Aktuelnosti i perspektiva prava zaštite podataka o ličnosti

Razgovaramo sa Nevenom Ružić, pravnicom sa dugogodišnjim iskustvom u oblasti prava zaštite podataka o ličnosti, čiji je rad prepoznat ne samo u zemlji, nego i šire, od strane Saveta Evrope koji ju je uvrstio među eksperte u ovoj oblasti. Kako redakcija Paragrafa već dugo godina sa pažnjom prati aktuelnosti u oblasti zaštite podataka o ličnosti zaista nam je čast da o ovoj temi razgovaramo sa nekim ko je svoju karijeru posvetio ovoj pravnoj oblasti.

Zaštita podataka o ličnosti je dobila više pažnje stručne i šire javnosti u poslednjih nekoliko godina, a kako je to bilo kada ste Vi počinjali da se bavite ovom oblašću i šta Vas je inspirisalo da se njome bavite?

U pravu ste, zaštita podataka o ličnosti jeste dobila više pažnje unazad desetak godina i više je razloga za to. Jedan je, a nadam se ne ni prvi, ni glavni, kazne koje su za nezakonitu, prekomernu ili nemarnu obradu podataka propisane Opštom uredbom o zaštiti podataka Evropske Unije. I te odredbe su se prenele na brojne zakone širom sveta, uz, nažalost izuzetak Republike Srbije. Drugi razlog je što smo kao društvo postali svesni posledica upotrebe, pa i zloupotrebe, podataka po pojedinca ili uopšte društva. Dodatno, poslednjih decenija postalo je jasno da su podaci inače, a posebno podaci o ličnosti, instrumentalni za ostvarivanje različitih interesa. Često kažem da ne možemo da zamislimo neku uslugu, poslovni proces, interakciju a da se ne dotiče podataka o ličnosti.

Moj zvanični početak bavljenja zaštitom podataka u okviru posla vezujem za usvajanje Zakona o zaštiti podataka o ličnosti davne 2008. godine i početak rada u Službi poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti sa tadašnjim poverenikom gospodinom Rodoljubom Šabićem.

Prethodno sam na studijama u Engleskoj pisala master rad o odnosu prava na pristup informacijama i zaštitu podataka. Međutim, sâm početak je bio ranije. Još tokom osnovnih studija sam bila zainteresovana za pravo informacija - sloboda izražavanja, informisanja, pa je zaštita privatnosti i podataka o ličnosti „došla” prirodno. Lično mislim da su me oduvek interesovali podaci.

Koautorka ste izuzetno zanimljivog podkasta „Šoljica privatnosti sa Jelenom i Nevenom”, hvala Vam za taj vid širenja svesti o pravu zaštite podataka, odakle ideja za podkast i kako birate teme?

Hvala Vam na komentaru i u Jelenino ime. Nama obema znači kada čujemo da je nekom koristan, posebno u periodu kada posustanemo i napravimo pauzu kao sad. To je naš hobi koji pored vremena i ideja zahteva sredstva koja po pravilu same izdvajamo.

Ideja je došla nakon nekoliko naših šoljica razgovora o zaštiti podataka, od kojih su najbolje one kada i same istražujemo ili se čak ne slažemo u vezi sa nečim. Ovo drugo je retko, ali obema nam se dopada takva mentalna gimnastika.

Posle nekog vremena pomislile smo da bi to moglo da bude interesantno i za nekog drugog. I onda smo počele da osmišljavamo kako bismo to mogle, naravno uz pomoć Vojina koji nas je naučio da je potrebno praviti tzv. košuljice. Srećom, obe smo prihvatile izazov i bile spremne da se spremamo. Za sada imamo preko 50 epizoda, što se činilo neverovatnim na početku. Pored kratkih epizoda Šoljice sada smo snimale i nekoliko dužih razgovora sa sagovornicima o presudama Evropskog suda za ljudska prava. I ono što sam čula jeste da nekom više prija naša kratka forma koja je nalik lekcijama, a nekom duža koja je podkast u onom užem smislu. Kraća forma je zahtevnija jer onda nema praznog hoda, sve treba da bude jasno, tečno i upakovano u neku koherentnu strukturu.

