На основу члана 45. став 1. Закона о Влади („Службени гласник РС”, бр. 55/05, 71/05 – исправка, 101/07 и 65/08),

Владa доноси

 

 

СТРАТЕГИЈУ

заштите података о личности

„Службени гласник РС“, брoj 58 од 20. августа 2010.

 

 

I. УВОД

 

1. Разлози за доношење стратегије

 

Право на заштиту података о личности, као део права на приватност, представља једно од основних људских права. У савременим условима ово право је све угроженије. Развојем науке и технологије, посебно развојем савремених комуникација, увођењем нових информационих система и стварањем база података у свим областима, уз неспорно корисне ефекте, стварају се и претпоставке за нове облике угрожавања права на приватност, односно злоупотребу података о личности. Подаци на основу којих се утврђује или се може утврдити идентитет одређеног лица могу бити злоупотребљени за надзирање и усмеравање понашања и навика тог лица, за трговину и размену база података о личности, за крађу идентитета, као и за разне друге облике злоупотребе.

Полазећи од тога, да у савременом друштву постоји много тога што представља озбиљну претњу праву на приватност, а тиме и многим другим људским правима, у Републици Србији је неопходно стратешким приступом, користећи искуства и помоћ међународне заједнице, обезбедити одговарајуће правне и фактичке услове за развој и деловање националних капацитета за заштиту података о личности. Неопходно је створити потребне нормативне, али и све друге претпоставке да би се превентивно али и на други начин спречило угрожавање тог права, загарантованог међународним споразумима и националним законодавством.

Стратегијом заштите података о личности (у даљем тексту: Стратегија), полазећи од фактичког стања у погледу правног и институционалног оквира у области заштите података о личности у Републици Србији, утврђују се циљеви, мере и активности, улога и одговорност извршне власти, надзорног органа и других субјеката у остваривању овог права гарантованог Уставом Републике Србије.

У складу са Споразумом о стабилизацији и придруживању између Европских заједница и њихових држава чланица, са једне стране и Републике Србије, са друге стране, потврђеним 2008. године овом стратегијом обезбеђују се услови за извршавање преузетих међународних обавеза у погледу усаглашавања домаћег законодавства са прописима ЕУ и испуњавање обавеза које произилазе из чланства у Савету Европе.

 

2. Кључна начела и циљеви заштите података

 

Услов за заштиту података о личности у Републици Србији, као важног сегмента права на приватност, у складу са правилима ЕУ из области заштите података о личности, јесте да национално законодавство буде у потпуности усклађено са одредбама Директиве 95/46/ЕЗ. Правни оквир Републике Србије мора обезбедити јасна правила и процедуре по којима руковалац података о личности може вршити обраду података. Начела и права која су прописана Директивом 95/46/ЕЗ морају у потпуности бити преузета у национално законодавство.

Обрада и заштита података о личности морају бити засновани на:

– начелу законитости и поштене обраде података;

– начелу сразмерности;

– начелу тачности података;

– начелу заштите података;

– начелу поверења у обраду података;

– начелу забране обраде посебно осетљивих податка;

– праву на информацију;

– праву на приступ подацима;

– праву на судску заштиту лица чији се подаци обрађују и праву на одштету;

– санкцијама због недозвољене обраде података;

– формирању независног надзорног органа.

Република Србија је, ослањајући се на искуства држава чланица Европске уније и Савета Европе, утврдила циљеве својих активности на заштити података о личности. Они су подељени у две основне групе:

Општи циљеви:

– јавност рада јавног и приватног сектора;

– доступност података о личности лицу чији се подаци обрађују;

– заштита права на приватност и осталих људска права и основних слобода у обради података о личности;

– јачање поверења грађана у институције јавног и приватног сектора које располажу њиховим подацима о личности;

– развој институције надлежне за праћење и контролу коришћења збирки података о личности;

– јачање и прилагођавање информационих технологија.

Посебни циљеви:

– усклађивање Закона о заштити података о личности са прописима ЕУ;

– усклађивање законских и подзаконских прописа из других области са Законом о заштити података о личности;

– изградња независног органа за заштиту права и надзор;

– упознавање јавности са системом заштите података о личности;

– додатно стручно усавршавање лица одговорних за заштиту података о личности.

 

II. ЗАШТИТА ПОДАТАКА О ЛИЧНОСТИ
– СТАЊЕ И ПРОБЛЕМИ

 

1. Постојеће стање као узрок проблема

 

Република Србија је једна од ретких земаља у којој, све до пред крај 2008. године, није постојао закон којим је на системски начин уређена заштита података о личности.

Законодавни оквир заштите података о личности постоји већ десетак година, након што је Скупштина Савезне Републике Југославије 1992. године, потврдила Конвенцију Савета Европе о заштити лица у односу на аутоматску обраду личних података која је тако постала саставни део нашег унутрашњег правног поретка. У Савезној Републици Југославији ова област је била уређена Законом о заштити података о личности („Службени лист СРЈ”, бр. 24/98 и 26/98 – исправка), који је усклађен са поменутом Конвенцијом Савета Европе, али са друге стране није усклађен са Директивом Европског парламента и Савета 95/46/ЕЗ о заштити грађана у вези са обрадом података о личности и о слободном кретању таквих података, па је овај закон, са становишта нових европских стандарда, био добрим делом превазиђен. Наведени закон био је ограничен углавном на материју заштите података о личности, али није уредио прикупљање, обраду или коришћење података о личности, што је требало да буде уређено посебним законима који никада нису донети. Осим тога, тај закон од тренутка доношења никада није ни био реално примењен. Тако је, Република Србија била у ситуацији да као правни следбеник некадашње Савезне Републике Југославије и државне заједнице Србије и Црне Горе формално има, али да фактички нема закон који уређују ову област.

