NACRT ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI - Tekst propisa
I. OSNOVNE ODREDBE
Predmet zakona
Član 1.
Ovim zakonom uređuje se zaštita fizičkih lica u vezi sa obradom podataka o ličnosti, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja udruženja i drugih subjekata koji predstavljaju grupe rukovaoca ili obrađivača u vezi sa obradom podataka o ličnosti, sertifikacija rukovalaca i obrađivača, nadzor nad sprovođenjem ovog zakona, pravna sredstva zaštite, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebni slučajevi obrade.
Ovim zakonom posebno se uređuje se i zaštita fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u cilju sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti.
Cilj zakona
Član 2.
Ovim zakonom se obezbeđuje poštovanje osnovnih prava i slobode fizičkih lica, a posebno njihovog pravo na zaštitu podataka o ličnosti.
Odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti tumače se i primenjuju u skladu sa ovim zakonom.
Primena
Član 3.
Ovaj zakon se primenjuje na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka.
Ovaj zakon se ne primenjuje na obradu podataka o ličnosti koju vrši fizičko lice za lične potrebe, odnosno potrebe njegovog domaćinstva.
Ovaj zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrada vrši na teritoriji Republike Srbije.
Ovaj zakon se primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za:
1) ponudu roba, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno usluge;
2) praćenje aktivnosti lica na koje se podaci odnose, a koje se vrše na teritoriji Republike Srbije.
Značenje izraza
Član 4.
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
1) "podatak o ličnosti" je svaki podatak koja se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;
2) "lice na koje se podaci odnose" je fizičko lice čiji se podaci o ličnosti obrađuju;
3) "obrada" je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, širenje ili na drugi način činjenje dostupnim, upoređivanje ili grupisanje, ograničavanje, brisanje ili uništavanje;
4) "ograničavanje obrade" je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti;
5) "profilisanje" je svaki oblik automatizovane obrade podataka o ličnosti koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;
6) "pseudonimizacija" je obrada podataka o ličnosti na način koji onemogućava pripisivanje podatka o ličnosti licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke i organizacione mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;
7) "zbirka podataka" je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je ona centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama;
8) "rukovalac" je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka o ličnosti. Zakonom kojim se propisuju svrha i način obrade, može se propisati i rukovalac ili uslovi za njegovo određivanje;
9) "obrađivač" je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca;
10) "primalac" je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima javne vlasti koji u skladu sa zakonom primaju podatak o ličnosti u okviru istraživanja određenog slučaja i koji obrađuju ovaj podatak u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;
11) "treće strana" je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, niti lice koje je ovlašćeno da obrađuje podatke o ličnosti a nalazi se pod neposrednim nadzorom rukovaoca ili obrađivača;
12) "pristanak" je izraz volje lica koji je sadržan u izjavi ili jasnoj potvrdnoj radnji, a kojim lice slobodno daje određen, informisan i nednosmisleni pristanak za obradu podataka o ličnosti koji se odnose na njega;
13) "povreda podataka o ličnosti" je povreda bezbednosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja i pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;
14) "genetski podatak" je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla;
15) "biometrijski podatak" je podatak koji je dobijen posebnom tehničkom obradom i u vezi je sa fizičkim, fiziološkim ili obeležjima ponašanja fizičkog lica, a koji omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;
16) "podaci o zdravlju" su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga kojima se otkrivaju informacije o njegovom zdravstvenom stanju;
17) "predstavnik" je fizičko ili pravno lice sa prebivalištem ili boravištem, odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa članom 44. ovog zakona ovlašćeno da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim zakonskim obavezama;
18) "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu delatnost, bez obzira na njegovu pravnu formu, uključujući i ortačko društvo ili udruženje koje redovno obavlja privrednu delatnost;
19) "multinacionalna kompanija" je privredni subjekat koji je kontrolni osnivač ili kontrolni član privrednog subjekta, odnosno ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi njegovo sedište, kao i privredni subjekat sa značajnim učešćem u privrednom subjektu, odnosno ogranku privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi sedište multinacionalne kompanije, u skladu sa zakonom kojim se uređuju privredna društva;
20) "grupa privrednih subjekata" je grupa povezanih privrednih subjekata u skladu sa zakonom kojim se uređuju privredna društva;
21) "obavezujuća poslovna pravila" su interna pravila o zaštiti podataka o ličnosti koja su usvojena i primenjuju se od strane rukovaoca, odnosno obrađivača, sa prebivalištem ili boravištem, odnosno sedištem na teritoriji Republike Srbije u svrhu regulisanja prenošenja podataka o ličnosti rukovaocu ili obrađivaču u jednoj ili više država unutar multinacionalne kompanije ili grupe privrednih subjekata;
22) "Poverenik" je nezavistan i samostalni organ javne vlasti osnovan u skladu sa zakonom i nadležan za nadzor nad sprovođenjem ovog zakona;
23) "usluga informacionog društva" je svaka usluga koja se uobičajno pruža uz naknadu, na daljinu, elektronskim sredstvima na zahtev primaoca usluga;
24) "međunarodna organizacija" je organizacija ili njeno telo koje uređuje međunarodno javno pravo, kao i bilo koje drugo telo ustanovljeno sporazumom između država ili na osnovu njega;
25) "organ vlasti" je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;
26) "nadležni organi" su:
a) organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti;
b) pravno lice koje je za vršenje poslova iz podtačke a) ove tačke ovlašćeno zakonom.
II. NAČELA
Načela obrade podataka o ličnosti
Član 5.
Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose ("zakonitost, poštenje i transparentnost"). Zakonita obrada je obrada koja se vrši u skladu sa ovim, odnosno drugim zakonom kojim se uređuje obrada podataka o ličnosti;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite, i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama. ("ograničenje u odnosu na svrhu obrade");
3) biti primereni, značajni i ograničeni na ono što je neophodno u odnosu na svrhu obrade ("minimizacija podataka");
4) biti tačni i, ako je to neophodno, ažurni. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave ("tačnost");
5) se čuvati u obliku koji omogućava identifikaciju lica samo u vremenskom periodu neophodnom za ostvarivanje svrhe obrade. ("ograničenje čuvanja");
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih organizacionih, kadrovskih i tehničkih mera ("integritet i poverljivost").
Rukovalac je odgovoran za primenu načela i pravila iz stava 1. ovog člana. Rukovalac mora biti u mogućnosti da predoči primenu načela i pravila iz stava 1. ovog člana ("odgovornost za postupanje").
Druga svrha obrade
Član 6.
Izuzetno od člana 5. stav 1. tačka 2) ovog zakona, ako se dalja obrada podataka o ličnosti vrši u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe, u skladu sa ovim zakonom, smatra se da se podaci o ličnosti ne obrađuju na način koji nije u skladu sa prvobitnom svrhom.
Ako obrada podataka o ličnosti koja se namerava izvršiti u svrhu koja je različita od one za koju su podaci prikupljeni nije zasnovana na zakonu koji propisuje mere koje su neophodne i srazmerne u demokratskom društvu radi zaštite ciljeva iz člana 40, stav 1. ovog zakona, ili pristanku lica na koje se podaci odnose, rukovalac je dužan da oceni da li je ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni, uzimajući posebno u obzir:
1) da li postoji veza između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade;
2) okolnosti u kojima su podaci prikupljeni, uključujući i odnos između rukovaoca i lica na koje se podaci odnose;
3) prirodu podataka, a posebno da li se obrađuju posebne kategorije podataka o ličnosti iz člana 17. ovog zakona, odnosno podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona;
4) moguće posledice dalje obrade po lice na koje se podaci odnose;
5) primenu odgovarajućih mera, kao što su kriptozaštita i pseudonimizacija.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu podataka o ličnosti od strane nadležnih organa u cilju iz člana 1. stav 2. ovog zakona.
Druga svrha obrade u cilju iz člana 1. stav 2. ovog zakona
Član 7.
Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u cilju iz člana 1. stav 2. ovog zakona ne mogu se obrađivati u svrhu koja nije propisana članom 1. stav 2. ovog zakona, osim ako je ta dalja obrada propisana zakonom.
Obrada podataka o ličnosti od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, ali koji je različit od onog za koji su podaci prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:
1) rukovalac je ovlašćen da obrađuje ove podatke u tom drugom cilju, u skladu sa zakonom;
2) obrada je neophodna i srazmerama tom drugom cilju, u skladu sa zakonom.
Obrada podataka o ličnosti od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće organizacione, kadrovske i tehničke mere u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja
Član 8.
Izuzetno od člana 5. stav 1. tačka 5) ovog zakona, podaci o ličnosti koji se obrađuju isključivo u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe mogu se čuvati i u dužem periodu, uz poštovanje odredaba ovog zakona o primeni odgovarajućih organizacionih, kadrovskih i tehničkih mera u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona, mora se odrediti kad će se podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.
Rukovalac određuje rok iz stava 2. ovog člana ako on nije određen zakonom.
Poverenik obezbeđuje poštovanje rokova iz st. 2. i 3. ovog člana u skladu sa svojim ovlašćenjima.
Razlikovanje pojedinih vrsta lica na koje se podaci odnose
Član 9.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona, nadležni organ je dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:
1) lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;
2) lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;
3) lica koja su osuđena za krivična dela;
4) lica oštećena krivičnim delom ili lica za koje se pretpostavlja da bi mogla biti oštećena krivičnim delom;
5) lica koja su u vezi sa krivičnim delom, kao što su svedoci, ili lica koja mogu da obezbede informacije o krivičnom delu, kao i druga lica koja su sa njima povezana.
Razlikovanje pojedinih vrsta podataka o ličnosti
Član 10.
Ako se radi o podacima o ličnosti koji se obrađuju u cilju iz člana 1. stav 2. ovog zakona, nadležni organ dužan je da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani i na ličnoj oceni.
Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade podataka u cilju iz člana 1. stav 2. ovog zakona
Član 11.
Nadležni organ koji obrađuje podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona, dužan je da korišćenjem razumnih mera obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni.
Tačnost, potpunost i ažurnost podataka o ličnosti nadležni organ proverava, u meri u kojoj je to moguće, pre započinjanja prenosa, odnosno pre nego što se oni učine dostupnim.
Nadležni organ koji nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti, proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o ažurnosti tih podataka.
Ako su netačni podaci o ličnosti preneti, odnosno ako su podaci o ličnosti preneti nezakonito nadležnom organu, taj organ se bez odlaganja mora obavestiti o tome, a podaci o ličnosti moraju biti ispravljeni ili obrisani, odnosno njihova obrada mora biti ograničena u skladu ovim zakonom.
Ako se za obradu podataka o ličnosti zakonom zahteva ispunjenje posebnih uslova, nadležni organ dužan je da upozna primaoca ovih podataka sa ovim posebnim uslovima i njegovom obavezom njihovog ispunjenja.
Zakonitost obrade
Član 12.
Obrada je zakonita samo ako je i u meri u kojoj je ispunjen jedan od sledećih uslova:
1) lice na koje se podaci o ličnosti odnose pristalo je na obradu njegovih podataka za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenim sa licem na koje se podaci odnose ili u cilju preduzimanja radnji pre zaključenja ugovora, a na zahtev lica na koje se podaci odnose;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca, propisanih zakonom ili ugovorom;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnosi ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarenja opravdanih interesa rukovaoca ili trećih lica, osim ako nad tim interesima pretežu interesi ili osnovna prava i slobode lica na koje se podaci odnose, a koje zahteva zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose dete.
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ javne vlasti u okviru svoje nadležnosti.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Zakonitost obrade podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 13.
Obrada podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona je zakonita samo ako i u meri u kojoj je ova obrada neophodna za obavljanje poslova nadležnih organa propisanih zakonom kojim se određuje najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade.
Zakonitost obrade podataka u posebnim slučajevima
Član 14.
Osnov za obradu podataka iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom.
Ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom iz stava 1. ovog člana određuje se i svrha obrade, a ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom iz stava 1. ovog člana se propisuje da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Zakonom iz stava 1. ovog člana propisuje se interes koji se namerava ostvariti, kao i obaveza poštovanja pravila o srazmernosti obrade podataka u odnosu na cilj koji se namerava ostvariti, a mogu se propisati i uslovi za dozvoljenost obrade od strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose, lica kojima se podaci mogu otkriti i svrhu otkrivanja, ograničenja koja se odnose na svrhu obrade, vremenski period pohranjivanja i čuvanja podataka, radnje i postupak obrade, uključujući i mere za obezbeđivanje zakonite i poštene obrade.
Pristanak
Član 15.
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu njegovih podataka o ličnosti.
Ako se pristanak daje u okviru pisane izjave lica koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pisane izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose zadržava pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv i dejstvu opoziva. Opozivanje pristanka mora se učiniti jednostavnim kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka za obradu podataka o ličnosti koji nije neophodan za njegovo izvršenje.
Pristanak deteta
Član 16.
Dete koje je navršilo 15 godina može samostalno da daje pristanak za obradu svojih podataka u korišćenju usluga informacionog društva.
Za obradu podataka o detetu koje nije navršilo 15 godina pristanak moraju dati roditelji, odnosno drugi zakonski zastupnici deteta.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da su pristanak dali roditelji, odnosno drugi zakonski zastupnci deteta, uzimajući u obzir mogućnost korišćenja dostupnih tehnologija.
Obrada posebnih kategorija podataka o ličnosti
Član 17.
Zabranjena je obrada podataka o ličnosti kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji lica.
Izuzetno, obrada podataka iz stava 1. ovog člana dopuštena je u sledećim slučajevima:
1) lice je dalo izričit pristanak za obradu podataka iz stava 1. ovog člana za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ovih podataka ne može vršiti na osnovu pristanka;
2) obrada je neophodna u cilju izvršenja obaveza ili primene ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je obrada propisana zakonom ili kolektivnim ugovorom, uz primenu odgovarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako je lice na koje se podaci odnose fizički ili pravno nesposobno za davanje pristanka;
4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera od strane zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
6) obrada je neophodna u cilju podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva ili u slučaju kad sud postupa u okviru svoje nadležosti;
7) obrada je neophodna u cilju ostvarenja značajnog javnog interesa u skladu sa zakonom, ako je obrada srazmerna ostvarenju ovog cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je zakonom propisana primena odgovarajućih posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;
8) obrada je neophodna u svrhu preventivne medicine, odnosno medicine rada, procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, u skladu sa zakonom ili na osnovu ugovora sa zdravstvenim radnikom, pod uslovom ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje podleže obavezama čuvanja profesionalne tajne propisanim zakonom ili pravilima struke;
9) obrada je neophodna u cilju ostvarenja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, u skladu sa zakonom koji obezbeđuje odgovarajuće posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u pogledu čuvanje profesionalne tajne;
10) obrada je neophodna u okviru arhivske delatnosti u javnom interesu, u cilju naučnog, odnosno istorijskiog istraživanja, ili u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je obrada srazmerna ostvarenju ovih ciljeva, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako zakon propisuje primenu odgovarajućih posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Obrada posebnih kategorija podataka o ličnosti koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 18.
Obrada podataka o ličnosti koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji lica dopuštena je samo ako je to neophodno, uz primenu odgovarajućih mehanizama zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:
1) nadležni organ je zakonom ovlašćen da obrađuje posebne kategorije podataka o ličnosti;
2) obrada posebnih kategorija podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog lica;
3) obrada se odnosi na posebne kategorije podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti.
Obrada podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima
Član 19.
Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Jedinstvena evidencija o krivičnim presudama vodi se isključivo pod nadzorom nadležnog organa.
Obrada koja ne zahteva identifikaciju
Član 20.
Ako za ostvarivanje svrhe obrade podataka o ličnosti nije potrebna, odnosno nije više potrebna identifikacija lica od strane rukovaoca, rukovalac nije dužan da zadrži, pribavi ili obradi dodatne informacije u cilju identifikacije tog lica samo u cilju primene ovog zakona na obradu tih podataka.
Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje lice na koje se podaci odnose, dužan je da o tome informiše to lice, ako je to moguće.
U slučaju iz stava 1. ovog člana ne primenjuju se odredbe člana 26. st. 1. do 4, člana 29, člana 30. st. 1. do 5, člana 31. st. 1. do 3, člana 33. st. 1. i 2. i člana 36. st. 1. do 4. ovog zakona, osim ako lice na koje se podaci odnose dostavi dodatne informacije koje omogućavaju njegovu identifikaciju u cilju ostvarivanja prava iz ovih članova.
Odredbe st. 2. i 3. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
III. PRAVA LICA NA KOJE SE PODACI ODNOSE
1. Transparentnost i načini ostvarivanja prava
Transparentne informacije, informisanje i načini ostvarivanja prava lica na koje se podaci odnose
Član 21.
Rukovalac je dužan da učini sve što je potrebno da bi licu na koje se podaci odnose pružio sve informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. i u vezi sa članom 53. ovog zakona, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena detetu. Ove informacije pružaju se u pisanom ili drugom obliku, uključujući i elektronski, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen.
Rukovalac je dužan da pomogne licu na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona. Ako se radi o slučaju na koji se primenjuje član 20. st. 2. i 3. ovog zakona, rukovalac ne može odbiti da postupi po zahtevu lica na koje se podaci odnose u ostvarivanju njegovih prava iz čl. 26, 29. do 31, 33. i 36. do 38. ovog zakona, osim ako rukovalac predoči da nije u mogućnosti da identifikuje lice.
Rukovalac je dužan da pruži informacije o postupanju na osnovu zahteva iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona licu na koje se podaci odnose bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Ovaj rok može biti produžen za dodatnih 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to rukovalac je dužan da obavesti lice u roku od 30 dana od dana prijama zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim putem ako je to moguće, osim ako je lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da obavesti lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, o razlozima za nepostupanje, kao i pravu na pritužbu Povereniku, odnosno tužbu sudu.
Rukovalac pruža informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. i u vezi sa članom 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponovlja, rukovalac može:
1) naplatiti razumnu naknadu, uzimajući u obzir opravdane administrativne troškove pružanja informacije, odnosno postupanja;
2) odbiti da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, rukovalac može zahtevati dostavljanje dodatnih informacija neophodnih za potvrdu identiteta lica, što ne isključuje primenu člana 20. ovog zakona.
Informacije koje se pružaju licima na koje se podaci odnose u skladu sa čl. 23. i 24. ovog zakona mogu se kombinovati sa standardizovanim ikonama u cilju obezbeđivanja svrsishodnog uvida u nameravanu obradu, na lako vidljiv, razumljiv i jasno uočljiv način. Mora se obezbediti da ikone prikazane u elektronskom obliku budu čitljive na elektronskom uređaju.
Poverenik određuje informacije koje se predstavljaju ikonama i uređuje postupak za utvrđivanje standardizovanih ikona.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Informisanje i načini ostvarivanja prava lica na koje se odnose podaci koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 22.
Ako se podaci o ličnosti obrađuju od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, rukovalac je dužan da preduzme razumne mere da bi licu na koje se podaci odnose pružio sve informacije iz člana 25. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz čl. 27, 28, 32, 34, 35, 39. i člana 53. ovog zakona, na sažet, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči. Ove informacije pružaju se na bilo koji primeren način, uključujući i elektronskim putem. Po pravilu, rukovalac pruža informacije u obliku u kojem je sadržan zahtev lica na koje se podaci odnose.
Rukovalac je dužan da pomogne licu na koje se podaci odnose u ostvarivanju njegovih prava iz čl. 27, 28, 32, 34, 35. i 39. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose bez odlaganja u pismenoj formi pruži informacije o postupanju po njegovom zahtevu.
Rukovalac pruža informacije iz člana 25. ovog zakona i postupa u skladu sa čl. 27, 28, 32, 34, 35, 39. i članom 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, nadležni organ može:
1) naplatiti razumnu naknadu, uzimajući u obzir opravdane administrativne troškove pružanja informacije, odnosno postupanja;
2) odbiti da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz čl. 27. ili 32. ovog zakona, rukovalac može zahtevati dostavljanje dodatnih informacija neophodnih za potvrdu identiteta tog lica.
2. Informacije i pristup podacima o ličnosti
Informacije koje se pružaju kad se podaci o ličnosti prikupljaju od lica na koje se odnose
Član 23.
Ako se podaci o ličnosti prikupljaju od lica na koje se odnose, rukovalac je dužan da prilikom pribavljanja podataka o ličnosti ovom licu pruži sledeće informacije:
1) o identitetu i kontakt podatke rukovaoca, kao i njegovog predstavnika, ako on postoji;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako ono postoji;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o pravnom interesu rukovaoca ili treće strane, ako se obrada vrši u skladu sa članom 12. stav 1. tačka 6) ovog zakona;
5) o primaocu, odnosno grupi primaoca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ova država, odnosno međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i načinu na koji se lice može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da prilikom pribavljanja podataka o ličnosti licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila pravična i transparentna obrada u zavisnosti od okolnosti slučaja:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njihovo određivanje;
2) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka;
3) ako se obrada vrši u skladu sa članom 12. stav 1. tačka 1) ovog zakona ili članom 17. stav 2. tačka 1) ovog zakona, o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva;
4) o pravu da se podnese pritužbu Povereniku;
5) o tome da li je obaveza davanja podataka o ličnosti propisana ili ugovorena ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li je lice na koje se podaci odnose dužno da pruži podatke o svojoj ličnosti i o mogućim posledicama nepružanja podataka;
6) o postojanju automatizovanog donošenja odluke, uključujući profilisanje, iz člana 38. st. 1. i 4. ovog zakona, i najmanje u tim slučajevima svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako rukovalac namerava da dalje odbrađuje podatke o ličnosti u svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade licu na koje se podaci odnose pruži informacije o drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana koje se odnose na obradu u tu drugu svrhu.
