Predlog zakona o zaštiti podataka o ličnosti

ANALIZA EFEKATA ZAKONA

1. Određivanje problema koje Predlog zakona treba da reši?

Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni.

Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti.

Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije, dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje.

Važeći Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12), od početka njegove primene, je prema izveštajima Evropske komisije o napretku Republike Srbije ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti.

Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.

Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske unije (2000/C 364/01). Pravo na privatnost i zaštitu podataka zajemčeno je članovima 7. (Poštovanje privatnog i porodičnog života) i 8. (Zaštita podataka o ličnosti).

U međuvremenu, doneti su novi relevantni propisi Evropske unije koji uređuju oblast zaštite podataka o ličnosti. Reč je o Uredbi 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka od 27.04.2016. godine (u daljem tekstu: Uredba), kao i Direktivi 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka, takođe od 27.04.2016. godine (u daljem tektu: Direktiva), pa je, imajući u vidu obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji, bilo neophodno pripremiti novi tekst Predloga zakona o zaštiti podataka o ličnosti koji će obezbediti usklađenost sa ovim propisima.

Kao što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje i višegodišnja primena važećeg zakona.

Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u sledećem:

– postoji potreba da se šire urede osnovni pojmovi koji se koriste u zakonu, kao i da se preciznije urede načela obrade podataka o ličnosti;

– neadovoljno je uređen postupak ostvarivanja prava na zaštitu podataka o ličnosti;

– nedovoljno je uređen postupak iznošenja podataka o ličnosti iz Republike Srbije;

– nepotpuno je uređena odgovornost u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza;

– bezbednost podataka o ličnosti je takođe nepotpuno uređena;

– nedostaje obaveza analize rizika za prava lica na koje se podaci odnose u slučaju pojedinih obrada viskog rizika koje mogu ozbiljno ugroziti njihovih prava;

– postupci za zaštitu prava lica na koje se podaci odnose nisu odgovarajuće uređeni;

– nedostaju odredbe iz Uredbe koje se odnose na nove institute, kao što su obavezujuća poslovna pravila, sertifikacija, lice za zaštitu podataka o ličnosti i kodeks postupanja;

– potrebno je urediti obradu podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, s obzirom da Direktiva predviđa značajna odstupanja od opšteg režima koji se predviđa Uredbom u slučaju kada obradu vrše nadležni organi u navedene svrhe;

– potrebno je preciznije i šire urediti nadležnosti i ovlašćenja nadzornog tela za sprovođenje Zakona o zaštiti podataka o ličnosti;

– nisu dovoljno uređeni posebni slučajevi obrade podataka o ličnosti.

2. Cilj koji se postiže

Osnovni cilj zakona je da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na zaštitu podataka o ličnosti, koje predstavlja pravo uređeno ne samo zakonima, nego i Ustavom Republike Srbije (član 42). Zakon o zaštiti podataka o ličnosti treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji.

U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.

Drugi cilj koji se želi postići je da Zakon o zaštiti podataka o ličnosti bude zakon opšteg karaktera, sa kojim je neophodno uskladiti posebne zakone, a koji sadrže odredbe o zaštiti podataka o ličnosti. Usklađivanjem drugih zakona sa ovim zakonom obezbeđuje se jedinstvo pravnog sistema Republike Srbije.

Pojedinačni ciljevi koji se primenom novog Zakona žele postići, opredeljeni su u skladu sa iznetim problemima u odnosu na sadašnje stanje, a pod njima se, pored ostalih, podrazumeva:

– šire uređenje osnovnih pojmova koji se koriste u zakonu i dodavanje većeg broja novih pojmova (treća strana, profilisanje, minimizacija, grupa privrednih subjekata, biometrijski podaci, genetski podaci i dr);

– preciznije uređenje i jasnije definisanje osnovnih načela koja se odnose na obradu podataka o ličnosti;

– detaljnije uređenje postupka ostvarivanja prava na zaštitu podataka o ličnosti;

– propisivanje velikog broja različitih slučajeva kojima je u potpunosti uređen postupak iznošenja podataka o ličnosti iz Republike Srbije, čime se značajno ubrzava ovakav prenos (što je značajno zbog dostignutog stepena savremenih informacionih tehnologija, društvenih mreža, olakšavanja poslovanja privrednih subjekata i dr), pri čemu su propisani jasni uslovi pod kojima takav prenos može da se izvrši, koji podrazumeva i puno poštovanje prava lica na koje se podaci odnose;

– uređenje odgovornosti u slučaju kršenja prava lica na koje se podaci odnose, kao i u slučaju neispunjavanja zakonskih obaveza rukovaoca, obrađivača ili njihovih predstavnika. Ta odgovornost je kako prekršajna, tako i odgovornost za učinjenu štetu;

– mnogo potpunije uređenje bezbednosti podataka o ličnosti. Propisuje se veći broj mera zaštite podataka o ličnosti (tehničkih, organizacionih i kadrovskih), kao i postupak u slučaju da do povrede bezbednosti ipak dođe (obaveza obaveštavanja nadzornog tela i lica na koje se podaci odnose i dr);

– uvođenje obaveze analize rizika pre započinjanja radnji obrade, a ako je rizik visikog nivoa propisuje se neophodnost prethodnog traženja mišljenja nadzornog organa;

– propisivanje novih instituta, kao što su obavezujuća poslovna pravila, sertifikacija, određivanje lice za zaštitu podataka o ličnosti, kao i kodeks postupanja. Cilj njihovog propisivanja je da se omogući da se i kroz uvođenje internih pravila ili određivanje lica koje će se baviti zaštitom podataka o ličnosti omogući bolja primena zakona;

– potpuno uređenje obrade podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija. Svakako da ove odredbe predstavljaju jednu od najznačajnih zakonskih novina, jer se prvi put jasno propisuju posebne odredbe koje se odnose samo na nadležne organe (kada vrše obradu podataka u tačno određene svrhe), čime se obezbeđuje zakonitost njihovog postupanja, ali istovremeno i određuju slučajevi kada ograničenje opšteg režima postoje, jer ako takvih ograničenja nema, primeniće se opšti režim;

– proširenje i preciziranje nadležnosti i ovlašćenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, kao nezavisnog i samostalnog državnog organa nadležnog za nadzor i sprovođenje Zakona o zaštiti podataka o ličnosti. Takođe, uređen je i njegov status, kako bi se obezbedila njegova puna nezavisnost;

– uređenje posebnih slučajeva obrade podataka o ličnosti, uz napomenu da je reč samo o najkarakterističnijim slučajevima, s obzirom da je obrada podataka uređena i većim brojem drugih posebnih zakona;

– obezbeđivanje usklađenosti sa relevantnim dokumentima Evropske unije (Uredbom i Direktivom), što je od velikog značaja za obaveze Republike Srbije koje su predviđene Pregovaračkim poglavljima 23 i 24.

3. Da li su razmatrane druge mogućnosti za rešavanje problema?

U razmatranju drugih mogućnosti za rešavanje problema u obzir se nije uzimala opcija „status quo”, jer je ranije izrađena analiza nametnula potrebu nužnih izmena i dopuna važećih zakonskih odredaba. Kako što je rečeno, reč je o razlozima vezanim kako za unutrašnje potrebe Republike Srbije, tako i za međunarodnu saradnju, a posebno za ispunjavanje obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji.

Sa druge strane, broj važećih zakonskih odredbi koje je neophodno izmeniti i dopuniti je ogroman, što bi u praksi značilo izmenu gotovo svih sada važećih odredaba, uz dodavanje čitavih delova novih odredaba. Pored toga, neophodno je bilo izmeniti i kompletnu sistematiku zakona. Obim ovakvih izmena ne bi bio moguć i svako prevazilazi dozvoljen obim izmena i dopuna zakona, koji je propisan važećom Metologijom za izradu zakona i drugih propisa.

