Lični podaci u današnje vrijeme predstavljaju dobro prvog ranga, koje uživa pravnu zaštitu u svim modernim pravnim porecima. Zaštita ličnih podataka stavlja se u kontekst ostvarivanja osnovnih ljudskih prava i sloboda, a posebno prava na privatnost. U Bosni i Hercegovini, zaštita ličnih podataka uređena je Zakonom o zaštiti ličnih podataka BiH.
Na međunarodnom planu doneseni su brojni pravni akti kojima se reguliše oblast zaštite ličnih podataka. Posebno je značajna zakonodavna aktivnost organa Evropske unije, koja je rezultirala donošenjem Opšte uredbe o zaštiti podataka (General Data Protection Regulation – GDPR). Uredba se primjenjuje kako u državama članicama Unije, tako i eksteritorijalno, ukoliko su aktivnosti obrade povezane sa nuđenjem roba ili usluga licima u Uniji, kao i kod praćenja njihovog ponašanja, dokle god se njihovo ponašanje odvija unutar Unije. Uredba je usvojena 2016. godine, a stupila je na pravnu snagu 25.05.2018. godine. Značajno je konstatovati i da su se organi Unije odlučili da ovu oblast urede uredbom, a ne direktivom, imajući u vidu da uredba proizvodi direktno dejstvo u državama članicama Unije. Na taj način ova oblast je unifikovana na nivou Unije, te je spriječena mogućnost postojanja različitih rješenja u državama članicama Unije prilikom transponovanja njenih odredaba u nacionalno zakonodavstvo.
Za Bosnu i Hercegovinu, Uredba ima dvostruki značaj. Prvo, Bosna i Hercegovina je, na osnovu Sporazuma o stabilizaciji i pridruživanju, u obavezi da usklađuje svoj zakonodavni okvir sa pravom Evropske unije. Stoga, organi vlasti u BiH imaju obavezu da usklade pravni okvir i postupanje sa njenim odredbama. Drugo, kao što je naprijed navedeno, postoji mogućnost da se odredbe Uredbe primjene eksteritorijalno i na subjekte u Bosni i Hercegovini. S obzirom na visoke novčane sankcije koje predviđa Uredba u slučaju obrade ličnih podataka koja nije u skladu sa propisanim zahtjevima, pitanje eksteritorijalne primjene na subjekte iz BiH uopšte ne treba zanemariti, bez obzira da li se oni pojavljuju u svojstvu kontrolora ili obrađivača ličnih podataka.
Pravo zaštite ličnih podataka u eri globalizacije, savremenog tehničko-tehnološkog razvoja i digitalnih informaciono-komunikacionih tehnologija, a posebno sa razvojem interneta, susreće se sa novim, značajnim izazovima. Za zaštitu ličnih podataka karakteristično je da se radi o zaštiti nematerijalnog dobra, odnosno informacije (podatka), koja se prenosi preko državnih, političkih i drugih granica bez bilo kakvih prepreka. Sa razvojem interneta, diseminacija informacija koje sadrže lične podatke postala je veoma jednostavna, a troškovi prenosa informacija na globalnom nivou gotovo da ne postoje. Stoga je čest slučaj da se obrada ličnih podataka određenog nosioca odvija u više različitih država, te da se na radnje obrade primjenjuju propisi iz različitih jurisdikcija. Pored toga, obim prikupljanja i obrade ličnih podataka se u današnje vrijeme značajno uvećao, posebno zbog važnosti međunarodne trgovine i saradnje u svim oblastima.
Zakonom o zaštiti ličnih podataka BiH, propisano je da se lični podaci koji se obrađuju mogu iznositi iz Bosne i Hercegovine u drugu državu ili davati na korišćenje međunarodnoj organizaciji koja primjenjuje adekvatne mjere zaštite ličnih podataka propisane Zakonom. Adekvatnost mjera zaštite ličnih podataka procjenjuje se na osnovu konkretnih okolnosti u kojima se sprovodi postupak prenosa ličnih podataka, pri čemu se posebno uzima u obzir vrsta ličnih podataka, svrha i period obrade, država u koju se podaci prenose, zakonom propisana pravila koja su na snazi u državi u koju se iznose podaci, pravila profesije i bezbjednosne mjere koje se moraju poštovati u toj zemlji. Dakle, Zakon daje određene kriterijume koji se uzimaju u obzir prilikom procjene adekvatnosti mjera zaštite, ali ostavlja mogućnost da se u obzir uzmu i drugi kriterijumi, zavisno od okolnosti svakog pojedinog slučaja. Smatra se da države članice Evropske unije primjenjuju adekvatne mjere zaštite ličnih podataka, budući da se u istim primjenjuje GDPR.
Sa druge strane, Zakon poznaje i mogućnost iznošenja ličnih podataka iz Bosne i Hercegovine u drugu državu koja ne obezbjeđuje adekvatne mjere zaštite propisane Zakonom kad:
1) je iznošenje ličnih podataka propisano posebnim zakonom ili međunarodnim ugovorom koji obavezuje Bosnu i Hercegovinu,
2) je od lica čiji se podaci iznose dobijena prethodna saglasnost i lice upoznato sa mogućim posljedicama iznošenja podataka,
3) je iznošenje ličnih podataka potrebno radi izvršavanja ugovora između nosioca podataka i kontrolora ili ispunjavanja predugovornih obaveza preduzetih na zahtjev lica čiji se podaci obrađuju,
4) je iznošenje ličnih podataka potrebno radi spasavanja života lica na koja se podaci odnose ili kada je to u njihovom vitalnom interesu,
5) se lični podaci iznose iz registra ili evidencija koje su, u skladu sa zakonom ili drugim propisima, dostupne javnosti.
