U današnje vreme, činjenica je da ako idete negde, kupujete nešto, konkurišete za posao, plaćate račune – jednostavno ako živite, u svakom od tih trenutaka u vašem životu, vaše lične informacije se koriste, prikupljaju ili obrađuju. Da bi se zaštitilo pravo na privatan život u vezi sa automatskom obradom ličnih podataka, Savet Evrope je usvojio Konvenciju o zaštiti lica u odnosu na automatsku obradu ličnih podataka – ETS br. 108 („Konvencija 108“).
Konvencija 108 je prvi obavezujući međunarodni instrument koji štiti pojedince od zloupotreba koje mogu da prate prikupljanje i obradu ličnih podataka. Istovremeno, Konvencija 108 teži da reguliše prekogranični protok ovih podataka. Pored toga što pruža garancije u vezi sa prikupljanjem i obradom ličnih podataka, Konvencija 108 zabranjuje obradu „osetljivih“ podataka u pogledu rase, političkog opredeljenja, zdravlja, verskog ubeđenja, seksualnog život, kriminalnog dosijea, i sl. u nedostatku odgovarajućih zaštitnih mera. Konvencija 108 takođe propisuje pravo pojedinca da zna da se podaci o njemu/njoj čuvaju i da se, ako je potrebno, mogu ispraviti. Ograničenja prava propisanih Konvencijom moguće je jedino kada su u pitanju preovladavajući interesi (bezbednost države, odbrana, itd.). Konvencija 108 takođe nameće neka ograničenja u odnosu na prekogranični protok ličnih podataka u države gde zakonski propisi ne obezbeđuju podjednaku zaštitu.
Iako su osnovni principi sadržani u Konvenciji izdržali test vremena zbog njihovog tehnološki neutralnog pristupa, Savet Evrope je smatrao neophodnim da modernizuje ovaj svoj „zaštitni“ instrument. Unapređivanje konvencije prati dva osnovna cilja: izaći na kraj sa izazovima koji proizilaze iz upotrebe novih informacionih i komunikacionih tehnologija i ojačati efektivnu primenu Konvencije. U skladu sa tim, Konvencija 108 je unapređena 2018. godine u cilju njenog prilagođavanja novim stvarnostima sve više povezanog sveta. Naime, Protokol kojim se menja Konvencija 108 – CETS br. 223 („Protokol“) otvoren je za potpisivanje 10. oktobra 2018. godine u Strazburu. Do sada je Protokol potpisalo 35 država članica Saveta Evrope, a tri države ga je i ratifikovalo. Srbija je, kao članica Saveta Evrope potpisala (22. novembra 2019. godine), a zatim i ratifikovala (26. maja 2020. godine) navedeni Protokol – četvrta država članica koja je to učinila. Konvencija 108, izmenjena Protokolom, naziva se još i Konvencija 108 + (dostupno ovde).
Cilj Protokola je da se unapredi i poboljša Konvencija 108, uzimajući u obzir nove izazove zaštite pojedinaca u pogledu obrade ličnih podataka koji su nastali posle usvajanja Konvencije, 1980. godine. Modernizacija Konvencije, jedinog postojećeg pravno obavezujućeg međunarodnog sporazuma sa globalnim značajem u ovoj oblasti, bavi se izazovima prava na privatnost koji su posledica korišćenja novih informacionih i komunikacionih tehnologija i time jača mehanizam Konvencije kako bi se obezbedila njena efektivna primena. Međutim, Konvencija 108 ostaje i dalje utemeljena na dva principa – slobodan protok podataka i poštovanje ljudskog dostojanstva. Konvencija 108+ je ključni instrument u digitalnom dobu i zato se očekuje da će uskoro nastupiti brojne ratifikacije koje će omogućiti brzo stupanje na snagu ovog modernizovanog instrumenta za zaštitu ličnih podataka.
Protokol pruža snažan i fleksibilan multilateralni pravni okvir kako bi se olakšao protok podataka preko granica, uz istovremeno pružanje efikasnih zaštitnih mera u korišćenju tih podataka. On predstavlja most između različitih regiona u svetu i različitih normativnih okvira, uključujući i novo zakonodavstvo Evropske unije (GDPR) koje se odnosi na Konvenciju u kontekstu prekograničnog protoka podataka.
