Piše: Harun Išerić, viši asistent na Univerzitetu u Sarajevu – Pravnom fakultetu
Pravo na zaštitu ličnih podataka, kao i svako drugo pravo, može biti zloupotrebljeno suprotno cilji i svrsi tog prava. Jedan od načina zloupotrebe jeste i u svrhu ušutkivanja kritičkih glasova, najčešće novinarskih, koji se pojedincima (moćnicima) ne sviđaju, te tim povodom vode postupke zaštite ličnih podataka kao oblik strateškog postupka protiv učešća javnosti (Strategic Lawsuit against Public Participation [SLAPP]).
SLAPP-om se smatraju neosnovane ili uznemiravajuće tužbe i drugi oblici sudskih postupaka koje pokreću državni organi, poslovne korporacije, nosioci javne vlasti, moćnici, protiv (finansijski) slabijih strana – novinara, organizacija civilnog društva, branitelja ljudskih prava, akademskih radnika, aktivista i drugih – koji iznose mišljenje ili prenose informacije koje su od javnog interesa, a to mišljenje ili informacija se percipira kao nepovoljna ili na neki drugi način neugodna za moćnike, koji potom pokreću spomenute postupke. Dakle, u pozadini SLAPP postupka nije zaštita nekog prava (npr. na ugled, na zaštitu ličnih podataka, na zaštitu prava intelektualnog vlasništva, na poslovnu tajnu itd.), već upravo suprotno – zloupotreba tog prava, s ciljem gašenja javne rasprave o nekom pitanju odnosno kritičkih glasova usmjerenih za zaštitu javnog interesa. Tako se SLAPP pojavljuje u formama sudskog (krivičnog ili građanskog) postupka koji se vodi zbog klevete (što je najčešća manifestacija SLAPP-a); zaštite autorskog prava i prava na žig; zaštite poslovne i službene tajne, kao i u vezi sa tim, postupkom protiv zviždača; kao i postupka zaštite privatnosti i zaštite ličnih podataka; disciplinskog postupka protiv zaposlenika; krivične sankcije zbog utaje poreza, poreske revizije itd. SLAPP, riječima rezolucije Evropskog parlament iz 2024. godine, predstavlja gorući problem za slobodu izražavanja i rad novinara širom Evrope.
Evropski parlament je u svojoj rezoluciji iz 2021. godine, ukazao kako se Opća uredba o zaštiti podataka EU (GDPR), koristi kako bi se ograničilo djelovanje novinara i nevladinih organizacija, te istakao kako pravila o zaštiti podataka ne bi trebala ugrožavati slobodu izražavanja i informisanje, posebno ako se njima pokušava zastrašivati ili ako se način na koji se ona tumače upotrebljava kako bi se vršio pritisak na novinare da otkriju svoje izvore. Ono što posebno opasnim čini GDPR jeste visina kazne koja može biti izrečena zbog kršenja njegovih odredbi i to do 20 miliona eura. Ove novčane kazne mogu biti iskorištene kao dio strategije prijetnji, kako bi se čuvari javnog interesa (public watchdog) zastrašili i ušutkali.
Zaštita ličnih podataka se primjenjuje u situacijama kada se procesuiraju lični podaci pojedinca, a što uključuje njihovo prikupljanje, pohranjivanje, organiziranje, obradu, objavljivanje, uništenje i slično. Lični podaci se mogu procesuirati temeljem jedne od sljedećih pravnih osnova (član 6 GDPR):
- kada osoba pristane na konkretnu upotrebu ličnih podataka;
- kada je to neophodno za izvršenje ugovora;
- kada je to neophodno za ispunjenje zakonske obaveze;
- kada je to neophodno za zaštitu vitalnog interesa osobe ili drugog lica;
- kada je to neophodno za obavljanje posla u javnom interesu i postoje zakonski osnov za procesuiranje;
- kada je to neophodno radi legitimnih interesa ili legitimnih interesa treće strane osim ako interesi ili prava i slobode pojedinca nadmašuju ona prava i slobode lica koje procesuira lične podatke.
Za novinare, kao i one društvene kategorije koje su prepoznati kao čuvari javnog interesa najrelevantniji pravni osnovi su: konsezus – pristanak osobe na obradu njenih ličnih podataka (pod 1) i postojanje legitimnih interesa (pod 5).