Isto tako, donošenje novog zakona koji će urediti zaštitu podataka o ličnosti je predviđeno i odgovarajućim strateškim dokumentima. Takva obaveza proizilazi iz Strategije zaštite podataka o ličnosti („Službeni glasnik RS”, broj 58/10), kao i iz Akcionih planova za pregovaračka poglavlja 23 i 24.

U tom smislu, Predlog zakona predstavlja osnovu za realizaciju svih ciljeva koje su predviđeni strateškim dokumentima vezanim za oblast zaštite podataka o ličnosti.

Imajući u vidu da je Evropska unija donela potpuno nove dokumente iz ove oblasti (Uredbu i Direktivu), koji na daleko detaljniji način uređuje zaštitu fizičkih lica u odnosu na obradu podataka o ličnosti i uvodi potpuno nove institute, Predlog zakona će obezbediti usklađivanje prava Republike Srbije sa sada važećim pravnim tekovinama EU.

4. Zašto je donošenje zakona najbolje rešenje problema?

Donošenje novog zakona koji će urediti zaštitu podataka o ličnosti ustvari predstavlja jedino moguće rešenje, iz svih navedenih razloga.

Nedonošenje takvog zakona bi značilo da bi se nastavili postojeći problemi u primeni važećeg Zakona o zaštiti podataka o ličnosti na koje je mnogo puta ukazivano u praksi, da bi i dalje bilo skoro nemoguće izneti podatke o ličnosti iz Republike Srbije (a da takvo iznošenje bude u skladu sa zakonom), da ne bi bila obezbeđena zaštita podataka o ličnosti u skladu sa potrebama i evropskim standardima, da bi bila otežana međunarodna saradnja u ovoj oblasti, da nadležni organi koji obrađuju podatke u tačno određene svrhe nemaju jasna pravila i ograničenja koja su neophodna za njihov rad, da se ne obezbeđuje u punoj meri rad nadzornog tela i tako dalje.

Nedonošenje novog Zakona o zaštiti podataka o ličnosti bi dalje otežavalo i svakodnevni rad velikog broja privrednih subjekata koji obrađuju podatke o ličnosti, imajući u vidu zastarelost sada važećih zakonskih rešenja, što svakako donosi veće rizike i povećava troškove njihovog poslovanja.

Nedonošenje novog zakona bi svakako predstavljalo i korak unazad i zastoj u procesu pridruživanja Republike Srbije Evropskoj uniji.

5. Na koga i kako će uticati predložena rešenja?

Novi Zakon o zaštiti podataka o ličnosti će imati neposredan efekat na veći broj različitih subjekata. Reč je o sledećim subjektima:

1) organima vlasti;

2) nadležnim organima;

3) Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, kao nezavisnom i samostalnom nadzornom organu;

4) licima čiji se podaci o ličnosti obrađuju;

5) velikim privrednim subjektima i multinacionalnim kompanijama;

6) malim i srednjim preduzećima;

7) drugim licima koja su u vezi sa obradom podataka o ličnosti.

Prikaz pojedinih neposrednih efekata na određenu kategoriju subjekata:

1) Organi vlasti će morati da se prilagode novim zakonskim rešenjima. Treba napomenuti da Predlog zakona pod organom vlasti ne podrazumeva samo državne organe već i organe teritorijalne autonomije, jedinica lokalne samouprave, javna preduzeća, ustanove i druge javne službe, organizacije i druga pravna ili fizička lica koja vrše javna ovlašćenja.

Prilagođavanje zakonskim rešenjima će svakako zavisiti od veličine organa vlasti, kao i od broja podataka o ličnosti koje obrađuje. Kada su u pitanju veći organi vlasti, biće neophodno izvršiti odgovarajuće organizacione promene, kako bi se odredila posebna organizaciona jedinica za zaštitu podataka o ličnosti ili odredilo posebno radno mesto za zaštitu podataka o ličnosti. Potrebno je izvršiti i obuku lica za zaštitu podataka o ličnosti, kao i preduzeti odgovarajuće tehničke mere, što ne bi trebalo da predstavlja veći problem, jer se, pre svega u informacionim sistemima, veći broj ovih mera već sprovodi. Takođe, biće neophodno preduzeti aktivnosti kako bi se izvršila procena rizika obrade podataka o ličnosti, kao i mere u slučaju povrede bezbednosti ovih podataka.

Kada su u pitanju organi vlasti manje veličine, koji ne obrađuju veći broj podataka o ličnosti, njihove obaveze i troškovi u primeni zakona će svakako biti manji.

Kako bi se izvršila odgovarajuća priprema za primenu zakona, Predlog zakona predviđa odložen početak njegove primene, dok se ne steknu svi potrebni uslovi za primenu.

2) Nadležni organi će takođe morati da se prilagode novim zakonskim rešenjima.

Zakon određuje nadležne organe kao organe vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti. U tom smislu, ovo je prvi put da se propisuje veći broj posebnih zakonskih odredbi koje određuje uslove i postupanje nadležnih organa kada obrađuju podatke o ličnosti u posebne svrhe. Ako nadležni organi ne obrađuju podatke u posebne svrhe, na njih se primenjuju ostale opšte odredbe zakona.

Sprovođenje i primena zakona će takođe zahtevati manje organizacione promene i uvođenje tehničkih mera u manjem obimu, s obzirom da nadležni organi već uglavnom imaju uslove za primenu tih mera. Takođe, biće neophodno sprovođenje obuka, i to kako onih za primenu zakona, tako i kontinuiranih obuka, u cilju upoznavanja zaposlenih u nadležnim organima sa konkretnim zakonskim rešenjima vezanim za njihov rad. Međutim, time će se obezbediti dosledna primena načela zakonitosti u njihovom radu što će svakako omogućiti efikasniji rad i postupanje sa podacima o ličnosti.

3) Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tesktu: Poverenik)

Zakon predviđa značajne novine kada je u pitanju Poverenik. Pre svega, preciznije se određuje njegov status kao nezavisnog i samostalnog nadzornog tela nadležnog za sprovođenje zakona. Nezavisnost podrazumeva da je Poverenik potpuno nezavisan od svakog neposrednog ili posrednog spoljnog uticaja i da ne može primati naloge ni od koga. Takođe je predviđena obaveza da se moraju stvoriti finansijski, tehnički, organizacioni i kadrovski uslovi za rad Poverenika, da Poverenik samostalno vrši izbor zaposlenih, kao i da nadzor nad trošenjem sredstava za rad Poverenika može da vrši samo Državna revizorka institucija, i to na način koji ne utiče na nezavisnost Poverenika.

U odnosu na važeći Zakon o zaštiti podataka o ličnosti kojim je propisano 16 pojedinačnih nadležnosti Poverenika, Predlogom zakona predviđa se više ovakvih nadležnosti. Značajno je da je propisano izričito ovlašćenje Poverenika da daje mišljenje o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti.

Poverenik je ovlašćen i da postupa po pritužbama. Pritužbu ima pravo da podnese lice na koje se podaci odnose, ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama zakona. Sa druge strane, podnošenje pritužbe ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.

Pored toga, preciziraju su ovlašćenja Poverenika. Članom 79. Predloga zakona propisana su njegova inspekcijaska ovlašćenja, kao i korektivne mere koje Poverenik može da preduzme (izricanje opomene, nalaganje određenih mera rukovaocu i obrađivaču, poništavanje izdatog sertifikata i izricanje novčane kazne na osnovu prekršajnog naloga). Pored pomenutih, Poverenik je ovlašćen da donosi određene podzakonske akte, izdaje sertifikate, odobrava ugovorne odredbe, kao i da registruje i objavljuje kodeks postupanja.

