- Uvod
Početkom januara ove godine, informativni portal Žurnal.info objavio je tekst o tome kako je njihova novinarka, bez pohađanja škole, za svega sedamnaest dana „završila“ srednju medicinsku školu u Sanskom Mostu, te da je iz Centra za obrazovanje iz Širokog Brijega dobila ovjerenu diplomu i svjedodžbe za sva četiri razreda te škole, nakon što je uplatila iznos od 2.500 KM.[1] Također, mediji su izvijestili i da je Državna agencija za istrage i zaštitu (SIPA) i ranije upozorila Tužilaštvo Bosne i Hercegovine (Tužilaštvo BiH) na sumnjive diplome, ali da ni tada, a ni mjesec dana nakon teksta koji je objavio Žurnal.info, nije bilo reakcije Tužilaštva BiH[2]. Međutim, početkom februara ove godine, policijski službenici SIPA-e su, u saradnji sa policijskim službenicima MUP-a Republike Srpske, MUP-a Unsko-sanskog kantona i Policije Brčko Distrikta BiH proveli operativnu akciju kodnog naziva „Pečat“ u kojoj su uhapsili devet osoba zbog postojanja osnova sumnje da su počinila krivično djelo „Udruživanje radi činjenja krivičnih djela“ u vezi sa krivičnim djelom „Krivotvorenje isprave“, što je opet sve u vezi sa izdavanjem lažnih diploma o završenom školovanju[3].
Ova afera oko lažnih diploma nije ostala samo u granicama Bosne i Hercegovine. Naime, Ministarstvo uprave Republike Hrvatske je, zbog učestalih pismenih dopisa i pritužbi kojima se ukazuje na moguću nevjerodostojnost isprava o stepenu obrazovanja i struci službenika i namještenika te članova tijela i upravnih tijela jedinica lokalne i regionalne samouprave, još 2017. godine započelo provjeru diploma službenika i namještenika. Do početka 2019. godine, otkriveno je 25 nevjerodostojnih isprava o stepenu obrazovanja i struci službenika i namještenika, od kojih su četiri izdale obrazovne institucije u BiH, „uglavnom one u privatnom vlasništvu koje su povezane sa Centrom za obrazovanje u Širokom Brijegu.“[4] Također, hrvatsko Ministarstvo znanosti je pokrenulo vanrednu provjeru diploma oko 90.000 zaposlenih u sistemu obrazovanja i nauke, „zato što je u toj ustanovi otkrivena osoba s krivotvorenom diplomom Sveučilišta u Zagrebu“[5]. Dalje, njemački državni radio „Deutschlandfunk“ je objavio reportažni izvještaj iz Sarajeva pod naslovom „Njegovatelj za 17 dana“ u kojem se, pored ostalog navodi da je „problem sa kupovinom diploma u BiH poznat i da državno tužilaštvo skoro ništa ne poduzima.“ Kako je dalje navedeno, prema posljednjem izvještaju o migraciji, u Njemačku je 2016. i 2017. godine stiglo više od 50.000 državljana BiH, od kojih su se mnogi zaposlili u zanimanjima za koja nedostaje radne snage u Njemačkoj.[6] Tjednik „Die Zeit“ je izvijestio da su se neke agencije koje posreduju u zapošljavanju već suočile sa problemom kupljenih diploma, te da je „javna tajna“ da se u BiH „mogu kupiti diplome.“[7]
Početkom februara ove godine, putem medija je najavljeno da će u Federaciji BiH biti provjereno „hiljade diploma (…) u procesu revizije koji se prvi put pokreće povodom novinarske priče“ sa početka ovog teksta. U tom procesu revizije će se, kako je rečeno, „provjeravati diplome svih uposlenih u organima uprave FBiH, federalnim institucijama, zavodima, agencijama i direkcijama“, te da se radi o desetinama hiljada uposlenika, ali da će se tačan broj znati kada se utvrdi strategija cijelog procesa.[8]
Prije toga, sredinom januara ove godine, Kolegij Sekretarijata Parlamentarne skupštine Bosne i Hercegovine (PS BiH) je odlučio provjeriti diplome svojih uposlenika[9], a prije procesa revizije Kolegij je zatražio mišljenje Agencije za zaštitu ličnih podataka BiH (Agencija) o tome da li bi upit relevantnim srednjoškolskim i visokoškolskim ustanovama o sticanju diploma uposlenika Sekretarijata PS BiH, sa brojem diplome i datumom njenog izdavanja, bio u skladu sa Zakonom o zaštiti ličnih podataka. Povodom takvog traženja, Agencija je zaključila da Kolegij ne može provjeravati diplome uposlenika, jer bi na taj način prekršio Zakon o zaštiti ličnih podataka[10]. Nešto kasnije, početkom februara ove godine, Agencija je pojasnila da „nije, niti može zabraniti provjere“, ali da je za Agenciju „neprihvatljivo generalizovanje i da se svi ljudi stavljaju pod sumnju“[11].
