Sırbistan'da, bir komşunun telefon numaranızı bir ustaya vermesi, iş yerinde meslektaşların maaşınızı öğrenmesi, okulun veli gruplarında öğrencilerin adres ve kimlik numaralarını paylaşması veya bir banka görevlisinin arkadaşının hesap durumunu kontrol etmesi gibi durumların kişisel verilerin korunması kanunu kapsamında yasal olup olmadığı tartışılıyor. Bu uygulamaların günlük hayatın bir parçası gibi görünse de, yasalara uygunluğu ve Kişisel Verilerin Korunması Kanunu'nun ihlal edilip edilmediği uzmanlar tarafından değerlendirildi. Sırbistan'da avukatlar, "Blic" gazetesine yaptığı açıklamalarda, kişisel verilerin "birisi istediği için" veya "iyi niyetle" paylaşılamayacağını belirtti. Bir kişinin verilerinizi açıklayabilmesi veya kullanabilmesi için, Kasım 2018'de yürürlüğe giren ve ertesi yaz uygulanmaya başlanan Kişisel Verilerin Korunması Kanunu'nda açıkça belirtilmiş yasal bir dayanağın bulunması gerektiği vurgulandı. Zemun-Čačak arasındaki bir olay, vatandaşların kişisel verilerinin ifşa edilmesiyle ilgili en son tartışmayı başlattı. Čačak'tan bir iş insanı, Zemun'daki bir otele, otel personelinin eşine kendi konaklama detaylarını, yanında bulunan kişilerin kimliklerini, hatta pasaport numaralarını ve kimlik numaralarını açıklaması üzerine dava açtı. Otel savunmasında iç yönetmeliğini gerekçe gösterse de, Avukat Ivan Ćalović, "Blic" gazetesine verdiği demeçte, Anayasa ve Kişisel Verilerin Korunması Kanunu'nun "her otel yönetmeliğinin üzerinde" olduğunu açıkladı. Avukat Ćalović, kanun ve Anayasa'nın bu tür verilerin ne zaman iletilebileceği konusunda çok açık olduğunu belirtti. Verilerin, Sırbistan Cumhuriyeti'nin güvenliğinin korunması söz konusu olduğunda veya bir suç teşkil eden durumda üçüncü bir kişiye ya da devlet kurumuna rıza olmaksızın iletilebileceğini kaydetti. Ancak, bu özel durumda her iki koşulun da mevcut olmadığını vurguladı. Fiziksel bir kişinin, devlet kurumu olmayan birine bilgi alabilmesi için, ilgili kişinin otelden bu bilgiyi talep eden kişiye vermeyi açıkça kabul etmesi gerektiğini açıkladı. Kişisel verilerin neleri kapsadığını netleştirmek amacıyla, Kişisel Verilerin Korunması Kanunu'nun 4. maddesi alıntılandı ve bu maddede "kişisel veri, kimliği belirlenmiş veya belirlenebilir gerçek kişiye ilişkin her türlü veri" olarak tanımlandığı aktarıldı. Kanun, bu verilerin ad-soyad, telefon numarası, ev adresi, e-posta adresi, fotoğraf, araç plaka numarası, IP adresi veya cep telefonu konumu, maaş veya borç bilgileri, sağlık kaydı veya hastalık bilgisi, kişinin kimliği belirlenebiliyorsa video gözetim kaydı olabileceğini belirtti. Hukukçular, bu durumun kişisel verilerin sadece kimlik numarası (JMBG) veya kimlik kartı numarası olduğu düşüncesinden çok daha geniş bir kapsamı ifade ettiğini vurguladı. Başka bir deyişle, bir başkasına "sadece iletilmiş" bir telefon numarasının bile Kanun'un 4. maddesi uyarınca korunan kişisel veri olabileceği kaydedildi. Kanunun özünün, veri işlenmesinin ne zaman yasal olduğunu açıkça düzenleyen 12. maddede yer aldığı belirtildi. Hukukçuların açıklamasına göre, bir kişinin verilerinizi ancak aşağıdaki yasal dayanaklardan biri mevcutsa kullanabileceği veya açıklayabileceği bildirildi. Belgrad'daki bir hukuk bürosu, kişisel verilerin yalnızca yasal olarak bu verileri talep etmeye yetkili devlet organlarının, yani yargı, savcılık ve polisin talebi üzerine verilebileceğini açıkladı. Ayrıca, Kanun'un 5. maddesinin verilerin yalnızca belirli bir amaç için kullanılması gerektiğini öngördüğü kaydedildi. Hukukçular, verilerin kötüye kullanılamayacağını, yalnızca toplandığı amaç için kullanılması gerektiğini açıkladı. Bir örnekle, bir ev aletinin tamiri için bir servise telefon numaranızı vermeniz, o firmanın daha sonra size reklam mesajları gönderebileceği veya numaranızı başkalarına iletebileceği anlamına gelmediği belirtildi. Günlük yaşamda, sıkça veri sızıntıları yaşandığı bildirildi. En sık sorulan sorulardan biri, bankanın verilerinizi ifşa edip edemeyeceği oldu. Avukatlar, finansal soruşturma gibi durumlarda mahkeme, savcılık ve polisin talep etmesi dışında bankaların verileri ifşa edemeyeceğini açıkladı. Bununla birlikte, bir banka çalışanının, Kanun'un 12. maddesinden doğan yasal bir dayanak olmadığı sürece eşine, akrabasına veya arkadaşına bir müşterinin hesap durumu, borcu veya kredisi hakkında bilgi veremeyeceği vurgulandı. Hukukçuların yorumuna göre, bu soruya yanıtın “evet” olduğu ancak bunun yalnızca iş ilişkisi için gerekli olan verilerle sınırlı olduğu aktarıldı. İşverenlerin, iş