ZAKON O ZAŠTITI PODATAKA O LIČNOSTI
("Sl. glasnik RS", br. 87/2018)
I OSNOVNE ODREDBE
Predmet zakona
Član 1
Ovim zakonom uređuje se pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodni protok takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebni slučajevi obrade.
Ovim zakonom uređuje se i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka.
Cilj zakona
Član 2
Ovim zakonom se obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.
Odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim zakonom.
Primena
Član 3
Ovaj zakon primenjuje se na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka.
Ovaj zakon ne primenjuje se na obradu podataka o ličnosti koju vrši fizičko lice za lične potrebe, odnosno potrebe svog domaćinstva.
Ovaj zakon primenjuje se na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije.
Ovaj zakon primenjuje se na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za:
1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.
Značenje izraza
Član 4
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
1) "podatak o ličnosti" je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;
2) "lice na koje se podaci odnose" je fizičko lice čiji se podaci o ličnosti obrađuju;
3) "obrada podataka o ličnosti" je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada);
4) "ograničavanje obrade" je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti;
5) "profilisanje" je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;
6) "pseudonimizacija" je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;
7) "zbirka podataka" je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama;
8) "rukovalac" je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje;
9) "obrađivač" je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca;
10) "primalac" je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;
11) "treća strana" je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača;
12) "pristanak" lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;
13) "povreda podataka o ličnosti" je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;
14) "genetski podatak" je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla;
15) "biometrijski podatak" je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;
16) "podaci o zdravlju" su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju;
17) "predstavnik" je fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa članom 44. ovog zakona ovlašćeno da predstavlja rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom;
18) "privredni subjekat" je fizičko ili pravno lice koje obavlja privrednu delatnost, bez obzira na njegov pravni oblik, uključujući i ortačko društvo ili udruženje koje redovno obavlja privrednu delatnost;
19) "multinacionalna kompanija" je privredni subjekat koji je kontrolni osnivač ili kontrolni član privrednog subjekta, odnosno osnivač ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi njegovo sedište, kao i privredni subjekat sa značajnim učešćem u privrednom subjektu, odnosno u osnivaču ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi sedište multinacionalne kompanije, u skladu sa zakonom kojim se uređuju privredna društva;
20) "grupa privrednih subjekata" je grupa povezanih privrednih subjekata, u skladu sa zakonom kojim se uređuje povezivanje privrednih subjekata;
21) "obavezujuća poslovna pravila" su interna pravila o zaštiti podataka o ličnosti koja su usvojena i koja se primenjuju od strane rukovaoca, odnosno obrađivača, sa prebivalištem ili boravištem, odnosno sedištem na teritoriji Republike Srbije, u svrhu regulisanja prenošenja podataka o ličnosti rukovaocu ili obrađivaču u jednoj ili više država unutar multinacionalne kompanije ili grupe privrednih subjekata;
22) "Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)" je nezavisan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadzor nad sprovođenjem ovog zakona i obavljanje drugih poslova propisanih zakonom;
23) "usluga informacionog društva" je svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektronskim sredstvima na zahtev primaoca usluga;
24) "međunarodna organizacija" je organizacija ili njeno telo koje uređuje međunarodno javno pravo, kao i bilo koje drugo telo ustanovljeno sporazumom ili na osnovu sporazuma između država;
25) "organ vlasti" je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;
26) "nadležni organi" su:
II NAČELA
Načela obrade
Član 5
Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose ("zakonitost, poštenje i transparentnost"). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama ("ograničenje u odnosu na svrhu obrade");
3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade ("minimizacija podataka");
4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave ("tačnost");
5) se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade ("ograničenje čuvanja");
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera ("integritet i poverljivost").
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu ("odgovornost za postupanje").
Obrada u druge svrhe
Član 6
Izuzetno od člana 5. stav 1. tačka 2) ovog zakona, ako se dalja obrada vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, u skladu sa ovim zakonom, smatra se da se podaci o ličnosti ne obrađuju na način koji nije u skladu sa prvobitnom svrhom.
