Obrada bez pristanka

Članom 13 ZZPL-a propisano je kada organi vlasti mogu obrađivati podatke o ličnosti bez pristanka lica. Formulacija ovog člana može izazvati nedoumice, pa bi se van konteksta moglo zaključiti da organi vlasti mogu obrađivati podatke bez pristanka jedino na osnovu člana 13 ZZPL-a. To naravno nije tačno; podsetimo, obrada podataka o ličnosti je dozvoljena kad postoji zakonsko ovlašćenje ili pristanak lica čiji se podaci obrađuju, što važi za privatni i za javni sektor. U tom smislu, član 13 ZZPL-a treba tumačiti kao izuzetak od postavljenog pravila i organi vlasti ga mogu primeniti samo u vanrednim i hitnim situacijama, a nikako ne može služiti kao osnov za redovnu obradu podataka koja proističe iz nadležnosti organa vlasti.

Da bi po ovom osnovu organ vlasti mogao da obrađuje podatke, neophodno je da kumulativno budu ispunjeni sledeći uslovi:

 

  • obrada se vrši radi obavljanja poslova iz nadležnosti organa vlasti određenih zakonom, a nikako radi obavljanja poslova koji su utvrđeni nižim pravnim aktom ili su slobodna delatnost organa vlasti;
  • obrada je neophodna za obavljanje ovih poslova, odnosno ne postoji mogućnost da se ti poslovi obavljaju bez predmetne obrade;
  • obrada se vrši samo u cilju ostvarivanja jednog od navedenih interesa:
    • nacionalna ili javna bezbednost;
    • odbrana zemlje;
    • otkrivanje, istraga i gonjenje za krivična dela;
    • ekonomski, odnosno finansijski interesi države;
    • zaštita zdravlja i morala;
    • zaštita prava i sloboda;
    • drugi javni interesi;

Primena ovog člana bi trebalo da bude izuzetak koji se primenjuje samo u situacijama kada je potrebno zaštititi najvažnije interese društva, te se on nikako ne može koristiti kao pravni osnov za najveći deo obrade podataka o ličnosti u javnom sektoru. Pobrojani interesi se već štite brojnim zakonima Republike Srbije, koji daju zakonsko ovlašćenje za obradu podataka u smislu koji smo već naveli. Takođe, svi naizgled široko postavljeni interesi, poput zaštite morala i drugih javnih interesa, moraju se tumačiti izuzetno restriktivno i njihovoj zaštiti u smislu ovog člana ZZPL-a treba pribegavati samo u slučajevima kada je potrebno zaštititi najvažnije interese društva.

Dodatno, ukoliko primenju član 13 ZZPL to ne isključuje obavezu organa vlasti da primenjuje sva postavljena načela obrade podataka o ličnosti, ali i da poštuje odredbe drugih zakona, tako da ovaj član ne daje neograničeno ovlašćenje za obradu podataka.

PRIMER: Više javno tužilaštvo u Beogradu, u cilju sprovođenja istrage, od operatora mobilne telefonije zahteva podatke o ličnosti P.A. i to listing poziva i geo-lokaciju njegovog mobilnog telefona (zadržani podaci). Na prvi pogled moglo bi se reći da postoje svi uslovi za primenu člana 13, imaući u vidu da bi se obrada (prikupljanje) podataka vršila radi obavljanja poslova iz nadležnosti tužilaštva određenih zakonom (Zakon o krivičnom postupku i Zakon o javnom tužilaštvu), da je prikupljanje podataka u ovom slučaju neophodno za istragu i da ne postoji drugi način da se istraga sprovede, te da se obrada vrši u cilju otkrivanja, istrage i gonjenja za krivična dela. Ipak, iako su u opisanom slučaju ispunjeni svi neophodni uslovi, Više javno tužilaštvo u Beogradu ne bi bilo ovlašćeno da navedene podatke prikuplja bez odluke suda, imajući u vidu član 41, stav 2 Ustava Republike Srbije, u kome je propisano da se od tajnosti sredstava komuniciranja može odstupiti samo na osnovu odluke suda, ili član 128, stav 2 Zakona o elektronskim komunikacijama, koji nalaže da pristup zadržanim podacima (npr. listing i geo-lokacija) nije dopušten bez odluke suda.

