Sadržaj/Table of Contents
1. Opšte obaveze
Obaveze rukovaoca
Član 41
Rukovalac je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.
Mere iz stava 1. ovog člana se preispituju i ažuriraju, ako je to neophodno.
Ako je to u srazmeri sa obradom podataka, mere iz stava 1. ovog člana uključuju primenu odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti.
Rukovalac može predočiti da se pridržava obaveza iz stava 1. ovog člana i na osnovu primene odobrenog kodeksa postupanja iz člana 59. ovog zakona ili izdatog sertifikata iz člana 61. ovog zakona.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Mere zaštite
Član 42
Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji proizilaze iz obrade, rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:
1) primeni odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je smanjenje broja podataka;
2) obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose.
Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade. Ta se obaveza primenjuje u odnosu na broj prikupljenih podataka, obim njihove obrade, rok njihovog pohranjivanja i njihovu dostupnost.
Merama iz stava 2. ovog člana mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Izdati sertifikat iz člana 61. ovog zakona rukovalac može koristiti da predoči da se pridržava obaveza iz st. 1. do 3. ovog člana.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Zajednički rukovaoci
Član 43
Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima.
Zajednički rukovaoci iz stava 1. ovog člana na transparentan način određuju odgovornost svakog od njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije iz čl. 23. do 25. ovog zakona.
Odgovornost iz stava 2. ovog člana uređuje se sporazumom zajedničkih rukovaoca, osim ako je ova odgovornost propisana zakonom koji se primenjuje na rukovaoce.
Sporazumom iz stava 3. ovog člana mora se odrediti lice za kontakt sa licem na koje se podaci odnose i urediti odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose.
Suština odredbi sporazuma iz stava 3. ovog člana mora biti dostupna licu na koje se podaci odnose.
Odredbe st. 4. i 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Bez obzira na odredbe sporazuma iz stava 3. ovog člana, lice na koje se podaci odnose može ostvariti svoja prava utvrđena ovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.
Predstavnici rukovaoca ili obrađivača koji nemaju sedište u Republici Srbiji
Član 44
Rukovalac, odnosno obrađivač, u slučajevima iz člana 3. stav 4. ovog zakona, dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, osim ako je:
1) obrada povremena, ne uključuje u velikoj meri obradu posebnih podataka iz člana 17. stav 1. ovog zakona ili podataka o ličnosti koji se odnose na osude za krivična dela i kažnjiva dela iz člana 19. ovog zakona, i verovatno je da neće prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade;
2) rukovalac, odnosno obrađivač organ vlasti.
Rukovalac, odnosno obrađivač ovlašćuje predstavnika iz stava 1. ovog člana kao lice kome se, uz rukovaoca ili obrađivača, odnosno umesto njih, lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti u pogledu svih pitanja u vezi sa obradom podatka o ličnosti, a u cilju obezbeđivanja poštovanja odredbi ovog zakona.
Pritužba, tužba i ostali pravni zahtevi iz ovog zakona se mogu podneti protiv rukovaoca ili obrađivača, bez obzira na to da li je određen njihov predstavnik iz stava 1. ovog člana.
Obrađivač
Član 45
Ako se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose.
Obrađivač iz stava 1. ovog člana može poveriti obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Ako se obrada vrši na osnovu opšteg ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača, odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj promeni.
Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.
Ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, uključujući i uputstvo u odnosu na prenošenje podataka o ličnosti u druge države ili međunarodne organizacije, osim ako je obrađivač zakonom obavezan da obrađuje podatke. U tom slučaju, obrađivač je dužan da obavesti rukovaoca o toj zakonskoj obavezi pre započinjanja obrade, osim ako zakon zabranjuje dostavljanje tih informacija zbog potrebe zaštite važnog javnog interesa;
2) obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
3) preduzme sve potrebne mere u skladu sa članom 50. ovog zakona;
4) poštuje uslove za poveravanje obrade drugom obrađivaču iz st. 2. i 7. ovog člana;
5) uzimajući u obzir prirodu obrade, pomaže rukovaocu primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera, koliko je to moguće, u ispunjavanju obaveza rukovaoca u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose iz Glave III. ovog zakona;
6) pomaže rukovaocu u ispunjavanju obaveza iz člana 50. i čl. 52. do 55. ovog zakona, uzimajući u obzir prirodu obrade i informacije koje su mu dostupne;
7) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
8) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom, kao i informacije koje omogućavaju i doprinose kontroli rada obrađivača, koju sprovodi rukovalac ili drugo lice koje on za to ovlasti.
