U vrijeme pandemije COVID-19, lični podaci građana BiH ostaju nedovoljno zaštićeni naročito u online sferi.

foto: mohamed_hassan/pixabay

COVID-19 pandemija je mnogima i rad i razonodu u još većoj mjeri no inače premjestila u online sferu i time dodatno ogolila nepotpunost bh. zakona koji štiti lične podatke. Iz Agencije za zaštitu ličnih podataka BiH kažu da nisu imali prigovora u primjerima mogućnosti rada od kuće u periodu od marta do jula ove godine. No, dok GDPR zahtijeva da se svi lični podaci građanstva EU skladište i obrađuju sigurno i uz saglasnost, bh. regulativa još uvijek nije dopunjena na način da štiti lične podatke od kompanija kao što je Zoom koji su mnoge institucije, kompanije i organizacije koristile uslijed ograničenja koja je nametnula zdravstvena situacija.

Tijekom ožujka i travnja ove godine veliki broj upita upućenih Agenciji odnosio se na obradu i objavu ličnih podataka lica oboljelih od COVID-19 i lica smještenih u karantin, kada je Agencija rješenjem zabranila nadležnim tijelima na svim razinama vlasti u BiH, uključujući entitetske i županijske stožere civilne zaštite kao i drugim koja djeluju u vanrednoj situaciji u vezi sa COVID-19 pandemijom, da objavljuju lične podatke o licima koja su pozitivna na virus kao i licima kojima su određene mjere izolacije i samoizolacije. Također je bilo naloženo da se odmah uklone i blokiraju lični podaci o licima koja su pozitivna na novi virus kao i licima koja poštuju određene mjere izolacije i samoizolacije, a čiji podaci su javno objavljeni.

„Privatni podaci bh. građana nevezano za regulativu EU štite se već pomenutim Zakonom o zaštiti ličnih podataka koji je za potrebe tehnoloških uslova rada već odavno postao nedostatan. Krovni uslov za djelovanje sa ciljem zaštite ličnih podataka u vrijeme pandemije COVID-19, jeste upravo usklađivanje i integriranje odredbi GDPR-a sa Zakonom o zaštiti ličnih podataka BiH. U martu 2020. godine Agencija za zaštitu ličnih podataka u BiH objavila je rješenje kojim se obavezuju nadležni organi svih nivoa vlasti na zabranu objavljivanja ličnih podataka o licima koje su pozitivne na virus COVID-19 kao i licima kojima su određene mjere samoizolacije. Ipak, ova odredba ne odnosi se na cjelokupnu zajednicu, već na pojedinu skupinu”, pojašnjava Emina Adilović, autorica i istraživačica koja je diplomirala komparativnu književnost i informacijske nauke u Sarajevu i koja se bavi pitanjima privatnosti i slobode u mrežnom okruženju.

Šta su lični podaci?

Lični podaci su sve informacije pomoću kojih je moguće utvrditi identitet lica kao što su ime i prezime, kućna adresa, broj lične karte ili podaci koje ima bolnica, a koji mogu biti simbol kojim se utvrđuje jedinstveni identitet lica. Različite informacije, koje zajedno prikupljene mogu rezultirati utvrđivanjem identiteta određenog lica, također čine lične podatke. To uključuje adresu elektronske pošte, podatke o geolokaciji i lokaciji (primjer: funkcija podataka o lokaciji na mobilnom telefonu), adresa internetskog protokola (IP), identifikacijski broj kolačića ili oglašavački identifikator telefona. Zaštita takvih podataka u Bosni i Hercegovini je uređena Zakonom o zaštiti ličnih podataka u BiH koji pruža generalni pravni okvir za zaštitu ličnih podataka građana BiH.

Član 1 kaže da je cilj Zakona da se na teritoriji BiH svim licima, bez obzira na njihovo državljanstvo ili prebivalište, obezbijedi zaštita ljudskih prava i osnovnih sloboda, a naročito pravo na privatnost i zaštitu podataka u pogledu obrade ličnih podataka koji se na njih odnose. Trenutno važeći tekst Zakona o zaštiti ličnih podataka u BiH odražava odredbe Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti lica u vezi s obradom ličnih podataka i o slobodnom protoku takvih podataka, koja je od 2016. godine u EU stavljena van snage. To je napravljeno iz potrebe da se bolje zaštite lični podaci u online svijetu.

