Zakon

ЗАКОН

о заштити података о личности

"Службени гласник РС", број 87 од 13. новембра 2018.

I. ОСНОВНЕ ОДРЕДБЕ

Предмет закона

Члан 1.

Овим законом уређује се право на заштиту физичких лица у вези са обрадом података о личности и слободни проток таквих података, начела обраде, права лица на које се подаци односе, обавезе руковалаца и обрађивача података о личности, кодекс поступања, пренос података о личности у друге државе и међународне организације, надзор над спровођењем овог закона, правна средства, одговорност и казне у случају повреде права физичких лица у вези са обрадом података о личности, као и посебни случајеви обраде.

Oвим законом уређује се и право на заштиту физичких лица у вези са обрадом података о личности коју врше надлежни органи у сврхе спречавања, истраге и откривања кривичних дела, гоњења учинилаца кривичних дела или извршења кривичних санкција, укључујући спречавање и заштиту од претњи јавној и националној безбедности, као и слободни проток таквих података.

Циљ закона

Члан 2.

Oвим законом се обезбеђује заштита основних права и слобода физичких лица, а посебно њиховог права на заштиту података о личности.

Одредбе посебних закона којима се уређује обрада података о личности морају бити у складу са овим законом.

Примена

Члан 3.

Овај закон примењује се на обраду података о личности која се врши, у целини или делимично, на аутоматизован начин, као и на неаутоматизовану обраду података о личности који чине део збирке података или су намењени збирци података.

Овај закон не примењује се на обраду података о личности коју врши физичко лице за личне потребе, односно потребе свог домаћинства.

Овај закон примењује се на обраду података о личности коју врши руковалац, односно обрађивач који има седиште, односно пребивалиште или боравиште на територији Републике Србије, у оквиру активности које се врше на територији Републике Србије, без обзира да ли се радња обраде врши на територији Републике Србије.

Овај закон примењује се на обраду података о личности лица на које се подаци односе које има пребивалиште, односно боравиште на територији Републике Србије од стране руковаоца, односно обрађивача који нема седиште, односно пребивалиште или боравиште на територији Републике Србије, ако су радње обраде везане за:

1) понуду робe, односно услуге лицу на које се подаци односе на територији Републике Србије, без обзира да ли се од тог лица захтева плаћање накнаде за ову робу, односно услугу;

2) праћење активности лица на које се подаци односе, ако се активности врше на територији Републике Србије.

Значење израза

Члан 4.

Поједини изрази у овом закону имају следеће значење:

1) „пoдaтaк o личнoсти” je свaки податак кojи сe oднoси нa физичкo лицe чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, података о локацији, идентификатора у електронским комуникационим мрежама или једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета;

2) „лице на које се подаци односе” је физичко лице чији се подаци о личности обрађују;

3) „обрада података о личности” је свака радња или скуп радњи које се врше аутоматизовано или неаутоматизовано са подацима о личности или њиховим скуповима, као што су прикупљање, бележење, разврставање, груписање, односно структурисање, похрањивање, уподобљавање или мењање, откривање, увид, употреба, откривање преносом, односно достављањем, умножавање, ширење или на други начин чињење доступним, упоређивање, ограничавање, брисање или уништавање (у даљем тексту: обрада);

4) „ограничавање обраде” је означавање похрањених података о личности у циљу ограничења њихове обраде у будућности;

5) „профилисање” је сваки облик аутоматизоване обраде који се користи да би се оценило одређено својство личности, посебно у циљу анализе или предвиђања радног учинка физичког лица, његовог економског положаја, здравственог стања, личних склоности, интереса, поузданости, понашања, локације или кретања;

6) „псеудонимизација” је обрада на начин који онемогућава приписивање података о личности одређеном лицу без коришћења додатних података, под условом да се ови додатни подаци чувају посебно и да су предузете техничке, организационе и кадровске мере које обезбеђују да се податак о личности не може приписати одређеном или одредивом лицу;

7) „збирка података” је сваки структурисани скуп података о личности који је доступан у складу са посебним критеријумима, без обзира да ли је збирка централизована, децентрализована или разврстана по функционалним или географским основама;

8) „руковалац” је физичко или правно лице, односно орган власти који самостално или заједно са другима одређује сврху и начин обраде. Законом којим се одређује сврха и начин обраде, може се одредити и руковалац или прописати услови за његово одређивање;

9) „обрађивач” је физичко или правно лице, односно орган власти који обрађује податке о личности у име руковаоца;

10) „прималац” је физичко или правно лице, односно орган власти коме су подаци о личности откривени, без обзира да ли се ради о трећој страни или не, осим ако се ради о органима власти који у складу са законом примају податке о личности у оквиру истраживања одређеног случаја и обрађују ове податке у складу са правилима о заштити података о личности која се односе на сврху обраде;

11) „трећа страна” је физичко или правно лице, односно орган власти, који није лице на које се подаци односе, руковалац или обрађивач, као ни лице које је овлашћено да обрађује податке о личности под непосредним надзором руковаоца или обрађивача;

12) „пристанак” лица на које се подаци односе је свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим то лице, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе;

13) „повреда података о личности” је повреда безбедности података о личности која доводи до случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или на други начин обрађивани;

14) „генетски податак” је податак о личности који се односи на наслеђена или стечена генетска обележја физичког лица која пружају јединствену информацију о физиологији или здрављу тог лица, а нарочито они који су добијени анализом из узорка биолошког порекла;

15) „биометријски податак” је податак о личности добијен посебном техничком обрадом у вези са физичким обележјима, физиолошким обележјима или обележјима понашања физичког лица, која омогућава или потврђује јединствену идентификацију тог лица, као што је слика његовог лица или његови дактилоскопски подаци;

16) „подаци о здрављу” су подаци о физичком или менталном здрављу физичког лица, укључујући и оне о пружању здравствених услуга, којима се откривају информације о његовом здравственом стању;

17) „представник” је физичко или правно лице са пребивалиштем, односно седиштем на територији Републике Србије које је у складу са чланом 44. овог закона овлашћено да представља руковаоца, односно обрађивача у вези са њиховим обавезама предвиђеним овим законом;

18) „привредни субјекат” је физичко или правно лице које обавља привредну делатност, без обзира на његов правни облик, укључујући и ортачко друштво или удружење које редовно обавља привредну делатност;

19) „мултинационална компанија” је привредни субјекат који је контролни оснивач или контролни члан привредног субјекта, односно оснивач огранка привредног субјекта, који обавља привредну делатност у држави у којој се не налази његово седиште, као и привредни субјекат са значајним учешћем у привредном субјекту, односно у оснивачу огранка привредног субјекта, који обавља привредну делатност у држави у којој се не налази седиште мултинационалне компаније, у складу са законом којим се уређују привредна друштва;

20) „група привредних субјеката” је група повезаних привредних субјеката, у складу са законом којим се уређује повезивање привредних субјеката;

21) „обавезујућа пословна правила” су интерна правила о заштити података о личности која су усвојена и која се примењују од стране руковаоца, односно обрађивача, са пребивалиштем или боравиштем, односно седиштем на територији Републике Србије, у сврху регулисања преношења података о личности руковаоцу или обрађивачу у једној или више држава унутар мултинационалне компаније или групе привредних субјеката;

22) „Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник)” је независан и самостални орган власти установљен на основу закона, који је надлежан за надзор над спровођењем овог закона и обављање других послова прописаних законом;

23) „услуга информационог друштва” је свака услуга која се уобичајено пружа уз накнаду, на даљину, електронским средствима на захтев примаоца услуга;

24) „међународна организација” је организација или њено тело које уређује међународно јавно право, као и било које друго тело установљено споразумом или на основу споразума између држава;

25) „орган власти” је државни орган, орган територијалне аутономије и јединице локалне самоуправе, јавно предузеће, установа и друга јавна служба, организација и друго правно или физичко лице које врши јавна овлашћења;

26) „надлежни органи” су:

а) органи власти који су надлежни за спречавање, истрагу и откривање кривичних дела, као и гоњење учинилаца кривичних дела или извршење кривичних санкција, укључујући и заштиту и спречавање претњи јавној и националној безбедности;

б) правно лице које је за вршење послова из подтачке а) ове тачке овлашћено законом.

II. НАЧЕЛА

Начела обраде

Члан 5.

Подаци о личности морају:

1) се обрађивати законито, поштено и транспарентно у односу на лице на које се подаци односе („законитост, поштење и транспарентност”). Законита обрада је обрада која се врши у складу са овим законом, односно другим законом којим се уређује обрада;

2) се прикупљати у сврхе које су конкретно одређене, изричите, оправдане и законите и даље се не могу обрађивати на начин који није у складу са тим сврхама („ограничење у односу на сврху обраде”);

3) бити примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде („минимизација података”);

4) бити тачни и, ако је то неопходно, ажурирани. Узимајући у обзир сврху обраде, морају се предузети све разумне мере којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе („тачност”);

5) се чувати у облику који омогућава идентификацију лица само у року који је неопходан за остваривање сврхе обраде („ограничење чувања”);

6) се обрађивати на начин који обезбеђује одговарајућу заштиту података о личности, укључујући заштиту од неовлашћене или незаконите обраде, као и од случајног губитка, уништења или оштећења применом одговарајућих техничких, организационих и кадровских мера („интегритет и поверљивост”).

Руковалац је одговоран за примену одредаба става 1. овог члана и мора бити у могућности да предочи њихову примену („одговорност за поступање”).

Обрада у друге сврхе

Члан 6.

Изузетно од члана 5. став 1. тачка 2) овог закона, aко се даља обрада врши у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања, као и у статистичке сврхе, у складу са овим законом, сматра се да се подаци о личности не обрађују на начин који није у складу са првобитном сврхом.

Ако обрада у сврху која је различита од сврхе за коју су подаци прикупљени није заснована на закону који прописује неопходне и сразмерне мере у демократском друштву ради заштите циљева из члана 40. став 1. овог закона, или на пристанку лица на које се подаци односе, руковалац је дужан да оцени да ли је та друга сврха обраде у складу са сврхом обраде за коју су подаци прикупљени, посебно узимајући у обзир:

1) да ли постоји веза између сврхе за коју су подаци прикупљени и друге сврхе намераване обраде;

2) околности у којима су подаци прикупљени, укључујући и однос између руковаоца и лица на које се подаци односе;

3) природу података, а посебно да ли се обрађују посебне врсте података о личности из члана 17. овог закона, односно подаци о личности у вези са кривичним пресудама и кажњивим делима из члана 19. овог закона;

4) могуће последице даље обраде за лице на које се подаци односе;

5) примену одговарајућих мера заштите, као што су криптозаштита и псеудонимизација.

Одредбе ст. 1. и 2. овог члана не примењују се на обраду коју врше надлежни органи у сврхе спречавања, истраге и откривања кривичних дела, гоњења учинилаца кривичних дела или извршења кривичних санкција, укључујући спречавање и заштиту од претњи јавној и националној безбедности (у даљем тексту: у посебне сврхе).

Обрада у друге сврхе од стране надлежних органа

Члан 7.

Подаци о личности који су прикупљени од стране надлежних органа у посебне сврхе не могу се обрађивати у сврху која је различита од сврхе за коју су подаци прикупљени, осим ако је та даља обрада прописана законом.

Обрада коју врше надлежни органи у посебне сврхе, које су различите од сврхе за који су подаци о личности прикупљени, дозвољена је ако су заједно испуњени следећи услови:

1) руковалац је овлашћен да обрађује те податке о личности у такве друге сврхе, у складу са законом;

2) обрада је неопходна и сразмерна тој другој сврси, у складу са законом.

Обрада коју врше надлежни органи у посебне сврхе може да обухвати архивирање података о личности у јавном интересу, односно њихово коришћење у научне, статистичке или историјске сврхе, под условом да се примењују одговарајуће техничке, организационе и кадровске мере у циљу заштите права и слобода лица на које се подаци односе.

Чување, рокови чувања и преиспитивање потребе чувања у посебним случајевима

Члан 8.

Изузетно од члана 5. став 1. тачка 5) овог закона, подаци о личности који се обрађују искључиво у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања, као и у статистичке сврхе, могу се чувати и у дужем року, уз поштовање одредаба овог закона о примени одговарајућих техничких, организационих и кадровских мера, а у циљу заштите права и слобода лица на које се подаци односе.

Ако се ради о подацима о личности које обрађују надлежни органи у посебне сврхе, мора се одредити рок када ће се ти подаци избрисати, односно рок за периодичну оцену потребе њиховог чувања.

Ако рок из ст. 1. и 2. овог члана није одређен законом, одређује га руковалaц.

Повереник надзире поштовање рокова из ст. 1. до 3. овог члана у складу са својим овлашћењима прописаним овим законом.

Разликовање појединих врста лица на које се подаци односе

Члан 9.

Ако се ради о подацима о личности које обрађују надлежни органи у посебне сврхе, надлежни орган је дужан да приликом њихове обраде, ако је то могуће, направи јасну разлику између података који се односе на поједине врсте лица о којима се подаци обрађују, као што су:

1) лица против којих постоје основи сумње да су извршила или намеравају да изврше кривична дела;

2) лица против којих постоји основана сумња да су извршила кривична дела;

3) лица која су осуђена за кривична дела;

4) лица оштећена кривичним делом или лица за која се претпоставља да би могла бити оштећена кривичним делом;

5) друга лица која су у вези са кривичним делом, као што су сведоци, лица која могу да обезбеде информације о кривичном делу, повезана лица или сарадници лица из тач. 1) до 3) овог члана.

Разликовање појединих врста података о личности

Члан 10.

Ако се ради о подацима о личности које обрађују надлежни органи у посебне сврхе, надлежни орган је дужан да, у мери у којој је то могуће, податке о личности који су засновани искључиво на чињеничном стању јасно издвоји од података о личности који су засновани на личној оцени.

Оцена квалитета података о личности и посебни услови обраде коју врше надлежни органи у посебне сврхе

Члан 11.

Надлежни органи који обрађују податке о личности у посебне сврхе су дужни да коришћењем разумних мера обезбеде да се нетачни, непотпуни и неажурирани подаци о личности не преносе, односно да не буду доступни.

Тачност, потпуност и ажурираност података о личности надлежни органи проверавају, у мери у којој је то могуће, пре започињања преноса, односно пре него што се ти подаци учине доступним.

Надлежни орган који другом надлежном органу преноси податке о личности дужан је да му, у мери у којој је то могуће, достави и информације које су неопходне за оцену степена тачности, потпуности, проверености, односно поузданости података о личности, као и да му достави обавештење о ажурираности тих података.

Ако су пренети нетачни подаци о личности, односно ако су подаци о личности пренети незаконито, надлежни орган коме су подаци пренети о томе се мора обавестити без одлагања, а подаци о личности који су пренети морају бити исправљени или избрисани, односно њихова обрада мора бити ограничена у складу са овим законом.

Ако се за обраду законом захтевају посебни услови, надлежни орган који преноси податке о личности дужан је да упозна примаоца података са тим посебним условима, као и обавезом њиховог испуњења.

Законитост обраде

Члан 12.

Обрада је законита само ако је испуњен један од следећих услова:

1) лице на које се подаци о личности односе је пристало на обраду својих података о личности за једну или више посебно одређених сврха;

2) обрада је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора;

3) обрада је неопходна у циљу поштовања правних обавеза руковаоца;

4) обрада је неопходна у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица;

5) обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца;

6) обрада је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице.

Став 1. тачка 6) овог члана не примењује се на обраду коју врши орган власти у оквиру своје надлежности.

Одредбе ст. 1. и 2. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Законитост обраде коју врше надлежни органи у посебне сврхе

Члан 13.

Обрада коју врше надлежни органи у посебне сврхе је законита само ако је та обрада неопходна за обављање послова надлежних органа и ако је прописана законом. Таквим законом се одређују најмање циљеви обраде, подаци о личности који се обрађују и сврхе обраде.

Законитост обраде у посебним случајевима

Члан 14.

Основ за обраду из члана 12. став 1. тач. 3) и 5) овог закона одређује се законом.

Ако се ради о обради из члана 12. став 1. тачка 3) овог закона, законом се одређује и сврха обраде, а ако се ради о обради из члана 12. став 1. тачка 5) овог закона, законом се прописује да је обрада неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца.

Законом из става 1. овог члана прописује се јавни интерес који се намерава остварити, као и обавеза поштовања правила о сразмерности обраде у односу на циљ који се намерава остварити, а могу се прописати и услови за дозвољеност обраде од стране руковаоца, врста података који су предмет обраде, лица на које се подаци о личности односе, лица којима се подаци могу открити и сврха њиховог откривања, ограничења која се односе на сврху обраде, рок похрањивања и чувања података, као и друге посебне радње и поступак обраде, укључујући и мере за обезбеђивање законите и поштене обраде.

Пристанак

Члан 15.

Ако се обрада заснива на пристанку, руковалац мора бити у могућности да предочи да је лице пристало на обраду својих података о личности.

Ако се пристанак лица на које се подаци односе даје у оквиру писмене изјаве која се односи и на друга питања, захтев за давање пристанка мора бити представљен на начин којим се издваја од тих других питања, у разумљивом и лако доступном облику, као и уз употребу јасних и једноставних речи. Део писмене изјаве који је у супротности са овим законом не производи правно дејство.

Лице на које се подаци односе има право да опозове пристанак у сваком тренутку. Опозив пристанка не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива. Пре давања пристанка лице на које се подаци односе мора бити обавештено о праву на опозив, као и дејству опозива. Опозивање пристанка мора бити једноставно, као и давање пристанка.

Приликом оцењивања да ли је пристанак за обраду података о личности слободно дат, посебно се мора водити рачуна о томе да ли се извршење уговора, укључујући и пружање услуга, условљава давањем пристанка који није неопходан за његово извршење.

Пристанак малолетног лица у вези са коришћењем услуга информационог друштва

Члан 16.

Малолетно лице које је навршило 15 година може самостално да даје пристанак за обраду података о својој личности у коришћењу услуга информационог друштва.

Ако се ради o малолетном лицу које није навршило 15 година, за обраду података из става 1. овог члана пристанак мора дати родитељ који врши родитељско право, односно други законски заступник малолетног лица.

Руковалац мора предузети разумне мере у циљу утврђивања да ли је пристанак дао родитељ који врши родитељско право, односно други законски заступник малолетног лица, узимајући у обзир доступне технологије.

Обрада посебних врста података о личности

Члан 17.

