Zastava Bosne i Hercegovine | Zastava Crne Gore


Email Print
07.03.2017.

POVERENIKOV MODEL ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI - Tekst propisa


I OSNOVNE ODREDBE

Predmet zakona

Član 1.

Ovim zakonom uređuju se načela obrade podataka o ličnosti, nadležnost organa za zaštitu podataka o ličnosti, posebni vidovi obrade, prava lica i zaštita prava lica povodom obrade, obaveze povodom obrade, iznošenje podataka iz zemlje i nadzor nad sprovođenjem ovog zakona.

Organ nadležan za zaštitu podataka o ličnosti je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) , kao samostalan državni organ, nezavisan u vršenju svoje nadležnosti.

Cilj zakona

Član 2.

Cilj ovog zakona jeste da svakome obezbedi zaštitu podataka o ličnosti radi ostvarivanja prava na privatnost i ostalih prava i sloboda.

Značenje izraza

Član 3.

Pojedini izrazi u ovom zakonu imaju sledeće značenje:

1) Podatak o ličnosti je svaka informacija koja se odnosi na fizičko lice, čiji je identitet određen ili odrediv, bez obzira na oblik u kome je informacija izražena;
2) Fizičko lice je lice na koje se odnosi podatak o ličnosti, čiji je identitet određen ili se može odrediti, tj. koje se može identifikovati neposredno ili posredno, posebno pomoću identifikatora kao što su lično ime, jedinstveni matični broj građana, podaci o lokaciji, mrežni identifikator ili drugi identifikacioni broj, adresni kod ili druga obeležja njegovog fizičkog, fiziološkog, genetskog, psihičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta (u daljem tekstu: lice) ;
3) Obrada podataka je svaka radnja ili skup radnji preduzetih u vezi sa podacima o ličnosti, kao što su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, proveravanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, držanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, iznošenje podataka iz zemlje, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatizovanom obradom ili na drugi način (u daljem tekstu: obrada) ;
4) Zbirka podataka označava svaki strukturisani skup podataka koji sadrži najmanje jedan podatak o ličnosti, koji je dostupan u skladu sa posebnim kriterijumima (prema ličnom, predmetnom ili drugom osnovu) , bez obzira na to da li je taj skup centralizovan, decentralizovan ili razvrstan po funkcionalnim ili geografskim osnovama. Strukturisani skup podataka je onaj skup podataka koji je organizovan na takav način da identifikuje ili omogući identifikaciju pojedinca;
5) Organ vlasti je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, organ preko koga se ostvaruje regulatorna funkcija u određenoj oblasti ili delatnosti, kao i javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;
6) Rukovalac je organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, kao i bilo koji drugi oblik organizovanja koji nema svojstvo pravnog lica, a nosilac je prava i obaveza, koji sam ili zajedno sa drugima obrađuje podatke o ličnosti i određuje svrhu i način obrade podataka;
7) Obrađivač je organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, a nosilac je prava i obaveza, koji na osnovu zakona obrađuje podatke o ličnosti u ime i za račun rukovaoca ili kome je rukovalac na osnovu ugovora poverio određene poslove u vezi sa obradom;
8) Primalac je organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, a nosilac je prava i obaveza, kome su podaci o ličnosti učinjeni dostupnim;
9) Pristanak lica na koje se podaci odnose je dobrovoljna, slobodna, izričita, informisana i nedvosmislena izjava volje kojom se daje pristanak za obradu podataka o ličnosti koji se na njega odnose; uključujući i konkludentne radnje, a nakon što je lice koje daje pristanak upoznato sa tačno određenom obradom njegovih podataka o ličnosti i uslovima pod kojima se ta obrada vrši;
10) Osetljivi podaci o ličnosti su podaci o: rasnom ili etničkom poreklu, nacionalnoj pripadnosti, političkom, verskom ili filozofskom uverenju, članstvu u sindikatu, zdravstvenom stanju, podaci o žrtvama nasilja, seksualnom životu lica i seksualnoj orijentaciji lica, promeni pola, kao i genetski podaci, biometrijski podaci koji služe za jedinstvenu identifikaciju lica, podaci koji se tiču upisa i brisanja podataka iz kaznene evidencije, podaci iz prekršajne evidencije koja se vodi na osnovu zakona koji reguliše prekršaje, podaci iz evidencije o izrečenim vaspitnim merama i kazni maloletničkog zatvora; podaci o zdravstvenom stanju su podaci koji se odnose na fizičko ili psihičko stanje lica, kao i podaci koji se odnose na pružanje zdravstvenih usluga licu; biometrijski podaci su podaci o ličnosti dobijeni posebnom tehničkom obradom u vezi s fizičkim i fiziološkim osobinama ili karakteristike ponašanja lica i omogućavaju ili potvrđuju jedinstvenu identifikaciju tog lica; genetski podaci su podaci o ličnosti koji se odnose na nasleđene ili stečene genetske osobine fizičkog lica koje daju jedinstvene informacije o fiziologiji ili zdravlju tog fizičkog lica, i koji su dobijeni pre svega nalizom biološkog uzorka tog fizičkog lica.

11) Video-nadzor je svaki sistem koji se koristi za snimanje određenog prostora;
12) Prodor u bezbednost podataka označava svaku povredu bezbednosti podataka o ličnosti koja za rezultat ima nezakonito ili slučajno uništenje, gubitak ili izmenu podatka o ličnosti ili neovlašćeni pristup ili odavanje podataka o ličnosti;
13) Brisanje podataka o ličnosti je svaka radnja ili postupanje kojim se ovi podaci uništavaju potpuno i trajno;
14) Anonimizacija podataka o ličnosti je svaka radnja ili postupanje kojim se ovi podaci nepovratno menjaju, nakon čega ne postoji mogućnost da se identifikuje lice na koje su se podaci prethodno odnosili, bez značajnih troškova ili nesrazmernih napora ili znatnog utroška vremena;
15) Pseudonimizacija je obrada podataka o ličnosti na način da se lični podaci više ne mogu pripisati određenom licu bez upotrebe dodatnih informacija, pod uslovom da se takve dodatne informacije drže odvojeno te da podležu tehničkim i organizacionim merama kako bi se osiguralo da se lični podaci ne mogu pripisati pojedincu čiji je identitet određen ili je odrediv.
16) Profilisanje je svaki oblik automatske obrade podataka o ličnosti koji se sastoji od upotrebe podataka u svrhu procene određenih svojstava fizičkog lica, posebno za analizu ili predviđanje aspekata u vezi sa radnim učinkom, pouzdanošću, ličnim sklonostima, kreditnom sposobnošću, materijlnim stanjem, zdravljem, ponašanjem, kretanjem tog fizičkog lica i slično, ukrštanjem podataka o ličnosti sadržanih u različitim dokumentima i bazama koje su javno objavljene kao i podataka koji nisu objavljeni.
17) Naučnoistraživačka delatnost je delatnost definisana zakonom kojim se uređuje naučnoistraživačka delatnost.
18) Statistička delatnost se definiše u skladu sa zakonom kojim se uređuje zvanična statistika.
19) Obrada u istorijska svrhe podrazumeva obradu koja se vrši u svrhu ispitivanja istorijskog događaja.
20) Centralna evidencija je evidencija koju vodi Poverenik o dostavljenim obaveštenjima o nameri obrade podataka o ličnosti, koje su mu dostavili rukovaoci koji nisu organi javne vlasti, a obrađuju osetljive podatake o ličnosti; rukovaoci koji obrađuju podatke za više od 250 lica, kao i rukovaoci koji su organi javne vlasti a obradu vrše na osnovu člana 17. stav 2. ovog zakona.

Načelo transparentnosti

Član 4.

Svaka informacija i komunikacija u vezi sa obradom podataka o ličnosti mora da bude lako dostupna i razumljiva i da se upotrebljava jasan i jednostavan jezik, naročito za svaku informaciju koja je namenjena deci.

Načelo zakonitosti i pravičnosti

Član 5.

Obrada podataka o ličnosti mora biti zakonita i pravična.

Načelo ograničenosti svrhe

Član 6.

Podaci o ličnosti obrađuju se samo u svrhe koje su jasno određene i koje su zakonite i legitimne.

Obrada podataka o ličnosti nije dozvoljena ako se vrši u svrhu različitu od one koja je određena.

Izuzetno od stava 2. ovog člana podaci se mogu obrađivati u svrhu različitu od one koja je određena ako je to neophodno za vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom.

Obrada podataka u svrhu arhiviranja u javnom interesu i u statističke, naučnoistraživačke i istorijske svrhe ne smatra se promenom svrhe obrade podataka u smislu ovog zakona ukoliko se vrši u skladu sa uslovima propisanom članom 13. ovog zakona.

Obrada podataka o ličnosti nije dozvoljena ako je iscrpljena svrha obrade.

Podaci o ličnosti, uključujući i pseudoanonimizaciju, mogu se čuvati na način da omogućavaju utvrđivanje identiteta lica na koje se podaci odnose samo onoliko vremena koliko je to potrebno da bi se ostvarila svrha obrade zbog koje se podaci obrađuju.

Izuzetno, podaci se mogu čuvati i duže od roka propisanog u stavu 6. ovog člana ako se podaci obrađuju isključivo u svrhu arhiviranja u javnom interesu ili u statističke, naučnoistraživačke i istorijske svrhe i pod uslovom da su preduzete odgovarajuće organizacione i tehničke mere u skladu sa zakonom.

Načelo srazmernosti

Član 7.

Podaci o ličnosti koji se obrađuju moraju biti odgovarajući, primereni i ograničeni na ono što je neophodno u svrhe zbog kojih se podaci obrađuju.

Obrada podataka o ličnosti nije dozvoljena ako se svrha obrade može ostvariti i bez obrade ovih podataka.

Načelo tačnosti podataka

Član 8.

Podaci o ličnosti koji se obrađuju moraju da budu tačni, potpuni i ažurni.

Načelo bezbednosti podataka

Član 9.

Podaci o ličnosti koji se obrađuju moraju da budu zaštićeni od nezakonitog ili slučajnog uništenja, gubitka ili izmene podatka, kao i svakog neovlašćenog pristupa podacima ili njihovog neovlašćenog odavanja ili drugih vidova nezakonite obrade.

Zabrana diskriminacije

Član 10.

Ostvarivanje i zaštita prava koji se uređuju ovim zakonom, obezbeđuju se svakom, bez obzira na državljanstvo i prebivalište, rasu, godine života, genetske osobenosti, invaliditet, pol, rod, rodni identitet, seksualnu orijentaciju, jezik, veroispovest, političko i drugo uverenje, nacionalnu pripadnost, socijalno poreklo i status, imovinsko stanje, mesto rođenja, obrazovanje, društveni položaj ili druga lična svojstva.

Teritorijalna primena

Član 11.

Odredbe ovog zakona primenjuju se na rukovaoce, obrađivače ili primaoce koji imaju sedište, odnosno prebivalište ili boravište u Republici Srbiji.

Odredbe ovog zakona primenjuju se i na rukovaoce, obrađivače ili primaoce koji nemaju sedište odnosno prebivalište ili boravište u Republici Srbiji, ako obrađuju podatke o ličnosti sa namerom:

1) nuđenja robe ili usluga licima u Republici Srbiji; ili

2) praćenja ponašanja lica u cilju izrade profila pojedinaca, donošenja odluka koje se odnose na pojedinca, radi analize ili predviđanja njegovih sklonosti, ponašanja i stavova (profilisanje) , ako se to ponašanje odvija u Republici Srbiji;
U slučaju iz stava 2. ovog člana rukovalac je dužan da odredi pravno ili fizičko lice koje ima sedište, odnosno prebivalište ili boravište u Republici Srbiji, da ga zastupa u vezi sa obradom podataka o ličnosti u skladu sa ovim zakonom.

Ovaj zakon primenjuje se i na diplomatsko-konzularna i druga predstavništva Republike Srbije u inostranstvu.

Obrada podataka na koju se zakon ne primenjuje

Član 12.

Odredbe ovog zakona ne primenjuju se na obradu podataka o ličnosti koju vrše fizička lica isključivo za lične ili porodične potrebe.

Odredbe čl. 45. – 84. ovog zakona ne primenjuju se na podatke o ličnosti koji se obrađuju isključivo u svrhe javnog informisanja i naučnog, književnog ili drugog umetničkog stvaranja.

Odredbe čl. 45 - 70. ovog zakona ne primenjuju se na podatke o ličnosti koje o svojim članovima obrađuju političke stranke, sindikati, udruženja i verske organizacije, dok traje članstvo.

Odredbe čl. 17 - 30. ovog zakona ne primenjuju se na podatke o ličnosti koji su u skladu sa zakonom objavljeni tako da su dostupni neograničenom broju lica.

Obrada podataka u statističke, istorijske i naučnoistraživačke svrhe

Član 13.

Podaci o ličnosti mogu se, bez obzira na svrhu zbog koje se obrađuju, dalje obrađivati u istorijske, statističke ili naučnoistraživačke svrhe. Za potrebe obrade u statističke, naučnoistraživačke ili istorijske svrhe podaci se primaocu ustupaju u anonimizovanom obliku, osim ako je posebnim zakonom drugačije propisano ili ako je lice na koje se podaci odnose prethodno pristalo na korišćenje njegovih podataka u neanonimizovanom obliku.

Rezultati obrade podataka objavljuju se u anonimizovanom obliku, osim ako je posebnim zakonom drugačije propisano ili ako je lice na koje se podaci odnose dalo pristanak za njihovo objavljivanje.

U slučaju obrade podataka o ličnosti umrlog lica, pristanak za neanonimizovano objavljivanje daju lica iz prvog i drugog naslednog reda u skladu sa zakonom kojim se uređuje nasleđivanje. Izuzetno od stava 3. ovog člana rezultati obrade podataka mogu da se objave i u neanonimizovanom obliku ukoliko je to potrebno radi ostvarivanja interesa istraživanja koji je pretežniji od interesa lica na koje se podaci odnose u meri koja je neophodna da bi se interesi ostvarili.

Podatke o ličnosti prikupljene u svrhu iz ovog člana primalac će po ostvarivanju te svrhe brisati najkasnije u roku od godinu dana od dana ostvarivanja svrhe, osim ako je posebnim zakonom drugačije propisano.

Ograničenja prava

Član 14.

Prava iz ovog zakona mogu se izuzetno podvrći ograničenjima propisanim ovim zakonom ako je to neophodno u demokratskom društvu radi zaštite od ozbiljne povrede pretežnijeg interesa zasnovanog na ustavu ili zakonu.

Nijedna odredba ovog zakona ne sme se tumačiti na način koji bi doveo do ukidanja nekog prava koje ovaj zakon priznaje ili do njegovog ograničenja u većoj meri od one koja je propisana u stavu 1. ovog člana.

Odnos prava na slobodan pristup informacijama od javnog značaja i prava na zaštitu podataka o ličnosti

Član 15.

Kad interes javnosti da zna preteže nad interesom zaštite podataka o ličnosti, podaci o ličnosti se, kao informacije od javnog značaja, mogu učiniti dostupnim javnosti u skladu sa zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, a uz poštovanje načela srazmernosti zaštite podataka o ličnosti utvrđenog ovim zakonom.

II POVERENIK

Nadležnost i zamenik Poverenika

Član 16.

U vršenju poslova u oblasti zaštite podataka o ličnosti, Poverenik je nadležan da:

1) vrši nadzor nad sprovođenjem ovog zakona;
2) odlučuje u postupcima propisanim ovim zakonom;
3) odlučuje u postupku iznošenja podataka iz Republike Srbije;
4) odlučuje u postupku po zahtevu za uvođenje biometrijskih mera;
5) daje mišljenje u vezi sa uspostavljanjem novih zbirki podataka, odnosno u slučaju uvođenja nove informacione tehnologije u obradi podataka;
6) daje mišljenje u slučaju kada postoji sumnja da se neki skup podataka smatra zbirkom podataka u smislu ovog zakona;
7) prati stanje iz oblasti zaštite podataka i predlaže mere za poboljšanje stanja u oblasti zaštite podataka o ličnosti;
8) utvrđuje i sprovodi posebne programe za unapređivanje zaštite podataka;
9) daje prethodno mišljenje da li određeni način obrade predstavlja specifičan rizik za prava i slobode građanina;
10) na zahtev nadležnog organa daje prethodno mišljenje u postupku donošenja zakona i drugih propisa u pogledu odredaba u vezi sa obradom podataka o ličnosti;
11) neposredno sarađuje sa organima nadležnim za nadzor nad zaštitom podataka u drugim zemljama, kao i drugim organima i organizacijama u oblasti zaštite podataka i prati uređenje zaštite podataka u drugim zemljama;
12) ako drugačije nije određeno, određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji;
13) donosi podzakonske akte za koje je ovlašćen ovim zakonom;
14) organizuje i sprovodi polaganje stručnog ispita za lica za zaštitu podataka o ličnosti, propisuje program, način i visinu troškova polaganja ispita, izdaje i oduzima licence za zaštitu podataka i vodi registar o tome;
15) obavlja i druge poslove iz svoje nadležnosti.

Poverenik ima zamenika za zaštitu podataka o ličnosti.

Odredbe stava 1. tačke 1. i 2. ovog člana ne primenjuju se na obradu podataka o ličnosti koju vrše sudovi isključivo u svrhu vođenja sudskih postupaka, čime se ne dira u nadležnosti i ovlašćenja koja Poverenik ima u vezi sa zaštitom prava javnosti da zna.

Posebnim zakonom odrediće se organ, u okviru sudske vlasti, koji će nezavisno i samostalno da vrši nadzor nad obradom podataka o ličnosti koju vrše sudovi u svrhu vođenja sudskih postupaka i da odlučuje u postupcima za ostvarivanja prava iz ovog zakona. Tim zakonom urediće se i ovlašćenja i nadležnost tog organa.

III OBRADA PODATAKA

Pravni osnov za obradu podataka

Član 17.

Podaci o ličnosti mogu da se obrađuju ako je obrada podataka predviđena zakonom ili ukoliko je lice na koje se odnosi podatak dalo pristanak za obradu.

Izuzetno, obrada podataka bez zakonskog ovlašćenja ili bez pristanka lica je dozvoljena isključivo u slučajevima i pod uslovima predviđenim ovim zakonom.

Kada su svrha i način obrade određeni zakonom, tim zakonom određuje se i rukovalac podataka.

Pravni osnov kad obradu vrše organi vlasti

Član 18.

Organi vlasti mogu da obrađuju podatke o ličnosti samo ako je obrada podataka uređena zakonom.

Izuzetno od stava 1. ovog člana, zakonom može biti predviđeno da organ vlasti može da obrađuje određene podatke o ličnosti na osnovu prethodnog pristanka lica, ali samo za potrebe koje nisu u svrhu izvršavanja poslova iz nadležnosti i ovlašćenja organa vlasti.

Organi vlasti mogu da obrađuju i podatke o ličnosti lica sa kojima su u ugovornom odnosu ili sa kojima pregovaraju o zaključenju ugovora, pod uslovom da je obrada podataka potrebna i prikladna za vođenje pregovora ili za realizaciju ugovora.

Pravni osnov kad obradu vrše rukovaoci koji nisu organ vlasti

Član 19.

Rukovaoci koji nisu organi vlasti podatke o ličnosti mogu da obrađuju ako je obrada podataka predviđena zakonom ili ako je dat pristanak lica za obradu određenih podataka o njemu.

Izuzetno, rukovaoci iz stava 1. ovog člana podatke o ličnosti mogu da obrađuju i za lica sa kojima su u ugovornom odnosu ili sa kojima pregovaraju o zaključenju ugovora, pod uslovom da je obrada podataka potrebna i prikladna za vođenje pregovora ili za realizaciju ugovora, kao i u slučaju kada je obrada podataka neophodna za ostvarivanje legitimnog interesa rukovaoca, a prava, slobode i legitimni interesi lica na koje se odnose podaci o ličnosti nemaju prevagu nad interesima rukovaoca.

