NACRT ZAKONA O ZAŠTITI PODATAKA O LIČNOSTI
I. OSNOVNE ODREDBE
Predmet zakona
Član 1.
Ovim zakonom uređuje se obrada podataka o ličnosti,prava lica i zaštita prava lica povodom obrade, nadležnost organa za zaštitu podataka o ličnosti,obaveze povodom obrade, iznošenje podataka iz Republike Srbije i nadzor nad sprovođenjem ovog zakona.
Organ nadležan za zaštitu podataka o ličnosti je Poverenikza informacije od javnog značaja i zaštitu podataka o ličnosti(u daljem tekstu: Poverenik), kao samostalan državni organ, nezavisan u vršenju svoje nadležnosti.
Cilj zakona
Član 2.
Cilj ovog zakona je da, u vezi sa obradom podataka o ličnosti, svakom fizičkom licu obezbedi ostvarivanje i zaštitu prava na privatnost i ostalih prava i sloboda.
Odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti tumače se u skladu sa odredbama ovog zakona.
Značenje izraza
Član 3.
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
1) Podatak o ličnosti je svaka informacija koja se odnosi na fizičko lice, bez obzira na oblik u kome je izražena i na nosač informacije (papir, traka, film, elektronski medij i sl.), po čijem nalogu, u čije ime, odnosno za čiji račun je informacija pohranjena, datum nastanka informacije, mesto pohranjivanja informacije, način saznavanja informacije (neposredno, putem slušanja, gledanja, odnosno posredno, putem uvida u dokument u kojem je informacija sadržana i drugo), ili druge karakteristike informacije (u daljem tekstu: podatak);
2) Fizičko lice je lice na koje se odnosi podatak, čiji je identitet određen ili odrediv na osnovu ličnog imena, jedinstvenog matičnog broja građana ili drugog ličnog identifikacionog broja, adresnog koda, biometrijskih podataka ili drugog obeležja njegovog fizičkog, psihološkog, duhovnog, ekonomskog, kulturnog ili društvenog identiteta (u daljem tekstu: lice);
3) Obrada podataka je svaka radnja ili skup radnji preduzetih u vezi sa podacima, kao što su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, proveravanjeistinitosti, potpunosti i ažurnosti podatka, odnosno autentičnosti dokumenta koji sadrži podatak, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, držanje, korišćenje, stavljanje na uvid, davanje na korišćenje, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, brisanje, prikrivanje, anonimizacija, izmeštanje i na drugi način činjenje nedostupnim, iznošenje podataka iz Republike Srbije, kao i sprovođenje drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatizovanom ili poluautomatizovanomobradom ili na drugi način(u daljem tekstu: obrada);
4) Zbirka podataka označava svaki strukturisani skup podatakaorganizovan na takav način da omogućava identifikaciju lica i sadrži najmanje jedan podatak, koji je dostupan u skladu sa posebnim kriterijumima (prema ličnom, predmetnom ili drugom osnovu), bez obzira na to da li je taj skup centralizovan, decentralizovan ili razvrstan po funkcionalnim ili geografskim osnovama;
5) Organ vlasti je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, kao i javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;
6) Rukovalac podatakaje organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, kao i bilo koji drugi oblik organizovanja koji nema svojstvo pravnog lica, a nosilac je prava i obaveza, koji samostalno ili zajedno sa drugima određuje svrhu i način obrade podataka, bez obzira na osnov obrade(u daljem tekstu: rukovalac);
7) Obrađivač podatakaje organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, a nosilac je prava i obaveza,koji na osnovu zakona ili ugovoraobrađuje podatke po nalogu, odnosno u imerukovaoca (u daljem tekstu: obrađivač);
8) Treća stranaje organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica,a nosilac je prava i obaveza, koja nije lice na koje se podaci odnose, rukovalac ili obrađivač, niti lice koje je rukovalac ili obrađivač ovlastio da obrađuje podatke;
9) Primalac je organ vlasti, fizičko ili pravno lice, kao i organizacija koja nema svojstvo pravnog lica, a nosilac je prava i obaveza,kome su podaci učinjeni dostupnim, bez obzira da li se radi o rukovaocu, obrađivaču ili trećoj strani;
10) Pristanak lica je slobodno data izjava u pisanoj formi ili usmeno na zapisnik, kojom lice nakon što je obavešteno o svrsi i uslovima obrade, izražava pristanak da se njegovi podaci obrađuju za određenu svrhu i pod unapred određenim uslovima;
11) Posebnipodaci su podaci o rasi, rasnom ili etničkom poreklu, nacionalnoj pripadnosti, političkom, verskom ili filozofskom uverenju, članstvu u sindikatu,zdravstvenom stanju, seksualnom životu, polu, rodnom identitetu,primanju socijalne pomoći, žrtvi nasilja,kao i jedinstveni matični broj građana,biometrijski podaci, podaci iz krivične i prekršajne evidencije, podaci o izrečenim sankcijama prema maloletnicima i genetski podaci;
12)Biometrijskipodaci su podaci o jedinstvenim i merljivim karakteristikama lica koji se mogu koristiti u cilju identifikacije lica, a naročito podaci koji se odnose na lik, glas, otisak prsta, potpis, geometriju šake, zenicu i rožnjaču oka, kao i DNK;
13) Video-nadzor je svaki tehnički sistem koji se koristi za optičko snimanje određenog javnog, službenog, poslovnog, stambenog i drugog privatnog prostora, površine, objekta ili prevoznog sredstva;
14) Povreda bezbednosti podataka predstavlja svako kršenje mera bezbednosti podataka, a naročito činjenje ili nečinjenje koje je dovelo ili može da dovede do krađe, nezakonitog namernog ili slučajnog uništenja, gubitka ili izmene podataka, odnosno neovlašćenog pristupa ili činjenja podataka dostupnim;
15) Brisanje podataka je radnja kojom se podaci uništavaju potpuno i trajno;
16) Anonimizacija podatka je radnja kojom se podataktrajnočini nedostupnim licu koje nema ovlašćenje da ga obrađuje, posle čega ne postoji mogućnost da se identifikuje lice na koje se podatak odnosi, bez značajnih troškova ili nesrazmernih napora ili znatnog utroška vremena;
17) Centralni registar zbirki podataka (u daljem tekstu: Centralni registar)je javni registar o evidencijama o obradi, odnosno uspostavljenim zbirkama podataka.
Primena zakona i teritorijalno važenje
Član 4.
Odredbe ovog zakona primenjuju se na svaku automatizovanu, poluautomatizovanu, odnosno ručnu radnju obrade.
Posebnim zakonom uređuje se način obrade iz stava 1. ovog člana koja se vrši u svrhu video-nadzora, direktnog oglašavanja, pružanja zdravstvenih, odnosno finansijskih usluga, ili drugu svrhu određenu zakonom.
Odredbe ovog zakona primenjuju se na svaku obradu koja se vrši na teritoriji Republike Srbije, kao i izvan teritorije Republike Srbije, kada se u skladu sa međunarodni pravom,ovim zakonomili ugovorom primenjuju propisi Republike Srbije, bez obzira na sedište, odnosno prebivalište rukovaoca,odnosno obrađivača, osim u slučaju kada se podaci samo prenose preko teritorije Republike Srbije.
Obrada na koju se zakon ne primenjuje
Član 5.
Osim ako očigledno pretežu suprotni interesi lica, odredbe ovog zakona ne primenjuju se na obradu podataka:
1) koji su dostupni svakome i objavljeni umedijima i publikacijama ili pristupačni uarhivskim, muzejskim i drugim sličnim organizacijama;
2) koji se obrađuju za porodične i druge lične potrebe i nisu dostupni trećim licima;
3) koji se obrađuju isključivo u svrhu istorijskog istraživanja, odnosno književnog ili drugog umetničkog stvaralaštva;
4) koje je lice sposobno da se samo stara o svojim interesima objavilo o sebi;
5) koji se obrađuju isključivo u statističke ili naučnoistraživačke svrhe, samo u periodu u kome je potrebno da bi se ostvarila svrha obrade, pod uslovom dase na osnovu obrade ne može identifikovati lice, odnosno ne donoseodluke ili preduzimaju mere prema licu, kao i da se obrada vrši uz primenu mera zaštite propisanih zakonom.
Ako fizičko, odnosno pravno lice obrađuje podatke na osnovu kojihono ne može da odredi identitet lica, od njega se ne može zahtevati da prikupi i obradi dodatne podatke koji bi omogućili određivanje identiteta lica ako je jedina svrha zahteva da se obezbedi primena ovog zakona na obradu tih podataka.
II. OBRADA PODATAKA
Dopuštenost obrade
Član 6.
Obrada podataka je dopuštena ako se vrši na osnovu pristanka lica ili zakonskog ovlašćenja.
Obrada iz stava 1. ovog člana je dopuštena isključivo ako:
1) jesvrhaobrade legitimna ikonkretno određena;
2)se podaci obrađuju u svrhu obrade i u vremenskom periodu u kome se ostvaruje svrha obrade;
3) se vrši pravično i na način određen zakonom, odnosno pristankom lica;
4) je podatak koji se obrađuje potreban i podesan za ostvarenje svrhe obrade;
5) su broj i vrsta podataka koji se obrađuju srazmerni svrsi obrade;
6) je podatak koji se obrađuje tačan i potpun.
U zakonu kojim se uređuje svrha i način obrade, određuje se i rukovalac.
U zakonu kojim se uređuje obrada podataka od strane ograna vlasti propisuje se koji se podaci obrađuju.
Izuzetno od stava 2. tačka 2) ovog člana, podaci se mogu obrađivati i u svrhu različitu od one koja je određena, ako je to neophodno za sprečavanje, otkrivanje i gonjenje učinilacakrivičnih dela, odbranu ili zaštitu bezbednosti Republike Srbije, na način određen zakonom.
Ako je svrha obrade ostvarena ili je prestala da postoji, podaci se brišu, osim ako za pojedine podatke zakonom ili pristankom lica nije drugačije određeno.
Podaci ne mogu da se obrađujuu obliku koji dopušta identifikaciju licaako je svrha zbog koje su obrađivani ostvarena, odnosno prestala da postoji.
Bezbednost podataka
Član 7.
Rukovalac, obrađivač i primalac su dužni da podatke zaštite od krađe, nezakonitog ili slučajnog brisanja, gubitka ili izmene podatka, kao i svakog neovlašćenog pristupa podacima, njihovog neovlašćenog odavanja ili drugih vidova nezakonite obrade,posebno u slučaju prenosa podataka u okviru informaciono-komunkacionih sistema.
Zabrana diskriminacije
Član 8.
Ostvarivanje i zaštita prava koji se uređuju ovim zakonom, obezbeđuju se svakom, bez obzira na državljanstvo i prebivalište, rasu, godine života, izgled, genetske osobenosti, invaliditet, pol, rodni identitet, seksualnu orijentaciju, jezik, veroispovest, političko i drugo uverenje, nacionalnu pripadnost, odnosno etničko poreklo, socijalno poreklo i status, imovinsko stanje, mesto rođenja, obrazovanje, društveni položaj ili druga lična svojstva.
Dopušteno ograničenje prava
Član 9.
Prava lica iz ovog zakona mogu se izuzetno ograničiti ako je to neophodno u demokratskom društvu radi zaštite od ozbiljne povrede pretežnijeg interesa zasnovanog na Ustavu ili zakonu, u skladu sa ovim zakonom.
Nijedna odredba ovog zakona ne sme se tumačiti na način koji bi doveo do ukidanja prava lica koje ovaj zakon priznaje ili do njihovog ograničenja u većoj meri od one koja je propisana u stavu 1. ovog člana.
Ako se odmeravanjem suprotstavljenih interesa u konkretnom slučaju utvrdi da interes javnosti da zna preteže nad interesom zaštite podataka, podaci se, kao informacije od javnog značaja, mogu učiniti dostupnim u skladu sa zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, uz poštovanje pravila srazmernosti zaštite podataka utvrđenog ovim zakonom.
Obrada bez pristanka
Član 10.
Obrada bez pristanka na osnovu ovog zakona dozvoljena je:
1) da bi se ostvarili ili zaštitili životno važni interesi lica ili drugog lica, a posebno život, zdravlje i fizički integritet, u meri u kojoj je obrada neophodna za zaštitu ovih interesa;
2) u svrhu izvršenja obaveza određenih ugovorom zaključenim između lica i rukovaoca, kao i pripreme zaključenja ugovora;
3) u svrhu izvršenja obaveza rukovaoca određenih zakonom;
4) ako je obrada neophodna u cilju izvršenja zadataka radi ostvarivanja javnog interesa ili u cilju izvršavanja zakonskih ovlašćenja rukovaoca ili treće strane kojoj su podaci učinjeni dostupnim;
5) u svrhu prikupljanjasredstava za humanitarne potrebe određene zakonom, ako se podaci već obrađuju u druge svrhe na osnovu zakonskog ovlašćenja od strane organa javne vlasti;
6) u cilju ostvarenja opravdanog interesa rukovaoca, obrađivača, primaoca ili trećeg lica,akopotreba zaštite tih interesapreteženad potrebom zaštite osnovnih prava i sloboda lica na koje se podaci odnose.
Obrada od strane organa vlasti
Član 11.
Organ vlasti obrađuje podatke bez pristanka lica, u skladu sa ovim zakonom, ako je obrada neophodna radi obavljanja poslova iz njegove nadležnosti određene zakonom, u cilju zaštite nacionalneili javne bezbednosti, odbrane Republike Srbije, sprečavanja, otkrivanja, istrage i gonjenja za krivična dela, zaštite važnih ekonomskih, odnosno finansijskih interesa države, zdravlja, javnog morala ili etičkih pravila, prava i sloboda lica na koji se podaci odnose ili drugog lica, a u drugim slučajevima na osnovu pristanka lica.
Izuzetno od stava1.ovog člana, organ vlasti može da obrađuje podatke na osnovu pristanka lica samo ako je takva obrada neophodna da bi se ostvarili ili zaštitili interesi tog lica.
Poveravanje poslova u vezi sa obradom
Član 12.
Poslove u vezi sa obradom rukovalac može da poveri obrađivaču koji ispunjava uslove za primenumera zaštite podataka, u skladu sa ovim zakonom.
Obrađivač iz stava 1. ovog člana ima iste obaveze u vezi sa obradom kao i rukovalac.
Rukovalac je odgovoran za izbor obrađivača, kao i za primenu mera iz stava 1. ovog člana.
Međusobna prava i obaveze rukovaoca i obrađivača uređuju se ugovorom koji mora biti zaključen u pismenom obliku.
