Narodna inicijativa i zaštita podataka o ličnosti

Ne stavlja li potreba za ovakvim ugovorom Skupštinu u povoljan položaj da prosto ne dozvoli saglasnost kada se radi o nekoj politički nepopularnoj inicijativi?

Skupština ima pravo (i obavezu) da odluči o usklađenosti teksta narodne inicijative sa zakonom. U predlogu novog zakona, koliko sam video, predsednik skupštine može da odobri inicijativu, ali ako misli da inicijativa nije u skladu sa zakonom, daje je na glasanje skupštini, a odbor se na odluku skupštine može žaliti sudu, koliko mi se čini.

Čak i da to ne bude slučaj, zašto bismo komplikovali organizatorima koji i ovako moraju da se bave aktivizmom i prikupljanjem potpisa, te njihovom odgovarajućom predajom kako već bude utvrđeno Zakonom?

Za skupljanje podataka o ličnosti treba da postoji osnov. Takođe, skupljanje podataka se mora prijaviti u centralni registar. Čini mi se da je uloga "obrađivača" jednostavnija za organizatore narodne inicijative nego uloga "rukovaoca". Ali nadam se da će i ovo neko prokomentarisati ko bolje razume Zakon o zaštiti podataka o ličnosti.

Takođe nisam pravnik, ali ako se prvi član uvrsti u tekst Zakona o narodnoj inicijativi, zar se onda odredbe Zakona o zaštiti podataka o ličnosti automatski nedvosmisleno prenose na obe strane?

Mislim da obrađivač podataka mora da potpiše ugovor sa rukovaocem, zbog toga sam i skicirao ovaj ugovor.

Dodatno Zakon o narodnoj inicijativi ili podzakonski akt može da dodatno precizira način prikupljanja podataka, ako to nije uređeno Zakonom o zaštiti podataka o ličnosti.

Da. Kao što rekoh - ovaj ugovor je da ispuni formu dobijanja statusa obrađivača podataka.

I ne zaboravi da ovakve inicijative ne moraju samo grassroot aktivisti da organizuju, nego i velike NVO, političke partije itd. Mislim da je prilično bitno da bude vrlo jasno šta se sme prikupljati, u kojoj formi i koliko sme da se čuva.

******

EDIT: Izvini, u pravu si, stav 8 kaže da može zakonom ili ugovorom - znači ovaj ugovor onda može da se upakuje u podzakonski akt a da važi samim činom odobrenja zahteva za organizaciju narodne inicijative.

Hvala

Ali da, mislim da je bolje da prikupljanje tih podataka bude regulisano zakonom, a svako ko potpiše je potpisom pristao da se sakupljaju njegovi podaci kako je to predviđeno zakonom...

Video si u komentaru Goranu - uspeo sam da ne primetim da se Obrađivač može postati i po zakonu, a ne samo po ugovoru - tako da onda ako novi Zakon o referendumu i narodnoj inicijativi dobije paragraf da se organizacioni odbor narodne inicijative pojavljuje u statusu obrađivača a da nadležno ministarstvo (državna uprava) bliže propisuje odnose između skupštine i odbora, onda ovo gore može da se nagura u podzakonski akt i onda je jedan papir manje za potpisivanje

Ali ako pretpostavimo da ovo ide u podzakonski akt, da li sadržaj izgleda smisleno? Ideja mi je bila, nadam se da se vidi, da se minimizuje cirkulacija podataka o ličnosti, podaci obezbede dok su u procesu prikupljanja, uredi način primopredaje koji omogućava efikasnu kontrolu (što ne bi smelo da bude problem - video si alatku za prikupljanje tih istih podataka u mom prethodnom blogu) i na kraju zabrani čuvanje ličnih zbirki posle završenog procesa.

Ok, da probam onda da skiciram to.

U Zakon o referendumu i narodnoj inicijativi bi onda išlo ovako nešto:

Član x+1.
Zaštita podataka o ličnosti

Svi subjekti uključeni u sprovođenje narodne inicijative su dužni da štite podatke o ličnosti, kako to propisuje Zakon o zaštiti podataka o ličnosti.