Lica, čiji se lični podaci obrađuju, ima određeni broj prava, a među kojima su najčešća: pravo na pristup (član 15 GDPR). Lice može tražiti da se otkriju lični podaci koji se posjeduju u vezi sa njim, svrha u koju se obrađuju, sa kim se dijele i koliko dugo će se čuvati. Drugo pravo je pravo na ispravku (član 16 GDPR). Lice može tražiti da se isprave greške u ličnim podacima koji se posjeduju. U konačnici, treće je pravo na brisanje/pravo da se bude zaboravljen (član 17 GDPR). Lice može tražiti da se izbrišu lični podaci koji se imaju o njemu. Ovom se zahtjevu ne mora udovoljiti ako još uvijek postoji zakonska osnova za zadržavanje ličnih podataka.
U komparativnoj praksi su prepoznate tri vrste postupaka koji uključuju GDPR, i mogu biti iskorištena od strane lica radi zloupotrebe prava na zaštitu ličnih podataka su: 1) određivanje privremene mjere – mjere osiguranja – prije samog pokretanja praničnog postupka; 2) pokretanje parničnog postupka s ciljem okončanja prethodnog pokrenutog postupka privremenom mjerom; 3) pokretanje postupka pred nadležnim državnim regulatornim tijelom za zaštitu ličnih podataka.
GDPR pak nudi zaštitu od zloupotrebe ovog prava zarad gušenja slobode govora. Međutim, ona se uveliko oslanja na zakonodavstvo i praksi države članice Evropske unije. U članu 85 GDPR-a, zahtijeva se od država članica EU da svoje zakonodavstvo o zaštiti ličnih podataka implementiraju na način da balansiraju/pomire slobodu izražavanja i pravo na privatnost. U vezi sa tim, GDPR propisuje kako države članice trebaju predvidjeti izuzetke od primjene zahtjeva za procesuiranje ličnih podataka (odnosno određenih poglavlja GDPR), radi obrade ličnih podataka u novinarske svrhe ili svrhe akademskog, umjetničkog ili književnog izražavanja (tzv. „novinarski izuzeci“). Ovi izuzeci znače da se u konkretnoj situaciji ne primjenjuju prava lica – nosilaca ličnih podataka – koja su navedena ranije u tekstu, ali istovremeno ne isključuju nužnost postojanja opravdanog razloga za obradu ličnih podataka. Međutim, države članice EU uživaju znatnu diskreciju prilikom određivanja opsega izuzetaka i relevantnih kriterija. To je rezultiralo sa 27 nacionalnih propisa različitog kvaliteta, sa krajnjim rezultatom nedosljednog pravnog okruženja za slobodu izražavanja. Tako su u nacionalnom zakonodavstvu prisutni razvnorsni pristupi ovoj problematici (vidjeti i ovdje), uključujući personalni opseg ovog izuzetka (koja sve lica ono obuhvata), materijalni opseg (koje sve aktivnosti su predmet izuzetka), te prirodu izuzetka (koja pravila GDPR se ne primjenjuju u slučaju novinarskog izuzetka).
U nekim državama članicama EU, samo mediji i njihovi zaposlenici mogu koristiti argument slobode izražavanja i zaštite informacija iz člana 85 GDPR prilikom obrade ličnih podataka u novinarske svrhe. To znači da se ta zaštita ne dodjeljuje (ili barem ne izričito) osobama izvan medijskog sektora, kao što su novinari – amateri, aktivisti i zviždači. Kako to primjećuje Koalicija protiv SLAPP-ova u Evropi „neuspjeh GDPR-a da zahtijeva zaštitu svih čuvara javnog interesa, pruža savršenu priliku za SLAPP-ove.“
Zloupotreba GDPR radi gašenja slobode govora je posebno vidljiva u autokratskim režimima. Za to možemo navesti dva primjera, i to iz Mađarske i Rumunije.
U jednom mađarskom predmetu, mađarski sud je izdao naredbu časopisu Forbes, kojom se povlači iz javnosti izdanje koje je sadržavalo popis najbogatijih Mađara. Sud je naredbu donio na osnovu pritužbe kompanije Hell Energy, proizvođača energetskih napitaka u vlasništvu porodice Barabás. Presuda je natjerala Forbes da ime Barabás ukloni čak i iz online verzije članka. Mađarsko tijelo za zaštitu ličnih podataka odlučilo je kako je Forbes propustio da lica sa svoje liste najbogatijih Mađara obavijesti o tome kako postupa sa njihovim podacima i o njihovom pravu da ulože žalbu regulatornom tijelu. Prema stavu ovog regulatornog tijela, takve liste mogu biti objavljene samo ako novinari striktno usklađuju svoje informacije, sa licima kojima ti lični podaci pripadaju. Forbes je također dobio kaznu od oko 12.000 eura zbog načina na koji je postupao s podacima porodice Barabas i druge porodice koja se žalila, uprkos činjenici da je sve što je časopis objavio poteklo iz javnih baza podataka.
