Embed Size (px)
Citation preview
Analiza Modela Zakona o zaštiti podataka o ličnosti
30. jun 2014. godine
Kancelarija BDK Advokati želi da analizom Poverenikovog Modela Zakona o zaštiti podataka o
ličnosti pruži doprinos izradi što kvalitetnijeg teksta budućeg Zakona. Dobar zakon bi trebalo da
nađe pravu meru u nastojanju da zadovolji različita prava i interese koji su povezani sa obradom
podataka o ličnosti, uključujući privatnost i dostojanstvo ličnosti, slobodu obavljanja privredne
delatnosti, slobodu izražavanja, i zaštitu bezbednosti.
Naša analiza se fokusira na delove Modela u kojima, verujemo, postoji prostor za poboljšanje
sadašnjeg teksta. To naravno ne znači da nismo svesni bitnih pozitivnih aspekata Modela. Model
evidentno uvažava evropske tokove na planu regulisanja obrade podataka o ličnosti, uključujući i
rešenja iz predložene Uredbe o zaštiti pojedinaca u odnosu na obradu podataka o ličnosti i
slobodnom kretanju takvih podataka (Regulation of the European Parliament and of the Council on
the protection of individuals with regard to the processing of personal data and on the free
movement of such data), od 25. januara 2012. godine (“Uredba”). U odnosu na postojeći Zakon u
Srbiji, smatramo naročito važnim to što Model pojednostavljuje davanje pristanka lica na obradu
podataka i olakšava iznošenje podataka iz zemlje.
U analizi Modela smo se u znatnoj meri oslonili na predloženi tekst Uredbe, uključujući i
amandmane Evropskog parlamenta usvojene 12. marta 2014. godine, kao i na tekst Direktive
95/46/EC, od 24. oktobra 1995. godine, o zaštiti pojedinaca u odnosu na obradu podataka o ličnosti i
slobodnom kretanju takvih podataka (“Direktiva”). Isto tako, uzeli smo u obzir rešenja iz zakona o
zaštiti podataka o ličnosti u Nemačkoj, Francuskoj, Italiji, i Holandiji:
Nemačka – Federal Data Protection Act (BDSG) (2003),
http://www.bfdi.bund.de/EN/DataProtectionActs/Artikel/BDSG_idFv01092009.pdf?__blob=
publicationFile (prevod na engleski, sa vab sajta Saveznog komesara za zaštitu podataka i
slobodu informisanja )
Francuska – Loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés,
http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
Italija – Personal Data Protection Code (Legislative Decree no. 196 of 30 June
2003) (prevod na engleski sa vab sajta italijanskog Poverenika za zaštitu podataka o ličnosti),
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2427932
Holandija – Personal Data Protection Act (1999-2000) (nezvanični prevod na
engleski, sa sajta holandskog Poverenika za zaštitu podataka o ličnosti),
http://www.dutchdpa.nl/Pages/en_wetten_wbp.aspx
2
Navedeni izvori, uzeti zajedno, izražavaju glavnu maticu razmišljanja i prakse na području zaštite
podataka o ličnosti u Evropi. Izabrane države imaju standardne odredbe o uslovima i modalitetima
obrade podataka o ličnosti. U analizu nismo uključili zakonodavstvo Velike Britanije, koje važi za
manje rigorozno (sa tačke gledišta rukovaoca i obrađivača podataka) u odnosu na zakonodavstva
Nemačke, Francuske, Italije, i Holandije. Osim toga, Velika Britanija, prema merodavnim ocenama,
nije implementirala niz odredbi iz Direktive 95/46, pa i u tom pogledu u izvesnoj meri odstupa od
glavnog toka u evropskom pravu o zaštiti podataka o ličnosti.1
Sledi analiza konkretnih odredbi iz Modela, sa obrazloženjem izmena koje sugerišu BDK Advokati.
Značenje izraza
Član 3.
9) Pristanak lica je slobodno data, nedvosmislena izjava lica za tačno određenu obradu
njegovih podataka o ličnosti koja može biti data usmeno, pismeno ili konkludentnom radnjom;
BDK Advokati, komentar: Relevantna odredba (čl. 4, Definicije) u predloženoj Uredbi uključuje u
sam pojam pristanka način davanja pristanka („izjavom ili jasnim činjenjem“), i verovatno ta
odredba predstavlja model kog su autori Modela sledili prilikom definisanja „pristanka“ u članu 3,
tački 9. Međutim, ne čini se logičnim da način izražavanja pristanka (usmeno, pismeno, ili
konkludentnom radnjom) ulazi u pojam pristanka. Pitanja načina je odvojeno pitanje kojim se bavi
operativna odredba Modela (član 25).
Zakoni Nemačke, Francuske i Italije ne sadrže definiciju pristanka. Definicija u holandskom
zakonu ne sadrži opis načina na koji pristanak može da biti dat, već se ograničava na to da pristanak
predstavlja slobodno datu, konkretnu izjavu volje zasnovanu na upoznatosti sa pitanjem o kom je
reč.2
[Značenje izraza
Član 3.] 12) Konkludentna radnja je jedna ili više radnji, odnosno odgovarajuće postupanje, koje je
jasno i nedvosmisleno, na osnovu čega se sa sigurnošću može zaklјučiti da postoji pristanak lica, npr.
popunjavanje formulara, ulazak u zonu video-nadzora po prethodnom informisanju, pritisak
tasterom ili označavanje kvadratića davanje podataka na internetu veb sajtu, pokazivanje
uobičajenih znakova i sl;
BDK Advokati, komentar: Bilo bi korisno, imajući u vidu rasprostranjenu upotrebu interneta i
potrebu da se uklone eventualnu nejasnoće u primeni budućeg zakona, pojasniti u definiciji da se
pritisak tasterom (clicking the button) i označavanje kvadratića (ticking the box) smatraju validnim
oblikom izražavanja pristanka na obradu podataka, kao oblici konkludentnih radnji.
1 Videti European Commission, Directorate-General Justicew, Freedom and Security, Comparative Study of
Different Approaches to New Privacy Challegnes in Particular In the Light of Technological Developments, Country Studies (Douwe Korff, ed.), A.6 – United Kingdom (jun 2010), str. 1-2, http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_country_report_A6_united_kingdom.pdf. 2 Čl. 1(i).
3
U amandmanu Evropskog parlamenta na preambularni pasus 25 pojašnjeno je da
konkludentna radnja (clear affirmative action) može imati oblik označavanja kvadratića na veb sajtu.
[Značenje izraza
Član 3.] [predlog za unošenje novog stava]
x) Blokiranje podataka je privremeno odlaganja daljnjih aktivnosti obrade podataka o
ličnosti.
