Zaštita podaka o ličnostiZaštita podaka o ličnosti---- …...ADVOKATSKA KANCELARIJA TOMIĆ SINĐELIĆGROZANovi Zakon o zaštiti podataka o ličnosti (ZZPL) (Sl. glasnik RS br.87/2018)

ADVOKATSKA KANCELARIJA TOMIĆ SINĐELIĆ GROZA

RECHTSANWÄLTE TOMIC SINDJELIC GROZA

ADVOKATSKA KANCELARIJA TOMIĆ SINĐELIĆ GROZALAW OFFICE TOMIC SINDJELIC GROZA

Zaštita podaka o ličnostiZaštita podaka o ličnostiZaštita podaka o ličnostiZaštita podaka o ličnosti----nova pravila igrenova pravila igrenova pravila igrenova pravila igre

Predrag Groza, advokat

Beograd, 10. jul 2019.godine


Novi Zakon o zaštiti podataka o ličnosti (ZZPL)Novi Zakon o zaštiti podataka o ličnosti (ZZPL)Novi Zakon o zaštiti podataka o ličnosti (ZZPL)Novi Zakon o zaštiti podataka o ličnosti (ZZPL)(Sl. glasnik RS br.87/2018)(Sl. glasnik RS br.87/2018)(Sl. glasnik RS br.87/2018)(Sl. glasnik RS br.87/2018)

• ZZPL stupio na snagu 21.11.2018.god, sa odloženim početkom primene od21.08.2019.god.

Zaštita podataka o ličnosti USTAVNA KATEGORIJA

• Jedno od osnovnih ljudskih prava i sloboda,

• Ustavom zajemčena zaštita podataka o ličnosti,

• Svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti pravo na sudsku zaštitu zbog njihove zloupotrebe.


ZZPL ZZPL ZZPL ZZPL –––– Uvodne napomeneUvodne napomeneUvodne napomeneUvodne napomene

Šta je to novo u ZZPL?! (generalno)

• detaljnija regulativa u pogledu prava lica na koja se podaci odnose,

• regulisanje odnosa između rukovaoca i obrađivača (obavezan ugovor u pisanoj formi!),

• potpunije uređenje bezbednosti podataka (veći broj mera, postupak u slučaju povrede)

• lice za zaštitu podataka o ličnosti,

• uvođenje analize rizika pre započinjanja radnji obrade,

• novo uređenje prenosa podataka van granica Republike Srbije,

• novi instituti – obavezujuća poslovna pravila, sertifikacija, kodeks postupanja, itd.

• proširena ovlašćenja Poverenika (inspekcijski nadzor).


ZZPL ZZPL ZZPL ZZPL –––– Uvodne napomeneUvodne napomeneUvodne napomeneUvodne napomene

Primena ZZPL

Obrada podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosnoprebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritorijiRepublike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike Srbije,

Obrada podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište nateritoriji Republike Srbije od strane rukovaoca, odnosno obrađivača koji NEMA sedište, odnosnoprebivalište ili boravište na teritoriji Republike Srbije, ako su radnje obrade vezane za:

1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bezobzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;

2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritorijiRepublike Srbije.


ZZPL ZZPL ZZPL ZZPL –––– Definicija podatka o ličnostiDefinicija podatka o ličnostiDefinicija podatka o ličnostiDefinicija podatka o ličnosti

• "Podatak o ličnosti" je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identitet.

*** utvrđivanje identiteta lica na osnovu njihovih uređaja, aplikacija, tool-ova i protokola, kao što su ip adrese, cookies, identifikatori, itd.***


Osnovna načela ZZPLOsnovna načela ZZPLOsnovna načela ZZPLOsnovna načela ZZPL----aaaa

ODGOVORNOST ZA POSTUPANJE - Rukovalac je odgovoran za primenu načela i mora biti u mogućnosti dapredoči njihovu primenu.