Načela obrade podataka

Nakon što je utvrdio da postoji neki od opisanih uslova za dozvoljenost obrade, organ vlasti sve vreme tokom obrade mora voditi računa da se poštuju načela obrade, te da usklađuje obradu podataka o ličnosti sa načelima. To znači da zakonsko ovlašćenje, pristanak lica, a u specifičnim situacijama i dozvoljenost obrade bez pristanka, predstavljaju samo prvi filter o kome organi vlasti moraju voditi računa kada je u pitanju dozvoljenost obrade. Drugi filter predstavljaju dodatna pravila o tome kada će obrada podataka o ličnosti biti dozvoljena i koja postoje kako bi organe vlasti dalje usmeravala, jer zakonsko ovlašćenje i pristanak lica čiji se podaci obrađuju ne omogućavaju neograničenu obradu podataka.

Continue reading Načela obrade podataka

Razmena podataka o ličnosti

Imajući u vidu nadležnosti i prirodu posla kojim se bave, organi vlasti će često imati potrebu da razmenjuju podatke sa drugim organima vlasti, ali i sa drugim pravnim i fizičkim licima. Bez obzira na potrebe, treba imati u vidu da je razmena podataka jedan od vidova obrade, te da se i u ovom slučaju moraju primenjivati sva pravila o dozvoljenosti obrade. Konkretno, to znači da se podaci mogu razmenjivati samo ako postoji zakonski osnov ili pristanak lica na koje se podaci odnose, te da se i u ovom slučaju moraju primenjivati sva načela obrade. Načelno govoreći, iako postoji takva mogućnost, nije primereno da pravni osnov za razmenu bude pristanak građana, već bi pitanje razmene podataka između organa vlasti uvek trebalo urediti zakonom jer se na taj način obezbeđuje pravna sig- rukovaoce podataka,

PRIMER ZAKONSKOG OVLAŠĆE-NJA KAO OSNOVE ZA RAZMENU PODATAKA:
U članu 18, stav 2 Zakona o centralnom registru obaveznog socijalnog osigu- ranja regulisano je da “organizacije obaveznog socijalnog osiguranja preuzimaju iz Jedinstvene baze podatke neophodne za vođenje matične evidencije, odnosno druge evidencije propisane zakonom koji uređuje penzijsko i invalidsko osiguranje, zdravstveno osiguranje i osiguranje za slučaj nezaposlenosti”. Član 19 istog zakona kaže da se “podaci iz Jedinstvene baze koriste radi obavljanja poslova iz delatnosti organizacija povezanih u sistem Centralnog registra”. Time je zakonskim odredbama regulisano:
– sa kim se mogu razmenjivati podaci (organizacije obaveznog socijalnog osiguranja),
– koji podaci se mogu razmenjivati (podaci neophodni za vođenje matične evidencije) i
– u koju svrhu se podaci razmenjuju (radi obavljanja delatnosti ovih organizacija)
Dakle, i u slučaju razmene podataka moraju se ispuniti svi uslovi koji su neophodni da bi obrada na osnovu zakonskog ovlašćenja bila dozvoljena, odnosno mora se utvrditi koji se podaci mogu razmenjivati, sa kim i u koju svrhu.

MIŠLJENJE POVERENIKA broj 011-00-00377/2014-02 od 12.05.2014. godine, povodom zahteva gradske uprave grada Čačka kojim je od RFZO-a traženo da dostavi podatke iz Matične evidencije, a u svrhu utvrđivanja zaposlenih građana: “Zakoni kojima se na uopšten način uređuje saradnja i razmena podataka između organa državne uprave, organa lokalne samouprave i drugih organa vlasti se ne mogu smatrati pravnim osnovom koji navedenu obradu (dostavljanje, odnosno razmena podataka – prim. aut) čine dozvoljenom.”

Šta je zbirka podataka?

ZZPL zbirku podataka definiše kao “skup podataka koji se automatizovano ili neautomatizovano vode i dostupni su po ličnom, predmetnom ili drugom osnovu, nezavisno od načina na koji su pohranjeni i mesta gde se čuvaju”.
To praktično znači da zbirku podataka čini svaki skup podataka koji u sebi sadrži naj- manje jedan podatak o ličnosti bez obzira na formu – to mogu biti baze, evidencije, registri, upisnici, spiskovi, ali i razni ugo-vori, zapisnici, zdravstveni kartoni, video snimci i drugo.