Ako obrada u svrhu koja je različita od svrhe za koju su podaci prikupljeni nije zasnovana na zakonu koji propisuje neophodne i srazmerne mere u demokratskom društvu radi zaštite ciljeva iz člana 40. stav 1. ovog zakona, ili na pristanku lica na koje se podaci odnose, rukovalac je dužan da oceni da li je ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni, posebno uzimajući u obzir:
1) da li postoji veza između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade;
2) okolnosti u kojima su podaci prikupljeni, uključujući i odnos između rukovaoca i lica na koje se podaci odnose;
3) prirodu podataka, a posebno da li se obrađuju posebne vrste podataka o ličnosti iz člana 17. ovog zakona, odnosno podaci o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona;
4) moguće posledice dalje obrade za lice na koje se podaci odnose;
5) primenu odgovarajućih mera zaštite, kao što su kriptozaštita i pseudonimizacija.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti (u daljem tekstu: u posebne svrhe).
Obrada u druge svrhe od strane nadležnih organa
Član 7
Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od svrhe za koju su podaci prikupljeni, osim ako je ta dalja obrada propisana zakonom.
Obrada koju vrše nadležni organi u posebne svrhe, koje su različite od svrhe za koji su podaci o ličnosti prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:
1) rukovalac je ovlašćen da obrađuje te podatke o ličnosti u takve druge svrhe, u skladu sa zakonom;
2) obrada je neophodna i srazmerna toj drugoj svrsi, u skladu sa zakonom.
Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja u posebnim slučajevima
Član 8
Izuzetno od člana 5. stav 1. tačka 5) ovog zakona, podaci o ličnosti koji se obrađuju isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, mogu se čuvati i u dužem roku, uz poštovanje odredaba ovog zakona o primeni odgovarajućih tehničkih, organizacionih i kadrovskih mera, a u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, mora se odrediti rok kada će se ti podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.
Ako rok iz st. 1. i 2. ovog člana nije određen zakonom, određuje ga rukovalac.
Poverenik nadzire poštovanje rokova iz st. 1. do 3. ovog člana u skladu sa svojim ovlašćenjima propisanim ovim zakonom.
Razlikovanje pojedinih vrsta lica na koje se podaci odnose
Član 9
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:
1) lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;
2) lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;
3) lica koja su osuđena za krivična dela;
4) lica oštećena krivičnim delom ili lica za koja se pretpostavlja da bi mogla biti oštećena krivičnim delom;
5) druga lica koja su u vezi sa krivičnim delom, kao što su svedoci, lica koja mogu da obezbede informacije o krivičnom delu, povezana lica ili saradnici lica iz tač. 1) do 3) ovog člana.
Razlikovanje pojedinih vrsta podataka o ličnosti
Član 10
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni.
Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade koju vrše nadležni organi u posebne svrhe
Član 11
Nadležni organi koji obrađuju podatke o ličnosti u posebne svrhe su dužni da korišćenjem razumnih mera obezbede da se netačni, nepotpuni i neažurirani podaci o ličnosti ne prenose, odnosno da ne budu dostupni.
Tačnost, potpunost i ažuriranost podataka o ličnosti nadležni organi proveravaju, u meri u kojoj je to moguće, pre započinjanja prenosa, odnosno pre nego što se ti podaci učine dostupnim.
Nadležni organ koji drugom nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti, proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o ažuriranosti tih podataka.
Ako su preneti netačni podaci o ličnosti, odnosno ako su podaci o ličnosti preneti nezakonito, nadležni organ kome su podaci preneti o tome se mora obavestiti bez odlaganja, a podaci o ličnosti koji su preneti moraju biti ispravljeni ili izbrisani, odnosno njihova obrada mora biti ograničena u skladu sa ovim zakonom.
Ako se za obradu zakonom zahtevaju posebni uslovi, nadležni organ koji prenosi podatke o ličnosti dužan je da upozna primaoca podataka sa tim posebnim uslovima, kao i obavezom njihovog ispunjenja.
Zakonitost obrade
Član 12
Obrada je zakonita samo ako je ispunjen jedan od sledećih uslova:
1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ vlasti u okviru svoje nadležnosti.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Zakonitost obrade koju vrše nadležni organi u posebne svrhe
Član 13
Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade.
Zakonitost obrade u posebnim slučajevima
Član 14
Osnov za obradu iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom.
Ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom se određuje i svrha obrade, a ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom se propisuje da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Zakonom iz stava 1. ovog člana propisuje se javni interes koji se namerava ostvariti, kao i obaveza poštovanja pravila o srazmernosti obrade u odnosu na cilj koji se namerava ostvariti, a mogu se propisati i uslovi za dozvoljenost obrade od strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose, lica kojima se podaci mogu otkriti i svrha njihovog otkrivanja, ograničenja koja se odnose na svrhu obrade, rok pohranjivanja i čuvanja podataka, kao i druge posebne radnje i postupak obrade, uključujući i mere za obezbeđivanje zakonite i poštene obrade.
Pristanak
Član 15
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti.
Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.
Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva
Član 16
Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.
Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka iz stava 1. ovog člana pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.
Obrada posebnih vrsta podataka o ličnosti
Član 17
Zabranjena je obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
Izuzetno, obrada iz stava 1. ovog člana dopuštena je u sledećim slučajevima:
1) lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka;
2) obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
6) obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad sud postupa u okviru svoje nadležnosti;
7) obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je takva obrada srazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;
8) obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisane zakonom ili profesionalnim pravilima;
9) obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje odgovarajuće i posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u pogledu čuvanja profesionalne tajne;
10) obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obrada posebnih vrsta podataka o ličnosti koju vrše nadležni organi u posebne svrhe
Član 18
Obrada koju vrše nadležni organi u posebne svrhe, kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica, dopuštena je samo ako je to neophodno, uz primenu odgovarajućih mera zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:
1) nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;
2) obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
3) obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti.
Obrada u vezi sa krivičnim presudama i kažnjivim delima
Član 19
Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog organa.
Obrada koja ne zahteva identifikaciju
Član 20
Ako za ostvarivanje svrhe obrade nije potrebno, odnosno više nije potrebno da rukovalac identifikuje lice na koje se podaci odnose, rukovalac nije dužan da zadrži, pribavi ili obradi dodatne informacije radi identifikacije tog lica samo u cilju primene ovog zakona.
Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje lice na koje se podaci odnose, dužan je da o tome na odgovarajući način informiše to lice, ako je to moguće.
U slučaju iz st. 1. i 2. ovog člana ne primenjuju se odredbe člana 26. st. 1. do 4, člana 29, člana 30. st. 1. do 5, člana 31. st. 1. do 3, člana 33. st. 1. i 2. i člana 36. st. 1. do 4. ovog zakona, osim ako lice na koje se podaci odnose, u cilju ostvarivanja prava iz tih članova, dostavi dodatne informacije koje omogućavaju njegovu identifikaciju.
Odredbe st. 2. i 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
III PRAVA LICA NA KOJE SE PODACI ODNOSE
Transparentne informacije, informisanje i načini ostvarivanja prava lica na koje se podaci odnose
Član 21
Rukovalac je dužan da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Te informacije pružaju se u pismenom ili drugom obliku, uključujući i elektronski oblik, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona. U slučajevima iz člana 20. st. 2. i 3. ovog zakona, rukovalac ne može odbiti da postupi po zahtevu lica na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, osim ako rukovalac predoči da nije u mogućnosti da identifikuje lice.
Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Rukovalac pruža informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, rukovalac može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta lica, što ne isključuje primenu člana 20. ovog zakona.
Informacije koje se pružaju licima na koje se podaci odnose u skladu sa čl. 23. i 24. ovog zakona mogu se pružiti u kombinaciji sa standardizovanim ikonama prikazanim u elektronskom obliku kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Mora se obezbediti da standardizovane ikone prikazane u elektronskom obliku budu čitljive na elektronskom uređaju.
Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u elektronskom obliku i uređuje postupak za njihovo utvrđivanje.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informisanje i načini ostvarivanja prava lica na koje se odnose podaci ako obradu vrše nadležni organi u posebne svrhe
Član 22
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da preduzme razumne mere da bi licu na koje se podaci odnose pružio sve informacije iz člana 25. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona, na sažet, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči. Te informacije se pružaju na bilo koji primeren način, uključujući i elektronskim putem. Po pravilu, rukovalac pruža informacije u obliku u kojem je sadržan zahtev lica na koje se podaci odnose.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz čl. 27, 28, 32, 34, 35. i 39. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose bez odlaganja u pismenom obliku pruži informacije o postupanju po njegovom zahtevu.
Rukovalac pruža informacije iz člana 25. ovog zakona i postupa u skladu sa čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, nadležni organ može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 27. ili člana 32. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta tog lica.
