GDPR: Nastanak, primjena i promjene
Uopšteno o nastanku GDPR-a i potrebi za ovom uredbom u savremenoj eri
Priča se da su u starom Egiptu ljudi sa viškom radoznalosti ili, kako bi prost svijet rekao: 'oni koji prisluškuju', bili kažnjavani na način da narednih 10 dana svojim komšijama hrane kamile, ili kako bi učen svijet rekao: 'na društveno koristan rad'. Međutim, ukoliko bi stari Egipćanin na takav način došao do informacije čije prenošenje može naškoditi ugledu bogate porodice ili opstanku države, bio bi kažnjavan smrću. A šta je sa današnjim čovjekom?
Savremena civilizacija već godinama se razvija u uslovima ubrzanog tehnološkog progresa. To je otvorilo vrata nove realnosti u kojoj je potrebno pravno regulisati sva pitanja koja provocira život u digitalnoj eri. I mada je jasno da pravo uvijek kasni za stvarnošću (baš kao i Crna Gora za Evropom), kodifikacija pravnih oblasti koje regulišu život u digitalnom okruženju i uz dostignuća vještačke inteligencije (npr. pravo vještačke inteligencije, pravo informacionih tehnologija, internet pravo) nužna je, ne samo radi uređenja novonastalnih odnosa između država, pravnih i fizičkih lica, već i radi sprječavanja zloupotreba i kršenja temeljnih ljudskih prava i sloboda, kojima je tehnološka era širom otvorila svoja vrata.
Gdje se sve danas mogu naći naši lični podaci? Ko može da im pristupi, da ih obrađuje ili skladišti? Samo su neka od takvih pitanja koja, kako rekoh, provocira život u digitalnom okruženju. Čak i eventualno površni odgovori pravnog laika ne mogu da ne izazovu sumnju u postojanje bilo čega nalik privatnosti, ali i zabrinutost po pitanju naših osnovnih ljudskih prava, a pogotovo prava na poštovanje privatnog života. Sa ovim problemom se na ozbiljan način prva u koštac uhvatila Evropska unija, koja je svojom Opštom uredbom o zaštiti podataka o ličnosti (General Data Protection Regulation - GDPR) pokušala i u velikoj mjeri uspjela da pravno uredi ovu vrlo specifičnu i važnu oblast.
Pregled osnovnih odredbi GDPR-a
Opšta uredba o zaštiti podataka o ličnosti (dalje u tekstu: GDPR) usvojena je od strane Evropskog parlamenta 2016. godine, a počela je da važi na teritoriji država članica EU od 2018. godine. Osim što je doprinijela efikasnijoj zaštiti ljudskih prava i sloboda, ovom uredbom se značajno mijenja poslovanje svih subjekata koji u svom djelovanju prikupljaju i obrađuju lične podatke.
Mnoge odredbe koje sadrži GDPR i ranije su postojale na nacionalnom nivou, ali su sada objedinjene i nadograđene, pa ova regulative predstavlja jedinstvenu kodifikaciju koja se primjenjuje u svim zemljama članicama EU. Takvim načinom regulisanja oblasti zaštite ličnih podataka prevazilaze se razlike u nacionalnim zakonodavstvima i samim tim se olakšava pozicija privrednih subjekata koji vrše djelatnost u više zemalja članica EU, a koji prikupljaju i obrađuju lične podatke.
GDPR ima vrlo široko područje primjene. Ova se uredba ne primjenjuje samo u odnosu na privredne subjekte koji djeluju na teritoriji EU, već i na sve one koji, bez obzira na sjedište, obrađuju podatke građana/ki koji/e imaju boravište na teritoriji EU (član 3). Primjera radi, ako je pristup nekom veb sajtu omogućen na teritoriji barem jedne članice EU, na njemu se lični podaci moraju prikupljati i obrađivati u skladu sa odredbama GDPR. Dakle, GDPR se primjenjuje i na sva lica koja posluju na internetu i obrađuju podatke građana/ki EU.
GDPR uvodi strožije standarde zaštite ličnih podataka, uključujući obavezu rukovalaca podacima da osiguraju visok nivo sigurnosti i transparentnosti u njihovoj obradi. Uredba omogućava pojedincima da imaju veća prava nad svojim podacima, poput prava na njihovo brisanje (tzv. pravo na zaborav), i nalaže implementaciju privatnosti po dizajnu i po pravilu (Privacy by design & Privacy by default) kako bi se osigurala minimalna obrada ličnih podataka. Takođe, GDPR uvodi značajne novčane kazne za nepoštovanje ovih standarda, što podstiče rukovaoce ličnim podacima na striktno pridržavanje propisa.
Osvrt na naše zakonodavstvo i poštovanje GDPR-a od strane vlasti u Crnoj Gori
Crna Gora još uvijek nije u potpunosti usaglasila svoj Zakon o zaštiti podataka o ličnosti sa odredbama GDPR-a. Takođe, ni državni organi i institucije, organi lokalne samouprave, kao i veliki dio privrednih subjekata, još uvijek nijesu u potpunosti uskladili vršenje svoje djelatnosti u segmentu prikupljanja i obrade ličnih podataka sa standardima GDPR-a.