Neke od novina sadržanih u Protokolu su snažniji zahtevi u pogledu principa proporcionalnosti, minimizacije podataka i zakonitosti obrade. Naime, Protokol predviđa da obrada podataka mora biti srazmerna, odnosno usklađena u odnosu na legitimnu svrhu koju sledi i uzimajući u obzir interese, prava i slobode subjekta obrade ili javni interes. Takva obrada podataka ne bi trebalo da dovede do nesrazmernog uplitanja u ove interese, prava i slobode. Princip proporcionalnosti treba poštovati u svim fazama obrade, uključujući i početnu fazu, tj. trenutak kada se odlučuje da li će se obrada sprovoditi ili ne.
Potrebno je naglasiti da primena principa zaštite podataka podleže svim aktivnostima obrade, uključujući one koje se tiču razloga nacionalne sigurnosti, s mogućim izuzecima i ograničenjima pod uslovima propisanim Konvencijom, ali u svakom slučaju pod nezavisnim i efikasnim pregledom i nadzor.
U skladu sa Protokolom, proširen je obim tzv. osetljivih podataka. Shodno tome, osetljivi podaci sada uključuju genetske i biometrijske podatke, članstvo u sindikatima i etničko poreklo. Ove vrste podataka su uključene jer njihova obrada ili obrada određenih podataka koji mogu otkriti osetljive podatke može dovesti do kršenja ličnih interesa, prava i sloboda. Obrada ovih podatak treba da bude dozvoljena samo ako su zakonom predviđene odgovarajuće zaštitne mere koje nadopunjuju ostale zaštitne odredbe Konvencije.
S jedne strane sigurnosne mere usmerene su na sprečavanje niza rizika, s druge strane postoji posebna obaveza u slučajevima kada se ipak dogodi povreda podataka koja može ozbiljno narušiti osnovna prava i slobode pojedinca. Ako je došlo do takve povrede podataka, kontrolor je dužan da obavesti nadležne nadzorne organe o tomKone. Kontrolor takođe treba da obavesti nadzorne organe o svim preduzetim ili predloženim merama radi otklanjanja povrede i njenih potencijalnih posledica. Na ovom mestu moramo istaći da Protokol propisuje jaču odgovornost kontrolora podataka, kao i ojačana ovlašćenja i nezavisnost organa za zaštitu podataka koji će poboljšati pravnu osnovu za međunarodnu saradnju državnih organa.
Jedan od glavnih ciljeva Protokola je pružanje veće transparentnosti obrade podataka i samim tim omogućavanje jasnog režima prekograničnih tokova podataka. Prekogranični prenos podataka se dešava kada se lični podaci otkriju ili stave na raspolaganje primaocu pod nadležnošću druge države ili međunarodne organizacije. Svrha režima prekograničnog protoka je da se osigura da se lični podaci koji se prvobitno obrađuju (prikupljaju ili čuvaju) u okviru nadležnosti ugovornice koja je kasnije pod nadležnošću države koja nije ugovornica Konvencije, i dalje obrađuju pod odgovarajućim zaštitnim merama. Dakle, važno je da podaci koji se obrađuju u nadležnosti ugovornice uvek ostaju zaštićeni relevantnim Konvencijskim principima zaštite podataka.
Pored toga, uz sve ove prednosti, Konvencija 108 + pruža nova prava osobama u kontekstu algoritamskog odlučivanja, koja su posebno relevantna u vezi s razvojem veštačke inteligencije.
Za kraj, još jedna novina u Protokolu je uslov da se primenjuje princip „integrisane zaštite privatnosti“. Dodatni naziv za ovaj princip koji se koristi u praksi je samo još jedna varijacija koja može pomoći u razumevanju ovog koncepta, a to je „integrisana zaštita podataka“.
Postulat „integrisana zaštita privatnosti“ osmišljen je kao razvojni metod za sisteme i usluge prilagođene privatnosti, čime prevazilazi puka tehnička rešenja i bavi se organizacionim procedurama i poslovnim modelima. Sa potpunom primenom GDPR-a u EU od 25. maja 2018. godine, integrisana i podrazumevana zaštita podataka postala je primenljiva zakonska obaveza koju moraju da poštuju svi oni koji obrađuju lične podatke u skladu sa zakonodavstvom EU. Član 25 GDPR-a, pod nazivom „Integrisana i podrazumevana zaštita podataka“, predviđa da kontrolor sprovodi odgovarajuće tehničke i organizacione mere, kako u fazi projektovanja obrade, tako i tokom njenog sprovođenja, kako bi efikasno integrisao mere zaštite podataka u skladu sa GDPR-om i time štiti osnovna prava pojedinaca čiji se podaci obrađuju.
Autori: Nadja Kosić i Žarko Popović