U sprovođenju narodne inicijative, skupština kojoj se inicijativa podnosi se pojavljuje u ulozi Rukovaoca podataka, kao lica koje, shodno članu 14 stav 3 Zakona o zaštiti podataka o ličnosti, ima potrebu da prikupi podatke o potpisnicima narodne inicijative, u cilju utvrđivanja ispunjenosti uslova za pokretanje narodne inicijative.

Organizacioni odbor narodne inicijative sprovodi prikupljanje i obradu podataka u ulozi Obrađivača podataka, shodno članu 3 tačka 8. Zakona o zaštiti podataka o ličnosti.

Član x+2.
Identifikacija ličnom kartom

U cilju pouzdane identifikacije potpisnika inicijative i sprečavanja zloupotreba i prevara identiteta, Rukovalac podataka ovlašćuje i zahteva od Obrađivača podataka da lične podatke sravni sa ličnim identifikacionim dokumentom građanina - ličnom kartom.

Član x+3.
Podaci koji se prikupljaju

Obrađivač podataka je ovlašćen da prikupi od potpisnika sledeće podatke:
• Ime i prezime
• Jedinstveni matični broj građanina
• Broj lične karte
• Svojeručni potpis

Obrađivač u postupku prikupljanja podataka po ovom osnovu ne sme tražiti i beležiti nikakve druge lične podatke potpisnika.

Član x+4.
Tajnost podataka

Rukovalac podataka i Obrađivač podataka se obavezuju da lične podatke građana čuvaju kao tajnu i ne stavljaju na raspolaganje trećim licima, osim u slučajevima propisanim zakonom.

Procedure bezbednosti podataka o potpisnicima bliže uređuje Ministarstvo za državnu upravu i lokalnu samoupravu.

Član x+5.
Dostava podataka

Obrađivač podataka se obavezuje da potpise i lične podatke potpisnika dostavi na način i u formi koju bliže uređuje Ministarstvo za državnu upravu i lokalnu samoupravu.

Član x+6.
Čuvanje i uništavanje podataka po predaji Rukovaocu podataka

Obrađivač podataka ima pravo (ali ne i obavezu) da čuva kopiju potpisa i ličnih podataka u periodu obrade i odlučivanja o narodnoj inicijativi.

Obrađivač podataka je u obavezi da sve sopstvene kopije ličnih podataka i potpisa uništi u roku od 15 dana od dana prijema odluke o ishodu narodne inicijative.

Član x+7.
Ostvarivanje prava na uvid i kopiju

Rukovalac podataka se obavezuje da svakom građaninu čije je podatke primio učini dostupnim listu svih narodnih inicijativa koje je potpisao. Način ostvarenja ovog prava bliže uređuje Ministarstvo za državnu upravu i lokalnu samoupravu.

Član x+8.
Odgovornost za gubitak ili zloupotrebu podataka

Odgovornost za gubitak ili zloupotrebu podataka svih učesnika u sprovođenju narodnih inicijativa je propisana članom 57. Zakona o zaštiti podataka o ličnosti.

Ostalo bi onda išlo u podzakonska akta.

Primeti da sam dodao pravo na uvid i kopiju - ovo bi recimo bio kao stvoren posao za portal eUprava - njima se podaci u standardizovanoj formi predaju, a građanin se identifikuje ličnom kartom sa čipom ili na drugi pouzdan način - i dobije listu svega što je potpisao ili što mu je uvaljeno. Građaninu ne mora da se pokazuje faksimil potpisa - pošto zna šta je potpisao a šta nije - pa ako misli da nije, preda preko portala žalbu - pa se onda, posle kratke arbitraže i upoređenja potpisa sa potpisima deponovanim u MUP (uz lične karte), pokreće krivični postupak protiv članova organizacionog odbora koji su potpisali obrazac sa deponovanim potpisima. Pa ko voli da koristi svoje privatne kolekcije (krivično delo falsifikovanja potpisa) nek izvoli.