U ovom tekstu, koji pokreće brojna važna pitanja, ja ću se baviti samo mišljenjem koje je dala Agencija, odnosno pitanjem da li je Agencija pravilno procijenila da se provjerom validnosti diploma zaposlenih u javnom sektoru u konkretnom slučaju krši Zakon o zaštiti ličnih podataka, odnosno pravo zaposlenih na zaštitu ličnih podataka.
- Mišljenje Agencije
U mišljenju koje je dostavila PS BiH, Agencija je, između ostalog, navela da je podatak o diplomi lični podatak, a da provjera podrazumijeva obradu tih ličnih podataka, pa da se stoga Sekretarijat PS BiH smatra kontrolorom tih podataka u smislu Zakona o zaštiti ličnih podataka BiH (Zakon)[12]. Agencija je najprije navela šta su ciljevi Zakona, zatim šta se prema Zakonu smatra ličnim podatkom, te šta su dužnosti kontrolora podataka. U vezi s tim, Agencija je navela da su, prema članu 4 Zakona, kontrolori dužni obrađivati lične podatke „u skladu sa osnovnim principima zakonite obrade ličnih podataka, prije svega zakonskim propisima, te isti utvrđuju svrhu i način obade ličnih podataka na osnovu zakona ili propisa donesenog na osnovu zakona. Osim toga, Agencija je detaljno interpretirala čl. 17 Zakona koji propisuje davanje podataka trećim licima, pa je navela da je prema stavu 4 člana 17 Zakona, zabranjeno davati lične podatke na korištenje trećoj strani „za čiju obradu, odnosno korištenje nisu ovlašteni prema odredbama čl. 5 i 6 Zakona, te ako je svrha za koju se lični podaci traže na korištenje suprotna odredbi člana 4 Zakona.“ Također, Agencija je navela da su „odredbe Zakona opšteg karaktera i iste ne mogu biti pravni osnov za postupanje bilo kojeg kontrolora, kada je u pitanju pravni osnov za obradu ličnih podataka. Dakle, svaki kontrolor, a posebno javni organ, je dužan postupati u skladu sa propisima kojima se neposredno određuje njegova nadležnost ili obaveze i prava.“
Agencija je dalje navela da je „Sekretarijat istovremeno kontrolor ličnih podataka o diplomama zaposlenih te treća strana ukoliko se obrati sa zahtjevom za dostavljanje ličnih podataka obrazovnim ustanovama, u cilju njihove provjere.“ Također je istaknuto da se u konkretnom slučaju radi o javnim ispravama kojima se dokazuje „to što se u njima potvrđuje ili određuje“, te da je osporavanje javnih isprava dopušteno, ali u zakonom propisanom postupku „s obzirom na konkretne okolnosti“. Naročito je zanimljivo da je u ovom mišljenju, koje je Agencija dostavila početkom februara 2019. godine, eksplicitno navedeno da „[n]isu poznati razlozi provjere diploma svih zaposlenih“. Zbog toga je Agencija navela da je „sa aspekta zakonitosti obrade ličnih podataka sporno generalizovanje“, te da je prema članu 4 Zakona kontrolor „obavezan da lične podatke obrađuje samo u mjeri i obimu koji je neophodan za ispunjenje određene svrhe – princip proporcionalnosti.“ Također, Agencija je iznijela stav da se „na ovakav način narušava i ljudsko dostojanstvo zaposlenih, ako se svi stavljaju pod sumnju, o čemu bi bilo poželjno zatražiti mišljenje drugih institucija za zaštitu ljudskih prava.“ U konačnici, Agencija je navela da je „dovođenje pod sumnju svih javnih isprava na ovakav način, štetno i za javni interes jer se takvim postupanjem narušava pravna sigurnost“, te da se u slučaju kada se „ne radi o javnom interesu“, saglasnost nosioca podataka, kao jedan od pravnih osnova za obradu ličnih podataka (član 5 Zakona), ne može koristiti kao osnov za obradu ličnih podataka.[13]
- Međunarodni standardi zaštite ličnih podataka
Pravo na zaštitu privatnog života i pravo na zaštitu ličnih podataka su dva usko povezana, ali ipak različita prava. Njima se, štite slične vrijednosti: autonomija i dostojanstvo ličnosti, te zaštita lične sfere u kojoj svako može razvijati svoju individualnost i oblikovati svoje mišljenje. Stoga su oba ova prava nužan preduslov za uživanje u drugim ljudskim pravima, kao što je sloboda izražavanja, mirnog okupljanja i udruživanja i sloboda vjere npr.
Pravo na zaštitu ličnih podataka je novije pravo, sa čijom zaštitom se počelo u 1970-im godinama usvajanjem zakona u nekim evropskim državama radi kontrole obrade ličnih podataka putem javne vlasti i velikih kompanija. Međutim, zbog razvoja savremenih informacijskih i komunikacijskih tehnologija, ovo pravo je vremenom dobijalo sve više na značaju pa je, zbog rizika koji su se pojavili u odnosu na pravo na privatni život, zahtijevalo donošenje specifičnih pravila za prikupljanje i korištenje ličnih podataka.
