Zakon

Повереник за информације од јавног значаја и заштиту података о личности, на основу члана 78. став 1. тачка 10) и члана 79. став 3. тачка 1) Закона о заштити података о личности („Службени гласник РС”, број 87/18) донео је

ОДЛУКУ

о утврђивању Стандардних уговорних клаузула

"Службени гласник РС", број 5 од 22. јануара 2020.

1. Овом одлуком утврђују се Стандардне уговорне клаузуле које је израдио Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник), а којима се уређује правни однос између руковаоца и обрађивача у складу са чланом 45. Закона о заштити података о личности (у даљем тексту: Закон).

2. Стандардне уговорне клаузуле односe се само на обраду података о личности.

3. Стандардне уговорне клаузуле састоје се из уговорних клаузула и прилога чији је садржај одштампан у прилогу ове одлуке и чини њен саставни део.

4. Стандардне уговорне клаузуле могу бити примењене као самостални уговор, или део уговора између руковаоца и обрађивача, у облику који је утврђен овом одлуком.

5. Уколико уговорне стране не примене у целини, односно измене неку од одредби Стандардних уговорних клаузула, неће се сматрати да исте представљају стандардне уговорне клаузуле у смислу чл. 45. и 65. Закона.

6. Стандардне уговорне клаузуле морају бити закључене у писаном облику, што обухвата и електронски облик.

7. Примена Стандардних уговорних клаузула не утиче на инспекцијска и друга овлашћења Повереника из чл. 77. до 79. Законa.

8. Ову одлуку објавити у „Службеном гласнику Републике Србије”.

9. Ова одлука ступа на снагу осмог дана од објављивања у „Службеном гласнику Републике Србије”.

Број 110-00-7/2019-04

У Београду, 16. јануара 2020. године

Повереник,

Милан Мариновић, с.р.

СТАНДАРДНЕ УГОВОРНЕ КЛАУЗУЛЕ

УГОВОРНЕ КЛАУЗУЛЕ

Руковалац

___________________

(назив/име и презиме)

___________________

(седиште/адреса)

Матични број: ____________

Кога заступа ______________

у даљем тексту: Руковалац, с једне стране

и

Обрађивач

___________________

(назив/име и презиме)

___________________

(седиште/адреса)

Матични број: ____________

Кога заступа ______________

у даљем тексту: Обрађивач, с друге стране

(у даљем тексту заједно: уговорне стране)

споразумели су се о следећем.

Члан 1.

Овим уговором регулише се правни однос између уговорних страна у вези са радњама обраде података о личности које су Обрађивачу поверене од стране Руковаоца.

Предмет обраде, природа и сврха обраде, врсте података о личности и врсте лица на која се односе подаци који се обрађују дефинисани су у Прилогу 1. овог уговора, који чини његов саставни део.

За све што није уређено овим уговором, уговорне стране су слободне да самостално уреде, уколико исто није у супротности са овим уговором, односно уколико се тиме не умањује заштита података о личности или права лица на која се подаци односе.

Члан 2.

Дефиниције:

1) појмови „податак о личности”, „лице на које се подаци односе”, „обрада података”, „руковалац”, „обрађивач”, као и „повреда података о личности”, имају значење утврђено Законом о заштити података о личности („Службени гласник РС”, број 87/18);

2) „подобрађивач” је други обрађивач коме је обрађивач поверио вршење одређених радњи обраде у име руковаоца;

3) „мере заштите” подразумевају одговарајуће техничке, организационе и кадровске мере, које имају за циљ обезбеђивање делотворне примене начела заштите података о личности, као и заштите права и слобода лица на која се подаци односе;

4) „Закон” подразумева Закон о заштити података о личности („Службени гласник РС”, број 87/18) са подзаконским актима донетим у складу са тим законом;

5) „важећи прописи” подразумевају позитивне прописе Републике Србије.

Обавезе руковаоца

Члан 3.

Руковалац је дужан да врши обраду података о личности у складу са Законом, као и да примени све мере заштите података и обезбеди остваривање права и слобода лица на која се подаци односе.

Руковалац се обавезује да ће Обрађивачу издавати упутства у вези са обрадом података о личности у писаном облику, као и да ће иста бити јасна, прецизна и у свему у складу са важећим прописима.

Обавезе обрађивача

Члан 4.

Обрађивач је дужан да обрађује податке о личности само на основу писмених упутстава Руковаоца, укључујући и упутство у односу на преношење података о личности у друге државе или међународне организације, осим ако је Обрађивач законом обавезан да обрађује податке. У том случају, Обрађивач је дужан да обавести Руковаоца о тој законској обавези пре започињања обраде, осим ако закон забрањује достављање тих информација због потребе заштите важног јавног интереса.

