Zastava Bosne i Hercegovine

Zlatko Petrović - intervju o izazovima novog Zakona o zaštiti podataka o ličnosti
Email Print


Izazovi novog Zakona o zaštiti podataka o ličnosti

Zlatko Petrović za PRAVO U PRIVREDI

Paragraf intervju - JUL 2019



Upravo tako. Primena novog Zakona o zaštiti podataka o ličnosti odložena je za devet meseci od njegovog objavljivanja.

Iako ovaj vacatio legis može delovati kao dug period, očigledno je da najveći broj rukovalaca podataka u Republici Srbiji neće biti spreman za početak primene ovog propisa, kako u javnom, tako i u privatnom sektoru. Razlog za ovu nespremnost jeste izostanak osmišljenog, strateškog pristupa u oblasti zaštite podataka o ličnosti u našoj državi, koji je hroničan i koji se ne može nadomestiti samo donošenjem novog zakona.

Kao ilustraciju, dovoljno je samo uporediti naše iskustvo sa evropskim.

Evropska Opšta uredba o zaštiti podataka o ličnosti (GDPR) pripremana je pune četiri godine, a tokom rasprave je pred Evropskim parlamentom ozbiljno razmatrano preko 4.000 (četirihiljade) amandmana. Kada je najzad usaglašena i objavljena 2016. godine, ista uredba je imala vacatio legis u trajanju od pune dve godine. Države članice EU su, u tom trenutku, imale nacionalne zakone o zaštiti podataka o ličnosti usklađene sa tada važećom evropskom direktivom u ovoj oblasti (Direktiva EU 95/46), pa se i pored toga ovaj rok pokazao kao kratak.

Srpski Zakon o zaštiti podataka o ličnosti donet je u kratkom roku, uz zanemarivanje svih primedbi relevantnih faktora, kao što su Poverenik, Društvo sudija Srbije i druge organizacije civilnog društva. Preko 120 amandmana koji su uloženi na ovaj zakon odbačeno je pred skupštinskim odborom za manje od jednog minuta (!), pa se o njima nije ni raspravljalo pred skupštinskim sazivom. Kao rezultat dobili smo zakon za čiju se primenu treba pripremiti u roku od devet meseci, kako bi se uskladili sa GDPR, a da pri tome ni naš stari Zakon o zaštiti podataka o ličnosti nije bio usklađen sa Direktivom 95/46.

Ovo znači da je Republika Srbija za devet meseci, sa neadekvatnim pravnim okvirom, trebala da učini ono za šta državama članicama EU nisu bile dovoljne dve godine.

Dalje, novi zakon propisuje da će se u narednih godinu i po dana svi ostali zakoni morati uskladiti sa njegovim odredbama (član 100). Međutim, nije poznato da je bilo ko sačinio analizu o kojim zakonima se radi i koliko takvih zakona ima.

Najzad, naša država nikada nije sprovela u delo Strategiju zaštite podataka o ličnosti, koja je objavljena još 2010. godine, jer nikada nije donela akcioni plan za njeno sprovođenje. Danas je ova strategija zastarela, a o donošenju nove se ni ne razmišlja.


Razlog za donošenje novog Zakona o zaštiti podataka o ličnosti jesu obaveze Republike Srbije da uskladi svoje zakonodavstvo koje se odnosi na zaštitu ličnih podataka sa komunitarnim zakonodavstvom i ostalim evropskim i međunarodnim propisima o privatnosti, iz člana 81. Zakona o potvrđivanju Sporazuma o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge strane.

Međutim, evropske propise u ovoj oblasti, pored Opšte uredbe o zaštiti podataka (GDPR) čini i Direktiva 680/16, koja se odnosi na zaštitu pojedinaca u vezi s obradom ličnih podataka od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili progona krivičnih dela ili izvršavanja kaznenih sankcija, tzv. “Policijska direktiva ”.

Oba ova dokumenta (GDPR i Policijska direktiva) sastoje se od preambule i normativnog dela. Preambule ovih dokumenata su opširnije od normativnih delova, i u njima su sadržani kontekst i razlozi donošenja, te pojašnjenja pojedinih termina, sa primerima. Čitanje normativnog dela ovih pravnih propisa, bez prethodnog čitanja preambule, ostavlja brojne nedoumice, kako u tumačenju, tako i u primeni ovih propisa.

