PREDLOG ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI
I. OSNOVNE ODREDBE
Predmet zakona
Član 1.
Ovim zakonom uređuje se pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodni protok takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebni slučajevi obrade.
Ovim zakonom uređuje se i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka.
Cilj zakona
Član 2.
Ovim zakonom se obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.
Odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom.
Primena
Član 3.
Ovaj zakon primenjuje se na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka.
Ovaj zakon ne primenjuje se na obradu podataka o ličnosti koju vrši fizičko lice za lične potrebe, odnosno potrebe svog domaćinstva.
Ovaj zakon primenjuje se na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije.
Ovaj zakon primenjuje se na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za:
1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.
Značenje izraza
Član 4.
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
1) "podatak o ličnosti" je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;
2) "lice na koje se podaci odnose" je fizičko lice čiji se podaci o ličnosti obrađuju;
3) "obrada podataka o ličnosti" je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada);
4) "ograničavanje obrade" je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti;
5) "profilisanje" je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;
6) "pseudonimizacija" je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;
7) "zbirka podataka" je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama;
8) "rukovalac" je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje;
9) "obrađivač" je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca;
10) "primalac" je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;
11) "treća strana" je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača;
12) "pristanak" lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;
13) "povreda podataka o ličnosti" je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;
14) "genetski podatak" je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla;
15) "biometrijski podatak" je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;
16) "podaci o zdravlju" su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju;
17) "predstavnik" je fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa članom 44. ovog zakona ovlašćeno da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom;
18) "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu delatnost, bez obzira na njegov pravni oblik, uključujući i ortačko društvo ili udruženje koje redovno obavlja privrednu delatnost;
19) "multinacionalna kompanija" je privredni subjekat koji je kontrolni osnivač ili kontrolni član privrednog subjekta, odnosno osnivač ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi njegovo sedište, kao i privredni subjekat sa značajnim učešćem u privrednom subjektu, odnosno u osnivaču ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi sedište multinacionalne kompanije, u skladu sa zakonom kojim se uređuju privredna društva;
20) "grupa privrednih subjekata" je grupa povezanih privrednih subjekata, u skladu sa zakonom kojim se uređuju povezivanje privrednih subjekata;
21) "obavezujuća poslovna pravila" su interna pravila o zaštiti podataka o ličnosti koja su usvojena i koja se primenjuju od strane rukovaoca, odnosno obrađivača, sa prebivalištem ili boravištem, odnosno sedištem na teritoriji Republike Srbije, u svrhu regulisanja prenošenja podataka o ličnosti rukovaocu ili obrađivaču u jednoj ili više država unutar multinacionalne kompanije ili grupe privrednih subjekata;
22) "Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)" je nezavisan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadzor nad sprovođenjem ovog zakona i obavljanje drugih poslova propisanih zakonom;
23) "usluga informacionog društva" je svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektronskim sredstvima na zahtev primaoca usluga;
24) "međunarodna organizacija" je organizacija ili njeno telo koje uređuje međunarodno javno pravo, kao i bilo koje drugo telo ustanovljeno sporazumom ili na osnovu sporazuma između država;
25) "organ vlasti" je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;
26) "nadležni organi" su:
a) organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti;
b) pravno lice koje je za vršenje poslova iz podtačke a) ove tačke ovlašćeno zakonom.
II. NAČELA
Načela obrade
Član 5.
Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose ("zakonitost, poštenje i transparentnost"). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama ("ograničenje u odnosu na svrhu obrade");
3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade ("minimizacija podataka");
4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave ("tačnost");
5) se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade ("ograničenje čuvanja");
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera ("integritet i poverljivost").
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu ("odgovornost za postupanje").
Obrada u druge svrhe
Član 6.
Izuzetno od člana 5. stav 1. tačka 2) ovog zakona, ako se dalja obrada vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, u skladu sa ovim zakonom, smatra se da se podaci o ličnosti ne obrađuju na način koji nije u skladu sa prvobitnom svrhom.
Ako obrada u svrhu koja je različita od svrhe za koju su podaci prikupljeni nije zasnovana na zakonu koji propisuje neophodne i srazmerne mere u demokratskom društvu radi zaštite ciljeva iz člana 40. stav 1. ovog zakona, ili na pristanku lica na koje se podaci odnose, rukovalac je dužan da oceni da li je ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni, posebno uzimajući u obzir:
1) da li postoji veza između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade;
2) okolnosti u kojima su podaci prikupljeni, uključujući i odnos između rukovaoca i lica na koje se podaci odnose;
3) prirodu podataka, a posebno da li se obrađuju posebne vrste podataka o ličnosti iz člana 17. ovog zakona, odnosno podaci o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona;
4) moguće posledice dalje obrade za lice na koje se podaci odnose;
5) primenu odgovarajućih mera zaštite, kao što su kriptozaštita i pseudonimizacija.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti (u daljem tekstu: u posebne svrhe).
Obrada u druge svrhe od strane nadležnih organa
Član 7.
Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od svrhe za koju su podaci prikupljeni, osim ako je ta dalja obrada propisana zakonom.
Obrada koju vrše nadležni organi u posebne svrhe, koje su različite od svrhe za koji su podaci o ličnosti prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:
1) rukovalac je ovlašćen da obrađuje te podatke o ličnosti u takve druge svrhe, u skladu sa zakonom;
2) obrada je neophodna i srazmerna toj drugoj svrsi, u skladu sa zakonom.
Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja u posebnim slučajevima
Član 8.
Izuzetno od člana 5. stav 1. tačka 5) ovog zakona, podaci o ličnosti koji se obrađuju isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, mogu se čuvati i u dužem roku, uz poštovanje odredaba ovog zakona o primeni odgovarajućih tehničkih, organizacionih i kadrovskih mera, a u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, mora se odrediti rok kada će se ti podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.
Ako rok iz st. 1. i 2. ovog člana nije određen zakonom, određuje ga rukovalac.
Poverenik nadzire poštovanje rokova iz st. 1. do 3. ovog člana u skladu sa svojim ovlašćenjima propisanim ovim zakonom.
Razlikovanje pojedinih vrsta lica na koje se podaci odnose
Član 9.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:
1) lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;
2) lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;
3) lica koja su osuđena za krivična dela;
4) lica oštećena krivičnim delom ili lica za koje se pretpostavlja da bi mogla biti oštećena krivičnim delom;
5) druga lica koja su u vezi sa krivičnim delom, kao što su svedoci, lica koja mogu da obezbede informacije o krivičnom delu, povezana lica ili saradnici lica iz tač. 1) do 3) ovog člana.
Razlikovanje pojedinih vrsta podataka o ličnosti
Član 10.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni.
Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade koju vrše nadležni organi u posebne svrhe
Član 11.
Nadležni organi koji obrađuju podatke o ličnosti u posebne svrhe su dužni da korišćenjem razumnih mera obezbede da se netačni, nepotpuni i neažurirani podaci o ličnosti ne prenose, odnosno da ne budu dostupni.
Tačnost, potpunost i ažuriranost podataka o ličnosti nadležni organi proveravaju, u meri u kojoj je to moguće, pre započinjanja prenosa, odnosno pre nego što se ti podaci učine dostupnim.
Nadležni organ koji drugom nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti, proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o ažuriranosti tih podataka.
Ako su preneti netačni podaci o ličnosti, odnosno ako su podaci o ličnosti preneti nezakonito, nadležni organ kome su podaci preneti o tome se mora obavestiti bez odlaganja, a podaci o ličnosti koji su preneti moraju biti ispravljeni ili izbrisani, odnosno njihova obrada mora biti ograničena u skladu sa ovim zakonom.
Ako se za obradu zakonom zahtevaju posebni uslovi, nadležni organ koji prenosi podatke o ličnosti dužan je da upozna primaoca podataka sa tim posebnim uslovima, kao i obavezom njihovog ispunjenja.
Zakonitost obrade
Član 12.
Obrada je zakonita samo ako je ispunjen jedan od sledećih uslova:
1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ vlasti u okviru svoje nadležnosti.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Zakonitost obrade koju vrše nadležni organi u posebne svrhe
Član 13.
Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade.
Zakonitost obrade u posebnim slučajevima
Član 14.
Osnov za obradu iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom.
Ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom se određuje i svrha obrade, a ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom se propisuje da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Zakonom iz stava 1. ovog člana propisuje se javni interes koji se namerava ostvariti, kao i obaveza poštovanja pravila o srazmernosti obrade u odnosu na cilj koji se namerava ostvariti, a mogu se propisati i uslovi za dozvoljenost obrade od strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose, lica kojima se podaci mogu otkriti i svrha njihovog otkrivanja, ograničenja koja se odnose na svrhu obrade, rok pohranjivanja i čuvanja podataka, kao i druge posebne radnje i postupak obrade, uključujući i mere za obezbeđivanje zakonite i poštene obrade.
Pristanak
Član 15.
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti.
Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.
Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva
Član 16.
Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.
Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka iz stava 1. ovog člana pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.
Obrada posebnih vrsta podataka o ličnosti
Član 17.
Zabranjena je obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
Izuzetno, obrada iz stava 1. ovog člana dopuštena je u sledećim slučajevima:
1) lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka;
2) obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
6) obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad sud postupa u okviru svoje nadležosti;
7) obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je takva obrada srazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;
8) obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisane zakonom ili profesionalnim pravilima;
9) obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje odgovarajuće i posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u pogledu čuvanje profesionalne tajne;
10) obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obrada posebnih vrsta podataka o ličnosti koju vrše nadležni organi u posebne svrhe
Član 18.
Obrada koju vrše nadležni organi u posebne svrhe, kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica, dopuštena je samo ako je to neophodno, uz primenu odgovarajućih mera zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:
1) nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;
2) obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
3) obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti.
Obrada u vezi sa krivičnim presudama i kažnjivim delima
Član 19.
Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog organa.
Obrada koja ne zahteva identifikaciju
Član 20.
Ako za ostvarivanje svrhe obrade nije potrebno, odnosno više nije potrebno da rukovalac identifikuje lice na koje se podaci odnose, rukovalac nije dužan da zadrži, pribavi ili obradi dodatne informacije radi identifikacije tog lica samo u cilju primene ovog zakona.
Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje lice na koje se podaci odnose, dužan je da o tome na odgovarajući način informiše to lice, ako je to moguće.
U slučaju iz st. 1. i 2. ovog člana ne primenjuju se odredbe člana 26. st. 1. do 4, člana 29, člana 30. st. 1. do 5, člana 31. st. 1. do 3, člana 33. st. 1. i 2. i člana 36. st. 1. do 4. ovog zakona, osim ako lice na koje se podaci odnose, u cilju ostvarivanja prava iz tih članova, dostavi dodatne informacije koje omogućavaju njegovu identifikaciju.
Odredbe st. 2. i 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
III. PRAVA LICA NA KOJE SE PODACI ODNOSE
1. Transparentnost i načini ostvarivanja prava
Transparentne informacije, informisanje i načini ostvarivanja prava lica na koje se podaci odnose
Član 21.
Rukovalac je dužan da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Te informacije pružaju se u pismenom ili drugom obliku, uključujući i elektronski oblik, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona. U slučajevima iz člana 20. st. 2. i 3. ovog zakona, rukovalac ne može odbiti da postupi po zahtevu lica na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, osim ako rukovalac predoči da nije u mogućnosti da identifikuje lice.
Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Rukovalac pruža informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, rukovalac može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta lica, što ne isključuje primenu člana 20. ovog zakona.
Informacije koje se pružaju licima na koje se podaci odnose u skladu sa čl. 23. i 24. ovog zakona mogu se pružiti u kombinaciji sa standardizovanim ikonama prikazanim u elektronskom obliku kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Mora se obezbediti da standardizovane ikone prikazane u elektronskom obliku budu čitljive na elektronskom uređaju.
Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u elektronskom obliku i uređuje postupak za njihovo utvrđivanje.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informisanje i načini ostvarivanja prava lica na koje se odnose podaci ako obradu vrše nadležni organi u posebne svrhe
Član 22.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da preduzme razumne mere da bi licu na koje se podaci odnose pružio sve informacije iz člana 25. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona, na sažet, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči. Te informacije se pružaju na bilo koji primeren način, uključujući i elektronskim putem. Po pravilu, rukovalac pruža informacije u obliku u kojem je sadržan zahtev lica na koje se podaci odnose.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz čl. 27, 28, 32, 34, 35. i 39. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose bez odlaganja u pismenom obliku pruži informacije o postupanju po njegovom zahtevu.
Rukovalac pruža informacije iz člana 25. ovog zakona i postupa u skladu sa čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, nadležni organ može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 27. ili člana 32. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta tog lica.
2. Informacije i pristup podacima o ličnosti
Informacije koje se pružaju kad se podaci o ličnosti prikupljaju od lica na koje se odnose
Član 23.
Ako se podaci o ličnosti prikupljaju od lica na koje se odnose, rukovalac je dužan da u trenutku prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana 12. stav 1. tačka 6) ovog zakona;
5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ta država ili međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i o načinu na koji se lice na koje se podaci odnose može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da u trenutku prikupljanja podataka o ličnosti licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i transparentna obrada u odnosu na to lice:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
2) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka;
3) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
4) o pravu da se podnese pritužba Povereniku;
5) o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima obavezu da da podatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju;
6) o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako rukovalac namerava da dalje odbrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana.
Ako je lice na koje se podaci odnose već upoznato sa nekom od informacija iz st. 1. do 3. ovog člana, rukovalac nema obavezu pružanja tih informacija.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informacije koje se pružaju kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose
Član 24.
Ako se podaci o ličnosti ne prikupljaju od lica na koje se odnose, rukovalac je dužan da licu na koje se podaci odnose pruži sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o vrsti podataka koji se obrađuju;
5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ova država, odnosno međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i načinu na koji se lice može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i transparentna obrada u odnosu na lice na koje se podaci odnose:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
2) o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana 12. stav 1. tačka 6) ovog zakona;
3) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka;
4) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
5) o pravu da se podnese pritužba Povereniku;
6) o izvoru iz kog potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora;
7) o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Rukovalac je dužan da informacije iz st. 1. i 2. ovog člana pruži:
1) u razumnom roku posle prikupljanja podataka o ličnosti, a najkasnije u roku od 30 dana, uzimajući u obzir sve posebne okolnosti obrade;
2) najkasnije prilikom uspostavljanja prve komunikacije, ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose;
3) najkasnije prilikom prvog otkrivanja podataka o ličnosti, ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu.
Ako rukovalac namerava da dalje odbrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana.
Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz st. 1. do 4. ovog člana ako:
1) lice na koje se podaci o ličnosti odnose već ima te informacije;
2) je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, a naročito u slučaju obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, ako se primenjuju uslovi i mere iz člana 92. stav 1. ovog zakona ili ako je verovatno da bi izvršenje obaveza iz stava 1. ovog člana onemogućilo ili bitno otežalo ostvarivanje svrhe obrade. U tim slučajevima rukovalac je dužan da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci, što uključuje i javno objavljivanje informacija;
3) je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose;
4) se poverljivost podataka o ličnosti mora čuvati u skladu sa obavezom čuvanja profesionalne tajne koja je propisana zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informacije koje se stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose, ako obradu vrše nadležni organi u posebne svrhe
Član 25.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da licu na koje se podaci o ličnosti odnose stavi na raspolaganje najmanje sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade;
4) o pravu da se podnese pritužba Povereniku i kontakt podatke Poverenika;
5) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade tih podataka.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose, da bi mu se u određenim slučajevima omogućilo ostvarivanje njegovih prava, pruži sledeće dodatne informacije:
1) o pravnom osnovu za obradu;
2) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
3) o grupi primalaca podataka o ličnosti, ako oni postoje, uključujući i one u drugim državama ili međunarodnim organizacijama;
4) druge podatke, ako je to neophodno, a posebno ako su podaci o ličnosti prikupljeni bez znanja lica na koje se odnose.
Informacije iz stava 2. ovog člana koje se odnose na pojedine vrste obrade mogu se uskratiti, odnosno pružiti ograničeno ili odloženo licu na koje se podaci o ličnosti odnose, samo u onoj meri i u onom trajanju dok je to neophodno i srazmerno u demokratskom društvu u odnosu na poštovanje osnovnih prava i legitimnih interesa fizičkih lica, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 3. ovog člana.
Pravo lica na koje se podaci o ličnosti odnose na pristup
Član 26.
Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:
1) o svrsi obrade;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog roka;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, prava na ograničenje obrade i prava na prigovor na obradu;
6) o pravu da se podnese pritužba Povereniku;
7) dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na koje se odnose;
8) o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako se podaci o ličnosti prenose u drugu državu ili međunarodnu organizaciju, lice na koje se odnose ima pravo da bude informisano o odgovarajućim merama zaštite koje se odnose na prenos, u skladu sa članom 65. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje. Rukovalac može da zahteva naknadu nužnih troškova za izradu dodatnih kopija koje zahteva lice na koje se podaci odnose. Ako se zahtev za kopiju dostavlja elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je lice na koje se podaci odnose zahtevalo drugačije dostavljanje.
Ostvarivanje prava i sloboda drugih lica ne može se ugroziti ostvarivanjem prava na dostavljanje kopije iz stava 3. ovog člana.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo lica na koje se odnose podaci na pristup podacima koje obrađuju nadležni organi u posebne svrhe
Član 27.
Ako podatke o ličnosti obrađuju nadležni organi u posebne svrhe, lice na koje se podaci odnose ima pravo da od rukovaoca dobije informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:
1) o svrsi obrade i pravnom osnovu za obradu;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za određivanje tog roka;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, odnosno prava na ograničenje obrade tih podataka;
6) o pravu da se podnese pritužba Povereniku, kao i kontakt podacima Poverenika;
7) informacije o podacima o ličnosti koji se obrađuju, kao i dostupne informacije o njihovom izvoru.
Ograničenje prava na pristup
Član 28.
Pravo na pristup iz člana 27. ovog zakona može se ograničiti, u celini ili delimično, samo u onoj meri i u onom trajanju u kome je takvo delimično ili potpuno ograničenje neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 1. ovog člana.
Rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose da je pristup njegovim podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana.
Rukovalac nije dužan da postupi u skladu sa stavom 3. ovog člana ako bi se time dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen.
U slučaju iz stava 4. ovog člana, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju prava iz stava 1. ovog člana, koji moraju biti stavljeni na raspolaganje Povereniku, na njegov zahtev.
3. Pravo na ispravku, dopunu, brisanje, ograničenje i prenosivost
Pravo na ispravku i dopunu
Član 29.
Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.
Pravo na brisanje podataka o ličnosti
Član 30.
Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca.
Rukovalac je dužan da bez nepotrebnog odlaganja podatke iz stava 1. ovog člana izbriše u sledećim slučajevima:
1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
2) lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona, a nema drugog pravnog osnova za obradu;
3) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa:
a) članom 37. stav 1. ovog zakona, a nema drugog pravnog osnova za obradu koji preteže nad legitimnim interesom, pravom ili slobodom lica na koje se podaci odnose;
b) članom 37. stav 2. ovog zakona;
4) podaci o ličnosti su nezakonito obrađivani;
5) podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza rukovaoca;
6) podaci o ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva iz člana 16. stav 1. ovog zakona.
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke u skladu sa stavom 1. ovog člana obuhvata i preduzimanje svih razumnih mera, uključujući i tehničke mere, u skladu sa dostupnim tehnologijama i mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih rukovaoca koji te podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.
Lice na koje se podaci odnose podnosi zahtev za ostvarivanje prava iz stava 1. ovog člana rukovaocu.
Stavovi 1. do 3. ovog člana ne primenjuju se u meri u kojoj je obrada neophodna zbog:
1) ostvarivanja slobode izražavanja i informisanja;
2) poštovanja zakonske obaveze rukovaoca kojom se zahteva obrada ili izvršenja poslova u javnom interesu ili izvršenja službenih ovlašćenja rukovaoca;
3) ostvarivanja javnog interesa u oblasti javnog zdravlja, u skladu sa članom 17. stav 2. tač. 8) i 9) ovog zakona;
4) svrhe arhiviranja u javnom interesu, svrhe naučnog ili istorijskog istraživanja, kao i statističke svrhe u skladu sa članom 92. stav 1. ovog zakona, a opravdano se očekuje da bi ostvarivanje prava iz st. 1. i 2. ovog člana moglo da onemogući ili bitno ugrozi ostvarivanje ciljeva te svrhe;
5) podnošenja, ostvarivanja ili odbrane pravnog zahteva.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo na ograničenje obrade
Član 31.
Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca ako je ispunjen jedan od sledećih slučajeva:
1) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti;
2) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;
3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
4) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. ovog zakona, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, ti podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose, osim ako se radi o njihovom pohranjivanju ili u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili zbog zaštite prava drugih fizičkih, odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Odredbe st. 1. do 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo na brisanje ili ograničenje obrade koju vrše nadležni organi u posebne svrhe
Član 32.
Ako obradu vrše nadležni organi u posebne svrhe, lice na koje se oni odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca, a rukovalac je dužan da bez nepotrebnog odlaganja izbriše te podatke ako su obradom povređene odredbe čl. 5, 13. i 18. ovog zakona ili ako podaci o ličnosti moraju biti izbrisani zbog ispunjenja zakonske obaveze rukovaoca.
Rukovalac je dužan da ograniči obradu, umesto da izbriše podatke o ličnosti, ako se radi o jednom od sledećih slučajeva:
1) tačnost podataka o ličnosti je osporena od strane lica na koje se podaci odnose, a njihova tačnost, odnosno netačnost se ne može utvrditi;
2) podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja dokaza.
Ako je obrada ograničena u skladu sa stavom 2. tačka 1) ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade
Član 33.
Rukovalac je dužan da obavesti sve primaoce kojima su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade u skladu sa članom 29, članom 30. stav 1. i članom 31. ovog zakona, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava.
Rukovalac je dužan da lice na koje se podaci odnose, na njegov zahtev, informiše o svim primaocima iz stava 1. ovog člana.
Odredbe st. 1. do 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade koju vrše nadležni organi u posebne svrhe
Član 34.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose o odbijanju ispravljanja ili brisanja njegovih podataka o ličnosti, odnosno ograničavanju obrade, kao i o razlozima za to odbijanje ili ograničavanje.
Rukovalac se potpuno ili delimično oslobađa obaveze obaveštavanja iz stava 1. ovog člana u onoj meri u kojoj takvo ograničenje predstavlja neophodnu i srazmernu meru u demokratskom društvu, uz dužno poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
U slučaju iz st. 1. i 2. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da o ispravci netačnih podataka obavesti nadležni organ od koga su ovi podaci dobijeni.
Ako su podaci o ličnosti ispravljeni, izbrisani ili je njihova obrada ograničena u skladu sa članom 29. i članom 32. st. 1. i 2. ovog zakona, rukovalac je dužan da primaoce tih podataka obavesti o njihovoj ispravci, brisanju ili ograničenju obrade.
Primaoci podataka koji su obavešteni u skladu sa stavom 5. ovog člana dužni su da podatke koji se kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu.
Ostvarivanje prava lica na koje se odnose podaci kada obradu vrše nadležni organi u posebne svrhe i provera Poverenika
Član 35.
U slučajevima iz člana 25. stav 3, člana 28. st. 3. i 4. i člana 34. stav 2. ovog zakona, prava lica na koje se odnose podaci mogu se ostvariti i preko Poverenika, u skladu sa njegovim ovlašćenjima propisanim ovim zakonom.
Rukovalac je dužan da obavesti lice na koje se podaci odnose da u slučajevima iz stava 1. ovog člana može da ostvari svoja prava preko Poverenika.
Ako se, u slučajevima iz stava 1. ovog člana, prava lica na koje se podaci odnose ostvaruju preko Poverenika, Poverenik je dužan da obavesti to lice najmanje o tome da je izvršena provera i nadzor nad obradom njegovih podataka o ličnosti, kao i o pravu da se za zaštitu svojih prava može obratiti sudu.
Pravo na prenosivost podataka
Član 36.
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, ako su zajedno ispunjeni sledeći uslovi:
1) obrada je zasnovana na pristanku u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona ili na osnovu ugovora, u skladu sa članom 12. stav 1. tačka 2) ovog zakona;
2) obrada se vrši automatizovano.
Pravo iz stava 1. ovog člana obuhavata i pravo lica da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to tehnički izvodljivo.
Ostvarivanje prava iz stava 1. ovog člana nema uticaja na primenu člana 30. ovog zakona. Pravo iz stava 1. ovog člana se ne može ostvariti ako je obrada nužna za izvršenje poslova od javnog interesa ili za vršenje službenih ovlašćenja rukovaoca.
Ostvarivanje prava iz stava 1. ovog člana ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
4. Pravo na prigovor i automatizovano donošenje pojedinačnih odluka
Pravo na prigovor
Član 37.
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti, koja se vrši u skladu sa članom 12. stav 1. tač. 5) i 6) ovog zakona, uključujući i profilisanje koje se zasniva na tim odredbama. Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem.
Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti se ne mogu se dalje obrađivati u takve svrhe.
Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori to lice na postojanje prava iz st. 1. i 2. ovog člana i da ga upozna sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.
U korišćenju usluga informacionog društva, lice na koje se podaci odnose ima pravo na podnese prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga.
Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 92. ovog zakona, lice na koje se podaci odnose na osnovu svoje posebne situacije ima pravo da podnese prigovor na obradu svojih podataka o ličnosti, osim ako je obrada neophodna za obavljanje poslova u javnom interesu.
Automatizovano donošenje pojedinačnih odluka i profilisanje
Član 38.
Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.
Stav 1. ovog člana ne primenjuje se ako je odluka:
1) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
2) zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose;
3) zasnovana na izričitom pristanku lica na koje se podaci odnose.
U slučaju iz stava 2. tač. 1) i 3) ovog člana rukovalac je dužan da primeni odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i pravo lica na koje se podaci odnose da ospori odluku pred ovlašćenim licem rukovaoca.
Odluke iz stava 2. ovog člana ne mogu se zasnivati na posebnim vrstama podataka o ličnosti iz člana 17. stav 1. ovog zakona, osim ako se primenjuje član 17. stav 2. tač. 1) i 5) ovog zakona i ako su obezbeđene odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Automatizovano donošenje pojedinačnih odluka i profilisanje u vezi sa obradom koju vrše nadležni organi u posebne svrhe
Član 39.
Zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni organi u posebne svrhe, uključujući i profilisanje, ako takva odluka može da proizvede štetne pravne posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke.
Odluka iz stava 1. ovog člana ne može se zasnivati na posebnim vrstama podataka o ličnosti iz člana 18. stav 1. ovog zakona, osim ako se primenjuju odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose.
Zabranjeno je profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta podataka o ličnosti iz člana 18. stav 1. ovog zakona.
5. Ograničenja
Član 40.
Prava i obaveze iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33, čl. 36. do 39. i člana 53, kao i člana 5. ovog zakona ako se te odredbe odnose na ostvarivanje prava i obaveza iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33. i čl. 36. do 39. ovog zakona, mogu se ograničiti ako ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako to predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu:
1) nacionalne bezbednosti;
2) odbrane;
3) javne bezbednosti;
4) sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost;
5) drugih važnih opštih javnih interesa, a posebno važnih državnih ili finansijskih interesa Republike Srbije, uključujući monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu;
6) nezavisnosti pravosuđa i sudskih postupaka;
7) sprečavanja, istraživanja, otkrivanja i gonjenja za povredu profesionalne etike;
8) funkcije praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službenih ovlašćenja u slučajevima iz tač. 1) do 5) i tačke 7) ovog stava;
9) lica na koje se podaci odnose ili prava i sloboda drugih lica;
10) ostvarivanja potraživanja u građanskim stvarima.
Prilikom primene ograničenja prava i obaveza iz stava 1. ovog člana moraju se, prema potrebi, uzeti u obzir najmanje:
1) svrhe obrade ili vrste obrade;
2) vrste podataka o ličnosti;
3) obim ograničenja;
4) mere zaštite u cilju sprečavanja zloupotrebe, nedozvoljenog pristupa ili prenosa podataka o ličnosti;
5) posebnosti rukovaoca, odnosno vrsta rukovaoca;
6) rok čuvanja i mere zaštite podataka o ličnosti koje se mogu primeniti, s obzirom na prirodu, obim i svrhu obrade ili vrste obrade;
7) rizici po prava i slobode lica na koje se podaci odnose;
8) pravo lica na koje se odnose podaci da bude informisano o organičenju, osim ako to informisanje onemogućava ostvarivanje svrhe ograničenja.
Odredbe st. 1. i 2. ovog člana primenjuju se i u slučaju kad se obrada od strane nadležnih organa ne vrši u posebne svrhe.