Informacije koje se pružaju kad se podaci o ličnosti prikupljaju od lica na koje se odnose
Član 23
Ako se podaci o ličnosti prikupljaju od lica na koje se odnose, rukovalac je dužan da u trenutku prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana 12. stav 1. tačka 6) ovog zakona;
5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ta država ili međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i o načinu na koji se lice na koje se podaci odnose može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da u trenutku prikupljanja podataka o ličnosti licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i transparentna obrada u odnosu na to lice:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
2) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka;
3) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
4) o pravu da se podnese pritužba Povereniku;
5) o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima obavezu da da podatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju;
6) o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako rukovalac namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana.
Ako je lice na koje se podaci odnose već upoznato sa nekom od informacija iz st. 1. do 3. ovog člana, rukovalac nema obavezu pružanja tih informacija.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informacije koje se pružaju kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose
Član 24
Ako se podaci o ličnosti ne prikupljaju od lica na koje se odnose, rukovalac je dužan da licu na koje se podaci odnose pruži sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade i pravnom osnovu za obradu;
4) o vrsti podataka koji se obrađuju;
5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju, kao i o tome da li se ova država, odnosno međunarodna organizacija nalazi na listi iz člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. 65. i 67. ili člana 69. stav 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i načinu na koji se lice može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i transparentna obrada u odnosu na lice na koje se podaci odnose:
1) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
2) o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana 12. stav 1. tačka 6) ovog zakona;
3) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o njegovoj ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na prenosivost podataka;
4) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
5) o pravu da se podnese pritužba Povereniku;
6) o izvoru iz kog potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora;
7) o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Rukovalac je dužan da informacije iz st. 1. i 2. ovog člana pruži:
1) u razumnom roku posle prikupljanja podataka o ličnosti, a najkasnije u roku od 30 dana, uzimajući u obzir sve posebne okolnosti obrade;
2) najkasnije prilikom uspostavljanja prve komunikacije, ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose;
3) najkasnije prilikom prvog otkrivanja podataka o ličnosti, ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu.
Ako rukovalac namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog člana.
Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz st. 1. do 4. ovog člana ako:
1) lice na koje se podaci o ličnosti odnose već ima te informacije;
2) je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, a naročito u slučaju obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, ako se primenjuju uslovi i mere iz člana 92. stav 1. ovog zakona ili ako je verovatno da bi izvršenje obaveza iz stava 1. ovog člana onemogućilo ili bitno otežalo ostvarivanje svrhe obrade. U tim slučajevima rukovalac je dužan da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, što uključuje i javno objavljivanje informacija;
3) je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose;
4) se poverljivost podataka o ličnosti mora čuvati u skladu sa obavezom čuvanja profesionalne tajne koja je propisana zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.
Informacije koje se stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose, ako obradu vrše nadležni organi u posebne svrhe
Član 25
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da licu na koje se podaci o ličnosti odnose stavi na raspolaganje najmanje sledeće informacije:
1) o identitetu i kontakt podacima rukovaoca;
2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
3) o svrsi nameravane obrade;
4) o pravu da se podnese pritužba Povereniku i kontakt podatke Poverenika;
5) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade tih podataka.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose, da bi mu se u određenim slučajevima omogućilo ostvarivanje njegovih prava, pruži sledeće dodatne informacije:
1) o pravnom osnovu za obradu;
2) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
3) o grupi primalaca podataka o ličnosti, ako oni postoje, uključujući i one u drugim državama ili međunarodnim organizacijama;
4) druge podatke, ako je to neophodno, a posebno ako su podaci o ličnosti prikupljeni bez znanja lica na koje se odnose.
Informacije iz stava 2. ovog člana koje se odnose na pojedine vrste obrade mogu se uskratiti, odnosno pružiti ograničeno ili odloženo licu na koje se podaci o ličnosti odnose, samo u onoj meri i u onom trajanju dok je to neophodno i srazmerno u demokratskom društvu u odnosu na poštovanje osnovnih prava i legitimnih interesa fizičkih lica, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 3. ovog člana.