Jel sad bolje?

Hvala na komentaru - volim što uvek otvorite još pitanja

Ideja je bez sumnje dobra,odlicna.Ali nije je lako realizovati.S tim u vezi,u odnosu na predlog namece se vise pitanja.Evo samo primera radi -interesi organizatotra inicijative mogu biti divergentni sa interesima predsednika skupstine,odnosno skupstinske vecine.Da li bi,u takvoj situcaciji mogli iskljuciti (sasvim neopravdane) problema u vidu otvorenog odbijanja ili izbegavanja da se zakljuci gore navedeni ugovor?

Već sam odustao od ugovora - i Goran i Niccolo su primetili da je ugovor malo višak - tako da sam u komentarima pokušao da preformulišem sadržaj ugovora u dopunu zakona. A inače je i u originalnoj ideji ugovor bio uslov da se dalje razmatra tekst narodne inicijative - ali u međuvremenu je nestao i postao deo zakona (i podzakonskog akta, što se tiče tehnikalija) - mislim mog predloga

I,generalno,sa vrednosnog stanovista,s obzirom na to da iza akcije inicijatora inicijative stoji autohtona volja da se nesto u pravnom poretku menja, namece se pitanje - da li im je primeren samo status obradjivaca?

Meni se čini da je uloga obrađivača ovde prilično prirodna - korisnik podataka je skupština, jer ona ima obavezu da utvrdi broj građana koji podržavaju inicijativu, dok inicijatori skupljaju podatke da pokažu da inicijativa koju su predložili - kvalifikovana. Jednom kada podatke predaju skupštini, njihova uloga u procesu se završava, po meni.

Druga stvar je "vlasništvo" nad podacima - ne vidim da inicijatori narodne inicijative treba da budu trajni vlasnici podataka - oni su svoju ulogu ispunili pokretanjem narodne inicijative - i dalje podatke mislim da je racionalno da čuva samo skupština - za potrebe obezbeđivanja prava na uvid i kopiju, koje istovremeno postaje i mehanizam sprečavanja zloupotreba i falsifikata (moj komentar Niccolo-u iznad).

Sve u svemu, čini mi se da bi uloga rukovaoca podataka ovde samo komplikovala posao inicijatora - morali bi da prijavljuju svoju zbirku u centralni registar, imali bi obaveze u vezi uvida i kopije na neodređen rok itd - dok prebacivanje uloge rukovaoca na skupštinu rešava te probleme i pomaže procesu u proceduralnom smislu.

Mislim da je nije dobra ideja "nagraditi" inicijatore za njihovu društveno korisnu delatnost statusom rukovaoca.

I sto se tice prikupljanja podataka (u svrhu provere) moram ponoviti da nikada,od kada postoji institut gradjkanske inicijative,nije do kraja bilo jasno - u cemu je smisao provere,odnosno sta se zapravo proverava?

Evo ja sam gore pokušao da formulišem - proverava se ispunjenost uslova da se narodna inicijativa "pokrene" - tj. da se smatra pravosnažnom posle dovoljno prikupljenih potpisa.

Za ovo je inače dovoljan samo JMBG, kada se radi o elektronskom potpisu, pošto je elektronski potpis dokaz autentičnosti. Suštinski, i za ručno potpisivanje dovoljan je samo JMBG - broj lične karte sam dodao u predlogu čisto kao praktičan/tehnički mehanizam da se donekle umanji mogućnost falsifikata - tako što se uvedu dva podatka koja se mogu međusobno porediti. Ovo nije ozbiljna zaštita - ali makar smanjuje šanse dugotrajnog čuvanja podataka, pošto se broj lične karte povremeno menja, kad se menja i lična karta. Pri tome, inicijatori koji predaju listu u kojoj ima puno "šuma" u ovoj mašinskoj proveri bi onda mogli već u prvoj proveri da budu stavljeni na "čekanje", a skupština bi mogla da pokrene postupak za utvrđivanje da li je došlo do krivičnog dela lažnog predstavljanja / falsifikovanja - ili šta bi već to bilo.