BDK Advokati, komentar: Svi izvori konsultovani pri radu na ovoj analizi Modela, od
Direktive,3 preko nacionalnih zakona (Nemačka,
4 Holandija,
5 Francuska,
6 Italija
7), do Uredbe,
8
sadrže odredbe po kojima lice ima pravo ne samo na ispravku, dopunu, ažuriranje i brisanje podataka
(što su prava koja izričito pominje i sadašnji član 46 Modela), nego i pravo na blokiranje podataka.
BDK Advokati smatraju da bi to pravo, pod nazivom “blokiranje” ili korišćenjem druge
odgovarajuće reči sa istim značenjem, trebalo uneti i u tekst Modela, a u tom slučaju bilo bi korisno
da član 3 (Značenje izraza) sadrži definiciju “blokiranja”. Predložena definicija se u najvećoj meri
oslanja na onu iz italijanskog zakona,9 a sličnu definiciju sadrži i nemački zakon.
10 Direktiva i
Uredba, kao ni holandski i francuski zakon, ne sadrže definiciju ovog pojma.
Načelo ograničenosti svrhe
Član 5.
[Stav 1] Podaci o ličnosti obrađuju se samo u svrhe koje su jasno određene u skladu sa ovim
zakonom i koje su izričito navedene zakonite i legitimne.
BDK Advokati, komentar: Dodavanjem reči „u skladu sa ovim zakonom“ odredba se čini
jasnijom nego što je trenutno slučaj, jer pojašnjava iz kog izvora (ovog zakona) proističe određivanje
svrhe. Iako to nije eksplicite formulisano, dodatak „u skladu sa ovim zakonom“ znači, da su svrhe
određene ugovorom o međusobnim pravima i obavezama rukovaoca i obrađivača (čl. 19 Modela),
odnosno obaveštenjem koje rukovalac pruži licu o kojem prikuplja podatke (čl. 23 i čl. 24 Modela).
Reč „zakonite“ bi trebalo zameniti rečima „izričito navedene“, ili drugim odgovarajućim
prevodom za englesku reč „explicit“. U Direktivi (čl. 6(1)(b)) i Uredbi Regulation (čl. 5(1)(b)) stoji
na ovom mestu reč „explicit“, a iz dokumenta Article 29 Data Protection Working Party, Opinion
03/2013 (o ograničenju svrhe), iz 2013. godine, jasno je da su kreatori Direktive smišljeno uneli
koncept „explicit“, a ne neki drugi, u ovo mesto u Direktivi. Neki drugi koncept (kao, u Modelu,
„zakonit“) ne može bez uverljivog razloga – koji u članu 5(1) Modela nije jasan - istisnuti pojam
„explicit“.11
3 Čl. 12.
4 Odeljak 20(3).
5 Čl. 36.
6 Čl. 40.
7 Odeljak 143
8 Čl. 17.
9 Odeljak 4(o).
10 Čl. 3(4)(3).
11 Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation (2 April 2013), str. 17-19,
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
4
Dodatni razlog zbog kog nema osnova za prisustvo „zakonitosti“ u članu 5 Modela je potreba
da se izbegne repetitivnost, jer prethodni član (član 4) već propisuje da obrada podataka o ličnosti
mora biti „zakonita“.
[Načelo ograničenosti svrhe
Član 5.]
[Stav 2] Obrada podataka o ličnosti nije dozvolјena ako se vrši u svrhu različitu od nespojivu
sa svrhom za one kojau je određena.
BDK Advokati, komentar: Stav 2 Modela odstupa od odgovarajuće odredbe u Direktivi, u
predloženoj Uredbi, i u relevantnim odredbma svih nacionalnih zakona konsultovanih za potrebe
izrade ove analize. U tim izvorima, princip ograničenja svrhe je postavljen fleksibilnije nego u
Modelu, utoliko što prema Modelu nije dopuštena dodatna obrada u svrhu različitu od one koja je
određena, dok je prema drugim izvorima takva obrada dopuštena, pod uslovom da način naknadne
obrade nije inkompatibilan sa prvobitnom svrhom (videti odgovarajuće odredbe u Direktivi,12
Uredbi
i amandmanu Evropskog parlamenta,13
i u zakonima Francuske,14
Holandije,15
Italije16
, i
Nemačke17
).
[Načelo ograničenosti svrhe
Član 5.]
[Stav 3] U obradu podataka koja nije nespojiva u odnosu na svrhu za koju je obrada
određena spadaju, naročito, obrada podataka Izuzetno od stava 2. ovog člana podaci se mogu
obrađivati ako je to potrebno za preduzeta radi vođenja krivičnog postupka ili zaštite bezbednosti
Republike Srbije, na način predviđen zakonom, i obrada podataka u istorijske, statističke ili
naučnoistraživačke svrhe ukoliko se obavlja u skladu sa uslovima propisanom članom 12. ovog
zakona.
BDK Advokati, komentar: Formulacija koju predlažu BDK Advokati zadržava primere
dopuštene sekundarne obrade iz Modela, a uz to, dodavanjem reči “naročito”, ostavlja prostor i za
druge oblike sekundarne obrade kompatibilne sa prvobitnom svrhom.
Formulacija koju BDK Advokati predlažu tretira slučajeve dopuštene sekundarne obrade kao
obradu čija svrha je spojiva sa prvobitno određenom, a ne kao obradu čija svrha nije različita u
odnosu na prvobitnu. Rešenje po kom se ne radi o različitim svhama, prisutno u postojećoj odredbi u
Modelu, je artificijelno, a pri tome za njim nema potrebe.
12
Čl. 6(1). 13
Čl. 5(1). 14
Čl. 6(2). 15
Čl. 9(1). 16
Odeljak 11(1). 17
Odeljak 28.
5
Rešenje po kom obrada podataka u istorijske, statističke ili naučnoistraživačke svrhe “nije
nespojiva” sa svrhom za koju je određena prvobitna obrada identično je rešenju iz francuskog
zakona, odakle preuzima i uslov da obrada mora da se obavlja u skladu sa uslovima koji inače važe
za dopuštenu obradu u navedene svrhe.18
U Nemačkoj, Zakon predviđa više situacija u kojima
beleženje, izmena ili korišćenje podataka u drugu svrhu u odnosu na onu koja je određena za
prvobitnu obradu mogu biti zakoniti. Kada sekundarnu obradu obavljaju kompanije ili drugi privatni
akteri, sekundarna obrada je dopuštena ako su podaci o ličnosti generalno dostupni, a takođe (uz
dodatni uslov da ne postoji razlog za pretpostavku da lice ima jasan i pretežući interes da spreči
obradu) i ako je potrebno zaštititi legitimne interese obrađivača ili drugog lica, sprečiti pretnje
državnoj ili javnoj bezbednosti, ili radi gonjenja krivičnog dela.19
[Načelo ograničenosti svrhe
Član 5.]
