Među 35 pravnih subjekata koji ne spadaju u red javnih institucija, a koji su imali trajni pristup ličnim podacima građana, odnosno, podacima Agencije za identifikaciona dokumenta, evidenciju i razmjenu podataka BiH (IDDEEA), bila je UniCredit banka, čija je ponuda da klijenti koji ne žele stajati u redu pred šalterom za izdavanje CIPS prijavnica, a u slučaju da im treba u poslovanju s bankom, taj dokument mogu dobiti od same banke – odjeknula u medijima i naišla na brojna negodovanja.
Odobrenje za pristup bazi podataka sa ličnim podacima građana pravni subjekti su dobili od IDDEEA-e, što je konkretno UniCredit banci omogućilo da izvod iz evidencije o prebivalištu i boravku u BiH koji sadrži lične podatke o svakom državljanu naše zemlje, kao što su matični broj, adresa stanovanja i sl. – ustupa klijentima koji su potpisali odgovarajuću saglasnost i za uslugu (koja se na svakom šalteru gdje se izdaju prijavnice može dobiti besplatno) uplatili 3,5 KM. Sporna usluga je mnogima “zapala za oko” i postala poprište sukobljenih stavova i različitih tumačenja zakona.
Nema zakonskog osnova
Agencija za zaštitu ličnih podataka u BiH je shodno zakonskim nadležnostima i ovlaštenjima, po službenoj dužnosti provela postupak u predmetu utvrđivanja zakonitosti stalnog pristupa ličnim podacima u elektronskim evidencijama koje je pravnim licima odobrila IDDEEA. Utvrđeno je da je pravnim licima bio odobren stalni pristup podacima iz evidencije jedinstvenih matičnih brojeva, prebivališta i boravišta te evidencije registrovanih motornih vozila. Osim toga, pojedinim pravnim licima odobren je pristup podacima iz evidencije ličnih karata državljana BiH i Iičnih karata za strance, zatim podacima iz evidencije o vozačkim dozvolama te podacima iz evidencije o pasošima, službenim pasošima i diplomatskim pasošima. Stalni pristup je omogućen pravnim licima koja pružaju finansijske usluge, usluge telekomunikacija te komunalne usluge.
Iz IDDEEAA-e su pojasnili na koji način je ozakonjena njihova saglasnosti za davanje trajnog pristupa podacima.
„Pristup podacima iz evidencija koje u ime izvornih organa vodi IDDEEA vršio se u skladu sa Pravilnikom o načinu pristupa evidencijama i razmjeni podataka, a koji je donesen na osnovu člana 23. Zakona o IDDEEA-i. Također, Vijeće ministara BiH donijelo je Odluku o visini naknade za pristup podacima iz evidencija IDDEEA-e”, rekao je za Business magazine direktor IDDEEA-e Arif Nanić.
Naida Kuduz, portparol UniCredit banke u Sarajevu, naznačila je da iz ove banke ne mogu komentirati na temelju kojeg zakonskog osnova je Banka imala stalno pravo pristupa evidencijama IDDEEA-e, iz čega možemo zaključiti samo da o tom zakonskom osnovu iz Unicredit banke ništa ne znaju – ili da on ne postoji.
Nakon što je od strane Agencije za zaštitu ličnih podataka u BiH proveden postupak utvrđivanja zakonitosti stalnog pristupa ličnim podacima, postupak je okončan donošenjem rješenja kojim je trajno zabranjeno IDDEEA-i da odobrava i omogućava pravnim licima stalni pristup ličnim podacima sadržanim u elektronskim evidencijama.
„Zakonom o IDDEEA-i kao relevantnim zakonskim propisom za predmetnu obradu ličnih podataka nije propisan osnov za stalni pristup podacima pravnim licima. Za obradu ličnih podataka pod kontrolom javnih organa uključujući i pristup istim, pravni osnov ne može biti saglasnost nosioca podataka. Rad javnih organa zasniva se na zakonu, a ne zavisi od volje pojedinca“, kaže direktor Agencije za zaštitu ličnih podataka u BiH Petar Kovačević.
On ističe da je pozivanje na saglasnost u predmetnom postupku irelevantno. Kada je u pitanju podzakonski akt na osnovu kojeg je pravnim licima bio odobren stalni pristup podacima sadržanim u evidencijama IDDEEA, Kovačević naglašava da ga je neophodno uskladiti sa zakonskim propisom na osnovu kojeg je i donesen.
U epilogu priče, IDDEEA analizira rješenje Agencije za zaštitu ličnih podataka u BiH kojim se pravnim licima zabranjuje stalni pristup informacijama sadržanim u elektronskim evidencijama te relevantne zakonske i podzakonske propise u ovoj oblasti. S druge strane, Agencija za zaštitu ličnih podataka u BiH će predložiti Vijeću ministara izmjene spomenutog Pravilnika o pristupu podacima, s ciljem njegovog usaglašavanja sa Zakonom o zaštiti podataka BiH.
Zakoniti interes
Mnogi su u nedoumici – ko sada uopće ima pravo stalnog pristupa ličnim podacima građana.
„Javni organi imaju pristup evidencijama po dva osnova. U prvom slučaju kada se pojavljuju kao izvorni organi, a to su oni koji kroz svoj rad pune evidencije i tada je obaveza IDDEEA da im mora omogućiti nesmetan pristup. U drugom slučaju javni organi se pojavljuju kao prijemni organ i Zakon poznaje dvije situacije. Prva, kada je javni organ izričito zakonom ovlašten da pristupa tim podacima (Agenciji za zaštitu ličnih podataka u BiH nije poznato to rješenje) i druga kada javni organ nije u mogućnosti da izvršava svoje zakonske obaveze bez pristupa evidencijama. Obaveza IDDEEA jeste da identifikuje, na osnovu zahtjeva, javni organ i da mu omogući pristup podacima, prema članu 9. Zakona o IDDEEA. U suštini se radi o tome da Zakon o IDDEEA ne omogućava bilo kakav pristup pravnim licima evidencijama koje vodi IDDEEA. Pravna lica mogu u skladu sa članom 8. stav (1) tačka f) Zakona o IDDEEA-i dobiti na zahtjev izvod iz evidencija ako postoji zakoniti interes za to“, rekao je za Business magazine Petar Kovačević, direktor Agencije za zaštitu ličnih podataka u BiH.