Evropska unija je 1995. godine regulisala zaštitu ličnih podataka Direktivom iz 1995. godine (Direktiva)[14], koja je zamijenjena Općom uredbom o zaštiti podataka iz 2016. godine (Uredba)[15]. Uredbom je modernizovana zaštita podataka na nivou EU kako bi zaštitu osnovnih prava odgovarala ekonomskim i socijalnim izazovima u digitalnom dobu. Uredbom su sačuvani i dalje razvijeni ključni principi i prava subjekta podataka koji su bili i u Direktivi, ali su propisane i neke nove obaveze[16].
Na nivou Vijeća Evrope, pravo na zaštitu ličnih podataka je osigurano kroz primjenu člana 8 Evropske konvencije kojim se štiti pravo na privatni i porodični život, dom i prepisku. Evropski sud je u svojoj praksi razmatrao brojne situacije koje su se ticale zaštite ličnih podataka: presretanje komunikacija[17], razne oblike nadzora[18] ili npr. zaštitu pohranjivanja ličnih podataka od strane javnih vlasti[19]. Pored toga, 1981. godine donesena je i Konvencija o zaštiti lica u pogledu automatske obrade ličnih podataka, poznata kao Konvencija 108[20], koja je i danas jedini pravno obavezujući međunarodni instrument u oblasti zaštite ličnih podataka[21]. Komitet ministara Vijeća Evrope je u maju 2018. godine usvojio Protokol kojim se Konvencija 108 dopunjava, što je najavljeno kao „modernizacija“ Konvencije koja je imala dva glavna cilja: odgovoriti izazovima koje je donijelo korištenje novih informacionih i komunikacijskih tehnologija i pojačati djelotvorno provođenje Konvencije 108[22].
Konvencija 108 se odnosi na sve podatke koje obrađuju u privatnom i javnom sektoru, uključujući i podatke koje obrađuje pravosuđe i drugi organi za provođenje zakona. Ovim dokumentom se, između ostalog, štite pojedinci od zloupotreba koje se mogu dogoditi prilikom obrađivanja ličnih podataka. Principi koji su postavljeni u Konvenciji 108 tiču se naročito zakonitog i pravičnog prikupljanja i automatske obrade podataka koje treba imati specificirane legitimne ciljeve. Ovo znači da se lični podaci ne mogu koristiti za druge, osim za propisane ciljeve i da se ne mogu čuvati duže nego što je to neophodno. Osim toga, Konvencija 108 zabranjuje obradu „osjetljivih podataka“ kao što su podaci o nečijoj rasi, političkom opredjeljenju, zdravlju, vjeri, seksualnom životu ili podaci iz kaznene evidencije, osim ako je za obradu tih podataka propisana odgovarajuća zaštita[23]. Konvencija 108 uključuje i pravo svake osobe da zna da su podaci o njemu/njoj pohranjeni i da, ako je potrebno, zatraži ispravku[24]. Ograničenje prava iz ove konvencije su moguća samo ako je predviđeno zakonom strane ugovornice i ako predstavlja neophodnu meru u jednom demokratskom društvu za zaštitu bezbjednosti države, javne bezbjednosti, za monetarne interese države ili za suzbijanje krivičnih dela, te za zaštitu subjekata podataka i prava i sloboda drugih[25].
Dakle, prema međunarodnim standardima, koji su ovdje ukratko prikazani, pravo na zaštitu ličnih podataka se pokreće uvijek kada se lični podaci obrađuju, pa je stoga šire od poštivanja prava na privatni život. Zaštita ličnih podataka se odnosi na sve lične podatke i njihovo obrađivanje, bez obzira na to kakvu vezu ili kakav utjecaj oni mogu imati na privatnost. Međutim, pravo na zaštitu ličnih podataka, kao ni pravo na privatni život, nije apsolutno pravo zato što može biti ograničeno zbog zaštite nekog javnog interesa ili za zaštitu sloboda i prava drugih, pod uslovima propisanim u stavu 2 člana 8 Konvencije, onako kako je to u svojoj praksi tumačio Evropski sud: da je propisano zakonom, da ima legitiman cilj i da je neophodno u demokratskom društvu, odnosno da postoji proporcionalnost između mjere ograničenja i legitimnog cilja koji se želi postići. Ograničenja su na isti način propisana i u Konvenciji 108 i u propisima EU[26], pa ću dalje u tekstu analizu bazirati samo uz pozivanje na član 8 Konvencije.