[Stav 4] Obrada podataka u istorijske, statističke ili naučnoistraživačke svrhe ne smatra se
promenom svrhe obrade podataka u smislu ovog zakona ukoliko se vrši u skladu sa uslovima
propisanom članom 12. ovog zakona.
BDK Advokati, komentar: Promenom koju BDK Advokati predlažu u pogledu stava 3,
prestaje potreba za dosadašnjm stavom 4. U svakom slučaju, formulacija iz dosadašnjeg stava 4 nije
odgovarajuća jer se zasniva na početnom gledištu – koje nije u skladu sa evropskim rešenjima – da
obrada nije dozvolјena ako se vrši “u svrhu različitu” od one koja je određena (u takvoj postavci
Model onda privileguje obradu u istorijske, statističke i naučnoistraživačke svrhe tako što kaže da se
takva obrada “ne smatra promenom” svrhe). Ustvari, kako smo gore pokazali, prema evropskim
rešenjima dopuštenost sekundarne obrade ne zavisi od toga da li je svrha različita u odnosu na
prvobitnu, nego da li je sekundarna svrha kompatibilna sa prvom.
[Načelo ograničenosti svrhe
Član 5.]
[Novi stav 4] Pri oceni da li je način na koji se obavlja naknadna obrada spojiv sa svrhom
za koju su podaci pribavljeni, uzima se u obzir sledeće:
a. odnos između svrhe nameravane naknadne obrade sa svrhom za koju su podaci
pribavljeni;
b. priroda podataka i posledice nameravane obrade za lice;
d. način na koji su podaci pribavljeni i razumna očekivanja lica u odnosu na moguću
naknadnu obradu, i
e. postojanje odgovarajućih garancija kojima se štite prava i interesi lica.
18
Čl. 6(2). 19
Odeljak 28(5) i 28(2).
6
BDK Advokati, komentar: Predložena odredba bi pomogla rukovaocima i ostalim akterima da
ocene da li je naknadna obrada dopuštena, ili ne. Predložena formulacija se oslanja na dva izvora:
član 9(2) holandskog zakona20
i odeljak o kriterijumima za analizu kompatibilnosti, iz dokumenta
Article 29 Data Protection Working Party, Opinion 03/2013 (o ograničenju svrhe), iz 2013. godine.21
Načelo tačnosti podataka
Član 7.
[Predlog za dodavanje stava 2]
Rukovalac preduzima svaku razumnu meru da obezbedi da netačni podaci o ličnosti budu
izbrisani ili ispravljani čim to postane moguće.
BDK Advokati, komentar: Ovim dodatkom postojećem članu 7 (Modela) pojasnilo bi se da
stav 1 (“Podaci o ličnosti koji se obrađuju moraju da budu tačni…”) ne znači da rukovalac ima
apsolutnu obavezu da obezbedi tačnost. Zahtev koji se pred rukovaoca stavlja je realističniiji: on
treba da preduzme razumne mere da obezbedi da podaci koji su netačni budu izbrisani ili korigovani.
Predložena formulacija postoji u predloženoj Uredbi,22
Direktivi (uz dodatak da identična
obaveza postoji i u odnosu na nepotpun podatak, a bez propisivanja roka),23
i u Francuskoj (identična
odredba onoj iz Direktive).24
Obrada u istorijske, statističke ili naučnoistraživačke svrhe
Član 12.
[Stav 2] Za potrebe obrade u istorijske, statističke ili naučnoistraživačke svrhe rukovalac,
odnosno obrađivač, može ustupiti podatkeci se primaocu ustupaju u anonimizovanom obliku, [...].
BDK Advokati, komentar: Predloženom izmenom doprinelo bi se većoj jasnoći odredbe,
pošto bi se na taj način preciziralo ko su subjekti prava, odnosno subjekti obaveze.
[Obrada u istorijske, statističke ili naučnoistraživačke svrhe
Član 12.]
[Stav 3] Rezultati obrade podataka objavlјuju se u anonimizovanom obliku, osim ako je
posebnim zakonom drugačije propisano ili, ako je lice na koje se podaci odnose dalo pismeni
pristanak za njihovo objavlјivanje, ili ako je objavljivanje u neanonimizovanom obliku potrebno
radi prezentovanja nalaza istraživanja, a interesi, dostojanstvo, ili osnovna prava ili slobode lica
nemaju prevagu nad tim interesom. U slučaju podataka o ličnosti umrlog lica, pismeni pristanak za
neanonimizovano objavlјivanje daju bračni drug supružnik umrlog lica, vanbračni partner, njegova
deca umrlog lica i njihovi potomci, kao i lica koja su po zakonu kojim se uređuje nasleđivanje
ostaviočevi oglašeni naslednici.
20
„For the purposes of assessing whether processing is incompatible, as referred to under (1), the responsible party shall in any case take account of the following:
a. the relationship between the purpose of the intended processing and the purpose for which the data have been obtained; b. the nature of the data concerned; c. the consequences of the intended processing for the data subject; d. the manner in which the data have been obtained, and e. the extent to which appropriate guarantees have been put in place with respect to the data subject“.
21 Opinion 03/2013 on purpose limitation (2 April 2013),str. 23-27.
22 Čl. 5(1).
23 Čl. 6(1)(d).
24 Čl. 6(4).
7
BDK Advokati, komentar:
Forma pristanka:
Nije jasno zašto bi lice na koje se odnose podaci moralo da isključivo u pismenom obliku daje
pristanak na objavlјivanje rezultata obrade (u neanonimizovanom obliku). Za razliku od Modela,
predložena Uredba ne sadrži ograničenje, po kom lice na koje se odnose podaci može samo u
pismenom obliku da da pristanak na objavljivanje rezultata obrade podataka.25
Isto tako, u
Nemačkoj, relevantna odredba propisuje da tela koja sprovode naučno istraživanje moraju da dobiju
“pristanak” kako bi mogla da objave podatke o ličnosti;26
odredba ne ograničava na pismeni oblik
formu zahtevanog pristanka, a analiza opštih odredbi o pristanku u nemačkom zakonu vodi zaključku
da pristanak ne mora biti pismeni “ako bi definisana svrha istraživanja bila ozbiljno dovedena u
pitanje ako bi se pristanak davao u pisanoj formi”.27
Objavljivanje bez pristanka, a radi prezentovanja nalaza.
