Правилник о заштити података о личности

Правилник о заштити података о личности

Овим Правилником се уређује заштита физичких лица у вези са обрадом података о личности, циљ обраде података о личности, примена Правилника, значење употребљених израза, начела обраде, законитост обраде, пристанак за обраду, услови за давање пристанка, правила о употреби „cookies“ – „колачића“, права лица на које се подаци односе, обавезе руковаоца, обавезе обрађивача, сарадња са државним органима, унутрашњи поступак остваривања заштите права, пренос података, пренос и откривање података о личности на основу одлуке државних органа, правна средства за остваривање права и измене и допуне Правилника.

Овај Правилник је уређен сходно Закону о заштити података о личности ("Службени гласник РС", број 87 од 13. новембра 2018.) и може бити мењан путем измена и допуна, а према подзаконским актима који се буду доносили у вези са овим Законом, као и са одредбама других закона, које се односе на обраду података о личности, а који ће се усклађивати са одредбама Закона о заштити података о личности до краја 2020. године, а сходно одредби члана 99. и 100. Закона о заштити података о личности.

Лице које ступа у правни однос са доносиоцем Правилника је дужно да се упозна са изменама и допунама овог Правилника. Измене и допуне овог Правилника су јавно доступне.

Ово је последња верзија Правилника о заштити података о личности од 8.12.2019. године. Уколико се Правилник буде мењао из разлога предвиђених ставом 2. Преамбуле, датум последње измене или допуне Правилника биће објављен у Преамбули Правилника.

Овим Правилником уређује се примена Правилника, значење употребљених израза, начела обраде, законитост обраде, пристанак на обраду, услови за давање пристанка, правила о употреби „cookies“ – „колачића“, права лица на које се подаци односе, обавезе руковаоца, обавезе обрађивача, сарадња са државним органима, унутрашњи поступак остваривања заштите права, пренос података, пренос и откривање података о личности на основу одлуке државних органа, правна средства за остваривање права и измене и допуне Правилника, а у вези са остваривањем права на заштиту физичких лица у вези са обрадом података о личности.

Овим Правилником се обезбеђује заштита основних права и слобода физичких лица, а посебно њиховог права на заштиту података о личности.

Све правне радње и правни односи који настану у вези са доносиоцем овог Правилника морају бити у складу са одредбама овог Правилника.

Овај Правилник примењује се на обраду података о личности која се врши, у целини или делимично, на аутоматизован начин, као и на неаутоматизовану обраду података о личности који чине део збирке података или су намењени збирци података.

Начин обрада података о личности од стране доносиоца овог Правилника ће бити унапред одређен и саопштен кориснику података о личности по принципу начела транспарентности.

Овај Правилник се примењује на обраду података о личности лица на које се подаци односе, које има пребивалиште, односно боравиште на територији Републике Србије и које се на јасан и недвосмислен начин идентификовало путем личног имена или идентификационог броја или на други начин који омогућава несумњиву идентификацију лица на које се подаци односе.

Лице на који се подаци односе је дужно да савесно, законито и одговорно користи сваки начин да се идентификује и сносиће материјалну, кривичну и другу законом прописану одговорност ако злоупотребом идентификује треће лице или се представи као треће лице у циљу остваривања права прописаних овим Правилнком и Законом о заштити података о личности.

Ради остваривања права прописаних овим Правилником лице на које се подаци односе дужно је да се иденфитикује на начин прописан одредбом става 1. овог члана у супротном руковалац није дужан да задржи, прибави или обради додатне информације ради идентификације тог лица само у циљу примене овог Правилника.

Ако је у случају из става 1. овог члана руковалац у могућности да предочи да не може да идентификује лице на које се подаци односе, информисаће о томе, на одговарајући начин, лице на које се подаци односе, ако је то могуће.

Поједини изрази у овом Правилнику имају следеће значење:

1. „податак о личности” је сваки податак који се односи на физичко лице чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, података о локацији, идентификатора у електронским комуникационим мрежама или једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета;
2. „лице на које се подаци односе” је физичко лице чији се подаци о личности обрађују сходно одредби члана 4. Правилника;
3. „обрада података о личности” је свака радња или скуп радњи које се врше аутоматизовано или неаутоматизовано са подацима о личности или њиховим скуповима, као што су прикупљање, бележење, разврставање, груписање, односно структурисање, похрањивање, уподобљавање или мењање, откривање, увид, употреба, откривање преносом, односно достављањем, умножавање, ширење или на други начин чињење доступним, упоређивање, ограничавање, брисање или уништавање (у даљем тексту: обрада);
4. „ограничавање обраде” је означавање похрањених података о личности у циљу ограничења њихове обраде у будућности;
5. „профилисање” је сваки облик аутоматизоване обраде који се користи да би се оценило одређено својство личности, посебно у циљу анализе или предвиђања радног учинка физичког лица, његовог економског положаја, здравственог стања, личних склоности, интереса, поузданости, понашања, локације или кретања;
6. „псеудонимизација” је обрада на начин који онемогућава приписивање података о личности одређеном лицу без коришћења додатних података, под условом да се ови додатни подаци чувају посебно и да су предузете техничке, организационе и кадровске мере које обезбеђују да се податак о личности не може приписати одређеном или одредивом лицу;
7. „збирка података” је сваки структурисани скуп података о личности који је доступан у складу са посебним критеријумима, без обзира да ли је збирка централизована, децентрализована или разврстана по функционалним или географским основама;
8. „руковалац” је физичко или правно лице, односно орган власти који самостално или заједно са другима одређује сврху и начин обраде. Законом којим се одређује сврха и начин обраде, може се одредити и руковалац или прописати услови за његово одређивање;
9. „обрађивач” је физичко или правно лице, односно орган власти који обрађује податке о личности у име руковаоца;
10. „прималац” је физичко или правно лице, односно орган власти коме су подаци о личности откривени, без обзира да ли се ради о трећој страни или не, осим ако се ради о органима власти који у складу са законом примају податке о личности у оквиру истраживања одређеног случаја и обрађују ове податке у складу са правилима о заштити података о личности која се односе на сврху обраде;
11. „трећа страна” је физичко или правно лице, односно орган власти, који није лице на које се подаци односе, руковалац или обрађивач, као ни лице које је овлашћено да обрађује податке о личности под непосредним надзором руковаоца или обрађивача;
12. „пристанак” лица на које се подаци односе је свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим то лице, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе;
13. „повреда података о личности” је повреда безбедности података о личности која доводи до случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или на други начин обрађивани;
14. „генетски податак” је податак о личности који се односи на наслеђена или стечена генетска обележја физичког лица која пружају јединствену информацију о физиологији или здрављу тог лица, а нарочито они који су добијени анализом из узорка биолошког порекла;
15. „биометријски податак” је податак о личности добијен посебном техничком обрадом у вези са физичким обележјима, физиолошким обележјима или обележјима понашања физичког лица, која омогућава или потврђује јединствену идентификацију тог лица, као што је слика његовог лица или његови дактилоскопски подаци;
16. „подаци о здрављу” су подаци о физичком или менталном здрављу физичког лица, укључујући и оне о пружању здравствених услуга, којима се откривају информације о његовом здравственом стању;
17. „привредни субјекат” је физичко или правно лице које обавља привредну делатност, без обзира на његов правни облик, укључујући и ортачко друштво или удружење које редовно обавља привредну делатност;
18. „Удружење или Удружење грађана“ је добровољна и невладина недобитна организација заснована на слободи удруживања више физичких или правних лица, основана ради остваривања и унапређења одређеног заједничког или општег циља и интереса, који нису забрањени Уставом или законом;
19. „Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник)” је независан и самостални орган власти установљен на основу закона, који је надлежан за надзор над спровођењем Закона о заштити података о личности и обављање других послова прописаних законом;
20. „услуга информационог друштва” је свака услуга која се уобичајено пружа уз накнаду, на даљину, електронским средствима на захтев примаоца услуга;
21. „орган власти” је државни орган, орган територијалне аутономије и јединице локалне самоуправе, јавно предузеће, установа и друга јавна служба, организација и друго правно или физичко лице које врши јавна овлашћења;
22. „Kорисник“ – свако физичко или правно лице или физичка или правна лица која приступају приступној тачки везивања сервиса преко одређене ИП адресе или лице чији се подаци о личности обрађују преко услуга информационог друштва – овај израз може бити коришћен у оба значења у ком случају ће му циљ регулисања појединих одредби одређивати значење;
23. „Сервис“ – сваки текст, слика, видео, коментар, визуални материјал, комбинација текста, видеа, слике, имена, контакт података или личних подата који може бити доступан преко услуга информационог друштва;
24. „Веб страница, блог, пружалац информационих услуга, сервисни провајдер, ИСП (information service provider, information society service provider, online service providers or intermediary)“ – одређен и фиксиран садржај који може бити предмет ауторских или сродних права, еманација духа, новински чланак који може бити састављен и од осталих садржаја уређених од стране корисника услуга или доступних коришћењем сервиса који може изражавати слободу мисли, новинарско изражавање или став аутора, а који је одређен уређивачком политиком пружаоца услуга или је последица техничких својства сервиса;
25. „Kомуникација у рекламне и комерцијалне сврхе“ – сваки облик комуникације креиран да промовише, директно или индиректно, одређене робе или услуге, сервис, привредна друштва, организације или појединце који обављају одређену привредну или другу регистровану делатност у оквиру својих правних и личних својства личности;
26. „Технолошке мере“ – свака технологија, уређај или део уређаја који су у нормалном својству коришћења створени са циљем да спрече или онемогуће радње које могу да угрозе сервис и кориснике. Овај израз може бити коришћен и у негативном својству када означава технологију, уређај или део уређаја који се користи са циљем угрожавања или уништавања целог или дела садржаја сервиса или техничких својстава мреже, уређаја, рачунара или рачунарских података, а који се користи супротно позитивним прописима и природи сервиса;
27. „Важећа правила“ – Правила Удружења Викимедија Србија, као и сва друга правила на која ова Правила упућују за потребе коришћења целине или дела овог сервиса или у вези са обрадом података о личности;
28. „Чињење доступним“ – свака радња која омогућава доступност садржаја примаоцима, трећим лицима, широј јавности или државним органима;
29. „Мере сигурности“ – сваки процес или мера који су део сервиса и који су створени са циљем да заштите кориснике и садржај сервиса, а која по природи представљају различита технолошка решења која штите, чувају и онемогућавају противправну употребу садржаја сервиса, као и противправни приступ, коришћење, употребу, мењање, уништење, објављивање садржаја супротно његовој намени, а што за последицу може имати повреду поверљивости података, правне заштите или намене садржаја;
30. „Пословна способност“ – способност корисника да изјавом своје воље преузме права и обавезе у складу са позитивним законодавством Републике Србије;
31. „Доносилац овог правилника“ - Удружење Викимедија Србије, МБ: 17672126; ПИБ: 104765157, имејл адреса: privatnost@vikimedija.org;
32. „надлежни органи” су:

а) органи власти који су надлежни за спречавање, истрагу и откривање кривичних дела, као и гоњење учинилаца кривичних дела или извршење кривичних санкција, укључујући и заштиту и спречавање претњи јавној и националној безбедности;

б) правно лице које је за вршење послова из подтачке а) ове тачке овлашћено законом.