Формалноправни разлог таквог стања је и то да, када су преношене надлежности савезних органа на органе Републике Србије, није био одређен државни орган који би преузео надлежност за остваривање права по Закону о заштити података о личности из 1998. године, па се он није ни могао реално примењивати.

Поред тога, суштински разлози за стање у области заштите података о личности су и ти што неадекватни стандарди садржани у Закону о заштити података о личности из 1998. године, нису ни могли да обезбеде захтеве који произилазе из Директиве Европског парламента и Савета 95/46/ЕЗ, којима су афирмисани стандарди Европске уније у овој области, пре свега стандард највеће могуће транспарентности обраде података и ефикасности надзора над обрадом.

Уставом Републике Србије, у члану 42. гарантована је заштита података о личности. Да би се она могла ефикасно обезбедити, било је неопходно донети нови закон, који би на савремени начин, у складу са важећим стандардима Европске уније, обезбедио ефикасну заштиту личних података.

У међувремену, донети закони који су у непосредној вези са заштитом података о личности, као што су нпр. Закон о личној карти и Закон о путним исправама. Оба та закона предвиђају коришћење биометријских података о личности у новим документима, што, без система у погледу коришћења, обраде, контроле и заштите биометријских података, представља могућу опасност за кршење уставног права на заштиту податка о личности.

Чињенице и сазнања до којих је Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник) дошао на основу пријава и жалби грађана, као и других видова сазнања током 2009. године, прве године примене Закона о заштити података о личности („Службени гласник РС”, бр. 97/08 и 104/09 – др. закон), када фактички и нису постојали реални услови за остваривање функције надзора, говоре о следећем:

Око 350.000 субјеката јавног и приватног сектора баве се обрадом података о личности. Већина тих субјеката, има по неколико збирки или база података о личности и укупан број евиденција се процењује на преко милион. Ове евиденције обухватају евиденције државних органа, установа пензијског и здравственог осигурања, образовања, социјалне заштите, банкарског система, комуналних служби, удружења грађана, као и обраду података путем видео надзора на јавним местима, пословним и стамбеним објектима и др. За многе од тих обрада података не постоји изричит законски основ, односно сагласност лица или законом није уређена сврха и обим података који се обрађују, трајање и др, а у многим од ових случајева се ради о обради нарочито осетљивих података, као што су подаци о лечењу, социјалном статусу и др.

Посебан проблем представља то што Повереник не учествује у поступку предлагања и доношења прописа којима се успостављају нове збирке података или уводе нове информационе технологије. Пошто не постоји обавеза прибављања мишљења Повереника, тај орган је могао да реагује тек после доношења прописа, што ствара системске проблеме у усклађивању регулативе у области заштите података о личности, са Законом о заштити податка о личности, међународним документима, као и праксом Европског суда за заштиту људских права у Стразбуру. Иначе, потреба да Повереник учествује у поступку доношења прописа којима се уређују одређена питања права на заштиту података о личности, кроз давање мишљења, јасно произилази из члана 44. став 1. тачка 7. Закона о заштити података о личности и чл. 20. и 28. Директиве 95/46/ЕЗ.

Будући да је Република Србија једна од последњих земаља у Европи која је донела системски закон који уређује заштиту података о личности, доношење Стратегије је значајно за достизање постављених циљева у овој области и битан услов за успешну примену Закона о заштити података о личности, што је веома значајно и са становишта наставка европских интеграција, поштовања демократских стандарда и људских права и стварања отвореног и транспарентног друштва.

 

III. ПРАВНИ ОКВИР ЗАШТИТЕ ПОДАТАКА О ЛИЧНОСТИ

 

1. Устав Републике Србије

 

Устав Републике Србије у члану 42. јемчи заштиту података о личности на следећи начин:

„Зајемчена је заштита података о личности.

Прикупљање, држање, обрада и коришћење података о личности уређују се законом.

Забрањена је и кажњива употреба података о личности изван сврхе за коју су прикупљени, у складу са законом, осим за потребе вођења кривичног поступка или заштите безбедности Републике Србије, на начин предвиђен законом.

Свако има право да буде обавештен о прикупљеним подацима о својој личности, у складу са законом, и право на судску заштиту због њихове злоупотребе.”

Наведена уставна одредба садржи стандарде заштите података о личности које имају и државе чланице ЕУ. Заштита података о личности, је значајан део ширег права на приватност, што је у теорији познато под називом „приватност података”. Ова материја детаљно је уређена у неколико међународних правних аката, које Република Србија, због придруживања ЕУ, треба да имплементира у свој правни систем.

 

2. Закон о потврђивању Конвенције о заштити лица у односу на аутоматску обраду личних података и Додатног протокола уз Конвенцију

 

Република Србија је потписала и потврдила Конвенцију Савета Европе о заштити лица у односу на аутоматску обраду података о личности, у септембру 2005. године, која је у односу на Републику Србију, стyпила на снагу 1. јануара 2006. године.

У октобру 2008. године, Република Србија је донела Закон о потврђивању Додатног протокола уз Конвенцију о заштити лица у односу на аутоматску обраду личних података, у вези са надзорним органима и прекограничним протоком података.