Takođe, Poverenik je ovlašćen za poslove međunarodne saradnje u vezi sa zaštitom podataka o ličnosti, što podrazumeva preduzimanje odgovarajućih mera u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama i međunarodnim organizacijama. Pod ovim merama se podrazumeva međunarodna saradnja u cilju olakšavanja delotvorne primene zakona koji se odnose na zaštitu podataka o ličnosti, obezbeđivanja međunarodne pravne pomoći u primeni zakona, obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju nadzora, kao i razmenu informacija, angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona, kao i podsticanje i unapređivanje razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti.

Imajući u vidu da se Predlogom zakona značajno povećavaju nadležnosti i obim poslova Poverenika, za sprovođenje zakona biće potrebno obezbediti finansijska sredstva kako bi se obezbedili neophodni uslovi za obavljanje novih poslova. Ovi troškovi se pre svega odnose na povećnje broja zaposlenih u službi Poverenika. Detaljnija procena troškova data je u tački 6. Analize.

4) Lica čiji se podaci o ličnosti obrađuju

Već postojeća prava lica na koje se podaci odnose, u skladu sa važećim zakonom, kao što su pravo na obaveštavanje o obradi, pravo na pristup i kopiju, kao i prava posle ostvarenog pristupa, Predlogom zakona su mnogo detaljnije propisana. Novinu predstavlja pravo na prenosivost podataka koje podrazumeva da lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u uobičajno korišćenom i elektronski čitljivom obliku, kao i da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca koji obrađuje njegove podatke.

Precizirane su i odredbe koje se odnose na automatizovno donošenje pojedinačnih odluka. Naime, lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj. Ako obradu vrše nadležni orgni u posebne svrhe propisana je još restrktivnija odredba (član 39. Predloga zakona), koja predviđa da je zabranjeno donošenje odluke isključivo na osnovu automatizovane obrade, ako takva odluka može da proizvede štetne pravne posledice za lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose.

Najznačajnija novina koja se odnosi na lice na koje se podaci odnose je vezana je za podnošenje pravnih sredstava ako se vrši obrada njegovih podataka o ličnosti. Po važećem zakonu, lice je imalo pravo žalbe Povereniku, ako smatra da rukovalac ne obrađuje njegove podatke u skladu sa zakonom, a ako je nezadovoljan odlukom Poverenika, mogao je da pokrene upravni spor.

Sada se predviđa čitav niz različitih mogućnosti za zaštitu prava, pri čemu je moguće podneti više pravnih sredstava, nezavisno od toga da li je već podneto neko sredstvo. Pre svega, može se podneti prigovor rukovaocu na obradu podataka. Pored toga, može se podneti pritužba Povereniku. Protiv odluke Poverenika, odnosno u slučaju da takva odluka nije doneta u roku od 60 dana od dana podnošenja pritužbe, može da se pokrene upravni spor.

Isto tako, a nezavisno od drugih postupaka može se ostvariti i neposredna sudska zaštita. Tužbom za zaštitu prava može se zahtevati od suda da obaveže tuženog na:

– davanje informacije;

– ispravku, odnosno brisanje podataka o tužiocu;

– ograničenje obrade podataka;

– davanje podataka u uobičajno korišćenom i elektronski čitljivom obliku;

– prenošenje podataka drugom rukovaocu i

– prekid obrade podataka.

Na kraju, Predlog zakona izričito propisuje i pravo na naknadu štete, koje podrazumeva da lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.

5) Veliki privredni subjekti i multinacionalne kompanije

Veliki privredni subjekti i multinacionalne kompanije, zbog primene zakona, mogu imati određene dodatne troškove. Međutim, dugoročno gledano, takvi troškovi će svakako smanjiti mnogo veće troškove koji mogu da nastanu zbog obrade podataka o ličnosti koja nije u skladu sa zakonom, a posebno zbog prenosa podataka o ličnosti u drugu državu ili međunarodnu organizaciju.

Treba napomenuti da značajne zakonske novine koje se odnose na kodeks postupanja, izdavanje sertifikata, obavezujujuća poslovna pravila i određivanje lica za zaštitu podataka, u većini slučajeva, nisu obavezujuća. Na primer, obaveza određivanja lica za zaštitu podataka o ličnosti postoji samo u slučaju ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose ili ako se osnovne aktivnosti sastoje u obradi posebnih vrsta podataka o ličnosti. Takođe je predviđeno da grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, što takođe predstavlja dobru mogućnost. Isto tako, propisano je da udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu (dakle ne moraju) usvojiti kodeks postupanja. Za postupak izdavanja sertifikata je izričito propisano da je dobrovoljan i transparentan, a ne postoji izričita obaveza od strane multinacionalne kompanije, odnosno grupe poslovnih subjekata da donesu obavezujuća poslovna pravila.

Međutim, veliki privredni subjekti i multinacionalne kompanije bi svakako trebalo da prepoznaju svoj interes za uspostavljanje navedenih mehanizama, jer će na taj način:

– obezbediti poštovanje zakonskih odredbi;

– smanjiti moguće troškove za postupke štete;

– te mehanizme koristiti za predočavanje da poštuju odredbe zakona;

– uspostaviti mogućnost za bolje kontakte i povezivanje sa drugim grupama privrednih subjekata i multinacionalnih kompanija koji imaju takve mehanizme;

– imati mogućnost da iskoriste više različitih načina za zakonit prenos podataka u druge države.

Sa druge strane, veliki privredni subjekti i multinacionalne kompanije imaju iste obaveze kao i drugi rukovaoci. To podrazumeva: omogućavanje licima na koje se podaci odnose da ostvare prava koja zakon predviđa, dužnost preduzimanja odgovarajućih tehničkih, organizacionih i kadrovskih mera zaštite, da vode evidenciju radnji obrade, da sarađuju sa Poverenikom, da izvrše prethodnu procenu rizika, kao i da poštuju postupak u slučaju povrede podataka o ličnosti. Kao što je rečeno (u odnosu na organe vlasti), a to se odnosi i na velike privredne subjekte i multinacionalne kompanije, i ovde je pretpostavka da preduzimanje odgovarajućih tehničkih mera ne bi trebalo da predstavlja veći problem i da se, pre svega u informacionim sistemima, veći broj ovih mera već sprovodi.

Za velike privredne subjekte i multinacionalne kompanije koje nemaju sedište na teritoriji Republike Srbije, a obrađuju podatke o ličnosti lica koja imaju prebivalište ili boravište na teritoriji Republike Srbiji, postoji i obaveza određevanja predstavnika koji mora biti fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije. Predstavnik je ovlašćen da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom.

6) Mala i srednja preduzeća

U odnosu na mala i srednja preduzeća, pod pretpostavkom da njihove poslovne aktivnosti nisu vezane za obradu većeg broja podataka o ličnosti ili obradu posebnih kategorija podataka, primena ovog zakona ne bi trebalo da izazove troškove u većoj meri, niti neka veća prilagođavanja. Mala i srednja preduzeća, kao rukovaoci ili obrađivači podataka o ličnosti imaju opšte obaveze kao i drugi rukovaoci i obrađivači, s tim da nemaju obavezu vođenja evidencije o obradi podataka. Naime, tu obavezu načelno nemaju privredni subjekt i organizacije u kojima je zaposleno manje od 250 lica.

Sa druge strane, ukoliko malo ili srednje preduzeće vrši delatnost koja podrazumeva obradu velikog broja podataka o ličnosti, a posebno ako prenosi te podatke u druge države, kao što je rečeno i za druge subjekte, imaće određene troškove zbog primene zakona, koji će dugoročno predstavljati korist.

Kao što je rečeno u tački 8. Analize, Predlog zakona dozvoljava mogućnost vršenja dodatnih delatnosti, odnosno osnivanje novih specijalizovanih privrednih subjekata s obzirom da lice za zaštitu podataka o ličnosti može biti angažovano i po ugovoru, kao i da postoji mogućnost osnivanja odgovarajućeg sertifikacionog tela koje će izdavati sertifikate za zaštitu podataka o ličnosti.