Доносилац овог Правилника када обрађује податке о личности у својству руковаоца или обрађивача држи се, сходно Закону о заштити података о личности, следећих начела обраде:

1. Начела законитост, поштење и транспарентност – подаци о личноси ће се обрађивати законито, поштено и транспарентно у односу на лице на које се подаци односе . Законита обрада је обрада која се врши у складу са Законом о заштити података о личности, односно другим законом којим се уређује обрада;
2. Начела ограничење у односу на сврху обраде – подаци о личности ће се прикупљати у сврхе које су конкретно одређене, изричите, оправдане и законите и даље се не могу обрађивати на начин који није у складу са тим сврхама;
3. Начела минимизација података – подаци о личности ће бити примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде;
4. Начела тачност – подаци о личности ће бити тачни и, ако је то неопходно, ажурирани. Узимајући у обзир сврху обраде, морају се предузети све разумне мере којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе;
5. Начела ограничење чувања – подаци о личности ће се чувати у облику који омогућава идентификацију лица само у року који је неопходан за остваривање сврхе обраде;
6. Начела интегритет и поверљивост – подаци о личности ће се обрађивати на начин који обезбеђује одговарајућу заштиту података о личности, укључујући заштиту од неовлашћене или незаконите обраде, као и од случајног губитка, уништења или оштећења применом одговарајућих техничких, организационих и кадровских мера.

Руковалац је приликом сваке обраде података о личности дужан предочити примену одредаба става 1 овог члана.

Доносилац овог Правилника ће вршити обраду података о личности на основу правила прописаних у овом Правилнику.

Обрада података о личности може бити законита ако је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора или је неопходна у циљу поштовања правних обавеза руковаоца или је неопходна у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица или је обрада неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца или је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице.

Обрада која се врши сходно одредби става 2. овог члана врши се сходно одредбама члана 12. Закона о заштити података о личности.

Пристанак на обраду се може дати у форми писмене изјаве или електронског записа на начин да се недвосмислено може иденфитиковати корисник сходно одредби члана 4. Правилника.

Ако се пристанак лица на које се подаци односе даје у оквиру писмене изјаве која се односи и на друга питања, захтев за давање пристанка мора бити представљен на начин којим се издваја од тих других питања, у разумљивом и лако доступном облику, као и уз употребу јасних и једноставних речи.

Лице на које се подаци односе има право да опозове пристанак у сваком тренутку.

Опозив пристанка не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива.

Малолетно лице које је навршило 15 година може самостално да даје пристанак за обраду података о својој личности у коришћењу услуга информационог друштва.

Ако се ради о малолетном лицу које није навршило 15 година, за обраду података из става 1. овог члана пристанак мора дати родитељ који врши родитељско право, односно други законски заступник малолетног лица.

Kорисник који има мање од 15 година обавезан је да се уздржи од коришћења сервиса и услуга информационог друштва које пружа доносилац овог Правилника.

Kорисник који има мање од 18 година и чији лични подаци треба да буду обрађени ради ступања у правни однос са доносиоцем овог Правилника дужан је да предочи доносиоцу овог Правилника сагласност родитеља или законских заступника и доносилац овог Правилника има право да одбије предлог за обраду података о личности корисника млађег од 18 година уколико исти није у стању да докаже да има потребну сагласност.

Http cookies (у даљем тексту: „колачићи“) су информације које се сакупљају на основу приступне тачке везивања – ИП адресе корисника сервиса или услуга информационог друштва и које служе доносиоцу овог Правилника да прилагоди садржај сервиса или услуга информационог друштва према приступним тачкама везивања, односно ИП адресама.

„Kолачићи“ су текстуалне датотеке, које се чувају на рачунару корисника који путем ИП адресе, односно тачке везивања, приступа сервису или услугама информационог друштва, доносиоца овог правилника. Након прихватања „колачића“, приликом приступа сервису или услугама информационог друштва, доносиоца овог Правилника „колачићи“ се користе ради прилагођавања садржаја који такви сервиси или услуге информационог друштва нуде.

Kорисник који не жели да користи „колачиће“ може то спречити приликом приступа сервису или услугама информационог друштва, доносиоца овог Правилника. У том случају, одређени садржаји сервиса или услуга информационог друштва, доносиоца овог Правилника, могу бити недоступни или делимично доступни.

Лице које користи сервис или услугу информационог друштва на следећи начин може спречити употребу hhtp cookies – колачића на уређају са ког приступа.

Уколико лице које приступа сервису или услугама информационог друштва не жели да на свом уређају чува колачиће, то може спречити у подешавањима свог веб претраживача (browser). Имајући у виду разноликост веб претраживача колачићи се могу спречити на следећи начин на најчешће коришћеним претраживачима:

Објашњење можете пронаћи на следећем линку: https://www.aboutcookies.org/how-to-delete-cookies/

Kорисник колаћиче може блокирати на следећи начин, у зависности од веб прегледача:

Internet Explorer: https://support.microsoft.com/help/17442/windows-internet-explorer-delete-manage-cookies

Google Chrome: https://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Mozilla Firefox: https://support.mozilla.com/en-US/kb/Cookies

Safari: https://support.apple.com/kb/PH5042

Opera: https://help.opera.com/en/latest/security-and-privacy/

Adobe (flash cookies): https://www.adobe.com/privacy/policies/flash-player.html

Доносилац овог Правилника може користити „колачиће“ да би пружио услуге сервиса или услуга информационог друштва који су понуђени. „Kолачићи“ се користе да би се оптимизовала употреба сервиса или услуга информационог друштва према потребама корисника одређене ИП адресе. „Kолачићи“ се могу користити да би се одредио начин пружања одређених комерцијалних или других садржаја, или да би се утврдио број прегледа одређене веб стране или сервиса. Ови подаци се користе како би се унапредио сервис или услуге информационог друштва које нуди доносилац овог Правилника.