Prezentovanje nalaza istraživanja bi trebalo da predstavlja dopušteni osnov za objavljivanje ličnih
podataka u neanonimizovanom obliku, i bez saglasnosti lica. Uredba sadrži ovakvu odredbu, uz
važan dodatak da takvo objavljivanje može biti dopušteno pod uslovom da interesi ili osnovna prava
ili slobode lica nemaju prevagu nad interesom za prezentovanjem nalaza istraživanja.28
Italijanski
Kodeks postupanja i profesionalne prakse u odnosu na obradu podataka o ličnosti u istorijske svrhe
(2001) ističe dostojanstvo osobe kao branu obelodanjivanju podataka.29
Mada je, u tekstu čije
dodavanje BDK Advokati predlažu, koncept dostojanstva posredno prisutan kroz koncept “osnovnih
sloboda i prava”, bilo bi korisno istaći dostojanstvo i na eksplicitan način, kao dodatnu garanciju da
rukovalac mora pažljivo ceniti da li bi objavljivanje podataka bilo dopušteno.
U Nemačkoj, odgovarajuća odredba precizira da se nalazi koji opravdavaju objavljivanje i bez
pristanka lica moraju odnositi na događaje iz „savremene istorije“.30
Supružnik i vanbračni partner
Porodični zakon koristi termin „supružnik“, umesto „bračni drug“. Uzimajući u obzir da
vanbračni partneri imaju prava i dužnosti supružnika, nema opravdanja za rešenje u članu 12, stavu
3, da samo supružnik ima ovlašćenje da da pismeni pristanak za neanonimizovano objavlјivanje
rezultata obrade podataka o umrlom licu.
[Obrada u istorijske, statističke ili naučnoistraživačke svrhe
Član 12.] [Stav 4] Podatke o ličnosti prikuplјene u svrhu iz ovog člana primalac će po ostvarivanju te
svrhe brisati najkasnije u roku od godinu dana od dana ostvarivanja svrhe, osim ako je posebnim
zakonom drugačije propisano.
25
Čl. 83(2). 26
Odeljak 40(3). 27
Videti Odeljak 4a. 28
Čl. 83(2). 29
Garante per la protezione dei dati personali, Code of conduct and professional practice Regarding the processing of personal data for historical purposes, čl. 11, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1565819. 30
Odeljak 40(3)(2).
8
BDK Advokati, komentar: Ovim dodatkom odredba bi se dovela u sklad sa članom 47, st. 4,
Modela, u kom stoji da „prava lica iz čl. 44, 45. i 46. ovoga zakona mogu da se ograniče posebnim
zakonima ako se podaci o ličnosti obrađuju isklјučivo u istorijske, statističke ili naučnoistraživačke
svrhe“ (čl. 46 odnosi se na, između ostalog, pravo lica na brisanje podataka)
Dodatak "osim ako je posebnim zakonom drugačije propisano" je u svakom slučaju potreban
kako bi se obezbedio pravni osnov za očuvanje dragocenih podataka o ličnosti, prikupljenih u
istorijske, statističke ili naučnoistraživačke svrhe.
Nadležnost i zamenik Poverenika
Član 15
U vršenju poslova u oblasti zaštite podataka o ličnosti, Poverenik je nadležan da: [...] 9) daje
prethodno mišlјenje da li određeni način obrade predstavlјa konkretan specifičan rizik za prava i
slobode građanina;
BDK Advokati, komentar: U odgovarajućim odredbama u Direktivi (čl. 20) i predloženoj
Uredbi (čl. 34), koristi se termin specific. Odgovarajući prevod tog termina je “konkretan”.
[Nadležnost i zamenik Poverenika
Član 15]
15) organizuje i sprovodi i organizuje polaganje stručnog ispita za lica za zaštitu podataka o
ličnosti, propisuje program, način i visinu troškova polaganja ispita, izdaje i oduzima licence za
zaštitu podataka i vodi registar o tome;
BDK Advokati, komentar: Logični redosled je da se neka aktivnost najpre organizuje a potom
i sprovodi.
[Pravni osnov kad obradu vrše rukovaoci koji nisu organ vlasti
Član 18]
[Stav 2, nastavak] […] kao i u slučaju kada je obrada neophodna za ostvarivanje značajnog i
na zakonu zasnovanog interesa rukovaoca, a prava, slobode i legitimni interesi taj interes ima
prevagu nad interesima lica na koje se odnose podaci o ličnosti nemaju prevagu nad tim interesom
rukovaoca.
BDK Advokati, komentar: Model postavlja viši standard nego Direktiva i predložena Uredba
za rukovaoca čiji legitimni interesi mogu poslužiti kao osnov za obradu podataka bez pristanka lica.
Naime, Model zahteva da, da bi obrada mogla da se obavlja bez pristanka lica, interes rukovaoca
„ima prevagu“ nad interesima lica na koje se odnose podaci o ličnosti. Nasuprot tome, Direktiva i
Uredba dopuštaju obradu i ako je interes rukovaoca jednak interesu lica. Naime, obrada prema
rešenju iz Direktive i Uredbe nije dopuštena ako interesi, prava ili osnovne slobode lica „imaju
prevagu“ nad interesom rukovaoca (Direktiva, čl. 7(f) i Uredba, preambularni paragraf 38). Ovakvo
rešenje sadržano je i, npr., u italijanskom zakonu.31
31
Odeljak 24)(1))g).
9
Poveravanje poslova u vezi sa obradom
Član 19.
[Stav 4] Ugovorom se obrađivač obavezuje da obavlјa poslove u vezi sa obradom podataka o
ličnosti samo u okviru dobijenog ovlašćenja, a posebno da podatke o ličnosti ne sme da daje drugim
licima bez pismene dozvole rukovaoca, niti sme da ih obrađuje u bilo koju drugu svrhu osim
ugovorene, da obezbedi odgovarajuće organizacione i tehničke mere zaštite podataka, kao i da
fizička lica koja će u ime obrađivača preduzimati poslove obrade postupaju u skladu sa obavezom
obrađivača da drugim licima ne daje podatke o ličnosti podležu propisanim obavezama čuvanja
profesionalne tajne.
BDK Advokati, komentar: Koncept „profesionalne tajne“ se standardno vezuje za advokate,
lekare, i verske ispovednike.32
Primena tog koncepta na fizička lica koja u ime obrađivača
preduzimaju poslove obrade podataka o ličnosti izaziva zabunu. Adekvatnije je stoga koristiti termin
„obaveza neotkrivanja podataka o ličnosti drugim licima“, koji ne izaziva asocijaciju na advokate,
psihologe, i verske ispovednike. Zakoni drugih država – uključujući Nemačku33
i Holandiju34
–
takođe ne koriste termin „profesionalna tajna“, već govore o obavezi čuvanja tajnosti
(confidentiality).
Zaštita vitalnih interesa lica
Član 20.
Obrada podataka o ličnosti može da se vrši i bez pravnog osnova u smislu ovog zakona, samo
ako je to neophodno da se zaštite životno važni interesi nekog lica, a posebno život, zdravlјe i fizički
integritet nekog lica, sve u meri koja je neophodna za zaštitu tih interesa.