U slučaju iz stava 4. tačka 8) ovog člana, obrađivač je dužan da bez odlaganja upozori rukovaoca ako smatra da pismeno uputstvo koje je od njega dobio nije u skladu sa ovim zakonom ili drugim zakonom kojim se uređuje zaštita podataka o ličnosti.
Ako obradu vrše nadležni organi u posebne svrhe, ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
1) obrađuje podatke o ličnosti samo na osnovu uputstava rukovaoca;
2) obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
3) pomaže na odgovarajući način rukovaocu u ispunjavanju njegove obaveze poštovanja odredbi o pravima lica na koje se podaci odnose iz Glave III. ovog zakona;
4) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili mu vrati sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;
5) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom;
6) obezbedi poštovanje uslova iz st. 2, 3. i 6. ovog člana ako poverava obradu drugom obrađivaču.
Ako obrađivač odredi drugog obrađivača za vršenje posebnih radnji obrade u ime rukovaoca, iste obaveze zaštite podataka o ličnosti propisane ugovorom ili drugim pravno obavezujućim aktom između rukovaoca i obrađivača iz st. 3. i 4. ovog člana obavezuju i tog drugog obrađivača, na osnovu posebnog ugovora ili drugog pravno obavezujućeg akta, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, kojim se u odnosu između obrađivača i drugog obrađivača propisuju dovoljne garancije za primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera koje obezbeđuju da se obrada vrši u skladu sa ovim zakonom. Ako drugi obrađivač ne ispuni svoje obaveze u vezi sa zaštitom podataka o ličnosti, za ispunjenje ovih obaveza drugog obrađivača rukovaocu odgovara obrađivač.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdatog sertifikata iz člana 61. ovog zakona može se koristiti da se predoči da obrađivač ispunjava obaveze pružanja garancija iz st. 1. i 7. ovog člana.
Pravni odnos između rukovaoca i obrađivača koji se uređuje u skladu sa st. 3. i 7. ovog člana, može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama iz stava 11. ovog člana, uključujući i one koje su vezane za sertifikat koji se odobrava rukovaocu ili obrađivaču u skladu sa čl. 61. i 62. ovog zakona.
Poverenik može da izradi standardne ugovorne klauzule koje se odnose na obaveze iz st. 3. i 7. ovog člana, posebno uzimajući u obzir evropsku praksu u izradi standardnih ugovornih klauzula.
Odredbe st. 4, 5, 7. i st. 9. do 11. ovog člana ne primenjuju se na nadležne organe koji vrše obradu u posebne svrhe.
Obrada po nalogu
Član 46
Obrađivač, odnosno drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca, osim ako je takva obrada propisana zakonom.
Evidencija radnji obrade
Član 47
Rukovalac i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o radnjama obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
6) roku posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
7) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 1. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da vodi evidenciju o svim vrstama radnji obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) korišćenju profilisanja, ako se profilisanje koristi;
6) vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
7) pravnom osnovu za postupak obrade, uključujući i prenos podataka o ličnosti;
8) roku čijim istekom se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
9) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Obrađivač i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 4. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, svaki obrađivač je dužan da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno lica za zaštitu podataka o ličnosti, ako je ono određeno;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac to izričito zahteva, uključujući i nazive države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Evidencije iz st. 1, 3, 4. i 6. ovog člana vode se u pismenom obliku, što obuhvata i elektronski oblik i čuvaju se trajno.
Rukovalac ili obrađivač, kao i njihovi predstavnici, ako su određeni, dužni su da evidencije iz st. 1, 3, 4. i 6. ovog člana učine dostupnim Povereniku, na njegov zahtev.
Odredbe st. 1. i 4. ovog člana ne primenjuju se na privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:
1) obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
2) obrada nije povremena;
3) obrada obuhvata posebne vrste podataka o ličnosti iz člana 17. stav 1. ovog zakona ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti iz člana 19. ovog zakona.