Забрањена је обрада којом се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обрада генетских података, биометријских података у циљу јединствене идентификације лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица.

Изузетно, обрада из става 1. овог члана допуштена је у следећим случајевима:

1) лице на које се подаци односе је дало изричит пристанак за обраду за једну или више сврха обраде, осим ако је законом прописано да се обрада не врши на основу пристанка;

2) обрада је неопходна у циљу извршења обавеза или примене законом прописаних овлашћења руковаоца или лица на које се подаци односе у области рада, социјалног осигурања и социјалне заштите, ако је таква обрада прописана законом или колективним уговором који прописује примену одговарајућих мера заштите основних права, слобода и интереса лица на које се подаци односе;

3) обрада је неопходна у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица, ако лице на које се подаци односе физички или правно није у могућности да даје пристанак;

4) обрада се врши у оквиру регистроване делатности и уз примену одговарајућих мера заштите од стране задужбине, фондације, удружења или друге недобитне организације са политичким, филозофским, верским или синдикалним циљем, под условом да се обрада односи искључиво на чланове, односно бивше чланове те организације или лица која имају редовне контакте са њом у вези са циљем организације, као и да се подаци о личности не откривају изван те организације без пристанка лица на које се односе;

5) обрађују се подаци о личности које је лице на које се они односе очигледно учинило јавно доступним;

6) обрада је неопходна у циљу подношења, остваривања или одбране правног захтева или у случају кад суд поступа у оквиру своје надлежности;

7) обрада је неопходна у циљу остваривања значајног јавног интереса одређеног законом, ако је таква обрада сразмерна остваривању циља, уз поштовање суштине права на заштиту података о личности и ако је обезбеђена примена одговарајућих и посебних мера заштите основних права и интереса лица на које се ови подаци односе;

8) обрада је неопходна у сврху превентивне медицине или медицине рада, ради процене радне способности запослених, медицинске дијагностике, пружања услуга здравствене или социјалне заштите, односно управљања здравственим или социјалним системима, на основу закона или на основу уговора са здравственим радником, ако се обрада врши од стране или под надзором здравственог радника или другог лица које има обавезу чувања професионалне тајне прописане законом или професионалним правилима;

9) обрада је неопходна у циљу остваривања јавног интереса у области јавног здравља, као што је заштита од озбиљних прекограничних претњи здрављу становништва или обезбеђивање високих стандарда квалитета и сигурности здравствене заштите и лекова или медицинских средстава, на основу закона који обезбеђује одговарајуће и посебне мере заштите права и слобода лица на које се подаци односе, посебно у погледу чувања професионалне тајне;

10) обрада је неопходна у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања и у статистичке сврхе, у складу са чланом 92. став 1. овог закона, ако је таква обрада сразмерна остваривању циљева који се намеравају постићи, уз поштовање суштине права на заштиту података о личности и ако је обезбеђена примена одговарајућих и посебних мера заштите основних права и интереса лица на које се ови подаци односе.

Одредбе ст. 1. и 2. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Обрада посебних врста података о личности коју врше надлежни органи у посебне сврхе

Члан 18.

Обрада коју врше надлежни органи у посебне сврхе, којом се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обрада генетских података, биометријских података у циљу јединствене идентификације физичког лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица, допуштена је само ако је то неопходно, уз примену одговарајућих мера заштите права лица на које се подаци односе, у једном од следећих случајева:

1) надлежни орган је законом овлашћен да обрађује посебне врсте података о личности;

2) обрада посебних врста података о личности врши се у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица;

3) обрада се односи на посебне врсте података о личности које је лице на које се они односе очигледно учинило доступним јавности.

Обрада у вези са кривичним пресудама и кажњивим делима

Члан 19.

Обрада података о личности који се односе на кривичне пресуде, кажњива дела и мере безбедности, може се вршити на основу члана 12. став 1. овог закона само под надзором надлежног органа или, ако је обрада допуштена законом, уз примену одговарајућих посебних мера заштите права и слобода лица на које се подаци односе.

Јединствена евиденција о кривичним пресудама води се искључиво од стране и под надзором надлежног органа.

Oбрада која не захтева идентификацију

Члан 20.

Ако за остваривање сврхе обраде није потребно, односно више није потребно да руковалац идентификује лице на које се подаци односе, руковалац није дужан да задржи, прибави или обради додатне информације ради идентификације тог лица само у циљу примене овог закона.

Ако је у случају из става 1. овог члана руковалац у могућности да предочи да не може да идентификује лице на које се подаци односе, дужан је да о томе на одговарајући начин информише то лице, ако је то могуће.

У случају из ст. 1. и 2. овог члана не примењују се одредбе члана 26. ст. 1. до 4, члана 29, члана 30. ст. 1. до 5, члана 31. ст. 1. до 3, члана 33. ст. 1. и 2. и члана 36. ст. 1. до 4. овог закона, осим ако лице на које се подаци односе, у циљу остваривања права из тих чланова, достави додатне информације које омогућавају његову идентификацију.

Одредбе ст. 2. и 3. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

III. ПРАВА ЛИЦА НА КОЈЕ СЕ ПОДАЦИ ОДНОСЕ

1. Транспарентност и начини остваривања права

Транспарентне информације, информисање и начини остваривања права лица на које се подаци односе

Члан 21.

Руковалац је дужан да предузме одговарајуће мере да би лицу на које се подаци односе пружио све информације из чл. 23. и 24. овог закона, односно информације у вези са остваривањем права из члана 26, чл. 29. до 31, члана 33, чл. 36. до 38. и члана 53. овог закона, на сажет, транспарентан, разумљив и лако доступан начин, коришћењем јасних и једноставних речи, а посебно ако се ради о информацији која је намењена малолетном лицу. Те информације пружају се у писменом или другом облику, укључујући и електронски облик, ако је то погодно. Ако лице на које се подаци односе то захтева, информације се могу пружити усмено, под условом да је идентитет лица несумњиво утврђен.

Руковалац је дужан да пружи помоћ лицу на које се подаци односе у остваривању његових права из члана 26, чл. 29. до 31, члана 33. и чл. 36. до 38. овог закона. У случајевима из члана 20. ст. 2. и 3. овог закона, руковалац не може одбити да поступи по захтеву лица на које се подаци односе у остваривању његових права из члана 26, чл. 29. до 31, члана 33. и чл. 36. до 38. овог закона, осим ако руковалац предочи да није у могућности да идентификује лице.

Руковалац је дужан да лицу на које се подаци односе пружи информације о поступању на основу захтева из члана 26, чл. 29. до 31, члана 33. и чл. 36. до 38. овог закона без одлагања, а најкасније у року од 30 дана од дана пријема захтева. Тај рок може бити продужен за још 60 дана ако је то неопходно, узимајући у обзир сложеност и број захтева. О продужењу рока и разлозима за то продужење руковалац је дужан да обавести лице на које се подаци односе у року од 30 дана од дана пријема захтева. Ако је лице на које се подаци односе поднело захтев електронским путем, информација се мора пружити електронским путем ако је то могуће, осим ако је то лице захтевало да се информација пружи на други начин.

Ако руковалац не поступи по захтеву лица на које се подаци односе дужан је да о разлозима за непоступање обавести то лице без одлагања, а најкасније у року од 30 дана од дана пријема захтева, као и о праву на подношење притужбе Поверенику, односно тужбе суду.

Руковалац пружа информације из чл. 23. и 24. овог закона, односно информације у вези са остваривањем права из члана 26, чл. 29. до 31, члана 33, чл. 36. до 38. и члана 53. овог закона без накнаде. Ако је захтев лица на које се подаци односе очигледно неоснован или претеран, а посебно ако се исти захтев учестало понавља, руковалац може да:

1) наплати нужне административне трошкове пружања информације, односно поступања по захтеву;

2) одбије да поступи по захтеву.

Терет доказивања да је захтев очигледно неоснован или претеран лежи на руковаоцу.

Ако руковалац оправдано сумња у идентитет лица које је поднело захтев из члана 26, чл. 29. до 31, члана 33. и чл. 36. до 38. овог закона, руковалац може да захтева достављање додатних информација неопходних за потврду идентитета лица, што не искључује примену члана 20. овог закона.

Информације које се пружају лицима на које се подаци односе у складу са чл. 23. и 24. овог закона могу се пружити у комбинацији са стандардизованим иконама приказаним у електронском облику како би се, на лако видљив, разумљив и јасно уочљив начин, обезбедио сврсисходан увид у намеравану обраду. Мора се обезбедити да стандардизоване иконе приказане у електронском облику буду читљиве на електронском уређају.

Повереник одређује информације које се представљају стандардизованим иконама приказаним у електронском облику и уређује поступак за њихово утврђивање.

Одредбе ст. 1. до 9. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Информисање и начини остваривања права лица на које се односе подаци ако обраду врше надлежни органи у посебне сврхе

Члан 22.

Ако обраду врше надлежни органи у посебне сврхе, руковалац је дужан да предузме разумне мере да би лицу на које се подаци односе пружио све информације из члана 25. овог закона, односно информације у вези са остваривањем права из чл. 27, 28, 32, 34, 35, 39. и 53. овог закона, на сажет, разумљив и лако доступан начин, коришћењем јасних и једноставних речи. Те информације се пружају на било који примерен начин, укључујући и електронским путем. По правилу, руковалац пружа информације у облику у којем је садржан захтев лица на које се подаци односе.

Руковалац је дужан да пружи помоћ лицу на које се подаци односе у остваривању његових права из чл. 27, 28, 32, 34, 35. и 39. овог закона.

Руковалац је дужан да лицу на које се подаци односе без одлагања у писменом облику пружи информације о поступању по његовом захтеву.

Руковалац пружа информације из члана 25. овог закона и поступа у складу са чл. 27, 28, 32, 34, 35, 39. и 53. овог закона без накнаде. Ако је захтев лица на које се подаци односе очигледно неоснован или претеран, а посебно ако се исти захтев учестало понавља, надлежни орган може да:

1) наплати нужне административне трошкове пружања информације, односно поступања по захтеву;

2) одбије да поступи по захтеву.

Терет доказивања да је захтев очигледно неоснован или претеран лежи на руковаоцу.

Ако руковалац оправдано сумња у идентитет лица које је поднело захтев из члана 27. или члана 32. овог закона, руковалац може да захтева достављање додатних информација неопходних за потврду идентитета тог лица.

2. Информације и приступ подацима о личности

Информације које се пружају кад се подаци о личности прикупљају од лица на које се односе

Члан 23.

Ако се подаци о личности прикупљају од лица на које се односе, руковалац је дужан да у тренутку прикупљања података о личности том лицу пружи следеће информације:

1) о идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;

2) контакт податке лица за заштиту података о личности, ако је оно одређено;

3) о сврси намераване обраде и правном основу за обраду;

4) о постојању легитимног интереса руковаоца или треће стране, ако се обрада врши на основу члана 12. став 1. тачка 6) овог закона;

5) о примаоцу, односно групи прималаца података о личности, ако они постоје;

6) о чињеници да руковалац намерава да изнесе податке о личности у другу државу или међународну организацију, као и о томе да ли се та држава или међународна организација налази на листи из члана 64. став 7. овог закона, а у случају преноса из чл. 65. и 67. или члана 69. става 2. овог закона, о упућивању на одговарајуће мере заштите, као и о начину на који се лице на које се подаци односе може упознати са тим мерама.

Уз информације из става 1. овог члана, руковалац је дужан да у тренутку прикупљања података о личности лицу на које се подаци односе пружи и следеће додатне информације које могу да буду неопходне да би се обезбедила поштена и транспарентна обрада у односу на то лице:

1) о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;

2) о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде, права на приговор, као и права на преносивост података;

3) о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива, ако се обрада врши на основу члана 12. став 1. тачка 1) или члана 17. став 2. тачка 1) овог закона;

4) о праву да се поднесе притужба Поверенику;

5) o томе да ли је давање података о личности законска или уговорна обавеза или је давање података неопходан услов за закључење уговора, као и о томе да ли лице на које се подаци односе има обавезу да да податке о својој личности и о могућим последицама ако се подаци не дају;

6) о постојању аутоматизованог доношења одлуке, укључујући профилисање из члана 38. ст. 1. и 4. овог закона, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Ако руковалац намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације из става 2. овог члана.

Ако је лице на које се подаци односе већ упознато са неком од информација из ст. 1. до 3. овог члана, руковалац нема обавезу пружања тих информација.

Одредбе ст. 1. до 4. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Информације које се пружају кад се подаци о личности не прикупљају од лица на које се односе

Члан 24.

Ако се подаци о личности не прикупљају од лица на које се односе, руковалац је дужан да лицу на које се подаци односе пружи следеће информације:

1) о идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;

2) контакт податке лица за заштиту података о личности, ако је оно одређено;

3) о сврси намераване обраде и правном основу за обраду;

4) о врсти података који се обрађују;

5) о примаоцу, односно групи прималаца података о личности, ако они постоје;

6) о чињеници да руковалац намерава да изнесе податке о личности у другу државу или међународну организацију, као и о томе да ли се ова држава, односно међународна организација налази на листи из члана 64. став 7. овог закона, а у случају преноса из чл. 65. и 67. или члана 69. став 2. овог закона, о упућивању на одговарајуће мере заштите, као и начину на који се лице може упознати са тим мерама.

Уз информације из става 1. овог члана, руковалац је дужан да лицу на које се подаци односе пружи и следеће додатне информације које могу да буду неопходне да би се обезбедила поштена и транспарентна обрада у односу на лице на које се подаци односе:

1) о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;

2) о постојању легитимног интереса руковаоца или треће стране, ако се обрада врши на основу члана 12. став 1. тачка 6) овог закона;

3) о постојању права да се од руковаоца захтева приступ, исправка или брисање података о његовој личности, односно права на ограничење обраде, права на приговор на обраду, као и права на преносивост података;

4) о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива, ако се обрада врши на основу члана 12. став 1. тачка 1) или члана 17. став 2. тачка 1) овог закона;

5) о праву да се поднесе притужба Поверенику;

6) о извору из ког потичу подаци о личности и, према потреби, да ли подаци потичу из јавно доступних извора;

7) о постојању аутоматизованог доношења одлуке, укључујући профилисање из члана 38. ст. 1. и 4. овог закона, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Руковалац је дужан да информације из ст. 1. и 2. овог члана пружи:

1) у разумном року после прикупљања података о личности, а најкасније у року од 30 дана, узимајући у обзир све посебне околности обраде;

2) најкасније приликом успостављања прве комуникације, ако се подаци о личности користе за комуникацију са лицем на које се односе;

3) најкасније приликом првог откривања података о личности, ако је предвиђено откривање података о личности другом примаоцу.

Ако руковалац намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације из става 2. овог члана.

Руковалац није дужан да лицу на које се односе подаци о личности пружи информације из ст. 1. до 4. овог члана ако:

1) лице на које се подаци о личности односе већ има те информације;

2) је пружање таквих информација немогуће или би захтевало несразмеран утрошак времена и средстава, а нарочито у случају обраде у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања, као и у статистичке сврхе, ако се примењују услови и мере из члана 92. став 1. овог закона или ако је вероватно да би извршење обавеза из става 1. овог члана онемогућило или битно отежало остваривање сврхе обраде. У тим случајевима руковалац је дужан да предузме одговарајуће мере заштите права и слобода, као и легитимних интереса лица на које се подаци односе, што укључује и јавно објављивање информација;

3) је прикупљање или откривање података о личности изричито прописано законом којим се обезбеђују одговарајуће мере заштите легитимних интереса лица на које се подаци односе;

4) се поверљивост података о личности мора чувати у складу са обавезом чувања професионалне тајне која је прописана законом.

Одредбе ст. 1. до 5. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Информације које се стављају на располагање или пружају лицу на које се подаци односе, ако обраду врше надлежни органи у посебне сврхе

Члан 25.

Ако обраду врше надлежни органи у посебне сврхе, руковалац је дужан да лицу на које се подаци о личности односе стави на располагање најмање следеће информације:

1) о идентитету и контакт подацима руковаоца;

2) контакт податке лица за заштиту података о личности, ако је оно одређено;

3) о сврси намераване обраде;

4) о праву да се поднесе притужба Поверенику и контакт податке Повереника;

5) о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде тих података.

Уз информације из става 1. овог члана, руковалац је дужан да лицу на које се подаци односе, да би му се у одређеним случајевима омогућило остваривање његових права, пружи следеће додатне информације:

1) о правном основу за обраду;

2) о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;

3) о групи прималаца података о личности, ако они постоје, укључујући и оне у другим државама или међународним организацијама;

4) друге податке, ако је то неопходно, а посебно ако су подаци о личности прикупљени без знања лица на које се односе.

Информације из става 2. овог члана које се односе на поједине врсте обраде могу се ускратити, односно пружити ограничено или одложено лицу на које се подаци о личности односе, само у оној мери и у оном трајању док је то неопходно и сразмерно у демократском друштву у односу на поштовање основних права и легитимних интереса физичких лица, како би се:

1) избегло ометање службеног или законом уређеног прикупљања информација, истраге или поступака;

2) омогућило спречавање, истрага и откривање кривичних дела, гоњење учинилаца кривичних дела или извршење кривичних санкција;

3) заштитила јавна безбедност;

4) заштитила национална безбедност и одбрана;

5) заштитила права и слободе других лица.

Законом се могу одредити врсте обраде које, у целини или делимично, могу бити обухваћене неким од случајева из става 3. овог члана.

Право лица на које се подаци о личности односе на приступ

Члан 26.

Лице на које се подаци односе има право да од руковаоца захтева информацију о томе да ли обрађује његове податке о личности, приступ тим подацима, као и следеће информације:

1) о сврси обраде;

2) о врстама података о личности који се обрађују;

3) о примаоцу или врстама прималаца којима су подаци о личности откривени или ће им бити откривени, а посебно примаоцима у другим државама или међународним организацијама;

4) о предвиђеном року чувања података о личности, или ако то није могуће, о критеријумима за одређивање тог рока;

5) о постојању права да се од руковаоца захтева исправка или брисање његових података о личности, права на ограничење обраде и права на приговор на обраду;

6) о праву да се поднесе притужба Поверенику;

7) доступне информације о извору података о личности, ако подаци о личности нису прикупљени од лица на које се односе;

8) о постојању поступка аутоматизованог доношења одлуке, укључујући профилисање из члана 38. ст. 1. и 4. овог закона, и, најмање у тим случајевима, сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Ако се подаци о личности преносе у другу државу или међународну организацију, лице на које се односе има право да буде информисано о одговарајућим мерама заштите које се односе на пренос, у складу са чланом 65. овог закона.