7) Druga lica koja su u vezi sa obradom podataka o ličnosti

Kada su u pitanju druga lica koja su vezi sa obradom podataka o ličnosti, to mogu biti primalac i treća strana.

Primalac može biti fizičko ili pravno lice (kao i organ vlasti), kome su podaci o ličnosti otkriveni. U odnosu na njih, Predlog zakona predviđa obavezu rukovaoca da o primacioma obavesti lice na koje se podaci odnose, kao i obavezu primaoca da podatke o ličnosti, koji se kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu.

Treća strana je fizičko ili pravno lice (kao i organ vlasti), koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača. Treća strana je od značaja u odnosu na zakonitost obrade, s obzirom da je jedan od uslova kada je obrada zakonita je njena neophodnost u cilju ostvarenja legitimnog interesa rukovaoca ili treće strane (osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose, a koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose maloletno lice). Ovaj uslov se ne primenjuje na obradu podataka koju vrše organi vlasti, kao ni nadležni organi.

6. Koje troškove će primena Zakona izazvati građanima i privredi, posebno malim i srednjim preduzećima?

Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju neophodne dodatne troškove, a struktura tih potreba je sledeća:

1) Dodatne institucionalne potrebe, i to:

– Institucionalno jačanje postojeće institucije – Poverenika, imajući u vidu proširenje delokruga u delu koji se odnosi na međunarodnu razmenu podataka o ličnosti, poslove nadzora primene zakona, poslove koji se odnose na davanje mišljenja prilikom pripreme materijala drugih organa državne uprave koji sadrže odredbe o zaštiti podataka o ličnosti, kao i za sve nove poslove koje predviđaju novi propisi Evropske unije sa kojima se vrši usklađivanje (poslovi vezani za sertifikaciju, prethodnu procenu rizika, kodeks postupanja, izradu standardizovanih ikona u elektronskom obliku, standardnih ugovornih klauzula, poslove međunarodne saradnje, korektivne mere i drugo).

– Kako se primena zakona odnosi na sve organe vlasti, pojedini organi javne vlasti sa većim brojem zaposlenih (npr. Ministarstvo unutrašnjih poslova, Ministarstvo odbrane i dr.) imaće potrebu za obrazovanjem novih unutrašnjih organizacionih jedinica koje će se baviti zaštitom podataka o ličnosti. Te unutrašnje organizacione jedinice trebalo bi da budu, odeljenja, odseci ili grupe. U ovom trenutku je nemoguće dati neku bližu procenu eventualnih troškova koji mogu nastati zbog mogućih organizacionih promena u organima vlasti zbog primene ovog zakona, jer, kao što je rečeno, to pre svega zavisi od organa vlasti. Osnovna procena je da je ovakve promene moguće obaviti bez dodatnog zapošljavanja.

– Osnovna procena je da neće postojati i neki posebni troškovi za primenu tehničkih mera koje se predviđaju Predlogom zakona, s obzirom da se ove mere uglavnom već primenjuju (prema propisima o informacionoj bezbednosti). Dodatno unapređenje IT opreme, kancelarijske opreme, kao i druge opreme neophodne za zaposlene se i inače podrazumeva u redovnom obavljanju poslova organa javne vlasti i naravno da će zavisiti od mogućnosti i ograničenja koje predviđa Budzet;

2) Administrativni kapaciteti

Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju mogućnost dodatnih troškova za proširenje administrativnih kapaciteta, a struktura tih potreba je sledeća:

2.1. Dodatne administrativne potrebe, i to:

– Dodatni poslovni prostor: odgovarajući broj kancelarija za Poverenika, kao i više kancelarija za zaposlene u organima vlasti koje postupaju sa podacima o ličnosti u većoj meri.

– Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, što će svakako zavisiti od kadrovskih potreba i obezbeđenog dodatnog poslovnog prostora.

2.2. Kadrovske potrebe:

– veći broj državnih službenika u Stručnoj službi Poverenika, za stalno – na neodređeno vreme, visoka stručna sprema, diplomiranih pravnika ili eventualno nekog od fakulteta društvenog smera, od čega bi najveći deo bio u zvanju višeg savetnika, a manji deo bi činili zaposleni sa srednjom stručnom spremom;

– veći broj državnih službenika iz drugih ministarstava ili pravosuđa, na neodređeno vreme u ostalim ministarstvima, Republičkom javnom tužilaštvu, Vrhovnom kasacionom sudu i drugim organima javne vlasti.

Kadrovske potrebe će se pre svega rešiti preuzimanjem postojećih državnih službenika, a samo izuzetno i dodatnim zapošljavanjem. Osnovna pretpostavka da je dodatne zaposlene u najvećoj meri moguće angažovati iz drugih državnih organa, dakle iz reda već zaposlenih državnih službenika koji imaju potrebno radno iskustvo, za koje su već predviđeni rashodi za zaposlene. Eventualno dodatno zapošljavanje će zavisiti od mogućnosti i ograničenja koje predviđa Budzet.

– dodatni kadrovi – Postoji potreba angažovanja tri eksperta iz oblasti zaštite podataka o ličnosti (iz reda profesora univerziteta, stručnjaka koji poznaju uporedno pravo i dr.), koji bi bili privremeno angažovani, na određeno vreme, zbog potrebe organizovanja neophodne stručne obuke.

– Dodatne administrativne potrebe (korišćenje usluga i roba), i to:

– Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, kao i kancelarije, u skladu sa mogućnostima.

3) Troškovi obuke:

– Obuka za sudije

S obzirom da se Predlogom zakona uvodi novi sudski postupak, neophodno je sprovesti obuku za sudije. Obuka će se sprovesti u Pravosudnoj akademiji. Procenjeno je da će posle donošenja zakona, a do početka njegove primene biti neophodna obuka za 30 sudija. Obuka će se sprovesti u Beogradu (za sve sudije) i trajala bi nekoliko dana. Troškovi za obuku ukupno iznose 800 evra u dinarskoj protivrednosti za dan obuke. Reč je o troškovima za predavače, putne troškove i ostale troškove.

Posle početka primene zakona, pa nadalje, takođe je neophodno sprovoditi istu ovakvu obuku i za druge sudije, sa istim troškovima.

Kada je u pitanju obuka za sudsko i javnotužilačko osoblje, krajem 2018. godine bi bilo potrebno započeti sprovođenje obuke onih zaposlenih koji najviše postupaju sa podacima o ličnosti u toku rada. Za njih bi tema obuke bila upoznavanje sa novim zakonskim rešenjima. Procenjeno je da obuka za ovu grupu (koju bi sačinjavalo 60 polaznika) treba da bude jednodnevna, kao i da su troškovi obuke oko 600 evra u dinarskoj protivrednosti. Predviđeno je da se, za početak, sprovedu četiri ovakve obuke, i to u gradovima u kojima se nalaze sedišta Apelacionih sudova (Beograd, Kragujevac, Niš i Novi Sad).

Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje, pri čemu je procena troškova ista.

Za ostale državne organe takođe je potrebno sprovesti obuku. Sa obukom bi trebalo započeti krajem 2018. godine i početkom 2019. godine. Obuka bi se organizovala preko Nacionalne akademije za javnu upravu, bila bi jednodnevna i takođe bi se odnosila na nova zakonska rešenja iz oblasti zaštite podataka o ličnosti. Obuku bi trebalo sprovoditi periodično kako bi bio obučen što veći broj zaposlenih u državnim organima.

Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje.

Kada su u pitanju troškovi obuke sudija, odnosno sudskog i javnotužilačkog osoblja, za koju je predviđeno da je sprovodi Pravosudna akademija, ukazujemo da se radi o redovnom poslovanju Pravosudne akademije za koje se sredstva obezbeđuju u budzetu svake godine, a čija je to osnovna delatnost. 