GDPR ili Opća uredba o zaštiti podataka, punog naziva Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, određuje načine postupanja u prikupljanju, pohranjivanju i dijeljenju podataka i nalaže da oni budu zaštićeni. GDPR je kreiran kako bi bolje definisao način na koji institucije, kompanije i druge organizacije mogu raspolagati ličnim informacijama do kojih dolaze kroz aktivnosti svojih krajnjih korisnika sa naglaskom na informirani pristanak i prava korisnika na uvid i brisanje podataka. Imajući u vidu tehnološki razvoj i nove načine obrade ličnih podataka jasno je da je neophodno pristupiti reformi zaštite ličnih podataka i u Bosni i Hercegovini. Zašto?

Posao i škola na Zoomu

COVID-19 pandemija je u proteklih pola godine dovela do mnogih promjena u našem načinu života. Za one koji imaju tu privilegiju, rad i školovanje od kuće su postali najsigurniji oblici obavljanja svakodnevnih zadataka.

Radne i školske obaveze i druge društvene potrebe ispunjavamo pomoću raznih internet alata, od kojih su neki elektronska pošta kompanije Google ili komunikacijska platforma Zoom. Mnogi alati će od nas tražiti da podijelimo niz ličnih podataka kao što su ime i adresa elektronske pošte kako bismo ih koristili, a mnoge ne možemo koristiti ili ne možemo raspolagati punom funkcionalnošću alata ako se ne registriramo.

Dio ličnih podataka, kao što je naše ime, dijelimo sa aplikacijama i platformama svojevoljno, a dio poput naše IP adrese i geolokacije se uzima bez našeg direktnog pristanka i znanja o načinu obrade naših ličnih podataka. Kompanija Google je već terećena za krivično raspolaganje ličnim podacima svojih korisnika jer je obrađivala lične podatke u svrhu personalizacije oglasa. Kompanija Zoom Video Communications je također pod lupom javnosti zbog krivičnog raspolaganja ličnim podacima i zbog prodaje ličnih podataka trećoj strani.

Proces koji se odvija u pozadini takvih internet alata koje koristimo obrađuje podatke o našem ponašanju na internetu. Takvim se procesom učenja o našem ponašanju na internetu definiraju naše sklonosti kako bi se moglo predvidjeti naše ponašanje u budućnosti, bilo da se radi o kupnji robe ili usluge određene marke ili odluci o glasanju na izborima.

Profesorica emerita harvardskog univerziteta i zagovaračica privatnosti na internetu Shoshana Zuboff je u svom najnovijem djelu „Doba nadzornog/špijunskog kapitalizma” predstavila dugogodišnje istraživanje koje razmatra razvoj digitalnih divova poput kompanije Google i sugerira da njihovi poslovni modeli predstavljaju novi oblik kapitalističke akumulacije gdje se prikupljaju i obrađuju lični podaci kroz internet alate bez znanja krajnjih korisnika i sa svrhom razvijanja sposobnosti umjetne inteligencije da predvidi šta će korisnik uraditi suočen sa nizom izbora.

„Novi ekonomski poredak koji uzima ljudsko iskustvo kao besplatnu sirovinu za skrivene komercijalne prakse prikupljanja, predviđanja i prodaje” jeste jedna od definicija takvog raspolaganja našim podacima koje Zuboff predstavlja u svom posljednjem djelu. Autorica smatra da je GDPR osnova mogućnosti praktičnog djelovanja na zaštiti ličnih podataka i da sada imamo mogućnost da “zajašimo” takvu legislativu kako bismo razvili vrste regulacijskih režima koji su posebno usmjereni na te mehanizme, objasnila je Zuboff u jednom od svojih intervjua.

Zaštita podataka na internetu u BiH

GDPR nije direktno primjenjiv na teritoriji BiH, s obzirom na to da to nije država članica EU. Postoje izuzeci od navedenog, u kojima će se uredba primjenjivati na građane BiH i pravna lica registrovana na teritoriji BiH. U skladu sa odredbama GDPR-a, on će se primjenjivati na obradu ličnih podataka ukoliko kontrolor podataka sa sjedištem u EU ima poslovne ogranke i u BiH ili na bilo koji način pruža usluge građanima u BiH i tada će se propisi primjenjivati i na bh. građane. Također, pravna lica iz BiH koja posluju na prostoru EU ili nude robe ili usluge građanima EU, dužna su primjenjivati GDPR.

Adilović smatra da s obzirom na to da se GDPR odnosi na radnike, kupce, korisnike usluga koji su građani EU “institucije, organizacije i preduzeća u doticaju sa njima dužni su ispoštovati regulativu o zaštiti ličnih podataka” i da se ta uredba odnosi i na sve zemlje koje nisu članice Evropske unije, ali koriste podatke evropskih građana. Podsjeća kako je BiH Sporazumom o stabilizaciji i pridruživanju preuzela obavezu usklađivanja domaćeg zakonodavstva sa pravnom stečevinom EU, te se uskoro očekuje usvajanje novog Zakona o zaštiti ličnih podataka koji bi bio usklađen sa GDPR-om.

