Đurišić: MUP prošle sedmice uputilo EK Nacrt zakona o zaštiti podataka o ličnosti, javnost ne zna što u ovom aktu piše
Institucije ne samo da moraju poštovati pravila, već moraju biti u stanju da dokažu zakonitost obrade, ograniče svrhu i obim podataka i reaguju u slučaju povrede (recimo moraju imati i jasne proceduralne mehanizme poput procjene uticaja na privatnost koja je obavezna kada obrada predstavlja visok rizik npr. nadzor, profilisanje, osjetljivi podaci, itd) - objašnjava Snežana Nikčević iz nevladine organizacije 35mm
Crna Gora je nakon 14 godina pregovora o ulasku u EU napravila tek prvi korak ka usklađivanju sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR), ključnim zakonom EU o privatnosti, koji je u Evropskom parlamentu usvojen prije 10 godina, a dvije godine kasnije stupio na snagu u cijeloj Uniji - istakla je urednica istraživačkih i digitalnih projekata Raskrinkavanje.me Jovana Đurišić.
Ministarstvo unutrašnjih poslova je, prema njenim riječima, prošle sedmice uputilo Evropskoj komisiji Nacrt zakona o zaštiti podataka o ličnosti, kako bi se stvorili preduslovi da se Crna Gora uskladi sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR).
- Kada se kaže GDPR, ili Opšta uredba o zaštiti podatka, to većini građana ne znači ništa osim dosadne birokratije i nepoznatih skraćenica. Ipak možda vam bude bitnije ako znate da se radi o tome na koji će način velike kompanije koje stoje iza društvenih mreža koristiti podatke koje prikupe o vama. Tiče se i toga koje vam podatke uzimaju banke i zdravstvene kompanije, da li vam neko šalje poruke i reklame bez vašeg pristanka, a na kraju i koje podatke o vama skupljaju državne institucije i šta rade sa njima, te da li ih prikupljaju na dozvoljen način - rekla je Đurišić.
Tiče se i toga, kako dodaje, koje vam podatke uzimaju banke i zdravstvene kompanije.
- Da li vam neko šalje poruke i reklame bez vašeg pristanka, a na kraju i koje podatke o vama skupljaju državne institucije i šta rade sa njima, te da li ih prikupljaju na dozvoljen način. Institucije, kada se primjenjuje GDPR, ne samo da moraju poštovati pravila, već moraju biti u stanju da dokažu zakonitost obrade, ograniče svrhu i obim podataka i reaguju u slučaju povrede - naglasila je Đurišić.
Do nedavno o GDPR u Crnoj Gori nije bilo mnogo priče.
- Međutim, sa usvajanjem Zakona o Agenciji za nacionalnu bezbjednosti i Zakona o unutrašnjim poslovima, ovea uredba našla su se u fokusu domaće ali i evropske javnosti. Iz Brisela su Crnoj Gori jasno poručili da odredbe ovih zakona nijesu u sklađene sa Uredbom o zaštiti podataka o ličnosti, dok su sa druge strane iz Vlade uvjeravali da će se to desiti jednom kada se stvore zakonski uslovi, tj kada se usvoje Zakoni o zaštiti podataka o ličnosti - navela je Đurišić.
Iz Evropske komisije potvrdili su da su dobili prijedlog legislative i da je u toku ocjenjivanje.
- Javnost za sada ne zna šta piše u prijedlogu zakona koji je upućen EU na mišljenje - naglasila je Đurišić.
EK očekuje potpunu usklađenost
Iz Evropske komisije poručili su da Crna Gora mora usvojiti zakone koji su u potpunosti u skladu sa Opštom uredbom EU o zaštiti podataka (GDPR) i Pravnom direktivom EU (LED) kako bi ispunila kriterijume za zatvaranje pregovora o vladavini prava. Evropski zvaničnicu su, kažu iz Komisije, podsjetili vladu na potrebu da da prioritet osnovnim stvarima u procesu pristupanja - onim suštinskim poglavljima o demokratiji.
- Dobili smo uvjeravanja od crnogorske vlade da će njihov pravni okvir biti usklađen sa GDPR-om i Direktivom o pravu u kratkom roku -kazali su iz sjedišta EU za Raskrinkavanje.
Napominju i da je Evropska komisija pružala tehničku pomoć crnogorskim vlastima tokom proteklih nekoliko godina, te da je spremna da i dalje podrži ovaj proces.
- Radujemo se konsultacijama o zrelim nacrtima kako bi službe Komisije procijenile i potvrdile potpunu usklađenost - poručuju iz EK.
Usklađivanje crnogorskog zakonodavstva sa GDPR-om dio je pregovaračkog okvira, međutim, proces pripreme ključnih zakona u ovoj oblasti već godinama kasni.
Đurišić navodi da, iako je rad na novom Zakonu o zaštiti podataka o ličnosti (ZZPL) započet još 2019. godine, posljednje što je javnost vidjela jeste nacrt objavljen u martu 2024. godine.
- Taj dokument nikada nije upućen u skupštinsku proceduru, niti je javnost dobila objašnjenje u kojoj se fazi zakon danas nalazi. Sadašnji nacrt zakona poslat je EK na izviđanje, ali javnost još uvijek nije upoznata sa odredbama tog dokumenta. Takođe, nije organizovana ni javna rasprava, a imajući u vidu da je jun mjesec krajnji rok za njegovo usvajanje, vrlo je upitno da li će se ona uopšte desiti - rekla je Đurišić.
