Otvoreni Parlament | Zakon o zaštiti podataka o ličnosti

Zakon o zaštiti podataka o ličnosti

Sažetak

Šta se uređuje predlogom zakona?

Rešenjima u predlogu zakona su uređene dve odvojene oblasti koje će biti primenjivanje odredbama ovog zakona. To su pre svega pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodan protok takvih podataka. Međutim, novina je da je ovim zakonom uređeno i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti.

Generalno smatra se da je novi Zakon o zaštiti podataka o ličnosti krovni zakon dok će drugim zakonskim rešenjima biti regulisani pojedinačni slučajevi obrade podataka o ličnosti. Odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, treba da se usklade sa odredbama predloga zakona do kraja 2020. godine.

Osnovni pojmovi u predlogu zakona

Podatak o ličnosti (lični podatak) je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv. To može biti ime, prezime, pol, godina rođenja ali i podatak o lokaciji, e-mail itd.

Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima. Konkretno obradata podataka može biti prikupljanje, beleženje, razvrstavanje, grupisanje, pohranjivanje, uvid, upotreba, umnožavanje ili širenje podataka.

Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Sa druge strane obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

Na koga se ovaj zakon odnosi?

Predlog zakona se odnosi pre svega na državne organe i pravna/fizička lica koja imaju sedište/prebivalište u Srbiji ali i na određena pravna/fizička lica koja su u inostranstvu.

Dakle svako ko vrši bilo kakvu vrstu obrade podataka o ličnosti mora da primenjuje predlog zakona. Konkretno- zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište, odnosno prebivalište/boravište Srbije, u okviru aktivnosti koje se vrše na teritoriji Srbije, bez obzira da li se radnja obrade vrši na teritoriji Srbije. Takođe, predlog zakona se primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose, koje ima prebivalište/boravište na teritoriji Srbije od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište/boravište na teritoriji Srbije, ako su radnje obrade vezane za:

1) ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Srbije, bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
2) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Srbije.

Kada je obrada podataka zakonita?

Predlog zakona određuje konkretno u kojim slučajevima je obrada zakonita. Tako je obrada zakonita ukoliko je:

1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;

2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;

3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;

4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;

5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;

6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane,

Što se tiče nadležnih pravosudnih i istražnih organa, obrada podataka koju oni vrše u posebne svrhe je zakonita ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom.

Obrada na osnovu pristanka lica- pristanak mora biti napisan korišćenjem jasnih i jednostavnih reči

Većina odbrada podataka se vrši na osnovu pristanka pravnog/fizičkog lica. Tako je predlog zakona definisao pristanak kao svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose. Za razliku od prethodnog zakona novi zakon omogućuje davanje pristanka jasnom potvrdnom radnjom (konkludentnom radnjom) a ne samo usmeno ili pismeno.

Ukoliko se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti. Sam pristanak mora biti napisan primenom jasnih i jednostavnih reči kako bi lica mogla da ga razumeju. Lice koje je dobrovoljno dalo svoj pristanak ima pravo da opozove pristanak u svakom trenutku. Ali opoziv ne utiče na obradu podataka koja je izvršena pre opoziva pristanka.

Imajući u vidu da se velika većina obrade ličnih podataka dešava u online sferi, predlog zakona definiše da maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka u korišćenju online usluga. Ukoliko je lice mlađe od 15 godina tada pristanak mora dati roditelj ili zakonski zastupnik maloletnog lica.