Ugovorom se obrađivač obavezuje da obavlja poslove u vezi sa obradom samo u okviru dobijenog ovlašćenja, a posebno da podatke ne sme da stavi na raspolaganje drugim licima bez pismene dozvole rukovaoca, niti sme da ih obrađuje u bilo koju drugu svrhu osim ugovorene, da obezbedi primenu odgovarajućih mera zaštite podataka, kao i da fizička lica koja će unjegovo ime preduzimati poslove obrade podataka obaveže na čuvanjepoverljivosti podataka.
Ugovorom se, u skladu sa ovim zakonom, uređuje i postupanje sa podacima posleprestanka ugovora.
Prilikom zaključenja ugovora rukovalac je dužan da u pismenom obliku upozna obrađivača sa merama zaštite podataka koje je obrađivač dužan da primeni.
Pojedine poslove u vezi sa obradom obrađivač može da poveri drugom licu kao podobrađivaču samo ako ima pismenu saglasnost rukovaoca.
Na odnose između obrađivača i podobrađivača primenjuju se odredbe st. 1. do7.ovog člana.
Obrada posebnih podataka
Član 13.
Radnja obrade kojom se posebni podaci otkrivaju trećim licima može se preduzeti ako:
1) jelice ove podatke na nesumnjiv način učinilo javno dostupnim;
2) je radnju obrade neophodno preduzeti u vezi sa podnošenjem zahteva, odnosno ostvarivanjem prava u postupku pred organom vlasti;
3) je lice pristalo na radnju obrade, a zakonom nije propisano da pristanak lica ne proizvodi pravno dejstvo;
4) je radnju obrade neophodno preduzetiu postupku uređenom zakonom;
5) je radnju obrade neophodno preduzeti u cilju omogućavanja vršenja zakonskih ovlašćenja rukovaoca u oblasti radnih odnosa;
6) je lice faktički ili pravno nesposobno da samostalno izrazi svoj pristanak, a radnju obrade je neophodno preduzeti u cilju zaštite životno važnih interesa lica ili trećeg lica;
7) je radnju obrade neophodno preduzeti radi ostvarivanja ciljeva preventivne medicine, medicinske dijagnostike, medicinskog tretmana ili sistema upravljanja medicinskim uslugama, ako te podatke obrađuje zdravstveni radnik ili drugo lice koje podleže propisanim obavezama čuvanja poverljivih podataka;
8)se obrada vrši od strane fondacije, udruženja ili druge nedobitne organizacije koja se vezuje za određena politička, verska, sindikalna, filozofska ili druga uverenja, odnosno pripadnost, i to ako u okviru svoje registrovane delatnosti radnje obrade preduzima u odnosu na podatke o članu organizacije ili licu vezanomza ostvarivanje cilja organizacije, a podaci se ne otkrivaju trećim licima bez pristanka ovog lica.
Radnje obrade podataka iz kaznene i prekršajne evidencije i podataka o izrečenim sankcijama prema maloletnicima može vršiti samo zakonom ovlašćeni rukovalac, obrađivač i primalac.
Način čuvanja i mere zaštite posebnih podataka, uz prethodno pribavljeno mišljenje Poverenika, uređuje Vlada.
Odluka pomoću automatizovane obrade podataka
Član 14.
Odluka koja proizvodi pravne posledice za lice ili pogoršavanjegovpoložaj, ne može da bude zasnovanaisključivo na podacima koji se obrađuju automatizovano i koji služe oceni nekog svojstvalica, kao što su radna sposobnost, pouzdanost, kreditna sposobnost i slično.
Odluka iz stava 1. ovog člana može se doneti ako je to zakonom izričito određeno, odnosno ako se usvaja zahtev lica u vezi sa zaključenjem ili ispunjenjem ugovora, uz sprovođenje odgovarajućih mera zaštite podataka.
U slučaju iz stava 2. ovog člana rukovalac je dužan da upozna lice sa postupkom automatizovane obrade podataka i načinom donošenja odluke.
Pristanak za obradu
Član 15.
Punovažanpristanakzaobradumožedatilicepismeno,usmeno na zapisnik ili u elektronskom obliku sa kvalifikovanim elektronskim potpisom lica, u skladu sa zakonom kojim se uređuje elektronski potpis i dokument.
Pristanak se može dati preko punomoćnika, a punomoćje mora biti overeno, osim ako je punomoćnik advokat.
Pristanak za lice koje nije pravnosposobno za davanje pristanka daje zakonski zastupnik ili staralac.
Opoziv pristanka
Član 16.
Pristanak se može opozvati.
Punovažan opoziv lice može dati pismeno, usmeno na zapisnikili u elektronskom obliku sa kvalifikovanim elektronskim potpisom lica, u skladu sa zakonom kojim se uređuje elektronski potpis i dokument.
Licekojejeopozvalopristanakdužnojedarukovaocunaknadi štetu nastalu opozivom, uključujući i opravdanetroškove obrade,uskladusapropisimakojiuređujuodgovornostza štetu.
Obrada podataka je nedopuštena posle opoziva pristanka, a podaci koji su obrađivani na osnovu pristanka se brišu u skladu sa ovim zakonom.
Obrada podataka o detetu, odnosno maloletniku na osnovu saglasnosti
Član 17.
Za lice mlađe od 18 godina saglasnost za obradu posebnih podataka daje roditelj, usvojitelj, odnosno staratelj.
Ostali podaci o licu koje je starije od 12 godina ne mogu se obrađivati bez njegove saglasnosti i saglasnosti roditelja, usvojitelja, odnosno staratelja.
U slučaju iz stava 1. ovog člana, roditelj, usvojitelj, odnosno staratelj dužan je da obavesti lice o davanju saglasnosti ako je ono sposobno da razume značaj tog akta.
Lice starije od 15 godina može samostalno da zahteva zaštitu podataka o ličnosti iz stava 2. ovog člana, u skladu sa ovim zakonom.
Obrada podataka o umrlom licu
Član 18.
Posle smrti lica, odnosno proglašenja lica za umrlo nije dopušteno obrađivati podatke o njemu.
Izuzetno, podaci o umrlom licu, odnosno licu koje je proglašeno za umrlo mogu se obrađivati posle smrti, odnosno proglašenja za umrlo ako se obrada vrši na osnovu:
1)zakona, u periodu od godinu dana od dana smrti, odnosno proglašenja za umrlo, ako zakonom nije određen drugi period;
2) pristanka lica, odnosno ugovora koje je lice zaključilo sa rukovaocem u kojem je određeno da se obrada može vršiti i posle smrti tog lica, odnosno njegovog proglašenja za umrlo;
3) Pristanka supružnika umrlog lica, odnosno lica koje je proglašeno za umrlo, njegovog detetasanavršenih 15 godina života, roditelja, brata, sestre, zakonskognaslednikaililicakojejezatoodredioumrli, odnosno lice koje je proglašeno za umrlo, i ako je obrada neophodna da bi se ostvarilo ili zaštitilo pravo, sloboda, odnosno zakonom zaštićeni interes ovih lica, odnosno trećih lica.
Ako se jedno od lica iz stava 2. tačka 3) ovog člana protivi obradi, rukovalac odlučuje o obradi na osnovu odmeravanja suprotstavljenih interesa ovih lica.
Na obradu podataka o umrlom licu, odnosno o nestalom licu koje je proglašeno za umrlo, shodno se primenjuje odredbe ovog zakona koje se odnose na dopuštenost obrade i na ostvarivanje i zaštitu prava lica.
Prestanak postojanja rukovaoca
Član 19.
Ako rukovalac prestane da postoji,njegov pravni sledbenik preuzima ovlašćenja i obaveze u vezi sa obradom i o tome bez odlaganja obaveštava Poverenika.
Ako je rukovalac pravno lice koje nema pravnog sledbenika, lice koje sprovodi postupak likvidacije dužno je da bez odlaganja obavesti Poverenika o tome da je pokrenut postupak likvidacije.
Ako je rukovalac koji je fizičko lice–preduzetnik podneo zahtev za brisanje iz registra, dužan je da bez odlaganja obavesti Poverenika o tome da je započet postupak brisanja iz registra.
Prikupljanje podataka
Član 20.
Podaci se prikupljaju od lica na koje se odnose.
Izuzetno, podaci se mogu prikupljati i od drugog lica ako je dat pristanak lica na koje se podaci odnose ili je to propisano zakonom, odnosno ako bi prikupljanje podataka od lica na koje se podaci odnose zahtevalo prekomerni utrošak vremena i sredstava.
Obaveštavanje o obradipre prikupljanja
Član21.
Rukovalac, odnosno obrađivač je dužan dapreprikupljanja podatakaupoznalicenakojesepodaciodnose, odnosnodrugolice od kojeg se podaci prikupljaju sa:
1)svojim identitetom, odnosno imenom ili nazivom, adresom prebivališta ili sedišta;
2) pravnim osnovom, kao i svrhom prikupljanja i drugih radnja obrade;
3) načinom korišćenja podataka;
4) identitetomprimaoca podataka;
5) obaveznošću, odnosno dobrovoljnošću davanja saglasnosti za prikupljanje i druge radnje obrade;
6) pravom dase pristanak za obradu opozove, kao i pravnim posledicama u slučaju opoziva;
7) pravomna uvid i kopiju, kao i pravima povodom izvršenog uvida;
8) pravima koja pripadaju licu u slučajunedopušteneobrade;
9) drugimokolnostimačijebisaopštavanjelicunakojeseodnosepodaci, odnosno drugom licu,bilou skladu sa načelomsavesne, odnosno poštene obrade.
Rukovalackojijepodatkeolicuprikupiooddrugoglica,pružiće informacije izstava 1. ovogčlanalicunakojesepodaciodnosebezodlaganja, anajkasnijepre prve naredne radnje obrade.
Obavezaizst. 1. i 2. ovogčlananepostojiako takvoupoznavanjenijemogućeilijeočiglednonepotrebno, odnosnoneprimereno, anaročitoako je obrada propisana zakonom, akojelicenakojeseodnosepodaci, odnosnodrugolicevećo tome upoznatoiliakolicenakojesepodaciodnosenijedostupno.
Uslučajuizstava 3. ovog člana, rukovalacjedužandaobavestilicenakojesepodaciodnoseako ono to izričito zahteva, odnosno čimtopostanemoguće.
Upoznavanjeizst. 1. i 2.ovog članavršiseupismenomobliku, osimakolicenakojesepodaciodnose, odnosnodrugolicepristanenausmenoupoznavanje.
Ustupanje podataka primaocu
Član 22.
Podatke koje obrađuje rukovalac ustupa, odnosno čini dostupnim primaocu na osnovu pismenog zahteva, odnosno u skladu sa odredbama posebnog zakona.
U cilju zaštite nacionalne bezbednosti, odbrane ili sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela, podaci se mogu učiniti dostupnim primaocu bez pismenog zahteva u skladu sa odredbama posebnog zakona, o čemu rukovalac vodi evidenciju.
Pismeni zahtev iz stava 1. ovog člana mora da sadrži naziv, odnosno ime primaoca, svrhu i pravni osnov za potraživanje podataka, kao i navođenje podataka koji se potražuju.
Izuzetno od stava 1. ovog člana, rukovalac može primaocu da ustupi podatke i na osnovu usmenog zahteva ako razlozi hitnosti i svrha zbog koje potražuje podatke to opravdavaju, a ne postoji sumnja u pogledu osnova potraživanja podataka.
U slučaju iz stava 4. ovog člana, primalac je dužan da rukovaocu dostavi pismeni zahtev koji sadrži elemente iz stava 3. ovog člana i obrazloženje koje opravdava razloge hitnosti, u roku od 24 časa od trenutka podnošenja usmenog zahteva.
U slučaju kad se podaci traže na korišćenje u cilju zaštite nacionalne bezbednosti, odbraneili sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela, zahtev iz stava 1. ovog člana, odnosno evidencija iz stava 2. ovog člana može da sadrži i vremenski period u kome lice čiji se podaci traže ne može biti obavešteno da su njegovi podaci korišćeni, u skladu sa odredbama ovog zakona.
Rukovalac vodi posebnu evidenciju o primljenim zahtevima iz stava 1. ovog člana, koja sadrži informacije i podatke iz pismenog zahteva iz st. 3,5. i 6. ovog člana,kao i informaciju o tome da li je rukovalac udovoljio zahtevu.
Evidencija iz stava 2. ovog člana sadrži naziv primaoca, ime lica koje u ime primaoca potražuje podatke sa svojeručnim potpisom, pravni osnov za ustupanje i vrstu ustupljenih podataka.
Rukovalac je dužan da evidenciju iz st.7. i 8. ovog člana čuva najmanje pet godina od isteka kalendarske godine u kojoj je podatak ustupljen.
Obrazac i način vođenja evidencije iz st. 7. i 8. ovog člana propisuje ministar nadležan za poslove pravosuđa.
Obaveze rukovaoca u odnosu na osporene podatke
Član 23.
Ako utvrdi da su podaci koje obrađuje netačni, nepotpuni, odnosno neažurni, rukovalac je dužan da ih bez odlaganjaispravi, upotpuni, odnosno ažurira.
Ako utvrdi da podatke obrađuje bez pravnog osnova, rukovalac je dužan da ih bez odlaganja izbriše.
Rukovalac sačinjava belešku o radnjama obrade iz st. 1. i 2. ovog člana i o njihovom preduzimanju obaveštava lice na koje se podaci odnose i primaoca bez odlaganja, a najkasnije u roku od 15 dana od dana preduzimanja radnje obrade.
Ako ne postoje tehničke mogućnosti da se izvrši obaveza iz st. 1. i 2. ovog člana, odnosno ako bi izvršenje obaveze zahtevalo prekomerni utrošak vremena i sredstava, rukovalac je dužan da podatke označi kao osporene i privremeno obustavi njihovu obradu dok se ne steknu uslovi za izvršenje obaveze, kao i da o tome obavesti lice na koje se podaci odnose i primaoca u roku iz stava 3. ovog člana.
Naknada štete
Član 24.
Lice čije je pravo na zaštitu podataka povređeno ima pravo na naknadu materijalne i nematerijalne štete nastale povredom prava, u skladu sa zakonom koji uređuje naknadu štete.
Pre podnošenja tužbe sudu naknada štete može se neposredno zahtevati od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Rukovalac i obrađivač solidarno odgovaraju za štetu iz stava 1. ovog člana.
Rukovalac, odnosno obrađivač može se osloboditi od odgovornosti za naknadu štete ako dokaže da je postupao u skladu sa ovim zakonom.
III. PRAVA LICA I ZAŠTITA PRAVA LICA
1. Prava lica
Pravo na obaveštenje o obradi
Član 25.
