Kršenje Zakona o zaštiti podataka u Srbiji “najjeftinije”

Foto: pixels.com

Opšta uredba o zaštiti podataka (General Data Protection Regulation – GDPR) U Evropskoj uniji je na snazi od maja prošle godine, i ona je lične podatke stavila pod zaštitu bez presedana. Primarna meta nove regulative jeste protok podataka na internetu koji je, zahvaljujući zastarelim propisima, decenijama bio praktično izvan domašaja zakona, kažu iz SHARE fondacije. Zbog toga je došlo do brzog razvoja korisnih tehnologija, ali i prave industrije podataka u kojoj gigantske korporacije ostvaruju velike profite. Zbog nepoštovanja ove regulative, mnogi od njih već su kažnjeni.

Do sada su, prema izveštaju evropskog poverenika, kažnjeni Google sa 50.000.000 dolara zbog nepravilnog oglašavanja, a poljska brokerska kuća sa 200.000 dolara, jer je propustila da obavesti građane da obrađuje njihove podatke“, kaže Danilo Krivokapić, direktor SHARE fondacije.

Pored toga, austrijska sportska kladionica platila je 5280 evra za nezakoniti video-nadzor, a jedan nemački operater društvenih mreža platio je 20.000 evra zbog toga što nije osigurao podatke svojih korisnika, pokazuju podaci Evropske komisije.

Prema podacima Evropske komisije, nakon stupanja GDPR-a na snagu pojedinci se sve češće obraćaju organima za zaštitu podataka, postavljaju pitanja o ovoj temi, i podnose žalbe zbog nepoštovanja njihovih prava. GDPR omogućava i organizacijama da podnose žalbe u ime pojedinaca. U prvoj godini bilo je 144.376 upita i žalbi svih organa za zaštitu podataka, a ljudi su se najviše žalili na telemarketing, promo-mejlove i video-nadzor. Ukupan broj obaveštenja o kršenju zaštite podataka bio je 89.271 za prvu godinu primene GDPR-a.

Zaštita podataka u Srbiji

U Srbiji je novi Zakon o ličnim podacima usvojen početkom novembra 2018. godine, a počeo je sa primenom 21. avgusta ove godine.

Danilo Krivokapić, SHARE fondacija; Foto: lična arhiva

Osnovni problem novog Zakona je što predstavlja adaptiranu verziju GDPR-a. U skladu sa tim, nedostaci novog Zakona o zaštiti podataka o ličnosti su brojni, a pre svega se odnose na nejasne odredbe i prepisane mehanizme koji ne postoje u domaćem pravnom sistemu, što dovodi u pitanje njegovu primenjivost. Ipak, značajno je napomenuti da ovakav Zakon, makar i samo normativno, predstavlja najviši standard zaštite podataka o ličnosti. Pre ili kasnije, manjkavosti i praznine rešiće se naknadnim intervencijama, dok će značajne pravne inovacije ostati ugrađene u naš sistem zaštite ljudskih prava. Po svoj prilici će se i tumačenje domaćeg Zakona ugledati na primenu evropskog propisa, čije su namere izražene u preambuli, počev od potvrde da je zaštita ličnih podataka jedno od temeljnih ljudskih prava“, objašnjava Danilo Krivokapić, direktor SHARE fondacije.

Najmasovniji prodor u privatnost građana Srbije još od začetka ovog prava, koje je bilo deo ustava nezavisne države 1888. godine, jeste slučaj Agencije za privatizaciju 2014. godine, kažu iz SHARE fondacije.

Novembra 2014. društvenim mrežama je počeo da kruži link ka fajlu teškom više od 19 gigabajta, sačinjenom od preko 4000 finansijskih dokumenata i beskrajnih spiskova ljudi, s njihovim ličnim podacima. Tekstualni deo fajla težio je nešto preko jednog gigabajta, što znači da je spisak bio poprilično dugačak. Sadržao je podatke o ravno 5.190.396 građana Srbije. Služba poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdila je da se sporni dokument nalazio na javno dostupnoj stranici sajta Agencije više od 10 meseci“, stoji u izveštaju SHARE fondacije o ovom slučaju.