Jednom me je jedan poznanik pitao zašto delim/o znanje za džabe na taj način. Ipak, kakvo je to znanje koje čuvamo samo za sebe? Po meni, nepostojeće. A pored toga, što više nas bude znalo o zaštiti to će biti više svesti o potrebi. Nama je bilo, i još uvek je, važno da nama bude zabavno, nekom korisno.

Teme biramo na različite načine. U početku nam je bilo važno da prikažemo nešto što smo smatrale osnovnim. Naravno, oblast je široka tako da mogu da zamislim još stotine epizoda posvećenih osnovnim temama. Poneke teme smo birale jer smo u praksi videle da postoji nerazumevanje - npr. video nadzor. Želimo da obuhvatimo i aktuelne teme, ali i abecedu zaštite. Ko zna, možda u neko dogledno vreme epizode upakujemo u jedan kurs.

Kako ocenjujete stanje zaštite podataka o ličnosti u Srbiji danas, posle više 17 godina od početka primene prethodnog zakona?

Meni se čini da je ona, iako postoji pomak od pre 17 godina, i dalje nešto što treba da primenimo. Vidim značajnu razliku između rukovalaca, po pravilu kompanija, koje posluju sa državama EU, ili su im osnivači iz neke od tih država i onih koji posluju samo na domaćem tržištu. Opšta uredba o zaštiti podataka (GDPR) je svakako doprinela unapređivanje stanja zaštite podataka. Pored Zakona o zaštiti podataka o ličnosti, Republika Srbija je usvojila Strategiju zaštite podataka o ličnosti i Akcioni plan, ali se čini da rezultati izostaju.

Tokom ovogodišnje Nedelje privatnosti koju su organizovali Partneri Srbija mogli smo da čujemo brojne oblasti gde je neophodno da se unapredi zaštiti podataka, bilo zbog nedostatka adekvatnih propisa, bilo što primena tih propisa nije adekvatna ili bilo zato što se ne sprovode kontrolni mehanizmi. U domenu propisa i usklađivanja propisa sa zaštitom podataka o ličnosti, ja sam svojevremeno zajedno sa koleginicom Anom Toskić Cvetinović, kao i Rosanom Lemut Strle, nekadašnjom zamenicom poverenice Slovenije, analizirala propise u oblasti bezbednosti i radnih odnosa. Zaključak je bio nedvosmislen - brojni su zakoni i podzakonski akti koje je neophodno revidirati.

Najavljuju se izmene Zakona o zaštiti podataka o ličnosti, a koje bi uključivale i propisivanje upravnih mera po uzoru na Opštu uredbu. Međutim, kazne nisu jedini način da se sprovodi neko pravilo. Potrebno je da mehanizmi kontrole postoje. Vladavina prava i institucije koje delaju prema svojim nadležnostima su ključni u primeni svakog zakona, pa i Zakona o zaštiti podataka o ličnosti.

Često dobijamo pitanja pravnih lica da li je pravilnik o zaštiti podataka o ličnosti obavezan kao i da li je obavezno imenovati lice za zaštitu podataka? Postoji li univerzalni recept za privredne subjekte kako uskladiti poslovanje u pogledu zaštite podataka i da li treba krenuti od kontrolne liste?

Što se tiče lica za zaštitu podataka, možda mogu da preporučim prvu epizodu Šoljice privatnosti na tu temu . Ukratko, nije obavezno za sve. Obaveza određivanja lica za zaštitu podataka o ličnosti zavisi od prirode rukovaoca (i obrađivača) - da li je u pitanju organ vlasti ili ne, prirode podataka (da li se obrađuju posebne vrste podataka), načina obrade (da li je u pitanju redovan i sistemski nadzor lica). Zakon o zaštiti podataka o ličnosti se odnosi na široku lepezu rukovalaca i obrađivača, obuhvata frizerske salone, start-up-a Ministarstva unutrašnjih poslova.