Ako je lice na koje se podaci odnose već upoznato sa nekom od informacija iz st. 1. do 3. ovog člana, rukovalac nema obavezu dostavljanja tih informacija.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Informacije koje se pružaju kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose
Član 24.
Ako se podaci o ličnosti ne prikupljaju od lica na koje se odnose, rukovalac je dužan da licu na koje se podaci odnose pruži sledeće informacije:
1) o identitetu i kontakt podatke rukovaoca, i njegovog predstavnika, ako predstavnik postoji;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako ono postoji;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o vrsti podataka koji se obrađuju;
5) o primaocu, odnosno grupi primaoca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ova država, odnosno međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i načinu na koji se lice može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila pravična i transparentna obrada u zavisnosti od okolnosti slučaja:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njihovo određivanje;
2) o pravnom interesu rukovaoca ili treće strane, ako se obrada vrši u skladu sa članom 12. stav 1. tačka 6) ovog zakona;
3) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka;
4) ako se obrada vrši u skladu 12. stav 1. tačka 1) ovog zakona ili članom 17. stav 2. tačka 1) ovog zakona, o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva;
5) o pravu da se podnese pritužbu Povereniku;
6) iz kog izvora potiču podaci o ličnosti, i ako je to primenjivo, da li potiču iz javno dostupnih izvora;
7) o postojanju automatizovanog donošenja odluke, uključujući profilisanje, iz člana 38. st. 1. i 4. ovog zakona, i najmanje u tim slučajevima svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Rukovalac je dužan da pruži iformacije iz st. 1. i 2. ovog člana:
1) u razumnom roku posle pribavljanja podataka o ličnosti, a najkasnije u roku od 30 dana, uzimajući u obzir sve okolnosti obrade podataka o ličnosti;
2) ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose, najkasnije prilikom uspostavljanja prve komunikacije;
3) ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu, najkasnije prilikom prvog otkrivanja podataka o ličnosti.
Ako rukovalac namerava da dalje odbrađuje podatke o ličnosti u svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade licu na koje se podaci odnose pruži informacije o drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana.
Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz st. 1. do 4. ovog člana ako:
1) lice na koje se podaci o ličnosti odnose već ima te informacije;
2) je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, a naročito u slučaju obrade u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe, ako se primenjuju uslovi i mere iz člana 92. stav 1. ovog zakona, odnosno ako je verovatno da bi izvršenje obaveza iz stava 1. ovog člana onemogućilo ili bitno otežalo ostvarivanje cilja obrade. U ovim slučajevima rukovalac je dužan da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, uključujući i javno objavljivanje informacija iz st. 1. do 4. ovog člana;
3) je pribavljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose;
4) se poverljivost podataka o ličnosti mora sačuvati u skladu sa zakonom propisanom obavezom čuvanja profesionalne tajne.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Informacije koje se stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose ako se radi o obradi podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 25.
U slučaju kad se informacije obrađuju od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, rukovalac je dužan da licu na koje se podaci o ličnosti odnose učini dostupnim najmanje sledeće informacije:
1) o identitetu i kontakt podatke rukovaoca;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako ono postoji;
3) o svrsi nameravane obrade;
4) o pravu da se podnese pritužba Povereniku i kontakt podatke Poverenika;
5) o postojanju prava lica da od rukovaoca zahteva pristup, ispravku ili brisanje podataka koji se na njega odnose, kao i ograničenje obrade.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose pruži sledeće dodatne informacije da bi mu se, u zavisnosti od okolnosti slučaja, omogućilo ostvarivanje njegovih prava:
1) o pravnom osnovu za obradu;
2) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njihovo određivanje;
3) o grupi primaoca podataka o ličnosti, ako oni postoje, uključujući i one u drugim državama ili međunarodnim organizacijama;
4) druge podatke, ako je to neophodno, a posebno ako su podaci o ličnosti prikupljeni bez znanja lica na koje se odnose.
Zakonom se može propisati da se informacije iz stava 2. ovog člana koje se odnose na pojedine vrste obrade ne pružaju, pružaju ograničeno ili pružaju odloženo licu na koje se podaci o ličnosti odnose samo ako i u meri u kojoj je to neophodno i proporcionalno u demokratskom društvu u odnosu na poštovanje osnovnih prava i legitimnih interesa fizičkih lica, a u cilju:
1) sprečavanja ometanja službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka;
2) omogućavanja sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija;
3) zaštite javne bezbednosti;
4) zaštite nacionalne bezbednosti i odbrane;
5) zaštite prava i sloboda drugih lica.
Zakonom se može propisati da se stav 3. ovog člana primenjuje, u celini ili delimično, na pojedine vrste obrade.
Pravo na pristup lica na koje se podaci o ličnosti odnose
Član 26.
Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje podatke o njemu, pristup ovim podacima, kao i sledeće informacije:
1) o svrhama obrade;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom periodu čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog perioda;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje podataka o njegovoj ličnosti, prava na ograničenje obrade i prava na prigovor na obradu;
6) o pravu da se podnese pritužba Povereniku;
7) dostupne informacije o izvoru podataka o ličnosti ako podaci o ličnosti nisu prikupljeni od lica na koje se odnose;
8) o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje, iz člana 38. st. 1. i 4. ovog zakona, i najmanje u tim slučajevima svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako se podaci o ličnosti iznose u drugu državu ili međunarodnu organizaciju, lice na koje se odnose ima pravo da bude informisano o odgovarajućim merama zaštite koje se odnose na iznošenje, u skladu sa članom 65. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje. Rukovalac može da zahteva naknadu opravdanih troškova za izradu dodatnih kopija koje zahteva lice na koje se podaci odnose. Ako se zahtev za kopijom dostavlja elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom formatu, osim ako je lice na koje se podaci odnose zahtevalo drugačije dostavljanje.
Ostvarivanje prava i sloboda drugih lica ne može se ugroziti ostarivanjem prava na dostavljanje kopije iz stava 3. ovog člana.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Pravo na pristup lica na koje se odnose podaci koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 27.
U slučaju kad se informacije obrađuju od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, lice na koje se podaci odnose ima pravo da od rukovaoca dobije informaciju o tome da li obrađuje podatke o njemu, pristup ovim podacima, kao i sledeće informacije:
1) o svrsi obrade i zakonskom osnovu za obradu ovih podataka;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom periodu čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog perioda;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade;
6) o pravu da se podnese pritužbu Povereniku, kao i kontakt podatke Poverenika;
7) informacije o podacima koje se obrađuju i dostupne informacije o njihovom izvoru.
Ograničenje prava na pristup iz člana 27. ovog zakona
Član 28.
Pravo na pristup iz člana 27. ovog zakona može se ograničiti u celini ili delimično samo u obimu i trajanju u kome je to neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, sa ciljem da se:
1) spreči ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka;
2) izbegne ometanje sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija;
3) zaštiti javna bezbednost;
4) zaštiti nacionalna bezbednost i odbrana;
5) zaštite prava i sloboda drugih lica.
Zakonom se može propisati da se stav 1. ovog člana primenjuje, u celini ili delimično, na pojedine vrste obrade.
Rukovalac je dužan da obrazloženu pismenu odluku kojom se zahtev za pristup odbija, odnosno pravo na pristup ograničava, bez odlaganja dostavi licu na koje se podaci odnose.
Rukovalac nije dužan da postupi u skladu sa stavom 3. ovog člana ako bi se time otežalo ostvarivanje cilja iz stava 1. ovog člana.
Ako se na odluku rukovaoca o odbijanju zahteva primenjuje stav 4. ovog člana, kao i ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o podnosiocu zahteva ne obrađuju, rukovalac ima obavezu da bez odlaganja obavesti podnosioca da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi sa kojima se mogu ostvariti zakonom predviđena prava i da se može obratiti Povereniku, odnosno sudu.
Rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke iz stava 1. ovog člana, koji moraju biti učinjeni dostupnim Povereniku na njegov zahtev.
3. Pravo na ispravku, dopunu, brisanje, ograničenje i prenosivost
Pravo na ispravku i dopunu
Član 29.
Lice na koje se podaci odnose ima pravo da se netačni podaci o njemu bez odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo i da se nepotpuni podaci o njemu dopune, uključujući i davanjem dodatne izjave.
Pravo na brisanje ("pravo lica da bude zaboravljeno")
Član 30.
Lice na koje se podaci odnose ima pravo da se podaci o njemu izbrišu od strane rukovaoca.
Rukovalac je dužan da bez odlaganje podatke iz stava 1. ovog člana izbriše u sledećim slučajevima:
1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
2) lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona, a nema drugog pravnog osnova za obradu;
3) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. ovog zakona, a nema drugog pravnog osnova za obradu koji preteže nad interesom, pravom ili slobodom tog lica, ili je lice podnelo prigovor na obradu u skladu sa članom 37. stav 2. ovog zakona;
4) podaci o ličnosti su nezakonito obrađivani;
5) podaci o ličnosti moraju biti izbrisani u cilju izvršenja obaveze rukovaoca propisane zakonom;
6) podaci o ličnosti su prikupljeni u vezi sa korišćenja usluga informacionog društva iz člana 16. stav 1. ovog zakona.
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke u skladu sa stavom 1. ovog člana, obuhvata i preduzimanje svih razumnih mera, u skladu sa dostupnim tehnologijama i mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih rukovaoca koji ove podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno veza prema ovim podacima.
Lice na koje se podaci odnose podnosi zahtev za ostvarivanje prava iz stava 1. ovog člana rukovaocu.
Stavovi 1. do 3. ovog člana ne primenjuju se u meri u kojoj je obrada neophodna u cilju:
1) ostvarivanja slobode izražavanja i informisanja;
2) poštovanja zakonske obaveze rukovaoca koja zahteva obradu, u cilju izvršenja poslova u javnom interesu ili u cilju vršenju službenih ovlašćenja rukovaoca;
3) ostvarenja javnog interesa u oblasti javnog zdravlja, u skladu sa članom 17. stav 2. tač. 8) i 9) ovog zakona;
4) arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe u skladu sa članom 92. stav 1. ovog zakona, a opravdano se očekuje da bi ostvarivanje prava iz st. 1. i 2. ovog člana moglo da onemogući ili bitno ugrozi ostvarivanje ovih ciljeva;
5) podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Pravo na ograničenje obrade
Član 31.
Lice na koje se podaci odnose ima pravo da se obrada podataka o njemu ograniči od strane rukovaoca u sledećim slučajevima:
1) lice na koje se podaci odnose osporava tačnost podataka o sebi, u periodu koji omogućava rukovaocu proveru tačnosti podataka;
2) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o sebi i umesto brisanja zahteva ograničenje upotrebe podataka;
3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarenje svrhe obrade, ali ih je lice na koje se odnose zatražilo u cilju podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva;
4) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. ovog zakona, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.
Ako je obrada podataka o ličnosti ograničena u skladu sa stavom 1. ovog člana, ovi podaci mogu se dalje obrađivati, osim ako se radi o njihovom pohranjivanju, samo na osnovu pristanka lica, a u cilju podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva, u cilju zaštite prava drugih fizičkih, odnosno pravnih lica ili u cilju ostvarivanja značajnih javnih interesa.
Ako je obrada podataka ograničena u skladu sa stavom 1. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Odredbe st. 1. do 3. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Pravo na brisanje i ograničenje obrade podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 32.
U slučaju kad se podaci obrađuju od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, lice na koje se oni odnose ima pravo da se podaci o njemu obrišu od strane rukovaoca, a rukovalac je dužan da bez odlaganje izbriše ove podatke samo u slučaju kad su radnjom obrade povređene odredbe čl. 5, 13. i 18. ovog zakona, kao i kad podaci o ličnosti moraju biti izbrisani u cilju ispunjenja zakonske obaveze rukovaoca.
Rukovalac je dužan da ograniči obradu podataka iz stava 1. ovog člana umesto da ih obriše ako se radi o jednom od sledećih slučajeva:
1) tačnost podataka o ličnosti je osporena od strane lica na koje se podaci odnose, a njihova tačnost, odnosno netačnost se ne može utvrditi;
2) podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja dokaza;
Ako je obrada podataka o ličnosti ograničena u skladu sa stavom 2. tačka 1) ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Obaveza obaveštavanja u vezi sa ispravkom, brisanjem i ograničenjem obrade
Član 33.
Rukovalac je dužan da obavesti primaoca kojem su podaci o ličnosti otkriveni o ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade u skladu sa članom 29, članom 30. stav 1. i članom 31. ovog zakona, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava.
Rukovalac je dužan da lice na koje se podaci odnose, na njegov zahtev, informiše o primaocima iz stava 1. ovog člana.
Odredbe st. 1. do 2. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Obaveza obaveštavanja u vezi sa ispravkom, brisanjem i ograničenjem obrade podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 34.
U slučaju kad se informacije obrađuju od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, rukovalac je dužan da u pismenoj formi informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno ograničavanja obrade podataka, kao i razlogu za odbijanje.
Zakonom se rukovalac može potpuno ili delimično osloboditi obaveze informisanja iz stava 1. ovog člana u meri u kojoj je to oslobađanje od obaveze neophodno i proporcionalno u demokratskom društvu u odnosu na poštovanje osnovnih prava i legitimnih interesa fizičkih lica, sa ciljem da se:
1) spreči ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka;
2) izbegene ometanje sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija;
3) zaštiti javna bezbednost;
4) zaštiti nacionalna bezbednosti i odbrana;
5) zaštite prava i slobode drugih lica.
U slučaju iz stava 1. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose da se može obratiti Povereniku, odnosno sudu.
Rukovalac je dužan da o ispravci netačnih podataka obavesti nadležni organ od koga su ovi podaci dobijeni.
U slučaju kad su podaci ispravljeni, obrisani ili je njihova obrada ograničena u skladu sa članom 29. i članom 32. st. 1. i 2, rukovalac je dužan da primaoca ovih podataka obavesti o ispravci, brisanju, odnosno ograničenju njihove obrade
Primalac podataka iz stava 5. ovog člana dužan je da podatke ispravi, obriše, odnosno ograniči njihovu obradu.
Ostvarivanje prava lica na koje se odnose podaci koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona u posebnim slučajevima
Član 35.
U slučajevima iz člana 25. stav 3, člana 28. st. 3. i 4. i člana 34. stav 2. ovog zakona, prava lica na koje se odnose podaci koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona mogu se ostvariti preko Poverenika, a na osnovu njegovih nadležnosti propisanih ovim zakonom.
Rukovalac je dužan da obavesti lice na koje se podaci odnose da u slučajevima iz stava 1. ovog člana može da ostvari svoja prava preko Poverenika.
U slučaju iz stava 1. ovog člana, Poverenik je dužan da obavesti lice na koje se podaci odnose najmanje o tome da je izvršena provera i nadzor nad obradom podataka o njemu, kao i o pravu da se za zaštitu svojih prava može obratiti sudu.
Pravo na prenosivost podataka
Član 36.
Lice na koje se podaci odnose ima pravo da podatke koje je prethodno dostavilo rukovaocu primi od njega u struktuiranom, uobičajno korišćenom i elektronski čitljivom formatu i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni ako:
1) je obrada zasnovana na pristanku u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona ili na osnovu ugovora, u skladu sa članom 12. stav 1. tačka 2) ovog zakona; i ako
2) se obrada vrši automatizovano.
Pravo iz stava 1. ovog člana, obuhavata i pravo lica da podaci o njemu budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to tehnički izvodljivo.
Ostvarivanje prava iz stava 1. ovog člana nema uticaja na primenu člana 30. ovog zakona. Pravo iz stava 1. ovog člana se ne može ostvariti ako je obrada nužna u cilju izvršenja poslova od javnog interesa ili službenih ovlašćenja rukovaoca.
Ostvarivanje prava iz stava 1. ovog člana ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
4. Pravo na prigovor i automatizovano donošenje pojedinačnih odluka
Pravo na prigovor
Član 37.
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice ima pravo da u svakom trenutku podnese prigovor na obradu podataka o ličnosti koji se na njega odnose, u skladu sa članom 12. stav 1. tač. 5) i 6) ovog zakona, uključujući i profilisanje koje se zasniva na ovim odredbama. Rukovalac ima obavezu da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje legitimni osnovi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose, ili su u vezi sa podnošenjem, ostvarivanjem, odnosno odbranom od pravnog zahteva.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu podataka o njemu koji se obrađuju u cilju direktnog marketinga, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim marketingom.
Ako lice iz stava 2. podnese prigovor, podaci o ličnosti ne smeju se dalje obrađivati u cilju direktnog marketinga.
Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori ovo lice na postojanje prava iz st. 1. i 2. ovog člana i upozna ga sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.
U korišćenju usluga informacionog društva, lice na koje se podaci odnose ima pravo na podnese prigovor koristeći se sredstvima za automatsku obradu podataka u skladu sa tehničkim specifikacijama korišćenja usluga.
Lice iz stava 1. ovog člana čiji se podaci obrađuju u svrhu naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 92. ovog zakona, ima pravo da podnese prigovor na obradu ovih podataka, osim ako je obrada neophodna u cilju obavljanja poslova u javnom interesu.
Odredbe st. 1. do 6. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Automatizovano donošenje pojedinačnih odluka i profilisanje
Član 38.
Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ona značajno utiče na njegov položaj.
Stav 1. ovog člana ne primenjuje se ako je odluka:
1) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
2) zasnovana na zakonu, ako su njime propisane odgovarajuće mere zaštite prava, sloboda i interesa zasnovanih na zakonu lica na koje se podaci odnose;
3) zasnovana na izričitom pristanku lica na koje se podaci odnose.
U slučaju iz stava 2. tač. 1) i 3) ovog člana rukovalac je dužan da primeni odgovarajuće mere zaštite prava, sloboda i interesa zasnovanih na zakonu lica na koje se podaci odnose, a najmanje pravo da se obezbedi posredovanje fizičkog lica pod kontrolom rukovaoca u donošenju odluke, odnosno pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom ili je ospori pred ovlašćenim licem rukovaoca.
Odluke iz stava 2. ovog člana ne mogu se zasnivati na posebnim kategorijama podataka o ličnosti iz člana 17. stav 1. ovog zakona, osim ako se primenjuje član 17. stav 2. tač. 1) i 5) ovog zakona i odgovarajuće mere zaštite prava, sloboda i interesa zasnovanih na zakonu lica na koje se podaci odnose.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Automatizovano donošenje pojedinačnih odluka i profilisanje u vezi sa obradom podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 39.
Zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, uključujući i profilisanje, ako ova odluka može da proizvede štetne pravne posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je donošenje ove odluke zasnovano na zakonu koji se primenjuje na rukovaoca i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica u donošenju odluke.
Odluka iz stava 1. ovog člana ne može se zasnivati na posebnim kategorijama podataka o ličnosti iz člana 18. stav 1. ovog zakona, osim ako se primenjuju odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose.
Zabranjeno je profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih kategorija podataka o ličnosti iz člana 18. stav 1. ovog zakona.
5. Ograničenja
Član 40.
Prava i obaveze iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33, čl. 36. do 39, člana 53. i člana 5. ovog zakona, u meri u kojoj se odredbe člana 5. odnose na ostvarivanje prava i obaveza iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33. i čl. 36. do 39. ovog zakona, mogu se ograničiti zakonom ako ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako je to neophodno i predstavlja srazmernu meru u demokratskom društvu u cilju:
1) zaštite nacionalne bezbednosti;
2) odbrane;
3) zaštite javne bezbednosti;
4) sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost;
5) zaštite drugih važnih opštih javnih interesa, a posebno važnih privrednih ili finansijskih interesa Republike Srbije, uključujući i interese vezane za monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu;
6) zaštite nezavisnosti pravosuđa i sudskih postupaka;
7) sprečavanja, istraživanja, otkrivanja, i gonjenja za povredu profesionalne etike;
8) praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službnih ovlašćenja u slučajevima iz tač. 1) do 5) i tačke 7) ovog stava;
9) zaštite lica na koje se podaci odnose ili prava i sloboda drugih lica;
10) ostvarivanja potraživanja u građanskim stvarima.
Zakonskim odredbama kojima se ograničavaju prava i obaveza iz stava 1. ovog člana mora se, kada je to od značaja, uzeti u obzir najmanje:
1) svrhe ili vrste obrade;
2) vrste podataka o ličnosti;
3) obim ograničenja;
4) mere zaštite u cilju sprečavanja zloupotrebe, nedozvoljenog pristupa ili prenosa podataka o ličnosti;
5) osobenosti rukovaoca, odnosno vrsta rukovaoca;
6) vremenski period čuvanja i primenljive mere zaštite podataka o ličnosti s obzirom na prirodu, obim i svrhu obrade ili vrste obrade;
7) rizici po prava i slobode lica na koje se podaci odnose;
8) pravo lica na koje se odnose podaci da bude informisano o organičenju, osim ako to informisanje onemogućava ostvarivanje svrhe ograničenja.
Odredbe st. 1. i 2. ovog člana primenjuju se i u slučaju kad se obrada podataka od strane nadležnih organa ne vrši u cilju iz člana 1. stav 2. ovog zakona.
IV. RUKOVALAC I OBRAĐIVAČ
1. Opšte obaveze
Obaveze rukovaoca
Član. 41.
Rukovalac je dužan da preduzme odgovarajuće tehničke, kadrovske i organizacione mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja i nivo rizika po prava i slobode lica.