Обрађивач је дужан да без одлагања упозори Руковаоца ако сматра да писмено упутство које је од њега добио није у складу са Законом и/или другим важећим прописом, односно одредбама овог уговора, а у случају сумње у погледу свог деловања у обавези је да затражи мишљење Руковаоца.

Процедура и доношење одлука о даљем поступању у ситуацијама из претходног става овог члана, као и последице у случају потенцијално незаконитог упутства, дефинисани су у Прилогу 2. овог уговора, који чини његов саставни део.

Обрађивач је дужан да обезбеди да само лица којима је потребан приступ подацима о личности како би се испуниле обавезе обрађивача према руковаоцу имају приступ тим подацима.

Обрађивач је дужан да обезбеди да се физичко лице које је овлашћено да врши радње обраде података о личности код Обрађивача обавезало на чување поверљивости података или да то лице подлеже законској обавези чувања поверљивости података.

Потреба да лица имају приступ подацима о личности биће ревидирана са времена на време, те уколико се установи да је за одређено лице престала потреба да има приступ тим подацима, истом ће бити ускраћен приступ.

Обрађивач је обавезан да помаже Руковаоцу у испуњавању обавеза прописаних Законом.

Обрађивач мора бити у могућности да предочи Руковаоцу извршење својих обавеза из овог уговора.

Ако Обрађивач повреди одредбе овог уговора, одређујући сврху и начин обраде податка о личности, сматраће се Руковаоцем у односу на ту обраду.

Обавезе Обрађивача из овог уговора не умањују његове обавезе које има у складу са Законом или другим важећим прописима.

Безбедност обраде

Члан 5.

Уговорне стране су дужне да спроводе одговарајуће мере заштите како би био достигнут одговарајући ниво безбедности у односу на ризик, у складу са нивоом технолошких достигнућа и трошковима њихове примене, природом, обимом, околностима и сврхом обраде, као и вероватноћом наступања ризика и нивоом ризика за права и слободе физичких лица. 

Уговорне стране су дужне да засебно изврше процену вероватноће наступања ризика и ниво ризика за права и слободе физичких лица, као и да одреде одговарајуће мере заштите како би се умањио процењени ризик, с тим да је Руковалац дужан да Обрађивачу пружи све информације како би Обрађивач могао да изврши ову своју обавезу.

Према потреби, мере заштите из овог члана уговора нарочито обухватају: 

1) псеудонимизацију и криптозаштиту података о личности; 

2) обезбеђивање трајне поверљивости, интегритета, расположивости и отпорности система и услуга обраде; 

3) обезбеђивање успостављања поновне расположивости и приступа подацима о личности у случају физичких или техничких инцидената у најкраћем року; 

4) спровођење редовног тестирања, оцењивања и процењивања делотворности техничких, организационих и кадровских мера безбедности обраде. 

Приликом процењивања одговарајућег нивоа безбедности из става 1. овог члана посебно се узимају у обзир ризици обраде, а нарочито ризици од случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или обрађивани на други начин. 

Уколико се током обраде установи да су потребне додатне мере заштите у односу на већ договорене, уговорне стране ће такве мере заштите накнадно унети у Прилог 3. овог уговора, који чини његов саставни део.

Уговорне стране су дужне да предузму мере у циљу обезбеђивања да свако физичко лице које је овлашћено за приступ подацима о личности од стране Руковаоца или Обрађивача, обрађује те податке само по налогу Руковаоца или ако је на то обавезано законом.

Независно од претходних одредби овог уговора, Обрађивач има право да на захтев суда или другог државног органа у вршењу њихових овлашћења прописаних важећим прописима, открије било који податак о личности уз обавезу да о томе одмах обавести Руковаоца, као и да се консултује са Руковаоцем, у мери у којој је то могуће, о обиму и облику одавања података.

Обавештавање о повреди података о личности

Члан 6.

Обрађивач је дужан да без непотребног одлагања обавести Руковаоца о повреди података о личности која може да произведе ризик по права и слободе физичких лица, као и да помогне Руковаоцу у испуњавању његових обавеза предвиђених Законом.

Обавештење из става 1. овог члана мора да садржи најмање следеће информације: 

1) опис природе повреде података о личности, укључујући врсте података и приближан број лица на која се подаци те врсте односе, као и приближан број података о личности чија је безбедност повређена; 

2) опис могућих последица повреде; 

3) опис мера које је обрађивач предузео или чије је предузимање предложено у вези са повредом, укључујући и мере које су предузете у циљу умањења штетних последица.

Обрађивач је дужан да у насталој ситуацији, на захтев Руковаоца, пружи све информације, тражену документацију и потребну помоћ како би се отклониле или смањиле могуће последице повреде података о личности.

Уколико дође до повреде података о личности, Руковалац може да привремено обустави пренос података Обрађивачу.

