zaŠtita podataka o liČnosti u postupku …

Kralja MIlutina 30, Beograd Sprat 8. #42

Т: +381114038460 www.protivkorupcije.rs

Ovaj projekat finansira Evropska unija

Prevencija i borba protiv korupcije

EuropeAid/138423/DH/SER/RS

2017/386-597

ZAŠTITA PODATAKA O LIČNOSTI U POSTUPKU

UZBUNJIVANJA

Autor:

Milica Andrić

Decembar 2020. godine

Ovaj projekat finansira Evropska unija





EuropeAid/138423/DH/SER/RS

2017/386-597

SMERNICE ZA IZVEŠTAVANJE O SPROVOĐENJU I

VRŠENJE NADZORA NAD SPROVOĐENJEM

REVIDIRANOG AKCIONOG PLANA ZA POGLAVLJE 23,

POTPOGLAVLJE BORBA PROTIV KORUPCIJE

Autori:

Jovan Nicić

Ana Arsenijević

Novembar 2020. godine



Sadržaj ovog izveštaja je isključiva odgovornost izvršioca projekta i ni na koji način ne predstavlja stavove

Evropske unije.


4

UVOD ......................................................................................................................... 5

1. ZAŠTITA PODATAKA O LIČNOSTI U SKLADU SA VAŽEĆIM ZAKONOM O ZAŠTITI

PODATAKA O LIČNOSTI ............................................................................................ 5 1.1 Osnovni pojmovi i načela zaštite podataka o ličnosti ............................................................................ 6

1.2 Prava lica čiji se podaci obrađuju ............................................................................................................... 8

1.3 Uloga Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti .......................... 10

2. ODNOS ZAŠTITE PODATAKA O LIČNOSTI I ZAŠTITE UZBUNJIVAČA .................. 10

2.1 Zaštita podataka o ličnosti u skladu sa zakonom o zaštiti uzbunjivača ............................... 10 2.2 Glavni izazovi zaštite podataka o ličnosti u postupku uzbunjivanja ............................................... 11

2.2.1 Poverljivost informacija ........................................................................................................................ 11

2.2.2 Pravo na informisanost ......................................................................................................................... 14

2.2.3 Period čuvanja podataka u postupku uzbunjivanja ......................................................................... 15

2.2.4 Bezbednost podataka ............................................................................................................................ 15

2.2.5 Neusklađenost i kolizija propisa ......................................................................................................... 16

2.3 Evropska praksa i smernice vezane za zaštitu podataka o ličnosti u postupku uzbunjivanja ..... 16

2.4 Uzbunjivanje u praksi u Srbiji (Pištaljka, dosadašnja iskustva, studije slučaja) ........................... 17

2.4.1 Studija slučaja ............................................................................................................................................. 18

3. ZAKLJUČAK .......................................................................................................... 19 3.1 Ključna uloga ovlašćenog lica u postupku zaštite podataka o ličnosti ............................................. 19

3.2 Buduće tendencije – usaglašavanje regulative i postupanja sa zahtevima zaštite podataka o

ličnosti .................................................................................................................................................................. 20


5

Uvod

Republika Srbija usvojila je Zakon o zaštiti uzbunjivača kojim se obezbeđuju sigurni kanali za

zaposlene, kao i određene druge kategorije lica, putem kojih je moguće izvršiti prijavljivanje

prevara, korupcije i ozbiljnih zloupotreba u organizacijama. Zakon je počeo da se primenjuje

2015. godine (zajedno sa podzakonskim aktom – Pravilnikom o unutrašnjem uzbunjivanju), a

odnosi se i na javni i na privatni sektor. Njime su predviđena tri kanala za uzbunjivanje, kao i

sudska zaštita od štetnih radnji.

Prilikom otkrivanja informacija uzbunjivač nije dužan da otkrije svoj identitet, odnosno

uzbunjivanje se može izvršiti anonimno. Ako je uzbunjivač predao svoje lične podatke, zakon

posebno predviđa da će lični podaci uzbunjivača biti zaštićeni u skladu sa Zakonom o zaštiti

podataka o ličnosti i da se isti mogu otkriti nadležnom organu samo u izuzetnim slučajevima,

ako radnje ovog organa ne bi bile moguće bez otkrivanja ličnih podataka uzbunjivača.

Poslodavci su dužni da imenuju lice ovlašćeno za prijem informacija i vođenje postupaka u vezi

sa uzbunjivanjem. Osim što su zaduženi za vođenje postupka, ovlašćena lica odgovorna su za

zaštitu identiteta mogućih uzbunjivača, kao i optuženih osoba i njihovih ličnih podataka, od

njihovog otkrivanja neovlašćenim licima i široj javnosti. Pored toga, poslodavac koji ima više

od deset zaposlenih dužan je da internim aktom reguliše postupak uzbunjivanja i isti objavi na

vidnom mestu, kao i na veb stranici poslodavca.

Budući da je zaštita ličnih podataka u suštini povezana sa delotvornom primenom zaštite za

uzbunjivače, neophodno je razmotriti pitanja koja se odnose na: poverljivost podataka o

uzbunjivačima i optuženim licima; razumno prikupljanje i obradu podataka; pravo na

informacije o tome kako se postupa sa ličnim podacima u slučaju uzbunjivanja; pravo pristupa

informacijama; period čuvanja prikupljenih i proizvedenih podataka i izveštaja; sigurnost

podataka; tehničke i organizacione rizike/mere; itd.

1. Zaštita podataka o ličnosti u skladu sa važećim Zakonom

o zaštiti podataka o ličnosti

Kako bi ujednačila pristup zaštiti podataka o ličnosti i odgovorila na rapidno menjajuće tehnološke zahteve, Evropska unija je 27. aprila 2016. godine usvojila novi regulatorni okvir za zaštitu privatnosti – Opštu uredbu o zaštiti podataka (General Data Protection Regulation; u daljem tekstu: “GDPR”). GDPR je stupio na snagu 25. maja 2018. godine i direktno se primenjuje u svim državama članicama Evropske unije.