Mere iz stava 1. ovog člana se po potrebi preispituju i ažuriraju.
Ako je to u srazmeri sa obradom podataka, mere iz stava 1. ovog člana uključuju primenu odgovarajućih internih pravila rukovaoca o zaštiti podataka o ličnosti.
Rukovalac može predočiti da se pridržava obaveza iz stava 1. ovog člana na osnovu primene odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno odobrenog mehanizma sertifikacije iz člana 61. ovog zakona.
Odredba stava 4. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Mere zaštite
Član 42.
Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja i nivo rizika po prava i slobode lica, rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:
1) primeni na delotvoran način odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje imaju za cilj obezbeđivanje primene načela obrade podataka o ličnosti;
2) obezbedi primenu neophodnih mehanizama zaštite u toku obrade, u cilju ispunjavanja uslova za obradu podataka propisanih ovim zakonom i zaštite prava i sloboda lica na koja se podaci odnose.
Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake svrhe obrade. Ta obaveza se primenjuje u odnosu na broj prikupljenih podataka, obim njihove obrade, vremenski period njihovog pohranjivanja i njihovu dostupnost.
Merama iz stava 3. ovog člana mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Rukovalac može predočiti da se pridržava obaveza iz st. 1. do 4. ovog člana na osnovu odobrenog mehanizma sertifikacije iz člana 61. ovog zakona.
Odredba stava 4. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Zajednički rukovaoci
Član 43.
Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima.
Zajednični rukovaoci iz stava 1. ovog člana na transparentan način određuju odgovornost svakog od njih za poštovanje odredbi propisanih ovim zakonom, a posebno u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije iz čl. 23. do 25. ovog zakona.
Odgovornost iz stava 2. ovog člana uređuje se sporazumom zajedničkih rukovaoca, osim ako je ova odgovornost propisana zakonom koji se primenjuje na rukovaoce.
Sporazumom iz stava 3. ovog člana mora se odrediti lice za kontakt sa licem na koje se podaci odnose.
Sporazumom iz stava 3. ovog člana uređuje se odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose.
Suština odredbi sporazuma iz stava 3. ovog člana mora biti dostupna licu na koje se podaci odnose.
Odredbe st. 5. i 6. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Nezavisno od odredbi sporazuma iz stava 3. ovog člana, lice na koje se podaci odnose može ostvariti svoje pravo utvrđeno ovim zakonom u odnosu prema svakom od zajedničkih rukovaoca pojedinačno.
Predstavnici rukovaoca ili obrađivača koji nemaju sedište u Republici Srbiji
Član 44.
U slučajevima iz člana 3. stav 4. ovog zakona, rukovalac, odnosno obrađivač dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, sa sedištem u Republici Srbiji, osim ako je:
1) obrada sporadična i verovatno je da neće prouzrokovati rizik po prava i slobode fizičkih lica, uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade, a ne uključuje masovnu obradu posebnih podataka iz člana 17. stav 1. ovog zakona ili podataka o ličnosti koji se odnose na osude za krivična dela i kažnjiva dela iz člana 19. ovog zakona;
2) rukovalac, odnosno obrađivač organ javne vlasti.
Rukovalac odnosno obrađivač ovlašćuje predstavnika iz stava 1. ovog člana kao lice kome se lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti, uz ili umesto rukovaoca ili obrađivača, u pogledu svih pitanja u vezi sa obradom podatka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ovog zakona.
Pritužba, tužba i ostali pravni zahtevi iz ovog zakona se mogu podneti protiv rukovaoca, odnosno obrađivača, bez obzira na to da li je određen njihov predstavnik iz stava 1. ovog člana.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Obrađivač
Član 45.
Ako se obrada podataka o ličnosti vrši za račun rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice koje u potpunosti garantuje primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona, kao i zaštitu prava lica na koje se podaci odnose.
Obrađivač iz stava 1. ovog člana može poveriti obradu podataka o ličnosti drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. U slučaju kad se obrada vrši na osnovu opšteg ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača, odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj promeni.
Obrada podataka o ličnosti od strane obrađivača mora biti regulisana ugovorom ili drugim pravno obavezujućim aktom, zaključenim, odnosno usvojenim u pisanom obliku, što obuhvata i elektronski oblik, kojim se, u skladu sa zakonom, uređuje odnos između rukovaoca i obrađivača, uključujući predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i ovlašćenja i obaveze rukovaoca.
Ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu pisanih uputstava rukovaoca, uključujući i u odnosu na iznošenje podataka o ličnosti u treće države ili međunarodne organizacije, osim ako je obrađivač zakonom obavezan da obrađuje podatke. U tom slučaju obrađivač je dužan da obavesti rukovaoca o zakonskoj obavezi pre započinjanja obrade, osim ako zakon zabranjuje dostavljanje tih informacija zbog potrebe zaštite važnog javnog interesa;
2) obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti podataka ili da je ovo lice propisom obavezano na čuvanje poverljivosti podataka;
3) preduzme sve potrebne mere u skladu sa članom 50. ovog zakona;
4) poštuje uslove za poveravanje obrade podataka o ličnosti drugom obrađivaču iz st. 2. i 7. ovog člana;
5) uzimajući u obzir prirodu obrade, pomaže rukovaocu primenom odgovarajućih tehničkih i organizacionih mera, u skladu sa mogućnostima, u ispunjavanju obaveza rukovaoca u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose iz Glave III. ovog zakona;
6) pomažu rukovaocu u ispunjavanju obaveza iz člana 50. i čl. 52. do 55. ovog zakona, uzimajući u obzir prirodu obrade i informacije koje su mu dostupne;
7) posle okončanja pružanja usluga obrade, a na osnovu odluke rukovaoca, obriše ili mu vrati sve podatke o ličnosti i obriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
8) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom, kao i informacije koje omogućavaju i doprinose kontroli rada obrađivača, koju sprovodi rukovalac ili drugo lice koje on za to ovlasti.
U slučaju iz stava 4. tačka 8) ovog člana, obrađivač je dužan da bez odlaganja upozori rukovaoca ako smatra da uputstvo koje je od njega dobio nije u skladu sa ovim ili drugim zakonom kojim se uređuje zaštita podataka o ličnosti.
U slučaju kad se obrada vrši od strane nadležnog organa u cilju iz člana 1. stav 2. ovog zakona, ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu uputstava rukovaoca;
2) obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti podataka ili da je ovo lice propisom obavezano na čuvanje poverljivosti podataka;
3) pomaže na odgovarajući način rukovaocu u ispunjavanju njegove obaveze poštovanja odredbi o pravima lica na koje se podaci odnose iz Glave III. ovog zakona;
4) posle okončanja pružanja usluga obrade, a na osnovu odluke rukovaoca, obriše ili mu vrati sve podatke o ličnosti i obriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
5) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom.
6) obezbedi poštovanje uslova iz st. 2, 3. i 6. ovog člana i u slučaju kad poverava obradu podataka o ličnosti drugom obrađivaču.
Ako obrađivač odredi drugog obrađivača za vršenje posebnih radnji obrade u ime rukovaoca, iste obaveze zaštite podataka o ličnosti propisane ugovorom ili drugim pravno obavezujućim aktom između rukovaoca i obrađivača iz st. 3. i 4. ovog člana obavezuju drugog obrađivača, na osnovu ugovora ili drugog pravno obavezujućeg akta, zaključenog, odnosno usvojenog u pisanom obliku, što obuhvata i elektronski oblik, u odnosu između obrađivača i drugog obrađivača kojim se propisuju dovoljne garancije za primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera koje obezbeđuju da se obrada podataka vrši u skladu sa ovim zakonom. Ako drugi obrađivač ne ispuni svoje obaveze u vezi sa zaštitom podataka o ličnosti, za ispunjenje ovih obaveza drugog obrađivača rukovaocu odgovora obrađivač.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Ispunjavanje obaveza pružanja garancija iz st. 1. i 7. ovog člana, može se predočiti i na osnovu primene odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno odobrenog mehanizma sertifikacije iz člana 61. ovog zakona od strane obrađivača.
Pravni odnos između rukovaoca i obrađivača koji se uređuje u skladu sa st. 3. i 7. ovog člana, može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama iz stava 11. ovog člana, uključujući i one koje su vezane za sertifikat koji se odobrava rukovaocu ili obrađivaču u skladu sa čl. 61. i 62. ovog zakona.
Poverenik može da izradi standardne ugovorne klauzule koja se odnose na obaveze iz st. 3. i 7. ovog člana.
Odredbe st. 4, 5, 7. i st. 9. do 11. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Obrada po nalogu ili ovlašćenju
Član 46.
Obrađivač, odnosno drugo lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca, odnosno obrađivača, sme obrađivati ove podatke samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Evidencija radnji obrade
Član 47.
Rukovalac, odnosno njegov predstavnik dužan je da vodi evidenciju o radnjama obrade za koje je odgovoran, a koja sadrži podatke o:
1) rukovaocu, i ako je primenjivo, zajedničkim rukovaocima, predstavniku rukovaoca i licu za zaštitu podataka o ličnosti, i to njihov naziv ili ime i kontakt podatke;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primaoca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) ako je primenjivo, prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i njihove nazive, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona;
6) ako je to moguće, roku posle čijeg isteka se brišu određene vrste podataka o ličnosti;
7) ako je to moguće, opšti opis mera zaštite iz člana 50. stav 1. ovog zakona.
Odredbe stava 1. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
U slučaju kad obradu vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, rukovalac je dužan da vodi evidenciju o svim vrstama radnji obrade podataka iz člana 1. stav 2. ovog zakona za koje je odgovoran, a koja sadrži podatke o:
1) rukovaocu, i ako je primenjivo, zajedničkim rukovaocima, i licu za zaštitu podataka o ličnosti, i to njihov naziv ili ime i kontakt podatke;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primaoca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) ako je primenjivo, korišćenju profilisanja;
6) ako je primenjivo, vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije;
7) pravnom osnovu za obradu podataka o ličnosti, uključujući i njihov prenos;
8) ako je to moguće, roku čijim istekom se brišu određene vrste podataka o ličnosti;
9) ako je to moguće, opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona.
Obrađivač, i, ako je primenjivo, njegov predstavnik dužni su da vode evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži podatke o:
1) obrađivaču, odnosno obrađivačima, rukovaocima u čije ime se vrši obrada, i ako je primenjivo predstavniku rukovaoca i obrađivača, kao i licu za zaštitu podataka o ličnosti, i to njihov naziv, odnosno ime i kontakt podatke;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) ako je primenjivo, prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i njihove nazive, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona;
4) ako je to moguće, opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona.
Odredbe stava 4. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
U slučaju kad obradu vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, svaki obrađivač, dužan je da vodi evidenciju o svim vrstama radnji obrade podataka koje se vrše u ime rukovaoca, a koja sadrži podatke o:
1) svakom obrađivaču, svakom rukovaocu u čije ime se vrši obrada, i, ako je to primenjivo, licu za zaštitu podataka o ličnosti, i to njihov naziv, odnosno ime i kontakt podatke;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) ako je to primenjivo, prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac to izričito zahteva, uključujući i njihove nazive;
4) ako je to moguće, opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona.
Evidencije iz st. 1, 3, 4. i 6. ovog člana vode se u pismenom obliku, što obuhvata i elektronski oblik.
Rukovalac, i, ako je primenjivo, obrađivač i njihovi predstavnici, dužni su da evidencije iz st. 1, 3, 4. i 6. ovog člana učine dostupnim Povereniku na njegov zahtev.
Odredbe st. 1. i 4. ovog člana ne primenjuju se na organizacije u kojima je zaposleno manje od 250 lica, osim ako:
1) obrada koju vrše može da prouzrokuje rizik po prava i slobode lica na koje se podaci odnose;
2) obrada nije povremena;
3) obrada obuhvata posebne kategorije podataka o ličnosti iz člana 17. stav 1. ovog zakona ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti iz člana 19. ovog zakona.
Beleženje radnji obrade koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 48.
Nadležni organ koji obrađuje podatke u cilju iz člana 1. stav 2. ovog zakona dužan je da obezbedi da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje.
Beleženje uvida i otkrivanja mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka.
Beleženje iz stava 1. ovog člana može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka.
Zapis nastao beleženjem iz stava 1. ovog člana stavlja se na uvid Povereniku, na njegov zahtev, u skladu sa zakonom.
Saradnja sa Poverenikom
Član 49.
Rukovalac i obrađivač, i, ako je to primenjivo, njihovi predstavnici, dužni su da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
2. Bezbednost podataka o ličnosti
Bezbednost obrade
Član 50.
U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja i nivoom rizika po prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehnničke, kadrovske i organizacione mere u cilju dostizanja odgovarajućeg nivoa bezbednosti u odnosu na rizik.
Ako je to potrebno, mere iz stava 1. ovog člana naročito obuhvataju:
1) pseudonimizaciju i kriptozaštitu podataka o ličnosti;
2) obezbeđivanje sposobnosti osiguranja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
3) obezbeđivanje sposobnosti uspostavljanja u najkraćem roku ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata;
4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, kadrovskih i organizacionih mera bezbednosti obrade.
Prilikom procenjivanja adekvatnosti nivoa bezbednosti iz stava 1. ovog člana posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno mehanizma sertifikacije iz člana 61. ovog zakona, može se koristiti u cilju predočavanja ispunjenosti obaveza iz stava 1. ovog člana.
Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca, odnosno obrađivača, obrađuje ove podatke samo po nalogu rukovaoca ili ako je na to obavezan zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke u cilju iz člana 1. stav 2. ovog zakona.
Bezbednost obrade koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona
Član 51.
U slučaju kad obradu vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, a u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja i nivoom rizika po prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehnničke, kadrovske i organizacione mere u cilju dostizanja odgovarajućeg nivoa bezbednosti u odnosu na rizik, a posebno ako se radi o obradi posebnih vrsta podataka o ličnosti iz člana 18. ovog zakona.
Na osnovu procene rizika, rukovalac ili obrađivač dužan je da prilikom automatske obrade podataka primeni odgovarajuće mere iz st. 1 ovog člana koje obezbeđuju da se:
1) onemogući neovlašćenom licu pristup opremi koja se koristi za obradu podataka ("kontrola pristupa opremi");
2) spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka ("kontrola nosača podataka");
3) spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti ("kontrola pohranjivanja");
4) spreči korišćenja sistema za automatsku obradu od strane neovlašćenog lica upotrebom opreme za prenos podataka ("kontrola upotrebe");
5) lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima ("kontrola pristupa podacima");
6) može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, odnosno mogu biti preneti ili učinjeni dostupnim upotrebom opreme za prenos podataka ("kontrola prenosa");
7) može naknadno proveriti, odnosno ustanoviti koji podaci o ličnosti su uneti u sistem automatske obrade, od strane kog lica i kad su uneti ("kontrola unosa");
8) spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka ("kontrola prevoza");
9) ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada ("obnavljanje sistema");
10) sistem ispravno radi i da se greške u radu sistema uredno prijavljuju ("pouzdanost"), kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema ("integritet").
Obaveštavanje Poverenika o povredi bezbednosti podataka o ličnosti
Član 52.
Rukovalac je dužan da o povredi bezbednosti podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez neopravdanog odlaganja, ili, ako je to moguće, u roku od 72 sata od saznanja za povredu.
Ako rukovalac ne postupi u roku od 72 sata od saznanja za povredu, dužan je da navede razlog za nepostupanje.
Obrađivač je dužan da posle saznanja za povredu bezbednosti podataka o ličnosti o tome bez odlaganja obavesti rukovaoca.
Obaveštenje iz stava 1. ovog člana mora da sadrži najmanje sledeće informacije:
1) opis povrede, uključujući vrste i približan broj lica na koje se podaci odnose i vrste i približan broj podataka o ličnosti čija je bezbednost povređena;
2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
3) opis mogućih posledica povrede;
4) opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere u cilju umanjenja štetnih posledica.
Ako informacije iz stava 4. ovog člana ne mogu da se pruže istovremeno, rukovalac bez odlaganja i postupno dostavlja dostupne informacije.
Rukovalac je dužan da dokumentuje svaku povredu bezbednosti podataka, uključujući i činjenice o povredi, njenim posledicama i preduzetim aktivnostima za njihovo otklanjanje.
Dokumentacija iz stava 6. ovog člana Povereniku predstavlja osnov za utvrđivanje da li je rukovalac postupio u skladu sa odredbama ovog člana.
Ako se radi o povredi bezbedenosti podataka o ličnosti koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona koji su preneti rukovaocu u drugoj državi, odnosno međunarodnoj organizaciji, rukovalac iz stava 1. ovog člana dužan je da bez odlaganja dostavi informacije iz stava 4. ovog člana rukovaocu u drugoj državi, odnosno međunarodnoj organizaciji, u skladu sa međunarodnim sporazumom.
Obaveštavanje lica o povredi bezbednosti podataka o ličnosti
Član 53.
Ako povreda bezbednosti podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez odlaganja o tome obavesti lice na koje se podaci odnose.
U obaveštenju iz stava 1. ovog člana rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede bezbednosti podataka i navede najmanje informacije iz člana 52. stav 3. tač. 2) do 4) ovog zakona.
Rukovalac nije dužan da obavesti lice iz stava 1. ovog člana ako:
1) je preduzeo tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka licima koja nisu ovlašćena za pristup ovim podacima;
2) je naknadno preduzeo mere kojima je obezbedio da povreda bezbednosti podataka sa visokim rizikom po prava i slobode ne može da proizvede posledice po lice na koje se podaci odnose;
3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava, u kom slučaju je rukovalac dužan da putem medija ili na drugi delotvoran način obezbedi pružanje obaveštenja.
Uzimajući u obzir mogućnost da povreda bezbednosti podataka proizvede visok rizik po prava i slobode lica, Poverenik može naložiti rukovaocu koji nije obavestio lice na koje se podaci odnose da to učini ili utvrditi da su ispunjeni uslovi iz stava 3. ovog člana.
Ako se radi o povredi bezbedenosti podataka o ličnosti koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona, rukovalac može odložiti ili ograničiti obaveštavanje lica iz stava 1. ovog člana, na osnovu i pod uslovima propisanim u članu 25. stav 3. ovog zakona.
3. Procena uticaja obrade na zaštitu podataka o ličnosti i prethodno obaveštavanje
Procena uticaja na zaštitu podataka o ličnosti
Član 54.
Ako vrsta obrade podataka o ličnosti, posebno upotrebom novih tehnologija, a uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
Uticaj više sličnih radnji obrade koje mogu proizvesti sličan visok rizik iz stava 1. ovog člana, može se zajedno proceniti.
Prilikom procene uticaja rukovalac dužan je da zatraži mišljenje lica za zaštitu podataka o ličnosti, ako je ono određeno.
Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) masovne obrade posebnih podataka o ličnosti iz člana 17. stav 1, člana 18. stav 1. i člana 19. ovog zakona;
3) sistematskog nadzora nad javno dostupnim površinama u velikom obimu.
Poverenik je dužan da sačini i javno objavi listu vrsta radnji obrade za koje se mora izvršiti procena uticaja iz stava 1. ovog člana, a može sačiniti i javno objaviti i listu vrsta radnji obrade u vezi sa kojima se ne zahteva procena uticaja.
Procena uticaja mora najmanje da sadrži:
1) sveobuhvatan opis predviđenih radnji obrade i svrha obrade, uključujući, ako je to primenljivo, i opis opravdanog interesa rukovaoca;
2) procenu neophodnosti i proporcionalnosti vršenja radnji obrade u odnosu na svrhe obrade;
3) procenu rizika po prava i slobode lica na koje se podaci odnose iz stava 1. ovog člana;
4) opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika iz stava 1. ovog člana, uključujući mehanizme zaštite, mere bezbednosti, odnosno pravne, tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, posebno uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Odredbe stava 6. ovog člana ne primenjuju se na procenu uticaja obrade podatka o ličnosti koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Procena uticaja obrade podatka o ličnosti koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona mora najmanje da sadrži sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se podaci odnose iz stava 1. ovog člana, kao i opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika iz stava 1. ovog člana, uključujući mehanizme zaštite, mere bezbednosti, odnosno pravne, tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, posebno uzimajući u obzir prava i opravdane interese lica na koje se podaci odnose i drugih lica.
Primena usvojenog kodeksa postupanja iz člana 59. ovog zakona od strane rukovaoca ili obrađivača mora se uzeti u obzir prilikom procene uticaja radnji obrade na zaštitu podataka o ličnosti.
Odredba stava 9. ovog člana ne primenjuje se na nadležne organe koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona.
Ako je to svrsishodno, rukovalac je dužan da zahteva mišljenje lica na koje se podaci odnose, odnosno njihovih predstavnika, o radnjama obrade koje namerava da vrši, koje nije obavezujuće u odnosu na zaštitu poslovnih ili javnih interesa, ili na bezbednost radnji obrade.
Ako se posebnim zakonom propisuju pojedine radnje obrade, odnosno grupe radnji obrade, prethodno se mora izvršiti procena uticaja na zaštitu podataka o ličnosti u okviru opšte procene uticaja obrade podataka koja se propisuje. U tom slučaju st. 1. do 9. ovog člana ne primenjuju se ako se obrada vrši u skladu sa članom 12. stav 1. tačka 3) ili tačka 5) ovog zakona, osim ako rukovalac utvrdi da je neophodno izvršiti novu procenu.
Ako je to neophodno, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade, rukovalac je dužan da naknadno proceni da li se obrada vrši u skladu sa procenom uticaja iz stava 1. ovog člana.
