U ovom tekstu bavićemo se podacima o ličnosti i to ne samo zakonskom definicijom, već i praktičnim primerima koji će vam pomoći da razlikujete šta su a šta nisu podaci o ličnosti.
Kao što ćete videti, šta je, a šta nije podatak o ličnosti često zavisi od konteksta. I ne, podaci o ličnosti nisu isto što i lični podaci. 😅
Šta su podaci o ličnosti – šta kaže ZZPL?
Zakon o zaštiti podataka o ličnosti (ZZPL) u četvrtom članu definiše podatak o ličnosti kao:
Svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.
Definicija je obimna i praktično preuzeta iz GDPR (kao i veliki deo ZZPL), ali bi se kolokvijalno, u najbitnijem delu mogla svesti na sledeće:
Podatak o ličnosti je svaki podatak na osnovu koga se neka osoba može identifikovati, neposredno ili posredno.
Hajde da raščlanimo najbitnije elemente definicije podataka o ličnosti iz ZZPL:
#1 Podatak o ličnosti uvek se odnosi na fizičko lice
Da bi se govorilo o podatku o ličnosti, isti se mora odnositi na konkretno fizičko lice—ličnost, osobu. Ovo znači da se podaci pravnih lica ne smatraju podacima o ličnosti, pa se ZZPL (kao i ostali inostrani zakoni koji se bave ovom oblašću) odnosi samo na podatke koji služe identifikaciji fizičkog lica.
U prevodu, podaci o firmama, udruženjima, javnim institucijama i slično, ne smatraju se podacima o ličnosti i nisu predmet primene ZZPL. Ovo uključuje i matične brojeve, PIB, adrese i veb stranice pravnih lica.
Obratite pažnju na preduzetnike koji su fizička lica koja se bave određenom privrednom delatnošću u cilju sticanja dobiti. Iako preduzetnici imaju PIB, matični broj, registrovanu delatnost, šifru, kao i druge poslovne podatke, oni su i dalje fizička lica, tako da se ZZPL primenjuje na podatke o ličnosti preduzetnika, ako se obrađuju na način propisan zakonom.
#2 Podatak o ličnosti (može da) otkriva identitet osobe
Podatak o ličnosti je svaka informacija na osnovu koje se može doći do identiteta osobe, bilo direktno samo na osnovu tog podatka, bilo indirektno, odnosno u kombinaciji sa drugim informacijama.
Primer podatka o ličnosti na osnovu koga se direktno može otkriti identitet fizičkog lica jeste JMBG—jedinstveni matični broj svakog građanina Republike Srbije. Ovaj podatak je dovoljan da fizičko lice bude identifikovano samo na osnovu njega.
S druge strane, samo ime najčešće nije dovoljno da se osoba identifikuje—u većim kolektivima često ima veći broj Lazara. Međutim, ako bih bio jedini iz pravnog odeljenja, dovoljno bi bilo da se kaže “Lazar, Pravno” i znalo bi se da se misli na mene. U ovom slučaju, kombinacija ime+zanimanje predstavljala bi podatke o ličnosti, jer bi te informacije bile dovoljne da me druge kolege iz firme identifikuju, čak i bez punog imena i prezimena.
Isto može da važi i za druge karakteristike ličnosti—primera radi, “crvenokosa” ili “ćelav” će biti dovoljno da se osoba identifikuje u manjem kolektivu, čak i samostalno na osnovu te informacije, što je može činiti podatkom o ličnosti.
U današnje vreme, klasični identifikacioni podaci poput imena, prezimena, pa čak i uličnog broja, više nisu najpogodniji za identifikaciju fizičkih lica, pogotovo kada se koriste samostalno.
Tehnički podaci poput korisničkih imena na društvenim mrežama, email adresa, IP adresa i IMEI brojeva elektronskih uređaja mnogo su korisniji za identifikaciju i praćenje fizičkih lica, usled čega su upravo oni najčešće predmet kršenja odredbi zakona koji se bave zaštitom podataka o ličnosti.
Upravo zato je bitno naglasiti da podatak o ličnosti može biti svaki podatak koji određuje fizičko lice, posredno ili neposredno. Šta će se tačno smatrati podatkom o ličnosti često zavisi od konteksta, pa je zato i sama zakonska definicija široka.
Posebne vrste podataka o ličnosti
Zakon o zaštiti podataka o ličnosti, u članu 17, zabranjuje obradu posebnih vrsta podataka o ličnosti, koja se može vršiti samo izuzetno.
