Заштита података о личности је скуп међусобно повезаних активности, метода, техника и норми којима се обезбеђује приватност, сигурност, поверљивост, расположивост и интегритет података од свих опасности које им прете.[1]
Подаци о личности су сви они подаци који се односе на неко одређено или одредиво физичко лице, на основу којих оно може бити идентификовано, а којима се може угрозити његова приватност.[2] То су, пре свега, подаци којима се могу угрозити живот, телесни и физички интегритет, част, углед, живот породице, идентитет и име. Ти подаци се односе на жива, умрла лица, као и лица проглашена умрлим.
Врсте података о личности су:
- Подаци о чињеницама (на пример име, адреса, године, зарада, вероисповест, национална припадност, политичке активности, коефицијента интелигенције (енгл. ), здравствено стање, осуђиваност и други),
- Подаци о мишљењима и судовима самог појединца и других субјеката о њему (на пример став о браку, подаци о кредитној способности, могућностима за професионално напредовање) и
- Подаци о намерама.
Заштита података је законски механизам који обезбеђује приватност. Приватност је фундаментално људско право, које представља право сваког грађанина да контролише своје личне информације и да одлучује о њима.[3] Правни аспекти заштите података представљају суштину права приватности.[4] Право појединца на заштиту података о личности праћено је одговарајућим, корелативним обавезама других да га поштују. У супротном, право би било „мртво слово на папиру“. Право на заштиту података о личности није апсолутно, јер у изузетним случајевима може бити нарушено, ако то захтевају интереси јавног поретка или у случајевима прописаним законом. Ово право је комплексно, јер обухвата више мањих права:
- Право на обавештеност - о подацима који се о њему воде, од стране којих субјеката и у које сврхе, као и достављање копије информација,
- Право на одговарајуће коришћење података - коришћење од стране ауторизованих субјеката у прописаној форми и у предвиђене и прописане сврхе, и спречавање коришћења од стране неауторизованих субјеката,
- Право приступа и увида - како би субјекат могао да контролише податке који се о њему воде,
- Право на исправку података - ако су неки подаци нетачни или је дошло до промене и
- Право на правна средства заштите - ако открије неке неправилности у вези са подацима о њему.
Правне мере заштите су мере којима се одговарајућим правним механизмима штите подаци и процеси везани за њих.[5] Правне мере заштите засноване су на одређеним принципима, које су прихватиле међународне организације и национална законодавства, како би се остварила хармонизација прописа. Најзначајнији принципи односе се на ограничавање прикупљања података, навођење сврхе, ограничавање употребе, суделовање и одговорности, забрану постојања тајних система за прикупљање и чување података, права субјеката о којима се и од којих се подаци прикупљају, обавезе и одговорност субјеката који прикупљање, обраду, меморисање и достављање обављају, принципе корисности, аутентичности и својине.
Природа и степен правне заштите података, у крајњој линији, у зависности су од степена политичког значаја који се придаје личним правима, односно, заштити приватности и личних података у одговарајућим друштвено - политичким условима. Са своје стране, пак, ово зависи од општег степена материјалног и културног развитка одговарајуће друштвене заједнице.[6]
Нема безопасних података. Сваки, па и најбезазленији податак, може представљати потенцијалну опасност за физичка лица, јер се могу користити у најразличитије сврхе, које на први поглед не можемо ни замислити. Начини њиховог чувања, обраде, преноса и коришћења свакодневно расту, као и круг субјеката о којима се подаци прикупљају. Често нисмо ни свесни да се подаци о нама негде воде или да они уопште постоје. Томе нарочито погодује развој информационих технологија. У савременим друштвима, већина људи оставља такозвани информациони траг своје комуникације са најразличитијим државним органима, јавним институцијама(на пример здравственим и образовним) и недржавним организацијама (на пример банкама, путничким агенцијама, робним кућама).[7] Излажемо се опасности када на пример вршимо онлајн плаћање кредитном картицом, чак и када претражујемо интернет. Иако ова операција изгледа безазлено, многи претраживачи складиште податке о нама, како би направили наш профил и сазнали наше куповне склоности. Оно што је најчешће угрожено то је наша приватност.
Заштита података о личности је један од најзначајнијих и најделикатнијих проблема са којима је суочено модерно друштво. Све већа доступност података доводи до повећања могућности њихове злоупотребе. Злоупотреба је коришћење података у недозвољене и нелегитимне сврхе, односно сваки догађај везан за податке због којих је субјекат претрпео или могао да претрпи губитак. Последњих година повећана је активност у области правне регулативе заштите података о личности.
