•  
        • Ka bezbednim javnim skupovima
          • Publikacije

          • Autor: Lazar Čovs
          • Ka bezbednim javnim skupovima

          • Saradnik BCBP Lazar Čovs u ovom priručniku odgovara na pitanje kako organizovati javni skup koji će biti bezbedan za učesnike i učesnice.

        • Vojna neutralnost: nećemo u NATO, možemo sami?
          • Publikacije

          • Autor: Katarina Đokić
          • Vojna neutralnost: nećemo u NATO, možemo sami?

          • Vojna neutralnost Srbije shvata se kao balansiranje između NATO i Rusije. Predlog nove Strategije odbrane ukazuje na to kakve će posledice jačanje vojne neutralnosti imati po sistem odbrane, budžet i građane, pisala je istraživačica BCBP Katarina Đokić.

        • Pravo na snimanje okupljanja
          • Publikacije

          • Autor: Dunja Tasić
          • Pravo na snimanje okupljanja

          • Prava građana na snimanje službenih i privatnih lica na protestima, građanskim akcijama i drugim javnim skupovima, kao i okolnosti na koje je potrebno obratiti pažnju prilikom snimanja i eventualne pravne posledice saradnica BCBP Dunja Tasić objasnila je u najnovijem priručniku BCBP.

        Ka bezbednim javnim skupovimaVojna neutralnost: nećemo u NATO, možemo sami?Vojno neutralna evropska Srbija između Republike Srpske i Velike AlbanijePravo na snimanje okupljanjaStaze i stranputice evropske revolucije zaštite ličnih podataka u represivnom aparatu
    •  
    •  
    • Pronađite publikacije, analize i propise u jedinstvenoj bazi resursa koja je dostupna svim posetiocima sajta BCBP.
      Napredna pretraga
    •  
    •  
    • Info BCBP

    • Prijavite se kako bi ste redovno dobijali naš bilten:
    •  
    •  
    •  
     
    •  
          • Godina: 2019
          • Staze i stranputice evropske revolucije zaštite ličnih podataka u represivnom aparatu

          • Kako je EU omogućila revoluciju u zaštiti ličnih podataka u represivnim organima, kako evropske standarde najbolje prenijeti na nacionalni nivo i kakvu ulogu tu igra civilno društvo, saznajte u nastavku razgovora istraživačice BCBP Jelene Pejić sa Jurjem Sajfertom, advokatom i evropskim ekspertom u oblasti zaštite ličnih podataka.

        • Gdin Sajfert je učestvovao u izradi tzv. Policijske direktive EU (eng. Law Enforcement Directive), pandana Opštoj uredbi Evropske unije o zaštiti podataka (GDPR) za državni represivni aparat. Ovom direktivom uređena je zaštita ličnih podataka koje nadležni organi prikupljaju i obrađuju u svrhu sprečavanja, otkrivanja i istrage krivičnih djela, gonjenja počinilaca krivičnih djela, kao i u svrhu izvršavanja krivičnih sankcija. Sajfert je zaposlen u Europskoj komisiji, ali je ovaj intervju dao u svom osobnom kapacitetu, tako da stavovi i mišljenja izrečeni u intervjuu ni na koji način ne odražavaju službeno mišljenje
          Europske komisije.

           

          Vi ste učestvovali u izradi tzv. Policijske direktive EU (LED) koja je usvojena 2016. godine. Pomenuli ste da je, za razliku od dosta poznatije Opšte uredbe o zaštiti podataka EU (GDPR) koji predstavlja evoluciju evropskih standarda, ova direktiva prava revolucija u oblasti zaštite ličnih podataka. Šta smatrate njenim najvećim dostignućem u odnosu na pravila koja su važila ranije?

           

          Ima ih više. Prvo veliko dostignuće je to što je direktiva horizontalni pravni akt, što znači da sadrži pravila za sve vrste obrade podataka koje se vrše unutar represivnog aparata. Prije nismo imali ništa slično tome. Postojala su različita pravila za različite vrste obrade podataka. Na nivou EU imali smo Okvirnu odluku 2008/977/JHA koja se primjenjivala samo na razmjene ličnih podataka između država članica, a za druge svrhe nije bilo nikakvih propisa koji su se primjenjivali na evropskom nivou.

