Polovinom juna ove godine upućen je upit Agenciji za zaštitu ličnih podataka kako bi se pojasnila pojedina odredba novog Zakona o zaštiti osobnih podataka. Posebno je sporan član 113., stav 5., koji predviđa novčane kazne u iznosu od 20.000 KM do čak 40.000.000 KM, dok se za preduzetnike kazna računa i do 4 posto ukupnog godišnjeg prometa na svjetskom nivou.
Pitanja koja su postavljena Agenciji odnosila su se na definiciju preduzetnika, tumačenje izraza “ukupni godišnji promet na svjetskom nivou” i konkretne situacije u kojima bi mogla biti izrečena najviša kazna od 40 miliona KM. Odgovor na ova pitanja, nakon dva mjeseca čekanja, nije stigao.
Ova odredba izaziva ozbiljnu zabrinutost među privrednicima. Visina kazni, koju nijedna domaća firma realno ne može podnijeti, u kombinaciji s pravnom nepreciznošću i mogućnošću široke interpretacije, predstavlja ozbiljnu prijetnju opstanku firmi. Za većinu domaćih kompanija izricanje maksimalne kazne značilo bi gašenje preduzeća, gubitak radnih mjesta i dodatni udar na već oslabljeni privredni ambijent.
S obzirom na ranije zloupotrebe u radu državnih institucija i afere u kojima su službenici ucjenjivali privrednike, postavlja se pitanje hoće li ovako široko definisan zakon postati sredstvo političkih obračuna ili ličnih interesa, te postati još jedno oružje u rukama pojedinaca i grupa sklonih manipulacijama i selektivnoj primjeni pravde. U zemlji u kojoj institucije često služe kao produžena ruka politike, strah od zloupotrebe Zakona nije neutemeljen.
Primjera radi, praksa banaka i Porezne uprave da pri uplatama javnih prihoda od građana traže JMBG još uvijek nije jasno regulisana. Novi zakon ne definira posebno ovu situaciju, što potvrđuje pravnu nepreciznost i potencijalnu nesigurnost u primjeni.
Šta donosi novi Zakon
Zakon, koji stupa na snagu 4. oktobra, proširuje definiciju ličnih podataka. Pored tradicionalnih informacija poput imena i fotografije, obuhvata i IP adrese, e-mail adrese, te biometrijske podatke poput otisaka prstiju koji se koriste za evidenciju radnog vremena.
Kontrolori podataka dobivaju pojačane obaveze u pogledu tehničkih i organizacijskih mjera zaštite. Uveden je i princip “prava na zaborav”, koji omogućava građanima da zatraže brisanje svojih podataka kada ne postoji zakonska osnova za njihovu obradu.
Zakon predviđa stroge kazne: od 500 KM za fizičke osobe koje rukovode obradom podataka, pa sve do 40 miliona KM ili 4 posto globalnog godišnjeg prometa za pravne osobe, u zavisnosti od težine prekršaja.
Naglašena je važnost edukacije zaposlenika i imenovanja službenika za zaštitu podataka, što je obaveza i javnog i privatnog sektora. Svaka institucija ili kompanija koja prikuplja lične podatke dužna je uskladiti interne procedure, politike privatnosti i upute o rukovanju podacima.
Upozorenje privrednicima: Newsletter i biometrija
Najčešći primjer nepravilne obrade podataka je slanje newslettera bez prethodno dobijene dozvole korisnika, što sada predstavlja kršenje Zakona. Biometrijski podaci zaposlenika ne smiju se koristiti bez posebne privole, a nadzorni organ ima ovlasti nadzora i sankcioniranja.
Implementacija Zakona odnosi se ne samo na digitalne sisteme, već i na svakodnevne situacije – od objave osnovnih podataka zaposlenika na internetskim stranicama do upotrebe videonadzora, koji mora biti jasno označen i zakonski opravdan.
U suštini, zaštita podataka počinje edukacijom i usklađivanjem procesa, ali ključni faktor ostaje ljudski – šta se smije dijeliti, u koju svrhu i na osnovu koje pravne osnove. Organizacije koje ne poduzmu ništa mogu očekivati kaznu, dok one koje se potrude za usklađivanje mogu dobiti samo upozorenje.