 

3. Закон о заштити података о личности и подзаконски акти

 

Значајан корак у области заштите података о личности начињен је доношењем Закона о заштити података о личности, 23. октобра 2008. године. Овај закон представља општи законски оквир који регулише прикупљање, обраду и преношење података о личности. Тим законом се гарантује заштита података о личности сваком лицу, без обзира на држављанство, пребивалиште, расу, пол, језик, вероисповест, политичко и друго уверење, националну припадност, социјално порекло, имовинско стање, образовање, друштвени положај или друга лична својства, чиме се спроводи принцип забране дискриминације у овој области.

За спровођење Закона о заштити података о личности донети су следећи подзаконски акти:

1) Уредба о обрасцу за вођење евиденције и начину вођења евиденције о обради података о личности („Службени гласник РС”, број 50/09);

2) Правилник о начину претходне провере радњи обраде података о личности („Службени гласник РС”, број 35/09);

3) Правилник о обрасцу легитимације овлашћеног лица за вршење надзора по Закону о заштити података о личности („Службени гласник РС”, број 35/09).

Министарство правде припрема подзаконски акт о начину архивирања и мерама заштите нарочито осетљивих података, који треба да донесе Влада.

 

4. Други законски и подзаконски акти од значаја за заштиту података о личности

 

Други закони и прописи у Републици Србији уређују област заштите података о личности, нпр. прописи који уређују: банкарски сектор, сектор пензијско-инвалидског и здравственог осигурања, заштиту здравља, сектор безбедности, сектор телекомуникација, сектор образовања, сектор радних односа, слободан приступ информацијама од јавног значаја, оглашавање и рекламирање, архивску грађу, тржиште хартија од вредности и др.

С обзиром да је општи правни оквир који уређује заштиту података о личности настао тек крајем 2008. године, многи закони и други прописи нису усклађени са тим правним оквиром. Због тога је потребно утврдити који закони и други прописи уређују материју заштите података о личности и извршити анализу њихове усклађености са Законом о заштити података о личности и подзаконским актима донетим на основу тог закона.

Постоје, такође, веома важне области у којима још увек нису донети одговарајући прописи којима се уређује питање обраде података о личности које је веома заступљено у тим областима, као што су нпр. маркетинг, видео надзор, употреба биометријских података и др.

 

5. Међународни документи и прописи од значаја за заштиту података о личности

 

– Европска конвенција за заштиту људских права и основних слобода из 1950. године;

– Европска конвенција о заштити лица у погледу аутоматске обраде личних података Савета Европе, усвојена 28. јануара 1981. година у Стразбуру и Додатни протокол уз Конвенцију о заштити лица у односу на аутоматску обраду личних података, у вези са надзорним органима и прекограничним протоком података, сачињен у Стразбуру 2001. године;

– Конвенција о спровођењу Шенгенског споразума од 14. јуна 1985. године између влада Економске уније Бенелукса, Савезне Републике Немачке и Француске Републике, о поступном уклањању контроле на заједничким границама;

– Директива Европског парламента и Савета, о заштити грађана у вези са обрадом личних података и слободном кретању тих података (95/46/ЕЗ од 24. октобра 1995. године);

– Директива Европског парламента и Савета, у вези обраде личних података и заштите приватности у електронском комуникационом сектору (2002/58/ЕЗ од 12. јула 2002. године);

– Директива Европског парламента и Савета о задржавању генерисаних или обрађених података у вези са обрадом у јавности расположивих електронских комуникационих сервиса или јавне комуникационе мреже и допуне (2002/58/ЕЗ и 2006/24/ЕЗ од 15. марта 2006. године);

– Директива Европског парламента и Савета у вези са обрадом личних података и заштитом приватности у телекомуникационом сектору (97/66/ЕЗ од 15. децембра 1997. године);

– Оквирна одлука о заштити личних података који се обрађују у оквиру полицијске и правне сарадње у кривичним стварима (2008/977/ЈХА).

 

6. Неопходност усклађивања домаћих прописа са прописима ЕУ

 

Републици Србији предстоји значајан задатак да са обезбеђивањем остваривања ефикасне заштите података о личности на основу постојећег уставног и законског оквира, истовремено тај оквир и даље развија и усаглашава са напред наведеним међународним документима. То подразумева даље усклађивање домаћег правног система заштите података о личности, као и доношење нових прописа у овој области, да би се:

– обезбедило остваривање загарантованог права и слободе на заштиту података о личности у складу са чланом 42. Устава Републике Србије;

– унапредио правни систем Републике Србије, посебно нови правни оквир заштите података о личности;

– извршиле обавезе које произилазе из потписаног Споразума о стабилизацији и придруживању;

– ускладило домаће законодавство са прописима ЕУ и обезбедили услови за остваривање обавеза које произилазе из чланства Републике Србије у Савету Европе.

 

6.1. Усклађивање Закона о заштити података о личности са прописима ЕУ

 

Неопходне су измене и допуне Закона о заштити података о личности, како би се ускладио са прописима ЕУ и обезбедило:

– усклађивање заштите података о личности са одредбама Директиве 95/46/ЕЗ, које је условљено развојем новије судске праксе Суда европских заједница у Луксембургу и права заштите података о личности у државама чланицама ЕУ, као и праксом Европског суда за заштиту људских права у Стразбуру;

– несметано функционисање и обезбеђивање независности надзорног органа у складу са европским стандардима;

– веће остваривање права грађана Републике Србије на заштиту података о личности, као и већу одговорност лица која воде збирке података о личности у јавном и приватном сектору, ради законите обраде података о личности;

– доследна примена начела законитости и сразмерности у обради и заштити личних података.

