Decentralizacija i unapređenje zaštite podataka o ličnosti: Studija slučaja Niša

Krećemo od kraja, odnosno od zaključka, gde se prvo osvrćemo na odnos dve, naizgled, nepovezive teme, ali ćemo ih ipak povezati na osnovu jedne zajedničke tačke, a to je Grad Niš. U nastavku ćemo pokazati kako decentralizacija može da se poveže čak i sa temom zaštite podataka o ličnosti i kako jedna može uticati na drugu.

Detaljna analiza praksi zaštite podataka o ličnosti u Gradu Nišu otkriva značajne izazove i nedoslednosti u poštovanju zakonskih obaveza. Ovi izazovi ukazuju na potrebu za sistemskim i strateškim pristupom u cilju poboljšanja mera zaštite podataka.

Povezivanje decentralizacije sa zaštitom podataka na lokalnom nivou nudi okvir za efikasno rešavanje ovih pitanja. Decentralizacija, promovisanjem lokalne autonomije i bližeg upravljanja građanima, može unaprediti sprovođenje zakona o zaštiti podataka poput GDPR-a. Jedinice lokalne samouprave, kao što je Grad Niš, mogu prilagoditi svoje politike zaštite podataka specifičnim potrebama i kontekstima svojih zajednica, osiguravajući da se podaci o ličnosti obrađuju odgovorno i transparentno.

Principi supsidijarnosti i lokalnog upravljanja omogućavaju efikasnije i odgovornije prakse zaštite podataka. Lokalne vlasti mogu efikasnije sarađivati sa zainteresovanim stranama, uključujući građane, preduzeća i civilno društvo, kako bi negovale kulturu svesti i usklađenosti u zaštiti podataka. Decentralizovanjem odgovornosti i resursa za zaštitu podataka, lokalne vlasti mogu osigurati da su podaci o ličnosti zaštićeni na način koji je u skladu sa nacionalnim i međunarodnim pravnim standardima, poput GDPR-a.

Sprovođenje preporuka iz nastavka ove analize, sa fokusom na lokalni kontekst i potrebe, ne samo da će unaprediti zaštitu podataka o ličnosti, već će i ojačati poverenje građana u lokalnu vlast. Kroz decentralizovan pristup, Grad Niš može postaviti presedan za druge lokalne samouprave, demonstrirajući kako se mogu postići robustne mere zaštite podataka na lokalnom nivou, što će u krajnjoj liniji doprineti ukupnoj sigurnosti i većem stepenu privatnosti podataka o ličnosti u čitavoj zemlji.

Uvod u pravnu oblast zaštite podataka o ličnosti

Ova pravna oblast je relativno mlada, ali obzirom da je nedavno doživela revoluciju na tlu Evrope i u našoj državi, utiska smo da smo tek na samom početku nečega što se zove „Pravo zaštite ličnih podataka“, kao nove pravne grane, sa svojim zakonodavnim okvirom, međunarodnim aktima, sa svojim unikatnim institutima.

Ovu oblast moramo posmatrati sa tri stanovišta, i to sa:

Stanovište fizičkog lica, odnosno lica čiji se podaci obrađuju;
Stanovišta kompanija, odnosno vlasnika baza ličnih podataka;
Stanovišta države, kao najmasovnijeg obrađivača.

Za svakog pojedinca podaci o ličnosti su njegova SLOBODA. – Za pojedinca su veoma važne lične slobode, bilo to lice svesno tog značaja ili ne. Naši podaci se sa razvojem tehnologija sve češće zloupotrebljavaju, iznose iz zemlje, stižu u državinu trećih lica, odnosno pravnih subjekata. Pojedinci moraju imati sigurnost u smislu da znaju koji njihovi podaci se obrađuju, kada, kako, pod kojim uslovima i šta se dalje dešava sa tim podacima, ko ih sve koristi i u koje svrhe. A mnoge druge naše slobode su zasnovane na kontroli naših ličnih podataka. Recimo glasačko pravo direktno ostvarujemo uz identifikaciju, a sa druge strane, u mnogim situacijama nije obavezno identifikovati se, a od nas se to ipak traži.

Za kompanije podaci o ličnosti su nova NAFTA. – Za kompaniju jedan od najvećih resursa su njene baze podataka. Nova regulativa pred pravna lica (kompanije) stavlja pitanje validnosti i time sigurnosti baza podataka. Ukoliko jedan državni organ ima moć da nam naredi brisanje baza podataka, koje prethodno proglasi nezakonito prikupljanim, javlja se rizik da naša tržišna prednost može biti u momentu izbrisana. Mnoge kompanije svoju tržišnu vrednost baziraju na bazama podataka koje poseduju. Mnoge kompanije se prodaju i kupuju zbog baza podataka. Zamislite kompaniju koja kroz spisak imejlova i imejl marketing (newsletter) plasira sve svoje proizvode i usluge. I onda zamislite da toj kompaniji stigne rešenje kojim se naređuje brisanje ovakve baze podataka iz razloga što isti nisu prikupljeni na zakonit način. U ovom slučaju mnogo više košta platiti na ćupriji, umesto na mostu.