Pravilnik o obradi podataka nije obavezan - kao takav nije propisan Zakonom o zaštiti podataka, ali je očekivan. I razlog je logičan i jednostavan - obrada podataka treba da bude planirana, ona nije neka ad hoc aktivnost. Primera radi, ukoliko u radnom okruženju koristimo službene telefone, računare i drugu opremu, onda je pretpostavka da ćemo urediti kako dodeljivanje ovih osnovnih sredstava za rad, tako i njihovu upotrebu. Samim tim, očekuje se da ćemo pravilnikom dokumentovati uslove upotrebe. Takođe, ukoliko razmišljamo o uvođenju video nadzora, biće nam potreban akt - pravilnik, odluka i sl. Pored ovih primera, pravilnici mogu da se odnose na kontinuirano unapređivanje znanja zaposlenih i program obuke. Dakle, pravilnik je neophodan i po pravili nije u pitanju samo jedan. Postojanje pravilnika i njihova sadržina zavisi od prirode rukovaoca, obima i načina obrade podataka o ličnosti.

I mislim da sam tako odgovorila i na retoričko pitanje u univerzalnom pristupu - nema ga, ali postoje neki početni koraci koji mogu biti univerzalni. Moj predlog je da počnemo sa tzv. mapiranjem podataka. Dakle, da sagledamo koje (a svakako obrađujemo podatke) podatke obrađujemo, zašto i po kom pravnom osnovu. Da razmotrimo da li su nam neophodni. Za slučaj da dođemo do odgovora da ne obrađujemo podatke, moj predlog je da razmotrimo ponovo - ako ništa, obrađujemo podatke o zaposlenima, makar bio jedan zaposleni. Kada mapiramo podatke, potrebno bi bilo ustanoviti svrhu (razlog obrade) i pravni osnov obrade, zatim obim obrade, rokove obrade i mere bezbednosti. Dodatnu pažnju treba posvetiti obradama onih podataka o ličnosti koje se odnose na maloletna lica, ranjive grupe, ili se smatraju posebnim vrstama podataka o ličnosti (npr. zdravstveno stanje, biometrijski podaci) ili se odnose na kažnjiva dela (podaci o ne/osuđivanosti), kao i ukoliko se podaci iznose van teritorije Republike Srbije.

Takođe, privrednici su često zainteresovani za uvođenje video nadzora u poslovnim prostorijama, koji bi bio Vaš savet, na šta da obrate pažnju?

Video nadzor je naravno tema za sebe i važna za zaštitu podataka o ličnosti. Postao je lako dostupan u ceni i mogućnosti nabavke. Međutim, treba imati u vidu da se pored Zakona o zaštiti podataka o ličnosti primenjuju i drugi propisi, primera radi Zakon o privatnom obezbeđenju, ali i drugi koji uređuju obavezu uspostavljanja sistem video nadzora.

Ne ulazeći u detalje pravnog osnova ove obrade podataka i načina dokazivanja, uslova pod kojim se može koristiti i, naravno, ograničenje, želela bih da istaknem jednu često zanemarenu važnu stavku - prava lica. Kad god obrađujemo podatke, mi smo u obavezi da poštujemo prava lica na koje se ti podaci odnose. U slučaju video nadzora, znači da ćemo biti u obavezi da postupamo po zahtevu lica za pristup snimku, zahtevu za kopiju snimka, pa i brisanje. Rukovalac je dužan da postupi po zahtevu u zakonskom roku. Nepoštovanje ovih prava ima za posledicu upravni postupak pred Poverenikom, ili sudski postupak. Dakle, uvođenjem video nadzora mi smo nametnuli dodatne obaveze.