           

          Bilo je na nacionalnom nivou različitih propisa, ali su bile vrlo različite situacije. Bilo je država koje uopšte nisu regulisale nacionalnu obradu ličnih podataka tokom istraga gdje se podaci ne razmjenjuju, država koje su to regulisale posebnim zakonima, i država koje su proširile domen primjene EU Direktive 95/46/EC o zaštiti ličnih podataka. Ta direktiva se odnosila uglavnom na privatni sektor, ali i na dio javnog sektora koji možemo nazvati administrativnim sektorom, pa su te države proširivale polje primjene i na represivni aparat.

           

          Povrh toga, imali smo posebna pravila o zaštiti ličnih podataka za svaki pojedinačni sistem koji je kreiran na evropskom nivou. Postojala su posebna pravila za Šengenski informacioni sistem (SIS), posebna za PRUM razmjene, posebna za razmjene u okviru tzv. Švedske inicijative. To je bio jedan fragmentiran i potpuno nečitljiv pravni okvir.

           

          Sad imamo direktivu koja se primjenjuje na sve moguće vrste obrade ličnih podataka. To je jedan set propisa i ne čini razliku razmjenjuju li se podaci preko granice ili ostaju u zemlji, koja represivna tijela ih obrađuju, koriste li se za europske baze podataka ili ne itd. To je jedna velika, velika novost i u tom smislu je revolucija.

           

          Druga stvar je u tome što su svi ti propisi koje sam nabrojao bili veoma ograničeni i nedovoljno regulisani. Nije bilo dovoljno jasno šta to oni propisuju i imali su slabe odredbe. A Direktiva slijedi arhitekturu Opšte uredbe o zaštiti podataka (GDPR), tako da propisuje jedan širok spektar obaveza, prava i odgovornosti. Mislim da Direktiva pokriva sve aspekte koji su bitni za djelotvornu zaštitu ličnih podataka i za nadzor nad zaštitom ličnih podataka, koji obezbeđuju jedan dosta zavidan stepen zaštite ličnih podataka, ako se pravilno primjenjuju.

           

          Glavno pitanje: ko i kada treba da primjenjuje Policijsku direktivu

           

          Koje su bile najveće prepreke i tačke neslaganja oko kojih je najviše pregovaranja bilo neophodno tokom izrade Direktive, i da li smatrate da je nešto zbog toga ostalo van konačnog teksta?

           

          Da, ima nekih rješenja u Direktivi koja nisu najsrećnija. Možda i najveće pitanje u cijeloj Direktivi je polje njene primjene. I zato kad čitate član 1, stav 1 i uvodnu odredbu 12, neće vam biti sasvim jasno ko primjenjuje Direktivu i kada. Dva osnovna pitanja u Direktivi odnose se na to koje je personalno i koje materijalno polje primjene.

           

          To je definitivno bilo najveće pitanje u pregovorima između Evropske komisije, u sredini, i Evropskog parlamenta, s jedne, i Savjeta, s druge strane. To je bilo i ostalo političko pitanje i vjerovatno će ga moći pojasniti jedino Evropski sud u Luksemburgu u jednom momentu. Dakle, to je najveće pitanje razdora i političkog kompromisa koji na kraju nije najsrećniji.

           

          Drugo veliko pitanje je pitanje člana 39, odnosno u kojim situacijama represivna tijela pokrivena Direktivom smiju vršiti prenos podataka u treće zemlje privatnim licima. Dakle, ne svojim ekvivalentima nego privatnim primaocima, poput velikih kompanija u Americi. Pitanje ovog člana u razgovorima o Direktivi je najavilo velike debate koje se trenutno vode unutar EU i između EU i SAD.

           

          Tu se radi o asimetričnim prenosima ličnih podataka. Umjesto da se koristi klasični, a sad navodno i zastarjeli, ili makar prespori, mehanizam međunarodne pravosudne saradnje, sve se više ide prema tome da se uspostavlja direktna saradnja između represivnih tijela u jednoj državi i privatnih kompanija u drugoj državi, bilo unutar ili izvan EU.