Za državu podaci o ličnosti su KONTROLA. – Država ima tendenciju da ostvari kontrolu nad teritorijom i stanovništvom, u smislu raspolaganja informacijama. Kontrola koja podrazumeva bezbednost i jednostavnost sprovođenja javnih funkcija. Država vodi mnoge javne evidencije, a zatim uz pomoć tih javnih evidencija vodi mnoge javno-pravne postupke. Državnim organima uvek moraju biti dostupne informacije koje se tiču građana u cilju sprovođenja svih obaveza države. A večito će pitanje ostati koliko je informacija i na kojem mestu dovoljno da se jedna funkcija izvrši na zadovoljavajući način.

Kao što vidite, oblast zaštite podataka o ličnosti je nešto što je bitno svim činiocima ovih privatno-pravnih i javno-pravnih odnosa. Svi smo mi pogođeni ovim pitanjima, ali se još uvek nedovoljno nas bavi ovim pitanjima.[1]

Za potrebe ovog predloga, fokusiraćemo se na državne organe, odnosno na organe javne vlasti, konkretnije, ne one organe koji posluju na teritoriji Grada Niša.

Kada govorimo o normativnom, odnosno pravnom uređenju ove oblasti u Republici Srbiji, pre svega je zaštita podataka o ličnosti zajemčena članom 42. Ustava Republike Srbije iz 2006. godine[2], dok se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom. Kada kažemo zakonom, tu se misli na Zakon o zaštiti podataka o ličnosti (u daljem tekstu: ZZPL) koji nam donosi mnoge novine u ovoj oblasti, odnosno grani prava.

U opštem smislu, novim zakonskim rešenjima iz 2019. godine zabranjena je i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa zakonom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom. Svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sudsku zaštitu zbog njihove zloupotrebe. Nadležnost za nadzor nad njegovom primenom data je Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti.[3]

Imajući u vidu obaveze Republike Srbije preuzete u procesu evropskih integracija u oblasti usklađivanja nacionalnog pravnog okvira sa pravnim okvirom Evropske unije, kao i činjenicu da je postojeći Zakon o zaštiti podataka o ličnosti već bio zastareo i nije mogao da isprati promene uslovljene tehnološkim razvojem, Republika Srbija je 2018. godine usvojila novi Zakon o zaštiti podataka o ličnosti[4], koji se u velikoj meri po usvojenim rešenjima oslanja na Opštu uredbu o zaštiti podataka usvojenu u Evropskoj uniji, a primenjuje se u praksi od 22. avgusta 2019. godine.

Zakonska regulativa, nadležnosti i obaveze jedinica lokalne samouprave u zaštiti podataka o ličnosti

Kao najvažniji deo svake grane prava, a ako posmatramo zaštitu podataka kao posebnu granu prava, Načela su najvažnija pravila svake grane prava.

U mladim granama prava, koje nisu previše uređene zakonima i podzakonskim aktima, češće će se koristiti opšta načela. Svaka pojedinačna situacija koja nije opisana zakonom ili podzakonskim aktima se posmatra kroz prizmu opštih načela i traži se rešenje koje će zadovoljiti sva načela. Zato su načela u oblasti prava zaštite podataka o ličnosti ključna.

Dakle, u oblasti zaštite podataka o ličnosti načela igraju posebnu ulogu, obzirom da je u ovoj oblasti zakonodavac rešio da raskine sa pravnom tradicijom u Srbiji i pripremi potpuno novi pravni akt koji ispočetka uređuje ovu oblast. Odluka je bila da se ZZPL donese u skladu sa GDPR-om, a GDPR je takođe akt koji je napisan tako da ističe u prvi plan načela, gde je najvažnija obaveza poštovanje načela. Nije jasno propisano kako se ponašati u određenim situacijama, samo je jasno da u svim tim situacijama rukovalac mora da se trudi da budu ispoštovana ova načela.

ZZPL u članu 5. izdvaja sledeća načela: načelo zakonitosti, načelo poštenja, načelo transparentnosti, načelo ograničene svrhe, načelo minimizacije, načelo ograničenog čuvanja podataka i načelo integriteta i poverljivosti.

Kako se ističe u prvom praktičnom priručniku iz ove oblasti[5], načela predstavljaju logičan sistem i sled, komuniciraju međusobno, a u okviru ovog poglavlja mi ćemo izučavati ta načela.

Pored načela, zakon o zaštiti podataka o ličnosti definiše obaveze rukovalaca i obrađivača podataka o ličnosti gde je „rukovalac” fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade[6] dok je „obrađivač” fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.[7] „Organ vlasti” je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja.[8] Prema tome, sam zakon ne predviđa neka posebna pravila obrade i zaštite podataka od strane jedinica lokalne samouprave, već ih definiše opšte kao organ vlasti na koji se odnose sve odredbe zakona koje one treba da sprovode u praksi.

Zakon o zaštiti podataka o ličnosti propisuje brojne obaveze rukovalaca podacima i u zavisnosti da li se obaveze odnose na sve ili samo pojedine rukovaoce, možemo ih podelite na opšte i posebne obaveze.[9] Opšte obaveze se odnose na sve rukovaoce, nezavisno od specifičnosti rukovaoca, kao što je to slučaj sa organima vlasti, kao i nezavisno od obima obrade ili broja zaposlenih kod rukovaoca kao poslodavca. Pojedini rukovaoci imaju posebne obaveze koje su posledica bilo vrste rukovaoca, bilo podataka koji se obrađuju ili načina njihove obrade.