- Zakon o zaštiti ličnih podataka u BiH i njegova primjena u konkretnom slučaju
Zakonom koji je u Bosni i Hercegovini donesen 2006, a dopunjavan i mijenjan 2011. godine, preuzeti su navedeni standardi. U ovom tekstu ću navesti samo one odredbe koje smatram relevantnim za analizu pitanja koje je uvodno postavljeno. Najprije, Zakon daje definicije za određene pojmove, uključujući i to ko je kontrolor[27], obrađivač[28], treća strana[29] i primalac[30] ličnih podataka. Dalje, Zakon propisuje da se primjenjuje na lične podatke koje obrađuju svi javni organi, fizička i pravna lica, osim ako drugi zakon ne nalaže drugačije (član 2) i utvrđuje principe obrade ličnih podataka odnosno obaveze kontrolora podataka (član 4). Dalje, Zakon propisuje da kontrolor može obrađivati lične podatke uz saglasnost nosioca podataka (član 5), ali predviđa i slučajeve u kojima takva saglasnost nije potrebna (član 6), a jedan od njih je ako je obrada ličnih podataka potrebna za ispunjenje zadatka koji se izvršava u javnom interesu (član 6 tačka d). Zakon zabranjuje obradu posebne kategorije podataka, osim u izuzetnim slučajevima eksplicitno propisanim Zakonom (član 9). Također, u konkretnom slučaju relevantan je i član 17 Zakona koji propisuje pod kojim uslovima kontrolor podataka može dati lične podatke trećoj strani (između ostalog, da o tome obavijesti nosioca podataka koji treba dati saglasnost da bi se podaci dali trećoj strani, osim ako to nije u javnom interesu)[31].
Vratimo se na konkretan slučaj u kojem je Kolegij Sekretarijata PS BiH, kako je već rečeno, imao namjeru obratiti se relevantnim srednjo i visokoškolskim ustanovama kako bi provjerio diplome svojih zaposlenih, u vrijeme kada su mediji uveliko izvještavali o izdavanju i korištenju lažnih diploma u BiH. Kako je već rečeno, pravo na zaštitu ličnih podataka nije apsolutno pravo, već može podlijegati ograničenjima, a ta ograničenja moraju biti propisana zakonom, imati legitiman cilj i biti neophodna u demokratskom društvu. Traženje od obrazovnih institucija podataka o diplomama zaposlenih u javnoj službi i eventualno dostavljanje tih podataka, koji po Zakonu jesu lični podaci, svakako bi predstavljalo miješanje u pravo nosilaca ličnih podataka na privatni život. Stoga treba odgovoriti na sljedeća pitanja: (1) je li miješanje u to pravo u skladu sa zakonom, (2) postoji li legitiman cilj za takvo miješanje i (3) je li takvo miješanje „neophodno u demokratskom društvu“.
4.1. U skladu sa zakonom
Odgovor na pitanje da li bi takvo miješanje bilo zakonito u smislu člana 8 Evropske konvencije, nesumnjivo je pozitivan. Naime, Zakon propisuje da je obrada ličnih podataka moguća i bez saglasnosti nosioca podataka pod uslovima iz člana 6 Zakona. Naročito, u tački d) ovog člana nije potrebna saglasnost nosioca ličnih podataka „ako je obrada ličnih podataka potrebna za ispunjenje zadatka koji se izvršava u javnom interesu“. Pod „izvršavanjem nadležnosti i zadataka u javnom interesu“ svakako se podrazumijevaju svi poslovi i zadaci koje obavljaju zaposleni u javnim institucijama, agencijama, ustanovama itd.
Interesantno je ukazati i na činjenicu da je Agencija u mišljenju navela da su relevantne odredbe Zakona „opšteg karaktera i iste ne mogu biti pravni osnov za postupanje bilo kojeg kontrolora, kada je u pitanju pravni osnov za obradu ličnih podataka“, te da je „svaki kontrolor a posebno javni organ dužan postupati u skladu sa propisima kojima se neposredno određuje njegova nadležnost ili obaveze i prava.[32]“ Tačno je da je članom 11 stav 3 Zakona propisano da je svaki javni organ „kao kontrolor dužan, prema svojim nadležnostima, donijeti propis s ciljem provođenja ovog Zakona.“ Međutim, Sekretarijat u konkretnom slučaju nije „kontrolor podataka“, već „primalac podataka“[33]. Kontrolor podataka u konkretnom slučaju bi bile obrazovne ustanove od kojih bi se podaci zatražili. Međutim, ako one do danas i nisu donijele posebne propise za provođenje Zakona, to i dalje ne znači da Zakon ne daje dovoljan osnov za obradu ličnih podataka u tim ustanovama. Naime, Zakon je dovoljno jasno propisao način postupanja radi zaštite ličnih podataka, ograničenja i prava nosioca podataka, pa eventualni nedostatak posebnog provedbenog propisa ni na koji način ne znači, kako je to Agencija zaključila, da navedene relevantne odredbe tog Zakona „ne mogu biti pravni osnov za obradu ličnih podataka“. Osim toga, provedbenim propisima se trebaju dodatno propisati mjere protiv neovlaštenog ili slučajnog pristupa ličnim podacima, mijenjanja, uništavanja ili gubitka podataka, neovlaštenog prijenosa, drugih oblika nezakonite obrade podataka, kao i mjere protiv zloupotrebe ličnih podataka (član 11 stav 2 Zakona), ali to ni na koji način neće promijeniti osnovne principe obrade ličnih podataka i njihove zaštite.
