• Legal Highlights - NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI
Newsletter:

Legal Highlights - Decembar 2018

10 decembar 2018

NOVI ZAKON O ZAŠTITI PODATAKA O LIČNOSTI

I UVOD

Narodna Skupština Republike Srbije je na sednici održanoj 13. novembra 2018. godine usvojila novi Zakon o zaštiti podataka o ličnosti.

Zakon o zaštiti podataka o ličnosti je objavljen u „Službenom glasniku RS“ br. 87/2018 dana 13.11.2018. godine (u daljem tekstu: Zakon) i stupio je na snagu osmog dana od dana objavljivanja, odnosno dana 21.11.2018. godine, s tim da Zakon ima odloženu primenu i primenjuje se u roku od devet meseci od dana stupanja na snagu, što je dan 20.08.2019. godine.

Odložena primena Zakona se jedino ne odnosi na član 98. Zakona, kojim je definisano da sa danom stupanja na snagu ovog Zakona prestaje da se vodi Centralni registar zbirki podataka koji je bio uspostavljen prema odredbama prethodnog Zakona o zaštiti podataka o ličnosti, a sa podacima sadržanim u Centralnom registru se postupa u skladu sa propisima kojima se uređuje arhivska građa.

II PRAVNI OSNOV I RAZLOZI DONOŠENJA ZAKONA

Osnov za donošenje Zakona je sadržan u odredbi člana 42. Ustava Republike Srbije kojim je predviđeno da je zaštita podataka o ličnosti zajamčena (stav 1 navedenog člana), da je prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje posebnim zakonom (stav 2 navedenog člana), kao i da svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti (stav 4 navedenog člana).

Razlozi za donošenje Zakona su brojni. Sa jedne strane je potreba za dopunom prethodnog Zakona o zaštiti podataka o ličnosti sa stanovišta unutrašnjeg prava Republike Srbije i uvođenje zaštite podataka o ličnosti u svim oblastima. Drugi razlog je obaveza Republike Srbije, a u okviru započetog procesa pridruživanja Evropskoj uniji, da uskladi svoje nacionalno zakonodavstvo sa važećim propisima Evropske unije.

Konkretan propis Evropske unije je Uredba 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca, kao i Direktiva 2016/680 o zaštiti pojedinca u vezi sa obradom njegovih ličnih podataka od strane nadležnih organa.

III PRIMENA ZAKONA

Zakon se primenjuje na obradu podataka o ličnosti koja se vrši na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka.

Zakon se ne primenjuje na obradu podataka o ličnosti koju vrši fizičko lice za lične potrebe ili potrebe svog domaćinstva.

Zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, boravište ili prebivalište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije.

Zakon se primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose koje ima prebivalište, odnosno boravište na teritoriji Republike Srbije, ukoliko se radnje obrade odnose na:

  • ponudu robe, odnosno usluge licu na koga se podaci odnose na teritoriji Republike Srbije;
  • praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.

IV IZRAZI I POJMOVI U ZAKONU

Zakon već u uvodnim odredbama u delu značenja izraza, uvodi nove izraze i pojmove u odnosu na prethodni Zakon o zaštiti podataka o ličnosti.

Osnovni pojmovi, a koje je i prethodni Zakon o zaštiti podataka definisao, su:

  • Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime I identifikacioni broj i dr;
  • Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju;
  • Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima kao što su: prikupljanje, beleženje, razvrstavanje, grupisanje, struktuiranje, pohranjivanje, upodobljavanje, menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje;
  • Zbirka podataka je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima;
  • Rukovalac je fizičko ili pravno lice, kao i organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade.
  • Obrađivač je fizičko ili pravno lice, kao i organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Novouvedeni pojmovi u Zakonu su:

  • Pristanak lica na koje se podaci odnose predstavlja svako dobrovoljno, određeno, informisano I nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti
  • Profilisanje je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti (analiza radnog učinka, ekonomskog položaja, zdravstvenog stanja, ličnih okolnosti, interesa, pouzdanosti, ponašanja lokacije ili kretanja);
  • Pseudonimizacija je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može prepisati određenom licu;
  • Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani;
  • Genetski podatak je podatak o ličnosti koji se odnosi na nasleđena ili strečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka bilološkog porekla;  
  • Biometrijski podatak je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica (slika njegovog lica ili njegovi daktiloskopski podaci).