 

6.2. Усклађивање законских и подзаконских прописа из других области са Законом о заштити података о личности

 

У циљу ефикасније и квалитетније заштите података о личности, неопходно је утврдити мере којима се спречава јавно објављивање података из приватног живота лица и прослеђивање тих података другим субјектима изван сврхе утврђене законом. У складу са тим, изузетно је значајно утврдити критеријуме безбедности података да би они одговарали стварном стању.

Неопходно је, утврдити који се закони и подзаконски прописи у правном систему Републике Србије односе на обраду података о личности, да би се они ускладили са системским решењима. Ови прописи морају бити потребни и бити примењиви од оних субјеката чији се послови овим прописима уређују.

Мере:

– утврдити који закони уређују поједина питања која се односе на заштиту података о личности и извршити анализу њихове усклађености са Законом о заштити података о личности;

– припремити предлоге измена и допуна ових закона и обезбедити њихово усвајање;

– анализирати измене и допуне подзаконских прописа који се односе на обраду података о личности, како би се усагласили са општим прописима који уређују заштиту података о личности;

– у припреми и доношењу нових закона и других прописа који уређују поједине области, а којима се успостављају нове збирке података о личности или на други начин уређује обрада података о личности, обезбедити доследну примену општих принципа утврђених Законом о заштити података о личности, међународним документима и стандардима држава чланица ЕУ, а у сарадњи са Повереником.

 

IV. ЈАВНОСТ РАДА, ЈАЧАЊЕ ПОВЕРЕЊА ГРАЂАНА У ИНСТИТУЦИЈЕ КОЈЕ СЕ БАВЕ ОБРАДОМ ПОДАТАКА О ЛИЧНОСТИ И РАЗВОЈ ИНФОРМАЦИОНИХ ТЕХНОЛОГИЈА

 

1. Обезбеђење јавности рада јавног и приватног сектора

 

Закон о заштити података о личности утврђује значење основних појмова који се у њему користе, као што су: податак о личности, физичко лице, обрада података, орган власти, руковалац података, збирка података, корисник података, обрађивач података, писмени облик и централни регистар збирке података. Руковалац података је свако физичко или правно лице, односно орган власти који обрађује податке.

Заштита података о личности се односи на сва физичка и правна лица, укључујући и органе власти, а која су установљена, регистрована или имају седиште у Републици Србији, као и на сва лица која нису регистрована у Републици Србији, али која за обављање својих послова прикупљају податке о личности (фотокопијом идентификационих и других докумената, узимањем биометријских података, архивирањем видео-снимака просторија под видео надзором итд.) и употребљавају аутоматску или другу опрему за обраду података о личности, осим ако се та опрема искључиво користи само за пренос података.

Мере:

– обезбедити да заштита података о личности обухвати све субјекте који се баве прикупљањем, коришћењем, чувањем и другим радњама обраде података о личности;

– обезбедити да сва правна и физичка лица буду упозната са својим правима и обавезама у вези са заштитом података о личности;

– обезбедити да свако лице чији подаци се прикупљају буде обавештено на који начин и у које сврхе се располаже његовим подацима који су прикупљени или уступљени другим субјектима.

 

2. Јачање поверења грађана у институције јавног и приватног сектора које располажу подацима о личности

 

Поверење грађана у институције јавног и приватног сектора један је од основа ефикасног функционисања државне власти, као и креирања и усмеравања државне политике. Обезбеђујући сигурност грађана успостављањем одговарајућих механизама заштите података о личности и сталним пружањем информација грађанима о њиховим правима и обавезама у вези са заштитом података о личности, носиоци власти, а посебно извршна власт, јачаће поверење грађана у институције јавног и приватног сектора.

Закон о заштити података о личности утврђује услове за обраду података о личности. Обрада није дозвољена без пристанка овлашћеног лица или без законског овлашћења ако се врши у сврху која је другачија од оне за коју је одређена, ако сврха обраде није јасно одређена или је измењена и ако је начин обраде недозвољен, као и из других разлога прописаних законом. Закон уређује и обраду личних података са пристанком или без пристанка лица на које се подаци односе. Обрада без пристанка дозвољена је само у циљу остваривања или заштите животно важног интереса лица, у сврху извршења обавеза одређених законом и у другим случајевима који су искључиво прописани законом. Државни орган може да обрађује податке без пристанка ако је то потребно ради остваривања интереса безбедности, вођења кривичног поступка, заштите економских интереса државе, права и слобода и другог јавног интереса.

Према томе, обрада података о личности на одређеној територији могућа је само уколико је то утврђено у важећим законима или уз писмену сагласност лица на које се подаци односе, нпр. уговором или посебно слободно израженом вољом. Обрада података о личности није могућа уколико за то не постоји основ у прописима, односно не постоји сагласност лица на кога се подаци о личности односе.

Руковалац података дужан је да пре прикупљања и обраде података о личности о томе упозна лице на које се ти подаци односе и да га обавести о свом идентитету, сврси прикупљања и обраде података, начину коришћења, лицима која користе податке, правном основу прикупљања, правима која припадају лицу у случају недозвољене обраде и др. Упознавање лица са таквом обрадом података врши се у писменом облику. Такође, руковалац је дужан да обавести лице на које се подаци односе и корисника ових података, о измени, допуни или брисању података и то без одлагања, а најкасније у року од 15 дана од дана измене, допуне или брисања података.