Opšte obaveze:

Primena svih načela obrade podataka: načelo zakonitosti (zakonitosti, poštenja i transparentnosti), načelo svrsishodnosti (ograničenosti svrhe), načelo srazmernosti (minimizacije podataka), načelo tačnosti podataka, načelo ograničenog čuvanja podataka, načelo bezbednosti podataka, načelo odgovornosti (čl. 5)
Postupanja po zahtevima (čl. 21-22)
Obaveštenje o obradi (čl. 23-24)
Ostvarivanje prava lica (čl. 26-40)

Posebne obaveze:

Ugovorni odnos sa obrađivačem (čl. 45)
Evidencije o radnjama obrade (čl. 47)
Beleženje radnji obrade nadležnih organa u posebne svrhe (čl. 48)
Obaveštenje o povredi zaštite podataka (čl. 52-52)
Procena uticaja na zaštitu podataka (čl. 54-55)
Lice za zaštitu podataka (čl. 56-58)
Kodeks postupanja (čl. 59)
Posebne obaveze u pogledu prenosa podataka o ličnosti u druge države i međunarodne organizacije

Dakle, broje obaveze rukovalaca bez ikakve sumnje mogu imati značajan uticaj na svakodnevno poslovanje jedinica lokalnih samouprava, kako u organizacionom smislu, tako i u kadrovskom i organizacionom smislu, pa na kraju krajeva i u finansijskom smislu. Jedinice lokalne samouprave obrađuju podatke u dve različite kategorije, i to:

U prvom planu podatke građana, odnosno korisnika njihovih usluga;
U drugom planu, jedinice lokalne samopuprave obrađuju i podatke svojih zaposlenih;

Zbog svega navedenog od izuzetnog je značaja da adekvatno primene „nove“ odredbe i uspostave prakse i standarde zaštite podataka o ličnosti od kojih su one najvažnije obaveze sledeće:

Određivanje lica za zaštitu podataka o ličnosti[10]
Objavljivanje kontakt podataka lica za zaštitu podataka o ličnosti[11]
Dostavljanje Povereniku kontakt podataka lica za zaštitu podataka o ličnosti[12]
Primena odgovarajućih internih akata o zaštiti podataka o ličnosti[13]
Vođenje evidencije radnji obrade podataka o ličnosti[14]
Prilikom obrade podataka o ličnosti sprovođenje odgovarajućih mera bezbednosti[15]
Procena uticaja obrade na zaštitu podataka o ličnosti i dobavljanje mišljenje Poverenika ukoliko je to potrebno[16]
Evidentiranje svake povrede podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje[17]
Obaveštavanje Poverenika o povredama podataka o ličnosti koje mogu da proizvedu rizik po prava i slobode fizičkih lica u roku od 72 časa[18]
Poštovanje posebnih prava i obaveza ukoliko se prenose podaci o ličnosti u drugu državu ili međunarodnu organizaciju[19]
Poštovanje posebnih prava i obaveza ukoliko se obrađuju posebne vrste podataka o ličnosti[20]
Određivanje obrađivača da u ime rukovalaca vrši obradu podataka o ličnosti i s tim u vezi uređivanje odnosa ugovorom ili drugim pravno obavezujućim aktom[21]

Iz svega prethodno navedenog može se izvesti zaključak da jedinice lokalne samouprave imaju brojne obaveze po pitanju ove „nove“ oblasti, naročito usvajanjem novih rešenja iz 2018. odnosno 2019. godine. Od jedinica lokalne samouprave kao rukovalaca podacima očekuje se i zahtevaja kompleksan sistemski, ali i organizaciono sistematski pristup realizaciji rešenja koja pomenuti Zakon zahteva. Takođe, kao obveznici Zakona o slobodnom pristupu informacijama od javnog značaja, lokalne samouprave se neretko nalaze u situaciji da procenjuju koje je od dva prava značajnije, pravo na zaštitu podataka o ličnosti ili slobodan pristup informacijama, što često nije lak zadatak, pokazala je praksa i utvrdile brojne fokus grupe sprovedene od strane predlagača ovog Predloga. Zato je i ovo bliže definisano Zakonom o zaštiti podataka o ličnosti koji nalaže da informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu informacije od strane organa vlasti na način kojim se obezbeđuje da se pravo javnosti da zna i pravo na zaštitu podataka o ličnosti mogu ostvariti zajedno, u meri propisanoj zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja i ovim zakonom.[22]

Izazovi u zaštiti podataka o ličnosti na nivou Grada Niša kao jedinice lokalne samouprave

Grad Niš, kao treći grad po veličini u Republici Srbiji, je kompleksan sistem sačinjen od 5 gradskih opština (koje nemaju status jedinice lokalne samouprave već samo gradske opštine), kao i brojnih institucija, javnih preduzeća, ustanova, organizacija i drugih pravnih lica koja spadaju u kategoriju organa javne vlasti. Za potrebe ovog teksta, sva nabrojana pravna lica imaju obavezu poštovanja svih odredbi definisanih Zakonom o zaštiti podataka o ličnosti. Broj tih odredbi je izuzetno veliki, a neke od njih predstavljaju vrlo složene i kompleksne procese i procedure koje se moraju sprovoditi i poštovati. U nastavku će biti pobrojane samo neke opšte odredbe kategorija tih procedura.