V NAČELA OBRADE

Zakon prepoznaje osnovna načela prilikom obrade  podataka o ličnosti i to:

  1. podaci se moraju obrađivati zakonito, pošteno i transparentno u odnosu na lice čiji se podaci obrađuju;
  2. podaci se prikupljaju u svrhe koje su konkretno određene, izričite, opravdane i zakonite i ne mogu se obrađivati u druge svrhe;
  3. podaci moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade;
  4. podaci moraju biti tačni i ukoliko je neophodno ažurirani;
  5. podaci se moraju čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade;
  6. podaci se moraju obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući i zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.

Za primenu svih navedenih načela odgovoran je rukovalac i u slučaju potrebe dužan je da predoči njihovu primenu.

VI ZAKONITOST OBRADE

Uslov da bi obrada podataka o ličnosti bila zakonita je:

  1. da je lice na koje se podaci odnose dalo pristanak na obradu svojih podataka;
  2. da je obrada neophodna radi izvršenja ugovora zaključenog sa licem na koje se podaci odnose;
  3. da je obrada neophodna radi poštovanja pravnih obaveza rukovaoca;
  4. da je obrada neophodna radi zaštite životno važnih interesa lica na koje se podaci odnose;
  5. da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili radi izvršenja zakonom propisanih ovlašćenja rukovaoca;
  6. da je obrada neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane.

VII PRISTANAK LICA

Ukoliko se obrada podataka o licu zasniva na pristanku, a ne na drugom osnovu obrade podataka, rukovalac mora da poseduje dokaz o pristanku lica čiji se podaci obrađuju.

Pristanak mora biti jednostavan, razumljiv i lako dostupan, a lice koje daje pristanak pre davanja pristanka mora biti upoznato da pristanak može da opozove.

Lice na koga se podaci odnose i koje je dalo pristanak ima pravo da u svakom trenutku opozove svoj pristanak.

VIII INFORMACIJE I PRISTUP PODACIMA

Rukovalac je dužan da licu na koje se podaci odnose pruži informacije definisane odredbama Zakona, kao i da omogući pristup tim podacima.

Informacije koje je dužan da pruži su sledeće:

  1. informacije o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika ako je određen;
  2. kontakt podatke lica za zaštitu podataka o ličnosti;
  3. o svrsi obrade i pravnom osnovu obrade;
  4. o postojanju legitimnog interesa rukovaoca ili treće strane;
  5. informacije o primaocu ukoliko postoji;
  6. o nameri rukovaoca, ukoliko postoji, da podatke o ličnosti iznese u drugu državu ili međunarodnu orhganizaciju.

Pored navedenih informacija rukovalac je dužan da licu pruži i sledeće dodatne informacije:

  1. o roku čuvanja podataka o ličnosti i kriterijumima za njihovo prikupljanje;
  2. o postojanju prava lica da od rukovaoca zahteva pristup, ispravku ili brisanje svojih podataka;
  3. o postojanju prava na ograničenje obrade, na prigovor, kao i na prenosivost podataka;
  4. o postojanju prava na opoziv pristanka u bilo koje vreme;
  5. o pravu da se podnese pritužba Povereniku;
  6. o osnovu davanja podataka o ličnosti: da li je u pitanju zakonska ili ugovorna obaveza ili neophodan uslov za zaključenje ugovora, kao i o obavezi da lice da podatke koji se na njega odnose i o posledicama ako ne da podatke;
  7. o postojanju automatizovanog donošenja odluke.

Lice čiji se podaci obrađuju ima pravo da od rukovaoca zahteva pristup tim podacima, kao i kopiju podataka koje rukovalac obrađuje.

IX OBAVEZE RUKOVAOCA

Zakon daje samo opšte definicije obaveza rukovaoca, bez ulaženja u njihovo preciziranje.

Prema odredbi člana 41. Zakona rukovalac je dužan da  preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi omogućio da se obrada podataka o ličnosti vrši na zakonit način.

Pod merama se smatra i donošenje internih akata o zaštiti podataka o ličnosti.

X MERE ZAŠTITE

U okviru tehničkih, organizacionih i kadrovskih mera zaštite rukovalac i obrađivač su dužni da sprovode sve mere zaštite kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.

Zakon naročito prepoznaje sledeće mere zaštite:

  1. pseudonimizacija i kriptozaštita podataka o ličnosti;
  2. sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
  3. obezbeđivanje uspostavljanja ponovne raspoloživosti I pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
  4. postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.

Takođe, rukovalac je dužan da obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade.