Dakle, budući da je Zakon eksplicitno propisao kada je dozvoljena obrada ličnih podataka bez saglasnosti nosioca ličnih podataka, za pribavljanje diploma od relevantnih obrazovnih institucija bez saglasnosti nosilaca tih podataka, nesumnjivo postoji pravni osnov u Zakonu, pa je suprotan stav Agencije neosnovan i proizvoljan.
4.2. Legitiman cilj
Cilj provjere u konkretnom slučaju je nesumnjivo bio, ispitati da li neki od uposlenika u Sekretarijatu PS BiH, kao javni službenik, koristi krivotvorenu diplomu, što je, opet, nesumnjivo javni interes. Dalje, cilj ovakve namjeravane provjere bio je i sprečavanje i otkrivanje eventualno počinjenih krivičnih djela uposlenika u javnom sektoru, budući da je krivotvorenje, upotreba i nabavljanje radi upotrebe krivotvorenih isprava u Federaciji BiH propisano kao krivično djelo, koje ima i teži oblik, ako se radi o javnoj ispravi[34], a diplome jesu javne isprave. Dakle, u konkretnom slučaju radi se o legitimnom cilju koji je od posebnog javnog interesa. Izvještaji koji su se pojavili u medijima o tome da se u BiH diplome krivotvore, hapšenje devet osumnjičenih za krivotvorenje, kao i najava da će se „provjeravati diplome svih uposlenih u organima uprave FBiH, federalnim institucijama, zavodima, agencijama i direkcijama“[35], svakako su pokazali namjeru vlasti da se izvrši cjelovita revizija zaposlenih u javnom sektoru kako bi se osiguralo da oni koji izvršavaju zadatke „u javnom interesu“ ne budu osobe koje su nabavile i koriste krivotvorene diplome, odnosno oni koji su eventualno počinili djelo kažnjivo po zakonu.
4.3. Neophodno u demokratskom društvu
U odgovoru na ovo posljednje pitanje, treba sagledati kontekst u cjelini, te utvrditi postoji li proporcionalnost između mjera koje se poduzimaju i legitimnog cilja koji se želi ostvariti. U vezi s tim, ponovo treba istaći da je u konkretnom slučaju Sekretarijat PSBiH namjeravao provjeriti diplome svojih uposlenika, budući da su mediji vrlo ozbiljno izvijestili o tome kako je u BiH moguće krivotvoriti i nabaviti radi upotrebe krivotvorenu diplomu, a SIPA preduzela konkretne aktivnosti na otkrivanju krivotvoritelja. Osim toga, kako je uvodno rečeno, krivotvorene diplome iz BiH su otkrivene u Hrvatskoj u kojoj se već godinu dana provodi sveobuhvatna revizija diploma zaposlenih u javnom sektoru i u Njemačkoj koja je najavila detaljnu provjeru diploma iz BiH. U takvoj situaciji, u kojoj je nabavka i korištenje lažnih diploma srednjih i visokih obrazovnih institucija „javna tajna“, javna vlast ima ne samo mogućnost, već i obavezu da provjeri diplome svojih uposlenika.
Dalje, nesumnjivo je da se traženjem broja diplome i datuma njenog sticanja za uposlenike Sekretarijata PSBiH kao javne ustanove, ni na koji način ne traži otkrivanje nekih podataka iz privatnog i ličnog života nosilaca podataka, niti se traži obrada posebnih kategorija ličnih podataka, koja je zabranjena. Kako je već rečeno, radi se o uposlenicima koji obavljaju poslove u javnom interesu, pa njihova saglasnost za obradu tih podataka prema Zakonu nije ni potrebna, (kako je već objašnjeno). Dalje, radi se o kontroli diploma kao javnih isprava, koje i ne sadrže podatke koji bi mogli dovesti u pitanje pravo na privatnost nosioca podataka. Osim toga, Zakon propisuje prava nosioca podataka radi zaštite (da bude obaviješten o izvoru ličnih podataka, pravo na pristup ličnim podacima, na informacije u vezi sa obradom ličnih podataka i na podnošenje prigovora ako smatra da su podaci nezakonito obrađivani li da postoji opasnost za povredu prava), pa svaki nosilac ličnih podataka u konkretnom slučaju može tražiti zaštitu ako smatra da je obradom podataka sadržanih u diplomi kao javnoj ispravi neko njegovo/njeno pravo prekršeno.