BDK Advokati, komentar: Radi otklanjanja nedoumica u eventualnoj primeni odredbe, uputno
je ne koristiti pojam „životno važni interesi“. Iako i neki drugi izvori koriste koncept „životno važnih
interesa“ (engl. vital interests), britanski Information Commissioner's Office s pravom primećuje da
je formulacija „vitalni interesi“ uvek bila sporna: nije jasno da li se radi o pitanjima života i smrti, ili
i o zaštiti zdravlja i opšte dobrobiti lica.35
Francuski zakon govori samo o „zaštiti života“,36
a
italijanski o zaštiti „života ili fizičkog integriteta“ lica.37
Zakoni Nemačke i Holandije govore samo o
„vitalnim interesima“, ali ni ti zakoni ne sugerišu da osim zaštite života, zdravlja i fizičkog
integriteta postoje još neki drugi „vitalni interesi“.
Obrada osetlјivih podataka o ličnosti
Član 21
[Stav 1] Osetlјivi podaci o ličnosti mogu da se obrađuju samo ukoliko je lice na koje se
podaci odnose dalo svoj pristanak, koji je isklјučivo u pismenom obliku.
32
Videti, npr., Zakon o krivičnom postupku ("Sl. glasnik RS", br. 72/2011), član 248, st. 1, tačka 3, i prethodni Zakon o krivičnom postupku ("Sl. list SRJ", br. 70/2001 i 68/2002 i "Sl. glasnik RS", br. 58/2004, 85/2005, 115/2005, 85/2005 - dr. zakon, 49/2007, 20/2009 - dr. zakon, 72/2009 i 76/2010), čl. 97, st. 1, tačka 3. 33
Odeljak 5. 34
Čl. 12(2). 35
ICO, Proposed new EU General Data Protection Regulation: Article-by-article analysis paper (2013), str. 12, http://ico.org.uk/news/~/media/documents/library/Data_Protection/Research_and_reports/ico_proposed_dp_regulation_analysis_paper_20130212_pdf. 36
Čl. 7(II), čl. 8 (II)(2), i čl. 69(1). 37
Odeljak 24(1))(e), odeljak 26(4)(b), i odeljak 43(1)(d).
10
BDK Advokati, komentar: Kada je reč o načinu pristanka, Uredba ne pravi razliku zavisno od
toga da li je reč o osetljivim podacima ili podacima koji nemaju takav karakter. U svakom slučaju,
naime, pristanak mora biti „explicit“., a, kako objašnjava preambularni pasus 25, zahtev
eksplicitnosti je ispunjen „bilo kojim odgovarajućim metodom koji omogućava slobodno dato,
konkretno, i na upoznatosti sa pitanjem zasnovano izražavanje volje lica, davanjem izjave ili jasnim
činjenjem lica“ (konkludentnom radnjom).
U Francuskoj, potrebno je da lice da “izričit pristanak” (consentement exprès) kako bi
osetljivi podaci mogli da se obrađuju.38
Identično rešenje sadržano je u holandskom zakonu.39
Nemačko pravo sadrži specifično rešenje, ali ni tu osetljivosti podataka ne iziskuje drugačiju
formu davanja pristanka u odnosu na formu pristanka na obradu drugih podataka. Opšte pravilo za
davanje pristanka za obradu podataka, prema nemačkom zakonu, je da se daje u pismenom obliku,
“osim ako posebne okolnosti opravdavaju drugi oblik”.40
U odnosu na obradu osetljivih podataka
postoji dodatni uslov za validan pristanak, koji se odnosi na sadržinu pristanka: naime, pristanak
mora izričito da se odnosi na te (osetljive) podatke.41
[Obrada osetlјivih podataka o ličnosti
Član 21]
[Stav 2] Izuzetno od stava 1. ovog člana, osetlјivi podaci o ličnosti mogu da se obrađuju: ...
3) kad je to neophodno radi zaštite života, zdravlјa ili drugih životno važnih interesa fizičkog
integriteta lica na koje se podaci odnose ili drugog lica, a lice nije u mogućnosti da lično dâ
saglasnost;
BDK Advokati, komentar: Videti komentar uz član 20.
[Obrada osetlјivih podataka o ličnosti
Član 21]
[Stav 2, dodati kao jednu od tački]
x) kad se obrada sprovodi u okviru legitimnih aktivnosti od strane fondacije, udruženja, ili
drugog tela sa političkim, filozofskim, verskim ili sindikalnim ciljem, ako se obrada odnosi samo
na članove tog tela ili na osobe koje sa njima imaju redovnu komunikaciju povodom aktivnosti
vezanih za svrhu delovanja tih tela, i pod uslovom da se podaci o licima ne mogu bez njihovog
pristanka otkrivati drugim licima.
BDK Advokati, komentar: Ovde predložena odredba je prisutna u svim izvorima
konsultovanim za potrebe analize, s tim da u svim slučajevima postoji i dodatni zahtev da
organizacije o kojima je reč moraju biti neprofitnog karaktera: u Uredbi,42
Direktivi,43
zakonima u
Francuskoj,44
Nemačkoj,45
Italiji,46
i Holandiji. U Holandiji, niz odredbi u zakonu detaljno razrađuje
pravo udruženja i institucija ove vrste da obrađuju osetlјive podatke o ličnosti.47
38
Čl. 8(II)(1). 39
Čl. 21(1). 40
Odeljak 4a(1). 41
Odeljak 4a(3). 42
Čl. 9(2)(d). 43
Čl. 8(2)(d). 44
Čl. 8(II)(3). 45
Odeljak 28(9). 46
Odeljak 26(4)(a). 47
Deo od čl. 17 do čl. 22.
11
[Obrada osetlјivih podataka o ličnosti
Član 21]
[Stav 2, dodati kao jednu od tački]
y) kada je obrada potrebna radi ispunjavanja obaveza i korišćenja prava rukovaoca na
području radnog prava, pod uslovom da poseban zakon uređuje obradu i propisuje neophodne
mere zaštite lica.
BDK Advokati, komentar: Ovakva odredba, koja predviđa dodatni osnov za obradu osetljivih
podataka i bez pristanka lica, postoji kako u važećoj Direktivi48
tako i u predloženoj Uredbi49
i
amandmanima Evropskog parlamenta.50
Obaveštavanje lica od koga se prikuplјaju podaci
Član 23
[Stav 1] Ako podatke o ličnosti prikuplјa neposredno od lica na koje se odnose, rukovalac je
dužan da ga prethodno, ili čim postane moguće, na odgovarajući način obavesti o:
[...] 3) pravnom osnovu obrade podataka; .