Novi srpski Zakon o zaštiti podataka o ličnosti, suštinski, predstavlja kompilaciju prevoda GDPR i Policijske direktive, pri čemu su u potpunosti zanemarene preambule ova dva dokumenta. Isto znači da ova dva evropska propisa nisu sagledana u svojoj celovitosti, već parcijalno.

Iz ovog razloga, zakon sadrži veliki broj izuzetaka koji se odnose na tzv. “nadležne organe koji obrađuju podatke u posebne svrhe” (a koji organi nisu eksplicitno nabrojani u zakonu), veliki broj upućujućih normi, te terminologiju koja nije u potpunosti razjašnjena, niti ima uporište u drugim propisima iz pravnog poretka Republike Srbije, što zakon čini izuzetno zahtevnim za tumačenje i primenu.

Takođe, GDPR ne predstavlja deo pravnog poretka Republike Srbije, pa ni njegova preambula nije obavezujuća prilikom tumačenja srpskog Zakona o zaštiti podataka o ličnosti. Tako, u preambuli GDPR imate pojašnjenje termina “legitimni interes ”, sa tipičnim primerima ovog instituta, dok se u našem zakonu isti termin koristi kao da je to nešto što je samo po sebi jasno. Čitajući preambulu GDPR možete doći do zaključka da npr. broj vašeg zdravstvenog osiguranja (LBO) predstavlja podatak koji se odnosi na zdravlje, te kao takav predstavlja posebnu kategoriju podataka o ličnosti. Ukoliko čitate srpski zakon nećete doći do istog zaključka. Ovakvih primera je, nažalost, mnogo.

Konačnu ocenu o tome koliko je isti zakon usklađen sa evropskim propisima daće relevantni evropski organi, ali je sigurno da je isti zakon, sa stanovišta pravnog poretka naše države, veoma problematičan.


To je odlično pitanje, o kojem naš zakonodavac očigledno nije razmišljao. Usklađenost propisa ne podrazumeva samo prepisivanje evropskih odredbi, već i stvaranje efektivnog mehanizma izvršenja kazni, koje izreknu organi države članice EU. S obzirom da teritorijalna klauzula, analogna onoj iz GDPR, postoji i u našem Zakonu o zaštiti podataka o ličnosti (član 3), potrebno je omogućiti i reciprocitet u priznavanju i izvršenju kazni.

Za razliku od drugih država članica EU, pravni sistemi Danske i Estonije ne dozvoljavaju administrativne novčane kazne, pa u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu, a u Estoniji nadzorni organ izriče novčanu kaznu u okviru prekršajnog postupka.

Međutim, za razliku od priznanja strane sudske odluke, još uvek je nepoznato da li će, kada i na koji način priznavanje i izvršenje administrativnih novčanih kazni po GDPR biti uređeno ratifikovanim međunarodnim sporazumima ili na drugi način.


Poverenik je već doneo i u “Službenom glasniku RS” broj 40/2019 objavio četiri podzakonska akta, i to:

Pravilnik o obrascu i načinu vođenja evidencije lica za zaštitu podataka o ličnosti (“Službeni glasnik RS” broj 40/2019)

Pravilnik o obrascu i načinu vođenja interne evidencije o povredama Zakona o zaštiti podataka o ličnosti i merama koje se u vršenju inspekcijskog nadzora preduzimaju (“Službeni glasnik RS” broj 40/2019)

Pravilnik o obrascu obaveštenja o povredi podataka o ličnosti i načinu obaveštavanja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti o povredi podataka o ličnosti (“Službeni glasnik RS” broj 40/2019)

Pravilnik o obrascu pritužbe (“Službeni glasnik RS” broj 40/2019)

Svi ovi podzakonski akti stupili su na snagu osmog dana od dana objavljivanja u “Službenom glasniku Republike Srbije”, a primenjuju se od dana primene Zakona o zaštiti podataka o ličnosti, 21. avgusta 2019. godine.

Takođe, u “Službenom glasniku RS”, broj 45/2019 Poverenik je objavio Odluku o listi vrsta radnji obrade podataka o ličnosti za koje se mora izvršiti procena uticaja na zaštitu podataka o ličnosti i tražiti mišljenje Poverenika.

Poverenik nastavlja sa radom na donošenju drugih podzakonskih akata, u skladu sa zakonom.