Agencija je u svom mišljenju također navela da se radi o javnim ispravama te da je „dopušteno osporavanje javnih isprava ali to podrazumijeva zakonit postupak s obzirom na konkretne okolnosti“. Naročito je istaknuto da je „s aspekta zakonitosti obrade ličnih podataka sporno generalizovanje“, te da se „na ovakav način narušava i ljudsko dostojanstvo zaposlenih, ako se svi stavljaju pod sumnju“, zbog čega Agencija smatra da ovakva mjera nije u skladu sa principom proporcionalnosti.
U vezi sa ovakvim obrazloženjem, naglasila bih da je upravo „s obzirom na konkretne okolnosti“ – vrlo kredibilne izvještaje o krivotvorenju i korištenju krivotvorenih diploma i hapšenje osumnjičenih za krivotvorenje – vlast u FBiH najavila sveoubuhvatnu reviziju diploma zaposlenih u javnom sektoru, a Sekretarijat PSBiH odlučio provjeriti diplome svojih zaposlenih. Stoga se nikako ne može zaključiti da se radi o bilo kakvom „generalizovanju“ ili „narušavanju ljudskog dostojanstva“, već isključivo o postizanju već spomenutog legitimnog cilja i zaštite javnog interesa u skladu sa Zakonom. Da bi se takav cilj postigao, logično je i potrebno na jednak način provjeriti diplome svih zaposlenih (uključujući i rukovodeće službenike), bez iznimke, uz mogućnost zaštite prava nosilaca podataka u slučaju zloupotrebe, što Zakon omogućava. Osim toga, Zakon ne propisuje da se podaci mogu tražiti samo za određeni broj nosilaca ličnih podataka, pa je potpuno nejasno, iz čega je Agencija izvukla svoj zaključak o „nedozvoljenoj generalizaciji“, naročito u okolnostima kakve su već opisane.
Budući da ne postoji „blaže sredstvo“ u smislu postizanja istog cilja drugim sredstvima koje pogođenom ne bi proizvelo nikakve posljedice, može se zaključiti da je, u okolnostima konkretnog slučaja, mjera koju je želio poduzeti Sekretarijat PS BIH bila proporcionalna legitimnom cilju koji se želi postići, odnosno da javni interes u ovakvim slučajevima preteže nad individualnim pravom na privatnost. Mjerom koja se namjeravala preduzeti u odnosu na sve zaposlene ni na koji način ne bi došlo do neopravdanog i neprimjerenog zadiranja u privatne podatke javnih službenika kao nosilaca podataka, jer su podaci koji bi se tražili svakako sadržani u diplomama kao javnim ispravama. Također, činjenica da bi se podaci tražili u odnosu na sve zaposlene ne predstavlja bilo kakav problem ni po Zakonu, niti po međunarodnim standardima, već je neophodna mjera za djelotvorno postizanje željenog cilja.
- Zaključak
Kredibilni medijski izvještaji i hapšenje osoba za koje se osnovano sumnja da su krivotvorili javne isprave (diplome), pokazuju da u Bosni i Hercegovini postoji problem sa krivotvorenjem i korištenjem krivotvorenih diploma. U reviziji diploma zaposlenih u javnom sektoru u Hrvatskoj otkrivene su krivotvorene diplome iz Bosne i Hercegovine, pa se opravdano može sumnjati da i u javnom sektoru u BiH možda radi neko sa takvom diplomom. To dalje vodi potrebi provjere diploma svih zaposlenih u javnim institucijama, kako je i najavljeno. Provjera i obrada tih podataka mora svakako biti u skladu sa Zakonom koji u sebi ima ugrađene međunarodne standarde za zaštitu ličnih podataka, te mehanizme za zaštitu nosilaca podataka, ako je to potrebno. U konkretnom slučaju, nije potrebna ni saglasnost nosioca ličnih podataka za njihovu obradu, zato što Zakon propisuje da takva saglasnost ne treba ako je obrada ličnih podataka u funkciji ispunjenja zadatka koji se izvršava u javnom interesu (član 6 tačka d), a poslovi svih zaposlenih u javnom sektoru jesu u javnom interesu.
Dalje, pokazano je da traženje podataka o diplomama zaposlenih u javnim institucijama od nadležnih obrazovnih institucija predstavlja zakonito miješanje u njihovo pravo na privatnost, da za takvo miješanje postoji legitiman cilj i da je ono „neophodno u demokratskom društvu“, odnosno da je provjera diploma kao mjera koju poduzima javna vlast proporcionalna legitimnom cilju koji želi postići – otkrivanju i sprečavanju nabavljanja i upotrebe krivotvorenih diploma kao javnih isprava (što po sebi predstavlja i krivično djelo).