Najbolja zaštita bi bila ako bi se građanin mogao obavestiti da je potpisao inicijativu - ali to je dosta skupa opcija ako se obaveštenje vrši (papirnatom) poštom. Međutim, u slučaju da se sumnja u falsifikat, možda bi onda postalo validna opcija - da se građanima čiji broj lične karte ne odgovara JMBG pošalju pisma da potvrde učešće.

Da li samo postojanje potpisnika ili i njegova stvarna volja da potpise inicijativu?A od toga treba da zavisi koji se podatci prikupljaju jer princip srazmernosti,jedan od fundamentalnih kad je u pitanju obrada podataka o licnosti,nalaze da se vrsi samo obrada podataka neophodna za ostvarenje svrhe.I tu se otvaraju pitanja tipa -da li su npr.neiphodni i JMBG i br.lk?

Pokušao sam da odgovorim gore. Inače, u slučaju digitalnog potpisa dovoljan je samo JMBG, a on je i deo kvalifikovanog sertifikata, tako da je time funkcija ispunjena. Zato sam u podnaslovu ugovora gore napisao "varijanta za svojeručni potpis".

Ona alatkica ePetAdmin koju sam napravio za XML formu elektronskog potpisivanja izvlači ime i prezime i JMBG upravo iz digitalnog sertifikata ugrađenog u potpisani dokument (plus upoređuje kvalifikovano ime izdavaoca i serijski broj sertifikata sa odgovarajućom sekcijom potpisanog dokumenta, da se predupredi podmetanje drugog sertifikata, po XAdES standardu).

Nikad nije bilo jasno utvrdjeno ni -ko proveru vrsi? Uvek se polazilo od pretpostavke da to radi MUP ali imajuci u vidu resenja iz vazeceg Ustava ni MUP se tom vrstom obrade ne bi smeo baviti bez izricitog,zakonom utvrdjenog, osnova.Osim toga,MUP lako moze proveriti postojanje nekog potpisnika(ziv,drzavljnin,domiciliran,punoletan,..)ali (ako se izuzme elektronski potpis) vrlo sam skeptican prema mogucnosti da se MUP bavi proverom autenticnosti potpisa.

Mislim da MUP gubi funkciju neophodnog učesnika u procesu uvođenjem elektronskog registra građana - koji je, koliko shvatam, ili u procesu izrade - ili je već urađen. U tom slučaju bi skupština prosto bila korisnik elektronskog registra građana - i ovaj proces verifikacije bi mogao da se izvede od strane odgovarajuće stručne službe.

Inicijativa pripada inicijatorima,ona je moguca i legitimna cak iako se ne dopada skupstini,odnosno skupstinskoj vecini zbog toga mi se,iako prepoznajem prakticne motive, ne dopada fikcija o skupstini kao rukovaocu.A sa prakticnog stanovista to otvara nova poitanja.Gradjanska nicijativa je slobodna,od vlasti nezavisna aktivnost,pocinje fakticki,okupljanjem ljudi,bez ikakve odluke i znanja skupstine i kao takva traje prilicno dugo.Sta dok traje prikupljanje potpisa? Sta ako ih nikad ne bude dovoljno za podnosenje narodnoj skupstini?Da li se,ako je skupstina rukovaoc, moze zamisliti obrada podataka bez znanja rukovaoca?Drugo je pitanje sta se desava nakon sto inicijativa predje u fazu formalnog predloga zakona.Da li tada,pod pretpostavkom ispunjenja odredjenih uslova,pokretaci inicijative prestaju biti rukovaoci a to popstaje skupstina?