Свако приступање сервису или услугама информационог друштва, доносиоца овог Правилника, сматра се давањем сагласности за обраду ових података, осим у случају прописаним одредбом става 3. овог члана. За обраду оваквих података није потребна сагланост корисника, с обзиром на то да се из техничких разлога не може без сумње утврдити идентитет лица које приступа сервису или услугама информационог друштва доносиоца овог Правилника, сходно одредби члана 4. овог Правилника.

Уколико је корисник у могућности да на несумњив начин, сходно одредби члана 4. овог Правилника и сходно одредби члана 20. став 3. Закона о заштити података о личности, достави додатне информације које омогућавају његову идентификацију, остварује права прописана овим Правилником.

Kада доносилац овог Правилника обрађује податке о личности у својству руковаоца или обрађивача, лице на које се подаци односе има право на информисање о начину обраде података о личности и начину приступа подацима о личности, право на исправку и допуну, право на брисање података о личности, право на ограничење обраде, право да буде обавештено у вези са исправком или брисањем података и ограничењем обраде, право на основу преноса података, право на приговор, право на приговор на аутоматизовано доношење појединачних одлука и профилисање и ограничење права.

Kада доносилац овог Правилника обрађује податке о личности у својству руковаоца или обрађивача, дужан је да лицу на које се подаци односе пружи помоћ при остваривању права на приступ подацима о личности, права на исправку и допуну, права на брисање података о личности, права да буде обавештено у вези са исправком или брисањем података и ограничењем обраде, права на пренос података, права на приговор и права на приговор на аутоматизовано доношење појединачних одлука и профилисање.

Уколико доносилац овог Правилника обрађује податке о личности у својству руковаоца или обрађивача, а није у могућности сходно одредби члана 4. овог Правилника да идентификује лице на које се подаци односе или није више потребно да идентификује лице на које се подаци односе сходно одредби члана 20. став 1. Закона о заштити података о личности, доносилац овог Правилника није дужан да задржи, прибави или обради додатне информације ради идентификације тог лица само у циљу примене овог Правилника и Закона о заштити података о личности, при чему је дужан да о томе на одговарајући начин информише то лице, ако је то могуће. У том случају не примењују се одредбе члана 26. ст. 1. до 4, члана 29, члана 30. ст. 1. до 5, члана 31. ст. 1. до 3, члана 33. ст. 1. и 2. и члана 36. ст. 1. до 4. Закона о заштити података о личности, осим ако лице на које се подаци односе, у циљу остваривања права из тих чланова, достави додатне информације које омогућавају његову идентификацију.

Kада доносилац овог Правилника обрађује податке о личности у својству руковаоца или обрађивача, дужан је да лице на које се подаци односе информише о поступању на основу захтева за остваривање права на приступ подацима о личности, праву на исправку и допуну, праву на брисање података о личности, праву да буде обавештено у вези са исправком или брисањем података и ограничењем обраде, праву на пренос података, праву на приговор и праву на приговор на аутоматизовано доношење појединачних одлука и профилисање без одлагања, а најкасније у року од 30 дана од дана пријема захтева. Тај рок може бити продужен за још 60 дана ако је то неопходно, узимајући у обзир сложеност и број захтева. О продужењу рока и разлозима за то продужење руковалац је дужан да обавести лице на које се подаци односе у року од 30 дана од дана пријема захтева.

Ако је лице на које се подаци односе поднело захтев електронским путем, информације ће се пружити електронским путем ако је то могуће, осим ако је то лице захтевало да се информације пруже на други начин.

Ако доносилац овог Правилника обрађује податке у својству руковаоца и не поступи по захтеву лица на које се подаци односе дужан је да о разлозима за непоступање обавести то лице без одлагања, а најкасније у року од 30 дана од дана пријема захтева.

Право на остваривање права прописаних Главом VIII овог Правилника се остварује без наплаћивања накнаде осим ако је захтев лица на које се подаци односе очигледно неоснован или претеран, а посебно ако се исти захтев учестало понавља у ком случају се могу наплатити нужни административни трошкови пружања информација, односно поступања по захтеву или одбити захтев за поступање.

Ако руковалац оправдано сумња у идентитет лица које је поднело захтев за остваривање права прописаних ставом 1. овог члана може да захтева достављање додатних информација неопходних за потврду идентитета лица.

Доносилац овог Правилника гарантује остваривање права прописаних Главом VIII овог Правилника лицима у зависности од својства у ком обрађује податке сходно одредби члана 5. овог Правилника.

Ако се подаци о личности прикупљају од лица на које се односе, руковалац је дужан да у тренутку прикупљања података о личности том лицу пружи следеће информације:

1. идентитету и контакт подацима руковаоца, као и његовог представника, ако је он одређен;
2. контакт податке лица за заштиту података о личности, ако је оно одређено;
3. о сврси намераване обраде и правном основу за обраду;
4. о постојању легитимног интереса руковаоца или треће стране, ако се обрада врши на основу обраде која је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице;
5. о примаоцу, односно групи прималаца података о личности, ако они постоје;
6. о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;
7. о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде, права на приговор, као и права на преносивост података;
8. о постојању права на опозив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива, ако се обрада врши на основу пристанка лица на које се подаци о личности односе за једну или више посебно одређених сврха или се врши обрада посебних врста података о личности лица на које се подаци односе а које је дало изричит пристанак за обраду за једну или више сврха;
9. о праву да се поднесе притужба Поверенику;
10. о томе да ли је давање података о личности законска или уговорна обавеза или је давање података неопходан услов за закључење уговора, као и о томе да ли лице на које се подаци односе има обавезу да да податке о својој личности и о могућим последицама ако се подаци не дају;
11. о постојању аутоматизованог доношења одлуке, укључујући профилисање и сврсисходне информације о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Ако је лице на које се подаци односе већ упознато са неком од информација из овог члана, руковалац нема обавезу пружања тих информација.