Primjera radi, nedavno je nekoliko crnogorskih opština prekršilo Zakon o zaštiti podataka o ličnosti, objavivši na svojim veb sajtovima lične podatke građana i građanki, poput jedinstvenih matičnih brojeva, adresa stanovanja i brojeva telefona. Konkretne nepravilnosti je utvrdila Agencija za zaštitu ličnih podataka i slobodan pristup informacijama, i to u Beranama, Rožajama, Tuzima i Glavnom gradu. Naime, na sajtovima navedenih opština i Glavnog grada našli su se zahtjevi koje su građani i građanke upućivali/e glavnim gradskim arhitektama, ali na njima nijesu bili sakriveni lični podaci. Ovaj slučaj nam pokazuje da nije dovoljno uloženo u edukaciju kadra koji bi trebalo da uspješno i odgovorno primjenjuje zakonske norme i iz oblasti zaštite ličnih podataka, te da građani i građanke nijesu dovoljno informisani/e o svojim pravima, stepenu i načinu njihove zaštite.
Ne treba zaboraviti ni slučaj iz vremena pandemije korona virusa, kada je Vlada Crne Gore objavila spisak lica koja su se nalazila u samoizolaciji i time prekršila Zakon i ugrozila privatnost građana/ki. S obzirom na to da je Zakonom o zaštiti podataka o ličnosti propisana novčana kazna od 500 do 20.000 eura za pravno lice koje vrši obradu ličnih podataka suprotno Zakonu, dok se za isti prekršaj može kazniti i odgovorno lice u pravnom licu, državnom organu, organu državne uprave, organu lokalne uprave, organu lokalne samouprave, i to novčanom kaznom od 150 eura do 2.000 eura, Crna Gora je zbog navedenog propusta bila u obavezi da građanima/kama isplati kumulativno oko 800 hiljada eura odštete. Eto toliko nas je u tom trenutku koštalo neznanje.
Izmjene Zakona i njihov cilj
Nedavno su stupile na snagu i izmjene Zakona o zaštiti podataka o ličnosti, zajedno sa još sedam zakona. Cilj usvajanja takve grupe zakona je da se njihovom implementacijom osigura provjera kvaliteta podataka prikupljenih sprovođenjem popisa stanovništva, domaćinstava i stanova krajem 2023. godine. Ključna izmjena Zakona o zaštiti podataka o ličnosti odnosi se na član 2 stav 4 na način da se propisuje da se lični podaci daju na korišćenje radi obrade u statističke ili naučno-istraživačke svrhe u obliku koji ne otkriva identitet lica, osim za organ uprave nadležan za poslove statistike radi razvoja, proizvodnje i diseminacije zvanične statistike.
Ovim izmjenama će se omogućiti Upravi za statistiku da ostvari potpun pristup administrativnim izvorima podataka. Prethodna verzija zakonskog teksta je ograničavala upotrebu podataka u statističke svrhe i samim tim se nije mogao u potpunosti primjenjivati član 34 Zakona o zvaničnoj statistici i sistemu zvanične statistike koji propisuje da Uprava za statistiku ima pravo pristupa svim administrativnim izvorima podataka, uključujući i identifikatore. Ove izmjene će omogućiti suštinsku primjenu prethodno navedenog člana.
Izazovi za poslodavce
GDPR sa sobom donosi i nove izazove za poslodavce. Privredni subjekti moraju prilagoditi svoje poslovanje odredbama ove EU regulative, obrađivati i skladištiti lične podatke po novim pravilima, ne narušavajući temeljna ljudska prava i slobode. Uredbom je propisano da će pored javnih vlasti i određeni privredni subjekti morati da imaju zaposlenog eksperta ili spoljašnjeg saradnika koji će kontrolisati obradu podataka o ličnosti. Njegov angažman ne zavisi od broja zaposlenih kod poslodavca, već od količine podataka koji se obrađuju. Prema tome, svi privredni subjekti koji u velikoj mjeri obrađuju lične podatke korisnika svojih proizvoda i/ili usluga, moraće da angažuju bar još jednog zaposlenog. Dakle, uprkos činjenici da GDPR pravila nameću poslodavcima set novih obaveza, njima će se testirati i društvena odgovornost privrednih subjekata, kao i njihova spremnost za opstanak i pobjedu na tržišnoj utakmici u eri digitalnog doba.
Dugo čuvana tajna
Tokom II svjetskog rata, u brojnim crnogorskim naseljima uništene su, između ostalog, knjige koje su predstavljale registre u kojima su se nalazili lični podaci građana/ki (registri rođenih, vjenčanih, itd). Nakon što su partizani oslobodili Crnu Goru i Jugoslaviju od fašističkog okupatora i domaćih izdajnika, započela je obnova zemlje. Kada je došlo vrijeme da se obnove registri i da se u knjige ponovo upišu podaci građana/ki, dolazilo je do svojevrsnih zloupotreba. Priča se da su u tom periodu pojedini očevi prilikom ponovnog upisa podataka odlučili da svojim ćerkama oduzmu ili sakriju bar nekolike godine života, misleći da će im to pomoći kako bi ih lakše i bolje udali. Tako se moj đed oženio de jure par godina mlađom ženom, a de facto godinu dana starijom.
Baba je imala težak život, rodila je šestoro đece, a ljuljala je u krilu jedanaestoro unučadi. Uoči svoje smrti otvoreno je priznala da ima više godina nego što smo mislili. Tada joj je bilo lako da otvori dušu, jer već dugo nije bilo đeda, a još uvijek nije bilo ni GDPR-a.