Руковалац је дужан да лицу на које се подаци односе на његов захтев достави копију података које обрађује. Руковалац може да захтева накнаду нужних трошкова за израду додатних копија које захтева лице на које се подаци односе. Ако се захтев за копију доставља електронским путем, информације се достављају у уобичајено коришћеном електронском облику, осим ако је лице на које се подаци односе захтевало другачије достављање.

Остваривање права и слобода других лица не може се угрозити остваривањем права на достављање копије из става 3. овог члана.

Одредбе ст. 1. до 4. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Право лица на које се односе подаци на приступ подацима које обрађују надлежни органи у посебне сврхе

Члан 27.

Ако податке о личности обрађују надлежни органи у посебне сврхе, лице на које се подаци односе има право да од руковаоца добије информацију о томе да ли обрађује његове податке о личности, приступ тим подацима, као и следеће информације:

1) о сврси обраде и правном основу за обраду;

2) о врстама података о личности који се обрађују;

3) о примаоцу или врстама прималаца којима су подаци о личности откривени, а посебно примаоцима у другим државама или међународним организацијама;

4) о предвиђеном року чувања података о личности или, ако то није могуће, о критеријумима за одређивање тог рока;

5) о постојању права да се од руковаоца захтева исправка или брисање његових података о личности, односно права на ограничење обраде тих података;

6) о праву да се поднесе притужба Поверенику, као и контакт подацима Повереника;

7) информације о подацима о личности који се обрађују, као и доступне информације о њиховом извору.

Ограничење права на приступ

Члан 28.

Право на приступ из члана 27. овог закона може се ограничити, у целини или делимично, само у оној мери и у оном трајању у коме је такво делимично или потпуно ограничење неопходно и представља сразмерну меру у демократском друштву, уз поштовање основних права и легитимних интереса лица чији се подаци обрађују, како би се:

1) избегло ометање службеног или законом уређеног прикупљања информација, истраге или поступака;

2) омогућило спречавање, истрага и откривање кривичних дела, гоњење учинилаца кривичних дела или извршење кривичних санкција;

3) заштитила јавна безбедност;

4) заштитила национална безбедност и одбрана;

5) заштитила права и слободе других лица.

Законом се могу одредити врсте обраде које, у целини или делимично, могу бити обухваћене неким од случајева из става 1. овог члана.

Руковалац је дужан да писмено обавести лице на које се подаци односе да је приступ његовим подацима о личности одбијен или ограничен, као и о разлозима за одбијање или ограничење, без непотребног одлагања, а најкасније у року од 15 дана.

Руковалац није дужан да поступи у складу са ставом 3. овог члана ако би се тиме довело у питање остваривање сврхе због које је приступ одбијен или ограничен.

У случају из става 4. овог члана, као и у случају ако се у поступку по захтеву за приступ подацима утврди да се подаци о личности подносиоца захтева не обрађују, руковалац има обавезу да без непотребног одлагања, а најкасније у року од 15 дана, писмено обавести подносиоца захтева да је провером утврђено да не постоје подаци о личности у вези којих се могу остварити права предвиђена законом, као и да се може притужбом обратити Поверенику, односно тужбом суду.

Руковалац је дужан да документује чињеничне и правне разлоге за доношење одлуке о ограничењу права из става 1. овог члана, који морају бити стављени на располагање Поверенику, на његов захтев.

3. Право на исправку, допуну, брисање, ограничење и преносивост

Право на исправку и допуну

Члан 29.

Лице на које се подаци односе има право да се његови нетачни подаци о личности без непотребног одлагања исправе. У зависности од сврхе обраде, лице на које се подаци односе има право да своје непотпуне податке о личности допуни, што укључује и давање додатне изјаве.

Право на брисање података о личности

Члан 30.

Лице на које се подаци односе има право да се његови подаци о личности избришу од стране руковаоца.

Руковалац је дужан да без непотребног одлагања податке из става 1. овог члана избрише у следећим случајевима:

1) подаци о личности више нису неопходни за остваривање сврхе због које су прикупљени или на други начин обрађивани;

2) лице на које се подаци односе је опозвало пристанак на основу којег се обрада вршила, у складу са чланом 12. став 1. тачка 1) или чланом 17. став 2. тачка 1) овог закона, а нема другог правног основа за обраду;

3) лице на које се подаци односе је поднело приговор на обраду у складу са:

а) чланом 37. став 1. овог закона, а нема другог правног основа за обраду који претеже над легитимним интересом, правом или слободом лица на које се подаци односе,

б) чланом 37. став 2. овог закона;

4) подаци о личности су незаконито обрађивани;

5) подаци о личности морају бити избрисани у циљу извршења законских обавеза руковаоца;

6) подаци о личности су прикупљени у вези са коришћењем услуга информационог друштва из члана 16. став 1. овог закона.

Ако је руковалац јавно објавио податке о личности, његова обавеза да избрише податке у складу са ставом 1. овог члана обухвата и предузимање свих разумних мера, укључујући и техничке мере, у складу са доступним технологијама и могућностима сношења трошкова њихове употребе, у циљу обавештавања других руковаоца који те податке обрађују да је лице на које се подаци односе поднело захтев за брисање свих копија ових података и упућивања, односно електронских веза према овим подацима.

Лице на које се подаци односе подноси захтев за остваривање права из става 1. овог члана руковаоцу.

Ставови 1. до 3. овог члана не примењују се у мери у којој је обрада неопходна због:

1) остваривања слободе изражавања и информисања;

2) поштовања законске обавезе руковаоца којом се захтева обрада или извршења послова у јавном интересу или извршења службених овлашћења руковаоца;

3) остваривања јавног интереса у области јавног здравља, у складу са чланом 17. став 2. тач. 8) и 9) овог закона;

4) сврхе архивирања у јавном интересу, сврхе научног или историјског истраживања, као и статистичке сврхе у складу са чланом 92. став 1. овог закона, а оправдано се очекује да би остваривање права из ст. 1. и 2. овог члана могло да онемогући или битно угрози остваривање циљева те сврхе;

5) подношења, остваривања или одбране правног захтева.

Одредбе ст. 1. до 5. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Право на ограничење обраде

Члан 31.

Лице на које се подаци односе има право да се обрада његових података о личности ограничи од стране руковаоца ако је испуњен један од следећих случајева:

1) лице на које се подаци односе оспорава тачност података о личности, у року који омогућава руковаоцу проверу тачности података о личности;

2) обрада је незаконита, а лице на које се подаци односе се противи брисању података о личности и уместо брисања захтева ограничење употребе података;

3) руковаоцу више нису потребни подаци о личности за остваривање сврхе обраде, али их је лице на које се подаци односе затражило у циљу подношења, остваривања или одбране правног захтева;

4) лице на које се подаци односе је поднело приговор на обраду у складу са чланом 37. став 1. овог закона, а у току је процењивање да ли правни основ за обраду од стране руковаоца претеже над интересима тог лица.

Ако је обрада ограничена у складу са ставом 1. овог члана, ти подаци могу се даље обрађивати само на основу пристанка лица на које се подаци односе, осим ако се ради о њиховом похрањивању или у циљу подношења, остваривања или одбране правног захтева или због заштите права других физичких, односно правних лица или због остваривања значајних јавних интереса.

Ако је обрада ограничена у складу са ставом 1. овог члана, руковалац је дужан да информише лице на које се подаци односе о престанку ограничења, пре него што ограничење престане да важи.

Одредбе ст. 1. до 3. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Право на брисање или ограничење обраде коју врше надлежни органи у посебне сврхе

Члан 32.

Ако обраду врше надлежни органи у посебне сврхе, лице на које се они односе има право да се његови подаци о личности избришу од стране руковаоца, а руковалац је дужан да без непотребног одлагања избрише те податке ако су обрадом повређене одредбе чл. 5, 13. и 18. овог закона или ако подаци о личности морају бити избрисани због испуњења законске обавезе руковаоца.

Руковалац је дужан да ограничи обраду, уместо да избрише податке о личности, ако се ради о једном од следећих случајева:

1) тачност података о личности је оспорена од стране лица на које се подаци односе, а њихова тачност, односно нетачност се не може утврдити;

2) подаци о личности морају бити сачувани у циљу прикупљања и обезбеђивања доказа.

Ако је обрада ограничена у складу са ставом 2. тачка 1) овог члана, руковалац је дужан да информише лице на које се подаци односе о престанку ограничења, пре него што ограничење престане да важи.

Обавеза обавештавања у вези са исправком или брисањем података, као и ограничењем обраде

Члан 33.

Руковалац је дужан да обавести све примаоце којима су подаци о личности откривени о свакој исправци или брисању података о личности или ограничењу њихове обраде у складу са чланом 29, чланом 30. став 1. и чланом 31. овог закона, осим ако је то немогуће или захтева прекомеран утрошак времена и средстава.

Руковалац је дужан да лице на које се подаци односе, на његов захтев, информише о свим примаоцима из става 1. овог члана.

Одредбе ст. 1. до 2. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Обавеза обавештавања у вези са исправком или брисањем података, као и ограничењем обраде коју врше надлежни органи у посебне сврхе

Члан 34.

Ако обраду врше надлежни органи у посебне сврхе, руковалац је дужан да писмено обавести лице на које се подаци односе о одбијању исправљања или брисања његових података о личности, односно ограничавању обраде, као и о разлозима за то одбијање или ограничавање.

Руковалац се потпуно или делимично ослобађа обавезе обавештавања из става 1. овог члана у оној мери у којој такво ограничење представља неопходну и сразмерну меру у демократском друштву, уз дужно поштовање основних права и легитимних интереса лица чији се подаци обрађују, како би се:

1) избегло ометање службеног или законом уређеног прикупљања информација, истраге или поступака;

2) омогућило спречавање, истрага и откривање кривичних дела, гоњење учинилаца кривичних дела или извршење кривичних санкција;

3) заштитила јавна безбедност;

4) заштитила национална безбедност и одбрана;

5) заштитила права и слободе других лица.

У случају из ст. 1. и 2. овог члана, руковалац је дужан да информише лице на које се подаци односе да се може притужбом обратити Поверенику, односно тужбом суду.

Руковалац је дужан да о исправци нетачних података обавести надлежни орган од кога су ови подаци добијени.

Ако су подаци о личности исправљени, избрисани или је њихова обрада ограничена у складу са чланом 29. и чланом 32. ст. 1. и 2. овог закона, руковалац је дужан да примаоце тих података обавести о њиховој исправци, брисању или ограничењу обраде.

Примаоци података који су обавештени у складу са ставом 5. овог члана дужни су да податке који се код њих налазе исправе, избришу или ограниче њихову обраду.

Остваривање права лица на које се односе подаци када обраду врше надлежни органи у посебне сврхе и провера Повереника

Члан 35.

У случајевима из члана 25. став 3, члана 28. ст. 3. и 4. и члана 34. став 2. овог закона, права лица на које се односе подаци могу се остварити и преко Повереника, у складу са његовим овлашћењима прописаним овим законом.

Руковалац је дужан да обавести лице на које се подаци односе да у случајевима из става 1. овог члана може да оствари своја права преко Повереника.

Ако се, у случајевима из става 1. овог члана, права лица на које се подаци односе остварују преко Повереника, Повереник је дужан да обавести то лице најмање о томе да је извршена провера и надзор над обрадом његових података о личности, као и о праву да се за заштиту својих права може обратити суду.

Право на преносивост података

Члан 36.

Лице на које се подаци односе има право да његове податке о личности које је претходно доставило руковаоцу прими од њега у структурисаном, уобичајено коришћеном и електронски читљивом облику и има право да ове податке пренесе другом руковаоцу без ометања од стране руковаоца којем су ти подаци били достављени, ако су заједно испуњени следећи услови:

1) обрада је заснована на пристанку у складу са чланом 12. став 1. тачка 1) или чланом 17. став 2. тачка 1) овог закона или на основу уговора, у складу са чланом 12. став 1. тачка 2) овог закона;

2) обрада се врши аутоматизовано.

Право из става 1. овог члана обухвата и право лица да његови подаци о личности буду непосредно пренети другом руковаоцу од стране руковаоца којем су ови подаци претходно достављени, ако је то технички изводљиво.

Остваривање права из става 1. овог члана нема утицаја на примену члана 30. овог закона. Право из става 1. овог члана се не може остварити ако је обрада нужна за извршење послова од јавног интереса или за вршење службених овлашћења руковаоца.

Остваривање права из става 1. овог члана не може штетно утицати на остваривање права и слобода других лица.

Одредбе ст. 1. до 4. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

4. Право на приговор и аутоматизовано доношење појединачних одлука

Право на приговор

Члан 37.

Ако сматра да је то оправдано у односу на посебну ситуацију у којој се налази, лице на које се подаци односе има право да у сваком тренутку поднесе руковаоцу приговор на обраду његових података о личности, која се врши у складу са чланом 12. став 1. тач. 5) и 6) овог закона, укључујући и профилисање које се заснива на тим одредбама. Руковалац је дужан да прекине са обрадом података о лицу које је поднело приговор, осим ако је предочио да постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на који се подаци односе или су у вези са подношењем, остваривањем или одбраном правног захтева.

Лице на које се подаци односе има право да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање, у мери у којој је оно повезано са директним оглашавањем.

Ако лице на које се подаци односе поднесе приговор на обраду за потребе директног оглашавања, подаци о личности не могу се даље обрађивати у такве сврхе.

Руковалац је дужан да најкасније приликом успостављања прве комуникације са лицем на које се подаци односе, упозори то лице на постојање права из ст. 1. и 2. овог члана и да га упозна са тим правима на изричит и јасан начин, одвојено од свих других информација које му пружа.

У коришћењу услуга информационог друштва, лице на које се подаци односе има право да поднесе приговор аутоматизованим путем, у складу са техничким спецификацијама коришћења услуга.

Ако се подаци о личности обрађују у сврхе научног или историјског истраживања или у статистичке сврхе, у складу са чланом 92. овог закона, лице на које се подаци односе на основу своје посебне ситуације има право да поднесе приговор на обраду својих података о личности, осим ако је обрада неопходна за обављање послова у јавном интересу.

Аутоматизовано доношење појединачних одлука и профилисање

Члан 38.

Лице на које се подаци односе има право да се на њега не примењује одлука донета искључиво на основу аутоматизоване обраде, укључујући и профилисање, ако се том одлуком производе правне последице по то лице или та одлука значајно утиче на његов положај.

Став 1. овог члана не примењује се ако је одлука:

1) неопходна за закључење или извршење уговора између лица на које се подаци односе и руковаоца;

2) заснована на закону, ако су тим законом прописане одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе;

3) заснована на изричитом пристанку лица на које се подаци односе.

У случају из става 2. тач. 1) и 3) овог члана руковалац је дужан да примени одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе, а најмање право да се обезбеди учешће физичког лица под контролом руковаоца у доношењу одлуке, право лица на које се подаци односе да изрази свој став у вези са одлуком, као и право лица на које се подаци односе да оспори одлуку пред овлашћеним лицем руковаоца.

Одлуке из става 2. овог члана не могу се заснивати на посебним врстама података о личности из члана 17. став 1. овог закона, осим ако се примењује члан 17. став 2. тач. 1) и 5) овог закона и ако су обезбеђене одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе.

Одредбе ст. 1. до 4. овог члана не примењују се на обраду података коју врше надлежни органи у посебне сврхе.

Аутоматизовано доношење појединачних одлука и профилисање у вези са обрадом коју врше надлежни органи у посебне сврхе

Члан 39.

Забрањено је доношење одлуке искључиво на основу аутоматизоване обраде коју врше надлежни органи у посебне сврхе, укључујући и профилисање, ако таква одлука може да произведе штетне правне последице по лице на које се подаци односе или значајно утиче на положај тог лица, осим ако је доношење те одлуке засновано на закону и ако су тим законом прописане одговарајуће мере заштите права и слобода лица на које се подаци односе, а најмање право да се обезбеди учешће физичког лица под контролом руковаоца у доношењу одлуке.

Одлука из става 1. овог члана не може се заснивати на посебним врстама података о личности из члана 18. став 1. овог закона, осим ако се примењују одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе.

Забрањено је профилисање које доводи до дискриминације физичких лица на основу посебних врста података о личности из члана 18. став 1. овог закона.

5. Ограничења

Члан 40.

Права и обавезе из чл. 21, 23, 24, 26, чл. 29. до 31, члана 33, чл. 36. до 39. и члана 53, као и члана 5. овог закона ако се те одредбе односе на остваривање права и обавеза из чл. 21, 23, 24, 26, чл. 29. до 31, члана 33. и чл. 36. до 39. овог закона, могу се ограничити ако та ограничења не задиру у суштину основних права и слобода и ако то представља неопходну и сразмерну меру у демократском друштву за заштиту:

1) националне безбедности;

2) одбране;

3) јавне безбедности;

4) спречавања, истраге и откривања кривичних дела, гоњења учинилаца кривичних дела, или извршење кривичних санкција, укључујући спречавање и заштиту од претњи по јавну безбедност;

5) других важних општих јавних интереса, а посебно важних државних или финансијских интереса Републике Србије, укључујући монетарну политику, буџет, порески систем, јавно здравље и социјалну заштиту;

6) независности правосуђа и судских поступака;

7) спречавања, истраживања, откривања и гоњења за повреду професионалне етике;

8) функције праћења, надзора или вршења регулаторне функције која је стално или повремено повезана са вршењем службених овлашћења у случајевима из тач. 1) до 5) и тачке 7) овог става;

9) лица на које се подаци односе или права и слобода других лица;

10) остваривања потраживања у грађанским стварима.

Приликом примене ограничења права и обавеза из става 1. овог члана морају се, према потреби, узети у обзир најмање:

1) сврхе обраде или врсте обраде;

2) врсте података о личности;

3) обим ограничења;

4) мере заштите у циљу спречавања злоупотребе, недозвољеног приступа или преноса података о личности;

5) посебности руковаоца, односно врста руковаоца;

6) рок чувања и мере заштите података о личности које се могу применити, с обзиром на природу, обим и сврху обраде или врсте обраде;

7) ризици по права и слободе лица на које се подаци односе;

8) право лица на које се односе подаци да буде информисано о ограничењу, осим ако то информисање онемогућава остваривање сврхе ограничења.

Одредбе ст. 1. и 2. овог члана примењују се и у случају кад се обрада од стране надлежних органа не врши у посебне сврхе.