Prema tome, bez obzira što država u koju se prenose podaci ne ispunjava uslov postojanja adekvatnih mjera zaštite, prenos će biti moguć na osnovu nekog preovlađujućeg interesa ili obaveze, kao i u slučaju da su ti podaci već ušli u javni domen, odnosno ukoliko su sastavni dio registra ili evidencija koja je svakako dostupna javnosti. U pobrojanim slučajevima, za prenos ličnih podataka iz Bosne i Hercegovine u drugu državu ili međunarodnu organizaciju, nije potreban pristanak ili saglasnost Agencije za zaštitu ličnih podataka BiH, iako država u kojoj se nalazi prijemnik podataka ne primjenjuje adekvatne mjere zaštite podataka.
Izuzetno, Agencija za zaštitu ličnih podataka BiH može odobriti prenos podataka iz Bosne i Hercegovine u drugu zemlju, koja ne obezbjeđuje odgovarajući stepen zaštite, kada kontrolor u drugoj zemlji pruži dovoljno garancija u pogledu zaštite privatnosti i osnovnih prava i sloboda pojedinaca ili pružanje sličnih prava proizlazi iz odredaba posebnog ugovora.
U svakom slučaju, za prenos podataka iz Bosne i Hercegovine u inostranstvo potrebno je ispuniti opšte pretpostavke koje se odnose na zaključivanje ugovora o obradi ličnih podataka između kontrolora i obrađivača, koji mora da bude sačinjen u pisanoj formi, staranje o bezbjednosti podataka i preduzimanje svih tehničkih i organizacionih mjera i utrđivanje pravila postupka koji su neophodni da bi se sproveli propisi u vezi sa zaštitom i tajnošću podataka. Pored toga, kontrolor i obrađivač dužni su da preduzmu mjere protiv neovlašćenog ili slučajnog pristupa ličnim podacima, mijenjanja, uništavanja ili gubitka podataka, neovlašćenog prenosa, drugih oblika nezakonite obrade podataka, mjere protiv zloupotrebe ličnih podataka, kao i da sačine plan za bezbjednost podataka kojim se određuju tehničke i organizacione mjere zaštite podataka. Sve navedene obaveze odnose se kako na postupke obrade i prenosa ličnih podataka u zemlji, tako i na prenos ličnih podataka u inostranstvo.
Uredbom Evropske unije regulisano je iznošenje ličnih podataka iz država članica Evropske unije u treće zemlje, pri čemu se prenos ličnih podataka u treću zemlju ili međunarodnu organizaciju može izvršiti kada Evropska komisija odluči da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija obezbjeđuje primjeren nivo zaštite, u kojem slučaju nije potrebno posebno odobrenje. U tom slučaju radi se o prenosu na osnovu tzv. odluke o primjerenosti.
Ukoliko Evropska komisija ne donese takvu odluku, kontrolor ili obrađivač mogu prenijeti trećoj zemlji ili međunarodnoj organizaciji lične podatke samo ukoliko je kontrolor ili obrađivač predvidio odgovarajuće zaštitne mjere i pod uslovom da su nosiocima podataka na raspolaganju provodiva prava i djelotvorna sudska zaštita. Tada se radi o prenosu na osnovu postojanja tzv. odgovarajućih zaštitnih mjera.
Takođe, Uredba predviđa i odstupanja za posebne slučajeve u kojima nije potrebna odluka Komisije ili odgovarajuće zaštitne mjere, kao npr. u slučaju pristanka nosioca podataka na predloženi prenos nakon što je obaviješten o mogućim rizicima prenosa zbog nepostojanja odluke o primjerenost i odgovarajućih zaštitnih mjera, ukoliko je prenos nužan iz važnih razloga javnog interesa, ukoliko je prenos nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva itd. Zaključno, prenos podataka iz domaće države u inostranstvo, kao i vice versa, predstavlja čestu pojavu koja je u direktnoj vezi sa razvojem savremenih tehnologija, globalnim karakterom poslovanja, te razvojem međunarodne saradnje u svim oblastima. Jasno je da iznošenje podataka iz jedne zemlje u drugu, čime se de facto gubi kontrola nad daljim korišćenjem podataka, predstavlja veliki rizik po prava i slobode nosilaca podataka. U cilju upravljanja navedenim rizikom, te svođenja mogućnosti povrede prava na zaštitu ličnih podataka i prava na privatnost nosilaca podataka na najmanji mogući nivo, zakonodavac uređuje pitanje prenosa podataka u inostranstvo, te uslove koji su neophodni da bi se lični podaci mogli iznijeti iz domaće države. Poštovanje normi kojima se uređuje prenos podataka u inostranstvo predstavlja neizostavan dio usklađivanja poslovanja sa propisima o zaštiti ličnih podataka, te bi svaki subjekt koji vrši neku od radnji obrade ličnih podataka trebao voditi računa o navedenim obavezama i prenos podataka u inostranstvo vršiti samo u slučajevima i uz ispunjavanje uslova određenih Zakonom.
Autor teksta: Igor Letica
E-mail: [email protected]