U cilju usklađivanja nacionalnog zakonodavstva sa pravom Evropske unije, Republika Srbija je na osnovu člana 42. Ustava Republike Srbije krajem 2018. godine usvojila novi Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS", br. 87/2018; u daljem tekstu: “Zakon”) čiji veći broj odredbi predstavljaju prevod odredbi GDPR-a. Zakon je usvojen sa odloženim datumom primene – 21. avgust 2019. godine. Naime, ugledajući se na primer koji je dala EU sa odloženim rokom primene od čak dve godine nakon usvajanja, naš zakonodavac je takođe ostavio određeni period (9 meseci) nakon usvajanja nove regulative kako bi obveznici Zakona stigli da prilagode svoje poslovanje i aktivnosti novim zahtevima regulative.


6

1.1 Osnovni pojmovi i načela zaštite podataka o ličnosti

Ustav Republike Srbije predviđa da je, kao osnovno ljudsko pravo, zajamčena zaštita podataka o ličnosti, te da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom.

Imajući napred navedeno u vidu, Zakonom se pre svega definiše koji podaci će se smatrati podacima o ličnosti, pa će se tako podatkom o ličnosti smatrati svaki podatak koji se odnosi na fizičko lice čiji je identitet neposredno ili posredno određen ili odrediv.

Obrada posebno osetljivih podataka o ličnosti u postupku dopuštena je samo u izuzetnim slučajevima – na primer ako je pojedinac dao izričit pristanak, ili neki drugi zakon propisuje obavezu vršenja obrade. S obzirom da Zakon o zaštiti uzbunjivača ne reguliše obavezu obrade posebno osetljivih podataka o ličnosti u postupku uzbunjivanja, treba primeniti vrlo restriktivan pristup obradi ovakvih podataka. Drugim rečima, treba ih obrađivati samo ukoliko su u neposrednoj vezi sa dostavljenom informacijom i neophodni za sprovođenje postupka.


7

Svaka radnja (prikupljanje, beleženje, razvrstavanje, grupisanje, brisanje, itd.) koja se preduzima sa podatkom o ličnosti predstavlja radnju obrade u skladu sa Zakonom, a obveznici primene Zakona su lica koja vrše radnje obrade, odnosno rukovalac i obrađivač.

Rukovalac je lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu (razlog zbog kog se podaci obrađuju) i način obrade podataka o ličnosti; dok je obrađivač lice, odnosno organ vlasti, koji obrađuje podatke o ličnosti u ime rukovaoca.

Rukovalac i obrađivač dužni su da prilikom vršenja radnji obrade poštuju sva načela koja predviđa Zakon. Naime, Zakon, po ugledu na GDPR, predviđa da se podaci o ličnosti moraju obrađivati u skladu sa sledećim načelima:

1) zakonita, poštena i transparentna obrada – podaci o ličnosti moraju se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose. Zakonita obrada je obrada koja se vrši u skladu sa Zakonom, odnosno drugim zakonom kojim se uređuje obrada.


8

2) ograničenje u odnosu na svrhu obrade – podaci o ličnosti se moraju prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.

3) minimizacija podataka – opseg podataka o ličnosti koji se obrađuje mora biti primeren, bitan i ograničen na ono što je neophodno u odnosu na svrhu obrade.

4) tačnost – podaci o ličnosti koji se obrađuju moraju biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave.

5) ograničenje čuvanja – podaci o ličnosti se moraju čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade.

6) integritet i poverljivost – podaci o ličnosti moraju se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.

Iako ne predstavlja posebno načelo u skladu sa Zakonom, odgovornost za postupanje se često navodi kao sedmo, ultimativno načelo, jer predviđa da je rukovalac odgovoran za primenu svih načela i mora biti u mogućnosti da predoči njihovu primenu.

U nastavku je i grafički prikaz obaveza u pogledu obrade podataka, a koje proističu iz principa.

Treba imati u vidu da načela predviđena drugim propisima najčešće predstavljaju samo smernice i instrukcije u primeni zakonskih odredbi, dok pridržavanje i postupanje u skladu sa načelima predviđenim Zakonom predstavlja neposrednu obavezu rukovaoca i obrađivača. Nepoštovanje i nepostupanje u skladu sa načelima Zakona, pre svega predstavlja prekršaj u skladu sa Zakonom, ali može biti i osnov za naknadu materijalne i nematerijalne štete.

1.2 Prava lica čiji se podaci obrađuju

Zakon obavezuje rukovaoca da licu čije će podatke o ličnosti obrađivati pruži informacije od značaja za predmetnu obradu u trenutku prikupljanja podataka. Naime, rukovalac je dužan da tom licu da svoje identifikacione i kontakt podatke, podatke koji se odnose na obradu


9

(kategorija podataka, svrha, pravni osnov obrade), informacije o primaocima podataka, rokove čuvanja, kao i druge informacije kako bi lice bilo informisano o pravima koja ostvaruje u vezi sa podacima koje pruža.

U skladu sa Zakonom, pored prava na informisanost, lice čiji podaci se obrađuju ostvaruje sledeća prava:

1) Pravo na pristup svojim podacima – Lice na koje se podaci odnose ima pravo da dobije od rukovaoca potvrdu da li se obrađuju podaci o ličnosti koji se odnose na njega i ako se takvi podaci obrađuju, ima pravo na pristup podacima i drugim obaveznim datim informacijama.

2) Pravo na ispravku i dopunu – Lice na koje se podaci odnose ima pravo bez nepotrebnog odgađanja da zahteva od rukovaoca ispravku netačnih podataka o ličnosti ili dopunu podataka koji se na njega odnose.

3) Pravo na brisanje – Lice na koje se podaci odnose ima pravo od rukovaoca da zahteva brisanje podataka o ličnosti koji se na njega odnose bez nepotrebnog odlaganja ukoliko više ne postoji svrha i pravni osnov obrade.

