Na današnji dan pre tri godine u Evropskoj uniji počela je primena Opšte uredbe o zaštiti podataka (GDPR). Uredba je ustanovila niz novih obaveza za subjekte koji rukuju podacima, kao i novi set prava građana čiji se podaci obrađuju. Osnovni cilj ovog propisa bio je da prepozna specifičnosti poslovanja u digitalnom okruženju i novih metoda obrade podataka, uz vraćanje kontrole nad podacima o ličnosti pojedincu garantovanjem novih prava i mehanizama njihove zaštite.

GDPR se primenjuje na stanovnike, institucije i poslovne subjekte sa sedištem u Evropskoj uniji, ali i one subjekte izvan EU (pa tako i one iz Srbije) koji delatnost zasnivaju na obradi podataka o ličnosti stanovnika EU. Na primer, turistička agencija iz Srbije koja nudi aranžmane srpskoj dijaspori u Francuskoj, smatra se obveznikom GDPR-a.

Primena GDPR u Evropskoj uniji uzrokovala je značajna prilagođavanja poslovanja tamošnjih obveznika, čemu su doprinele i visoke kazne predviđene u slučaju kršenja utvrđenih obaveza. Do sada su nacionalni sudovi i/ili nezavisni organi za zaštitu podataka izricali više milionskih kazni. Kao primer, imamo Google, kome je izrečena kazna od 50 miliona evra zbog neadekvatnog informisanja korisnika o uslovima obrade njihovih podataka prilikom personalizovanog oglašavanja,[1] dok se kompanija H&M suočila sa kaznom od 35 miliona evra zbog nedozvoljene obrade podataka zaposlenih.[2]

Sa druge strane, Srbija je početak primene GDPR-a dočekala nedovoljno spremna u pogledu sadržine pravnog okvira i njegove primene. Novi Zakon o zaštiti podataka o ličnosti, koji je u međuvremenu usvojen, iako zasnovan na GDPR-u, sadrži odredbe koje nisu usklađene sa drugim propisima, stvarajući tako nedoumice u pogledu načina njegove primene.[3] Pored toga, propušteni su rokovi utvrđeni ZZPL-om da se odredbe sektorskih zakona koje se odnose na obradu podataka o ličnosti usklade sa odredbama ZZPL do kraja 2020. godine. Zbog toga, podaci o ličnosti građana Srbije i dalje su neadekvatno zaštićeni, a samim tim i podložni slučajnim ili namernim povredama.

Kada govorimo o neadekvatnoj zaštiti ličnih podataka građana Srbije, tokom pandemije virusa COVID-19 uočeni su propusti u bezbednosti sistema koji sadrži zdravstvene podatke građana. Primećene su nepravilnosti u okviru Jedinstvenog informacionog sistema prosvete, dok se novi izazovi u zaštiti podataka o ličnosti mogu očekivati i u vezi sa primenom nedavno usvojenog Zakona o socijalnoj karti koji utvrđuje pravila obrade velikog obima podataka, uključujući i one koji naročito zadiru u intimu građana.

Osim toga, u slučajevima nedozvoljene obrade podataka, sudska praksa je i dalje nerazvijena – u poslednjih pet godina sudovi su izrekli samo dve osuđujuće kazne u krivičnim predmetima koji su vođeni, dok krivične prijave koje Poverenik podnosi javnim tužilaštvima ne dobijaju svoje epiloge. Predstavljeni problemi u primeni važećih standarda zaštite podataka nedavno su objavljeni u publikaciji: Privatnost i zaštita podataka o ličnosti u Srbiji - Analiza odabranih sektorskih propisa i njihove primene, a na osnovu sprovedene analize Partnera Srbije.

Imajući u vidu sve navedeno, nužno je da nadležni organi intenziviraju rad na unapređenju pravnog okvira, pruže neophodnu podršku za njegovu primenu, a u slučajevima povrede prava da osiguraju da građani budu na odgovarajući način zaštićeni uz sankcionisanje odgovornih lica i rukovalaca. Ovo je nužan preduslov da bi građani Republike Srbije dobili zaštitu svojih prava poput one koju imaju građani Evropske unije.

***

[1] Google Fined $57M by Data Protection Watchdog Over GDPR Violations | Digital Guardian