Рок, садржина и начин обавештавања Руковаоца о повреди података од стране Обрађивача дефинисани су у Прилогу 4. овог уговора, који чини његов саставни део.

Процена утицаја на заштиту података о личности

Члан 7.

Узимајући у обзир природу обраде и информације које су му доступне, Обрађивач је дужан да помаже Руковаоцу у испуњавању његове обавезе која се тиче процене утицаја предвиђених радњи обраде на заштиту података о личности и обавезе да затражи мишљење Повереника за информације од јавног значаја и заштиту података о личности пре започињања радње обраде.

Ангажовање подобрађивача

Члан 8.

Обрађивач може да повери обраду подобрађивачу само ако га Руковалац за то овласти на основу општег или посебног писменог овлашћења. Ако се поверавање обраде врши на основу општег овлашћења, Обрађивач је дужан да информише Руковаоца о намераваном избору подобрађивача, односно замени подобрађивача, како би Руковалац имао могућност да се изјасни о таквој промени.

Рок у коме Руковалац има право да се изјасни о избору, односно замени подобрађивача, као и списак подобрађивача који су одобрени од стране руковаоца, без обзира да ли је Обрађивач овлашћен да истима повери обраду на основу општег или посебног писменог овлашћења Руковаоца, дефинисани су у Прилогу 5. овог уговора, који чини његов саставни део.

Ако Обрађивач одреди подобрађивача за вршење посебних радњи обраде у име Руковаоца, дужан је да обезбеди да се исте обавезе заштите података о личности утврђене овим уговором примењују и на подобрађивача, на основу посебног уговора или другог правно обавезујућег акта, који је закључен, односно усвојен у писменом облику, што обухвата и електронски облик, којим се у односу између Обрађивача и подобрађивача утврђују довољне гаранције за примену одговарајућих мера заштите које обезбеђују да се обрада врши у складу са Законом, важећим прописима и одредбама овог уговора.

Обрађивач је дужан да у уговор или други правно обавезујући акт који закључује са подобрађивачем, унесе одредбу којом се омогућава Руковаоцу да у случају престанка постојања Обрађивача, из било ког разлога, има право да захтева од подобрађивача да уништи или врати податке о личности који су предмет тог уговора или другог правно обавезујућег акта.

Уколико поверава обраду подобрађивачу, Обрађивач мора бити у могућности да предочи да је подобрађивач ангажован у свему у складу са одредбама овог члана уговора.

Обрађивач је дужан да руковаоцу достави копију уговора или другог правно обавезујућег акта који је закључен са подобрађивачем одмах по закључењу уговора или усвајања другог правно обавезујућег акта. Обрађивач има право да Руковаоцу не достави податке из уговора или другог правно обавезујућег акта који се не тичу обраде података о личности.

Ако подобрађивач не испуни своје обавезе у вези са заштитом података о личности, за испуњење обавеза подобрађивача Руковаоцу одговара Обрађивач.

Права лица на која се подаци односе

Члан 9.

Узимајући у обзир природу обраде, Обрађивач је дужан да помаже Руковаоцу, колико је то могуће, у испуњавању обавеза Руковаоца у односу на захтеве за остваривање Законом предвиђених права лица на које се подаци односе.

Уколико лице на које се подаци односе поднесе захтев за остваривање неког права прописаног важећим прописима Обрађивачу, а за чије је поступање одговоран Руковалац, Обрађивач није овлашћен да поступа по таквом захтеву лица, већ је дужан да о томе одмах обавести Руковаоца и да му проследи такав захтев, као и да обавести лице које је поднело захтев да је исти прослеђен Руковаоцу.

У случају престанка постојања Руковаоца Обрађивач је дужан да поступа по захтевима лица на које се подаци односе, осим уколико постоји правни следбеник Руковаоца, који преузима права и обавезе Руковаоца из овог уговора.

Пренос података у друге државе или међународне организације

Члан 10.

Пренос података о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави, или у међународну организацију може да се врши у свему у складу са одредбама важећих прописа, уз обезбеђивање адекватног нивоа заштите података о личности, остваривости свих права и делотворне правне заштите лицима на које се подаци односе.

Обрађивач може да преноси податке о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави или у међународну организацију само на основу писмених упутстава Руковаоца.

Упутства Руковаоца за пренос података о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави или у међународну организацију, као и списак земаља у које је одобрен пренос података, ако је применљиво, биће наведени у Прилогу 6. овог уговора и представљаће његов саставни део.

Контрола рада Обрађивача

Члан 11.

Обрађивач је дужан да учини доступним руковаоцу све информације које су неопходне за предочавање испуњености обавеза Обрађивача прописаних важећим прописима и овим уговором, као и информације које омогућавају и доприносе контроли рада Обрађивача, коју спроводи Руковалац или друго лице које Руковалац за то овласти. 