Isto se odnosi na obuku državnih službenika koja će biti sprovedena preko Nacionalne akademije za javnu upravu.

Ovde treba imati u vidu i da se obuke koje se odnose na zaštitu podataka o ličnosti već sprovode više godina. Takođe, treba napomenuti i sledeću činjenicu: da bi se dali precizniji troškovi koliko će ovakva obuka iznositi u nekom dužem periodu, pre svega je potrebno da se ovaj Predlog zakona usvoji, jer se obuke mogu detaljno planirati (i odobriti) samo za zakon koji je već usvojen, a ne i za zakon koji je u pripremi.

Napominjemo i da je u ovom trenutku nemoguće bliže kvantitativno izraziti troškove koji eventualno mogu da nastanu primenom zakona, s obzirom da pojedini troškovi organa vlasti pre svega zavise od broja podataka o ličnosti koji se obrađuju, vrste podataka, sadašnjih mera zaštite koje se primenjuju prema podacima o ličnosti (pre svega onih iz oblasti informacione bezbednosti), objektivnih potreba za obradu podataka o ličnosti i dr.

Na kraju, ukazujemo da će organi vlasti do početka primene zakona, pa nadalje, moći da opredele detaljne iznose neophodnih budzetskih sredstava za sprovođenje ovog zakona posebno za naredne godine (2020. godinu i nadalje), što će biti izraženo kroz planiranje i pripremu zakona koji uređuje Budzet za naredne godine, imajući u vidu njegove mogućnosti i ograničenja.

7. Da li pozitivne posledice donošenja Zakona opravdavaju troškove njegove primene?

Pozitivne posledice donošenja zakona sasvim opravdavaju troškove njegove primene, jer dodatni troškovi svakako nisu značajnijeg obima. Troškovima koji će nastati donošenjem zakona, a koji se pre svega odnose na poboljšanje tehničkih, organizacionih i kadrovskih mera, uvođenja novih instituta, dodatnu obuku zaposlenih i slično, doprinosi se ostvarivanju prava i sloboda fizičkih lica, obezbeđuje efikasniji postupak za zaštitu njihovih prava i obezbeđuje se bolja i efikasnija međunarodna i druga saradnja (kako u odnosu na organe vlasti, tako i i odnosu na privredu).

Pored toga, primena zakona će smanjiti mogućnost povrede bezbednosti podataka o ličnosti, čime će se smanjiti i eventualni troškovi za naknadu štete licu na koje se podaci odnose.

Donošenjem zakona izvršiće se i usklađenost sa pravnim tekovinama Evropske unije, što je obaveza Republike Srbije u procesu pridruživanja.

Donošenjem zakona obezbediće se da Republika Srbija u oblasti zaštite podataka o ličnosti dobije moderan normativni okvir, čime će se istovremeno rešiti i problemi koji su nastali u primeni važećeg zakona.

Donošenjem zakona obezbediće se efikasnije i obavljanje poslova nadležnih organa u slučaju kada obrađuju podatke o ličnosti u posebne svrhe (istrage, krivičnog gonjenja, sprečavanje pretnji bezbednosti), s obzirom da su precizno propisana ovlašćenja i obaveze ovih organa.

Prema navedenim procenama koje se odnose na pomenute direktne i indirektne koristi, odnosno pozitivne posledice predloženih rešenja, procenjuje se da će ukupne koristi daleko premašiti ukupne troškove iskazane za sprovođenje ovog zakona.

8. Da li se Zakonom podržava stvaranje novih privrednih subjekata na tržištu i tržišna konkurencija?

Rešenja iz Predloga zakona, posebno novine vezana za uvođenje obaveznih poslovnih pravila, sertifikata za zaštitu podataka o ličnosti i lica za zaštitu podataka o ličnosti će svakako obezbediti poštovanje odgovarajućih standarda u oblasti zaštite podataka o ličnosti koji se odnose na privredno poslovanje.

Takođe, neka druga zakonska rešenja (pitanje pristanka za obradu podataka i drugo) će svakako smanjiti troškove poslovanja i doprineti većoj brzini poslovnih aktivnosti. Značajno je da će veća zaštita lica na koje se podaci odnose, kao i preciziranje postupka ostvarivanja njihovih prava, svakako doprineti većoj pravnoj sigurnosti.

Pored toga, odredbe o prenosu podataka iz Republike Srbije takođe će značajno unaprediti trenutno stanje u oblasti zaštite podataka o ličnosti. Zakonskim rešenjima se obezbeđuje i usklađenost sa relevantnim propisima Evropske unije i obezbeđuje primena istih rešenja koje uskoro počinju da se primenjuju u Evropskoj uniji. Obezbeđuje se i efikasniji rad nadzorog tela za sprovođenje zakona. Takođe, svim subjektima, obezbeđeni su novi mehanizni pravne zaštite – upravne i sudske, koji mogu da se pokrenu nezavisno jedan od drugih.

Sve ovo doprineće stvaranju poslovne sigurnosti u privatnom sektoru odnosno poboljšanju poslovne klime, što podrazumeva da će predložena rešenja, po usvajanju zakona, posredno uticati na stvaranje novih privrednih subjekata na tržištu, a time i na tržišnu konkurenciju. Očekuje se uvođenje izvesnosti i predvidljivosti u privrednim odnosima, što će doprineti jačanju percepcije o povoljnosti ulaganja u našu privredu.

Sa druge strane, iako uvođenje novih instituta zahteva određene troškove, nesporno je da primena ovih novina dugoročno obezbeđuje značajno smanjenje mogućih visokih troškova naknade štete koja je nastala zbog neodgovarajuće primene zakona. Iako neke od tih novina nisu obavezne, već dobrovoljne, njihovo uvođenje se preporučuje i podstiče od strane Evropske komisije.

Primena novog zakona o zaštiti podataka o ličnosti svakako će obezbediti mnogo jasnija pravila u oblasti zaštite podataka o ličnosti, a samim tim i obezbediti pošteniju i transparetniju tržišnu konkurenciju koja je vezana za ovu oblast.

Zakon neposredno dozvoljava mogućnost stvaranja novih privrednih subjekata koji će biti specijalizovani za ovu oblast, s obzirom da lice za zaštitu podataka o ličnosti ne mora biti samo lice koje je zaposleno u nekom organu ili privrednom subjektu, već to može biti i neko drugo lice koje će se angažovati na osnovu ugovora. Pored toga, članom 60. Predloga zakona propisano je da nadzor nad primenom kodeksa postupanja može vršiti pravno lice koje je akreditovano za vršenje nadzora. Isto tako, propisivanjem mogućnosti da, pored Poverenika, sertifikat za zaštitu podataka o ličnosti može izdati i odgovarajuće sertifikaciono telo, takođe se stvara mogućnost za stvaranje novih privrednih subjekata koji će se baviti aktivnostima u vezi sa primenom zakona.

9. Da li su sve zainteresovane strane imale priliku da se izjasne o zakonu?

Konačan tekst Nacrta zakona rezultat je sprovedenog širokog konsultativnog procesa koji je obuhvatio sve zainteresovane subjekte, pre svega preko sastava same Radne grupe, izrađene analize usklađenosti važećeg Zakona o zaštiti podataka o ličnosti sa ranije važećim relevatnim propisma Evropske unije, zatim aktivnosti koje se odnose na rad sa stranim ekspertom iz oblasti zaštite podataka o ličnosti, kao i aktivnosti koje su vezane za pribavljanje ekspertize Evropske komisije na tekst Nacrta zakona, uz redovno uključivanje predstavnika međunarodnih organizacija, kao što su: Delegacija EU, EUROJUST i OEBS. Takođe, pružena je mogućnost učešća zainteresovanim licima, kao i predstavnicima stručne i opšte javnosti da putem javne rasprave uzmu aktivno učešće u kreiranju predloženog zakonskog rešenja.