1) ZAKONITOST, POŠTENJE I TRANSPARENTNOST - podaci o ličnosti se moraju obrađivati zakonito, pošteno itransparentno u odnosu na lice na koje se podaci odnose;

2) OGRANIČENJE U ODNOSU NA SVRHU OBRADE - podaci o ličnosti moraju se prikupljati u svrhe koje su konkretnoodređene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.IZUZECI: arhiviranje u javnom interesu; naučno i istorijsko istraživanje; statistika; obrada od strane nadležnih organau posebne svrhe;

3) MINIMIZACIJA PODATAKA - podaci moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu nasvrhu obrade;

4) TAČNOST - podaci o ličnosti moraju biti tačni i, ako je to neophodno, ažurirani;

5) OGRANIČENJE ČUVANJA - podaci o ličnosti moraju se čuvati u obliku koji omogućava identifikaciju lica samo u rokukoji je neophodan za ostvarivanje svrhe obrade;

6) INTEGRITET I POVERLJIVOST - podaci o ličnosti moraju se obrađivati na način koji obezbeđuje odgovarajuću zaštitupodataka o ličnosti (uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ilioštećenja).


Zakonitost obrade (šest pravnih osnova za obradu)Zakonitost obrade (šest pravnih osnova za obradu)Zakonitost obrade (šest pravnih osnova za obradu)Zakonitost obrade (šest pravnih osnova za obradu)

1) lice na koje se podaci o ličnosti odnose je PRISTALO NA OBRADU svojih podataka o ličnosti za jednu ili višeposebno određenih svrha;

2) obrada je NEOPHODNA ZA IZVRŠENJE UGOVORA zaključenog sa licem na koje se podaci odnose ILI ZAPREDUZIMANJE RADNJI, na zahtev lica na koje se podaci odnose, PRE ZAKLJUČENJA UGOVORA;

3) obrada je neophodna u cilju POŠTOVANJA PRAVNIH OBAVEZA RUKOVAOCA (napomena: osnov i svrhamoraju biti određeni zakonom).

4) obrada je neophodna u cilju zaštite ŽIVOTNO VAŽNIH INTERESA lica na koje se podaci odnose ili drugogfizičkog lica;

5) obrada je neophodna u cilju obavljanja poslova U JAVNOM INTERESU ILI IZVRŠENJA ZAKONOM PROPISANIHOVLAŠĆENJA RUKOVAOCA (napomena: osnov i svrha moraju biti određeni zakonom);

6) obrada je neophodna u cilju ostvarivanja LEGITIMNIH INTERESA RUKOVAOCA ILI TREĆE STRANE, osim ako sunad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevajuzaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.


Pristanak kao pravni osnov za obraduPristanak kao pravni osnov za obraduPristanak kao pravni osnov za obraduPristanak kao pravni osnov za obradu

Pristanak je svako dobrovoljno, određeno, informisano i nedvosmisleno IZRAŽAVANJEVOLJE tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak zaobradu podataka o ličnosti koji se na njega odnose.

Rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka oličnosti.

Pristanak se sada može dati i online po ’’tick-the-box’’ principu (nikako obrnuto, jer sezahteva aktivna radnja lica).


Pristanak kao pravni osnov za obraduPristanak kao pravni osnov za obraduPristanak kao pravni osnov za obraduPristanak kao pravni osnov za obradu

Bitni elementi pristanka:

SLOBODA VOLJE

INFORMISANOST

GRANULARNOST

RAVNOPRAVNOST ODNOSA

MOGUĆNOST IZBORA

MOGUĆNOST ODBIJANJA BEZ ŠTETNIH POSLEDICA

OPOZIV U SVAKO DOBA


Opoziv pristankaOpoziv pristankaOpoziv pristankaOpoziv pristanka

• mora biti moguć u svakom trenutku,

• ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva,

• obaveštenje o pravu na opoziv mora biti dato pre davanja pristanka,

• mora biti jednostavan kao i davanje pristanka.


Pristanak maloletnog licaPristanak maloletnog licaPristanak maloletnog licaPristanak maloletnog lica

Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradupodataka o svojoj ličnosti u korišćenju usluga informacionog društva. U suprotnom,pristanak daje roditelj odnosno zakonski zastupnik.

Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditeljkoji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući uobzir dostupne tehnologije.


Posebni podaci o ličnosti (ranije: naročito osetljivi podaci)Posebni podaci o ličnosti (ranije: naročito osetljivi podaci)Posebni podaci o ličnosti (ranije: naročito osetljivi podaci)Posebni podaci o ličnosti (ranije: naročito osetljivi podaci)

OPŠTE PRAVILO - ZABRANJENA JE:

• obrada kojom se OTKRIVA rasno ili etničko poreklo, političko mišljenje, versko ili filozofskouverenje ili članstvo u sindikatu,

• OBRADA genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica,podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentacijifizičkog lica.