Закон о заштити података о личности уређује и права и заштиту права лица чији се подаци обрађују. У вези са заштитом података о личности, лице чији се подаци обрађују, има следећа права: право на обавештење о обради, право на увид, право на копију и права поводом извршеног увида (под којим се подразумева да лице има право да од руковаоца захтева исправку, допуну, ажурирање, брисање података као и прекид и привремену обуставу обраде. Поступак остваривања ових права детаљно је уређен Законом.

Надлежност Повереника за информације од јавног значаја установљеног Законом о слободном приступу информацијама од јавног значаја из 2004. године проширена је Законом о заштити података о личности и на област заштите података о личности, што је и један од савремених трендова у упоредном праву. Сходно новим надлежностима, назив досадашње институције је промењен у Повереник за информације од јавног значаја и заштиту података о личности.

Закон о заштити података о личности, на тај начин, установљава и институционални оквир за унапређење и заштиту података о личности. Проширењем надлежности Повереника за информације од јавног значаја и на послове заштите података о личности избегнут је дуг период конституисања саме институције и њене стручне службе, што ће свакако убрзати успешну контролу у области заштите података о личности у којој Република Србија знатно заостаје. Повереник, према Закону, води и Централни регистар чија је основна сврха да грађанима пружи информације о томе који органи, правна и физичка лица, односно руковаоци података располажу подацима о личности и које збирке података о личности воде та тела, и у вези са тим Централни регистар има за сврху лакше остваривања права прописаних Законом.

Мере:

– обезбедити да за сваку обраду података о личности постоји правни основ за обраду, без кога руковалац података не сме обрађивати податке;

– обезбедити да јавност зна када и у којим случајевима се могу тражити подаци о личности;

– обезбедити да сваки руковалац збирком података јасно утврди начин чувања података и ко може имати приступ подацима;

– унапредити свест руковалаца збирки података о томе да адекватно чување збирки података смањује могућност злоупотреба и незаконитог давања или коришћења података;

– обезбедити услове за ефикасну контролу, пре свега обезбедити услове Поверенику за несметано вршење надзора.

 

3. Развој и прилагођавање информационих технологија

 

Развијање и прилагођавање информационих технологија веома је битно за заштиту података о личности. Закон о заштити података о личности уређује питање обезбеђења података и евиденција. Законом су прописане организационе и техничке мере за заштиту података о личности од злоупотребе, уништења, губитка, неовлашћене промене или приступа. Руковалац података је дужан да образује и води евиденцију о подацима о личности и збиркама података које води, као и садржину ове евиденције. Руковалац има обавезу да пре започињања обраде, односно успостављања збирке података о личности, достави о томе обавештење Поверенику.

Заштита података о личности захтева прилагођавање информационих технологија да би се подаци о личности обрађивали на законит начин. Претпоставка остваривања права на заштиту података о личности јесте постојање таквих технологија и мера обезбеђења података које руковаоцу података омогућују да у сваком тренутку може утврдити када су подаци у збирци података обрађивани, коришћени или мењани, ко је то урадио, због чега и по ком основу. Такво праћење коришћења података изузетно је значајно за спречавање злоупотребе у руковођењу збирком података о личности. Тиме се обезбеђује надзор над приступом збирци података за све који могу да јој приступе.

Такође, треба изградити свест сваког лица да нема неограниченог приступа подацима, да је приступ дозвољен само на основу изричитих овлашћења за вођење одређених управних, судских или других поступака.

Спољно праћење обраде података представља надзор над давањем података о личности другим корисницима. Посебно је важно, да сваки корисник података мора доставити руковаоцу правни основ за приступ подацима о личности, а да руковалац збирком све те основе забележи за потребе надзора.

Мере:

– обезбедити да се обавеза недржавних субјеката у погледу обавезе давања информација државним органима и организацијама о физичком лицу чијим подацима располаже у својој збирци, остварује у складу са законом;

– обезбедити доследно поштовање законске обавезе у погледу обавештавања грађана о подацима који се о њима прикупљају и у коју сврху;

– обезбедити да овлашћења органа, односно лица којима је поверено спровођење заштите података о личности, односно закона буду јасно утврђена;

– обезбедити примену прописаних техничких стандарда у вођењу електронских база података;

– обезбедити лицима која обрађују податке обуку о знањима и вештинама обраде и заштите података о личности;

– обезбедити примену мера заштите података и интегритета компјутерских система у физичком и безбедносном смислу:

a) утврдити обавезне стандарде и нормативе које треба да примењују технички извршиоци, односно информатичари;

б) стандардизовати електронски увид у збирку података, применом начела праћења коришћења података помоћу информационих технологија (ИТ);

в) уредити повезивање збирки података о личности унутар јавног сектора, за које је потребно обезбедити високе ИТ стандарде и утврдити када се такво повезивање уопште може спровести;

– ради обезбеђивања права лица на приступ подацима о личности, обезбедити информатизацију збирки података и креирати логбук („logbook”) – дневник увида.