Beleženje radnji obrade koju vrše nadležni organi u posebne svrhe
Član 48
Nadležni organ koji obrađuje podatke u posebne svrhe dužan je da obezbedi da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje.
Beleženje uvida i otkrivanja podataka o ličnosti mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka.
Beleženje iz stava 1. ovog člana može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka.
Zapis nastao beleženjem iz stava 1. ovog člana stavlja se na uvid Povereniku, na njegov zahtev.
Saradnja sa Poverenikom
Član 49
Rukovalac, obrađivač i njihovi predstavnici, ako su određeni, dužni su da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
2. Bezbednost podataka o ličnosti
Bezbednost obrade
Član 50
U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.
Prema potrebi, mere iz stava 1. ovog člana naročito obuhvataju:
1) pseudonimizaciju i kriptozaštitu podataka o ličnosti;
2) sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
3) obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.
Prilikom procenjivanja odgovarajućeg nivoa bezbednosti iz stava 1. ovog člana posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdat sertifikat iz člana 61. ovog zakona, može se koristiti u cilju predočavanja ispunjenosti obaveza iz stava 1. ovog člana.
Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Bezbednost obrade koju vrše nadležni organi u posebne svrhe
Član 51
Ako obradu vrše nadležni organi u posebne svrhe, a u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik, a posebno ako se radi o obradi posebnih vrsta podataka o ličnosti iz člana 18. ovog zakona.
Na osnovu procene rizika, rukovalac ili obrađivač dužan je da prilikom automatske obrade primeni odgovarajuće mere iz stava 1. ovog člana koje obezbeđuju da se:
1) onemogući neovlašćenom licu pristup opremi koja se koristi za obradu („kontrola pristupa opremi“);
2) spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka („kontrola nosača podataka“);
3) spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti („kontrola pohranjivanja“);
4) spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za prenos podataka („kontrola upotrebe“);
5) osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima („kontrola pristupa podacima“);
6) može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni dostupnim, upotrebom opreme za prenos podataka („kontrola prenosa“);
7) može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti („kontrola unosa“);
8) spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka („kontrola prevoza“);
9) ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada („obnavljanje sistema“);
10) osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju („pouzdanost“), kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema („integritet“).
Obaveštavanje Poverenika o povredi podataka o ličnosti
Član 52
Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.
Ako rukovalac ne postupi u roku od 72 časa od saznanja za povredu, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.
Obrađivač je dužan da, posle saznanja za povredu podataka o ličnosti, bez nepotrebnog odlaganja obavesti rukovaoca o toj povredi.
Obaveštenje iz stava 1. ovog člana mora da sadrži najmanje sledeće informacije:
1) opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;
3) opis mogućih posledica povrede;
4) opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.
Ako se sve informacije iz stava 4. ovog člana ne mogu dostaviti istovremeno, rukovalac bez nepotrebnog odlaganja postupno dostavlja dostupne informacije.
Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.
Dokumentacija iz stava 6. ovog člana mora omogućiti Povereniku da utvrdi da li je rukovalac postupio u skladu sa odredbama ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, a koji su preneti rukovaocu u drugoj državi ili međunarodnoj organizaciji, rukovalac je dužan da bez nepotrebnog odlaganja dostavi informacije iz stava 4. ovog člana rukovaocu u toj drugoj državi ili međunarodnoj organizaciji, u skladu sa međunarodnim sporazumom.
Poverenik propisuje obrazac obaveštenja iz stava 1. ovog člana i bliže uređuje način obaveštavanja.
Obaveštavanje lica o povredi podataka o ličnosti
Član 53
Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.
U obaveštenju iz stava 1. ovog člana rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede podataka i navede najmanje informacije iz člana 52. stav 4. tač. 2) do 4) ovog zakona.
Rukovalac nije dužan da obavesti lice iz stava 1. ovog člana ako:
1) je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;
2) je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;
3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose.
Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu da to učini ili može da utvrdi da su ispunjeni uslovi iz stava 3. ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, rukovalac može odložiti ili ograničiti obaveštavanje lica na koje se podaci odnose, u skladu sa uslovima i na osnovu razloga iz člana 25. stav 3. ovog zakona.
3. Procena uticaja obrade na zaštitu podataka o ličnosti i prethodno mišljenje Poverenika
Procena uticaja na zaštitu podataka o ličnosti
Član 54
Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
Ako više sličnih radnji obrade mogu prouzrokovati slične visoke rizike za zaštitu podataka o ličnosti, može se izvršiti zajednička procena.
Prilikom procene uticaja rukovalac je dužan da zatraži mišljenje lica za zaštitu podataka o ličnosti, ako je ono određeno.
Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.
Poverenik je dužan da sačini i javno objavi na svojoj internet stranici listu vrsta radnji obrade za koje se mora izvršiti procena uticaja iz stava 1. ovog člana, a može da sačini i objavi i listu vrsta radnji obrade za koje procena nije potrebna.
Procena uticaja najmanje mora da sadrži:
1) sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, uključujući i opis legitimnog interesa rukovaoca, ako on postoji;
2) procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade;
3) procenu rizika za prava i slobode lica na koje se podaci odnose iz stava 1. ovog člana;
4) opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Stav 6. ovog člana ne primenjuje se na procenu uticaja obrade koju vrše nadležni organi u posebne svrhe.
Procena uticaja obrade koju vrše nadležni organi u posebne svrhe najmanje mora da sadrži sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se podaci odnose, opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona od strane rukovaoca ili obrađivača mora se uzeti u obzir prilikom procene uticaja radnji obrade na zaštitu podataka o ličnosti.
Stav 9. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Prema potrebi, rukovalac od lica na koje se podaci odnose ili njihovih predstavnika traži mišljenje o radnjama obrade koje namerava da vrši, ne dovodeći u pitanje zaštitu poslovnih ili javnih interesa ili bezbednost radnji obrade.
Ako se posebnim zakonom propisuju pojedine radnje obrade, odnosno grupe radnji obrade, a obrada se vrši u skladu sa članom 12. stav 1. tačka 3) ili tačka 5) ovog zakona, pa je procena uticaja na zaštitu podataka o ličnosti već izvršena u okviru opšte procene uticaja prilikom donošenja zakona, st. 1. do 9. ovog člana se ne primenjuje, osim ako se utvrdi da je neophodno izvršiti novu procenu.
Prema potrebi, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade, rukovalac je dužan da preispita da li se radnje obrada vrše u skladu sa izvršenom procenom uticaja na zaštitu podataka o ličnosti.
Prethodno mišljenje Poverenika
Član 55
Ako procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog zakona, ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da zatraži mišljenje Poverenika pre započinjanja radnje obrade.
Stav 1. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrši nadležni organ u posebne svrhe, rukovalac, odnosno obrađivač je dužan da zatraži mišljenje Poverenika pre započinjanja radnji obrade koje će dovesti do stvaranja nove zbirke podataka u slučaju da:
1) procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog zakona, ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika;
2) vrsta obrade, a posebno ako se koriste nove tehnologije, mehanizmi zaštite ili postupci, predstavljaju visok rizik za prava i slobode lica na koje se podaci odnose.
Ako Poverenik smatra da bi nameravane radnje obrade iz st. 1. i 3. ovog člana mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik je dužan da u roku od 60 dana od dana prijema zahteva dostavi pismeno mišljenje rukovaocu ili obrađivaču, ako je on podneo zahtev, kao i da po potrebi iskoristi ovlašćenja iz člana 79. ovog zakona.
Rok iz stava 4. ovog člana može se produžiti za 45 dana uzimajući u obzir složenost nameravanih radnji obrade, a Poverenik je dužan da o odlaganju i razlozima za odlaganje davanja mišljenja upozna rukovaoca ili obrađivača, ako je on podneo zahtev, u roku od 30 dana od prijema zahteva za mišljenje.
Rokovi iz st. 4. i 5. ovog člana ne teku dok Poverenik ne dobije sve tražene informacije koje su neophodne za davanje mišljenja.