Pravo lica na koje se podaci o ličnosti odnose na pristup
Član 26
Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:
1) o svrsi obrade;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog roka;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, prava na ograničenje obrade i prava na prigovor na obradu;
6) o pravu da se podnese pritužba Povereniku;
7) dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na koje se odnose;
8) o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako se podaci o ličnosti prenose u drugu državu ili međunarodnu organizaciju, lice na koje se odnose ima pravo da bude informisano o odgovarajućim merama zaštite koje se odnose na prenos, u skladu sa članom 65. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje. Rukovalac može da zahteva naknadu nužnih troškova za izradu dodatnih kopija koje zahteva lice na koje se podaci odnose. Ako se zahtev za kopiju dostavlja elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je lice na koje se podaci odnose zahtevalo drugačije dostavljanje.
Ostvarivanje prava i sloboda drugih lica ne može se ugroziti ostvarivanjem prava na dostavljanje kopije iz stava 3. ovog člana.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo lica na koje se odnose podaci na pristup podacima koje obrađuju nadležni organi u posebne svrhe
Član 27
Ako podatke o ličnosti obrađuju nadležni organi u posebne svrhe, lice na koje se podaci odnose ima pravo da od rukovaoca dobije informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:
1) o svrsi obrade i pravnom osnovu za obradu;
2) o vrstama podataka o ličnosti koji se obrađuju;
3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;
4) o predviđenom roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za određivanje tog roka;
5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, odnosno prava na ograničenje obrade tih podataka;
6) o pravu da se podnese pritužba Povereniku, kao i kontakt podacima Poverenika;
7) informacije o podacima o ličnosti koji se obrađuju, kao i dostupne informacije o njihovom izvoru.
Ograničenje prava na pristup
Član 28
Pravo na pristup iz člana 27. ovog zakona može se ograničiti, u celini ili delimično, samo u onoj meri i u onom trajanju u kome je takvo delimično ili potpuno ograničenje neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 1. ovog člana.
Rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose da je pristup njegovim podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana.
Rukovalac nije dužan da postupi u skladu sa stavom 3. ovog člana ako bi se time dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen.
U slučaju iz stava 4. ovog člana, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju prava iz stava 1. ovog člana, koji moraju biti stavljeni na raspolaganje Povereniku, na njegov zahtev.
Pravo na ispravku i dopunu
Član 29
Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.
Pravo na brisanje podataka o ličnosti
Član 30
Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca.
Rukovalac je dužan da bez nepotrebnog odlaganja podatke iz stava 1. ovog člana izbriše u sledećim slučajevima:
1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
2) lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona, a nema drugog pravnog osnova za obradu;
3) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa:
4) podaci o ličnosti su nezakonito obrađivani;
5) podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza rukovaoca;
6) podaci o ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva iz člana 16. stav 1. ovog zakona.
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke u skladu sa stavom 1. ovog člana obuhvata i preduzimanje svih razumnih mera, uključujući i tehničke mere, u skladu sa dostupnim tehnologijama i mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih rukovaoca koji te podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.
Lice na koje se podaci odnose podnosi zahtev za ostvarivanje prava iz stava 1. ovog člana rukovaocu.
Stavovi 1. do 3. ovog člana ne primenjuju se u meri u kojoj je obrada neophodna zbog:
1) ostvarivanja slobode izražavanja i informisanja;
2) poštovanja zakonske obaveze rukovaoca kojom se zahteva obrada ili izvršenja poslova u javnom interesu ili izvršenja službenih ovlašćenja rukovaoca;
3) ostvarivanja javnog interesa u oblasti javnog zdravlja, u skladu sa članom 17. stav 2. tač. 8) i 9) ovog zakona;
4) svrhe arhiviranja u javnom interesu, svrhe naučnog ili istorijskog istraživanja, kao i statističke svrhe u skladu sa članom 92. stav 1. ovog zakona, a opravdano se očekuje da bi ostvarivanje prava iz st. 1. i 2. ovog člana moglo da onemogući ili bitno ugrozi ostvarivanje ciljeva te svrhe;
5) podnošenja, ostvarivanja ili odbrane pravnog zahteva.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo na ograničenje obrade
Član 31
Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca ako je ispunjen jedan od sledećih slučajeva:
1) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti;
2) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;
3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
4) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. ovog zakona, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, ti podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose, osim ako se radi o njihovom pohranjivanju ili u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili zbog zaštite prava drugih fizičkih, odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Odredbe st. 1. do 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo na brisanje ili ograničenje obrade koju vrše nadležni organi u posebne svrhe
Član 32
Ako obradu vrše nadležni organi u posebne svrhe, lice na koje se oni odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca, a rukovalac je dužan da bez nepotrebnog odlaganja izbriše te podatke ako su obradom povređene odredbe čl. 5, 13. i 18. ovog zakona ili ako podaci o ličnosti moraju biti izbrisani zbog ispunjenja zakonske obaveze rukovaoca.