Treba napomenuti da je u postupku izrade ovog zakonskog predloga, u skladu sa Poslovnikom Vlade, bilo neophodno pribaviti mišljenje velikog broja različitih nadležnih organa i institucija, čije su primedbe i sugestije ugrađene u tekst Predloga zakona, koji se upućuje Narodnoj skupštini radi razmatranja i usvajanja.

Radna grupa koju je obrazovao ministar pravde je bila interresorna, sastavljena od predstavnika nadležnih organa koji u praksi obrađuju najveći broj podataka o ličnosti ili organa čije su nadležnosti neposredno vezane za pitanje zaštite podataka o ličnosti, kao i predstavnika stručne javnosti.

U svom radu, Radna grupa je koristila, polazeći od teksta važećeg Zakona o zaštiti podataka o ličnosti, tekstove novih relevantnih dokumenata Evropske unije (Uredbe i Direktive), rešenja iz teksta Modela zakona o zaštiti podataka o ličnosti (osnovni i korigovani) koji je dostavio Poverenik, uporedna zakonska rešenja iz oblasti zaštite podataka o ličnosti (pre svega iz država regiona), ranije pripremljenu analizu usklađenosti važećeg zakona sa tada važećim relevantnim dokumentima Evropske unije, primedbe i sugestije koje su dostavljane od strane Evropske komisije i EUROJUST-a, kao i primedbe i sugestije koje je izneo strani ekspert.

O tekstu Nacrta zakona održana je, u skladu sa Poslovnikom Vlade, javna rasprava.

Nacrt zakona bio je na javnoj raspravi od 1. decembra 2017. godine do 15. januara 2018. godine, a tekst Nacrta zakona je postavljen na internet stranici Ministarstva pravde, sa pozivom svim zainteresovanim subjektima da dostave svoje primedbe, predloge i sugestije elektronskim ili pismenim putem. Primedbe na tekst Nacrta zakona i predlozi za njegovu izmenu ili dopunu dostavljeni su putem pošte ili elektronskim putem.

Učesnici u javnoj raspravi su bili predstavnici relevantnih predstavnika organizacija civilnog društva, privrednih društava (pre svega iz oblasti bankarstva i osiguranja), stručne javnosti, kao i druge zainteresovane strane.

Komentare, odnosno primedbe, predloge i sugestije su dostavili sledeći učesnici javne rasprave:

1. Poverenik;

2. Društvo za informatiku Srbije;

3. Sveti Arhijerejski Sinod Srpske Pravoslavne Crkve;

4. advokat Predrag Milovanović, advokat Nikola Kasagić, advokat Milica Andrić i advokat Milica Tonić;

5. Društvo sudija Srbije;

6. Komitet pravnika za ljudska prava (YUKOM);

7. Nacionalna alijansa za lokalni ekonomski razvoj (NALED);

8. VIP mobile d.o.o;

9. Komora zaštitnika podataka o ličnosti;

10. Udruženje ISACA Beograd (ISACA Belgrade Chapter);

11. Udruženje banaka Srbije;

12. Savet stranih investitora;

13. Partneri za demokratske promene Srbija (Partneri Srbija);

14. NIS a.d. Novi Sad;

15. SBB d.o.o. Beograd;

16. Američka privredna komora u Srbiji;

17. SHARE fondacija Novi Sad (zajednički komentari fondacije i 14 nevladinih organizacija);

18. Ringier Aksel Springer d.o.o. Beograd;

19. dr Đorđe Krivokapić, docent Fakulteta organizacionih nauka Univerziteta u Beogradu;

20. dr Milan Paroški, dipl. el. inž;

21. Interactive Advertising Bureau Serbia (IAB);

22. Privredna komora Srbije (dostavljeni su objedinjeni komentari članica Udruženja za bankarstvo, osiguranje i druge finansijske usluge, Odbora za bankarstvo i Odbora za osiguranje);

23. prof. dr Milan Marković;

24. Telekom Srbija preduzeće za telekomunikacije a.d. Beograd;

25. Telenor d.o.o. Beograd;

26. Advokatska komora Srbije.

Dana 12. januara 2018. godine, u Beogradu, zajedno sa Privrednom komorom Srbije, organizovan je okrugli sto o tekstu Nacrta zakona, u prostorijama Privredne komore, od 12 do 16 časova.

Učesnici Okruglog stola su bili predstavnici članica Udruženja za bankarstvo, osiguranje i druge finansijske usluge, Odbora za bankarstvo i Odbora za osiguranje Privredne komore Srbije.

Na pomenutom okruglom stolu, iznet je veći broj komentara, predloga i sugestija i postavljen veći broj različitih pitanja. Ovo se odnosilo na značenje osnovnih pojmova u tekstu Nacrta zakona, predlaganje dopune određenih odredbi koje se odnose na postupak pred Poverenikom, predlaganje dopune određenim posebnim slučajevima obrade (video-nadzora, direktnog marketinga) predlagala se zamena nekih izraza koje se koriste u Nacrtu zakona („pošteno” sa „pravično” ili „savesno”, „predoči” sa „dokaže”, da se precizira termin „multinacionalna kompanija” i slično), da se izmene odredbe koje se odnose na pravo na pritužbu, a takođe se predlagala izmena kaznenih odredbi.

Takođe, primedba je bila i da veliki broj odredbi Nacrta zakona ima opšti karakter i da su nejasne, zbog čega je neophodno preciziranje.

Posle završetka javne rasprave, članovi Radne grupe za pripremu teksta Zakona o zaštiti podataka o ličnosti su detaljno ramotrili sve pristigle primedbe, predloge i sugestije i postavljena pitanja.

Prihvaćene primedbe su ugrađene u tekst Nacrta zakona, koji je objavljen na internet stranici Ministarstva pravde. Takođe je objavljena i tabela neprihvaćenih primedbi, sa kratkim obrazloženjem zbog čega nisu prihvaćene.

Tekst Nacrta zakona, zajedno sa korekcijama posle javne rasprave dostavljen je Evropskoj komisiji i EUROJUST-u, radi pribavljanja ekspertize, odnosno davanja mišljenja.

U odnosu primedbe i predloge vezane za pravno sredstvo u postupku pred organom javne vlasti odlučeno je da se to pitanje dodatno razmotri u saradnji sa Ministarstvom državne uprave i lokalne samouprave u daljem postupku pripreme zakona. Isto se odnosi na odredbe vezane na inspekcijski nadzor.

Primedbe iznete u javnoj raspravi koje su bile pravno-tehničkog karaktera su dodatno razmotrene kroz pravno-tehničku redakciju teksta Nacrta zakona.

Kada su u pitanju primedbe koje su se odnosile na brisanje većeg broja odredbi iz teksta Nacrta zakona, a polazeći od činjenice da je jedan od osnovnih ciljeva zakona obezbeđenje usklađenosti za pravnim tekovinama Evropske unije, ocenjeno je da je opstanak tih odredbi nužan i da ih ne treba brisati, kako zbog razloga da bi se obezbedila usklađenost sa evropskim propisima, tako i zbog činjenice da je reč o odredbama koje ni na koji način ne predstavljaju smetnju za pravni sistem Republike Srbije i da bi ih bilo korisno preuzeti. Takođe, njihov opstanak je nužan i zbog celovitosti samog zakona i vezanosti za ostale odredbe Nacrta zakona.