Ако се подаци о личности не прикупљају од лица на које се односе, руковалац је дужан да лицу на које се подаци односе пружи информације о правима прописаним одредбом члана 13. овог Правилника у разумном року после прикупљања података о личности, а најкасније у року од 30 дана, узимајући у обзир све посебне околности обраде или најкасније приликом успостављања прве комуникације, ако се подаци о личности користе за комуникацију са лицем на које се односе, односно најкасније приликом првог откривања података о личности, ако је предвиђено откривање података о личности другом примаоцу.

Ако руковалац намерава да даље одбрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, руковалац је дужан да пре започињања даље обраде, лицу на које се подаци односе, пружи информације о тој другој сврси, као и све остале битне информације из овог члана.

Руковалац није дужан да лицу на које се односе подаци о личности пружи информације из ст. 1 и 2 овог члана ако:

1. лице на које се подаци о личности односе већ има те информације;
2. је пружање таквих информација немогуће или би захтевало несразмеран утрошак времена и средстава, а нарочито у случају обраде у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања, као и у статистичке сврхе, ако се примењују услови и мере из члана 92. став 1. Закона о заштити података о личности или ако је вероватно да би извршење обавеза из става 1. овог члана онемогућило или битно отежало остваривање сврхе обраде. У тим случајевима руковалац је дужан да предузме одговарајуће мере заштите права и слобода, као и легитимних интереса лица на које се подаци односе, што укључује и јавно објављивање информација;
3. је прикупљање или откривање података о личности изричито прописано законом којим се обезбеђују одговарајуће мере заштите легитимних интереса лица на које се подаци односе;
4. се поверљивост података о личности мора чувати у складу са обавезом чувања професионалне тајне која је прописана законом.

Лице на које се подаци односе има право да од руковаоца подношењем захтева добије информацију о томе да ли обрађује његове податке о личности, приступ тим подацима, као и следеће информације:

1. сврси обраде;
2. о врстама података о личности који се обрађују;
3. о примаоцу или врстама прималаца којима су подаци о личности откривени или ће им бити откривени, а посебно примаоцима у другим државама или међународним организацијама;
4. о предвиђеном року чувања података о личности, или ако то није могуће, о критеријумима за одређивање тог рока;
5. о постојању права да се од руковаоца захтева исправка или брисање његових података о личности, права на ограничење обраде и права на приговор на обраду;
6. о праву да се поднесе притужба Поверенику;
7. доступне информације о извору података о личности, ако подаци о личности нису прикупљени од лица на које се односе;
8. о постојању поступка аутоматизованог доношења одлуке, укључујући профилисање, и информацијама о логици која се при томе користи, као и о значају и очекиваним последицама те обраде по лице на које се подаци односе.

Захтев за остваривање права подноси се подношењем захтева на следећи начин:

На адресу Доносиоца правила назначену на контакт одељку сајта Удружења Викимедија Србије, МБ: 17672126, ПИБ: 104765157, или на емаил адресу: privatnost@vikimedija.org, са насловом: “Заштита података о личности” у форми и са доказима прописаним овим Правилником и Законом о заштити података о личности.

Лице на које се подаци односе има право да се његови нетачни подаци о личности без непотребног одлагања исправе. У зависности од сврхе обраде, лице на које се подаци односе има право да своје непотпуне податке о личности допуни, што укључује и давање додатне изјаве.

Лице на које се подаци односе остварује право гарантовано ставом 1. овог члана на начин прописан овим Правилником.

Лице на које се подаци односе има право да се његови подаци о личности избришу од стране руковаоца.

Руковалац је дужан да без непотребног одлагања податке из става 1. овог члана избрише у следећим случајевима:

1) подаци о личности више нису неопходни за остваривање сврхе због које су прикупљени или на други начин обрађивани;

2) лице на које се подаци о личности односе је опозвало пристанак за обраду својих података о личности за једну или више посебно одређених сврха;

3) лице на које се подаци односе је поднело приговор на обраду у складу са:

а) правом на подношење приговора на аутоматизовано доношење појединачних одлука, а нема другог правног основа за обраду који претеже над легитимним интересом, правом или слободом лица на које се подаци односе;

б) правом лица на које се подаци односе да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање, у мери у којој је оно повезано са директним оглашавањем;

4) подаци о личности су незаконито обрађивани;

5) подаци о личности морају бити избрисани у циљу извршења законских обавеза руковаоца;

6) подаци о личности су прикупљени у вези са коришћењем услуга информационог друштва односно у вези са пристанаком малолетног лица у вези са коришћењем услуга информационог друштва.

Уколико доносилац овог Правилника личне податке учини јавно доступним његова обавеза да избрише податке у складу са ставом 1. овог члана обухвата и предузимање свих разумних мера, укључујући и техничке мере, у складу са доступним технологијама и могућностима сношења трошкова њихове употребе, у циљу обавештавања других руковаоца који те податке обрађују да је лице на које се подаци односе поднело захтев за брисање свих копија ових података и упућивања, односно електронских веза према овим подацима.

Лице на које се подаци односе подноси захтев за остваривање права из става 1. овог члана руковаоцу на начин прописан овим Правилником.