Poveravanje poslova u vezi sa obradom podataka

Član 20.

Rukovalac poslove u vezi sa obradom podataka može da poveri obrađivaču koji ispunjava uslove za sprovođenje mera za zaštitu podataka u skladu sa ovim zakonom.

Rukovalac je odgovoran za izbor obrađivača.

Međusobna prava i obaveze rukovaoca i obrađivača uređuju se ugovorom koji mora biti zaključen u pismenom obliku.

Ugovorom se obrađivač obavezuje da obavlja poslove u vezi sa obradom podataka o ličnosti samo u okviru dobijenog ovlašćenja, a posebno da podatke o ličnosti ne sme da daje drugim licima bez pismene dozvole rukovaoca, niti sme da ih obrađuje u bilo koju drugu svrhu osim ugovorene, da obezbedi odgovarajuće organizacione i tehničke mere zaštite podataka, kao i da fizička lica koja će u ime obrađivača preduzimati poslove obrade podataka podležu propisanim obavezama čuvanja poverljivosti podataka.

Ugovorom se uređuje i postupanje sa podacima o ličnosti nakon prestanka ugovora, kao i postupanje u slučaju prestanka obrađivača ili rukovaoca ili spora između njih.

Prilikom zaključivanja ugovora rukovalac je dužan da u pismenom obliku upozna obrađivača sa merama zaštite podataka o ličnosti.

Obrađivač može da pojedine poslove u vezi sa obradom podataka poveri drugom licu kao podobrađivaču samo ako ima pismenu dozvolu rukovaoca.

Obrađivač je u potpunosti odgovoran rukovaocu podataka za izvršenje obaveza podobrađivača.

Podobrađivač može da pojedine poslove u vezi sa obradom podataka poverene od strane obrađivača poveri nekom drugom licu kao podobrađivaču samo ako ima pismenu dozvolu rukovaoca i obrađivača.

Na odnose između obrađivača i podobrađivača, kao i podobrađivača međusobno, shodno se primenjuju odredbe stavova 1. – 7. ovog člana.

Zaštita životno važnih interesa lica

Član 21.

Obrada podataka o ličnosti može da se vrši i bez pravnog osnova u smislu ovog zakona, samo ako je to neophodno da se zaštite životno važni interesi nekog lica, a posebno život, zdravlje i fizički integritet, u meri koja je neophodna za zaštitu tih interesa.

Obrada osetljivih podataka o ličnosti

Član 22.

Osetljivi podaci o ličnosti mogu da se obrađuju samo ukoliko je lice na koje se podaci odnose dalo svoj pristanak za obradu tih podataka, koji je isključivo u pismenom obliku.

Izuzetno od stava 1. ovog člana, osetljivi podaci o ličnosti mogu da se obrađuju:

1) ukoliko je to predviđeno zakonom ili je neophodno radi izvršenja obaveza određenih zakonom;
2) kad je obrada tih podataka neophodna radi otkrivanja, prevencije i dijagnostikovanja bolesti i lečenja lica, kao i radi unapređenja zdravstvene delatnosti u skladu sa zakonom, ako te podatke obrađuje zdravstveni radnik ili drugo lice koje podleže propisanim obavezama čuvanja poverljivih podataka.

3) kad je obrada neophodna radi pružanja usluga socijalne zaštite u skladu sa zakonom

4) kad je to neophodno da se zaštite životno važni interesi nekog lica, a posebno život, zdravlje i fizički integritet, a lice na koje se podaci odnose nije u mogućnosti da lično dâ saglasnost;
5) ako je poslovno sposobno lice na očigledan način podatke o ličnosti učinilo dostupnim javnosti;
6) ako je to neophodno u svrhu dokazivanja ili pobijanja tužbe, i

7) kada je to potrebno da se ostvari svrha delovanja organizacija sa političkim, filozofskim, verskim ili sindikalnim ciljem, a obrada podataka se odnosi samo na članove tih organizacija i lica koja sa ovim organizacijama imaju redovnu komunikaciju povodom aktivnosti u vezi sa svrhom njihovog delovanja, i pod uslovom da se podaci o licima ne mogu bez njihovog pristanka otkrivati drugim licima.

8) ako je obrada nužna u svrhu javnog interesa u oblasti javnog zdravlja

9) ako je obrada nužna u svrhe arhiviranja u javnom interesu, u naučnoistaživačke, statističke i istorijske svrhe u skladu sa čl. 12. ovog zakona uz osiguravanje posebnih i prikladnih mera za zaštitu prava lica na koja se podaci odnose,

10) kada je obrada neophodna radi zaštite žrtava nasilja.

Obrada osetljivih podataka o ličnosti nije dozvoljena ukoliko zakonom nije dozvoljena obrada ni uz pristanak.

Odluka pomoću automatizovane obrade podataka i profilisanje

Član 23.

Odluka koja proizvodi pravne posledice za lice ili na sličan način značajno utiče na lice, ne može da bude isključivo zasnovana na podacima koji se obrađuju automatizovano i koji služe oceni nekog njegovog svojstva, uključujući i profilisanje.

Odluka iz stava 1. ovog člana može se doneti kada se usvaja zahtev lica na koje se odnose podaci u vezi sa zaključenjem ili ispunjenjem ugovora i kada je lice dalo izričit pristanak.

Izuzetno, odluka iz stava 1. ovog člana može se doneti kada je to zakonom izričito određeno uz sprovođenje odgovarajućih mera zaštite podataka o ličnosti.

U slučaju iz stavova 2. i 3. ovog člana rukovalac je dužan da upozna lice sa postupkom automatizovane obrade podataka, načinom donošenja odluke, važnošću donošenja odluke kao i o predviđenim posledicama takve odluke po lice na koje se podaci odnose. Lice na koje se podaci odnose ima pravo da od rukovaoca traži određene informacije i pojašnjenja donetih odluka, da izrazi svoj stav u vezi sa tako donetom odlukom i da traži izmenu odluke.

Odluke iz stava 2. ne smeju se zasnivati na osetljivim podacima o ličnosti izuzev ako je lice na koje se podaci odnose dalo izričit pristanak.

Odluke koje se odnose na decu ne mogu se zasnivati na podacima koji se obrađuju samo automatizovano. Iuzetno, ovakva obrada je dozvoljena pod uslovom da rukovalac izvrši proveru opravdanosti takve odluke u skladu sa najboljim interesom deteta.

Obaveštavanje lica od koga se prikupljaju podaci

Član 24.

Ako podatke o ličnosti prikuplja neposredno od lica na koje se odnose, rukovalac je dužan da ga prethodno na odgovarajući način obavesti o:

1) svom nazivu, odnosno ličnom imenu, sedištu, odnosno prebivalištu;
2) kontakt podaci o licu za zaštitu podataka o ličnosti ako ga ima;
3) svrsi obrade podataka i pravnom osnovu za obradu;
4) o legitimnim interesima rukovaoca, ako se obrada vrši u skladu sa čl. 19. st.2. ovog zakona;
5) mogućim posledicama uskraćivanja davanja podataka;
6) pravu na pristup podacima i pravu na ispravku podataka koji se na njega odnose, ;
7) primaocima podataka;
8) o nameri da podatke o ličnosti iznese iz zemlje, uz naznaku gde i pod kojim uslovima;
9) rokovima čuvanja podataka;
10) pravu da se obrati nadležnom organu za zaštitu podataka o ličnosti svim drugim informacije da bi se osigurala zakonita, pravična i transparentna obrada, u skladu sa načelom savesnosti i poštenja.

Obaveze iz stava 1. ovog člana ne postoje ako su te informacije već poznate licu.

Odredbe stavova 1 – 2. ovog člana shodno se primenjuju u slučaju da obrađivač prikuplja podatke u ime rukovaoca, s tim da je dužan da obavesti lice da postupa kao obrađivač, kao i da ga obavesti o svom nazivu, odnosno ličnom imenu, sedištu, odnosno prebivalištu.

Obaveštavanje lica kad se podaci prikupljaju od drugih

Član 25.

Ako podatke o ličnosti ne prikuplja neposredno od lica na koje se podaci odnose, rukovalac je dužan da bez odlaganja, a najkasnije u roku od petnaest dana od dana kada je prikupio podatke, obavesti lice o:

1) svom nazivu, odnosno ličnom imenu, sedištu odnosno prebivalištu;
2) kontakt podaci o licu za zaštitu podataka o ličnosti ako ga ima;
3) svrsi obrade podataka i pravnom osnovu za obradu;
4) vrsti podataka o ličnosti koji se obrađuju, ;
5) pravima lica povodom obrade podataka i zaštiti prava lica;
6) primaocima.;
7) o nameri da podatke o ličnosti iznese iz zemlje, uz naznaku gde i pod kojim uslovima.

Izuzetno, rukovalac nije dužan da obavesti lice na koje se podaci odnose kad je obrada podataka propisana zakonom ili ako je dostavljanje obaveštenja licu nemoguće ili zahteva aktivnosti koje nisu srazmerne cilju obaveštavanja.

Pristanak lica

Član 26.

Pristanak lica za obradu njegovih podataka o ličnosti može biti dat usmeno, u pismenom obliku ili konkludentnom radnjom.

Pismeni oblik pristanka je potpisana saglasnost u obliku dokumenta, odredbe u ugovoru, priloga ili u drugom obliku, kao i elektronski oblik pod uslovima iz zakona kojim se uređuje elektronski potpis.

Ako lice na koje se podaci odnose da pristanak u pisanoj izjavi koja se odnosi i na druga pitanja, zahtev za pristanak mora da bude prikazan tako da se jasno razlikuje od drugih pitanja, u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika. Bilo koji deo takve izjave koji predstavlja kršenje ovog zakona nije obavezujući.

Usmeni oblik pristanaka lica se iskazuje rečima i podrazumeva postojanje pisanog ili drugog odgovarajućeg dokaza koji potvrđuje njegovu autentičnost.

Konkludentna radnja je jedna ili više radnji, odnosno odgovarajuće postupanje, koje je jasno i nedvosmisleno, na osnovu čega se sa sigurnošću može zaključiti da postoji pristanak lica, npr. ulazak u zonu video-nadzora po prethodnom informisanju, aktivna radnja davanja podataka putem informacionih i komunikacionih tehnologija, pokazivanjem uobičajenih znakova i slično.

Kada je obrada zasnovana na pristanku, rukovalac mora da bude u mogućnosti da dokaže da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka o ličnosti.

Kada se procenjuje da li je pristanak dat dobrovoljno, u najvećoj mogućoj meri se uzima u obzir da li je, između ostalog, izvršenje ugovora, uključujući i pružanje usluge, uslovljeno pristankom za obradu podataka o ličnosti koja nije neophodno za izvršenje tog ugovora.

Obrada podataka o ličnosti deteta na osnovu njegovog pristanka u svrhu pružanja usluga informacionog društva zakonita je ako dete ima najmanje 15 godina. Ako je dete mlađe od 15 godina, takva obrada je zakonita samo ako i u meri u kojoj je pristanak dao ili odobrio vršilac roditeljskog prava nad detetom.

Rukovalac mora da preduzme sve što je u njegovoj moći kako bi utvrdio da li je pristanak dao ili odobrio vršilac roditeljskog prava nad detetom, uzimajući u obzir dostupnu tehnologiju.

Pravila iz stava 9. ovog člana ne utiču na opšta pravila obligacionog prava koja se tiču zaključenja, punovažnosti i dejstva ugovora u vezi sa detetom.

Opoziv pristanka lica

Član 27.

Lice može da opozove pristanak u bilo kom trenutku.

Opoziv pristanka ne utiče na zakonitost obrade na osnovu pristanka datog pre opoziva. O tome se pre davanja pristanka obaveštava lice na koje se podaci odnose.

Opoziv pristanka mora da bude podjednako jednostavan, kao i davanje pristanka.

Posle opoziva pristanka dalja obrada podataka je nedozvoljena, osim čuvanja podataka o ličnosti do isteka propisanog ili ugovorenog roka.

Ustupanje podataka primaocu

Član 28.

Podatke o ličnosti koje obrađuje rukovalac ustupa, odnosno čini dostupnim primaocu na osnovu pismenog zahteva primaoca.

Pismeni zahtev mora da sadrži naziv, odnosno ime primaoca, svrhu i pravni osnov za potraživanje podataka, kao i navođenje podataka koji se potražuju.

Izuzetno od stava 1. ovog člana, rukovalac može primaocu da ustupi podatke na osnovu usmenog zahteva ako razlozi hitnosti i svrha zbog koje potražuje podatke to opravdavaju, a ne postoji sumnja u pogledu osnova potraživanja podataka. O usmenom zahtevu rukovalac sačinjava službenu belešku sa elementima za pismeni zahtev iz stava 2. ovog člana.

Rukovalac vodi posebnu evidenciju o primljenim zahtevima, koja sadrži sve informacije i podatke iz pismenog zahteva iz stava 2. ovog člana i službene beleške iz stava 3. ovog člana, kao i informaciju o tome da li je rukovalac udovoljio zahtevu.

Rukovalac je dužan da evidenciju iz stava 4. ovog člana čuva najmanje pet godina od isteka poslednjeg dana kalendarske godine u kojoj su zahtevi primljeni.

Čuvanja i brisanje podataka o ličnosti

Član 29.

Podaci o ličnosti mogu da se čuvaju u obliku koji dopušta identifikaciju lica samo onoliko dugo koliko je potrebno da se ostvari svrha zbog koje su obrađivani.

Po ostvarivanju svrhe obrade, podaci o ličnosti će biti izbrisani, osim ako za pojedine podatke o ličnosti zakonom ili pristankom lica nije drugačije određeno.

Dostavljanje podataka o umrlom licu

Član 30.

Rukovalac može dostaviti podatke o umrlom licu samo onim primaocima koji su zakonom ovlašćeni za obradu podataka o ličnosti.

Rukovalac će dostaviti podatke o umrlom licu samo licima koja ulaze u prvi i drugi nasledni red umrlog lica, pod uslovom da umrlo lice za života nije u pismenoj formi zabranilo dostavljanje tih podataka.

Ako nije drugačije određeno zakonom, rukovalac može i svakom drugom licu da dostavi podatke o umrlom licu, radi obrade podataka isključivo u statističke ili naučnoistraživačke svrhe ili istorijske svrhe, pod uslovom da umrlo lice za života nije u pismenoj formi zabranilo dostavljanje tih podataka ili ako takvu zabranu nisu dali njegovi naslednici.

IV POSEBNI VIDOVI OBRADE PODATAKA

1. Biometrija

Opšte odredbe

Član 31.

Utvrđivanje i upoređivanje svojstava lica na osnovu obrade biometrijskih podataka radi utvrđivanja i dokazivanja njegovog identiteta, vrše se isključivo u skladu sa ovim zakonom.

Obrada podataka primenom biometrijskih mera

Član 32.

Obrada podataka primenom biometrijskih mera mora biti propisana zakonom.

Izuzetno od stava 1. ovog člana, primena biometrijskih mera u obradi podataka može da se vrši na osnovu prethodne odluke Poverenika, kada je to neophodno zbog bezbednosti ljudi i imovine ili radi zaštite tajnih podataka i poslovnih tajni, pristupa opremi i otkrivanja učinilaca krivičnih dela, a ova svrha ne može da se postigne drugim načinom obrade.

Primena biometrijskih mera u obradi podataka kada nisu određene zakonom

Član 33.

Poverenik donosi odluku iz člana 32. stav 2. ovog zakona na osnovu zahteva za uvođenje biometrijskih mera koji se podnosi Povereniku najkasnije dva meseca pre početka nameravane obrade podataka.

Sadržina zahteva iz stava 1. ovog člana, kao i način provere navoda, uređuje se aktom Poverenika.

U postupku donošenja odluke po zahtevu iz stava 1. ovog člana, shodno se primenjuju odredbe o vršenju nadzora, propisane članom 78-84. ovog zakona, kao i odredbe zakona kojim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drugačije uređeno.

Odluka Poverenika iz stava 3. ovog člana je konačna, izvršna i obavezujuća.

Protiv odluke Poverenika iz stava 3. ovog člana ne može se izjaviti žalba, već se može pokrenuti upravni spor.

Rukovalac podataka ne može da počne sa obradom biometrijskih podataka pre nego što primi odluku Poverenika kojom se odobrava uvođenje biometrijskih mera i pre nego što na odgovarajući način obavesti svako lice čiji se biometrijski podaci obrađuju o toj obradi.

2. Video-nadzor

Opšte odredbe

Član 34.

Rukovalac podataka koji vrši obradu podataka o ličnosti putem video-nadzora u skladu sa ovim zakonom, dužan je da istakne javno obaveštenje da se vrši video-nadzor.

Obaveštenje iz stava 1. ovog člana mora biti istaknuto na vidnom mestu na način koji omogućava licima da se sa vršenjem video-nadzora upoznaju pre početka vršenja video-nadzora, a najkasnije u trenutku kada počinje vršenje video-nadzora.

Obaveštenje iz stava 2. ovog člana mora da sadrži sledeće podatke:

1) tekstualno obaveštenje da je video-nadzor u toku i likovni, odnosno grafički simbol video-nadzora;
2) naziv rukovaoca koji vrši video-nadzor, i
3) podaci za kontakt radi dobijanja informacija u vezi sa obradom koja se vrši putem video-nadzora.

Sistem video-nadzora mora biti zaštićen od pristupa neovlašćenih lica.

Video-nadzor pristupa u službene i poslovne prostorije

Član 35.

Rukovalac podataka može putem video-nadzora da vrši obradu podataka o ličnosti pristupa u službene, odnosno poslovne prostorije i prostore (u daljem tekstu: poslovni prostor) , ukoliko je to potrebno za bezbednost lica i imovine, kontrolu ulaska ili izlaska iz poslovnog prostora ili ako zbog prirode posla postoji mogući rizik za zaposlene i ostale korisnike tog prostora.

Rukovalac podataka donosi odluku o uvođenju video-nadzora iz stava 1. ovog člana, koja mora biti u pismenoj formi i mora sadržati razloge za uvođenje video-nadzora, osim ako uvođenje video-nadzora nije propisano posebnim zakonom.

Ako se poslovni prostor nalazi u stambenoj zgradi, onda prilikom vršenja video-nadzora nije dozvoljeno snimati unutrašnje delove stambene zgrade koji nisu povezani sa ulazom u poslovni prostor, niti ulaz u privatne stanove.

Zabranjen je pristup snimcima sistema video-nadzora iz stava 1. ovog člana preko interne kablovske televizije, javne kablovske televizije ili drugih sredstava za elektronske komunikacije kojima se takvi snimci mogu preneti, bilo u trenutku njihovog nastanka ili nakon toga.

Video-nadzor u poslovnom prostoru

Član 36.

Rukovalac podataka može da vrši video-nadzor u poslovnom prostoru ako je to neophodno radi zaštite bezbednosti lica ili imovine ili tajnih podataka i poslovnih tajni.

Video-nadzor u poslovnom prostoru nije dozvoljen u garderobama i sanitarnim prostorijama.

Odluku o uvođenju video-nadzora iz stava 1. ovog člana, ukoliko uvođenje video-nadzora nije propisano zakonom, donosi rukovalac podataka. Odluka mora biti u pismenom obliku i mora sadržati razloge za njegovo uvođenje.

Rukovalac podataka dužan je da pre donošenja odluke o uvođenju video-nadzora iz stava 1. ovog člana, obavesti reprezentativni sindikat kod rukovaoca.

Lice koje radi u poslovnom prostoru mora biti obavešteno o uvođenju video-nadzora u pismenom obliku pre početka vršenja video-nadzora, u skladu sa članom 24. stav. 1. ovog zakona.

Rukovalac podataka je dužan da dokaz o ispunjenju obaveze iz stava 5. ovog člana čuva u svojoj dokumentaciji.