4) Pravo na ograničenje – Lice na koje se podaci odnose ima pravo od rukovaoca ograničenje obrade podataka (osim čuvanja) u slučaju da to lice osporava tačnost podataka o ličnosti, ako je obrada nezakonita, ako rukovaocu više ne trebaju podaci o ličnosti ili je lice čiji se podaci obrađuju uložio prigovor na obradu.

5) Pravo na prenosivost – Lice na koje se podaci odnose ima pravo da dobije podatke o ličnosti koji se odnose na njega, u struktuiranom, uobičajeno upotrebljavanom i mašinski čitljivom formatu i ima pravo da prenese te podatke drugom rukovaocu (ugovor/ saglasnost i automatska obrada) i

6) Pravo na prigovor i automatizovano donošenje pojedinačnih odluka – Lice na koje se podaci odnose ima pravo u svakom trenutku da uloži prigovor na obradu podataka o ličnosti koji se odnose na njega. Rukovalac više ne sme da obrađuje podatke o ličnosti osim ako ne dokaže da postoje uverljivi legitimni razlozi za obradu. Takođe, lice na koje se podaci odnose ima pravo da se na njega ne odnosi odluka koja se zasniva isključivo na automatskoj obradi, uključujući i profilisanje, koja proizvodi pravne posledice po njega ili na sličan način značajno utiču na to lice.


10

Lice čiji se podaci obrađuju svoja prava ostvaruje na osnovu podnetog zahteva. Zakon ne precizira u kom formatu se može podneti zahtev, te je na rukovaocu da opredeli odgovarajuće kanale za prijem, s tim da je rukovalac dužan da omogući licu da ostvari svoja prava na najjednostavniji i najefikasniji način.

1.3 Uloga Poverenika za informacije od javnog značaja i zaštitu podataka

o ličnosti

Zakon je Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: „Poverenik“), kao nadzornom organu, u cilju zaštite osnovnih prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti dodelio veliki broj ovlašćenja. Između ostalog, u skladu sa Zakonom, Poverenik:

vrši nadzor i obezbeđuje primenu Zakona u skladu sa svojim ovlašćenjima;

na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim Zakonom;

postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede Zakona i obaveštava podnosioca pritužbe o toku postupka po pritužbi Povereniku;

vrši inspekcijski nadzor nad primenom Zakona i podnosi zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede ovog zakona, u skladu sa zakonom kojim se uređuju prekršaji.

Imajući u vidu ovlašćenja Poverenika, Poverenik se u slučaju inspekcijskog nadzora zbog sumnje na povredu prava, odnosno u slučaju podnošenja pritužbe zbog povrede prava predviđenih Zakonom, može naći aktivno uključen i u postupak uzbunjivanja

2. Odnos zaštite podataka o ličnosti i zaštite uzbunjivača

2.1 Zaštita podataka o ličnosti u skladu sa Zakonom o zaštiti

uzbunjivača

Zakon o zaštiti uzbunjivača donet je 2014. godine, nakon čega nije pretrpeo nikakve izmene, uključujući ni neophodno prilagođavanje zahtevima vezanim za zaštitu podataka o ličnosti. Predmetni zakon, iako ranije donet, ipak prepoznaje značaj zaštite podataka o ličnosti u procesu uzbunjivanja, te daje generalne smernice licu koje ovlašćeno za prijem informacija (u daljem tekstu: “ovlašćeno lice“).

Naime, Zakon o zaštiti uzbunjivača predviđa da je ovlašćeno lice dužno da štiti podatke o ličnosti uzbunjivača, odnosno podatke na osnovu kojih se može otkriti identitet uzbunjivača, osim ako se uzbunjivač ne saglasi sa otkrivanjem tih podataka. Saglasnost uzbunjivača mora ispuniti sve uslove koje predviđa Zakon, odnosno mora biti transparentna, razumljiva, informativna i slobodno data (neuslovljena).


11

S druge strane, ovlašćeno lice dužno je da prilikom prijema informacije, obavesti uzbunjivača da njegov identitet može biti otkriven nadležnom organu, ako bez otkrivanja identiteta uzbunjivača ne bi bilo moguće postupanje tog organa; kao i da ga obavesti o merama zaštite učesnika u krivičnom postupku. Ako je u toku postupka neophodno da se otkrije identitet uzbunjivača, ovlašćeno lice dužno je da o tome, pre otkrivanja identiteta, obavesti uzbunjivača. Zakon o zaštiti uzbunjivača predvideo je navedenu obavezu kako bi se uzbunjivač pripremio i bio spreman na dešavanja koja mogu uslediti kada se sazna da je izvršio uzbunjivanje.

Svako lice koje sazna podatke na osnovu kojih se može otkriti identitet uzbunjivača, dužno je takođe da štiti te podatke.

Na kraju, Zakon o zaštiti uzbunjivača predviđa da se podaci na osnovu kojih se može utvrditi identitet uzbunjivača ne smeju saopštiti licu na koje se ukazuje u informaciji, ako posebnim zakonom nije drugačije propisano.

Bez obzira na trenutnu nedovoljnu usklađenost Zakona o zaštiti uzbunjivača sa zahtevima Zakona, treba imati u vidu da zaštita podataka o ličnosti kao oblik prava na privatnost predstavlja jedno od osnovnih ljudskih prava, te da se prilikom svakog kontakta sa podacima o ličnosti moraju razmotriti zahtevi Zakona i postupati u skladu sa njegovim načelima.

2.2 Glavni izazovi zaštite podataka o ličnosti u postupku uzbunjivanja

Svi ovde navedeni glavni izazovi su međusobno povezani i proističu jedni iz drugih. Za njihovo prevazilaženje neophodan je planirani sistemski pristup. Ovi izazovi, pre svega, proističu iz nedovoljnog poznavanja zahteva Zakona i neusklađenosti sprovođenja aktivnosti rukovaoca sa tim zahtevima.

2.2.1 Poverljivost informacija

Jedan od najbitnijih činilaca za odlučivanje lica na čin uzbunjivanja jeste garancija sigurnosti da će identitet uzbunjivača ostati nepoznat ukoliko se lice odluči na anonimno uzbunjivanje, odnosno da će se informacije o uzbunjivaču u postupku uzbunjivanja čuvati kao poverljive.

