Povodom modela zakona o zaštiti podataka o ličnosti
Vladimir Vodinelić
Pravni fakultet univerziteta Union
Beograd
1. Važeći Zakon o zaštiti podataka o ličnosti (“Službeni list SR Jugoslavije” br. 24/1998) donet je znatno nakon što je većina zemalja već uveliko primenjivala zakone o zaštiti podataka o ličnosti i umnogome izmenila početne zakone. Već šezdesetih godina XX veka SAD su počele sa zakonodavnim zahvatima u ovoj oblasti, a u sledećoj deceniji zakone su imale mnoge evropske zemlje. Donet u vreme kada su drugde na sceni bile već treća i četvrta generacija zakona o zaštiti podataka o ličnosti, domaći zakon o zaštiti podataka o ličnosti sam, ipak, nije nadišao karakteristike zakona druge generacije.
Na nastojanje nekih sektora državne vlasti šezdesetih godina da, primenom automatizovane obrade podataka, stvore centralne nacionalne banke podataka o licima, pravni poredak je odgovorio u vidu prvih zakona o zaštiti podataka, koji su izrazito nastojali da obradu podataka podvrgnu državnoj kontroli, baveći se i te kako tehničkom dimenzijom stvari. Nova tehnologija obrade podataka, naglašeno doživljavana kao nehumana, kada je drastičnim pojeftinjenjem uređaja i troškova obrade prestala da bude privilegija samo najmoćnijih sektora vlasti i privrede i počela široko i decentralizovano da se primenjuje u svakodnevici u raznim segmentima društva, bila je propraćena u drugoj generaciji propisa opremanjem građanina na koga se obrađivani podaci odnose nizom ovlašćenja u vezi sa obradom podataka o njemu, kako bi se zaštitila njegova privatnost. Pravo na lični podatak, što bi bio skupni izraz za niz takvih pojedinačnih ovlašćenja, priznatih licu o kome se obrađuju podaci povodom obrade podataka o njemu, koncipirano je, tako, kao odbrambeno i zaštitno pravo, ne samo spram države već i spram drugih obrađivača podataka. Takvo shvatanje izmeniće se i izmenjeno izraziti u trećoj generaciji propisa. Predvođena idejom da je građanin neko ko ima potrebu da aktivno učestvuje u informacionim tokovima ličnih podataka o njemu, neko ko je zainteresovan da bude centar prikupljanja podataka i da može da zna za ceo njihov tok i da ga nadzire, kao i da interveniše u njemu – ta generacija propisa građaninu je stavila na raspolaganje sva ovlašćenja koja takvu participaciju omogućuju. Ova koncepcija aktivnog subjekta informacionog procesa na snazi je i danas, kada važi najnovija generacija propisa koja nije nastala iz neke nove, drugačije predstave o položaju lica u procesu obrade podataka o njemu, nego iz spoznaje da nije dovoljan samo jedan jedini nacionalni zakon o zaštiti podataka o ličnosti, nego da su potrebna dodatna posebna uređenja za obrade podataka na pojedinim područjima kakva su, recimo, oblast telekomunikacija, službi bezbednosti, ili direktnog reklamiranja.
2. Odredba o zaštiti podataka o ličnosti u Ustavu Srbije od 1990. (“Službeni glasnik RS”, br. 1/1990) pisana je tako kao da je jedina potreba čoveka o kome se obrađuju podaci – tajnost podataka o njemu. Član 20. mu jedino to garantuje: “Zajemčena je zaštita tajnosti podataka o ličnosti” (st. 1). Kao što je to već bilo u raznim evropskim ustavima ili u praksi ustavnih sudova, tako je i Ustav SR Jugoslavije iz 1992. (“Službeni list SR Jugoslavije”, br 1/1992) proširio garantiju (član 20) na način na koji je susrećemo i u aktuelno važećoj Povelji o ljudskim i manjinskim pravima i građanskim slobodama od 2003. godine. (“Službeni list Srbije i Crne Gore”, br. 6/2003). Član 24. Povelje određuje: “Zaštita podataka o ličnosti je zajemčena. Njihovo skupljanje, držanje i korišćenje uređuje se zakonom. Zabranjena je i kažnjiva upotreba podataka o ličnosti van svrhe za koju su prikupljeni. Svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom” (st. 3).