IV. RUKOVALAC I OBRAĐIVAČ
1. Opšte obaveze
Obaveze rukovaoca
Član 41.
Rukovalac je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.
Mere iz stava 1. ovog člana se preispituju i ažuriraju, ako je to neophodno.
Ako je to u srazmeri sa obradom podataka, mere iz stava 1. ovog člana uključuju primenu odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti.
Rukovalac može predočiti da se pridržava obaveza iz stava 1. ovog člana i na osnovu primene odobrenog kodeksa postupanja iz člana 59. ovog zakona ili izdatog sertifikata iz člana 61. ovog zakona.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Mere zaštite
Član 42.
Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji proizilaze iz obrade, rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:
1) primeni odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je smanjenje broja podataka;
2) obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose.
Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade. Ta se obaveza primenjuje u odnosu na broj prikupljenih podataka, obim njihove obrade, rok njihovog pohranjivanja i njihovu dostupnost.
Merama iz stava 2. ovog člana mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Izdati sertifikat iz člana 61. ovog zakona rukovalac može koristiti da predoči da se pridržava obaveza iz st. 1. do 3. ovog člana.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Zajednički rukovaoci
Član 43.
Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima.
Zajednički rukovaoci iz stava 1. ovog člana na transparentan način određuju odgovornost svakog od njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije iz čl. 23. do 25. ovog zakona.
Odgovornost iz stava 2. ovog člana uređuje se sporazumom zajedničkih rukovaoca, osim ako je ova odgovornost propisana zakonom koji se primenjuje na rukovaoce.
Sporazumom iz stava 3. ovog člana mora se odrediti lice za kontakt sa licem na koje se podaci odnose i urediti odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose.
Suština odredbi sporazuma iz stava 3. ovog člana mora biti dostupna licu na koje se podaci odnose.
Odredbe st. 4. i 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Bez obzira na odredbe sporazuma iz stava 3. ovog člana, lice na koje se podaci odnose može ostvariti svoja prava utvrđena ovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.
Predstavnici rukovaoca ili obrađivača koji nemaju sedište u Republici Srbiji
Član 44.
Rukovalac, odnosno obrađivač, u slučajevima iz člana 3. stav 4. ovog zakona, dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, osim ako je:
1) obrada povremena, ne uključuje u velikoj meri obradu posebnih podataka iz člana 17. stav 1. ovog zakona ili podataka o ličnosti koji se odnose na osude za krivična dela i kažnjiva dela iz člana 19. ovog zakona, i verovatno je da neće prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade;
2) rukovalac, odnosno obrađivač organ vlasti.
Rukovalac, odnosno obrađivač ovlašćuje predstavnika iz stava 1. ovog člana kao lice kome se, uz rukovaoca ili obrađivača, odnosno umesto njih, lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti u pogledu svih pitanja u vezi sa obradom podatka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ovog zakona.
Pritužba, tužba i ostali pravni zahtevi iz ovog zakona se mogu podneti protiv rukovaoca ili obrađivača, bez obzira na to da li je određen njihov predstavnik iz stava 1. ovog člana.
Obrađivač
Član 45.
Ako se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose.
Obrađivač iz stava 1. ovog člana može poveriti obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Ako se obrada vrši na osnovu opšteg ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača, odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj promeni.
Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.
Ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, uključujući i uputstvo u odnosu na prenošenje podataka o ličnosti u druge države ili međunarodne organizacije, osim ako je obrađivač zakonom obavezan da obrađuje podatke. U tom slučaju, obrađivač je dužan da obavesti rukovaoca o toj zakonskoj obavezi pre započinjanja obrade, osim ako zakon zabranjuje dostavljanje tih informacija zbog potrebe zaštite važnog javnog interesa;
2) obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
3) preduzme sve potrebne mere u skladu sa članom 50. ovog zakona;
4) poštuje uslove za poveravanje obrade drugom obrađivaču iz st. 2. i 7. ovog člana;
5) uzimajući u obzir prirodu obrade, pomaže rukovaocu primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera, koliko je to moguće, u ispunjavanju obaveza rukovaoca u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose iz Glave III. ovog zakona;
6) pomaže rukovaocu u ispunjavanju obaveza iz člana 50. i čl. 52. do 55. ovog zakona, uzimajući u obzir prirodu obrade i informacije koje su mu dostupne;
7) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
8) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom, kao i informacije koje omogućavaju i doprinose kontroli rada obrađivača, koju sprovodi rukovalac ili drugo lice koje on za to ovlasti.
U slučaju iz stava 4. tačka 8) ovog člana, obrađivač je dužan da bez odlaganja upozori rukovaoca ako smatra da pismeno uputstvo koje je od njega dobio nije u skladu sa ovim zakonom ili drugim zakonom kojim se uređuje zaštita podataka o ličnosti.
Ako obradu vrše nadležni organi u posebne svrhe, ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu uputstava rukovaoca;
2) obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
3) pomaže na odgovarajući način rukovaocu u ispunjavanju njegove obaveze poštovanja odredbi o pravima lica na koje se podaci odnose iz Glave III. ovog zakona;
4) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili mu vrati sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
5) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom.
6) obezbedi poštovanje uslova iz st. 2, 3. i 6. ovog člana ako poverava obradu drugom obrađivaču.
Ako obrađivač odredi drugog obrađivača za vršenje posebnih radnji obrade u ime rukovaoca, iste obaveze zaštite podataka o ličnosti propisane ugovorom ili drugim pravno obavezujućim aktom između rukovaoca i obrađivača iz st. 3. i 4. ovog člana obavezuju i tog drugog obrađivača, na osnovu posebnog ugovora ili drugog pravno obavezujućeg akta, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, kojim se u odnosu između obrađivača i drugog obrađivača propisuju dovoljne garancije za primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera koje obezbeđuju da se obrada vrši u skladu sa ovim zakonom. Ako drugi obrađivač ne ispuni svoje obaveze u vezi sa zaštitom podataka o ličnosti, za ispunjenje ovih obaveza drugog obrađivača rukovaocu odgovara obrađivač.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdatog sertifikata iz člana 61. ovog zakona može se koristiti da se predoči da obrađivač ispunjava obaveze pružanja garancija iz st. 1. i 7. ovog člana.
Pravni odnos između rukovaoca i obrađivača koji se uređuje u skladu sa st. 3. i 7. ovog člana, može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama iz stava 11. ovog člana, uključujući i one koje su vezane za sertifikat koji se odobrava rukovaocu ili obrađivaču u skladu sa čl. 61. i 62. ovog zakona.
Poverenik može da izradi standardne ugovorne klauzule koje se odnose na obaveze iz st. 3. i 7. ovog člana, posebno uzimajući u obzir evropsku praksu u izradi standardnih ugovornih klauzula.
Odredbe st. 4, 5, 7. i st. 9. do 11. ovog člana ne primenjuju se na nadležne organe koji vrše obradu u posebne svrhe.
Obrada po nalogu
Član 46.
Obrađivač, odnosno drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca, osim ako je takva obrada propisana zakonom.
Evidencija radnji obrade
Član 47.
Rukovalac i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o radnjama obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
6) roku posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
7) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 1. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da vodi evidenciju o svim vrstama radnji obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) korišćenju profilisanja, ako se profilisanje koristi;
6) vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
7) pravnom osnovu za postupak obrade, uključujući i prenos podataka o ličnosti;
8) roku čijim istekom se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
9) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Obrađivač i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 4. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, svaki obrađivač je dužan da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno lica za zaštitu podataka o ličnosti, ako je ono određeno;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac to izričito zahteva, uključujući i nazive države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Evidencije iz st. 1, 3, 4. i 6. ovog člana vode se u pismenom obliku, što obuhvata i elektronski oblik i čuvaju se trajno.
Rukovalac ili obrađivač, kao i njihovi predstavnici, ako su određeni, dužni su da evidencije iz st. 1, 3, 4. i 6. ovog člana učine dostupnim Povereniku, na njegov zahtev.
Odredbe st. 1. i 4. ovog člana ne primenjuju se na privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:
1) obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
2) obrada nije povremena;
3) obrada obuhvata posebne vrste podataka o ličnosti iz člana 17. stav 1. ovog zakona ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti iz člana 19. ovog zakona.
Beleženje radnji obrade koju vrše nadležni organi u posebne svrhe
Član 48.
Nadležni organ koji obrađuje podatke u posebne svrhe dužan je da obezbedi da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje.
Beleženje uvida i otkrivanja podataka o ličnosti mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka.
Beleženje iz stava 1. ovog člana može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka.
Zapis nastao beleženjem iz stava 1. ovog člana stavlja se na uvid Povereniku, na njegov zahtev.
Saradnja sa Poverenikom
Član 49.
Rukovalac, obrađivač i njihovi predstavnici, ako su određeni, dužni su da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
2. Bezbednost podataka o ličnosti
Bezbednost obrade
Član 50.
U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.
Prema potrebi, mere iz stava 1. ovog člana naročito obuhvataju:
1) pseudonimizaciju i kriptozaštitu podataka o ličnosti;
2) sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
3) obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.
Prilikom procenjivanja odgovarajućeg nivoa bezbednosti iz stava 1. ovog člana posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdat sertifikat iz člana 61. ovog zakona, može se koristiti u cilju predočavanja ispunjenosti obaveza iz stava 1. ovog člana.
Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Bezbednost obrade koju vrše nadležni organi u posebne svrhe
Član 51.
Ako obradu vrše nadležni organi u posebne svrhe, a u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik, a posebno ako se radi o obradi posebnih vrsta podataka o ličnosti iz člana 18. ovog zakona.
Na osnovu procene rizika, rukovalac ili obrađivač dužan je da prilikom automatske obrade primeni odgovarajuće mere iz stava 1. ovog člana koje obezbeđuju da se:
1) onemogući neovlašćenom licu pristup opremi koja se koristi za obradu ("kontrola pristupa opremi");
2) spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka ("kontrola nosača podataka");
3) spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti ("kontrola pohranjivanja");
4) spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za prenos podataka ("kontrola upotrebe");
5) osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima ("kontrola pristupa podacima");
6) može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni dostupnim, upotrebom opreme za prenos podataka ("kontrola prenosa");
7) može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti ("kontrola unosa");
8) spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka ("kontrola prevoza");
9) ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada ("obnavljanje sistema");
10) osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju ("pouzdanost"), kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema ("integritet").
Obaveštavanje Poverenika o povredi podataka o ličnosti
Član 52.
Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.
Ako rukovalac ne postupi u roku od 72 časa od saznanja za povredu, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.
Obrađivač je dužan da, posle saznanja za povredu podataka o ličnosti, bez nepotrebnog odlaganja obavesti rukovaoca o toj povredi.
Obaveštenje iz stava 1. ovog člana mora da sadrži najmanje sledeće informacije:
1) opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koje se podaci odnose te vrste, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
3) opis mogućih posledica povrede;
4) opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
Ako se sve informacije iz stava 4. ovog člana ne mogu dostaviti istovremeno, rukovalac bez nepotrebnog odlaganja postupno dostavlja dostupne informacije.
Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.
Dokumentacija iz stava 6. ovog člana mora omogućiti Povereniku da utvrdi da li je rukovalac postupio u skladu sa odredbama ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, a koji su preneti rukovaocu u drugoj državi ili međunarodnoj organizaciji, rukovalac je dužan da bez nepotrebnog odlaganja dostavi informacije iz stava 4. ovog člana rukovaocu u toj drugoj državi ili međunarodnoj organizaciji, u skladu sa međunarodnim sporazumom.
Poverenik propisuje obrazac obaveštenja iz stava 1. ovog člana i bliže uređuje način obaveštavanja.
Obaveštavanje lica o povredi podataka o ličnosti
Član 53.
Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.
U obaveštenju iz stava 1. ovog člana rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede podataka i navede najmanje informacije iz člana 52. stav 4. tač. 2) do 4) ovog zakona.
Rukovalac nije dužan da obavesti lice iz stava 1. ovog člana ako:
1) je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;
2) je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;
3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose.
Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu da to učini ili može da utvrdi da su ispunjeni uslovi iz stava 3. ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, rukovalac može odložiti ili ograničiti obaveštavanje lica na koje se podaci odnose, u skladu sa uslovima i na osnovu razloga iz člana 25. stav 3. ovog zakona.
3. Procena uticaja obrade na zaštitu podataka o ličnosti i prethodno mišljenje Poverenika
Procena uticaja na zaštitu podataka o ličnosti
Član 54.
Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
Ako više sličnih radnji obrade mogu prouzrokovati slične visoke rizike za zaštitu podataka o ličnosti, može se izvršiti zajednička procena.
Prilikom procene uticaja rukovalac je dužan da zatraži mišljenje lica za zaštitu podataka o ličnosti, ako je ono određeno.
Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.
Poverenik je dužan da sačini i javno objavi na svojoj internet stranici listu vrsta radnji obrade za koje se mora izvršiti procena uticaja iz stava 1. ovog člana, a može da sačini i objavi i listu vrsta radnji obrade za koje procena nije potrebna.
Procena uticaja najmanje mora da sadrži:
1) sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, uključujući i opis legitimnog interesa rukovaoca, ako on postoji;
2) procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade;
3) procenu rizika za prava i slobode lica na koje se podaci odnose iz stava 1. ovog člana;
4) opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Stav 6. ovog člana ne primenjuju se na procenu uticaja obrade koju vrše nadležni organi u posebne svrhe.
Procena uticaja obrade koju vrše nadležni organi u posebne svrhe najmanje mora da sadrži sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se podaci odnose, opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona od strane rukovaoca ili obrađivača mora se uzeti u obzir prilikom procene uticaja radnji obrade na zaštitu podataka o ličnosti.
Stav 9. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Prema potrebi, rukovalac od lica na koje se podaci odnose ili njihovih predstavnika traži mišljenje o radnjama obrade koje namerava da vrši, ne dovodeći u pitanje zaštitu poslovnih ili javnih interesa ili bezbednost radnji obrade.
Ako se posebnim zakonom propisuju pojedine radnje obrade, odnosno grupe radnji obrade, a obrada se vrši u skladu sa članom 12. stav 1. tačka 3) ili tačka 5) ovog zakona, pa je procena uticaja na zaštitu podataka o ličnosti već izvršena u okviru opšte procene uticaja prilikom donošenja zakona, st. 1. do 9. ovog člana se ne primenjuje, osim ako se utvrdi da je neophodno izvršiti novu procenu.
Prema potrebi, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade, rukovalac je dužan da preispita da li se radnje obrada vrši u skladu sa izvršenom procenom uticaja na zaštitu podataka o ličnosti.
Prethodno mišljenje Poverenika
Član 55.
Ako procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog zakona, ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da zatraži mišenje Poverenika pre započinjanja radnje obrade.
Stav 1. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organ u posebne svrhe, rukovalac, odnosno obrađivač je dužan da zatraži mišljenje Poverenika pre započinjanja radnji obrade koje će dovesti do stvaranja nove zbirke podataka u slučaju da:
1) procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog zakona, ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika;
2) vrsta obrade, a posebno ako se koriste nove tehnologije, mehanizmi zaštite ili postupci, predstavljaju visok rizik za prava i slobode lica na koje se podaci odnose.
Ako Poverenik smatra da bi nameravane radnje obrade iz st. 1. i 3. ovog člana mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik je dužan da u roku od 60 dana od dana prijema zahteva dostavi pismeno mišljenje rukovaocu ili obrađivaču, ako je on podneo zahtev, kao i da po potrebi iskoristi ovlašćenja iz člana 79. ovog zakona.
Rok iz stava 4. ovog člana može se produžiti za 45 dana uzimajući u obzir složenost nameravanih radnji obrade, a Poverenik je dužan da o odlaganju i razlozima za odlaganje davanja mišljenja upozna rukovaoca ili obrađivača, ako je on podneo zahtev, u roku od 30 dana od prijema zahteva za mišljenje.
Rokovi iz st. 4. i 5. ovog člana ne teku dok Poverenik ne dobije sve tražene informacije koje su neophodne za davanje mišljenja.
Uz zahtev za mišljenje, rukovalac je dužan da Povereniku dostavi podatke o:
1) dužnostima rukovaoca, i, ako postoje, zajedničkih rukovaoca i obrađivača koji učestvuju u obradi, posebno ako se radi o obradi koja se vrši unutar grupe privrednih subjekata;
2) svrhama i načinima nameravane obrade;
3) tehničkim, organizacionim i kadrovskim merama, kao i mehanizmima zaštite prava i sloboda lica na koje se podaci odnose u skladu sa ovim zakonom;
4) kontakt podacima lica za zaštitu podataka, ako je ono određeno;
5) proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona;
6) svim drugim informacijama koje zatraži Poverenik.
Stav 7. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organ u posebne svrhe, rukovalac iz stava 3. ovog člana je dužan da Povereniku dostavi podatke o proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona, a na zahtev Poverenika i druge informacije koje su od značaja za njegovo mišljenje o radnjama obrade, a posebno riziku po zaštitu podataka o ličnosti lica na koje se podaci odnose i mehanizmima zaštite njegovih prava.
Poverenik može da sastavi i javno objavi na svojoj internet prezentaciji listu vrsti radnji obrade u vezi sa kojima se mora tražiti njegovo mišljenje.
Organi vlasti koji predlažu usvajanje zakona i drugih propisa zasnovanih na zakonima, a koji sadrže odredbe o obradi podataka o ličnosti, dužni su da u toku njihove pripreme zatraže mišljenje Poverenika.
4. Lice za zaštitu podataka o ličnosti
Određivanje
Član 56.
Rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti ako se:
1) obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
2) osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
3) osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti iz člana 17. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu nadležnih organa u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da odredi lice za zaštitu podataka o ličnosti, osim ako se radi o obradi koju vrše sudovi u svrhu obavljanja njihovih sudskih ovlašćenja.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe.
Ako su rukovaoci ili obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu tih organa vlasti.
Posebnim zakonom može se propisati da rukovaoci, odnosno obrađivači ili njihova udruženja koja ih predstavljaju, moraju odrediti lice za zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza iz člana 58. ovog zakona.
Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora.
Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku.
Poverenik vodi evidenciju lica za zaštitu podataka o ličnosti koja sadrži: imena i prezimena lica za zaštitu podataka o ličnosti, njihove kontakt podatke, kao i imena i kontakt podatke rukovaoca, odnosno obrađivača.
Poverenik propisuje obrazac evidencije iz stava 11. ovog člana i uređuje način njenog vođenja.
Položaj lica za zaštitu podataka o ličnosti
Član 57.
Rukovalac i obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da omoguće licu za zaštitu podataka o ličnosti izvršavanje obaveza iz člana 58. ovog zakona na taj način što mu obezbeđuju neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje.
Rukovalac i obrađivač dužni su da obezbede nezavisnost lica za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza.
Rukovalac ili obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza iz člana 58. ovog zakona.
Za izvršavanje obaveza iz člana 58. ovog zakona lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.
Lica na koje se podaci odnose mogu se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koje se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih ovim zakonom.
Lice za zaštitu podataka o ličnosti dužno je da čuva tajnost, odnosno poverljivost podataka do kojih je došlo u izvršavanju obaveza iz člana 58. ovog zakona, u skladu sa zakonom.
Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a rukovalac ili obrađivač dužni su da obezbede da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe st. 1. do 5. i 8. ovog člana ne primenjuju se na obrađivača.
Obaveze lica za zaštitu podataka o ličnosti
Član 58.
Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:
1) informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
2) prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
3) daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni, u skladu sa članom 54. ovog zakona;
4) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz člana 55. ovog zakona.
U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe stava 1. tač. 1) i 2) ovog člana ne primenjuju se na obrađivača.
5. Kodeks postupanja i izdavanje sertifikata
Kodeks postupanja
Član 59.
Udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu izraditi kodeks postupanja u cilju efikasnije primene ovog zakona, a naročito u pogledu:
1) poštene i transparentne obrade;
2) legitimnih interesa rukovaoca, uzimajući u obzir okolnosti konkretnih slučajeva;
3) prikupljanja podataka o ličnosti;
4) pseudonimizacije podataka o ličnosti;
5) informacija koje se pružaju javnosti i licima na koje se podaci odnose;
6) ostvarivanja prava lica na koje se podaci odnose;
7) informacija koje se pružaju maloletnim licima, njihovoj zaštiti, kao i načina na koji se pribavlja pristanak roditelja koji vrši roditeljsko pravo;
8) mera i postupaka iz čl. 41. i 42. ovog zakona, kao i mera koje imaju za cilj bezbednost obrade iz člana 50. ovog zakona;
9) obaveštavanja Poverenika o povredi podataka o ličnosti, kao i informisanja lica na koje se podaci odnose o takvim povredama;
10) prenosa podataka o ličnosti u druge države ili međunarodne organizacije;
11) načina rešavanja sporova između rukovaoca i lica na koje se podaci odnose mirnim putem, što ne utiče na ostvarivanja prava lica na koje se podaci odnose iz čl. 82. i 84. ovog zakona.
Rukovaoci, odnosno obrađivači na koje se ovaj zakon ne primenjuje, u cilju obezbeđivanja odgovarajućih mera zaštite lica na koje se podaci odnose u okviru prenosa njihovih podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 3) ovog zakona, mogu prihvatiti ili se obavezati na primenu kodeksa postupanja koji je odobren u skladu sa stavom 5. ovog člana, putem ugovornih ili drugih pravno obavezujućih akata kojima se obavezuju na primenu tih mera zaštite, a posebno u odnosu na prava lica na koje se podaci odnose.
Kodeks postupanja iz stava 1. ovog člana obavezno sadrži odredbe koje omogućavaju licu iz člana 60. stav 1. ovog zakona vršenje nadzora nad primenom kodeksa od strane rukovaoca ili obrađivača koji su se obavezali na primenu kodeksa, što ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Udruženja i drugi subjekti iz stava 1. ovog člana koji nameravaju da izrade kodeks postupanja ili da izmene postojeći kodeks, dužni su da predlog kodeksa ili njegovih izmena dostave Povereniku na mišljenje.
Poverenik daje mišljenje o usklađenosti predloga kodeksa postupanja ili njegovih izmena sa odredbama ovog zakona, a ako utvrdi da predlog kodeksa sadrži dovoljne garancije za zaštitu podataka o ličnosti, kodeks postupanja ili njegove izmene registruje i javno objavljuje na svojoj internet stranici.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Kontrola primene kodeksa postupanja
Član 60.
Kontrolu primene kodeksa postupanja, u skladu sa članom 59. stav 3. ovog zakona, može vršiti pravno lice koje je akreditovano za vršenje kontrole u skladu sa zakonom koji uređuje akreditaciju.
Vršenje kontrole iz stava 1. ovog člana ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Pravno lice iz stava 1. ovog člana može se akreditovati samo ako je:
1) dokazalo Povereniku svoju nezavisnost i stručnost u odnosu na sadržinu kodeksa;
2) uspostavilo postupak procene osposobljenosti rukovaoca i obrađivača za primenu kodeksa postupanja, praćenja primene kodeksa od strane rukovaoca ili obrađivača, kao i periodičnog preispitivanje njegove delotvornosti;
3) uspostavilo postupak i organ za odlučivanje o pritužbama zbog povrede kodeksa postupanja ili načina njegove primene od strane rukovaoca ili obrađivača, kao i obezbedilo transparentnost tog postupka i organa prema javnosti i licima na koje se podaci odnose;
4) dokazalo Povereniku da u vršenju njegovih ovlašćenja ne može doći do sukoba interesa.
U slučaju povrede kodeksa postupanja od strane rukovaoca ili obrađivača, pravno lice iz stava 1. ovog člana preduzima odgovarajuće mere u propisanom postupku, uključujući i privremeno ili trajno isključenje rukovaoca, odnosno obrađivača iz primene kodeksa.
Pravno lice iz stava 1. ovog člana dužno je da obavesti Poverenika o preduzetim merama iz stava 4. ovog člana, kao i razlozima za njihovo određivanje.
Preduzimanje mera iz stava 4. ovog člana ne utiče na ovlašćenja Poverenika i primenu odredbi Glave VII. ovog zakona.
Pravnom licu iz stava 1. ovog člana akreditacija se oduzima ako se utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Odredbe st. 1. do 7. ovog člana ne primenjuju se na organe vlasti i obradu koju vrše nadležni organi u posebne svrhe.
Izdavanje sertifikata
Član 61.
U cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća, mogu se ustanoviti postupci izdavanja sertifikata o zaštiti podataka o ličnosti, sa odgovarajućim žigovima i oznakama za zaštitu podataka.
Rukovaocu, odnosno obrađivaču na koje se ovaj zakon ne primenjuje, u cilju dokazivanja preduzimanja mera zaštite od strane rukovaoca i obrađivača, a u okviru prenosa njihovih podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 5) ovog zakona, može se izdati sertifikat, sa odgovarajućem žigovima i oznakama, u skladu sa stavom 5. ovog člana, pod uslovom da oni putem ugovora ili drugog pravno obavezujućeg akta prihvate primenu ovih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose.
Postupak izdavanja sertifikata je dobrovoljan i transparentan.
Postojanje izdatog sertifikata ne može uticati na zakonske obaveze rukovaoca i obrađivača, niti na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikat izdaje sertifikaciono telo iz člana 62. ovog zakona ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik, u skladu sa ovlašćenjima iz člana 79. stav 3. ovog zakona.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu iz člana 62. ovog zakona, odnosno Povereniku, ako je zahtev upućen njemu, omoguće pristup radnjama obrade i pruže sve informacije o obradi koje su neophodne za sprovođenje postupka izdavanja sertifikata.
Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijumime za izdavanje sertifikata.
Sertifikat iz stava 7. ovog člana se ukida u slučaju kad sertifikaciono telo, odnosno Poverenik, ako je zahtev upućen njemu, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikata.
Poverenik vodi i javno objavljuje na svojoj internet stranici spisak sertifikacionih tela i izdatih sertifikata, sa odgovarajućim žigovima i oznakama.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Sertifikaciona tela
Član 62.
Sertifikaciono telo, koje ima odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje je akreditovano u skladu sa zakonom kojim se uređuje akreditacija, izdaje, obnavlja i ukida sertifikat, zajedno sa žigom i oznakom, posle obaveštavanja Poverenika o odluci koja se namerava doneti, što ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikaciono telo iz stava 1. ovog člana može biti akreditovano samo ako:
1) dokaže Povereniku svoju nezavisnost i stručnost u odnosu na predmet sertifikacije;
2) se obavezalo na poštovanje propisanih kriterijuma iz člana 61. stav 5. ovog zakona;
3) propiše postupak za izdavanje, periodičnu proveru i ukidanje sertifikata, žiga i oznake;
4) propiše postupak i odredi organe za postupanje po pritužbama protiv rukovaoca i obrađivača zbog vršenja radnji obrade na način suprotan izdatom sertifikatu i učini ih dostupnim javnosti i licu na koje se podaci odnose;
5) dokaže Povereniku da u izvršavanju njegovih poslova ne može nastati sukob interesa.
Poverenik propisuje kriterijume za akreditaciju sertifikacionog tela, na osnovu uslova iz stava 2. ovog člana.
Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikaciono telo i dalje ispunjava propisane uslove i kriterijume za akreditaciju.
Akreditacija sertifikacionog tela se ukida ako se utvrdi da ono više ne ispunjava uslove i kriterijume za akreditaciju ili ako se utvrdi da sertifikaciono telo krši odredbe ovog zakona.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i ukidanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili ukidanje sertifikata.
Poverenik objavljuje kriterijume za akreditaciju iz stava 3. ovog člana.
Sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici Srbiji, ako je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika Srbija.
Ako je sertifikaciono telo koje je sprovelo sertifikaciju akreditovano od strane nacionalnog tela druge države, koje je sa Akredacionom telom Srbije potpisalo sporazum kojim se međusobno priznaje ekvivalentnost sistema akreditacije u obimu koji je određen potpisanim sporazumom, u Republici Srbiji se mogu prihvatiti sertifikati tog sertifikacionog tela, bez ponovnog sprovođenja postupka sertifikacije.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
V. PRENOS PODATAKA O LIČNOSTI U DRUGE DRŽAVE I MEĐUNARODNE ORGANIZACIJE
Opšta načela prenosa
Član 63.
Svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako u skladu sa drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim ovim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon.
Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenosa u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako su zajedno ispunjeni sledeći uslovi:
1) prenos je neophodno izvršiti u posebne svrhe;
2) podaci o ličnosti se prenose rukovaocu u drugoj državi ili međunarodnoj organizaciji koji je nadležan organ za obavljanje poslove u posebne svrhe;
3) Vlada je utvrdila listu država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija koje obezbeđuju primereni nivo zaštite podataka o ličnosti u skladu sa članom 64. ovog zakona, a prenos podataka se vrši u jednu od tih država, na deo njene teritorije ili u jedan ili više sektora određene delatnosti u toj državi ili u međunarodnu organizaciju, ili je, ako to nije slučaj, primena odgovarajućih mera zaštite obezbeđena u skladu sa članom 66. ovog zakona, ili se, ako njihova primena nije obezbeđena, primenjuju odredbe o prenosu podataka u posebnim situacijama iz člana 70. ovog zakona;
4) u slučaju daljeg prenosa podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, nadležni organ koji je izvršio prvi prenos ili drugi nadležni organ u Republici Srbiji je odobrio dalji prenos, pošto je uzeo u obzir sve okolnosti od značaja za dalji prenos, uključujući težinu krivičnog dela, svrhu prvog prenosa i nivo zaštite podataka o ličnosti u trećoj državi ili međunarodnoj organizaciji u koju se podaci dalje prenose.
Prenos na osnovu primerenog nivoa zaštite
Član 64.
Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju, bez prethodnog odobrenja, može se izvršiti ako je utvrđeno da ta druga država, deo njene teritorije ili jedan ili više sektora određenih delatnosti u toj državi ili ta međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti.
Smatra se da je primereni nivo zaštite iz stava 1. ovog člana obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.
Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana, osim ako se radi o članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, uzimajući u obzir:
1) princip vladavine prava i poštovanja ljudskih prava i osnovnih sloboda, važeće zakonodavstvo, uključujući i propise u oblasti javne bezbednosti, odbrane, nacionalne bezbednosti, krivičnog prava i pristupa organa vlasti podacima o ličnosti, kao i primenu ovih propisa, pravila o zaštiti podataka o ličnosti i profesionalnih pravila u ovoj oblasti, odnosno preduzimanje mera zaštite podataka o ličnosti, uključujući i pravila o daljem prenošenju podataka o ličnosti u treće države ili međunarodne organizacije, koja se primenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili međunarodnoj organizaciji, kao i delotvornost ostvarivanja prava lica na koje se odnose podaci, a posebno delotvornost upravnih i sudskih postupaka zaštite prava lica čiji se podaci prenose;
2) postojanje i delotvornost rada nadzornog tela za zaštitu podataka o ličnosti u drugoj državi ili nadzornog tela koje je nadležno za nadzor nad međunarodnom organizacijom u ovoj oblasti, sa ovlašćenjem da obezbedi primenu pravila o zaštiti podataka o ličnosti i pokrene postupke zaštite podataka o ličnosti u slučaju njihovog nepoštovanja, pruži pomoć i savetuje lica na koje se podaci odnose u ostvarivanju njegovih prava, kao i da sarađuje sa nadzornim telima drugih država;
3) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze koje proizilaze iz pravno obavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u pogledu zaštite podatka o ličnosti.
Smatra se da je obezbeđen primereni nivo zaštite i ako je sa drugom državom ili međunarodnom organizacijom zaključen međunarodni sporazum o prenosu podataka o ličnosti.
U postupku zaključivanja međunarodnog sporazuma o prenosu podataka o ličnosti posebno se utvrđuje ispunjenost uslova iz stava 3. ovog člana.
Vlada prati stanje u oblasti zaštite podataka u ličnosti u drugim državama, na delovima njenih teritorija ili u jednom ili više sektora određnih delatnosti u tim državama ili u međunarodnim organizacijima, na osnovu dostupnih prikupljenih informacija i na osnovu informacije prikupljene od strane međunarodnih organizacija, koje su od značaja za preispitivanje postojanja primerenog nivoa zaštite.
Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite, odnosno za koje je Vlada utvrdila da ne obezbeđuje primereni nivo zaštite objavljuje se u "Službenom glasniku Republike Srbije".
Prenos uz primenu odgovarajućih mera zaštite
Član 65.
Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju za koju listom iz člana 64. stav 7. ovog zakona nije utvrđeno postojanje primerenog nivoa zaštite, samo ako je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se bez posebnog odobrenja Poverenika obezbediti:
1) pravno obavezujućim aktom sačinjenog između organa vlasti;
2) standardnim ugovornim klauzulama izrađenim od strane Poverenika u skladu sa članom 45. ovog zakona, kojima se u celini uređuje pravni odnos između rukovaoca i obrađivača;
3) obavezujućim poslovnim pravilama, u skladu sa članom 67. ovog zakona;
4) odobrenim kodeksom postupanja u skladu sa članom 59. ovog zakona, zajedno sa obavezujućom i sprovodivom primenom odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji;
5) izdatim sertifikatima iz člana 61. ovog zakona, zajedno sa preuzetim obavezama primene odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se obezbediti i na osnovu posebnog odobrenja Poverenika:
1) ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u drugoj državi ili međunarodnoj organizaciji;
2) odredbama koje se unose u sporazum između organa vlasti, a kojima se obezbeđuje delotvorna i sprovodiva zaštita prava lica na koje se podaci odnose.
Poverenik daje odobrenje iz stava 3. ovog člana u roku od 60 dana od dana podnošenja zahteva za odobrenje.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi u posebne svrhe.
Prenos podataka koje obrađuju nadležni organi u posebne svrhe, uz primenu odgovarajućih mera zaštite
Član 66.
Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju za koju listom iz člana 64. stav 7. ovog zakona nije utvrđeno postojanje primerenog nivoa zaštite dopušten je u jednom od sledećih slučajeva:
1) ako su odgovarajuće mere zaštite podataka o ličnosti propisane u pravno obavezujućem aktu;
2) ako je rukovalac ocenio sve okolnosti koje se odnose na prenos podataka o ličnosti i utvrdio da odgovarajuće mere zaštite podataka o ličnosti postoje.
Rukovalac je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. tačka 2) ovog člana.
Rukovalac je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. tačka 2) ovog člana, kao i da dokumentaciju o prenosu stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti.
Obavezujuća poslovna pravila
Član 67.
Poverenik odobrava obavezujuća poslovna pravila, ako ta pravila zajedno ispunjavaju sledeće uslove:
1) pravno su obavezujuća, primenjuju se na i sprovode se od strane svakog člana multinacionalne kompanije ili grupe privrednih subjekata, uključujući i njihove zaposlene;
2) izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih podataka;
3) ispunjavaju uslove propisane stavom 2. ovog člana.
Obavezujućim poslovnim pravilima iz stava 1. ovog člana najmanje se mora odrediti:
1) struktura i kontakt podaci multinacionalne kompanije ili grupe privrednih subjekata, kao i svakog od njenih članova;
2) prenos ili grupe prenosa podataka o ličnosti, uključujući vrste podataka o ličnosti, vrste radnji obrade i njihovu svrhu, vrste lica na koje se podaci odnose i naziv države u koju se podaci prenose;
3) obaveznost primene obavezujućih poslovnih pravila, kako u okviru multinacionalne kompanije ili grupe privrednih subjekata, tako i izvan njih;
4) primena opštih načela zaštite podataka o ličnosti, a naročito ograničenja svrhe obrade, minimizacija podataka, ograničenje čuvanja, integritet podataka, mere stalne zaštite podataka, pravni osnov za obradu, obrade posebnih vrsta podataka o ličnosti, mere bezbednosti i uslove za dalji prenos podataka o ličnosti drugim licima ili telima koja nisu obavezana obavezujućim poslovnim pravilima;
5) prava lica na koje se podaci odnose u odnosu na obradu i načine ostvarivanja tih prava, uključujući i prava u vezi sa automatizovanim donošenjem pojedinačnih odluka i profilisanjem iz člana 38. ovog zakona, pravo na podnošenje pritužbe Povereniku, odnosno tužbe sudu u skladu sa čl. 82. i 84. ovog zakona, kao i pravo na naknadu štete zbog povrede obavezujućih poslovnih pravila;
6) prihvatanje odgovornosti rukovaoca, odnosno obrađivača sa prebivalištem, boravištem ili sedištem na teritoriji Republike Srbije za povredu ovih pravila koju je učinio drugi član grupe koji nema prebivalište, boravište ili sedište na teritoriji Republike Srbije, osim ako rukovalac ili obrađivač dokaže da taj drugi član grupe nije odgovoran za događaj koji je prouzrokovao štetu;
7) način na koji se licu na koje se podaci odnose pružaju informacije o obavezujućim poslovnim pravilima, a posebno o odredbama tač. 4) do 6) ovog stava, uz pružanje ostalih informacija iz čl. 23. i 24. ovog zakona;
8) ovlašćenja lica za zaštitu podataka o ličnosti, određenog u skladu sa članom 58. ovog zakona, ili bilo kog drugog lica koje je ovlašćeno za nadzor nad primenom obavezujućih poslovnih pravila unutar multinacionalne kompanije ili grupe privrednih subjekata, uključujući i nadzor nad obukom i odlučivanje o pritužbama unutar multinacionalne kompanije ili grupe;
9) postupak koji se sprovodi po pritužbama;
10) mehanizam provere postupanja u skladu sa obavezujućim poslovnim pravilima unutar multinacionalne kompanije ili grupe privrednih subjekata. Ovaj mehanizam uključuje reviziju zaštite podataka o ličnosti i korektivne mere za zaštitu prava lica na koje se podaci odnose. Rezultati provere moraju biti saopšteni licu iz tačke 8) ovog stava, kao i upravljačkom organu multinacionalne kompanije ili grupe privrednih subjekata, a moraju biti stavljeni na raspolaganje i Povereniku, na njegov zahtev;
11) način izveštavanja i vođenja evidencije o promenama obavezujućih poslovnih pravila i način obaveštavanje Poverenika o tim promenama;
12) način saradnje sa Poverenikom u cilju obezbeđenja primene obavezujućih poslovnih pravila od strane svakog člana multinacionalne kompanije ili grupe privrednih subjekata pojedinačno, a posebno način na koji se Povereniku stavljaju na raspolaganje rezultati provere iz tačke 10) ovog stava;
13) način izveštavanja Poverenika o pravnim obavezama koje se primenjuju prema članu multinacionalne kompanije ili grupe privrednih subjekata u drugoj državi, a koji bi mogli imati značajan štetan uticaj na garancije propisane obavezujućim poslovnim pravilima;
14) odgovarajuća obuka za zaštitu podataka o ličnosti lica koja imaju trajan ili redovan pristup podacima o ličnosti.
Poverenik može bliže urediti način razmene informacija između rukovalaca, obrađivača i Poverenika u primeni stava 2. ovog člana.
Ako su ispunjeni uslovi iz stava 1. ovog člana, Poverenik odobrava obavezujuća poslovna pravila u roku od 60 dana od dana podnošenja zahteva za njihovo odobrenje.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi u posebne svrhe.
Prenos ili otkrivanje podataka o ličnosti na osnovu odluke organa druge države
Član 68.
Odluke suda ili upravnog organa druge države, kojima se od rukovaoca ili obrađivača zahteva prenos ili otkrivanje podataka o ličnosti, mogu biti priznate ili izvršene u Republici Srbiji samo ako se zasnivaju na međunarodnom sporazumu, kao što je sporazum o međunarodnoj pravnoj pomoći zaključen između Republike Srbije i te druge države, što ne utiče na primenu drugih osnova za prenos u skladu sa odredbama ove glave zakona.
Stav 1. ovog člana ne primenjuje se na prenos podataka koje obrađuju nadležni organi u posebne svrhe.
Prenos podataka u posebnim situacijama
Član 69.
Ako se prenos podatka o ličnosti ne vrši u skladu sa odredbama čl. 64, 65. i 67. ovog zakona, ovi podaci mogu se preneti u drugu državu ili međunarodnu organizaciju samo ako se radi o jednom od sledećih slučajeva:
1) lice na koje se podaci odnose je izričito pristalo na predloženi prenos, pošto je, zbog nepostojanja odluke o primerenom nivou zaštite i odgovarajućih mera zaštite, informisano o mogućim rizicima vezanim za taj prenos;
2) prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili za primenu predugovornih mera preduzetih na zahtev lica na koje se podaci odnose;
3) prenos je neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica;
4) prenos je neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije, pod uslovom da prenos pojedinih vrsta podataka o ličnosti ovim zakonom nije ograničen;
5) prenos je neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva;
6) prenos je neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
7) vrši se prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili bilo kom licu koje može da dokaže da ima opravdani interes, ali samo u meri u kojoj su ispunjeni zakonom propisani uslovi za uvid u tom posebnom slučaju.
Ako se prenos ne može izvršiti u skladu sa stavom 1. ovog člana i čl. 64, 65. i 67. ovog zakona, podaci o ličnosti se mogu prenetu u drugu državu ili međunarodnu organizaciju samo ako su zajedno ispunjeni sledeći uslovi:
1) prenos podataka se ne ponavlja;
2) prenose se podaci ograničenog broja fizičkih lica;
3) prenos je neophodan u cilju ostvarivanja legitimnog interesa rukovaoca koji preteže nad interesima, odnosno pravima ili slobodama lica na koje se podaci odnose;
4) rukovalac je obezbedio primenu odgovarajućih mera zaštite podataka o ličnosti na osnovu prethodne procene svih okolnosti u vezi sa prenosom ovih podataka.
Rukovalac, odnosno obrađivač dužni su da u evidenciji o radnjama obrade iz člana 47. ovog zakona obezbede dokaz o izvršenoj proceni i primeni odgovarajućih mera zaštite iz stava 2. tačka 4) ovog člana.
Rukovalac je dužan da obavesti Poverenika o prenosu podataka izvršenom u skladu sa stavom 2. ovog člana.
Rukovalac je dužan da licu na koje se podaci odnose, uz informacije iz čl. 23. i 24. ovog zakona, pruži i informaciju o prenosu podataka iz stava 2. ovog člana, uključujući i informaciju o tome koji se legitimni interes rukovaoca ostvaruje takvim prenosom.
Prenos podataka iz stava 1. tačka 7) ovog člana ne može da se odnosi na sve podatke o ličnosti ili na cele vrste podataka o ličnosti iz registra.
Ako se prenose podaci iz registra koji su dostupni samo licu koje ima opravdani interes, u skladu sa stavom 1. tačka 7) ovog člana, prenos se može izvršiti samo na zahtev tog lica ili ako je to lice primalac podataka.
Odredbe stava 1. tač. 1) do 3) i stava 2. ovog člana ne primenjuju se na aktivnosti organa vlasti u vršenju njihovih nadležnosti.
Odredbe st. 1. do 8. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi u posebne svrhe.
Posebne situacije prenosa podataka koje obrađuju nadležni organi u posebne svrhe
Član 70.
Ako se prenos podatka o ličnosti koje obrađuju nadležni organi u posebne svrhe ne vrši u skladu sa odredbama čl. 64. i 66. ovog zakona, ovi podaci mogu se preneti u drugu državu ili međunarodnu organizaciju samo ako je takav prenos neophodan u jednom od sledećih slučajeva:
1) u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
2) u cilju zaštite legitimnih interesa lica na koje se podaci odnose, ako je to predviđeno zakonom;
3) u cilju sprečavanja neposredne i ozbiljne opasnosti za javnu bezbednost Republike Srbije ili druge države;
4) u pojedinačnom slučaju, ako je u pitanju obrada u posebne svrhe;
5) u pojedinačnom slučaju, u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, ako je taj cilj neposredno u vezi sa posebnim svrhama.
Prenos podataka o ličnosti ne može se izvršiti ako nadležan organ koji vrši prenos utvrdi da interes zaštite osnovnih prava i sloboda lica na koje se podaci odnose preteže u odnosu na javni interes iz stava 1. tač. 4) i 5) ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti.
Prenos podataka koje obrađuju nadležni organi u posebne svrhe primaocu u drugoj državi
Član 71.
Izuzetno od odredbe člana 63. stav 2. tačka 2) ovog zakona i bez obzira na primenu međunarodnog sporazuma iz stava 2. ovog člana, nadležni organ koji obrađuje podatke u posebne svrhe može neposredno preneti podatke o ličnosti primaocu u drugoj državi samo ako su poštovane druge odredbe ovog zakona i ako su zajedno ispunjeni sledeći uslovi:
1) prenos je neophodan za izvršenje zakonskog ovlašćenja nadležnog organa koji vrši prenos u posebne svrhe;
2) nadležni organ koji vrši prenos je utvrdio da interes zaštite osnovnih prava ili sloboda lica na koje se podaci odnose ne preteže u odnosu na javni interes radi čije zaštite je neophodno izvršiti prenos podataka;
3) nadležni organ koji vrši prenos smatra da je prenos nadležnom organu u drugoj državi u posebne svrhe nedelotvoran ili da ne odgovara postizanju tih svrha, a posebno ako se prenos ne može izvršiti na vreme;
4) nadležni organ u drugoj državi je bez nepotrebnog odlaganja obavešten o prenosu, osim ako je takvo obaveštavanje nedelotvorno ili ne odgovara postizanju svrhe;
5) nadležni organ koji vrši prenos je obavestio primaoca u drugoj državi o svrhama obrade podataka, kao i o tome da se obrada može vršiti samo u te svrhe, samo od strane primaoca i samo ako je takva obrada neophodna.
Međunarodni sporazum iz stava 1. ovog člana je svaki sporazum koji je zaključen između Republike Srbije i jedne ili više drugih država, a kojim se uređuje saradnja u krivičnim stvarima ili policijska saradnja.
Nadležni organ koji vrši prenos je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 4. ovog člana sadrži informacije o datumu i vremenu prenosa, primaocu podataka, razlozima za prenos i podacima o ličnosti koji su preneti.
Međunarodna saradnja u vezi sa zaštitom podataka o ličnosti
Član 72.
Poverenik preduzima odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama i međunarodnim organizacijama u cilju:
1) razvoja mehanizama međunarodne saradnje za olakšavanje delotvorne primene zakona koji se odnose na zaštitu podataka o ličnosti;
2) obezbeđivanja međunarodne uzajamne pomoći u primeni zakona koji se odnose na zaštitu podataka o ličnosti, uključujući i obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju nadzora, kao i razmenu informacija, pod uslovom da su preduzete odgovarajuće mere zaštite podataka o ličnosti i osnovnih prava i sloboda;
3) angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona koji se odnose na zaštitu podataka o ličnosti;
4) podsticanja i unapređivanja razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti i njegovoj primeni, uključujući i pitanja sukoba nadležnosti sa drugim državama u ovoj oblasti.
VI. POVERENIK
1. Nezavisan status
Nadzorno telo
Član 73.
U cilju zaštite osnovnih prava i sloboda fizičkih lica u vezi sa obradom, poslove praćenja primene ovog zakona u skladu sa propisanim ovlašćenjima vrši Poverenik, kao nezavisan državni organ.
Poverenik ima zamenika za zaštitu podataka o ličnosti.
Na sedište Poverenika, izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata, postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno.
Nezavisnost
Član 74.
U vršenju svojih ovlašćenja i poslova, u skladu sa ovim zakonom, Poverenik je potpuno nezavisan, slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne može da traži niti prima naloge od bilo koga.
Poverenik se ne može baviti drugom delatnošću ni drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje, niti politički delovati.
U cilju obezbeđivanja delotvornog vršenja zakonom propisanih ovlašćenja, neophodna finansijska sredstva za rad, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove za rad Poverenika obezbeđuju se u skladu sa zakonom kojim se uređuje budžet i zakonima kojima se uređuje državna uprava i položaj državnih službenika.
Poverenik samostalno vrši izbor zaposlenih između kandidata koji ispunjavaju zakonom propisane uslove za rad u državnim organima i njima potpuno samostalno rukovodi.
Kontrolu nad trošenjem sredstava za rad Poverenika vrši Državna revizorska institucija, u skladu sa zakonom, na način koji ne utiče na nezavisnost Poverenika.
Uslovi za izbor Poverenika
Član 75.
Pored uslova za izbor Poverenika, propisanih zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, Poverenik mora da ima potrebno stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti.
Obaveza čuvanja profesionalne tajne
Član 76.
Poverenik, zamenik Poverenika i zaposleni u službi Poverenika dužni su da kao profesionalnu tajnu čuvaju sve podatke do kojih su došli u obavljanju svoje funkcije, odnosno poslova, uključujući i podatke u vezi sa povredom ovog zakona sa kojima ih je upoznalo lice koje nije zaposleno kod Poverenika.
Obaveza iz stava 1. ovog člana traje i posle prestanka obavljanja funkcije Poverenika ili zamenika Poverenika, odnosno prestanka rada u službi Poverenika.
2. Nadležnosti Poverenika
Opšta nadležnost
Član 77.
Poverenik vrši svoja ovlašćenja, u skladu sa ovim zakonom, na teritoriji Republike Srbije.
U vršenju svojih ovlašćenja Poverenik postupa u skladu sa zakonom kojim se uređuje opšti upravni postupak, kao i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, ako ovim zakonom nije drugačije određeno.
Poverenik nije nadležan da vrši nadzor nad obradom od strane sudova u vršenju njihovih sudskih ovlašćenja.
Poslovi Poverenika
Član 78.
Poverenik:
1) vrši nadzor i obezbeđuje primenu ovog zakona u skladu sa svojim ovlašćenjima;
2) stara se o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom, a posebno ako se radi o obradi podataka o maloletnom licu;
3) daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, u skladu sa propisom, o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom;
4) stara se o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim obavezama propisanim ovim zakonom;
5) na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim zakonom;
6) postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede ovog zakona i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi u skladu sa članom 82. ovog zakona;
7) sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u razmeni informacija i pružanju uzajamne pravne pomoći;
8) vrši inspekcijski nadzor nad primenom ovog zakona, u skladu sa ovim zakonom i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, i podnosi zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede ovog zakona, u skladu sa zakonom kojim se uređuju prekršaji;
9) prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za zaštitu podataka o ličnosti;
10) izrađuje standardne ugovorne klauzule iz člana 45. stav 11. ovog zakona;
11) sačinjava i javno objavljuje liste iz člana 54. stav 5. ovog zakona;
12) daje pismeno mišljenje iz člana 55. stav 4. ovog zakona;
13) vodi evidenciju lica za zaštitu podataka o ličnosti iz člana 56. stav 11. ovog zakona;
14) podstiče izradu kodeksa postupanja u skladu sa članom 59. stav 1. ovog zakona i daje mišljenje i saglasnost na kodeks postupanja u skladu sa članom 59. stav 5. ovog zakona;
15) obavlja poslove u skladu sa članom 60. ovog zakona;
16) podstiče izdavanje sertifikata za zaštitu podataka o ličnosti i odgovarajućih žigova i oznaka u skladu sa članom 61. stav 1. i propisuje kriterijume za sertifikaciju u skladu sa članom 61. stav 5. ovog zakona;
17) sprovodi periodično preispitivanje sertifikata u skladu sa članom 61. stav 8. ovog zakona;
18) propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela i obavlja poslove u skladu sa članom 62. ovog zakona;
19) odobrava odredbe ugovora ili sporazuma iz člana 65. stav 3. ovog zakona;
20) odobrava obavezujuća poslovna pravila u skladu sa članom 67. ovog zakona;
21) vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju u skladu sa članom 79. stav 2. ovog zakona;
22) obavlja i druge poslove određene ovim zakonom.
Poslove nadzora iz stava 1. tač. 1) i 8) ovog člana Poverenik vrši preko ovlašćenih lica iz stručne službe Poverenika.
Evidencija iz stava 1. tačka 21) ovog člana sadrži: podatke o rukovaocima ili obrađivačima koji su povredili ovaj zakon (njihovo ime i prezime ili naziv, prebivalište, boravište ili sedište), podatke o povredama ovog zakona (opis povrede i član zakona koji je povređen), podatke o merama koje su preduzete i podatke o postupanju rukovaoca ili obrađivača po izrečenim merama.
Obrazac evidencije iz stava 3. ovog člana i način njenog vođenja propisuje Poverenik.
U cilju pojednostavljivanja podnošenja pritužbe, Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva komunikacije.
Poverenik obavlja svoje poslove besplatno za lice na koje se podaci odnose i lice za zaštitu podataka o ličnosti.
Ako je pritužba Povereniku očigledno neosnovana, preobimna ili se preterano ponavlja, Poverenik može da traži naknadu nužnih troškova ili da odbije da postupa po toj pritužbi, uz navođenje razloga kojima se dokazuje da se radi o neosnovanom, preobimnom ili preterano ponavljanom zahtevu.
Inspekcijska i druga ovlašćenja
Član 79.
Poverenik je ovlašćen da:
1) naloži rukovaocu i obrađivaču, a prema potrebi i njihovim predstavnicima, da mu pruže sve informacije koje zatraži u vršenju svojih ovlašćenja;
2) proverava i ocenjuje primenu odredbi zakona i na drugi način vrši nadzor nad zaštitom podataka o ličnosti korišćenjem inspekcijskih ovlašćenja;
3) proverava ispunjenost uslova za sertifikaciju u skladu sa članom 61. stav 8. ovog zakona;
4) obaveštava rukovaoca, odnosno obrađivača o mogućim povredama ovog zakona;
5) zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja;
6) zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi.
Poverenik je ovlašćen da preduzme sledeće korektivne mere:
1) da upozori rukovaoca i obrađivača dostavljanjem pismenog mišljenja da se nameravanim radnjama obrade mogu povrediti odredbe ovog zakona u skladu sa članom 55. stav 4. ovog zakona;
2) da izrekne opomenu rukovaocu, odnosno obrađivaču ako se obradom povređuju odredbe ovog zakona;
3) da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, u skladu sa ovim zakonom;
4) da naloži rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ovog zakona, na tačno određeni način i u tačno određenom roku;
5) da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka o ličnosti;
6) da izrekne privremeno ili trajno ograničenje vršenja radnje obrade, uključujući i zabranu obrade;
7) da naloži ispravljanje, odnosno brisanje podataka o ličnosti ili ograniči vršenje radnje obrade u skladu sa čl. 29. do 32. ovog zakona, kao i da naloži rukovaocu da obavesti o tome drugog rukovaoca, lice na koje se podaci odnose i primaoce kojima su podaci o ličnosti otkriveni ili preneti, u skladu sa članom 30. stav 3. i čl. 33. i 34. ovog zakona;
8) da ukine sertifikat ili da naloži sertifikacionom telu ukidanje sertifikata koji je izdat u skladu sa čl. 61. i 62. ovog zakona, kao i da naloži sertifikacionom telu da odbije izdavanje sertifikata ako nisu ispunjeni uslovi za njegovo izdavanje;
9) da izrekne novčanu kaznu na osnovu prekršajnog naloga ako je prilikom inspekcijskog nadzora utvrđeno da je došlo do prekršaja za koji je ovim zakonom propisana novčana kazna u fiksnom iznosu, umesto drugih mera propisanih ovim stavom ili uz njih, a u zavisnosti od okolnosti konkretnog slučaja;
10) da obustavi prenos podataka o ličnosti primaocu u drugoj državi ili međunarodnoj organizaciji.
Poverenik je ovlašćen i da:
1) izrađuje standardne ugovorne klauzule iz člana 45. stav 11;
2) daje mišljenje rukovaocima u postupku prethodnog pribavljanja mišljenja Poverenika, skladu sa članom 55. ovog zakona;
3) daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, po sopstvenoj inicijativi ili na njihov zahtev, kao i javnosti, o svim pitanjima u vezi sa zaštitom podataka o ličnosti;
4) registruje i objavljuje kodeks postupanja, na koji je prethodno dao saglasnost, u skladu sa članom 59. stav 5. ovog zakona;
5) izdaje sertifikate i propisuje kriterijume za izdavanje sertifikata, u skladu sa članom 61. stav 5. ovog zakona;
6) propisuje kriterijume za akreditaciju, u skladu sa članom 62. ovog zakona;
7) odobrava ugovorne odredbe, odnosno odredbe koje se unose u sporazum, u skladu sa članom 65. stav 3. ovog zakona;
8) odobrava obavezujuća poslovna pravila, u skladu sa članom 67. ovog zakona.
Kontrolu akata Poverenika donetih na osnovu ovog člana vrši sud, u skladu sa zakonom.
U vršenju svojih ovlašćenja Poverenik može da pokrene postupak pred sudom ili drugim organom, u skladu sa zakonom.
Prijavljivanje povrede zakona
Član 80.
Nadležni organ koji vrši obradu u posebne svrhe je dužan da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona Povereniku.
Izveštavanje
Član 81.
Poverenik je dužan da sačini godišnji izveštaj o svojim aktivnostima, koji sadrži podatke o vrstama povreda ovog zakona i merama koje su preduzete u vezi sa tim povredama, kao i da ga podnese Narodnoj skupštini.
Izveštaj iz stava 1. ovog stava dostavlja se i Vladi i stavlja se na uvid javnosti, na odgovarajući način.
VII. PRAVNA SREDSTVA, ODGOVORNOST I KAZNE
Pravo na pritužbu Povereniku
Član 82.
Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. U postupku po pritužbi shodno se primenjuju odredbe zakona kojim se uređuje inspekcijski nadzor u delu koji se odnosi na postupanje po predstavkama. Podnošenje pritužbe Povereniku ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu lica da pokrene sudski postupak u skladu sa članom 83. ovog zakona.
Pravo na sudsku zaštitu protiv odluke Poverenika
Član 83.
Lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, doneta u skladu sa ovim zakonom, ima pravo da protiv te odluke tužbom pokrene upravni spor u roku od 30 dana od dana prijema odluke. Podnošenje tužbe u upravnom sporu ne utiče na pravo da se pokrenu drugi postupci upravne ili sudske zaštite.
Ako Poverenik u roku od 60 dana od dana podnošenja pritužbe ne postupi po pritužbi ili ne postupi u skladu sa članom 82. stav 2. ovog zakona, lice na koje se podaci odnose ima pravo da pokrene upravni spor.
Sudska zaštita prava lica
Član 84.
Lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da mu je, suprotno ovom zakonu, od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno pravo propisano ovim zakonom. Podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda da obaveže tuženog na:
1) davanje informacije iz čl. 22. do 27, čl. 33. do 35. i člana 37. ovog zakona;
2) ispravku, odnosno brisanje podataka o tužiocu iz čl. 29, 30. i 32. ovog zakona;
3) ograničenje obrade iz čl. 31. i 32. ovog zakona;
4) davanje podataka u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku;
5) prenošenje podataka drugom rukovaocu iz člana 36. ovog zakona;
6) prekid obrade podataka iz člana 37. ovog zakona.
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda i da utvrdi da je odluka koja se odnosi na tužioca doneta suprotno čl. 38. i 39. ovog zakona.
Tužba iz st. 2. i 3. ovog člana podnosi se višem sudu na čijoj teritoriji rukovalac, odnosno obrađivač ili njihov predstavnik ima prebivalište, boravište, odnosno sedište ili na čijoj teritoriji lice na koje se odnose podaci ima prebivalište ili boravište, osim ako je rukovalac, odnosno obrađivač organ vlasti.
Revizija pravnosnažne odluke donete po tužbama iz st. 2. i 3. ovog člana je uvek dopuštena.
U postupku sudske zaštite primenjuju se odredbe zakona kojim se uređuje parnični postupak, ako ovim zakonom nije drugačije određeno.
Zastupanje lica na koje se podaci odnose
Član 85.
Lice na koje se podaci odnose, u vezi sa zaštitom podataka o ličnosti, ima pravo da ovlasti predstavnika udruženja koje se bavi zaštitom prava i sloboda lica na koje se podaci odnose da ga, u skladu sa zakonom, zastupa u postupcima iz čl. 82. do 84. i člana 86. ovog zakona.
Pravo na naknadu štete
Član 86.
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Ako je materijalna ili nematerijalna šteta prouzrokovana nezakonitom obradom koju vrše nadležni organi u posebne svrhe, odnosno povredom odredaba zakona koji se odnose na obradu tih podataka, lice koje je pretrpelo štetu ima pravo na naknadu štete od rukovaoca ili drugog nadležnog organa protiv kojeg se može podneti tužba za naknadu štete, u skladu sa zakonom.
Za štetu iz stava 1. ovog člana odgovara rukovalac, a obrađivač odgovara samo ako nije postupao u skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je postupao izvan uputstava ili suprotno uputstvima rukovaoca, izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije odgovoran za nastanak štete.
Ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade štete.
Ako je rukovalac, odnosno obrađivač iz stava 5. ovog člana isplatio celokupan iznos naknade štete, on ima pravo da zahteva od drugih rukovaoca, odnosno obrađivača povraćaj dela iznosa koji odgovara njihovoj odgovornosti za nastanak štete, u skladu sa stavom 3. ovog člana.
Uslovi za izricanje novčanih kazni
Član 87.
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način.
Novčane kazne iz stava 1. ovog člana, u zavisnosti od okolnosti pojedinačnog slučaja, mogu se izreći uz mere ili umesto mera propisanih članom 79. stav 2. tač. 1) do 8) i tačka 10) ovog zakona.
Prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu mora se u svakom pojedinačnom slučaju voditi računa o:
1) prirodi, težini i trajanju povrede odredbi zakona, uzimajući u obzir vrstu, obim i svrhu obrade, kao i broj lica na koje se podaci odnose i nivo štete koju su oni pretrpeli;
2) postojanju namere ili nepažnje prekršioca;
3) svakoj radnji rukovaoca i obrađivača usmerenoj na otklanjanje ili ublažavanje štete koju su pretrpela lica na koje se podaci odnose;
4) stepenu odgovornosti rukovaoca i obrađivača, uzimajući u obzir mere koje su primenili u skladu sa članom 42. i članom 50. ovog zakona;
5) prethodnim slučajevima kršenja odredbi ovog zakona od strane rukovaoca i obrađivača koji su od značaja za izricanje kazne;
6) stepenu saradnje rukovaoca i obrađivača sa Poverenikom u cilju otklanjanja posledica povrede zakona i otklanjanja ili ublažavanja štetnih posledica povrede;
7) vrstama podataka o ličnosti na koje se odnose povrede;
8) načinu na koji je Poverenik saznao za povredu, a posebno o tome da li je i u kojoj meri rukovalac, odnosno obrađivač obavestio Poverenika o povredi;
9) postupanju u skladu sa korektivnim merama Poverenika koje su ranije izrečene rukovaocu, odnosno obrađivaču u vezi sa istim slučajem povrede, u skladu sa članom 79. stav 2. ovog zakona;
10) primeni odobrenih kodeksa postupanja u skladu sa članom 59. ovog zakona, odnosno postojanju sertifikata iz člana 61. ovog zakona;
11) svim drugim otežavajućim i olakšavajućim okolnostima u konkretnom slučaju, kao što su izbegavanje finansijskog gubitka ili finansijska korist koja je ostvarena na neposredan ili posredan način povredom odredbi ovog zakona.
VIII. POSEBNI SLUČAJEVI OBRADE
Obrada i slobode izražavanja i informisanja
Član 88.
Na obradu koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima, kao i u svrhe naučnog, umetničkog ili književnog izražavanja, ne primenjuju se odredbe Glave II. do VI. i čl. 89. do 94. ovog zakona, ako su u konkretnom slučaju ova ograničenje neophodna u cilju zaštite slobode izražavanja i informisanja.
Obrada i slobodan pristup informacijama od javnog značaja
Član 89.
Informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu informacije od strane organa vlasti na način kojim se obezbeđuje da se pravo javnosti da zna i pravo na zaštitu podataka o ličnosti mogu ostvariti zajedno, u meri propisanoj zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja i ovim zakonom.
Obrada jedinstvenog matičnog broja građana
Član 90.
Na obradu jedinstvenog matičnog broja građana, primenjuju se odredbe zakona kojim se uređuje jedinstveni matični broj građana, odnosno drugog zakona, uz primenu odredbi ovog zakona koje se odnose na zaštitu prava i sloboda lica na koje se podaci odnose.
Obrada u oblasti rada i zapošljavanja
Član 91.
Na obradu u oblasti rada i zapošljavanja primenjuju se odredbe zakona kojima se uređuje rad i zapošljavanje i kolektivni ugovori, uz primenu odredbi ovog zakona.
Ako zakon koji uređuje rad i zapošljavanje ili kolektivni ugovor sadrže odredbe o zaštiti podataka o ličnosti, moraju se propisati i posebne mere zaštite dostojanstva ličnosti, legitimnih interesa i osnovnih prava lica na koje se podaci odnose, posebno u odnosu na transparentnost obrade, razmenu podataka o ličnosti unutar multinacionalne kompanije, odnosno grupe privrednih subjekata, kao i sistem nadzora u radnoj sredini.
Mere zaštite i ograničenje primene zakona na obradu u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe
Član 92.
Na obradu u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe primenjuju se odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose propisane ovim zakonom. Te mere obezbeđuju primenu tehničkih, organizacionih i kadrovskih mera, a posebno kako bi se obezbedilo poštovanja načela minimizacije podataka. Te mere mogu obuhvatiti pseudonimizaciju, ako se svrha obrade može ostvariti upotrebom te mere.
Ako se svrhe iz stava 1. ovog člana mogu ostvariti bez identifikacije ili bez dalje identifikacije lica na koje se podaci odnose, te svrhe se moraju ostvariti na način koji onemogućava dalju identifikaciju tog lica.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26, 29, 31. i 37. ovog zakona se ne primenjuju ako se obrada vrši u svrhe naučnog ili istorijskog istraživanja ili statističke svrhe, ako je to neophodno za ostvarivanje tih svrha ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala njihovo ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26. i 29. i čl. 31. do 37. ovog zakona ne primenjuju se ako se obrada vrši u svrhe arhiviranja u javnom interesu, ako je to neophodno za ostvarivanje te svrhe ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala njeno ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.
Ako se obrada iz st. 3. i 4. ovog člana vrši i u druge svrhe, na obradu u druge svrhe primenjuju se odredbe ovog zakona bez ograničenja.
Obrada od strane crkve i verskih zajednica
Član 93.
Ako crkve ili verske zajednice primenjuju sveobuhvatna pravila u pogledu zaštite fizičkih lica u odnosu na obradu, ta postojeća pravila mogu se i dalje primenjivati pod uslovom da se usklade sa ovim zakonom.
U slučaju iz stava 1. ovog člana, primenjuju se i odredbe ovog zakona o inspekcijskim i drugim ovlašćenjima Poverenika iz čl. 77. do 79. ovog zakona, osim ako crkva, odnosno verska zajednica, ne obrazuje posebno nezavisno nadzorno telo koje će vršiti ta ovlašćenja, pod uslovom da takvo telo ispunjava uslove predviđene Poglavljem VI. ovog zakona.
Obrada u humanitarne svrhe od strane organa vlasti
Član 94.
Podaci o ličnosti koje obrađuje organ vlasti mogu da se obrađuju i u cilju prikupljanja sredstava za humanitarne svrhe, uz primenu odgovarajućih mera zaštite prava i sloboda lica na koje se podaci odnose, u skladu sa ovim zakonom.
U cilju prikupljanja sredstava za humanitarne svrhe podaci o ličnosti koje obrađuje organ vlasti ne mogu se ustupati drugim licima.
IH. KAZNENE ODREDBE
Član 95.
Novčanom kaznom od 50.000 dinara do 2.000.000 kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako:
1) obrađuje podatke o ličnosti suprotno načelima obrade iz člana 5. stav 1. ovog zakona;
2) obrađuje podatke o ličnosti u druge svrhe, suprotno čl. 6. i 7. ovog zakona;
3) jasno ne izdvoji podatke o ličnosti koji su zasnovani na činjeničnom stanju od podataka o ličnosti koji su zasnovani na ličnoj oceni (član 10);
4) ako korišćenjem razumnih mera ne obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni (član 11. stav 1);
5) obrađuje podatke o ličnosti bez saglasnosti lica na koje se podaci odnose, a nije u mogućnosti da predoči da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka (član 15. stav 1);
6) obrađuje posebne vrste podataka o ličnosti suprotno čl. 17. i 18. ovog zakona;
7) obrađuje podatke o ličnosti u vezi sa krivičnim presudama, kažnjivim delima i merama bezbednosti suprotno članu 19. stav 1. ovog zakona;
8) licu na koje se podaci odnose ne pruži informacije iz člana 23. st. 1. do 3. i člana 24. st. 1. do 4. ovog zakona;
9) licu na koje se podaci odnose ne stavi na raspolaganje ili ne pruži informacije iz člana 25. st. 1. i 2. ovog zakona;
10) ne pruži tražene informacije, ne omogući pristup podacima, odnosno ako ne dostavi kopiju podataka koje obrađuje (član 26. st. 1. i 2 i član 27);
11) ograniči delimično ili u celini pravo na pristup podacima licu na koje se podaci odnose suprotno članu 28. stav 1. ovog zakona;
12) ne ispravi netačne podatke ili ne dopuni nepotpune podatke, suprotno članu 29. ovog zakona;
13) ne izbriše podatke lica na koje se podaci odnose bez odlaganja u slučajevima iz člana 30. stav 2. ovog zakona;
14) ne ograniči obradu podataka o ličnosti u slučajevima iz člana 31. ovog zakona;
15) ne izbriše podatke o ličnosti (član 32);
16) ne obavesti primaoca u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. stav 1);
17) ne informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno ograničavanja obrade, kao i o razlogu za odbijanje (član 34. stav 1);
18) ne prekine sa obradom podataka nakon što je lice podnelo prigovor (član 37. stav 1);
19) se donese odluka koja proizvodi pravne posledice po lice na koje se podaci odnose isključivo na osnovu automatizovane obrade, suprotno čl. 38. i 39. ovog zakona;
20) prilikom određivanja načina obrade, kao i u toku obrade ne preduzme odgovarajuće tehničke, organizacione i kadrovske mere, suprotno članu 42. ovog zakona;
21) se odnos između zajedničkih rukovaoca ne uredi na način propisan članom 43. st. do 2. do 4. ovog zakona;
22) poveri obradu podataka o ličnosti obrađivaču, suprotno članu 45. ovog zakona;
23) se podaci obrađuju bez naloga ili suprotno nalogu rukovaoca (član 46.);
24) ne obavesti Poverenika o povredi bezbednosti podataka, suprotno članu 52. ovog zakona;
25) ne obavesti lice na koje se podaci odnose o povredi bezbednosti podataka, suprotno članu 53. ovog zakona;
26) ne izvrši procenu uticaja na zaštitu bezbednosti podataka na način predviđen članom 54. ovog zakona;
27) ne obavesti Poverenika, odnosno ne zatraži mišljenje Poverenika pre započinjanja radnje obrade (član 55. st. 1. i 3);
28) ne odredi lice za zaštitu podataka o ličnosti u slučajevima iz člana 56. stav 2. ovog zakona;
29) ne izvrši svoje obaveze prema licu za zaštiti podataka o ličnosti iz člana 57. st. 1. do 3. ovog zakona;
30) se prenos podataka o ličnosti u druge zemlje i međunarodne organizacije vrši suprotno čl. 63. do 71. ovog zakona;
31) ne obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona (član 80);
32) obrađuje podatke o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe suprotno članu 92. ovog zakona.
Novčanom kaznom u iznosu od 100.000 dinara kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako:
1) ne upozna primaoca sa posebnim uslovima za obradu podataka o ličnosti propisnim zakonom i njegovom obavezom ispunjenja tih uslova (član 11. stav 5);
2) ne dostavi licu na koje se podaci odnose obrazloženu odluku, odnosno ne obavesti lice u roku iz člana 28. st. 3. i 5. ovog zakona;
3) nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu (član 37. stav 3);
4) ne odredi svog predstavnika u Republici Srbiji, suprotno članu 44. ovog zakona;
5) ne vodi propisane evidencije o obradi (član 47), ili ne beleži radnje obrade (član 48);
6) ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku (član 56. stav 11);
Novčanom kaznom od 5.000 do 150.000 kazniće se za prekršaj fizičko lice koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova (član 57. stav 7. i član 76);
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom kaznom od 20.000 do 500.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od 5.000 do 150.000 dinara.
Za prekršaj iz stava 2. ovog člana kazniće se preduzetnik novčanom kaznom od u iznosu od 50.000 dinara.
Za prekršaj iz stava 2. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom u iznosu od 20.000 dinara.
H. PRELAZNE I ZAVRŠNE ODREDBE
Zamenik Poverenika
Član 96.
Zamenik poverenika za zaštitu podataka o ličnosti koji je izabran u skladu sa Zakonom o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12), nastavlja da vrši tu dužnost do isteka mandata na koji je izabran.
Započeti postupci
Član 97.
Postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, postupci po zahtevima za izdavanje dozvole za iznošenje podataka iz Republike Srbije i postupci nadzora koji nisu okončani do dana početka primene ovog zakona okončaće se po odredbama Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12).
Centralni registar zbirki podataka
Član 98.
Centralni registar zbirki podataka koji je uspostavljen po odredbama Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12) prestaje da se vodi danom stupanja na snagu ovog zakona.
Sa centralnim registrom iz stava 1. ovog člana, kao i sa podacima sadržanim u tom registru, postupa se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Podzakonski akti
Član 99.
Podzakonski akti predviđeni ovim zakonom biće doneti u roku od devet meseci od dana stupanja na snagu ovog zakona.
Podzakonski akti koji su doneti na osnovu Zakona o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12) nastavljaju da se primenjuju do donošenja podzakonskih akata iz stava 1. ovog člana, ako nisu u suprotnosti sa ovim zakonom.
Usklađivanje drugih zakona
Član 100.
Odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiće se sa odredbama ovog zakona do kraja 2020. godine.
Prestanak važenja ranijeg zakona
Član 101.
Danom početka primene ovog zakona prestaje da važi Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS" br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12).
Stupanje zakona na snagu
Član 102.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se po isteku devet meseci od dana stupanja zakona na snagu, osim odredbe člana 98. ovog zakona koja se primenjuje od dana njegovog stupanja na snagu.
OBRAZLOŽENjE
I. USTAVNI OSNOV ZA DONOŠENjE ZAKONA
Ustavni osnov za donošenje Zakona o zaštiti podataka o ličnosti sadržan je u članu 42. Ustava Republike Srbije. Stavom 2. navedenog člana propisano je da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom, a stavom 4. istog člana propisano je da svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, kao i pravo na sudsku zaštitu zbog njihove zloupotrebe.
Ustavni osnov za donošenje ovog zakona sadržan je i u članu 97. tač. 2. i 16. Ustava, kojom je predviđeno da Republika Srbija uređuje i obezbeđuje, između ostalog, ostvarivanje i zaštitu sloboda i prava građana, postupak pred sudovima i drugim državnim organima, odnosno organizaciju, nadležnost i rad republičkih organa.
II. RAZLOZI ZA DONOŠENjE ZAKONA
Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni i mogu se razmatrati kako zbog potreba Republike Srbije, tako i zbog potreba međunarodne saradnje, kao i zbog procesa pridruživanja Republike Srbije Evropskoj uniji. Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti. Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije, dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje. Imajući u vidu navedene razloge, neophodno je doneti novi zakon koji će urediti ovu oblast.
Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS", br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12) usvojen je krajem 2008. godine, a počeo je sa primenom 1. januara 2009. godine. Od početka primene navedeni zakon je, prema izveštajima Evropske komisije o napretku Republike Srbije, ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti.
Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.
Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske unije (2000/C 364/01). Pravo na zaštitu podataka zajemčeno je članom 8. navedene Povelje (Zaštita podataka o ličnosti).
U međuvremenu, doneti su novi relevantni propisi Evropske unije koji uređuju oblast zaštite podataka o ličnosti. Reč je o Uredbi 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka i stavljanju van snage Direktive 98/46/EZ (u daljem tekstu Uredba), kao i Direktivi 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka i stavljanju van snage okvirne odluke Saveta 2008/977/PUP (u daljem tekstu: Direktiva), pa je, imajući u vidu obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji, bilo neophodno pripremiti novi Predlog zakona o zaštiti podataka o ličnosti koji će obezbediti usklađenost sa ovim propisima Evropske unije.
Navedeni relevantni dokumenti Evropske unije ukazuju da zaštita podataka više nije pitanje harmonizacije prava Evropske unije i pojedinačne implementacije u nacionalno zakonodavstvo, već oblast direktne primene prava Evropske unije. Snažan nezavisni organ za zaštitu podataka o ličnosti je preduslov adekvatne zaštite podataka o ličnosti za Evropsku uniju, na šta ukazuje i postojanje posebnog organa za zaštitu podataka o ličnosti u okviru Unije - Evropskog supervizora za zaštitu podataka o ličnosti, posebnih odeljenja i oficira za zaštitu podataka o ličnosti Europola ili Eurodžasta, kao i odluke Suda pravde Evropske unije o položaju organa nadležnih za zaštitu podataka o ličnosti.
Kao što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje i višegodišnja primena važećeg zakona.
Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u neadekvatno uređenom postupku ostvarivanja prava na zaštitu podataka o ličnosti i neuređenom postupku iznošenja podataka o ličnosti iz Republike Srbije. Takođe, nedostaci su izraženi i u nepotpunom uređenju odgovornosti u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza. Bezbednost podataka je potpuno neadekvatno uređena, a nedostaje i obaveza analize rizika po prava lica u slučaju pojedinih obrada koje mogu ozbiljno ugroziti njihova prava. Istovremeno, neophodno je uvesti nove institute u režim zaštite podataka o ličnosti, koji se prevashodno odnose na lica zadužena za zaštitu podataka kod rukovalaca ili kod obrađivača.
Osnovni cilj zakona je da svakome obezbedi poštovanje osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti. Stoga, Zakon o zaštiti podataka treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji. U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.
Pored toga, Predlogom zakona se ostvaruju i ostali ciljevi, od kojih su najvažniji:
- šire uređenje osnovnih pojmova koji se koriste u zakonu i dodavanje većeg broja novih pojmova;
- detaljnije uređenje postupka ostvarivanja prava na zaštitu podataka o ličnosti;
- propisivanje velikog broja različitih slučajeva kojima je u potpunosti uređen postupak iznošenja podataka o ličnosti iz Republike Srbije, čime se značajno ubrzava ovakav prenos (što je značajno zbog dostignutog stepena savremenih informacionih tehnologija, društvenih mreža, olakšavanja poslovanja privrednih subjekata i dr);
- uređenje odgovornosti u slučaju kršenja prava lica na koje se podaci odnose, kao i u slučaju neispunjavanja zakonskih obaveza rukovaoca, obrađivača ili njihovih predstavnika;
- potpunije uređenje bezbednosti podataka o ličnosti, tako što se propisuje veći broj mera zaštite podataka o ličnosti, kao i postupak u slučaju da do povrede bezbednosti ipak dođe;
- uvođenje obaveze analize rizika pre započinjanja radnji obrade, a ako je rizik visokog nivoa propisuje se neophodnost prethodnog traženja mišljenja nadzornog organa;
- propisivanje novih instituta, kao što su obavezujuća poslovna pravila, sertifikacija, određivanje lice za zaštitu podataka o ličnosti, kao i kodeks postupanja;
- potpuno uređenje obrade podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija. Svakako da ove odredbe predstavljaju jednu od najznačajnih zakonskih novina, jer se prvi put jasno propisuju posebne odredbe koje se odnose samo na nadležne organe, čime se obezbeđuje zakonitost njihovog postupanja i istovremeno određuju slučajevi kada ograničenje opšteg režima postoje;
- proširenje i preciziranje nadležnosti i ovlašćenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik), kao nezavisnog i samostalnog državnog organa nadležnog za nadzor i sprovođenje Zakona o zaštiti podataka o ličnosti;
- obezbeđivanje usklađenosti sa relevantnim dokumentima Evropske unije (Uredbom i Direktivom), što je od velikog značaja za obaveze Republike Srbije koje su predviđene Pregovaračkim poglavljima 23 i 24.
Prilikom izrade teksta Predloga zakona korišćeni su tekstovi novih relevantnih propisa Evropske unije, analiza teksta važećeg zakona, inicijative i preporuke za izmenu njegovih odredaba, kao i rešenja koja je izneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u svom Modelu zakona. Pored toga, u tekst Predloga zakona ugrađeni su komentari Evropske komisije i EUROJUST-a, kojima je tekst u postupku pripreme bio dostavljen na mišljenje, kao i prihvaćene primedbe i sugestije državnih organa kojima je tekst (u skladu sa Poslovnikom Vlade) bio upućen na mišljenje.
III. OBJAŠNjENjE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENjA
Predlog zakona o zaštiti podataka o ličnosti sadrži deset glava, i to: Osnovne odredbe (Glava I), Načela (Glava II), Prava lica na koje se podaci odnose (Glava III), Rukovalac i obrađivač (Glava IV), Prenos podataka o ličnosti u druge zemlje i međunarodne organizacije (Glava V), Poverenik (Glava VI), Pravna sredstva, odgovornost i kazne (Glava VII), Posebni slučajevi obrade (Glava VIII), Kaznene odredbe (Glava IH) i Prelazne i završne odredbe (Glava H).
Osnovne odredbe (Glava I. Predloga zakona) sadrže četiri člana, i uređuju predmet zakona, cilj zakona, njegovu primenu i značenje osnovnih izraza koji se koriste u zakonu. Obzirom na značaj ove glave za tekst celog zakona (posebno što se predviđa značenje najvažnijih izraza koji se koriste kroz ceo tekst zakona), ova glava je i nazvana "Osnovne odredbe".
Članom 1. Predloga zakona određen je njegov predmet. Stavom 1. navedenog člana predviđeno je da zakon uređuje pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodnim protokom takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebne slučajeve obrade.
Stavom 2. istog člana predviđeno je da se zakonom uređuje i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka. Stav 2. člana 1. Predloga zakona je posledica usklađivanja sa Direktivom.
Treba napomenuti da su, s obzirom da pravila iz navedene Direktive predstavljaju ograničenja u odnosu na odredbe iz Uredbe, kroz ceo tekst Predloga zakona data opšta pravila o obradi podataka koja su predviđena Uredbom, a da se odmah zatim propisuju izuzeci koji se odnese na obradu podataka u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, a koji su predviđeni Direktivom. Treba napomenuti i da se, ako takvih ograničenja nema, na obradu podataka o ličnosti (kada ne obrađuju podatke u posebne svrhe), primenjuje opšti režim kao i na ostale organe vlasti.
U članu 2. Predloga zakona propisan je njegov cilj. Stavom 1. ovog člana definisan je opšti cilj zakona, koji je identičan cilju važećeg zakona, a to je da se zakonom obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.
Novinu predstavlja stav 2. ovog člana koji ukazuje na značaj ovog zakona kao zakona koji u oblasti zaštite podataka o ličnosti ima opšti i sistemski karakter, kao i potrebu da posebni zakoni (obzirom da se zakonom mora urediti prikupljanje, držanje, obrada i korišćenje podataka o ličnosti), kada uređuju obradu podataka moraju biti usklađeni sa ovim zakonom, jer on ovu oblast celovito i najdetaljnije uređuje.
Član 3. Predloga zakona odnosi se na obim njegove primene. Stavom 1. navedenog člana preciziran je član 4. važećeg zakona koji uređuje zaštitu podataka o ličnosti.
Stavom 2. istog člana predviđeno je da se zakon ne primenjuje na obradu podataka fizičkog lica za lične potrebe, kao i za potrebe svog porodičnog domaćinstva.
Takođe, zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, i to bez obzira da li se radnje obrade vrše na teritoriji Republike Srbije.
Isto tako, stavom 4. istog člana predviđeno je da se zakon primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose, koje ima prebivalište na teritoriji Republike Srbije, ako se obrada vrši od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, pod uslovom da su radnje obrade vezane za ponudu roba, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije, i to bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu, kao i za praćenje aktivnosti lica na koje se podaci odnose, a koje se vrše na teritoriji Republike Srbije.
Jedan od najvažnijih članova Predloga zakona je svakako član 4, u kome su data objašnjenja najznačajnih pojmova koji se u zakonu koriste. U odnosu na važeći zakon (koji sadrži deset osnovnih pojmova), u Predlogu zakona su kao novi pojmovi određeni: "profilisanje", "pseudonimizacija", "treća strana", "pristanak" "povreda bezbednosti podataka", "genetski podatak", "biometrijski podatak", "podaci o zdravlju", "predstavnik", "privredni subjekat", "multinacionalna kompanija", "grupa privrednih subjekata", "obavezujuća poslovna pravila", "usluga informacionog društva" "međunarodna organizacija" i "nadležni organ". Takođe je određeno i značenje izraza "pristanak" i "Poverenik". Za razliku od sada važećeg zakonskog rešenja, prema kome se pristanak može dati isključivo u pismenom obliku (a koje je u primeni zakona izazivalo velike probleme, posebno imajući u vidu ubrzani razvoj informacionih tehnologija), pojam pristanka je sada precizno definisan i značajno proširen. Naime, pristanak lica na koje se podaci odnose je određen kao svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose.
Kao što je rečeno, određen je i pojam "nadležnog organa", kao organa vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. Kao što je rečeno, značajno je napomenuti da ako nadležni organi ne obrađuju podatke o ličnosti u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela i izvršenja krivičnih sankcija, na njihovo postupanje primenjuju se odredbe zakona koje se odnose na postupanje ostalih organa vlasti. Ako, međutim, postupaju u navedene svrhe, tada se primenjuju ograničenja predviđena tačno određenim odredbama Predloga zakona.
Treba napomenuti i da su sve nove definicije, u odnosu na važeći zakon, pored potrebe da se osnovni pojmovi koji se koriste u zakonu što preciznije odrede, posledica usaglašavanja sa Uredbom i Direktivom.
