mogao da obrađuje podatke, neophodno je da kumulativno budu ispunjeni sledeći uslovi:

 

  • obrada se vrši radi obavljanja poslova iz nadležnosti organa vlasti određenih zakonom, a nikako radi obavljanja poslova koji su utvrđeni nižim pravnim aktom ili su slobodna delatnost organa vlasti;
  • obrada je neophodna za obavljanje ovih poslova, odnosno ne postoji mogućnost da se ti poslovi obavljaju bez predmetne obrade;
  • obrada se vrši samo u cilju ostvarivanja jednog od navedenih interesa:
    • nacionalna ili javna bezbednost;
    • odbrana zemlje;
    • otkrivanje, istraga i gonjenje za krivična dela;
    • ekonomski, odnosno finansijski interesi države;
    • zaštita zdravlja i morala;
    • zaštita prava i sloboda;
    • drugi javni interesi;

Primena ovog člana bi trebalo da bude izuzetak koji se primenjuje samo u situacijama kada je potrebno zaštititi najvažnije interese društva, te se on nikako ne može koristiti kao pravni osnov za najveći deo obrade podataka o ličnosti u javnom sektoru. Pobrojani interesi se već štite brojnim zakonima Republike Srbije, koji daju zakonsko ovlašćenje za obradu podataka u smislu koji smo već naveli. Takođe, svi naizgled široko postavljeni interesi, poput zaštite morala i drugih javnih interesa, moraju se tumačiti izuzetno restriktivno i njihovoj zaštiti u smislu ovog člana ZZPL-a treba pribegavati samo u slučajevima kada je potrebno zaštititi najvažnije interese društva.

Dodatno, ukoliko primenju član 13 ZZPL to ne isključuje obavezu organa vlasti da primenjuje sva postavljena načela obrade podataka o ličnosti, ali i da poštuje odredbe drugih zakona, tako da ovaj član ne daje neograničeno ovlašćenje za obradu podataka.

PRIMER: Više javno tužilaštvo u Beogradu, u cilju sprovođenja istrage, od operatora mobilne telefonije zahteva podatke o ličnosti P.A. i to listing poziva i geo-lokaciju njegovog mobilnog telefona (zadržani podaci). Na prvi pogled moglo bi se reći da postoje svi uslovi za primenu člana 13, imaući u vidu da bi se obrada (prikupljanje) podataka vršila radi obavljanja poslova iz nadležnosti tužilaštva određenih zakonom (Zakon o krivičnom postupku i Zakon o javnom tužilaštvu), da je prikupljanje podataka u ovom slučaju neophodno za istragu i da ne postoji drugi način da se istraga sprovede, te da se obrada vrši u cilju otkrivanja, istrage i gonjenja za krivična dela. Ipak, iako su u opisanom slučaju ispunjeni svi neophodni uslovi, Više javno tužilaštvo u Beogradu ne bi bilo ovlašćeno da navedene podatke prikuplja bez odluke suda, imajući u vidu član 41, stav 2 Ustava Republike Srbije, u kome je propisano da se od tajnosti sredstava komuniciranja može odstupiti samo na osnovu odluke suda, ili član 128, stav 2 Zakona o elektronskim komunikacijama, koji nalaže da pristup zadržanim podacima (npr. listing i geo-lokacija) nije dopušten bez odluke suda.

Načela obrade podataka

Nakon što je utvrdio da postoji neki od opisanih uslova za dozvoljenost obrade, organ vlasti sve vreme tokom obrade mora voditi računa da se poštuju načela obrade, te da usklađuje obradu podataka o ličnosti sa načelima. To znači da zakonsko ovlašćenje, pristanak lica, a u specifičnim situacijama i dozvoljenost obrade bez pristanka, predstavljaju samo prvi filter o kome organi vlasti moraju voditi računa kada je u pitanju dozvoljenost obrade. Drugi filter predstavljaju dodatna pravila o tome kada će obrada podataka o ličnosti biti dozvoljena i koja postoje kako bi organe vlasti dalje usmeravala, jer zakonsko ovlašćenje i pristanak lica čiji se podaci obrađuju ne omogućavaju neograničenu obradu podataka.

Continue reading Načela obrade podataka

Razmena podataka o ličnosti

Imajući u vidu nadležnosti i prirodu posla kojim se bave, organi vlasti će često imati potrebu da razmenjuju podatke sa drugim organima vlasti, ali i sa drugim pravnim i fizičkim licima. Bez obzira na potrebe, treba imati u vidu da je razmena podataka jedan od vidova obrade, te da se i u ovom slučaju moraju primenjivati sva pravila o dozvoljenosti obrade. Konkretno, to znači da se podaci mogu razmenjivati samo ako postoji zakonski osnov ili pristanak lica na koje se podaci odnose, te da se i u ovom slučaju moraju primenjivati sva načela obrade. Načelno govoreći, iako postoji takva mogućnost, nije primereno da pravni osnov za razmenu bude pristanak građana, već bi pitanje razmene podataka između organa vlasti uvek trebalo urediti zakonom jer se na taj način obezbeđuje pravna sig- rukovaoce podataka,

PRIMER ZAKONSKOG OVLAŠĆE-NJA KAO OSNOVE ZA RAZMENU PODATAKA:
U članu 18, stav 2 Zakona o centralnom registru obaveznog socijalnog osigu- ranja regulisano je da “organizacije obaveznog socijalnog osiguranja preuzimaju iz Jedinstvene baze podatke neophodne za vođenje matične evidencije, odnosno druge evidencije propisane zakonom koji uređuje penzijsko i invalidsko osiguranje, zdravstveno osiguranje i osiguranje za slučaj nezaposlenosti”. Član 19 istog zakona kaže da se “podaci iz Jedinstvene baze koriste radi obavljanja poslova iz delatnosti organizacija povezanih u sistem Centralnog registra”. Time je zakonskim odredbama regulisano:
– sa kim se mogu razmenjivati podaci (organizacije obaveznog socijalnog osiguranja),
– koji podaci se mogu razmenjivati (podaci neophodni za vođenje matične evidencije) i
– u koju svrhu se podaci razmenjuju (radi obavljanja delatnosti ovih organizacija)
Dakle, i u slučaju razmene podataka moraju se ispuniti svi uslovi koji su neophodni da bi obrada na osnovu zakonskog ovlašćenja bila dozvoljena, odnosno mora se utvrditi koji se podaci mogu razmenjivati, sa kim i u koju svrhu.

MIŠLJENJE POVERENIKA broj 011-00-00377/2014-02 od 12.05.2014. godine, povodom zahteva gradske uprave grada Čačka kojim je od RFZO-a traženo da dostavi podatke iz Matične evidencije, a u svrhu utvrđivanja zaposlenih građana: “Zakoni kojima se na uopšten način uređuje saradnja i razmena podataka između organa državne uprave, organa lokalne samouprave i drugih organa vlasti se ne mogu smatrati pravnim osnovom koji navedenu obradu (dostavljanje, odnosno razmena podataka – prim. aut) čine dozvoljenom.”