Pravu na lični podatak obezbeđen je tako dovoljno širok ustavni osnov. Radi se, međutim, o tome da i zakonodavac, izvršavajući ustavotvorčev nalog iz garantije zaštite podataka o ličnosti, obezbedi pravu na lični podatak zakonsku razradu koja odgovara evropskom standardu. Doduše, Evropska konvencija za zaštitu ljudskih prava i osnovnih sloboda ne sadrži ovo pravo, jer ono, jednostavno, predstavlja jedno pravo koje je mlađe od te konvencije. Ali, Savet Evrope je putem 108. Konvencije za zaštitu pojedinaca prilikom automatske obrade podataka o ličnosti 1981. godine postigao međunarodnopravno obavezivanje svih država članica potpisnica da putem nacionalnog zakonodavstva ostvare načela, sadržana u članovima 5. do 11, i time ostvare jedno zajedničko tvrdo jezgro, evropski minimum. Direktiva Evropskog parlamenta i Saveta Evrope 95/46 o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i o slobodnom protoku podataka, oslonjena pre svega na Konvenciju iz 1981, i na nemačke i francuske zakone o zaštiti ličnih podataka, stvorila je obavezu za države potpisnice da je pretoče u nacionalno pravo koje je u skladu sa nacionalnim ustavom. Usledili su, potom, i drugi akti, među njima Direktiva 97/66 o obradi podataka o ličnosti i zaštiti privatnosti na području telekomunikacija, Direktiva 2002/58 o obradi podataka o ličnosti i zaštiti privatnosti u elektronskoj komunikaciji i Uredba 2001/45 za obradu podataka koju vrše organi Evropske zajednice i Unije. Povelja osnovnih prava Evropske unije (Nica 2000) u članu 8, na putu ka Evropskom ustavu (član 50), sadrži takođe pravo na zaštitu podataka o ličnosti.
Važeći Zakon o zaštiti podataka o ličnosti iz 1998. ne obezbeđuje ovo, ustavom zajamčeno pravo na lične podatke na nivou evropskog standarda. On jeste, doduše, donet na osnovu ratifikovane Konvencije za zaštitu pojedinaca pri automatskoj obradi podataka o ličnosti, od 28. januara 1981. godine. Ali, tek je direktiva Evropskog parlamenta i Saveta o zaštiti pojedinaca u vezi sa obradom podataka o ličnosti i o slobodnom protoku podataka, od 24. oktobra 1995. godine (Official Journal L 281, 23/11/1995 P. 0031 - 0050), uspostavila evropski standard u domenu zaštite podataka o ličnosti. Nekolike vrednosti spadaju među osnovne koje ona afirmiše: najveća moguća transparentnost obrade podataka – svođenje obrade podataka na neophodnu meru – što efikasniji nadzor nad obradom podataka. Direktiva je tako nametnula i zemljama sa mnogo razvijenijim propisima nego što je važeći domaći Zakon da uvedu znatne izmene i dopune, koje su usledile najkasnije u prvim godinama XXI veka. Mada je ta Direktiva doneta (1995) pre našeg Zakona (1998), on nije realizovao niz njenih zahteva. Da bi se oni sproveli, izmene i dopune važećeg Zakona morale bi biti tolike, da izrada posve novog zakona ostaje kao jedina smislena mogućnost. Pošto nije bilo moguće da se sačuva konstrukcija važećeg Zakona, i da se posao obavi tek njegovim mestimičnim poboljšanjima, opredelili smo se za izradu Modela posve novog zakona.
3. Činjenica je da Zakon o zaštiti podataka o ličnosti iz 1998. godine nije primenjen nijednom: niko nikada nije zatražio zaštitu koju taj zakon pruža. To nikako ne svedoči o sjajnom stanju poštovanja pravila toga zakona u našim životima, već, naprotiv, svedoči kako o nedostatku svesti građana o ugroženosti uprkos povredama njihovih prava ličnosti pri obradi podataka, tako i o nepoznavanju priznatih im prava. Autori Modela zakona računaju da bi prevazilaženju takvog stanja mogao, uz ostale, doprineti Poverenik za zaštitu podataka o ličnosti, ta nezavisna institucija, izdanak četvrte vlasti u državi koja bi se našla građanima u vezi sa ostvarivanjem njihovih prava u pogledu obrade podataka o njima, između ostalog i delujući na podizanje svesti o ovom ljudskom pravu. Reč je o istom onom Povereniku kome je po Zakonu o slobodnom pristupu informacijama od javnog značaja od 2004. godine (“Službeni glasnik RS”, br. /2004) zadatak da građanima omogući zaštitu u ostvarivanju njihovih prava u pogledu informacija od javnog značaja u posedu vlasti, a kome Model posvećuje svoje članove 40. do 52, a poverava mu se i nadzor nad primenom i poštovanjem zakona (čl. 62).
Institucija Poverenika i njegova uloga ne predstavlja jedinu razliku i novinu ovog Modela u poređenju sa važećim Zakonom o zaštiti podataka o ličnosti. Model zakona je nekoliko puta obimniji i po broju članova veći od važećeg Zakona (66 njegovih članova nasuprot 27 članova važećeg Zakona), što nije posledica samo nastojanja da se ova materija preciznije i jasnije uredi nego do sada, jer je ona takva da se samo na taj način može postići potrebna sigurnost, već je posledica i drugačijih polaznih načela. Evo nekolikih novina.