Glava druga Predloga zakona (čl. 5. do 20) uređuje načela koja se odnose na obradu podataka, kao polazne osnove i osnovne principe kojih se uvek treba pridržavati prilikom bilo koje obrade podataka o ličnosti.
Član 5. Predloga zakona propisuje načela obrade podataka o ličnosti. Ta načela su sledeća: zakonitost, poštenje i transparentnost, ograničenje u odnosu na svrhu obrade, minimizacija podataka, tačnost, ograničenje čuvanja i odgovornost za postupanje.
Zakonitost obrade podrazumeva da se obrada podataka može vršiti samo ako je to uređeno zakonom.
Ograničenje svrhe obrade podrazumeva da se podaci o ličnosti moraju obrađivati samo u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.
Minimizacija podataka podrazumeva da podaci koji se obrađuju moraju biti primereni, bitni i ograničeni samo na ono što je neophodno.
Tačnost podrazumeva ne samo da podaci o ličnosti moraju biti tačni, nego i da se moraju preduzeti sve razumne mere da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave.
Ograničenje čuvanja podrazumeva da se podaci moraju čuvati samo u vremenskom periodu neophodnom za ostvarivanje svrhe obrade.
Integritet i poverljivost podrazumevaju da se podaci moraju obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, što uključuje zaštitu od neovlašćene ili nezakonite obrade, od slučajnog gubitka, od uništenja ili oštećenja, kao i primenom odgovarajućih mera zaštite.
Član 6. Predloga zakona predstavlja izuzetak u odnosu na načelo ograničenja u odnosu na svrhe obrade, i predviđa da se ne smatra drugom svrhom obrade ona obrada koja se vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe.
Član 7. Predloga zakona takođe predstavlja izuzetak od načela ograničenja u odnosu na svrhe obrade. Reč je o obradi podataka od strane nadležnih organa u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti (u daljem tekstu: u posebne svrhe). U tom slučaju moguća je i obrada podataka o ličnosti u druge svrhe, ali samo ako su zajedno ispunjeni uslovi da je takva obrada podataka predviđena zakonom, kao i da je neophodna i srazmerna toj drugoj svrsi.
Član 8. Predloga zakona predstavlja izuzetak od načela ograničenja čuvanja i odnosi se na podatke o ličnosti koji se obrađuju isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe. Izuzetak takođe postoji i za podatke prikupljene u posebne svrhe. U tom slučaju, rukovalac mora odrediti rok kada će se podaci brisati, ako takav rok nije određen zakonom.
Član 9. Predloga zakona takođe uređuje obradu podataka u posebne svrhe. Navedeni član propisuje obavezu nadležnog organa da napravi jasnu razliku između lica koja su u različitim fazama krivičnog postupka, osuđenim licima, licima koja su oštećena krivičnim delom, kao i licima koja su u vezi sa krivičnim delom (svedoci). Članom 10. Predloga zakona ova obaveza nadležnog organa se odnosi i na dužnost izdvajanja podataka o ličnosti koji su zasnovani na činjeničnom stanju i onih podataka koji su zasnovani na ličnoj oceni.
Na postupanje nadležnih organa odnosi se i član 11. Predloga zakona. Navedeni član propisuje dužnost nadležnih organa da korišćenjem razumnih mera obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni. Nadležni organi su dužni da tačnost i ažurnost podataka proveravaju pre započinjanja prenosa podataka, da drugom nadležnom organu kome vrše prenos dostave i informacije o oceni tačnosti, odnosno ažurnosti podataka, kao i da obavesti drugi nadležni organ o potrebi da se preneti podaci isprave ili izbrišu.
Načelu zakonitosti obrade posvećen je član 12. Predloga zakona. Ovim članom predviđeno je da obrada može biti zakonito jedino ako je ispunjeni neki od predviđenih uslova. Ti uslovi su: da se lice na koje se podaci o ličnosti odnose saglasilo sa obradom njegovih podataka; da je obrada neophodna za izvršenje ugovora zaključenim sa licem na koje se podaci odnose; da je obrada neophodna u cilju poštovanja pravnih obaveza rukovaoca, propisanih zakonom ili ugovorom; da je obrada neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica; da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršavanja propisanih ovlašćenja rukovaoca ili ako je obrada neophodna u cilju ostvarenja legitimnih interesa rukovaoca ili treće strane.
Članovi 13. i 14. Predloga zakona predstavljaju izuzetak u odnosu na načelo zakonitosti, i to ako je reč o obradi podataka u posebne svrhe, kao i u posebnim slučajevima. Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Posebni slučajevi su vezani za obradu koja je neophodna u cilju poštovanja pravnih obaveza rukovaoca i obradu koja je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Značajnu novinu predstavljaju i odredbe o pristanku lica na koje se podaci odnose na obradu njegovih podataka (član 15. Predloga zakona). Za razliku od važećeg zakonskog rešenja koje je predviđalo da pristanak mora biti dat u pismenom obliku, sada se takav oblik ne zahteva. Međutim, u slučajevima kada je pristanak dat na drugi način, a u cilju izbegavanja mogućih zloupotreba, rukovalac ima obavezu da dokaže (predoči) da je neko lice zaista i dalo pristanak za obradu njegovih podataka.
Veoma su važne i odredbe o pristanku maloletnog lica za obradu njegovih podataka u korišćenju usluga informacionog društva (član 16. Predloga zakona). Predviđeno je da maloletno lice koje je navršilo 15 godina može samostalno da da pristanak za obradu svojih podataka, dok za obradu podataka o maloletnom licu koje nije navršilo 15 godina pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica. Prilikom određivanja ove starosne granice imalo se u vidu da maloletnik od 15 godina može da zasnuje radni odnos, kao i da se radi o davanju saglasnosti za obradu podataka o ličnosti u korišćenju usluga informacionog društva, koje maloletnici i inače veoma često koriste, zbog čega je uzrast od 15 godina primeren za samostalno davanje ovakve saglasnosti.
Obrada posebnih kategorija podataka o ličnosti je uređena u članu 17. Predloga zakona. Kao opšte načelo predviđeno je da je zabranjena obrada podataka o ličnosti kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka, u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji lica.
Međutim, imajući u vidu veliki broj mogućih situacija kada je neophodno izvršiti i obradu ovakvih podataka, u stavu 2. istog člana, precizno je navedeno deset izuzetaka kada se obrada posebnih kategorija podataka ipak može vršiti.
Ako obradu posebnih kategorija podataka vrše nadležni organi u posebne svrhe, i to samo ako je to neophodno, ovakva obrada je moguća samo ako je nadležni organ za to ovlašćen zakonom ili se obrada posebnih vrsta podataka vrši u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog lica, kao i u slučaju ako se obrada odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti (član 18. Predloga zakona).
Članom 19. Predloga zakona uređena je obrada podataka o ličnosti koja se u vezi sa krivičnim presudama i kažnjivim delima. Ovakva obrada može se vršiti samo pod nadzorom nadležnog organa ili (ako je takva obrada dopuštena zakonom) samo uz punu primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Istim članom Predloga zakona je predviđeno i da se jedinstvena evidencija o krivičnim presudama vodi isključivo od strane nadležnog organa i pod njegovim nadzorom.
Članom 20. Predloga zakona predviđen je slučaj kada za ostvarivanje svrhe nije potrebno da rukovalac identifikuje lice na koje se podaci odnose. U tom slučaju, rukovalac nema obavezu da zadrži, pribavi ili obradi dodatne informacije radi identifikacije lica.
Glava III. Predloga zakona - Prava lica na koje se podaci odnose (čl. 21. do 40) sadrži više odeljaka.
U okviru prvog odeljka uređena je transparentnost i načini ostvarivanja prava lica na koje se podaci odnose (čl. 21. i 22. Predloga zakona).
Član 21. Predloga zakona uređuje koje su to informacije koje rukovalac mora da pruži licu na koji se podaci odnose, kao i obavezu rukovaoca da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o tome obavesti to lice, kao i da ga obavesti o razlozima za nepostupanje, kao i o pravu da podnese pritužbu Povereniku, odnosno tužbu sudu. Informacije se pružaju bez naknade, osim u slučaju da je zahtev očigledno neosnovan, preteran ili se isti zahtev učestalo ponavlja. Takođe, a imajući u vidu dostignuti nivo informacionih tehnologija, informacije se mogu pružiti i putem standardizovanih ikona, kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Standardizovane ikone moraju biti čitljive na elektronskom uređaju.
Slična pravila se primenjuju i na nadležne organe kada vrše obradu u posebne svrhe, s tim što je broj informacija koje se pružaju, u odnosu na druge rukovaoce, manji (član 22. Predloga zakona).
Drugi odeljak uređuje informacije koje pruža rukovalac, kao i pristup koji lice na koje se podaci odnose može da ostvari (čl. 23. do 28. Predloga zakona).
Član 23. Predloga zakona uređuje informacije koje rukovalac pruža licu na koje se podaci odnose. Te informacije su sledeće: o svom identitetu i kontakt podacima, o kontakt podacima lica za zaštitu podataka o ličnosti, o svrsi nameravane obrade i pravnom osnovu za obradu, o pravnom interesu rukovaoca ili treće strane, o primaocu, odnosno grupi primaoca podataka o ličnosti, kao i informaciju o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju.
Pored navedenih informacija, rukovalac je dužan da pruži i dodatne informacije koje su neophodne da bi se obezbedila pravična i transparentna obrada. Te informacije se odnose na: rok čuvanja podataka o ličnosti; postojanje prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o ličnosti, odnosno postojanje prava na ograničenje obrade, postojanje prava na prigovor, kao i prava na prenosivost podataka; postojanje prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva; postojanje prava da se podnese pritužba Povereniku; informcije o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o postojanju automatizovanog donošenja odluke, što uključuju i profilisanje.
Slične informacije rukovalac je dužan da pruži i kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose (član 24. Predloga zakona).
Član 25. Predloga zakona se odnosi na informacije koje pruža nadležni organ kada vrši obradu podataka u posebne svrhe. Imajući u vidu specifičnost kod obrade podataka u navedene svrhe, broj informacija koje se pružaju licu na koje se podaci odnose je manji.
Pravo na pristup lica na koje se podaci odnose podrazumeva pravo da se od rukovaoca zahteva informacija da li se njegovi podaci obrađuju, pristup takvim podacima, kao i pravo da se dobiju informacije o obradi (član 26. Predloga zakona). U slučaju da se podaci obrađuju u posebne svrhe, broj informacija o obradi je manji (član 27. Predloga zakona).
Pravo na pristup može se ograničiti (član 28. Predloga zakona) samo u obimu i trajanju u kome je to neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju. Ovakvo ograničenje može se izvršiti samo sa ciljem da se izbegne ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; omogući sprečavanje, otkrivanje i gonjenje učinilaca krivičnih dela, ili izvršenja krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana ili da se zaštite prava i slobode drugih lica. U tom slučaju, rukovalac je dužan da obrazloženu pismenu odluku kojom se zahtev za pristup odbija, odnosno pravo na pristup ograničava, bez odlaganja dostavi licu na koje se podaci odnose. Na zahtev Poverenika, rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju pristupa.
Izuzetno, postoji mogućnost da rukovalac nema obavezu da postupi na navedeni način. Ovaj izuzetak postoji kada bi se na taj način dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen (stav 4. istog člana). Ali i tada, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Treći odeljak (čl. 29. do 36. Predloga zakona) uređuje pravo na ispravku podataka, pravo na brisanje podataka, pravo na ograničenje obrade i pravo na prenosivost podataka.
Pravo na ispravku (član 29. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se netačni podaci o njemu bez nepotrebnog odlaganja isprave od strane rukovaoca. To lice, u zavisnosti od svrhe obrade, ima pravo i da se nepotpuni podaci o njemu dopune od strane rukovaoca.
Pravo na brisanje, odnosno "pravo lica da bude zaboravljeno" (član 30. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se podaci o njemu obrišu od strane rukovaoca. Pri tome, rukovalac je dužan da bez odlaganje podatke izbriše: ako podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni; ako je lice na koje se podaci odnose opozvalo pristanak na osnovu kojeg se obrada vršila; ako je lice na koje se podaci odnose podnelo prigovor na obradu; ako su podaci o ličnosti nezakonito obrađivani; ako podaci o ličnosti moraju biti izbrisani u cilju izvršenja obaveze rukovaoca propisane zakonom i ako su podaci o ličnosti prikupljeni u vezi sa korišćenjem usluga informacionog društva.
Pravo na ograničenje obrade (član 31. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se obrada podataka o njemu ograniči od strane rukovaoca. Do ovakvog ograničenja dolazi u sledećim slučajevima: ako lice na koje se podaci odnose osporava tačnost podataka o sebi (ograničenje se primenjuje u periodu koji omogućava rukovaocu proveru tačnosti podataka); ako je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o sebi i umesto brisanja zahteva ograničenje upotrebe podataka; ako rukovaocu više nisu potrebni podaci o ličnosti za ostvarenje svrhe obrade, ali ih je lice na koje se odnose zatražilo u cilju podnošenja, ostvarivanja, odnosno odbrane pravnog zahteva i ako je lice na koje se podaci odnose podnelo prigovor na obradu, a u toku je procenjivanje da li pravni osnov za obradu podataka od strane rukovaoca preteže nad interesima, pravima i slobodama tog lica. Ako je obrada podataka o ličnosti ograničena, ti podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose, u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, zbog zaštite prava drugih fizičkih, odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa. Ako je obrada podataka ograničena postoji obaveza rukovaoca da informiše lice na koje se podaci odnose o prestanku ograničenja.
Pravo na brisanje i ograničenje obrade, kada obradu podataka vrše nadležni organi u posebne svrhe, uređeno je članom 32. Predloga zakona. U ovom slučaju, obim prava lica na koje se podaci odnose je manji u odnosu na opšti režim.
Obaveza obaveštavanja u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. Predloga zakona) je dvostruka. Sa jedne strane rukovalac je dužan da primaoca podataka o ličnosti obavesti o ispravci, brisanju i ograničenju obrade, a sa druge strane dužan je i da lice na koje se podaci odnose obavesti o primaocima kojima je takvo obaveštenje dostavljeno.
Obaveza obaveštavanja o ispravci i brisanju podataka, kao i ograničenju obrade, kada obradu podataka vrše nadležni organi u posebne svrhe, uređena je članom 34. Predloga zakona i predstavlja izuzetak u odnosu na opšte pravilo koje se primenjuje na druge rukovaoce. U ovom slučaju, predviđeno je da se nadležni organ koji obrađuje podatke može potpuno ili delimično osloboditi obaveze informisanja ako je to neophodno da se: izbegne ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; omogući sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana, odnosno zaštite prava i slobode drugih lica. Međutim, ostaje obaveza nadležnog organa da se lice na koje se podaci odnose, radi ostvarivanja svojih prava, može obratiti Povereniku, odnosno sudu. Takođe, ako su podaci koji su dobijeni od drugog nadležnog organa netačni podaci, rukovalac je dužan da ga obavesti o njihovoj ispravci.
Ako se ostvarivanje prava lica na koje se podaci odnose, kada obradu podataka vrše nadležni organi u posebne svrhe vrši uz posredovanje Poverenika, Poverenik u skladu sa svojim ovlašćenjim vrši odgovarajuću proveru i nadzor nad takvom obradom podataka (član 35. Predloga zakona).
Pravo na prenosivost podataka je zakonska novina u odnosu na važeće zakonsko rešenje (član 36. Predloga zakona). Ovo pravo podrazumeva da lice na koje se podaci odnose ima pravo da podatke koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajno korišćenom i elektronski čitljivom formatu i da ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni. Da bi se ovakvo pravo ostvarilo, neophodno je da budu ispunjeni i sledeći uslovi: da je lice na koje se podaci odnose dalo pristanak za obradu podataka ili da se takva obrada vrši na osnovu ugovora, kao i da se obrada podataka vrši automatizovano.
Četvrti i peti odeljak (čl. 37. do 40. Predloga zakona) uređuje pravo na prigovor, automatizovano donošenje pojedinačnih odluka i ograničenja.
Pravo na prigovor (Član 37. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu njegovih podataka o ličnosti. Ako se podnese prigovor, rukovalac ima obavezu da prekine sa obradom podataka o licu koje je podnelo prigovor. O postojanju ovog prava, rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori ovo lice.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja. U slučaju podnošenja prigovora, podaci o ličnosti se ne mogu se dalje obrađivati u svrhe direktnog oglašavanja.
Članom 38. Predloga zakona je uređeno automatizovano donošenje pojedinačnih odluka i profilisanje. To podrazumeva da lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili takva odluka značajno utiče na njegov položaj.
Stav 2. istog člana predviđa izuzetak od navedene opšte odredbe i predviđa da se automatizovana pojedinačna odluka ipak može doneti u sledećim slučajevima: ako je takva odluka neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca; ako je odluka zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, kao i ako je zasnovana na izričitom pristanku lica na koje se podaci odnose.
Mogućnost automatizovanog donošenja pojedinačnih odluka je ograničena kada su u pitanju nadležni organi koji obrađuju podatke u posebne svrhe (član 39. Predloga zakona). Takva odluka može se doneti samo u slučaju ako je zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke.
Ovakva odluka se ne može zasnivati na posebnim vrstama podataka o ličnosti, a takođe izričito je zabranjeno profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta podataka o ličnosti.
Član 40. Predloga zakona propisuje ograničenja od opštih odredbi Glave III.
Predviđeno je da ovakva ograničenja mogu postojati pod uslovom da ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako je to neophodno i predstavlja srazmernu meru u demokratskom društvu. Pored toga, neophodno je da se ograničenja odnose na zaštitu: nacionalne bezbednosti; odbrane; javne bezbednosti; sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost; drugih važnih opštih javnih interesa, a posebno važnih privrednih ili finansijskih interesa Republike Srbije, uključujući i interese vezane za monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu; nezavisnosti pravosuđa i sudskih postupaka; sprečavanja, istraživanja, otkrivanja i gonjenja za povredu profesionalne etike; funkcije praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službenih ovlašćenja; lica na koje se podaci odnose ili prava i sloboda drugih lica i ostvarivanja potraživanja u građanskim stvarima.
Glava IV. Predloga zakona - Rukovalac i obrađivač (čl. 41. do 62) takođe sadrži više odeljaka.
U okviru prvog odeljka (čl. 41. do 49. Predloga zakona) propisane su opšte obaveze koje se odnose na rukovaoca i obrađivača.
Obaveze rukovaoca propisane u članu 41. Predloga zakona predviđaju da je rukovalac dužan da preduzme odgovarajuće tehničke, kadrovske i organizacione mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči. Prilikom preduzimanja ovih mera uzima se u obzir priroda, obim, okolnosti i svrha obrade, verovatnoća nastupanja rizika, kao i nivo mogućeg rizika po ostvarivanje prava i slobode lica. Postoji obaveza i da se ove mere preispituju i ažuriraju.
Kada su u pitanju mere zaštite (član 42. Predloga zakona), rukovalac je dužan da primeni odgovarajuće tehničke, organizacione i kadrovske mere koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao i da obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose.
Pored toga, rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake svrhe obrade. Navedenim merama mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Član 43. Predloga zakona određuje pojam zajedničkih rukovaoca. Tačnije, ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima. Zajednički rukovaoci na transparentan način određuju odgovornost svakog od njih za poštovanje odredbi propisanih ovim zakonom, a posebno u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže potrebne informacije. Odgovornost se uređuje sporazumom zajedničkih rukovaoca, a tim sporazumom mora se odrediti i lice za kontakt sa licem na koje se podaci odnose. Međutim, bez obzira na odredbe sporazuma zajedničih rukovaoca, lice na koje se podaci odnose može ostvariti svoja prava pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.
Rukovalac, odnosno obrađivač koji nema sedište u Republici Srbiji dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, sa sedištem u Republici Srbiji (član 44. Predloga zakona). Rukovalac, odnosno obrađivač, ovlašćuje svog predstavnika kao lice kome se lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti u pogledu svih pitanja u vezi sa obradom podatka o ličnosti.
Ako se obrada podataka o ličnosti vrši za račun rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice koje u potpunosti garantuje primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona, kao i zaštitu prava lica na koje se podaci odnose (član 45. Predloga zakona). Obrađivač može dalje poveriti obradu podataka o ličnosti drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja.
Obrada podataka o ličnosti od strane obrađivača mora biti regulisana ugovorom ili drugim pravno obavezujućim aktom, zaključenim, odnosno usvojenim u pisanom obliku, kojim se uređuje odnos između rukovaoca i obrađivača, uključujući predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i ovlašćenja i obaveze rukovaoca.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Ispunjavanje obaveza pružanja garancija može se predočiti i na osnovu primene odobrenog kodeksa postupanja, odnosno izdatog sertifikata.
Pravni odnos između rukovaoca i obrađivača može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama.
U članu 46. Predloga zakona propisano je da obrađivač sme da obrađuje podatke o ličnosti samo po nalogu rukovaoca, osim u slučaju kada je na takvu obradu podataka o ličnosti obavezan zakonom.
Članom 47. Predloga zakona propisane su evidencije o radnjama obrade. Reč je o evidencijama koje obavezno vode rukovalac i obrađivač, odnosno drugi obrađivač. Evidencije se vode u pismenom obliku, što obuhvata i elektronski oblik. Posebnu evidenciju o obradi podataka vode i nadležni organi ako obrađuju podatke u posebne svrhe. Rukovalac, obrađivač i njihovi predstavnici, dužni su da evidencije koje vode učine dostupnim Povereniku na njegov zahtev. Odredbe o vođenju evidencija ne primenjuju se na organizacije u kojima je zaposleno manje od 250 lica, osim u slučaju kad obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose, kad obrada nije povremena i kad obrada obuhvata posebne vrste podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti.
Ako obradu podataka vrše nadležni organi u posebne svrhe, ovi organi su dužni da obezbede da se prilikom upotrebe sistema automatske obrade podataka, u tom sistemu, beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje (član 48. Predloga zakona).
Beleženje uvida i otkrivanja mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, odnosno identiteta primaoca ovih podataka. Beleženje može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka, a zapis nastao beleženjem stavlja se na uvid Povereniku.
Članom 49. Predloga zakona propisana je opšta obaveza saradnje sa Poverenikom, koja podrazumeva da su rukovalac, obrađivač i njihovi predstavnici dužni da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
Drugi odeljak ove glave (čl. 50. do 53. Predloga zakona) uređuje bezbednost podataka o ličnosti.
Članom 50. Predloga zakona propisuje obavezu rukovaoca i obrađivača da sprovode odgovarajuće tehnničke, kadrovske i organizacione mere u cilju dostizanja odgovarajućeg nivoa bezbednosti u odnosu na rizik. Ove mere naročito obuhvataju: pseudonimizaciju i kriptozaštitu podataka o ličnosti; obezbeđivanje sposobnosti osiguranja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade; obezbeđivanje sposobnosti uspostavljanja u najkraćem roku ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata, kao i postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, kadrovskih i organizacionih mera bezbednosti obrade.
Iste obaveze imaju i nadležni organi ako vrše obradu podataka u posebne svrhe (Član 51. Predloga zakona). Pored ove opšte obaveze, nadležni organi dužni su da prilikom automatske obrade podataka primene mere koje trebaju da obezbede da se: onemogući neovlašćenom licu pristup opremi koja se koristi za obradu podataka; spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka; spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti; spreči korišćenja sistema za automatsku obradu od strane neovlašćenog lica upotrebom opreme za prenos podataka; osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima; može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti; može naknadno proveriti, odnosno ustanoviti koji podaci o ličnosti su uneti u sistem automatske obrade, od strane kog lica i kad su uneti; spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa; ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada; osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju, kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema.
U čl. 51. i 52. Predloga zakona propisane su obaveze obaveštavanja Poverenika, odnosno lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti.
Rukovalac je dužan da dokumentuje svaku povredu bezbednosti podataka, uključujući i činjenice o povredi, njenim posledicama i preduzetim aktivnostima za njihovo otklanjanje, a ta dokumentacija Povereniku predstavlja osnov za utvrđivanje da li je rukovalac postupio u skladu sa svojim obavezama.
Ako povreda bezbednosti podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez odlaganja o tome obavesti lice na koje se podaci odnose (član 53. Predloga zakona). Poverenik može naložiti rukovaocu koji nije obavestio lice na koje se podaci odnose da to učini.
Treći odeljak ove glave (član 54. i 55. Predloga zakona) uređuje procenu uticaja na zaštitu podataka o ličnosti i prethodno obaveštavanje.
Član 54. Predloga zakona propisuje obavezu rukovaoca da pre nego što započne sa obradom podataka izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti. Procena uticaja obavezno se vrši u slučaju: sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti; obrade u velikom obimu posebnih vrsta podataka o ličnosti, kao i u slučaju sistematskog nadzora nad javno dostupnim površinama u velikoj meri.
Procena uticaja sadrži: sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade, procenu rizika za prava i slobode lica na koje se podaci odnose i opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi zakona.
Predviđa se i obaveza Poverenika da sačini i javno objavi listu vrsta radnji obrade za koje se mora izvršiti procena uticaja, a pored toga, Poverenik može da sačini i javno objavi i listu vrsta radnji obrade u vezi sa kojima se ne zahteva procena uticaja.
Ako procena uticaja na zaštitu podataka o ličnosti ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da o tome obavesti Poverenika pre započinjanja radnje obrade (član 55. Predloga zakona). Ako Poverenik smatra da bi nameravane radnje obrade mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik dostavlja pismeno mišljenje rukovaocu. Pored toga, Poverenik može da iskoristi i svoja inspekcijska ovlašćenja. Istim članom, dato je ovlašćenje Povereniku da može da sastavi i javno objavi listu vrsti radnji obrade u vezi sa kojima se mora zahtevati njegovo mišljenje.
Četvrti odeljak iste glave (čl. 56. do 58. Predloga zakona) uređuje lice za zaštitu podataka o ličnosti, odnosno njegovo određivanje, položaj i obaveze. Lice za zaštiti podataka takođe predstavlja zakonsku novinu u odnosu na važeće rešenje.
Članom 56. stav 1. predviđena je mogućnost da rukovalac, odnosno obrađivač odrede lice za zaštitu podataka o ličnosti.
Stav 2. istog člana predviđa slučajeve kada se lice za zaštitu podataka o ličnosti obavezno mora odrediti. Ti slučajevi su sledeći: ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja svojih sudskih ovlašćenja; ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose i ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih podataka o ličnosti u velikom obimu.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe, a ako su rukovaoci, odnosno obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu organa vlasti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti. Takvo lice može biti zaposleno kod rukovaoca, odnosno obrađivača, ili može biti angažovano na osnovu ugovora.
Član 57. Predloga zakona uređuje položaj lica za zaštitu podataka o ličnosti. Propisano je da su rukovalac i obrađivač dužni da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti, da mu obezbedi neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, njegovo stručno usavršavanje, kao i da mu obezbede nezavisnost u izvršavanju njegovih obaveza. Takođe, rukovalac i obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje se odnose na zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti ima sledeće obaveze (član 58. Predloga zakona): da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti; da prati primenu odredbi zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih na radnjama obrade, kao i kontrole; da daje mišljenje o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje u skladu sa njom i da sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu podataka o ličnosti.
Peti odeljak iste glave (čl. 59. do 62. Predloga zakona) se odnosi na kodeks postupanja i sertifikaciju. I ovde je reč o zakonskim novinama u odnosu na važeće rešenje.
Članom 59. Predloga zakona predviđeno je da udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu usvojiti kodeks postupanja u cilju efikasnije primene ovog zakona. Udruženja i drugi subjekti, koji nameravaju da izrade kodeks postupanja ili da izmene postojeći kodeks, dužni su da predlog kodeksa, odnosno njegovih izmena, dostave Povereniku na mišljenje. Poverenik je dužan da da mišljenje o usklađenosti predloga kodeksa postupanja sa odredbama ovog zakona, kao i da registruje i objavi kodeks, na koji je prethodno dao saglasnost, ako utvrdi da kodeks sadrži dovoljne garancije za zaštitu podataka o ličnosti.
Nadzor nad primenom kodeksa postupanja (član 60. Predloga zakona) može vršiti pravno lice koje poseduje odgovarajući nivo stručnosti u vezi sa sadržinom kodeksa i koje je akreditovano za vršenje nadzora.
Pravno lice se može akreditovati ako je ispunilo tačno propisane uslove. Akreditacija se oduzima pravnom licu ako se utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Članom 61. Predloga zakona uređena je sertifikacija. Postupci sertifikacije zaštite podataka o ličnosti, sa odgovarajućim žigovima i oznakama, mogu se ustanoviti u cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća.