Uz zahtev za mišljenje, rukovalac je dužan da Povereniku dostavi podatke o:
1) dužnostima rukovaoca, i, ako postoje, zajedničkih rukovaoca i obrađivača koji učestvuju u obradi, posebno ako se radi o obradi koja se vrši unutar grupe privrednih subjekata;
2) svrhama i načinima nameravane obrade;
3) tehničkim, organizacionim i kadrovskim merama, kao i mehanizmima zaštite prava i sloboda lica na koje se podaci odnose u skladu sa ovim zakonom;
4) kontakt podacima lica za zaštitu podataka, ako je ono određeno;
5) proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona;
6) svim drugim informacijama koje zatraži Poverenik.
Stav 7. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrši nadležni organ u posebne svrhe, rukovalac iz stava 3. ovog člana je dužan da Povereniku dostavi podatke o proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona, a na zahtev Poverenika i druge informacije koje su od značaja za njegovo mišljenje o radnjama obrade, a posebno riziku po zaštitu podataka o ličnosti lica na koje se podaci odnose i mehanizmima zaštite njegovih prava.
Poverenik može da sastavi i javno objavi na svojoj internet prezentaciji listu vrsti radnji obrade u vezi sa kojima se mora tražiti njegovo mišljenje.
Organi vlasti koji predlažu usvajanje zakona i drugih propisa zasnovanih na zakonima, a koji sadrže odredbe o obradi podataka o ličnosti, dužni su da u toku njihove pripreme zatraže mišljenje Poverenika.
4. Lice za zaštitu podataka o ličnosti
Određivanje
Član 56
Rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da odrede lice za zaštitu podataka o ličnosti ako se:
1) obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
2) osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
3) osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti iz člana 17. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu nadležnih organa u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da odredi lice za zaštitu podataka o ličnosti, osim ako se radi o obradi koju vrše sudovi u svrhu obavljanja njihovih sudskih ovlašćenja.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe.
Ako su rukovaoci ili obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu tih organa vlasti.
Posebnim zakonom može se propisati da rukovaoci, odnosno obrađivači ili njihova udruženja koja ih predstavljaju, moraju odrediti lice za zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza iz člana 58. ovog zakona.
Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora.
Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku.
Poverenik vodi evidenciju lica za zaštitu podataka o ličnosti koja sadrži: imena i prezimena lica za zaštitu podataka o ličnosti, njihove kontakt podatke, kao i imena i kontakt podatke rukovaoca, odnosno obrađivača.
Poverenik propisuje obrazac evidencije iz stava 11. ovog člana i uređuje način njenog vođenja.
Položaj lica za zaštitu podataka o ličnosti
Član 57
Rukovalac i obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da omoguće licu za zaštitu podataka o ličnosti izvršavanje obaveza iz člana 58. ovog zakona na taj način što mu obezbeđuju neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje.
Rukovalac i obrađivač dužni su da obezbede nezavisnost lica za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza.
Rukovalac ili obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza iz člana 58. ovog zakona.
Za izvršavanje obaveza iz člana 58. ovog zakona lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.
Lica na koje se podaci odnose mogu se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih ovim zakonom.
Lice za zaštitu podataka o ličnosti dužno je da čuva tajnost, odnosno poverljivost podataka do kojih je došlo u izvršavanju obaveza iz člana 58. ovog zakona, u skladu sa zakonom.
Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a rukovalac ili obrađivač dužni su da obezbede da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe st. 1. do 5. i 8. ovog člana ne primenjuju se na obrađivača.
Obaveze lica za zaštitu podataka o ličnosti
Član 58
Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:
1) informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
2) prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
3) daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni, u skladu sa članom 54. ovog zakona;
4) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz člana 55. ovog zakona.
U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe stava 1. tač. 1) i 2) ovog člana ne primenjuju se na obrađivača.