 

V. ИНСТИТУЦИОНАЛНИ ОКВИР ЗА СПРОВОЂЕЊЕ ЗАШТИТЕ ПОДАТАКА О ЛИЧНОСТИ

 

1. Изградња институције независног органа – Повереника за информације од јавног значаја и заштиту података о личности

 

Један од основних предуслова за заштиту података o личности је успостављање независног државног надзорног органа за заштиту података о личности. Чланом 81. Споразума о стабилизацији и придруживању између Европских заједница и њихових држава чланица и Републике Србије, предвиђено је да ће ступањем на снагу тог споразума, Република Србија ускладити своје законодавство у области заштите података о личности са правом Заједнице и са другим међународним документима који уређују право на приватност, као и да ће Република Србија образовати независни надзорни орган са финансијским и људским ресурсима довољним да би се спроводила ефикасна контрола и гарантовало спровођење закона у области заштите података о личности.

Директива 95/46/ЕЗ, у члану 28, такође, одређује да свака држава чланица мора обезбедити да један или више органа на њеној територији буде одговоран за надзор над спровођењем одредаба које су државе чланице усвојиле у складу са том директивом. Ти органи морају бити потпуно независни у обављању функција које су им установљене. Свака држава чланица мора да обезбеди да се у припреми мера и изради прописа који су у вези са заштитом права и слобода по питању обраде података о личности, надлежни органи консултују са надзорним органима.

Додатни протокол уз Конвенцију о заштити лица у односу на аутоматску обраду личних података, у вези са надзорним органима и прекограничним протоком података, у члану 1, такође, предвиђа да надзорни органи врше своје функције потпуно независно и да имају посебно овлашћење да истражују и да се умешају, као и овлашћење да се укључе у правне поступке или да укажу надлежним правосудним органима на кршење одредаба домаћег права којима се штите начела утврђена Протоколом.

Шенгенска конвенција, у члану 114, такође, захтева независан надзор, тако што прописује да свака страна уговорница именује надзорни орган, који је по националном законодавству надлежан за спровођење независног надзора збирке података националног дела шенгенског информационог система и за проверавање да обрада и коришћење података који су унети у шенгенски информациони систем не представља кршење права лица на која се подаци односе. У том циљу, надзорни орган има приступ збирци података националног дела шенгенског информационог система.

У складу са наведеним документима и Законом о заштити података о личности установљене су надлежности Повереника за информације од јавног значаја и у области заштите података о личности. Повереник је Законом преименован у Повереника за информације од јавног значаја и заштиту података о личности, са статусом самосталног државног органа који је независан у вршењу својих надлежности, а коме је Закон почев од његове примене, од 1. јануара 2009. године, одредио централну улогу у заштити, промоцији и унапређењу заштите података о личности, укључујући и надзор над спровођењем закона. Овакво законско решење преузето из искустава других земаља, према коме функције надзорног органа и заштиту права у вези са обрадом личних података врши орган који штити право на слободан приступ информацијама од јавног значаја, показало се као ефикасно и целисходно, будући да исти орган цени претежност интереса, између права јавности на слободан приступ информацијама од јавног значаја и права на приватност.

Повереник, као независан орган, поступа по жалби подносиоца захтева за приступ подацима о личности. Подносилац захтева може изјавити жалбу Поверенику: против одлуке руковаоца података којом је одбијен или одбачен захтев, када руковалац података не одлучи по захтеву у прописаном року, ако руковалац података не стави на увид податак, ако не изда копију података или то не учини у року и на начин прописан законом, ако руковалац података услови издавање копије података уплатом накнаде која превазилази износ нужних трошкова израде копије или ако руковалац података, супротно закону, отежава или онемогућава остваривање права. Повереник доноси одлуку по жалби најкасније у року од 30 дана од дана подношења жалбе, с тим што жалбу претходно доставља руковаоцу података на изјашњење, а о наводима из одговора на жалбу се може изјаснити и подносилац жалбе. Повереник, односно лице кога он овласти има и право да, ради утврђивања чињеничног стања, омогући увид у податак, односно збирку података.

Према Закону о заштити података о личности, решење Повереника по жалби је обавезујуће, коначно и извршно, с тим да Влада, у случају потребе, обезбеђује извршење решења Повереника. Оваква одредба какву садржи и Закон о слободном приступу информацијама од јавног значаја, захтева да Влада утврди механизме за њено спровођење.

Против одлуке Повереника, странка која сматра да јој је повређено право или интерес, може покренути управни спор.

Ограничења права надзорног органа у области заштите података о личности из члана 45. Закона о заштити података о личности, стављена су ван снаге доношењем Закона о тајности података децембра 2009. године што је важно са аспекта обезбеђења несметаног надзора прописаних Додатним протоколом уз Конвенцију о заштити лица у односу на аутоматску обраду личних података Савета Европе, Директивом 95/46/ЕЗ и Шенгенском конвенцијом.

Поред надлежности које се односе на поступање по жалби, Поверенику су установљене и друге веома обимне надлежности у вези са заштитом података: да надзире спровођење заштите података, да води Централни регистар, да надзире и дозвољава изношење података из Републике Србије и саставља листу држава и међународних организација које имају одговарајућу уређену заштиту података. Повереник, такође, указује и на уочене злоупотребе приликом прикупљања података, даје мишљење о томе да ли неки скуп података представља збирку података, као и мишљење у вези са успостављањем нових збирки података. Повереник прати примену мера за заштиту података и предлаже побољшање тих мера, даје предлоге и мере за унапређење заштите података и др.