О нађеним пропустима, Руковалац је дужан да обавести Обрађивача писаним путем, што укључује и електронску пошту, као и да остави Обрађивачу примерен рок за њихово отклањање.

Док Обрађивач не отклони нађене пропусте у спровођењу обавеза из става 1. овог члана, Руковалац може да обустави пренос података Обрађивачу.

Начин вршења контроле поштовања обавеза Обрађивача из става 1. овог члана од стране Руковаоца, или лица овлашћеног за то, као и рок и начин отклањања пропуста од стране Обрађивача, описан је у Прилогу 7. овог уговора, који чини његов саставни део.

Трајање обраде

Члан 12.

Овај уговор почиње да се примењују почев од _____________ и закључује се за период трајања обраде и то ______________ (на неодређено време или на одређени временски период).

Обавезе Обрађивача после окончања уговорених радњи обраде

Члан 13.

После окончања уговорених радњи обраде, Обрађивач је дужан да, на основу одлуке Руковаоца, избрише или врати Руковаоцу све податке о личности и избрише све копије ових података, осим ако је законом прописана обавеза чувања података. 

Обрађивач мора бити у могућности да предочи Руковаоцу испуњење своје обавезе из претходног става овог члана.

Услове раскида уговора, отказни рок, као и последице раскида и одговорност у случају неиспуњења уговорених обавеза, уговорне стране могу утврдити у Прилогу 8. који је саставни део овог уговора.

Меродавно право

Члан 14.

Стандардне уговорне клаузуле се тумаче и примењују у складу са прописима Републике Србије.

Решавање спорова

Члан 15.

У случају спора, уговорне стране су сагласне да ће бити надлежан _____________.

(навести ко ће бити надлежан у случају спора – медијација, арбитража, стварно надлежан суд у ......).

Завршна одредба

Члан 16

Овај уговор је сачињен у __ истоветна/их примерка/примерака, по __ за сваку уговорну страну.

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 1.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати.

Предмет обраде (навести):

________________________________________________________

________________________________________________________

Природа и сврха обраде (навести):

________________________________________________________

________________________________________________________

Врсте лица на које се подаци односе (навести):

________________________________________________________

________________________________________________________

Врсте података о личности (навести):

________________________________________________________

________________________________________________________

Посебне врсте података о личности (навести уколико је применљиво):

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 2.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати.

Процедура, доношење одлука о даљем поступању у ситуацијама када Обрађивач сматра да писмено упутство које је добио од Руковаоца није у складу са важећим прописима и/или Законом и/или одредбама Стандардних уговорних клаузула и последице у случају незаконитог упутства (описати):

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 3.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати.

Опис мера заштите:

1) техничке мере:

________________________________________________________

________________________________________________________

________________________________________________________

2) организационе мере:

________________________________________________________

________________________________________________________

________________________________________________________

3) кадровске мере:

________________________________________________________

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Накнадно унете мере заштите

Опис мера заштите:

1) техничке мере:

________________________________________________________

________________________________________________________

________________________________________________________

2) организационе мере:

________________________________________________________

________________________________________________________

________________________________________________________

3) кадровске мере:

________________________________________________________

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 4.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати.

Рок у коме је Обрађивач дужан да обавести Руковаоца о повреди података износи ____ (словима: ____________________________).

Садржина и начин обавештавања Руковаоца о повреди података од стране Обрађивача на основу Стандардних уговорних клаузула (описати):

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 5.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати уколико је обрада поверена подобрађивачима.

Ако се обрада врши на основу општег овлашћења, рок у коме руковалац има право да се изјасни о избору, односно замени намераваног подобрађивача износи __________ (словима: ______________________________________).

У случају да руковалац не одговори у предвиђеном року, сматраће се да је ________________.

Списак одобрених подобрађивача:

1) _________________________

2) _________________________

3) _________________________

4) _________________________

5) _________________________

6) _________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 6.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати, уколико се подаци о личности износе из Републике Србије. Уколико се подаци не износе из Републике Србије, овај прилог није обавезан део уговора.

Упутства Руковаоца за пренос података о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави или у међународну организацију:

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

Списак земаља у које је одобрен пренос података:

1) _________________________

2) _________________________

3) _________________________

4) _________________________

5) _________________________

6) _________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 7.

Овај прилог је саставни део уговора. Уговорне стране га морају испунити и потписати.

Начин вршења контроле поштовања обавеза Обрађивача од стране Руковаоца:

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

За Руковаоца:

___________________________

(потпис и датум)

За Обрађивача:

___________________________

(потпис и датум)

Прилог 8.

Овај прилог није обавезан део уговора.

Услови раскида, отказни рок, као и последице у случају раскида:

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

Одговорност у случају повреде:

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________