Poverljivost informacija u procesu uzbunjivanja pre svega podrazumeva davanje mogućnosti da se uzbunjivanje izvrši i anonimno u skladu sa Zakonom o zaštiti uzbunjivača. Dakle, poslodavac, odnosno organ, mora uspostaviti liniju prijave (posebna aplikacija, kutija za prijave) gde uzbunjivač može prijaviti kršenje propisa, kršenje ljudskih prava i sve druge nezakonitosti predviđene Zakonom o zaštiti uzbunjivača bez otkrivanja svog identiteta.


12

Takođe, u skladu sa predmetnim zakonom, poslodavac i ovlašćeni organ dužni su da postupe po ovakvoj prijavi, u okviru svojih ovlašćenja; a poslodavac, s druge strane, ne sme preduzimati mere u cilju otkrivanja identiteta anonimnog uzbunjivača.

Bez obzira na navedeno, često se dešava u praksi da poslodavci ne žele da postupe po anonimnoj prijavi, jer je olako okarakterišu kao lažnu i odbacuju zbog nepostojanja osnova. Takođe, iako je Zakonom o zaštiti uzbunjivača izričito predviđeno da poslodavac ne sme preduzimati mere u cilju otkrivanja identiteta anonimnog uzbunjivača, poslodavci koriste svoju poziciju da ipak dođu do ovog podatka. Ovakva praksa udaljuje uzbunjivače od donošenja odluke da izvrše uzbunjivanje, jer nisu sigurni da mogu da se pouzdaju u to da će postupak biti sproveden na zakonom predviđen način, niti da će njihova prava i integritet u postupku biti zaštićeni.

Dakle, preduslov za efikasno i funkcionalno sprovođenje postupka uzbunjivanja je postupak regulisan na način koji garantuje ostvarivanje zakonom zagarantovanih prava i uspostavljeni sigurni kanali komunikacije kroz koje je moguće sprovesti proces.

Međutim, izuzetno je teško sakriti sve digitalne tragove koje ostavljamo dok koristimo tehnologiju, razmenjujemo štampane dokumente elektronskom poštom, telefoniramo, itd. Iako obrišemo istoriju pretraga, dokumente sa desktopa i iz korpe za otpatke, mejlove iz dolaznog i odlaznog sandučeta, tragovi ostaju, ali su nevidljivi za običnog posmatrača. Ostaju žigovi na štampanim dokumentima, podaci o korišćenju štampača, skenera, i sl., takozvani logovi, zapisi o elektronskoj komunikaciji (meta-podaci), itd.

Imajući ovo u vidu, ukoliko je uspostavljen elektronski kanal za prijem informacija, neophodno je tehnološko rešenje kreirati na način koji ne omogućava identifikovanje lica, osim ukoliko lice nije samo ostavilo svoje identifikacione podatke. Takođe, pristup ovakvoj platformi trebalo bi omogućiti samo ovlašćenom licu koje treba da postupi po prijavi i kome je ovakav pristup neophodan.

Ukoliko kanali za dostavljanje informacija nisu na adekvatan način obezbedili anonimnost lica, anonimnost uzbunjivača zavisiće najčešće samo od volje druge strane da upotrebi neophodne alate i tehnologije i dođe do identiteta uzbunjivača.

U nastavku je primer iz međunarodne prakse o pokušaju da se otkrije identitet anonimnog uzbunjivača1.

Britanski finansijski regulatori nedavno su kaznili izvršnog direktora Barclays Group sa 642.430 GBP (približno 732.000 EUR). Razlog tome bili su pokušaji izvršnog direktora da identifikuje uzbunjivača. Prema mišljenju finansijskih regulatora, izvršni direktor prekršio je standarde poslovanja i zbog toga je pokrenuta istraga protiv njega. Kao posledica incidenta, Barclays je sada pod posebnim nadzorom i kontrolom britanskih finansijskih regulatora i mora im godišnje izveštavati o svojim internim sistemima za uzbunjivanje i kontrolama. Ovo je prvi put da su britanski finansijski regulatori preduzeli takve mere protiv kompanije u vezi sa uzbunjivanjem.

Pozadina slučaja

U junu 2016. godine Barclays Grupa primila je anonimno pismo od uzbunjivača. Pismo je sadržavalo informacije i navode koji su se, između ostalog, odnosili na zapošljavanje od strane izvršnog direktora Barclaysa zaposlenog i bivšeg kolege u JP Morgan Chase & Co. Zbog „nepravilnosti“ na njegovom

1 https://www.gleisslutz.com/en/Attempts_to_uncover_the_identity_of_a_whistleblower.html (pristupljeno u

decembru 2020. godine)

PRIMER: POKUŠAJ OTKRIVANJA IDENTITETA ANONIMNOG UZBUNJIVAČA SANKCIONISAN STROGO

https://www.gleisslutz.com/en/Attempts_to_uncover_the_identity_of_a_whistleblower.html


13

posljednjem poslu u JP Morgan Chase & Co, ovaj kolega navodno nije bio pogodan kandidat za mesto višeg izvršnog rukovodioca.

Potom je izvršni direktor više puta pokušao otkriti identitet uzbunjivača, uključujući i uz pomoć odeljenja za internu sigurnost banke.

Reakcija finansijskih regulatora

Prema britanskim finansijskim regulatorima, izvršni direktor imao je sukob interesa u ovoj situaciji. Tvrdili su da je zbog ovog sukoba interesa trebalo da održava odgovarajuću distancu od interne istrage, a posebno nije trebalo da pokušava da identifikuje uzbunjivača.

Na osnovu istrage, regulatori su zaključili da njegovo ponašanje predstavlja ozbiljnu pogrešnu procenu i da je, s obzirom na presudnu ulogu izvršnog direktora, standard dužne pažnje i brige bio viši nego za ostale zaposlene.