IV. РУКОВАЛАЦ И ОБРАЂИВАЧ

1. Oпште обавезе

Обавезе руковаоца

Члан 41.

Руковалац је дужан да предузме одговарајуће техничке, организационе и кадровске мере како би обезбедио да се обрада врши у складу са овим законом и био у могућности да то предочи, узимајући у обзир природу, обим, околности и сврху обраде, као и вероватноћу наступања ризика и ниво ризика за права и слободе физичких лица.

Мере из става 1. овог члана се преиспитују и ажурирају, ако је то неопходно.

Ако је то у сразмери са обрадом података, мере из става 1. овог члана укључују примену одговарајућих интерних аката руковаоца о заштити података о личности.

Руковалац може предочити да се придржава обавеза из става 1. овог члана и на основу примене одобреног кодекса поступања из члана 59. овог закона или издатог сертификата из члана 61. овог закона.

Став 4. овог члана не примењујe се на обраду коју врше надлежни органи у посебне сврхе.

Мере заштите

Члан 42.

Узимајући у обзир ниво технолошких достигнућа и трошкове њихове примене, природу, обим, околности и сврху обраде, као и вероватноћу наступања ризика и ниво ризика за права и слободе физичких лица који произилазе из обраде, руковалац је приликом одређивања начина обраде, као и у току обраде, дужан да:

1) примени одговарајуће техничке, организационе и кадровске мере, као што је псеудонимизација, које имају за циљ обезбеђивање делотворне примене начела заштите података о личности, као што је смањење броја података;

2) обезбеди примену неопходних механизама заштите у току обраде, како би се испунили услови за обраду прописани овим законом и заштитила права и слободе лица на која се подаци односе.

Руковалац је дужан да сталном применом одговарајућих техничких, организационих и кадровских мера обезбеди да се увек обрађују само они подаци о личности који су неопходни за остваривање сваке појединачне сврхе обраде. Та се обавеза примењује у односу на број прикупљених података, обим њихове обраде, рок њиховог похрањивања и њихову доступност.

Мерама из става 2. овог члана мора се увек обезбедити да се без учешћа физичког лица подаци о личности не могу учинити доступним неограниченом броју физичких лица.

Издати сертификат из члана 61. овог закона руковалац може користити да предочи да се придржава обавеза из ст. 1. до 3. овог члана.

Став 4. овог члана не примењујe се на обраду коју врше надлежни органи у посебне сврхе.

Заједнички руковаоци

Члан 43.

Ако два или више руковаоца заједнички одређују сврху и начин обраде, они се сматрају заједничким руковаоцима.

Заједнички руковаоци из става 1. овог члана на транспарентан начин одређују одговорност сваког од њих за поштовање обавеза прописаних овим законом, а посебно обавеза у погледу остваривања права лица на које се подаци односе и испуњавања њихових обавеза да том лицу пруже информације из чл. 23. до 25. овог закона.

Одговорност из става 2. овог члана уређује се споразумом заједничких руковаоца, осим ако је ова одговорност прописана законом који се примењује на руковаоце.

Споразумом из става 3. овог члана мора се одредити лице за контакт са лицем на које се подаци односе и уредити однос сваког од заједничких руковаоца са лицем на које се подаци односе.

Суштина одредби споразума из става 3. овог члана мора бити доступна лицу на које се подаци односе.

Одредбе ст. 4. и 5. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Без обзира на одредбе споразума из става 3. овог члана, лице на које се подаци односе може остварити своја права утврђена овим законом појединачно у односу према сваком од заједничких руковаоца.

Представници руковаоца или обрађивача који немају седиште у Републици Србији

Члан 44.

Руковалац, односно обрађивач, у случајевима из члана 3. став 4. овог закона, дужан је да одреди у писменом облику свог представника у Републици Србији, осим ако је:

1) обрада повремена, не укључује у великој мери обраду посебних података из члана 17. став 1. овог закона или података о личности који се односе на осуде за кривична дела и кажњива дела из члана 19. овог закона, и вероватно је да неће проузроковати ризик за права и слободе физичких лица узимајући у обзир природу, околности, обим и сврхе обраде;

2) руковалац, односно обрађивач орган власти.

Руковалац, односно обрађивач овлашћује представника из става 1. овог члана као лице коме се, уз руковаоца или обрађивача, односно уместо њих, лице на које се подаци односе, Повереник или друго лице може обратити у погледу свих питања у вези са обрадом податка о личности, а у циљу обезбеђивања поштовања одредби овог закона.

Притужба, тужба и остали правни захтеви из овог закона се могу поднети против руковаоца или обрађивача, без обзира на то да ли је одређен њихов представник из става 1. овог члана.

Обрађивач

Члан 45.

Ако се обрада врши у име руковаоца, руковалац може да одреди као обрађивача само оно лице или орган власти који у потпуности гарантује примену одговарајућих техничких, организационих и кадровских мера, на начин који обезбеђује да се обрада врши у складу са одредбама овог закона и да се обезбеђује заштита права лица на које се подаци односе.

Обрађивач из става 1. овог члана може поверити обраду другом обрађивачу само ако га руковалац за то овласти на основу општег или посебног писменог овлашћења. Ако се обрада врши на основу општег овлашћења, обрађивач је дужан да информише руковаоца о намераваном избору другог обрађивача, односно замени другог обрађивача, како би руковалац имао могућност да се супротстави таквој промени.

Обрада од стране обрађивача мора бити уређена уговором или другим правно обавезујућим актом, који је закључен, односно усвојен у писменом облику, што обухвата и електронски облик, који обавезује обрађивача према руковаоцу и који уређује предмет и трајање обраде, природу и сврху обраде, врсту података о личности и врсту лица о којима се подаци обрађују, као и права и обавезе руковаоца.

Уговором или другим правно обавезујућим актом из става 3. овог члана прописује се да је обрађивач дужан да:

1) обрађује податке о личности само на основу писмених упутстава руковаоца, укључујући и упутство у односу на преношење података о личности у друге државе или међународне организације, oсим ако је обрађивач законом обавезан да обрађује податке. У том случају, обрађивач је дужан да обавести руковаоца о тој законској обавези пре започињања обраде, осим ако закон забрањује достављање тих информација због потребе заштите важног јавног интереса;

2) обезбеди да се физичко лице које је овлашћено да обрађује податке о личности обавезало на чување поверљивости података или да то лице подлеже законској обавези чувања поверљивости података;

3) предузме све потребне мере у складу са чланом 50. овог закона;

4) поштује услове за поверавање обраде другом обрађивачу из ст. 2. и 7. овог члана;

5) узимајући у обзир природу обраде, помаже руковаоцу применом одговарајућих техничких, организационих и кадровских мера, колико је то могуће, у испуњавању обавеза руковаоца у односу на захтеве за остваривање права лица на које се подаци односе из Главе III. овог закона;

6) помаже руковаоцу у испуњавању обавеза из члана 50. и чл. 52. до 55. овог закона, узимајући у обзир природу обраде и информације које су му доступне;

7) после окончања уговорених радњи обраде, а на основу одлуке руковаоца, избрише или врати руковаоцу све податке о личности и избрише све копије ових података, осим ако је законом прописана обавеза чувања података;

8) учини доступним руковаоцу све информације које су неопходне за предочавање испуњености обавеза обрађивача прописаних овим чланом, као и информације које омогућавају и доприносе контроли рада обрађивача, коју спроводи руковалац или друго лице које он за то овласти.

У случају из става 4. тачка 8) овог члана, обрађивач је дужан да без одлагања упозори руковаоца ако сматра да писмено упутство које је од њега добио није у складу са овим законом или другим законом којим се уређује заштита података о личности.

Ако обраду врше надлежни органи у посебне сврхе, уговором или другим правно обавезујућим актом из става 3. овог члана прописује се да је обрађивач дужан да:

1) обрађује податке о личности само на основу упутстава руковаоца;

2) обезбеди да се лице које је овлашћено да обрађује податке обавезало на чување поверљивости података или да то лице подлеже законској обавези чувања поверљивости података;

3) помаже на одговарајући начин руковаоцу у испуњавању његове обавезе поштовања одредби о правима лица на које се подаци односе из Главе III. овог закона;

4) после окончања уговорених радњи обраде, а на основу одлуке руковаоца, избрише или му врати све податке о личности и избрише све копије ових података, осим ако је законом прописана обавеза чувања података;

5) учини доступним руковаоцу све информације које су неопходне за предочавање испуњености обавеза обрађивача прописаних овим чланом;

6) обезбеди поштовање услова из ст. 2, 3. и 6. овог члана ако поверава обраду другом обрађивачу.

Ако обрађивач одреди другог обрађивача за вршење посебних радњи обраде у име руковаоца, исте обавезе заштите података о личности прописане уговором или другим правно обавезујућим актом између руковаоца и обрађивача из ст. 3. и 4. овог члана обавезују и тог другог обрађивача, на основу посебног уговора или другог правно обавезујућег акта, који је закључен, односно усвојен у писменом облику, што обухвата и електронски облик, којим се у односу између обрађивача и другог обрађивача прописују довољне гаранције за примену одговарајућих техничких, организационих и кадровских мера које обезбеђују да се обрада врши у складу са овим законом. Ако други обрађивач не испуни своје обавезе у вези са заштитом података о личности, за испуњење ових обавеза другог обрађивача руковаоцу одговaра обрађивач.

Ако обрађивач повреди одредбе овог закона одређујући сврху и начин обраде податка о личности, обрађивач се сматра руковаоцем у односу на ту обраду.

Примена одобреног кодекса поступања из члана 59. овог закона, односно издатог сертификата из члана 61. овог закона може се користити да се предочи да обрађивач испуњава обавезе пружања гаранција из ст. 1. и 7. овог члана.

Правни однос између руковаоца и обрађивача који се уређује у складу са ст. 3. и 7. овог члана, може бити заснован у целини или делимично на стандардним уговорним клаузулама из става 11. овог члана, укључујући и оне које су везане за сертификат који се одобрава руковаоцу или обрађивачу у складу са чл. 61. и 62. овог закона.

Повереник може да изради стандардне уговорне клаузуле које се односе на обавезе из ст. 3. и 7. овог члана, посебно узимајући у обзир европску праксу у изради стандардних уговорних клаузула.

Одредбе ст. 4, 5, 7. и ст. 9. до 11. овог члана не примењују се на надлежне органе који врше обраду у посебне сврхе.

Обрада по налогу

Члан 46.

Обрађивач, односно друго лице које је од стране руковаоца или обрађивача овлашћено за приступ подацима о личности, не може да обрађује те податке без налога руковаоца, осим ако је таква обрада прописана законом.

Евиденција радњи обраде

Члан 47.

Руковалац и његов представник, ако је одређен, дужан је да води евиденцију о радњама обраде за које је одговоран, а која садржи информације о:

1) имену и контакт подацима руковаоца, заједничких руковаоца, представника руковаоца и лица за заштиту података о личности, ако они постоје, односно ако су одређени;

2) сврси обраде;

3) врсти лица на које се подаци односе и врсти података о личности;

4) врсти прималаца којима су подаци о личности откривени или ће бити откривени, укључујући и примаоце у другим државама или међународним организацијама;

5) преносу података о личности у друге државе или међународне организације, укључујући и назив друге државе или међународне организације, као и документе о примени мера заштите ако се подаци преносе у складу са чланом 69. став 2. овог закона, ако се такав пренос података о личности врши;

6) року после чијег истека се бришу одређене врсте података о личности, ако је такав рок одређен;

7) општем опису мера заштите из члана 50. став 1. овог закона, ако је то могуће.

Одредбе става 1. овог члана не примењују се ако обраду врше надлежни органи у посебне сврхе.

Ако обраду врше надлежни органи у посебне сврхе, руковалац је дужан да води евиденцију о свим врстама радњи обраде за које је одговоран, а која садржи информације о:

1) имену и контакт подацима руковаоца, заједничких руковаоца и лица за заштиту података о личности, ако они постоје, односно ако су одређени;

2) сврси обраде;

3) врсти лица на које се подаци односе и врсти података о личности;

4) врсти прималаца којима су подаци о личности откривени или ће бити откривени, укључујући и примаоце у другим државама или међународним организацијама;

5) коришћењу профилисања, ако се профилисање користи;

6) врстама преноса података о личности у друге државе или међународне организације, ако се такав пренос података о личности врши;

7) правном основу за поступак обраде, укључујући и пренос података о личности;

8) року чијим истеком се бришу одређене врсте података о личности, ако је такав рок одређен;

9) општем опису мера заштите из члана 50. став 1. овог закона, ако је то могуће.

Обрађивач и његов представник, ако је одређен, дужан је да води евиденцију о свим врстама радњи обраде које се врше у име руковаоца, а која садржи информације о:

1) имену и контакт подацима сваког обрађивача и сваког руковаоца у чије име се обрада врши, односно представника руковаоца или обрађивача и лица за заштиту података о личности, ако они постоје, односно ако су одређени;

2) врсти обрада које се врше у име сваког руковаоца;

3) преносу података о личности у друге државе или међународне организације, укључујући и назив друге државе или међународне организације, као и документе о примени мера заштите ако се подаци преносе у складу са чланом 69. став 2. овог закона, ако се такав пренос података о личности врши;

4) општем опису мера заштите из члана 50. став 1. овог закона, ако је то могуће.

Одредбе става 4. овог члана не примењују се ако обраду врше надлежни органи у посебне сврхе.

Ако обраду врше надлежни органи у посебне сврхе, сваки обрађивач је дужан да води евиденцију о свим врстама радњи обраде које се врше у име руковаоца, а која садржи информације о:

1) имену и контакт подацима сваког обрађивача и сваког руковаоца у чије име се обрада врши, односно лица за заштиту података о личности, ако је оно одређено;

2) врсти обрада које се врше у име сваког руковаоца;

3) преносу података о личности у друге државе или међународне организације, под условом да руковалац то изричито захтева, укључујући и називе државе или међународне организације, ако се такав пренос података о личности врши;

4) општем опису мера заштите из члана 50. став 1. овог закона, ако је то могуће.

Евиденције из ст. 1, 3, 4. и 6. овог члана воде се у писменом облику, што обухвата и електронски облик и чувају се трајно.

Руковалац или обрађивач, као и њихови представници, ако су одређени, дужни су да евиденције из ст. 1, 3, 4. и 6. овог члана учине доступним Поверенику, на његов захтев.

Одредбе ст. 1. и 4. овог члана не примењују се на привредне субјекте и организације у којима је запослено мање од 250 лица, осим ако:

1) обрада коју врше може да проузрокује висок ризик по права и слободе лица на које се подаци односе;

2) обрада није повремена;

3) обрада обухвата посебне врсте података о личности из члана 17. став 1. овог закона или податке о личности који се односе на кривичне пресуде, кажњива дела и мере безбедности из члана 19. овог закона.

Бележење радњи обраде коју врше надлежни органи у посебне сврхе

Члан 48.

Надлежни орган који обрађује податке у посебне сврхе дужан је да обезбеди да се приликом употребе система аутоматске обраде у том систему бележе најмање следеће радње обраде: унос, мењање, увид, откривање, укључујући и пренос, упоређивање и брисање.

Бележење увида и откривања података о личности мора да омогући утврђивање разлога за вршење радњи обраде, датума и времена предузимања радњи обраде и, ако је то могуће, идентитета лица које је извршило увид или открило податке о личности, као и идентитета примаоца ових података.

Бележење из става 1. овог члана може бити коришћено искључиво у сврху оцене законитости обраде, интерног надзора, обезбеђивања интегритета и безбедности података, као и покретања и вођења кривичног поступка.

Запис настао бележењем из става 1. овог члана ставља се на увид Поверенику, на његов захтев.

Сарадња са Повереником

Члан 49.

Руковалац, обрађивач и њихови представници, ако су одређени, дужни су да сарађују са Повереником у вршењу његових овлашћења.

2. Безбедност података о личности

Безбедност обраде

Члан 50.

У складу са нивоом технолошких достигнућа и трошковима њихове примене, природом, обимом, околностима и сврхом обраде, као и вероватноћом наступања ризика и нивоом ризика за права и слободе физичких лица, руковалац и обрађивач спроводе одговарајуће техничке, организационе и кадровске мере како би достигли одговарајући ниво безбедности у односу на ризик.

Према потреби, мере из става 1. овог члана нарочито обухватају:

1) псеудонимизацију и криптозаштиту података о личности;

2) способност обезбеђивања трајне поверљивости, интегритета, расположивости и отпорности система и услуга обраде;

3) обезбеђивање успостављања поновне расположивости и приступа подацима о личности у случају физичких или техничких инцидената у најкраћем року;

4) поступак редовног тестирања, оцењивања и процењивања делотворности техничких, организационих и кадровских мера безбедности обраде.

Приликом процењивања одговарајућег нивоа безбедности из става 1. овог члана посебно се узимају у обзир ризици обраде, а нарочито ризици од случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или обрађивани на други начин.

Примена одобреног кодекса поступања из члана 59. овог закона, односно издат сертификат из члана 61. овог закона, може се користити у циљу предочавања испуњености обавеза из става 1. овог члана.

Руковалац и обрађивач дужни су да предузму мере у циљу обезбеђивања да свако физичко лице које је овлашћено за приступ подацима о личности од стране руковаоца или обрађивача, обрађује ове податке само по налогу руковаоца или ако је на то обавезано законом.

Одредбе ст. 1. до 5. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Безбедност обраде коју врше надлежни органи у посебне сврхе

Члан 51.

Ако обраду врше надлежни органи у посебне сврхе, а у складу са нивоом технолошких достигнућа и трошковима њихове примене, природом, обимом, околностима и сврхом обраде, као и вероватноћом наступања ризика и нивоом ризика за права и слободе физичких лица, руковалац и обрађивач спроводе одговарајуће техничке, организационе и кадровске мере како би достигли одговарајући ниво безбедности у односу на ризик, а посебно ако се ради о обради посебних врста података о личности из члана 18. овог закона.