Nacionalni sudovi su zaključili kako Forbes nije izvršio razuman „test legitimnog interesa“, zbog čega ga nije pravilno dokumentovao lične podatke i nije dao odgovarajuće informacije licima na koja se ti podaci odnose. Pored toga, sudovi su zauzeli stav da ekonomsko novinarstvo ne potpada pod novinarski izuzetak iz člana 85 GDPR. Za ova kršenja zakona o zaštiti podataka, Forbesu je naloženo da plati kaznu od 3000 EUR u svakom slučaju (6000 EUR zajedno). Predmet se trenutno nalazi pred Evropskim sudom za ljudska prava.
U jednom rumunskom predmetu, nacionalno nadzorno tijelo za zaštitu ličnih podataka je istraživačkoj kući Rise Project naložilo da otkrije svoje izvore ili da plati rekordno kaznu od 20 miliona eura. Problemi za Rise Project počeli su kada je na Facebooku objavio tizer o svojoj istrazi o optužbama za korupciju u koje je umiješan predsjednik vladajuće stranke. Objava na Facebooku pokazala je sadržaj kofera za koji je Rise Project izjavio da ga je dobio od anonimnog izvora, a koji sadrži dokumente, datoteke, elektronsku poštu, fotografije s USB-a i tablet za koji se činilo da uspostavlja veze između izgradnje lokalne ceste, kompanija Tel Drum SA i predsjendika vladajuće stranke. Nekoliko dana nakon objave na Facebooku, rumunsko tijelo za zaštitu ličnih podataka poslalo je pismo Rise Projectu u kojem se navodi da je kuća prekršila pravila o privatnosti ličnih podataka. Rumunsko tijelo se pozvalo na GDPR i naložilo novinarima da objasne kako i kada su dobili informacije, ko je njihov izvor, kako su pohranili dokumente i koje druge lične podatke imaju o predsjedniku vladajuće političke stranke, rukovodiocima Tel Druma i njihovim prijateljima. Od novinara je traženo da vrate informaciju u roku od 10 dana ili im je prijetila kazna od 644 eura za svaki dan kašnjenja. Nepoštivanje naloga bi rezultiralo sa kaznom do 20 miliona eura.
Transpozicija GDPR u pravni sistem BiH morat će biti učinjena sa posebnom dozom opreza u kontekstu osiguranja „novinarskog izuzetka“ i zaštite slobode govora. U vezi sa tim, rješenja preuzeta u Republici Hrvatskoj nisu pohvaljena od strane akademske zajednice i EU institucija, pa zbog toga se ne smije pribjegavati njihovom preuzimanju, samo zato što su napisana na jeziku kojeg razumijemo. Nadalje, BiH ima pozitivnu obavezu da osmislu pravnu strategiju koja će postići odgovarajući balans između slobode govora i prava na zaštitu ličnih podataka, imajući u vidu praksu uporednu praksu država članica EU, Suda pravde EU i Evropskog suda za ljudska prava, a posebno obavezu države da stvori povoljan ambijent za učestvovanje u javnim raspravama svim zainteresovanim licima, omogućavajući im da bez straha izražavaju svoje ideje i mišljenja, čak i ako su te ideje i ta mišljenja u suprotnosti sa onim koje zastupaju zvanični organi ili jedan znatan dio javnosti, čak i ako iritiraju ili šokiraju ove potonje. U vezi sa, tim, od posebnog značaja jeste edukacija zaposlenika u Agenciji za zaštitu ličnih podataka, kako bi primjena novog nacionalnog prava bila u skladu sa međunarodnim standardima zaštite ljudskih prava i pravom EU.
This project is financed with the contribution of the Ministry of Foreign Affairs and International Cooperation of the Italian Republic. The content of this document represents the views of its authors and in no way represents the position of the Ministry of Foreign Affairs and International Cooperation.