Lice ima pravo da zahteva od rukovaoca da ga istinito i potpuno obavesti o radnjama obrade podataka koji se odnose na njega, a naročito:
1) da li obrađuje podatke i koje podatke obrađuje;
2) koju radnju obrade vrši;
3) u koje svrhe obrađuje podatke;
4) po kom pravnom osnovu obrađuje podatke;
5) od koga supodaci prikupljeni;
6) u kojim zbirkama podataka se nalaze podaci;
7) ko su primaoci podataka o njemu, koje podatke koriste, u koje svrhe i po kom pravnom osnovu;
8) u kom vremenskom periodu se podaci obrađuju;
9) o pravima lica povodom obrade.
Pravo na uvid i pravo nakopiju
Član 26.
Lice ima pravo da od rukovaoca zahteva da mu stavi na uvidpodatak koji se na njega odnose.
Pravo iz stava 1. ovog članaobuhvata pravo na pregled, čitanje i slušanje, kao i pravljenje zabeleški, bez obzira na nosač podatka (papir, traka, film, elektronski medij i sl).
Lice ima pravo da od rukovaoca zahteva kopiju podatka koji se na njega odnosi, kao i da mu se kopija uputipoštom, elektronskompoštom, faksom, ilina druginačin.
Prava lica povodom izvršenog uvida
Član 27.
Lice ima pravo da od rukovaoca zahteva ispravku, dopunu, ažuriranje, odnosno brisanje podataka, kao i prekid i privremenu obustavu obrade.
Lice ima pravo na brisanje podataka ako:
1) svrha obrade nije konkretno određena;
2) je svrha obrade izmenjena, a nisu ispunjeni uslovi zadopuštenost obrade u odnosu natu izmenjenu svrhu;
3) je svrha obrade ostvarena, odnosno podaci više nisu potrebniili podesni za ostvarenje svrhe;
4) je način obrade nedozvoljen;
5) je podataksadržan u grupi podatka čija je obrada nesrazmerna svrsi;
6) je podatak netačan, a ne može se ispravkom zameniti tačnim podatkom;
7) se podatak obrađuje bez pristank, odnosno zakonskog ovlašćenja i u drugim slučajevima kad nije dopušteno obrađivati podatak u skladu sa odredbama ovog zakona.
Lice ima pravo da od rukovaoca zahteva prekid i privremenu obustavu obradeako je osporilo tačnost, potpunost i ažurnost podataka, kao i pravo da zahteva da se ti podaci označe kao osporeni dok se ne utvrdi njihova tačnost, potpunost i ažurnost.
Privremeno ograničenje primene odredaba o pravima lica
Član28.
Na podatak koji je sadržan u dokumentu označenom stepenom tajnosti "DRŽAVNA TAJNA", "STROGO POVERLjIVO" i "POVERLjIVO", u skladu sa odredbama zakona kojim se uređuje tajnost podatka, ne primenjuju se odredbe čl. 25. do 27. ovog zakona.
Na podatak iz stava 1. ovog člana primenjuju se odredbe člana 6.ovog zakona koje se odnose na dopuštenost obrade.
Kad tajnost podatka iz stava 1. ovog člana prestane ili se opozove u skladu sa odredbama zakona kojim se uređuje tajnost podataka, rukovalac o tome bez odlaganja obaveštava lice na koje se podaci odnose.
Ako se zahtev za ostvarivanje prava lica odnosi na podatak iz stava 1. ovog članakoji je sadržan u grupi podataka, rukovalac je dužan da postupi po zahtevu u odnosu na ostale podatke.
Ograničenje prava
Član 29.
Prava lica iz čl. 25. do 27. ovog zakona mogu se izuzetno ograničiti zakonom ako je to neophodno u demokratskom društvu i samo u meri neophodnoj za ostvarivanje svrhe ograničenjau ciljuzaštite nacionalne i javne bezbednosti, odbrane,važnih ekonomskih ili finansijskih interesa države, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela i zaštite prava i sloboda lica ili drugih lica, a naročito ako bi ostvarivanje prava ozbiljno ugrozilo njihovu privatnost ili važan interes, posebno život, zdravlje i fizički integritet.
Prava iz stava 1. ovog članamogu seograničiti i ako:
1) licena koje se podaci odnosetražiobaveštenjeiz člana25. ovogzakona, arukovalacjepodatkeonjemuuneoujavniregistariliihjenadruginačinučiniodostupnimjavnosti;
2) licena koje se podaci odnose zloupotrebljava svoje pravo, a naročito akogajerukovalacilidrugolice, uskladus članom 21. ovogzakona, već upoznalosaonimo čemutražidabudeobavešteno, odnosnoakojevećizvršilouvidilidobilokopiju, aumeđuvremenunijedošlodopromenepodatka;
3) birukovalaczbog postupanja po zahtevu bioprivremeno onemogućenuvršenjuposlovaizsvogdelokruga.
Ako je obrada obustavljena na zahtev lica, ono nema pravo na uvid dok traje obustava.
2. Ostvarivanje pravalica
Zahtev za ostvarivanje prava
Član 30.
Zahtev za ostvarivanje prava na obaveštenje, uvid i kopiju i prava povodom ostvarenog uvida (u daljem tekstu: zahtev za ostvarivanje prava), podnosi se rukovaocu u pismenom obliku,usmeno na zapisnikili u elektronskom obliku,u skladu sa zakonom kojim se uređuje elektronskidokument.
Zahtev iz stava 1. ovog člana sadrži: podatke o identitetu podnosioca (ime i prezime, ime jednog roditelja, jedinstveni matični broj građana), adresu prebivališta, odnosno boravišta, kao i druge podatke neophodne za kontakt sa podnosiocem.
Podnosilac mora potpisati zahtev iz stava 1. ovog člana svojeručno, odnosnokvalifikovanim elektronskim potpisom, u skladu sa zakonom kojim se uređuje elektronski potpis i dokument.
Ako zahtev podnosi lice iz člana 18. stav 2. tačka 3) ovog zakona, u zahtevu se navodi i razlog za njegovo podnošenje, a uz zahtev se dostavljajudokazi o identitetu umrlog lica, odnosno lica proglašenog za umrlo i o vezi između podnosioca zahteva i umrlog lica, odnosno lica proglašenog za umrlo.
Ako je zahtev nerazumljiv ili nepotpun rukovalac je dužan dau roku od 15 dana od dana prijema zahteva pouči podnosioca kako da otkloni nedostatke.
Ako podnosilac ne otkloni nedostatke u roku od 15 dana od dana prijema pouke, a nedostaci su takvi da se po zahtevu ne može postupiti, rukovalac nije dužan da postupi po zahtevu.
Ako je rukovalac organ vlasti, zahtev iz stava 6. ovog člana odbacuje se zaključkom kao neuredan.
Postupanje po zahtevu
Član 31.
Rukovalac je dužan da bez odlaganja, a najkasnije u roku od 30 dana od dana prijema urednogzahteva za ostvarenje prava na obaveštenje, uvid ili kopiju, odnosno prava povodom izvršenog uvida, obavesti podnosioca o obradi, omogućiuvid u podatke, izda kopijupodatka, odnosnoizvrši ispravku, dopunu, ažuriranje, brisanje, kao i prekid i privremenu obustavu obrade.
Ako rukovalac iz opravdanih razloga nije u mogućnosti da postupi po zahtevu u roku iz stava 1. ovog člana, dužan je da o tome bez odlaganja obavesti podnosioca i da postupipo zahtevu najkasnije u roku od 60 dana od dana njegovog prijema.
Odluka o odbijanju zahtevu
Član 32.
Ako rukovalac koji je organ vlasti utvrdi da je zahtev iz člana 31. stav 1. neosnovan, odbiće zahtev rešenjem koje sadrži pouku o pravnom leku, najkasnije u roku od 30 dana od dana prijema urednog zahteva.
Način ostvarivanja prava na obaveštenje
Član 33.
Obaveštenje o obradi podataka izrađuje se u pismenom obliku idostavlja podnosiocu lično, putem pošte ili elektronske pošte, odnosno na način naveden u zahtevu.
Način ostvarivanje prava na uvid
Član 34.
Rukovalac je dužan da podnosiocu učini dostupnim podatak koji se na njega odnosi u obliku u kakvom se nalazi, odnosno u razumljivom obliku, a u skladu sa njegovim zahtevom.
Ako se podatak čuva u raznim oblicima (papir, audio, video ili elektronski zapis i dr), podnosilac ima pravo da izvrši uvid u obliku koji sam izabere, osim ako to nije moguće.
Ako je u grupi podataka uz podatak iz stava 1. ovog člana sadržan i podatak o drugom licu, rukovalac je dužan da obezbedi da podnosilac može da ostvari uvid samo u podatak koji se odnosi na njega.
Rukovalac je dužan da podnosiocu na zahtev pruži stručnu pomoć radi razumevanja sadržine podataka koji se na njega odnose.
Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev, dužan je da podnosiocu stavi na uvid podatak na tom jeziku, osim ako podnosilac ne zahteva drugačije, a rukovalac ima mogućnosti da udovolji zahtevu.
Rukovalac će zajedno sa obaveštenjem o tome da će podnosiocu stavitipodatakna uvid, saopštiti i vreme, mesto i način na koji će mu podatak biti stavljen na uvid,a podnosilac može iz opravdanih razloga tražiti da uvid u podatke izvrši u drugo vreme, na drugom mestu ili na drugi način.
Uvid u podatke vrši se po pravilu u prostorijama rukovaoca, odnosno na mestu gde se podaci nalaze.
Rukovalac sačinjava belešku o izvršenom uvidu.
Način ostvarivanje prava na kopiju
Član 35.
Rukovalac izdaje kopiju podatka (foto-kopiju, audio-kopiju, video-kopiju, digitalnu kopiju i dr) u obliku u kom se podatak nalazi, odnosno u drugom obliku ako bi kopija podatka u obliku u kom se podatak nalazi bila nerazumljiva podnosiocu.
Rukovalac je dužan da u kopiji iz stava 1. ovog člana anonimizuje podatak o drugom licu.
Kopija se dostavlja podnosiocu lično, putem pošte ili elektronske pošte, odnosno na način naveden u zahtevu.
Ako rukovalac ne raspolaže tehničkim sredstvima za izradu kopije, upoznaće podnosioca sa mogućnošću da upotrebom svoje opreme izradi kopiju.
Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev, dužan je da podnosiocu izda kopiju na tom jeziku, osim ako podnosilac ne zahteva drugačije, a rukovalac ima mogućnosti da udovolji zahtevu.
Način ostvarivanja
prava povodom izvršenog uvida
Član 36.
Prava povodom izvršenog uvida ostvaruju se u skladu sa članom 23. ovog zakona.
Ostvarivanje prava lično i preko punomoćnika
Član 37.
Prava propisana ovim zakonom mogu se ostvariti lično ili preko punomoćnika.
Punomoćje mora biti overeno, osim ako je punomoćnik advokat.
Taksa i naknada za ostvarivanje prava
Član 38.
Na zahtev za ostvarivanje prava iz ovog zakona ne plaća se taksa, ako posebnim zakonom koji uređuje obradu podataka nije drugačije predviđeno.
Rukovalac može da zahteva naknadu samo nužnih troškova izrade i dostavljanja kopije.
Vlada propisuje troškovnik na osnovu koga se obračunavaju troškovi iz stava 2. ovog člana u postupku pred rukovaocem koji je organ javne vlasti.
Primena zakona kojim se uređuje upravni postupak
Član39.
Na postupak odlučivanja o zahtevima za ostvarivanje prava pred organom javne vlasti primenjuju se odredbe zakona kojim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drugačije uređeno.
3. Zaštita prava lica
Pravo na žalbu i pritužbu
Član 40.
Ako pravo nije ostvareno u postupku pred rukovaocem koji je organ javne vlasti, podnosilac zahteva može da zahteva zaštitu prava u postupku po žalbi o kojoj odlučuje Poverenik.
Ako pravo nije ostvareno u postupku pred rukovaocem koji nije organ javne vlasti, podnosilac zahteva može da zahteva zaštitu prava u postupku po pritužbio kojoj odlučuje Poverenik.
Žalba iz stava 1. ovog člana može se izjaviti ako rukovalac:
1) odbaci ili odbije zahtev;
2) ne postupi po zahtevu za obaveštenje, ne stavipodatak na uvid, ne izda kopiju podatka, odnosno ne postupi po zahtevu povodom izvršenog uvida ili to ne učini u roku i na način propisan ovim zakonom;
3) uslovi izdavanje kopije uplatom naknade koja je veća od iznosa nužnih troškova za izradu kopije;
4) na drugi način oteža ili onemogući ostvarivanje prava, suprotno ovom zakonu.
Pritužba iz stava 2. ovog člana može se izjaviti iz razloga navedenih u stavu 3. tač. 2) do 4) ovog člana.
Žalba se može izjaviti u roku od 15 dana od dana dostavljanja odluke kojom se zahtev odbacuje ili odbija, odnosno po isteku propisanog roka za odlučivanje i postupanje.
Pritužba se može izjaviti u roku od 15 dana od dana isteka propisanog roka za postupanje.
Rešavanje po žalbi, odnosno pritužbi
Član 41.
Poverenik donosi odluku po žalbi, odnosno pritužbi najkasnije u roku od 60 dana od dana podnošenja žalbe, odnosno pritužbe.
Žalba,odnosno pritužba se dostavlja rukovaocu radi odgovora,a o navodima iz odgovora može se izjasniti podnosilac.
Poverenik odbacuje neblagovremenu ili nepotpunu žalbu, odnosno pritužbu, kao i žalbu, odnosno pritužbu koju je izjavilo neovlašćeno lice.
Akoutvrdi da je žalba osnovana zbog toga što je rukovalac propustio da odluči, odnosno postupi po zahtevu,Poverenik će rešenjem naložiti rukovaocu da u određenom roku postupi po zahtevu.
Ako rukovalac omogući podnosiocu ostvarivanje prava pre donošenja odluke Poverenika, postupak po žalbi, odnosno pritužbi se obustavlja.
Rukovalac je dužan da obavesti Poverenika o izvršenju odluke kojom mu se nalaže da podnosiocu omogući ostvarivanje prava u roku od osam dana od dana isteka roka koji mu je određen za postupanje.
Utvrđivanje činjeničnog stanja
Član 42.
Poverenik preduzima radnje za utvrđivanje činjeničnog stanja neophodnogza odlučivanja po žalbi, odnosno pritužbi.
Rukovalac, odnosno obrađivač dužan je da Povereniku, odnosno licu koga on ovlasti omogući uvid u podatak, odnosno zbirku podataka radi utvrđivanja činjeničnog stanja,u skladu sa ovim zakonom i zakonima kojima se uređuje tajnost podataka i zaštita poslovne tajne.
Obaveznost i izvršenje rešenja
Član 43.
Rešenje Poverenika po zahtevu za zaštitu prava je obavezujuće, konačno i izvršno.
Pravni lek protiv rešenja Poverenika
Član 44.
Protiv rešenja Poverenika možese pokrenuti upravni spor.