На основу процене ризика, руковалац или обрађивач дужан је да приликом аутоматске обраде примени одговарајуће мере из става 1. овог члана које обезбеђују да се:

1) онемогући неовлашћеном лицу приступ опреми која се користи за обраду („контрола приступа опреми”);

2) спречи неовлашћено читање, умножавање, измена или уклањање носача података („контрола носача података”);

3) спречи неовлашћено уношење података о личности, као и неовлашћена измена, брисање и контрола похрањених података о личности („контрола похрањивања”);

4) спречи коришћење система за аутоматску обраду од стране неовлашћеног лица, употребом опреме за пренос података („контрола употребе”);

5) осигура да лице које је овлашћено за коришћење система за аутоматску обраду има приступ само оним подацима о личности на које се односи његово овлашћење за приступ подацима („контрола приступа подацима”);

6) може проверити, односно установити коме су подаци о личности пренети, могу бити пренети или учињени доступним, употребом опреме за пренос података („контрола преноса”);

7) може накнадно проверити, односно утврдити који су подаци о личности унети у систем аутоматске обраде, од стране ког лица и када су унети („контрола уноса”);

8) спречи неовлашћено читање, умножавање, измена или брисање података о личности у току њиховог преноса или у току превоза носача података („контрола превоза”);

9) поново успостави инсталирани систем у случају прекида његовог рада („обнављање система”);

10) осигура да систем исправно ради и да се грешке у раду система уредно пријављују („поузданост”), као и да се похрањени подаци о личности не могу угрозити због недостатака у раду система („интегритет”).

Обавештавање Повереника о повреди података о личности

Члан 52.

Руковалац је дужан да о повреди података о личности која може да произведе ризик по права и слободе физичких лица обавести Повереника без непотребног одлагања, или, ако је то могуће, у року од 72 часа од сазнања за повреду.

Ако руковалац не поступи у року од 72 часа од сазнања за повреду, дужан је да образложи разлоге због којих није поступио у том року.

Обрађивач је дужан да, после сазнања за повреду података о личности, без непотребног одлагања обавести руковаоца о тој повреди.

Обавештење из става 1. овог члана мора да садржи најмање следеће информације:

1) опис природе повреде података о личности, укључујући врсте података и приближан број лица на која се подаци те врсте односе, као и приближан број података о личности чија је безбедност повређена;

2) име и контакт податке лица за заштиту података о личности или информације о другом начину на који се могу добити подаци о повреди;

3) опис могућих последица повреде;

4) опис мера које је руковалац предузео или чије је предузимање предложено у вези са повредом, укључујући и мере које су предузете у циљу умањења штетних последица.

Ако се све информације из става 4. овог члана не могу доставити истовремено, руковалац без непотребног одлагања поступно доставља доступне информације.

Руковалац је дужан да документује сваку повреду података о личности, укључујући и чињенице о повреди, њеним последицама и предузетим мерама за њихово отклањање.

Документација из става 6. овог члана мора омогућити Поверенику да утврди да ли је руковалац поступио у складу са одредбама овог члана.

Ако се ради о повреди података о личности које обрађују надлежни органи у посебне сврхе, а који су пренети руковаоцу у другој држави или међународној организацији, руковалац је дужан да без непотребног одлагања достави информације из става 4. овог члана руковаоцу у тој другој држави или међународној организацији, у складу са међународним споразумом.

Повереник прописује образац обавештења из става 1. овог члана и ближе уређује начин обавештавања.

Обавештавање лица о повреди података о личности

Члан 53.

Ако повреда података о личности може да произведе висок ризик по права и слободе физичких лица, руковалац је дужан да без непотребног одлагања о повреди обавести лице на које се подаци односе.

У обавештењу из става 1. овог члана руковалац је дужан да на јасан и разумљив начин опише природу повреде података и наведе најмање информације из члана 52. став 4. тач. 2) до 4) овог закона.

Руковалац није дужан да обавести лице из става 1. овог члана ако:

1) је предузео одговарајуће техничке, организационе и кадровске мере заштите у односу на податке о личности чија је безбедност повређена, а посебно ако је криптозаштитом или другим мерама онемогућио разумљивост података свим лицима која нису овлашћена за приступ овим подацима;

2) је накнадно предузео мере којима је обезбедио да повреда података о личности са високим ризиком за права и слободе лица на које се подаци односе више не може да произведе последице за то лице;

3) би обавештавање лица на које се подаци односе представљало несразмеран утрошак времена и средстава. У том случају, руковалац је дужан да путем јавног обавештавања или на други делотворан начин обезбеди пружање обавештења лицу на које се подаци односе.

Ако руковалац није обавестио лице на које се подаци односе о повреди података о личности, Повереник може, узимајући у обзир могућност да повреда података произведе висок ризик, да наложи руковаоцу да то учини или може да утврди да су испуњени услови из става 3. овог члана.

Ако се ради о повреди података о личности које обрађују надлежни органи у посебне сврхе, руковалац може одложити или ограничити обавештавање лица на које се подаци односе, у складу са условима и на основу разлога из члана 25. став 3. овог закона.

3. Процена утицаја обраде на заштиту података о личности и претходно мишљење Повереника

Процена утицаја на заштиту података о личности

Члан 54.

Ако је вероватно да ће нека врста обраде, посебно употребом нових технологија и узимајући у обзир природу, обим, околности и сврху обраде, проузроковати висок ризик за права и слободе физичких лица, руковалац је дужан да пре него што започне са обрадом изврши процену утицаја предвиђених радњи обраде на заштиту података о личности.

Ако више сличних радњи обраде могу проузроковати сличне високе ризике за заштиту података о личности, може се извршити заједничка процена.

Приликом процене утицаја руковалац је дужан да затражи мишљење лица за заштиту података о личности, ако је оно одређено.

Процена утицаја из става 1. овог члана обавезно се врши у случају:

1) систематске и свеобухватне процене стања и особина физичког лица која се врши помоћу аутоматизоване обраде података о личности, укључујући и профилисање, на основу које се доносе одлуке од значаја за правни положај појединца или на сличан начин значајно утичу на њега;

2) обраде посебних врста података о личности из члана 17. став 1. и члана 18. став 1. или података о личности у вези са кривичним пресудама и кажњивим делима из члана 19. овог закона, у великом обиму;

3) систематског надзора над јавно доступним површинама у великој мери.

Повереник је дужан да сачини и јавно објави на својој интернет страници листу врста радњи обраде за које се мора извршити процена утицаја из става 1. овог члана, а може да сачини и објави и листу врста радњи обраде за које процена није потребна.

Процена утицаја најмање мора да садржи:

1) свеобухватан опис предвиђених радњи обраде и сврху обраде, укључујући и опис легитимног интереса руковаоца, ако он постоји;

2) процену неопходности и сразмерности вршења радњи обраде у односу на сврхе обраде;

3) процену ризика за права и слободе лица на које се подаци односе из става 1. овог члана;

4) опис мера које се намеравају предузети у односу на постојање ризика, укључујући механизме заштите, као и техничке, организационе и кадровске мере у циљу заштите податка о личности и обезбеђивања доказа о поштовању одредби овог закона, узимајући у обзир права и легитимне интересе лица на које се подаци односе и других лица.

Став 6. овог члана не примењује се на процену утицаја обраде коју врше надлежни органи у посебне сврхе.

Процена утицаја обраде коју врше надлежни органи у посебне сврхе најмање мора да садржи свеобухватан опис предвиђених радњи обраде, процену ризика по права и слободе лица на које се подаци односе, опис мера које се намеравају предузети у односу на постојање ризика, укључујући механизме заштите, као и техничке, организационе и кадровске мере у циљу заштите податка о личности и обезбеђивања доказа о поштовању одредби овог закона, узимајући у обзир права и легитимне интересе лица на које се подаци односе и других лица.

Примена одобреног кодекса поступања из члана 59. овог закона од стране руковаоца или обрађивача мора се узети у обзир приликом процене утицаја радњи обраде на заштиту података о личности.

Став 9. овог члана не примењује се на обраду коју врше надлежни органи у посебне сврхе.

Према потреби, руковалац од лица на које се подаци односе или њихових представника тражи мишљење о радњама обраде које намерава да врши, не доводећи у питање заштиту пословних или јавних интереса или безбедност радњи обраде.

Ако се посебним законом прописују поједине радње обраде, односно групе радњи обраде, а обрада се врши у складу са чланом 12. став 1. тачка 3) или тачка 5) овог закона, па је процена утицаја на заштиту података о личности већ извршена у оквиру опште процене утицаја приликом доношења закона, ст. 1. до 9. овог члана се не примењује, осим ако се утврди да је неопходно извршити нову процену.

Према потреби, а најмање у случају кад је дошло до промене нивоа ризика у вези са радњама обраде, руковалац је дужан да преиспита да ли се радње обрада врше у складу са извршеном проценом утицаја на заштиту података о личности.

Претходно мишљењe Повереника

Члан 55.

Ако процена утицаја на заштиту података о личности, која је извршена у складу са чланом 54. овог закона, указује да ће намераване радње обраде произвести висок ризик ако се не предузму мере за умањење ризика, руковалац је дужан да затражи мишљење Повереника пре започињања радње обраде.

Став 1. овог члана не примењује се на обраду коју врше надлежни органи у посебне сврхе.

Ако обраду врши надлежни орган у посебне сврхе, руковалац, односно обрађивач је дужан да затражи мишљење Повереника пре започињања радњи обраде које ће довести до стварања нове збирке података у случају да:

1) процена утицаја на заштиту података о личности, која је извршена у складу са чланом 54. овог закона, указује да ће намераване радње обраде произвести висок ризик ако се не предузму мере за умањење ризика;

2) врста обраде, а посебно ако се користе нове технологије, механизми заштите или поступци, представљају висок ризик за права и слободе лица на које се подаци односе.

Ако Повереник сматра да би намераване радње обраде из ст. 1. и 3. овог члана могле да повреде одредбе овог закона, а посебно ако руковалац није на одговарајући начин проценио или умањио ризик, Повереник је дужан да у року од 60 дана од дана пријема захтева достави писмено мишљење руковаоцу или обрађивачу, ако је он поднео захтев, као и да по потреби искористи овлашћења из члана 79. овог закона.

Рок из става 4. овог члана може се продужити за 45 дана узимајући у обзир сложеност намераваних радњи обраде, а Повереник је дужан да о одлагању и разлозима за одлагање давања мишљења упозна руковаоца или обрађивача, ако је он поднео захтев, у року од 30 дана од пријема захтева за мишљење.

Рокови из ст. 4. и 5. овог члана не теку док Повереник не добије све тражене информације које су неопходне за давање мишљења.

Уз захтев за мишљење, руковалац је дужан да Поверенику достави податке о:

1) дужностима руковаоца, и, ако постоје, заједничких руковаоца и обрађивача који учествују у обради, посебно ако се ради о обради која се врши унутар групе привредних субјеката;

2) сврхама и начинима намераване обраде;

3) техничким, организационим и кадровским мерама, као и механизмима заштите права и слобода лица на које се подаци односе у складу са овим законом;

4) контакт подацима лица за заштиту података, ако је оно одређено;

5) процени утицаја на заштиту података о личности из члана 54. овог закона;

6) свим другим информацијама које затражи Повереник.

Став 7. овог члана не примењује се на обраду коју врше надлежни органи у посебне сврхе.

Ако обраду врши надлежни орган у посебне сврхе, руковалац из става 3. овог члана је дужан да Поверенику достави податке о процени утицаја на заштиту података о личности из члана 54. овог закона, а на захтев Повереника и друге информације које су од значаја за његово мишљење о радњама обраде, а посебно ризику по заштиту података о личности лица на које се подаци односе и механизмима заштите његових права.

Повереник може да састави и јавно објави на својој интернет презентацији листу врсти радњи обраде у вези са којима се мора тражити његово мишљење.

Органи власти који предлажу усвајање закона и других прописа заснованих на законима, а који садрже одредбе о обради података о личности, дужни су да у току њихове припреме затраже мишљење Повереника.

4. Лице за заштиту података о личности

Одређивање

Члан 56.

Руковалац и обрађивач могу да одреде лице за заштиту података о личности.

Руковалац и обрађивач дужни су да одреде лице за заштиту података о личности ако се:

1) обрада врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања његових судских овлашћења;

2) основне активности руковаоца или обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски надзор великог броја лица на које се подаци односе;

3) основне активности руковаоца или обрађивача састоје у обради посебних врста података о личности из члана 17. став 1. или података о личности у вези са кривичним пресудама и кажњивим делима из члана 19. овог закона, у великом обиму.

Одредбе ст. 1. и 2. овог члана не примењују се на обраду надлежних органа у посебне сврхе.

Ако обраду врше надлежни органи у посебне сврхе, руковалац је дужан да одреди лице за заштиту података о личности, осим ако се ради о обради коју врше судови у сврху обављања њихових судских овлашћења.

Група привредних субјеката може одредити заједничко лице за заштиту података о личности, под условом да је ово лице једнако доступно сваком члану групе.

Ако су руковаоци или обрађивачи органи власти или надлежни органи, може се одредити заједничко лице за заштиту података о личности, узимајући у обзир организациону структуру и величину тих органа власти.

Посебним законом може се прописати да руковаоци, односно обрађивачи или њихова удружења која их представљају, морају одредити лице за заштиту података о личности.

Лице за заштиту података о личности одређује се на основу његових стручних квалификација, а нарочито стручног знања и искуства у области заштите података о личности, као и способности за извршавање обавеза из члана 58. овог закона.

Лице за заштиту података о личности може бити запослено код руковаоца или обрађивача или може обављати послове на основу уговора.

Руковалац или обрађивач дужан је да објави контакт податке лица за заштиту података о личности и достави их Поверенику.

Повереник води евиденцију лица за заштиту података о личности која садржи: имена и презимена лица за заштиту података о личности, њихове контакт податке, као и имена и контакт податке руковаоца, односно обрађивача.

Повереник прописује образац евиденције из става 11. овог члана и уређује начин њеног вођења.

Положај лица за заштиту података о личности

Члан 57.

Руковалац и обрађивач дужни су да благовремено и на одговарајући начин укључе лице за заштиту података о личности у све послове који се односе на заштиту података о личности.

Руковалац и обрађивач дужни су да омогуће лицу за заштиту података о личности извршавање обавеза из члана 58. овог закона на тај начин што му обезбеђују неопходна средства за извршавање ових обавеза, приступ подацима о личности и радњама обраде, као и његово стручно усавршавање.

Руковалац и обрађивач дужни су да обезбеде независност лица за заштиту података о личности у извршавању његових обавеза.

Руковалац или обрађивач не могу казнити лице за заштиту података о личности, нити раскинути радни однос, односно уговор са њим због извршавања обавеза из члана 58. овог закона.

За извршавање обавеза из члана 58. овог закона лице за заштиту података о личности непосредно је одговорно руководиоцу руковаоца или обрађивача.

Лица на које се подаци односе могу се обратити лицу за заштиту података о личности у вези са свим питањима која се односе на обраду својих податка о личности, као и у вези са остваривањем својих права прописаних овим законом.

Лице за заштиту података о личности дужно је да чува тајност, односно поверљивост података до којих је дошло у извршавању обавеза из члана 58. овог закона, у складу са законом.

Лице за заштиту података о личности може да обавља друге послове и извршава друге обавезе, а руковалац или обрађивач дужни су да обезбеде да извршавање других послова и обавеза не доведе лице за заштиту података о личности у сукоб интереса.

Ако су руковаоци надлежни органи који врше обраду у посебне сврхе, одредбе ст. 1. до 5. и 8. овог члана не примењују се на обрађивача.

Обавезе лица за заштиту података о личности

Члан 58.

Лице за заштиту података о личности има најмање обавезу да:

1) информише и даје мишљење руковаоцу или обрађивачу, као и запосленима који врше радње обраде о њиховим законским обавезама у вези са заштитом података о личности;

2) прати примену одредби овог закона, других закона и интерних прописа руковаоца или обрађивача који се односе на заштиту података о личности, укључујући и питања поделе одговорности, подизања свести и обуке запослених који учествују у радњама обраде, као и контроле;

3) даје мишљење, када се то затражи, о процени утицаја обраде на заштиту података о личности и прати поступање по тој процени, у складу са чланом 54. овог закона;

4) сарађује са Повереником, представља контакт тачку за сарадњу са Повереником и саветује се са њим у вези са питањима која се односе на обраду, укључујући и обавештавање и прибављање мишљења из члана 55. овог закона.

У извршавању својих обавеза лице за заштиту података о личности дужно је да посебно води рачуна о ризику који се односи на радње обраде, узимајући у обзир природу, обим, околности и сврхе обраде.

Ако су руковаоци надлежни органи који врше обраду у посебне сврхе, одредбе става 1. тач. 1) и 2) овог члана не примењују се на обрађивача.

5. Кодекс поступања и издавање сертификата

Кодекс поступања

Члан 59.

Удружења и други субјекти који представљају групе руковаоца или обрађивача могу израдити кодекс поступања у циљу ефикасније примене овог закона, а нарочито у погледу:

1) поштене и транспарентне обраде;

2) легитимних интереса руковаоца, узимајући у обзир околности конкретних случајева;

3) прикупљања података о личности;

4) псеудонимизације података о личности;

5) информација које се пружају јавности и лицима на које се подаци односе;

6) остваривања права лица на које се подаци односе;

7) информација које се пружају малолетним лицима, њиховој заштити, као и начина на који се прибавља пристанак родитеља који врши родитељско право;

8) мера и поступака из чл. 41. и 42. овог закона, као и мера које имају за циљ безбедност обраде из члана 50. овог закона;

9) обавештавања Повереника о повреди података о личности, као и информисања лица на које се подаци односе о таквим повредама;

10) преноса података о личности у друге државе или међународне организације;

11) начина решавања спорова између руковаоца и лица на које се подаци односе мирним путем, што не утиче на остваривања права лица на које се подаци односе из чл. 82. и 84. овог закона.

Руковаоци, односно обрађивачи на које се овај закон не примењује, у циљу обезбеђивања одговарајућих мера заштите лица на које се подаци односе у оквиру преноса њихових података о личности у друге државе или међународне организације на основу члана 65. став 2. тачка 3) овог закона, могу прихватити или се обавезати на примену кодекса поступања који је одобрен у складу са ставом 5. овог члана, путем уговорних или других правно обавезујућих аката којима се обавезују на примену тих мера заштите, а посебно у односу на права лица на које се подаци односе.

Кодекс поступања из става 1. овог члана обавезно садржи одредбе које омогућавају лицу из члана 60. став 1. овог закона вршење надзора над применом кодекса од стране руковаоца или обрађивача који су се обавезали на примену кодекса, што не утиче на инспекцијска и друга овлашћења Повереника из чл. 77. до 79. овог закона.

Удружења и други субјекти из става 1. овог члана који намеравају да израде кодекс поступања или да измене постојећи кодекс, дужни су да предлог кодекса или његових измена доставе Поверенику на мишљење.