Zabranjena je obrada posebnih/osetljivih ličnih podataka

Određeni lični podaci su izuzetno osetljivi i ukoliko se dogodi situacija da budu saopšteni trećem licu onda mogu naneti materijalnu i nematerijalnu štetu licu na koga se podaci odnose. Zato se za određenu kategoriju ličnih podataka uvek predviđa kvalifikovani/teži uslovi za njihovu obradu. Predlog zakona kao pravilo uvodi da je zabranjena svaka obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica. Međutim, predlog zakona predviđa 10 konkretnih situacija kada je obrada ovih posebnih podataka ipak dozovoljena (npr. izričit pristanak lica na koga se podaci odnose)

Prava lica na koje se podaci odnose- pravo na pristup podacima; pravo na ispravku i dopunu; pravo na brisanje podataka; pravo na ograničenje podataka; pravo na prenosivost podataka i pravo na pritužbu

Prilikom obrade ličnih podataka, lice čiji se podaci obrađuju ima određena prava. Tako lice ima pravo na:

1) Pružanje informacija o rukovaocu/obrađivaču- prilikom prikuplanja ličnih podataka lice na koga se podaci odnose ima pravo da zna određene podatke o rukovaocu/obrađivaču- identitetu i kontakt podacima rukovaoca, o svrsi nameravane obrade i pravnom osnovu za obradu, o primaocu, odnosno grupi primalaca podataka o ličnosti, o roku čuvanja podataka. Osim toga rukovalac je dužan da obavesti lice na koga se podaci odnose koja su njegova prava povodom postupka obrade podataka o ličnosti. Konkretno mora obavestiti lice o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka, o postojanju prava na opoziv pristanka i o pravu da se podnese pritužba Povereniku;

2) Pravo na pristup podacima- Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti kao i pristup tim podacima;

3) Pravo na ispravku i dopunu- Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave;

4) Pravo na brisanje podataka o ličnosti- Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca;

5) Pravo na ograničenje obrade- Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca;

6) Pravo na prenosivost podataka- Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom i elektronski čitljivom obliku. Ovako primljene podatke lice ima pravo da prenese drugom.

7) Pravo na prigovor- Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti. Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor.

Sve ove informacije i podatke rukovalac mora licu na koje se podaci odnose da predstavi na na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči. Ove informacije se pružaju u pismenom ili elektronskom obliku. Rukovalac je dužan da o svim ovim pravima lica na koje se podaci odnose odluči u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. Ukoliko rukovalac ne postupi po zahtevu lica na koje se podaci odnose, dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu. Sva ova prava lice na koje se podaci odnose ostvaruje bez naknade.

Prava lica na koje se podaci odnose može biti često ograničeno ne samo na osnovu predloga zakona i ustava

Sva prava koje lica na koje se podaci odnose ima na osnovu zakona može biti ograničeno. Predlog zakona predviđa veliki broj situacija kada je moguće ograničiti sva ova prava. Tako je predviđeno da se prava mogu ograničiti ako ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako to predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu:

1) nacionalne bezbednosti;
2) odbrane;
3) javne bezbednosti;
4) sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost;
5) drugih važnih opštih javnih interesa, a posebno važnih državnih ili finansijskih interesa Srbije, uključujući monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu;
6) nezavisnosti pravosuđa i sudskih postupaka;
7) sprečavanja, istraživanja, otkrivanja i gonjenja za povredu profesionalne etike;
8) funkcije praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službenih ovlašćenja;
9) lica na koje se podaci odnose ili prava i sloboda drugih lica;
10) ostvarivanja potraživanja u građanskim stvarima.

Dakle predlog zakona ne predviđa da je moguće ograničiti prava lica na koje se podaci odnose samo na osnovu zakona i ustava već predviđa čak 10 situacija kada je moguće ograničiti sva prava koja lica imaju povodom obrade njihovih podataka.

Mere za zaštitu ličnih podataka

Svaki rukovalac mora da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi omogućio adekvatnu zaštitu ličnih podataka. Rukovalac je naročito dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade. Predlog zakona izričito predviđa da je svaki rukovalac, dužan da vodi evidenciju o radnjama obrade za koje je odgovoran.
Ako obrada vrši treće lice u ime rukovaoca (obrađivač) onda i obrađivač mora primenjivati odgovarajuće tehničke, organizacione i kadrovske mere kako bi omogućio adekvatnu zaštitu ličnih podataka.