Kako vidite uvođenje sistema eBolovanje u kontekstu zaštite podataka o zdravstvenom stanju?

Činjenica je da sve se više usluga digitizuje - namerno ne koristim reč digitalizacija, jer iako u našem jeziku ne postoji razlika između ova dva koncepta, oni su u praksi različiti. EBolovanje može da pomogne da se uvede red, posebno ukoliko imamo u vidu odnose zaposleni i poslodavac, ali je ujedno i rizik ukoliko ovakvi registri nemaju adekvatnu zaštitu. Pitanje je rukovaoca ovih podataka, da li je određen organ koji je nadležan za zdravstveno osiguranje. Dalje, svedočimo povredama podataka, kolokvijalno rečeno curenju podataka i izostanku odgovornosti i adekvatnog postupka. Ja sam zagovornica da je prethodno potrebno uspostavljanje adekvatnog regulatornog okvira, mehanizama primene i pouzdane kontrole, pa onda pojedinačnih usluga.

Kada govorimo o podacima o zdravstvenom stanju, kako treba ceniti upotrebu veštačke inteligencije kada lica sama postavljaju svoje podatke radi dobijanja saveta, da li se rukovaoci tu mogu ograditi i da li se može ostvariti pravo na brisanje podataka?

Koliko je raznolika zaštita podataka o ličnosti govore i ova pitanja. Ona zadiru u sve sfere našeg života i tiču se kako pojedinačnih privrednih subjekata, tako i zakonopisaca, nadzornog organa, ali i nas pojedinaca. Svest pojedinaca je perpetualni zadatak.

Moj prvi savet: nikako podatke koji nas identifikuju ne deliti sa nekim nepoznatim. Ako već smatramo da je to neophodno, onda makar da uklonimo identifikatore - ime, datum rođenje, identifikacione brojeve, adresu, kontakt i sl. Brisanje podataka se u praksi pokazalo kao zahtevno, a često i kao nemoguće. Čak i da obrišemo podatke, ukoliko govorimo o VI, oni su uneti u algoritam.

U okviru ovog pitanja primećujem jedno pitanje koje zaslužuje posebnu pažnju - „da li se rukovaoci tu mogu ograditi?”. Važno mi je da spomenem da bez obzira koje alatke koristimo, rukovalac ne može da se oslobodi odgovornosti. Dakle, rukovalac je odgovoran za obradu podataka u celosti nezavisno od toga da li je za neke radnje obrade angažovao drugo lice, obrađivača.

Imate iskustva i u radu sa studentima, prepoznajete li među njima buduće borce za zaštitu ljudskih prava i mislite li da je potrebno uvesti poseban predmet, pravo zaštite podataka o ličnosti?

Apsolutno! Mislim da su studenti u poslednje vreme pokazali da su zainteresovani da insistiraju na poštovanju pravila, na vladavini prava, podeli vlasti i odgovornosti. Kad god imam prilike da sa njima sarađujem, čujem sjajna, suštinska pitanja. Ljudska prava su odavno izašla iz domena aktivista, udruženja građana, međunarodnih organizacija ili specijalizovanih državnih organa. Ona su važna za poslovanje i to je mnogima jasno, ako ne kroz sistem vrednosti, onda kroz sistem penala. Svako malo možemo da pročitamo o milionskim kaznama zbog nezakonite ili neadekvatne obrade podataka o ličnosti.

Tokom mojih studija nismo imali prilike da učimo o zaštiti podataka o ličnosti. Učenje o pravu na privatnost bilo je privilegija nas koji smo izabrali predmet ljudska prava tek na IV godini studija. I to je šteta. Postoje programi koje nekoliko fakulteta organizuje, ali to nije namenjeno studentima osnovnih studija. Na mnogim univerzitetima u Evropi, i ne samo na tom kontinentu, zaštita podataka je predmet osnovnih studija i to ne samo na pravnom.

O važnosti kontinuiranog praćenja propisa?