           

          I ne samo saradnja, nego i prisila, što je iz klasične perspektive krivičnog prava potpuno neprihvatljivo, a to je da represivna tijela u jednoj državi imaju sredstva prisile prema kompanijama koje nisu u njihovoj nadležnosti, već su u drugim državama. To je ono što se trenutno razvija, navodno zbog interneta i sajber kriminala, gdje su pitanja jurisdikcije i teritorijalne nadležnosti veoma fluidna.

           

          Treće teško pitanje ticalo se korektivnih ovlašćenja nadzornih tijela. To je član 47, stav 2 Direktive. Dakle, koja su to korektivna ovlašćenja koja nadzorna tijela moraju imati u odnosu na represivna tijela? Vidjećete da je tekst Direktive o tome dosta otvoren, i sam navodi primjere koja bi to mogla biti korektivna ovlašćenja. Ali ne zahtijeva od država da imaju određena korektivna ovlašćenja, samo zahtijeva da ta ovlašćenja budu djelotvorna. Direktiva ne propisuje koja su to tačno ovlašćenja, kao što to čini Uredba, gdje postoji spisak korektivnih ovlašćenja koje nadzorno tijelo mora da ima.

           

          Korektivna ovlašćenja su najbitnija od svih ovlašćenja nadzornih tijela. To znači - ja ti naredim da moraš da obrišeš određenu bazu podataka, da ne smiješ više slati ove podatke u treću zemlju, da ovaj server moraš da isključiš i ovo više ne smiješ da radiš. I onda ti naplatim kaznu od 20 miliona evra zato što si radio to i to. Dakle, to je velika stvar, a u Direktivi je vrlo nedefinisana.

           

          Najveće razlike između država članica leže u ovlašćenjima nadzornih tijela

           

          Za razliku od Uredbe, Direktiva se ne primjenjuje direktno, već se mora prenijeti nacionalnim zakonima u pravni sistem država članica. Koliko se očekuje dodatno preciziranje prilikom prenošenja u nacionalno zakonodavstvo? Koje su to odredbe naročito okvirne ili slabe, otvorene za prilagođavanje nacionalnim specifičnostima?

           

          Dolazimo do razlike između teorije i prakse. S obzirom na to da je većina država prenijela Direktivu, možemo to sagledati sa dvije strane. U teoriji, neke odredbe Direktive su dosta otvorene. Na primjer, odredba o rokovima za čuvanje podataka je poprilično otvorena i slaba, odredba o dodatnoj zaštiti osjetljivih podataka je isto vrlo otvorena, a odredba o tome koje su to korektivne mjere koje rukovaocu može odrediti nadzorno tijelo ostavlja dosta prostora za slobodnu interpretaciju.

           

          S druge strane, kad pogledam kako je Direktiva zapravo prenesena, ne vidim velike razlike između država članica. Države iz nekog razloga nisu toliko odstupale od odredaba Direktive koliko su mogle, tako da na kraju nemamo nekih većih razlika u nacionalnim rješenjima. Većina nacionalnih rješenja prate ideju Direktive bez da idu na različite interpretacije.

           

          U praksi, jedina dva područja gdje sam uočio razlike od jedne do druge države su ovlašćenja nadzornih tijela - tu zaista ima velikih razlika -, i kako će biti sankcionisan rukovalac podacima u slučaju da krši odredbe nacionalnog zakona koji prenosi Direktivu. U Direktivi ćemo naći i drugih otvorenih odredbi, ali u praksi nema velikih odstupanja između nacionalnih rješenja država članica.

           

          Već su 24 države članice EU usvojile nacionalne zakone kojima prenose Direktivu u domaći pravni poredak. Rok je zapravo bio prošle godine, neke države to nisu postigle. Koje su glavne poteškoće koje su se javile prilikom prenošenja Direktive u nacionalno zakonodavstvo?