Pokretanje upravnog spora odlaže izvršenje rešenja Poverenika.
Ostale odredbe postupka
Član 45.
Na postupak odlučivanja Poverenika primenjuju se odredbe zakona kojim se uređuje opšti upravni postupak, ako ovim zakonom nije drukčije određeno.
Izvršenje rešenja Poverenika sprovodi se u skladu sa zakonom koji uređuje izvršenje i obezbeđenje.
IV.POVERENIK
Nadležnosti zamenik poverenika
Član46.
U vršenju poslova u oblasti zaštite podataka, Poverenik je nadležan da:
1) vrši nadzor nad sprovođenjem ovog zakona;
2) podnosi redovni godišnji izveštaj Narodnoj skupštinio stanju u oblasti zaštite podataka o ličnosti, kao i druge izveštaje, u skladu sa ovim zakonom;
3) odlučuje u postupcima propisanim ovim zakonom;
4) odlučuje u postupku prethodne provere obrade podataka, odnosno uspostavljanja zbirki podataka;
5) daje mišljenje akopostoji sumnja da li se pojedinačniskup podataka smatra zbirkom podataka, u smislu ovog zakona;
6) daje mišljenje o izmenama postojećih ili donošenju novih zakona i drugih propisa koji uređuju zaštitu podataka;
7) prati stanjeuoblasti zaštite podataka i predlaže mere za unapređivanjezaštite podataka;
8) uspostavlja i vodi Centralni registar;
9) neposredno sarađuje sa organima nadležnim za nadzor nad zaštitom podataka u drugim državamai međunarodnim organizacijama i prati uređenje zaštite podataka u drugim državamai međunarodnim organizacijama;
10) određuje način daljeg postupanja sa podacima kada je rukovalac prestao da postoji, u skladu sa ovim zakonom;
11) donosi podzakonske akte za koje je ovlašćen ovim zakonom;
12) obavlja i druge poslove određene zakonom.
Odredbe stava 1. tač. 1) i3) ovog člana ne primenjuju se na podatke koje obrađuju sudovi u svrhu vođenja sudskih postupaka, čime se ne zadire u nadležnost i ovlašćenja koja Poverenik ima u skladu sa zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja.
Poverenik ima zamenika za zaštitu podataka o ličnosti.
Zamenik poverenika obavlja poslove Poverenika predviđene ovim zakonom u slučaju njegovog odsustva, smrti, isteka mandata, razrešenja, kao i privremene ili trajne sprečenosti da vrši ovlašćenja.
Na izbor, mandat, prestanak mandata, postupak razrešenja i položaj zamenika poverenika za zaštitu podataka o ličnosti primenjuju se odredbe zakona koji uređuje slobodan pristup informacijama od javnog značaja, a odnose se na zamenika poverenika.
V. OBAVEZE POVODOM OBRADE
1. Bezbednost podataka
Opšte obaveze rukovaoca
Član 47.
Rukovalac je dužan da preduzme tehničke, kadrovske i organizacione mere zaštite bezbednosti podataka (u daljem tekstu: mere bezbednosti), u skladu sa odredbama ovog zakona i postojećim standardima,a naročito daorganizuje poslove zaštite i obezbedi upoznavanje zaposlenih sa merama bezbednosti, kao i obavezama koje zaposleni imaju s tim u vezi, uključujući i obavezu koja se odnosi napoverljivost, odnosno tajnost podataka.
Mere bezbednosti
Član 48.
Rukovalac, odnosno obrađivač dužan je da primeni mere iz člana 47. ovog zakona na osnovu procene rizika narušavanja bezbednosti, a u skladu sa vrstom podataka koji se obrađuju i postojećim standardima zaštite, uzimajući u obzir razvijenost tehnologije i troškove primene mera.
Mere bezbednosti obuhvataju naročito:
1) zaštitu prostorija, opreme i sistemske programske opreme, uključujući i ulazno-izlazne jedinice;
2) zaštitu baza podataka i programskih aplikacija sprečavanjem neovlašćenog pristupa podacima tokom prosleđivanja podataka, uključujući prosleđivanje putem elektronskih komunikacionih mreža;
3) zaštitu od neovlašćenih radnji obrade, uključujućikrađu i neovlašćenobrisanje, anonimizacijui uništavanje podataka;
4) obezbeđivanje mogućnosti da se naknadno utvrdi obrađivač, vreme i mesto obrade, kao i radnja obrade u roku u kojem je zakonom propisano ostvarivanje i zaštita prava lica;
5) obuku zaposlenih na poslovima obrade, kao i organizovanje poslova obrade na način koji obezbeđuje pristup podacima samo ovlašćenim licima.
Rukovalac primenjuje mere iz stava 1. ovog člana u skladu sa zakonom kojim se uređuje informaciona bezbednost, kao i zakonom kojim se uređuje tajnost podataka, odnosnozaštita poslovne tajne, bez obzira da li se obrada vrši na teritoriji Republike Srbije.
Obaveštavanje opovredi bezbednosti podataka
Član 49.
Ako je u slučaju povrede bezbednosti podataka nastala opasnost od ugrožavanja prava i sloboda lica, a naročito prava na privatnost, identitet, ugled ili jednak tretman, odnosno zaštićenih interesa u oblasti ekonomske i socijalne sigurnosti, rukovalac je dužan da bez odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu bezbednosti podataka, o tome obavestiPoverenika.
Obrađivač je dužan da bez odlaganja obavesti rukovaoca o povredi bezbednosti podataka iz stava 1. ovog člana.
Obaveštenje iz st. 1 i 2. ovog člana sadrži:
1) opis povrede bezbednosti podataka, uključujući i informacije o broju i kategorijama podataka, odnosno licana koje se podaci odnose, kao i o mogućim posledicama povrede;
2) opis planiranih i preduzetih mera za sprečavanje i otklanjanje posledica povrede;
3) informaciju o izvršenju obaveze obaveštavanja lica na koje se podaci odnose,u skladu sa odredbama ovog zakona.
Rukovalac je dužan da bez odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu bezbednosti o tome obavesti lice na koje se odnose podaci.
Obaveštenje iz stava 4. ovog člana sadrži:
1) opis povrede i informacije o mogućim posledicama povrede;
2) opis planiranih i preduzetihmera za sprečavanje i otklanjanje posledica povrede;
3) kontakt podatke lica za zaštitu podataka kod rukovaoca.
Izuzetno od stava 4. ovog člana, rukovalac nema obavezu obaveštavanja lica ako je već preduzeo mere koje su sprečile i otklonile posledice povrede bezbednosti iz stava 1. ovog člana.
Ako bi obaveštavanje lica moglo da ugrozi, omete ili oteža sprečavanje ili otkrivanje krivičnog dela ili učinioca, vođenje sudskog ili drugog postupka, odnosno izvršenje presude ili sprovođenje kazne, rukovalac može privremeno da odloži obaveštavanje lica iz stava 4. ovog člana, do prestanka razloga za odlaganje.
Ako bi obaveštavanje iz stava 4. ovog člana zahtevalo nesrazmerni utrošak vremena i sredstava, a naročito u slučaju povrede bezbednosti podataka velikog broja lica, rukovalac može javno obavestiti lica o povredi bezbednosti putem medija, interneta ili na drugi način.
Obrazac obaveštenja iz st. 3. i 5. ovog člana propisuje Poverenik.
U slučaju kada je povređena bezbednost podataka koje obrađuje Poverenikkaorukovalac, Poverenik će obavestitilice na koje se podaci odnose, u skladu sa stavom 4. ovog člana.
U slučaju iz stava 9. ovog člana, Poverenik sačinjava poseban izveštaj o povredi bezbednosti podataka i dostavlja ga Narodnoj skupštini.
Prethodna procena rizika
Član 50.
Rukovalac, odnosno obrađivač dužan je da pre započinjanja obrade izvrši procenu rizika od povrede bezbednosti podataka ako bi zbog prirode, načina, odnosno cilja obrade moglo da dođe do povrede prava, slobode ili zaštićenog interesa iz člana 49.stav 1. ovog zakona, a naročito u slučaju:
1) sveobuhvatne analize podataka o licu ili analize, odnosno predviđanja ekonomskog stanja, kretanja, zdravstvenog stanja, sklonosti i ponašanja lica koje je zasnovano na automatskoj obradi, a u cilju donošenja odluke o tom licu;
2) obrade podataka o seksualnom životu, zdravlju, rasnoj, verskoj, nacionalnoj i etničkoj pripadnosti, ako se obrada vrši u cilju preduzimanja mera ili donošenja odluka koje se odnose na veći broj lica;
3) obrade u oblasti sprovođenja zdravstvene zaštite, a posebno u okviru epidemioloških istraživanja ili izveštavanja o mentalnim, odnosno infektivnim bolestima, ako se obrada vrši u cilju preduzimanja mera ili donošenja odluka koje se odnose na veći broj lica;
4) nadzora nad objektima i površinama u javnoj upotrebi, posebno u slučaju video-nadzora većeg broja lica,odnosno objekata ili većih površina;
5) obrade podataka o deci;
6) obrade genetskih i biometrijskih podataka većeg broja lica.
Akt o proceni rizika iz stava 1. ovog člana sadrži: opis predviđenih radnji obrade, procenu rizika, kao i opis planiranih mera bezbednosti.
Pre donošenja akta o proceni rizika rukovalac je dužan da omogući licima na koje se podaci odnose, odnosno njihovimzastupnicima i predstavnicima da o sadržini tog akta daju mišljenje.
Akt o procenirizika iz stava 1. ovog člana dostavlja se Povereniku.
Obaveze iz st. 1. i 3. ovog člana nema rukovalac koji je organ vlasti, a koji obrađuje podatke na osnovu zakonskog ovlašćenja.
Opšti akt o zaštiti podataka
Član 51.
Rukovalac koji je organ vlasti, rukovalac koji obrađuje posebne podatke, odnosno rukovalackoji nije organ vlasti čija se poslovna delatnost sastoji u obradi podataka, dužan je da donese opšti akt kojim bliže uređuje pitanja vezana za dopuštenost obrade iz člana 6. ovog zakona, ostvarivanje prava lica iz čl. 25. do 39. ovog zakona, kao i sadržaj, obim i način sprovođenja mera bezbednostiiz člana 48. ovog zakona.
Drugi rukovaoci mogu urediti pitanja iz stava 1. ovog člana opštim aktom.
Prilikom određivanja sadržaja, obima i načina sprovođenja mera bezbednosti iz stava 1. ovog člana uzima se u obzir akt o prethodnoj proceni rizika iz člana 50. ovog zakona.
2. Lice za zaštitu podataka
Određivanje lica za zaštitu podataka
Član 52.
Rukovalac iz člana 51. stav 1.ovog zakona,kao i obrađivač koji po nalogu i u ime ovog rukovaoca obrađuje podatke dužnisu da odredejedno ili više licaza obavljanje poslova zaštite podataka (u daljem tekstu: lice za zaštitu podataka).
Drugi rukovaoci mogu da odrede lice za zaštitu podataka.
Isto lice može da obavlja poslove zaštite podataka za više rukovalaca, odnosno obrađivača.
Lice za zaštitu podataka može biti zaposleno kod rukovaoca, odnosno obrađivača ili angažovano na osnovu ugovora.
Lice za zaštitu podataka mora imati odgovarajuće stručno znanje neophodno za obavljanje poslova zaštite podataka.
Rukovalac i obrađivač iz st. 1. i 2. ovog člana dužni su da obezbede sticanje stručnog znanja licu za zaštitu podataka koje je zaposleno kod rukovaoca, odnosno obrađivača.
Lice za zaštitu podataka koje je zaposleno kod rukovaoca ne može biti istovremeno i obrađivač.
Lice za zaštitu podataka koje je angažovano na osnovu ugovora mora imati stručno znanje, odnosno ispunjavati uslove za zaštitu bezbednosti podatakau skladu sa domaćim, odnosno međunarodno priznatim standardima zaštite bezbednosti podataka.
Rukovalac i obrađivač iz st. 1. i 2.ovog zakona dužni su da omoguće licu za zaštitu podataka da svoja ovlašćenja vrši nezavisno i samostalno u skladu sa odredbama ovog zakona.
Lice za zaštitu podataka neposredno je odgovorno rukovaocu, odnosno obrađivačui ne može da trpi pravne posledice ako svoja ovlašćenja vrši u skladu sa odredbama ovog zakona.
Rukovalac i obrađivač iz st. 1. i 2. ovog člana dostavljaju Poverenikuime, prezime i kontakt podatke lica za zaštitu podataka.
Ovlašćenja, poslovi i obaveze lica za zaštitu podataka
Član 53.
Lice za zaštitu podataka:
1) učestvujeu izradi opšteg akta iz člana 51. ovog zakona,predlažeizmenu i dopunu ovog akta,prati primenu i ukazuje na nedostatke u primeni ovog akta;
2) periodično vrši procenu rizika od povrede bezbednosti podataka;
3) informiše i savetuje rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama propisanim ovim zakonom;
4) obaveštava lice na koje se podatak odnosio ostvarivanju prava iz čl. 25. do 39. ovog zakona;
5) obaveštava Poverenikai lice na koje se podatak odnosi o povredi bezbednosti podataka iz člana 49. ovog zakona;
6)u ime i za račun rukovaoca, odnosno obrađivača ostvaruje neposrednu saradnju sa Poverenikom;
7) stara se o vođenju evidencije o obradi, u skladu sa odredbama ovog zakona;
8) učestvuje u obuci zaposlenih na poslovima obrade podataka;
9) obavlja druge poslove koji se odnose na zaštitu podataka, u skladu sa zakonom.
Lice za zaštitu podataka dužno je dasve podatke koje sazna tokom obavljanja poslova, čuva kao profesionalnu tajnu, za vreme i posle prestanka obavljanja ovih poslova,u skladu sa zakonom.
3. Evidencije
Evidencija o obradi
Član 54.
Rukovalac,odnosno obrađivačkoji obrađuje posebne podatke dužan je daobrazuje i vodi evidenciju o obradikoja sadrži sledeće informacije:
1) nazivili ime, adresu sedišta ili prebivališta, kao i druge kontakt podatke rukovaoca, odnosno obrađivača, kao i lica za zaštitu podataka;
2) vrstu podataka i naziv zbirke podataka;
3) opis radnji obrade;
4) datum započinjanja obrade, odnosno uspostavljanja zbirke podataka;
5) svrhu obrade;
6) pravni osnov obrade, odnosno uspostavljanja zbirke podataka;
7) kategoriju lica na koje se podaci odnose;
8) oznakustepena tajnosti podataka;
9) rok čuvanja i upotrebe podataka;
10) nazivili ime, kao i adresu sedišta, odnosno prebivališta primaoca;
11) oznaku unošenja, odnosno iznošenja podataka iz Republike Srbije, pravni osnov i svrhu unošenja, odnosno iznošenja podataka;
12) datum usvajanja opšteg akta iz člana 51. ovog zakona.