Повереник даје мишљење о усклађености предлога кодекса поступања или његових измена са одредбама овог закона, а ако утврди да предлог кодекса садржи довољне гаранције за заштиту података о личности, кодекс поступања или његове измене региструје и јавно објављује на својој интернет страници.

Одредбе ст. 1. до 5. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Контрола примене кодекса поступања

Члан 60.

Контролу примене кодекса поступања, у складу са чланом 59. став 3. овог закона, може вршити правно лице које је акредитовано за вршење контроле у складу са законом који уређује акредитацију.

Вршење контроле из става 1. овог члана не утиче на инспекцијска и друга овлашћења Повереника из чл. 77. до 79. овог закона.

Правно лице из става 1. овог члана може се акредитовати само ако је:

1) доказало Поверенику своју независност и стручност у односу на садржину кодекса;

2) успоставило поступак процене оспособљености руковаоца и обрађивача за примену кодекса поступања, праћења примене кодекса од стране руковаоца или обрађивача, као и периодичног преиспитивања његове делотворности;

3) успоставило поступак и орган за одлучивање о притужбама због повреде кодекса поступања или начина његове примене од стране руковаоца или обрађивача, као и обезбедило транспарентност тог поступка и органа према јавности и лицима на које се подаци односе;

4) доказало Поверенику да у вршењу његових овлашћења не може доћи до сукоба интереса.

У случају повреде кодекса поступања од стране руковаоца или обрађивача, правно лице из става 1. овог члана предузима одговарајуће мере у прописаном поступку, укључујући и привремено или трајно искључење руковаоца, односно обрађивача из примене кодекса.

Правно лице из става 1. овог члана дужно је да обавести Повереника о предузетим мерама из става 4. овог члана, као и разлозима за њихово одређивање.

Предузимање мера из става 4. овог члана не утиче на овлашћења Повереника и примену одредби Главе VII. овог закона.

Правном лицу из става 1. овог члана акредитација се одузима ако се утврди да оно више не испуњава услове за акредитацију или да мере које оно предузима крше одредбе овог закона.

Одредбе ст. 1. до 7. овог члана не примењују се на органе власти и обраду коју врше надлежни органи у посебне сврхе.

Издавање сертификата

Члан 61.

У циљу доказивања поштовања одредби овог закона од стране руковаоца и обрађивача, а посебно узимајући у обзир потребе малих и средњих предузећа, могу се установити поступци издавања сертификата о заштити података о личности, са одговарајућим жиговима и ознакама за заштиту података.

Руковаоцу, односно обрађивачу на које се овај закон не примењује, у циљу доказивања предузимања мера заштите од стране руковаоца и обрађивача, а у оквиру преноса њихових података о личности у друге државе или међународне организације на основу члана 65. став 2. тачка 5) овог закона, може се издати сертификат, са одговарајућим жиговима и ознакама, у складу са ставом 5. овог члана, под условом да они путем уговора или другог правно обавезујућег акта прихвате примену ових мера заштите, укључујући и заштиту права лица на које се подаци односе.

Поступак издавања сертификата је добровољан и транспарентан.

Постојање издатог сертификата не може утицати на законске обавезе руковаоца и обрађивача, нити на инспекцијска и друга овлашћења Повереника из чл. 77. до 79. овог закона.

Сертификат издаје сертификационо тело из члана 62. овог закона или Повереник, на основу критеријума које прописује Повереник, у складу са овлашћењима из члана 79. став 3. овог закона.

Руковалац и обрађивач који захтевају издавање сертификата дужни су да сертификационом телу из члана 62. овог закона, односно Поверенику, ако је захтев упућен њему, омогуће приступ радњама обраде и пруже све информације о обради које су неопходне за спровођење поступка издавања сертификата.

Сертификат се издаје руковаоцу и обрађивачу на период који не може бити дужи од три године, а може се обновити ако они и даље испуњавају исте прописане услове и критеријуме за издавање сертификата.

Сертификат из става 7. овог члана се укида у случају кад сертификационо тело, односно Повереник, ако је захтев упућен њему, утврди да руковалац, односно обрађивач више не испуњава прописане критеријуме за издавање сертификата.

Повереник води и јавно објављује на својој интернет страници списак сертификационих тела и издатих сертификата, са одговарајућим жиговима и ознакама.

Одредбе ст. 1. до 9. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

Сертификациона тела

Члан 62.

Сертификационо тело, које има одговарајући ниво стручности у погледу заштите података о личности и које је акредитовано у складу са законом којим се уређује акредитација, издаје, обнавља и укида сертификат, заједно са жигом и ознаком, после обавештавања Повереника о одлуци која се намерава донети, што не утиче на инспекцијска и друга овлашћења Повереника из чл. 77. до 79. овог закона.

Сертификационо тело из става 1. овог члана може бити акредитовано само ако:

1) докаже Поверенику своју независност и стручност у односу на предмет сертификације;

2) се обавезало на поштовање прописаних критеријума из члана 61. став 5. овог закона;

3) пропише поступак за издавање, периодичну проверу и укидање сертификата, жига и ознаке;

4) пропише поступак и одреди органе за поступање по притужбама против руковаоца и обрађивача због вршења радњи обраде на начин супротан издатом сертификату и учини их доступним јавности и лицу на које се подаци односе;

5) докаже Поверенику да у извршавању његових послова не може настати сукоб интереса.

Повереник прописује критеријуме за акредитацију сертификационог тела, на основу услова из става 2. овог члана.

Акредитација се издаје сертификационом телу на период до пет година и може се обновити ако сертификационо тело и даље испуњава прописане услове и критеријуме за акредитацију.

Акредитација сертификационог тела се укида ако се утврди да оно више не испуњава услове и критеријуме за акредитацију или ако се утврди да сертификационо тело крши одредбе овог закона.

Сертификационо тело је одговорно за правилну процену испуњености критеријума за издавање, обнављање и укидање сертификата и дужно је да Повереника упозна са разлозима за издавање, обнављање или укидање сертификата.

Повереник објављује критеријуме за акредитацију из става 3. овог члана.

Сертификат који је издало сертификовано тело друге државе или међународне организације важи у Републици Србији, ако је издат у складу са потврђеним међународним споразумом чији је потписник Република Србија.

Ако је сертификационо тело које је спровело сертификацију акредитовано од стране националног тела друге државе, које је са Акредитационим телом Србије потписало споразум којим се међусобно признаје еквивалентност система акредитације у обиму који је одређен потписаним споразумом, у Републици Србији се могу прихватити сертификати тог сертификационог тела, без поновног спровођења поступка сертификације.

Одредбе ст. 1. до 9. овог члана не примењују се на обраду коју врше надлежни органи у посебне сврхе.

V. ПРЕНОС ПОДАТАКА О ЛИЧНОСТИ У ДРУГЕ ДРЖАВЕ И МЕЂУНАРОДНЕ ОРГАНИЗАЦИЈЕ

Општа начелa преноса

Члан 63.

Сваки пренос података о личности чија је обрада у току или су намењени даљој обради после њиховог преношења у другу државу или међународну организацију, може се извршити само ако у складу са другим одредбама овог закона руковалац и обрађивач поступају у складу са условима прописаним овим поглављем закона, што обухвата и даљи пренос података о личности из друге државе или међународне организације у трећу државу или међународну организацију, а у циљу обезбеђивања примереног нивоа заштите физичких лица који је једнак нивоу који гарантује овај закон.

Ако обраду врше надлежни органи у посебне сврхе, пренос података чија је обрада у току или су намењени даљој обради после њиховог преноса у другу државу или међународну организацију, може се извршити само ако су заједно испуњени следећи услови:

1) пренос је неопходно извршити у посебне сврхе;

2) подаци о личности се преносе руковаоцу у другој држави или међународној организацији који је надлежан орган за обављање послова у посебне сврхе;

3) Влада је утврдила листу држава, делова њихових територија или једног или више сектора одређених делатности у тим државама и међународних организација које обезбеђују примерени ниво заштите података о личности у складу са чланом 64. овог закона, а пренос података се врши у једну од тих држава, на део њене територије или у један или више сектора одређене делатности у тој држави или у међународну организацију, или је, ако то није случај, примена одговарајућих мера заштите обезбеђена у складу са чланом 66. овог закона, или се, ако њихова примена није обезбеђена, примењују одредбе о преносу података у посебним ситуацијама из члана 70. овог закона;

4) у случају даљег преноса података о личности из друге државе или међународне организације у трећу државу или међународну организацију, надлежни орган који је извршио први пренос или други надлежни орган у Републици Србији је одобрио даљи пренос, пошто је узео у обзир све околности од значаја за даљи пренос, укључујући тежину кривичног дела, сврху првог преноса и ниво заштите података о личности у трећој држави или међународној организацији у коју се подаци даље преносе.

Пренос на основу примереног нивоа заштите

Члан 64.

Пренос података о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави или у међународну организацију, без претходног одобрења, може се извршити ако је утврђено да та друга држава, део њене територије или један или више сектора одређених делатности у тој држави или та међународна организација обезбеђује примерени ниво заштите података о личности.

Сматра се да је примерени ниво заштите из става 1. овог члана обезбеђен у државама и међународним организацијама које су чланице Конвенције Савета Европе о заштити лица у односу на аутоматску обраду личних података, односно у државама, на деловима њихових територија или у једном или више сектора одређених делатности у тим државама или међународним организацијама за које је од стране Европске уније утврђено да обезбеђују примерени ниво заштите.

Влада може да утврди да држава, део њене територије, област делатности, односно правног регулисања или међународна организација не обезбеђује примерени ниво заштите из става 1. овог члана, осим ако се ради о чланицама Конвенције Савета Европе о заштити лица у односу на аутоматску обраду личних података, узимајући у обзир:

1) принцип владавине права и поштовања људских права и основних слобода, важеће законодавство, укључујући и прописе у области јавне безбедности, одбране, националне безбедности, кривичног права и приступа органа власти подацима о личности, као и примену ових прописа, правила о заштити података о личности и професионалних правила у овој области, односно предузимање мера заштите података о личности, укључујући и правила о даљем преношењу података о личности у треће државе или међународне организације, која се примењују у пракси судова и других органа власти у другој држави или међународној организацији, као и делотворност остваривања права лица на које се односе подаци, а посебно делотворност управних и судских поступака заштите права лица чији се подаци преносе;

2) постојање и делотворност рада надзорног тела за заштиту података о личности у другој држави или надзорног тела које је надлежно за надзор над међународном организацијом у овој области, са овлашћењем да обезбеди примену правила о заштити података о личности и покрене поступке заштите података о личности у случају њиховог непоштовања, пружи помоћ и саветује лица на која се подаци односе у остваривању његових права, као и да сарађује са надзорним телима других држава;

3) међународне обавезе које је друга држава или међународна организација преузела, или друге обавезе које произилазе из правно обавезујућих међународних уговора или других правних инструмената, као и из чланства у мултилатералним или регионалним организацијама, а посебно у погледу заштите податка о личности.

Сматра се да је обезбеђен примерени ниво заштите и ако је са другом државом или међународном организацијом закључен међународни споразум о преносу података о личности.

У поступку закључивања међународног споразума о преносу података о личности посебно се утврђује испуњеност услова из става 3. овог члана.

Влада прати стање у области заштите података у личности у другим државама, на деловима њених територија или у једном или више сектора одређених делатности у тим државама или у међународним организацијама, на основу доступних прикупљених информација и на основу информације прикупљене од стране међународних организација, које су од значаја за преиспитивање постојања примереног нивоа заштите.

Листа држава, делова њихових територија или једног или више сектора одређених делатности у тим државама и међународних организација у којима се сматра да је обезбеђен примерени ниво заштите, односно за које је Влада утврдила да не обезбеђује примерени ниво заштите објављује се у „Службеном гласнику Републике Србије”.

Пренос уз примену одговарајућих мера заштите

Члан 65.

Руковалац или обрађивач могу да пренесу податке о личности у другу државу, на део њене територије или у један или више сектора одређених делатности у тој држави или у међународну организацију за коју листом из члана 64. став 7. овог закона није утврђено постојање примереног нивоа заштите, само ако је руковалац, односно обрађивач обезбедио одговарајуће мере заштите ових података и ако је лицу на које се подаци односе обезбеђена остваривост његових права и делотворна правна заштита.

Одговарајуће мере заштите из става 1. овог члана могу се без посебног одобрења Повереника обезбедити:

1) правно обавезујућим актом сачињеним између органа власти;

2) стандардним уговорним клаузулама израђеним од стране Повереника у складу са чланом 45. овог закона, којима се у целини уређује правни однос између руковаоца и обрађивача;

3) обавезујућим пословним правилима, у складу са чланом 67. овог закона;

4) одобреним кодексом поступања у складу са чланом 59. овог закона, заједно са обавезујућом и спроводивом применом одговарајућих мера заштите, укључујући и заштиту права лица на које се подаци односе, од стране руковаоца или обрађивача у другој држави или међународној организацији;

5) издатим сертификатима из члана 61. овог закона, заједно са преузетим обавезама примене одговарајућих мера заштите, укључујући и заштиту права лица на које се подаци односе, од стране руковаоца или обрађивача у другој држави или међународној организацији.

Одговарајуће мере заштите из става 1. овог члана могу се обезбедити и на основу посебног одобрења Повереника:

1) уговорним одредбама између руковаоца или обрађивача и руковаоца, обрађивача или примаоца у другој држави или међународној организацији;

2) одредбама које се уносе у споразум између органа власти, а којима се обезбеђује делотворна и спроводива заштита права лица на које се подаци односе.

Повереник даје одобрење из става 3. овог члана у року од 60 дана од дана подношења захтева за одобрење.

Одредбе ст. 1. до 4. овог члана не примењују се на пренос података које обрађују надлежни органи у посебне сврхе.

Пренос података које обрађују надлежни органи у посебне сврхе, уз примену одговарајућих мера заштите

Члан 66.

Ако обраду врше надлежни органи у посебне сврхе, пренос података о личности у другу државу, на део њене територије или у један или више сектора одређених делатности у тој држави или у међународну организацију за коју листом из члана 64. став 7. овог закона није утврђено постојање примереног нивоа заштите допуштен је у једном од следећих случајева:

1) ако су одговарајуће мере заштите података о личности прописане у правно обавезујућем акту;

2) ако је руковалац оценио све околности које се односе на пренос података о личности и утврдио да одговарајуће мере заштите података о личности постоје.

Руковалац је дужан да обавести Повереника о преносу који је извршен на основу става 1. тачка 2) овог члана.

Руковалац је дужан да документује пренос који је извршен на основу става 1. тачка 2) овог члана, као и да документацију о преносу стави на располагање Поверенику, на његов захтев.

Документација о преносу из става 3. овог члана садржи информације о датуму и времену преноса, надлежном органу који прима податке, разлозима за пренос и подацима који су пренети.

Обавезујућа пословна правила

Члан 67.

Повереник одобрава обавезујућа пословна правила, ако та правила заједно испуњавају следеће услове:

1) правно су обавезујућа, примењују се на и спроводе се од стране сваког члана мултинационалне компаније или групе привредних субјеката, укључујући и њихове запослене;

2) изричито обезбеђују остваривање права лица на које се подаци односе у вези са обрадом њихових података;

3) испуњавају услове прописане ставом 2. овог члана.

Обавезујућим пословним правилима из става 1. овог члана најмање се мора одредити:

1) структура и контакт подаци мултинационалне компаније или групе привредних субјеката, као и сваког од њених чланова;

2) пренос или групе преноса података о личности, укључујући врсте података о личности, врсте радњи обраде и њихову сврху, врсте лица на које се подаци односе и назив државе у коју се подаци преносе;

3) обавезност примене обавезујућих пословних правила, како у оквиру мултинационалне компаније или групе привредних субјеката, тако и изван њих;

4) примена општих начела заштите података о личности, а нарочито ограничења сврхе обраде, минимизација података, ограничење чувања, интегритет података, мере сталне заштите података, правни основ за обраду, обраде посебних врста података о личности, мере безбедности и услове за даљи пренос података о личности другим лицима или телима која нису обавезана обавезујућим пословним правилима;

5) права лица на које се подаци односе у односу на обраду и начине остваривања тих права, укључујући и права у вези са аутоматизованим доношењем појединачних одлука и профилисањем из члана 38. овог закона, право на подношење притужбе Поверенику, односно тужбе суду у складу са чл. 82. и 84. овог закона, као и право на накнаду штете због повреде обавезујућих пословних правила;

6) прихватање одговорности руковаоца, односно обрађивача са пребивалиштем, боравиштем или седиштем на територији Републике Србије за повреду ових правила коју је учинио други члан групе који нема пребивалиште, боравиште или седиште на територији Републике Србије, осим ако руковалац или обрађивач докаже да тај други члан групе није одговоран за догађај који је проузроковао штету;

7) начин на који се лицу на које се подаци односе пружају информације о обавезујућим пословним правилима, а посебно о одредбама тач. 4) до 6) овог става, уз пружање осталих информација из чл. 23. и 24. овог закона;

8) овлашћења лица за заштиту података о личности, одређеног у складу са чланом 58. овог закона, или било ког другог лица које је овлашћено за надзор над применом обавезујућих пословних правила унутар мултинационалне компаније или групе привредних субјеката, укључујући и надзор над обуком и одлучивање о притужбама унутар мултинационалне компаније или групе;

9) поступак који се спроводи по притужбама;

10) механизам провере поступања у складу са обавезујућим пословним правилима унутар мултинационалне компаније или групе привредних субјеката. Овај механизам укључује ревизију заштите података о личности и корективне мере за заштиту права лица на које се подаци односе. Резултати провере морају бити саопштени лицу из тачке 8) овог става, као и управљачком органу мултинационалне компаније или групе привредних субјеката, а морају бити стављени на располагање и Поверенику, на његов захтев;

11) начин извештавања и вођења евиденције о променама обавезујућих пословних правила и начин обавештавања Повереника о тим променама;

12) начин сарадње са Повереником у циљу обезбеђења примене обавезујућих пословних правила од стране сваког члана мултинационалне компаније или групе привредних субјеката појединачно, а посебно начин на који се Поверенику стављају на располагање резултати провере из тачке 10) овог става;

13) начин извештавања Повереника о правним обавезама које се примењују према члану мултинационалне компаније или групе привредних субјеката у другој држави, а који би могли имати значајан штетан утицај на гаранције прописане обавезујућим пословним правилима;

14) одговарајућа обука за заштиту података о личности лица која имају трајан или редован приступ подацима о личности.