Dodatno, čak je i samoj službi Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (koji ima svoju mesnu kancelariju u Nišu) teško da sačini dovoljno precizan katalog organa javne vlasti na koje se primenjuju odredbe Zakona o slobodnom pristupu informacijama od javnog značaja i Zakona o zaštiti podataka o ličnosti.

Prema ovom Katalogu organa javne vlasti[23] koji je poslednji put ažuriran početkom 2024. godine u Gradu Nišu evidentirano je preko 250 različitih organa javne vlasti. Naravno, veliki broj njih su organi javne vlasti pod nadležnošću Republike Srbije (centralne vlasti), odnosno pravna lica iz oblasti obrazovanja, zdravstva, pravosuđa, privrede i sl. tako da su za potrebe ovog teksta uzeti u obzir samo organi javne vlasti koji su direktno u nadležnosti Grada Niša kao jedinice lokalne samouprave. Međutim, ovakvih organa javne vlasti i dalje nije malo, zapravo je broj veći od 125 organa javne vlasti, pa je za potrebe ovog teksta izvršen odabir najvećih i najznačajnijih organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave, koji pri tom obrađuju najveći broj podataka o ličnosti građana, gde se ubrajaju: Gradska uprava (sve prateće uprave), javne ustanove i javna preduzeća, odnosno ukupno 45 organa javne vlasti, čiji je kompletan spisak dat u Aneksu 1. ovog dokumenta.

Analiza javno dostupnih informacija izabranih organa javne vlasti, koji su u ingerenciji Grada niša kao jedinice lokalne samouprave, a obveznika Zakona o zaštiti podataka o ličnosti, na početku je pokazala da postoje brojni propusti i/ili nedostaci vezani za transparentnost njihovog rada u ovoj oblasti.

Internet prezentacije analiziranih organa javne uprave su uglavnom zastarele i retko se ažuriraju novim informacijama koje su potrebne građanima, ne pružaju javnosti dovoljno potrebnih informacija o svom radu u ovoj oblasti ili ih ne pružaju uopšte, čak i kada su informacije javno dostupne nije ih baš lako naći zbog načina na koji su internet prezentacije ili zvanični sajtovi organizovani i dizajnirani.

U ovakvoj situaciji analiza koliko zapravo izabrani organi javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave ispunjavaju svoje obaveze definisane Zakonom o zaštiti podataka o ličnosti je bila jako otežana i moguće je da realna situacija nije baš onakva kakva će ovde biti predstavljena na osnovu javno dostupnih informacija. Ono što je značajno pomoglo prilikom ove analize je rad lokalne organizacije civilnog društva Pravilaw[24] (čitaj Pravilo) koja se bavi problematikom primene Zakona o zaštiti podataka o ličnosti na lokalnom i regionalnom nivou. U prethodnom periodu su na osnovu Zakona o slobodnom pristupu informacijama od javnog značaja[25] tražili podatke o primeni Zakona o zaštiti podataka o ličnosti od organa javne vlasti, na osnovu kojih je uz podršku Evropske unije napravljena platforma Otisak[26] koja građanima Republike Srbije nudi jedinstvenu mogućnost da provere koliko su im bezbedni i zaštićeni podaci o ličnosti koje ostave i povere nekom organu javne vlasti. Platforma Otisak je korišćena za uporednu analizu javno dostupnih informacija u oblasti primene obaveza definisanih Zakonom o zaštiti podataka o ličnosti od strane izabranih organa javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave, jer se pokazalo da mnogi od njih bar deo obaveza poštuju, ali da podaci o tome nažalost nisu i javno dostupni.