Koje zbirke podataka vode organi vlasti?

Organi vlasti redovno vode tri vrste zbirki podataka:

 

  • Zbirke podataka koje u sebi sadrže podatke o licima koja su zaposlena u organu vlasti ili obavljaju poslove u organu vlasti po drugom osnovu, kao što su:
    • Kadrovska evidencija;
    • Evidencija o platama;
    • Evidencija o naknadama za prevoz;
    • Evidencija o prisutnosti na radu;
    • Evidencija korisnika službenih mobilnih telefona;
    • Video nadzor serverske sobe.

 

  • Zbirke podataka koje sadrže i podatke lica koja nisu zaposlena u organu vlasti, a koje nastaju u radu organa vlasti, dok obaveza njihovog vođenja nije propisana zakonom, kao što su:
    • Video nadzor ulaznih prostorija organa vlasti;
    • Evidencija o predstavkama i pritužbama građana;
    • Evidencija o licima sa kojima organ vlasti vodi sudske sporove;
    • Zbirka sigurnosnih kopija službene elektronske pošte organa vlasti.

 

  • Zbirke podataka čije je vođenje propisano zakonom, kao što su:
    • Matična evidencija o osiguranicima, obveznicima plaćanja doprinosa i korisnicima prava iz penzijskog i invalidskog osiguranja, koju vodi PIO fond u skladu sa članom 125 Zakona o penzijskom i invalidskom osiguranju;

Jedinstvena baza podataka osiguranika i osiguranih lica, koju vodi Centralni registar obaveznog socijalnog osiguranja, u

Koje su obaveze organa vlasti koji vodi zbirku podataka?

 

Organ vlasti je dužan da obrazuje i vodi Evidenciju o obradi, koja sadrži podatke o nazivu zbirke podataka, vrsti podataka, radnjama i svrsi obrade, roku čuvanja podataka, preduzetim merama zaštite i druge podatke, što je propisano članom 48 ZZPL-a.

Continue reading Koje su obaveze organa vlasti koji vodi zbirku podataka?

Kada organ vlasti nema navedene obaveze?

Iz razloga svrsishodnosti, organ vlasti nije dužan da obrazuje i vodi Evidenciju o obradi, niti da Povereniku prijavi zbirku podataka u sledećim situacijama:

  • Podaci koji se nalaze u evidenciji obrađuju se isključivo u porodične i druge lične svrhe (što se po pravilu neće desiti u organu vlasti);
  • Vođenje zbirke podataka je propisano zakonom;
  • Zbirku podataka čine samo javno objavljeni podaci;
  • Zbirku čine podaci koji se odnose na lice čiji identitet nije određen, a rukovalac, odnosno korisnik, nije ovlašćen da odredi identitet.

Continue reading Kada organ vlasti nema navedene obaveze?

Zašto je bitno prijaviti zbirku podataka Povereniku?

Pored toga što je prijava zbirke zakonska obaveza propisana ZZPL-om čije neispunjenje povlači prekršajnu odgovornost, treba reći da je zapravo u interesu organa vlasti da prijavljuje zbirke podataka Povereniku, pa čak i u slučajevima kada nema takvu obavezu. Razlozi za to su sledeći:

Continue reading Zašto je bitno prijaviti zbirku podataka Povereniku?

Obrađivač podataka

Obrađivač je, kao i rukovalac, lice koje obrađuje podatke. Ipak, to nije lice koje samo određuje svrhu i načine obrade podataka, niti je to ustanovljeno zakonom za njegove potrebe, već je to lice kome rukovalac podataka na osnovu zakona ili ugovora poverava određene poslove u vezi sa obradom. To znači da je obrađivač odvojeni pravni entitet od rukovaca, te da obrađivač u kontekstu obrade podataka postupa u skladu sa nalozima koje mu je dao rukovalac.

Continue reading Obrađivač podataka

Podaci o ličnosti

Šta su podaci o ličnosti?