Posebnim zakonom se može propisati da evidencija iz stava 1. ovog člana sadrži i druge informacije.
Rukovalac ažurira evidenciju iz stava 1.ovog člana u roku od 30 dana od dana nastanka promene.
Obrazac za vođenje evidencije i način vođenja evidencije iz stava 1.ovog člana propisuje Poverenik.
Obaveza dostavljanja
Član 55.
Rukovalac, odnosno obrađivač dostavlja Povereniku informacije iz evidencije o obradi iz člana 54. stav 1. ovog zakona, odnosno promene u evidenciji, najkasnije u roku od 15 dana od dana uspostavljanja zbirke, odnosno promene u evidenciji.
4. Provera rizika od povrede bezbednosti podataka
Prethodno obaveštavanje Poverenika
Član 56.
Rukovalac je dužan da dostavi Povereniku obaveštenje o nameri započinjanja obrade, odnosno uspostavljanja zbirke podataka najkasnije 15 dana pre započinjanja obrade, odnosno uspostavljanja zbirke podataka u vezi sa čijom obradom postoji rizik iz člana 50. ovog zakona.
Uz obaveštenje iz stava 1. ovog člana rukovalac dostavlja akt o proceni rizika iz člana 50. ovog zakona, kao i podatke iz člana 54. stav 1. ovog zakona ako obrađuje posebne podatke.
Prethodna provera
Član 57.
Poverenik u roku od 30 dana od dana prijema obaveštenja iz člana 56. ovog zakona proverava da li postoji rizik od povrede bezbednosti podataka iz člana 50. stav 1. ovog zakona.
Ako utvrdi postojanje rizika iz stava 1. ovog člana, Poverenik privremeno zabranjuje obradu podataka, odnosno uspostavljanje zbirke podataka i nalaže rukovaocu, odnosno obrađivaču da u primerenom roku otkloni nedostatke u aktu o proceni rizika.
Ako rukovalac, odnosno obrađivač ne otkloni nedostatke u roku iz stava 2. ovog člana, Poverenik zabranjuje uspostavljanje zbirke podataka, odnosno radnju obrade koja predstavlja rizik iz stava 1. ovog člana.
Odluka Poverenika iz stava 3. ovog člana je konačna i protiv nje se može pokrenuti upravni spor.
5. Centralni registar
Član 58.
Poverenik uspostavlja i vodi Centralni registar.
U Centralni registar se unose informacije iz člana 54. stav 1. ovog zakona.
Sadržina centralnog registrajavno je dostupna putem interneta.
Poverenik će uskratiti pravo na uvid u evidenciju o obradi ako to zahteva rukovalac i ako je to neophodno u cilju zaštite pretežnog interesa očuvanja nacionalne ili javne bezbednosti, odbrane, važnih ekonomskih ili finansijskih interesa Republike Srbije, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela, zaštite prava i sloboda lica ili drugih lica,ili ako jezakonom kojim se uređuje tajnost podataka, odnosno propisima donetim na osnovu tog zakona određeno da se evidencija o obradi čuva kao tajna.
VI. IZNOŠENJE PODATAKA IZ REPUBLIKE SRBIJE
Opšta odredbe o iznošenju podataka iz Republike Srbije
Član 59.
Podaci, odnosno zbirka podataka može se izneti iz Republike Srbijeako je iznošenje podataka iz Republike Srbijeu drugu državu, odnosno međunarodnu organizaciju propisano zakonom ili potvrđenim međunarodnim ugovorom sa tom državom, odnosno međunarodnom organizacijom,kao i ako je tadržava, odnosno međunarodna organizacija strana ugovornica potvrđenog međunarodnog ugovora koji se odnosi na zaštitu ili razmenu podataka.
Poverenik objavljuje listu država i međunarodnih organizacija iz stava 1. ovog člana na svojoj internet stranici.
Posebni slučajevi iznošenja podataka iz Republike Srbije
Član 60.
Izuzetnoodčlana59. ovogzakona, podaci, odnosno zbirka podataka može se izneti iz Republike Srbije iako:
1) licenanesumnjivnačinizrazisaglasnostzaiznošenjeilijeiznošenjeneophodnouciljuzaštitenjegovih životnovažnihinteresa, a posebno života, zdravlja i fizičkog integriteta;
2) jeiznošenjeneophodnouciljuizvršenjaugovorakojijezaključenizmeđulicairukovaoca, odnosnoizvršenjapredugovornihobavezakojezahtevalice na koje se podaci odnose;
3) jeiznošenjeneophodnouciljuzaključenjailiizvršenjaugovorazaključenogizmeđurukovaocaitreće straneukoristlicana koje se podaci odnose;
4) jeiznošenjeneohodnoilipostojipravnaobavezaiznošenjauciljuzaštitejavnihinteresa, odnosnouciljuustanovljavanja, izvršenjailizaštitepravaiobaveza, odnosnoovlašćenjaidužnosti, a naročito u cilju zaštite nacionalne i javne bezbednosti, odbrane,važnih ekonomskih ili finansijskih interesa države, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela ili zbog zaštite prava i sloboda lica na koje se podaci odnose ili drugih lica;
5) seiznosepodaciizjavnogregistrakojisudostupnisvima, odnosnolicukojeukonkretnomslučajuimaopravdaninteresdadonjihdođe;
6) se iznošenje vrši na osnovu ugovora koji je zaključio rukovalac koji ima prebivalište, odnosno sedište u Republici Srbiji sa rukovaocem, obrađivačem, odnosno primaocem koji ima prebivalište, odnosno sedište izvan Republike Srbije, kojim se predviđa primena ovog zakona na ugovorni odnos, uključujući i nadležnost organa Republike Srbije u pogledu zaštite podataka koji se iznose.
U slučaju iz stava 1. tač. 1) do 3) i tačka 6) ovog člana, rukovalac bez odlaganja obaveštava Poverenika i licena koje se podaci odnose da su podaci izneti iz Republike Srbije.
VII. NADZOR
Nadležnost
Član 61.
Nadzor nad sprovođenjem ovog zakona vrši Poverenik.
Poverenik vrši poslove nadzora preko ovlašćenih lica.
Ovlašćeno lice dokazuje ovlašćenje za vršenje nadzora službenom legitimacijom koja sadrži njegovo lično ime, fotografiju i broj službene legitimacije.
Obrazac legitimacije propisuje Poverenik.
Ovlašćenja povodom izvršenog nadzora
Član 62.
Ako se u postupku nadzora iz člana 61. stav 1. ovog zakonautvrdi da su povređene odredbe ovog zakona, Poverenik upozorava rukovaoca, odnosno obrađivača na utvrđene nezakonitosti, odnosno nepravilnosti.
Poverenik može rešenjem da:
1) naloži da se nepravilnosti otklone u primerenom roku;
2) privremeno ili trajno zabrani obradu ili sprovođenje pojedinih radnji obrade;
3) naloži brisanje podataka;
4) odredi način daljegpostupanje sa podacima.
Rešenjem Poverenika iz stava 2. ovog člana određuje se i način sprovođenja rešenja.
Rešenje Poverenika iz stava 2. ovog člana je konačno, izvršno i obavezujućei protiv njega se može pokrenuti upravni spor.
Primena propisa o inspekcijskom nadzoru iupravnom postupku
Član 63.
U postupku nadzora primenjuju se odredbezakona kojim se uređuje inspekcijski nadzor iopšti upravni postupak, osim ako ovim zakonom nije drugačije određeno.
VIII. KAZNENE ODREDBE
Član 64.
Novčanom kaznom od 50.000 dinara do 2.000.000 kazniće se za prekršaj rukovalac, obrađivač ili primalac ako:
1) obrađuje podatke suprotno uslovima iz člana 6. st. 1. i 2. ovog zakona;
2) obrađuje podatke u obliku koji dopušta identifikaciju lica, a svrha zbog koje se podaci obrađuje je već ostvarena, odnosno prestala je da postoji(član 6. stav 6);
3) ugovorom poveri poslove obrade obrađivaču koji ne ispunjava uslove za primenu mera zaštite podataka(član 12. stav 1);
4) otkrije posebne podatke trećim licima suprotnočlanu13. stav 1.ovog zakona;
5) donese odluku koja proizvodi pravne posledice za licena koje se podaci odnose ili pogoršava njegov položaj, suprotno članu 14. stav 1. ovog zakona;
6) detetu, maloletniku suprotno članu 17. st. 1. i 2. ovog zakona;
7) obrađuje podatke o umrlom licu suprotno članu 18. stav 1. ovog zakona;
8) ne obavesti Poverenika o prestanku postojanja rukovaoca, suprotno članu 19. ovog zakona;
9) ako se podaci prikupljaju suprotno članu 20. ovog zakona;
10) ne upozna lice, odnosno pruži informacije licu na koje se podaci odnose, odnosno drugom licu o prikupljanju podataka, suprotno članu 21. st. 1, 2. i 4. ovog zakona;
11) ustupi, odnosno učini dostupnim podatke primaocu suprotno članu 22. stav 1. ovog zakona;
12) pristupi podacima bez pravnog osnova suprotno članu 22. st. 2. ovog zakona, odnosno ne saopšti podatke o svom identitetu ili se svojeručno ne potpiše (član 22. stav 8);
13) ne vodi posebnu evidenciju o primljenim zahtevima primaoca, odnosno evidenciju o ustupljenim podacimaiz člana 22. st. 7. i 8. ovog zakona;
14) ne čuva posebnu evidenciju o primljenim zahtevima primaoca, odnosno evidenciju o ustupljenim podacima u roku iz člana 22. stav 9. ovog zakona;
15) ne ispravi, ne upotpuni, odnosno ne ažurira podatke koje obrađuje (član 23. stav 1);
16) ne izbriše podatke koje obrađuje bez pravnog osnova (član 23. stav 2);
17) ne preduzme tehničke, kadrovske i organizacione mere zaštite bezbednosti podataka (član 48. stav 1);
18) ne obavesti Poverenika o povredi bezbednosti podataka u roku iz člana 49. stav 1. ovog zakona;
19) ne obavesti bez odlaganja rukovaca o povredi bezbednosti podataka(član 49. stav 2);
20) ne obavesti lice na koje se podaci odnose o povredi bezbednosti podataka u roku iz člana 49. stav 4. ovog zakona;
21) ne izvrši prethodnu procenu rizika od povrede bezbednosti podatka iz člana 50. stav 1. ovog zakona;
22) ne omogući licima na koje se podaci odnose, odnosno njihovim zastupnicima i predstavnicima da daju mišljenje pre donošenja akta o proceni rizika, odnosno ne dostavi Povereniku akt o proceni rizika pre započinjanja obrade (član 50. st. 3. i 4);
23) ne donese opšti akt o zaštiti podataka iz člana 51. stav 1. ovog zakona;
24) ne odredi jedno ili više lica za obavljanje poslova zaštite podataka (član 52. stav 1);
25) ne obrazuje i ne vodi evidenciju o obradi iz člana 54. stav 1. ovog zakona;
26) ne ažurira evidenciju o obradi u roku iz člana 54. stav 3. ovog zakona;
27) ne dostavi Povereniku informacije iz evidencije o obradi, odnosno promene u evidenciji u roku iz člana 55. ovog zakona;
28) ne dostavi Povereniku obaveštenje o nameri započinjanja obrade, odnosno uspostavljanja zbirke podataka suprotno članu 56. stav 1. ovog zakona
29) iznese podatke iz Republike Srbijesuprotno članu59. stav 1.ovog zakona;
30) ne obavesti Poverenika i lice na koji se podaci odnose o iznošenju podataka iz Republike Srbije suprotno članu 60. stav 2. ovog zakona.
Novčanom kaznom od 5.000 do 150.000 kazniće se za prekršaj lice za obavljanja poslova zaštite podataka koje ne čuva podatke koje sazna tokom obavljanja poslova kao profesionalnu tajnu(član 53. stav 2);
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom kaznom od 20.000 do 500.000 dinara.
Za prekršaj iz stava 1. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od 5.000 do 150.000 dinara.
IX. PRELAZNE I ZAVRŠNE ODREDBE
Primena Zakona o slobodnom pristupu informacijama od javnog značaja i zamenik poverenika
Član 65.
Na sedište Poverenika, izbor, prestanak mandata, postupak razrešenja, položaj Poverenika, stručnu službu, finansiranje i podnošenja izveštaja, primenjuju se odredbe Zakona o slobodnom pristupu informacijama od javnog značaja("Sl. glasnik RS", br. 120/2004, 54/2007, 104/2009 i 36/2010).
Zamenik poverenika za zaštitu podataka o ličnosti koji je izabran u skladu saZakonom o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012), nastavlja da vrši tu dužnost do isteka mandata na koji je izabran.
Započeti postupci
Član 66.
Postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom koji nisu okončani do dana stupanja na snagu ovog zakona okončaće se po odredbama Zakona o zaštiti podataka o ličnosti("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012).
Podzakonski akti
Član 67.
Podzakonski akti predviđeni ovim zakonom biće doneti u roku od godinu dana od dana stupanja na snagu ovog zakona.
Podzakonski akti koji su doneti na osnovu Zakona o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012) nastavljaju da se primenjuju do donošenja podzakonskih akata iz stava 1. ovog člana, ako nisu u suprotnosti sa ovim zakonom.
Prestanak važenja ranijeg zakona
Član 68.
Danom stupanja na snagu ovog zakona prestaje da važi Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012).
Stupanje zakona na snagu
Član 69.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
IZ OBRAZLOŽENJA
II. RAZLOZI ZA DONOŠENJE ZAKONA
Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni imogu se razmatrati kako zbog potreba Republike Srbije, tako i zbog potreba međunarodne saradnje, a pre svega zbog procesa pridruživanja Republike Srbije Evropskoj uniji. Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti. Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije određenu Sporazumom o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica, sa jedne strane, i Republike Srbije, sa druge strane ("Službeniglasnik RS – Međunarodni ugovori", broj 83/08), dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje. Kako je obim neophodnih izmena i dopuna postojećeg Zakona o zaštiti podataka o ličnosti veliki, odnosno podrazumeva intervenciju u više od polovine odredaba, neophodno jedoneti novi zakon koji će urediti ovu oblast.