Opšti zaključak nakon sprovedene analize je da u ovoj oblasti među lokalnim organima javne vlasti na nivou Grada Niša kao jedinice lokalne samouprave postoji izražen stepen neusaglašenosti, kako u izvršavanju obaveza u sprovođenju Zakona o zaštiti podataka o ličnosti, tako i u javno dostupnim informacijama o ovoj temi. Informacije i realna situacija se razlikuju od organa javne vlasti do organa javne vlasti koji su analizirani, iako su svi oni u nadležnosti jedne iste jedinice lokalne samouprave tj. Grada Niša i primenjuju isti Zakon o zaštiti podataka o ličnosti. Nažalost, među organima javne uprave na nivou Grada Niša kao jedinice lokalne samouprave slična je situacija i sa primenom Zakona o slobodnom pristupu informacijama od javnog značaja koji bi trebalo da obezbedi njihovu transparentnost u radu i da informacije o tome učini lako i jednostavno dostupnim građanima. Iako je zakonska obaveza svih organa javne vlasti da objavljuju Informatore o svom radu[27] to nažalost nije praksa svih lokalnih organa javne vlasti koji su analizirani, bar prema javno dostupnim informacijama. Takođe, u praksi se dešava da je Informator o radu urađen, ali da je objavljen samo u Jedinstvenom informacionom sistemu Informatora o radu[28] koji vodi služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, a ne i na internet prezentaciji samog lokalnog organa javne vlasti koji je i izradio informator o svom radu. Naravno, javlja se i obrnuta situacija, da je Informator o radu objavljen na internet prezentaciji organa javne uprave, ali ne i u Jedinstvenom informacionom sistemu Informatora o radu. Pri tom, iako bi Informatori o radu organa javne uprave trebalo da budu unificirani, tj. jednako urađeni u skladu sa Uputstvom za izradu i objavljivanje informatora o radu organa javne vlasti[29] u praksi se često dešava da ne pružaju jednake i/ili sve potrebne informacije o radu i da se ne ažuriraju redovno kako bi trebalo, u roku najkasnije do 30 dana od dana nastanka neke promene[30]. Tako da negde imamo situaciju da se tu npr. u potpunosti objavljuju svi potrebni podaci o licu imenovanom za zaštitu podataka o ličnosti, ali i o podaci o samom licu bez podataka za kontakt ili pak bez ikakvih informacija da li je takvo lice imenovano uopšte, iako je to zakonska obaveza organa javne uprave[31]. Nažalost, prema javno dostupnim informacijama to što u Informatorima o radu nema podataka o licu koje je imenovano za zaštitu podatak o ličnosti ne znači nužno da takvo lice nije zaista i imenovano.

Situacija u izvršavanju obaveza u sprovođenju Zakona o zaštiti podataka o ličnosti i javno dostupnim informacijama o tome je takođe vrlo različita u odnosu na to koji konkretno oblik organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave je u pitanju, odnosno da li je to organ javne uprave, javna ustanova ili javno preduzeće. Čak i među istim oblicima organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave postoje značajne razlike, iako opet svi oni primenjuju isti Zakon o zaštiti podataka o ličnosti. Primera radi, sve Gradske uprave Grada Niša na svojim internet prezentacijama imaju jasno i vidljivo istaknuta lica koja su imenovana za zaštitu podataka o ličnosti sa odgovarajućim kontakt podacima, dok u Informatorima o radu takve informacije kod nekih uprava postoje kod nekih ne i pri tom nemaju izrađene interne akte o zaštiti podataka o ličnosti. Sa druge strane, za Gradonačelnika Niša, Gradsko veće Grada Niša i Skupštinu grada Niša to nije slučaj i prema javno dostupnim informacijama ne može se ni zaključiti da li su takva lica uopšte i imenovana ni da li postoje interni akti o zaštiti podatak o ličnosti, a u Informatorima o radu o tome nema nikakvih podataka. Kod Gradskih opština situacija je još više raznolika tako da prema javno dostupnim informacijama Gradska opština Crveni Krst nema ni imenovano lice za zaštitu podataka o ličnosti ni interni akt o zaštiti podataka o ličnosti, Gradska opština Medijana bi trebalo da ima samo imenovano lice za zaštitu podataka o ličnosti ali nema nikakvih podataka o njemu, Gradska opština Pantelej bi trebalo da ima i interni akt o zaštiti podataka o ličnosti i imenovano lice za zaštitu podataka o ličnosti ali bez javno dostupnih informacija o tome, Gradska opština Palilula ima samo imenovano lice za zaštitu podataka o ličnosti koje se samo imenom i prezimenom pojavljuje u Informatoru o radu i nigde drugde, dok Gradska opština Niška Banja bi trebalo da poseduje i interni akt i da ima imenovano lice za zaštitu podataka o ličnosti, ali bez javno dostupnih informacija o tome.

Situacija među javnim ustanovama Grada Niša kao organima javne vlasti je takođe vrlo šarenolika kad su sprovođenje Zakona o zaštiti podataka o ličnosti i javno dostupne informacije o tome u pitanju. Od ukupno 17 organa javne vlasti iz ove kategorije koji su analizirani za čak 10 nema nikakvih javno dostupnih podataka o tome da li uopšte imaju interni akt i imenovano lice za zaštitu podataka o ličnosti, šta naravno ne znači da ih zaista i nemaju i ne primenjuju svoje zakonske obaveze. Narodno pozorište Niš ne poseduje interni akt ali ima imenovano lice za zaštitu podataka o ličnosti, ali su na svojoj internet prezentaciji objavili formular kojim se informacije o licu imenovanom za zaštitu podataka o ličnosti dostavljaju službi Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, koji pri tom nije ni adekvatno popunjen. U njemu su umesto službenih kontakt podataka imenovanog lica za zaštitu podataka o ličnosti objavljeni njegovi privatni kontakt podaci! U ovakvoj situaciji najblaže rečeno je upitno koliko lice koje je imenovano za zaštitu podataka o ličnosti ima kapaciteta da odgovori zakonskim obavezama kad ni svoje lične podatke nije zaštitilo. Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza iz člana 58. Zakona o zaštiti podataka o ličnosti.[32] Niški simfonijski orkestar i Istorijski arhiv Niš bi trebalo da imaju interni akt o zaštiti podataka o ličnosti, ali ovi dokumenti nisu javno dostupni i nemaju imenovao lice za zaštitu podataka o ličnosti, iako su izradili interne akte. Narodni muzej Niš bi trebalo da ima samo imenovano lice za zaštitu podataka o ličnosti, ali nema javno dostupnih informacija o njemu, dok Narodna biblioteka Stevan Sremac ima samo imenovano lice za zaštitu podataka o ličnosti čije je ime i prezime objavljeno samo u Informatoru o radu ali bez kontakt podataka, pri tom je to pomoćnik direktora, diplomirani sociolog. Javna predškolska ustanova Pčelica, Dečiji kulturni centar Niš i Apotekarska ustanova Niš bi trebalo da poseduju i interni akt i da imaju imenovana lice za zaštitu podataka o ličnosti, ali informacije o tome nisu javno dostupne na njihovim internet prezentacijama. Jedino Centar za socijalni rad Sveti Sava Niš sigurno poseduje i interni akt i imenovano lice za zaštitu podataka o ličnosti jer su javno dostupni na njihovoj internet prezentaciji sa svim potrebnim kontakt podacima.