           

          Prenošenje je bilo dosta zahtjevno. To je u svakoj zemlji bio jako zahtjevan proces u koji se moralo uložiti mnogo truda, s obzirom da je u većini država uključivao raznorazne konsultacije sa policijom, tužilaštvom, sudovima, ministarstvima pravosuđa i unutrašnjih poslova. Onda se pokreću pitanja koliko su neka tijela nezavisna i da li se uopšte mogu regulisati na određeni način. Dešavalo se da neka nadzorna tijela nisu baš navikla da nadziru ovaj dio jer uglavnom nadziru privatni sektor, ili možda ostatak javnog sektora, ali ne i represivni aparat. Kako njih naučiti da sad imaju obaveze i ovlašćenja i u ovom dijelu?

           

          Postupak je u državama članicama u velikoj većini slučajeva jako zahtjevan, uz konsultacije, razgovore i analize. Zato je dobar dio država i zakasnio sa prenošenjem, ali je Evropska komisija bila dosta agilna u pokretanju postupaka povrede protiv svih tih država, tako da je uspjela manje-više sve države dovesti do toga da prenesu Direktivu. Od preostale četiri države samo dvije zapravo ništa nisu napravile, a druge dvije su na putu da je prenesu, još nisu završile.

           

          Odredbe GDPR-a i Policijske direktive najbolje je prenositi odvojenim zakonima

           

          Koji biste nacionalni zakon istakli kao uzoran primjer?

           

          Ima jako dobrih primjera zakona gdje se vidi da je mnogo truda uloženo i koji se mogu smatrati uzornim primjerima. Međutim, treba razlikovati dvije mogućnosti prenošenja. Ima raznoraznih razloga zašto su se države odlučile na ovaj ili onaj način prenošenja.

           

          Neke države su odlučile da u jednom zakonodavnom aktu prenesu Direktivu i sve one odredbe koje GDPR zahtijeva da se donesu nacionalnim zakonima. GDPR jeste direktno primjenjiv, ali ima određen broj odredbi koje traže dalju specifikaciju u nacionalnom zakonodavstvu, i kad je riječ o uspostavljanju nadzornog tijela, ali i u drugim stvarima. Na primjer, kako zaštititi neke vrste osjetljivih podataka ili kako pomiriti pravo na zaštitu podataka sa pravom za pristup informacijama ili slobodom govora.

           

          Dakle, neke države su odlučile da donesu jedan zakonodavni akt, a druge su odlučile - ne, bolje da sve što se tiče implementacije GDPR bude u jednom aktu, a prenošenje Direktive u drugom. Moje mišljenje je da je bolje da je Direktiva odvojena od svega što se tiče Uredbe i da ima svoj zakonodavni akt. Ako gledamo dobre primjere iz te druge solucije, švedski i finski zakoni su dobri, i kiparski zakon je iznenađujuće dobar, kao i holandski.

           

          Opciju „sve u jedan“ je mnogo teže dobro izvesti, po mom mišljenju. To rješenje nosi komplikacije samo po sebi i nikad nije tako dobro kao ovo drugo rješenje. Ali, ima jedan dobar primjer, kome bi mogli zamjeriti možda nekoliko stavki - irski zakon. Za one koji se odluče na jedan sveobuhvatni zakon, irski je vjerovatno najbolji primer. I slovački zakon je takođe dobar.

           

          Da li postoje zakoni ili neki aspekti nacionalnih zakona koji su naročito problematični, u smislu da su pogrešno prenijeli pojedine odredbe Direktive?

           

          Apsolutno. Ima primjera pogrešno prenesene Direktive i to će se morati ispraviti s vremenom. Postoje mehanizmi kojima Evropska komisija može natjerati države članice da to isprave, i mislim da bi Komisija trebalo da iskoristi te mehanizme jer je bitno da se to ispravi.

           

          Ono što sam ja primijetio kao pogrešna prenošenja je, na primjer, korišćenje pristanka kao pravnog osnova za prikupljanje i obradu podataka. U ovom slučaju pristanak ne može biti slobodno dat, tako da ne bi smjelo da se koristi kao pravni osnov, a neke države to rade. Po mom mišljenju to je velika greška.