Postupak sertifikacije je dobrovoljan i transparentan. Sertifikacija ne može uticati na zakonske obaveze rukovaoca i obrađivača. Sertifikat izdaje sertifikaciono telo ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu, odnosno Povereniku, omoguće pristup radnjama obrade i pruže sve informacije o obradi podataka koje su neophodne za sprovođenje postupka sertifikacije. Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijumime za sertifikaciju. Sertifikat se ukida ako sertifikaciono telo, odnosno Poverenik, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikate.
Član 62. Predloga zakona odnosi se na sertifikaciona tela. Sertifikaciono telo, koje poseduje odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti izdaje, obnavlja i ukida sertifikat, i to posle obaveštavanja Poverenika o odluci koja se namerava doneti.
Sertifikaciono telo može biti akreditovano samo ako ispunjava tačno propisane uslove. Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikackiono telo i dalje ispunjava propisane uslove i kriterijume. Izdata akreditacija se ukida ako se utvrdi da sertifikovano telo više ne ispunjava uslove za akreditaciju ili ako krši odredbe ovog zakona. Kriterijume za akreditaciju sertifikacionog tela propisuje Poverenik.
Takođe, Poverenik vodi i javno objavljuje na svojoj internet stranici spisak sertifikacionih tela i izdatih sertifikata.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i ukidanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili ukidanje sertifikata.
Treba napomenuti i da sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici Srbiji, naravno pod uslovom da je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika Srbija.
Glava V. Predloga zakona na nov način detaljno uređuje prenos podataka o ličnosti u druge države i međunarodne organizacije (čl. 63. do 72). Za razliku od važećih zakonskih rešenja, predviđeno je više mogućnosti za prenos podataka u drugu državu ili međunarodnu organizaciju, pri čemu treba naglasiti da u svakoj od mogućih situacija postoje jasno propisani uslovi koji moraju biti ispunjeni.
Članom 63. Predloga zakona propisana su opšta načela za prenos podataka u druge države i međunarodne organizacije. Osnovni princip je da se svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može izvršiti samo ako u skladu sa drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim tim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon.
Ako obradu podataka vrše nadležni organi u posebne svrhe, prenos podataka se može izvršiti samo ako se prenos vrši u navedene svrhe, ako se podaci prenose organu koji ima istu nadležnost u drugoj državi ili međunarodnoj organizaciji, ako je u drugoj zemlji ili međunarodnoj organizaciji obezbeđen primereni nivo zaštite i ako je nadležni organ odobrio dalji prenos podataka.
Član 64. Predloga zakona uređuje prenos na osnovu primerenog nivoa zaštite.
Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, delovima njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.
Ipak, uzimajući u obzir različite okolnosti, Vlada može da utvrdi da neka država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite.
Smatra se da je obezbeđen primereni nivo zaštite i ako je sa drugom državom ili međunarodnom organizacijom zaključen međunarodni sporazum o prenosu podataka o ličnosti.
Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite, odnosno za koje je Vlada utvrdila da ne obezbeđuje primereni nivo zaštite objavljuje se u "Službenom glasniku Republike Srbije".
Članom 65. predviđena je mogućnost prenosa podataka i u državu ili deo njene teritorije koja se ne nalazi na listi država, delova njihovih teritorija ili međunarodnih organizacija koje imaju primereni nivo zaštite, naravno uz ispunjenje tačno određenih uslova, odnosno na osnovu posebnog odobrenja Poverenika. Ovakav prenos je moguć i kada ga vrši nadležni organi u posebne svrhe, na način i pod uslovima iz člana 66. Predloga zakona.
Članom 67. Predloga zakona propisano je da Poverenik odobrava obavezujuća poslovna pravila, koja se takođe mogu iskoristiti za dokazivanje primene zakona. Ona mogu biti odobrena ako ispunjavaju zajedno sledeće uslove: pravno su obavezujuća i primenjuju se i sprovode se od strane svakog člana multinacionalne kompanije, odnosno grupe privrednih subjekata, uključujući i njihove zaposlene; izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih podataka; zadovoljavaju veći broj uslova propisanih stavom 2. tog člana.
U čl. 68. i 69. Predloga zakona su propisani drugi slučajevi kada je moguć prenos podataka u drugu državu ili međunarodnu organizaciju. Reč je o slučajevima kada se prenos ili otkrivanje podataka o ličnosti vrši na osnovu pojedinačne odluke organa druge država, kao i u slučaju prenosa podataka u posebnim situacijama. Te posebne situacije se odnose na slučajeve kada je: lice na koje se podaci odnose izričito pristalo na predloženi prenos; prenos neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca; prenos neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica; prenos neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije; prenos neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva; prenos neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak i ako se vrši prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili bilo kom licu koje može da dokaže da ima opravdani interes.
U čl. 70. i 71. Predloga zakona predviđeni su slučajevi prenosa podataka u posebnim situacijama, kada obradu podataka vrše nadležni organi u posebne svrhe.
Međunarodnu saradnju u vezi sa zaštitom podataka o ličnosti vrši Poverenik. U tom smislu, Povernik je dužan da preduzme odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama, odnosno međunarodnim organizacijama (član 72. Predloga zakona), koje se odnose na međunarodnu saradnju u oblasti zaštite podataka o ličnosti.
Glava VI. uređuje rad nadzornog tela nad postupanjem sa podacima o ličnosti, odnosno Poverenika (čl. 73. do 81. Predloga zakona).
Prvo poglavlje u okviru ove glave (čl. 73. do 76. Predloga zakona) uređuje nezavisan status nadzornog tela.
Članom 73. Predloga zakona određeno je da je nadzorno telo nad primenom ovog zakona u Republici Srbiji Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti. Poslove praćenja primene zakona, u skladu sa propisanim ovlašćenjima, Poverenik vrši kao nezavisan državni organ.
S obzirom da pored poslova koji su vezani za zaštitu podataka o ličnosti Poverenik obavlja i poslove u skladu sa drugim zakonima, predviđeno je da za ovu oblast ima zamenika koji će ga zamenjivati u vršenju ovlašćenja koje se odnose na zaštitu podataka o ličnosti.
Nezavisnost Poverenika je bliže uređena u članu 74. Predloga zakona. Nezavisnost podrazumeva da je Poverenik potpuno nezavisan, da je slobodan od svakog neposrednog ili posrednog spoljnog uticaja i da ne može da traži niti da prima naloge od bilo koga. Da bi se obezbedila njegova nezavisnost, u stavu 2. istog člana uređeni su poslovi koje Poverenik ne može da obavlja, odnosno propisano je da se Poverenik ne može baviti drugom delatnošću niti drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje i da ne može politički delovati.
Pored toga, stavom 3. istog člana je određeno da se neophodna finansijska sredstva za rad Poverenika, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove, obezbeđuju u skladu sa zakonom, a stavom 5. da kontrolu nad trošenjem sredstava za rad Poverenika vrši isključivo Državna revizorska institucija, i to na način koji ne utiče na nezavisnost Poverenika.
Članom 75. Predloga zakona propisani su dodatni uslovi koje (pored uslova propisanih Zakonom o slobodnom pristupu informacijama od javnog značaja) mora da ispunjava Poverenik.
Članom 76. Predloga zakona propisana je obaveza Poverenika i svih zaposlenih u njegovoj službi da kao profesionalnu tajnu čuvaju sve podatke koje saznaju u toku obavljanja poslova.
Drugo poglavlje iste glave (čl. 77. do 81. Predloga zakona) uređuje nadležnosti Poverenika.
Članom 77. Predloga zakona propisana je opšta nadležnost Poverenika, odnosno da je nadležan na teritoriji Republike Srbije, kao i izuzetak da nije nadležan jedino u slučaju kada podatke o ličnosti obrađuju sudovi, i to samo u vršenju njihovih sudskih ovlašćenja.
U članu 78. Predloga zakona detaljno su propisana ovlašćenja Poverenika. To su sledeća ovlašćenja: vrši nadzor i obezbeđuje primenu ovog zakona u skladu sa svojim ovlašćenjima; stara se o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom; daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom; stara se o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim obavezama propisanim ovim zakonom; na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim zakonom; postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede ovog zakona i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi; sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u razmeni informacija i pružanju uzajamne pravne pomoći; vrši inspekcijski nadzor nad primenom ovog zakona, u skladu sa ovim zakonom i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, i podnosi zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede ovog zakona; prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za zaštitu podataka o ličnosti; izrađuje standardne ugovorne klauzule; sačinjava i javno objavljuje liste vrsta radnji obrade za koje se mora izvršiti procena uticaja; vodi evidenciju lica za zaštitu podataka o ličnosti; daje pismeno mišljenje o proceni da li će nameravane radnje obrade proizvesti visok rizik; podstiče izradu kodeksa postupanja; podstiče izdavanje sertifikata za zaštitu podataka o ličnosti i propisuje kriterijume za sertifikaciju; sprovodi periodično preispitivanje sertifikata; propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela; odobrava odredbe ugovora ili sporazuma o prenosu podataka; odobrava obavezujuća poslovna pravila; vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju; obavlja i druge poslove određene ovim zakonom.
Treba napomenuti da poslove nadzora Poverenik vrši preko ovlašćenih lica iz stručne službe Poverenika.
U cilju pojednostavljivanja podnošenja pritužbe, Povereniku je dato ovlašćenje da propiše obrazac pritužbe i omogući njeno podnošenje elektronskim putem. Takođe, značajno je istaći da Poverenik obavlja svoje poslove na način da je to besplatno za lice na koje se podaci odnose, kao i lice za zaštitu podataka o ličnosti.
U članu 79. Predloga zakona propisana su inspekcijska ovlašćenja Poverenika. Pored standardnih ovlašćenja Poverenika u vršenju inspekcijskog nadzora (stav 1), propisane su i korektivne mere za koje ja Poverenik ovlašćen (stav 2), kao i ostala ovlašćenja Poverenika (stav 3). Pored toga, u vršenju svojih ovlašćenja, propisano je i da Poverenik može da pokrene odgovarajući postupak pred sudom ili drugim organom.
Član 80. Predloga zakona propisuje obavezu nadležnog organa da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede zakona Povereniku, a član 81. Predloga zakona obavezu Poverenika da sačini godišnji izveštaj o svim aktivnostima. Godišnji izveštaj podnosi se Narodnoj skupštini, a dostavlja se i Vladi i stavlja na uvid javnosti.
Glava VII. Predloga zakona uređuje pravna sredstva, odgovornost i kazne (čl. 82. do 87).
Jedna od najznačajnija novina koju donosi Predlog zakona vezana je za podnošenje pravnih sredstava. Po važećem zakonu, lice je imalo pravo žalbe Povereniku, ako smatra da rukovalac ne obrađuje njegove podatke u skladu sa zakonom, a ako je nezadovoljan odlukom Poverenika, mogao je da pokrene upravni spor.
Sada se predviđa čitav niz različitih mogućnosti za zaštitu prava, pri čemu je moguće podneti više pravnih sredstava, nezavisno od toga da li je već podneto neko sredstvo. Pre svega, može se podneti prigovor rukovaocu na obradu podataka. Pored toga, može se podneti pritužba Povereniku. Protiv odluke Poverenika, odnosno u slučaju da takva odluka nije doneta u roku od 60 dana od dana podnošenja pritužbe, može da se pokrene upravni spor.
Isto tako, a nezavisno od drugih postupaka može se ostvariti i neposredna sudska zaštita.
Na kraju, Predlog zakona izričito propisuje i pravo na naknadu štete, koje podrazumeva da lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Pravo na pritužbu Povereniku (član 82. Predloga zakona) je jedan od osnovnih oblika zaštite i ono omogućuje da lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. Ovo pravo ne utiče na pravo lica na koje se podaci odnose da pokrene i druge postupke upravne ili sudske zaštite. Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu lica da pokrene sudski postupak. Protiv odluke Poverenika, lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, ima pravo da tužbom pokrene upravni spor (član 83. Predloga zakona).
Lice na koje se podaci odnose ima pravo i na sudsku zaštitu (član 84. Predloga zakona), ako smatra da je njegovo pravo propisano ovim zakonom povređeno radnjom obrade podataka o njegovoj ličnosti od strane rukovaoca, odnosno obrađivača, suprotno odredbama ovog zakona. Kao i u slučaju kod podnošenja pritužbe Povereniku, podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava pred sudom, može se zahtevati od suda da obaveže tuženog na davanje informacije, na ispravku, odnosno brisanje podataka o tužiocu, na ograničenje obrade, na davanje podataka u strukturisanom, uobičajeno korišćenom i elektronski čitljivom formatu, na prenošenje podataka drugom rukovaocu, kao i na prekid obrade podataka.
U ovom posebnom sudskom postupku, revizija pravnosnažne odluke je uvek dopuštena, a na sudski postupak se primenjuju odredbe zakona kojim se uređuje parnični postupak.
U upravnom i sudskom postupku lice na koje se podaci odnose ima pravo da ga, u skladu sa posebnim zakonom, zastupa predstavnik udruženja koje se bavi zaštitom prava i sloboda tog lica (član 85. Predloga zakona).
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona (član 86. Predloga zakona) ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao. Za nastalu štetu odgovara rukovalac, a obrađivač samo u slučaju kad nije postupao u skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je postupao izvan ili suprotno uputstvima rukovaoca izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije odgovoran za nastanak štete, a ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade štete.
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način (član 87. Predloga zakona). Stavom 3. istog člana određene su okolnosti koje treba uzeti u obzir u svakom pojedinačnom slučaju, prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu.
Glavom VIII. uređeni su posebni slučajevi obrada (čl. 88. do 94. Predloga zakona).
Posebni slučajevi imaju svoje specifičnosti u odnosu na ostale odredbe Predloga zakona, pa su zbog toga predviđene u posebnoj glavi. Reč je o obradi podataka o ličnosti koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima, kao i svrhe naučnog, umetničkog ili književnog izražavanja, odnosu obrade podataka o ličnosti i slobodnog pristupa informacijama od javnog značaja, obradi jedinstvenog matičnog broja građana, obradi podataka u oblasti rada i zapošljavanja, zaštiti i ograničenju primene odredbi zakona na obradu podataka u svrhe arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja i u statističke svrhe, obradi podataka o ličnosti od strane crkava i verskih zajednica i obradi podataka o ličnosti u humanitarne svrhe od strane organa vlasti.
Kaznene odredbe predviđene su Glavom IH. (član 95. Predloga zakona). Predviđa se 32 različita prekršaja zbog povreda zakona. Za sve prekršaje predviđena je novčana kazna u rasponu predviđenim Zakonom o prekršajima. Za propisane prekršaje mogu da odgovaraju rukovalac, kao i obrađivač koji ima svojstvo pravnog lica. Pored toga, u skladu sa Zakonom o prekršajima, za propisane prekršaje mogu da odgovaraju i preduzetnik, fizičko lice, kao i odgovorno lice u pravnom licu, državnom organu, organu teritorijalne autonomije i jedinici lokalne samouprave, odnosno odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica. Kao poseban prekršaj je propisan slučaj kada lice za obavljanja poslove zaštite podataka ne čuva podatke koje sazna tokom obavljanja poslova kao profesionalnu tajnu.
Takođe, propisano je i šest prekršaja zbog kojih se može izreći novčana kazna u fiksnom iznosu, što je takođe novina u odnosu na važeći zakon.
Završni deo Predloga zakona (Glava X) sadrži njegove prelazne i završne odredbe (čl. 96. do 102. Predloga zakona).
Članom 96. Predloga zakona, a imajući u vidu da Poverenik ima svog zamenika za zaštitu podataka o ličnosti, predviđeno je da taj zamenik nastavlja da vrši svoju dužnost do isteka mandata za koji je izabran.
Članom 97. Predloga zakona predviđeno je da će se postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, postupci po zahtevima za izdavanje dozvole za iznošenje podataka iz Republike Srbije, kao i postupci nadzora koji nisu okončani do dana početka primene ovog zakona primeniti odredbe važećeg Zakona o zaštiti podataka o ličnosti.
Članom 98. predviđeno je da Centralni registar zbirki podataka koji je uspostavljen po odredbama važećeg zakona o zaštiti podataka o ličnosti prestaje da se da se vodi danom stupanja na snagu ovog zakona, kao i da se sa Centralnim registrom (kao i sa podacima sadržanim u tom registru), postupa se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Članom 99. Predloga zakona predviđeno je da se podzakonski akti čije donošenje zakon predviđa za njegovu primenu donesu u roku od devet meseci od dana stupanja na snagu zakona, a da se do njihovog usvajanja primenjuju podzakonski akti koji su doneti na osnovu važećeg Zakona o zaštiti podataka o ličnosti.
Članom 100. Predloga zakona propisano je da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiti sa odredbama ovog zakona do kraja 2020. godine, kako bi se obezbedilo da ovi drugi zakoni budu usklađeni sa zakonom koji u ovoj oblasti ima sistemski karakter.
Završnim odredbama Predloga zakona (čl. 101. i 102) predviđeno je stavljanje van snage važećeg zakona (Zakon o zaštiti podataka o ličnosti - "Službeni glasnik RS", br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12), kao i stupanje zakona na snagu i početak njegove primene.
Predviđena je odložena primena zakona, kako bi se do početka njegove primene doneli neophodni podzakonski akti i obezbedili svi potrebni uslovi za njegovu punu primenu.
IV. PROCENA FINANSIJSKIH SREDSTAVA POTREBNIH ZA SPROVOĐENjE ZAKONA
Za sprovođenje ovog zakona nije potrebno obezbediti dodatna sredstva u Budžetu Republike Srbije za 2018. godinu, dok će takva sredstva eventualno biti potrebno obezbediti u 2019. godini (posle početka njegove primene), kao i u narednim godinama.
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje mogu da podrazumevaju eventualne dodatne troškove, a struktura tih potreba bi bila sledeća:
1) Dodatne institucionalne potrebe, i to:
- Institucionalno jačanje postojeće institucije - Poverenika, imajući u vidu proširenje delokruga u delu koji se odnosi na međunarodnu razmenu podataka o ličnosti, poslove nadzora primene zakona, poslove koji se odnose na davanje mišljenja prilikom pripreme materijala drugih organa državne uprave koji sadrže odredbe o zaštiti podataka o ličnosti, kao i za sve nove poslove koje predviđaju novi propisi Evropske unije sa kojima se vrši usklađivanje (poslovi vezani za sertifikaciju, prethodnu procenu rizika, kodeks postupanja, izradu standardizovanih ikona u elektronskom obliku, standardnih ugovornih klauzula, poslove međunarodne saradnje, korektivne mere i drugo).
- Kako se primena zakona odnosi na sve organe vlasti, pojedini organi javne vlasti sa većim brojem zaposlenih (npr. Ministarstvo unutrašnjih poslova, Ministarstvo odbrane i dr.) imaće potrebu za obrazovanjem novih unutrašnjih organizacionih jedinica koje će se baviti zaštitom podataka o ličnosti. Te unutrašnje organizacione jedinice trebalo bi da budu, odeljenja, odseci ili grupe. U ovom trenutku je nemoguće dati neku bližu procenu eventualnih troškova koji mogu nastati zbog mogućih organizacionih promena u organima vlasti zbog primene ovog zakona, jer, kao što je rečeno, to pre svega zavisi od organa vlasti. Osnovna procena je da je ovakve promene moguće obaviti bez dodatnog zapošljavanja.
- Osnovna procena je da neće postojati i neki posebni troškovi za primenu tehničkih mera koje se predviđaju Predlogom zakona, s obzirom da se ove mere uglavnom već primenjuju (prema propisima o informacionoj bezbednosti). Dodatno unapređenje IT opreme, kancelarijske opreme, kao i druge opreme neophodne za zaposlene se i inače podrazumeva u redovnom obavljanju poslova organa javne vlasti i naravno da će zavisiti od mogućnosti i ograničenja koje predviđa Budžet;
2) Administrativni kapaciteti
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju mogućnost dodatnih troškova za proširenje administrativnih kapaciteta, a struktura tih potreba bi bila sledeća:
2.1. Dodatne administrativne potrebe, i to:
- Dodatni poslovni prostor: odgovarajući broj kancelarija za Poverenika, kao i više kancelarija za zaposlene u organima vlasti koje postupaju sa podacima o ličnosti u većoj meri.
- Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, što će svakako zavisiti od kadrovskih potreba i obezbeđenog dodatnog poslovnog prostora.
2.2. Kadrovske potrebe:
- veći broj državnih službenika u Stručnoj službi Poverenika, za stalno - na neodređeno vreme (visoka stručna sprema, diplomiranih pravnika ili eventualno nekog od fakulteta društvenog smera), od čega bi najveći deo bio u zvanju višeg savetnika, a manji deo bi činili zaposleni sa srednjom stručnom spremom;
- veći broj državnih službenika iz drugih ministarstava ili pravosuđa, na neodređeno vreme u ostalim ministarstvima, sudovima, javnim tužilaštvima, kao i drugim organima javne vlasti.
Kadrovske potrebe će se pre svega rešiti preuzimanjem postojećih državnih službenika, a samo izuzetno i dodatnim zapošljavanjem. Osnovna pretpostavka da je dodatne zaposlene u najvećoj meri moguće angažovati iz drugih državnih organa, dakle iz reda već zaposlenih državnih službenika koji imaju potrebno radno iskustvo, za koje su već predviđeni rashodi za zaposlene. Eventualno dodatno zapošljavanje će zavisiti od mogućnosti i ograničenja koje predviđa Budžet.
- Dodatne administrativne potrebe (korišćenje usluga i roba), i to:
- Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, kao i kancelarije, a sve u skladu sa mogućnostima.
3) Troškovi obuke:
- Obuka za sudije
S obzirom da se Predlogom zakona uvodi novi sudski postupak, neophodno je sprovesti obuku za sudije. Obuka će se sprovesti u Pravosudnoj akademiji. Procenjeno je da će posle donošenja zakona, a do početka njegove primene biti neophodna obuka za 30 sudija. Obuka će se sprovesti u Beogradu (za sve sudije) i trajala bi nekoliko dana. Troškovi za obuku ukupno iznose 800 evra u dinarskoj protivrednosti za dan obuke. Reč je o troškovima za predavače, putne troškove i ostale troškove.
Posle početka primene zakona, pa nadalje, takođe je neophodno sprovoditi istu ovakvu obuku i za druge sudije, sa istim troškovima.
Kada je u pitanju obuka za sudsko i javnotužilačko osoblje, krajem 2018. godine bi bilo potrebno započeti sprovođenje obuke onih zaposlenih koji najviše postupaju sa podacima o ličnosti u toku rada. Za njih bi tema obuke bila upoznavanje sa novim zakonskim rešenjima. Procenjeno je da obuka za ovu grupu (koju bi sačinjavalo 60 polaznika) treba da bude jednodnevna, kao i da su troškovi obuke oko 600 evra u dinarskoj protivvrednosti. Predviđeno je da se, za početak, sprovedu četiri ovakve obuke, i to u gradovima u kojima se nalaze sedišta Apelacionih sudova (Beograd, Kragujevac, Niš i Novi Sad).
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje, pri čemu je procena troškova ista.
Za ostale državne organe takođe je potrebno sprovesti obuku. Sa obukom bi trebalo započeti krajem 2018. godine i početkom 2019. godine. Obuka bi se organizovala preko Nacionalne akademije za javnu upravu, bila bi jednodnevna i takođe bi se odnosila na nova zakonska rešenja iz oblasti zaštite podataka o ličnosti. Obuku bi trebalo sprovoditi periodično kako bi bio obučen što veći broj zaposlenih u državnim organima.
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje.
Kada su u pitanju troškovi obuke sudija, odnosno sudskog i javnotužilačkog osoblja, za koju je predviđeno da je sprovodi Pravosudna akademija, ukazujemo da se radi o redovnom poslovanju Pravosudne akademije za koje se sredstva obezbeđuju u budžetu svake godine, a čija je to osnovna delatnost.
Isto se odnosi na obuku državnih službenika koja će biti sprovedena preko Nacionalne akademije za javnu upravu.
Ovde treba imati u vidu i da se obuke koje se odnose na zaštitu podataka o ličnosti već sprovode više godina. Takođe, treba napomenuti i da je potrebno da se ovaj Predlog zakona usvoji, jer se obuke mogu detaljno planirati (i odobriti) samo u odnosu na zakon koji je već usvojen.
Napominjemo i da je u ovom trenutku nemoguće bliže kvantitativno izraziti troškove koji eventualno mogu da nastanu primenom zakona, s obzirom da pojedini troškovi organa vlasti pre svega zavise od broja podataka o ličnosti koji se obrađuju, vrste podataka, sadašnjih mera zaštite koje se primenjuju prema podacima o ličnosti (pre svega onih iz oblasti informacione bezbednosti), objektivnih potreba za obradu podataka o ličnosti i dr.
Na kraju, ukazujemo da će organi vlasti do početka primene zakona, pa nadalje, moći da opredele detaljne iznose neophodnih budžetskih sredstava za sprovođenje ovog zakona posebno za naredne godine (2020. godinu i nadalje), što će biti izraženo kroz planiranje i pripremu zakona koji uređuje Budžet za naredne godine, imajući u vidu njegove mogućnosti i ograničenja.
ANALIZA EFEKATA ZAKONA
1. Određivanje problema koje Predlogzakona treba da reši?
Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni.
Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti.
Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije, dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje.
Važeći Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS", br. 97/08, 104/09 - dr. zakon, 68/12 - US i 107/12), od početka njegove primene, je prema izveštajima Evropske komisije o napretku Republike Srbije ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti.
Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.
Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske unije (2000/C 364/01). Pravo na privatnost i zaštitu podataka zajemčeno je članovima 7. (Poštovanje privatnog i porodičnog života) i 8. (Zaštita podataka o ličnosti).
U međuvremenu, doneti su novi relevantni propisi Evropske unije koji uređuju oblast zaštite podataka o ličnosti. Reč je o Uredbi 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka od 27.04.2016. godine (u daljem tekstu: Uredba), kao i Direktivi 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka, takođe od 27.04.2016. godine (u daljem tektu: Direktiva), pa je, imajući u vidu obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji, bilo neophodno pripremiti novi tekst Predloga zakona o zaštiti podataka o ličnosti koji će obezbediti usklađenost sa ovim propisima.
Kao što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje i višegodišnja primena važećeg zakona.
Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u sledećem:
- postoji potreba da se šire urede osnovni pojmovi koji se koriste u zakonu, kao i da se preciznije urede načela obrade podataka o ličnosti;
- neadovoljno je uređen postupak ostvarivanja prava na zaštitu podataka o ličnosti;
- nedovoljno je uređen postupak iznošenja podataka o ličnosti iz Republike Srbije;
- nepotpuno je uređena odgovornost u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza;
- bezbednost podataka o ličnosti je takođe nepotpuno uređena;
- nedostaje obaveza analize rizika za prava lica na koje se podaci odnose u slučaju pojedinih obrada viskog rizika koje mogu ozbiljno ugroziti njihovih prava;
- postupci za zaštitu prava lica na koje se podaci odnose nisu odgovarajuće uređeni;
- nedostaju odredbe iz Uredbe koje se odnose na nove institute, kao što su obavezujuća poslovna pravila, sertifikacija, lice za zaštitu podataka o ličnosti i kodeks postupanja;
- potrebno je urediti obradu podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, s obzirom da Direktiva predviđa značajna odstupanja od opšteg režima koji se predviđa Uredbom u slučaju kada obradu vrše nadležni organi u navedene svrhe;
- potrebno je preciznije i šire urediti nadležnosti i ovlašćenja nadzornog tela za sprovođenje Zakona o zaštiti podataka o ličnosti;
- nisu dovoljno uređeni posebni slučajevi obrade podataka o ličnosti.
2. Cilj koji se postiže
Osnovni cilj zakona je da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na zaštitu podataka o ličnosti, koje predstavlja pravo uređeno ne samo zakonima, nego i Ustavom Republike Srbije (član 42). Zakon o zaštiti podataka o ličnosti treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji.
U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.
Drugi cilj koji se želi postići je da Zakon o zaštiti podataka o ličnosti bude zakon opšteg karaktera, sa kojim je neophodno uskladiti posebne zakone, a koji sadrže odredbe o zaštiti podataka o ličnosti. Usklađivanjem drugih zakona sa ovim zakonom obezbeđuje se jedinstvo pravnog sistema Republike Srbije.