Posle višegodišnjih sudskih procesa, glavni akter ove afere više ne postoji, pa je teško da će slučaj dobiti epilog kakav bi trebalo da dobije:

Odgovornost nije locirana, nadležni pravosudni organi nisu preduzeli sve mere, na koje su obavezani zakonima, a za posledice čije su razmere nesagledive, nažalost, ni šira javnost nije pokazala interesovanje. U kratkoj ali već kontroverznoj istoriji zaštite podataka o ličnosti u Srbiji, slučaj Agencije za privatizaciju mogao bi poslužiti kao konačan argument u zagovaranju napuštanja JMBG, kao podatka o ličnosti čija je zaštita potpuno obesmišljena“, stoji u testu SHARE fondacije.

Za razliku od kazni u evropskoj regulativi, kazne za nepoštovanje Zakona o zaštiti podataka o ličnosti u Srbiji znatno su niže, pa je najveća novčana kazna koja u našoj zemlji može da se plati 2.000.000 dinara, a najniža 50.000.

Ukoliko je rukovalac izvršio više prekršaja istovremeno, maksimalna kazna bi prema trenutnim prekršajnim propisima mogla iznositi do 4.000.000 dinara. Pored kazni koje prekršajni sud izriče rukovaocu u prekršajnom postupku, Zakon predviđa i da Poverenik može da kazni rukovaoca putem prekršajnog naloga, u iznosu od 100.000 dinara“, kažu iz SHARE fondacije.

Poverenik može da kazni pravno lice ukoliko ono nastavi sa obradom u cilju direktnog oglašavanja, a osoba na koju se podaci odnose podnela je prigovor na takvu obradu. Zatim, ukoliko ne vodi propisane evidencije o obradi, i na kraju – ako ne objavi kontakt podatke osobe zadužene za zaštitu podataka o ličnosti i ne dostavi ih povereniku.

Koga štiti Zakon o zaštiti podataka?

„Fizičko lice čiji se podaci o ličnosti obrađuju i koje se uz pomoć takvih podataka može posredno ili neposredno identifikovati, jeste lice na koje se podaci odnose. Kao što i sam naziv govori, podaci o ličnosti su uvek samo oni podaci koji se odnose na fizičko lice, prema tome, podaci o ličnosti nisu podaci koji se odnose na entitete poput pravnih lica, životinja ili slično. Međutim, ukoliko podatak o nekom pravnom licu može da dovede do indentifikacije nekog fizičkog lica, takav podatak se smatra podatkom o ličnosti“, stoji u Vodiču kroz Zakon o zaštiti podataka o ličnosti i GDPR SHARE fondacije: „Izuzetak od primene određenih odredbi Zakona važi tokom konkretne aktivnosti koja za svrhu ima novinarsko istraživanje i objavljivanje informacija u medijima, odnosno naučno, umetničko ili književno izražavanje. Nakon što je konkretna aktivnost gotova, sve podatke koji više nisu potrebni trebalo bi obrisati ili anonimizovati“.

Šta su kolačići i kako funkcionišu?

Saznanje da je svaki prosečan građanin koji koristi internet konstantno praćen – nije novo. Ovo se dešava zbog malih tekstualnih fajlova koji ulaze u naš računar ili telefon pri svakoj pretrazi koju uradimo, i zove se cookie, odnosno kolačić, objašnjava Danilo Krivokapić.
Kukiji omogućavaju da kompanije koje prate kretanje korisnika znaju kada je neko došao na njihov sajt čuvaju te podatke, dakle, omogućavaju praćenje naših aktivnosti na internetu, i jedan od razloga su zašto nam se pretraga koju smo obavili na određenom veb-sajtu već koliko sutra pojavi na Fejsbuku“, kaže Krivokapić i dodaje da je po stupanju GDPR-a na snagu došlo do smanjenja kolačića trećih strana na sajtovima medija u državama članicama EU za 22 posto u odnosu na period pre GDPR-a, uključujući smanjenje broja marketinških i advertajzing kolačića za 14 posto.