Prethodno obaveštavanje i pribavljanje mišljenja Poverenika
Član 55.
Ako procena uticaja na zaštitu podataka o ličnosti koja je izvršena u skladu sa članom 54. ovog zakona ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da o tome obavesti Poverenika pre započinjanja radnje obrade.
Odredba stava 1. ovog člana ne primenjuje se na nadležne organe koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona.
U slučaju kad podatke o ličnosti obrađuje nadležni organ u cilju iz člana 1. stav 2. ovog zakona, rukovalac, odnosno obrađivač dužan je da zatraži mišljenje Poverenika pre započinjanja radnji obrade koje će dovesti do stvaranja nove zbirke podataka u slučaju da:
1) procena uticaja na zaštitu podataka o ličnosti koja je izvršena u skladu sa članom 54. ovog zakona ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika;
2) vrsta obrade, a posebno ako se koriste nove tehnologije, mehanizmi zaštite ili postupci, nosi visok rizik po prava i slobode lica na koje se podaci odnose.
Ako Poverenik smatra da bi nameravane radnje obrade iz st. 1. i 3. ovog člana mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik je dužan da u roku od 60 dana od dana prijema prethodnog obaveštenja dostavi pismeno mišljenje rukovaocu i, ako je to primenljivo obrađivaču, o obradi podataka o ličnosti, kao i da po potrebi iskoristi ovlašćenja iz člana 79. ovog zakona.
Rok iz stava 4. ovog člana može se produžiti za 45 dana uzimajući u obzir složenost nameravanih radnji obrade, a Poverenik je dužan da o odlaganju i razlozima za to upozna rukovaoca i, ako je to primenljivo obrađivača, u roku od 30 dana od prijema prethodnog obaveštenja.
Rokovi iz st. 4. i 5. ovog člana ne teku u periodu u kome Poverenik čeka da mu rukovalac i obrađivač dostave sve tražene informacije koje su neophodne za davanje mišljenja.
Uz prethodno obaveštenje iz stava 1. ovog člana, rukovalac je dužan da Povereniku dostavi podatke o:
1) dužnostima rukovaoca, i ako je to primenjivo, zajedničkih rukovaoca i obrađivača koji učestvuju u obradi, a posebno ako se radi o obradi koja se vrši unutar grupe privrednih subjekata;
2) svrhama i načinima nameravane obrade;
3) pravnim, tehničkim, organizacionim i kadrovskim merama, kao i mehanizmima zaštite prava i sloboda lica na koje se podaci odnose koji se primenjuju u skladu sa ovim zakonom;
4) ako je to primenjivo, kontakt podacima lica za zaštitu podataka;
5) proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona;
6) svim drugim informacijama koje zatraži Poverenik.
Odredba stava 7. ovog člana ne primenjuje se na nadležne organe koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona.
U slučaju kad podatke o ličnosti obrađuje nadležni organ u cilju iz člana 1. stav 2. ovog zakona, rukovalac iz stava 3. ovog člana dužan je da Povereniku dostavi podatke o proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona, a na zahtev Poverenika i druge informacije koje su od značaja za njegovo mišljenje o radnjama obrade, a posebno riziku po zaštitu podataka o ličnosti lica na koje se podaci odnose i mehanizmima zaštite njegovih prava.
Poverenik može da sastavi i javno objavi listu vrsti radnji obrade u vezi sa kojima se mora zahtevati njegovo mišljenje.
Organi javne vlasti koji predlažu usvajanje zakona i drugih propisa zasnovanih na zakonima koji sadrže odredbe o obradi podataka o ličnosti, dužni su da u toku njihove izrade zatraže mišljenje Poverenika.
4. Lice za zaštitu podataka o ličnosti
Određivanje
Član 56.
Rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti ako se:
1) obrada vrši od strane organa javne vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja sudske vlasti;
2) se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
3) se osnovne aktivnosti rukovaoca ili obrađivača sastoje u masovnoj obrade posebnih podataka o ličnosti iz člana 17. stav 1. i podataka o ličnosti iz člana 19. ovog zakona.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na nadležne organe koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona.
U slučaju kad podatke o ličnosti obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona, rukovalac je dužan da odredi lice za zaštitu podataka o ličnosti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja sudske vlasti.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe.
Ako su rukovaoci, odnosno obrađivači organi javne vlasti, a koji nisu nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu organa javne vlasti.
Nadležni organi mogu odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir njihovu organizacionu strukturu i veličinu.
Posebnim zakonom može se propisati da rukovaoci, odnosno obrađivači ili njihova udruženja koja ih predstavljaju, moraju odrediti lice za zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza iz člana 58. ovog zakona.
Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca, odnosno obrađivača, ili može biti angažovano na osnovu ugovora.
Rukovalac, odnosno obrađivač dužan je da objavi konkat podatke lica za zaštitu podataka o ličnosti i dostave ih Povereniku.
Položaj lica za zaštitu podataka o ličnosti
Član 57.
Rukovalac i obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da omoguće licu za zaštitu podataka o ličnosti izvršavanje obaveza iz člana 58. ovog zakona na taj način što će mu obezbediti neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i za njegovo stručno usavršavanje.
Rukovalac i obrađivač dužni su da obezbede nezavisnost lica za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza.
Rukovalac i obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza iz člana 58. ovog zakona.
Lice za zaštitu podataka o ličnosti neposredno je odgovorno za izvršavanje obaveza iz člana 58. ovog zakona rukovodiocu rukovaoca i obrađivača.
Lice na koje se podaci odnose može se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koje se odnose na obradu podatka o njemu, kao i u vezi sa ostvarivanjem njegovih zakonskih prava.
Lice za zaštitu podataka o ličnosti dužno je da čuva tajnost, odnosno poverljivost podataka do kojih je došlo u izvršavanju obaveza iz člana 58. ovog zakona, u skladu sa zakonom.
Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a rukovalac, odnosno obrađivač dužan je da obezbedi da izvršavanje drugih poslova ne dovede lice za zaštitu podataka o ličnosti u sukob interesa.
U slučaju kad su rukovaoci nadležni organi koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona, odredbe st. 1. do 5. i 8. ovog člana ne primenjuju se na obrađivača.
Obaveze lica za zaštitu podataka o ličnosti
Član 58.
Lice za zaštitu podataka o ličnosti ima obavezu najmanje da:
1) informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
2) prati primenu odredbi ovog zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih na radnjama obrade, kao i kontrole;
3) na zahtev daje mišljenje o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje u skladu sa njom, u skladu sa članom 54. ovog zakona;
4) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz člana 54. ovog zakona.
U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.
U slučaju kad su rukovaoci nadležni organi koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona, odredbe stava 1. tač. 1. i 2. ovog člana ne primenjuju se na obrađivača.
5. Kodeks postupanja i sertifikacija
Kodeks postupanja
Član 59.
Udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu usvojiti kodeks postupanja u cilju efikasnije primene ovog zakona, a posebno u pogledu:
1) poštene i transparentne obrade;
2) legitimnih interesa rukovaoca, uzimajući u obzir okolnosti konkretnih slučajeva;
3) prikupljanja podataka o ličnosti;
4) pseudonimizacije podataka o ličnosti;
5) informacija koje se pružaju javnosti i licima na koje se podaci odnose;
6) ostvarivanja prava lica na koje se podaci odnose;
7) informacija koje se pružaju deci, njihove zaštite, kao i načina na koji se pribavlja pristanak roditelja, odnosno staralaca dece;
8) mera i postupaka iz čl. 41. i 42. ovog zakona, kao i mera koje imaju za cilj bezbednost obrade iz člana 50. ovog zakona;
9) obaveštavanja Poverenika o povredi bezbednosti podataka, kao i informisanja o tome lica na koje se podaci odnose;
10) prenosa podataka o ličnosti u druge države ili međunarodne organizacije;
11) načina rešavanja sporova između rukovaoca i lica na koje se podaci odnose mirnim putem, što ne utiče na ostvarivanja prava lica na koje se podaci odnose iz čl. 82. i 84. ovog zakona.
Kodeks postupanja koji je odobren u skladu sa stavom 5. ovog člana mogu prihvatiti putem ugovornih ili drugih pravno obavezujućih akata, odnosno obavezati se na njegovu primenu i rukovaoci, odnosno obrađivači na koje se ovaj zakon ne primenjuje iz člana 3. ovog zakona, u cilju obezbeđivanja odgovarajućih mera pravne zaštite u pogledu prenosa podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 3) ovog zakona.
Kodeks postupanja iz stava 1. ovog člana obavezno sadrži odredbe koje omogućavaju telu iz člana 60. stav 1. ovog zakona vršenje nadzora nad primenom kodeksa od strane rukovaoca ili obrađivača koji su se obavezali na primenu kodeksa, što ne utiče na opšta ovlašćenja, poslove i inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Udruženja i drugi subjekti iz stava 1. ovog člana koji nameravaju da izrade kodeks postupanja ili da izmene postojeći dužni su da predlog kodeksa, odnosno njegovih izmena, dostave Povereniku na mišljenje.
Poverenik je dužan da da mišljenje o usklađenosti predloga kodeksa postupanja, odnosno njegovih izmena, sa odredbama ovog zakona, kao i da registruje i objavi kodeks, na koji je prethodno dao saglasnost, ako utvrdi da kodeks sadrži dovoljne garancije za zaštitu podataka o ličnosti.
Odredbe st. 1. do 5. ovog člana ne primenjuju se u slučaju kad podatke o ličnosti obrađuje nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Nadzor nad primenom kodeksa postupanja
Član 60.
Nadzor nad primenom kodeksa postupanja, u skladu sa članom 59. stav 3. ovog zakona, može vršiti preduzetnik ili pravno lice koje poseduje odgovarajući nivo stručnosti u vezi sa sadržinom kodeksa i koje je akreditovano za vršenje nadzora od strane Poverenika.
Vršenje nadzora iz stava 1. ovog člana ne utiče na opšta ovlašćenja, poslove i inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Poverenik može akreditovati preduzetnika, odnosno pravno lice iz stava 1. ovog člana ako je ono:
1) dokazalo svoju nezavisnost i stručnost u odnosu na sadržinu kodeksa, u skladu sa mišljenjem Poverenika;
2) uspostavilo postupak ocene osposobljenosti rukovaoca, odnosno obrađivača za primenu kodeksa, praćenje njegove primene, kao i periodično preispitivanje njegove delotvornosti;
3) uspostavilo postupak i organ za odlučivanje o pritužbama zbog povrede kodeksa ili načina njegove primene od strane rukovaoca, odnosno obrađivača i obezbedilo transparentnost postupka i organa prema javnosti i licima na koje se podaci odnose;
4) dokazalo da u vršenju njegovih ovlašćenja ne može doći do sukoba interesa, u skladu sa mišljenjem Poverenika.
Preduzetnik, odnosno pravno lice iz stava 1. ovog člana preduzima odgovarajuće mere u propisanom postupku u slučaju povrede kodeksa postupanja od strane rukovaoca, odnosno obrađivača, uključujući i privremeno, odnosno trajno isključenje rukovaoca, odnosno obrađivača iz primene kodeksa.
Preduzetnik, odnosno pravno lice iz stava 1. ovog člana dužno je da obavesti Poverenika o preduzetim merama iz stava 4. ovog člana, kao i razlozima za njihovo određivanje.
Preduzimanje mera iz stava 4. ovog člana ne utiče na ovlašćenja Poverenika i primenu odredbi Glave VII. ovog zakona.
Poverenik oduzima akreditaciju preduzetniku, odnosno pravnom licu iz stava 1. ovog člana ako utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Odredbe st. 1. do 7. ovog člana ne primenjuju se na organe javne vlasti, odnosno nadležne organe koji obrađuju podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona.
Sertifikacija
Član 61.
U cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća, mogu se ustanoviti postupci sertifikacije zaštite podataka o ličnosti, sa odgovarajućim žigovima i oznakama.
U pogledu prenosa podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 4) ovog zakona, postupci sertifikacije, sa odgovarajućim žigovima i oznakama, mogu se ustanoviti, u skladu sa stavom 5. ovog člana, i u cilju dokazivanja preduzimanja mera pravne zaštite od strane rukovaoca i obrađivača na koje se ovaj zakon ne primenjuje iz člana 3. ovog zakona, pod uslovom da oni putem ugovora ili drugog pravno obavezujućeg akta prihvate primenu ovih mera pravne zaštite, uključujući i zaštitu prava lica na koje se podaci odnose.
Postupak sertifikacije je dobrovoljan i transparentan.
Sertifikacija iz stava 1. ovog člana ne može uticati na zakonske obaveze rukovaoca i obrađivača, niti na opšta ovlašćenja, poslove i inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikat izdaje sertifikaciono telo iz člana 62. ovog zakona ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik, u skladu sa ovlašćenjima iz člana 79. stav 3. ovog zakona.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu iz člana 62. ovog zakona, odnosno Povereniku, ako je zahtev upućen njemu, omoguće pristup radnjama obrade i pruže sve informacije o obradi podataka koje su neophodne za sprovođenje postupka sertifikacije.
Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijumime za sertifikaciju.
Sertifikat iz stava 7. ovog člana poništava se u slučaju kad sertifikaciono telo, odnosno Poverenik, ako je zahtev upućen njemu, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikata.
Poverenik vodi javni registar sertifikacionih tela i postupaka sertifikacije, sa odgovarajućim žigovima i oznakama.
Odredbe st. 1. do 9. ovog člana ne primenjuju se u slučaju kad podatke o ličnosti obrađuje nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Sertifikaciona tela
Član 62.
Sertifikaciono telo, koje ima odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje je akreditovano od strane Poverenika izdaje, obnavlja i poništava sertifikat, zajedno sa žigom i oznakom, i to posle obaveštavanja Poverenika o odluci koja se namerava doneti, što ne utiče na opšta ovlašćenja, poslove i inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikaciono telo iz stava 1. ovog člana može biti akreditovano od strane Poverenika samo ako:
1) dokaže svoju nezavisnost i stručnost u odnosu na predmet sertifikacije, u skladu sa mišljenjem Poverenika;
2) se obavezalo na poštovanje propisanih kriterijuma iz člana 61. stav 5. ovog zakona;
3) propiše postupak za izdavanje, periodičnu proveru i poništavanje sertifikata, žiga i oznake;
4) propiše postupak i odredi organe za postupanje po pritužbama protiv rukovaoca i obrađivača zbog vršenja radnji obrade na način suprotan izdatom sertifikatu i učini ih dostupnim javnosti i licu na koje se podaci odnose;
5) dokaže da u izvršavanju njegovih poslova ne može nastati sukob interesa, u skladu sa mišljenjem Poverenika;
Poverenik propisuje kriterijume za akreditaciju sertifikacionog tela iz stava 1. ovog člana, a u skladu sa uslovima iz stava 2. ovog člana.
Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikackiono telo i dalje ispunjava propisane uslove i kriterijume.
Poverenik poništava akreditaciju sertifikacionog tela ako utvrdi da ono više ne ispunjava uslove, odnosno kriterijume iz st. 2. i 3. ovog člana.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i poništavanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili poništavanje sertifikata.
Poverenik čini dostupnim javnosti kriterijume za akreditaciju iz stava 3. ovog člana, kao i kriterijume za sertifikaciju iz člana 61. stav 5. ovog zakona u lako dostupnom obliku.
Akreditacija sertifikacionog tela izdata na osnovu propisa Evropske unije priznaje se u skladu sa sporazumom zaključenim između Evropske unije i Republike Srbije.
Odredbe st. 1. do 8. ovog člana ne primenjuju se u slučaju kad podatke o ličnosti obrađuje nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
V. PRENOS PODATAKA O LIČNOSTI U DRUGE DRŽAVE I MEĐUNARODNE ORGANIZACIJE
Opšta načela
Član 63.
Svaki prenos podataka o ličnosti čija je obrada u toku ili podataka o ličnosti koji su namenjeni daljoj obradi posle iznošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako, u skladu sa drugim odredbama ovog zakona, rukovalac i obrađivač postupaju u skladu sa uslovima propisanim ovim poglavljem, što obuhvata i slučaj daljeg prenosa podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja nivoa zaštite fizičkih lica koji je jednak onom koji garantuje ovaj zakon.
U slučaju kad obradu podataka o ličnosti vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, prenos podataka čija je obrada u toku ili podataka koji su namenjeni daljoj obradi posle iznošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako su zajedno ispunjeni i sledeći uslovi:
1) prenos je neophodno izvršiti u cilju iz člana 1. stav 2. ovog zakona;
2) podaci o ličnosti se iznose rukovaocu u drugoj državi ili međunarodnoj organizaciji koji je nadležan organ za obavljanje poslove u cilju iz člana 1. stav 2. ovog zakona;
3) Vlada je objavila listu država, delova njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja i međunarodnih organizacija koje obezbeđuju primereni nivo zaštite podataka o ličnosti u skladu sa članom 64. ovog zakona, a prenos podataka se vrši u jednu od tih država, delova njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja ili međunarodnu organizaciju, ili ako to nije slučaj, primena odgovarajućih mera zaštite je obezbeđena u skladu sa čana 66. ovog zakona, ili ako njihova primena nije obezbeđena, primenjuju se odredbe člana 70. o prenosu podataka u posebnim situacijama;
4) u slučaju daljeg prenosa podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, nadležni organ koji je izvršio prvi prenos ili drugi nadležni organ u Republici Srbiji je odobrio dalji prenos, uzimajući u obzir sve okolnosti od značaja za dalji prenos, uključujući težinu krivičnog dela, svrhu prvog prenosa i nivo zaštite podataka o ličnosti u trećoj državi ili međunarodnoj organizaciji u koju se dalje prenose podaci.
Prenos na osnovu primerenog nivoa zaštite
Član 64.
Prenos podataka o ličnosti u drugu državu, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodnu organizaciju bez prethodnog odobrenja može se izvršiti ako je utvrđeno da ta druga država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja (sektor) ili međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti.
Smatra se da je primereni nivo zaštite iz stava 1. ovog člana obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu podataka, odnosno u državama, delovima njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja ili međunarodnim organizacijama za koje je od strane Evropske unije ili druge međunarodne organizacije utvrđeno da obezbeđuju primereni nivo zaštite.
Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana, osim ako se radi o članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu podataka, uzimajući u obzir:
1) princip vladavine prava i poštovanja ljudskih prava i osnovnih sloboda, važeće zakonodavstvo, uključujući i propise u oblasti javne bezbednosti, odbrane, nacionalne bezbednosti, krivičnog prava i pristupa organa javne vlasti podacima o ličnosti, kao i primenu ovih propisa, pravila o zaštiti podataka o ličnosti i profesionalnih pravila u ovoj oblasti, odnosno preduzimanje mera zaštite podataka o ličnosti, uključujući i pravila o daljem iznošenju podataka o ličnosti u treće države ili međunarodne organizacije, koja se primenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili međunarodnoj organizaciji, kao i delotvornost ostvarivanja prava lica na koje se odnose podaci, a posebno delotvornost upravnih i sudskih postupaka zaštite prava lica čiji se podaci iznose;
2) postojanje i delotvornost rada nadzornog tela za zaštitu podataka o ličnosti u drugoj državi ili nadzornog tela koje je nadležno za nadzor nad međunarodnom organizacijom u ovoj oblasti, sa ovlašćenjem da obezbedi primenu pravila o zaštiti podataka o ličnosti i pokrene mehanizme zaštite podataka o ličnosti u slučaju njihovog nepoštovanja, pomogne i savetuje licu na koje se podaci odnose u ostvarivanju njegovih prava, kao i da sarađuje sa Poverenikom;
3) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze koje proizilaze iz pravnoobavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u pogledu zaštite podatka o ličnosti.
Smatra se da postoji primereni nivo zaštite ako je sa drugom državom ili međunarodnom organizacijom zaključen i potvrđen međunarodni sporazum o prenosu podataka o ličnosti.
U postupku potvrđivanja međunarodnog sporazuma iz stava 4. ovog člana, posebno se utvrđuje ispunjenost uslova iz stava 3. ovog člana.
Vlada je dužna da neprekidno prati promene stanja u drugoj državi, delu njene teritorije, oblastima delatnosti, odnosno pravnog regulisanja ili međunarodnoj organizaciji koji je od značaja za odluku iz stava 3. ovog člana, i to na osnovu informacija prikupljenih neposredno i uzimajući u obzir informacije prikupljene od strane međunarodnih organizacija.
Lista država, delova njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja i međunarodnih organizacija iz stava 2. ovog člana objavljuje se u "Službenom glasniku Republike Srbije".
Prenos uz primenu odgovarajućih mera zaštite
Član 65.
Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodnu organizaciju koja nije obuhvaćena listom Vlade iz člana 64. stav 7. ovog zakona samo ako je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se bez posebnog odobrenja Poverenika obezbediti:
1) pravnoobavezujućim aktom u odnosu između organa javne vlasti;
2) obavezujućim poslovnim pravilama, u skladu sa članom 67. ovog zakona;
3) odobrenim kodeksom postupanja u skladu sa članom 59. ovog zakona, zajedno sa obavezujućom i sprovodivom primenom odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi;
4) odobrenim postupcima sertifikacije iz člana 61. ovog zakona, zajedno sa preuzetim obavezama primene odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se obezbediti i na osnovu posebnog odobrenja Poverenika:
1) ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u drugoj državi ili međunarodnoj organizaciji;
2) odredbama koje se unose u sporazum između organa javne vlasti kojima se obezbeđuje delotvorna i sprovodiva zaštita prava lica na koje se podaci odnose.