Nove obaveze za rukovaoce- obaveštavanje Poverenika i fizičkih lica ukoliko dođe do povrede ličnih podataka; procena uticaja na zaštitu podataka o ličnosti; lice za zaštitu podataka o ličnosti

Predlog zakona uvodi obavezu svim rukovaocima da ukoliko dođe do povrede podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica, mora se obavestiti Poverenik o nastaloj povredi i to bez odlaganja ili najaksnije u roku od 72 časa od saznanja za poredu. Ukoliko do ovakve povrede dođe, osim obaveštavanja Poverenika, rukovalac je dužan da obavesti i svako pojedinačno lice na koje se podaci odnose. Obaveštenje lica se mora izvršiti odmah- bez odlaganja

Ukoliko se ustanovi da je verovatno da će neka pojedinačna vrsta obrade prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti. Poverenik je dužan da sačini i javno objavi listu vrsta radnji obrade za koje se mora izvršiti procena uticaja.

Predlog zakona uvodi još jednu novu obavezu za rukovaoce a to je određivanje osobe u svom subjektu koja će biti nadležna za zaštitu podataka o ličnosti. Više privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti. Rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti ako se:
1) obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
2) osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
3) osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima u velikom obimu.

Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora. Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku. Poverenik vodi evidenciju lica za zaštitu podataka o ličnosti. Lice za zaštitu podataka o ličnosti predstavlja prvi kontakt kod rukovaoca kojem se lica na koje se podaci odnose mogu obratiti.

Ono što se razlikuje od prethodnog zakona jeste da više neće postojati Centralni registar kao baza podataka u kojoj će biti prijavljene sve baze podataka i to pre početka obrade podataka o ličnosti. Dakle rukovaoci/obrađivači više neće morati da prijavljuju sve baze podataka u Centralni registar.

Prenos ličnih podataka je omogućen u drugu državu samo ako garantuje minimalno isti stepen zaštite ličnih podataka kao Srbija

Predlog zakona omogućuje prenos ličnih podataka kao i setova ličnih podataka u drugu državu. Ovakva vrsta prenosa je moguća bez prethodnog odobrenja samo ukoliko je utvrđeno da ta druga država obezbeđuje primereni nivo zaštite podataka o ličnosti- tj. minimalno isti nivo zaštite kakav obezbeđuje zakon u Srbiji ili u nekoj zemlji Evropske Unije. Vlada je dužna da prati stanje u drugim državama u pogledu zaštite podataka o ličnosti i da na osnovu toga objavi koje države ispunjavaju primereni nivo zaštite u Službenom glasniku.

Poverenik ostaje nadzorno telo za primenu zakon o zaštiti podataka o ličnosti

Kao i što je trenutni zakon predviđao Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti ostaje glavno nadzorno telo za primenu predloga zakona. Dakle, poslove praćenja primene predloga zakona vrši Poverenik, kao nezavisan državni organ. Predlog zakona predviđa da se primenjuju odredbe zakona o slobodnom pristupu informacijama od javnog značaja na pitanja koja određuju status, položaj, stručnu službu i finansiranje Poverenika. U vršenju svojih ovlašćenja i poslova Poverenik je potpuno nezavisan i ne može da traži niti prima naloge od bilo koga.

Ono što je novina jeste da pored uslova za izbor Poverenika koji su propisani zakonom o slobodnom pristupu informacijama od javnog značaja, sada Poverenik mora da ima potrebno stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti.

Prilikom postupanja i vršenja svojih ovlašćenja Poverenik postupa u skladu sa zakonom kojim se uređuje opšti upravni postupak i zakonom kojim se uređuje inspekcijski nadzor. Međutim, Poverenik nije nadležan da vrši nadzor nad obradom od strane sudova u vršenju njihovih sudskih ovlašćenja.

