Zaštita ličnih podataka je u pravu Bosne i Hercegovine uređena Zakonom o zaštiti ličnih podataka BiH. Zakon kao svoj cilj određuje da se na teritoriji Bosne i Hercegovine svim licima, bez obzira na njihovo državljanstvo ili prebivalište, obezbijedi zaštita ljudskih prava i osnovnih sloboda, a naročito pravo na privatnost i zaštitu podataka u pogledu obrade ličnih podataka koji se na njih odnose. Poseban problem kod poštovanja prava na privatnost i zaštitu ličnih podataka predstavlja korištenje novih tehnologija, te laka, brza i jednostavna razmjena podataka putem globalne računarske mreže.
U uporednom zakonodavstvu, razvoj i primjena prava zaštite ličnih podataka je u punom zamahu, naročito nakon donošenja Opšte uredbe o zaštiti podataka (GDPR) 2016. godine, i njenog stupanja na snagu 2018. godine. Kako je pravo zaštite ličnih podataka na nivou Evropske unije regulisano uredbom, ne postoji potreba da države članice donose bilo kakve implementirajuće propise, već se Uredba primjenjuje direktno na teritoriji čitave Unije u svom izvornom tekstu. Naravno, države koje nisu članice Unije, a koje su sa Unijom potpisale sporazum o stabilizaciji i pridruživanju, uključujući i Bosnu i Hercegovinu, u obavezi su da svoje zakonske i podzakonske akte usklade sa pravnim tekovinama Unije.
GDPR garantuje nosiocima ličnih podataka određena pravna sredstva u slučaju kršenja njenih normi. Tako se garantuje nosiocima podataka pravo na pritužbu nadzornom tijelu, pravo na djelotvoran pravni lijek protiv nadzornog tijela, kontrolora ili obrađivača, pravo na naknadu štete i upravne novčane kazne u visini do 20 miliona evra ili u slučaju preduzetnika do 4 % ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu. Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja odredaba Uredbe, te preduzimaju sve potrebne mjere kako bi se osiguralo njihovo sprovođenje. Te sankcije moraju biti učinkovite, proporcionalne i odvraćajuće u pogledu budućih povreda. Pored toga, u preambuli Uredbe navodi se da bi države članice trebale imati mogućnost propisati pravila o krivičnim sankcijama za kršenje Uredbe, uključujući i kršenje nacionalnih pravila donesenih na temelju Uredbe i unutar njenih granica.
Iako donesen prije usvajanja GDPR-a, Zakon o zaštiti ličnih podataka BiH garantuje nosiocu podataka pravo na podnošenje prigovora Agenciji za zaštitu ličnih podataka BiH, pravo na naknadu materijalne ili nematerijalne štete zbog povrede prava na privatnost, te propisuje prekršajnu odgovornost i novčane kazne za prekršaje obaveza propisanih zakonom. U ovom dijelu Zakon je usklađen sa pravnom regulativom Unije koja je bila na snazi prije donošenja GDPR, a koja donošenjem GDPR ipak nije značajnije revidirana.
Međutim, pored mehanizama koji nosiocu prava stoje na raspolaganju na osnovu Zakona o zaštiti ličnih podataka BiH, krivičnim zakonima BiH i entiteta propisano je krivično djelo „Nedozvoljeno korištenje ličnih podataka“.
U Krivičnom zakoniku Republike Srpske, u članu 157, ovo krivično djelo je propisano na sljedeći način:
- Ko suprotno uslovima određenim u zakonu bez saglasnosti građana pribavlja, obrađuje, saopšti drugom ili koristi njihove lične podatke, kazniće se novčanom kaznom ili kaznom zatvora do jedne godine.
- Kaznom iz stava 1. ovog člana kazniće se i ko neovlašteno uđe u tuđu zaštićenu kompjutersku bazu podataka sa namjerom da njihovim korištenjem za sebe ili drugoga pribavi korist ili da drugome nanese štetu.
- Ako djelo iz st. 1. i 2. ovog člana učini službeno lice zloupotrebom položaja ili ovlaštenja, kazniće se kaznom zatvora od šest mjeseci do tri godine.
- Pokušaj krivičnog djela iz st. 1, 2. i 3. ovog člana je kažnjiv.
Krivični zakon BiH (član 149.) i Krivični zakon Federacije BiH (član 193.), daju istu definiciju bića ovog krivičnog djela i to na sljedeći način:
Službena ili odgovorna osoba u institucijama BiH/Federaciji koja bez pristanka pojedinca protivno zakonskim uslovima prikuplja, obrađuje ili koristi njegove lične podatke ili te podatke koristi suprotno zakonom dozvoljenoj svrsi njihovog prikupljanja, kazniće se novčanom kaznom ili kaznom zatvora do šest mjeseci.
