Sadržaj/Table of Contents
- Načela obrade
- Obrada u druge svrhe
- Obrada u druge svrhe od strane nadležnih organa
- Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja u posebnim slučajevima
- Razlikovanje pojedinih vrsta lica na koje se podaci odnose
- Razlikovanje pojedinih vrsta podataka o ličnosti
- Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade koju vrše nadležni organi u posebne svrhe
- Zakonitost obrade
- Zakonitost obrade koju vrše nadležni organi u posebne svrhe
- Zakonitost obrade u posebnim slučajevima
- Pristanak
- Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva
- Obrada posebnih vrsta podataka o ličnosti
- Obrada posebnih vrsta podataka o ličnosti koju vrše nadležni organi u posebne svrhe
- Obrada u vezi sa krivičnim presudama i kažnjivim delima
- Obrada koja ne zahteva identifikaciju
Načela obrade
Član 5
Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose („zakonitost, poštenje i transparentnost“). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama („ograničenje u odnosu na svrhu obrade“);
3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade („minimizacija podataka“);
4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave („tačnost“);
5) se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade („ograničenje čuvanja“);
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera („integritet i poverljivost“).
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu („odgovornost za postupanje“).
Obrada u druge svrhe
Član 6
Izuzetno od člana 5. stav 1. tačka 2) ovog zakona, ako se dalja obrada vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, u skladu sa ovim zakonom, smatra se da se podaci o ličnosti ne obrađuju na način koji nije u skladu sa prvobitnom svrhom.
Ako obrada u svrhu koja je različita od svrhe za koju su podaci prikupljeni nije zasnovana na zakonu koji propisuje neophodne i srazmerne mere u demokratskom društvu radi zaštite ciljeva iz člana 40. stav 1. ovog zakona, ili na pristanku lica na koje se podaci odnose, rukovalac je dužan da oceni da li je ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni, posebno uzimajući u obzir:
1) da li postoji veza između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade;
2) okolnosti u kojima su podaci prikupljeni, uključujući i odnos između rukovaoca i lica na koje se podaci odnose;
3) prirodu podataka, a posebno da li se obrađuju posebne vrste podataka o ličnosti iz člana 17. ovog zakona, odnosno podaci o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona;
4) moguće posledice dalje obrade za lice na koje se podaci odnose;
5) primenu odgovarajućih mera zaštite, kao što su kriptozaštita i pseudonimizacija.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti (u daljem tekstu: u posebne svrhe).
Obrada u druge svrhe od strane nadležnih organa
Član 7
Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od svrhe za koju su podaci prikupljeni, osim ako je ta dalja obrada propisana zakonom.
Obrada koju vrše nadležni organi u posebne svrhe, koje su različite od svrhe za koji su podaci o ličnosti prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:
1) rukovalac je ovlašćen da obrađuje te podatke o ličnosti u takve druge svrhe, u skladu sa zakonom;
2) obrada je neophodna i srazmerna toj drugoj svrsi, u skladu sa zakonom.
Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja u posebnim slučajevima
Član 8
Izuzetno od člana 5. stav 1. tačka 5) ovog zakona, podaci o ličnosti koji se obrađuju isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, mogu se čuvati i u dužem roku, uz poštovanje odredaba ovog zakona o primeni odgovarajućih tehničkih, organizacionih i kadrovskih mera, a u cilju zaštite prava i sloboda lica na koje se podaci odnose.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, mora se odrediti rok kada će se ti podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.
Ako rok iz st. 1. i 2. ovog člana nije određen zakonom, određuje ga rukovalac.
Poverenik nadzire poštovanje rokova iz st. 1. do 3. ovog člana u skladu sa svojim ovlašćenjima propisanim ovim zakonom.
Razlikovanje pojedinih vrsta lica na koje se podaci odnose
Član 9
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:
1) lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;
2) lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;
3) lica koja su osuđena za krivična dela;
4) lica oštećena krivičnim delom ili lica za koja se pretpostavlja da bi mogla biti oštećena krivičnim delom;
5) druga lica koja su u vezi sa krivičnim delom, kao što su svedoci, lica koja mogu da obezbede informacije o krivičnom delu, povezana lica ili saradnici lica iz tač. 1) do 3) ovog člana.
Razlikovanje pojedinih vrsta podataka o ličnosti
Član 10
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni.
Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade koju vrše nadležni organi u posebne svrhe
Član 11
Nadležni organi koji obrađuju podatke o ličnosti u posebne svrhe su dužni da korišćenjem razumnih mera obezbede da se netačni, nepotpuni i neažurirani podaci o ličnosti ne prenose, odnosno da ne budu dostupni.
Tačnost, potpunost i ažuriranost podataka o ličnosti nadležni organi proveravaju, u meri u kojoj je to moguće, pre započinjanja prenosa, odnosno pre nego što se ti podaci učine dostupnim.
Nadležni organ koji drugom nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti, proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o ažuriranosti tih podataka.
Ako su preneti netačni podaci o ličnosti, odnosno ako su podaci o ličnosti preneti nezakonito, nadležni organ kome su podaci preneti o tome se mora obavestiti bez odlaganja, a podaci o ličnosti koji su preneti moraju biti ispravljeni ili izbrisani, odnosno njihova obrada mora biti ograničena u skladu sa ovim zakonom.
Ako se za obradu zakonom zahtevaju posebni uslovi, nadležni organ koji prenosi podatke o ličnosti dužan je da upozna primaoca podataka sa tim posebnim uslovima, kao i obavezom njihovog ispunjenja.
Zakonitost obrade
Član 12
Obrada je zakonita samo ako je ispunjen jedan od sledećih uslova:
1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ vlasti u okviru svoje nadležnosti.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Zakonitost obrade koju vrše nadležni organi u posebne svrhe
Član 13
Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade.
Zakonitost obrade u posebnim slučajevima
Član 14
Osnov za obradu iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom.
Ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom se određuje i svrha obrade, a ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom se propisuje da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Zakonom iz stava 1. ovog člana propisuje se javni interes koji se namerava ostvariti, kao i obaveza poštovanja pravila o srazmernosti obrade u odnosu na cilj koji se namerava ostvariti, a mogu se propisati i uslovi za dozvoljenost obrade od strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose, lica kojima se podaci mogu otkriti i svrha njihovog otkrivanja, ograničenja koja se odnose na svrhu obrade, rok pohranjivanja i čuvanja podataka, kao i druge posebne radnje i postupak obrade, uključujući i mere za obezbeđivanje zakonite i poštene obrade.
Pristanak
Član 15
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti.
Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.
Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva
Član 16
Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.
Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka iz stava 1. ovog člana pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.
Obrada posebnih vrsta podataka o ličnosti
Član 17
Zabranjena je obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.
Izuzetno, obrada iz stava 1. ovog člana dopuštena je u sledećim slučajevima:
1) lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka;
2) obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
3) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
4) obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
5) obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
6) obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad sud postupa u okviru svoje nadležnosti;
7) obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je takva obrada srazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose;
8) obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite, odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisane zakonom ili profesionalnim pravilima;
9) obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje odgovarajuće i posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u pogledu čuvanja profesionalne tajne;
10) obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na koje se ovi podaci odnose.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obrada posebnih vrsta podataka o ličnosti koju vrše nadležni organi u posebne svrhe
Član 18
Obrada koju vrše nadležni organi u posebne svrhe, kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica, dopuštena je samo ako je to neophodno, uz primenu odgovarajućih mera zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:
1) nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;
2) obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
3) obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti.
Obrada u vezi sa krivičnim presudama i kažnjivim delima
Član 19
Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog organa.
Obrada koja ne zahteva identifikaciju
Član 20
Ako za ostvarivanje svrhe obrade nije potrebno, odnosno više nije potrebno da rukovalac identifikuje lice na koje se podaci odnose, rukovalac nije dužan da zadrži, pribavi ili obradi dodatne informacije radi identifikacije tog lica samo u cilju primene ovog zakona.
Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje lice na koje se podaci odnose, dužan je da o tome na odgovarajući način informiše to lice, ako je to moguće.
U slučaju iz st. 1. i 2. ovog člana ne primenjuju se odredbe člana 26. st. 1. do 4, člana 29, člana 30. st. 1. do 5, člana 31. st. 1. do 3, člana 33. st. 1. i 2. i člana 36. st. 1. do 4. ovog zakona, osim ako lice na koje se podaci odnose, u cilju ostvarivanja prava iz tih članova, dostavi dodatne informacije koje omogućavaju njegovu identifikaciju.
Odredbe st. 2. i 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.