Ставови 1. до 3. овог члана не примењују се у мери у којој је обрада неопходна због:

1) остваривања слободе изражавања и информисања;

2) поштовања законске обавезе руковаоца којом се захтева обрада или извршења послова у јавном интересу или извршења службених овлашћења руковаоца;

3) сврхе архивирања у јавном интересу, сврхе научног или историјског истраживања, као и статистичке сврхе у складу са чланом 92. став 1. овог Закона о заштити података о личности, а оправдано се очекује да би остваривање права из ст. 1. и 2. овог члана могло да онемогући или битно угрози остваривање циљева те сврхе;

4) подношења, остваривања или одбране правног захтева.

Лице на које се подаци односе има право да се обрада његових података о личности ограничи од стране руковаоца ако је испуњен један од следећих случајева:

1) лице на које се подаци односе оспорава тачност података о личности, у року који омогућава руковаоцу проверу тачности података о личности;

2) обрада је незаконита, а лице на које се подаци односе се противи брисању података о личности и уместо брисања захтева ограничење употребе података;

3) руковаоцу више нису потребни подаци о личности за остваривање сврхе обраде, али их је лице на које се подаци односе затражило у циљу подношења, остваривања или одбране правног захтева;

4) лице на које се подаци односе је поднело приговор на аутоматизовано доношење појединачних одлука, а у току је процењивање да ли правни основ за обраду од стране руковаоца претеже над интересима тог лица.

Ако је обрада ограничена у складу са ставом 1. овог члана, ти подаци могу се даље обрађивати само на основу пристанка лица на које се подаци односе, осим ако се ради о њиховом похрањивању или у циљу подношења, остваривања или одбране правног захтева или због заштите права других физичких, односно правних лица или због остваривања значајних јавних интереса.

Ако је обрада ограничена у складу са ставом 1. овог члана, руковалац је дужан да информише лице на које се подаци односе о престанку ограничења, пре него што ограничење престане да важи.

Руковалац је дужан да обавести све примаоце којима су подаци о личности откривени о свакој исправци или брисању података о личности или ограничењу њихове обраде, осим ако је то немогуће или захтева прекомеран утрошак времена и средстава.

Руковалац је дужан да лице на које се подаци односе, на његов захтев, информише о свим примаоцима из става 1. овог члана.

Лице на које се подаци односе има право да његове податке о личности које је претходно доставило руковаоцу прими од њега у структурисаном, уобичајено коришћеном и електронски читљивом облику и има право да ове податке пренесе другом руковаоцу без ометања од стране руковаоца којем су ти подаци били достављени, ако су заједно испуњени следећи услови:

1) обрада је заснована на пристанку лица на обраду својих података о личности за једну или више посебно одређених сврха, или се обрађује посебна врста података о личности а лице на које се подаци односе је дало изричит пристанак за обраду за једну или више сврха обраде, осим ако је законом прописано да се обрада не врши на основу пристанка или на основу уговора, а обрада је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора;

2) обрада се врши аутоматизовано.

Право из става 1. овог члана обухавата и право лица да његови подаци о личности буду непосредно пренети другом руковаоцу од стране руковаоца којем су ови подаци претходно достављени, ако је то технички изводљиво.

Остваривање права из става 1. овог члана нема утицаја на остваривање права на брисање података.

Право из става 1. овог члана се не може остварити ако је обрада нужна за извршење послова од јавног интереса или за вршење службених овлашћења руковаоца.

Остваривање права из става 1. овог члана не може штетно утицати на остваривање права и слобода других лица.

Ако сматра да је то оправдано у односу на посебну ситуацију у којој се налази, лице на које се подаци односе има право да у сваком тренутку поднесе руковаоцу приговор на обраду његових података о личности, која се врши у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца или у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице, укључујући и профилисање које се заснива на тим одредбама. Руковалац је дужан да прекине са обрадом података о лицу које је поднело приговор, осим ако је предочио да постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на који се подаци односе или су у вези са подношењем, остваривањем или одбраном правног захтева.

Лице на које се подаци односе има право да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање, у мери у којој је оно повезано са директним оглашавањем.

Ако лице на које се подаци односе поднесе приговор на обраду за потребе директног оглашавања, подаци о личности не могу се даље обрађивати у такве сврхе.

Руковалац је дужан да најкасније приликом успостављања прве комуникације са лицем на које се подаци односе, упозори то лице на постојање права из ст. 1. и 2. овог члана и да га упозна са тим правима на изричит и јасан начин, одвојено од свих других информација које му пружа.

У коришћењу услуга информационог друштва, лице на које се подаци односе има право да поднесе приговор аутоматизованим путем, у складу са техничким спецификацијама коришћења услуга.

Ако се подаци о личности обрађују у сврхе научног или историјског истраживања или у статистичке сврхе, лице на које се подаци односе на основу своје посебне ситуације има право да поднесе приговор на обраду својих података о личности, осим ако је обрада неопходна за обављање послова у јавном интересу.

Приговор се подноси руковаоцу на начин предвиђен овим Правилником у форми и облику који ће доносилац обезбедити заинтересованом лицу.

Лице на које се подаци односе има право да се на њега не примењује одлука донета искључиво на основу аутоматизоване обраде, укључујући и профилисање, ако се том одлуком производе правне последице по то лице или та одлука значајно утиче на његов положај.

Став 1. овог члана не примењује се ако је одлука:

1) неопходна за закључење или извршење уговора између лица на које се подаци односе и руковаоца;

2) заснована на закону, ако су тим законом прописане одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе;

3) заснована на изричитом пристанку лица на које се подаци односе.

У случају из става 2. тач. 1) и 3) овог члана руковалац је дужан да примени одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе, а најмање право да се обезбеди учешће физичког лица под контролом руковаоца у доношењу одлуке, право лица на које се подаци односе да изрази свој став у вези са одлуком, као и право лица на које се подаци односе да оспори одлуку пред овлашћеним лицем руковаоца.

Право из овог члана се остварује на начин прописан овим Правилником.