Повереник може ближе уредити начин размене информација између руковалаца, обрађивача и Повереника у примени става 2. овог члана.

Ако су испуњени услови из става 1. овог члана, Повереник одобрава обавезујућа пословна правила у року од 60 дана од дана подношења захтева за њихово одобрење.

Одредбе ст. 1. до 4. овог члана не примењују се на пренос података које обрађују надлежни органи у посебне сврхе.

Пренос или откривање података о личности на основу одлуке органа друге државе

Члан 68.

Одлуке суда или управног органа друге државе, којима се од руковаоца или обрађивача захтева пренос или откривање података о личности, могу бити признате или извршене у Републици Србији само ако се заснивају на међународном споразуму, као што је споразум о међународној правној помоћи закључен између Републике Србије и те друге државе, што не утиче на примену других основа за пренос у складу са одредбама ове главе закона.

Стaв 1. овог члана не примењује се на пренос података које обрађују надлежни органи у посебне сврхе.

Пренос података у посебним ситуацијама

Члан 69.

Ако се пренос податка о личности не врши у складу са одредбама чл. 64, 65. и 67. овог закона, ови подаци могу се пренети у другу државу или међународну организацију само ако се ради о једном од следећих случајева:

1) лице на које се подаци односе је изричито пристало на предложени пренос, пошто је, због непостојања одлуке о примереном нивоу заштите и одговарајућих мера заштите, информисано о могућим ризицима везаним за тај пренос;

2) пренос је неопходан за извршење уговора између лица на које се подаци односе и руковаоца или за примену предуговорних мера предузетих на захтев лица на које се подаци односе;

3) пренос је неопходан за закључење или извршење уговора закљученог у интересу лица на које се подаци односе између руковаоца и другог физичког или правног лица;

4) пренос је неопходан за остваривање важног јавног интереса прописаног законом Републике Србије, под условом да пренос појединих врста података о личности овим законом није ограничен;

5) пренос је неопходан за подношење, остваривање или одбрану правног захтева;

6) пренос је неопходан за заштиту животно важних интереса лица на које се подаци односе или другог физичког лица, ако лице на које се подаци односе физички или правно није у могућности да даје пристанак;

7) врши се пренос појединих података о личности садржаних у јавном регистру, који су доступни јавности или било ком лицу које може да докаже да има оправдани интерес, али само у мери у којој су испуњени законом прописани услови за увид у том посебном случају.

Ако се пренос не може извршити у складу са ставом 1. овог члана и чл. 64, 65. и 67. овог закона, подаци о личности се могу пренети у другу државу или међународну организацију само ако су заједно испуњени следећи услови:

1) пренос података се не понавља;

2) преносе се подаци ограниченог броја физичких лица;

3) пренос је неопходан у циљу остваривања легитимног интереса руковаоца који претеже над интересима, односно правима или слободама лица на које се подаци односе;

4) руковалац је обезбедио примену одговарајућих мера заштите података о личности на основу претходне процене свих околности у вези са преносом ових података.

Руковалац, односно обрађивач дужни су да у евиденцији о радњама обраде из члана 47. овог закона обезбеде доказ о извршеној процени и примени одговарајућих мера заштите из става 2. тачка 4) овог члана.

Руковалац је дужан да обавести Повереника о преносу података извршеном у складу са ставом 2. овог члана.

Руковалац је дужан да лицу на које се подаци односе, уз информације из чл. 23. и 24. овог закона, пружи и информацију о преносу података из става 2. овог члана, укључујући и информацију о томе који се легитимни интерес руковаоца остварује таквим преносом.

Пренос података из става 1. тачка 7) овог члана не може да се односи на све податке о личности или на целе врсте података о личности из регистра.

Ако се преносе подаци из регистра који су доступни само лицу које има оправдани интерес, у складу са ставом 1. тачка 7) овог члана, пренос се може извршити само на захтев тог лица или ако је то лице прималац података.

Одредбе става 1. тач. 1) до 3) и става 2. овог члана не примењују се на активности органа власти у вршењу њихових надлежности.

Одредбе ст. 1. до 8. овог члана не примењују се на пренос података које обрађују надлежни органи у посебне сврхе.

Посебне ситуације преноса података које обрађују надлежни органи у посебне сврхе

Члан 70.

Ако се пренос податка о личности које обрађују надлежни органи у посебне сврхе не врши у складу са одредбама чл. 64. и 66. овог закона, ови подаци могу се пренети у другу државу или међународну организацију само ако је такав пренос неопходан у једном од следећих случајева:

1) у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица;

2) у циљу заштите легитимних интереса лица на које се подаци односе, ако је то предвиђено законом;

3) у циљу спречавања непосредне и озбиљне опасности за јавну безбедност Републике Србије или друге државе;

4) у појединачном случају, ако је у питању обрада у посебне сврхе;

5) у појединачном случају, у циљу подношења, остваривања или одбране правног захтева, ако је тај циљ непосредно у вези са посебним сврхама.

Пренос података о личности не може се извршити ако надлежан орган који врши пренос утврди да интерес заштите основних права и слобода лица на које се подаци односе претеже у односу на јавни интерес из става 1. тач. 4) и 5) овог члана.

Надлежни орган је дужан да документује пренос који је извршен на основу става 1. овог члана, као и да ову документацију стави на располагање Поверенику, на његов захтев.

Документација о преносу из става 3. овог члана садржи информације о датуму и времену преноса, надлежном органу који прима податке, разлозима за пренос и подацима који су пренети.

Пренос података које обрађују надлежни органи у посебне сврхе примаоцу у другој држави

Члан 71.

Изузетно од одредбе члана 63. став 2. тачка 2) овог закона и без обзира на примену међународног споразума из става 2. овог члана, надлежни орган који обрађује податке у посебне сврхе може непосредно пренети податке о личности примаоцу у другој држави само ако су поштоване друге одредбе овог закона и ако су заједно испуњени следећи услови:

1) пренос је неопходан за извршење законског овлашћења надлежног органа који врши пренос у посебне сврхе;

2) надлежни орган који врши пренос је утврдио да интерес заштите основних права или слобода лица на које се подаци односе не претеже у односу на јавни интерес ради чије заштите је неопходно извршити пренос података;

3) надлежни орган који врши пренос сматра да је пренос надлежном органу у другој држави у посебне сврхе неделотворан или да не одговара постизању тих сврха, а посебно ако се пренос не може извршити на време;

4) надлежни орган у другој држави је без непотребног одлагања обавештен о преносу, осим ако је такво обавештавање неделотворно или не одговара постизању сврхе;

5) надлежни орган који врши пренос је обавестио примаоца у другој држави о сврхама обраде података, као и о томе да се обрада може вршити само у те сврхе, само од стране примаоца и само ако је таква обрада неопходна.

Међународни споразум из става 1. овог члана је сваки споразум који је закључен између Републике Србије и једне или више других држава, а којим се уређује сарадња у кривичним стварима или полицијска сарадња.

Надлежни орган који врши пренос је дужан да обавести Повереника о преносу који је извршен на основу става 1. овог члана.

Надлежни орган је дужан да документује пренос који је извршен на основу става 1. овог члана, као и да ову документацију стави на располагање Поверенику, на његов захтев.

Документација о преносу из става 4. овог члана садржи информације о датуму и времену преноса, примаоцу података, разлозима за пренос и подацима о личности који су пренети.

Међународна сарадња у вези са заштитом података о личности

Члан 72.

Повереник предузима одговарајуће мере у односима са органима надлежним за заштиту података о личности у другим државама и међународним организацијама у циљу:

1) развоја механизама међународне сарадње за олакшавање делотворне примене закона који се односе на заштиту података о личности;

2) обезбеђивања међународне узајамне помоћи у примени закона који се односе на заштиту података о личности, укључујући и обавештавање, упућивање на поступке заштите и правне помоћи у вршењу надзора, као и размену информација, под условом да су предузете одговарајуће мере заштите података о личности и основних права и слобода;

3) ангажовања заинтересованих страна у расправама и активностима које су усмерене на развој међународне сарадње у примени закона који се односе на заштиту података о личности;

4) подстицања и унапређивања размене информација о законодавству које се односи на заштиту података о личности и његовој примени, укључујући и питања сукоба надлежности са другим државама у овој области.

VI. ПОВЕРЕНИК

1. Независан статус

Надзорно тело

Члан 73.

У циљу заштите основних права и слобода физичких лица у вези са обрадом, послове праћења примене овог закона у складу са прописаним овлашћењима врши Повереник, као независан државни орган.

Повереник има заменика за заштиту података о личности.

На седиште Повереника, избор Повереника и заменика Повереника, престанак њиховог мандата, поступак њиховог разрешења, њихов положај, стручну службу Повереника, као и на финансирање и подношење извештаја, примењују се одредбе закона којим се уређује слободан приступ информацијама од јавног значаја, ако овим законом није другачије одређено.

Независност

Члан 74.

У вршењу својих овлашћења и послова, у складу са овим законом, Повереник је потпуно независан, слободан је од сваког непосредног или посредног спољног утицаја и не може да тражи нити прима налоге од било кога.

Повереник се не може бавити другом делатношћу ни другим послом, уз накнаду или без накнаде, нити може обављати другу јавну функцију или вршити друго јавно овлашћење, нити политички деловати.

У циљу обезбеђивања делотворног вршења законом прописаних овлашћења, неопходна финансијска средства за рад, просторије за рад, као и неопходне техничке, организационе и кадровске услове за рад Повереника обезбеђују се у складу са законом којим се уређује буџет и законима којима се уређује државна управа и положај државних службеника.

Повереник самостално врши избор запослених између кандидата који испуњавају законом прописане услове за рад у државним органима и њима потпуно самостално руководи.

Контролу над трошењем средстава за рад Повереника врши Државна ревизорска институција, у складу са законом, на начин који не утиче на независност Повереника.

Услови за избор Повереника

Члан 75.

Поред услова за избор Повереника, прописаних законом којим се уређује слободан приступ информацијама од јавног значаја, Повереник мора да има потребно стручно знање и искуство у области заштите података о личности.

Обавеза чувања професионалне тајне

Члан 76.

Повереник, заменик Повереника и запослени у служби Повереника дужни су да као професионалну тајну чувају све податке до којих су дошли у обављању своје функције, односно послова, укључујући и податке у вези са повредом овог закона са којима их је упознало лице које није запослено код Повереника.

Обавеза из става 1. овог члана траје и после престанка обављања функције Повереника или заменика Повереника, односно престанка рада у служби Повереника.

2. Надлежности Повереника

Oпшта надлежност

Члан 77.

Повереник врши своја овлашћења, у складу са овим законом, на територији Републике Србије.

У вршењу својих овлашћења Повереник поступа у складу са законом којим се уређује општи управни поступак, као и сходном применом закона којим се уређује инспекцијски надзор, ако овим законом није другачије одређено.

Повереник није надлежан да врши надзор над обрадом од стране судова у вршењу њихових судских овлашћења.

Послови Повереника

Члан 78.

Повереник:

1) врши надзор и обезбеђује примену овог закона у складу са својим овлашћењима;

2) стара се о подизању јавне свести о ризицима, правилима, мерама заштите и правима у вези са обрадом, а посебно ако се ради о обради података о малолетном лицу;

3) даје мишљење Народној скупштини, Влади, другим органима власти и организацијама, у складу са прописом, о законским и другим мерама које се односе на заштиту права и слобода физичких лица у вези са обрадом;

4) стара се о подизању свести руковаоца и обрађивача у вези са њиховим обавезама прописаним овим законом;

5) на захтев лица на које се подаци односе, пружа информације о њиховим правима прописаним овим законом;

6) поступа по притужбама лица на које се подаци односе, утврђује да ли је дошло до повреде овог закона и обавештава подносиоца притужбе о току и резултатима поступка који води у складу са чланом 82. овог закона;

7) сарађује са надзорним органима других држава у вези са заштитом података о личности, а посебно у размени информација и пружању узајамне правне помоћи;

8) врши инспекцијски надзор над применом овог закона, у складу са овим законом и сходном применом закона којим се уређује инспекцијски надзор, и подноси захтев за покретање прекршајног поступка ако утврди да је дошло до повреде овог закона, у складу са законом којим се уређују прекршаји;

9) прати развој информационих и комуникационих технологија, као и пословне и друге праксе од значаја за заштиту података о личности;

10) израђује стандардне уговорне клаузуле из члана 45. став 11. овог закона;

11) сачињава и јавно објављује листе из члана 54. став 5. овог закона;

12) даје писмено мишљење из члана 55. став 4. овог закона;

13) води евиденцију лица за заштиту података о личности из члана 56. став 11. овог закона;

14) подстиче израду кодекса поступања у складу са чланом 59. став 1. овог закона и даје мишљење и сагласност на кодекс поступања у складу са чланом 59. став 5. овог закона;

15) обавља послове у складу са чланом 60. овог закона;

16) подстиче издавање сертификата за заштиту података о личности и одговарајућих жигова и ознака у складу са чланом 61. став 1. и прописује критеријуме за сертификацију у складу са чланом 61. став 5. овог закона;

17) спроводи периодично преиспитивање сертификата у складу са чланом 61. став 8. овог закона;

18) прописује и објављује критеријуме за акредитацију сертификационог тела и обавља послове у складу са чланом 62. овог закона;

19) одобрава одредбе уговора или споразума из члана 65. став 3. овог закона;

20) одобрава обавезујућа пословна правила у складу са чланом 67. овог закона;

21) води интерну евиденцију о повредама овог закона и мерама које се у вршењу инспекцијског надзора предузимају у складу са чланом 79. став 2. овог закона;

22) обавља и друге послове одређене овим законом.

Послове надзора из става 1. тач. 1) и 8) овог члана Повереник врши преко овлашћених лица из стручне службе Повереника.

Евиденција из става 1. тачка 21) овог члана садржи: податке о руковаоцима или обрађивачима који су повредили овај закон (њихово име и презиме или назив, пребивалиште, боравиште или седиште), податке о повредама овог закона (опис повреде и члан закона који је повређен), податке о мерама које су предузете и податке о поступању руковаоца или обрађивача по изреченим мерама.

Образац евиденције из става 3. овог члана и начин њеног вођења прописује Повереник.

У циљу поједностављивања подношења притужбе, Повереник прописује образац притужбе и омогућава њено подношење електронским путем, не искључујући и остала средства комуникације.

Повереник обавља своје послове бесплатно за лице на које се подаци односе и лице за заштиту података о личности.

Ако је притужба Поверенику очигледно неоснована, преобимна или се претерано понавља, Повереник може да тражи накнаду нужних трошкова или да одбије да поступа по тој притужби, уз навођење разлога којима се доказује да се ради о неоснованом, преобимном или претерано понављаном захтеву.

Инспекцијска и друга овлашћења

Члан 79.

Повереник је овлашћен да:

1) наложи руковаоцу и обрађивачу, а према потреби и њиховим представницима, да му пруже све информације које затражи у вршењу својих овлашћења;

2) проверава и оцењује примену одредби закона и на други начин врши надзор над заштитом података о личности коришћењем инспекцијских овлашћења;

3) проверава испуњеност услова за сертификацију у складу са чланом 61. став 8. овог закона;

4) обавештава руковаоца, односно обрађивача о могућим повредама овог закона;

5) затражи и добије од руковаоца и обрађивача приступ свим подацима о личности, као и информацијама неопходним за вршење његових овлашћења;

6) затражи и добије приступ свим просторијама руковаоца и обрађивача, укључујући и приступ свим средствима и опреми.

Повереник је овлашћен да предузме следеће корективне мере:

1) да упозори руковаоца и обрађивача достављањем писменог мишљења да се намераваним радњама обраде могу повредити одредбе овог закона у складу са чланом 55. став 4. овог закона;

2) да изрекне опомену руковаоцу, односно обрађивачу ако се обрадом повређују одредбе овог закона;

3) да наложи руковаоцу и обрађивачу да поступе по захтеву лица на које се подаци односе у вези са остваривањем његових права, у складу са овим законом;

4) да наложи руковаоцу и обрађивачу да ускладе радње обраде са одредбама овог закона, на тачно одређени начин и у тачно одређеном року;

5) да наложи руковаоцу да обавести лице на које се подаци о личности односе о повреди података о личности;

6) да изрекне привремено или трајно ограничење вршења радње обраде, укључујући и забрану обраде;

7) да наложи исправљање, односно брисање података о личности или ограничи вршење радње обраде у складу са чл. 29. до 32. овог закона, као и да наложи руковаоцу да обавести о томе другог руковаоца, лице на које се подаци односе и примаоце којима су подаци о личности откривени или пренети, у складу са чланом 30. став 3. и чл. 33. и 34. овог закона;

8) да укине сертификат или да наложи сертификационом телу укидање сертификата који је издат у складу са чл. 61. и 62. овог закона, као и да наложи сертификационом телу да одбије издавање сертификата ако нису испуњени услови за његово издавање;

9) да изрекне новчану казну на основу прекршајног налога ако је приликом инспекцијског надзора утврђено да је дошло до прекршаја за који је овим законом прописана новчана казна у фиксном износу, уместо других мера прописаних овим ставом или уз њих, а у зависности од околности конкретног случаја;

10) да обустави пренос података о личности примаоцу у другој држави или међународној организацији.

Повереник је овлашћен и да:

1) израђује стандардне уговорне клаузуле из чланa 45. став 11;

2) даје мишљење руковаоцима у поступку претходног прибављања мишљења Повереника, у складу са чланом 55. овог закона;

3) даје мишљење Народној скупштини, Влади, другим органима власти и организацијама, по сопственој иницијативи или на њихов захтев, као и јавности, о свим питањима у вези са заштитом података о личности;

4) региструје и објављује кодекс поступања, на који је претходно дао сагласност, у складу са чланом 59. став 5. овог закона;

5) издаје сертификате и прописује критеријуме за издавање сертификата, у складу са чланом 61. став 5. овог закона;

6) прописује критеријуме за акредитацију, у складу са чланом 62. овог закона;

7) одобрава уговорне одредбе, односно одредбе које се уносе у споразум, у складу са чланом 65. став 3. овог закона;

8) одобрава обавезујућа пословна правила, у складу са чланом 67. овог закона.

Контролу аката Повереника донетих на основу овог члана врши суд, у складу са законом.

У вршењу својих овлашћења Повереник може да покрене поступак пред судом или другим органом, у складу са законом.

Пријављивање повреде закона

Члан 80.

Надлежни орган који врши обраду у посебне сврхе је дужан да обезбеди примену ефективних механизама поверљивог пријављивања случајева повреде овог закона Поверенику.