Odredbe stava 4. i 5. ovog člana ne primenjuju se na poslovni prostor državnih organa nadležnih za poslove u oblasti odbrane, nacionalne i javne bezbednosti i zaštite tajnih podataka.

Rukovalac podataka koji vrši video-nadzor u poslovnom prostoru, može video-nadzorom da obuhvati i javni prostor koji je u neposrednoj blizini tog poslovnog prostora, samo ako je to neophodno iz razloga navedenih u stavu 1. ovog člana.

Evidencija o video-nadzoru

Član 37.

O video-nadzoru iz člana 35. stav 1. i člana 36. stav 1. ovog zakona vodi se evidencija, bez obzira na to da li je video-nadzor propisan zakonom ili je uveden na osnovu odluke rukovaoca podataka.

Podaci o ličnosti iz evidencije iz stava 1. ovog člana čuvaju se srazmerno svrsi, a najduže godinu dana od dana nastanka.

Video-nadzor u stambenim zgradama

Član 38.

U stambenim zgradama može da se vrši video-nadzor ulaza i izlaza iz zgrade, kao i zajedničkih prostorija na način da se ne vrši video-nadzor ulaza i izlaza iz privatnih stanova.

Za uvođenje video-nadzora u stambenoj zgradi potrebna je odluka skupštine stambene zajednice, koja mora biti u pismenoj formi i mora sadržati razloge za uvođenje video-nadzora, kao i način vršenja video-nadzora, ukoliko uvođenje video-nadzora nije propisano zakonom.

Odluka iz stava 2. ovog člana je doneta ako se za nju izjasne članovi skupštine stambene zajednice, i to najmanje 60% svih vlasnika stanova ili drugih posebnih delova zgrade.

Zabranjen je pristup sistemu video-nadzora iz stava 1. ovog člana preko interne kablovske televizije, javne kablovske televizije, interneta ili drugih sredstava za elektronske komunikacije kojima se takvi snimci mogu preneti, bilo u trenutku njihovog nastanka ili nakon toga.

Video-nadzor privatnih stanova i kuća

Član 39.

Vlasnici privatnih stanova ili kuća koji vrše video-nadzor ulaza u stan ili kuću radi zaštite sopstvene bezbednosti i imovine, mogu iz ovih razloga da video-nadzorom obuhvate i javni prostor koji je u neposrednoj blizini tog stana ili kuće.

Video-nadzor iz stava 1. ovog člana ne sme da bude postavljen tako da snima ulaz i izlaz, odnosno spoljašnjost ili unutrašnjost drugih stanova i kuća.

Vlasnici privatnih stanova ili kuća iz stava 1. ovog člana dužni su da na vidnom mestu kod ulaza u stan ili kuću istaknu obaveštenje u skladu sa stavovima 2. i 3. člana 34. ovog zakona.

Video-nadzor javnih površina

Član 40.

Uvođenje i vršenje video-nadzora javnih površina koji se vrši u javnom interesu uređuje se zakonom.

Zakonom se određuje svrha obrade podataka, rukovalac i način obaveštavanja lica koja borave na javnoj površini, način korišćenja i rok čuvanja podataka.

3. Neposredno oglašavanje

Član 41.

Rukovalac podataka može da obrađuje podatke o ličnosti lica na koje se podaci odnose u svrhu neposrednog oglašavanja telefonom, elektronskom poštom ili drugim sredstvima komunikacije na daljinu samo na osnovu zakona, saglasnosti lica ili ako se radi o javno dostupnim podacima lica na koje se podaci odnose, a lice nije zabranilo obradu tih podataka u svrhu neposrednog oglašavanja.

Podaci o ličnosti koji mogu da se obrađuju u svrhu stava 1. ovog člana su: lično ime, adresa prebivališta ili boravišta, broj telefona, adresa elektronske pošte i drugi kontaktni podaci lica.

Rukovalac podataka može da obrađuje i druge podatke o ličnosti samo na osnovu pristanka lica na koje se podaci odnose.

Rukovalac podataka može da obrađuje podatke o ličnosti iz stava 2. ovog člana u svrhu neposrednog oglašavanja samo uz prethodno obaveštenje lica o nameravanoj obradi podataka dato tom licu prilikom prvog obraćanja.

Lice na koje se podaci odnose može u svakom trenutku, da zahteva da rukovalac podataka prestane da obrađuje njegove podatke o ličnosti.

Nakon zahteva lica iz stava 5. ovog člana dalja obrada podataka o ličnosti je nedozvoljena, osim čuvanja ovih podataka do isteka ugovorenog roka.

4. Obrada podataka o ulasku i izlasku iz poslovnog prostora

član 42.

Radi zaštite bezbednosti lica i imovine u svom poslovnom prostoru, rukovalac podataka može zahtevati od lica koje ulazi u poslovni prostor da stavi na uvid odgovarajuću ispravu radi utvrđivanja identiteta.

O ulascima i izlascima iz poslovnog prostora može se voditi evidencija koja može da sadrži: ime i prezime lica, vrstu i broj identifikacione isprave, adresu prebivališta ili boravišta, razlog ulaska, datum i vreme ulaska i izlaska iz poslovnog prostora.

Podaci o ličnosti iz evidencije iz stava 1. ovog člana čuvaju se srazmerno svrsi, a najduže godinu dana od dana prikupljanja, nakon čega se brišu, osim ukoliko posebnim zakonom nije drugačije uređeno.

5. Obrada jedinstvenog matičnog broja na internetu i upotreba ličnih identifikacionih dokumenata

Obrada jedinstvenog matičnog broja građana na internetu

Član 43.

Obrada jedinstvenog matičnog broja građana na način da se učini javno dostupnim na internetu je zabranjena.

Upotreba ličnih identifikacionih dokumenata

Član 44.

Zabranjena je obrada podataka fotokopiranjem i skeniranjem ličnih identifikacionih dokumenata, kao što su lična karta, putne isprave i druge lične isprave koje je izdao organ vlasti, izuzev ako je to zakonom propisano.

Zadržavanje ličnih identifikacionih dokumenata je zabranjeno, osim u slučajevima kada je to zakonom propisano.

V PRAVA LICA I ZAŠTITA PRAVA LICA

1. Prava lica

Pravo na obaveštenje o obradi podataka

Član 45.

Lice ima pravo da zahteva da ga rukovalac istinito i potpuno obavesti o tome:

1) da li rukovalac obrađuje podatke o njemu i koju radnju obrade vrši;
2) koje podatke o njemu obrađuje;
3) u koje svrhe obrađuje podatke o njemu;
4) po kom pravnom osnovu obrađuje podatke o njemu;
5) u kojim zbirkama podataka se nalaze podaci o njemu, i
6) ko su primaoci podataka o njemu, koje podatke koriste, u koje svrhe i po kom pravnom osnovu
7) postojanju automatizovanog donošenja odluke o licu, uključujući i profilisanje, kakav sistem i logika se koristi za to, kao i pravnim posledicama takve obrade za lice na koje se podaci odnose.

Pravo na uvid i kopiju

Član 46.

Lice ima pravo da od rukovaoca zahteva da mu stavi na uvid podatak koji se na njega odnosi, što obuhvata i pravo na pregled, čitanje i slušanje podataka, kao i pravljenje beležaka, a sve bez obzira na nosač podatka (papir, traka, film, elektronski mediji i sl) .

Lice ima pravo da od rukovaoca zahteva kopiju podatka koji se na njega odnosi u obliku u kojem se podatak nalazi, a rukovalac je dužan da mu izda traženu kopiju podatka.

Ukoliko uvid u podatak nije moguće ostvariti ili kopiju podatka nije moguće izdati u obliku u kom se podatak nalazi, zbog toga što bi uvid, odnosno kopija bili nerazumljivi, ili je to nemoguće iz drugih opravdanih razloga, rukovalac je dužan da izda podatak u drugom obliku, uz navođenje njegovog izvora.

Za ostvarivanje prava na uvid u podatak i prava na kopiju podatka, plaćaju se neophodni troškovi.

Vlada propisuje troškovnik na osnovu koga rukovalac obračunava troškove iz prethodnog stava.

Rukovalac ne može da uslovljava ostvarivanje prava na uvid, odnosno kopiju plaćanjem neophodnih troškova iz stava 4. ovog člana.

Prava lica na ispravku, dopunu, ažuriranje i brisanje podataka

Član 47.

Lice ima pravo da zahteva od rukovaoca da ispravi, dopuni, ažurira ili briše podatke o njemu koji su predmet obrade ako dokaže da su podaci netačni, nepotpuni, neažurni, ako njihova obrada nije u skladu sa odredbama ovog zakona, ako je svrha obrade ostvarena ili ako je lice dalo svoj pristanak kao maloletnik.

Rukovalac je dužan da postupi po osnovanom zahtevu lica, kao i da o izvršenim promenama obavesti sve primaoce i obrađivače kojima je prosledio podatke pre nego što su oni ispravljeni, dopunjeni, ažurirani ili brisani, osim ako bi to prouzrokovalo znatne troškove rukovaocu.

Ako je rukovalac objavio lične podatke lica dužan je da u skladu sa stavom 1. obriše te podatke, uzimajući u obzir dostupnu tehnologiju i trošak sprovođenja.

Rukovalac može da odbije zahtev za brisanje ako je dalja obrada potrebna za ostvarivanje prava na informisanje i izražavanje, radi poštovanja zakonskih i ugovornih obaveza, za izvršavanje obaveza od javnog interesa ili vršenja javnih ovlašćenja rukovaoca, u svrhe arhiviranja od javnog interesa, u svrhe naučnog i istorijskog istraživanja, statističke svrhe ili za ostvarivanje ili odbranu pravnih zahteva.

Troškove u vezi s pravima lica iz ovog člana snosi rukovalac.

Ograničenja prava

Član 48.

Prava lica iz čl. 45, 46. i 47. ovog zakona mogu da se, u izuzetnim slučajevima, ograniče zakonom ukoliko je to neophodno u demokratskom društvu, zbog zaštite državne i javne bezbednosti, odbrane zemlje, privrednih i finansijskih interesa države, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela i zbog zaštite prava i sloboda drugih lica.

Ograničenja iz stava 1. ovog člana mogu biti određena samo u meri neophodnoj za ostvarivanje svrhe ograničenja.

U ostalim slučajevima, pravo na obaveštenje, uvid i kopiju podataka može da se ograniči:

1) ako lice traži obaveštenje o tome koje podatke o njemu rukovalac obrađuje i ko su primaoci tih podataka, a rukovalac je podatke uneo u javni registar ili ih je na drugi način učinio dostupnim javnosti, s tim što je dužan da mu dostavi obaveštenje o tome gde su podaci objavljeni i dostupni, i
2) ako je rukovalac već upoznao lice sa onim o čemu treba da bude obavešten, odnosno ako je lice izvršilo uvid ili dobilo kopiju, a u međuvremenu nije došlo do promene podataka.

Prava lica iz čl. 45, 46. i 47. ovoga zakona mogu da se ograniče posebnim zakonima ako se podaci o ličnosti obrađuju isključivo u statističke, istorijske ili naučnoistraživačke svrhe, dok takva obrada traje.

Pravo na naknadu štete

Član 49.

Rukovalac podataka, obrađivač i primalac podataka odgovorni su za materijalnu i nematerijalnu štetu koju prouzrokuju licu čija su prava povređena kršenjem odredbi ovog zakona.

Tužbu za naknadu štete iz stava 1. ovog člana može podneti samo lice čija su prava povređena.

Postupak za naknadu štete iz stava 1. ovog člana vodi se po pravilima parničnog postupka.

Pored suda opšte mesne nadležnosti, nadležan je i sud na čijem području je prebivalište, odnosno boravište tužioca.

U postupcima za naknadu štete iz stava 1. ovog člana revizija je uvek dopuštena.

2. Postupanje po zahtevu za ostvarivanje prava

Zahtev za ostvarivanje prava

Član 50.

Zahtev za ostvarivanje prava na obaveštenje, uvid i kopiju i za ostvarivanje prava na ispravku, dopunu, ažuriranje i brisanje podataka (u daljem tekstu: zahtev za ostvarivanje prava) , podnosi se u pismenom obliku ili na drugi odgovarajući način koji omogućuje rukovaocu da pouzdano utvrdi identitet podnosioca.

Rukovalac može da propiše obrasce zahteva za ostvarivanje prava, vodeći računa o merama zaštite podataka o ličnosti na koje se zahtev odnosi.

Rukovalac je dužan da postupi i po zahtevu za ostvarivanje prava koji nije podnet na propisanom obrascu.

Ako je zahtev za ostvarivanje prava nerazumljiv ili nepotpun rukovalac podataka je dužan da u roku od 15 dana od dana prijema zahteva pouči podnosioca kako da otkloni nedostatke.

Ako podnosilac zahteva za ostvarivanje prava ne otkloni nedostatke u roku od 15 dana od dana prijema pouke o načinu otklanjanja nedostataka, a nedostaci su takvi da se po zahtevu za ostvarivanje prava ne može postupiti, rukovalac nije dužan da postupi po zahtevu.

Naredni zahtev za ostvarivanje prava u odnosu na iste podatke o ličnosti sadržane u istoj zbirci podataka istog rukovaoca, lice može da podnese po isteku roka od tri meseca od dana podnošenja prethodnog zahteva, a ako se radi o osetljivim podacima, po isteku roka od mesec dana od dana podnošenja prvog zahteva, pod uslovom da je rukovalac postupio po prvom zahtevu i da u međuvremenu nije došlo do promene podataka.

Postupanje po zahtevu za obaveštenje, uvid i kopiju

Član 51.

Rukovalac je dužan da bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva za obaveštenje, uvid i kopiju, obavesti podnosioca o obradi, omogući uvid u podatke ili izda kopiju podatka.

Ako rukovalac odbije zahtev, o tome donosi odluku, koja mora biti obrazložena i sadržati pouku o pravnom leku.

Ako rukovalac iz opravdanih razloga nije u mogućnosti da postupi po zahtevu u roku iz stava 1. ovog člana, u istom roku obavestiće o tome podnosioca i odrediti novi rok za postupanje koji ne može biti duži od 30 dana od dana isteka roka za postupanje.

Postupanje po zahtevu za ispravku, dopunu, ažuriranje i brisanje podataka

Član 52.

Rukovalac je dužan da bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva za ispravku, dopunu, ažuriranje i brisanje podataka, postupi po zahtevu i o tome obavesti podnosioca, a ukoliko odbije zahtev o tome donosi odluku, koja mora biti obrazložena i sadržati pouku o pravnom leku.

Ako rukovalac u roku od 30 dana od dana prijema zahteva utvrdi da je zahtev za ispravku, dopunu, ažuriranje i brisanje podataka osnovan, a ne postoji tehnička mogućnost da postupi po zahtevu u roku iz stava 1. ovog člana ili bi postupanje po zahtevu u istom roku iziskivalo prekomerni utrošak vremena i sredstava, rukovalac će označiti podatke kao osporene i privremeno obustaviti njihovu obradu, i o tome obavesti podnosioca.

3. Način ostvarivanja prava

Način ostvarivanja prava na obaveštenje

Član 53.

Obaveštenje o obradi podataka daje se u pismenom obliku, a izuzetno se može dati i usmeno, ako na to pristane podnosilac.

Način ostvarivanje prava na uvid

Član 54.

Rukovalac je dužan da podnosiocu zahteva učini dostupnim podatak koji se na njega odnosi u razumljivom obliku.

Rukovalac je dužan da podnosiocu zahteva učini dostupnim sve podatke u stanju u kakvom se nalaze.

Rukovalac će zajedno sa obaveštenjem o tome da će podnosiocu zahteva staviti na uvid podatak, saopštiti i vreme, mesto i način na koji će mu podatak biti stavljen na uvid. Podnosilac zahteva može iz opravdanih razloga tražiti da uvid u podatke izvrši u drugo vreme.

Uvid u podatke vrši se po pravilu u prostorijama rukovaoca, odnosno na mestu gde se podaci nalaze.

Ako se podatak čuva u raznim oblicima (papir, audio, video ili elektronski zapis i dr) , podnosilac zahteva ima pravo da izvrši uvid u obliku koji sam izabere, osim kada to nije moguće.

Rukovalac će na zahtev podnosioca zahteva kome je potrebna stručna pomoć radi razumevanja sadržine podataka koji se na njega odnose, pružiti takvu vrstu pomoći.

Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev, dužan je da podnosiocu zahteva stavi na uvid podatak i izda kopiju na tom jeziku, osim ako podnosilac zahteva ne odredi drukčije, a rukovalac ima mogućnosti da udovolji zahtevu.

Način ostvarivanje prava na kopiju

Član 55.

Rukovalac izdaje kopiju podatka (foto kopiju, audio kopiju, video kopiju, digitalnu kopiju i sl) u obliku u kom se podatak nalazi, odnosno u drugom obliku, ako bi kopija podatka u obliku u kom se podatak nalazi bila nerazumljiva licu.

Kopija se dostavlja podnosiocu na način na koji se podnosilac opredeli ili drugi primereni način.

Ostvarivanje prava lično i preko punomoćnika

Član 56.

Prava propisana ovim zakonom mogu se ostvariti lično, preko punomoćnika ili zakonskih zastupnika.

Kada se prava propisana ovim zakonom ostvaruju preko punomoćnika uz zahtev se dostavlja punomoćje, koje mora biti overeno osim ako je punomoćnik advokat.

Maloletno lice ova prava može ostvarivati samostalno u granicama stečene poslovne sposobnosti.

VI POSTUPAK PO ŽALBI

Pravo na žalbu

Član 57.

Lice može izjaviti žalbu Povereniku:

1) protiv odluke rukovaoca kojom je odbijen ili odbačen zahtev;
2) kada rukovalac nije odlučio o zahtevu u propisanom roku;
3) ako rukovalac ostvarivanje prava na uvid odnosno kopiju uslovljava uplatom naknade i;
4) ako rukovalac zahteva uplatu naknade koja prevazilazi iznos neophodnih troškova.

Lice može izjaviti žalbu iz stava 1. ovog člana Povereniku u roku od 15 dana od dana dostavljanja odluke kojim je zahtev odbijen ili odbačen, odnosno po isteku roka propisanog za postupanje a najkasnije godinu dana od dana isteka roka za postupanje.

Uz žalbu lice prilaže zahtev za ostvarivanje prava upućen rukovaocu, dokaz o podnošenju tog zahteva i odgovor rukovaoca.

Postupanje Poverenika po žalbi

Član 58.

Kada Poverenik utvrdi da je žalba izjavljena zbog nepostupanja po zahtevu osnovana, rešenjem će naložiti rukovaocu da postupi po zahtevu za ostvarivanje prava.

Kada Poverenik utvrdi da je žalba neosnovana, rešenjem će odbiti žalbu.

Poverenik će odlučiti o žalbi u roku od 60 dana od dana prijema žalbe.

Rukovalac je dužan da o postupanju po rešenju iz stava 1. ovog člana obavesti Poverenika u roku od osam dana od dana isteka roka koji mu je rešenjem određen za postupanje.

Utvrđivanje činjeničnog stanja u postupku po žalbi

Član 59.

Ovlašćeno lice Poverenika preduzima radnje u cilju utvrđivanja činjeničnog stanja radi odlučivanja po žalbi.

Prilikom preduzimanja radnji u cilju utvrđivanja činjeničnog stanja, ovlašćeno lice Poverenika ima sva ovlašćenja, a rukovalac sve obaveze, kao u slučaju vršenja nadzora ovlašćenih lica Poverenika, u skladu sa članovima 78 - 84. ovog zakona.

Obaveznost i izvršenje rešenja

Član 60.

Rešenje Poverenika po žalbi je obavezujuće, konačno i izvršno.

Protiv rešenja Poverenika iz stava 1. ovog člana ne može se izjaviti žalba, već se može pokrenuti upravni spor.