Osim u slučajevima izričito navedenim u drugom stavu istog člana, zabranjena je obrada podataka o:
- Etničkom i rasnom poreklu
- Političkom mišljenju
- Verskom i filozofskom uverenju
- Članstvu u sindikatu
Takođe, osim u izričito navedenim slučajevima, zabranjena je obrada:
- Genetskih podataka
- Biometrijskih podataka u cilju jedinstvene identifikacije lica
- Podataka o zdravstvenom stanju
- Podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
Sve navedene kategorije podataka spadaju u naročito osetljive informacije koje zadiru duboko u privatnost lica na koje se odnose. Iz ovog razloga, zakonodavac dozvoljava obradu ovih podataka samo u izuzetnim slučajevima, o kojima će biti reči u posebnom članku.
Primer: Poslodavac za popunjavanje radnog mesta “komercijalista” ne može tražiti od kandidata da pri apliciranju za posao napiše podatke o političkom mišljenju, seksualnom opredeljenju, verskom i filozofskom uverenju.
Forma podataka o ličnosti – nije od značaja
Zakon o zaštiti podataka o ličnosti je definiciju podatka o ličnosti postavio vrlo široko (“svaki podatak”). U samoj definiciji se ne pominje forma podataka, upravo da bi se podaci smatrali podacima o ličnosti u odnosu na sadržinu, odnosno, mogućnost (ne)posredne identifikacije fizičkog lica na koje se podaci odnose, bez obzira u kojoj se formi nalaze—fizičkoj, elektronskoj ili drugoj.
Međutim, u praksi će ugovori o obradi podataka o ličnosti često navoditi raznorazne forme prenosa (pismeno, usmeno, elektronski, konkretne vrste nosača podataka, tipovi poslovne korespondencije, i dr.). Iako ne škode, ovakvi detalji nisu neophodni.
Ako prenebregnete neku formu podataka, ugovor o obradi podataka o ličnosti će se svako tumačiti shodno cilju, kao i zakonu na koji se poziva—i ZZPL i GDPR su podatke o ličnosti odredili podjednako široko, nevezano za formu u kojoj se nalaze.
Podaci o ličnosti nisu isto što i lični podaci (barem ne u ZZPL)
U svakodnevnom govoru ćete često čuti da i stručna lica govore “lični podaci” umesto “podaci o ličnosti”. Iako deluje prirodnije i lakše, postoji razlika.
Jeste da kovanica “podaci o ličnosti” deluje rogobatno, ali je zakonodavac verovatno hteo da izbegne zabunu koja bi se stvarala korišćenjem kolokvijalnog izraza “lični podaci”.
Reč “lični” više odgovara svojinskoj kategoriji, u smislu pripadnosti podataka. Primer svakodnevnog korišćenja izraza “lični” bi bio “lični automobil”, “lično mišljenje” gde bi pridev “lični/o” odgovarao pridevu “vlastiti/o” i označavao čiji je automobil/mišljenje.
Podaci o ličnosti se odnose na samu ličnost. Svrha “podataka o ličnosti” nije da pokaže čiji su podaci, već da ukaže na koga se podaci odnose.
Iz gornjeg primera, teško da bismo mogli “Lazar, Pravno” da okarakterišemo kao lične podatke u kolokvijalnom smislu, dok su ove dve reči dovoljne da se osoba identifikuje, što ih nesumnjivo čini podacima o ličnosti.
Međutim, primetno je da nisu svi zakonodavci zauzeli isti stav. U GDPR se koristi izraz “personal data”, što bi se moglo direktno prevesti kao “lični podaci”, dok se u Hrvatskoj sam zakon koji je važio do stupanja na snagu GDPR zvao Zakon o zaštiti osobnih podataka.
No, preciznost nije na odmet, pogotovo kada kovanica podaci o ličnosti jasno ukazuje na zakonsku kategoriju, baš zato što je nećemo toliko često sretati u svakodnevnom govoru.
Zaključak
Podaci o ličnosti su od toliko velikog značaja da se često nazivaju naftom 21. veka. Obrada podataka o ličnosti je upravo razlog zašto nam velike korporacije dozvoljavaju da koristimo popularne pretraživače, društvene mreže i druge servise “besplatno”. Iako ne plaćamo uslugu novcem, podaci o ličnosti koji se prikupljaju dok koristimo popularne aplikacije kasnije se (indirektno) dele s oglašivačima, pomoću kojih nas oni vrlo efikasno profilišu i targetiraju reklamama.
Zato je dobro što imamo Zakon o zaštiti podataka o ličnosti koji obrađuje tako krupnu temu obrade podataka o ličnosti. ZZPL nije savršen, ali će primena čak i takvog zakona doprineti zaštiti podataka o ličnosti, a samim tim i naše privatnosti.