IPAK IMA IZUZETAKA OD OPŠTE ZABRANE OBRADE:

1) lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako jezakonom propisano da se obrada ne vrši na osnovu pristanka;

2) obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili licana koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisanazakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda iinteresa lica na koje se podaci odnose;

3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkoglica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;

4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane zadužbine,fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem,pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica kojaimaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan teorganizacije bez pristanka lica na koje se odnose;

5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;



6) obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad sud postupa uokviru svoje nadležnosti;

7) obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je takva obradasrazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primenaodgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;

8) obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih,medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ilisocijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od straneili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisanezakonom ili profesionalnim pravilima;

9) obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnihprekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvenezaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje odgovarajuće i posebne mere zaštite pravai sloboda lica na koje se podaci odnose, posebno u pogledu čuvanja profesionalne tajne;

10) obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i ustatističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji senameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primenaodgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.


Prava lica na koje se podaci odnosePrava lica na koje se podaci odnosePrava lica na koje se podaci odnosePrava lica na koje se podaci odnose

1. TRANSPARENTNOST

U FAZI PRIBAVLJANJA PRISTANKA (User Friendly Approach):

Rukovalac je dužan da pruži sve informacije na sažet, transparentan, razumljiv i lako dostupan način,korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnomlicu.

U FAZI OSTVARIVANJA PRAVA LICA:

Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva iz člana26 (pristup) , čl. 29. do 31 (ispravka, dopuna, brisanje, ograničenje obrade), člana 33. (obaveštavanje u vezi saispravkom, brisanjem, ograničenjem obrade)i čl. 36. do 38. ovog (prenosivost, prigovor, automatizovanodonošenje odluka) zakona bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva.

Mogućnost produženja roka za još 60 dana

Nema naplaćivanja naknade prilikom pružanja informacija.



2. INFORMISANJE u trenutku prikupljanja podataka:

Rukovalac je dužan da pruži sledeće informacije:

1) o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;

2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;

3) o svrsi nameravane obrade i pravnom osnovu za obradu;

4) o postojanju legitimnog interesa rukovaoca ili treće strane,;

5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;

6) o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju,kao i o tome da li se ta država ili međunarodna organizacija nalazi na listi primerenog nivoa zaštite, odnosnoo upućivanju na odgovarajuće mere zaštite, kao i o načinu na koji se lice na koje se podaci odnose možeupoznati sa tim merama.

7) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;

8) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti,odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka;



9) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče nadopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) iličlana 17. stav 2. tačka 1) ovog zakona;

10) o pravu da se podnese pritužba Povereniku;

11) o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podatakaneophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima obavezu da dapodatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju;

12) o postojanju automatizovanog donošenja odluke, uključujući profilisanje, i, najmanje u tim slučajevima,svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade police na koje se podaci odnose.



3. PRAVO NA PRISTUP PODACIMA

Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatkeo ličnosti, pristup tim podacima, kao i sledeće informacije:

1) o svrsi obrade;

2) o vrstama podataka o ličnosti koji se obrađuju;

3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebnoprimaocima u drugim državama ili međunarodnim organizacijama;

4) o predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje togroka;

5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, prava naograničenje obrade i prava na prigovor na obradu;

6) o pravu da se podnese pritužba Povereniku;

7) dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na koje seodnose;

8) o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje i, najmanje u timslučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama teobrade po lice na koje se podaci odnose.



4. PRAVO NA ISPRAVKU I DOPUNU

Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganjaisprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke oličnosti dopuni, što uključuje i davanje dodatne izjave.



5. PRAVO NA BRISANJE PODATAKA

Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca.

Uslovi za brisanje:

1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi načinobrađivani;

2) lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, a nema drugogpravnog osnova za obradu;

3) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa:

a) članom 37. stav 1. ovog zakona, a nema drugog pravnog osnova za obradu koji preteže nad legitimnim interesom,pravom ili slobodom lica na koje se podaci odnose,

b) članom 37. stav 2. ovog zakona;

4) podaci o ličnosti su nezakonito obrađivani;

5) podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza rukovaoca;

6) podaci o ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva iz člana 16. stav 1. ovogzakona.