Upravno izvršenje rešenja iz stava 1. ovog člana sprovodi Poverenik, na predlog stranke, u skladu sa zakonom kojim se uređuje opšti upravni postupak.

Protiv rešenja o izvršenju, koje je doneo Poverenik u postupku upravnog izvršenja rešenja ne može se izjaviti žalba, ali se može voditi upravni spor.

Ostale odredbe postupka

Član 61.

Na postupak odlučivanja po zahtevima za ostvarivanje prava kao i na postupak odlučivanje po žalbi primenjuju se odredbe zakona kojim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drugačije određeno.

VII OBAVEZE POVODOM OBRADE PODATAKA

1. Obaveze rukovaoca

Opšte obaveze rukovaoca

Član 62.

Podaci moraju biti odgovarajuće zaštićeni od zloupotreba, uništenja, gubitka, neovlašćenih promena ili pristupa.

Rukovalac je dužan da preduzme tehničke, kadrovske i organizacione mere zaštite podataka, uzimajući u obzir prirodu, obim, kontekst i svrhu obrade, kao i rizike i stepen verovatnosti povreda, a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog pristupa, promene, objavljivanja i svake druge zloupotrebe, da u skladu sa ovim zakonom organizuje poslove zaštite podataka o ličnosti i obezbedi upoznavanje zaposlenih sa merama zaštite podataka koje preduzima, kao i obavezama koje zaposleni imaju s tim u vezi, uključujući i obavezu da čuvaju tajnost podataka.

Opšti akt o zaštiti podataka o ličnosti

Član 63.

Rukovalac koji je organ vlasti, rukovalac koji obrađuje osetljive podatke o ličnosti, kao i rukovalac koji obrađuje podatke o ličnosti za više od dvestotinpedeset lica, dužni su da donesu opšti akt kojim uređuju zaštitu podataka o ličnosti.

Opštim aktom iz stava 1. ovog člana uređuju se pitanja koja se odnose na postupak obrade podataka, zaštitu bezbednosti podataka o ličnosti, obaveštavanje lica o načinu ostvarivanja prava u vezi sa obradom podataka i neophodnim merama zaštite podataka, pristup podacima o ličnosti i odgovornost za njihovu nezakonitu obradu i korišćenje, kao i vođenje registra evidencija o obradi za svaku zbirku podataka, u skladu sa članom 71. ovog zakona.

2. Lice za zaštitu podataka o ličnosti

Lica za zaštitu podataka o ličnosti

Član 64.

Za obavljanje poslova zaštite podataka o ličnosti rukovalac iz člana 63. ovog zakona dužan je da ima jednog ili više zaposlenih koji su položili stručni ispit iz člana 66. ovog zakona ili može da angažuje pravno lice, odnosno preduzetnika koji ima licencu za obavljanje poslova zaštite podataka o ličnosti iz člana 67. ovog zakona (u daljem tekstu: lice za zaštitu podataka) .

Rukovalac iz člana 63. ovog zakona dužan je da omogući licu za zaštitu podataka nezavisno i samostalno obavljanje poslova u skladu sa ovim zakonom i pristup svim potrebnim podacima.

Lice za zaštitu podataka neposredno je odgovorno rukovaocu kod koga, odnosno za koga obavlja te poslove i ne može da trpi štetne posledice ako svoj posao obavlja u skladu sa ovim zakonom.

Lice za zaštitu podataka dužno je da u skladu sa zakonom i drugim propisima, sve podatke koje sazna tokom obavljanja poslova, čuva kao poverljive, za vreme i po prestanku obavljanja ovih poslova.

Poslovi lica za zaštitu podataka

Član 65.

Lice za zaštitu podataka obavlja poslove u skladu sa ovim zakonom, a naročito:

1) učestvuje u pripremi opšteg akta o zaštiti podataka o ličnosti, predlaže njegove izmene i dopune i odgovorno je rukovaocu za njegovu primenu;
2) vrši kontrolu, predlaže i preduzima mere i daje savete rukovaocu o zaštiti podataka o ličnosti;
3) predlaže i preduzima mere za posebno obeležavanje, zaštitu i sprečavanje neovlašćenog pristupa podacima o ličnosti, a naročito osetljivim podacima;
4) predlaže i preduzima mere za istinito i potpuno obaveštavanje lica o obradi njihovih podataka o ličnosti;
5) preduzima sve druge mere za zaštitu podataka o ličnosti u skladu sa zakonom, naročito vodeći računa o zakonitosti, svrsishodnosti i srazmernosti obrade podataka o ličnosti;
6) obezbeđuje ostvarivanje svih prava koja lica imaju u vezi sa obradom podataka saglasno ovom zakonu;
7) obaveštava lica, u skladu sa članom 70. stav 2. ovog zakona, da su njihovi podaci bili predmet prodora u bezbednost podataka, i

8) stara se o vođenju registra evidencija o obradi za svaku zbirku podataka rukovaoca i o objavljivanju na internet stranici rukovaoca, u skladu sa članom 71. ovog zakona, i

9) obavlja druge poslove koji se odnose na zaštitu podataka o ličnosti, u skladu sa zakonom.

Stručni ispit

Član 66.

Za obavljanje poslova zaštite podataka o ličnosti polaže se odgovarajući stručni ispit.

Stručni ispit iz stava 1. ovog člana polaže se pred komisijom koju obrazuje Poverenik.

Program, način polaganja i visinu troškova polaganja stručnog ispita iz stava 1. ovog člana propisuje Poverenik.

Poverenik vodi registar lica sa položenim stručnim ispitom.

U registar se unose ime i prezime lica, prebivalište, jedinstveni matični broj građanina, datum polaganja ispita, uspeh na ispitu i stručna sprema lica.

Sredstva ostvarena od naplaćenih troškova za polaganje stručnog ispita iz stava 1. ovog člana prihod su budžeta Republike Srbije.

Licenca

Član 67.

Poverenik izdaje i obnavlja licencu za obavljanje poslova zaštite podataka o ličnosti pravnom licu, odnosno preduzetniku.

Uslov da pravno lice, odnosno preduzetnik iz stava 1. ovog člana dobije licencu jeste da poseduje odgovarajući utvrđeni standard bezbednosti i privatnosti podataka o ličnosti.

Licencu za obavljanje poslova u oblasti zaštite podataka o ličnosti može da dobije pravno lice, odnosno preduzetnik koji ima zaposlenog sa visokom školskom spremom i položenim stručnim ispitom u skladu sa ovim zakonom.

Izdata licenca važi tri godine i pravno lice kome je licenca izdata dužno je da Povereniku podnese zahtev za obnavljanje licence.

Poverenik vodi registar izdatih licenci. Registar je javan.

U registar izdatih licenci za pravna lica se unosi: naziv pravnog lica, PIB, matični broj, ime i prezime zakonskog zastupnika, serijski broj licence, datum izdavanja licence i rok važenja licence.

Za preduzetnike u registar izdatih licenci unosi se: naziv preduzetnika, PIB, matični broj, ime i prezime preduzetnika, serijski broj licence, datum izdavanja licence i rok važenja licence.

Izgled licence, uslove i visinu troškova za izdavanje licence iz stava 1. ovog člana propisuje Poverenik.

Sredstva ostvarena od naplaćenih troškova za izdavanje i obnavljanje licence iz stava 1. ovog člana prihod su budžeta Republike Srbije.

Oduzimanje licence

Član 68.

Poverenik vrši nadzor nad radom pravnog lica, odnosno preduzetnika za obavljanje poslova zaštite podataka o ličnosti i može rešenjem oduzeti licencu tom pravnom licu, odnosno preduzetniku ukoliko utvrdi da više ne ispunjava uslove za dobijanje licence.

Protiv rešenja Poverenika iz stava 1. ovog člana nije dopuštena žalba, već se može pokrenuti upravni spor.

3. Bezbednost podataka o ličnosti i obaveštavanje u slučaju prodora u bezbednost podataka

Bezbednost podataka

Član 69.

Rukovalac je dužan da primeni odgovarajuće organizacione i tehničke mere u cilju zaštite bezbednosti podataka o ličnosti u skladu sa prirodom podataka o ličnosti koji se obrađuju i postojećim standardima, uzimajući u obzir rizik od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti, kao i razvijenost tehnologije i troškove primene mera.

Mere bezbednosti obuhvataju naročito:

1) zaštitu prostorija, opreme i sistemske programske opreme, uključujući i ulazno - izlazne jedinice;
2) zaštitu baza podataka i programskih aplikacija sprečavanjem neovlašćenog pristupa podacima o ličnosti tokom prosleđivanja podataka, uključujući prosleđivanje putem elektronskih komunikacionih mreža;
3) obezbeđenje od radnji obrade podataka, uključujući i brisanje, odnosno uništavanje podataka i anonimizaciju podataka o ličnosti;
4) obezbeđenje mogućnosti da se kasnije utvrdi vreme i mesto obrade podataka, kao i radnja obrade podataka u roku u kojem je zakonom propisana zaštita prava pojedinca povodom obrade podataka o ličnosti.

Pored mera iz stavova .1 i 2. ovog člana, rukovaoci koji obrađuju osetljive podatke o ličnosti, kao i rukovaoci koji obrađuju podatke o ličnosti za više od dvestotinepedeset lica, dužni su da primenjuju dodatne mere bezbednosti podataka koje propiše Poverenik, kao i da usvoje u pismenom obliku poseban sveobuhvatan program za zaštitu bezbednosti podataka na osnovu izvršene procene rizika prodora u bezbednost podataka po prava lica čiji se podaci obrađuju, uzimajući u obzir razvijenost tehnologije i troškove primene.

Poverenik donosi pravilnik kojim se bliže uređuje program za zaštitu bezbednosti podataka iz stava 3. ovog člana.

Poverenik može da izda posebno uputstvo za primenu organizacionih i tehničkih mera u cilju zaštite bezbednosti podataka o ličnosti i za druge rukovaoce podataka o ličnosti.

Osetljivi podaci o ličnosti moraju se tokom obrađivanja posebno obeležiti i zaštititi, da bi se sprečio pristup neovlašćenih lica.

Pri prenosu osetljivih podataka o ličnosti putem telekomunikacionih mreža, podaci će se smatrati adekvatno zaštićenim ukoliko su poslati uz korišćenje kriptografskih metoda i elektronskih potpisa, tako da tokom njihovog prenosa bude obezbeđena nečitljivost ili neprepoznatljivost.

Obaveštavanje o prodoru u bezbednost podataka

Član 70.

Rukovalac koji obrađuje osetljive podatke o ličnosti, kao i rukovalac koji obrađuje podatke o ličnosti za više od 250 lica, dužni su da bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku incidenta, obaveste Poverenika o prodoru u bezbednost podataka, kao i da u roku od 15 dana podnesu izveštaj o preduzetim merama u cilju sprečavanja daljeg ugrožavanja bezbednosti podataka i ponovnog uspostavljanja adekvatnog nivoa bezbednosti sistema podataka.

Ukoliko se izveštaj ne podnese u roku propisanom u stavu 1. ovog člana, moraju se obrazložiti razlozi kašnjenja.

Rukovalac osetljivih podataka o ličnosti, u skladu sa ovim zakonom dužan je da bez odlaganja, a najkasnije u roku od 15 dana od dana saznanja za prodor u bezbednost podataka, obavesti o tome svako lice čiji su podaci bili predmet prodora u bezbednost podataka.

Poverenik može da naloži rukovaocu koji obrađuje podatke o ličnosti za više od 250 lica da obavesti o tome svako lice čiji su podaci bili predmet prodora u bezbednost podataka.

Obaveštenje iz stava 3. ovog člana nije obavezno:

1) ako nije razumno očekivati, niti je verovatno da će prodor u bezbednost podataka izazvati ozbiljnu štetu pravima ili opravdanim interesima tih lica, ili

2) ako su osetljivi podaci zaštićeni enkripcijom ili su na neki drugi način učinjeni nečitljivim neovlašćenim primaocima.

Obaveštenje iz stava 3. ovog člana rukovalac može da odloži po odobrenju Poverenika, ukoliko preduzima mere kojima će se utvrditi obim prodora u bezbednost osetljivih podataka i kojima se ponovo uspostavlja adekvatan nivo bezbednosti sistema podataka.

Obaveštenje iz stava 3. ovog člana rukovalac može da odloži i po zahtevu drugog organa ukoliko bi se obaveštavanjem lica ugrozilo, omelo ili otežalo sprečavanje ili otkrivanje krivičnog dela ili učinioca krivičnog dela, vođenje sudskog postupka, izvršenje presude ili sprovođenje kazne, ili koji drugi zakonom uređeni postupak. Rukovalac je dužan da obrazloži razloge odlaganja i o tome obavesti Poverenika u skladu sa rokom propisanim u stavu 1. ovog člana.

Obrađivač koji u ime i za račun rukovaoca obrađuje osetljive podatke o ličnosti ili podatke o ličnosti za više od 250 lica dužan je da obavesti rukovaoca o svakom prodoru u bezbednost ovih podataka čim otkrije takav prodor ili dobije informacije o tome, u skladu sa ugovorom u smislu člana 20. ovog zakona, a najkasnije u roku od 10 dana od saznanja za prodor u bezbednost podataka.

Sadržinu obrasca kojim rukovalac podataka obaveštava Poverenika o prodoru u bezbednost podataka propisuje Poverenik.

Sadržina obrasca kojim rukovalac obaveštava lice o prodoru u bezbednost podataka iz stava 3. ovog člana iskazana je u Prilogu 1. i čini sastavni deo ovog zakona.

U slučaju da je Poverenik rukovalac podataka o ličnosti koji su predmet prodora u bezbednost podataka, Poverenik će obrazovati nezavisnu komisiju za utvrđivanje obaveza Poverenika prema licima čiji su podaci bili predmet prodora u bezbednost podataka.

Sastav, mandat i način rada Komisije propisuje Poverenik posebnim pravilnikom.

4.Evidencija o obradi podataka i obaveštenje o nameri obrade

Evidencija o obradi podataka

Član 71.

Rukovalac osetljivih podataka o ličnosti, rukovalac koji je organ javne vlasti, kao i rukovalac koji obrađuje podatke za više od 250 lica dužan je da vodi evidenciju o obradi podataka o ličnosti. Ta evidencija mora da sadrži sledeće informacije:

1) naziv, tj. ime i prezime rukovaoca, adresu sedišta, tj. prebivališta i kontakt podatke rukovaoca podataka, i lica za zaštitu podataka;
2) pravni osnov;
3) svrhu obrade;
4) kategorija lica na koje se podaci odnose;
5) vrste podataka o ličnosti koje se obrađuju;
6) kategorije primalaca kojima su podaci o ličnosti dostavljeni ili će im biti dostavljeni, uključujući primaoce u drugim zemljama ili međunarodnim organizacijama;
7) da li se podaci iznose u inostranstvo, gde se iznose, po kom pravnom osnovu i dokumentaciju o odgovarajućim zaštitnim merama;
8) predviđene rokove za brisanje različitih vrsta podataka;
9) opšti opis tehničkih i organizacionih mera zaštite podataka.

Svaki obrađivač, vodi evidenciju poverenih poslova obrade od strane rukovaoca podataka, koja sadrži:

1) naziv, tj. ime i prezime rukovaoca, adresu sedišta, tj. prebivališta i kontakt podatke rukovaoca podataka, koji mu je poverio poslove obrade, bez obzira na to da li je obrada poverena zakonom ili ugovorom,
2) kontakt podatke svog lica za zaštitu podataka
3) opis poslova obrade koji se obavljaju u ime svakog rukovaoca podataka i pravni osnov po kom se obavljaju ti poslovi;
4) da li se podaci iznose u inostranstvo, gde se iznose, po kom pravnom osnovu i dokumentaciju o odgovarajućim zaštitnim merama;
5) opšti opis tehničkih i organizacionih mera zaštite podataka

Evidencija iz stava 1. i 2. ovog člana mora biti u pisanom obliku i ne sme da sadrži podatke o ličnosti lica čiji se podaci obrađuju.

Rukovalac i obrađivač dužni su Povereniku na njegov zahtev bez odlaganja omogućiti uvid u evidenciju iz stava 1. i 2. ovog člana.

Rukovalac osetljivih podataka o ličnosti, rukovalac koji je organ javne vlasti, kao i rukovalac koji obrađuje podatke za više od 250 lica dužni su da na svojoj internet stranici objave i ažuriraju evidencije o obradi za svaku zbirku podataka koju vode.

Poverenik će na svojoj internet stranici omogućiti objavljivanje evidencija o obradi podataka rukovaocima koji ne poseduju svoju interent stranicu.

Prilikom ispunjavanja obaveze iz stava 5. ovog člana ne sme se objaviti prebivalište lica za zaštitu podataka ili rukovaoca koji je fizičko lice, jedinstveni matični broj građana ili bilo koji drugi podatak o ličnosti, izuzev imena i prezimena.

Obaveštenje o nameri obrade

Član 72.

Rukovalac podataka koji nije organ javne vlasti, a koji obrađuje naročito osetljive podatke o ličnosti, rukovalac koji obrađuje podatke za više od dvestotinepedeset lica ili rukovalac koji jeste organ vlasti a obradu vrši na osnovu člana 18. stav 2. ovog zakona, dužan je da Povereniku na propisanom obrascu, najkasnije 30 dana pre otpočinjanja obrade podataka, dostavi obaveštenje o nameri obrade podataka sa svim informacijama iz člana 71. stav 1. ovog zakona.

Obrazac za vođenje evidencije iz stava 1. ovog člana i način vođenja evidencije, propisuje Poverenik.

Rukovalac podataka odgovoran je za to da evidencija o obradi bude tačna i ažurna.

Promene u evidenciji o obradi iz stava 1. ovog člana rukovalac podataka dužan je da dostavi Povereniku najkasnije u roku od osam dana od dana promena u zbirci podataka.

Po prijemu obaveštenja o nameri obrade podataka iz stava 1. ovog člana Poverenik proverava da li bi nameravana obrada mogla da dovede do povrede prava lica.

Način provere iz stava 5. ovog člana uređuje se aktom Poverenika.

Poverenik vodi Centralnu evidenciju obaveštenja o nameri obrade podataka o ličnosti.

Način vođenja Centralne evidencije uređuje se aktom Poverenika.

Nedostavljanje obaveštenje o nameri obrade Povereniku

Član 73.

Rukovalac nije dužan da Povereniku dostavi obaveštenje o nameri obrade iz člana 72. stav 1. ovog zakona za podatke koji se obrađuju isključivo radi vođenja evidencija čije je vođenje propisano zakonom.

VIII IZNOŠENjE PODATAKA IZ ZEMLjE

Opšte odredbe o iznošenju podataka iz zemlje

Član 74.

Podaci o ličnosti mogu se iznositi iz Republike Srbije ukoliko je država ili međunarodna organizacija u koju se podaci iznose strana ugovornica međunarodnih ugovora koje je potvrdila Republika Srbija, a ti ugovori sadrže odredbe o razmeni podataka između strana ugovornica, ili ukoliko je iznošenje podataka iz Republike Srbije propisano posebnim zakonom.

Takođe, podaci o ličnosti mogu se iznositi iz Republike Srbije u države ili međunarodne organizacije ukoliko ta država ili međunarodna organizacija ima odgovarajuće uređenu zaštitu podataka o ličnosti.

Smatra se da odgovarajuće uređenu zaštitu podataka o ličnosti iz stava 2. ovog člana imaju države članice Evropske unije i Evropskog ekonomskog prostora, kao i države, teritorije država ili međunarodne organizacije koje se nalaze na listi država, teritorija država ili međunarodnih organizacija za koje je Evropska unija utvrdila da imaju odgovarajuće uređenu zaštitu podataka o ličnosti.