Одлуке из става 2. овог члана не могу се заснивати на посебним врстама података о личности, осим ако је лице на које се подаци односе дало изричит пристанак за обраду за једну или више сврха обраде, осим ако је законом прописано да се обрада не врши на основу пристанка или се обрађују подаци о личности које је лице на које се они односе очигледно учинило јавно доступним и ако су обезбеђене одговарајуће мере заштите права, слобода и легитимних интереса лица на које се подаци односе.

Ако повреда података о личности може да произведе висок ризик по права и слободе физичких лица, руковалац ће без непотребног одлагања о повреди обавестити лице на које се подаци односе. У обавештењу из става 1. овог члана руковалац ће на јасан и разумљив начин описати природу повреде података и навести следеће информације:

1) начину на који се могу добити подаци о повреди;

2) опис могућих последица повреде;

3) опис мера које је руковалац предузео или чије је предузимање предложено у вези са повредом, укључујући и мере које су предузете у циљу умањења штетних последица.

За потребе остваривања права прописаних овим чланом начин на који се могу добити подаци у повреди је прописан сходно одредби члана 29. и ГЛАВА XI Правилника која прописује унутрашњи поступак остваривања заштите права Правилника.

Следећа права и обавезе:

• транспарентне информације, информисање и начини остваривања права лица на које се подаци односе;
• информације које се пружају кад се подаци о личности прикупљају од лица на које се односе;
• информације које се пружају кад се подаци о личности не прикупљају од лица на које се односе;
• право лица на које се подаци о личности односе на приступ;
• право на исправку и допуну;
• право на брисање података о личности;
• право на ограничење обраде;
• обавеза обавештавања у вези са исправком или брисањем података, као и ограничењем обраде;
• право на преносивост података;
• право на приговор;
• аутоматизовано доношење појединачних одлука и профилисање;
• обавештавање лица о повреди података о личности;
• начела обраде,

ако се односе на остваривање права и обавеза у вези са:

• транспарентним информацијама, информисањем и начином остваривања права лица на које се подаци односе;
• информацијама које се пружају кад се подаци о личности прикупљају од лица на које се односе;
• информацијама које се пружају кад се подаци о личности не прикупљају од лица на које се односе;
• правом лица на које се подаци о личности односе на приступ;
• правом на исправку и допуну;
• правом на брисање података о личности;
• правом на ограничење обраде;
• обавезама обавештавања у вези са исправком или брисањем података, као и ограничењем обраде;
• правом на преносивост података;
• правом на приговор;
• аутоматизованим доношењем појединачних одлука и профилисање,

могу се ограничити ако та ограничења не задиру у суштину основних права и слобода и ако то представља неопходну и сразмерну меру у демократском друштву за заштиту:

1) националне безбедности;

2) одбране;

3) јавне безбедности;

4) спречавања, истраге и откривања кривичних дела, гоњења учинилаца кривичних дела, или извршење кривичних санкција, укључујући спречавање и заштиту од претњи по јавну безбедност;

5) других важних општих јавних интереса, а посебно важних државних или финансијских интереса Републике Србије, укључујући монетарну политику, буџет, порески систем, јавно здравље и социјалну заштиту;

6) независности правосуђа и судских поступака;

7) спречавања, истраживања, откривања и гоњења за повреду професионалне етике;

8) функције праћења, надзора или вршења регулаторне функције која је стално или повремено повезана са вршењем службених овлашћења у случајевима из тач. 1) до 5) и тачке 7) овог става;

9) лица на које се подаци односе или права и слобода других лица;

10) остваривања потраживања у грађанским стварима.

Приликом примене ограничења права и обавеза из става 1. овог члана морају се, према потреби, узети у обзир најмање:

1) сврхе обраде или врсте обраде;

2) врсте података о личности;

3) обим ограничења;

4) мере заштите у циљу спречавања злоупотребе, недозвољеног приступа или преноса података о личности;

5) посебности руковаоца, односно врста руковаоца;

6) рок чувања и мере заштите података о личности које се могу применити, с обзиром на природу, обим и сврху обраде или врсте обраде;

7) ризици по права и слободе лица на које се подаци односе;

8) право лица на које се односе подаци да буде информисано о органичењу, осим ако то информисање онемогућава остваривање сврхе ограничења.

Руковалац није дужан да обавести лице из члана 23. Правилника ако:

1) је предузео одговарајуће техничке, организационе и кадровске мере заштите у односу на податке о личности чија је безбедност повређена, а посебно ако је криптозаштитом или другим мерама онемогућио разумљивост података свим лицима која нису овлашћена за приступ овим подацима;

2) је накнадно предузео мере којима је обезбедио да повреда података о личности са високим ризиком за права и слободе лица на које се подаци односе више не може да произведе последице за то лице;

3) би обавештавање лица на које се подаци односе представљало несразмеран утрошак времена и средстава. У том случају, руковалац је дужан да путем јавног обавештавања или на други делотворан начин обезбеди пружање обавештења лицу на које се подаци односе.

На обраду која се врши у сврхе новинарског истраживања и објављивања информација у медијима, као и у сврхе научног, уметничког или књижевног изражавања, не примењују се одредбе од Главе V до до IX, као ни Глава XII и члан 32. став 2. и 3. овог Правилника, ако су у конкретном случају ова ограничење неопходна у циљу заштите слободе изражавања и информисања.

У случају када је доносилац овог Правилника у улози руковаоца предузеће одговарајуће техничке, организационе и кадровске мере, како би обезбедио да се обрада врши у складу са Законом о заштити података о личности и овим Правилником, чињењем овог Правилника доступним кориснику, узимајући у обзир природу, обим, околности и сврху обраде, као и вероватноћу наступања ризика и ниво ризика за права и слободе физичких лица.