Zbog toga, mišljenje Agencije, kojim se traženje podataka o diplomama od nadležnih obrazovnih institucija proglašava nezakonitim zato što „pod sumnju stavljaju sve zaposlene“, nisu zasnovana ni na Zakonu, ni na međunarodnim standardima. Ni Zakon, niti međunarodni standardi ne predviđaju bilo kakva ograničenja u tom smislu. Kada javne institucije ne bi mogle provjeriti diplome svih zaposlenih, opravdano bi se nametnulo pitanje po kojim kriterijima bi birale čije diplome će provjeriti a čije ne? Pošto nema objektivnih kriterija po kojima bi se „posumnjalo“ u nečiju diplomu, a uz informacije da se takve diplome nabavljaju i koriste, pa čak i da su otkrivene u susjednoj državi, neophodno je provjeriti sve diplome zaposlenih u javnim institucijama bez izuzetka (uključujući i rukovodeće službenike). Samo takv pristup pokazuje ozbiljan odnos javne vlasti prema ovoj kriminalnoj pojavi i njenu spremnost da se s njom razračuna i da je zaustavi. On nije suprotan ni Zakonu, niti međunarodnim standardima. Naprotiv, samo takva provjera u cijelosti odgovara javnom interesu i legitimnom cilju koji se želi postići.
Sa ovog mjesta se upućuje poziv javnoj vlasti da nastavi i da ustraje u ovoj namjeri, a Agenciji da mišljenjima koja nisu na Zakonu osnovana, ne postavlja pred tu vlast nepotrebne prepreke.
Falsified Diplomas and the Right to Privacy
Summary
Credible media reports and resent arrests of those suspected to have been engaged in the falsification of high education and university diplomas, provoked public authorities to initiate a comprehensive review of public servants’ diplomas. However, the Data Protection Agency stated in its opinion that such review presents unnecessary “generalization” and puts under suspicion all public servants, thus violating the right to privacy and the Data Protection Law. The analysis shows that such review would be in accordance with law, would have legitimate aim and would be “necessary in democratic society”, as requested by Article 8 of the ECHR, but also by the Convention 108 and EU Charter of Fundamental Rights. The only way to achieve the legitimate aim – to detect and to prevent falsification and usage of falsified diplomas in public sector (which constitutes crime under the Criminal Law) is to review all diplomas of public servants, including those in managing positions. Diplomas are public documents, public servants act in public interest, and review of their diplomas, in a procedure prescribed by the Law, would not in any way “diminish [their] human dignity” (as Agency explained) or present unnecessary interference in their private life.
[1] Izvor: http://www.zurnal.info/novost/21784/za-17-dana-stekli-smo-diplomu-srednje-medicinske-skole, očitanje: 27. 02. 2019.
[2] Izvor: https://www.oslobodjenje.ba/dosjei/teme/afera-lazne-diplome-pravosude-pada-na-ispitu-429143, očitanje: 27. 02. 2019.
[3] Izvor: https://www.klix.ba/vijesti/bih/akcija-sipa-e-hapsenja-pretresi-i-oduzimanje-diploma-na-osam-lokacija/190207083 i https://www.oslobodjenje.ba/vijesti/bih/afera-lazne-diplome-ko-je-sirokom-dao-dozvole-435147, očitanje: 27. 02. 2019.
[4] Izvor: https://faktor.ba/vijest/u-hrvatskoj-otkrivene-lazne-diplome-izdate-u-bih/18952, očitanje: 27. 02. 2019.
[5] Izvor: http://ba.n1info.com/Regija/a309291/Afera-lazne-diplome-potresa-Hrvatsku-provjerava-se-90.000-diploma.html, očitanje: 14. 03. 2019.
[6] Izvor: http://ba.n1info.com/Vijesti/a313296/Nijemci-najavljuju-provjeru-diploma-iz-BiH.html, očitanje: 27. 02. 2019.
[7]Ibid. http://ba.n1info.com/Vijesti/a313296/Nijemci-najavljuju-provjeru-diploma-iz-BiH.html, očitanje: 27. 02. 2019.
Idem. U vrijeme pisanja ovog teksta objavljeno je da u Njemačkoj, nakon provjere, nije utvrđeno da je neko sa krivotvorenom diplomom došao da radi u toj državi (izvor: https://www.klix.ba/biznis/posao/u-njemackoj-nisu-zabiljezeni-slucajevi-bh-radnika-s-laznim-diplomama/190307043), ali i da je Njemačka izmijenila pravila i uslove koje kandidati moraju ispunjavati u proceduri zapošljavanja, te da se više ne prihvataju diplome o završenoj medicinskoj školi za opći i pedijatrijski smjer, dobivene prekvalifikacijom bilo u državnoj ili privatnoj školi (izvor: https://www.klix.ba/biznis/njemacka-izmijenila-pravila-za-priznavanje-diploma-za-one-koji-zele-posao/190327081), očitanje: 28. 03. 2019.
[8] Izvor: http://balkans.aljazeera.net/vijesti/kako-ce-se-provjeravati-diplome-sluzbenika-u-bih, očitanje: 27. 02. 2019.