Извештавање

Члан 81.

Повереник је дужан да сачини годишњи извештај о својим активностима, који садржи податке о врстама повреда овог закона и мерама које су предузете у вези са тим повредама, као и да га поднесе Народној скупштини.

Извештај из става 1. овог става доставља се и Влади и ставља се на увид јавности, на одговарајући начин.

VII. ПРАВНА СРЕДСТВА, ОДГОВОРНОСТ И КАЗНЕ

Право на притужбу Поверенику

Члан 82.

Лице на које се подаци односе има право да поднесе притужбу Поверенику ако сматра да је обрада података о његовој личности извршена супротно одредбама овог закона. У поступку по притужби сходно се примењују одредбе закона којим се уређује инспекцијски надзор у делу који се односи на поступање по представкама. Подношење притужбе Поверенику не утиче на право овог лица да покрене друге поступке управне или судске заштите.

Повереник је дужан да подносиоца притужбе обавести о току поступка који води, резултатима поступка, као и о праву лица да покрене судски поступак у складу са чланом 83. овог закона.

Право на судску заштиту против одлуке Повереника

Члан 83.

Лице на које се подаци односе, руковалац, обрађивач, односно друго физичко или правно лице на које се односи одлука Повереника, донета у складу са овим законом, има право да против те одлуке тужбом покрене управни спор у року од 30 дана од дана пријема одлуке. Подношење тужбе у управном спору не утиче на право да се покрену други поступци управне или судске заштите.

Ако Повереник у року од 60 дана од дана подношења притужбе не поступи по притужби или не поступи у складу са чланом 82. став 2. овог закона, лице на које се подаци односе има право да покрене управни спор.

Судска заштита права лица

Члан 84.

Лице на које се подаци односе има право на судску заштиту ако сматра да му је, супротно овом закону, од стране руковаоца или обрађивача радњом обраде његових података о личности повређено право прописано овим законом. Подношење тужбе суду не утиче на право овог лица да покрене друге поступке управне или судске заштите.

Тужбом за заштиту права из става 1. овог члана може се захтевати од суда да обавеже туженог на:

1) давање информације из чл. 22. до 27, чл. 33. до 35. и члана 37. овог закона;

2) исправку, односно брисање података о тужиоцу из чл. 29, 30. и 32. овог закона;

3) ограничење обраде из чл. 31. и 32. овог закона;

4) давање података у структурисаном, уобичајено коришћеном и електронски читљивом облику;

5) преношење података другом руковаоцу из члана 36. овог закона;

6) прекид обраде података из члана 37. овог закона.

Тужбом за заштиту права из става 1. овог члана може се захтевати од суда и да утврди да је одлука која се односи на тужиоца донета супротно чл. 38. и 39. овог закона.

Тужба из ст. 2. и 3. овог члана подноси се вишем суду на чијој територији руковалац, односно обрађивач или њихов представник има пребивалиште, боравиште, односно седиште или на чијој територији лице на које се односе подаци има пребивалиште или боравиште, осим ако је руковалац, односно обрађивач орган власти.

Ревизија правноснажне одлуке донете по тужбама из ст. 2. и 3. овог члана је увек допуштена.

У поступку судске заштите примењују се одредбе закона којим се уређује парнични поступак, ако овим законом није другачије одређено.

Заступање лица на које се подаци односе

Члан 85.

Лице на које се подаци односе, у вези са заштитом података о личности, има право да овласти представника удружења које се бави заштитом права и слобода лица на које се подаци односе да га, у складу са законом, заступа у поступцима из чл. 82. до 84. и члана 86. овог закона.

Право на накнаду штете

Члан 86.

Лице које је претрпело материјалну или нематеријалну штету због повреде одредаба овог закона има право на новчану накнаду ове штете од руковаоца, односно обрађивача који је штету проузроковао.

Ако је материјална или нематеријална штета проузрокована незаконитом обрадом коју врше надлежни органи у посебне сврхе, односно повредом одредаба закона који се односе на обраду тих података, лице које је претрпело штету има право на накнаду штете од руковаоца или другог надлежног органа против којег се може поднети тужба за накнаду штете, у складу са законом.

За штету из става 1. овог члана одговара руковалац, а обрађивач одговара само ако није поступао у складу са обавезама прописаним овим законом које се односе непосредно на њега или кад је поступао изван упутстава или супротно упутствима руковаоца, издатим у складу са овим законом.

Руковалац, односно обрађивач ослобађа се одговорности за штету ако докаже да ни на који начин није одговоран за настанак штете.

Ако обраду врше више руковалаца, односно обрађивача или заједно руковалац и обрађивач, и ако су они одговорни за штету, сваки руковалац, односно обрађивач одговоран је за целокупан износ накнаде штете.

Ако је руковалац, односно обрађивач из става 5. овог члана исплатио целокупан износ накнаде штете, он има право да захтева од других руковаоца, односно обрађивача повраћај дела износа који одговара њиховој одговорности за настанак штете, у складу са ставом 3. овог члана.

Услови за изрицање новчаних казни

Члан 87.

Новчане казне због повреде одредби овог закона у сваком појединачном случају изричу се и примењују на делотворан, сразмеран и превентиван начин.

Новчане казне из става 1. овог члана, у зависности од околности појединачног случаја, могу се изрећи уз мере или уместо мера прописаних чланом 79. став 2. тач. 1) до 8) и тачка 10) овог закона.

Приликом одлучивања о изрицању новчаних казни и њиховом износу мора се у сваком појединачном случају водити рачуна о:

1) природи, тежини и трајању повреде одредби закона, узимајући у обзир врсту, обим и сврху обраде, као и број лица на које се подаци односе и ниво штете коју су они претрпели;

2) постојању намере или непажње прекршиоца;

3) свакој радњи руковаоца и обрађивача усмереној на отклањање или ублажавање штете коју су претрпела лица на које се подаци односе;

4) степену одговорности руковаоца и обрађивача, узимајући у обзир мере које су применили у складу са чланом 42. и чланом 50. овог закона;

5) претходним случајевима кршења одредби овог закона од стране руковаоца и обрађивача који су од значаја за изрицање казне;

6) степену сарадње руковаоца и обрађивача са Повереником у циљу отклањања последица повреде закона и отклањања или ублажавања штетних последица повреде;

7) врстама података о личности на које се односе повреде;

8) начину на који је Повереник сазнао за повреду, а посебно о томе да ли је и у којој мери руковалац, односно обрађивач обавестио Повереника о повреди;

9) поступању у складу са корективним мерама Повереника које су раније изречене руковаоцу, односно обрађивачу у вези са истим случајем повреде, у складу са чланом 79. став 2. овог закона;

10) примени одобрених кодекса поступања у складу са чланом 59. овог закона, односно постојању сертификата из члана 61. овог закона;

11) свим другим отежавајућим и олакшавајућим околностима у конкретном случају, као што су избегавање финансијског губитка или финансијска корист која је остварена на непосредан или посредан начин повредом одредби овог закона.

VIII. ПОСЕБНИ СЛУЧАЈЕВИ ОБРАДЕ

Обрада и слободе изражавања и информисања

Члан 88.

На обраду која се врши у сврхе новинарског истраживања и објављивања информација у медијима, као и у сврхе научног, уметничког или књижевног изражавања, не примењују се одредбе Главе II. до VI. и чл. 89. до 94. овог закона, ако су у конкретном случају ова ограничење неопходна у циљу заштите слободе изражавања и информисања.

Обрада и слободан приступ информацијама од јавног значаја

Члан 89.

Информације од јавног значаја које садрже податке о личности могу бити учињене доступним тражиоцу информације од стране органа власти на начин којим се обезбеђује да се право јавности да зна и право на заштиту података о личности могу остварити заједно, у мери прописаној законом којим се уређује слободан приступ информацијама од јавног значаја и овим законом.

Обрада јединственог матичног броја грађана

Члан 90.

На обраду јединственог матичног броја грађана, примењују се одредбе закона којим се уређује јединствени матични број грађана, односно другог закона, уз примену одредби овог закона које се односе на заштиту права и слобода лица на које се подаци односе.

Oбрада у области рада и запошљавања

Члан 91.

На обраду у области рада и запошљавања примењују се одредбе закона којима се уређује рад и запошљавање и колективни уговори, уз примену одредби овог закона.

Ако закон који уређује рад и запошљавање или колективни уговор садрже одредбе о заштити података о личности, морају се прописати и посебне мере заштите достојанства личности, легитимних интереса и основних права лица на које се подаци односе, посебно у односу на транспарентност обраде, размену података о личности унутар мултинационалне компаније, односно групе привредних субјеката, као и систем надзора у радној средини.

Мере заштите и ограничење примене закона на обраду у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања или у статистичке сврхе

Члан 92.

На обраду у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања или у статистичке сврхе примењују се одговарајуће мере заштите права и слобода лица на које се подаци односе прописане овим законом. Те мере обезбеђују примену техничких, организационих и кадровских мера, а посебно како би се обезбедило поштовање начела минимизације података. Те мере могу обухватити псеудонимизацију, ако се сврха обраде може остварити употребом те мере.

Ако се сврхе из става 1. овог члана могу остварити без идентификације или без даље идентификације лица на које се подаци односе, те сврхе се морају остварити на начин који онемогућава даљу идентификацију тог лица.

Одредбе о правима лица на које се подаци односе из чл. 26, 29, 31. и 37. овог закона се не примењују ако се обрада врши у сврхе научног или историјског истраживања или статистичке сврхе, ако је то неопходно за остваривање тих сврха или ако би примена тих одредби закона онемогућила или значајно отежала њихово остваривање, уз примену мера из ст. 1. и 2. овог члана.

Одредбе о правима лица на које се подаци односе из чл. 26. и 29. и чл. 31. до 37. овог закона не примењују се ако се обрада врши у сврхе архивирања у јавном интересу, ако је то неопходно за остваривање те сврхе или ако би примена тих одредби закона онемогућила или значајно отежала њено остваривање, уз примену мера из ст. 1. и 2. овог члана.

Ако се обрада из ст. 3. и 4. овог члана врши и у друге сврхе, на обраду у друге сврхе примењују се одредбе овог закона без ограничења.

Обрада од стране цркве и верских заједница

Члан 93.

Ако цркве или верске заједнице примењују свеобухватна правила у погледу заштите физичких лица у односу на обраду, та постојећа правила могу се и даље примењивати под условом да се ускладе са овим законом.

У случају из става 1. овог члана, примењују се и одредбе овог закона о инспекцијским и другим овлашћењима Повереника из чл. 77. до 79. овог закона, осим ако црква, односно верска заједница, не образује посебно независно надзорно тело које ће вршити та овлашћења, под условом да такво тело испуњава услове предвиђене Поглављем VI. овог закона.

Обрада у хуманитарне сврхе од стране органа власти

Члан 94.

Подаци о личности које обрађује орган власти могу да се обрађују и у циљу прикупљања средстава за хуманитарне сврхе, уз примену одговарајућих мера заштите права и слобода лица на које се подаци односе, у складу са овим законом.

У циљу прикупљања средстава за хуманитарне сврхе подаци о личности које обрађује орган власти не могу се уступати другим лицима.

IХ. КАЗНЕНЕ ОДРЕДБЕ

Члан 95.

Новчаном казном од 50.000 до 2.000.000 динара казниће се за прекршај руковалац, односно обрађивач који има својство правног лица ако:

1) обрађује податке о личности супротно начелима обраде из члана 5. став 1. овог закона;

2) обрађује податке о личности у друге сврхе, супротно чл. 6. и 7. овог закона;

3) јасно не издвоји податке о личности који су засновани на чињеничном стању од података о личности који су засновани на личној оцени (члан 10);

4) ако коришћењем разумних мера не обезбеди да се нетачни, непотпуни и неажурни подаци о личности не преносе, односно да не буду доступни (члан 11. став 1);

5) обрађује податке о личности без сагласности лица на које се подаци односе, а није у могућности да предочи да је лице на које се подаци односе дало пристанак за обраду својих података (члан 15. став 1);

6) обрађује посебне врсте података о личности супротно чл. 17. и 18. овог закона;

7) обрађује податке о личности у вези са кривичним пресудама, кажњивим делима и мерама безбедности супротно члану 19. став 1. овог закона;

8) лицу на које се подаци односе не пружи информације из члана 23. ст. 1. до 3. и члана 24. ст. 1. до 4. овог закона;

9) лицу на које се подаци односе не стави на располагање или не пружи информације из члана 25. ст. 1. и 2. овог закона;

10) не пружи тражене информације, не омогући приступ подацима, односно ако не достави копију података које обрађује (члан 26. ст. 1. и 2. и члан 27);

11) ограничи делимично или у целини право на приступ подацима лицу на које се подаци односе супротно члану 28. став 1. овог закона;

12) не исправи нетачне податке или не допуни непотпуне податке, супротно члану 29. овог закона;

13) не избрише податке лица на које се подаци односе без одлагања у случајевима из члана 30. став 2. овог закона;

14) не ограничи обраду података о личности у случајевима из члана 31. овог закона;

15) не избрише податке о личности (члан 32);

16) не обавести примаоца у вези са исправком, брисањем и ограничењем обраде (члан 33. став 1);

17) не информише лице на које се подаци односе о одлуци о одбијању исправљања, брисања, односно ограничавања обраде, као и о разлогу за одбијање (члан 34. став 1);

18) не прекине са обрадом података након што је лице поднело приговор (члан 37. став 1);

19) се донесе одлука која производи правне последице по лице на које се подаци односе искључиво на основу аутоматизоване обраде, супротно чл. 38. и 39. овог закона;

20) приликом одређивања начина обраде, као и у току обраде не предузме одговарајуће техничке, организационе и кадровске мере, супротно члану 42. овог закона;

21) се однос између заједничких руковаоца не уреди на начин прописан чланом 43. ст. до 2. до 4. овог закона;

22) повери обраду података о личности обрађивачу, супротно члану 45. овог закона;

23) се подаци обрађују без налога или супротно налогу руковаоца (члан 46);

24) не обавести Повереника о повреди безбедности података, супротно члану 52. овог закона;

25) не обавести лице на које се подаци односе о повреди безбедности података, супротно члану 53. овог закона;

26) не изврши процену утицаја на заштиту безбедности података на начин предвиђен чланом 54. овог закона;

27) не обавести Повереника, односно не затражи мишљење Повереника пре започињања радње обраде (члан 55. ст. 1. и 3);

28) не одреди лице за заштиту података о личности у случајевима из члана 56. став 2. овог закона;

29) не изврши своје обавезе према лицу за заштиту података о личности из члана 57. ст. 1. до 3. овог закона;

30) се пренос података о личности у друге земље и међународне организације врши супротно чл. 63. до 71. овог закона;

31) не обезбеди примену ефективних механизама поверљивог пријављивања случајева повреде овог закона (члан 80);

32) обрађује податке о личности у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања или у статистичке сврхе супротно члану 92. овог закона.

Новчаном казном у износу од 100.000 динара казниће се за прекршај руковалац, односно обрађивач који има својство правног лица ако:

1) не упозна примаоца са посебним условима за обраду података о личности прописним законом и његовом обавезом испуњења тих услова (члан 11. став 5);

2) не достави лицу на које се подаци односе образложену одлуку, односно не обавести лице у року из члана 28. ст. 3. и 5. овог закона;

3) настави са обрадом у циљу директног оглашавања, а лице на које се подаци односе је поднело приговор на такву обраду (члан 37. став 3);

4) не одреди свог представника у Републици Србији, супротно члану 44. овог закона;

5) не води прописане евиденције о обради (члан 47), или не бележи радње обраде (члан 48);

6) не објави контакт податке лица за заштиту података о личности и не достави их Поверенику (члан 56. став 11).

Новчаном казном од 5.000 до 150.000 динара казниће се за прекршај физичко лице које не чува као професионалну тајну податке о личности које је сазнало током обављања послова (члан 57. став 7. и члан 76).

За прекршај из става 1. овог члана казниће се предузетник новчаном казном од 20.000 до 500.000 динара.

За прекршај из става 1. овог члана казниће се физичко лице, односно одговорно лице у правном лицу, државном органу, односно органу територијалне аутономије и јединици локалне самоуправе, као и одговорно лице у представништву или пословној јединици страног правног лица новчаном казном од 5.000 до 150.000 динара.

За прекршај из става 2. овог члана казниће се предузетник новчаном казном од у износу од 50.000 динара.

За прекршај из става 2. овог члана казниће се физичко лице, односно одговорно лице у правном лицу, државном органу, односно органу територијалне аутономије и јединици локалне самоуправе, као и одговорно лице у представништву или пословној јединици страног правног лица новчаном казном у износу од 20.000 динара.

Х. ПРЕЛАЗНЕ И ЗАВРШНЕ ОДРЕДБЕ

Заменик Повереника

Члан 96.

Заменик повереника за заштиту података о личности који је изабран у складу са Законом о заштити података о личности („Службени гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12), наставља да врши ту дужност до истека мандата на који је изабран.

Започети поступци

Члан 97.

Поступци по жалбама поводом захтева за остваривање права у вези са обрадом, поступци по захтевима за издавање дозволе за изношење података из Републике Србије и поступци надзора који нису окончани до дана почетка примене овог закона окончаће се по одредбама Закона о заштити података о личности („Службени гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12).

Централни регистар збирки података

Члан 98.

Централни регистар збирки података који је успостављен по одредбама Закона о заштити података о личности („Службени гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12) престаје да се води даном ступања на снагу овог закона.

Са централним регистром из става 1. овог члана, као и са подацима садржаним у том регистру, поступа се у складу са прописима који уређују поступање са архивском грађом.

Подзаконски акти

Члан 99.

Подзаконски акти предвиђени овим законом биће донети у року од девет месеци од дана ступања на снагу овог закона.

Подзаконски акти који су донети на основу Закона о заштити података о личности („Службени гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12) настављају да се примењују до доношења подзаконских аката из става 1. овог члана, aкo нису у супротности са овим законом.

Усклађивање других закона

Члан 100.

Одредбе других закона, које се односе на обраду података о личности, ускладиће се са одредбама овог закона до краја 2020. године.

Престанак важења ранијег закона

Члан 101.

Даном почетка примене овог закона престаје да важи Закон о заштити података о личности („Службени гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12).

Ступање закона на снагу

Члан 102.

Овај закон ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србије”, а примењује се по истеку девет месеци од дана ступања закона на снагу, осим одредбе члана 98. овог закона која се примењује од дана његовог ступања на снагу.