Kада доносилац овог Правилника поступа у улози руковаоца обезбедиће да се без учешћа физичког лица подаци о личности не могу учинити доступним неограниченом броју физичких лица.

За потребе остваривања права корисника доносилац овог Правилника када поступа у улози руковаоца ставиће на располагање посебно средство комуникације за заштиту права корисника.

Сваки корисник који подноси захтев за остваривање права сходно овом Правилнику и Закону о заштити података о личности може исти да поднесе слањем дописа на електронску адресу privatnost@vikimedija.org.

Kада се обрада врши у име руковаоца, руковалац ће одредити као обрађивача само оно лице или орган власти који у потпуности гарантује примену правила прописаних овим Правилником, на начин који обезбеђује да се обрада врши у складу са одредбама Закона о заштити података о личности и да се обезбеђује заштита права лица на које се подаци односе као што је овде прописано.

Уколико Повереник изради стандардне уговорне клаузуле које се односе на обавезе руковаоца из става 1. овог члана, посебно узимајући у обзир европску праксу у изради стандардних уговорних клаузула, доносилац овог Правилника ће исте применити у односу са обрађивачем и може сходно извршити измене и допуне овог Правилника.

Доносилац овог Правилника ће обезбедити да обрађивач, односно друго лице које је од стране руковаоца или обрађивача овлашћено за приступ подацима о личности, не може да обрађује те податке без налога руковаоца, осим ако је таква обрада прописана законом.

У циљу остваривања права прописаних овим Правилником и Законом о заштити података о личности руковалац, обрађивач и њихови представници, ако су одређени, ће сарађивати са Повереником у вршењу његових овлашћења, а ради заштите корисника.

Kада доносилац овог Правилника поступа у улози руковаоца или обрађивача и када се на њега примењују одредбе овог Правилника и Закона о заштити података о личности, а у циљу остваривања права лица чија права се штите овим Правилником и Законом о заштити података о личности, сви захтеви се остварају покретањем поступка пред доносиоцем овог Правилника на следећи начин:

На адресу Доносиоца правила назначену на контакт одељку сајта Удружења Викимедија Србије, МБ: 17672126, ПИБ: 104765157, или на емаил адресу: privatnost@vikimedija.org, са насловом: “Заштита података о личности” у форми и са доказима прописаним овим Правилником и Законом о заштити података о личности.

Доносилац овог Правилника када поступа у улози руковаоца или обрађивача и када преноси податке о личности ради даље обраде у другу државу или међународну организацију, ће о томе посебно обавестити корисника.

Обавештење корисника ће садржати податке о обавезама руковаоца и обрађивача, као и о правима корисника када се пренос података о личности врши ради даље обраде у другу државу или међународну организацију, а све сходно одредби Главе V Закона о заштити података о личности која прописује правила о преносу података о личности у друге државе и међународне организације.

Доносилац овог Правилника ће обезбедити одговарајуће мере заштите, примену правила прописаних овим Правилником и Законом о заштити података о личности и остваривање права корисника када у улози руковаоца или обрађивача пренесе податке о личности у другу државу, на део њене територије или у један или више сектора одређених делатности у тој држави или у међународну организацију за коју листом држава, делова њихових територија или једног или више сектора одређених делатности у тим државама и међународних организација у којима се сматра да је обезбеђен примерени ниво заштите. Kада Влада утврди да у другој држави или међународној организацији није обезбеђен примерени ниво заштите доносилац овог Правилника ће у том случају уговорним клаузулама обезбедити поштовање правила прописаних овим Правилником и Законом о заштити података о личности.

Уколико доносилац овог Правилника преноси податке о личности државним органима у циљу остваривања права корисника због којих су подаци о личности прикупљени, обрада података о личности коју врше надлежни органи у посебне сврхе ће бити законита само ако је та обрада неопходна за обављање послова надлежних органа и ако је прописана законом. Таквим законом се одређују најмање циљеви обраде, подаци о личности који се обрађују и сврхе обраде, сходно члану 13. и члану 100. Закона о заштити података о личности.

На обраду јединственог матичног броја грађана, примењују се одредбе закона којим се уређује јединствени матични број грађана, односно другог закона, уз примену одредби овог Правилника и Закона о заштити података о личности које се односе на заштиту права и слобода лица на које се подаци односе.

На обраду у области рада и запошљавања примењују се одредбе закона којима се уређује рад и запошљавање и колективни уговори, уз примену одредби Закона о заштити података о личности и овог Правилника.

Лице на које се подаци односе има право да поднесе притужбу Поверенику ако сматра да је обрада података о његовој личности извршена супротно одредбама Закона о заштити података о личности.

У циљу поједностављивања подношења притужбе, Повереник прописује образац притужбе и омогућава њено подношење електронским путем, не искључујући и остала средства комуникације.

Доносилац овог Правилника ће образац притужбе обезбедити кориснику.

Повереник је дужан да подносиоца притужбе обавести о току поступка који води, резултатима поступка, као и о праву лица да покрене судски поступак ради заштите права лица.

Лице на које се подаци односе има право на судску заштиту ако сматра да му је, супротно Закону о заштити података о личности, од стране руковаоца или обрађивача радњом обраде његових података о личности повређено право прописано Законом.

Лице које је претрпело материјалну или нематеријалну штету због повреде одредаба Закона о заштити података о личности има право на новчану накнаду ове штете од руковаоца, односно обрађивача који је штету проузроковао.

Доносилац овог Правилника задржава право да врши измене и допуне Правилника о заштити података о личности сходно мишљењу Повереника и сходно одредби члана 100. Закона о заштити података о личности која прописује да ће се одредбе других закона, које се односе на обраду података о личности, ускладати са одредбама Закона о заштити података о личности до краја 2020. године.