Конвенција 108 Савета Европе
Под окриљем Савета Европе усвојена је Конвенција о заштити лица у односу на аутоматску обраду података (позната као Конвенција 108) као први међународно обавезујући уговор у овој области.[9] Конвенција прокламује осам принципа заштите података о личности:
- Подаци о личности морају се обрађивати и достављати на „поштен“ и законит начин - „поштено“ достављање значи да су подаци ауторизовани од стране особа на које се односе, и да су на одговарајући начин од њих потврђене. Непоштено достављање најчешће се односи на ситуације када се прикупљају подаци који нису у складу са предвиђеном сврхом или када се не објасни у коју сврху се врши прикупљање података, када се лице доводи у заблуду да ће подаци бити тајни или поверљиви, када се до информације долази принудом, претњом или преваром, јер се лице убеди да је обавезно да да те податке. „Поштена“ обрада подразумева да све операције морају бити изведене тако да се добију истинити и ажурни подаци. Незаконито достављање је свако угрожавање поверења онога на кога се податак односи или га поседује, или преступ, као и крађа и превара да би до достављања неког података о личности или информације дошло. Незаконита обрада постоји када се на пример на основу тајног увођења података о националној припадности врши одабир запослених.
- Располагање података о личности мора бити у складу са унапред одређеном или правно дефинисаном сврхом - може бити и више сврха, али кључно је да су оне експлицитно одређене у националним правним инструментима. Неопходно је контролисати да ли је садржај података у складу са предвиђеном сврхом и да ли је усклађено поступање корисника.
- Подаци о личности смеју се користити или обелоданити само компатибилно предвиђеној сврси - инкомпатибилност је насилно коришћење или откривање података о личности у односу на, у одговарајућем правном акту, описане сврхе.
- Подаци о личности морају да буду адекватни, релевантни и у довољном броју, у односу на сврху коју треба да служе.
- Подаци о личности морају бити тачни и ажурни - овај принцип је у складу са правом појединца на исправку. Ажурирање података предузима се када је то потребно, а у складу са његовом сврхом и природом. Подаци су нетачни ако су некоректни или доводе у заблуду било који део чињенице везане за појединца.
- Подаци о личности не смеју се држати дуже него што је потребно - период чувања података одређен је сврхом због које се прикупљају и меморишу. Када се подаци скупљају због више сврха, узима се најдужи предвиђени период и његовим истеком подаци се бришу.
- Субјекат података мора бити упознат о вођењу података о његовој личности и о могућностима приступа.
- Мере сигурности предузимају се против неауторизованог приступа, мењања, откривања и уништења података о личносити - принцип обухвата и намерно вршење ових радњи и случајно губљење и уништење.
Заштита података о личности у Европској унији
Заштита података о личности зајемчена је у члану 8 Повеље Европске уније о основним правима, која је постала правно обавезујућа у децембру 2009. године. Повеља захтева да се подаци обрађују поштено, за унапред одређену сврху, на основу обавештеног пристанка лица или по другом законском основу. Такође, сваком лицу јемчи се право на приступ и исправку прикупљених података о њему. Надзор над заштитом овог права обавља независно тело - Европски супервизор за заштиту података.
У априлу 2016. године Европска унија је усвојила нови законодавни пакет за заштиту личних података, који укључује Општу уредбу о заштити личних података[10] и Директиву о заштити лица у вези са обрадом података од стране надлежних органа у сврху процесуирања кривичних дела (тзв. Полицијска директива)[11]. Овај пакет ступио је на снагу 25. маја 2018. године[12] и заменио дотада важеће акте - Директиву о заштити личних података из 1995. и Оквирну одлуку Савета о заштити личних података у сврхе кривичног процесуирања из 2008. Правни режим ова два акта се разликује, тако да се Уредба примењује директно у државама чланицама, док је Директиву потребно спровести у унутрашњи правни систем националним законима држава чланица.
Заштита података о личности у Србији
Заштита података о личности је зајемчена чланом 42 Устава Србије из 2006. године. Србија је усвојила Закон о заштити података о личности 2008. године.[13] Закон је почео са применом 1. јануара 2009. године, а надлежност за надзор над његовом применом дата је Поверенику за информације од јавног значаја и заштиту података о личности. Нови закон, усклађен са новим пакетом заштите личних података Европске уније, усвојен је крајем 2018. године и почиње са применом 21. августа 2019.[14]
Други релевантни закони у овој области су и:
- Закон о евиденцијама и обради у области унутрашњих послова[15]
- Закон о националном ДНК регистру[16].