Osim što je Poverenik nadležan da vrši inspekcijski nadzor nad primenom zakona i da podnese zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede zakona, Poverenik je ovlašćen da preduzima i određene korektivne mere. Tako je Poverenik, između ostalog, ovlašćen da:

1) da upozori rukovaoca i obrađivača dostavljanjem pismenog mišljenja;
2) da izrekne opomenu rukovaocu, odnosno obrađivaču ako se obradom povređuju odredbe zakona;
3) da izrekne privremeno ili trajno ograničenje vršenja radnje obrade, uključujući i zabranu obrade;
4) da naloži ispravljanje, odnosno brisanje podataka o ličnosti;
5) da izrekne novčanu kaznu na osnovu prekršajnog naloga ako je prilikom inspekcijskog nadzora utvrđeno da je došlo do prekršaja za koji je zakonom propisana novčana kazna u fiksnom iznosu.

Kao i do sada Poverenik je dužan da sačini godišnji izveštaj o svojim aktivnostima, koji sadrži podatke o vrstama povreda zakona i merama koje su preduzete u vezi sa tim povredama, kao i da ga podnese Narodnoj skupštini.

U slučaju sumnje da je došlo do povrede zakona, lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku

Za razliku od trenutnog zakona koji predviđa žalbu kao mehanizam zaštite ličnih podataka, novo zakonsko rešenje uvodi novi pojam pritužbe. Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama predloga zakona. U postupku po pritužbi shodno se primenjuju odredbe zakona kojim se uređuje inspekcijski nadzor u delu koji se odnosi na postupanje po predstavkama. Podnošenje pritužbe Povereniku ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite. Ono što se razlikuje od prethodnog zakona jeste da ukoliko se izjavi pritužba koja je očigledno neosnovana, preobimna ili se preterano ponavlja, Poverenik može da odbije da postupa po toj pritužbi.

Sudska zaštita povodom odluke Poverenika postaje pravilo a ne izuzetak

Predlog zakona uvodi kao pravilo mogućnost da se protiv odluke Poverenika pokrene upravni spor. Naime, lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, ima pravo da protiv te odluke tužbom pokrene upravni spor u roku od 30 dana od dana prijema odluke.

Ono što je isto novina jeste da ako Poverenik u roku od 60 dana od dana podnošenja pritužbe ne postupi po pritužbi, dakle propusti rok da odluči po pritužbi, lice na koje se podaci odnose ima pravo da pokrene upravni spor. Osim mogućnosti pokretanja upravnog spora lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da mu je od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno pravo na zaštitu podataka. Tužba se podnosi višem sudu i postupak se vodi primenom odredaba zakona koje uređuju parnični postupak.

U slučaju materijalne/nematerijalne štete lice na koje se podaci odnose ima pravo na naknadu štete

Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba predloga zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao. Ako je materijalna ili nematerijalna šteta prouzrokovana nezakonitom obradom koju vrše nadležni organi u posebne svrhe i tada lice koje je pretrpelo štetu ima pravo na naknadu štete od rukovaoca ili drugog nadležnog organa.

Posebni slučajevi obrade podataka o ličnosti

Pored opštih slučajeva obrade podataka o ličnosti predlog zakona određuje i nekoliko posebnih slučajeva obrade podataka. Ovi posebni slučajevi obrade predstavljaju izuzetak od određenih pravila koji su inače predviđeni predlogom zakona. Kao posebni slučajevi obrade navedeni su: obrada i slobode izražavanja i informisanja (obrada koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima), obrada jedinstvenog matičnog broja građana, obrada u oblasti rada i zapošljavanja, obrada od strane crkve i verskih zajednica i obrada u humanitarne svrhe od strane organa vlasti.

Predlog zakona predviđa više kazne u slučaju kršenja zakona

Predlog zakona predviđa veće iznose novčanih kazni ukoliko dođe do kršenja relevantnih odredbi predloga zakona. Maksimalan iznos kazni je sada dupliran i iznosi čak 2 miliona dinara. Tako je za rukovaoce koji su pravna liča predviđena novčana kazna u iznosu od 50.000 dinara do 2.000.000. Za preduzetnike predviđene su kazne u iznosu od 20.000 do 500.000 dinara, dok za fizička lica, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave predviđene su novčane kazne u iznosu od 5.000 do 150.000 dinara.
0%
0%
0%
Poslednji put ažurirano: 29.11.2018, 16:22