Ja imam običaj da kažem da zaštitu podataka o ličnosti ne zna onaj koji zna Zakon o zaštiti podataka o ličnosti ili GDPR napamet. To je samo jedan propis, a brojni drugi propisi daju odgovore. Samo napomena, u EU nekoliko je propisa pored GDPR koji su od značaja za zaštitu podataka o ličnosti.

Dakle, praćenje propisa u oblasti zaštite podataka podrazumeva ne samo praćenje propisa koji se neposredno odnose na zaštitu podataka o ličnosti, već i brojnih drugih. Koje ćemo propise pratiti, zavisi i od posla kojim se bavimo. Spominjala sam radne odnose, svaki propis u toj oblasti tiče se obrade podataka u većem ili manjem obimu. Spominjali smo video nadzor kao tehničku meru bezbednosti, tako je neophodno pratiti i propise u toj oblasti, kao što je Zakon o privatnom obezbeđenju.

Pored propisa koje inače primenjujemo, zaštita podataka je oblast koja se kontinuirano menja, s namerom ne kažem unapređuje. Ovih meseci slušamo o digitalnom omnibusu, čije bi usvajanje imalo dalekosežne posledice na zaštitu podataka o ličnosti. Takođe, Zakon o veštačkoj inteligenciji EU je obavezno štivo, a posebno ukoliko znamo da se sprema zakon o veštačkoj inteligenciji u Srbiji. Naravno, nije svaka upotreba veštačke inteligencije od uticaja na podatke o ličnosti, ali u domenu u kojem jeste, a taj domen je veliki, neophodno je da znamo koje dodatne obaveze imamo.

Koja je vaša poruka pravnicima u privredi?

Zaštita podataka je jedna dinamična oblast prava, i ne samo prava. Često kažem da pravnici nisu uvek najbolji u zaštiti podataka o ličnosti. Lako je povezati se sa ovom oblašću jer se tiče i nas samih, kao i nama dragim ljudima. Otuda je ona vrednosno dobra. I ako nekog zainteresujem za ovu oblast posle ove rečenice, ovaj intervju je više nego uspešan.

Ponekad čujem da pravnici, ali i drugi, imaju odbojnost prema zaštiti podataka ponajviše zbog sadržine i pokojih rogobatnih odredbi Zakona o zaštiti podataka o ličnosti. Ne mogu da ne kažem da ne delim stav da je Zakon pisan nesvojstveno našoj nomotehnici, ali opet treba imati u vidu da smo mi, nažalost, preveli dva propisa EU i umrežili u jedan, a da smo propustili da uredimo kako treba. Ali, nije ovo jedini propis koji smo u obavezi da primenjujemo, a za koji smatramo da ga treba izmeniti.

Zaštita podataka je logična, što mislim da je nama pravnicima svojstveno, ili bi tako trebalo da bude. Samim tim je, bez obzira na odredbe, lako usvojiva. Pored toga, to je oblast koja će uvek biti aktuelna, sa manje ili više uspeha. Dakle, nije ekskluzivna i ima mesta i za one koji bi „tek sad” počeli da se njome bave. Da se vratim na prvo pitanje o mojim počecima bavljenja ovom oblašću, ja sam imala prilike da se ovom oblašću bavim pre usvajanja zakona u Srbiji, imala sam prilike da učestvujem u pisanju međunarodnih dokumenata, uključujući i Konvenciju Saveta Evrope o zaštiti podataka. Nadam se da ćemo uskoro imati više materijala na srpskom i tako pomoći svima koji imaju rezerve jer ne žele da budu prepušteni sopstvenom istraživanju.

U privredi, zaštita podataka će rezultovati i poznavanjem drugih procesa. Nezamislivo je da radimo u privredi, bavimo se zaštitom podataka o ličnosti, a o procesu rada, biznis modelu, idejama ne znamo ništa. U ovom potonjem, ona izlazi iz okvira predmeta na pravnom fakultetu i daje širinu.