- ОЕЦД је 1981. године прихватио Смернице за заштиту приватности и прекограничних токова података о личности.[17]
- 1981. године отворена за потписивање Конвенција Савета Европе о заштити појединаца у односу на аутоматску обраду личних података (Конвенција 108).[18]
- 14. децембар 1990. године Генерална скупштина Уједињених нација усвојила је Смернице које се односе на компјутеризована досијеа података.
- Комисија Европске уније о правним аспектима ЕДИ донела је 1994. године Препоруку Европског Модела ЕДИ споразума.[19]
- Директива Европске уније о заштити појединаца у односу на обраду података о личности и слободном кретању таквих података донета је 24. октобра 1995. године.[20]
- Комитет министара Савета Европе одлучио је у априлу 2006. године да 28. јануара обележава Дан заштите података о личности, односно Дан приватности.[21]
- Србија је у октобру 2008. године усвојила Закон о заштити података о личности.
- У априлу 2016. године Европска унија је усвојила нови законодавни пакет за заштиту личних података, који укључује Општу уредбу о заштити личних података[10] и Директиву о заштити лица у вези са обрадом података од стране надлежних органа у сврху процесуирања кривичних дела (тзв. Полицијска директива)[11]. Овај пакет ступио је на снагу 25. маја 2018. године.[12]
- Србија је у новембру 2018. усвојила нови Закон о заштити података о личности, који почиње да се примењује од 21. августа 2019. године.[22]
М. Дракулић, Основи Компјутерског права, Друштво операционих истраживача Југославије - ДОПИС, Београд (1996). стр. 56.
М. Дракулић, Основи Компјутерског права, друштво операционих истраживача Југославије - ДОПИС, Београд (1996). стр. 66.
Ј. Курбалија, Увод у управљање интернетом, Албатрос Плус, Београд (2011). стр. 140.
С. Лилић, Право приватности, Правни живот, 9/1997, pp. 885-901
М. Дракулић, Основи Компјутерског права, друштво операционих истраживача Југославије - ДОПИС, Београд (1996). стр. 59.
С. Лилић, Право, информатичка технологија и заштита података, Анали Правног факултета, 2-3/1989, pp. 211-225
С. Лилић, „Правни аспекти заштите података у аутоматизованим службеним евиденцијама, Наша законитост5/1989, pp. 614-627"
М. Дракулић, Интернет - лавиринт права, Правни живот, 9/1997, pp. 941-959
Закон о заштити података о личности, Службени гласник РС, бр. 97/2008, 104/2009
М. Дракулић, Основи Компјутерског права, друштво операционих истраживача Југославије - ДОПИС, Београд 1996, pp. 129.
Ј. Курбајлија, Увод у управљање интернетом, Албатрос Плус, Београд (2011). стр. 142.
З. Савић, Развој система заштите информација у ЕДИ окружењу, Електронска размена података и електронска трговина у свету и Југославији, 1995, pp. 68-73
М. Дракулић, Р. Дракулић, Европска директива о заштити података о личности и ЕДИ окружење, 4. YU EDI konferencija - Stanje i tendencija razvoja EDI tehnologija u svetu i kod nas, 1997, pp. 22-27
- Мирјана Дракулић, Основи Компјутерског права, Друштво операционих истраживача Србије-ДОПИС, Београд 1996.
- Јован Курбалија, Увод у управљање интернетом, Албатрос Плус, Београд 2011.
- Стеван Лилић, „Право приватности“, Правни живот, 9/1997
- Стеван Лилић, „Право, информатичка технологија и заштита података“, Анали Правног факултета, 2-3/1989
- Стеван Лилић, „Правни аспекти заштите података у аутоматизованим службеним евиденцијама“, Наша законитост, 5/1989
- Мирјана Дракулић, „Интернет - лавиринт права“, Правни живот, 9/1997
- Зоран Савић, „Развој система заштите информација у ЕДИ окружењу“, Електронска размена података и електронска трговина у свету и Југославији, 1995.
- Мирјана Дракулић, Ратимир Дракулић, „Европска директива о заштити података о личности и ЕДИ окружење“, 4. YU EDI konferencija - Stanje i tendencija razvoja EDI tehnologija u svetu i kod nas, 1997.
- Закон о тајности података