BDK Advokati, komentar: Direktiva na precizira kada je rukovalac dužan da pruži
obaveštenje licu. Prema Uredbi, obaveza postoji u trenutku kada se podaci o ličnosti pribavljaju od
lica.51
„Čim postane moguće“ je formulacija iz amandmana Evropskog parlamenta na tu odredbu (čl.
14(4), tačka a).52
Brisanje reči „pravnom osnovu obrade podataka“ predlažemo zbog toga što je malo
verovatno da takva informacija ima praktičnog značaja za lice o kom se obrađuju podaci. Obaveza ne
postoji u izvorima konsultovanim za potrebe izrade ove analize.
Opoziv pristanka lica
Član 26
[Stav 2] Punovažan opoziv svog pristanka lice može dati u pismenom obliku ili
konkludentnom radnjom.
BDK Advokati, komentar: Ne postoji potreba za posebnom odredbom o načinu na koji se daje
opoziv. Nije logično da uslovi koji se tiču načina opozivanja budu strožiji od uslova koji važe za
način davanja pristanka. U skladu s tim, Direktiva, Uredba, i nacionalni zakoni, ne sadrže strožije
uslove za davanje opoziva. Amandman Evropskog parlamenta na čl. 7 predložene Uredbe, čak,
izričito predviđa da “davanje opoziva biće jednako jednostavno lako kao i davanje pristanka”.
48
Čl. 8(2)(9b). 49
Čl. 9(2). 50
„Paragraph 1 shall not apply if one of the following applies: ... (b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller in the field of employment law in so far as it is authorised by Union law or Member State law or collective agreements providing for adequate safeguards for the fundamental rights and the interests of the data subject such as right to non-discrimination, ...“. 51
Čl. 14(4)(a). 52
„... at the time when the personal data are obtained from the data subject or without undue delay where the above is not feasible“.
12
Dostavlјanje podataka o umrlom licu
Član 29
[Stav 3] Ako nije drugačije određeno zakonom, r Rukovalac može i svakom drugom licu da
dostavi podatke o umrlom licu, radi obrade isklјučivo u istorijske, statističke ili naučnoistraživačke
svrhe, pod uslovom da umrlo lice za života nije u pismenoj formi zabranilo dostavlјanje tih podataka
ili ako takvu zabranu nisu dali njegovi naslednici izuzev ako je verovatno da bi dostavljanjem bili
povređena privatnost, prava ili legitimni interesi umrlog lica, odnosno njegovih naslednika.
BDK Advokati, komentar: Odredba iz Modela privileguje umrla lica u odnosu na druga lica,
bez jasnog razloga i ne uvažavajući interes slobode izražavanja. Predložena Uredba ne sadrži ovakvo
ograničenje, niti na drugi način regulište obradu podataka o umrlim licima.
Deo „ako nije drugačije određeno zakonom“ bi trebalo ukloniti zato što nije jasno na koji deo
odredbe se odnosi. Za takvom formulacijom u svakom slučaju nema potrebe ako se u odredbu unese
formulacija „izuzev ako je verovatno da bi se dostavljanjem povredili privatnost, prava ili legitimni
interesi lica“. Takvim rešenjem, legitimni interesi umrlog lica, odnosno njegovih naslednika,
dovoljno se štite, a ne ograničava se sloboda izražavanja.
Predložena formulacija odražava standard koji je, u opštem obliku (tj. ne u kontekstu neke
odredbe koja bi se izričito odnosila na obradu podataka o umrlom licu), prisutan u amandmanu
Evropskog parlamenta na čl. 32 Uredbe. Amandman predviđa obavezu rukovaoca i obrađivača da
analiziraju potencijalne konkretne negativne efekte obrade na prava i slobode lica. Među faktorima
koje rukovalac, ondnosno obrađivač, treba da uzme u obzir su „privatnost, prava ili legitimni interesi
lica“.53
Video-nadzor pristupa u službene i poslovne prostorije
Član 34
[Stav 1] Rukovalac podataka može putem video-nadzora da vrši obradu podataka o ličnosti
pristupa u službene, odnosno poslovne prostorije i prostore (u dalјem tekstu: poslovni prostor),
ukoliko je to potrebno neophodno za bezbednost lica i imovine, kontrolu ulaska ili izlaska iz
poslovnog prostora i ako zbog prirode posla postoji mogući rizik za zaposlene i ostale korisnike tog
prostora.
BDK Advokati, komentar: U čl. 34 Modela reč je o video-nadzoru pristupa u službene i
poslovne prostorije, dakle o nadzoru ulaska u zgradu ili drugi objekat. Smisao takvog nadzora je
evidentno zaštita bezbednosti. Ne postoji veliki rizik da bi interesi privatnosti bili povređeni takvim
nadzorom, jer je lice izloženo nadzoru tokom kratkog vremenskog intervala. Stoga, nije potrebno da
se pred potencijalnog rukovaoca podataka postavlja veoma visok standard („neophodno“) koji mora
da zadovolji da bi mogao da koristi video-nadzor.
Ovo je različito od sledećeg člana (čl. 35), u kom postoje značajni interesi privatnosti koji bi
mogli biti povređeni, pošto bi se lica unutar poslovnog prostora nalazila gotovo sve vreme u situaciji
da budu nadzirana, tako da za tu vrstu nadzora rukovalac mora da zadovolji viši standard
(„neophodno“).
53
Čl. 32a.
13
[Video-nadzor pristupa u službene i poslovne prostorije
Član 34]
[Stav 4] Zaposleni koji rade u poslovnom prostoru pod video-nadzorom iz stava 1. ovog
člana, moraju u pismenom obliku biti obavešteni o vršenju video-nadzora u skladu sa članom 23.
ovog zakona.
BDK Advokati, komentar: Bilo bi korisno da se precizira da li svaki od zaposlenih mora biti
lično obavešten o vršenju video-nadzora, ili rukovalac može ispuniti obavezu obaveštavanja
oglašavanjem unutaru službenih, odnosno poslovnih prostorija, odnosno prostora.
.
Video-nadzor u poslovnom prostoru
Član 35
[Stav 4] Rukovalac podataka dužan je da pre donošenja odluke o uvođenju video-nadzora iz
stava 1. ovog člana, pribavi mišlјenje reprezentativnog sindikata kod rukovaoca, ako takav sindikat
postoji.
BDK Advokati, komentar: Predloženim dodatkom bi se pojasnilo da se ne radi o obavezi da se
mišljenje pribavlja od sindikata sa svojstvom reprezentativnosti na nekom drugom nivou (kao što je
reprezentativni granski sindikat).