Odredbe st. 1. do 3. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Prenos podataka koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona uz primenu odgovarajućih mera zaštite
Član 66.
U slučaju kad podatke o ličnosti obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona, prenos podataka o ličnosti u drugu državu deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodnu organizaciju koja nije obuhvaćena listom Vlade iz člana 64. stav 7. ovog zakona dopušten je samo ako:
1) su odgovarajuće mere zaštite podataka o ličnosti propisane u pravnoobavezujućem aktu;
2) je rukovalac ocenio sve okolnosti koje se odnose na prenos podataka o ličnosti i utvrdio da odgovarajuće mere zaštite podataka o ličnosti postoje.
Rukovalac je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. tačka 2) ovog člana.
Rukovalac je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. tačka 2) ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlogu za prenos i podacima koji su preneti.
Obavezujuća poslovna pravila
Član 67.
Poverenik odobrava obavezujuća poslovna pravila, ako ona ispunjavaju zajedno sledeće uslove:
1) pravno su obavezujuća i primenjuju se na i sprovode se od strane svakog člana multinacionalne kompanije, odnosno grupe privrednih subjekata, uključujući i njihove zaposlene;
2) izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih podataka;
3) zadovaljavaju uslove propisane stavom 2. ovog člana.
Pravilima iz stava 1. ovog člana mora se najmanje odrediti:
1) struktura i kontakt podaci multinacionalne kompanije, odnosno grupe privrednih subjekata, kao i svakog od njenih članova pojedinačno;
2) prenos ili grupa prenosa podataka o ličnosti, uključujući vrste podataka o ličnosti, vrste radnji obrade i njihovu svrhu, vrste lica na koje se podaci odnose i naziv države u koju se podaci prenose;
3) obaveznost primene ovih pravila za svakog rukovaoca pojedinačno i u okviru grupe;
4) primena opštih načela zaštite podataka o ličnosti, a naročito ograničenje u odnosu na svrhu obrade, minimizacija podataka, ograničenje čuvanja, integritet podataka, mere stalne zaštite podataka, pravni osnov za obradu, obrade posebnih kategorija podataka o ličnosti, mere bezbednosti i uslovi za dalji prenos podataka o ličnosti na lica ili tela koja nisu obavezana ovim pravilima;
5) prava lica na koje se podaci odnose, kao i mehanizmi pravne zaštite ovih prava, uključujući i prava u vezi sa automatizovanim donošenjem pojedinačnih odluka i profilisanjem iz člana 38. ovog zakona, prava na podnošenje pritužbe Povereniku, odnosno tužbe sudu u skladu sa čl. 82. i 84. ovog zakona, kao i pravo na naknadu štete zbog povrede ovih pravila;
6) prihvatanje odgovornosti rukovaoca, odnosno obrađivača sa prebivalištem, boravištem ili sedištem na teritoriji Republike Srbije za povredu ovih pravila koju je učinio drugi član grupe koji nema prebivalište, boravište ili sedište na teritoriji Republike Srbije, osim u slučaju kad rukovalac ili obrađivač dokaže da taj drugi član grupe nije za to pravno odgovoran;
7) način na koji se lice na koje se podaci odnose informiše o ovim pravilima, a posebno o pravilima iz tač. 4) do 6) ovog stava, uz ostale informacije iz čl. 23. i 24. ovog zakona;
8) ovlašćenja lica za zaštitu podataka o ličnosti u skladu sa članom 58. ovog zakona ili drugog lica koje je ovlašćeno za nadzor nad primenom obavezujućih poslovnih pravila unutar multinacionalne kompanije, odnosno grupe privrednih subjekata, uključujući i nadzor nad obukom i odlučivanje o pritužbama unutar grupe;
9) postupak odlučivanja o pritužbama;
10) mehanizam provere postupanja u skladu sa obavezujućim poslovnim pravilima unutar multinacionalne kompanije, odnosno grupe privrednih subjekata. Ovaj mehanizam uključuje i reviziju zaštite podataka o ličnosti i način obezbeđivanja mera zaštite prava lica na koje se podaci odnose. Rezultati provere moraju biti saopšteni licu iz tačke 8) ovog stava, kao i upravljačkom organu multinacionalne kompanije, odnosno grupe privrednih subjekata, a moraju biti stavljeni na raspolaganje i Povereniku na njegov zahtev;
11) način izveštavanja i vođenje evidencije o promenama ovih pravila i obaveštavanje Poverenika o tome;
12) način saradnje sa Poverenikom u cilju primene ovih pravila od strane svakog člana multinacionalne kompanije, odnosno grupe privrednih subjekata pojedinačno, a posebno način na koji se povereniku stavljaju na raspolaganje dostupni rezultati provere iz tačke 10) ovog stava;
13) način izveštavanja Poverenika o pravnim zahtevima koji se postavljaju pred člana multinacionalne kompanije, odnosno grupe privrednih subjekata u drugoj državi, a koji bi mogli imati značajan štetan uticaj na garancije propisane ovim pravilima;
14) obuka za zaštitu podataka o ličnosti lica koja imaju trajan ili redovan pristup podacima o ličnosti.
Poverenik može bliže urediti način razmene informacija između rukovalaca, obrađivača i Poverenika u primeni stava 2. ovog člana.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na prenos podataka koji obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Prenos ili otkrivanje podataka o ličnosti na osnovu pojedinačne odluke organa druge države
Član 68.
Pojedinačna odluka doneta u drugoj državi kojom se od rukovaoca ili obrađivača zahteva prenos ili otkrivanje podataka o ličnosti može biti priznata, odnosno izvršena na teritoriji Republike Srbije samo ako se zasniva na međunarodnom sporazumu, kao što je sporazum o međunarodnoj pravnoj pomoći zaključenom između Republike Srbije i te druge države, što ne utiče na primenu drugih osnova za prenos u skladu sa odredbama Glave VI. ovog zakona.
Odredba stava 1. ovog člana ne primenjuje se na prenos podataka koji obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Prenos podataka u posebnim situacijama
Član 69.
Ako se prenos podatka o ličnosti ne vrši u skladu sa odredbama čl. 64, 65. i 67. ovog zakona, ovi podaci mogu se preneti u drugu državu, odnosno međunarodnu organizaciju samo ako se radi o jednom od sledećih slučajeva:
1) lice na koje se podaci odnose je izričito pristalo na predloženi prenos, pošto je informisano o mogućim rizicima vezanim za ovaj prenos zbog nepostojanja odluke o zadovoljavajućem nivou zaštite i odgovarajućih mera zaštite;
2) prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili primenu predugovornih mera preduzetih po zahtevu lica na koje se podaci odnose;
3) prenos je neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica;
4) prenos je neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije i pod uslovom da ovim zakonom prenos pojedinih kategorija podataka o ličnosti nije ograničen;
5) prenos je neophodan za podnošenje, ostvarivanje, odnosno odbranu od pravnog zahteva;
6) prenos je neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, pod uslovom da je lice na koje se podaci odnose fizički ili pravno nesposobno za davanje pristanka;
7) prenose se pojedini podaci sadržani u javnom registru koji su dostupni licu koje ima pravni interes ili javnosti, ali samo u meri u kojoj su ispunjeni uslovi propisani zakonom u vezi sa njihovom dostupnošću.
Ako se prenos ne može izvršiti u skladu sa stavom 1. ovog člana i čl. 64, 65. i 67. ovog zakona, podaci o ličnosti se mogu prenetu u drugu državu, odnosno međunarodnu organizaciju samo ako su zajedno ispunjeni sledeći uslovi:
1) prenos podataka se ne ponavlja;
2) prenose se podaci ograničenog broja lica;
3) prenos je neophodan u cilju ostvarivanja legitimnog interesa rukovaoca koji preteže nad interesima, odnosno pravima ili slobodama lica na koje se podaci odnose;
4) rukovalac je obezbedio primenu odgovarajućih mera i mehanizama pravne zaštite podataka o ličnosti na osnovu prethodne procene svih okolnosti u vezi sa prenosom ovih podataka.
Rukovalac, odnosno obrađivač dužni su da obezbede dokaz o izvršenoj proceni i primeni odgovarajućih mera zaštite iz stava 2. tačka 4) ovog člana u evidenciji o radnjama obrade iz člana 47. ovog zakona.
Rukovalac je dužan da obavesti Poverenika o prenosu podataka izvršenom u skladu sa stavom 2. ovog člana.
Rukovalac je dužan da licu na koje se podaci odnose, uz informacije iz čl. 23. i 24. ovog zakona, pruži i informaciju o prenosu podataka iz stava 2. ovog člana, uključujući i informaciju o tome koji se interes rukovaoca ostvaruje prenosom u skladu sa stavom 2. tačka 3) ovog člana.
Prenos u skladu sa stavom 1. tačka 7) ovog člana ne može da se odnosi na sve podatke o ličnosti iz registra ili pojedine kategorije podataka u celini.
U slučaju kad se prenose podaci iz registra koji su dostupni samo licu koje ima pravni interes, u skladu sa stavom 1. tačka 7) ovog člana, prenos se može izvršiti samo na zahtev tog lica ili ako je to lice primalac podataka.
Odredbe iz stava 1. tač. 1) do 3) i stava 2. ovog člana ne primenjuju se na aktivnosti organa javne vlasti u vršenju njihovih nadležnosti.
Odredbe st. 1. do 8. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona.
Prenos podataka koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona u posebnim situacijama
Član 70.
Ako se prenos podatka o ličnosti koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona ne vrši u skladu sa odredbama čl. 64. i 66. ovog zakona, ovi podaci mogu se preneti u drugu državu, odnosno međunarodnu organizaciju samo ako je prenos neophodan u jednom od sledećih slučajeva:
1) u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
2) u cilju zaštite legitimnih interesa lica na koje se podaci odnose i ako to nalaže zakon;
3) u cilju sprečavanja neposredne i ozbiljne opasnosti po javnu bezbednost u Republici Srbiji ili drugoj državi;
4) u pojedinačnom slučaju u cilju iz člana 1. stav 2. ovog zakona;
5) u pojedinačnom slučaju u cilju podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva ako se ovaj cilj neposredno vezuje za cilj iz člana 1. stav 2. ovog zakona.
Prenos podataka o ličnosti ne sme se izvršiti ako nadležan organ koji vrši prenos utvrdi da interes zaštite osnovnih prava i sloboda lica na koje se podaci odnose preteže u odnosu na javni interes iz stava 1. tač. 4. i 5. ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlogu za prenos i podacima koji su preneti.
Prenos podataka koje obrađuju nadležni organi u cilju iz člana 1. stav 2. ovog zakona primaocu u drugoj državi
Član 71.
Izuzetno od odredbe člana 63. stav 2. tačka 2) ovog zakona, kao i bez obzira na primenu međunarodnog sporazuma iz stava 2. ovog člana, nadležni organ iz člana 4. tačka 28. podtačka a) ovog zakona koji obrađuje podatke u cilju iz člana 1. stav 2. ovog zakona, može preneti podatke o ličnosti neposredno primaocu u drugoj državi samo ako su poštovane druge odredbe ovog zakona i ako su zajedno ispunjeni sledeći uslovi:
1) prenos je neophodan za izvršenje zakonskog ovlašćenja nadležnog organa koji vrši prenos u cilju iz člana 1. stav 2. ovog zakona;
2) nadležni organ koji vrši prenos je utvrdio da interes zaštite osnovnog prava ili slobode lica na koje se podaci odnose ne preteže u odnosu na javni interes radi čije zaštite je neophodno izvršiti prenos podataka;
3) nadležni organ koji vrši prenos smatra da je prenos nadležnom organu u drugoj državi u cilju iz člana 1. stav 2. ovog zakona nedelotvoran ili da ne odgovara potrebi postizanja ovog cilja, a posebno ako se prenos ne može izvršiti na vreme;
4) nadležni organ u drugoj državi je bez odlaganja obavešten o prenosu, osim ako ovo obaveštavanje nije delotvorno ili ne odgovara potrebi postizanja cilja;
5) nadležni organ koji vrši prenos je obavestio primaoca u drugoj državi o svrsi obrade podataka, kao i o tome da se obrada može vršiti samo u tu svrhu, samo od strane primaoca i samo ako je obrada neophodna.
Međunarodni sporazum iz stava 1. ovog člana odnose se na svaki sporazum koji je zaključen između Republike Srbije i jedne ili više drugih država kojim se reguliše saradnja u krivičnim stvarima ili policijska saradnja.
Nadležni organ koji vrši prenos je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku na njegov zahtev.
Dokumentacija o prenosu iz stava 4. ovog člana sadrži informacije o datumu i vremenu prenosa, primaocu podataka, razlogu za prenos i podacima koji su preneti.
Međunarodna saradnja u vezi sa zaštitom podataka o ličnosti
Član 72.
Poverenik je dužan da preduzme odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama, odnosno međunarodnim organizacijama u cilju:
1) razvoja mehanizama međunarodne saradnje u vezi sa delotvornom primenom zakona koji se odnose na zaštitu podataka o ličnosti;
2) obezbeđivanja uzajamne međunarodne pravne pomoći u primeni zakona koji se odnose na zaštitu podataka o ličnosti, uključujući i putem obaveštavanja, upućivanja na postupke zaštite i pravne pomoći u vršenju nadzora i razmeni informacija, pod uslovom da su preduzete odgovarajuće mere zaštite podataka o ličnosti i osnovnih prava i sloboda;
3) angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona koji se odnose na zaštitu podataka o ličnosti;
4) podsticanje i unapređivanje razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti i njegovoj primeni, uključujući i pitanja sukoba nadležnosti i prava u ovoj oblasti.
VI. POVERENIK
1. Nezavistan status
Nadzorno telo
Član 73.
U cilju zaštite osnovnih prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti, poslove nadzora nad primenom ovog zakona u skladu sa propisanim ovlašćenjima vrši Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik), kao nezavistan državni organ.
Nezavisnost
Član 74.
U vršenju svojih ovlašćenja, u skladu sa ovim zakonom, Poverenik je nezavistan, slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne traži niti prima naloge od bilo koga.
Poverenik se ne može baviti drugom delatnošću niti drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje i ne može biti član udruženja, odnosno političke stranke, niti politički delovati.
U cilju obezbeđivanja delotvornog vršenja zakonom propisanih ovlašćenja, neophodna finansijska sredstva za rad, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove za rad Poverenika obezbeđuju se u skladu sa zakonom kojim se uređuje budžet i zakonima kojima se uređuje državna uprava i položaj državnih službenika.
Poverenik samostalno vrši izbor zaposlenih između kandidata koji ispunjavaju uslove za rad u državnim organima, propisanih zakonom, i njima potpuno samostalno rukovodi.
Nadzor nad trošenjem sredstava za rad Poverenika vrši Državna revizorska institucija, u skladu sa zakonom, na način koji ne utiče na nezavisnost Poverenika.
Izbor i razrešenje Poverenika
Član 75.
Pored uslova za izbor Poverenika, propisanih zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, Poverenik mora da ima potrebno stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti.
Pored uslova za prestanak funkcije i razrešenje Poverenika, propisanih zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, Poverenik se razrešava i u slučaju kada se utvrdi da više ne ispunjava uslove za izbor i obavljanje funkcije Poverenika propisane ovim zakonom.
Obaveza čuvanja profesionalne tajne
Član 76.
Poverenik i zaposleni u službi Poverenika dužni su da kao profesionalnu tajnu čuvaju sve podatke do kojih su došli u obavljanju svoje funkcije, odnosno poslova, uključujući i podatke u vezi sa povredom ovog zakona sa kojima ih je upoznalo lice koje nije zaposleno kod Poverenika.
Obaveza iz stava 1. ovog člana traje i posle prestanka obavljanja funkcije Poverenika, odnosno prestanka rada u službi Poverenika.
2. Nadležnosti Poverenika
Opšta ovlašćenja
Član 77.
Poverenik vrši svoja ovlašćenja na teritoriji Republike Srbije, u skladu sa ovim zakonom.
Poverenik nije nadležan u slučaju kad podatke o ličnosti obrađuju sudovi u vršenju sudske vlasti.
Poslovi Poverenika
Član 78.
Poverenik:
1) prati i sprovodi primenu ovog zakona u skladu sa svojim ovlašćenjima;
2) stara se o podizanju svesti javnosti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom podataka o ličnosti, a posebno ako se radi o obradi podataka o deci;
3) daje mišljenje, u skladu sa propisom, Narodnoj skupštini, Vladi, drugim organima javne vlasti i organizacijama o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti;
4) stara o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim zakonskim obavezama;
5) na zahtev lica na koje se podaci odnose, pruža informacije o njihovim zakonskim pravima;
6) rešava o pritužbama i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi u skladu sa članom 82. ovog zakona;
7) sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u razmeni informacija i pružanju uzajamne pravne pomoći;
8) vrši inspekcijski nadzor nad primenom ovog zakona;
9) prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za zaštitu podataka o ličnosti;
10) izrađuje standardne ugovorne klauzule iz člana 45. stav 11. ovog zakona;
11) sačinjava i javno objavljuje liste iz člana 54. stav 5. ovog zakona;
12) daje pismeno mišljenje iz člana 55. stav 4. ovog zakona;
13) podstiče izradu kodeksa postupanja u skladu sa članom 59. stav 1. ovog zakona i daje mišljenje i saglasnost na kodeks postupanja u skladu sa članom 59. stav 5. ovog zakona;
14) podstiče uspostavljanje postupaka sertifikacije zaštite podataka o ličnosti i odgovarajućih žigova i oznaka u skladu sa članom 61. stav 1. i propisuje kriterijume za sertifikaciju u skladu sa članom 61. stav 5. ovog zakona;
15) sprovodi periodično preispitivanje sertifikata u skladu sa članom 61. stav 8. ovog zakona;
16) propisuje i objavljuje kriterijume za akreditaciju lica za nadzor nad primenom kodeksa postupanja u skladu sa članom 60. ovog zakona i sertifikacionog tela u skladu sa članom 62. ovog zakona;
17) akredituje lice za nadzor nad primenom kodeksa postupanja u skladu sa članom 60. ovog zakona i sertifikaciono telo u skladu sa članom 62. ovog zakona;
18) odobrava odredbe ugovora ili sporazuma iz člana 65. stav 3. ovog zakona;
19) odobrava obavezujuća poslovna pravila u skladu sa članom 67. ovog zakona;
20) vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju u skladu sa članom 79. stav 2. ovog zakona;
21) vrši i druge poslove od značaja za zaštitu podataka o ličnosti.
U cilju pojednostavljivanja podnošenja pritužbe, Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva komunikacije.
Poverenik obavlja svoje poslove na način da je to besplatno za lice na koje se podaci odnose i lice za zaštitu podataka o ličnosti.
Ako je zahtev Povereniku očigledno neosnovan, preobiman ili se preterano ponavlja, Poverenik može da zahteva naknadu nužnih troškova za postupanje po zahtevu, ili može da odbije da postupa po tom zahtevu, uz obrazloženje u kome se dokazuje da se radi o neosnovanom, preobimnom ili preterano ponavljanom zahtevu.
Inspekcijska i druga ovlašćenja
Član 79.
Poverenik je ovlašćen da:
1) naloži rukovaocu i obrađivaču, i, ako je to primenjivo, njihovim predstavnicima, da mu pruže sve informacije koje zatraži u vršenju svojih ovlašćenja;
2) vrši nadzor nad zaštitom podataka o ličnosti;
3) proverava ispunjenost uslova za sertifikaciju u skladu sa članom 61. stav 8. ovog zakona;
4) obaveštava rukovaoca, odnosno obrađivača o navodnim povredama ovog zakona;
5) zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja;
6) zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.
Poverenik je ovlašćen da preduzme sledeće korektivne mere:
1) da upozori rukovaoca i obrađivača da se nameravanim radnjama obrade mogu povrediti odredbe ovog zakona;
2) da izrekne opomenu rukovaocu, odnosno obrađivaču u slučaju kad se obradom podataka o ličnosti povređuju odredbe ovog zakona;
3) da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, u skladu sa ovim zakonom;
4) da naloži rukovaocu i obrađivaču da usklade radnje obrade podataka o ličnosti sa odredbama ovog zakona, na tačno određeni način i u tačno određenom vremenskom periodu;
5) da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi bezbednosti ovih podataka;
6) da izrekne privremeno ili trajno ograničenje vršenja radnje obrade, uključujući i zabranu obrade;
7) da naloži ispravljanje, odnosno brisanje podataka o ličnosti ili ograniči vršenje radnje obrade u skladu sa čl. 29. do 32. ovog zakona, kao i obaveštavanje o tome rukovalaca, odnosno primalaca kojima su podaci o ličnosti otkriveni ili preneti, u skladu sa članom 30. stav 3. i čl. 33. i 34. ovog zakona;
8) da poništi sertifikat ili da naloži sertifikacionom telu poništavanje sertifikata koji je izdat u skladu sa čl. 61. i 62. ovog zakona, kao i da naloži sertifikacionom telu da odbije izdavanje sertifikata ako nisu ispunjeni uslovi za njegovo izdavanje;
9) da izrekne novčanu kaznu na osnovu prekršajnog naloga, u skladu sa članom 87. ovog zakona, uz ili umesto drugih mera propisanih ovim stavom, u zavisnosti od okolnosti konkretnog slučaja;
10) da obustavi prenos podataka o ličnosti primaocu u drugoj državi ili međunarodnoj organizaciji.