“Pravo na zaborav” predstavlja poseban aspekt prava na brisanje podataka, koje do izražaja dolazi u internetskom okruženju, jer lice o čijim podacima se radi ima pravo da od rukovaoca podataka zatraži brisanje elektronskih veza, odnosno linkova na internetu koji vode prema njegovim podacima. Ovo pravo promovisano je kroz značajnu presudu Evropskog suda pravde iz 2014. godine, u slučaju Google vs. Spain.

U skladu sa novim zakonom, ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke obuhvata i preduzimanje svih razumnih mera, uključujući i tehničke mere, u skladu sa dostupnim tehnologijama i mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih rukovaoca koji te podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.

Lice na koje se podaci odnose podnosi zahtev za ostvarivanje ovog prava rukovaocu podataka, a ukoliko rukovalac po istom zahtevu ne postupi, lice može podneti pritužbu Povereniku ili zatražiti sudsku zaštitu u parničnom postupku.


Mislim da jačanje nezavisnosti Poverenika, kao nadzornog organa u oblasti zaštite podataka o ličnosti, nije u korelaciji sa novim zakonskim rešenjima. Šta više, odredbe novog zakona koje upućuju na shodnu primenu zakona kojim se uređuje inspekcijski nadzor, ostavljaju prostor za različita tumačenja i pravnu nesigurnost u ovoj oblasti.

Takođe, pravnoj nesigurnosti doprinose i pojedine odredbe koje su očigledna posledica neprilagođenog prevoda odredbi GDPR sa engleskog na srpski jezik, koje stvaraju konfuziju u primeni ovlašćenja. Tako, npr. zakon propisuje da ovlašćena lica iz stručne službe Poverenika vrše poslove “nadzora” i “inspekcijskog nadzora” (član 78), bez jasne distinkcije između ova dva termina. Ova dilema se da rešiti ako pročitate član 57. GDPR na engleskom jeziku, te zaključiti da je u pitanju neadekvatno preveden termin “monitoring”, koji podrazumeva praćenje primene propisa, a ne nadzor od strane ovlašćenog lica iz stručne službe Poverenika.

Zakon propisuje da Poverenik postupa po pritužbama lica, shodnom primenom odredbi Zakona o inspekcijskom nadzoru koje se odnose na predstavke. Protiv odluke Poverenika u ovom postupku lice ima pravo vođenja upravnog spora. Isto ukazuje da lice ima svojstvo stranke u postupku, te da Poverenik rešava u dvostranačkom postupku, arbitrirajući između podnosioca pritužbe i rukovaoca podataka. Međutim, podnosilac predstavke, prema odredbama Zakona o inspekcijskom nadzoru, nema svojstvo stranke, što dodatno usložnjava shodnu primenu ovih propisa.

Nadalje, isto lice o istoj pravnoj stvari istovremeno može podneti pritužbu Povereniku (član 82) i parničnu tužbu višem sudu (član 84), što dovodi do povrede načela ne bis in idem, na koje su tokom javne rasprave upozoravali i Poverenik i Društvo sudija Srbije. Ovo lice nadalje može pokrenuti upravni spor protiv odluke Poverenika u pritužbenom postupku (član 83), te podneti žalbu apelacionom sudu protiv odluke višeg suda u parničnom postupku. Konačno, isto lice može Vrhovnom kasacionom sudu uložiti vanredni pravni lek protiv odluke Upravnog suda, kao i reviziju protiv odluke apelacionog suda (član 84), u istoj pravnoj stvari, što je pravni nonsens.

Ukoliko bi ovaj sukob nadležnosti i bio rešen upućivanjem građana da svoja prava ostvaruju pred sudom, u parničnom postupku, isto bi značilo bitno snižavanje dostignutog nivoa ostvarenih ljudskih prava, jer se ova prava danas ostvaruju u upravnom postupku, pred Poverenikom kao drugostepenim organom, besplatno.

Trenutno zakonsko rešenje najviše će pogodovati pojedincima koji za cilj neće imati ostvarenje prava na zaštitu podataka o ličnosti, već sopstvene lukrativne interese, koje će ostvarivati kroz naplatu troškova sudskih postupaka, u parnicama čiji je ishod unapred izvestan. O svemu ovome se moglo i moralo raspravljati u zakonodavnom procesu, ali nije.

Koliko su pravosudni organi uopšte spremni da rešavaju u ovoj materiji - ostaje da se vidi.


Svaki moj radni dan započinje aktiviranjem elektronske baze propisa, koja mi je glavno sredstvo za rad. Veoma je bitno da baza bude pregledna, pretraživa i jednostavna za upotrebu.



Email Print