5. Kodeks postupanja i izdavanje sertifikata
Kodeks postupanja
Član 59
Udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu izraditi kodeks postupanja u cilju efikasnije primene ovog zakona, a naročito u pogledu:
1) poštene i transparentne obrade;
2) legitimnih interesa rukovaoca, uzimajući u obzir okolnosti konkretnih slučajeva;
3) prikupljanja podataka o ličnosti;
4) pseudonimizacije podataka o ličnosti;
5) informacija koje se pružaju javnosti i licima na koje se podaci odnose;
6) ostvarivanja prava lica na koje se podaci odnose;
7) informacija koje se pružaju maloletnim licima, njihovoj zaštiti, kao i načina na koji se pribavlja pristanak roditelja koji vrši roditeljsko pravo;
8) mera i postupaka iz čl. 41. i 42. ovog zakona, kao i mera koje imaju za cilj bezbednost obrade iz člana 50. ovog zakona;
9) obaveštavanja Poverenika o povredi podataka o ličnosti, kao i informisanja lica na koje se podaci odnose o takvim povredama;
10) prenosa podataka o ličnosti u druge države ili međunarodne organizacije;
11) načina rešavanja sporova između rukovaoca i lica na koje se podaci odnose mirnim putem, što ne utiče na ostvarivanja prava lica na koje se podaci odnose iz čl. 82. i 84. ovog zakona.
Rukovaoci, odnosno obrađivači na koje se ovaj zakon ne primenjuje, u cilju obezbeđivanja odgovarajućih mera zaštite lica na koje se podaci odnose u okviru prenosa njihovih podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 3) ovog zakona, mogu prihvatiti ili se obavezati na primenu kodeksa postupanja koji je odobren u skladu sa stavom 5. ovog člana, putem ugovornih ili drugih pravno obavezujućih akata kojima se obavezuju na primenu tih mera zaštite, a posebno u odnosu na prava lica na koje se podaci odnose.
Kodeks postupanja iz stava 1. ovog člana obavezno sadrži odredbe koje omogućavaju licu iz člana 60. stav 1. ovog zakona vršenje nadzora nad primenom kodeksa od strane rukovaoca ili obrađivača koji su se obavezali na primenu kodeksa, što ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Udruženja i drugi subjekti iz stava 1. ovog člana koji nameravaju da izrade kodeks postupanja ili da izmene postojeći kodeks, dužni su da predlog kodeksa ili njegovih izmena dostave Povereniku na mišljenje.
Poverenik daje mišljenje o usklađenosti predloga kodeksa postupanja ili njegovih izmena sa odredbama ovog zakona, a ako utvrdi da predlog kodeksa sadrži dovoljne garancije za zaštitu podataka o ličnosti, kodeks postupanja ili njegove izmene registruje i javno objavljuje na svojoj internet stranici.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Kontrola primene kodeksa postupanja
Član 60
Kontrolu primene kodeksa postupanja, u skladu sa članom 59. stav 3. ovog zakona, može vršiti pravno lice koje je akreditovano za vršenje kontrole u skladu sa zakonom koji uređuje akreditaciju.
Vršenje kontrole iz stava 1. ovog člana ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Pravno lice iz stava 1. ovog člana može se akreditovati samo ako je:
1) dokazalo Povereniku svoju nezavisnost i stručnost u odnosu na sadržinu kodeksa;
2) uspostavilo postupak procene osposobljenosti rukovaoca i obrađivača za primenu kodeksa postupanja, praćenja primene kodeksa od strane rukovaoca ili obrađivača, kao i periodičnog preispitivanja njegove delotvornosti;
3) uspostavilo postupak i organ za odlučivanje o pritužbama zbog povrede kodeksa postupanja ili načina njegove primene od strane rukovaoca ili obrađivača, kao i obezbedilo transparentnost tog postupka i organa prema javnosti i licima na koje se podaci odnose;
4) dokazalo Povereniku da u vršenju njegovih ovlašćenja ne može doći do sukoba interesa.
U slučaju povrede kodeksa postupanja od strane rukovaoca ili obrađivača, pravno lice iz stava 1. ovog člana preduzima odgovarajuće mere u propisanom postupku, uključujući i privremeno ili trajno isključenje rukovaoca, odnosno obrađivača iz primene kodeksa.
Pravno lice iz stava 1. ovog člana dužno je da obavesti Poverenika o preduzetim merama iz stava 4. ovog člana, kao i razlozima za njihovo određivanje.
Preduzimanje mera iz stava 4. ovog člana ne utiče na ovlašćenja Poverenika i primenu odredbi Glave VII. ovog zakona.