Имајући у виду напред изнето, у наредном периоду мора се посветити посебна пажња, да се, у складу са захтевима из наведених међународних докумената, обезбеде нужне претпоставке за пуну заштиту права грађана у вези са обрадом њихових података.

Мере:

– да Влада, у што краћем року, донесе подзаконски акт о начину архивирања и мерама заштите нарочито осетљивих података, у складу са чланом 16. став 5. Закона о заштити података о личности, као предуслов за усклађивање постојећих збирки података са Законом;

– обезбедити неопходне нормативне претпоставке за остваривање функције Владе на обезбеђењу извршења решења Повереника, донетих у поступку по жалби за заштиту права, у случају када је то неопходно;

– да Повереник обезбеди функционисање Централног регистара за вођење евиденција збирки података, у складу са Законом;

– отклонити нормативне недостатке Закона о заштити података о личности на основу искуства Повереника у примени тог закона и међународних стандарда;

– да Повереник, пратећи поступање свих субјеката у вези са заштитом података о личности, нарочито органа јавне власти, иницира потребне измене прописа у циљу побољшања нормативног оквира за заштиту података са становишта Закона о заштити података о личности.

Као другостепени орган и надзорни орган у области заштите података о личности, у складу са Законом о заштити података о личности и преовлађујућом праксом у државама Европске уније, Повереник ће обезбеђивати:

– упутства руковаоцима збирки података у вези са обрадом и заштитом података;

– преглед и надзор над збиркама података о личности руковаоца;

– надзор над прикупљањем, похрањивањем, обрадом и објављивањем података о личности;

– заштиту права лица у вези са обрадом његових података у поступку по жалби;

– транспарентност евиденција збирки података, обезбеђењем увида у Централни регистар збирки података.

 

2. Капацитети Повереника

 

Акт о унутрашњој организацији и систематизацији радних места, Повереник је донео у новембру 2008. године и Народна скупштина је на тај акт дала сагласност у јануару 2009. године. Актом је предвиђено да служба Повереника има укупно 69 запослених за остваривање постојећих и нових надлежности, при чему се руководило искуствима из земаља у окружењу. Будући да буџетом Републике Србије за 2009. годину није било опредељено довољно средстава за рад Повереника, у тој години није било могуће запошљавање извршилаца за обављање послова на заштити података о личности. Поред тога, није обезбеђен и одговарајући простор за рад стручне службе Повереника у вези са вршењем нових надлежности.

Почетком 2010. године отклоњене су препреке у погледу буџета Повереника и дата је сагласност на Кадровски план за 2010. године, а извесно је и обезбеђење додатног простора за рад.

У вези са капацитетима, треба констатовати да у Републици Србији, специјализованих кадрова за заштиту података о личности готово да нема или их има јако мало, због чега се специјализацији кадрова мора посветити највећа пажња. Такође, техничка модернизација рада службе Повереника је неопходна. Улагање у опрему је нужно, нарочито у погледу стандардизованости и модернизације, имајући у виду системе и опрему преко којих се данас прикупљају, обрађују, користе и чувају подаци о личности. То је основни предуслов за брзу реакцију и ефикасан надзор Повереника у случају да државни органи или приватна лица незаконито и противправно прикупљају податке о личности и за успешну борбу за спровођење заштите података о личности.

У 2009. години, у одсуству одговарајућих капацитета, Повереник је, осим доношења аката из његове надлежности за спровођење Закона, успео да, уз подршку међународних субјеката, припреми Водич кроз Закон о заштити података о личности, нацрт Стратегије, као и да успостави Централни регистар збирки података, започне едукацију за примену Закона и да изради нови потпунији сајт Повереника, а све у циљу промовисања права на заштиту података о личности и др.

Мере:

– Влада ће обезбедити простор за рад службе Повереника;

– Повереник наставља са пријемом запослених, користећи и могућности јавно-приватног партнерства у циљу запошљавања најбољих кадрова;

– Повереник, у складу са обезбеђеним материјалним условима, наставља са опремањем службе на начин који у погледу савремених техничких решења може да одговори захтевима пуног надзора над обрадом података;

– Повереник ће сачинити програм стручног оспособљавања и специјализације запослених на пословима заштите података и предузимати мере ради његовог спровођења, путем семинара и других видова образовања, кроз практичну обуку, студијске посете сличним институцијама у другим земљама, програме које финансирају или организују међународне организације, стажирање у сличним институцијама земаља чланица ЕУ, праћење међународних усвојених стандарда и др.;

– надлежне службе Владе ће материју заштите података о личности укључити у редовне годишње програме обуке државних службеника и програм полагања државног стручног испита;

– Повереник ће подстицати надлежне асоцијације, привредне и друге коморе да организују стручне скупове и друге облике образовања за представнике својих чланова о заштити података о личности.

 

3. Повереник и јавност

 

У спровођењу система заштите података о личности, однос Повереника и „јавности” од кључног је значаја. Ово се показало тачним и у другим државама, а у Републици Србији и у неким другим областима.

 

3.1. Упознавање јавности са системом заштите података о личности

 

Заштита података о личности је део основног људског права на приватност. Европска конвенција за заштиту људских права и основних слобода у члану 8. утврђује да свако има право на то да се поштује његов приватни и породични живот, стан и преписка и да се јавне власти неће мешати у вршење овог права, осим ако то није у складу са законом и неопходно у демократском друштву у интересу националне безбедности, јавне безбедности или економске добробити земље, ради спречавања нереда или криминала, заштите здравља или морала или ради заштите права и слобода других. Прописи Европске уније указују на обавезу да се појединци о којима се сакупљају подаци обавесте о обради њихових личних података и да им мора бити обезбеђена могућност да сами одлучују на који начин ће се тако сакупљени подаци користити. Такође, наведеним прописима уређује се и право приступа подацима о личности и обезбеђује судска заштита и накнада због кршења тих права.