Koliko sam video predlog novog zakona, predlog je da se tekst narodne inicijative prijavljuje skupštini kojoj se podnosi (član 48 - obaveštenje o predlogu). Predsednik skupštine onda u roku od 7 dana utvrđuje da li je predlog formulisan u skladu sa zakonom i da li se odnosi na pitanje iz nadležnosti skupštine (član 49 - verifikacija predloga). Ako predsednik skupštine misli da narodna inicijativa nije u skladu sa zakonom, dužan je da ga uvrsti u dnevni red prve naredne sednice, gde onda skupština odlučuje da li da prihvati ili odbaci predlog. Ako se odluka odbije, inicijativni odbor može podneti žalbu Upravnom sudu u roku od 8 dana (član 64).

U tom kontekstu sam ja pravio ovaj predlog i model - izvinjavam se na netransparentnosti. Zato mi se čini da je praktično da skupština bude rukovalac - jer inicijativni odbor na neki način postaje saradnik skupštine u procesu izvođenja narodne inicijative koja se toj skupštini podnosi (ili obrnuto, ali je proces u suštini nešto što proširuje aktivnost skupštine).

Mi jos nemamo i nisam siguran kad cemo imati moderan elektronski registar gradjana.A i kad bi ga imali on bi bio efikasno sredstvo samo za proveru podataka o gradjanima ali ne i pouzdano sredstvo za proveru njihove volje,odnosno autenticnosti potpisa.I u tom kontekstu ne treba zaboraviti da ,na zalost, postoje velike zbirke podataka o licnostima u stranackom,privatnom i ko zna cijem posedu koji bi,uneti bez znanja vlasnika u inicijativu,proverom bili potvrdjeni kao tacni i ne bi davali povoda za sumnju.

Uvođenjem elektronskog potpisa svakako sumnja u nameru otpada. Svojeručni potpis, po meni, jeste mehanizam obezbeđivanja autentičnosti, ali je njegova provera ekstremno skupa (veštačenje).

Zato sam i predložio tehnički proces koji obezbeđuje proveru na više nivoa.

Prvi nivo je preuzimanje JMBG i broja lične karte, koji se mogu mašinski proveriti (ako ništa drugo onda od strane MUP). Ovo ne daje previše veliku sigurnost, ali verovatno invalidira tekuće zbirke (pošto sumnjam da postoji veliki broj stranačkih/privatnih zbirki koje sadrže i JMBG i broj lične karte, posebno u većem obimu - a lične karte se sada intenzivno menjaju zbog prelaska na nove lične karte u poslednjiih par godina). Takođe, pošto građani u kontinuitetu menjaju lične karte, ovo izaziva postepano osipanje upotrebljivosti zbirki, kad god da se naprave.

Drugi nivo bi mogla da bude statistička kontrola samih potpisa - gde se iz dostavljenih podataka slučajnim uzorkom izabere određen broj i preda na kontrolu potpisa u odnosu na faksimil potpisa primljen pri izdavanju lične karte (sada je i to elektronski obuhvaćeno, pa ga neko sigurno ima u elektronskoj formi - makar MUP). Bilo kakvo neslaganje onda može da proizvede formalni kontakt sa građaninom čiji se potpis proverava i zahtev da potvrdi svoju podršku inicijativi.

Treći nivo je objavljivanje ovih podataka samim potpisnicima, npr. kao usluga portala eUprave - gde bi građani čak mogli da budu obavešteni elektronskom poštom za svaki potpis, ako su registrovani na portalu. Ovo je "smrtonosna" stvar za falsifikatore, ali bi bila dostupna samo za one koji koriste portal eUprava (što će se, nadam se, širiti).

Primetite svakako da je ovde u pitanju mehanizam kome je dovoljno da dokaže da je jedan potpis falsifikovan - jer onda stvar prelazi iz Zakona o referendumu i narodnoj inicijativi u Krivični zakonik (falsifikovanje). Znači ko koristi lične zbirke i falsifikuje potpis čini krivično delo, a metodi iznad su namenjeni da ga na ekonomski racionalan način u velikom procentu slučaja uhvate, ako to uradi u iole većem obimu.