Pored slučajeva propisanim stavom 1. i 2. ovog člana, zbirke podataka o ličnosti, odnosno podaci o ličnosti sadržani u zbirkama podataka mogu se iznositi iz Republike Srbije u države ili međunarodne organizacije, nakon odluke Poverenika kojom odobrava iznošenje podataka o ličnosti, a na osnovu zahteva rukovaoca.

Zahtev za iznošenje podataka

Član 75.

Pre iznošenja podataka o ličnosti iz Republike Srbije u državu ili međunarodnu organizaciju iz člana 74. stav 4. ovog zakona, rukovalac je dužan da Povereniku podnese zahtev za jedno ili više istovrsnih iznošenje podataka o ličnosti, na obrascu koji propiše Poverenik.

Obrazac iz stava 1. ovog člana sadrži podatke o primaocu podataka o ličnosti, odnosno o rukovaocu koji prima podatke ili o obrađivaču kome rukovalac namerava da poveri pojedine radnje obrade, takođe sadrži podatke o osnovu obrade podataka, svrsi obrade, rokovima i načinu čuvanja, merama bezbednosti, kao i druge potrebne podatke.

Postupak po zahtevu za iznošenje podataka

Član 76.

Prilikom odlučivanja po zahtevu za iznošenje podataka, Poverenik posebno ceni:

1) da li država, odnosno međunarodna organizacija u koju se zahteva iznošenje podataka, ima odgovarajuće uređenu zaštitu podataka o ličnosti;
2) osnov iznošenja podataka o ličnosti;
3) da li će se podaci o ličnosti koji se iznose koristiti isključivo u svrhu zbog koje se iznose i da ta svrha ne može da se menja, osim na osnovu odobrenja rukovaoca koji dostavlja podatke ili na osnovu saglasnosti lica na koje se podaci odnose;
4) da li lice na koje se podaci o ličnosti odnose ima mogućnost da odredi svrhu u koju će ti podaci biti korišćeni, kome će biti dostavljeni i da li postoji mogućnost da traži ispravku i brisanje netačnih ili zastarelih podataka, sem u slučajevima kada je to zabranjeno zbog tajnosti procedure, shodno važećim međunarodnim ugovorima;
5) da li su pruženi i da li postoje dokazi o sprovođenju organizacionih i tehničkih mera za zaštitu podataka o ličnosti na odgovarajući način;
6) da li je primalac podataka odredio jedno ili više lica da licu na koje se podaci odnose obezbedi informacije o obradi iznetih podataka o ličnosti;
7) da li je primalac podataka, u slučaju da dalje prenosi podatke o ličnosti, obavezan da to učini samo pod uslovom da drugi primalac podataka kome će biti dostavljeni podaci o ličnosti obezbedi odgovarajuću zaštitu podataka o ličnosti,

8) da li je obezbeđena pravna zaštita podataka o ličnosti lica čiji se podaci iznose;
9) Da li je ugovorom o prenosu ili drugim odgovarajućim aktom donetim u skladu sa pravom Evropske unije koji je obavezujući za ugovorne strane, obezbeđena zaštita podataka o ličnosti i ostvarivanje prava lica čiji se podaci obrađuju u slučaju nedozvoljene obrade njihovih podataka.

Prilikom odlučivanja po zahtevu da li država, odnosno međunarodna organizacija iz stava 1. tačka 1. ovog člana ima odgovarajuće uređenu zaštitu podataka o ličnosti, Poverenik procenjuje da li je u njima, propisom ili na osnovu ugovora o prenosu podataka, obezbeđen stepen zaštite podataka u skladu sa Konvencijom o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope.

Radi donošenja ocene iz stava 1. tačka 1. ovog člana, ministarstvo nadležno za spoljne poslove će na zahtev Poverenika pribaviti informacije o adekvatnosti zaštite podataka o ličnosti od nadležnih organa predmetne države, odnosno međunarodne organizacije.

Radi potpunog i pravilnog utvrđivanja činjeničnog stanja, Poverenik može sprovesti postupak nadzora nad rukovaocem podataka koji je podneo zahtev iz člana 75. stav 1. ovog zakona.

Poverenik donosi odluku po zahtevu iz člana 75. stav 1. ovog zakona u roku od 60 dana od dana podnošenja ovog zahteva, odnosno u roku od 60 dana od dana dobijanja informacija iz stava 3. ovog člana.

Odluka Poverenika iz stava 5. ovog člana je konačna, izvršna i obavezujuća.

Protiv odluke Poverenika iz stava 5. ovog člana ne može se izjaviti žalba, već se može pokrenuti upravni spor.

Rukovalac podataka može da počne sa iznošenjem podataka samo na osnovu odluke Poverenika iz stava 5. ovog člana kojom se odobrava iznošenje podataka.

U postupku odlučivanja po zahtevu za iznošenje podataka shodno se primenjuju odredbe zakona kojim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drugačije određeno.

Iznošenje podataka bez prethodne odluke Poverenika kojom se odobrava iznošenje

Član 77.

Izuzetno od člana 74. stav 4. ovog zakona, rukovalac može da iznese podatke bez prethodne odluke Poverenika kojom se odobrava iznošenje podataka o ličnosti, ako se podaci iznose u državu ili međunarodnu organizaciju iz člana 74. stav 4. ovog zakona, u slučaju:

1) da je od lica čiji se podaci iznose dobijen prethodni pristanak u pismenom obliku i lice je upoznato sa mogućim posledicama iznošenja podataka;
2) da je iznošenje podataka potrebno radi spasavanja života ili tela lica na koje se podaci odnose, ili
3) da se iznose podaci iz registara ili evidencija koji su u skladu sa zakonom dostupni javnosti.

IX NADZOR

Nadležnost

Član 78.

Nadzor nad primenom ovog zakona vrši Poverenik.

Poslove nadzora Poverenik vrši preko ovlašćenih lica.

Ovlašćeno lice dokazuje svoje ovlašćenje za vršenje nadzora službenom legitimacijom koja sadrži njegovo lično ime, fotografiju i broj službene legitimacije.

Obrazac legitimacije propisuje Poverenik.

Ovlašćenja u nadzoru

Član 79.

U vršenju nadzora nad rukovaocem, obrađivačem, odnosno primaocem (u daljem tekstu: subjekt nadzora) ovlašćeno lice ima pravo da:

1) ostvari neposredan uvid u uslove i način rada subjekta nadzora, odnosno da proveri prostorije, objekte, ugovore, podatke, evidencije, zbirke podataka, podatke obrađene na skladišnom mediju uključujući nosače tehničkih podataka, izveštaje i izvorne kodove programa i svu drugu dokumentaciju i opremu koja je potrebna radi utvrđivanja činjeničnog stanja, kao i da iste po potrebi slika ili snimi ili uradi kopiju;
2) utvrdi identitet lica u čijem prisustvu vrši nadzor uvidom u lična dokumenta tih lica i da utvrdi njihov odnos sa subjektom nadzora;
3) naloži neposredno ili pismenim putem davanje izjave i objašnjenja u pismenom obliku od strane odgovornih lica i drugih lica o činjenicama i podacima značajnim za potpuno utvrđivanje činjeničnog stanja;
4) naloži dostavljanje potrebnih izveštaja, podataka, akata i druge dokumentacije, radi utvrđivanja činjeničnog stanja i da odredi rok za dostavljanje;
5) pregleda knjige, ugovore, evidencije i druga dokumenta i poslovnu evidenciju koja se nalazi u elektronskom obliku i zatraži dokument iz takve evidencije u pisanom obliku, koji potvrđuje autentičnost elektronske forme;
6) obavlja i druge radnje neophodne za pravilno i potpuno utvrđivanje činjeničnog stanja.

Ovlašćenja iz stava 1. ovog člana ovlašćeno lice ima i u odnosu na organe vlasti, pravna lica, fizička lica i sve druge koji raspolažu određenim dokazima i informacijama potrebnim za vršenje nadzora. Oni su dužni da, na zahtev ovlašćenog lica, u roku koji im odredi, dostave, odnosno pruže sve raspoložive dokaze i informacije.

Prava i obaveze subjekta nadzora

Član 80.

Subjekt nadzora je dužan da ovlašćenom licu, koje postupa u skladu sa ovlašćenjima iz člana 79. ovog zakona, omogući nesmetano vršenje nadzora.

Subjekt nadzora je dužan da ovlašćenom licu za vreme vršenja nadzora, na njegov zahtev, obezbedi odgovarajući radni prostor i druge neophodne pretpostavke za rad, da odredi jednog ili više predstavnika koji će učestvovati u utvrđivanju činjenica i da obezbedi svu potrebnu dokumentaciju.

Subjekt nadzora i predstavnici koje odredi dužni su da postupaju po zahtevima ovlašćenog lica, da mu blagovremeno dostavljaju potpune i tačne podatke i informacije, kao i da pruže usmeno, odnosno pismeno izjašnjenje o činjenicama i dokazima koji su izneti, odnosno utvrđeni u postupku nadzora.

Zapisnik

Član 81.

Ovlašćeno lice o preduzetim radnjama u vršenju nadzora sačinjava zapisnik.

Ovlašćenja Poverenika povodom izvršenog nadzora

Član 82.

Ako se na osnovu nalaza ovlašćenog lica utvrdi da su povređene odredbe ovog zakona, Poverenik može da upozori rukovaoca na utvrđene nepravilnosti u obradi podataka.

Na osnovu nalaza ovlašćenog lica, Poverenik može rešenjem da:

1) naredi da se nepravilnosti otklone u određenom roku;
2) zabrani obradu podataka o ličnosti;
3) naredi brisanje podataka o ličnosti, i
4) odredi dalje postupanje sa podacima.

Rešenjem Poverenika iz stava 2. ovog člana uređuje se i način sprovođenja rešenja.

Rešenje Poverenika iz stava 2. ovog člana je konačno, izvršno i obavezujuće.

Protiv rešenja Poverenika iz stava 2. ovog člana ne može se izjaviti žalba, već se može pokrenuti upravni spor.

Upravno izvršenje rešenja Poverenik sprovodi po službenoj dužnosti u skladu sa zakonom kojim se uređuje opšti upravni postupak.

Zahtev za pokretanje prekršajnog postupka

Član 83.

Poverenik je ovlašćen da podnese zahtev za pokretanje prekršajnog postupka zbog nepravilnosti utvrđenih u nadzoru.

Shodna primena propisa o upravnom postupku i inspekcijskom nadzoru

Član 84.

U postupku nadzora shodno se primenjuju odredbe zakona kojim se uređuje opšti upravni postupak i zakona kojim se uređuje inspekcijski nadzor, osim ako ovim zakonom nije drugačije određeno.

X POSTUPANjE SA PODACIMA O LIČNOSTI UKOLIKO JE RUKOVALAC PRESTAO DA

POSTOJI

Član 85.

Ukoliko je rukovalac podataka prestao da postoji, a zakonom nije propisano postupanje sa podacima o ličnosti koje je taj rukovalac obrađivao, Poverenik će po službenoj dužnosti ili na predlog zainteresovanog lica odrediti način daljeg postupanja sa tim podacima.

Poverenik će prilikom određivanja kako će se dalje postupati sa tim podacima uzeti u obzir vrstu podataka o ličnosti koja je obrađivana, značaj tih podataka za prava i obaveze lica na koja se podaci odnose, da li rukovalac koji je prestao da postoji ima pravnog sledbenika i kakve su njegove obaveze i sve druge okolnosti koje su od značaja za pravično postupanje sa podacima koje je rukovalac koji je prestao da postoji obrađivao.

Poverenik može preko svojih ovlašćenih lica, u skladu sa odredbama čl. 78.-84. ovog zakona, da utvrdi sve činjenice koje su neophodne da bi doneo odluku o određivanju načina daljeg postupanja sa podaima o ličnosti koje je obrađivao rukovalac koji je prestao da postoji.

Poverenik je ovlašćen da zatraži mišljenje od nadležnog arhiva da li dokumentacija u kojoj su sadržani podaci o ličnosti rukovaoca koji je prestao da postoji predstavlja arhivsku građu u skladu sa zakonom kojim se uređuje arhiviranje u javnom interesu.

Na osnovu utvrđenog činjeničnog stanja i prikupljenih informacija, Poverenik može rešenjem da:

1) naredi brisanje podataka o ličnosti,
2) javno oglasi i pozove lica na koja se podaci odnose da preuzmu svoje podatke
3) da odredi drugog rukovaoca koji je dužan da preuzme i čuva podatke o ličnosti
4) da odredi da se dokumentacija koja sadrži podatke o ličnosti preda nadležnom arhivu, ukoliko je nadležni arhiv dao mišljenje da ta dokumentacija predstavlja arhivsku građu u smislu zakona kojim se uređuje arhiviranje u javnom interesu.

Rešenje Poverenika iz stava 5. ovog člana je konačno, izvršno i obavezujuće.

Protiv rešenja Poverenika iz stava 2. ovog člana ne može se izjaviti žalba, već se može pokrenuti upravni spor.

Upravno izvršenje rešenja Poverenik sprovodi po službenoj dužnosti u skladu sa zakonom kojim se uređuje opšti upravni postupak.

XI KAZNENE ODREDBE

Član 86.

Novčanom kaznom od 250.000 dinara do 2.000.000 kazniće se za prekršaj rukovalac, obrađivač ili primalac, kao i drugo pravno lice, ako:

1) obrađuje podatke o ličnosti suprotno uslovima iz člana 6.st. 1,2, i 5. ovog zakona;
2) obrađuje podatke o ličnosti očigledno nesrazmerno u odnosu na svrhu obrade, suprotno uslovima iz člana 7.stav 1ovog zakona
3) obrađuje podatke o ličnosti iako se svrha obrade može ostvariti i bez upotrebe ovih podataka, suprotno uslovima iz člana 7.stav 2. ovog zakona;
4) obrađuje podatke o ličnosti bez pravnog osnova, suprotno odredbama člana 17, 18 i 19. ovog zakona;
5) vrši ugovornu obradu podataka o ličnosti suprotno odredbama člana 20.ovog zakona;
6) obrađuje podatke o ličnosti suprotno odredbama člana 21.. ovog zakona;
7) obrađuje osetljive podatke o ličnosti suprotno odredbama člana 22. ovog zakona;
8) prilikom odlučivanja pomoću automatizovane obrade postupi suprotno odredbama člana 23. ovog zakona;
9) ne obavesti lice o obradi u skladu sa odredbama članova 24. i 25 ovog zakona;
10) obrađuje podatke o ličnosti nakon opoziva pristanka, suprotno odredbama člana 27. ovog zakona;
11) čuva i postupi sa podacima o ličnosti suprotno odredbama člana 29. ovog zakona;
12) dostavi podatke o umrlom licu suprotno odredbama člana 30. ovog zakona;
13) obrađuje podatke o ličnosti primenom biometrijskih mera suprotno odredbama člana 32. ovog zakona;
14) obrađuje podatke o ličnosti pre nego što primi odluku Poverenika iz člana 32.stav 2. ovog zakona i pre nego što obavesti svako lice čiji se biometrijski podaci obrađuju o toj obradi;
15) javno ne istakne odgovarajuće obaveštenje da se vrši video-nadzor i ne zaštiti sistem video-nadzora od pristupa neovlašćenih lica, u skladu sa odredbama člana 34. ovog zakona;
16) obrađuje podatke o ličnosti vršenjem video-nadzora pristupa poslovnom prostoru i službenom prostoru, suprotno odredbama člana 35. ovog zakona;
17) obrađuje podatke o ličnosti vršenjem video-nadzora u poslovnom prostoru, suprotno odredbama člana 36. ovog zakona;
18) obrađuje podatke o ličnosti vršenjem video-nadzora u stambenim zgradama, suprotno odredbama člana 38. ovog zakona;
19) obrađuje podatke o ličnosti vršenjem video-nadzora javnih površina, suprotno odredbama člana 40. ovog zakona;
20) obrađuje podatke o ličnosti u svrhu neposrednog oglašavanja, suprotno odredbama člana 41. ovog zakona;
21) obrađuje jedinstveni matični broj građanina tako što ga čini javno dostupnim na internetu, suprotno odredbi člana 43. ovog zakona;
22) obrađuje podatke o ličnosti upotrebom ličnih identifikacionih dokumenata, suprotno odredbama člana 44. ovog zakona;
23) rukovalac uslovljava ostvarivanje prava na uvid i kopiju podatka plaćanjem neophodnih troškova suprotno odredbama člana 46.stav 6.ovog zakona;
24) ukoliko rukovalac ne obriše objavljene lične podatke lica u skladu sa odredbom člana 47.stav 3. ovog zakona;
25) ne postupi po zahtevu i ne pouči podnosioca, u skladu sa odredbama člana 50. stav 3. i 4. ovog zakona;
26) ne postupi po rešenju Poverenika u skladu sa odredbom člana 60. stav 1. ovog zakona;
27) ne preduzme mere u skladu sa odredbom člana 62. stav 2. ovog zakona;
28) ne donese opšti akt u skladu sa odredbom člana 63. stav 1. ovog zakona;
29) nema, odnosno ne angažuje lice za zaštitu podataka o ličnosti u skladu sa odredbom člana 64. stav 1. ovog zakona;
30) ne omogući licu za zaštitu podataka o ličnosti obavljanje poslova, u skladu sa odredbom člana 64. stav 2. ovog zakona;
31) ne čuva kao poverljive podatke koje sazna tokom obavljanja poslova, u skladu sa odredbom člana 64. stav 4. ovog zakona;
32) ne podnese Povereniku zahtev za obnavljanje licence u skladu sa članom 67. stav 4. ovog zakona a po isteku roka važenja licence nastavi da obavlja poslove zaštite podataka o ličnosti;
33) ne primeni odgovarajuće organizacione i tehničke mere zaštite bezbednosti podataka, u skladu sa odredbama člana 69. stavovi 1. i 2. ovog zakona;
34) ne primeni mere za bezbednost osetljivih podataka u skladu sa odredbama člana 69. st. 3,6 i 7. ovog zakona;
35) ne obavesti Poverenika o prodoru u bezbednost podataka, u skladu sa odredbom člana 70. stav 1. ovog zakona;
36) ne obavesti rukovaoca o prodoru u bezbednost osetljivih podataka, u skladu sa odredbom člana 70. stav 8. ovog zakona;
37) ne vodi evidencije o obradi u skladu sa odredbama člana 71.stav 1.,2. i 3. ovog zakona

38) ne omogući Povereniku uvid u evidencije o obradi u skladu sa članom 71. stav 4;
39) ne objavi i ažurira evidencije o obradi u skladu sa odredbama člana 71. st. 5. i 6. ovog zakona;
40) iznosi podatke o ličnosti iz zemlje suprotno odredbama članova 74. - 77. ovog zakona;
41) onemogućava, ometa ili na drugi način sprečava ovlašćeno lice u nesmetanom vršenju nadzora, suprotno odredbama člana 80. ovog zakona;
42) ne postupi po upozorenju, odnosno rešenju Poverenika, u skladu sa odredbama člana 82. stavovi 1. i 2. ovog zakona.

Za prekršaj iz stava 1. ovog člana preduzetnik će biti kažnjen novčanom kaznom od 50.000 do 500.000 dinara.

Za prekršaj iz stava 1. ovog člana biće kažnjeno fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u drugom obliku organizovanja bez svojstva pravnog lica, te u predstavništvu ili poslovnoj jedinici stranog pravnog lica, novčanom kaznom od 25.000 do 150.000 dinara.

Član 87.