Zakon o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 97/2008, 104/2009 - dr. zakon, 68/2012 - odluka US i 107/2012) usvojen je krajem 2008. godine, a počeo je sa primenom 1. januara 2009. godine. Od početka primene Zakon je prema izveštajima Evropske komisije o napretku Republike Srbije ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti. Pored najvažnijeg propisa – Direktive Evropskog parlamenta i Saveta 95/46EZ od 24.10.1995. godine, relevantno evropsko zakonodavstvo u oblasti zaštite podataka o ličnosti obuhvata i druge direktive i propise (npr. Direktiva Evropskog parlamenta i Saveta u vezi sa obradom ličnih podataka i zaštite privatnosti u elektronskom komunikacionom sektoru - 2002/58/EZ od 12. jula 2002, koja je izmenjena Direktivom 2009/136/EZ), kao i presude Suda pravde Evropske unije i mišljenja Radne grupa člana 29 kao tela koji objedinjuje nezavisne organe svih 28 država članica EU o primeni prava i rastućim izazovima zaštite podataka, a koje takođe treba da budu sadržane, odnosno njihova primena treba da bude omogućena nacionalnih zakonom o zaštiti podataka o ličnosti.
Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom više od pet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.
Sporazum o stabilizaciji i pridruživanju između Evropskih zajednica i njihovih država članica nameće i obavezu Republici Srbiji da uskladi svoje zakonodavstvo koje se odnosi na zaštitu ličnih podataka sa zakonodavstvom Evropske unije i ostalim evropskim i međunarodnim propisima o privatnosti (član 81. Sporazuma).
Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske Unije (2000/C 364/01). Pravo na privatnost i zaštitu podataka zajemčeno je članovima 7. (Poštovanje privatnog i porodičnog života) i 8. (Zaštita podataka o ličnosti). Rad na pripremi uredbe o zaštiti podataka o ličnosti – Predlog uredbe Evropskog parlamenta i Saveta o zaštiti pojedinaca u pogledu obrade ličnih podataka i o slobodnom protoku tih podataka - Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data General Data Protection Regulation, koja će zameniti Direktivu 95/46/EZ ukazuje da zaštita podataka više nije pitanje harmonizacije prava Evropske unije i pojedinačne implementacije u nacionalno zakonodavstvo, već oblast direktne primene prava Evropske unije. Snažan nezavisni organ za zaštitu podataka o ličnosti je preduslov adekvatne zaštite podataka o ličnosti za Evropsku uniju, na šta ukazuje i postojanje posebnog organa za zaštitu podataka o ličnosti u okviru Unije - Evropskog supervizora za zaštitu podataka o ličnosti, kao i posebnih odeljenja i oficira za zaštitu podataka o ličnosti Europola ili Eurodžasta, kao i odluke Suda pravde Evropske unije o položaju organa nadležnih za zaštitu podataka o ličnosti.
Ko što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje višegodišnja primena važećeg zakona.
Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u neadekvatno uređenom postupku ostvarivanja prava na zaštitu podataka o ličnosti i neuređenom postupku iznošenja podataka o ličnosti iz Republike Srbije. Takođe, nedostaci su izraženi i u nepotpunom uređenju odgovornosti u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza. Bezbednost podataka je potpuno neadekvatno uređena, a nedostaje i obaveza analize rizika po prava lica u slučaju pojedinih obrada koje mogu ozbiljno ugroziti njihovih prava. Istovremeno, neophodno je uvesti nove institute u režim zaštite podataka koji se prevashodno odnose na lica zadužena za zaštitu podataka kod rukovalaca ili kod obrađivača podataka o ličnosti.
Osnovni cilj zakona je da svakome obezbedi zaštitu podataka o ličnosti radi nesmetanog ostvarivanja prava na privatnost i ostalih prava i sloboda. Stoga, Zakon o zaštiti podataka treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji. U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.
Prilikom izrade teksta Nacrta zakona korišćene su analize teksta važećeg zakona, inicijative i preporuke za izmenu njegovih odredaba, kao i rešenja koja je izneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u svom Modelu zakona.
III. OBJAŠNJENJE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENJA
Nacrt Zakona o zaštiti podataka o ličnosti sadrži devet glava, i to: Osnovne odredbe (Glava I), Obrada podatka (Glava II), Prava lica i zaštita prava lica(Glava III), Poverenik(Glava IV), Obaveze povodom obrade (Glava V), Iznošenje podataka iz Republike Srbije (Glava VI), Nadzor (Glava VII), Kaznene odredbe (Glava VIII)i Prelazne i završne odredbe (Glava IH).
Osnovne odredbe(Glava I. Nacrta zakona)sadrže pet članova, i uređuju predmet zakona, cilj zakona, značenje osnovnih izraza u zakonu, primenu zakona i njegovo teritorijalno važenje i slučajeve obrade podataka na koje se zakon ne primenjuju. Obzirom na značaj ove glave za tekst celog zakona (posebno što se predviđa značenje najvažnijih izraza koji se koriste kroz ceo tekst zakona), ova glava je i nazvana "Osnovne odredbe".
Članom 1. Nacrta zakona određen je njegov predmet. Predviđeno je da zakon uređujeobradu podataka o ličnosti,prava lica i zaštitu prava lica povodom obrade, nadležnost organa za zaštitu podataka o ličnosti,obaveze povodom obrade, iznošenje podataka iz Republike Srbije i nadzor nad sprovođenjem zakona. Pored toga, kao i u važećem zakonu, u drugom stavu istog člana određuje se organ koji je u Republici Srbiji nadležan za zaštitu podataka o ličnosti, u cilju isticanja njegove samostalnosti, kao i nezavisnosti u vršenju nadležnosti koje ovaj zakon predviđa.
U članu 2. Nacrta zakona propisan je njegov cilj. Stavom 1. ovog člana definisan je opšti cilj zakona, koji je identičan cilju važećeg zakona. Novinu predstavlja stav 2. ovog člana koji ukazuje na značaj ovog zakona kao sistemskog zakona u oblasti zaštite podataka o ličnosti, kao i potrebu da posebni zakoni (obzirom da se zakonom mora urediti prikupljanje, držanje, obrada i korišćenje podataka o ličnosti) kada uređuju obradu podataka moraju biti usklađeni sa ovim zakonom, koji ovu oblast celovito i najdetaljnije uređuje.
Jedan od najvažnijih članova Nacrta zakona je svakako član 3, u kome su sadržana objašnjenja najznačajnih pojmova koji se u zakonu koriste. U odnosu na važeći zakon (koji sadrži deset osnovnih pojmova), u Nacrtu zakona su kao novi pojmovi određeni:"posebni podaci", "biometrijski podaci", "video-nadzor", "povreda bezbednosti podataka", "brisanje podataka" i "anonimizacija podataka". Dosadašnji pojam "korisnik podatka" se više ne koristi u tekstu Nacrta zakona, a kao novi pojmovi se koriste pojam "trećeg lica" i pojam "primaoca". Takođe, posebno je definisan i pojam "pristanak lica". Sve ove nove definicije su nastale zbog potrebe usklađivanja sa relevantnim međunarodnim dokumentima iz ove oblasti, prvenstveno sa definicijama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, Direktive 95/46/EZ, kao i Predloga uredbe o zaštiti podataka o ličnosti Evropske unije. Pored toga, na ovaj način se obezbeđuje i neophodno preciziranje ovih pojmova. Čak i u odnosu na pojmove koji su zadržani iz teksta važećeg zakona, značajno su dopunjeni i precizirani i pojmovi "fizičkog lica", "obrade podataka", "zbirke podataka", "organa vlasti", "rukovaoca podataka", "obrađivača podataka", kao i "Centralnog registra". Definicija"posebnih podataka" (u važećem zakonu reč o naročito osetljivim podacima) usklađenaje sa Direktivom 95/46/EZ i Predlogom uredbe o zaštiti podataka o ličnosti EU, kao i definicija"biometrijskih podataka". Treba napomenuti da je kao poseban podatak određen i jedinstveni matični broj građana, obzirom da taj broj predstavlja kombinaciju brojeva koji su i inače vezani za određen posebni podatak (podaci o polu). Pored toga, najveći broj evidencija o građanima u Republici Srbiji je upravo vodi preko jedinstenog matičnog broja građana, zbog čega je zaštiti prava građana neophodno posvetiti dodatnu pažnju, koja se upravo i obezbeđuje kroz prava povodom obrade posebnih podataka.Novinu predstavlja i definicija "prodora u bezbednost podataka", koja pretpostavlja posebne obaveze rukovalaca u skladu sa Uredbom Komisije 611/2013 od 24.06.2013. godine o merama koje se odnose na prijavu prodora u bezbednosti podataka na osnovu Direktive 200/58/EZ (Commission Regulation (EU) No 611/2013 of 24 June 2013 on the measures applicable to the notification of personal data breaches under Directive 2002/58/EC of the European Parliament and of the Council on privacy and electronic communications), kao i odredbama Predloga uredbe o zaštiti podataka o ličnosti EU. Takođe je definisano i "brisanje podataka", kao radnja kojom se podaci uništavaju potpuno i trajno, odnosno "anonimizacija podatka",koja predstavlja radnju kojom se podataktrajnočini nedostupnim licu koje nema ovlašćenje da ga obrađuje, posle čega ne postoji mogućnost da se identifikuje lice na koje se podatak odnosi, bez značajnih troškova ili nesrazmernih napora ili znatnog utroška vremena.
Član 4. Nacrta zakona odnosi se na obim njegove primene, kao i na teritorijalnu primenu zakona. Stavom 1. navedenog člana preciziran je član 4. važećeg zakona. Stavom 2. istog člana predviđeno je da će se obrada podataka koja se vrši u svrhu video-nadzora, direktog oglašavanja, pružanja zdravstvenih, odnosno finansijskih usluga preciznije urediti posebnim zakonima, imajući u vidu specičnost ovih radnji obrade. Takođe, zakonom treba urediti i obrade podataka koje se vrše u druge svrhe. Treba napomenuti da je prilikom priprema Nacrta zakona bilo više inicijativa da Nacrt zakona sadrži i rešenja koja će se odnositi na navedene radnje obrade u posebnim oblastima, međutim, imajući u vidu da je Zakon o zaštiti podataka o ličnosti po svojoj prirodi sistemski u ovoj oblasti, ocenjeno je da on treba da sadrži osnovna načela i osnovna pravna pravila vezana za obradu podataka, dok druge specifičnosti vezane za radnje obrade u pojedinoj materiji treba detaljnije urediti posebnim zakonima. Pored toga, navedene oblasti su samo neke od oblasti u kojima se ovakva materija mora zakonski urediti, pa bi bilo necelishodno urediti samo neke od njih u ovom zakonu. Stavom 3. člana 4. Nacrta zakona uređeno je njegovo teritorijalno važenje, što je bio jedan od velikih nedostataka važećeg zakona, čime je prouzrokovana teškoća u primeni prava u slučajevima obrade podataka od strane lica koji nemaju sedište ili prebivalište u Republici Srbiji, što je ujedno predstavljalo i rizik po ostvarivanje prava lica.
Član 5. Nacrta zakona propisuje situacije kada se vrši obrada podataka na koje se zakon ne primenjuje. Odredbe zakona ne primenjuju se na podatke koji su svima dostupni i javno objavljeni, kao i na obradu podataka za porodične ili druge slične potrebe, pri čemu takvi podaci i nisu dostupni trećim licima, što je u skladu sa Direktivom 95/46/EZ i ograničenjem primene u slučaju obrade za "household activities". Istim članom izuzeta je primena odredaba ovog zakona na podatke o ličnosti koji se obrađuju isključivo u svrhe naučnog, književnog ili drugog umetničkog stvaralaštva, čime se uspostavlja ravnoteža između slobode izražavanja i zaštite podataka o ličnosti. Takođe, izuzeta je primena ovog zakona na obradu podataka o ličnostistatističke ili naučnoistraživačke svrhe, naravno pod uslovom da se na osnovu ovakve obrade podataka ne može identifikovati neko lice. Na kraju, primena zakona izuzeta je i u odnosu na podatke koje je lice sposobno da se samo stara o svojim interesima objavilo o sebi.
Glava druga Nacrta zakona (čl. 6. do 24) sadrži odredbe o obradi podataka.
Član 6. Nacrta zakona uređuje kada je obrada podataka uopšte dopuštena. Generalno pravilo je da je obrada podataka dopuštena ako se vrši na osnovu pristanka lica ili ako je to predviđeno zakonom. Pored toga, obrada je dozvoljena ako je njena svrha legitimna i konkretno određena, ako se podaci obrađuju u tačno određenu svrhu u potrebnom vremenskom periodu, ako se vrši pravično i u skladu sa zakonom, odnosno po pristanku, ako je podatak koji se obrađuje uopšte potreban za ostvarenje svrhe obrade, ako su broj i vrsta podataka srazmerni svrsi obrade i ako je podatak koji se obrađuje tačan i potpun. Pored ovih pravila, stav 5. istog člana predviđa i izuzetak od njih, koji je u skladu sa izuzecima predviđenim članom 42. stav 3. Ustava. U st. 6. i 7. istog člana uređuje se situacija kada je svrha obrade već ostvarena, odnosno kada je svrha prestala da postoji. U tom slučaju podaci se brišu, odnosno ne mogu se dalje obrađivati u obliku koji dopušta identifikaciju lica.
Član 7. Nacrta zakona predstavlja opštu odredbu koja se odnosi na dužnost zaštite bezbednosti podataka. Iako drugi članovi Nacrta zakona (čl. 47. do 51) mnogo detaljnije uređuju ovo pitanje, ovaj član (koji predstavlja novinu u odnosu na važeći zakon), propisuje obavezu rukovaoca, obrađivača i primaoca da podatke o ličnosti koje obrađuju zaštite od krađe, brisanja, gubitka, izmene kao i svakog neovlašćenog pristupa. Upravo zbog značaja zaštite bezbednosti podataka o ličnosti, kao jedno od opštih pravila obrade podataka, ova generalna odredba je uneta u Drugu glavu Nacrta zakona, posebno imajući u vidu veliki napredak informacionih tehnologija i sve veći obim obrade podataka u informaciono-komunikacionim sistemima.
Članom 8. Nacrta zakona, za potrebe ovog zakona, bliže je razrađeno Ustavno i opšte načelo ljudskih prava zabrane diskriminacije, čime se obezbeđuje da ostvarivanje i zaštita prava koje pripadaju po ovom zakonune može zavisiti, niti može biti uslovljeno nekim ličnim svojstvima.
U članu 9. Nacrta zakona uređeni suslučajevi kada se prava lica po ovom zakonu mogu izuzetno ograničiti. Istovremeno, navedenim članom uređuje se odnos između prava koja se ostvaruju po ovom zakonu, povrede pretežnijeg interesa zasnovanog na Ustavu, odnosno zakonu, kao i suprotstavljenih interesa između interesa javnosti da zna i interesa zaštite podataka o ličnosti. Kao i prethodni članovi Nacrta zakona (čl. 6. do 8) i ovaj član ima prirodu i značaj opšteg načela.