sözleşmesi, maaş hesaplama, vergilendirme ve sigorta kayıtları gibi konularda çalışanın verilerini işleyebileceği, bunun Kanun'un 12. maddesinden kaynaklandığı belirtildi. Ancak, sınırların olduğu, işverenin genellikle maaşınızı açıklamak, özel telefon numaranızı gereksiz yere paylaşmak, başkalarına hastalığınız veya sağlık durumunuz hakkında bilgi vermek veya çalışanın kimlik numarasını veya adresini yayımlamak için bir dayanağının olmadığı vurgulandı. Eğitim kurumlarının, öğrenci kayıtlarından veli iletişimine kadar sistemin işleyebilmesi için çocuklara ait belirli verileri toplama ve kullanma hakkına sahip olduğu bildirildi. Ancak bunun her şeyin serbest olduğu anlamına gelmediği, sık görülen ihlal örneklerinin "ünlü" veli Viber gruplarında öğrencilerin adresleri veya kimlik numaraları gibi gereksiz kişisel verilerin paylaşılması olduğu belirtildi. Hukukçular, bunun Kanun'un 5. maddesindeki veri minimizasyonu ilkesini ihlal ettiğini, bu ilkeye göre yalnızca belirli bir amaç için gerekli olan verilerin kullanılabileceğini kaydetti. Başka bir ifadeyle, bir okulun, örneğin bir gezi için gerekli olan bir öğrencinin verilerini toplayabileceği, ancak bunu herkesle paylaşma hakkına sahip olmadığı vurgulandı. Belgrad'daki hukuk bürosundan alınan bilgilere göre, hasta sağlık verilerinin özel bir koruma düzeyine sahip olduğu belirtildi. Kanun'un 17. maddesine göre, sağlık verilerinin özel kişisel veri kategorilerine girdiği ve işlenmesinin ilke olarak, hastanın rızası, sağlık hizmeti sunumu veya kanunen zorunlu haller dışında yasak olduğu aktarıldı. Hukukçular, bu nedenle ne bir doktorun ne de bir hemşirenin hastanın teşhis, tedavi veya sağlık durumu hakkındaki bilgileri üçüncü kişilerle paylaşamayacağını, ancak mahkeme tarafından talep edilmesi durumunun bir istisna teşkil ettiğini açıkladı. Yasal uygulamada, birçok kişiye önemsiz gibi görünse de, bir akrabanın rızası olmadan "akrabam ameliyat sonrası nasıl?" gibi iyi niyetli bir sorunun bile sağlık verilerinin açıklanması için yeterli bir yasal neden olmadığı vurgulandı. Hukukçular, "iyi niyetli yardım"ın, kişisel veri sızıntılarında en sık karşılaşılan günlük hata olduğunu açıkladı. Kanunun temel kuralının, 12. maddeden kaynaklandığını ve "verilerin işlenmesi ve paylaşılması için bir dayanak olması gerektiğini" belirtti. Bu nedenle, ne bina yöneticisinin ne de komşunun, yardım etme niyetiyle olsa bile, bir tesisatçıya veya ustaya izinsiz telefon numaranızı veremeyeceğini vurguladı. Elbette, tüm durumların otomatik olarak yasa dışı olmadığını, amacına, koşullara ve meşru menfaate bağlı olduğunu ancak "iyi niyetli yardım"ın tek başına yasal bir dayanak olmadığını kaydetti. Banka veya hastane durumlarında olduğu gibi, yasal olarak tanımlanmış bir konut topluluğunun, bir tüzel kişilik olarak sahip olduğu kiracı bilgilerini mahkeme, savcılık ve polise verebileceği de aktarıldı. Yaygın bir diğer yanlış anlamanın ise "Numarayı verdiniz, istediğini yapabilir" cümlesinde yattığı belirtildi. Ancak hukukçular, Kanun'un 5. maddesinin verilerin toplandığı amaç doğrultusunda işlenmesi gerektiğini ve kötüye kullanılamayacağını öngördüğü için bu durumun "mümkün olmadığını" açıkladı. Avukatlar, bir paketin teslimi için kurye şirketine telefon numaranızı vermenizin, numaranızın bir pazarlama ajansına geçebileceği anlamına gelmediğini örneklerle aktardı. Benzer şekilde, fatura veya hizmet şikayeti için bir mobil servis sağlayıcısına e-posta adresinizi bırakmanızın, onların promosyon mesajları göndermesine otomatik olarak izin vermediği vurgulandı. Hukukçular, kişisel verilerin iyi niyet meselesi değil, bir dizi kurala tabi olduğunu ve ifşası için kanunla belirlenmiş bir dayanağın bulunması gerektiğini belirterek, kötüye kullanım şüphesi durumunda vatandaşların bir dizi hakka sahip olduğunu kaydetti. Belgrad'daki bir hukuk bürosu, Sırbistan vatandaşlarının Kanun'un 26-29. maddeleri uyarınca, kimin kendileri hakkında hangi verilere sahip olduğunu, bu verileri nereden edindiğini, hangi amaçla kullandığını ve kime ilettiğini sorma hakkına sahip olduğunu açıkladı. Ayrıca, 30-36. maddelere göre, Kanun'da öngörülen durumlarda verilerin düzeltilmesi, silinmesi veya işlenmesinin kısıtlanmasını talep edebileceği de aktarıldı. Son olarak, bir kişinin kişisel verileri yasa dışı bir şekilde kullandığından veya ifşa ettiğinden şüphelenilmesi durumunda, vatandaşların başvurması gereken kurumun, Kanun'un uygulanmasını denetleyen Kamu Bilgileri ve Kişisel Verilerin Korunması Komiseri olduğu bildirildi.