XI OBRAĐIVAČ

Ukoliko se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera na način da se vrši uz poštovanje odredaba Zakona.

Obrađivač može poveriti obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti davanjem pismenog ovlašćenja.

Pravni odnos između rukovaoca i obrađivača mora biti uređen ugovorom ili drugim pravno obavezujućim aktom, kojim se definišu osnovni elementi ugovornog odnosa (predmet i trajanje obrade, priroda i svrha obrade, vrsta podataka o ličnosti koja se obrađuje, prava i obaveze obe ugovorne strane i dr.).

Navedenim ugovorom, odnosno drugim pravno obavezujućim aktom se definiše da je obrađivač dužan da:

  1. obrađuje podatke o ličnosti isključivo na osnovu pismenih uputstava rukovaoca;
  2. obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka;
  3. preduzme sve Zakonom definisane mere bezbednosti prilikom obrade;
  4. poštuje Zakonom definisane uslove za poveravanje obrade drugom obrađivaču;
  5. pomaže rukovaocu primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera prilikom ispunjavanja obaveza rukovaoca u vezi prava lica na koje se podaci odnose (pravo na ispravku, dopunu, brisanje itd);
  6. pomaže rukovaocu u ispunjavanju zakonskih obaveza koje se odnose na: obaveštavanja lica na koga se podaci odnose u slučaju povrede njihovih podataka, izvršenje procene uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti, kao i prilikom traženja prethodnog mišljenja od Poverenika u slučaju postojanja visokog rizika za obradu podataka;
  7. nakon okončanja ugovorenih radnji obrade rukovaocu vrati sve podatke o ličnosti, odnosno izbriše sve podatke i kopije pidataka;
  8. učini sve informacije dostupnim rukovaocu koje su neophodne za predočavanje ispunjenosti obaveza obrađivača.  

XII EVIDENCIJA RADNJI OBRADE

Rukovalac je dužan da vodi evidenciju o radnjama obrade za koje je odgovoran, a koja sadrži informacije o:

  1. imenu i kontakt podacima rukovaoca;
  2. svrsi obrade;
  3. vrsti lica na koje se podaci odnose I vrsti podataka o ličnosti;
  4. vrsti primalaca kojima su podaci otkriveni;
  5. prenosu podataka u druge države ili međunarodne organizacije;
  6. roku čijim istekom se brišu određeni podaci;
  7. opštem opisu mera zaštite.

XIII POVERENIK

Rukovalac, obrađivač i njihovi predstavnici su dužni da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.

Rukovalac je dužan da Poverenika bez odlaganja, a najkasnije u roku od 72 časa obavesti o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica.

Obaveštenje Povereniku mora da sadrži sve informacije definisane Zakonom (opis prirode povrede, kontakt podatke lica za zaštitu podataka o ličnosti, opis mogućih posledica povrede, opis preduzetih mera od strane rukovaoca).

Poverenik svoja ovlašćenja vrši u skladu sa odredbama Zakona, na teritoriji Republike Srbije.

Najvažnija ovlašćenja Poverenika su, između ostalih, sledeća;

  1. vrši inspekcijski nadzor i obezbeđuje primenu Zakona;
  2. na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima koja su propisana Zakonom;
  3. postupa po pritužbama lica na koje se podaci odnose i utvrđuje da li je došlo do povrede Zakona;
  4. daje pismena mišljenja u pogledu procene uticaja na zaštitu podataka o ličnosti;
  5. vodi različte evidencije u skladu sa Zakonom (podaci o licu za zaštitu podataka o ličnosti, povrede Zakona);
  6. podstiče izdavanje sertifikata za zaštitu podataka i propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela.

Poverenik propisuje obrazac pritužbe, koja se može poneti i elektronskim putem.

XIV LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Rukovaocu i obrađivaču Zakonom nije definisana obaveza određivanja lica za zaštitu podataka o ličnosti, osim u sledećim slučajevima kada postoji obaveza njegovog određivanja:

  1. kada se obrada vrši od strane organa vlasti;
  2. kada se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu ili svrsi zahtevaju redovan i sistematizovan nadzor velikog broja lica na koje se podaci odnose;
  3. kada se osnovne aktivnosti rukovaoca i obrađivača sastoje u obradi posebnih podataka o ličnosti (etičko ili rasno poreklo, političko mišljenje, versko ili filozofsko uverenje, članstvo u sindikatu, obrada genetskih ili biometrijskih podataka, podaci o zdravstvenom stanju ili seksualnoj orijentaciji lica).

Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati ove poslove po osnovu ugovora.

Rukovalac i obrađivač su dužni da objave kontakt podatke lica za zaštitu podataka o ličnosti i dostave ih Povereniku, koji vodi evidenciju lica za zaštitu podataka o ličnosti.

Takođe, rukovalac i obrađivač su dužni da licu za zaštitu podataka o ličnosti omoguće izvršavanje njegovih obaveza i to:

  1. pružanje informacija i davanje mišljenja rukovaocu i obrađivaču o zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
  2. praćenje primene odredbi Zakona i drugih relevantnih propisa u vezi sa zaštitom podataka o ličnosti;
  3. davanje mišljenja o proceni uticaja obrade na zaštitu podataka o ličnosti;
  4. saradnja sa Poverenikom i savetovanje sa Poverenikom u vezi sa pitanjima koja se odnose na obradu podataka o ličnosti.

XV OBEZBEĐENJE SERTIFIKATA

Rukovalac i obrađivač mogu da od akreditovanih sertifikacionih tela po sprovedenom postupku i ispunjenju uslova dobiju sertifikat o zaštiti podataka o ličnosti.

Postupak dobijanja sertifikata je dobrovoljan i transparentan.

Sertifikat se po pravilu izdaje na period koji ne može biti duži od tri godine i može se obnavljati ukoliko rukovalac ili obrađivač i dalje ispunjavaju iste propisane uslove i kriterijume za izdavanje sertifikata.

XVI PRENOS PODATAKA O LIČNOSTI U DRUGE DRŽAVE I MEĐUNARODNE ORGANIZACIJE

Prenos podataka o ličnosti može se izvršiti od strane rukovaoca ili obrađivača isključivo ukoliko su ispunjeni uslovi propisani Zakonom i to:

  1. prenos je neophodno izvršiti u posebne svrhe;
  2. prenos se vrši rukovaocu u drugoj državi ili međunarodnoj orgamizacijii ukoliko je u pitanju nadležni organ za obavljanje ovih poslova;
  3. prenos se vrši u državu sa liste država koje je odredila Vlada Republike Srbije, a ukoliko to nije slučaj potrebno je primeniti posebne mere zaštite;
  4. ukoliko se prenos iz druge države ili međunarodne organizacije vrši u treću državu ili međunarodnu organizaciju, potrebno je da prvi organ prenosa ili drugi nadležni organ da  saglasnost na dalji prenos, a pošto je sagledao sve okolnosti od značaja za dalji prenos.

XVII PRAVNA SREDSTVA

Kako je prethodno rečeno lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno Zakonu.

Poverenik je dužan da lice obavesti o toku postupka koji vodi, rezultatima postupka putem donošenja odluke, kao i pravu da pokrene sudski postupak.

Lice na koje se podaci odnose, rukovalac ili obrađivač ili drugo lice na koje se odnosi odluka Poverenika ima pravo da protiv odluke Poverenika putem tužbe pokrene upravni spor u roku od 30 dana od dana prijema odluke.

Takođe, ukoliko Poverenik u roku od 60 dana od dana podnošenja pritužbe od strane lica na koje se podaci odnose ne postupi po pritužbi, lice ima pravo da pokrene upravni spor.

Lice na koje se podaci odnose ima pravo na sudsku zaštitu podnošenjem tužbe nadležnom sudu ako smatra da su mu od strane rukovaoca ili obrađivača povređena prava prilikom obrade njegovih podataka.

XVIII KAZNE ZAPREĆENE ZAKONOM

U slučaju nepostupanja i nepoštovanja odredaba Zakona novčanom kaznom od 50.000 do 2.000.000 dinara će se kazniti rukovalac, odnosno obrađivač sa svojstvom pravnog lica, a odgovorno lice novčanom kaznom od 5.000 do 150.000 dinara.

Novčanom kaznom od 5.000 do 150.000 dinara će se kazniti i fizičko lice koje podatke o ličnosti ne čuva kao profesionalnu tajnu, a koje je saznalo tokom obavljanja svojih poslova.

XIX STUPANJE NA SNAGU

Zakon počinje da se primenjuje po isteku devet meseci od dana stupanja Zakona na snagu, a što je 20.08.2019. godine.

Početkom primene Zakona prestaje sa primenom Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“ br. 97/08, 104/09 – dr. zakon, 68/12-US i 107/12).