Poverenik je ovlašćen i da:
1) izrađuje standardne ugovorne klauzule iz člana 45. stav 11;
2) daje mišljenje rukovaocima u postupku prethodnog obaveštavanja i pribavljanja mišljenja Poverenika, skladu sa članom 55. ovog zakona;
3) daje mišljenje, po sopstvenoj inicijativi ili na zahtev, Narodnoj skupštini, Vladi, drugim organima javne vlasti i organizacijama, kao i javnosti, o svim pitanjima u vezi sa zaštitom podataka o ličnosti;
4) registruje i objavljuje kodeks postupanja, na koji je prethodno dao saglasnost, u skladu sa članom 59. stav 5. ovog zakona;
5) izdaje sertifikate i propisuje kriterijume za sertifikaciju, u skladu sa članom 61. stav 5. ovog zakona;
6) akredituje sertifikaciono telo, u skladu sa članom 62. ovog zakona;
7) odobrava ugovorne odredbe, odnosno odredbe koje se unose u sporazum, u skladu sa članom 65. stav 3. ovog zakona;
8) odobrava obavezujuća poslovna pravila, u skladu sa članom 67. ovog zakona.
Nadzor nad vršenjem ovlašćenja Poverenika propisanih ovim članom vrši sud, u skladu sa ovim zakonom.
U vršenju svojih ovlašćenja Poverenik može da pokrene postupak pred sudom ili drugim organom, u skladu sa zakonom.
Prijavljivanje povrede zakona
Član 80.
Nadležni organ koji obrađuje podatke o ličnosti u cilju iz člana 1. stav 2. ovog zakona dužan je da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona Povereniku.
Izveštavanje
Član 81.
Poverenik je dužan da sačini godišnji izveštaj o svojim aktivnostima, sa podacima o vrstama povreda ovog zakona i merama koje su preduzete u vezi sa tim povredama.
Izveštaj iz stava 1. ovog stava dostavlja se Narodnoj skupštini i Vladi, i stavlja se na uvid javnosti, na odgovarajući način.
VII. PRAVNA SREDSTVA, ODGOVORNOST I KAZNE
Pravo na pritužbu Povereniku
Član 82.
Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. Podnošenje pritužbe Povereniku ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezulatatima postupka, kao i o pravu lica da pokrene sudski postupak u skladu sa članom 83. ovog zakona.
Pravo na sudsku zaštitu protiv odluke Poverenika
Član 83.
Lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, doneta u skladu sa ovim zakonom, ima pravo da protiv ove odluke tužbom pokrene upravni spor u roku od 90 dana od dana prijema odluke. Podnošenje tužbe u upravnom sporu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Ako Poverenik u roku od 90 dana od dana podnošenja pritužbe ne postupi po pritužbi ili ne postupi u skladu sa članom 82. stav 2. ovog zakona, lice na koje se podaci odnose ima pravo da pokrene upravni spor.
Sudska zaštita prava lica
Član 84.
Lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da je njegovo pravo propisano ovim zakonom povređeno radnjom obrade podataka o njegovoj ličnosti od strane rukovaoca, odnosno obrađivača, suprotno odredbama ovog zakona. Podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda da obaveže tuženog na davanje informacije iz čl. 22. do 27, čl. 33. do 35. i člana 37. ovog zakona, na ispravku, odnosno brisanje podataka o tužiocu iz čl. 29, 30. i 32. ovog zakona, na ograničenje obrade iz čl. 31. i 32. ovog zakona, na davanje podataka u struktuiranom, uobičajno korišćenom i elektronski čitljivom formatu, kao i prenošenje podataka drugom rukovaocu iz člana 36. ovog zakona i na prekid obrade podataka iz člana 37. ovog zakona.
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda i da utvrdi da je odluka koja se odnosi na tužioca doneta suprotno čl. 38. i 39. ovog zakona.
Tužba iz st. 2. i 3. ovog člana podnosi se višem sudu na čijoj teritoriji rukovalac, odnosno obrađivač ima prebivalište, boravište, odnosno sedište ili na čijoj teritoriji lice na koje se odnose podaci ima prebivalište ili boravište, osim ako je rukovalac, odnosno obrađivač organ javne vlasti.
Revizija pravnosnažne odluke donete po tužbama iz st. 2. i 3. ovog člana je uvek dopuštena.
U postupku zaštite iz stava 1. ovog člana primenjuju se odredbe zakona kojim se uređuje parnični postupak.
Zastupanje lica na koje se podaci odnose
Član 85.
Lice na koje se podaci odnose ima pravo da ovlasti udruženje koje se bavi zaštitom prava i sloboda lica na koje se podaci odnose, a u vezi sa zaštitom podataka o ličnosti, da ga zastupa u postupku propisanom čl. 82. do 84. ovog zakona, kao i postupku propisanom članom 86. ovog zakona.
Pravo na naknadu štete
Član 86.
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Ako je materijalna ili nematerijalna šteta prouzrokovana nezakonitom obradom podataka koju vrše nadležni organi u cilju iz člana 1. stav 2. ovog zakona, odnosno povredom odredaba zakona koji se odnose na obradu ovih podataka, lice koje je pretrpelo štetu ima pravo na naknadu štete od rukovaoca ili drugog organa protiv kojeg se može podneti tužba za naknadu štete, u skladu sa zakonom.
Za štetu iz stava 1. ovog člana odgovara rukovalac, a obrađivač samo u slučaju kad nije postupao u skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je postupao izvan ili suprotno uputstvima rukovaoca izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije odgovoran za nastanak štete.
Ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade štete.
Ako je rukovalac, odnosno obrađivač iz stava 4. ovog člana isplatio celokupan iznos naknade štete, on ima pravo da zahteva od drugih rukovaoca, odnosno obrađivača povraćaj dela iznosa koji odgovara njihovoj odgovornosti za nastanak štete, u skladu sa stavom 3. ovog člana.
Uslovi za izricanje novčanih kazni
Član 87.
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način.
Novčane kazne iz stava 1. ovog člana, u zavisnosti od okolnosti pojedinačnog slučaja, mogu se izreći uz mere ili umesto mera propisanih članom 79. stav 2. tač. 1) do 8) i tačka 10) ovog zakona.
Prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu mora se u svakom pojedinačnom slučaju voditi računa o:
1) prirodi, težini i trajanju povrede odredbi zakona, uzimajući u obzir vrstu, obim i svrhu obrade, kao i broj lica na koje se podaci odnose i nivo štete koju su oni pretrpeli;
2) postojanju namere ili nepažnje prekršioca;
3) aktivnostima rukovaoca i obrađivača usmerenim na otklanjanje ili ublažavanje štete koju su pretrpela lica na koje se podaci odnose;
4) stepenu odgovornosti rukovaoca i obrađivača, uzimajući u obzir mere koje su primenili u skladu sa čl. 42. i 50. ovog zakona;
5) prethodnim slučajevima kršenja odredbi ovog zakona od strane rukovaoca i obrađivača koji su od značaja za izricanje kazne;
6) stepenu saradnje rukovaoca i obrađivača sa Poverenikom u cilju otklanjanja posledica povrede zakona i otklanjanja ili ublažavanja štetnih posledica povrede;
7) vrstama podataka o ličnosti na koje se odnose povrede;
8) načinu na koji je Poverenik saznao za povredu, a posebno o tome da li je i u kojoj meri rukovalac, odnosno obrađivač obavestio Poverenika o povredi;
9) postupanju u skladu sa korektivnim merama Poverenika koje su ranije izrečene rukovaocu, odnosno obrađivaču u vezi sa istim slučajem povrede, u skladu sa članom 79. stav 2. ovog zakona;
10) primeni odobrenih kodeksa postupanja u skladu sa članom 59. ovog zakona, odnosno odobrenih sertifikacionih mehanizama iz člana 61. ovog zakona;
11) svim drugim otežavajućim i olakšavajućim okolnostima u konkretnom slučajaju, kao što su izbegavanje finansijskog gubitka ili finansijska korist koja je ostvarena na neposredan ili posredan način povredom odredbi ovog zakona.
VIII. POSEBNI SLUČAJEVI OBRADE
Obrada podataka i slobode izražavanja i informisanja
Član 88.
Na obradu podataka o ličnosti koja se vrši u cilju novinarskog istraživanja i objavljivanja informacija u medijima, kao i naučnog, umetničkog ili književnog izražavanja, ne primenjuju se odredbe Glave II. do VI. i Glave VIII. ovog zakona, ako i u meri u kojoj je u konkretnom slučaju ovo ograničenje primene neophodno u cilju zaštite slobode izražavanja i informisanja.
Obrada podataka o ličnosti i slobodan pristup informacijama od javnog značaja
Član 89.
Informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu informacije od strane organa javne vlasti na način kojim se obezbeđuje da se pravo javnosti da zna i pravo na zaštitu podataka o ličnosti mogu ostvariti zajedno u meri propisanoj zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja i ovim zakonom.
Obrada jedinstvenog matičnog broja građana
Član 90.
Na obradu jedinstvenog matičnog broja građana, uz odredbe ovog zakona, primenjuju se i odredbe zakona kojim se uređuje jedinstveni matični broj građana, odnosno drugog zakona.
Obrada u oblasti rada i zapošljavanja
Član 91.
Na obradu podataka o ličnosti u oblasti rada i zapošljavanja, uz odredbe ovog zakona, primenjuju se i odredbe zakona kojima se uređuje rad i zapošljavanje, kao i zaključeni kolektivni ugovori.
Ako kolektivni ugovor sadrži odredbe o zaštiti podataka o ličnosti, moraju se propisati i mere zaštite dostojanstva ličnosti, opravdanih interesa i osnovnih prava lica na koje se podaci odnose, posebno uzimajući u obzir transparentnost obrade, razmenu podataka o ličnosti unutar multinacionalne kompanije, odnosno grupe privrednih subjekata, kao i sistem nadzora u radnoj sredini.
Zaštita i ograničenje primene odredbi zakona na obradu podataka u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja i u statističke svrhe
Član 92.
Na obradu podataka o ličnosti u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja i u statističke svrhe primenjuju se odgovarajući mehanizmi zaštite prava i sloboda lica na koje se podaci odnose propisani ovim zakonom. Ovi mehanizmi obezbeđuju primenu tehničkih, organizacionih i kadrovskih mera, a posebno u cilju obezbeđivanja poštovanja načela minimizacije podataka. Ove mere mogu obuhvatiti pseudonimizaciju ako se svrha obrade može ostvariti upotrebom te mere.
Ako se bez identifikacije ili bez dalje identifikacije lica na koje se podaci odnose može ostvariti svrha iz stava 1. ovog člana, svrha se mora ostvariti na taj način, odnosno obrada se mora vršiti na način koji ne omogućava identifikaciju tog lica.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26, 29, 31. i 37. ovog zakona ne primenjuju se u slučaju kad se obrada podataka o ličnosti vrši u svrhu naučnog ili istorijskog istraživanja, odnosno u statističke svrhe, ako je to neophodno za ostvarivanje ovih svrha, odnosno ako bi primena ovih odredbi onemogućila ili značajno otežala njihovo ostvarivanje.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26. i 29. i čl. 31. do 37. ovog zakona ne primenjuju se u slučaju kad se obrada podataka o ličnosti vrši u svrhu arhiviranja u javnom interesu ako je to neophodno za ostvarivanje ove svrhe, odnosno ako bi primena ovih odredbi onemogućila ili značajno otežala njeno ostvarivanje.
Prilikom obrade podataka o ličnosti iz st. 3. i 4. ovog člana moraju biti zadovoljeni uslovi i primenjene mere iz st. 1. i 2. ovog člana.
Ako se obrada iz st. 3. i 4. ovog člana vrši i u druge svrhe, na obradu u te druge svrhe primenjuju se odredbe ovog zakona bez ograničenja.
Obrada podataka o ličnosti od strane crkava i verskih zajednica
Član 93.
Ako se obrada podataka o ličnosti uređuje posebnim pravilima crkve, odnosno verske zajednice, ova pravila moraju biti u skladu sa odredbama ovog zakona.
Odredbe ovog zakona o nadležnosti i ovlašćenjima poverenika primenjuju se i u slučaju obrade podataka o ličnosti od strane crkava i verskih zajednica.
Obrada podataka o ličnosti u humanitarne svrhe od strane organa javne vlasti
Član 94.
U cilju prikupljanja sredstava za humanitarne potrebe podaci o ličnosti koje obrađuje organ javne vlasti ne mogu se ustupati trećim licima.
Podaci o ličnosti koje obrađuje organ javne vlasti mogu da se obrađuju i u cilju prikupljanja sredstava za humanitarne potrebe, uz primenu odgovarajućih mera zaštite prava i sloboda lica na koje se podaci odnose, u skladu sa ovim zakonom.
H. KAZNENE ODREDBE
Član 95.
Novčanom kaznom od 50.000 dinara do 2.000.000 kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako:
1) obrađuje podatke o ličnosti suprotno načelima obrade iz člana 5. stav 1. ovog zakona;
2) nije u mogućnosti da predoči primenu načela o obradi podataka o ličnosti (član 5. stav 2);
3) obrađuje podatke o ličnosti u druge svrhe, suprotno čl. 6. i 7. ovog zakona;
4) jasno ne izdvoji podatke o ličnosti koji su zasnovani na činjeničnom stanju od podataka o ličnosti koji su zasnovani na ličnoj oceni (član 10);
5) ako korišćenjem razumnih mera ne obezbedi da se netačni, nepotpuni i neužurni podaci o ličnosti prenose, odnosno da budu dostupni (član 11. stav 1);
6) ne upozna primaoca sa posebnim uslovima za obradu podataka o ličnosti propisnim zakonom i njegovom obavezom ispunjenja tih uslova (član 11. stav 5);
7) obrađuje podatke o ličnosti, a nije u mogućnosti da predoči da je lice na koje se podaci odnose dalo pristanak za obradu njegovih podataka (član 15. stav 1);
8) obrađuje posebne podatke o ličnosti suprotno čl. 17. i 18. ovog zakona;
9) obrađuje podatke o ličnosti u vezi sa krivičnim presudama, kažnjivim delima i merama bezbednosti suprotno članu 19. stav 1. ovog zakona;
10) licu na koje se podaci odnose ne pruži informacije iz člana 23. st. 1. i 2. i člana 24. st. 1. i 2. ovog zakona;
11) licu na koje se podaci odnose ne stavi na raspolaganje ili ne pruži informacije suprotno članu 25. ovog zakona;
12) ne pruži tražene informacije, ne omogući pristup licu na koje se podaci odnose podacima o ovoj obradi, odnosno ako mu ne dostavi kopiju podataka koje obrađuje (član 26. st. 1. i 2 i član 27);
13) ograniči delimično ili u celini pravo na prisup podacima licu na koje se podaci odnose suprotno članu 28. stav 1. ovog zakona;
14) ne dostavi bez odlaganja licu na koje se podaci odnose obrazloženu odluku kojom se zahtev za pristup odbija (član 28. stav 2), odnosno ne obavesti to lice u skladu sa članom 28. stav 4. ovog zakona;
15) ne ispravi netačne podatke suprotno članu 29. ovog zakona;
16) ne izbriše podatke lica na koje se podaci odnose bez odlaganja u slučajevima iz člana 30. stav 2. ovog zakona;
17) ne ograniči obradu podataka o ličnosti u slučajevima iz člana 31. ovog zakona;
18) ne izbriše podatke o ličnosti suprotno članu 32. ovog zakona;
19) ne obavesti primaoca u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. stav 1);
20) ne informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno ograničavanja obrade, kao i o razlogu za odbijanje (član 34. stav 1);
21) ako ne prekine sa obradom podataka ili nastavi sa obradom u cilju direktnog marketinga, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu (član 37. st. 1. i 3);
22) se donese odluka koja proizvodi pravne posledice po lice na koje se podaci odnose isključivo na osnovu automatizovane obrade, suprotno čl. 38. i 39. ovog zakona;
23) prilikom određivanja načina obrade, kao i u toku obrade ne preduzme odgovarajuće organizacione, kadrovske i tehničke mere, suprotno članu 42. ovog zakona;
24) ne odredi svog predstavnika u Republici Srbiji, suprotno članu 44. ovog zakona;
25) poveri obradu podataka o ličnosti obrađivaču, suprotno članu 45. ovog zakona;
26) ne vodi propisane evidencije o obradi (član 47), ili ne beleži radnje obrade (član 48);
27) ne obavesti Poverenika o povredi bezbednosti podataka, suprotno članu 52. ovog zakona;
28) ne obavesti lice na koje se podaci odnose o povredi bezbednosti podataka, suprotno članu 53. ovog zakona;
29) ne izvrši procenu uticaja na zaštitu bezbednosti podataka na način predviđen članom 54. ovog zakona;
30) ne obavesti Poverenika o mogućnosti da nameravane radnje obrade proizvedu visok rizik za zaštitu podataka o ličnosti, odnosno ne zatraži mišljenje Poverenika pre započinjanja radnje obrade (član 55. st. 1. i 3);
31) ne odredi lice za zaštitu podataka o ličnosti u slučevima iz člana 56. st. 1. i 3. ovog zakona, odnosno ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku (član 56. stav 9);
32) se prenos podataka o ličnosti u druge zemlje i međunarodne organizacije vrši suprotno čl. 63. do 71. ovog zakona;
33) ne obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona (član 80);
34) obrađuje podatke o ličnosti u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja ili u statističke svrhe suprotno članu 92. ovog zakona.
Novčanom kaznom od 5.000 do 150.000 kazniće se za prekršaj fizičko lice koje ne čuva kao profesionalnu tajnu podatke podatke o ličnosti koje je saznalo tokom obavljanja poslova;
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom kaznom od 20.000 do 500.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od 5.000 do 150.000 dinara.
HI. PRELAZNE I ZAVRŠNE ODREDBE
Primena Zakona o slobodnom pristupu informacijama od javnog značaja i zamenik Poverenika
Član 96.
Na sedište Poverenika, izbor, prestanak mandata, postupak razrešenja, položaj Poverenika, stručnu službu, finansiranje i podnošenja izveštaja, primenjuju se odredbe Zakona o slobodnom pristupu informacijama od javnog značaja ("Službeni glasnik RS" br. 120/04, 54/07, 104/09 i 36/10).
Zamenik poverenika za zaštitu podataka o ličnosti koji je izabran u skladu sa Zakonom o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12), nastavlja da vrši tu dužnost do isteka mandata na koji je izabran.
Započeti postupci
Član 97.
Postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom koji nisu okončani do dana stupanja na snagu ovog zakona okončaće se po odredbama Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12).
Centralni registar zbirki podataka
Član 98.
Centralni registar zbirki podataka koji je uspostavljen po odredbama Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) prestaje da se da se vodi danom početka primene ovog zakona.
Sa centralnim registrom iz stava 1. ovog člana, kao i sa podacima sadržanim u tom registru, postupa se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Podzakonski akti
Član 99.
Podzakonski akti predviđeni ovim zakonom biće doneti u roku od šest meseci od dana stupanja na snagu ovog zakona.
Podzakonski akti koji su doneti na osnovu Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) nastavljaju da se primenjuju do donošenja podzakonskih akata iz stava 1. ovog člana, ako nisu u suprotnosti sa ovim zakonom.
Prestanak važenja ranijeg zakona
Član 100.
Danom početka primene ovog zakona prestaje da važi Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12).
Stupanje zakona na snagu
Član 101.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se po isteku šest meseci od dana stupanja zakona na snagu.
IZ OBRAZLOŽENJA
II. RAZLOZI ZA DONOŠENJE ZAKONA
Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni i mogu se razmatrati kako zbog potreba Republike Srbije, tako i zbog potreba međunarodne saradnje, a pre svega zbog procesa pridruživanja Republike Srbije Evropskoj uniji. Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti. Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije, dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje. Imajući u vidu navedene razloge, neophodno je doneti novi zakon koji će urediti ovu oblast.
Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS", br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) usvojen je krajem 2008. godine, a počeo je sa primenom 1. januara 2009. godine. Od početka primene Zakon je prema izveštajima Evropske komisije o napretku Republike Srbije ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti.
Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.
Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske Unije (2000/C 364/01). Pravo na privatnost i zaštitu podataka zajemčeno je članovima 7. (Poštovanje privatnog i porodičnog života) i 8. (Zaštita podataka o ličnosti).
U međuvremenu, doneti su novi relevantni propisi Evropske unije koji uređuju oblast zaštite podataka o ličnosti. Reč je o Uredbi 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka, kao i Direktivi 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka), pa je, imajući u vidu obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji, bilo neophodno pripremiti novi tekst Nacrta zakona o zaštiti podataka o ličnosti koji će obezbediti usklađenost sa ovim propisima.
Navedeni relevantni dokumenti Evropske unije ukazuje da zaštita podataka više nije pitanje harmonizacije prava Evropske unije i pojedinačne implementacije u nacionalno zakonodavstvo, već oblast direktne primene prava Evropske unije. Snažan nezavisni organ za zaštitu podataka o ličnosti je preduslov adekvatne zaštite podataka o ličnosti za Evropsku uniju, na šta ukazuje i postojanje posebnog organa za zaštitu podataka o ličnosti u okviru Unije - Evropskog supervizora za zaštitu podataka o ličnosti, kao i posebnih odeljenja i oficira za zaštitu podataka o ličnosti Europola ili Eurodžasta, kao i odluke Suda pravde Evropske unije o položaju organa nadležnih za zaštitu podataka o ličnosti.
Kao što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje i višegodišnja primena važećeg zakona.
Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u neadekvatno uređenom postupku ostvarivanja prava na zaštitu podataka o ličnosti i neuređenom postupku iznošenja podataka o ličnosti iz Republike Srbije. Takođe, nedostaci su izraženi i u nepotpunom uređenju odgovornosti u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza. Bezbednost podataka je potpuno neadekvatno uređena, a nedostaje i obaveza analize rizika po prava lica u slučaju pojedinih obrada koje mogu ozbiljno ugroziti njihovih prava. Istovremeno, neophodno je uvesti nove institute u režim zaštite podataka koji se prevashodno odnose na lica zadužena za zaštitu podataka kod rukovalaca ili kod obrađivača podataka o ličnosti.
Osnovni cilj zakona je da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na privatnost i ostalih prava i sloboda. Stoga, Zakon o zaštiti podataka treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji. U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.
Prilikom izrade teksta Nacrta zakona korišćeni su tekstovi novih relevantnih propisa Evropske unije, analiza teksta važećeg zakona, inicijative i preporuke za izmenu njegovih odredaba, kao i rešenja koja je izneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u svom Modelu zakona.
III. OBJAŠNJENJE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENJA
Nacrt Zakona o zaštiti podataka o ličnosti sadrži deset glava, i to: Osnovne odredbe (Glava I), Načela (Glava II), Prava lica na koje se podaci odnose (Glava III), Rukovalac i obrađivač (Glava IV), Prenos podataka o ličnosti u druge zemlje i međunarodne organizacije (Glava V), Poverenik (Glava VI), Pravna sredstva, odgovornost i kazne (Glava VII), Posebni slučajevi obrade (Glava VIII), Kaznene odredbe (Glava IH) i Prelazne i završne odredbe (Glava H).
Osnovne odredbe (Glava I. Nacrta zakona) sadrže četiri člana, i uređuju predmet zakona, cilj zakona, njegovu primenu i značenje osnovnih izraza u zakon. Obzirom na značaj ove glave za tekst celog zakona (posebno što se predviđa značenje najvažnijih izraza koji se koriste kroz ceo tekst zakona), ova glava je i nazvana "Osnovne odredbe".
Članom 1. Nacrta zakona određen je njegov predmet. Stavom 1. navedenog člana predviđeno je da zakon uređuje zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja udruženja i drugih subjekata koji predstavljaju grupe rukovaoca ili obrađivača u vezi sa obradom podataka o ličnosti, sertifikaciju rukovalaca i obrađivača, nadzor nad sprovođenjem zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebne slučajeve obrade.
Stavom 2. istog člana predviđeno je da se zakonom posebno uređuje i zaštita fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u cilju sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj ili nacionalnoj bezbednosti. Stav 2. člana 1. Nacrta zakona je posledica usklađivanja sa Direktivom 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka.
S obzirom da pravila iz navedene direktive predstavljaju ograničenja u odnosu na odredbe iz Uredbe 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka, kroz ceo tekst Nacrta zakona data su opšta pravila o obradi podataka, uz propisivanje izuzetaka koji se odnese na obradu podataka u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija.
U članu 2. Nacrta zakona propisan je njegov cilj. Stavom 1. ovog člana definisan je opšti cilj zakona, koji je identičan cilju važećeg zakona. Novinu predstavlja stav 2. ovog člana koji ukazuje na značaj ovog zakona kao sistemskog zakona u oblasti zaštite podataka o ličnosti, kao i potrebu da posebni zakoni (obzirom da se zakonom mora urediti prikupljanje, držanje, obrada i korišćenje podataka o ličnosti) kada uređuju obradu podataka moraju biti usklađeni sa ovim zakonom, koji ovu oblast celovito i najdetaljnije uređuje.
Član 3. Nacrta zakona odnosi se na obim njegove primene. Stavom 1. navedenog člana preciziran je član 4. važećeg zakona. Stavom 2. istog člana predviđeno je da se zakon ne primenjuju se na obradu podataka fizičkog lica za lične potrebe, kao i za potrebe njegovog porodičnog domaćinstva.
Takođe, zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritorije Republike Srbije, i to bez obzira da li se radnja obrada vrši na teritoriji Republike Srbije.
Isto tako, stavom 3. Istog člana predviđeno je da se zakon primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose, koje ima prebivalište na teritoriji Republike Srbije, ako se obrada vrši od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, pod uslovom da su radnje obrade vezane za ponudu roba, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije, i to bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno usluge, kao i za praćenje aktivnosti lica na koje se podaci odnose, a koje se vrše na teritoriji Republike Srbije.
Jedan od najvažnijih članova Nacrta zakona je svakako član 4, u kome su sadržana objašnjenja najznačajnih pojmova koji se u zakonu koriste. U odnosu na važeći zakon (koji sadrži deset osnovnih pojmova), u Nacrtu zakona su kao novi pojmovi određeni: "profilisanje", "pseudonimizacija", "treća strana", "pristanak" "povreda bezbednosti podataka", "genetski podatak", "biometrijski podatak", "podaci o zdravlju", "predstavnik", "privredni subjekat", "multinacionalna kompanija", "grupa privrednih subjekata", "obavezujuća poslovna pravila", "usluga informacionog društva" i međunarodna organizacija. Takođe je određeno i značenje izraza "pristanak" i "Poverenik".
Pored toga određen je i pojam "nadležnog organa", kao organa javne vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. Značajno je napomenuti da ako nadležni organi ne postupaju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela i izvršenja krivičnih sankcija, odredbe zakona se primenjuju na njihovo postupanje kao i ostalih organa javne vlasti. Ako međutim postupaju u navedenom cilju, tada se primenjuju ograničenja predviđena tačno određenim odredbama Nacrta zakona.
Sve nove definicije u odnosu na važeći zakon su posledica usaglašavanja sa Uredbom 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka
Glava druga Nacrta zakona (čl. 5. do 20) sadrži načela.
Član 5. Nacrta zakona propisuje načela obrade podataka o ličnosti. Ta načela su sledeća: zakonitost, poštenje i transparentnost, ograničenje u odnosu na svrhu obrade, minimizacija podataka, tačnost, ograničenje čuvanja i odgovornost za postupanje.
Član 6. Nacrta zakona predstavlja izuzetak u odnosu na načelo ograničenja u odnosu na svrhe obrade, i predviđa da se ne smatra drugom svrhom obrade ona obrada koja se vrši u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe.
Član 7. Nacrta zakona takođe predstavlja izuzetak od načela ograničenja u odnosu na svrhe obrade. Reč je o obradi podataka od strane nadležnih organa u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. U tom slučaju moguća se i obrada podataka u druge svrhe, ali samo ako su zajedno ispunjeni uslovi iz stava 2. tač. 1) i 2) istog člana Nacrta zakona.
Član 8. Nacrta zakona predstavlja izuzetak od načela ograničenja čuvanja i odnosi se na podatke o ličnosti koji se obrađuju isključivo u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja, kao i u statističke svrhe. Izuzetak takođe postoji i za podatke prikupljene u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti.
Član 9. Nacrta zakona takođe uređuje obradu podataka u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. Navedeni član propisuje obavezu nadležnog organa da napravi jasnu razliku između lica koja su u različitim fazama krivičnog postupka, osuđenim licima, licima koja su oštećena krivičnim delom, kao i licima koja su u vezi sa krivičnim delom (svedoci). Članom 10. Nacrta zakona ova obaveza nadležnog organa se odnosi i na dužnost izdvajanja podataka o ličnosti koji su zasnovani na činjeničnom stanju i onih koji su zasnovani na ličnoj oceni.
Na postupanje nadležnih organa odnosi se i član 11. Nacrta zakona. Navedeni član propisuje dužnost nadležnih organa da korišćenjem razumnih mera obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni.
Načelu zakonitosti obrade posvećen je član 12. Nacrta zakona. Ovim članom predviđeno je da obrada može biti zakonito jedino ako je ispunjeni neki od predviđenih uslova. Ti uslovi su: da se lice na koje se podaci o ličnosti odnose saglasilo se sa obradom njegovih podataka; da je obrada neophodna za izvršenje ugovora zaključenim sa licem na koje se podaci odnose; da je obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca, propisanih zakonom ili ugovorom; da je obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnosi ili drugog fizičkog lica; da je obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja propisanih ovlašćenja rukovaoca ili ako je obrada neophodna u cilju ostvarenja opravdanih interesa rukovaoca ili trećih lica.
Članovi 13. i 14. Nacrta zakona predstavljaju izuzetak u odnosu na načelo zakonitosti i to ako je reč o obradi podataka u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, kao i u posebnim slučajevima.
Značajnu novinu predstavljaju i odredbe o pristanku lica na koje se podaci odnose na obradu njegovih podataka (član 15. Nacrta zakona). Za razliku od važećeg zakonskog rešenja koje je predviđalo da pristanak mora biti dat u pismenom obliku, sada se takav oblik ne zahteva. Međutim, u slučajevima kada je pristanak dat na drugi način, a u cilju izbegavanja mogućih zloupotreba, rukovalac ima obavezu da dokaže (predoči) da je neko lice zaista i dalo pristanak za obradu njegovih podataka.
Veoma su važne i odredbe o pristanku deteta za obradu njegovih podataka u korišćenju usluga informacionog društva (član 16. Nacrta zakona). Predviđeno je da dete koje je navršilo 15 godina može samostalno da da pristanak za obradu svojih podataka, dok za obradu podataka o detetu koje nije navršilo 15 godina pristanak moraju dati roditelji, odnosno drugi zakonski zastupnici deteta.
Obrada posebnih kategorija podataka o ličnosti je uređena u članu 17. Nacrta zakona. Kao opšte načelo predviđeno je da je zabranjena obrada podataka o ličnosti kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka, u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji lica.
Međutim, imajući u vidu veliki broj mogućih situacija kada je neophodno izvršiti i obradu ovakvih podataka, u stavu 2. istog člana, precizno je navedeno deset izuzetaka kada se obrada posebnih kategorija podataka ipak može vršiti.
Ako obradu posebnih kategorija podataka vrše nadležni organi u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, i to samo ako je to neophodno, ovakva obrada je moguća samo ako je nadležni organ za to zakonom ovlašćen ili se obrada posebnih kategorija podataka vrši u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog lica, kao i u slučaju ako se obrada odnosi na posebne kategorije podataka o ličnosti koje je očigledno učinilo dostupnim javnosti lice na koje se oni odnose (član 18. Nacrta zakona).
Glava III. Nacrta zakona – Prava lica na koje se podaci odnose i zaštita prava lica (čl. 21. do 40) sadrži više odeljaka.
U okviru prvog odeljka uređena je transparentnost i načini ostvarivanja tog prava (čl. 21. i 22. Nacrta zakona).
Članom 21. Nacrta zakona uređuje koje su to informacije koje rukovalac mora da pruži licu na koji se podaci odnose, kao i obavezu rukovaoca da pomogne licu na koje se podaci odnose u ostvarivanju njegovih prava. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o tome obavesti to lice, kao i da ga obavesti o razlozima za nepostupanje. Informacije se pružaju bez naknade. Takođe, a imajući u vidu dostignuti nivo informacionih tehnologija, informacije se mogu pružiti i putem standardizovanih ikona, u cilju svrsishodnog uvida u nameravanu obradu.
Slična pravila se primenjuju i na nadležne organe kada vrše obradu u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, s tim što je broj informacija u odnosu na druge rukovaoce manji (član 22. Nacrta zakona).
Drugi odeljak uređuje informacije koje pruža rukovalac, kao i pristup koji lice na koje se podaci odnosi može da ostvari (čl. 23. do 28. Nacrta zakona).
Član 23. Nacrta zakona uređuje informacije koje rukovalac pruža licu na koje se podaci odnose. Te informacije su sledeće: o svom identitetu i kontakt podacima, o kontakt podacima lica za zaštitu podataka o ličnosti, o svrsi nameravane obrade i pravnom osnovu za obradu, o pravnom interesu rukovaoca ili treće strane, o primaocu, odnosno grupi primaoca podataka o ličnosti, kao i informaciju o činjenici da rukovalac namerava da iznese podatke o ličnosti u treću zemlju ili međunarodnu organizaciju.
Pored navedenih informacija rukovalac je dužan da pruži i dodtne informacije koje su neophodne da bi se obezbedila pravična i transparentna obrada.
Slične informacije rukovalac je dužan da pruži i kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose (član 24. Nacrta zakona).
Član 25. Nacrta zakona se odnosi na informacije koje pruža nadležni organ kada vrši obradu podataka u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. Imajući u vidu specifičnost kod obrade podataka u navedenom cilju, broj informacija koje se pružju licu na koje se podaci odnose je manji.
Pravo na pristup lica na koje se podaci odnose podrazumeva pravo da se od rukovaoca zahteva informacija da li se njegovi podaci obrađuju, pristup takvim podacima, kao i pravo da se dobiju informacije o obradi (član 26. Nacrta zakona). U slučaju da se podaci obrađuju u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, broj informacija o obradi je manji (član 27. Nacrta zakona).
Pravo na pristup može se ograničiti (član 28. Nacrta zakona) samo u obimu i trajanju u kome je to neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju. Ovakvo ograničenje može se izvršiti samo sa ciljem da se spreči ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; izbegne ometanje sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela, ili izvršenja krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana ili zbog zaštite prava i slobode drugih lica. U tom slučaju, rukovalac je dužan da obrazloženu pismenu odluku kojom se zahtev za pristup odbija, odnosno pravo na pristup ograničava, bez odlaganja dostavi licu na koje se podaci odnose.
Treći odeljak (čl. 29. do 37. Nacrta zakona) uređuje pravo na ispravku podataka, pravo na brisanje podataka, pravo na ograničenje obrade i pravo na prenosivost podataka.
Pravo na ispravku (član 29. Nacrta zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se netačni podaci o njemu bez odlaganja isprave od strane rukovaoca. To lice, u zavisnosti od svrhe obrade, ima pravo i da se nepotpuni podaci o njemu dopune od strane rukovaoca.
Pravo na brisanje, odnosno "pravo lica da bude zaboravljeno" (član 30. Nacrta zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se podaci o njemu obrišu od strane rukovaoca. Pri tome, rukovalac je dužan da bez odlaganje podatke izbriše ako: podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni; ako je lice na koje se podaci odnose opozvalo pristanak na osnovu kojeg se obrada vršila; je lice na koje se podaci odnose podnelo prigovor na obradu; su podaci o ličnosti nezakonito obrađivani; podaci o ličnosti moraju biti izbrisani u cilju izvršenja obaveze rukovaoca propisane zakonom i ako su podaci o ličnosti prikupljeni u vezi sa korišćenjem usluga informacionog društva.
Pravo na ograničenje obrade (član 31. Nacrta zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se obrada podataka o njemu ograniči od strane rukovaoca. Do ovakvog ograničenja dolazi u sledećim slučajevima: ako lice na koje se podaci odnose osporava tačnost podataka o sebi (ograničenje se primenjuje u periodu koji omogućava rukovaocu proveru tačnosti podataka); ako je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o sebi i umesto brisanja zahteva ograničenje upotrebe podataka; ako rukovaocu više nisu potrebni podaci o ličnosti za ostvarenje svrhe obrade, ali ih je lice na koje se odnose zatražilo u cilju podnošenja, ostvarivanja, odnosno odbrane od pravnog zahteva i ako je lice na koje se podaci odnose je podnelo prigovor na obradu, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima, pravima i slobodama tog lica.
Pravo na brisanje i ograničenje obrade, kada obradu podataka vrše nadležni organi u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti je uređeno članom 32. Nacrta zakona. U ovom slučaju obim prava lica na koje se podaci odnose je manji u odnosu na opšti režim.
Obaveza obaveštavanja u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. Nacrta zakona) je dvostruka. Sa jedne strane rukovalac je dužan da primaoca podataka o ličnosti obavesti o ispravci, brisanju i ograničenju obrade, a sa druge strane dužan je i da lice na koje se podaci odnose obavesti o primaocima kojima je takvo obaveštenje ostavljeno.
Obaveza obaveštavanja o ispravci i brisanju podataka, kao i ograničenju obrade, kada obradu podataka vrše nadležni organi u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti je uređeno članom sadrži izuzetak od pšteg pravila (član 34. Nacrta zakona). U ovom slučaju, predviđeno je da se nadležni organ koji obrađuje podatke može potpuno ili delimično osloboditi obaveze informisanja ako je neophodno da se: spreči ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; izbegne ometanje sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela, ili izvršenja krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana, odnosno zaštite prava i slobode drugih lica. Međutim, ostaje obaveza nadležnog organa da se lice na koje se podaci odnose, radi ostvarivanja svojih prava, može obratiti Povereniku, odnosno sudu. Ako se ostvarivanje prava vrši uz Posredovanje Poverenika, Poverenik u skladu sa svojim ovlašćenjim vrši odgovarajuću proveru i nadzor nad obradom podataka (član 35. Nacrta zakona).
Pravo na prenosivost podataka podrazumeva da lice na koje se podaci odnose ima pravo da podatke koje je prethodno dostavilo rukovaocu primi od njega u struktuiranom, uobičajno korišćenom i elektronski čitljivom formatu i da ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni (član 36. Nacrta zakona).
Četvrti i peti odeljak (čl. 37. do 40. Nacrta zakona) uređuje pravo na prigovor, automatizovano donošenje pojedinačnih odluka i ograničenja.
Pravo na prigovor (Član 37. Nacrta zakona) podrazumeva da lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu njegovih podataka o ličnosti. Ako se podnese prigovor, rukovalac ima obavezu da prekine sa obradom podataka o licu koje je podnelo prigovor. O postojanju ovog prava, rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori ovo lice.
Članom 38. Nacrta zakona je uređeno automatizovano donošenje pojedinačnih odluka i profilisanje. To podrazumeva da lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ona značajno utiče na njegov položaj.
Stav 2. istog člana predviđa izuzetak od navedene opšte odredbe i predviđa da se automatizovana pojedinačna odluka ipak može doneti u sledećim slučajevima: ako je odluka neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca; ako je odluka zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i interesa zasnovanih na zakonu lica na koje se podaci odnose, kao i ako je zasnovana na izričitom pristanku lica na koje se podaci odnose.
Mogućnost automatizovanog donošenja pojedinačnih odluka je ograničena kada su u pitanju nadležni organi koji obrađuju podatke u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti (član 39. Nacrta zakona). Takva odluka može se doneti samo u slučaju ako je zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i interesa zasnovanih na zakonu lica na koje se podaci odnose.
Član 40. Nacrta zakona propisuje ograničenja od opštih odredbi Glave III.
Predviđeno je da ovakva ograničenja mogu postojati kada se to predvidi zakonom, pod uslovom da ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako je to neophodno i predstavlja srazmernu meru u demokratskom društvu. Pored toga, neophodno je da ograničenja budu zakonom propisana u jednom od sledećih ciljeva: zaštite nacionalne bezbednosti; odbrane; zaštite javne bezbednosti; sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost; zaštite drugih važnih opštih javnih interesa, a posebno važnih privrednih ili finansijskih interesa Republike Srbije, uključujući i interese vezane za monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu; zaštite nezavisnosti pravosuđa i sudskih postupaka; sprečavanja, istraživanja, otkrivanja, i gonjenja za povredu profesionalne etike; praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službnih ovlašćenja; zaštite lica na koje se podaci odnose ili prava i sloboda drugih lica i ostvarivanja potraživanja u građanskim stvarima.
Glava IV. Nacrta zakona – Rukovalac i obrađivač (čl. 41. do 62) takođe sadrži više odeljaka.
U okviru prvog odeljka (čl. 41. do 50. Nacrta zakona) propisane su opšte obaveze.
Opšta obaveza rukovaoca je propisana u članu 41. Nacrta zakona i ona predviđa da je rukovalac je dužan da preduzme odgovarajuće tehničke, kadrovske i organizacione mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja i nivo rizika po prava i slobode lica. Ove mere se preispituju i ažuriraju.
Kada su u pitanju mere zaštite (član 42. Nacrta zakona), rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake svrhe obrade. Nvedenim merama mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Član 43. Nacrta zakona određuje pojam zajedničkih rukovaoca. Tačnije, ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima. Zajednični rukovaoci na transparentan način određuju odgovornost svakog od njih za poštovanje odredbi propisanih ovim zakonom, a posebno u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže potrebne informacije. Odgovornost se uređuje sporazumom zajedničkih rukovaoca, a tim sporazumom mora se odrediti i lice za kontakt sa licem na koje se podaci odnose.
Rukovalac, odnosno obrađivač koji nema sedište u Republici Srbiji dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, sa sedištem u Republici Srbiji (član 44. Nacrta zakona). Rukovalac, odnosno obrađivač, ovlašćuje svog predstavnika kao lice kome se lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti, u pogledu svih pitanja u vezi sa obradom podatka o ličnosti.
Ako se obrada podataka o ličnosti vrši za račun rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice koje u potpunosti garantuje primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona, kao i zaštitu prava lica na koje se podaci odnose (član 45. Nacrta zakona). Obrađivač može dalje poveriti obradu podataka o ličnosti drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja.
Obrada podataka o ličnosti od strane obrađivača mora biti regulisana ugovorom ili drugim pravno obavezujućim aktom, zaključenim, odnosno usvojenim u pisanom obliku, kojim se uređuje odnos između rukovaoca i obrađivača, uključujući predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i ovlašćenja i obaveze rukovaoca.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Ispunjavanje obaveza pružanja garancija može se predočiti i na osnovu primene odobrenog kodeksa postupanja, odnosno odobrenog mehanizma sertifikacije od strane obrađivača.
Pravni odnos između rukovaoca i obrađivača može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama.