           

          Često nalazimo previše diskrecije koje je ostavljena rukovaocima u određivanju rokova za čuvanje podataka ili u određivanju kako će i kada ograničiti prava lica na koje se podaci odnose - na primjer kada će odbiti zahtjev takvog lica za pristup. Događa se i da, za razliku od oblasti koju pokriva GDPR, ovlašćenja nadzornog tijela budu preslaba, i to je jedno problematično pitanje. To su neki od glavnih problema koja se javljaju.

           

          Važan doprinos civilnog društva podizanju nivoa zaštite ličnih podataka u represivnom aparatu

           

          Kako, po Vašem mišljenju, civilno društvo može da pomogne da se standardi Policijske direktive adekvatno primjenjuju i u Srbiji? Kakav se doprinos od nas očekuje?

           

          Mislim da civilni sektor igra veliku ulogu. Prvenstveno, ne daje se puno pažnje toj tematici u javnosti. Ako vi možete više da osvijestite javnu debatu za ove teme, to je već velika stvar. Sad se puno priča o zaštiti ličnih podataka, ali uglavnom o GDPR-u i tome šta se događa u odnosima pojedinaca i velikih kompanija čije usluge koriste. Uglavnom se priča o tome - o Facebook-u, WhatsApp-u, Google-u.

           

          To su neke teme koje intrigiraju javnost, iako u konačnici većina pojedinaca gleda šta im je najjednostavnije i ne razmišlja dovoljno o posljedicama. I tu je potrebno još rada, ali se o tome bar priča. O Policijskoj direktivi se malo priča u evropskoj javnosti, a pretpostavljam i u srpskoj, tako da mislim da je podizanje svijesti veoma bitno i tu civilni sektor može puno doprinijeti.

           

          Druga stvar u koju bi civilni sektor mogao da se uključi je strateško sporenje (eng. strategic litigation). To znači da postoje određeni pojedinci koji služe kao „test slučajevi.“ Postoji slučaj gdje je jedan čovjek tražio pristup svojim podacima i odbijen je, a nikom nije jasno iz kog razloga. Onda treba pokušati iskoristiti sve ove zaštitne mehanizme, ili čak krenuti sa ciljanom tužbom protiv sistemskih povreda za koje se zna, ali niko ništa ne preduzima po tom pitanju.

           

          Treća stvar u kojoj civilni sektor može da doprinese jeste vršenje pritiska na nadzorna tijela. Zato što nadzorna tijela, zavisno od njihovog sastava, kapaciteta i menadžmenta, često zaziru od veće uključenosti u to šta se događa u policiji ili drugim represivnim tijelima, zato što se osjećaju slabijim. Onda su nevoljna da se upuštaju u pravi nadzor i da izriču konkretne mjere protiv tih tijela.

           

          Puno je lakše nadzornom tijelu otići u neku privatnu kompaniju, izvršiti inspekcijski nadzor i izreći zaštitne mjere ili sankcije, nego u policiju. Civilni sektor ima bitnu ulogu - da ukazuje na nevoljnost i slabost nadzornih tijela i tako ih pritiska da budu više angažovani u tom dijelu.

           

          U Srbiji, međutim, imamo slučaj da su nadzorna tijela, bar do sada, uglavnom bila voljna da vrše nadzor, kritikuju propuste i predlažu rješenja, ali da su im organi koji su bili predmet nadzora uskraćivali pristup informacijama.

           

          U prvom dijelu intervjua pročitajte kako bezbjednosni organi treba da štite lične podatke kojim rukuju, zašto su za njih neophodna posebna pravila, i zašto su evropski propisi u ovoj oblasti važni za Srbiju.

           

          Intervju je objavljen u okviru projekta Odbrana prava na pristup informacijama  koji podržava Fondacija za otvoreno društvo Srbija.

           

           

        • Tagovi: zaštita podataka o ličnosti, Policijska direktiva, eu, policijska saradnja, Jelena Pejić
    •  
    • Postavite komentar

    •  
    •  
    • Pogledaj komentare

    •  
    •