„Kao osnovni uvjet za poštovanje uredbe u BiH navodi se usklađivanje postojećeg Zakona o zaštiti ličnih podataka iz 2011. godine sa GDPR-om. Nedugo nakon stupanja na snagu u zemljama EU, početkom 2019. godine započeo je rad na izmjenama postojećeg i rad na novom zakonu o zaštiti ličnih podataka. Prijedlog ovog zakona dostavljen je Vijeću ministara BiH početkom 2020. godine, a na njegovu sprovedbu čeka se još uvijek“, objašnjava Adilović.

Trenutno ne postoje informacije u vezi sa poštivanjem GDPR-a u BiH jer ga domaća pravna lica nisu obavezna primjenjivati. Shodno navedenom, ne postoje uslovi za propisivanje obaveznog poštivanja GDPR-a na teritoriji BiH od strane domaćih pravnih lica, osim ako ne posluju u EU ili pružaju usluge građanima EU.

„Da bi se uopšte moglo promisliti o primjeni odredbi GDPR-a u BiH, odnosno, o zaštiti ličnih podataka u vremenu tehnološkog razvoja kada se podsredstvom informaciono-komunikacionih tehnologija radni procesi premještaju u digitalno okruženje, pa stoga ono što treba da se zaštiti nije više samo otisak prsta ili matični broj, već i IP adresa ili digitalno arhivirani matični broj, potrebno je naporedo poraditi na boljoj primjeni postojećih odredbi Zakona o zaštiti ličnih podataka. BiH bilježi veliki broj slučajeva nepoštivanja osnovnih i trenutnih zakona, pored toga što je recipročno sa povećanjem upotrebe tehnologija, baza podataka, i informacijskih sistema primijećeno povećanje kršenja prava o zaštiti ličnih podataka u digitalnom okruženju”, navodi Adilović.

Kršenja zakona

Primjera kršenja Zakona o zaštiti ličnih podataka u BiH sigurno ima dovoljno u analognom i digitalnom okruženju, a praksa prijavljivanja narušavanja prava na zaštitu ličnih podataka je nedovoljno razvijena. Iz Agencije za zaštitu ličnih podataka BiH prema uvidu u osnovne prigovore upućene Agenciji kažu da su u periodu od marta do jula ove godine dominirale povrede Zakona vezane za narušavanje privatnosti putem video nadzora, nezakonite obrade jedinstvenog matičnog broja, upućivanje neželjenih SMS poruka u svrhu direktnog marketinga, nezakonite obrade biometrijskih (otisak prsta) i zdravstvenih podataka, nezakonite obrade ličnih podataka o radnom stažu i dostavljanja podataka trećoj strani, neovlašteno pristupanje ličnim podacima, nezakonite obrade broja lične iskaznice, te neosnovana zahtijevanja podataka o bračnom stanju i broju djece, nedostavljanje informacije o obradi ličnih podataka prikupljenim u toku natječajne procedure, te neosnovane obrade ličnih podataka u svrhu identifikacije prilikom korištenja usluge zamjene novčane valute.

Ostaje dojam da je moralnost osoblja institucije, kompanije ili organizacije koja raspolaže podacima jedino na što se možemo trenutno osloniti. Čak i uputstva za primjenu Opće uredbe o zaštiti podataka EU u poslovanju naglašavaju da prije svega svo osoblje mora biti dobro upućeno u same odredbe koje štite lične podatke.

Dok čekamo GDPR u BiH, moramo biti svjesni redovnih kršenja trenutnog Zakona o zaštiti ličnih podataka. U nastavku su veoma jednostavni i ilustrativni stvarni primjeri nemoralnog i kažnjivog postupanja osoblja sa ličnim podacima. Lica iz navedenih primjera su dala saglasnost da njihova priča ilustrira ovaj problem. Primjeri pokazuju krivično korištenje broja telefona iz životopisa koji je predan ljudskim resursima firme i broja telefona iz ugovora za vodovodne usluge.

Primjer 1: Nedozvoljeno korištenje broja telefona

Primjer 2: Nedozvoljeno korištenje broja telefona

„Potrebno je imati na umu da je pored zakonskih regulativa, rad na osvještavanju i informisanju građana/ki o njihovim pravima u analognom, ali i digitalnom okruženju, trenutnim zakonima i razlozima za njihovo poštivanje, kao i rad na smanjivanju neprofesionalnog djelovanja u institucijama i organizacijama koje olako shvataju podatke svojih klijenata, korisnika ili radnika, jesu neki od načina promicanja zaštite privatnih i radnih podataka”, zaključila je Adilović.

___