Otkrili su da je izvršni direktor prekršio ovaj standard na način koji je rizikovao potkopavanje poverenja u Barclays-ove prodecure uzbunjivanja. Prema regulatorima, uzbunjivači igraju vitalnu ulogu u razotkrivanju loše prakse i zloupotreba u sektoru finansijskih usluga. Njihova zaštita je važan činilac u održavanju finansijskog sistema sigurnim i zdravim, te je stoga presudno da pojedinci mogu govoriti anonimno i bez straha od odmazde ako žele izraziti zabrinutost.

Iako generalni direktor svojim ponašanjem na kraju nije ostvario ličnu korist, finansijski regulatori smatrali su prikladnom novčanu kaznu od 10% njegovog godišnjeg prihoda. Stoga su odredili ukupnu novčanu kaznu na 917.800 GBP. S obzirom na to da je izvršni direktor u ranoj fazi procesa postigao dogovor s regulatorima, kazna je smanjena za 30%, na kraju u ukupnom iznosu od 642.430 GBP.

Regulatori su odlučili da on može nastaviti da radi kao izvršni direktor Barclays-a. To je bilo moguće samo zbog činjenice da uzbunjivač nije bio zaposlenik Barclays-a. Kršenje mnogo strožih propisa u vezi s internim uzbunjivanjem imalo bi još dalekosežnije pravne posledice za predsednika uprave.

Međutim, s obzirom na to što se dogodilo, britanski finansijski regulatori smatrali su opravdanim da se Barclays podvrgne pojačanom nadzoru i kontroli u pogledu načina na koji rešava slučajeve uzbunjivanja. Od sada Barclays mora svake godine izveštavati finansijske regulatore o svojim internim sistemima uzbunjivanja i uspostavljenim kontrolama, s posebnim naglaskom na slučajeve koji uključuju navode protiv viših menadžera Barclays-a ili u kojima je Barclays razmotrio mogućnost identifikovanja uzbunjivača. Pored toga, viši menadžeri Barclays-a odgovorni za sisteme uzbunjivanja i kontrole (takozvani „šampioni uzbunjivanja“) dužni su lično potvrditi ispravnost ovih sistema i kontrola na godišnjoj osnovi.

S druge strane, u slučaju kada se ne radi o anonimnoj prijavi, ovlašćeno lice, kao i svako drugo lice koje sazna podatke o ličnosti uzbunjivača, dužno je da štiti te podatke, odnosno podatke na osnovu kojih se može otkriti identitet uzbunjivača, kao poverljive. Iako se na prvi pogled čuvanje informacija o identitetu uzbunjivača čini kao jednostavan zadatak, poverljivost koja se uspostavlja između odgovornog lica i uzbunjivača je od presudnog značaja – kako za samog uzbunjivača i njegovu/njenu bezbednost, tako i za sprovođenje postupka uzbunjivanja.

Sprovođenje procesa uzbunjivanja u skladu sa zahtevima Zakona i Zakona o zaštiti uzbunjivača zavisiće od mnogobrojnih činilaca, uključujući, ali ne ograničavajući se na:


14

Proces uzbunjivanja (ni)je na adekvatan način interno regulisan,

Ovlašćeno lice (ni)je prošlo neophodne obuke i usvojilo potrebna znanja za rukovođenje ovim procesom,

Slučaj povodom koje se vrši uzbunjivanje kompleksan i podrazumeva opsežnu istragu i uključenost velikog broja učesnika.

Iako je na poslodavcu da usvoji interne akte i reguliše proces uzbunjivanja, sagledavajući sve napred navedeno može se doći do zaključka da je ipak na ovlašćenom licu najveći teret da sprovede postupak uzbunjivanja na efikasan, optimalan i zakonit način.

U nastavku je primer iz prakse gde je pravo na neotkrivanje identiteta jasno prekršeno.

A.M. je bila sudija u osnovnom sudu i prijavila je predsednika tog suda Visokom savetu sudstva za korupciju. Osim Visokom savetu sudstva, A.M. je prijavu sa imenom predsednika i svim dokazima poslala i kabinetu predsednika Republike. U prijavi je navela svoje lične podatke: ime i prezime, JMBG, adresu stanovanja i broj telefona.

Visoki savet sudstva je prijavu A.M. prosledio tužilaštvu zatamnivši JMBG, adresu i broj telefona, dok je kabinet predsednika Republike prijavu A.M. prosledio predsedniku osnovnog suda bez ikakve zaštite ličnih podataka uzbunjivača.

Nekoliko dana pošto je podnela prijavu, A.M. je dobila poziv iz kabineta predsednika i rečeno joj je da će je predsednik suda tužiti za klevetu. Predsednik suda je zaista podneo tužbu i krivičnu prijavu protiv A.M. koja je bila suspendovana sa posla i protiv nje je pokrenut disciplinski postupak.

2.2.2 Pravo na informisanost

Kako se podaci o ličnosti u izveštaju o uzbunjivanju mogu odnositi na uzbunjivače, lice pod istragom, svedoke ili druge pomenute pojedince, neophodno je na adekvatan način obavestiti sve učesnike o obradi njihovih podataka za ove potrebe. Naime, ovlašćeno lice će u trenutku prikupljanja podataka o uzbunjivaču, a za potrebe uzbunjivanja, uzbunjivaču pružiti sve neophodne informacije u vezi sa obradom njegovih podataka u skladu sa Zakonom, kao i informacije o njegovim pravima u skladu sa Zakonom o zaštiti uzbunjivača. Međutim, kada vrši uzbunjivanje, uzbunjivač deli sa ovlašćenim licem podatke i o trećim licima. Dakle, ovlašćeno lice indirektno prikuplja podatke i o trećim licima koja su od značaja za postupak uzbunjivanja. Postavlja se pitanje u kom momentu je ovlašćeno lice dužno da obavesti ta treća lica da se njihovi podaci obrađuju u postupku uzbunjivanja u skladu sa Zakonom?

Ovo pitanje se pre svega postavlja iz razloga što bi obaveštavanje lica na koje se ukazuje u informaciji, u ranoj fazi istrage, po dostavljenoj informaciji, u određenim slučajevima, moglo ugroziti istragu. Zbog toga bi u navedenim slučajevima, potencijalno, bilo potrebno odložiti obaveštavanje lica na koje se ukazuje u informaciji o tome da su prikupljeni njegovi podaci i da se obrađuju u svrhe postupka uzbunjivanja..