[9] Izvor: https://www.klix.ba/vijesti/bih/u-parlamentu-bih-ce-se-vrsiti-provjera-svih-diploma/190115115, očitanje: 27. 02. 2019.
[10] Izvor: https://www.klix.ba/vijesti/bih/agencija-za-zastitu-licnih-podataka-zabranila-provjeru-diploma-zaposlenih-u-parlamentu-bih/190207114, očitanje: 27. 02. 2019.
[11] Izvor: http://glastk.ba/agencija-za-zastitu-licnih-podataka-bih-nije-zabranila-provjeru-diploma-nedopustiva-samo-kolektivna-provjera-diploma/, očitanje: 18. 03. 2019.
[12] Sl. gl. BiH 49/06, 76/11 i 89/11; za potrebe ovog teksta korišten je Neslužbeni prečišćeni tekst Zakona o zaštiti ličnih podataka objavljen na: https://www.parlament.ba/law/LawDetails?lawId=1156, očitanje: 27. 02. 2019.
[13] U vrijeme pisanja teksta, internet stranica Agencije nije bila dostupna, pa sam koristila tekst mišljenja Agencije objavljen u medijima (bilj. 9).
[14] Direktiva 95/46/EC Evropskog parlamenta i Vijeća od 24. 10. 1995. o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom protoku takvih podataka, dostupno na: https://eur-lex.europa.eu/legal-content/HR/TXT/PDF/?uri=CELEX:31995L0046&from=en, očitanje: 01. 03. 2019.
[15] Uredba (EU) 2016/679 Europskog Parlamenta I Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), dostupno na: https://eur-lex.europa.eu/legal-content/HR/TXT/PDF/?uri=CELEX:32016R0679&from=EN, očitanje: 01. 03. 2019.
[16] Više o ovome v. na: https://eugdpr.org/, očitanje: 01. 03. 2019.
[17] Npr. presuda ESLJP Malone protiv Ujedinjenog Kraljevstva od 02. 08. 1984, br. 8691/79.
[18] Npr. presuda ESLJP Klass i dr. protiv Njemačke od 06. 09. 1978, br. 5029/71.
[19] Npr. presuda ESLJP Roman Zakharov protiv Rusije od 04. 12. 2016, br. 37138/14.
[20] Tekst Konvencije 108 na engleskom jeziku dostupan na: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680078b37, a na srpskom jeziku na: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806c1abc, očitanje: 01. 03. 2019.
[21] BiH je ratifikovala Konvenciju 108 31. 03. 2006. godine, izvor: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures, očitanje: 01. 03. 2019.
[22] Izvor: https://www.coe.int/en/web/data-protection/convention108/modernised, očitanje: 01. 03. 2019; BiH još nije ratifikovala ovaj Protokol.
[23] Čl. 6 Konvencije 108 (bilj. 15).
[24] Čl. 8, ibid.
[25] Čl. 9, ibid.
[26] Usp. čl. 9 Konvencije 108 (bilj. 15) i čl. 52 st. 1 Povelje Evropske unije o osnovnim pravima, https://arsbih.gov.ba/wp-content/uploads/2014/01/POVELJA_O_OSNOVNIM_PRAVIMA_EVROPSKE_UNIJE.pdf, očitanje: 11. 03. 2019.
[27]„(…) kontrolor je svaki javni organ, fizičko ili pravno lice, agencija ili drugi organ koji samostalno ili zajedno s drugim vodi, obrađuje i utvrđuje svrhu i način obrade ličnih podataka na osnovu zakona ili propisa”, čl. 3 t. c) Zakona (bilj. 12).
[28]„(…)obrađivač je fizičko ili pravno lice, javni organ, agencija ili drugi organ koji obrađuje lične podatke u ime kontrolora”, ibid.
[29]„(…) treća strana je bilo koje fizičko ili pravno lice, javni organ, agencija ili bilo koje drugo tijelo, osim nosioca podataka, kontrolora, obrađivača i lica koja su pod direktnom nadležnošću kontrolora ili obrađivača, ovlašteni da obrađuju podatke”, ibid.
[30] „Primalac znači fizičko ili pravno lice, javni organ, agenciju ili drugi organ kojem se otkrivaju podaci, bez obzira jesu li treća strana ili ne; organi koji mogu primiti podatke u okviru posebnog zahtjeva ne smatraju se kao primaoci”, ibid.
[31] Zakon (bilj. 12).
[32] Bilj. 13.
[33] Bilj. 29.
[34] Usp. čl. 373 Krivičnog zakona FBiH, Sl. gl. BiH 36/03, 37/03, 21/04, 69/04, 18/05, 42/10, 42/11, 59/14, 76/14, 46/16 i 75/17, dostupno na: http://tuzilastvobih.gov.ba/files/docs/zakoni/Krivicni_zakon_FBiH_36_03_bos.pdf.
[35] Bilj. 7.
Tekst, uz dozvolu, prenosimo s portala Fondacija Centar za javno pravo.