Podatak o ličnosti predstavlja svaku informaciju koja se odnosi na fizičko lice koje se u nekom trenutku može identifikovati. Dakle, da bi se konstatovao podatak o ličnosti neophodno je utvrditi četiri odvojena elementa: 1) informaciju, 2) koja se odnosi, 3) na identifikovano ili podložno identifikaciji, 4) fizičko lice.

Prilikom procene svojstva podatka o ličnosti, nije od značaja da li fizičko lice na koje se odnosi informacija poseduje poslovnu sposobnost, već je dovoljno samo to da se informacija odnosi na ljudsku jedinku, u skladu sa savremenom teorijom jednake opšte pravne sposobnosti čoveka. Podaci preminulih lica takođe uživaju zaštitu po Zakonu o zaštiti podataka o ličnosti (ZZPL), pa je tako članom 35 propisano čuvanje i korišćenje podataka u slučaju smrti, dok zakonski naslednici mogu da podnose zahteve za ostvarivanje prava u ime preminulih lica.

 

Da bi informacija predstavljala podatak o ličnosti nije od značaja njen kvalitet, odnosno da li ona predstavlja činjenicu, laž ili mišljenje.[1] Podatak o ličnosti stoga može predstavljati svaku vrstu sadržaja, informaciju koja ima značenje i smisao, poput nečijeg rukopisa, crteža deteta, uzorka krvi ili metapodatka koji se odnosi na vreme pristupa određenom sadržaju. Takođe, forma informacije nije od značaja, te podatak o ličnosti može biti u običnoj pisanoj ili digitalnoj formi, bazi podataka, foto, video ili zvučnom zapisu, odnosno u bilo kojoj drugoj vrsti zapisa i skladišta koji informaciju čuva tako da joj se može ponovo pristupiti. Dodatno, treba smatrati i da enkriptovani podaci, koji su nerazumljivi za sve osim ovlašćenog primaoca, predstavljaju podatke o ličnosti.

 

Kako bi predstavljala podatak o ličnosti, informacija mora biti u relaciji sa fizičkim licem. U tom smislu, informacija i fizičko lice mogu biti dva entiteta između kojih postoji direktna veza, a mogu biti i u vezi posredno kroz više objekata. Kvalitet uspostavljene veze mora biti zasnovan bar na jednom od tri sledeća elementa:

 

  • Sadržaj – informacija opisuje lice (zelene oči – čita redovno Peščanik – lenj)
  • Svrha – informacija omogućava procenu lica, odnosno određeni tretman (listing telefona određene pozicije u firmi, u kontekstu efikasnosti lica koje radi na toj poziciji)
  • Efekat – informacija može imati uticaj na lice ili njegov interes, pravo, slobodu (korišćenje lokacije mobilnog uređaja kako bi se obezbedila optimalna usluga licu koje koristi mobilni uređaj)

 

Okolnost da se jedna informacija nalazi u relaciji sa nizom lica nije od značaja prilikom procene da li određena informacija predstavlja podatak o ličnosti. Takođe, jedan zapis koji poseduje više informacija može predstavljati podatak o ličnosti u odnosu na više lica, za svakog u različitim segmentima, ili jedan segment predstavlja podatak o ličnosti više lica.

PRIMER:Sudska odluka kojom se rešava brakorazvodna parnica predstavlja dokument koji u svojim različitim segmentima sadrži podatke o ličnosti velikog broja osoba. Tako se na početku presude nalaze lični podaci sudije (lično ime, sud u kome radi), advokata (lično ime) a zatim i podaci osoba između kojih se vodi parnica, a koji se redovno nalaze u presudama (lično ime, datum rođenja, adresa prebivališta). Ali, tu se mogu naći i brojni drugi podaci koji su navedeni u izreci i obrazloženju presude, kao što su visina prihoda, podaci o zdravstvenom stanju, ličnim navikama (često dolazi kući u alkoholisanom stanju) i tako dalje. Ako se presudom mora rešiti i pitanje vršenja roditeljskog prava, u presudi će se naći i podaci o maloletnoj deci lica koja se razvode.