Izuzeci:

1) ostvarivanje slobode izražavanja i informisanja,

2) poštovanja zakonske obaveze rukovaoca kojom se zahteva obrada ili izvršenja poslova u javnominteresu ili izvršenja službenih ovlašćenja rukovaoca;

3) ostvarivanja javnog interesa u oblasti javnog zdravlja,;

4) svrhe arhiviranja u javnom interesu, svrhe naučnog ili istorijskog istraživanja, kao i statističkesvrhe, a opravdano se očekuje da bi ostvarivanje prava na brisanje moglo da onemogući ili bitnougrozi ostvarivanje ciljeva te svrhe;

5) podnošenja, ostvarivanja ili odbrane pravnog zahteva.



6. PRAVO NA OGRANIČENJE OBRADE

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaocaako je ispunjen jedan od sledećih slučajeva:

1) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocuproveru tačnosti podataka o ličnosti;

2) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umestobrisanja zahteva ograničenje upotrebe podataka;

3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaciodnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;

4) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom 37. stav 1. ovog zakona, a utoku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.



7. PRAVO NA PRENOSIVOST PODATAKA

Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocuprimi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ovepodatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, akosu zajedno ispunjeni sledeći uslovi:

1) obrada je zasnovana na pristanku ili na osnovu ugovora;

2) obrada se vrši automatizovano.

Pravo obuhvata i pravo lica da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od stranerukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to tehnički izvodljivo.



8. PRAVO NA PRIGOVOR

Prigovor se može uložiti:

• na obradu podataka o ličnosti, koja se vrši u vezi sa javnim interesom / pravnim ovlašćenjima rukovaocaodnosno legitimnih interesa rukovaoca / trećeg lica, uključujući i profilisanje koje se zasniva na tome.Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio dapostoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaciodnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.

• na obradu podataka za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je onopovezano sa direktnim oglašavanjem. Rukovalac je dužan da prekine sa obradom podataka o licu, nemaizuzetka.



9. AUTOMATIZOVANO DONOŠENJE POJEDINAČNIH ODLUKA I PROFILISANJE

"profilisanje" je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti,posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenogstanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;

Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovuautomatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ilita odluka značajno utiče na njegov položaj.

IZUZECI ako je odluka:

1) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;2) zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda i legitimnihinteresa lica na koje se podaci odnose;3) zasnovana na izričitom pristanku lica na koje se podaci odnose.


RukovalacRukovalacRukovalacRukovalac

"rukovalac" je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhui način obrade.

Rukovalac je dužan da sprovodi odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da seobrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, npr:

• pseudonimizaciju i kriptozaštitu,

• obezbeđivanje trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade,

• ponovna raspoloživost i pristup u slučaju fizičkih ili tehničkih incidenata,

• redovno testiranje, ocenjivanje i procenjivanje delotvornosti svih mera bezbednosti.

Šta je to - ’’DATA PROTECTION BY DESIGN’’ i ’’DATA PROTECTION BY DEFAULT’’.


RukovalacRukovalacRukovalacRukovalac

Zajednički rukovaoci - zajednički određuju svrhu i način obrade.

Zajednički rukovaoci na transparentan način određuju odgovornost svakog od njih za poštovanjeobaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje sepodaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije.

Odgovornost uređuje se sporazumom zajedničkih rukovaoca.

Bez obzira na odredbe sporazuma, lice na koje se podaci odnose može ostvariti svoja prava utvrđenaovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.


ObrađivačObrađivačObrađivačObrađivač

"obrađivač" je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u imerukovaoca;

Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom,koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji:

• obavezuje obrađivača prema rukovaocu,

• uređuje predmet i trajanje obrade,

• prirodu i svrhu obrade,

• vrstu podataka o ličnosti,

• vrstu lica o kojima se podaci obrađuju,

• prava i obaveze rukovaoca.


ObrađivačObrađivačObrađivačObrađivač

Obrađivač dužan da:

1) obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca,

2) obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanjepoverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;

3) preduzme sve potrebne bezbednosne mere;

4) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vratirukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisanaobaveza čuvanja podataka;

Mogućnost primene standardnih ugovornih klauzula (donosi ih Poverenik)


Evidencija radnji obradeEvidencija radnji obradeEvidencija radnji obradeEvidencija radnji obrade

• Pisani ili elektronski oblik

• Trajno čuvanje

Obaveza vođenja evidencije ne važi za privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:

1) obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;

2) obrada nije povremena;

3) obrada obuhvata posebne vrste podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti.