Pojedinačni ciljevi koji se primenom novog Zakona žele postići, opredeljeni su u skladu sa iznetim problemima u odnosu na sadašnje stanje, a pod njima se, pored ostalih, podrazumeva:
- šire uređenje osnovnih pojmova koji se koriste u zakonu i dodavanje većeg broja novih pojmova (treća strana, profilisanje, minimizacija, grupa privrednih subjekata, biometrijski podaci, genetski podaci i dr);
- preciznije uređenje i jasnije definisanje osnovnih načela koja se odnose na obradu podataka o ličnosti;
- detaljnije uređenje postupka ostvarivanja prava na zaštitu podataka o ličnosti;
- propisivanje velikog broja različitih slučajeva kojima je u potpunosti uređen postupak iznošenja podataka o ličnosti iz Republike Srbije, čime se značajno ubrzava ovakav prenos (što je značajno zbog dostignutog stepena savremenih informacionih tehnologija, društvenih mreža, olakšavanja poslovanja privrednih subjekata i dr), pri čemu su propisani jasni uslovi pod kojima takav prenos može da se izvrši, koji podrazumeva i puno poštovanje prava lica na koje se podaci odnose;
- uređenje odgovornosti u slučaju kršenja prava lica na koje se podaci odnose, kao i u slučaju neispunjavanja zakonskih obaveza rukovaoca, obrađivača ili njihovih predstavnika. Ta odgovornost je kako prekršajna, tako i odgovornost za učinjenu štetu;
- mnogo potpunije uređenje bezbednosti podataka o ličnosti. Propisuje se veći broj mera zaštite podataka o ličnosti (tehničkih, organizacionih i kadrovskih), kao i postupak u slučaju da do povrede bezbednosti ipak dođe (obaveza obaveštavanja nadzornog tela i lica na koje se podaci odnose i dr);
- uvođenje obaveze analize rizika pre započinjanja radnji obrade, a ako je rizik visikog nivoa propisuje se neophodnost prethodnog traženja mišljenja nadzornog organa;
- propisivanje novih instituta, kao što su obavezujuća poslovna pravila, sertifikacija, određivanje lice za zaštitu podataka o ličnosti, kao i kodeks postupanja. Cilj njihovog propisivanja je da se omogući da se i kroz uvođenje internih pravila ili određivanje lica koje će se baviti zaštitom podataka o ličnosti omogući bolja primena zakona;
- potpuno uređenje obrade podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija. Svakako da ove odredbe predstavljaju jednu od najznačajnih zakonskih novina, jer se prvi put jasno propisuju posebne odredbe koje se odnose samo na nadležne organe (kada vrše obradu podataka u tačno određene svrhe), čime se obezbeđuje zakonitost njihovog postupanja, ali istovremeno i određuju slučajevi kada ograničenje opšteg režima postoje, jer ako takvih ograničenja nema, primeniće se opšti režim;
- proširenje i preciziranje nadležnosti i ovlašćenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, kao nezavisnog i samostalnog državnog organa nadležnog za nadzor i sprovođenje Zakona o zaštiti podataka o ličnosti. Takođe, uređen je i njegov status, kako bi se obezbedila njegova puna nezavisnost;
- uređenje posebnih slučajeva obrade podataka o ličnosti, uz napomenu da je reč samo o najkarakterističnijim slučajevima, s obzirom da je obrada podataka uređena i većim brojem drugih posebnih zakona;
- obezbeđivanje usklađenosti sa relevantnim dokumentima Evropske unije (Uredbom i Direktivom), što je od velikog značaja za obaveze Republike Srbije koje su predviđene Pregovaračkim poglavljima 23 i 24.
3. Da li su razmatrane druge mogućnosti za rešavanje problema?
U razmatranju drugih mogućnosti za rešavanje problema u obzir se nije uzimala opcija "status quo", jer je ranije izrađena analiza nametnula potrebu nužnih izmena i dopuna važećih zakonskih odredaba. Kako što je rečeno, reč je o razlozima vezanim kako za unutrašnje potrebe Republike Srbije, tako i za međunarodnu saradnju, a posebno za ispunjavanje obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji.
Sa druge strane, broj važećih zakonskih odredbi koje je neophodno izmeniti i dopuniti je ogroman, što bi u praksi značilo izmenu gotovo svih sada važećih odredaba, uz dodavanje čitavih delova novih odredaba. Pored toga, neophodno je bilo izmeniti i kompletnu sistematiku zakona. Obim ovakvih izmena ne bi bio moguć i svako prevazilazi dozvoljen obim izmena i dopuna zakona, koji je propisan važećom Metologijom za izradu zakona i drugih propisa.
Isto tako, donošenje novog zakona koji će urediti zaštitu podataka o ličnosti je predviđeno i odgovarajućim strateškim dokumentima. Takva obaveza proizilazi iz Strategije zaštite podataka o ličnosti ("Službeni glasnik RS", broj 58/10), kao i iz Akcionih planova za pregovaračka poglavlja 23 i 24.
U tom smislu, Predlog zakona predstavlja osnovu za realizaciju svih ciljeva koje su predviđeni strateškim dokumentima vezanim za oblast zaštite podataka o ličnosti.
Imajući u vidu da je Evropska unija donela potpuno nove dokumente iz ove oblasti (Uredbu i Direktivu), koji na daleko detaljniji način uređuje zaštitu fizičkih lica u odnosu na obradu podataka o ličnosti i uvodi potpuno nove institute, Predlog zakona će obezbediti usklađivanje prava Republike Srbije sa sada važećim pravnim tekovinama EU.
4. Zašto je donošenje zakona najbolje rešenje problema?
Donošenje novog zakona koji će urediti zaštitu podataka o ličnosti ustvari predstavlja jedino moguće rešenje, iz svih navedenih razloga.
Nedonošenje takvog zakona bi značilo da bi se nastavili postojeći problemi u primeni važećeg Zakona o zaštiti podataka o ličnosti na koje je mnogo puta ukazivano u praksi, da bi i dalje bilo skoro nemoguće izneti podatke o ličnosti iz Republike Srbije (a da takvo iznošenje bude u skladu sa zakonom), da ne bi bila obezbeđena zaštita podataka o ličnosti u skladu sa potrebama i evropskim standardima, da bi bila otežana međunarodna saradnja u ovoj oblasti, da nadležni organi koji obrađuju podatke u tačno određene svrhe nemaju jasna pravila i ograničenja koja su neophodna za njihov rad, da se ne obezbeđuje u punoj meri rad nadzornog tela i tako dalje.
Nedonošenje novog Zakona o zaštiti podataka o ličnosti bi dalje otežavalo i svakodnevni rad velikog broja privrednih subjekata koji obrađuju podatke o ličnosti, imajući u vidu zastarelost sada važećih zakonskih rešenja, što svakako donosi veće rizike i povećava troškove njihovog poslovanja.
Nedonošenje novog zakona bi svakako predstavljalo i korak unazad i zastoj u procesu pridruživanja Republike Srbije Evropskoj uniji.
5. Na koga i kako će uticati predložena rešenja?
Novi Zakon o zaštiti podataka o ličnosti će imati neposredan efekat na veći broj različitih subjekata. Reč je o sledećim subjektima:
1) organima vlasti;
2) nadležnim organima;
3) Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, kao nezavisnom i samostalnom nadzornom organu;
4) licima čiji se podaci o ličnosti obrađuju;
5) velikim privrednim subjektima i multinacionalnim kompanijama;
6) malim i srednjim preduzećima;
7) drugim licima koja su u vezi sa obradom podataka o ličnosti.
Prikaz pojedinih neposrednih efekata na određenu kategoriju subjekata:
1) Organi vlasti će morati da se prilagode novim zakonskim rešenjima. Treba napomenuti da Predlog zakona pod organom vlasti ne podrazumeva samo državne organe već i organe teritorijalne autonomije, jedinica lokalne samouprave, javna preduzeća, ustanove i druge javne službe, organizacije i druga pravna ili fizička lica koja vrše javna ovlašćenja.
Prilagođavanje zakonskim rešenjima će svakako zavisiti od veličine organa vlasti, kao i od broja podataka o ličnosti koje obrađuje. Kada su u pitanju veći organi vlasti, biće neophodno izvršiti odgovarajuće organizacione promene, kako bi se odredila posebna organizaciona jedinica za zaštitu podataka o ličnosti ili odredilo posebno radno mesto za zaštitu podataka o ličnosti. Potrebno je izvršiti i obuku lica za zaštitu podataka o ličnosti, kao i preduzeti odgovarajuće tehničke mere, što ne bi trebalo da predstavlja veći problem, jer se, pre svega u informacionim sistemima, veći broj ovih mera već sprovodi. Takođe, biće neophodno preduzeti aktivnosti kako bi se izvršila procena rizika obrade podataka o ličnosti, kao i mere u slučaju povrede bezbednosti ovih podataka.
Kada su u pitanju organi vlasti manje veličine, koji ne obrađuju veći broj podataka o ličnosti, njihove obaveze i troškovi u primeni zakona će svakako biti manji.
Kako bi se izvršila odgovarajuća priprema za primenu zakona, Predlog zakona predviđa odložen početak njegove primene, dok se ne steknu svi potrebni uslovi za primenu.
2) Nadležni organi će takođe morati da se prilagode novim zakonskim rešenjima.
Zakon određuje nadležne organe kao organe vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti. U tom smislu, ovo je prvi put da se propisuje veći broj posebnih zakonskih odredbi koje određuje uslove i postupanje nadležnih organa kada obrađuju podatke o ličnosti u posebne svrhe. Ako nadležni organi ne obrađuju podatke u posebne svrhe, na njih se primenjuju ostale opšte odredbe zakona.
Sprovođenje i primena zakona će takođe zahtevati manje organizacione promene i uvođenje tehničkih mera u manjem obimu, s obzirom da nadležni organi već uglavnom imaju uslove za primenu tih mera. Takođe, biće neophodno sprovođenje obuka, i to kako onih za primenu zakona, tako i kontinuiranih obuka, u cilju upoznavanja zaposlenih u nadležnim organima sa konkretnim zakonskim rešenjima vezanim za njihov rad. Međutim, time će se obezbediti dosledna primena načela zakonitosti u njihovom radu što će svakako omogućiti efikasniji rad i postupanje sa podacima o ličnosti.
3) Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tesktu: Poverenik)
Zakon predviđa značajne novine kada je u pitanju Poverenik. Pre svega, preciznije se određuje njegov status kao nezavisnog i samostalnog nadzornog tela nadležnog za sprovođenje zakona. Nezavisnost podrazumeva da je Poverenik potpuno nezavisan od svakog neposrednog ili posrednog spoljnog uticaja i da ne može primati naloge ni od koga. Takođe je predviđena obaveza da se moraju stvoriti finansijski, tehnički, organizacioni i kadrovski uslovi za rad Poverenika, da Poverenik samostalno vrši izbor zaposlenih, kao i da nadzor nad trošenjem sredstava za rad Poverenika može da vrši samo Državna revizorka institucija, i to na način koji ne utiče na nezavisnost Poverenika.
U odnosu na važeći Zakon o zaštiti podataka o ličnosti kojim je propisano 16 pojedinačnih nadležnosti Poverenika, Predlogom zakona predviđa se više ovakvih nadležnosti. Značajno je da je propisano izričito ovlašćenje Poverenika da daje mišljenje o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom podataka o ličnosti.
Poverenik je ovlašćen i da postupa po pritužbama. Pritužbu ima pravo da podnese lice na koje se podaci odnose, ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama zakona. Sa druge strane, podnošenje pritužbe ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Pored toga, preciziraju su ovlašćenja Poverenika. Članom 79. Predloga zakona propisana su njegova inspekcijaska ovlašćenja, kao i korektivne mere koje Poverenik može da preduzme (izricanje opomene, nalaganje određenih mera rukovaocu i obrađivaču, poništavanje izdatog sertifikata i izricanje novčane kazne na osnovu prekršajnog naloga). Pored pomenutih, Poverenik je ovlašćen da donosi određene podzakonske akte, izdaje sertifikate, odobrava ugovorne odredbe, kao i da registruje i objavljuje kodeks postupanja.
Takođe, Poverenik je ovlašćen za poslove međunarodne saradnje u vezi sa zaštitom podataka o ličnosti, što podrazumeva preduzimanje odgovarajućih mera u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama i međunarodnim organizacijama. Pod ovim merama se podrazumeva međunarodna saradnja u cilju olakšavanja delotvorne primene zakona koji se odnose na zaštitu podataka o ličnosti, obezbeđivanja međunarodne pravne pomoći u primeni zakona, obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju nadzora, kao i razmenu informacija, angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona, kao i podsticanje i unapređivanje razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti.
Imajući u vidu da se Predlogom zakona značajno povećavaju nadležnosti i obim poslova Poverenika, za sprovođenje zakona biće potrebno obezbediti finansijska sredstva kako bi se obezbedili neophodni uslovi za obavljanje novih poslova. Ovi troškovi se pre svega odnose na povećnje broja zaposlenih u službi Poverenika. Detaljnija procena troškova data je u tački 6. Analize.
4) Lica čiji se podaci o ličnosti obrađuju
Već postojeća prava lica na koje se podaci odnose, u skladu sa važećim zakonom, kao što su pravo na obaveštavanje o obradi, pravo na pristup i kopiju, kao i prava posle ostvarenog pristupa, Predlogom zakona su mnogo detaljnije propisana. Novinu predstavlja pravo na prenosivost podataka koje podrazumeva da lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u uobičajno korišćenom i elektronski čitljivom obliku, kao i da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca koji obrađuje njegove podatke.
Precizirane su i odredbe koje se odnose na automatizovno donošenje pojedinačnih odluka. Naime, lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj. Ako obradu vrše nadležni orgni u posebne svrhe propisana je još restrktivnija odredba (član 39. Predloga zakona), koja predviđa da je zabranjeno donošenje odluke isključivo na osnovu automatizovane obrade, ako takva odluka može da proizvede štetne pravne posledice za lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose.
Najznačajnija novina koja se odnosi na lice na koje se podaci odnose je vezana je za podnošenje pravnih sredstava ako se vrši obrada njegovih podataka o ličnosti. Po važećem zakonu, lice je imalo pravo žalbe Povereniku, ako smatra da rukovalac ne obrađuje njegove podatke u skladu sa zakonom, a ako je nezadovoljan odlukom Poverenika, mogao je da pokrene upravni spor.
Sada se predviđa čitav niz različitih mogućnosti za zaštitu prava, pri čemu je moguće podneti više pravnih sredstava, nezavisno od toga da li je već podneto neko sredstvo. Pre svega, može se podneti prigovor rukovaocu na obradu podataka. Pored toga, može se podneti pritužba Povereniku. Protiv odluke Poverenika, odnosno u slučaju da takva odluka nije doneta u roku od 60 dana od dana podnošenja pritužbe, može da se pokrene upravni spor.
Isto tako, a nezavisno od drugih postupaka može se ostvariti i neposredna sudska zaštita. Tužbom za zaštitu prava može se zahtevati od suda da obaveže tuženog na:
- davanje informacije;
- ispravku, odnosno brisanje podataka o tužiocu;
- ograničenje obrade podataka;
- davanje podataka u uobičajno korišćenom i elektronski čitljivom obliku;
- prenošenje podataka drugom rukovaocu i
- prekid obrade podataka.
Na kraju, Predlog zakona izričito propisuje i pravo na naknadu štete, koje podrazumeva da lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
5) Veliki privredni subjekti i multinacionalne kompanije
Veliki privredni subjekti i multinacionalne kompanije, zbog primene zakona, mogu imati određene dodatne troškove. Međutim, dugoročno gledano, takvi troškovi će svakako smanjiti mnogo veće troškove koji mogu da nastanu zbog obrade podataka o ličnosti koja nije u skladu sa zakonom, a posebno zbog prenosa podataka o ličnosti u drugu državu ili međunarodnu organizaciju.
Treba napomenuti da značajne zakonske novine koje se odnose na kodeks postupanja, izdavanje sertifikata, obavezujujuća poslovna pravila i određivanje lica za zaštitu podataka, u većini slučajeva, nisu obavezujuća. Na primer, obaveza određivanja lica za zaštitu podataka o ličnosti postoji samo u slučaju ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose ili ako se osnovne aktivnosti sastoje u obradi posebnih vrsta podataka o ličnosti. Takođe je predviđeno da grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, što takođe predstavlja dobru mogućnost. Isto tako, propisano je da udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu (dakle ne moraju) usvojiti kodeks postupanja. Za postupak izdavanja sertifikata je izričito propisano da je dobrovoljan i transparentan, a ne postoji izričita obaveza od strane multinacionalne kompanije, odnosno grupe poslovnih subjekata da donesu obavezujuća poslovna pravila.
Međutim, veliki privredni subjekti i multinacionalne kompanije bi svakako trebalo da prepoznaju svoj interes za uspostavljanje navedenih mehanizama, jer će na taj način:
- obezbediti poštovanje zakonskih odredbi;
- smanjiti moguće troškove za postupke štete;
- te mehanizme koristiti za predočavanje da poštuju odredbe zakona;
- uspostaviti mogućnost za bolje kontakte i povezivanje sa drugim grupama privrednih subjekata i multinacionalnih kompanija koji imaju takve mehanizme;
- imati mogućnost da iskoriste više različitih načina za zakonit prenos podataka u druge države.
Sa druge strane, veliki privredni subjekti i multinacionalne kompanije imaju iste obaveze kao i drugi rukovaoci. To podrazumeva: omogućavanje licima na koje se podaci odnose da ostvare prava koja zakon predviđa, dužnost preduzimanja odgovarajućih tehničkih, organizacionih i kadrovskih mera zaštite, da vode evidenciju radnji obrade, da sarađuju sa Poverenikom, da izvrše prethodnu procenu rizika, kao i da poštuju postupak u slučaju povrede podataka o ličnosti. Kao što je rečeno (u odnosu na organe vlasti), a to se odnosi i na velike privredne subjekte i multinacionalne kompanije, i ovde je pretpostavka da preduzimanje odgovarajućih tehničkih mera ne bi trebalo da predstavlja veći problem i da se, pre svega u informacionim sistemima, veći broj ovih mera već sprovodi.
Za velike privredne subjekte i multinacionalne kompanije koje nemaju sedište na teritoriji Republike Srbije, a obrađuju podatke o ličnosti lica koja imaju prebivalište ili boravište na teritoriji Republike Srbiji, postoji i obaveza određevanja predstavnika koji mora biti fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije. Predstavnik je ovlašćen da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom.
6) Mala i srednja preduzeća
U odnosu na mala i srednja preduzeća, pod pretpostavkom da njihove poslovne aktivnosti nisu vezane za obradu većeg broja podataka o ličnosti ili obradu posebnih kategorija podataka, primena ovog zakona ne bi trebalo da izazove troškove u većoj meri, niti neka veća prilagođavanja. Mala i srednja preduzeća, kao rukovaoci ili obrađivači podataka o ličnosti imaju opšte obaveze kao i drugi rukovaoci i obrađivači, s tim da nemaju obavezu vođenja evidencije o obradi podataka. Naime, tu obavezu načelno nemaju privredni subjekt i organizacije u kojima je zaposleno manje od 250 lica.
Sa druge strane, ukoliko malo ili srednje preduzeće vrši delatnost koja podrazumeva obradu velikog broja podataka o ličnosti, a posebno ako prenosi te podatke u druge države, kao što je rečeno i za druge subjekte, imaće određene troškove zbog primene zakona, koji će dugoročno predstavljati korist.
Kao što je rečeno u tački 8. Analize, Predlog zakona dozvoljava mogućnost vršenja dodatnih delatnosti, odnosno osnivanje novih specijalizovanih privrednih subjekata s obzirom da lice za zaštitu podataka o ličnosti može biti angažovano i po ugovoru, kao i da postoji mogućnost osnivanja odgovarajućeg sertifikacionog tela koje će izdavati sertifikate za zaštitu podataka o ličnosti.
7) Druga lica koja su u vezi sa obradom podataka o ličnosti
Kada su u pitanju druga lica koja su vezi sa obradom podataka o ličnosti, to mogu biti primalac i treća strana.
Primalac može biti fizičko ili pravno lice (kao i organ vlasti), kome su podaci o ličnosti otkriveni. U odnosu na njih, Predlog zakona predviđa obavezu rukovaoca da o primacioma obavesti lice na koje se podaci odnose, kao i obavezu primaoca da podatke o ličnosti, koji se kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu.
Treća strana je fizičko ili pravno lice (kao i organ vlasti), koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača. Treća strana je od značaja u odnosu na zakonitost obrade, s obzirom da je jedan od uslova kada je obrada zakonita je njena neophodnost u cilju ostvarenja legitimnog interesa rukovaoca ili treće strane (osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose, a koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose maloletno lice). Ovaj uslov se ne primenjuje na obradu podataka koju vrše organi vlasti, kao ni nadležni organi.
6. Koje troškove će primena Zakona izazvati građanima i privredi, posebno malim i srednjim preduzećima?
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju neophodne dodatne troškove, a struktura tih potreba je sledeća:
1) Dodatne institucionalne potrebe, i to:
- Institucionalno jačanje postojeće institucije - Poverenika, imajući u vidu proširenje delokruga u delu koji se odnosi na međunarodnu razmenu podataka o ličnosti, poslove nadzora primene zakona, poslove koji se odnose na davanje mišljenja prilikom pripreme materijala drugih organa državne uprave koji sadrže odredbe o zaštiti podataka o ličnosti, kao i za sve nove poslove koje predviđaju novi propisi Evropske unije sa kojima se vrši usklađivanje (poslovi vezani za sertifikaciju, prethodnu procenu rizika, kodeks postupanja, izradu standardizovanih ikona u elektronskom obliku, standardnih ugovornih klauzula, poslove međunarodne saradnje, korektivne mere i drugo).
- Kako se primena zakona odnosi na sve organe vlasti, pojedini organi javne vlasti sa većim brojem zaposlenih (npr. Ministarstvo unutrašnjih poslova, Ministarstvo odbrane i dr.) imaće potrebu za obrazovanjem novih unutrašnjih organizacionih jedinica koje će se baviti zaštitom podataka o ličnosti. Te unutrašnje organizacione jedinice trebalo bi da budu, odeljenja, odseci ili grupe. U ovom trenutku je nemoguće dati neku bližu procenu eventualnih troškova koji mogu nastati zbog mogućih organizacionih promena u organima vlasti zbog primene ovog zakona, jer, kao što je rečeno, to pre svega zavisi od organa vlasti. Osnovna procena je da je ovakve promene moguće obaviti bez dodatnog zapošljavanja.
- Osnovna procena je da neće postojati i neki posebni troškovi za primenu tehničkih mera koje se predviđaju Predlogom zakona, s obzirom da se ove mere uglavnom već primenjuju (prema propisima o informacionoj bezbednosti). Dodatno unapređenje IT opreme, kancelarijske opreme, kao i druge opreme neophodne za zaposlene se i inače podrazumeva u redovnom obavljanju poslova organa javne vlasti i naravno da će zavisiti od mogućnosti i ograničenja koje predviđa Budžet;
2) Administrativni kapaciteti
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju mogućnost dodatnih troškova za proširenje administrativnih kapaciteta, a struktura tih potreba je sledeća:
2.1. Dodatne administrativne potrebe, i to:
- Dodatni poslovni prostor: odgovarajući broj kancelarija za Poverenika, kao i više kancelarija za zaposlene u organima vlasti koje postupaju sa podacima o ličnosti u većoj meri.
- Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, što će svakako zavisiti od kadrovskih potreba i obezbeđenog dodatnog poslovnog prostora.
2.2. Kadrovske potrebe:
- veći broj državnih službenika u Stručnoj službi Poverenika, za stalno - na neodređeno vreme, visoka stručna sprema, diplomiranih pravnika ili eventualno nekog od fakulteta društvenog smera, od čega bi najveći deo bio u zvanju višeg savetnika, a manji deo bi činili zaposleni sa srednjom stručnom spremom;
- veći broj državnih službenika iz drugih ministarstava ili pravosuđa, na neodređeno vreme u ostalim ministarstvima, Republičkom javnom tužilaštvu, Vrhovnom kasacionom sudu i drugim organima javne vlasti.
Kadrovske potrebe će se pre svega rešiti preuzimanjem postojećih državnih službenika, a samo izuzetno i dodatnim zapošljavanjem. Osnovna pretpostavka da je dodatne zaposlene u najvećoj meri moguće angažovati iz drugih državnih organa, dakle iz reda već zaposlenih državnih službenika koji imaju potrebno radno iskustvo, za koje su već predviđeni rashodi za zaposlene. Eventualno dodatno zapošljavanje će zavisiti od mogućnosti i ograničenja koje predviđa Budžet.
- dodatni kadrovi - Postoji potreba angažovanja tri eksperta iz oblasti zaštite podataka o ličnosti (iz reda profesora univerziteta, stručnjaka koji poznaju uporedno pravo i dr.), koji bi bili privremeno angažovani, na određeno vreme, zbog potrebe organizovanja neophodne stručne obuke.
- Dodatne administrativne potrebe (korišćenje usluga i roba), i to:
- Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, kao i kancelarije, u skladu sa mogućnostima.
3) Troškovi obuke:
- Obuka za sudije
S obzirom da se Predlogom zakona uvodi novi sudski postupak, neophodno je sprovesti obuku za sudije. Obuka će se sprovesti u Pravosudnoj akademiji. Procenjeno je da će posle donošenja zakona, a do početka njegove primene biti neophodna obuka za 30 sudija. Obuka će se sprovesti u Beogradu (za sve sudije) i trajala bi nekoliko dana. Troškovi za obuku ukupno iznose 800 evra u dinarskoj protivrednosti za dan obuke. Reč je o troškovima za predavače, putne troškove i ostale troškove.
Posle početka primene zakona, pa nadalje, takođe je neophodno sprovoditi istu ovakvu obuku i za druge sudije, sa istim troškovima.
Kada je u pitanju obuka za sudsko i javnotužilačko osoblje, krajem 2018. godine bi bilo potrebno započeti sprovođenje obuke onih zaposlenih koji najviše postupaju sa podacima o ličnosti u toku rada. Za njih bi tema obuke bila upoznavanje sa novim zakonskim rešenjima. Procenjeno je da obuka za ovu grupu (koju bi sačinjavalo 60 polaznika) treba da bude jednodnevna, kao i da su troškovi obuke oko 600 evra u dinarskoj protivrednosti. Predviđeno je da se, za početak, sprovedu četiri ovakve obuke, i to u gradovima u kojima se nalaze sedišta Apelacionih sudova (Beograd, Kragujevac, Niš i Novi Sad).
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje, pri čemu je procena troškova ista.
Za ostale državne organe takođe je potrebno sprovesti obuku. Sa obukom bi trebalo započeti krajem 2018. godine i početkom 2019. godine. Obuka bi se organizovala preko Nacionalne akademije za javnu upravu, bila bi jednodnevna i takođe bi se odnosila na nova zakonska rešenja iz oblasti zaštite podataka o ličnosti. Obuku bi trebalo sprovoditi periodično kako bi bio obučen što veći broj zaposlenih u državnim organima.
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje.
Kada su u pitanju troškovi obuke sudija, odnosno sudskog i javnotužilačkog osoblja, za koju je predviđeno da je sprovodi Pravosudna akademija, ukazujemo da se radi o redovnom poslovanju Pravosudne akademije za koje se sredstva obezbeđuju u budžetu svake godine, a čija je to osnovna delatnost.
Isto se odnosi na obuku državnih službenika koja će biti sprovedena preko Nacionalne akademije za javnu upravu.
Ovde treba imati u vidu i da se obuke koje se odnose na zaštitu podataka o ličnosti već sprovode više godina. Takođe, treba napomenuti i sledeću činjenicu: da bi se dali precizniji troškovi koliko će ovakva obuka iznositi u nekom dužem periodu, pre svega je potrebno da se ovaj Predlog zakona usvoji, jer se obuke mogu detaljno planirati (i odobriti) samo za zakon koji je već usvojen, a ne i za zakon koji je u pripremi.
Napominjemo i da je u ovom trenutku nemoguće bliže kvantitativno izraziti troškove koji eventualno mogu da nastanu primenom zakona, s obzirom da pojedini troškovi organa vlasti pre svega zavise od broja podataka o ličnosti koji se obrađuju, vrste podataka, sadašnjih mera zaštite koje se primenjuju prema podacima o ličnosti (pre svega onih iz oblasti informacione bezbednosti), objektivnih potreba za obradu podataka o ličnosti i dr.
Na kraju, ukazujemo da će organi vlasti do početka primene zakona, pa nadalje, moći da opredele detaljne iznose neophodnih budžetskih sredstava za sprovođenje ovog zakona posebno za naredne godine (2020. godinu i nadalje), što će biti izraženo kroz planiranje i pripremu zakona koji uređuje Budžet za naredne godine, imajući u vidu njegove mogućnosti i ograničenja.
7. Da li pozitivne posledice donošenja Zakona opravdavaju troškove njegove primene?
Pozitivne posledice donošenja zakona sasvim opravdavaju troškove njegove primene, jer dodatni troškovi svakako nisu značajnijeg obima. Troškovima koji će nastati donošenjem zakona, a koji se pre svega odnose na poboljšanje tehničkih, organizacionih i kadrovskih mera, uvođenja novih instituta, dodatnu obuku zaposlenih i slično, doprinosi se ostvarivanju prava i sloboda fizičkih lica, obezbeđuje efikasniji postupak za zaštitu njihovih prava i obezbeđuje se bolja i efikasnija međunarodna i druga saradnja (kako u odnosu na organe vlasti, tako i i odnosu na privredu).