Zakon bi važio u svakoj situaciji obrade podataka o licu koje je određeno ili makar odredivo (ma i posredno, bez znatnog utroška vremena i sredstava – čl. 3. st. 1), dok anonimizovani i pseudonimizovani podaci, koji ne dopuštaju prepoznatljivost lica na koje se odnose, ostaju van njegovog domena primene. Zakon se primenjuje na svaku obradu podataka o ličnosti, bez obzira na formu podatka, nosač podatka, način obrade, elektronski ili drugačiji, cilj obrade i ostalo (čl. 3. st. 2). Obuhvaćene su sve faze obrade podataka, počev od prikupljanja, preko obrade u užem smislu, do prenošenja drugima (čl. 3. st. 3). Obrada je dopuštena samo uz pristanak lica (starog bar 16 godina) na koje se podaci odnose, a bez pristanka, jedino po zakonskom ovlašćenju u određenim situacijama (čl. 7), i to samo ako je svrha obrade jasno određena, ako nije izmenjena, ako je dopuštena ili nije već ostvarena, ako se lice na koje se podaci odnose ne može odrediti nakon što se postigne svrha obrade, ako je obrada savesna i poštena, ako je način obrade dopušten, ako je podatak koji se obrađuje potreban i podesan za ostvarenje svrhe obrade, ako je količina i vrsta podataka koji se obrađuju u srazmeri sa svrhom obrade, ako je obrađivani podatak istinit, potpun i nezastareo (čl. 5). Državni organ sme da obrađuje podatke o ličnosti isključivo ako je obrada neophodna za neku od svrha navedenih u zakonu (čl. 8). Podaci o licu mogu se prikupljati od trećeg a ne od njega samog jedino u nekoliko taksativno navedenih slučajeva (čl. 9). Lice na koje se podaci odnose ima pravo da zna ko ih obrađuje, koje podatke, odakle oni potiču, za koje se svrhe upotrebljavaju, kome se prenose, kao i da se isprave neistiniti, upotpune nepotpuni a zastareli ažuriraju, te da se brišu ako je obrada nedopuštena, što podrazumeva precizno određenje odgovarajućih obaveza obrađivača, a čemu je posvećena glava III, čl. 15. do 30, sa neuporedivo razrađenijim odredbama od važećih. Smatra li da je uskraćen u kojem pravu, obratiće se Povereniku, čije postupanje je detaljno određeno (članovima 34. do 39). Potpuna novina je i regulisanje tzv. medijske privilegije: zbog javnog zadatka mas-medija, prirode njihove delatnosti i potrebe da se sloboda izražavanja ne ograniči više nego što je dovoljno za ostvarenje opravdanih interesa lica na koje se obrađivani podaci odnose, obrada podataka za žurnalističke svrhe podvrgnuta je posebnom režimu, koji ukida i ograničava neka prava lica na koje se podaci odnose kada se radi o obradi pre objavljivanja (čl. 31. do 33). Kako bi građani imali mogućnost da se orijentišu u svetu obrade podataka o njima, bilo je neophodno omogućiti, efikasnije nego što važeći Zakon to čini, da mogući tokovi podataka o ličnosti budu što transparentniji, čemu, između ostaloga, služe podrobne odredbe o evidenciji i registraciji obrađivanja i obrađivača podataka (čl. 55. do 60). I kaznenim odredbama (čl. 63) nastojalo se, u većoj meri nego što je to po važećem Zakonu da se doprinese poštovanju propisanog pravnog režima.
4. Ako Model postane zakon, budući da je on spravljen kao osnovni zakon za obradu podataka o ličnosti, ostaće i dalje prostor za posebne, dodatne propise, koji su potrebni radi uređenja pojedinih sektora obrade podataka o ličnosti, na način propisa četvrte generacije. Kao legi speciali, ovi propisi će imati, na svom području primene, primat u odnosu na opšti zakon.
5. Prva ovdašnja demokratska vlast posle promene iz 2000. godine uvrstila je Zakon o zaštiti podataka o ličnosti među prioritetne u procesu harmonizacije sa evropskim pravom. Ipak, ni za te vlade, a ni za sadašnje ništa u državnoj strukturi nije urađeno u tom pravcu. Htenje je Centra za unapređivanje pravnih studija (CUPS) da u tom poslu, koji državnoj vlasti neizbežno predstoji, bude od pomoći izradom ovog Modela zakona, kao što je nevladin sektor, uključujući i CUPS, učestvovao na razne načine i u pripremi znatnog broja drugih propisa u Srbiji posle 2000. godine. Rad na Modelu započet je uz podršku Fonda za otvoreno društvo (Beograd). Interes da pred nadležno ministarstvo izađemo sa najkvalitetnijim tekstom CUPS-ovog Modela zakona, bitno su podržale naše koleginice i kolege iz Media Integration and Communication Center Univerziteta (MICC) u Firenci – ekspertizom i evaluacijom Modela zakona načinjenim u okviru zajedničkog projekta Support to the reform of Serbian Media Legislation towards EU standards and strengthening of legal and technical skills of media professionals, koji se realizuje uz podršku Evropske komisije.
Tekst Modela potpisuju kao autori Vladimir V. Vodinelić, Aleksandar Resanović i Saša Gajin.