Obavezni elementi evidencijeObavezni elementi evidencijeObavezni elementi evidencijeObavezni elementi evidencije

1) ime i kontakt podaci rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitupodataka o ličnosti, ako oni postoje, odnosno ako su određeni;

2) svrha obrade;

3) vrsta lica na koje se podaci odnose i vrsta podataka o ličnosti;

4) vrsta primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce udrugim državama ili međunarodnim organizacijama;

5) prenos podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv drugedržave ili međunarodne organizacije,;

6) rok posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;

7) opšti opis mera zaštite, ako je to moguće.


Obaveštavanje u slučaju povrede podataka o ličnosti Obaveštavanje u slučaju povrede podataka o ličnosti Obaveštavanje u slučaju povrede podataka o ličnosti Obaveštavanje u slučaju povrede podataka o ličnosti /rukovalac, obrađivač / /rukovalac, obrađivač / /rukovalac, obrađivač / /rukovalac, obrađivač /

Obaveštavanje Poverenika - bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa odsaznanja za povredu koja može da proizvede rizik po prava i slobode fizičkih lica

Obaveštenje mora da sadrži najmanje sledeće informacije: 1) opis prirode povrede, vrste podatakai približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija jebezbednost povređena; 2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije odrugom načinu na koji se mogu dobiti podaci o povredi; 3) opis mogućih posledica povrede; 4) opismera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući imere koje su preduzete u cilju umanjenja štetnih posledica.

Obaveštavanje lica na koje se podaci odnose – bez nepotrebnog odlaganja, ako povreda podataka oličnosti može da proizvede VISOK rizik po prava i slobode fizičkih lica


Procena uticaja obrade i prethodno mišljenje PoverenikaProcena uticaja obrade i prethodno mišljenje PoverenikaProcena uticaja obrade i prethodno mišljenje PoverenikaProcena uticaja obrade i prethodno mišljenje Poverenika

• novi institut u ZZPL-u,

• procena uticaja obrade se vrši PRE započinjanja obrade,

• ako postoji verovatnoća da će neka vrsta obrade (npr. upotreba novih tehnologija) prouzrokovati visok rizikza prava i slobode fizičkih lica

Procena uticaja je OBAVEZNA u slučaju:

1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovaneobrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja zapravni položaj pojedinca ili na sličan način značajno utiču na njega;

2) obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama ikažnjivim delima, u velikom obimu;

3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.

Prethodno mišljenje Poverenika je OBAVEZNO ako procena uticaja ukaže na visok rizik ako se ne preduzmumere za umanjenje rizika, rukovalac je dužan da zatraži mišljenje Poverenika pre započinjanja radnje obrade.


Prenos podataka izvan Republike SrbijePrenos podataka izvan Republike SrbijePrenos podataka izvan Republike SrbijePrenos podataka izvan Republike Srbije

I. Primereni nivo zaštite fizičkih lica (bez odobrenja Poverenika):

Lista država i međunarodnih organizacija, u kojima se smatra da jeste ili nije obezbeđen primereni nivo zaštite, objavljuje se u "Službenom glasniku Republike Srbije".

II. Odgovarajuće mere zaštite (kada ne postoji primereni nivo zaštite)

1) rukovalac/obrađivač obezbedio odgovarajuće mere zaštite podataka, i

2) licu na koje se podaci odnose je obezbeđena ostvarivost njegovih prava i delotvorna pravnazaštita.



Odgovarajuće mere zaštite mogu se bez posebnog odobrenja Poverenika obezbediti:

1) pravno obavezujućim aktom sačinjenim između organa vlasti;

2) standardnim ugovornim klauzulama izrađenim od strane Poverenika,;

3) obavezujućim poslovnim pravilima;

4) odobrenim kodeksom postupanja;

5) izdatim sertifikatima.

Odgovarajuće mere zaštite mogu se obezbediti i na osnovu posebnog odobrenja Poverenika:

1) ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u drugoj državi ili međunarodnoj organizaciji;

2) odredbama koje se unose u sporazum između organa vlasti, a kojima se obezbeđuje delotvorna i sprovodiva zaštita prava lica na koje se podaci odnose.



III. Prenos podataka u posebnim situacijama

1) lice na koje se podaci odnose je izričito pristalo na predloženi prenos, pošto je, zbog nepostojanja odluke oprimerenom nivou zaštite i odgovarajućih mera zaštite, informisano o mogućim rizicima vezanim za taj prenos;

2) prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili za primenupredugovornih mera preduzetih na zahtev lica na koje se podaci odnose;

3) prenos je neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnoseizmeđu rukovaoca i drugog fizičkog ili pravnog lica;

4) prenos je neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije, poduslovom da prenos pojedinih vrsta podataka o ličnosti ovim zakonom nije ograničen;

5) prenos je neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva;

6) prenos je neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica,ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;

7) vrši se prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili bilo komlicu koje može da dokaže da ima opravdani interes, ali samo u meri u kojoj su ispunjeni zakonom propisaniuslovi za uvid u tom posebnom slučaju.