С обзиром на сложеност заштите података о личности, као људског права и права која из њега за грађане проистичу, установљени систем заштите података о личности може се делотворно спровести само уз активно учешће грађана.

Грађанин, као активни учесник друштвених процеса, али и субјекат права на заштиту података о личности, мора бити адекватно обавештен о свом праву, начину његовог остваривања, могућим начинима законске заштите, раду Повереника, али и о механизмима заштите изван државе, пре свега пред Европским судом за заштиту људских права. Према томе, стално образовање грађана је један од кључних фактора успешног спровођења заштите података о личности.

Медијским кампањама, редовним обавештавањем јавности, сталним усавршавањем и образовањем руковалаца података, али и грађана у вези са системом заштите података о личности, као и преко интернет страница Повереника, Владе и других државних органа, јавност треба да буде детаљније упозната о правима и обавезама које произилазе из система заштите података о личности.

Мере:

– објавити, промовисати и дистрибуирати Водич кроз Закон о заштити података о личности што ширем кругу грађана, укључујући и руковаоце података;

– обезбедити остваривање права увида у каталог збирки података о личности заинтересованим субјектима, у складу са Законом;

– обезбедити добијање информације о обради података, о постојању конкретних података о личности у одређеној збирци, о начину њихове обраде, сврси коришћења и о томе да ли се подаци објављују;

– обезбедити остваривање права заинтересованог лица на добијање копије сопствених података из успостављене збирке података, у складу са Законом;

– обезбедити списак правних и физичких лица којима су подаци уступљени на коришћење, а који нису руковаоци збирки података о личности, за које сврхе су подаци уступљени, када и по ком правном основу;

– обезбедити информације о изворима из којих су подаци прикупљани за потребе формирања збирки података и самој методи обраде података;

– обезбедити да лице приликом аутоматске обраде његових података добије објашњење обрађивача о поступку доношења одлуке.

 

3.2. Улога грађана и медија у остваривању заштите података о личности

 

Удружења грађана за заштиту људских права, својим кадровским, стручним и другим потенцијалом, могу својим деловањем да дају веома значајан допринос на заштити података, а посебно: ширењем свести о заштити овог права, активним праћењем области заштите личних података и сарадњом са Повереником у остваривању функције заштите права и надзора у погледу обраде података о личности. То потврђује рад Коалиције за слободан приступ информацијама, као групе од 16 невладиних организација која је оформљена након доношења Закона о слободном приступу информацијама од јавног значаја 2004. године, која је показала како стручност и активан приступ доприносе остваривању људских права и ширењу свести, нарочито у оним областима које су нове и нису довољно познате, не само грађанима као субјектима овог права, већ и органима јавне власти, као носиоцима обавеза.

Медији, такође имају огроман значај за спровођење Закона о заштити података. Активан однос са јавношћу, како Повереника тако и Владе, нужан је предуслов за постизање успешне заштите података о личности. Медији су несумњиво показали колико информисање грађана, скретање пажње на проблеме у одређеној области и сл, може да буде значајно за подршку активностима надлежних органа, што се очекује и за област заштите података о личности. Медијска кампања у циљу подизања капацитета надзорног органа, али и капацитета у свим органима власти и другим субјектима који се баве обрадом података, сасвим сигурно ће допринети постизању бољих резултата у заштити података о личности у Републици Србији.

Мере:

– развијање сарадње Повереника и других државних органа са удружењима грађана и медијима;

– укључивање стручних и кадровских потенцијала невладиног сектора у јавне расправе о значајним питањима у области заштите података о личности;

– активан приступ према независном праћењу, од стране удружења грађана, спровођења заштите података о личности;

– укључивање удружења грађана у припрему нормативних решења за унапређење система заштите података о личности;

– медијске кампање у циљу спровођења закона;

– медијско праћење активности и промена у области заштите људских права.

 

VI. ПРИМЕНА СТРАТЕГИЈЕ

 

Да би се обезбедила пуна примена Стратегије и постигао успех у заштити података, Влада ће формирати посебно радно тело које ће пратити обезбеђење услова и спровођење Стратегије и Акционог плана, учествовати у координацији државних органа у циљу ефикасног функционисања система заштите података о личности, извештавати надлежне органе о спровођењу Стратегије и уоченим проблемима при њеној реализацији и иницирати измену Стратегије, у складу са новонасталим потребама или уоченим недостацима. Образовање посебног радног тела неће захтевати додатна финансијска средства у буџету Републике Србије.

 

VII. АКЦИОНИ ПЛАН

 

Акциони план за спровођење Стратегије, са дефинисаним активностима, очекиваним ефектима, носиоцима конкретних задатака и роковима за извршење задатака, Влада ће донети у року од 90 дана од дана објављивања Стратегије у „Службеном гласнику Републике Србије”.

 

VIII. ЗАВРШНИ ДЕО

 

Ову стратегију објавити у „Службеном гласнику Републике Србије”.

 

 

05 број 021-5864/2010

У Београду, 16. августа 2010. године

Влада

Председник,

др Мирко Цветковић, с.р.