Ni kod javnih preduzeća Grada Niša kao organima javne vlasti situacija sa sprovođenjem Zakona o zaštiti podataka o ličnosti i javno dostupnim informacijama o tome pitanju nije nimalo bolja odnosu na javne ustanove. Od 13 analiziranih javnih preduzeća za čak 5 nema baš nikakvih javno dostupnih podataka o ovom pitanju. JKP za pijačne usluge Tržnica bi trebalo da ima imenovano lice za zaštitu podataka o ličnosti, ali ne i interni akt, a i o licu nema podataka na njihovoj internet prezentaciji. JP Gradska stambena agencija sa druge strane bi trebalo da ima interni akt o zaštiti podataka o ličnosti koji nije javno dostupan, a nema imenovano lice. JKP Gorica prema dostupnim informacijama bi trebalo da poseduje i interni akti i da ima imenovano lice za zaštitu podataka o ličnosti, ali ništa od toga nema na njihovoj internet prezentaciji. JKP Direkcija za javni prevoz Grada Niša bi trebalo da poseduje interni akt za zaštitu podataka o ličnosti koji nije javno dostupan i ima imenovano lice koje je objavljeno na njihovoj internet prezentaciji, ali bez ikakvih kontakt podataka. JKP Objedinjena naplata poseduje interni akt za zaštitu podataka o ličnosti koji je dostupan na njihovoj internet prezentaciji, kao i imenovano lice, ali bez kontakt podataka. JKP Parking servis poseduje interni akt za zaštitu podataka o ličnosti koji je dostupan na njihovoj internet prezentaciji, kao i imenovano lice, ali bez kontakt podataka, a da pri tom ove dve stvari čak nisu ni u istoj kategoriji dostupnih informacija. JKP Gradska toplana i JKP Mediana bi trebalo da poseduju i interne akte i lica imenovana za zaštitu podataka o ličnosti, ali su informacije samo o licima javno dostupne zajedno sa kontakt podacima.

Na kraju ovog preseka trenutne situacije (za period 2021 – 2024) u sprovođenju Zakona o zaštiti podataka o ličnosti i javno dostupnim informacijama o tome među organima javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave, vezano za imenovanje lica, objavljivanje kontakt podataka lica i donošenja internih akata o zaštiti podataka o ličnosti, treba istaći da svi organi javne vlasti NISU DUŽNI da imaju imenovana lica i interne akte za zaštitu podataka o ličnosti ali MOGU to da imaju.

Rukovalac i obrađivač podataka o ličnosti DUŽNI SU da odrede lice za zaštitu podataka o ličnosti, u sledećim situacijama ako se:

obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja
osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose
osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti iz člana 17. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu[33]

Imajući ovu činjenicu u vidu, vrlo je moguće da neki od analiziranih organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave koji nemaju imenovana lica i interne akte za zaštitu podataka o ličnosti, nisu ni dužni da ih imaju jer ne ispunjavaju zakonski zahtevane uslove (koji su svakako nekoncizni po ovom pitanju), ali je na osnovu javno dostupnih informacija to bilo nemoguće adekvatno proceniti za sve. Ipak, primera radi, za očekivati je da među javnim preduzećima kao organima javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave ima onih koji bi trebalo da su dužni da imaju interne akte i imenovana lica za zaštitu podataka o ličnosti jer obrađuju veliki broj lica na koje se podaci odnose u svom svakodnevnom poslovanju, kao što su recimo JKP za vodovod i kanalizaciju Naissus ili JP za stambene usluge Niš stan. Isto verovatno važi i za bar neke od javnih ustanova kao organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave, kao što su recimo Narodni univerzitet Niš, Centar za pružanje usluga iz oblasti socijalne zaštite Mara i Sigurna kuća za žene i decu žrtve porodičnog nasilja, od kojih poslednje dve javne ustanove verovatno obrađuju i posebne vrste podataka o ličnosti, npr. o zdravstvenom stanju lica koja su korisnici njihovih usluga, te bi dodatno trebalo da sprovode obaveze koje su definisane Zakonom o zaštiti podataka o ličnosti u ovakvim slučajevima.