U odnosu na primedbe kojima se predlagala dopuna teksta Nacrta zakona, posebno u delu koji se odnosi na posebne radnje obrade, ovo pitanje je ponovo detaljno razmatreno i zauzet je stav da ovakve dopune ne treba prihvatiti. Reč je, pre svega, o dopunama koje su se odnosile da veći broj članova o video nadzoru. Razlozi za neprihvatanje su sledeći:

– Zakon o zaštiti podataka o ličnosti je sistemski zakon u ovoj oblasti i treba da sadrži odredbe opšteg karaktera, a da posebni zakoni, koji takođe u nekom delu sadrže odredbe o obradi i zaštiti podataka, treba da sadrže te posebne odredbe kojima će se urediti pojedine radnje obrade, naravno polazeći od odredbi opšteg karaktera;

– veći broj odredbi o video nadzoru čija je dopuna predlagana nesporno treba da budu materija koja se uređuje zakonom, ali ne Zakonom o zaštiti podataka o ličnosti, jer ako bi se ovakve odredbe preuzele u ovaj zakon, svakako bi bilo neophodno obaviti i dodatne konsultacije sa drugim organima koji se bave posebnim specifičnim pitanjima (npr. video nadzor službenih prostorija,  nadzor stambenih zgrada i slično). Takođe, u tom slučaju trebalo bi i dopuniti i upotpuniti tu materiju u odnosu na odredbe koje bi bile predložene (npr. evidencija o nadzoru bi morala biti detaljno uređena Nacrtom zakona, način njenog vođenja, pristupa i slično);

– ako bi se unele posebne odredbe o video nadzoru, sigurno je da bi se otvorilo pitanje dopune posebnih slučajeva obrade i u mnogim drugim oblastima, kao što su radni odnosi, zdravstvo, evidencije vezane za prosvetu i slično, što svakako ne može da se uredi samo Zakonom o zaštiti podataka o ličnosti;

– relevantni dokumenti Evropske unije ne sadrže ovakve odredbe i svakako je da preuzimanje takvih dopuna prevazilazi obim Zakona o zaštiti podataka o ličnosti i njegove osnovne ciljeve;

– imajući u vidu potrebu obezbeđenja usklađenosti Zakona o zaštiti podataka o ličnosti sa drugim zakonima koji u nekim svojim delovima uređuju obradu podataka o ličnosti, u prelaznim odredbama Nacrta zakona dodat je član koji predviđa obavezu usklađivanja tih drugim zakonom sa ovim zakonom;

– u delu odredbi Nacrta zakona o posebnim slučajevima obrade, u odnosu na tekstove relevantnih evropskih propisa, predviđen je samo jedan izuzetak. Inače, u toku javne rasprave dostavljen je veći broj predloga koji se sastojao u tome da se ovaj izuzetak briše. Reč je o obradi podataka u humanitarne svrhe. Međutim, imajući u vidu da je obrada u navedene svrhe predviđena i u važećem zakonu, kao i upravo ta važeća zakonska odredba ima veliku primenu u praksi, stav je bio da se ovakvo rešenje ipak zadrži i u tekstu Nacrta zakona.

Kao što je rečeno, tekst Nacrta zakona je upućen na mišljenje Evropskoj komisiji, kao i EUROJUST-u. Dostavljene primedbe i sugestije Evropske komisije i EUROJUST-a su ugrađene u tekst Nacrta zakona.

10. Koje će se mere tokom primene Zakona preduzeti da bi se ostvarilo ono

što se donošenjem Zakona namerava?

Preduslov za efikasnu primenu novih zakonskih odredaba, kao i realizaciju svih ciljeva zakona je kontinuirano, sistemsko i dosledno sprovođenje analize njegove primene.

Pre svega, završnom odredbom Predloga zakona predviđeno je da će zakon početi da se primenjuje po isteku devet meseci od dana njegovog stupanja na snagu (osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije”). Procena je da je potrebno vremenski razdvojiti stupanje na snagu i početak primene zakona, iz kog razloga je odredbom člana 102. Predloga zakona primena zakona odložena.

U periodu do početka primene zakona, neophodno je preduzeti sledeće aktivnosti:

1) doneti predviđene podzakonske akte;

2) upoznati javnost sa zakonskim odredbama i podići svest o značaju zaštite podataka o ličnosti;

3) sprovesti odgovarajuće obuke lica koji obavljaju poslove u vezi sa zaštitom podataka o ličnosti za primenu zakona;

4) sprovesti organizacione promene kako bi se obezbedila specijalizacija lica, odnosno unutrašnjih organizacionih jedinica za zaštitu podataka o ličnosti;

5) odrediti konkretna lica koja će obavljati poslove za zaštitu podataka o ličnosti;

6) obezbediti tehničke i druge uslove za primenu odredaba o bezbednosti podataka i procenu rizika;

7) napraviti jasan plan aktivnosti koje treba preduzeti u organu vlasti ili privrednom subjektu (naravno onih koji obrađuju veliki broj podataka o ličnosti) da bi se zakon primenio.

1) Donošenje podzakonskih akata

Predlog zakona predviđa donošenje određenih podzakonskih akata. Međutim, treba posebno napomenuti da donošenje svih akata koji se predviđaju ne sadrži samo obavezu, nego za pojedine od njih i mogućnost. Dakle, daje se izričito zakonsko ovlašćenje za donošenje pojedinih akata, ali (za neke od njih) njihovo donošenje nije i obaveza. Na taj način daje se mogućnost da se pojedina pitanja dodatno urede ako se takva potreba ukaže u praksi.

Reč je o sledećim podzakonskim aktima:

1) Akt kojim Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u elektronskom obliku i uređuje postupak za njihovo utvrđivanje (član 21. stav 9. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

2) Akt kojim Poverenik može da izradi standardne ugovorne klauzule koje se odnose na obaveze u vezi sa predmetom i trajanjem obrade, prirodom i svrhama obrade i vrsti podataka o ličnosti, odnosno klauzule kojim se u odnosu između obrađivača i drugog obrađivača propisuju dovoljne garancije za primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera (član 45. stav 11. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ovog akta, nije određen ni rok za njegovo donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona;

3) Akt kojim Poverenik propisuje obrazac obaveštenja o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica i bliže uređuje način obaveštavanja (član 52. stav 9. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

4) Lista vrsti radnji obrade u vezi sa kojima se mora izvršiti procena uticaja predviđenih radnji obrade, koju je Poverenik dužan da sačini i javno objavi, odnosno lista vrsti radnji obrade za koje procena nije potrebna, koju Poverenik može da sačini i javno objavi (član 54. stav 5. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

5) Lista vrsti radnji obrade u vezi sa kojima se mora tražiti prethodno mišljenje Poverenika, koju Poverenik može da sastavi i javno objavi (član 55. stav 10. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ove liste, nije određen ni rok za njeno donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona;

6) Lista kodeksa ponašanja ili njegovih izmena koje Poverenik registruje i javno objavljuje (član 59. stav 5. Predloga zakona). Lista će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

7) Registar sertifikacionih tela i izdatih sertifikata, sa odgovarajućim žigovima i oznakama, koji vodi i javno objavljuje Poverenik (član 61. stav 9. Predloga zakona). Registar će se uspostaviti u roku od devet meseci od dana stupanja zakona na snagu;

8) Akt kojim Poverenik propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela (član 62. st. 3. i 7. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

9) Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija za koje se smatra da postoji primereni nivo zaštite podataka o ličnosti, odnosno za koje se utvrdi da takav nivo zaštite ne postoji, koja uključuje i druge države ili međunarodne organizacije sa kojom Republika Srbija ima zaključen međunarodni sporazum o prenosu podataka o ličnosti (član 64. st. 3. i 7. Predloga zakona). Listu utvrđuje Vlada, u roku od devet meseci od dana stupanja zakona na snagu;

10) Akt kojim Poverenik može bliže urediti način razmene informacija između rukovalaca, obrađivača i Poverenika u postupku odobravanja obavezujućih poslovnih pravila (član 67. stav 3. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ovog akta, nije određen ni rok za njegovo donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona.