Imajući u vidu da relevantna regulativa ne daje nikakve smernice u ovom pogledu, o suzdržavanju od dostavljanja informacija treba odlučivati od slučaja do slučaja. Ovakav pristup treba primenjivati restriktivno, uz obavezno savetovanje sa licem nadležnim za zaštitu

PRIMER: PREKRŠENO PRAVO NA NEOTKRIVANJE IDENTITETA POKRENULO ŠTETNE RADNJE PREMA

UZBUNJIVAČU


15

podataka o ličnosti u organizaciji i dokumentovanje razloga i činjenica koje su dovele do takve odluke. Ovo posebno iz razloga što Poverenik, kao nadzorni organ, ima tendenciju da vrlo konzervativno tumači odredbe Zakona u relaciji sa drugom relevantnom regulativom.

2.2.3 Period čuvanja podataka u postupku uzbunjivanja

Kao što smo ranije pomenuli, shodno načelima minimizacije i ograničenja čuvanja, rukovalac je dužan da vodi računa da opseg podataka o ličnosti koji se obrađuje mora biti primeren, bitan i ograničen na ono što je neophodno u odnosu na svrhu obrade, kao i o činjenici da se ti podaci mogu čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade. Dakle, navedene principe rukovalac je dužan da primeni i na postupak uzbunjivanja.

Kako su rokovi čuvanja regulisani zakonom samo u izuzetnim slučajevima, najčešće je na rukovaocu da internim aktima predvidi adekvatne rokove čuvanja dokumentacije/informacija, kao i rokove u kojima će vršiti periodičnu proveru postupanja u skladu sa tim internim aktima, odnosno da li su podaci zaista izbrisani/uništeni. U postupku uzbunjivanja rokovi čuvanja bi trebalo da zavise od vrste dokumentacije/informacija, svrhe obrade i faze u kojoj se postupak uzbunjivanja okonča.

Sve napred navedeno omogućava licima čiji se podaci o ličnosti prikupljaju i obrađuju da ostvare pravo na ograničenje obrade, odnosno brisanje podataka u skladu sa Zakonom, kao i rukovaocu da na jednostavan i efikasan način postupi u skladu sa zahtevom tog lica za ostvarivanje njegovih prava.

Međutim, da bi rukovalac postupio u skladu sa pomenutim zahtevima Zakona u postupku uzbunjivanja, neophodno je da taj postupak bude u potpunosti regulisan od momenta kada se ovlašćenom licu dostavi informacija na osnovu koje ovlašćeno lice pokreće postupak do kada se postupak okonča, što podrazumeva da su tok podataka, kao i učesnici u postupku, definisani za sve moguće opcije odnosno ishode postupka.

2.2.4 Bezbednost podataka

Pitanje bezbednosti podataka u procesu uzbunjivanja je usko povezano sa poverljivošću informacija i regulisanim pravom na pristup. Naime, osigurati bezbednosti informacije znači obezbediti poverljivost, integritet i dostupnost informacije (CIA – Confidentiality, Integrity and Availability), odnosno:

Poverljivost podrazumeva da je pristup informacijama ograničen i omogućen samo ovlašćenim licima;

Integritet podrazumeva da je neophodno osigurati tačnost i potpunost informacija, kao i zaštitu od neovlašćene promene njihovog sadržaja; i

Dostupnost znači da su informacije dostupne samo osobama sa ovlašćenjem, na njihov zahtev.

Navedeni principi spadaju i u osnovna načela GDPR-a i Zakona, na osnovu kojih se njihove odredbe tumače i primenjuju.

Iako kada govorimo o bezbednosti podataka prvo pomislimo na bezbednost podataka u elektronskom obliku u informacionim sistemima, treba imati u vidu da bezbednost podataka podrazumeva i zaštitu onih u papirnom formatu u skladu sa istim principima.


16

Dakle, nije dovoljno samo urediti pravo pristupa (dostupnost) kroz definisanje i upravljanje rolama u softverskim rešenjima koja se koriste, već je ovo pravo neophodno regulisati i za podatke koji se nalaze u papirnom formatu. Dodeljivanje prava pristupa može se vezati i za radna mesta u skladu sa pravilnikom o sistematizaciji radnih mesta, čime se poštovanje dodeljenog prava pristupa definiše kao radna obaveza zaposlenog i samim tim se smanjuje rizik od neovlašćenog pristupa i promene sadržaja.

Navedeno je potrebno primeniti i na adekvatnu klasifikaciju podataka, kojoj korespondira i određeni način čuvanja u skladu sa stepenom poverljivosti.

Sprovođenje svega navedenog u većim i/ili kompleksnijim organizacijama predstavlja sistemski poduhvat u kome učestvuje cela organizacija.

2.2.5 Neusklađenost i kolizija propisa

Zakon u prelaznim i završnim odredbama predviđa da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiti sa odredbama ovog Zakona do kraja 2020. godine, međutim, zakonodavac je morao biti svestan već u momentu pripreme ovog krovnog zakona da imajući u vidu obim propisa čije je prilagođavanje potrebno izvršiti u ovom procesu, ovo predstavlja skoro nemoguć zadatak.

U periodu od donošenja Zakona 2018. godine do kraja 2020. godine prilagođen je nezavidan broj propisa u koje ne spada Zakon o zaštiti uzbunjivača. Iako navedeni zakon, kao što smo već pominjali, daje neka generalna pravila koja se tiču zaštite podataka o ličnosti, ceo zakon, uključujući i postojeće odredbe koje regulišu zaštitu podataka o ličnosti neophodno je tumačiti kroz prizmu Zakona i primenjivati u skladu sa njegovim zahtevima.