Pored toga, primena zakona će smanjiti mogućnost povrede bezbednosti podataka o ličnosti, čime će se smanjiti i eventualni troškovi za naknadu štete licu na koje se podaci odnose.
Donošenjem zakona izvršiće se i usklađenost sa pravnim tekovinama Evropske unije, što je obaveza Republike Srbije u procesu pridruživanja.
Donošenjem zakona obezbediće se da Republika Srbija u oblasti zaštite podataka o ličnosti dobije moderan normativni okvir, čime će se istovremeno rešiti i problemi koji su nastali u primeni važećeg zakona.
Donošenjem zakona obezbediće se efikasnije i obavljanje poslova nadležnih organa u slučaju kada obrađuju podatke o ličnosti u posebne svrhe (istrage, krivičnog gonjenja, sprečavanje pretnji bezbednosti), s obzirom da su precizno propisana ovlašćenja i obaveze ovih organa.
Prema navedenim procenama koje se odnose na pomenute direktne i indirektne koristi, odnosno pozitivne posledice predloženih rešenja, procenjuje se da će ukupne koristi daleko premašiti ukupne troškove iskazane za sprovođenje ovog zakona.
8. Da li se Zakonom podržava stvaranje novih privrednih subjekata na tržištu i tržišna konkurencija?
Rešenja iz Predloga zakona, posebno novine vezana za uvođenje obaveznih poslovnih pravila, sertifikata za zaštitu podataka o ličnosti i lica za zaštitu podataka o ličnosti će svakako obezbediti poštovanje odgovarajućih standarda u oblasti zaštite podataka o ličnosti koji se odnose na privredno poslovanje.
Takođe, neka druga zakonska rešenja (pitanje pristanka za obradu podataka i drugo) će svakako smanjiti troškove poslovanja i doprineti većoj brzini poslovnih aktivnosti. Značajno je da će veća zaštita lica na koje se podaci odnose, kao i preciziranje postupka ostvarivanja njihovih prava, svakako doprineti većoj pravnoj sigurnosti.
Pored toga, odredbe o prenosu podataka iz Republike Srbije takođe će značajno unaprediti trenutno stanje u oblasti zaštite podataka o ličnosti. Zakonskim rešenjima se obezbeđuje i usklađenost sa relevantnim propisima Evropske unije i obezbeđuje primena istih rešenja koje uskoro počinju da se primenjuju u Evropskoj uniji. Obezbeđuje se i efikasniji rad nadzorog tela za sprovođenje zakona. Takođe, svim subjektima, obezbeđeni su novi mehanizni pravne zaštite - upravne i sudske, koji mogu da se pokrenu nezavisno jedan od drugih.
Sve ovo doprineće stvaranju poslovne sigurnosti u privatnom sektoru odnosno poboljšanju poslovne klime, što podrazumeva da će predložena rešenja, po usvajanju zakona, posredno uticati na stvaranje novih privrednih subjekata na tržištu, a time i na tržišnu konkurenciju. Očekuje se uvođenje izvesnosti i predvidljivosti u privrednim odnosima, što će doprineti jačanju percepcije o povoljnosti ulaganja u našu privredu.
Sa druge strane, iako uvođenje novih instituta zahteva određene troškove, nesporno je da primena ovih novina dugoročno obezbeđuje značajno smanjenje mogućih visokih troškova naknade štete koja je nastala zbog neodgovarajuće primene zakona. Iako neke od tih novina nisu obavezne, već dobrovoljne, njihovo uvođenje se preporučuje i podstiče od strane Evropske komisije.
Primena novog zakona o zaštiti podataka o ličnosti svakako će obezbediti mnogo jasnija pravila u oblasti zaštite podataka o ličnosti, a samim tim i obezbediti pošteniju i transparetniju tržišnu konkurenciju koja je vezana za ovu oblast.
Zakon neposredno dozvoljava mogućnost stvaranja novih privrednih subjekata koji će biti specijalizovani za ovu oblast, s obzirom da lice za zaštitu podataka o ličnosti ne mora biti samo lice koje je zaposleno u nekom organu ili privrednom subjektu, već to može biti i neko drugo lice koje će se angažovati na osnovu ugovora. Pored toga, članom 60. Predloga zakona propisano je da nadzor nad primenom kodeksa postupanja može vršiti pravno lice koje je akreditovano za vršenje nadzora. Isto tako, propisivanjem mogućnosti da, pored Poverenika, sertifikat za zaštitu podataka o ličnosti može izdati i odgovarajuće sertifikaciono telo, takođe se stvara mogućnost za stvaranje novih privrednih subjekata koji će se baviti aktivnostima u vezi sa primenom zakona.
9. Da li su sve zainteresovane strane imale priliku da se izjasne o zakonu?
Konačan tekst Nacrta zakona rezultat je sprovedenog širokog konsultativnog procesa koji je obuhvatio sve zainteresovane subjekte, pre svega preko sastava same Radne grupe, izrađene analize usklađenosti važećeg Zakona o zaštiti podataka o ličnosti sa ranije važećim relevatnim propisma Evropske unije, zatim aktivnosti koje se odnose na rad sa stranim ekspertom iz oblasti zaštite podataka o ličnosti, kao i aktivnosti koje su vezane za pribavljanje ekspertize Evropske komisije na tekst Nacrta zakona, uz redovno uključivanje predstavnika međunarodnih organizacija, kao što su: Delegacija EU, EUROJUST i OEBS. Takođe, pružena je mogućnost učešća zainteresovanim licima, kao i predstavnicima stručne i opšte javnosti da putem javne rasprave uzmu aktivno učešće u kreiranju predloženog zakonskog rešenja.
Treba napomenuti da je u postupku izrade ovog zakonskog predloga, u skladu sa Poslovnikom Vlade, bilo neophodno pribaviti mišljenje velikog broja različitih nadležnih organa i institucija, čije su primedbe i sugestije ugrađene u tekst Predloga zakona, koji se upućuje Narodnoj skupštini radi razmatranja i usvajanja.
Radna grupa koju je obrazovao ministar pravde je bila interresorna, sastavljena od predstavnika nadležnih organa koji u praksi obrađuju najveći broj podataka o ličnosti ili organa čije su nadležnosti neposredno vezane za pitanje zaštite podataka o ličnosti, kao i predstavnika stručne javnosti.
U svom radu, Radna grupa je koristila, polazeći od teksta važećeg Zakona o zaštiti podataka o ličnosti, tekstove novih relevantnih dokumenata Evropske unije (Uredbe i Direktive), rešenja iz teksta Modela zakona o zaštiti podataka o ličnosti (osnovni i korigovani) koji je dostavio Poverenik, uporedna zakonska rešenja iz oblasti zaštite podataka o ličnosti (pre svega iz država regiona), ranije pripremljenu analizu usklađenosti važećeg zakona sa tada važećim relevantnim dokumentima Evropske unije, primedbe i sugestije koje su dostavljane od strane Evropske komisije i EUROJUST-a, kao i primedbe i sugestije koje je izneo strani ekspert.
O tekstu Nacrta zakona održana je, u skladu sa Poslovnikom Vlade, javna rasprava.
Nacrt zakona bio je na javnoj raspravi od 1. decembra 2017. godine do 15. januara 2018. godine, a tekst Nacrta zakona je postavljen na internet stranici Ministarstva pravde, sa pozivom svim zainteresovanim subjektima da dostave svoje primedbe, predloge i sugestije elektronskim ili pismenim putem. Primedbe na tekst Nacrta zakona i predlozi za njegovu izmenu ili dopunu dostavljeni su putem pošte ili elektronskim putem.
Učesnici u javnoj raspravi su bili predstavnici relevantnih predstavnika organizacija civilnog društva, privrednih društava (pre svega iz oblasti bankarstva i osiguranja), stručne javnosti, kao i druge zainteresovane strane.
Komentare, odnosno primedbe, predloge i sugestije su dostavili sledeći učesnici javne rasprave:
1. Poverenik;
2. Društvo za informatiku Srbije;
3. Sveti Arhijerejski Sinod Srpske Pravoslavne Crkve;
4. advokat Predrag Milovanović, advokat Nikola Kasagić, advokat Milica Andrić i advokat Milica Tonić;
5. Društvo sudija Srbije;
6. Komitet pravnika za ljudska prava (YUKOM);
7. Nacionalna alijansa za lokalni ekonomski razvoj (NALED);
8. VIP mobile d.o.o;
9. Komora zaštitnika podataka o ličnosti;
10. Udruženje ISACA Beograd (ISACA Belgrade Chapter);
11. Udruženje banaka Srbije;
12. Savet stranih investitora;
13. Partneri za demokratske promene Srbija (Partneri Srbija);
14. NIS a.d. Novi Sad;
15. SBB d.o.o. Beograd;
16. Američka privredna komora u Srbiji;
17. SHARE fondacija Novi Sad (zajednički komentari fondacije i 14 nevladinih organizacija);
18. Ringier Aksel Springer d.o.o. Beograd;
19. dr Đorđe Krivokapić, docent Fakulteta organizacionih nauka Univerziteta u Beogradu;
20. dr Milan Paroški, dipl. el. inž;
21. Interactive Advertising Bureau Serbia (IAB);
22. Privredna komora Srbije (dostavljeni su objedinjeni komentari članica Udruženja za bankarstvo, osiguranje i druge finansijske usluge, Odbora za bankarstvo i Odbora za osiguranje);
23. prof. dr Milan Marković;
24. Telekom Srbija preduzeće za telekomunikacije a.d. Beograd;
25. Telenor d.o.o. Beograd;
26. Advokatska komora Srbije.
Dana 12. januara 2018. godine, u Beogradu, zajedno sa Privrednom komorom Srbije, organizovan je okrugli sto o tekstu Nacrta zakona, u prostorijama Privredne komore, od 12 do 16 časova.
Učesnici Okruglog stola su bili predstavnici članica Udruženja za bankarstvo, osiguranje i druge finansijske usluge, Odbora za bankarstvo i Odbora za osiguranje Privredne komore Srbije.
Na pomenutom okruglom stolu, iznet je veći broj komentara, predloga i sugestija i postavljen veći broj različitih pitanja. Ovo se odnosilo na značenje osnovnih pojmova u tekstu Nacrta zakona, predlaganje dopune određenih odredbi koje se odnose na postupak pred Poverenikom, predlaganje dopune određenim posebnim slučajevima obrade (video-nadzora, direktnog marketinga) predlagala se zamena nekih izraza koje se koriste u Nacrtu zakona ("pošteno" sa "pravično" ili "savesno", "predoči" sa "dokaže", da se precizira termin "multinacionalna kompanija" i slično), da se izmene odredbe koje se odnose na pravo na pritužbu, a takođe se predlagala izmena kaznenih odredbi.
Takođe, primedba je bila i da veliki broj odredbi Nacrta zakona ima opšti karakter i da su nejasne, zbog čega je neophodno preciziranje.
Posle završetka javne rasprave, članovi Radne grupe za pripremu teksta Zakona o zaštiti podataka o ličnosti su detaljno ramotrili sve pristigle primedbe, predloge i sugestije i postavljena pitanja.
Prihvaćene primedbe su ugrađene u tekst Nacrta zakona, koji je objavljen na internet stranici Ministarstva pravde. Takođe je objavljena i tabela neprihvaćenih primedbi, sa kratkim obrazloženjem zbog čega nisu prihvaćene.
Tekst Nacrta zakona, zajedno sa korekcijama posle javne rasprave dostavljen je Evropskoj komisiji i EUROJUST-u, radi pribavljanja ekspertize, odnosno davanja mišljenja.
U odnosu primedbe i predloge vezane za pravno sredstvo u postupku pred organom javne vlasti odlučeno je da se to pitanje dodatno razmotri u saradnji sa Ministarstvom državne uprave i lokalne samouprave u daljem postupku pripreme zakona. Isto se odnosi na odredbe vezane na inspekcijski nadzor.
Primedbe iznete u javnoj raspravi koje su bile pravno-tehničkog karaktera su dodatno razmotrene kroz pravno-tehničku redakciju teksta Nacrta zakona.
Kada su u pitanju primedbe koje su se odnosile na brisanje većeg broja odredbi iz teksta Nacrta zakona, a polazeći od činjenice da je jedan od osnovnih ciljeva zakona obezbeđenje usklađenosti za pravnim tekovinama Evropske unije, ocenjeno je da je opstanak tih odredbi nužan i da ih ne treba brisati, kako zbog razloga da bi se obezbedila usklađenost sa evropskim propisima, tako i zbog činjenice da je reč o odredbama koje ni na koji način ne predstavljaju smetnju za pravni sistem Republike Srbije i da bi ih bilo korisno preuzeti. Takođe, njihov opstanak je nužan i zbog celovitosti samog zakona i vezanosti za ostale odredbe Nacrta zakona.
U odnosu na primedbe kojima se predlagala dopuna teksta Nacrta zakona, posebno u delu koji se odnosi na posebne radnje obrade, ovo pitanje je ponovo detaljno razmatreno i zauzet je stav da ovakve dopune ne treba prihvatiti. Reč je, pre svega, o dopunama koje su se odnosile da veći broj članova o video nadzoru. Razlozi za neprihvatanje su sledeći:
- Zakon o zaštiti podataka o ličnosti je sistemski zakon u ovoj oblasti i treba da sadrži odredbe opšteg karaktera, a da posebni zakoni, koji takođe u nekom delu sadrže odredbe o obradi i zaštiti podataka, treba da sadrže te posebne odredbe kojima će se urediti pojedine radnje obrade, naravno polazeći od odredbi opšteg karaktera;
- veći broj odredbi o video nadzoru čija je dopuna predlagana nesporno treba da budu materija koja se uređuje zakonom, ali ne Zakonom o zaštiti podataka o ličnosti, jer ako bi se ovakve odredbe preuzele u ovaj zakon, svakako bi bilo neophodno obaviti i dodatne konsultacije sa drugim organima koji se bave posebnim specifičnim pitanjima (npr. video nadzor službenih prostorija, nadzor stambenih zgrada i slično). Takođe, u tom slučaju trebalo bi i dopuniti i upotpuniti tu materiju u odnosu na odredbe koje bi bile predložene (npr. evidencija o nadzoru bi morala biti detaljno uređena Nacrtom zakona, način njenog vođenja, pristupa i slično);
- ako bi se unele posebne odredbe o video nadzoru, sigurno je da bi se otvorilo pitanje dopune posebnih slučajeva obrade i u mnogim drugim oblastima, kao što su radni odnosi, zdravstvo, evidencije vezane za prosvetu i slično, što svakako ne može da se uredi samo Zakonom o zaštiti podataka o ličnosti;
- relevantni dokumenti Evropske unije ne sadrže ovakve odredbe i svakako je da preuzimanje takvih dopuna prevazilazi obim Zakona o zaštiti podataka o ličnosti i njegove osnovne ciljeve;
- imajući u vidu potrebu obezbeđenja usklađenosti Zakona o zaštiti podataka o ličnosti sa drugim zakonima koji u nekim svojim delovima uređuju obradu podataka o ličnosti, u prelaznim odredbama Nacrta zakona dodat je član koji predviđa obavezu usklađivanja tih drugim zakonom sa ovim zakonom;
- u delu odredbi Nacrta zakona o posebnim slučajevima obrade, u odnosu na tekstove relevantnih evropskih propisa, predviđen je samo jedan izuzetak. Inače, u toku javne rasprave dostavljen je veći broj predloga koji se sastojao u tome da se ovaj izuzetak briše. Reč je o obradi podataka u humanitarne svrhe. Međutim, imajući u vidu da je obrada u navedene svrhe predviđena i u važećem zakonu, kao i upravo ta važeća zakonska odredba ima veliku primenu u praksi, stav je bio da se ovakvo rešenje ipak zadrži i u tekstu Nacrta zakona.
Kao što je rečeno, tekst Nacrta zakona je upućen na mišljenje Evropskoj komisiji, kao i EUROJUST-u. Dostavljene primedbe i sugestije Evropske komisije i EUROJUST-a su ugrađene u tekst Nacrta zakona.
10. Koje će se mere tokom primene Zakona preduzeti da bi se ostvarilo ono
što se donošenjem Zakona namerava?
Preduslov za efikasnu primenu novih zakonskih odredaba, kao i realizaciju svih ciljeva zakona je kontinuirano, sistemsko i dosledno sprovođenje analize njegove primene.
Pre svega, završnom odredbom Predloga zakona predviđeno je da će zakon početi da se primenjuje po isteku devet meseci od dana njegovog stupanja na snagu (osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije"). Procena je da je potrebno vremenski razdvojiti stupanje na snagu i početak primene zakona, iz kog razloga je odredbom člana 102. Predloga zakona primena zakona odložena.
U periodu do početka primene zakona, neophodno je preduzeti sledeće aktivnosti:
1) doneti predviđene podzakonske akte;
2) upoznati javnost sa zakonskim odredbama i podići svest o značaju zaštite podataka o ličnosti;
3) sprovesti odgovarajuće obuke lica koji obavljaju poslove u vezi sa zaštitom podataka o ličnosti za primenu zakona;
4) sprovesti organizacione promene kako bi se obezbedila specijalizacija lica, odnosno unutrašnjih organizacionih jedinica za zaštitu podataka o ličnosti;
5) odrediti konkretna lica koja će obavljati poslove za zaštitu podataka o ličnosti;
6) obezbediti tehničke i druge uslove za primenu odredaba o bezbednosti podataka i procenu rizika;
7) napraviti jasan plan aktivnosti koje treba preduzeti u organu vlasti ili privrednom subjektu (naravno onih koji obrađuju veliki broj podataka o ličnosti) da bi se zakon primenio.
1) Donošenje podzakonskih akata
Predlog zakona predviđa donošenje određenih podzakonskih akata. Međutim, treba posebno napomenuti da donošenje svih akata koji se predviđaju ne sadrži samo obavezu, nego za pojedine od njih i mogućnost. Dakle, daje se izričito zakonsko ovlašćenje za donošenje pojedinih akata, ali (za neke od njih) njihovo donošenje nije i obaveza. Na taj način daje se mogućnost da se pojedina pitanja dodatno urede ako se takva potreba ukaže u praksi.
Reč je o sledećim podzakonskim aktima:
1) Akt kojim Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u elektronskom obliku i uređuje postupak za njihovo utvrđivanje (član 21. stav 9. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
2) Akt kojim Poverenik može da izradi standardne ugovorne klauzule koje se odnose na obaveze u vezi sa predmetom i trajanjem obrade, prirodom i svrhama obrade i vrsti podataka o ličnosti, odnosno klauzule kojim se u odnosu između obrađivača i drugog obrađivača propisuju dovoljne garancije za primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera (član 45. stav 11. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ovog akta, nije određen ni rok za njegovo donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona;
3) Akt kojim Poverenik propisuje obrazac obaveštenja o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica i bliže uređuje način obaveštavanja (član 52. stav 9. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
4) Lista vrsti radnji obrade u vezi sa kojima se mora izvršiti procena uticaja predviđenih radnji obrade, koju je Poverenik dužan da sačini i javno objavi, odnosno lista vrsti radnji obrade za koje procena nije potrebna, koju Poverenik može da sačini i javno objavi (član 54. stav 5. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
5) Lista vrsti radnji obrade u vezi sa kojima se mora tražiti prethodno mišljenje Poverenika, koju Poverenik može da sastavi i javno objavi (član 55. stav 10. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ove liste, nije određen ni rok za njeno donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona;
6) Lista kodeksa ponašanja ili njegovih izmena koje Poverenik registruje i javno objavljuje (član 59. stav 5. Predloga zakona). Lista će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
7) Registar sertifikacionih tela i izdatih sertifikata, sa odgovarajućim žigovima i oznakama, koji vodi i javno objavljuje Poverenik (član 61. stav 9. Predloga zakona). Registar će se uspostaviti u roku od devet meseci od dana stupanja zakona na snagu;
8) Akt kojim Poverenik propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela (član 62. st. 3. i 7. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
9) Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija za koje se smatra da postoji primereni nivo zaštite podataka o ličnosti, odnosno za koje se utvrdi da takav nivo zaštite ne postoji, koja uključuje i druge države ili međunarodne organizacije sa kojom Republika Srbija ima zaključen međunarodni sporazum o prenosu podataka o ličnosti (član 64. st. 3. i 7. Predloga zakona). Listu utvrđuje Vlada, u roku od devet meseci od dana stupanja zakona na snagu;
10) Akt kojim Poverenik može bliže urediti način razmene informacija između rukovalaca, obrađivača i Poverenika u postupku odobravanja obavezujućih poslovnih pravila (član 67. stav 3. Predloga zakona). S obzirom da se Predlogom zakona Povereniku daje mogućnost, a ne propisuje obaveza donošenja ovog akta, nije određen ni rok za njegovo donošenje, s obzirom da će to zavisiti od potrebe na koju će ukazati primena zakona.
11) Akt kojim Poverenik propisuje obrazac evidencije o povredama zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju, kao i način njenog vođenja propisuje Poverenik (član 78. stav 4. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu;
12) Akt kojim Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva (član 78. stav 5. Predloga zakona). Akt će se doneti u roku od devet meseci od dana stupanja zakona na snagu.
Nosioci navedenih normativnih aktivnosti su: Poverenik i Vlada.
2) Upoznavanje javnosti sa zakonskim odredbama i podizanje svesti o značaju zaštite podataka o ličnosti
Već u toku javne rasprave otvorila su se konkretna pitanja na buduću primenu zakonskih odredbi, zbog čega je do početka primene zakona neophodno (naravno u meri u kojoj je to moguće) upoznati javnost za konkretnim zakonskim rešenjima. Činjenica je da postoji velika zainteresovanost javnosti za zaštiti podataka o ličnosti, kao i da će u daljem postupku donošenja zakona ta zainteresovanost postati i veća.
Dobra praksa organizovanja specijalizovanih okruglih stolova, radionica i drugih stručnih skupova svakako predstavlja pravi način da se zakonska rešenja što bolje objasne i da se eventualna sporna pitanja rasprave. Sa druge strane podizanje opšte svesti o značaju podataka o ličnosti predstavlja dugoročni cilj koji je potrebno ostvariti, pa zbog toga donošenje zakona predstavlja početan korak u njegovom ostvarenju. Efikasna primena zakona će svakako doprineti tome da svako lice pre svega zna koja su njegova prava koja mu pripadaju, kako ih može zaštititi i koji su sve konkretni postupci koje može da pokrene.
3) Sprovođenje odgovarajuće obuke lica koji obavljaju poslove u vezi sa zaštitom podataka o ličnosti za primenu zakona
Do početka primene zakona neophodno je sprovesti odgovarajuće obuke svih lica koja u okviru svog radnog mesta postupaju sa podacima o ličnosti. Ove obuke će se sprovesti preko institucija koje su nadležne za obuku (Pravosudna akademija, Nacionalna akademija za javnu upravu, Privredna komora i slično).
Pored toga, neophodno je da se obuke o zaštiti podataka o ličnosti sprovode kontinuirano, kako bi se ukazalo na primere dobre prakse i kako bi lica koja učestvuju u takvim obukama imala mogućnost da svoje znanje iz ove oblasti dodatno unapređuju.
4) Sprovođenje organizacionih promena kako bi se obezbedila specijalizacija lica, odnosno unutrašnjih organizacionih jedinica za zaštitu podataka o ličnosti
U organima javne vlasti ili privrednim subjektima koji obrađuju veliki broj podataka o ličnosti trebalo bi sprovesti odgovarajuće organizacione promene unutrašnjeg uređenja i sistematizacije radnih mesta, na taj način što će se odrediti posebna unutrašnja organizaciona jedinica koja će obavljati ove poslove, odnosno na taj način što će se odrediti posebno radno mesto za zaštitu podataka o ličnosti. Pored toga, moguće je da se opisima poslova postojećeg radnog mesta dodaju i ovi poslovi.
5) Određivanje konkretnog lica koje će obavljati poslove za zaštitu podataka o ličnosti
Blagovremeno određivanje konkretnog lica za obavljanje poslova za zaštitu podataka o ličnosti je veoma značajno, imajući da su poslovi tog lica, njegove obaveze, kao i njegov poseban status, precizirani samim zakonskim odredbama, kao i da to lice neposredno odgovara za ove poslove neposredno rukovodiocu organa (ili privrednog subjekta), da je poslodavac dužan da obezbedi sve neophodne uslove za njegov rad, kao i da to lice predstavlja kontakt tačku sa Poverenikom. Neodređivanje lica za zaštitu podataka o ličnosti je propisano kao prekršaj.
6) Obezbeđenje tehničkih i drugih uslova za primenu odredaba o bezbednosti podataka i procenu rizika
Obezbeđenje neophodnih tehničkih i drugih uslova za obradu podataka o ličnosti predstavlja neophodno za obradu takvih podataka. Kada su u pitanju mere koje se odnose na informacione sisteme, većina tih mera već postoji u organima vlasti. Zakonska novina je potreba da se izvrši procena rizika na zaštitu podataka o ličnost, ali takva novina će svakako koristiti rukovaocima podataka, s obzirom da je njen cilj otklanjanje mogućnosti da dođe do povrede bezbednosti podataka, a samim tim i otkloni šteta koja tom prilikom može nastati.
7) Postojanje plana aktivnosti koje treba preduzeti u organu vlasti ili privrednom subjektu (naravno onih koji obrađuju veliki broj podataka o ličnosti) da bi se zakon primenio.
Ovakav plan podrazumeva da se unapred izvrši priprema za primenu zakona, tako što će se analizirati kakvo je trenutno stanje u pogledu zaštite podataka o ličnosti i odrediti koje tehničke i druge mere dodatno treba uvesti, na koji način i gde će se sprovesti obuka zaposlenih, kako će se i kada izvršiti organizacione promene i koje lice će se konkretno odrediti za zaštitu podataka o ličnosti.
Konkretne mere kojima se obezbeđuje primena Zakona
1) Predlogom zakona se obezbeđuje efikasan nadzorni mehanizan za nadzor nad njegovim primenom i sprovođenjem. Naime, Poverenik za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti predstavlja nezavisno i samostalno nadzorno telo koje ima inspekcijska ovlašćenja. Pored inspekcijskih ovlašćenja, Poverenik ima i korektivna ovlašćanja, kao i druga ovlašćenja koja su neophodna za efikasniju i ujednačeniju primenu zakona. Treba napomenuti da Poverenik ima ovlašćenje i da pokrene prekršajne i druge odgovarajuće postupke;
2) Licima na koje se podaci odnose pruža se mogućnost pokretanja čitavog niza različitih postupaka za zaštitu njihovih prava, u slučaju povrede zakona. Pre svega, to lice može podneti prigovor rukovaocu koji obrađuje njegove podatke. Pored toga, lice može podneti i pritužbu Povereniku, a ukoliko nije zadovoljan njegovim postupanjem po pritužbi, može da pokrene i upravni spor. Nezavisno od toga, može se ostvariti i sudska zaštita podnošenjem tužbe nadležnom sudu. Takođe, zakonom su propisane posebne odredbe koje se odnose na naknadu štete;
3) Predlogom zakona se predviđa čitav niz prekršajnih odredaba ako su povređene odredbe zakona. Značajno je napomenuti da su propisana i posebna merila za izricanje novčanih kazni, kao i mogućnost da se izrekne novčana kazna u fiksnom iznosu od strane lica koje ovlasti Poverenik;
4) Članom 100. Predloga zakona predviđen je rok za usklađivanje odredaba drugih zakona, koji sadrže posebne odredbe o obradi podataka o ličnosti, s obzirom da je takva usklađenost jedan od osnovnih ciljeva zakona. Pored toga, u postupku pripreme zakona koji sadrže odredbe o obradi podataka, a imajući u vidu da je takvo ovlašćenje izričito predviđeno ovim zakonom, biće potrebno pribaviti (pored mišljenja nadležnog ministarstva) i mišljenje Poverenika. Isto tako, Predlog zakona sadrži veći broj odredaba koji određuju šta se može propisati posebnim zakonom. Na ovaj način obezbediće se usklađenost pravnog sistema Republike Srbije;
5) Podnošenjem godišnjih izveštaja o stanju u oblasti zaštite podataka o ličnosti Narodnoj skupštini od strane Poverenika pruža se mogućnost Povereniku da ukaže koji su problemi u primeni zakona, kao i da se navedu konkretne mere koje je neophodno preduzeti u cilju poboljšanja stanja. Ovaj izveštaj dostavlja se i Vladi, radi preduzimanja odgovarajućih mera iz njene nadležnosti, kao i javnosti.
Izvor: Vebsajt Narodne skupštine Republike Srbije, 30.10.2018.Naslov: Redakcija