[Video-nadzor u poslovnom prostoru
Član 35]
[Stav 5] Zaposleni moraju biti obavešteni o uvođenju video-nadzora u pismenom obliku pre
početka vršenja video-nadzora, u skladu sa članom 23. stav. 1. ovog zakona.
BDK Advokati, komentar: Bilo bi korisno da se precizira da li svaki od zaposlenih mora biti
lično obavešten o vršenju video-nadzora, ili rukovalac može ispuniti obavezu obaveštavanja
oglašavanjem unutaru službenih, odnosno poslovnih prostorija, odnosno prostora.
Video-nadzor u stambenim zgradama
Član 37
[Stav 4] Nije dozvolјeno vršiti Video-nadzor ulaza u privatne stanove je dopušten ako se
obavlja u skladu sa članom 38 i ne postoje dokazi o suprotnim legitimnim interesima lica, koji bi
imali prevagu.
BDK Advokati, komentar: Ovakvom formulacijom bitno se smanjuje prostor za eventualne
zloupotrebe video-nadzora ulaza u privatne stanove, no sama dopuštenost se ne dovodi u pitanje.
Upućivanjem na garancije iz člana 38, obezbeđuje se da video-nadzor može da se obavlja radi zaštite
sopstvene bezbednosti i imovine, da video-nadzor nije postavlјen tako da snima spolјašnjost ili
unutrašnjost drugih stanova i kuća, i da vlasnici na vidnom mestu istaknu obaveštenje o video-
nadzoru. Predložena odredba sadržava i dodatak, „i ne postoje dokazi o suprotnim legitimnim
interesima lica, koji bi imali prevagu“, baziran na opštoj odredbi u nemačkom zakonu (odeljak 6b) o
uslovima za dopuštenost video-nadzora.
14
Neposredno oglašavanje
Član 40.
[Stav 5] Ukoliko rukovalac podataka namerava da u svrhu neposrednog oglašavanja dostavi
podatke o ličnosti iz stava 2. ovog člana i drugim licima ili obrađivačima podataka, u obavezi je da o
tome prethodno informiše lice na koje se podaci odnose i pribavi pristanak saglasnost tog lica u
pismenom obliku.
BDK Advokati, komentar: Zakonski termin je “pristanak” (ne “saglasnost”). Nije jasno zbog
čega način na koji lice daje pristanak na dostavljanje podataka o ličnosti (u svrhu neposrednog
oglašavanja) treba da – zahtevom za pismenim oblikom pristanka – bude naročito onerozan za
rukovaoca. Takva odredba ne postoji u predloženoj Uredbi. U praksi, ovakvo rešenje bi moglo da
vodi tome da korisnici cookies ne bi mogli pritikom tastera (clicking the button) ili označavanjem
kvadratića (ticking the box) da daju validan pristanak rukovaocu da može da dostavi podatke do kojih
je došao korišćenjem cookies drugim obrađivačima.
Prava lica na ispravku, dopunu, ažuriranje, blokiranje i brisanje podataka
Član 46.
[Stav 1] Lice ima pravo da zahteva od rukovaoca da ispravi, dopuni, ažurira, blokira ili briše
podatke o njemu koji su predmet obrade ako dokaže da su podaci netačni, nepotpuni, neažurni ili ako
njihova obrada nije u skladu sa odredbama ovog zakona.
BDK Advokati, komentar: O potrebi za unošenje prava lica da zahteva blokiranje podataka,
videti kratko objašnjenje člana 3 (Značenje izraza). Situacije u kojima bi blokiranje predstavljalo
odgovarajuću meru navedene su u čl. 17(4) predložene Uredbe:
(a) lice dovodi u pitanje tačnost podataka, i podaci se blokiraju za period tokom kog rukovalac
proverava njihovu tačnost;
(b) podaci o ličnosti više nisu potrebni rukovaocu radi ostvarenja svojih zadataka, ali no
potrebno ih je zadržati u svrhu dokazivanja;
(c) obrada je nezakonita a lice se protivi brisanju podataka i umesto toga zahteva njihovo
blokiranje;
(d) lice zahteva da se lični podaci prenesu u drugi sistem automatizovane obrade.
Trebalo bi razmotriti mogućnost da se, povodom bilo koje od mera koje lice zahteva, teret
dokazivanja rasporedi zavisno od porekla informacije. Ako je podatak dobijen od lica ili uz njegov
pristanak, na tom licu bi bio teret dokazivanja da su podaci netačni, nepotpuni, neažurni ili se
obrađuju surprotno odredbama ovog zakona; međutim, ako su podaci pribavljeni od trećih lica, teret
dokazivanja bi bio na rukovaocu. Ovakvo rešenje postoji u francuskom zakonu.54
Zahtev za ostvarivanje prava
Član 49.
[Stav 6] Naredni zahtev za ostvarivanje prava u odnosu na iste podatke o ličnosti sadržane u
istoj zbirci podataka istog rukovaoca, lice može da podnese po isteku roka od tri meseca od dana
podnošenja prethodnog zahteva, a ako se radi o naročito osetlјivim podacima, po isteku roka od
mesec dana od dana podnošenja prvog zahteva, pod uslovom da je rukovalac postupio po prvom
zahtevu.
54
Čl. 40(3).
15
BDK Advokati, komentar: Kategorija “naročito osetlijv podatak” ne postoji u Modelu.
Način ostvarivanje prava na uvid
Član 53.
[Stav 7] Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev, dužan je da
podnosiocu zahteva stavi na uvid podatak i izda kopiju na tom jeziku, osim ako podnosilac zahteva
ne odredi drukčije, a rukovalac ima mogućnosti da udovolјi zahtevu.
BDK Advokati, komentar: Ovaj stav se odnosi na situaciju u kojoj rukovalac raspolaže
podatkom na jeziku na kome je podnet zahtev. Prema tome, nejasno je kako rukovalac ne bi mogao
da bude u mogućnosti da udovolji zahtevu.
Poslovi lica za zaštitu podataka
Član 65.
[Stav 1] Lice za zaštitu podataka obavlјa poslove u skladu sa ovim zakonom, a naročito: …3)
predlaže i preduzima mere za posebno obeležavanje, zaštitu i sprečavanje neovlašćenog pristupa
podacima o ličnosti, a naročito osetlјivim podacima;
BDK Advokati, komentar: U tekstu u Modelu je, očigledno greškom, izostavljana reč
„sprečavanje“.
Evidencija o obradi i obaveza dostavlјanja Povereniku
Član 72.
[Stav 1] Rukovalac je dužan da Povereniku, na propisanom obrascu, najkasnije 30 dana pre
uspostavlјanja zbirke podataka, dostavi evidenciju o obradi za svaku zbirku podataka koju vodi, radi
upisa u Centralni registar Poverenika.
