Predrag Groza: Šta su podaci o ličnosti, i kako smeju da se obrađuju

Piše: Predrag Groza, partner u advokatskoj kancelariji Tomić Sinđelić Groza (TSG), član Savetodavnog odbora Inicijative za jačanje bezbednosti podataka

Zaštita podataka o ličnosti je ustavom zajemčeno pravo, te svako fizičko lice ima pravo da bude obavešteno o obradi podataka koji se na njega odnose, kao i pravo na delotvornu zaštitu u slučaju zloupotrebe tih podataka.

Šta se smatra podatkom o ličnosti? Zakon o zaštiti podataka o ličnosti ne daje taksativnu listu, već postavlja standard po kojem je podatak o ličnosti zapravo svaki podatak na osnovu kojeg je identitet fizičkog lica određen ili odrediv. Dakle, svaka informacija na osnovu koje se može utvrditi, posredno ili neposredno, identitet fizičkog lica predstavlja podatak o ličnosti, pa tako pored „tradicionalnih“ podataka (poput imena i prezimena, fotografije) podatkom o ličnosti može se smatrati i IP adresa, lokacijski identifikatori, itd.

Sistem zaštite podataka o ličnosti počiva na jasnim načelima koja svaki rukovalac (organ vlasti, javno preduzeće, kompanija…) mora da poštuje i primenjuje („odgovornost za postupanje“). Odgovornost za postupanje je univerzalno pravilo nezavisno od toga da li je reč o obradi podataka zaposlenih kod rukovaoca, podataka njegovih kupaca ili pak potencijalnih klijenata.

Obrada podataka mora biti zakonita (postoji odgovarajući pravni osnov za obradu), transparentna (lice mora biti obavešteno o obradi), srazmernakonkretnoj svrsi obrade, ograničena samo na bitne i neophodne podatke (minimizacija podataka), u svakom trenutku tačna i ažurna, i na kraju sigurna i poverljiva (zaštićena adekvatnim merama).

U pogledu zakonitosti obrade, pristanak lica je nekako ’’najpoznatiji’’ široj javnosti, možda zbog sveprisutnog direktnog marketinga koji često izlazi iz dozvoljenih okvira. Tako imamo situacije da se komercijalne transakcije (npr. apliciranje za potrošačke kredite) uslovljavaju pristajanjem na direktan marketing, koji zapravo nema puno veze sa primarnom i željenom transakcijom. Upravo zbog takvih zloupotreba, uslovi obrade podataka u svrhe direktnog marketinga su propisani posebnim zakonima - Zakonom o elektronskoj trgovini i Zakonom o oglašavanju – prema kojima je za obradu podataka u svrhe marketinga neophodan pristanak onoga ko prima oglasnu poruku. Dakle, „odsustvo pristanka“ je uvek prepreka za direktan marketing.

Međutim, pristanak je samo jedan od ukupno šest osnova za zakonitu obradu (a dovoljan je samo jedan!). S tim u vezi, osnov može biti i poštovanje pravnih obaveza rukovaoca (npr. poslodavac je dužan da vodi zakonom propisane evidencije u oblasti rada), zatim izvršavanje ugovora zaključenog sa licem čiji se podaci obrađuju (npr. banka obrađuje podatke klijenta u svrhe realizacije ugovora o kreditu), a pod određenim uslovima osnov obrade može biti i legitiman interes rukovaoca ili trećeg lica.

U slučaju da sumnjamo na neovlašćenu obradu ili zloupotrebu podataka o ličnosti, imamo određeni spektar prava prema konkretnom rukovaocu, i to: pravo na informacije o obradi, pravo na pristup podacima, pravo na ispravku ili dopunu podataka, pravo na zaborav (brisanje podataka), pravo na ograničenje obrade, itd. U slučaju da rukovalac ne postupi po opravdanom zahtevu u zakonskom roku, možemo se preko pritužbe obratiti Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Poverenik tada sprovodi postupak inspekcijskog nadzora radi utvrđivanja eventualne povrede, i može naložiti rukovaocu da postupi po zahtevu lica koje je uputilo pritužbu. Ostvarivanje ovih prava, po pravilu, ne kreira posebne troškove za lice koje se obraća rukovaocu odnosno Povereniku.

Na kraju, u slučaju da je zloupotreba podataka prouzrokovala materijalnu ili nematerijalnu štetu licu čiji su podaci zloupotrebljeni, to lice ima pravo na naknadu štete koju ostvaruje u redovnom postupku pred nadležnim sudom.

Izvor: edicija "Digitalizacija i sajber sigurnost"