Pravnom licu iz stava 1. ovog člana akreditacija se oduzima ako se utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Odredbe st. 1. do 7. ovog člana ne primenjuju se na organe vlasti i obradu koju vrše nadležni organi u posebne svrhe.
Izdavanje sertifikata
Član 61
U cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća, mogu se ustanoviti postupci izdavanja sertifikata o zaštiti podataka o ličnosti, sa odgovarajućim žigovima i oznakama za zaštitu podataka.
Rukovaocu, odnosno obrađivaču na koje se ovaj zakon ne primenjuje, u cilju dokazivanja preduzimanja mera zaštite od strane rukovaoca i obrađivača, a u okviru prenosa njihovih podataka o ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 5) ovog zakona, može se izdati sertifikat, sa odgovarajućim žigovima i oznakama, u skladu sa stavom 5. ovog člana, pod uslovom da oni putem ugovora ili drugog pravno obavezujućeg akta prihvate primenu ovih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose.
Postupak izdavanja sertifikata je dobrovoljan i transparentan.
Postojanje izdatog sertifikata ne može uticati na zakonske obaveze rukovaoca i obrađivača, niti na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikat izdaje sertifikaciono telo iz člana 62. ovog zakona ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik, u skladu sa ovlašćenjima iz člana 79. stav 3. ovog zakona.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu iz člana 62. ovog zakona, odnosno Povereniku, ako je zahtev upućen njemu, omoguće pristup radnjama obrade i pruže sve informacije o obradi koje su neophodne za sprovođenje postupka izdavanja sertifikata.
Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijume za izdavanje sertifikata.
Sertifikat iz stava 7. ovog člana se ukida u slučaju kad sertifikaciono telo, odnosno Poverenik, ako je zahtev upućen njemu, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikata.
Poverenik vodi i javno objavljuje na svojoj internet stranici spisak sertifikacionih tela i izdatih sertifikata, sa odgovarajućim žigovima i oznakama.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Sertifikaciona tela
Član 62
Sertifikaciono telo, koje ima odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje je akreditovano u skladu sa zakonom kojim se uređuje akreditacija, izdaje, obnavlja i ukida sertifikat, zajedno sa žigom i oznakom, posle obaveštavanja Poverenika o odluci koja se namerava doneti, što ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikaciono telo iz stava 1. ovog člana može biti akreditovano samo ako:
1) dokaže Povereniku svoju nezavisnost i stručnost u odnosu na predmet sertifikacije;
2) se obavezalo na poštovanje propisanih kriterijuma iz člana 61. stav 5. ovog zakona;
3) propiše postupak za izdavanje, periodičnu proveru i ukidanje sertifikata, žiga i oznake;
4) propiše postupak i odredi organe za postupanje po pritužbama protiv rukovaoca i obrađivača zbog vršenja radnji obrade na način suprotan izdatom sertifikatu i učini ih dostupnim javnosti i licu na koje se podaci odnose;
5) dokaže Povereniku da u izvršavanju njegovih poslova ne može nastati sukob interesa.
Poverenik propisuje kriterijume za akreditaciju sertifikacionog tela, na osnovu uslova iz stava 2. ovog člana.
Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikaciono telo i dalje ispunjava propisane uslove i kriterijume za akreditaciju.
Akreditacija sertifikacionog tela se ukida ako se utvrdi da ono više ne ispunjava uslove i kriterijume za akreditaciju ili ako se utvrdi da sertifikaciono telo krši odredbe ovog zakona.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i ukidanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili ukidanje sertifikata.
Poverenik objavljuje kriterijume za akreditaciju iz stava 3. ovog člana.
Sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici Srbiji, ako je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika Srbija.
Ako je sertifikaciono telo koje je sprovelo sertifikaciju akreditovano od strane nacionalnog tela druge države, koje je sa Akreditacionim telom Srbije potpisalo sporazum kojim se međusobno priznaje ekvivalentnost sistema akreditacije u obimu koji je određen potpisanim sporazumom, u Republici Srbiji se mogu prihvatiti sertifikati tog sertifikacionog tela, bez ponovnog sprovođenja postupka sertifikacije.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.