U članu 46. Nacrta zakona propisano je da obrađivač sme da obrađuje podatke o ličnosti samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Članom 47. Nacrta zakona propisane su evidencije o radnjama obrade. Reč je o evidencijama koje vode rukovalac i obrađivač, odnosno drugi obrađivač. Evidencije se vode u pismenom obliku, što obuhvata i elektronski oblik. Rukovalac, obrađivač i njihovi predstavnici, dužni su da evidencije koje vode učine dostupnim Povereniku na njegov zahtev. Odredbe o vođenju evidencija ne primenjuju se na organizacije u kojima je zaposleno manje od 250 lica.
Kada obradu podataka vrše nadležni organi u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, ovi organi su dužni da obezbede da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje (član 48. Nacrta zakona).
Beleženje uvida i otkrivanja mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, odnosno identiteta primaoca ovih podataka. Beleženje može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka, a zapis nastao beleženjem stavlja se na uvid Povereniku.
Članom 49. Nacrta zakona propisana je opšta obaveza saradnje sa Poverenikom, koja podrazumeva da su rukovalac, obrađivač i njihovi predstavnici dužni da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
Drugi odeljak ove glave (čl. 50. do 53. Nacrta zakona) uređuje bezbednost podataka o ličnosti.
Članom 50. Nacrta zakona propisuje obavezu rukovaoca i obrađivača da sprovode odgovarajuće tehnničke, kadrovske i organizacione mere u cilju dostizanja odgovarajućeg nivoa bezbednosti u odnosu na rizik. Ove mere naročito obuhvataju: pseudonimizaciju i kriptozaštitu podataka o ličnosti; obezbeđivanje sposobnosti osiguranja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade; obezbeđivanje sposobnosti uspostavljanja u najkraćem roku ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata, kao i postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, kadrovskih i organizacionih mera bezbednosti obrade.
Iste obaveze imaju i nadležni organi ako vrše obradu podataka u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti (Član 51. Nacrta zakona). Pored ove opšte obaveze, nadležni organi dužni su da prilikom automatske obrade podataka primeni ove mere koje obezbeđuju da se: onemogući neovlašćenom licu pristup opremi koja se koristi za obradu podataka; spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka; spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti; spreči korišćenja sistema za automatsku obradu od strane neovlašćenog lica upotrebom opreme za prenos podataka; lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima; može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti; može naknadno proveriti, odnosno ustanoviti koji podaci o ličnosti su uneti u sistem automatske obrade, od strane kog lica i kad su uneti; spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa; ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada; sistem ispravno radi i da se greške u radu sistema uredno prijavljuju, kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema.
U čl. 51. i 52. Nacrta zakona propisane su obaveze obaveštavanja Poverenika, odnosno lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti.
Rukovalac je dužan da dokumentuje svaku povredu bezbednosti podataka, uključujući i činjenice o povredi, njenim posledicama i preduzetim aktivnostima za njihovo otklanjanje, a ta dokumentacija Povereniku predstavlja osnov za utvrđivanje da li je rukovalac postupio u skladu sa svojim obavezama.
Ako povreda bezbednosti podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez odlaganja o tome obavesti lice na koje se podaci odnose. Poverenik može naložiti rukovaocu koji nije obavestio lice na koje se podaci odnose da to učini.
Treći odeljak ove glave (član 54. i 55. Nacrta zakona) uređuje procenu uticaja na zaštitu podataka o ličnosti i prethodno obaveštavanje.
Član 54. Nacrta zakona propisuje obavezu rukovaoca da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti. Procena uticaja obavezno se vrši u slučaju: sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti; masovne obrade posebnih podataka o ličnosti, kao i u slučaju sistematskog nadzora nad javno dostupnim površinama u velikom obimu.
Predviđa se i obaveza Poverenika da sačini i javno objavi listu vrsta radnji obrade za koje se mora izvršiti procena uticaja, a može sačiniti i javno objaviti i listu vrsta radnji obrade u vezi sa kojima se ne zahteva procena uticaja.
Procena uticaja mora da sadrži: sveobuhvatan opis predviđenih radnji obrade i svrha obrade; procenu neophodnosti i proporcionalnosti vršenja radnji obrade u odnosu na svrhe obrade; procenu rizika po prava i slobode lica na koje se podaci odnose; opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, mere bezbednosti, odnosno pravne, tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona.
Ako procena uticaja na zaštitu podataka o ličnosti ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da o tome obavesti Poverenika pre započinjanja radnje obrade (član 55. Nacrta zakona). Ako Poverenik smatra da bi nameravane radnje obrade mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik dostavlja pismeno mišljenje rukovaocu, kao i da po potrebi iskoristi svoja inspekcijska ovlašćenja. Istim članom, dato je ovlašćenje Povereniku da može da sastavi i javno objavi listu vrsti radnji obrade u vezi sa kojima se mora zahtevati njegovo mišljenje.
Četvrti odeljak iste glave (čl. 56. do 58. Nacrta zakona) uređuje lice za zaštitu podataka o ličnosti, odnosno njegovo određivanje, položaj i obaveze.
Članom 56. stav 1. predviđena je mogućnost da rukovalac, odnosno obrađivač odrede lice za zaštitu podataka o ličnosti.
Stav 2. istog člana predviđa slučajeve kada se lice za zaštitu podataka o ličnosti obavezno mora odrediti. Ti slučajevi su sledeći: ako se obrada vrši od strane organa javne vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja sudske vlasti; ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose i ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u masovnoj obrade posebnih podataka o ličnosti.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe, a ako su rukovaoci, odnosno obrađivači organi javne vlasti, koji nisu nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu organa javne vlasti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti. Takvo lice može biti zaposleno kod rukovaoca, odnosno obrađivača, ili može biti angažovano na osnovu ugovora.
Član 57. Nacrta zakona uređuje položaj lica za zaštitu podataka o ličnosti. Propisano je da su rukovalac i obrađivač dužni da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti, da mu obezbedile neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i za njegovo stručno usavršavanje i da mu obezbede nezavisnost u izvršavanju njegovih obaveza. Takođe, rukovalac i obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje se odnose na zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti ima sledeće obaveze (član 58. Nacrta zakona): da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti; da prati primenu odredbi zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih na radnjama obrade, kao i kontrole; da daje mišljenje o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje u skladu sa njom i da sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu podataka o ličnosti.
Peti odeljak iste glave (čl. 59. do 62. Nacrta zakona) se odnosi na kodeks postupanja i sertifikaciju.
Članom 59. Nacrta zakona predviđeno je da udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu usvojiti kodeks postupanja u cilju efikasnije primene ovog zakona. Udruženja i drugi subjekti koji nameravaju da izrade kodeks postupanja ili da izmene postojeći dužni su da predlog kodeksa, odnosno njegovih izmena, dostave Povereniku na mišljenje. Poverenik je dužan da da mišljenje o usklađenosti predloga kodeksa postupanja sa odredbama ovog zakona, kao i da registruje i objavi kodeks, na koji je prethodno dao saglasnost, ako utvrdi da kodeks sadrži dovoljne garancije za zaštitu podataka o ličnosti.
Nadzor nad primenom kodeksa postupanja (član 60. Nacrta zakona) može vršiti preduzetnik ili pravno lice koje poseduje odgovarajući nivo stručnosti u vezi sa sadržinom kodeksa i koje je akreditovano za vršenje nadzora od strane Poverenika.
Poverenik može akreditovati preduzetnika, odnosno pravno lice ako je ispunilo tačno propisane uslove. Takođe, Poverenik oduzima akreditaciju preduzetniku, odnosno pravnom licu ako utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Članom 61. Nacrta zakona uređena je sertifikacija. Postupci sertifikacije zaštite podataka o ličnosti, sa odgovarajućim žigovima i oznakama, mogu se ustanoviti u cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća.
Postupak sertifikacije je dobrovoljan i transparentan. Sertifikacija ne može uticati na zakonske obaveze rukovaoca i obrađivača. Sertifikat izdaje sertifikaciono telo ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu, odnosno Povereniku, omoguće pristup radnjama obrade i pruže sve informacije o obradi podataka koje su neophodne za sprovođenje postupka sertifikacije. Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijumime za sertifikaciju. Sertifikat se poništava ako sertifikaciono telo, odnosno Poverenik, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikate.
Javni registar sertifikacionih tela i postupaka sertifikacije vodi Poverenik.
Član 62. Nacrta zakona odnosi se na sertifikaciona tela. Sertifikaciono telo, koje poseduje odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje je akreditovano od strane Poverenika izdaje, obnavlja i poništava sertifikat i to posle obaveštavanja Poverenika o odluci koja se namerava doneti.
Sertifikaciono telo može biti akreditovano od strane Poverenika samo ako ispunjava tačno propisane uslove. Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikackiono telo i dalje ispunjava propisane uslove i kriterijume. Poverenik poništava akreditaciju sertifikacionog tela ako utvrdi da ono više ne ispunjava uslove. Kriterijume za akreditaciju sertifikacionog tela propisuje takođe Poverenik.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i poništavanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili poništavanje sertifikata.
Glava V. Nacrta zakona na nov način detaljno uređuje prenos podataka o ličnosti u druge države i međunarodne organizacije (čl. 63. do 72).
Članom 63. Nacrta zakona propisana su opšta načela za prenos podataka u druge države i međunarodne organizacije. Osnovni princip je da se svaki prenos podataka o ličnosti čija je obrada u toku ili podataka o ličnosti koji su namenjeni daljoj obradi može izvršiti samo ako rukovalac i obrađivač postupaju u skladu sa uslovima propisanim ovim zakonom, a sve u cilju obezbeđivanja nivoa zaštite fizičkih lica koji je jednak onom koji garantuje ovaj zakon.
Ako obradu podataka vrše nadležni organi u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, prenos podataka se može izvršiti samo ako se prenos podataka vrši u navedenom cilju, ako se podaci prenose organu koji ima istu nadležnost u drugoj državi ili međunarodnoj organizaciji, ako je u drugoj zemlji ili međunarodnoj organizaciji obezbeđen primereni nivo zaštite i ako je nadležni organ odobrio dalji prenos podataka.
Član 64. Nacrta zakona uređuje prenos na osnovu primerenog nivoa zaštite.
Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu podataka, odnosno u državama, delovima njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja ili međunarodnim organizacijama za koje je od strane Evropske unije ili druge međunarodne organizacije utvrđeno da obezbeđuju primereni nivo zaštite.
Ipak, uzimajući u obzir različite okolnosti, Vlada može da utvrdi da neka država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite.
Lista država, delova njihovih teritorija ili međunarodnih organizacija koje imaju primereni nivo zaštite objavljuje se u "Službenom glasniku Republike Srbije".
Članom 65. predviđena je mogućnost prenosa podataka i u državu ili deo njene teritorije koja se ne nalazi listi država, delova njihovih teritorija ili međunarodnih organizacija koje imaju primereni nivo zaštite, naravno uz ispunjenje tačno određenih uslova, odnosno na osnovu posebnog odobrenja Poverenika. Ovakav prenos je moguć i kada ga vrši nadležni organi u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti, na način i pod uslovima iz člana 66. Nacrta zakona.
Članom 67. Nacrta zakona propisano je da Poverenik odobrava obavezujuća poslovna pravila, ako ona ispunjavaju zajedno sledeće uslove: pravno su obavezujuća i primenjuju se na i sprovode se od strane svakog člana multinacionalne kompanije, odnosno grupe privrednih subjekata, uključujući i njihove zaposlene; izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih podataka; zadovoljavaju veći broj uslova propisanih stavom 2. tog člana.
U čl. 68. i 69. Nacrta zakona su propisani drugi slučajevi kada je moguć prenos podataka u drugu državu ili međunarodnu organizaciju. Reč je o slučajevima kada se prenos ili otkrivanje podataka o ličnosti vrši na osnovu pojedinačne odluke organa druge država, kao i u slučaju prenosa podataka u posebnim situacijama.
U čl. 70. i 71. Nacrta zakona predviđen je prenos podataka u posebnim situacijama, kada obradu podataka vrše nadležni organi u cilju u cilju sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti.
Međunarodnu saradnju u vezi sa zaštitom podataka o ličnosti vrši Poverenik. U tom smislu, Poverenik je dužan da preduzme odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama, odnosno međunarodnim organizacijama (član 72. Nacrta zakona).
Glava VI. uređuje rad nadzornog tela nad postupanjem sa podacima o ličnosti, odnosno Poverenika (čl. 73. do 81. Nacrta zakona).
Prvo poglavlje u okviru ove glave (čl. 73. do 76. Nacrta zakona) uređuje nezavistan status nadzornog tela.
Članom 73. Nacrta zakona određeno je da je nadzorno telo nad primenom ovog zakona u Republici Srbiji Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti. Poslove nadzora, u skladu sa propisanim ovlašćenjima, Poverenik vrši kao nezavistan državni organ.
Nezavisnost Poverenika je bliže uređena u članu 74. Nacrta zakona. Nezavisnost podrazumeva da je Poverenik nezavistan, slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne traži niti prima naloge od bilo koga. Da bi se obezbedila njegova nezavisnost, u stavu 2. istog člana uređeni su poslovi koje Poverenik ne može da obavlja, odnosno propisano je da se Poverenik ne može baviti drugom delatnošću niti drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje i ne može biti član udruženja, odnosno političke stranke, niti politički delovati.
Pored toga, stavom 3. istog člana je određeno da se neophodna finansijska sredstva za rad Poverenika, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove, obezbeđuju u skladu sa zakonom, a stavom 4. da nadzor nad trošenjem sredstava za rad Poverenika vrši isključivo Državna revizorska institucija, i to na način koji ne utiče na nezavisnost Poverenika.
Članom 75. Nacrta zakona propisani su dodatni uslovi koje (pored uslova propisanih Zakonom o slobodnom pristupu informacijama od javnog značaja) mora da ispunjava Poverenik.
Članom 76. Nacrta zakona propisana je obaveza Poverenika i svih zaposlenih u njegovoj službi da kao profesionalnu tajnu čuvaju sve podatke koje saznaju u toku obavljanja poslova.
Drugo poglavlje iste glave (čl. 77. do 81. Nacrta zakona) uređuje nadležnosti Poverenika.
Članom 77. Nacrta zakona su propisana opšte ovlašćenja Poverenika, odnosno da je nadležan na teritoriji Republike Srbije, kao i izuzetak da nije nadležan jedino u slučaju kada podatke o ličnosti obrađuju sudovi, i to samo u vršenju sudske vlasti.
U članu 78. Nacrta zakona detaljno su propisana ovlašćenja Poverenika. To su sledeća ovlašćenja: praćenje i sprovođenje primenu ovog zakona; staranje o podizanju svesti javnosti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom podataka o ličnosti; davanje mišljenje o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti; staranje o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim zakonskim obavezama; pružanje informacije o zakonskim pravima lica na koje se podaci odnose; rešavanje o pritužbama podnosioca; saradnja sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti; inspekcijski nadzor nad primenom ovog zakona; praćenje razvoja informacionih i komunikacionih tehnologija od značaja za zaštitu podataka o ličnosti; izrada standardne ugovorne klauzule; sačinjavanje liste vrsta radnji obrade za koje se mora izvršiti procena uticaja i tako dalje.
U članu 79. Nacrta zakona propisana su inspekcijaska oblašćenja Poverenika. Pored standardnih ovlašćenja Poverenika u vršenju inspekcijskog nadzora (stav 1), propisane su i korektivne mere za koje ja Poverenik ovlašćen (stav 2), kao i ostala ovlašćenja Poverenika (stav 3). Pored toga, u vršenju svojih ovlašćenja, Poverenik može da pokrene postupak pred sudom ili drugim organom.
Član 80. Nacrta zakona propisuje obavezu nadležnog organa da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede zakona Povereniku, a član 81. Nacrta zakona obavezu Poverenika da sačini godišnji izveštaj o svim aktivnostima. Godišnji izveštaj dostavlja se Narodnj skupštini i Vladi, i stavlja na uvid javnosti.
Glava VII. Nacrta zakona uređuje pravna sredstva, odgovornost i kazne (čl. 82. do 87).
Pravo na pritužbu Povereniku (član 82. Nacrta zakona) je jedan od osnovnih oblika zaštite i ono omogućuje da lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. Ovo pravo ne ne utiče na pravo lica na koje se podaci odnose da pokrene i druge postupke upravne ili sudske zaštite. Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezulatatima postupka, kao i o pravu lica da pokrene sudski postupak. Protiv odluke Poverenika, lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, ima pravo da tužbom pokrene upravni spor (član 83. Nacrta zakona).
Lice na koje se podaci odnose ima pravo i na sudsku zaštitu (član 84. Nacrta zakona), ako smatra da je njegovo pravo propisano ovim zakonom povređeno radnjom obrade podataka o njegovoj ličnosti od strane rukovaoca, odnosno obrađivača, suprotno odredbama ovog zakona. Kao i u slučaju kod podnošenja pritužbe Povereniku, podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava pred sudom, može se zahtevati od suda da obaveže tuženog na davanje informacije, na ispravku, odnosno brisanje podataka o tužiocu, na ograničenje obrade, na davanje podataka u struktuiranom, uobičajno korišćenom i elektronski čitljivom formatu, kao i prenošenje podataka drugom rukovaocu i na prekid obrade podataka.
U ovom posebnom sudskom postupku, revizija pravnosnažne odluke je uvek dopuštena, a na sudski postupak se primenjuju odredbe zakona kojim se uređuje parnični postupak.
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona (član 86. Nacrta zakona) ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao. Za nastalu štetu odgovara rukovalac, a obrađivač samo u slučaju kad nije postupao u skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je postupao izvan ili suprotno uputstvima rukovaoca izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije odgovoran za nastanak štete, a ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade štete.
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način (član 87. Nacrta zakona). Stavom 3. istog člana određene su okolnosti koje treba uzeti u obzir u svakom pojedinačnom slučaju, prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu.
Glavom VIII. uređeni su posebni slučajevi obrada (čl. 88. do 94. Nacrta zakona).
Posebni slučajevi imaju svoje specifičnosti u odnosu na ostale odredbe Nacrta zakona, pa su zbog toga predviđene u posebnoj glavi. Reč je o obradi podataka o ličnosti koja se vrši u cilju novinarskog istraživanja i objavljivanja informacija u medijima, kao i naučnog, umetničkog ili književnog izražavanja, odnosu obrade podataka o ličnosti i slobodnog pristupa informacijama od javnog značaja, obradi jedinstvenog matičnog broja građana, obradi podataka u oblasti rada i zapošljavanja, zaštiti i ograničenju primene odredbi zakona na obradu podataka u svrhu arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja i u statističke svrhe, obradi podataka o ličnosti od strane crkava i verskih zajednica i obradi podataka o ličnosti u humanitarne svrhe od strane organa javne vlasti.
Kaznene odredbe predviđene su Glavom IH. (član 95. Nacrta zakona). Predviđa se 34 različita prekršaja zbog povreda zakona. Za sve prekršaje predviđena je novčana kazna u rasponu predviđenim Zakonom o prekršajima. Za propisane prekršaje mogu da odgovaraju rukovalac, kao i obrađivač koji ima svojstvo pravnog lica. Pored toga, u skladu sa Zakonom o prekršajima, za propisane prekršaje mogu da odgovaraju i preduzetnik, fizičko lice, kao i odgovorno lice u pravnom licu, državnom organu, organu teritorijalne autonomije i jedinici lokalne samouprave, odnosno odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica. Kao poseban prekršaj je propisan slučaj kada lice za obavljanja poslove zaštite podataka ne čuva podatke koje sazna tokom obavljanja poslova kao profesionalnu tajnu.
Završni deo Nacrta zakona (Glava X) sadrži njegove prelazne i završne odredbe (čl. 96. do 101. Nacrta zakona).
Članom 96. Nacrta zakona predviđena je primena Zakona o slobodnom pristupu informacijama od javnog značaja na sedište Poverenika, izbor, prestanak mandata, postupak razrešenja, položaj Poverenika, njegovu stručnu službu, finansiranje i podnošenje izveštaja, s obzirom da su ta pitanja uređena navedenim zakonom. Pored toga, a imajući u vidu da Poverenik ima svog zamenika za zaštitu podataka o ličnosti, predviđeno je da taj zamenik nastavlja da vrši svoju dužnost do isteka mandanata za koji je izabran.
Članom 97. Nacrta zakona predviđeno je da se na postupke po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, a koji nisu okončani do dana stupanja na snagu zakona, primenjuju odredbe važećeg Zakona o zaštiti podataka o ličnosti.
Članom 98. predviđeno je da Centralni registar zbirki podataka koji je uspostavljen po odredbama važećeg zakona o zaštiti podataka o ličnosti prestaje da se da se vodi danom početka primene ovog zakona, kao i da se sa centralnim registrom, kao i sa podacima sadržanim u tom registru, postupa se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Članom 99. Nacrta zakona predviđeno je da se podzakonski akti čije donošenje zakon predviđa za njegovu primenu donesu u roku od šest meseci od dana stupanja na snagu zakona, a da se do njihovog usvajanja primenjuju podzakonski akti koji su doneti na osnovu važećeg Zakona o zaštiti podataka o ličnosti.
Završnim odredbama Nacrta zakona (čl. 100. i 101) predviđeno je stavljanje van snage važećeg zakona (Zakon o zaštiti podataka o ličnosti - "Službeni glasnik RS", br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12), kao i stupanje zakona na snagu i početak njegove primene.
Izvor: Vebsajt Ministarstva pravde, 01.12.2017.