Rukovalac je dužan da ograniči obradu, umesto da izbriše podatke o ličnosti, ako se radi o jednom od sledećih slučajeva:
1) tačnost podataka o ličnosti je osporena od strane lica na koje se podaci odnose, a njihova tačnost, odnosno netačnost se ne može utvrditi;
2) podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja dokaza.
Ako je obrada ograničena u skladu sa stavom 2. tačka 1) ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade
Član 33
Rukovalac je dužan da obavesti sve primaoce kojima su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade u skladu sa članom 29, članom 30. stav 1. i članom 31. ovog zakona, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava.
Rukovalac je dužan da lice na koje se podaci odnose, na njegov zahtev, informiše o svim primaocima iz stava 1. ovog člana.
Odredbe st. 1. do 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade koju vrše nadležni organi u posebne svrhe
Član 34
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose o odbijanju ispravljanja ili brisanja njegovih podataka o ličnosti, odnosno ograničavanju obrade, kao i o razlozima za to odbijanje ili ograničavanje.
Rukovalac se potpuno ili delimično oslobađa obaveze obaveštavanja iz stava 1. ovog člana u onoj meri u kojoj takvo ograničenje predstavlja neophodnu i srazmernu meru u demokratskom društvu, uz dužno poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:
1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;
3) zaštitila javna bezbednost;
4) zaštitila nacionalna bezbednost i odbrana;
5) zaštitila prava i slobode drugih lica.
U slučaju iz st. 1. i 2. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da o ispravci netačnih podataka obavesti nadležni organ od koga su ovi podaci dobijeni.
Ako su podaci o ličnosti ispravljeni, izbrisani ili je njihova obrada ograničena u skladu sa članom 29. i članom 32. st. 1. i 2. ovog zakona, rukovalac je dužan da primaoce tih podataka obavesti o njihovoj ispravci, brisanju ili ograničenju obrade.
Primaoci podataka koji su obavešteni u skladu sa stavom 5. ovog člana dužni su da podatke koji se kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu.
Ostvarivanje prava lica na koje se odnose podaci kada obradu vrše nadležni organi u posebne svrhe i provera Poverenika
Član 35
U slučajevima iz člana 25. stav 3, člana 28. st. 3. i 4. i člana 34. stav 2. ovog zakona, prava lica na koje se odnose podaci mogu se ostvariti i preko Poverenika, u skladu sa njegovim ovlašćenjima propisanim ovim zakonom.
Rukovalac je dužan da obavesti lice na koje se podaci odnose da u slučajevima iz stava 1. ovog člana može da ostvari svoja prava preko Poverenika.
Ako se, u slučajevima iz stava 1. ovog člana, prava lica na koje se podaci odnose ostvaruju preko Poverenika, Poverenik je dužan da obavesti to lice najmanje o tome da je izvršena provera i nadzor nad obradom njegovih podataka o ličnosti, kao i o pravu da se za zaštitu svojih prava može obratiti sudu.
Pravo na prenosivost podataka
Član 36
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, ako su zajedno ispunjeni sledeći uslovi:
1) obrada je zasnovana na pristanku u skladu sa članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona ili na osnovu ugovora, u skladu sa članom 12. stav 1. tačka 2) ovog zakona;
2) obrada se vrši automatizovano.
Pravo iz stava 1. ovog člana obuhvata i pravo lica da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to tehnički izvodljivo.
Ostvarivanje prava iz stava 1. ovog člana nema uticaja na primenu člana 30. ovog zakona. Pravo iz stava 1. ovog člana se ne može ostvariti ako je obrada nužna za izvršenje poslova od javnog interesa ili za vršenje službenih ovlašćenja rukovaoca.
Ostvarivanje prava iz stava 1. ovog člana ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Pravo na prigovor
Član 37
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti, koja se vrši u skladu sa članom 12. stav 1. tač. 5) i 6) ovog zakona, uključujući i profilisanje koje se zasniva na tim odredbama. Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem.
Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.
Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori to lice na postojanje prava iz