Zašto je GDPR važan?
U današnjem digitalnom okruženju, u kojem provodimo više vremena nego u realnom, prikupljanje i obrada podataka postali su rutina.
- Svaki onlajn trag koji ostavimo, bilo da je riječ o pretragama, klikovima, objavama ili ličnim podacima poput broja kartice ili zdravstvene knjižice, biva zabilježen, analiziran i korišćen u različite svrhe. Na osnovu tih podataka, servira nam se ono što svakodnevno gledamo na internetu. Zato je Evropska unija uspostavila dva ključna pravna okvira: Opštu uredbu o zaštiti podataka GDPR i Akt o digitalnim uslugama (DSA). Ovi dokumenti, uz Akt odigitalnim tržištima i Akt o vještačkoj inteligenciji, čine osnovu digitalne etike i regulišu način na koji se naši podaci obrađuju. Makar u EU - rekla je Đurišić.
Snežana Nikčević iz NVO 35 mm objašnjava da GDPR možemo posmatrati kao osnovni standard bez kojeg je teško govoriti o funkcionalnoj zaštiti privatnosti, ali i o drugim oblastima digitalne regulacije.
Usklađivanje sa GDPR u idealnim uslovima bi trebalo da, kaže Nikčević, da donese kvalitativnu promjenu u načinu na koji se lični podaci obrađuju u Crnoj Gori.
- Ključna razlika u odnosu na postojeći okvir nije u samom postojanju zakona, već u standardima koje GDPR uvodi. Institucije ne samo da moraju poštovati pravila, već moraju biti u stanju da dokažu zakonitost obrade, ograniče svrhu i obim podataka i reaguju u slučaju povrede (recimo moraju imati i jasne proceduralne mehanizme poput procjene uticaja na privatnost koja je obavezna kada obrada predstavlja visok rizik npr. nadzor, profilisanje, osjetljivi podaci, itd) - objašnjava Nikčević.
Crna Gora, podsjeća, ima važeći zakon o zaštiti podataka o ličnosti, ali GDPR uvodi operativne standarde koji u domaćoj praksi nijesu sistemski zaživjeli.
To se, pojašnjava Nikčević, ogleda u ograničenim kapacitetima za nadzor, nedovoljno razvijenim internim procedurama u institucijama, ali i slaboj primjeni principa proporcionalnosti i minimizacije obrade podataka.
- Istovremeno, određeni segmenti privatnog sektora, posebno kompanije koje posluju na EU tržištu, već primjenjuju GDPR standarde, pa imamo asimetriju između regulatornog i tržišnog okvira, gdje se viši standardi primjenjuju u poslovnoj praksi, ali nijesu u potpunosti reflektovani u radu institucija - navodi Nikčević.
Napominje da pitanje usklađivanja nije novo, već da nacrti zakona postoje još od 2019. godine, a potreba za usklađivanjem sa GDPR standardima kontinuirano je isticana od strane stručne javnosti i civilnog sektora.
- Uprkos tome, zakon ulazi u završne faze tek sada, paralelno sa intenziviranjem drugih procesa digitalne regulacije. Takav razvoj ukazuje na određenu diskrepanciju u prioritetima, s obzirom na to da zaštita podataka predstavlja osnov za sve ostale digitalne politike. U tom kontekstu, i pojedini nedavni zakonodavni procesi, posebno u sektoru bezbjednosti, ukazali su na potrebu za jasnijim usklađivanjem sa standardima zaštite podataka. Uočeni su rizici u pogledu širokih ovlašćenja za obradu podataka i nedovoljno razvijenih mehanizama nadzora, što dodatno potvrđuje značaj sistemskog pristupa ovom pitanju - navodi Nikčević.
Za sada, jedino ko ima ovlašćenja da djeluje u slučaju kršenja zakona o zaštiti podataka je Agencija za zaštitu podataka o ličnosti. Međutim, činjenica da “stari” zakon još nije usklađen sa Opštom uredbom o zaštiti ličnih podataka, to sužava prostor djelovanja Agencije, jer ona može djelovati isključivo u okvirima ovlašćenja i nadležnosti predviđenih aktuelnim Zakonom koji ne pruža adekvatna rješenja kada se radi o izazovima koje nameću savremene digitalne tehnologije i vještačka inteligencija.
Usvajanjem novog Zakona o zaštiti podataka o ličnosti u koji će biti transponovane odredbe GDPR-a, a čije donošenje se očekuje u toku ove godine, građanima Crne Gore biće omogućen nivo zaštite ličnih podataka koji imaju građani EU.
Ipak, Nikčević upozorava da značaj GDPR-a u ovom kontekstu nije samo u formalnom usklađivanju zakonodavstva, već u uspostavljanju operativnih standarda i institucionalne prakse koji omogućavaju dosljednu, proporcionalnu i pravno sigurnu obradu podataka.
- Bez toga, postoji rizik da i dalje imamo normativni okvir koji je djelimično usklađen, ali nedovoljno primjenjiv u praksi - zaključila je Nikčević.