Novčanom kaznom u iznosu od 300.000,00 dinara biće kažnjeni za prekršaj rukovalac, obrađivač ili primalac koji ima svojstvo pravnog lica, kao i drugo pravno lice, ako:

1) ne odredi pravno ili fizičko lice da ga zastupa u vezi sa obradom podataka o ličnosti u skladu u skladu sa odredbom člana 11. stav 3. ovog zakona;
2) ne obriše podatke u skladu sa odredbom člana 13. stav 5. ovog zakona;
3) podatke koje obrađuje da na korišćenje protivno odredbama člana 28. st. 1. - 3. ovog zakona;
4) ne vodi i ne čuva propisanu evidenciju u skladu sa odredbama člana 28. st. 4. i 5. ovog zakona;
5) ne vodi propisanu evidenciju o video-nadzoru u skladu sa odredbama člana 37. ovog zakona;
6) obrađuje podatke o ličnosti vršenjem video-nadzora privatnih stanova i kuća, suprotno odredbama člana 39.ovog zakona;
7) obrađuje podatke o ličnosti i čuva evidencije o ulasku i izlasku iz poslovnog prostora, suprotno odredbi člana 42. ovog zakona;
8) ne sprovede obaveštavanje o izvršenim promenama u skladu sa odredbom člana 47. stav 2. ovog zakona;
9) ne postupi po zahtevu za obaveštenje, uvid i kopiju u skladu sa odredbom člana 51. ovog zakona;
10) ne postupi po zahtevu za ispravku, dopunu, ažuriranje i brisanje podataka u skladu sa odredbom člana 52. stav 1. ovog zakona;
11) ne označi podatke kao osporene i ne postupi u skladu sa odredbom člana 52. stav 2. ovog zakona;
12) prilikom ostvarivanja prava na uvid postupi suprotno odredbama člana 54. ovog zakona;
13) prilikom ostvarivanja prava na kopiju postupi suprotno odredbama člana 55. ovog zakona;
14) ne obavesti Poverenika o postupanju po rešenju u skladu sa odredbom člana 58. stav 4. ovog zakona;
15) ne obavesti lice čiji su podaci bili predmet prodora u bezbednost podataka, u skladu sa odredbom člana 70. stav 3. ovog zakona;
16) odloži da obavesti lice o prodoru u bezbednost podataka, suprotno odredbama člana 70. stavovi 6. i 7. ovog zakona;
17) ne dostavi Povereniku evidenciju o obradi ili promene u toj evidenciji, u skladu sa odredbama člana 72. stavovi 1. i 4. ovog zakona;
18) evidencija o obradi nije tačna i ažurna, u skladu sa odredbom člana 72. stav 3. ovog zakona.

Za prekršaj iz stava 1. ovog člana preduzetnik će biti kažnjen novčanom kaznom u iznosu od 100.000,00 dinara.

Za prekršaj iz stava 1. ovog člana biće kažnjeno fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinice lokalne samouprave, novčanom kaznom u iznosu od 50.000,00 dinara.

XI PRELAZNE I ZAVRŠNE ODREDBE

Član 88.

Na sedište Poverenika, izbor, prestanak mandata, postupak razrešenja, položaj poverenika, zamenika poverenika, stručnu službu, finansiranje i podnošenja izveštaja, primenjuju se odredbe Zakona o slobodnom pristupu informacijama od javnog značaja („Sl. glasnik RS“ br. 120/04, 54/07, 104/09 i 36/10) .

Član 89.

Postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom koji nisu okončani do dana stupanja na snagu ovog zakona okončaće se po odredbama zakona koji je bio na snazi do dana stupanja na snagu ovog zakona.

Član 90.

Podzakonski akti na osnovu ovog zakona biće doneti u roku od godinu dana od dana stupanja na snagu ovog zakona.

Podzakonski akti koji su doneti na osnovu Zakona o zaštiti podataka o ličnosti koji je bio na snazi do dana stupanja na snagu ovog zakona nastavljaju da se primenjuju do donošenja podzakonskih akata donetih na osnovu ovog zakona.

Član 91.

Danom stupanja na snagu ovog zakona prestaje da važi Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS“ br. 97/08 i 104/09 dr. zakon, 68/2012 Odluka US i 107/2012) .

Član 92.

Stambene zgrade moraju u roku od godinu dana od dana usvajanja ovog zakona da usklade vršenje video-nadzora sa ovim zakonom.

Član 93.

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije“, osim odredaba člana 62.- 68. ovog zakona koje stupaju na snagu po isteku 3 godine od stupanja na snagu ovog zakona.


Prilog 1.

OBAVEŠTENjE O PRODORU U BEZBEDNOST PODATAKA

Ime, prezime i adresa /mejl adresa lica čiji su podaci bili predmet prodora

Na osnovu člana 70. stav 3. Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS“, br___________________) , obaveštavamo Vas da je kod rukovaoca

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Naziv/ime i sedište/adresa rukovaoca

došlo do prodora u bezbednost podataka uključujući i Vaše podatke koji se odnose na: _________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Rukovalac je u cilju sprečavanja daljeg ugrožavanja bezbednosti podataka i ponovnog uspostavljanja adekvatnog nivoa bezbednosti sistema podataka preduzeo sledeće mere: ___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

Preporučujemo da radi umanjenja štete sami preduzmete sledeće mere: _________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

U ________________, _____________________________________

Potpis i pečat ovlašćenog lica rukovaoca

dana ___________ godine

OBRAZLOŽENjE

Modela zakona o zaštiti podataka o ličnosti

Napomena: a) Obrazloženje Modela zakona o zaštiti podataka o ličnosti sačinjeno je u skladu sa formom obrazloženja propisanom Poslovnikom Narodne skupštine Republike Srbije (čl. 151) u pogledu Ustavnog osnova za donošenje propisa, razloga za njegovo donošenje, kao i objašnjenja osnovnih pravnih instituta i pojedinačnih rešenja. Obrazloženje ne sadrži sve elemente koji su propisani za predlagače zakona s obzirom na to da Poverenik nije ovlašćeni predlagač.

b) Model zakona o zaštiti podataka sačinjen je u skladu sa Jedinstvenim metodološkim pravilima za izradu propisa.

I. Ustavni osnov za donošenje zakona

Ustavni osnov za donošenje Zakona o zaštiti podataka o ličnosti sadržan je u članovima 41. i 42, kao i u članu 18. Ustava Republike Srbije.

Pravo na privatnost kao osnovno ljudsko pravo objedinjuje različite koncepte privatnosti, kao što su telesna privatnost, teritorijalna privatnost, informaciona privatnost lica i privatnost komunikacije. Informaciona privatnost lica ostvaruje se kroz zaštitu podataka o ličnosti i tesno je povezana sa zaštitom tajnosti komunikacije. Stoga, i član 41. Ustava RS „tajnost pisama i drugih sredstava opštenja“ i član 42. „zaštita podataka o ličnosti“ zajedno čine ustavni osnov za donošenje ovog zakona u skladu sa osnovnim ustavnim načelom neposredne primene zajemčenih ljudskih i manjinskih prava i sloboda određenim članom 18. Ustava.

Primarni osnov za donošenje Zakona o zaštiti podataka o ličnosti sadržan je u članu 42. Ustava kojim je zajemčena zaštita podataka o ličnosti i određeno je da se „prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom.“

II. Razlozi za donošenje zakona

Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni i, sažeto rečeno, mogu se razmatrati sa stanovišta unutrašnjeg prava i sa stanovišta međunarodnog prava i međunarodnih odnosa. Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može da obezbedi nesmetano uživanje prava na privatnost i zaštitu podataka o ličnosti u svim oblastima života pojedinca, a istovremeno, obim neophodnih izmena i dopuna postojećeg pravnog okvira sa stanovišta nomotehnike obavezuje zakonodavca da usvoji novi propis, tačnije zakon. Sa stanovišta međunarodnog prava i međunarodnih odnosa, usklađivanje nacionalnog zakonodavstva za pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije određenu Sporazumom o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge, a koji je Narodna skupština Republike Srbije ratifikovala 2008. godine ("Sl. Glasnik RS – Međunarodni ugovori", br. 83/2008) , dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje.

Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br 97/08, 104/09 - dr. zakon 68/12,- odluka US i 107/12) usvojen je krajem 2008. godine, a primenjuje se od 1. januara 2009. godine. Od početka primene Zakon je prema izveštajima Evropske komisije o napretku Republike Srbije ocenjivan kao delimično usklađen. Na neusklađenost Zakona detaljno je ukazano u nekoliko zvaničnih analiza, uključujući i Analizu stručnjaka angažovanih od strane Evropske komisije iz 2009. godine, kao i Analizu Eurodžasta (Eurojust) dostavljenu ministarstvu nadležnom za provosuđe u januaru 2012. godine.

Značaj zaštite podataka o ličnosti za Evropsku uniju i države članice pojedinačno izražen je pre svega Poveljom o fundamentalnim pravima Evropske Unije (2000/C 364/01) . Pravo na privatnost i zaštitu podataka zajemčeno je članovima 7. (Poštovanje privatnog i porodičnog života) i 8. (Zaštita podataka o ličnosti) . Jedan od najznačajnijih dokumenata je nedavno usvojena Opšta uredba EU o zaštiti podataka o ličnosti (REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) – dalje: Uredba. Uredba je usvojena od strane Evropskog parlamenta i Saveta EU 27. aprila 2016. godine, a primenjivaće se u EU od 25.maja 2018.godine.

Pored ove direktive, komunitarno pravo u oblasti zaštite podataka o ličnosti obuhvata i druge direktive i propise, kao i presude Suda pravde Evropske unije i mišljenja Radne grupa člana 29 kao tela koji objedinjuje nezavisne organe svih država članica EU o primeni prava i rastućim izazovima zaštite podataka.

Pored inicijalne neusklađenosti, tekst važećeg zakona nije značajno menjan tokom više od sedam godina primene. Zakon je samo dva puta izmenjen i dopunjen. Prvi put, zbog neusaglašenosti sa Ustavom Republike Srbije, kada je Ustavni sud doneo odluku po predlogu za ocenu ustavnosti pojedinih odredaba Zakona, koji je podneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, kao organ u čijoj je nadležnosti nadzor nad zaštitom podataka o ličnosti. Drugi put, Zakon je izmenjen od strane zakonodavca, dopunom u pogledu dozvoljenosti promene svrhe obrade podataka o ličnosti. Nažalost, praksa je pokazala da je ova dopuna doprinela još težoj primeni Zakona, suprotno nameri zakonodavca.

Međutim, izmene koje bi se odnosile ne samo na usklađivanje nacionalnog propisa sa pravnim tekovinama Evropske unije, nego i na uspostavljanje osnova za zaštitu prava lica sa jasnim obavezama i odgovornostima rukovalaca ili obrađivača podataka, nisu usledile.

Spremnost Republike Srbije za evropske integracije, a naročito nakon 1. septembra 2013. godine, kada je stupio na snagu Sporazum o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge, nameće i obavezu Republici Srbiji da uskladi svoje zakonodavstvo koje se odnosi na zaštitu ličnih podataka sa komunitarnim zakonodavstvom i ostalim evropskim i međunarodnim propisima o privatnosti (čl. 81. Sporazuma) , a prvenstveno sa Uredbom.

Snažan nezavisni organ za zaštitu podataka o ličnosti je preduslov adekvatne zaštite podataka o ličnosti za Evropsku uniju, a na šta ukazuje i postojanje posebnog organa za zaštitu podataka o ličnosti u okviru Unije - Evropski supervizor za zaštitu podataka o ličnosti, kao i posebna odeljenja i službenici za zaštitu podataka o ličnosti Europola ili Eurodžasta, a naročito odluke Suda pravde EU o položaju organa nadležnih za zaštitu podataka o ličnosti. Sporazum o stabilizaciji i pridruživanju posebno ističe obavezu Srbije u pogledu nezavisnog nadzornog tela sa dovoljno finansijskih i ljudskih resursa kako bi efikasno nadzirao i garantovao primenu nacionalnog zakonodavstva u oblasti zaštite podataka.

Pored neusklađenosti sa komunitarnim pravom i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje naročito višegodišnja praksa Poverenika. Naime, pojedine odredbe Zakona nisu adekvatne za primenu, odnosno sa stanovišta teorije prava nisu primer validne norme s obzirom na to da su neefikasne u postojećem pravnom sistemu. Analiza važećeg zakona, kao i analiza potrebe usklađivanja zakona sa komunitarnim pravo i standardima zaštite podataka o ličnosti, ukazuje na to da su izmene neophodne u gotovo celokupnom propisu, kao i da su neophodne brojne dopune s obzirom na to da postoje pravne praznine koje nije moguće popuniti analogijom ili drugom tehnikom tumačenja i primene propisa.

Glavni nedostaci važećeg zakona ogledaju se u, samo primera radi, nepostojanju tehnološke neutralnosti i nemogućnosti primene u postojećim informacionim komunikacionim tehnologijama čija upotreba postaje sve neminovnija; zatim u potpunoj neuređenosti značajnih oblasti kao što su video-nadzor ili obrada biometrijskih podataka; neadekvatno uređenom postupku ostvarivanja prava na zaštitu podataka o ličnosti i neuređenom postupku iznošenja podataka o ličnosti. Takođe, nedostaci su izraženi i u nepotpunom uređenju odgovornosti u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza. Bezbednost podataka je potpuno neadekvatno uređena, a nedostaje i obaveza analize rizika po prava lica u slučaju pojedinih obrada koje mogu ozbiljno ugroziti prava lica, i obaveza rukovalaca da Povereniku prijave prodor u bezbednost podataka. Istovremeno, neophodno je uvesti nove institute u režim zaštite podataka a koji se prevashodno odnose na lica zadužena za zaštitu podataka kod rukovalaca posebnih vrsta ili koji obrađuju podatke o ličnosti većeg broja lica ili koji obrađuju posebne kategorije podataka.

Izmene i dopune važećeg zakona zajedno bi činile preko sedamdeset posto postojećeg teksta propisa, stoga je iz nomotehničkih razloga umesto izmena i dopuna postojećeg neophodno izraditi novi zakon.

Da je novi zakon, kao forma propisa, neophodan ukazuje i sama priroda materije koju on treba da sadrži. Imajući u vidu ustavne odredbe o uređivanju ostvarivanja osnovnih ljudskih prava i odredbe o eventualnim ograničenjima prava, kao i ustavni osnov za donošenje ovog zakona, zaštita podataka o ličnosti u Republici Srbiji može da se uredi isključivo zakonom.

Osnovni cilj zakona je da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na privatnost i ostalih prava i sloboda. Stoga, Zakon o zaštiti podataka o ličnosti treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji. U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, i to zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka, kao i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.

III. Objašnjenje osnovnih pravnih instituta i pojedinačnih rešenja

U skladu sa Jedinstvenim metodološkim pravilima za izradu propisa, Model zakona sadrži uvodni, glavni i završni deo.

Osnovne odredbe, kako glasi uvodni deo Modela zakona, uređuju predmet (čl. 1.) i cilj zakona, kao i definicije pojmova i načela zaštite podataka o ličnosti. Članom 2. predviđeno je da je cilj zakona da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na privatnost i ostalih prava i sloboda. Pravo na zaštitu podataka kao lično pravo lica je samostalno ljudsko prava, a istovremeno i instrumentalno pravo za ostvarivanje drugih prava i sloboda, kao što je pravo na privatnost, pravo na pravično suđenje, sloboda veroispovesti, kao i pravo na slobodan razvoj ličnosti i dostojanstvo lica koje je Ustavom Republike Srbije (čl. 23.) neprikosnoveno.

U definicijama predviđenim članom 3. Modela, sadržana su objašnjenja pojedinačnih pojmova. Definicije podatka o ličnosti koji čini neko fizičko lice određenim ili odredivim, zatim obrade podataka, zbirke podataka, rukovalaca, obrađivača ili primaoca u skladu su sa definicijama sadržanim u evropskim dokumentima, prvenstveno sa definicijama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka (dalje u tekstu: Konvencija 108. Saveta Evrope) , Opšte uredbe o zaštiti podataka o ličnosti EU.

Od posebnog značaja su novelirane definicije pojmova u odnosu na postojeći zakon. Tako, novelirana je definicija pristanka lica u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU, i to u delu koji se odnosi na sadržinu i formu pristanka, a čime se omogućava primena zakona u realnom okruženju, i obrada podataka o ličnosti posredstvom informacionih i komunikacionih tehnologija. Uveden je nov način davanja pristanka, to je „konkludentna radnja“, koja podrazumeva aktivno ponašanje lica, a nikako samo ćutanje.

Definicije osetljivih podataka usklađene su sa Opštom uredbom o zaštiti podataka o ličnosti EU, kao i definicije biometrijskih i genetskih podataka. Takođe je definisan video-nadzor koji je u postojećem uređenju potpuno izostao. Novinu predstavlja i definicija prodora u bezbednost podataka. Takođe je definisano i brisanje podataka kao potpuno i trajno uništavanje podataka, i anonimizacija koja pretpostavlja svaku radnju ili postupanje kojim se podaci menjaju, nakon čega ne postoji mogućnost da se identifikuje lice na koje su se podaci prethodno odnosili, bez značajnih troškova ili nesrazmernih napora ili znatnog utroška vremena.

Osnovne odredbe sadrže i osnovna načela zaštite podataka o ličnosti (čl. 4. – 9.) . Sva načela sadržana u Modelu zakona predstavljaju opšteprihvaćena načela zaštite podataka o ličnosti, propisana, između ostalog i Konvencijom 108. Saveta Evrope i Opštom uredbom o zaštiti podataka o ličnosti . Ova načela nisu bila istaknuta u važećem zakonu, već je njihova sadržina proizilazila iz opšte odredbe u pogledu nedozvoljenosti obrade.

Obrada podataka o ličnosti zasnovana na određenim načelima, pa je kao prvo načelo obrade podataka o ličnosti predviđeno načelo transparentnosti (čl.4) , koje podrazumeva da svaka informacija i komunikacija u vezi sa obradom podataka o ličnosti mora da bude lako dostupna i razumljiva i da se upotrebljava jasan i jednostavan jezik, naročito za svaku informaciju koja je namenjena deci. Obrada podataka o ličnosti mora biti zakonita i pravična, a načelo zakonitosti i pravičnosti kao princip zaštite podataka podrazumeva da se podaci obrađuju u skladu sa zakonom i na način koji je pravičan, odnosno nije nedopušten (čl. 5.) . Načelo ograničenosti svrhe obrade (čl. 6.) uslovljava svaku obradu podataka o ličnosti postojanjem jasno određene, zakonite i legitimne svrhe s obzirom na to da obrada podataka nikada ne može da bude sama sebi svrha, a istovremeno ograničava kasniju promenu svrhe obrade podataka, sem u slučajevima izričito određenim Ustavom Republike Srbije. Poseban izuzetak dozvoljenosti dalje obrade podataka koji se ne smatra promenom svrhe konkretne obrade podataka, a koji je propisan i pomenutim međunarodnim ugovorima, je obrada u statističke ili naučnoistraživačke svrhe. Načelo srazmernosti ima za cilj da ograniči obim obrade podataka na samo one podatke koji su neophodni da bi se određena svrha ostvarila (čl. 7.) . Načelo tačnosti podataka, predviđeno čl. 8. Modela, podrazumeva da su podaci o ličnosti tačni, potpuni i ažurni, a što pretpostavlja i prava u pogledu promene ili brisanje podataka koji to nisu. Posebno načelo zaštite podataka je načelo bezbednosti predviđeno čl. 9. Modela, koje u važećem zakonu nije bilo istaknuto ni na posredan način, a kome se posebna važnost daje ne samo u pomenutoj konvenciji Saveta Evrope, a Opštom uredbom o zaštiti podataka o ličnosti EU predviđene su dodatne obaveze u pogledu bezbednosti.

Kao opšte načelo ljudskih prava, Model sadrži i odredbu o zabrani diskriminacije u čl. 10., obezbeđujući na taj način i ustavno jemstvo da uživanje prava, prava na zaštitu podataka o ličnosti, nije uslovljeno državljanstvom ili nekim ličnim svojstvima.

Član 11. Modela odnosi se na teritorijalnu primenu zakona. Ova odredba koja nije bila propisana važećim zakonom, što je prouzrokovalo teškoće u primeni prava u slučajevima obrade podataka od strane lica koji nemaju sedište ili prebivalište u Republici Srbiji, što je ujedno predstavljalo i rizik po ostvarivanje prava lica. Model zakona jasno uređuje primenu i na diplomatsko-konzularna i druga predstavništva Republike Srbije u inostranstvu.