IV. Prenos podataka – ostali slučajevi

Kumulativno ispunjenje sledećih uslova:

1) prenos podataka se ne ponavlja;

2) prenose se podaci ograničenog broja fizičkih lica;

3) prenos je neophodan u cilju ostvarivanja legitimnog interesa rukovaoca koji preteže nadinteresima, odnosno pravima ili slobodama lica na koje se podaci odnose;

4) rukovalac je obezbedio primenu odgovarajućih mera zaštite podataka o ličnosti na osnovuprethodne procene svih okolnosti u vezi sa prenosom ovih podataka.


Lice za zaštitu podataka o ličnosti (Data Protection Officer Lice za zaštitu podataka o ličnosti (Data Protection Officer Lice za zaštitu podataka o ličnosti (Data Protection Officer Lice za zaštitu podataka o ličnosti (Data Protection Officer –––– DPO)DPO)DPO)DPO)

Rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti ako se:

1) obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanjanjegovih sudskih ovlašćenja;

2) osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi,obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje sepodaci odnose;

3) osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka ilipodataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.


Nadzor velikog broja lica (large scale) Nadzor velikog broja lica (large scale) Nadzor velikog broja lica (large scale) Nadzor velikog broja lica (large scale) –––– primeri prema EU DPWP primeri prema EU DPWP primeri prema EU DPWP primeri prema EU DPWP SmernicamaSmernicamaSmernicamaSmernicama

• Hospitals (patients’ data)

• City public transportation (travel data of individuals)

• Insurance companies, banks (customers’ data)

• Marketing agencies (behavioral advertising)

• Telephone and internet providers (data on content, traffic, location…)


Sistemski i redovan nadzor Sistemski i redovan nadzor Sistemski i redovan nadzor Sistemski i redovan nadzor ---- primeri prema EU DPWP Smernicamaprimeri prema EU DPWP Smernicamaprimeri prema EU DPWP Smernicamaprimeri prema EU DPWP Smernicama

• Operating of telecommunication network,

• Providing of telecommunication services,

• Email retargeting;

• Data-driven marketing activities;

• Profiling and scoring for purposes of risk assessment (e.g. credit scoring, insurance premiums,fraud prevention, detection of money-laundering);

• Location tracking (e.g. by mobile apps);

• Loyalty programs;

• Behavioral advertising;

• Connected devices (e.g. smart meters, smart cars, home automation…).


Lice za zaštitu podataka o ličnosti (Data Lice za zaštitu podataka o ličnosti (Data Lice za zaštitu podataka o ličnosti (Data Lice za zaštitu podataka o ličnosti (Data ProtectionProtectionProtectionProtection OfficerOfficerOfficerOfficer –––– DPO)DPO)DPO)DPO)

• mora posedovati stručno znanje, kvalifikacije i iskustvo u oblasti zaštite podataka,• mora mu se obezbediti nezavisnost u radu,• mora mu se omogućiti izvršavanje obaveza, neophodna sredstva za rad, pristup podacima i radnjama obrade,

kao i stručno usavršavanje,• može biti zaposlen kod rukovaoca / obrađivača ili angažovan na osnovu ugovora.

Zadaci (minimum):

• informiše i daje mišljenje u vezi sa zaštitom podataka o ličnosti; • prati primenu ZZPL-a, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu

podataka o ličnosti,; • daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po

toj proceni,; • sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom.

Može obavljati druge poslove mimo zaštite podataka o ličnosti, ali ne sme postojati sukob interesa.


HVALA NA PAŽNJI


KONTAKT

Advokatska kancelarija Tomić Sinđelić GrozaCarice Milice 311000 BeogradSrbija

T +381 11 3285 227F +381 11 3285 208, 3285 [email protected]

Documents

Zaštita podaka o ličnostiZaštita podaka o ličnosti---- …...ADVOKATSKA KANCELARIJA TOMIĆ SINĐELIĆGROZANovi Zakon o zaštiti podataka o ličnosti (ZZPL) (Sl. glasnik RS br.87/2018)