Analizom navedena dva člana krivičnih zakonika, zaključuje se da je stepen zaštite ličnih podataka na osnovu normi krivičnog prava veći u Republici Srpskoj, nego u Federaciji BiH. Naime, u Republici Srpskoj aktivni subjekt ovog krivičnog djela može biti svako lice, dok se prema normama KZ BiH i KZ FBiH kao aktivni subjekt može javiti samo službena ili odgovorna osoba. Drugim riječima, prema zakonskim rješenjima krivičnih zakona BiH i FBiH radi se o krivičnom djelu koje mogu počiniti samo lica sa određenim svojstvom (delicta propria). Za razliku od zakonskih rješenja iz KZ BiH i KZ FBiH, kod kojih je ovo svojstvo potrebno za postojanje osnovnog oblika krivičnog djela, kod Krivičnog zakonika Republike Srpske ono je relevantno za postojanje kvalifikovanog, težeg oblika krivičnog djela, kod kojeg nije propisana novčana kazna, već samo strožija kazna zatvora.
U pogledu neovlaštenog ulaska u tuđu zaštićenu kompjutersku bazu podataka, koje je propisano članom 157. stav 2. Krivičnog zakonika Republike Srpske, valja naglasiti da sličnu odredbu sadrži i KZ FBiH, s tim da je ista sistematizovana pod krivično djelo „Povreda tajnosti pisma ili druge pošiljke“ iz člana 186. Prema tome, neovlašten ulazak u tuđu zaštićenu kompjutersku bazu podataka, uz ispunjavanje drugih obilježja, predstavlja krivično djelo kako u Republici Srpskoj, tako i u Federaciji BiH.
Krivični zakonik Republike Srpske u stavu 4. navedenog člana izričito propisuje kažnjavanje za pokušaj sva tri oblika ovog krivičnog djela, imajući u vidu da pokušaj, prema opštim uslovima, inače ne bi bio kažnjiv. Prema tome, ko započne sa nekom od radnji nedozvoljenog korištenja i obrade ličnih podataka, ali je ne dovrši, kazniće se za pokušaj ovog krivičnog djela.
Kada je riječ o obilježjima bića krivičnog djela „nedozvoljeno korištenje ličnih podataka“, bitno je naglasiti da se radi o krivičnom djelu blanketnog karaktera. Za njegovo postojanje potrebno je da je radnja obrade suprotna uslovima određenim u zakonu, pa je za utvrđivanje da li je izvršeno krivično djelo potrebno konsultovati norme Zakona o zaštiti ličnih podataka BiH.
Navedeni krivični zakoni kao radnje korištenja ličnih podataka navode prikupljanje/pribavljanje, obradu, saopštavanje drugom, kao i korištenje podataka suprotno svrsi. U tom smislu, potrebno je utvrditi šta se podrazumijeva pod radnjama obrade ličnih podataka prema Zakonu o zaštiti ličnih podataka. Zakon propisuje da je obrada ličnih podataka bilo koja radnja ili skup radnji koje se vrše nad podacima, bilo da je automatska ili ne, a posebno prikupljanje, unošenje, organizovanje, pohranjivanje, prerađivanje ili izmjena, uzimanje, konsultovanje, korištenje, otkrivanje prenosom, širenje ili na drugi način omogućavanje pristupa podacima, svrstavanje ili kombinovanje, blokiranje, brisanje ili uništavanje.
Važno je naglasiti da pristanak, odnosno saglasnost nosioca podataka za preduzimanje radnji obrade ličnih podataka oduzima takvoj radnji obilježje krivičnog djela. Saglasnost nosioca podataka podrazumijeva svaku konkretnu i svjesnu naznaku želje nosioca podataka datu slobodnom voljom kojom nosilac podataka daje svoj pristanak da se njegovi lični podaci obrađuju. Ukoliko takva saglasnost, na primjer, nije dobrovoljna, odnosno ukoliko je iznuđena, smatraće se da ne postoji saglasnost, te će postojati mogućnost da su takvom obradu ostvarena obilježja bića krivičnog djela.
Zaključno, nosioci podataka koji smatraju da se njihovi ličnih podaci obrađuju nezakonito, odnosno da je povrijeđeno njihovo pravo na privatnost, pored pravnih sredstava i mehanizama predviđenih Zakonom o zaštiti ličnih podataka BiH, mogu podnijeti i krivičnu prijavu nadležnom tužilaštvu, koje će sprovesti potrebne istražne radnje ukoliko postoje osnovi sumnje da je izvršeno krivično djelo. Na taj način omogućeno je nosiocima podataka da koriste širok spektar pravnih sredstava kako bi se osiguralo poštovanje prava na privatnost, odnosno spriječilo svako ugrožavanje ili povreda prava na zaštitu ličnih podataka. Sa druge strane, odvraćajući karakter krivičnopravnih normi, odnosno generalna prevencija kao jedna od svrha kažnjavanja, zasigurno će uticati na sve subjekte da svoje postupanje usklade sa zakonom, poštuju pravo na privatnost i lične podatke obrađuju isključivo u skladu sa važećim propisima.
Autor teksta: Letica Igor
e-mail: [email protected]