11) Akt kojim Poverenik propisuje obrazac evidencije o povredama zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju, kao i način njenog vođenja propisuje Poverenik (član 78. stav 4. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;

12) Akt kojim Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva (član 78. stav 5. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu .

Nosioci navedenih normativnih aktivnosti su: Poverenik i Vlada.

2) Upoznavanje javnosti sa zakonskim odredbama i podizanje svesti o značaju zaštite podataka o ličnosti

Već u toku javne rasprave otvorila su se konkretna pitanja na buduću primenu zakonskih odredbi, zbog čega je do početka primene zakona neophodno (naravno u meri u kojoj je to moguće) upoznati javnost za konkretnim zakonskim rešenjima. Činjenica je da postoji velika zainteresovanost javnosti za zaštiti podataka o ličnosti, kao i da će u daljem postupku donošenja zakona ta zainteresovanost postati i veća.

Dobra praksa organizovanja specijalizovanih okruglih stolova, radionica i drugih stručnih skupova svakako predstavlja pravi način da se zakonska rešenja što bolje objasne i da se eventualna sporna pitanja rasprave. Sa druge strane podizanje opšte svesti o značaju podataka o ličnosti predstavlja dugoročni cilj koji je potrebno ostvariti, pa zbog toga donošenje zakona predstavlja početan korak u njegovom ostvarenju. Efikasna primena zakona će svakako doprineti tome da svako lice pre svega zna koja su njegova prava koja mu pripadaju, kako ih može zaštititi i koji su sve konkretni postupci koje može da pokrene.

3) Sprovođenje odgovarajuće obuke lica koji obavljaju poslove u vezi sa zaštitom podataka o ličnosti za primenu zakona

Do početka primene zakona neophodno je sprovesti odgovarajuće obuke svih lica koja u okviru svog radnog mesta postupaju sa podacima o ličnosti. Ove obuke će se sprovesti preko institucija koje su nadležne za obuku (Pravosudna akademija, Nacionalna akademija za javnu upravu, Privredna komora i slično).

Pored toga, neophodno je da se obuke o zaštiti podataka o ličnosti sprovode kontinuirano, kako bi se ukazalo na primere dobre prakse i kako bi lica koja učestvuju u takvim obukama imala mogućnost da svoje znanje iz ove oblasti dodatno unapređuju.

4) Sprovođenje organizacionih promena kako bi se obezbedila specijalizacija lica, odnosno unutrašnjih organizacionih jedinica za zaštitu podataka o ličnosti

U organima javne vlasti ili privrednim subjektima koji obrađuju veliki broj podataka o ličnosti trebalo bi sprovesti odgovarajuće organizacione promene unutrašnjeg uređenja i sistematizacije radnih mesta, na taj način što će se odrediti posebna unutrašnja organizaciona jedinica koja će obavljati ove poslove, odnosno na taj način što će se odrediti posebno radno mesto za zaštitu podataka o ličnosti. Pored toga, moguće je da se opisima poslova postojećeg radnog mesta dodaju i ovi poslovi.

5) Određivanje konkretnog lica koje će obavljati poslove za zaštitu podataka o ličnosti

Blagovremeno određivanje konkretnog lica za obavljanje poslova za zaštitu podataka o ličnosti je veoma značajno, imajući da su poslovi tog lica, njegove obaveze, kao i njegov poseban status, precizirani samim zakonskim odredbama, kao i da to lice neposredno odgovara za ove poslove neposredno rukovodiocu organa (ili privrednog subjekta), da je poslodavac dužan da obezbedi sve neophodne uslove za njegov rad, kao i da to lice predstavlja kontakt tačku sa Poverenikom. Neodređivanje lica za zaštitu podataka o ličnosti je propisano kao prekršaj.

6) Obezbeđenje tehničkih i drugih uslova za primenu odredaba o bezbednosti podataka i procenu rizika

Obezbeđenje neophodnih tehničkih i drugih uslova za obradu podataka o ličnosti predstavlja neophodno za obradu takvih podataka. Kada su u pitanju mere koje se odnose na informacione sisteme, većina tih mera već postoji u organima vlasti. Zakonska novina je potreba da se izvrši procena rizika na zaštitu podataka o ličnost, ali takva novina će svakako koristiti rukovaocima podataka, s obzirom da je njen cilj otklanjanje mogućnosti da dođe do povrede bezbednosti podataka, a samim tim i otkloni šteta koja tom prilikom može nastati.

7) Postojanje plana aktivnosti koje treba preduzeti u organu vlasti ili privrednom subjektu (naravno onih koji obrađuju veliki broj podataka o ličnosti) da bi se zakon primenio.

Ovakav plan podrazumeva da se unapred izvrši priprema za primenu zakona, tako što će se analizirati kakvo je trenutno stanje u pogledu zaštite podataka o ličnosti i odrediti koje tehničke i druge mere dodatno treba uvesti, na koji način i gde će se sprovesti obuka zaposlenih, kako će se i kada izvršiti organizacione promene i koje lice će se konkretno odrediti za zaštitu podataka o ličnosti.

Konkretne mere kojima se obezbeđuje primena Zakona

1) Predlogom zakona se obezbeđuje efikasan nadzorni mehanizan za nadzor nad njegovim primenom i sprovođenjem. Naime, Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti predstavlja nezavisno i samostalno nadzorno telo koje ima inspekcijska ovlašćenja. Pored inspekcijskih ovlašćenja, Poverenik ima i korektivna ovlašćanja, kao i druga ovlašćenja koja su neophodna za efikasniju i ujednačeniju primenu zakona. Treba napomenuti da Poverenik ima ovlašćenje i da pokrene prekršajne i druge odgovarajuće postupke;

2) Licima na koje se podaci odnose pruža se mogućnost pokretanja čitavog niza različitih postupaka za zaštitu njihovih prava, u slučaju povrede zakona. Pre svega, to lice može podneti prigovor rukovaocu koji obrađuje njegove podatke. Pored toga, lice može podneti i pritužbu Povereniku, a ukoliko nije zadovoljan njegovim postupanjem po pritužbi, može da pokrene i upravni spor. Nezavisno od toga, može se ostvariti i sudska zaštita podnošenjem tužbe nadležnom sudu. Takođe, zakonom su propisane posebne odredbe koje se odnose na naknadu štete;

3) Predlogom zakona se predviđa čitav niz prekršajnih odredaba ako su povređene odredbe zakona. Značajno je napomenuti da su propisana i posebna merila za izricanje novčanih kazni, kao i mogućnost da se izrekne novčana kazna u fiksnom iznosu od strane lica koje ovlasti Poverenik;

4) Članom 100. Predloga zakona predviđen je rok za usklađivanje odredaba drugih zakona, koji sadrže posebne odredbe o obradi podataka o ličnosti, s obzirom da je takva usklađenost jedan od osnovnih ciljeva zakona. Pored toga, u postupku pripreme zakona koji sadrže odredbe o obradi podataka, a imajući u vidu da je takvo ovlašćenje izričito predviđeno ovim zakonom, biće potrebno pribaviti (pored mišljenja nadležnog ministarstva) i mišljenje Poverenika. Isto tako, Predlog zakona sadrži veći broj odredaba koji određuju šta se može propisati posebnim zakonom. Na ovaj način obezbediće se usklađenost pravnog sistema Republike Srbije;

5) Podnošenjem godišnjih izveštaja o stanju u oblasti zaštite podataka o ličnosti Narodnoj skupštini od strane Poverenika pruža se mogućnost Povereniku da ukaže koji su problemi u primeni zakona, kao i da se navedu konkretne mere koje je neophodno preduzeti u cilju poboljšanja stanja. Ovaj izveštaj dostavlja se i Vladi, radi preduzimanja odgovarajućih mera iz njene nadležnosti, kao i javnosti.