Posebne odredbe posvećene su ograničenju primene zakona na pojedine obrade. Tako, čl. 12. predviđeno je da se odredbe zakona ne primenjuju na obradu podataka fizičkih lica za lične ili porodične potrebe, što je u skladu sa Opštom uredbom o zaštiti podataka i ograničenjem primene u slučaju obrade za “household activities”. Istim članom izuzeta je primena pojedinih odredaba ovog zakona na podatke o ličnosti koji se obrađuju isključivo u svrhe javnog informisanja i naučnog, književnog ili drugog umetničkog stvaranja, a u skladu sa propisima kojima se uređuju ove oblasti. Ovim se uspostavlja ravnoteža između slobode izražavanja i zaštite podataka o ličnosti. Takođe, izuzeta je primena pojedinih odredaba ovog zakona na podatke o ličnosti koje o svojim članovima obrađuju političke stranke, sindikati, udruženja i verske organizacije, sve dok traje članstvo u ovim organizacijama, jer bi u suprotnom primena zakona i ostvarivanje slobode udruživanja bilo nemoguće. Na kraju, primena pojedinih odredaba zakona izuzeta je i u odnosu na podatke koji su u skladu sa zakonom već objavljeni, čime su dostupni neograničenom broju lica.

Članom 13. detaljno je uređena dozvoljenost dalje obrade podataka o ličnosti u statističke, istorijske ili naučnoistraživačke svrhe, a u skladu sa propisima kojima se uređuju ove oblasti. Za potrebe obrade u ove svrhe, podaci se primaocu ustupaju u anonimizovanom obliku, osim ako je posebnim zakonom propisano drugačije ili ako je lice na koje se podaci odnose prethodno dalo pismeni pristanak za korišćenje njegovih podataka u neanonimizovanom obliku. Ovim članom se uređuje i da u slučaju podataka o ličnosti umrlog lica, pristanak za neanonimizovano objavljivanje daju lica iz prvog i drugog naslednog reda u skladu sa zakonom kojim se uređuje nasleđivanje. Ovim se u odnosu na važeći zakon otklanjaju brojne nedoumice u pogledu dozvoljenosti dalje obrade u ove svrhe. Odredbom je predviđen i rok za brisanje ovih podataka, nakon ostvarivanja svrhe obrade.

Članom 14. predviđeno je kada se pojedinačna prava čije je ostvarivanje uređeno ovim modelom mogu ograničiti u skladu sa Ustavom Republike Srbije i Evropskom konvencijom o ljudskim pravima, odnosno ukoliko je ograničenje propisano ovim zakonom i ukoliko je to neophodno u demokratskom društvu radi zaštite od ozbiljne povrede pretežnijeg interesa zasnovanog na ustavu ili zakonu.

S obzirom na to da se u praksi Poverenika pokazalo da organi javne vlasti u primeni Zakona o slobodnom pristupu informacijama od javnog značaja ograničavaju ostvarivanje prava pozivajući se na zaštitu podataka o ličnosti, član 15. posebno uređuje odnos ovih dvaju prava uspostavljajući odnos ravnoteže ne dajući a priori prevagu nijednom od njih.

Glavni deo Modela zakona podeljen je u nekoliko glava.

Glava II – član 16. uređuje nadležnost Poverenika. U odnosu na važeći zakon, Modelom se predlaže nekoliko novina u pogledu nadležnosti organa. Ove novine se posebno odnose na nadležnost organa u postupku donošenja zakona i drugih propisa u pogledu odredaba u vezi sa obradom podataka o ličnosti, čime se usaglašava nacionalno zakonodavstvo sa Opštom uredbom o zaštiti podataka o ličnosti EU. Takođe, novine se odnose i na nadležnosti Poverenika u pogledu posebnih, da sada neuređenih, važnih oblasti obrade podataka kao što su biometrijski podaci, ili sprovođenje i organizovanje polaganja stručnog ispita za lica za zaštitu podataka o ličnosti ili izdavanja i oduzimanja licenci za zaštitu podataka. Posebnim stavom izuzeta je nadležnost Poverenika u odnosu na podatke koje obrađuju sudovi u svrhu vođenja sudskih postupaka, s tim što je zakonom istaknuto da se izuzeće od nadležnosti Poverenika odnosi samo u odnosu na zaštitu podataka o ličnosti, a ne na nadležnost Poverenika u odnosu na sudove kao organe javne vlasti u postupku ostvarivanja prava na slobodan pristup informacijama propisane Zakonom o slobodnom pristupu informacijama od javnog značaja. Takođe, kao novina, u skladu sa Opštom uredbom o zaštiti podataka o ličnosti, predviđeno je da će se posebnim zakonom odrediti organ, u okviru sudske vlasti, koji će nezavisno i samostalno da vrši nadzor nad obradom podataka o ličnosti koju vrše sudovi u svrhu vođenja sudskih postupaka i da odlučuje u postupcima za ostvarivanja prava iz ovog zakona, tim zakonom urediće se i ovlašćenja i nadležnost tog organa.

Glava III – Obrada podataka (čl. 17. – 30.) predviđa opšta pravila u pogledu obrade podataka o ličnosti. Članom 17. predviđeno je da podaci o ličnosti mogu da se obrađuju samo ukoliko je obrada predviđena zakonom ili ukoliko je lice dalo pristanak. Ovim modelom zakona izuzetno su predviđeni posebni slučajevi obrade, kao što su zaštita vitalnih interesa lica ili posebni vidovi obrade. Modelom zakona posebno se ističu pravni osnovi kada je rukovalac podataka organ vlasti i oni koji to nisu. Prema članu 18. ograničava se obrada podataka o ličnosti od strane organa vlast a čiji je osnov u pristanku lica. Razlog ovakvog rešenja sadržan je neravnopravnom odnosu pojedinca i organa vlasti, čime se dovodi u pitanje postojanje slobodnog datog pristanka lica, pa se stoga dozvoljenost obrade podatka na osnovu pristanka ograničava samo za potrebe koje nisu u svrhe izvršavanja poslova iz njihove nadležnosti. U slučaju takve obrade podataka, lice ne može da trpi posledice po svoja prava ili interese ukoliko ne pristane na obradu. Izuzetak je obrada podataka o ličnosti od strane organa vlasti za potrebe vođenja pregovora ili realizacije ugovora. Rukovaoci koji nisu organi vlasti mogu da podatke obrađuju na osnovu zakona ili u slučaju pristanka lica, kao i za potrebe vođenja pregovora ili realizacije ugovora (čl. 19.) .

Novina Modela zakona je detaljno predviđen ugovorni odnos rukovaoca i obrađivača u slučaju poveravanja poslova u vezi sa obradom. Članom 20. predviđena je odgovornost rukovaoca za izbor obrađivača tokom celokupnog procesa poveravanja poslova obrade, što predstavlja novinu u odnosu na važeći zakon koji nije pravio jasnu distinkciju između obaveza rukovaoca i obrađivača, pa su se odredbe mogle tumačiti na način da se rukovalac podataka oslobađa odgovornosti u slučaju poveravanja poslova. Odgovornost rukovaoca za celokupan proces poveravanja poslova obrade je standard zaštite podataka, dok odgovornost može imati i samo obrađivač u slučaju da je postupao suprotno dobijenom ovlašćenju. Istim članom takođe je predviđana i podobrada, odnos obrađivača i podobrađivača, kao i podobrađivača međusobno.

Članom 21. predviđen je zakonski osnov za poseban slučaj obrade podataka bez pristanka lica, a u cilju zaštite životno važnih interesa lica, a posebno života, zdravlja i fizičkog integriteta, pod uslovom da je obrada proporcionalna, odnosno preduzeta u meri koja je neophodna za zaštitu ovih interesa. Ovom odredbom uređuju se životne situacije koji važeći zakon nije uredio.

Članom 22. predviđeni su uslovi obrade osetljivih podataka o ličnosti, koja se zasniva na pristanku lica, koji je isključivo u pismenom obliku. Izuzetak od ove obrade po osnovu pristanka predviđeno je da osetljivi podaci mogu da se obrađuju ukoliko je to izričito predviđeno zakonom ili je neophodno radi izvršenja obaveza određenih zakonom, ukoliko je obrada podataka o zdravstvenom stanju lica u interesu tog lica, kao što je otkrivanje, prevencija ili dijagnostikovanje bolesti ili lečenje lica, u interesu unapređenja zdravstvene delatnosti u skladu sa zakonom, ako te podatke obrađuje zdravstveni radnik ili drugo lica koje podleže propisanim obavezama čuvanja poverljivih podataka. Izuzetak su i slučajevi kada lice nije u mogućnosti da lično dâ saglasnost, a obrada osetljivih podataka je neophodna radi zaštite života, zdravlja i fizičkog integriteta lica na koje se ti podaci odnose ili drugog lica. Izuzetak su i slučajevi obrade osetljivih podataka u svrhu dokazivanja ili pobijanja tužbe, kao i kada je to potrebno da se ostvari svrha delovanja organizacija sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod određenim uslovima.

Članom 23. predviđena je zabrana donošenja odluke koja je od uticaja na prava lica isključivo na osnovu automatske obrada podataka o ličnosti, a što je u skladu sa Konvencijom 108. Saveta Evrope, kao i Opštom uredbom o zaštiti podataka o ličnosti EU.

Članom 24. predviđena je obaveza obaveštavanja lica čiji se podaci prikupljaju od strane rukovaoca, odnosno obrađivača, a čija je svrha da se lice upozna sa svim elementima obrade podataka, kao što su određenje rukovaoca, o svrsi obrade, mogućim posledicama uskraćivanja davanja podataka, a što je posebno važno kada se obrada vrši na osnovu zakona, kao i o pravima lica u odnosu na obradu i primaocima podataka, kao što su na primer lica, odnosno kategorija lica, koja preduzimaju konkretnu radnju obrade. Obaveza obaveštavanja predviđena je i u slučaju da su podaci o ličnosti prikupljeni od drugog lica (čl. 25.) .

Posebna odredba predviđa pristanak lica na obradu podataka (član 26.) , a koja omogućava da se pristanak ne uslovljava često nemogućim pristankom u pismenoj formi, već se pristanak može dati i usmeno i konkludentnom radnjom.

Članom 27. predviđeno je i pravo lica da opozove jednom dat pristanak, kao i da obrada nije dozvoljena posle opoziva pristanka.

Član 28. uređuje na koji način rukovalac ustupa podatke o ličnosti primaocu.

Član 29. predviđa obavezu brisanja podataka, po ostvarivanju svrhe za koju su podaci obrađivani.

Obrada podataka o umrlom licu sadržana je u ovoj glavi iako zakon uređuje obradu podataka živih lica, jer se ovom odredbom uređuje pravna praznina u pogledu pristupa podacima o ličnosti umrlih lica (član 30) .

Glava IV – Posebni vidovi obrade (čl. 31. – 44.) predviđa uređenje posebnih vidova obrade prisutnih u životu lica, čije upotreba postaje sve rasprostranjenija, a čije je uređenje u važećem zakonu potpuno izostavljeno, a da istovremeno nije uređeno nekim drugim zakonom.

Odeljak o biometriji (čl. 31. – 33.) predviđa situacije kada je upotreba biometrijskih mera dozvoljena, i prema članu 32., to je samo ukoliko je propisana zakonom, a izuzetno, ako nije, može da se vrši samo na osnovu prethodne odluke Poverenika, i to kada je neophodna zbog zaštite bezbednost ljudi i imovine ili radi zaštite tajnih podataka i poslovnih tajni, pristupa opremi ili otkrivanju učinilaca krivičnih dela, pod uslovom da svrha ne može da se postigne nekim drugim načinom obrade koji je manje invazivan ili rizičan po prava lica. Obrada biometrijskih podataka je obrada osetljivih podataka s obzirom na to da se biometrijski podaci jedinstveni identofikatori nekog lica i stoga je važno da se obradi ovih podataka pristupa sa dužnom pažnjom i u izuzetnim slučajevima, što je i u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU. S obzirom da obrada biometrijskih podataka predstavlja uvek rizik po prava lica, to rukovalac podataka ne može da počne sa obradom biometrijskih podataka pre nego što primi odluku Poverenika kojom se odobrava uvođenje biometrijskih mera i pre nego što na odgovarajući način obavesti svako lice čiji se biometrijski podaci obrađuju o toj obradi (čl. 33.) .

Odeljak o video-nadzoru (čl. 34.- 40.) je novina u odnosu na važeći zakon i postojeće propise u Srbiji. Ovaj vid obrade podataka postao je rasprostranjen i u upotrebi i od strane organa vlasti, privrednih društava, ali i fizičkih lica. Neuređenost ove oblasti bila je uzrok kršenja prava na privatnosti, ali i odgovornosti lica koja su upotrebljavala ovaj vid obrade upravo u nedostatku zakona koji bi jasno uredio kada je ova obrada dozvoljena. Model predviđa opštu obavezu rukovalaca u svim sferama primene video-nadzora da istaknu vidno obaveštenje o video-nadzoru, naziv rukovaoca i kontakt na koji se mogu dobiti informacije u vezi sa obradom (čl. 34.) , a istovremeno imaju obavezu da zaštite sistem od pristupa neovlašćenih lica. Članom 35. predviđeni su uslovi za vršenje video-nadzor pristupa u poslovni prostor, kao i da odluka rukovaoca o uvođenju video-nadzora mora biti u pismenoj formi i mora da sadrži razloge za uvođenje video-nadzora. Posebno je čl. 36. uređeno da video-nadzor može da se vrši u poslovnom prostoru, ako je to neophodno radi zaštite bezbednosti lica ili imovine ili tajnih podataka i poslovnih tajni. S obzirom na to da pravo na privatnost, kao pravo na dostojanstvo lica, postoji i na radnom mestu, to mora da se ceni svrha uvođenja video-nadzora u svakom konkretnom slučaju. Video-nadzor u sanitarnim prostorijama ili garderobama nije dozvoljen. Rukovalac je dužan da u pismenom obliku obavesti lica koja rade u poslovnom prostoru o uvođenju video-nadzora, i to pre početka vršenja nadzora, kao i da čuva dokaz o tome. Izuzetak od ovog pravila predviđen je za državne organe nadležne za poslove u oblasti odbrane, nacionalne i javne bezbednosti i zaštite tajnih podataka. Rukovalac je dužan da vodi evidenciju o video-nadzoru pristupa u poslovni prostor i unutar poslovnog prostora, a koje se čuvaju najduže godinu dana od dana nastanka (čl. 37) . Video-nadzor u stambenim zgradama (čl. 38.) omogućava vršenje video-nadzora samo ulaska i izlaska iz zgrade i zajedničkih prostorija, a nikako ulaza i izlaza iz privatnih stnova. Ovaj video-nadzor je uslovljen postojanjem odluke najmanje 60% vlasnika svih stanova ili drugih posebnih delova zgrade, po uzoru na većinu rešenja zemalja u okruženju, budući da bi eventualni zahtev zakonodavca da se saglase svi vlasnici bio teško ostvariv u praksi. Posebno je zabranjen pristup snimcima preko interne ili javne kablovske televizije, interneta ili drugih sredstava elektronske komunikacije kojima takvi snimci mogu da se prenesu, jer se time sprečava mogućnost zloupotrebe i neovlašćenog pristupa, a koji je prisutan u praksi s obzirom na to da je neretko slučaj da je poseban kanal kablovske televizije u nekoj stambenoj zgradi upravo snimak uživo ulaza, a koji znači i posmatranje i nesmetano potencijalno snimanje drugih lica. U pogledu video-nadzora privatnih stanova i kuća, isti je uslovljen površinom koju obuhvata, te takav video-nadzor može da pokriva javni prostor samo u neposrednoj blizini privatnog objekta i ne sme da bude postavljen na način da omogućava snimanje ulaza i izlaza, odnosno spoljašnjosti ili unutrašnjosti drugih stanova ili kuća (čl. 39) . Članom 40. predviđen je video-nadzor javnih površina i isti se uređuje zakonom.

Odeljak Modela o neposrednom oglašavanju sadrži odredbe o dozvoljenosti obrade podataka u svrhu neposrednog oglašavanja različitim sredstvima komunikacija, a s ciljem da se ova neuređena oblast uredi. Članom 41. posebno je predviđeno da rukovalac podataka može da obrađuje podatke o ličnosti lica na koje se podaci odnose u svrhu neposrednog oglašavanja telefonom, elektronskom poštom ili drugim sredstvima komunikacije na daljinu samo na osnovu zakona, saglasnosti lica ili ako se radi o javno dostupnim podacima lica na koje se podaci odnose, a lice nije zabranilo obradu tih podataka u svrhu neposrednog oglašavanja. Takođe, definiše se da su ti podaci: lično ime, adresa prebivališta ili boravišta, broj telefona, adresa elektronske pošte i drugi kontaktni podaci lica, dok rukovalac može da obrađuje i druge podatke o ličnosti jedino na osnovu pristanka lica na koje se podaci odnose. Uređeno je i pravo lica da zahteva od rukovalaca podataka da prestane sa daljom obradom njegovih podataka, što je u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU, nakon čega je dalja obrada nedozvoljena, osim čuvanja ovih podataka do isteka ugovorenog roka.

Odeljak o evidencijama o ulasku i izlasku iz poslovnog prostora, predviđen članom 42., uređuje koji podaci mogu da se obrađuju, kao i vreme na koje se ovi podaci mogu čuvati.

Posebnim odeljkom je predviđena obrada jedinstvenog matičnog broja građana i upotreba ličnih identifikacionih dokumenata, a što je posledica brojnih primera iz prakse Poverenika koja ukazuje na brojne primere da se jedinstveni matični broj građana objavljuje na internetu, a da se lične karte, pasoši ili drugih lični identifikacioni dokumenti kopiraju ili skeniraju. Posledica ovakve prakse su i slučajevi krađe identiteta. Tako, zabranjeno je da se JMBG učini javno dostupnim na internetu (čl. 43.) . Fotokopiranje i skeniranje ličnih identifikacionih dokumenata, kao i njihovo zadržavanje je zabranjeno, osim u slučajevima kada je to zakonom propisano (čl. 44.) .

Glava V – Prava lica i zaštita prava lica (čl. 45. – 56.) uređuje prava lica, način ostvarivanja prava lica, kao i zaštitu prava. Odeljak Prava lica (čl. 45. – 49.) obuhvata prava lica koja proizilaze iz prava na zaštitu podataka o ličnosti, a to su pravo na obaveštenje o obradi (čl. 45.) , pravo na uvid i kopiju (čl. 46.) , pravo na ispravku, dopunu, ažuriranje ili brisanje podataka (čl. 47.) i s tim u vezi pravo na naknadu štete (čl. 49.) . Pravo na uvid i kopiju podataka (čl. 45.) odnosi se na pravo lica da dobije na uvid podatak koji se na njega odnosi, što obuhvata i pravo na pregled, čitanje, slušanje podataka i pravljenje beležaka. Pravo na kopiju podataka odnosi se na pravo lica da dobije podatak u obliku u kojem se podatak nalazi, a to u praksi znači da će lice ostvarujući pravo na zaštitu podataka o ličnosti ostvariti uvid u dokument, odnosno u ma koji nosač informacija koji sadrži podatke o ličnosti, kao što je na primer lični dosije ili video-zapis. U važećem zakonu nije bilo jasno uređeno da se pravo odnosi i na ove situacije, a što je suprotno pravu na privatnost i standardima zaštite, kao i mišljenjima Radne grupe člana 29. Ako uvid u podatak nije moguće ostvariti ili kopiju podatka nije moguće izraditi u obliku u kom se podatak nalazi iz opravdanih razloga, rukovalac je dužan da izda podatak u drugom obliku i da navede njegov izvor. U slučaju ostvarivanja prava na ispravku ili brisanje podataka i zahteva lica koji je osnovan, rukovalac je dužan da o promeni obavesti sve obrađivače i primaoce kojima su ovi podaci učinjeni dostupnim takođe, ako je rukovalac objavio lične podatke lica dužan je da obriše te podatke, uzimajući u obzir dostupnu tehnologiju i trošak sprovođenja (pravo na zaborav) (čl. 47.) . Izuzetno, ova prava mogu da se ograniče (čl. 48.) ukoliko je to u skladu sa tripartitnim testom dozvoljenosti ograničenja ljudskih prava propisanim Evropskom konvencijom o ljudskim pravima i zajemčenim Ustavom Republike Srbije. Posebnim zakonom moguće je ograničenje ovih prava, ali samo ako se podaci o ličnosti obrađuju isključivo u statističke, istorijske ili naučnoistraživačke svrhe.