Članom 10. Nacrta zakona vrši se neophodno usklađivanje sa članom 7. Direktive Evropskog parlamenta i Saveta 95/46EZ, kao i dopuna, odnosno unapređenje člana 12. važećeg zakona. Reč je o slučajevima kada se obrada podataka može vršiti bez pristanka.Pored usklađivanja sa navedenom direktivom, dopunjena je i situacija koja se odnosi na obradu bez pristanka za humanitarne potrebe. Ovakva obrada može da se vrši kada su humanitarne potrebe određene zakonom, kao i ako se podaci već obrađuju u druge svrhe takođe na osnovu zakonskog ovlašćenja od strane organa javne vlasti.
U članu 11. Nacrta zakona uređeni su slučajevi obrade podataka od strane organa vlasti. I ovde važi generalno pravilo da je obrada podataka moguća uz pristanak, pri čemu su navedeni precizni razlozi kada je obrada podataka moguća i bez pristanka lica.
Jedna od značajnih novina Nacrta zakona je detaljno uređeno pitanje poveravanja poslova u vezi sa obradom, odnosno ugovorni odnos između rukovaoca i obrađivača. Članom 12. Nacrta zakona je predviđeno da rukovalac može da poveri obrađivaču poslove u vezi sa obradom ako obrađivač ispunjava uslove koji su neophodni za primenu mera zaštite podataka. U tom slučaju, obrađivač ima iste obaveze povodom obrade kao i rukovalac. Pored toga, predviđena je odgovornost rukovaoca za izbor obrađivača. Ovakva odgovornost rukovaoca je standard zaštite podataka. Međusobna prava i obaveze rukovaoca i obrađivača uređuju se ugovorom. Istim članom predviđana je i mogućnost da pojedine poslove obrađivač može da poveri podobrađivaču, kao i odnos obrađivača i podobrađivača.
Članom 13. predviđeni su uslovi obrade posebnih podataka. Stavom 1. navedenog člana predviđeno je osam situacija u kojima se posebni podaci tokom radnje obrade mogu otkriti trećim licima. To su: ako je reč o javno dostupnim podacima, ako su takve radnje u vezi sa ostvarivanjem ostvarivanjem prava u postupku pred organom vlasti, ako je dat pristanak, ako je radnja obrade predviđena zakonom, ako je to neophodno radi zaštite životno važnih interesa lica (a ono je nesposobno da samostalno izrazi svoj pristanak), ako je obrada podataka o zdravstvenom stanju lica u interesu tog lica, kao što je prevencija ili dijagnostikovanje bolesti ili lečenje lica, ako te podatke obrađuje zdravstveni radnik ili ako je to potrebno da se ostvari svrha delovanja fondacije, udruženja ili druge nedobitne organizacija koja se vezuje sa političkim, verskim,sindikalnim, filozofskim ili sličnim uverenjima, pod tačno određenim uslovima. Stavom 2. istog člana je predviđeno da obradu podataka iz kaznene i prekršajne evidencije, kao i podataka o izrečenim sankcijama prema maloletnicima može vršiti samo rukovalac, obrađivač ili primalac koji je na takvu obradu ovlašćen zakonom. Za razliku od važećeg zakona (član 16. stav 5) stavom 3. člana 13. Nacrta zakona daje se preciznije navođenje sadržine akta Vlade kojim će se urediti čuvanje posebnih podataka kao i mere njihove zaštite. Ovaj podzakonski akt će se doneti uz prethodno pribavljeno mišljenje Poverenika.
Članom 14. Nacrta zakona predviđena je zabrana donošenja odluke koja proizvodi pravne posledice za lice ili pogoršava njegov položaj isključivo na osnovu automatske obrada podataka o ličnosti, što je u skladu sa Konvencijom 108. Saveta Evrope, Direktivom 95/46/EZ, kao i Predlogom opšte uredbe o zaštiti podataka o ličnosti Evropske unije.
U čl. 15. i 16. Nacrta zakona uređeni su pristanak za obradu podataka i opoziv pristanka. Novina je da se pristanak može dati i u elektronskom obliku sa kvalifikovanim elektronskim potpisom lica, imajući u vidu razvoj informacionih tehnologija. Pored toga, kod opoziva pristanka, stavom 4. člana 16. Nacrta zakona, izričito je predviđeno da je obrada podataka nedopuštena posle opoziva pristanka, kao i da se podaci koji su do tada obrađivani na osnovu pristanka moraju brisati.
U čl. 17. do 19. Nacrta zakona uređena je obrada podataka u nekim specifičnim situacijama, kao što je obrada podataka o detetu, odnosno maloletniku, obrada podataka o umrlom licu, kao i situacijama kada rukovalac podataka prestane da postoji.
Članom 17. Nacrta zakona uređena je obrada podataka o detetu, odnosno maloletniku. Imajući u vidu veliki broj zloupotreba podataka o maloletnicima koji se dešavaju u praksi, predviđa se drugačiji režim kada je u pitanju obrada posebnih podataka o maloletniku zbog osetljivosti tih podataka. Ako nisu u pitanju posebni podaci, za obradu ostalih podataka se traži i saglasnost lica koje je starije od 12 godina. Pored toga, stavom 4. člana 17. Nacrta zakona daje se mogućnost svakom licu koje je starije od od 15 godina da može samostalno tražiti zaštitu podataka o ličnosti koji nisu posebni. Ovakva starosna granica je postavljena imajući u vidu da lice sa 15 godina može samostalno vršiti i druge poslove (zasnovati radni odnos i drugo).
Obrada podataka o umrlom licu sadržana je u ovoj glavi (iako Nacrtzakona uređuje obradu podataka živih lica), jer se na taj način uređuje pravna praznina u pogledu pristupa podacima o ličnosti umrlih lica (član 18). Opšti pravni režim je da obrađivanje podataka o nekom licu nije dopušteno posle njegove smrti. Međutim, predviđeni su i izuzeci, a to su slučajevi kada se obrada vrši na osnovu zakona, po prethodnom pristanku umrlog lica, kao i na osnovu pristanka bliskih lica (pod tačno određenim uslovima). U članu 18. stav 4. Nacrta zakona uređena je situacija koja se dešavala u praksi kada se neko od bliskih lica protivi obradi podataka o umrlom licu.
Članom 19. Nacrta zakona uređeno je preuzimanje ovlašćenja i obaveza u vezi sa obradom u slučaju prestanka postojanja rukovaoca. U svim slučajevima, predviđena je obaveza pravnog sledbenika, odnosno drugog lica, da o prestanku postojanja rukovaoca obavesti Poverenika.
Član 20. Nacrta zakona generalno propisuje pravila koja se odnose na prikupljanje podataka. U stavu 1. tog člana je predviđeno da se podaci prikupljaju od lica na koje se odnose, dok su u stavu 2. navedeni slučajevi kada se podaci mogu prikupljati i od drugog lica.
Član 21. Nacrta zakona je veoma značajan, jer predviđa obavezu za rukovaoca, kao i obrađivača da pre prikupljanja podataka o ličnosti upozna lice na koje se podaci odnose (odnosno drugo lice) sa većim brojem informacija koje su u vezi sa obradom, kao što su: identitet, pravni osnov obrade, svrha obrade, davanju pristanka, pravima povodom obrade i drugo. Naravno, u praksi ovo neće uvek biti moguće, zbog čega su precizno propisani izuzeci u kojima takva obaveza rukovaoca ne postoji. To su situacije kada takvo upoznavanje uopšte nije moguće, a naročito ako je obrada propisana zakonom, ako je lice već upoznato o tome ili ako lice na koje se podaci odnose nije dostupno.
Novinu u odnosu na važeće zakonsko rešenje predstavljaju i odredbe koje uređuje ustupanje podataka o ličnosti primaocu (član 22). Osnovno pravilo je da se podaci ustupaju primaocu na njegov pismeni zahtev, koji mora sadržati označenje primaoca, svrhu i pravni osnov za potraživanje podataka, kao i navođenje podataka koji se potražuju. Zbog potrebe prakse, predviđen je izuzetak od ovog pravila, zbog razloga hitnosti, kada je moguće da se podaci ustupe na osnovu usmenog zahteva. Međutim, i u ovom slučaju predviđen je kratak rok za podnošenje naknadnog pismenog zahtevakoji opravdava ustupanje podataka. Pored toga, rukovaoc je u obavezi da vodi posebnu evidenciju o zahtevima primaoca, koja sadrži podatke iz pismenog zahteva, kao i informaciju o tome da li je zahtevu primaoca udovoljeno. Propisan je i poseban rok za čuvanje ovakve evidencije, dok će se podzakonskim aktom bliže propisati obrazac evidencije i način njenog vođenja.
Značajne obaveze rukovaoca predviđene su i u članu 23. Nacrta zakona, a odnose se na podatke o ličnosti koji su netačni, nepotpuni ili neažurni. U tom slučaju, rukovalac je dužan da ovakve podatke bez odlaganja ispravi, upotpuni, odnosno ažurira i da o tome obavesti lice na koje se podaci odnose, kao i primaoca podataka. Pored toga, ako utvrdi da podatke obrađuje bez pravnog osnova, rukovalac je dužan da iz izbriše. Takođe, zbog potreba prakse i u izuzetnim situacijama, kada ovakvo postupanje rukovaoca nije moguće, rukovalac je dužan da podatke označi kao osporene i da privremeno obustavi obradu. Pored toga, i kod ovog izuzetka postoji obaveza obaveštavanja lica na koje se podaci odnose, kao i primaoca podataka.
Novinu u odnosu na važeće zakonsko rešenje predstavljaju i posebne odredbe o naknadi štete (član 24. Nacrta zakona). Lice čije je pravo na zaštitu podataka povređeno ima pravo na naknadu štete, i to kako materijalne, tako i nematerijalne. Predviđa se i mogućnost da se pre podnošenja tužbe sudu, lice koje je učinjena šteta može obratiti rukovaocu, odnosno obrađivaču koji je štetu prouzrokovao, kako bi se izbegli dodatni troškovi. Pored toga, a imajući u vidu da obrađivač ima istu odgovornost za obradu podataka kao i rukovalac, predviđeno je da za štetu odgovaraju solidarno, u cilju olakšanog ostvarivanja naknade za pričinjenu štetu. Takođe, daje se mogućnost i rukovaocu, odnosno obrađivaču da se oslobodi odgovornosti za naknadu štete, ako dokaže da je postupao u skladu sa ovim zakonom, odnosno da je izvršio sve propisane obaveze i preduzeo odgovarajuće mere zaštite podataka.
Glava III.Nacrta zakona – Prava lica i zaštita prava lica (čl. 25. do 45) sadrži tri odeljka: prava lica, ostvarivanje prava lica i zaštita prava lica.
Odeljak Prava lica (čl. 25. do 29.) obuhvata prava lica koja proizilaze iz prava na zaštitu podataka o ličnosti, a to su pravo na obaveštenje o obradi (član25), pravo na uvid i kopiju (član26), pravapovodom izvršenog uvida (član27), kao i odredbe o ograničavanju prava (čl. 28 i 29). Odredbe koje se odnose na pravo na obaveštavanje, pravo na uvid i pravo na kopiju, kao i prava povodom izvršenog uvida (pravo na ispravku, dopunu, ažuriranje, brisanje, kao i prekid, odnosno privremenu obustavu obrade)nisu pretrpele bitnije izmene u odnosu na važeći zakon. Izuzetno, ova prava mogu da se ograniče.Privremeno ograničenje ovih prava (član 28) se odnosi na tajne podatke i traje dok tajnost podataka ne prestane ili se opozove. Pored toga, ako dokument sadrži više podataka, od kojih su samo neki tajni, stavom 4. istog člana je predviđena obaveza rukovaoca da mora postupiti po zahtevu u odnosu na podatke koji nisu tajni. Isto tako, u članu 29. Nacrta zakona predviđeni su slučajevi kada se prava izuzetno mogu ograničiti, ako je to u skladu sa tripartitnim testom dozvoljenosti ograničenja ljudskih prava propisanim Evropskom konvencijom o ljudskim pravima i zajemčenim Ustavom Republike Srbije.Pored toga, prava se mogu ograničiti i ako su podaci javno dostupni, ako lice na koje se podaci odnose zloupotrebljava svoja prava (a naročito ako je već bilo obavešteno, izvršilo uvid ili dobilo kopiju, a u međuvremenu nije došlo do promene podatka), kao i ako bi rukovalac zbog postupanja po zahtevu bio privremeno onemogućen u vršenju poslova iz svog delokruga.
Odeljak Ostvarivanje prava lica (čl. 30. do39. Nacrta zakona) predviđa način postupanja rukovaoca po prijemu zahteva lica radi ostvarivanja prava izvedenih iz prava na zaštitu podataka o ličnosti. Za razliku od važećeg zakona, Nacrtom zakona se ne predviđa obaveza svih rukovalaca da postupaju po pravilima upravnog postupka, a što je predstavljalo prepreku u pravilnom sprovođenju zakona budući da su rukovaoci ne samo organi javne vlasti, neko i preduzetnici ili fizička lica, pa je norma koja nameće obavezu formalnog odlučivanja po pravilima upravnog postupka neefektivna. Kada je u pitanju način ostvarivanja prava, treba istaći da obaveštanje o obradi podataka mora biti u pismenom obliku, da se o izvršenom uvidu u podatke sačinjava beleška, kao i da postoji obaveza rukovaoca da prilikom ostvarivanja prava na kopiju anonimizuje podatke o drugom licu. Pored toga, a s obzirom na to da je pravo na zaštitu podataka o ličnost lično pravo, ostvarivanje prava preko drugih lica uslovljeno je overenim punomoćjem, a ako je punomoćnik advokat onda punomoćje ne mora da bude overeno.Kada je u pitanju taksa, za ostvarivanje prava koje lice ima po ovom zakonu ne plaća se taksa, a rukovalac može da zahteva naknadu samo nužnih troškova izrade i dostavljanja kopije. Zbog ujednačene primene, Vlada će propisati poseban troškovnik za naknadu troškova u postupku pred rukovaocem koji je organ javne vlasti.
Kada je u pitanju odeljak koji se odnosi na zaštitu prava lica (čl. 40. do 45. Nacrta zakona) predviđen je postupak zaštite prava lica pred Poverenikom. Ovaj postupak je poseban upravni postupak, imajući u vidu specifičnost ostvarivanja prava. U ovde se predviđa dvostruki pravni režim, u zavisnosti od toga da li rukiovalac organ javne vlasti ili ne. Ako je rukovalac organ javne vlasti zaštita prava se ostvaruje putem žalbe, a ako nije, Povereniku se može izjaviti pritužba. U ba slučaja, žalba, odnosno pritužba se dostavlja rukovaocu na odgovor, a Poverenik ima rok od 60 dana da donese odluku. Treba napomenuti i da je predviđeno da Poverenik ima ovlšćenje da preduzme radnje koje su neophode da utvrđivanje činjeničnog stanja. U tom smislu, rukovalac je dužan da Povereniku omogući i uvid u podatak, odnosno zbirku podataka radi utvrđivanja činjeničnog stanja. Rešenje Poverenika povodom žalbe, odnosno pritužbe je obavezujuće, konačno i izvršno i protiv njega se može pokrenuti upravni spor.