Podatak o ličnosti konačno mora imati element koji identifikuje, odnosno može identifikovati lice na koje se informacija odnosi. Dakle, “informacija” mora sadržati ili biti u vezi sa identifikatorom koji predstavlja sredstvo identifikacije i informaciju sa bliskim i privilegovanim odnosom sa licem. Identifikatori su u praksi informacije poput ličnog imena i JMBG-a, koje mogu direktno utvrditi osobenost i individualnost određenog lica razlikovanjem od svih ostalih. U savremenom digitalnom okruženju, u okviru koga se ljudi konstantno kreću kroz informacione prostore, ne odvajajući se od elektronskih uređaja, raste broj potencijalnih sredstava identifikacije (broj mobilnog telefona, email adresa, IMEI – jedinstveni broj mobilnog uređaja, IP adresa, biometrijski podaci, ritam otkucaja srca itd).

 

Do identifikacije takođe može doći i indirektnim putem, kombinovanjem informacija koje nisu sredstva identifikacije (pol, godine, mesto boravišta, profesija itd), ali koje usled svog karaktera i međusobne veze zajedno omogućavaju identifikovanje lica određenoj zajednici.

PRIMER:  Novine objave vest da postoje osnovi sumnje da je mito primila ženska osoba koja ima 27 godina, zaposlena je u odeljenju za finansije Opštinske uprave Stara Pazova, te u svom vlasništvu poseduje 3 stana i 2 lokala. Iako nijedan od ovih podataka pojedinačno ne može identifikovati konkretno fizičko lice, kada se dovedu u međusobnu vezu, posebno u kontekstu manje sredine, identitet osobe se može utvrditi bez većih poteškoća.

Prilikom utvrđivanja podatka o ličnosti možemo se susresti sa brojnim nejasnoćama, te bi se svakoj situaciji trebalo posebno posvetiti. Iste informacije, u zavisnosti od konteksta, mogu biti tretirane na različite načine. Informacija o lekovima koje su doktori prepisali, a koja ne sadrži vezu sa pacijentima,  čini se da nije podatak o ličnosti jer ne postoji način da se identifikuje pacijent. Međutim, relacija između lekova i doktora može biti od interesa za farmaceutsku industriju i njihova marketing odeljenja, te bi u tom kontekstu ova informacija predstavljala podatak o ličnosti doktora.

 

ZZPL propisuje isključivo zaštitu prava fizičkih lica. Informacije koje se odnose na pravna lica, kao što su privredna društva, udruženja ili državni organi, po pravilu ne predstavljaju podatke o ličnosti. Ipak, postoje određene granične kategorije gde pre svega treba voditi računa o svrsi obrade i mogućnosti za povredu prava ličnosti.

PRIMER: Preduzetnik je poslovno sposobno fizičko lice koje obavlja delatnost u cilju ostvarivanja prihoda i koje je, kao takvo, registrovano u registru privrednih subjekata. U ovom registru se vode podaci koji se odnose na preduzetničku radnju i to su poslovni podaci koji ne predstavljaju podatke o ličnosti (poreski identifikacioni broj, matični broj preduzetničke radnje, šifra delatnosti i slično). Podatak o sedištu preduzetničke radnje prvenstveno je poslovni podatak koji se ne odnosi na fizičko lice, čak i kada je preduzetnik svoju radnju registrovao na kućnoj adresi, što nije redak slučaj. Ukoliko se taj podatak koristi u svrhe poslovanja (dostavljanje faktura, poslovna komunikacija), on i dalje neće steći status podatka o ličnosti. Međutim, ukoliko se zna da se preduzetnička radnja nalazi na kućnoj adresi, a taj podatak se koristi u svrhe uznemiravanja drugih ukućana koji žive na toj adresi, onda bi podatak o sedištu radnje mogao da dobije status i zaštitu koju imaju podaci o ličnosti.

Jasno je da se bilo koji podatak koji se odnosi na fizičko lice može svrstati pod pojam podatka o ličnosti, međutim, samo neki od njih uživaju pravnu zaštitu. ZZPL predviđa dva mehanizma za ostvarivanje odgovarajuće zaštite podataka u skladu sa potrebama društva u odnosu na zaštitu privatnosti građana. Tako su sa jedne strane propisane situacije u kojima se ZZPL ne primenjuje, dok su sa druge strane definisani naročito osetljivi podaci.