Ovo pre svega predstavlja komplikovan proces za ovlašćena lica, jer samim tim što pitanje zaštite podataka o ličnosti nije dodatno razrađeno u Zakonu o zaštiti uzbunjivača na osnovu zahteva Zakona, ne postoje jasne instrukcije na koji način se ova dva propisa primenjuju u međusobnoj korelaciji u postupku uzbunjivanja. Navedeno dovodi ovlašćena lica u poziciju da odlučuju o ostvarivanja prava lica u skladu sa od ova dva propisa, što već težak zadatak ovlašćenih lica dodatno otežava.

Na kraju, treba imati u vidu da ovlašćena lica u procesu uzbunjivanja nisu dužna da primenjuju samo ova dva propisa, već i propise na koje se uzbunjivanje odnosi, stoga ovlašćena lica potencijalno moraju odredbe tih propisa, koji u većini slučajeva nisu prošli kroz proces usklađivanja, tumačiti u svetlu Zakona.

2.3 Evropska praksa i smernice vezane za zaštitu podataka o ličnosti u

postupku uzbunjivanja

Imajući u vidu odredbe GDPR-a koje su uticale na sve zakonom regulisane sfere, uključujući i zaštitu uzbunjivača, Evropski supervizor za zaštitu podataka o ličnosti (u daljem tekstu: „Supervizor“) doneo je Smernice za postupanje sa podacima o ličnosti u postupku


17

uzbunjivanja2, a nedavno je počela i da se primenjuje Direktiva o uzbunjivanju koja je usklađena sa zahtevima regulative u oblasti zaštite podataka o ličnosti3.

Neke od glavnih preporuka koje je Supervizor dao u Smernicama su:

Uspostavite kanale za unutrašnje i spoljašnje uzbunjivanje i odredite jasna pravila za njihovo korišćenje.

Obezbedite poverljivost informacija prikupljenih u postupku i štitite identitet uzbunjivača i svih drugih lica u postupku.

Primenite princip minimizacije podataka: obrađujte samo one podatke o ličnosti koji su adekvatni, relevantni i neophodni za konkretni postupak uzbunjivanja.

Odredite šta podatak o ličnosti znači u kontekstu postupka uzbunjivanja i koje su osobe uključene kako biste razumeli koja su njihova prava (pravo na obaveštenost, pristup i ispravku) i omogućili im da ta prava ostvare.

Primenite dvostepenu proceduru da biste svaku kategoriju osoba obavestili kako će njihovi podaci biti obrađivani.

Osigurajte da se podaci o ličnosti ne otkrivaju kada se postupa po zahtevima za informacije od javnog značaja.

Odredite proporcionalan period čuvanja podataka o ličnosti obrađenih tokom postupka uzbunjivanja u zavisnosti od ishoda svakog predmeta.

Primenite organizacione i tehničke mere bezbednosti na osnovu procene rizika postupka uzbunjivanja kako bi se obezbedilo zakonito i bezbedno obrađivanje podataka o ličnosti.

Analizirajući preporuke Supervizora možemo doći do zaključka da je Supervizor poseban akcenat stavio baš na one oblasti koje predstavljaju i najveći izazov kod zaštite podataka o ličnosti u postupku uzbunjivanja, kako bi ih lokalna zakonodavstva i poslodavci razmotrili i regulisali na adekvatan način. Takođe, Supervizor kroz preporuke još jednom potvrđuje da je načela GDPR-a (koja je Zakon u potpunosti preuzeo) neophodno neposredno primenjivati u svakom postupku.

2.4 Uzbunjivanje u praksi u Srbiji (Pištaljka, dosadašnja iskustva, studije

slučaja)

Pored toga što vodi portal preko kog je moguće anonimno prijaviti korupciju4, kao i drugo nezakonito ponašanje poslodavaca, Pištaljka je jedno od tri savetovališta za uzbunjivače na svetu koje pruža besplatnu pravnu podršku i zastupanje pred sudom preko svojih saradnika. U svom radu Pištaljka uspešno spaja novinarstvo, istraživački rad, pravno savetovanje i uzbunjivanje u službi borbe protiv korupcije.

2 https://edps.europa.eu/sites/edp/files/publication/19-12-17_whisteblowing_guidelines_en.pdf

3 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019L1937&from=EN

4 https://pistaljka.rs/prijava


18

Dosadašnja praksa Pištaljke, koja podrazumeva decenijski rad portala i petogodišnji rad savetovališta, pokazuje da uzbunjivači pokušavaju da podele svoje zapažanje nezakonitosti prvo sa poslodavcem, odnosno veruju da se problem koji su uočili može rešiti unutar organizacije u kojoj rade.

Nažalost, takvo obraćanje uzbunjivača često ne naiđe na adekvatnureakciju poslodavca, što ćemo pokazati na sledećoj studiji slučaja koja je pripremljena na osnovu slučaja iz Pištaljkine prakse5.

2.4.1 Studija slučaja

Z.B. je zaposlena kao referent u jednoj opštinskoj upravi. Njen šef, načelnik uprave, zatražio je od nje da potpiše nalog kojim joj se određuje prekovremeni rad u trajanju od 10 sati mesečno, u prethodnih par meseci, i određuje naknada za taj rad.

Z.B. saznaje da je opština isplaćivala naknade za prekovremeni rad bez pravnog osnova, a da je načelnik smatrao da će retroaktivnim potpisivanjem naloga ispraviti navedenu nezakonitost. Takođe, raspitujući se kod kolega, saznaje da su sve kolege potpisale dostavljene naloge kojima se retroaktivno pravda isplaćeno uvećanje plate po osnovu prekovremenog rada.

Z.B. je međutim odbila da potpiše nalog pokušavajući svom šefu da objasni da se broj prekovremenih sati utvrđuje po isteku meseca, za taj mesec, a pre obračuna plate, te da ne želi da potpisuje bilo kakvu dokumentaciju retroaktivno.

Nakon što je Z.B. utvrdila da je praksa neosnovanog isplaćivanja uvećane plate nastavljena i pored mogućnosti da se nezakonita praksa ispravi u budućem postupanju, izvršila je unutrašnje i spoljašnje uzbunjivanje. Pošto opština nije imala ovlašćeno lice za unutrašnje uzbunjivanje, Z.B. je prijavu poslala načelniku, a spoljašnje uzbunjivanje izvršila je upućujući podnesak Upravnoj inspekciji.