Glava IV.Nacrta zakona (član 46)uređuje nadležnost Poverenika, kao i odredbe o zameniku poverenika za zaštitu podataka o ličnosti. U odnosu na važeći zakon, Nacrtom zakona se predlaže nekoliko novina u pogledu nadležnosti Poverenika. Jedna od najznačajnijih novina se odnosi na nadležnost Poverenikada daje mišljenje u postupku donošenja zakona i drugih propisa koji uređuju zaštitu podataka o ličnosti, čime se usaglašava nacionalno zakonodavstvo sa Direktivom 95/46/EZ i Predlogom opšte uredbe o zaštiti podataka o ličnosti Evropsk unije. Stavom 2. istog člana izuzeta je nadležnost Poverenika u odnosu na podatke koje obrađuju sudovi u svrhu vođenja sudskih postupaka, s tim što je zakonom istaknuto da se izuzeće od nadležnosti Poverenika odnosi samo u odnosu na zaštitu podataka o ličnosti, a ne na nadležnost Poverenika u odnosu na sudove kao organe javne vlasti u postupku ostvarivanja prava na slobodan pristup informacijama propisane Zakonom o slobodnom pristupu informacijama od javnog značaja. Pored toga, st. 3. do 5. istog člana uređen je položaj zamenika poverenika za zaštitu podataka o ličnosti. Položaj zamenika za zaštitu podataka o ličnosti je izjednačen sa položajem zamenika poverenika koji postupa u skladu sa Zakonom o slobodnom pristupu informacijama od javnog značaja, imajući u vidu da je Poverenik, pored nadležnosti vezanih za zaštitu podataka o ličnosti, nadležan i za postupanje po tom zakonu.
Glava V. Nacrta zakona – Obaveze povodom obrade (čl. 47. do 58) sadrži pet odeljaka i predviđa posebne obaveze rukovalaca u pogledu preduzimanja mera u cilju bezbednosti podataka, određenja lica za zaštitu podataka, vođenja evidencije o obradi, obaveza u povodom provere rizika od povrede bezbednosti podataka, kao i odeljak o Centralnom registru. U skladu sa Predlogom opšte uredbe o zaštiti podataka o ličnosti Evropske unije,predviđene su dodatne obaveze za rukovaoce, odnosno obrađivače.
Prva od ovih obaveza je opšta dužnost preduzimanja tehničkih, kadrovskih i organizacionih mera zaštite bezbednosti podataka, u skladu sa zakonom i postojećim standardima, koja uključuje i upoznavanje zaposlenih sa merama bezbednosti (član 47. Nacrta zakona).
Članom 48. Nacrta zakona propisano je da mere bezbednosti naročito obuhvataju zaštitu prostorija i opreme, zaštitu baza podataka, zaštitu od neovlašćenih radnje obrade, obezbeđenje mogućnosti da se naknadno utvrdi obrađivač, kao i obuku zaposlenih na poslovima obrade podataka.
Pored navedenih obaveza, člnom 49. Nacrta zakona propisana je i obaveza obaveštavanje o povredi bezbednosti podataka. U slučaju da je povređena bezbednost podataka, obrađivač podataka je dužan da o tome odmah obavesti rukovaoca. Rukovalac je u obavezi da najkasnije u roku od 72 časa od saznanja za povredu bezbednosti o tome obavesti Poverenika, kao i lice na koje se podaci odnose. U slučaju da je došlo do povrede bezbednosti podataka velikog broja lica, ovakvo obaveštenje može biti javno, putem medija. Sadržina obaveštenjaje propisana u st. 3. i 5. ovog člana, a obrazac obaveštenja će propisati Poverenik.
Prema članu 50. Nacrta zakona rukovalac, odnosno obrađivač je dužan da pre započinjanja obrade izvrši prethodnu procenu rizika od povrede bezbednosti podataka i o tome donese odgovarajući akt koji sadrži opis predviđenih radnji obrade, procenu rizika, kao i opis planiranih mera bezbednosti. Akt o proceni rizika dostavlja se Povereniku.
Rukovalac koji je organ vlasti, rukovalac koji obrađuje posebne podatke, kao i rukovalac čija se poslovna delatnost sastoji u obradi podataka dužni su da donesu i opšti akt o zaštiti podataka (član 51. Nacrta zakona). Opšti akt, pored mera bezbednosti koje će se sprovoditi, treba da sadrži i odredbe o pravima lica na koje se podaci o ličnosti odnose, kao i način ostvarivanja njihovih prava.
Značajnu novinu u Nacrtu zakona predstavlja i obaveza da rukovalac mora da odredi jedno ili više lica koji će obavljati poslove zaštite podataka. To lice može biti zaposleno kod rukovaoca, a može biti angažovano i po osnovu ugovora. Lice za zaštitu podataka mora imati potrebno stručno znanje, ne može biti istovremeno i obrađivač i neposredno je odgovorno rukovaocu. Svoja ovlašćenja ovakvo lice mora vršiti nezavisno i samostalno i ne sme trpeti štetne posledice ako svoja ovlašćenja vrši u skladu sa zakonom. Pri tome, rukovalac je dužanda obezbedi odgovarajuće stručno znanje neophodno za obavljanje poslova zaštite podataka.Kontakt podaci lica za zaštitu podataka se dostavljaju Povereniku.
Ovlašćenja i poslovi lica za zaštitu podataka propisani su u članu 53. Nacrta zakona. Jedna vrsta poslova je vezana za unapređenje zaštite podataka kod rukovaoca (izrada opšteg akta, staranje o vođenju evidencije o obradi,kao i učešće u obuci zaposlenih), druga da obaveštavaju lica na koja se podaci odnose o ostvarivanju njihovih prava, dok je treća vrsta poslova vezana sa saradnju sa Poverenikom.
Treći odeljak ove glave se odnosi na vođenje evidencije o obradi. U članu 54. Nacrta zakona predviđena je sadržina evidencije o obradi, koju je rukovalac dužan da obrazuje i vodi, dok će obrazac te evidencije propisati Poverenik. Rukovalac je dužan i da ažurira evideniju. Pored toga, članom 54. Nacrta zakona je predviđeno da je rukovalac dužan da Povereniku dostavi podatke o vođenju evidencije, kao i o promenama u evidenciji.
U četvrtom odeljku ove glave je uređena provera rizika od povrede bezbednosti podataka (čl. 56. i 57. Nacrta zakona). Rukovalac je dužan da obavesti Poverenika o nameri započinjanja obrade, odnosno uspostavljanja zbirke podataka. Uz obaveštenje dostavlja se i akt o proceni rizika. Po prijemu obaveštenja Poverenik proverava da li postoji rizik od povrede bezbednosti podataka, a ako utvrdi da rizik postoji, Poverenik ima ovlašćenje da privremeno zabrani obradu podataka i da naloži rukovaocu da otkloni nedostatke u aktu o proceni rizika. Ako rukovalac to ne učini, Poverenik zabranjuje obradu, odnosno uspostavljanje zbirke podataka.
Peti odeljak ove glaveposvećen je Centralnom registru (član 58. Nacrta zakona). Centralni registar je javni registar o evidencijama o obradi, odnosno uspostavljenim zbirkama podataka. Kao i u važećem zakonu, Centralni registar uspostavlja i vodi Poverenik. On je javno dostupan putem interneta.
Glava VI. – Iznošenje podataka iz Republike Srbije (član 59. i60. Nacrta zakona) precizno i na nov način uređuje iznošenja podataka o ličnosti iz Republike Srbije, za razliku od važećeg zakona, jer je zbog nedostatka jasnih zakonskih odredaba upravo ovo pitanje predstavljalo jednu od najvećih prepreka u njegovoj primeni. Član 59. Nacrta zakona je odredba opšteg karaktera, kojom se iznošenje podataka u drugu državu, odnosno međunarodnu organizaciju moguće ako je to predviđeno zakonom ili potvrđenim međunarodnim ugovorom, kao i ako je ta druga država strana ugovornica potvrđenog međunarodnog ugovora koji se odnosi na zaštitu ili razmenu podataka. Pored toga, članom 60. Nacrta zakona predviđene su i druge mogućnosti kada se podaci, odnosno zbirke podataka mogu iznositi iz Republike Srbije. To su sledeći slučajevi: ako postoji nesumnjiv pristanak lica; ako je iznošenjeneophodnouciljuizvršenjaugovorakojijezaključenizmeđulicairukovaoca, odnosnoizvršenjapredugovornihobavezakojezahtevalice na koje se podaci odnose; ako jeiznošenjeneophodnouciljuzaključenjailiizvršenjaugovorazaključenogizmeđurukovaocaitreće strane ukoristlicana koje se podaci odnose; akojeiznošenjeneohodnoilipostojipravnaobavezaiznošenjauciljuzaštitejavnihinteresa a naročito u cilju zaštite nacionalne i javne bezbednosti, odbrane,važnih ekonomskih ili finansijskih interesa države, sprečavanja, otkrivanja i gonjenja učinilaca krivičnih dela ili zbog zaštite prava i sloboda lica na koje se podaci odnose ili drugih lica; ako seiznosepodaciizjavnogregistrakojisudostupnisvima i ako se iznošenje vrši na osnovu ugovora koji je zaključio rukovalac koji ima prebivalište, odnosno sedište u Republici Srbiji sa rukovaocem, obrađivačem, odnosno primaocem koji ima prebivalište, odnosno sedište izvan Republike Srbije, kojim se predviđa primena ovog zakona na ugovorni odnos, uključujući i nadležnost organa Republike Srbije u pogledu zaštite podataka koji se iznose. Treba napomenuti da postoji i obaveza obaveštenja Poverenika, kao i lica na koje se podaci odnose da su podaci izneti iz Republike Srbije, koji imaju mogućnost da izvrše nadzor nad takvim iznošenjem podataka (u skladu sa odredbama ovog zakona kojim je uređen nadzor), odnosno da pokrenu postupak za zaštitu svojih prava.
Glava VII.– Nadzor (čl. 61. do64.Nacrta zakona) predviđa da Poverenik vrši poslove nadzora nad sprovođenjem zakona preko ovlašćenih lica. Ovlašćeno lice svoje ovlašćenje dokazuje odgovarajućom službenom legitimacijomkoja sadrži njegovo lično ime, fotografiju i broj službene legitimacije. Ovlašćenja Poverenika povodom izvršenog nadzora (član62. Nacrta zakona) su u skladu sa nadležnostima i ovlašćenjima nezavisnog organa za zaštitu podataka o ličnosti propisanim odredbama Konvencije 108. Saveta Evrope, kao i Direktivom 95/46/EZ i Predlogom opšte uredbe o zaštiti podataka o ličnosti EU (Glava IV). Ovlašćenja Poverenika povodom izvršenog nadzora, u odnosu na važeći zakon, potpunije su uređena. Tako, Poverenik ne samo da može da upozori rukovaoca na utvrđene nepravilnosti u obradi podataka, nego može i da naredi da se nepravilnosti otklone u primerenom roku, privremeno ili trajno zabrani obradu podataka o ličnosti (do sada je mogao samo privremeno da zabrani), naloži brisanje podataka, kao i da odredi dalje postupanje sa podacima (do sada nije imao ovo ovlašćenje). Rešenje Poverenika doneto povodom izvršenog nadzora je konačno, izvršno i obavezujuće, i ne može se pobijati žalbom, već se može pokrenuti upravni spor. Novinu predstavlja i to da Poverenik svojim rešenjem određuje inačin sprovođenja donetog rešenja.
Imajući u vidu da ovlašćena lica prilikom vršenja nadzora nad sprovođenjem ovog zakona imaju sva ovlašćenja koja su već predviđenakao ovlašćenja inspektora u Zakonu o inspekcijskom nadzoru ("Službeni glasnik RS", broj 36/15), da je tim zakonom detaljno uređen postupak nadzora, obaveze nadziranog subjekta, kao i sva druga pitanja koja su od značaja za inspekcijski nadzor, članom 63. Nacrta zakona je predviđena primena tog zakona u postupku vršenja nadzora nad sprovođenjem Zakona o zaštiti podataka o ličnosti.
Kaznene odredbe predviđene su Glavom VIII. (član 64. Nacrta zakona). Predviđa se 30 različitih prekršaja zbog povreda zakona. Za sve prekršaje predviđena je novčana kazna u rasponu predviđenim Zakonom o prekršajima.Za propisane prekršaje mogu da odgovaraju rukovalac, obrađivač, kao i primalac podatka o ličnosti. Pored toga, u skladu sa Zakonom o prekršajima, za propisane prekršaje mogu da odgovaraju i preduzetnik, fizičko lice, kao i odgovorno lice u pravnom licu, državnom organu, organu teritorijalne autonomije i jedinici lokalne samouprave, odnosno odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica. Kao poseban prekršaj je propisan slučaj kada lice za obavljanja poslove zaštite podataka ne čuva podatke koje sazna tokom obavljanja poslova kao profesionalnu tajnu.
Završni deo Nacrta zakona (Glava IX)sadrži njegove prelazne i završne odredbe(čl. 65. do 69. Nacrta zakona).
Članom 65. Nacrta zakona predviđena je primena Zakona o slobodnom pristupu informacijama od javnog značaja na sedište Poverenika, izbor, prestanak mandata, postupak razrešenja, položaj Poverenika, njegovu stručnu službu, finansiranje i podnošenje izveštaja, s obzirom da su ta pitanja uređena navedenim zakonom. Pored toga, a imajući u vidu da Poverenik ima svog zamenika za zaštitu podataka o ličnosti, predviđeno je da taj zamenik nastavlja da vrši svoju dužnost do isteka mandanata za koji je izabran.
Članom 66. Nacrta zakona predviđeno je da se na postupke po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, a koji nisu okončani do dana stupanja na snagu zakona, primenjuju odredbe važećeg Zakona o zaštiti podataka o ličnosti.
Članom 67. Nacrta zakona predviđeno je da se podzakonski akti čije donošenje zakon predviđa za njegovu primenu donesu u roku od godinu dana od dana stupanja na snagu zakona, a da se do njihovog usvajanja primenjuju podzakonski akti koji su doneti na osnovu važećeg Zakona o zaštiti podataka o ličnosti.
Završnim odredbama Nacrta zakona (čl. 68. i 69) predviđeno je stavljanje van snage važećeg zakona (Zakon o zaštiti podataka o ličnosti - "Službeni glasnik RS", br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12), kao i da ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
Izvor: Redakcija, 07.03.2017.