BDK Advokati, komentar: Odredba bi trebalo da bude jasnije formulisana. Sadašnji tekst, tj.
formulacija o obavezi rukovaoca da unapred dostavi „evidenciju o obradi“, implicira da rukovalac
već (dakle pre uspostavljanja zbirke podataka) raspolaže podacima (o licu) koje su do tada obrađene
u njegovo ime. To bi značilo da je obrada dopuštena i pre nego što rukovalac obavesti Poverenika o
nameri obrađivanja. Ovakvo rešenje bi se razlikovalo od onog iz sada važećeg Zakonu (čl. 49).
Ako odredba ustvari i dalje predviđa obavezu rukovaca da obavesti Poverenika o nameri
obrađivanja podataka, onda bi stav 1 trebalo preformulisati tako da glasi: „Rukovalac je dužan da
Povereniku, na propisanom obrascu, najkasnije 30 dana pre uspostavlјanja zbirke podataka, dostavi
evidenciju o obradi obaveštenje o nameri obrađivanja za svaku zbirku podataka koju vodi
namerava da uspostavi, radi upisa u Centralni registar Poverenika“
Zbirke podataka o kojima se ne vodi evidencija
16
Član 73.
Rukovalac nije dužan da Povereniku dostavi evidenciju:
1) za podatke koje obrađuju isklјučivo u svrhu vođenja registra propisanog zakonom
ustanovlјenog radi pružanja informacija javnosti i dostupnog tako da podatke iz njega može dobiti
kako javnost, tako i svako lice koje za to ima interes zasnovan na zakonu, kao i za podatke o ličnosti
o kojima poslodavac vodi evidenciju po osnovu zakona;
2) ako ima opšti akt iz člana 63. ovog zakona, ili
3) ako ima lice za zaštitu podataka.
BDK Advokati, komentar: Odredba bi trebalo da bude jasnije formulisana, odnosno trebalo bi
iz teksta da bude jasno da li odredba propisuje izuzetak samo od obaveze dostavljanja evidencije
(kao u prvoj rečenici) ili takođe i izuzetak od obaveze vođenja evidencije (kao u naslovu člana 73).
Smatramo da obaveza dostavljanja evidencije predstavlja nepotreban teret za rukovaoca, kada
po zakonu već postoji obaveza vođenja registra.
Opšte odredbe o iznošenju podataka iz zemlјe
Član 74.
[Stav 1] Zbirke podataka o ličnosti, odnosno podaci o ličnosti sadržani u zbirkama podataka o
ličnosti mogu se iznositi iz Republike Srbije ukoliko je država ili međunarodna organizacija u koju
se podaci iznose strana ugovornica međunarodnih ugovora koje je potvrdila Republika Srbija, a ti
ugovori sadrže odredbe o razmeni podataka između strana ugovornica, ili ukoliko je iznošenje
podataka iz Republike Srbije propisano posebnim zakonom.
[Stav 2] Pored slučajeva iz stava 1. ovog člana, zZbirke podataka o ličnosti, odnosno podaci
o ličnosti sadržani u zbirkama podataka o ličnosti mogu se iznositi iz Republike Srbije u države ili
međunarodne organizacije ukoliko ta država ili međunarodna organizacija ima odgovarajuće uređenu
zaštitu podataka o ličnosti.
BDK Advokati, komentar: Struktura predloženog člana 74 i način na koji je odredba trenutno
formulisana čine ovaj član teško razumljivim. Prema našem razumevanju, stavovi 2-5 se odnose na
države ili međunarodne organizacije sa kojima Srbija nema ratifikovan sporazum sa odredbom o
razmeni podataka. Među tim državama, postoji daljnja distinkcija (na one u odnosu na koje postoji
neoboriva pretpostavka da na odgovarajući način uređuju zaštitu podataka o ličnosti, i one za koje
takva pretpostavka ne važi), no u svakom slučaju sve one se suštinski razlikuju u odnosu na države i
međunarodne organizacije iz stava 1, koji se odnosi na države ili međunarodne organizacije sa
kojima Srbija ima ratifikovane sporazume sa odredbom o razmeni podataka. Ovu suštinsku razliku bi
trebalo naglasiti unošenjem reči “Pored slučajeva iz stava 1. ovog člana”, na početak stava 2, kako bi
se podvukla ključna razlika između stava 1 i potonjih stavova.
Zahtev za iznošenje podataka
Član 75.
[Stav 1] Pre iznošenja podataka o ličnosti iz Republike Srbije u državu ili međunarodnu
organizaciju, rukovalac je dužan da Povereniku podnese zahtev za iznošenje ili više iznošenja
podataka o ličnosti, na obrascu koji propiše Poverenik.
17
BDK Advokati, komentar: Ovakva formulacija postoji u Direktivi55
i u predloženoj Uredbi,56
kao i u zakonima Holandije57
i Nemačke.58
Prava i obaveze subjekta nadzora
Član 80.
[Stav 2] Subjekt nadzora je dužan da ovlašćenom licu za vreme vršenja nadzora, na njegov
zahtev, obezbedi odgovarajući radni prostor i druge neophodne pretpostavke za rad, da odredi jednog
ili više predstavnika koji će učestvovati u utvrđivanju činjenica i da obezbedi sveu potrebnue
dokumente, evidencijeu i drugu dokumentaciju.
BDK Advokati, komentar: Nelogična je formulacija „dokumente i drugu dokumentaciju“.
Obrazloženje
[…]
Odelјak o biometriji (čl. 30. – 32.) …Obrada biometrijskih podataka je obrada osetlјivih
podataka s obzirom na to da se biometrijski podaci ne menjaju tokom života jednog lica, i stoga je
važno da se obradi ovih podataka pristupa sa dužnom pažnjom i u izuzetnim slučajevima, što je i u
skladu sa Direktivom 95/46/EZ i Predlogom opšte uredbe o zaštiti podataka o ličnosti EU.
BDK Advokati, komentar: Pogrešno u obrazloženju piše da se ne menjaju Karakteristike
ponašanja lica se svakako menjaju, a menjaju se i neke fizičke, fiziološke karakteristike. Videti o
tome, npr., tekst Els Kindt, "Biometric applications and the data protection legislation", Datenschutz
und Datensicherheit (2007), str. 168.59
55
Čl. 26(2). 56
Čl. 42(5). 57
Čl. 77(2). 58
Odeljak 4b(3) i čl. 4c(2). 59
„Specific forms of biometric data which relate to a human characteristic that changes over time, for example, if the individual grows older. The reference biometric data relating to hand geometry or face of younger persons, for example pupils of a school, may at a certain point not be of any good quality anymore, as the characteristics change and these changes are not reflected in the reference data. Tekst može da se pročita na http://www.fidis.net/fileadmin/fidis/publications/2007/DuD3_2007_166.pdf .
