Novi podzakonski akti Zakona o zaštiti podataka o ličnosti

Zaštita podataka

Uroš Popović & Miloš Andrejević

Publisher: Bojović Drašković Popović & Partners

Primena Zakona o zaštiti podataka o ličnosti ("Sl. glasnik RS", br. 87/2018) („Zakon“) će početi počevši od 21. avgusta 2019. godine. Prelaznim i završnim odredbama Zakona je propisano da će podzakonski akti predviđeni Zakonom biti doneti u roku od devet meseci od dana stupanja na snagu ovog Zakona. S tim u vezi, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik”) je do sada doneo pet podzakonskih akata, koji će se primenjivati od dana primene Zakona, dakle od 21. avgusta 2019. godine. Poverenik će u narednom periodu nastaviti sa radom na donošenju drugih podzakonskih akata u skladu sa Zakonom. U nastavku će biti prikazan pregled podzakonskih akata donetih do sada. 

1.     Pravilnik o obrascu i načinu vođenja evidencije lica za zaštitu podataka o ličnosti („Službeni glasnik RS“, broj 40/2019)

Ovaj pravilnik utvrđuje obrazac i način vođenja evidencije lica za zaštitu podataka o ličnosti („Evidencija”). Evidenciju vodi Poverenik, a ista sadrži podatke o:

-       rukovaocu, odnosno obrađivaču (ime, prezime i adresu, odnosno naziv i sedište) i

-       licu za zaštitu podataka o ličnosti (ime, prezime, adresu, i-mejl i broj telefona).

Rukovalac, odnosno obrađivač dostavlja Povereniku podatke iz Evidencije, i to u pisanom obliku, neposredno, putem pošte ili na i-mejl adresu: licezazastitu@poverenik.rs. Evidencija je jedinstvena i vodi se u elektronskom obliku na obrascu koji je priložen uz Pravilnik.

Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.

2.     Pravilnik o obrascu i načinu vođenja interne evidencije o povredama Zakona o zaštiti podataka o ličnosti i merama koje se u vršenju inspekcijskog nadzora preduzimaju („Službeni glasnik RS“, broj 40/2019)

Ovaj pravilnik propisuje obrazac i način vođenja interne evidencije o povredama Zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju.

Evidenciju o povredama Zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju (“Interna evidencija”) vodi Poverenik.

Interna evidencija sadrži podatke o:

-       rukovaocu ili obrađivaču koji je povredio Zakon (ime i prezime ili naziv, prebivalište, boravište ili sedište),

-       povredi Zakona (opis povrede i član Zakona koji je povređen),

-       merama koje su preduzete i

-       postupanju rukovaoca ili obrađivača po izrečenim merama.

Interna evidencija je jedinstvena i vodi se u Stručnoj službi Poverenika, u elektronskom obliku. Grafički prikaz obrasca Interne evidencije dat je na obrascu kao prilog Pravilnika.

Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.

3.     Pravilnik o obrascu obaveštenja o povredi podataka o ličnosti i načinu obaveštavanja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti o povredi podataka o ličnosti („Službeni glasnik RS“, broj 40/2019)

Ovaj pravilnik utvrđuje obrazac obaveštenja o povredi podataka o ličnosti (“Obrazac obaveštenja”) i način obaveštavanja Poverenika o povredi podataka o ličnosti. Obrazac obaveštenja sastavni je deo Pravilnika.

Obrazac obaveštenja sadrži:

-       Podatke o rukovaocu,

-       Podatke o povredi podataka,

-       Opis mogućih posledica povrede, 

-       Opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo,

-       Ostale podatke od značaja za obaveštavanje o povredi podataka.

Rukovalac dostavlja Povereniku obaveštenje o povredi podataka u pisanom obliku, neposredno ili putem pošte, a može da dostavi i skenirani primerak obaveštenja na i-mejl adresu: povredapodataka@poverenik.rs.

Rukovalac je obavezan da dostavi Povereniku obaveštenje o povredi podataka o ličnosti na Obrascu obaveštenja u roku od 72 časa od saznanja za povredu. U slučaju da rukovalac u trenutku dostavljanja obaveštenja Povereniku ne može da unese sve podatke, dužan je da podatke koji nedostaju naknadno dostavi na isti način na koji je dostavljeno obaveštenje. Rukovalac koji ne postupi u propisanom roku, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.

Rukovalac uz obaveštenje dostavlja i evidencije radnji obrade koje se odnose na podatke koji su bili predmet povrede podataka o ličnosti, a koje rukovalac vodi u skladu sa članom 47 Zakona.

Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.

4.     Pravilnik o obrascu pritužbe („Službeni glasnik RS“, broj 40/2019)

Ovaj pravilnik utvrđuje obrazac pritužbe koju fizičko lice može podneti Povereniku ukoliko smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama Zakona.

Pritužba se dostavlja Povereniku u pisanom obliku, neposredno ili putem pošte, a može da se dostavi i skenirani primerak pritužbe na i-mejl adresu: prituzba@poverenik.rs. Ukoliko se pritužba dostavlja u pisanom obliku, dostavlja se na adresu: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Bulevar kralja Aleksandra 15, Beograd.

Obrazac pritužbe sadrži sledeće podatke:

-       Podaci o pritužiocu,

-       Podaci o rukovaocu podataka o ličnosti protiv koga se podnosi pritužba,

-       Pravo koje je povređeno,

-       Razlozi pritužbe.

U pritužbi se po potrebi mogu navesti i druge korisne informacije koje ukazuju na to da je u konkretnom slučaju obrada podataka o ličnosti izvršena suprotno odredbama Zakona.

Ukoliko fizičko lice smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama Zakona, a pritužbu ne podnosi na propisanom obrascu, trebalo bi da navede podatke koji će omogućiti postupanje po pritužbi.

Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.

5.     Odluka o listi vrsta radnji obrade podataka o ličnosti za koje se mora izvršiti procena uticaja na zaštitu podataka o ličnosti i tražiti mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti („Službeni glasnik RS“, broj 45/2019)

 Ova odluka je materijalno najrelevantniji podzakonski akt donet do sada iz razloga što utvrđuje listu radnji obrade podataka o ličnosti za koje rukovalac, pre nego što započne sa obradom, mora izvršiti procenu uticaja i mora tražiti mišljenje Poverenika.

 Procena uticaja na zaštitu podataka o ličnosti vrši se u slučaju:

1)    sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega; 

2)    obrade posebnih vrsta podataka o ličnosti, odnosno podataka kojima se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrade genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima i merama bezbednosti, u velikom obimu; 

3)    sistematskog nadzora nad javno dostupnim površinama u velikoj meri;

4)    obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili za marketinške svrhe;

5)    upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;

6)    obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;

7)    obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;

8)    obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;

9)    obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

Osim u prethodno pomenutim slučajevima, rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica - lica na koje se podaci odnose.

Posle izvršene procene uticaja na zaštitu podataka o ličnosti, rukovalac je obavezan da, pre nego što započne sa obradom podataka o ličnosti, Povereniku podnese zahtev za davanje mišljenja i plati odgovarajući iznos administrativne takse.

Ova odluka je stupila na snagu 29. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.