Odeljak Postupanje po zahtevu za ostvarivanje prava (čl. 50. – 56.) predviđa način postupanja rukovaoca po prijemu zahteva lica radi ostvarivanja prava izvedenih iz prava na zaštitu podataka o ličnosti. Ovim odeljkom predviđen je način ostvarivanja izvedenih prava predviđenih prethodnim odeljkom (čl. 53. – 55.) . Rukovaocu je data mogućnost da propiše formu obrazaca za ostvarivanje prava čija je svrha da licu olakša postupak ostvarivanja, a rukovaocu postupanje po zahtevu, s tim što ne može uslovljavati ostvarivanje prava podnošenjem zahteva isključivo na datom obrascu (čl. 50.) . S obzirom na to da je pravo na zaštitu podataka o ličnost lično pravo, ostvarivanje prava preko drugih lica uslovljeno je overenim punomoćjem, a ako je punomoćnik advokat onda punomoćje ne mora da bude overeno. Maloletno lice ova prava može ostvarivati samostalno, u granicama stečene poslovne sposobnosti.

Glavom VI – Postupak po žalbi (čl. 57. – 61.) predviđen je postupak zaštite prava lica pred Poverenikom, gde on odlučuje kao drugostepeni organ i način postupanja po žalbi. Na postupak odlučivanja po žalbi primenjuju se odredbe zakona kojim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drugačije određeno.

Glava VII – Obaveze povodom obrade (čl. 62. – 73.) predviđa posebne obaveze rukovalaca u pogledu preduzimanja mera u cilju bezbednosti podataka, određenje lica za zaštitu podataka, obaveza u slučaju prodora u bezbednost podataka i povodom vođenja evidencija o obradi. U skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU, pojedine dodatne obaveze predviđene su samo za pojedine rukovaoce – rukovaoce koji su organi vlasti, koji obrađuju osetljive podatke i koji obrađuju podatke o ličnosti za više od 250 lica nezavisno od prirode podataka. Ovi rukovaoci su dužni da donesu opšti akti kojima se uređuje zaštita podataka čija je načelna sadržina predviđena članom 63., kao i da odrede jedno ili više lica za zaštiti podataka o ličnosti koje ima položen stručni ispit (čl. 64. – 66.) . Posebna lica za zaštitu podataka o ličnosti postala su obaveza u skladu sa Opštom uredbom o zaštiti podataka o ličnosti EU, koja se neposredno primenjuje u svim članicama Evropske unije. Ova lica mogu da budu iz reda zaposlenih ili rukovalac može da angažuje pravno lice ili preduzetnika. Ova lica treba da budu nezavisna u svom radu i ne mogu da trpe štetne posledice za posao koji obavljaju u skladu sa zakonom (čl. 64.) . Poslovi koje ova lica treba da obavljaju uređena su članom 65, a članom 66. predviđen je stručni ispit ovih lica. Posebne poslove zaštite podataka mogu da obavljaju pravna lica i preduzetnici koji imaju licencu izdatu od strane Poverenika (čl. 67.) , a o čemu Poverenik vodi registar. Uslov za dobijanja licence je, između ostalog, da lice poseduje odgovarajući standard bezbednosti i privatnosti podataka o ličnosti, kao što je na primer novelirani standard informacione bezbednosti ISO 27001/2013 ili standardi privatnosti iz grupe 29000. Članom 68. predviđeno je da se jednom data licenca može oduzeti u slučaju da Poverenik u nadzoru utvrdi da lice ne ispunjava uslove za licencu.

Novina rešenja sadržana je i u odeljku 3. ove glave kojima se predviđaju posebne obaveze u pogledu bezbednosti podataka. Članom 69. navedene su pojedine mere bezbednosti koje rukovalac mora da preduzme. Pored navedenih mera, rukovalac koji obrađuje osetljive podatke, i koji obrađuju podatke o ličnosti za više od 250 lica nezavisno od prirode podataka, ima i obavezu obaveštavanja Poverenika o prodoru u bezbednost podataka, a u određenim situacijama i obavezu obaveštavanja lica čiji su podaci bili predmet prodora u bezbednost podataka (čl. 70.) . U slučaju da je reč o podacima čiji je rukovalac sam Poverenik, Poverenik će obrazovati komisiju nezavisnih stručnjaka, s obzirom na to da bi, s jedne strane, kontrola vršena isključivo od strane državnih službenika u Službi Poverenika bila sporna sa stanovišta pristrasnosti lica, a da bi, s druge strane, kontrola u pogledu zaštite podataka o ličnost od strane drugog organa, a posebno organa izvršne vlasti, dovela u pitanje nezavisan položaj organa.

U Prilogu 1, a koji je sastavni deo ovog modela zakona, dat je obrazac obaveštenja.

Odeljak 4. predviđa Evidenciju o obradi podataka i obaveštenje o nameri obrade (čl. 71. – 73.) . Rukovalac koji obrađuje osetljive podatke o ličnosti, kao i rukovalac koji obrađuje podatke o ličnosti za više od 250 lica, dužni su da bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku incidenta, obaveste Poverenika o prodoru u bezbednost podataka, kao i da u roku od 15 dana podnesu izveštaj o preduzetim merama u cilju sprečavanja daljeg ugrožavanja bezbednosti podataka i ponovnog uspostavljanja adekvatnog nivoa bezbednosti sistema podataka. Takođe je propisana obaveza za rukovaoce osetljivih podataka o ličnosti da o prodoru u bezbednost podataka obaveste o tome svako lice čiji su podaci bili predmet prodora u bezbednost podataka. Poverenik može da naloži rukovaocu koji obrađuje podatke o ličnosti za više od 250 lica da obavesti o tome svako lice čiji su podaci bili predmet prodora u bezbednost podataka. Definisano je takođe kada dostavljanje obaveštenja nije obavezno i kada se može odložiti. Obrađivač koji u ime i za račun rukovaoca obrađuje osetljive podatke o ličnosti ili podatke o ličnosti za više od 250 lica dužan je da obavesti rukovaoca o svakom prodoru u bezbednost ovih podataka (čl. 71.) . Rukovalac osetljivih podataka o ličnosti, rukovalac koji je organ javne vlasti, kao i rukovalac koji obrađuje podatke za više od 250 lica dužan je da vodi evidenciju o obradi podataka o ličnosti. Propisano je šta ta evidencija mora da sadrži. Svaki obrađivač, vodi evidenciju poverenih poslova obrade od strane rukovaoca podataka. Propisano je i šta ta evidencija mora da sadrži. Rukovalac osetljivih podataka o ličnosti, rukovalac koji je organ javne vlasti, kao i rukovalac koji obrađuje podatke za više od 250 lica dužni su da na svojoj internet stranici objave i ažuriraju evidencije o obradi za svaku zbirku podataka koju vode. Poverenik će na svojoj internet stranici omogućiti objavljivanje evidencija o obradi podataka rukovaocima koji ne poseduju svoju interent stranicu. Prilikom ispunjavanja obaveze iz stava 5. člana 71. ne sme se objaviti prebivalište lica za zaštitu podataka ili rukovaoca koji je fizičko lice, jedinstveni matični broj građana ili bilo koji drugi podatak o ličnosti, izuzev imena i prezimena, a što je u slkladu sa načelom srazmernosti koje je jedno od osnovnih načela u oblasti obrade podataka.

Rukovalac podataka koji nije organ javne vlasti, a koji obrađuje naročito osetljive podatke o ličnosti, rukovalac koji obrađuje podatke za više od dvestotinepedeset lica ili rukovalac koji jeste organ vlasti a obradu vrši na osnovu člana 18. stav 2. ovog zakona, dužan je da Povereniku na propisanom obrascu, najkasnije 30 dana pre otpočinjanja obrade podataka, dostavi obaveštenje o nameri obrade podataka sa svim informacijama iz člana 71. stav 1. tog zakona. Obrazac za vođenje evidencije iz stava 1. ovog člana i način vođenja evidencije, propisuje Poverenik. Rukovalac podataka odgovoran je za to da evidencija o obradi bude tačna i ažurna. Po prijemu obaveštenja o nameri obrade podataka iz stava 1. tog člana Poverenik proverava da li bi nameravana obrada mogla da dovede do povrede prava lica. Način provere uređuje se aktom Poverenika. Poverenik vodi Centralnu evidenciju obaveštenja o nameri obrade podataka o ličnosti. Način vođenja Centralne evidencije uređuje se aktom Poverenika.

Glava VIII – Iznošenje podataka iz zemlje (74. – 77.) na detaljan način predviđa postupak iznošenja podataka iz zemlje, suprotno važećem zakonu, koji je u nedostatku jasnih odredaba predstavljao prepreku u primeni, kako Povereniku, tako i rukovaocima koji su podnosili zahtev za dobijanje dozvole. Članom 74. predviđeno je da se podaci mogu iznositi iz Republike Srbije ukoliko se podaci iznose u državu ili međunarodnu organizaciju koja je strana ugovornica potvrđenih međunarodnih ugovora koji sadrže odredbe o razmeni podataka. Model polazi od pretpostavke da se podaci mogu nesmetano iznositi u države ili međunarodne organizacije koje imaju odgovarajuće uređenu zaštitu podataka, što u skladu sa komunitarnim pravom EU, podrazumeva sve države članice Evropske unije, Evropsku Uniju kao međunarodnu organizaciju i države članice Evropskog ekonomskog prostora, što su sada Island, Lihtenštajn i Norveška, kao i države, teritorije država ili međunarodne organizacija za koje Evropska unija smatra da imaju odgovarajuće uređenu zaštitu podataka. Takođe, zbirke podataka, odnosno podaci o ličnosti sadržani u zbirkama podataka, mogu se iznositi iz Republike Srbije u države ili međunarodne organizacije, nakon odluke Poverenika kojom odobrava iznošenje podataka o ličnosti u konkretnom slučaju, a na osnovu prethodno podnetog zahteva rukovaoca. U članu 75. uređeno je da samo rukovalac može Povereniku podneti zahtev za jedno ili više istovrsnih iznošenje podataka o ličnosti, i to na obrascu koji propiše Poverenik. Ovim se još jednom ističe da je rukovalac taj koji je odgovoran za celokupan proces obrade podataka, ali se time ne zadire u ovlašćenja rukovaoca da ovlasti drugo lice, uključujući i obrađivača, da u svojstvu njegovog punomoćnika podnese zahtev. Član 76. uređuje devet okolnosti koje će Poverenik posebno da ceni prilikom odlučivanja po zahtevu za iznošenje podataka, kao npr. da li država, odnosno međunarodna organizacija u koju se zahteva iznošenje podataka, ima odgovarajuće uređenu zaštitu podataka o ličnosti u skladu sa Konvencijom o zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope. Radi donošenja predmetne ocene, ministarstvo nadležno za spoljne poslove će na zahtev Poverenika pribaviti informacije o adekvatnosti zaštite podataka o ličnosti od nadležnih organa predmetne države, odnosno međunarodne organizacije. Takođe, radi potpunog i pravilnog utvrđivanja činjeničnog stanja, Poverenik može sprovesti postupak nadzora nad rukovaocem podataka koji je podneo zahtev za iznošenje. Ovim članom se uređuje i da Rukovalac podataka može da počne sa iznošenjem podataka samo na osnovu odluke Poverenika kojom se odobrava iznošenje podataka, nikako pre toga. Odluka Poverenika je konačna, izvršna i obavezujuća, ne može se pobijati žalbom, već se protiv iste može pokrenuti upravni spor. Izuzetno od postupka pred Poverenikom po zahtevu za iznošenje podataka, Modelom je predviđeno da se podaci mogu izneti iz zemlje i bez prethodne odluke Poverenika kojom se odobrava iznošenje podataka, i to u slučaju da su lica u pismenom obliku dala saglasnost za iznošenje, ili je iznošenje podataka potrebno radi spašavanja života ili tela lica na koje se podaci odnose, ili se iznose podaci iz registara ili evidencija koji su u skladu sa zakonom dostupni javnosti (čl. 77) , a što je u skladu sa Opštom uredbom EU o zaštiti podataka o ličnosti.

Glava IX – Nadzor (čl. 78. – 84.) uređuje da Poverenik vrši poslove nadzora preko ovlašćenih lica koja poseduju odgovarajuće službene legitimacije (čl. 78) , ovlašćenja koja imaju ovlašćena lica u vršenju nadzora (čl. 79) , kao i prava i obaveze rukovaoca, obrađivača, odnosno primaoca, kao subjekata nadzora (čl. 80) . Ovlašćeno lice o preduzetim radnjama u vršenju nadzora sačinjava zapisnik (čl. 81) . Ovlašćenja Poverenika povodom izvršenog nadzora (čl. 82) su u skladu sa nadležnostima i ovlašćenjima nezavisnog organa za zaštitu podataka o ličnosti propisanim odredbama Konvencije 108. Saveta Evrope, a posebno Opštom uredbom o zaštiti podataka o ličnosti EU (Glava IV) . Ovlašćenja Poverenika povodom izvršenog nadzora predviđena su u odnosu na važeći zakon potpunije uređena. Tako, Poverenik ne samo da može da upozori rukovaoca na utvrđene nepravilnosti u obradi podataka, nego može i da naredi da se nepravilnosti otklone u određenom roku, zabrani obradu podataka o ličnosti (do sada je mogao samo privremeno da zabrani) , naredi brisanje podataka o ličnosti, kao i da odredi dalje postupanje sa podacima (do sada nije imao ovo ovlašćenje) . Rešenje Poverenika doneto povodom izvršenog nadzora je konačno, izvršno i obavezujuće, i ne može se pobijati žalbom, već se može pokrenuti upravni spor. Administrativno izvršenje rešenja Poverenika sprovodi se u skladu sa zakonom kojim se uređuje opšti upravni postupak. Čl. 83. uređuje da je Poverenik ovlašćen, znači da može a ne da mora, da podnese zahtev za pokretanje prekršajnog postupka zbog nepravilnosti utvrđenih u nadzoru.

Glava X- Postupanje sa podacima kada je rukovalac prestao da postoji (čl. 85.) uređuje da Poverenik, po službenoj dužnosti ili na predlog zainteresovanog lica, određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji, uzimajući pri tome u obzir vrstu podataka o ličnosti koja je obrađivana, značaj tih podataka za prava i obaveze lica na koja se podaci odnose, da li rukovalac koji je prestao da postoji ima pravnog sledbenika i kakve su njegove obaveze, kao i sve druge okolnosti koje su od značaja za pravično postupanje sa podacima koje je rukovalac koji je prestao da postoji obrađivao. Navedena odredba ovlašćuje Poverenika da svojim rešenjem: naredi brisanje podataka o ličnosti; javno oglasi i pozove lica na koja se podaci odnose da preuzmu svoje podatke; odredi drugog rukovaoca koji je dužan da preuzme i čuva podatke o ličnosti ili da odredi da se dokumentacija koja sadrži podatke o ličnosti preda nadležnom arhivu, ukoliko je nadležni arhiv dao mišljenje da ta dokumentacija predstavlja arhivsku građu u smislu zakona kojim se uređuje arhiviranje u javnom interesu. Propisivanje postupanja sa podacima kada je rukovalac prestao da postoji je novina u odnosu na važeći zakon, kojim je ovo pitanje bilo uređeno samo načelno, stavljanjem u nadležnost Povereniku da, između ostalog, „određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji, osim ako je drugačije propisano“. Naime, u praksi Poverenika ovakvo, načelno određenje nije bilo dovoljno za preduzimanje konkretnih radnji, pa je na ovaj način popunjena pravna praznina, čime se obezbeđuje zaštita podataka i nakon prestanka postojanja rukovaoca.

Kaznene odredbe predviđene su Glavom XI (čl. 86. – 87.) . Model razlikuje prekršaje za koje se propisuje novčana kazna u rasponu, u skladu sa članom 39. st. 1. Zakona o prekršajima, od prekršaja za koje se propisuje fiksna kazna, u skladu sa članom 39. st. 3. Zakona o prekršajima. U skladu sa Zakonom o prekršajima, posebno su predviđeni prekršaji za rukovaoca, obrađivača, primaoca, kao i drugog pravnog lica, zatim preduzetnika ili za fizičko lice, odnosno odgovorno lice rukovaoca, obrađivača, primaoca ili drugog pravnog lica, ili ograna vlasti.

Završni deo Modela sadrži prelazne i završne odredbe. Prelaznim odredbama, članom 89. predviđeno je da se na postupke po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, a koji nisu okončani do dana stupanja na snagu zakona, primenjuju odredbe Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br 97/08, 104/09 - dr. zakon 68/12,- odluka US i 107/12) . Članom 90. predviđeno je da se podzakonski akti donesu u roku od godinu dana od dana stupanja na snagu zakona, a da se do njihovog usvajanja primenjuju podzakonski akti usvojeni na osnovu Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br 97/08, 104/09 - dr. zakon 68/12,- odluka US i 107/12) .

Završnim odredbama predviđeno je stavljanje van snage Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br 97/08, 104/09 - dr. zakon 68/12,- odluka US i 107/12) danom stupanja na snagu zakona (čl. 91) . Model zakona predviđa da odredbe koje se odnose na obaveze rukovalaca, na lica za zaštitu podataka o ličnosti i na licence za obavljanje poslova zaštite podataka o ličnosti (videti čl. 62. – 68.) , stupe na snagu kasnije.

Sastavni deo Modela zakona čini Prilog 1 2, sačinjen u skladu sa članom 18. Jedinstvenih metodoloških pravilima za izradu propisa.

IV. Procena finansijskih sredstava potrebnih za sprovođenje propisa, koja obuhvata i izvore obezbeđenja tih sredstava

Model zakona o zaštiti podataka o ličnosti, sa obrazloženjem, bio je predmet rasprave u javnosti organizovane od strane Poverenika. Prvobitni tekst Modela je unapređen u skladu sa komentarima i sugestijama sa rasprave, i tako dopunjen, odnosno izmenjen tekst, Poverenik dostavlja nadležnom ministarstvu na dalje razmatranje. Procena finansijskih sredstava potrebnih za sprovođenje propisa, kako je propisano članom 151. Poslovnika Narodne skupštine Republike Srbije, moguća je po utvrđivanju predloga zakona.

V. Povratno dejstvo zakona

Ovaj model zakona ne predviđa povratno dejstvo.

VI. Razlozi za donošenje zakona po hitnom postupku, ako je za donošenje zakona predložen hitni postupak

Ovaj model zakona ne predviđa donošenje zakona po hitnom postupku.

VII. Razlozi zbog kojih se predlaže da propis stupi na snagu pre osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije”

Ovim modelom se ne predlaže da propis stupi na snage pre osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije”.

VIII. Pregled odredaba važećeg propisa koje se menjaju, odnosno dopunjuju (priprema se tako što se precrtava deo teksta koji se menja, a novi tekst upisuje velikim slovima) .

Neprimenjivo.




Izvor: Poverenik


Ako Vam je ova vest privukla pažnju - podelite je:

Email Print