Pored imenovanja lica, objavljivanje kontakt podataka lica i donošenja internih akata o zaštiti podataka o ličnosti organi javne vlasti su dužni da sprovode još niz drugih obaveza definisanih zakonom, kao što je već ranije navedeno. Međutim, javno dostupnih podataka o tome koliko se zaista izvršavaju te obaveze nema, čak ukoliko su one i definisane u internim aktima za zaštitu podataka o ličnosti kod onih organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave koji su te akte doneli. Ne može se na primer proveriti da li su kontakt podaci lica za zaštitu podataka o ličnosti, onih organa javne vlasti u nadležnosti Grada Niša kao jedinice lokalne samouprave koji ih imaju imenovana, zaista i dostavljeni službi Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, jer jedinstvena evidencija koja o tome postoji nije javno dostupna. Takođe, na osnovu javno dostupnih informacija nemoguće je utvrditi da li analizirani organi javne vlasti vode evidenciju radnji obrade podataka o ličnosti, da li prilikom obrade podataka o ličnosti zaista i sprovode odgovarajuće mere bezbednosti čak i ukoliko imaju definisane interne akte za zaštitu podataka o ličnosti kojima se to određuje. Isto važi i za obavezu evidentiranja svake povrede podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje, kao i procenu uticaja obrade na zaštitu podataka o ličnosti i dobavljanje mišljenja Poverenika ukoliko je to potrebno. Određivanje obrađivača da u ime rukovalaca vrši obradu podataka o ličnosti i s tim u vezi uređivanje odnosa ugovorom ili drugim pravno obavezujućim aktom je takođe teško proveriti da li se sprovodi u praksi na osnovu javno dostupnih informacija.

Mora se istaći da je vrlo moguće da organi javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave sve svoje zakonske obaveze u ovoj oblasti zaista i sprovode u praksi, ali nažalost Zakonom o zaštiti podataka o ličnosti nije predviđena zakonska obaveza podnošenja redovnih godišnjih izveštaja o tome službi Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, kao što je to recimo slučaj sa Zakonom o slobodnom pristupu informacijama od javnog značaja.[34] Zbog toga generalno ima malo javno dostupnih informacija o tome kako organi javne vlasti u praksi sprovode svoje obaveze definisane Zakonom o zaštiti podataka o ličnosti, pri tom koliko se iz javno dostupnih informacija može zaključiti oni na neki sistemski i sistematizovani način uglavnom i ne vode evidenciju o tome. Poseban problem je što neki od organa javne vlasti odbijaju da budu transparenti i pružaju informacije o tome čak ni po zahtevima za slobodan pristup informacijama od javnog značaja, što se može zaključiti iz informacija dostupnih na već pomenutoj internet platformi za proveru bezbednosti i zaštićenosti podataka o ličnosti Otisak.

Preporuke za unapređenje zaštite podataka o ličnosti na nivou Grada Niša kao jedinice lokalne samouprave

Analiza trenutne situacije kada je u pitanju sprovođenje Zakona o zaštiti podataka o ličnosti u Gradu Nišu je pokazala da postoje veliki problemi, a da bi se trenutna situacija po ovom pitanju mogla poboljšati neophodno je u praksi implementirati sledeće preporuke, uz konstataciju da se ne odnose sve preporuke na baš sve organe javne vlasti:

formirati specijalnu radnu grupu od predstavnika svih oblika organa javne vlasti (uprave, preduzeća i ustanova) koja bi uradila detaljnu analizu sprovođenja obaveza definisanih u Zakonu o zaštiti podataka o ličnosti svih organa javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave
Subvencije grada za usklađivanje sa zakonom, namenjene kako organima javne vlasti u vidu dodatnog povećanja budžeta za ove potrebe, tako i malim i srednjim preduzećima, kao podstrek lokalne privrede da se olakšaju birokratski nameti privatnom sektoru koji bi trebalo da bude osnovni pokretač lokalne privrede – spremnost Grada da podstakne lokalni ekonomski razvoj i podigne stepen zaštite ustavom garantovanih prava građana na teritiorija Grada i gradskih opština;
za sve organe javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave uraditi samoproveru ispunjenosti obaveza i rizika definisanih u Zakonu o zaštiti podataka o ličnosti u skladu sa Kontrolnom listom za rukovaoce koju je razvila služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti[35]
za organe javne vlasti za koje ne postoje imenovana lica i doneti interni akti o zaštiti podataka o ličnosti uz konsultacije sa službom Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti jasno utvrditi da li su dužni da ih imaju
za organe javne vlasti koji su dužni da imenuju lica i donesu interne akte o zaštiti podataka o ličnosti a to još uvek nisu uradili, što pre izvršiti ove obaveze u skladu sa Zakonom o zaštiti podataka o ličnosti
ažurirati postojeće i/ili usvojiti nove interne akte kojima se utvrđuju prava, obaveze i podela odgovornosti zaposlenih u pogledu zaštite podataka o ličnosti, kao i drugi relevantni aspekti zaštite podataka o ličnosti
obaveštavanje svih zaposlenih o usvojenim standardima i politikama zaštite podataka o ličnosti u okviru svih organa javne uprave koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave
za imenovana lica za zaštitu podataka o ličnosti otvoriti zasebne e-mail naloge i posebne brojeve mobilnog ili fiksnog telefona u skladu sa preporukama službe Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti
ažurirati sve Informatore o radu koje objavljuju organi javne vlasti informacijama o imenovanim licima za zaštitu podataka o ličnosti i njihovim službenim kontakt podacima, e-mail nalozima i brojevima telefona
za sva imenovana lica za zaštitu podataka o ličnosti sprovesti obuku za sprovođenje obaveza definisanih u Zakonu o zaštiti podataka o ličnosti u saradnji sa službom Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti
uspostaviti i redovno ažurirati evidenciju radnji obrade podataka o ličnosti u svim organima javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave u skladu sa obavezama definisanim u Zakonu o zaštiti podataka o ličnosti
izbrisati sve podatke za koje ne postoji pravni osnov obrade (odnosno obezbediti pravni osnov za njihovu obradu), koji nisu više neophodni za ostvarenje svrhe obrade podataka od strane organa javne vlasti ili za koje je protekao rok čuvanja
jasno odrediti rokove čuvanja podataka u svim organima javne uprave koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave za one podatke za koje to nije propisano zakonom ili ranije određeno
izraditi i redovno ažurirati interne procedure za ostvarenje prava lica na osnovu Zakona o zaštiti podataka o ličnosti u svim organima javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave
u godišnjim budžetima svih organa javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave prepoznati u dovoljnoj meri potrebu za unapređenjem kapaciteta u oblasti zaštite podataka o ličnosti i opredeliti odgovarajuća finansijska sredstva za to
konstantno raditi na unapređenju mera zaštite podataka o ličnosti i povećanju bezbednosti informaciono-komunikacionih sistema u kojima se oni čuvaju, kao i na unapređenju procedura pristupa i obrade podataka o ličnosti
povećati opštu transparentnost i vidljivost sprovođenja obaveza definisanih u Zakonu o zaštiti podataka o ličnosti organa javne vlasti i rezultate njihovih aktivnosti u ovoj oblasti učiniti dostupnim javnosti
ažurirati internet prezentacije svih organa javne vlasti na način da javnost brzo i lako može doći do informacija o imenovanim licima za zaštitu podataka o ličnosti i njihovim kontakt podacima, bez lutanja i gubljenja vremena
ažurirati internet prezentacije svih organa javne vlasti na način da na njima obavezno mora da postoji poseban odeljak za dokumenta koji su od značaja za javnost i tu objaviti sve interne akte za zaštitu podataka o ličnosti
ažurirati internet prezentacije svih organa javne vlasti na način da dokumenta koja se čine dostupnim javnosti budu jasno i precizno nazvana kako bi svako brzo i lako mogao da pronađe onaj dokument koji mu je potreban

Na osnovu sprovedene analize može se zaključiti da su organi javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave svesni postojanja pravnog okvira za zaštitu podataka o ličnosti koji više i nije tako nov jer se primenjuje već više od pet godina, ali da nisu u dovoljnoj meri ispunili svoje zakonske obaveze u oblasti zaštite podataka o ličnosti, niti poseduju dovoljno kapaciteta za primenu Zakona o zaštiti podataka o ličnosti. Iako bi se moglo pretpostaviti da bi Grad Niš kao jedna od najrazvijenijih jedinica lokalne samouprave u Republici Srbiji trebalo da ima i više standarde zaštite podataka o ličnosti, na osnovu prikupljenih podataka ovim istraživanjem nažalost nije se mogao doneti takav zaključak.

Ipak, vidljivo je postojanje svesti kod lokalnih donosioca odluka da je potrebno unapređenje sprovođenja obaveza definisanih u Zakonu o zaštiti podataka od ličnosti kod svih organa javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave. Naime, sredinom decembra prošle godine Poverenik za informacije od javnog značaja i zaštitu podataka u ličnosti je bio u zvaničnoj poseti Gradu Nišu, a razlog posete je bio dogovor oko planiranja i realizacije otvaranja kancelarije Poverenika, kao što ona već postoji na primer u Novom Sadu, jer je to u interesu svih organa javne vlasti koji su u nadležnosti Grada Niša kao jedinice lokalne samouprave, same službe Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, a naročito samih građana Grada Niša.

Prilikom realizacije preporuka koje su rezultat ove sprovedene analize sigurno će se u praksi doći do novih informacija i načina kako dodatno unaprediti zaštitu podataka o ličnosti u lokalnoj zajednici, kako bi građani bili sigurni da su njihovi lični podaci bezbedni i da se ne mogu (zlo)upotrebljavati. Nažalost, u Nišu je bilo jedno od najvećih povreda Zakona i zloupotrebe podataka o ličnosti hiljada građana za političke potrebe u analiziranom periodu (2021 – 2024), gde ni proceduralna ni fundamentalna pravda do danas nije zadovoljena, te se ovime apeluje da se higijena privatnosti i bezbednost građana na lokalu mora podići na najviši mogući nivo predviđen važećim zakonima.

AUTOR: Tadija Mitić – program menadžer Nacionalne koalicije za decentralizaciju, autor Priručnika za zaštitu podataka o ličnosti