Načelnik opštinske uprave nije postupio po primljenoj prijavi, dok je upravni inspektor svoj nalaz pripremio bez bilo kakvog razgovora sa Z.B. u postupku i podneo ga opštini iznoseći lične podatke Z.B. uz omalovažavanje njenog rada. Naknadno je Z.B. saznala da su upravni inspektor i načelnik uprave prijatelji.

Iz predstavljene studije slučaja možemo zaključiti sledeće:

1. Z.B. je imala pravo da izvrši i unutrašnje i spoljašnje uzbunjivanje.

2. Z.B. je u prijavi trebalo da navede samo one podatke koji su od značaja za odlučivanje o predmetu uzbunjivanja, bez navođenja imena svojih kolega koje su potpisale naloge i njihovih zarada.

3. Načelnik opštinske uprave je bio dužan da postupi po primljenoj prijavi.

4. Upravni inspektor je bio u obavezi da sprovede istragu kako bi potvrdio ili opovrgnuo navode prijave i odlučio u predmetnoj stvari. Odluku je bio dužan da donese nepristrasno i na osnovu izloženih činjenica i utvrđenog činjeničnog stanja.

5 https://pistaljka.rs/home/7


19

Međutim, iako posredno izvučen, glavni zaključak analize ove studije slučaja je da je imenovanje i adekvatno postupanje ovlašćenog lica od presudnog značaja za postupak uzbunjivanja.

3. Zaključak

3.1 Ključna uloga ovlašćenog lica u postupku zaštite podataka o ličnosti

Imajući u vidu da su ovlašćena lica prvi kontakt za prijem informacija od značaja za uzbunjivanje, od procene tih lica zavisiće kvalitet prikupljenih informacija, kao i način daljeg rukovođenja istim. Ukoliko su ovlašćena lica svesna rizika koji neadekvatno prikupljanje i dalja obrada podataka o ličnosti može proizvesti po slobode i prava lica čiji se podaci obrađuju, izvesno je da će postupiti u skladu sa zahtevima zaštite podataka o ličnosti, te prikupiti samo podatke neophodne za proces uzbunjivanja sa kojima će dalje postupati sa potrebnom pažnjom.

Dakle, ovlašćena lica su prva linija fronta u zaštiti podataka o ličnosti u postupku uzbunjivanja koja određuje kurs upotrebe podataka u daljem postupku, a samim tim direktno utiču i na ostvarivanje Ustavom zagarantovanih prava licima čiji se podaci o ličnosti obrađuju u ovom procesu.

Iz tog razloga, neophodno je da ovlašćena lica, pored toga što su profesionalno i stručno osposobljena za rukovođenje procesom uzbunjivanja, budu upoznata i sa pravima i obavezama pravnog lica, odnosno organa, kao rukovaoca podacima o ličnosti u skladu sa važećom regulativom. Na ovaj način ovlašćena lica će biti u mogućnosti da na optimalan način zaštite kako prava uzbunjivača, tako i lica protiv koga je izvršeno uzbunjivanje po osnovu Zakona, bez ugrožavanja postupka uzbunjivanja.


20

3.2 Buduće tendencije – usaglašavanje regulative i postupanja sa

zahtevima zaštite podataka o ličnosti

Kao što smo već spomenuli, Zakon u svojim prelaznim i završnim odredbama predviđa

usklađivanje sve relevantne regulative kojom se reguliše zaštita podataka o ličnosti sa

zahtevima Zakona do kraja 2020. godine. Međutim, zakonodavac je i u trenutku donošenja

Zakona morao biti svestan da bi propisano usklađivanje propisa predstavljalo veliki izazov

imajući u vidu obim izmena koje je neophodno napraviti, pre svega u oblasti zdravstva,

obrazovanja, ali i finansijskih i elektronskih usluga.

Iako veliki broj relevantnih propisa do danas nije usklađen sa zahtevima Zakona, kao što je to

slučaj i sa Zakonom o zaštiti uzbunjivača, neophodno je da obveznici primene tih

„neusklađenih“ propisa u svom postupanju uzmu u obzir zahteve i principe Zakona kako bi na

najadekvatniji način zaštitili osnovna prava lica čiji se podaci prikupljaju i obrađuju zarad

obveznikovog postupanja u skladu sa zakonom.

Dakle, u kontekstu postupka uzbunjivanja, neophodno je da ovlašćena lica prilikom

sprovođenja radnji u procesu uzbunjivanja poštuju i primenjuju pored odredbi Zakona o zaštiti

uzbunjivača, i odredbe Zakona, kako bi na najadekvatniji način zaštitili prava svih lica

uključenih u postupak.

U ovome im može pomoći lice ovlašćeno za zaštitu podataka o ličnosti postavljeno u

organizaciji. Naime, uloga ovog lica je pre svega savetodavnog karaktera, tako da je poželjno

da u postupku uzbunjivanja ovlašćena lica blisko sarađuju sa licima za zaštitu podataka o

ličnosti, kako bi osigurala da sprovođenje procesa u najvećoj meri bude usklađeno sa

zahtevima Zakona.

U tom kontekstu, dalja preporuka je da ovlašćena lica, osim traženja ad hoc saveta od lica

zaduženih za zaštitu podataka o ličnosti, u saradnji sa tim licima na osnovu Zakona i internih

akata kojima se reguliše zaštita podataka o ličnosti u organizaciji, pripreme

uputstvo/instrukciju za zaštitu podataka o ličnosti u postupku uzbunjivanja. Na ovaj način, u

nedostatku zvaničnih instrukcija za primenu Zakona u kontekstu postupka uzbunjivanja,

ovlašćena lica i lica zadužena za zaštitu podataka o ličnosti pomoći će regulisanje zaštite

podataka o ličnosti u procesu uzbunjivanja i otkloniti nepotrebne nedoumice u postupanju.

zaŠtita podataka o liČnosti u postupku …

Documents