Vlasnik PR DISKUSSANA, STEFAN KOSTADINOVIĆ, Beograd, ulica Pilota Mihaila Petrovića broj 7, pib:112647762, mb:66254968 postupajući u skladu sa Zakonom o zaštiti podataka o ličnosti („Sl. Glasnik RS“ br. broj 87 od 13. novembra 2018. godine (u daljem tekstu: Zakon)), donosi danom osnivanja, sledeći:

PRAVILNIK O ZAŠTITI PODATAKA O LIČNOSTI

Član 1.

Ovim Pravilnikom uređuje se primena Pravilnika, značenje upotrebljenih izraza, načela obrade podataka o ličnosti, zakonitost obrade, pristanak za obradu, uslovi za davanje pristanka, prava lica na koje se podaci odnose, obaveze rukovaoca, obaveze obrađivača, saradnja sa državnim organima, unutrašnji postupak ostvarivanja zaštite prava, prenos podataka, prenos i otkiravanje podataka o ličnosti na osnovu odluke državnih organa, pravna sredstva za ostvarivanje prava i izmene i dopune Pravilnika, a u vezi sa ostvarivanjem prava na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti.

Član 2.

Ovim Pravilnikom se obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.

Sve pravne radnje i pravni odnosi koji nastanu u vezi sa donosiocem ovog Pravilnika moraju biti u skladu sa odredbama ovog Pravilnika.

Član 3.

Ovaj Pravilnik primenjuje se na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka.

Način obrada podataka o ličnosti od strane donosioca ovog Pravilnika će biti unapred određen i saopšten korisniku podataka o ličnosti po principu načela transparentnosti.

Član 4.

Ovaj Pravilnik se primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose koji ima prebivalište, odnosno boravište na teritoriji Republike Srbije i koje se na jasan i nedvosmislen način identifikovalo putem ličnog imena ili identifikacionog broja ili na drugi način koji omogućava nesumnjivu identifikaciju lica na koje se podaci odnose.

Lice na koji se podaci odnose je dužno da savesno, zakonito i odgovorno koristi svaki način da se identifikuje i snosiće materijalnu, krivičnu i drugu zakonom propisanu odgovornost ako zloupotrebom identifikuje treće lice ili se predstavi kao treće lice u cilju ostvarivanja prava propisanih ovim Pravilnikom i Zakonom.

Radi ostvarivanja prava propisanih ovim Pravilnikom lice na koje se podaci odnose dužno je da se identifikuje na način propisan odredbom stava 1. ovog člana u suprotnom rukovalac nije dužan da zadrži, pribavi ili obrdi dodatne informacije radi identifikacije tog lica samo u cilju primene ovog Pravilnika.

Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje lice na koje se podaci odnose, informisaće na odgovarajući način lice na koje se podaci odnose, ako je to moguće.

Član 5.

Pojedini izrazi u ovom Pravilniku imaju sledeće značenje:

1) „podatak o ličnosti“ je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;

2) „lice na koje se podaci odnose“ je  fizičko lice čiji se podaci o ličnosti obrađuju shodno odredbi člana 4. Pravilnika;

3) „obrada podataka o ličnosti“ je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu:obrada);

4) „ograničavanje obrade“ je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti.

5) „profilisanje“ je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;

6) „pseudonimizacija“ je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;

7) „zbirka podataka“ je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama;

8) „rukovalac“ je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje:

9) „obrađivač“ je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca;

10) „primalac“ je fizičko  ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;

11) „treća strana“ je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača;

12) „pristanak“ lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvsmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;

13) „povreda podataka o ličnosti“ je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima  o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;

14) „genetski podatak“ je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla;

15) „biohemijski podatak“ je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci.

16) „podaci o zdravlju“ su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju;

17) „privredni subjekat“ je fizičko ili pravno lice koje obavlja privrednu delatnost, bez obzira na njegov pravni oblik, uključujući i ortačko društvo ili udruženje  koje redovno  obavlja privrednu delatnost.

18) „Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)“ je nezavisan i samostalni organ vlasni ustanovljen na osnovu Zakona koji je nadležan za nadzor nad sprovođenjem Zakona i obavljanje drugih poslova propisanih zakonom;

19) „usluga informacionog društva“ je svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu, elektronskim sredstvima na zahtev primaoca usluga;

20) „organ vlasti“ je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;

21) „Korisnik“ – svako fizičko ili pravno lice ili fizička ili pravna lica koja pristupaju pristupnoj tački vezivanja servisa preko određene IP adrese ili lice čiji se podaci o ličnosti  obrađuju – ovaj izraz može biti korišćen u oba značenja u kom slučaju će mu cilj regulisanja pojedinih odredbi određivati značenje;

22) „Servis“ – svaki tekst, slika, video, komentar, vizualni materijal, kombinacija teksa, videa, slike, imena, kontakt podataka ili ličnih podataka koji može biti dostupan preko  usluga informacionog društva;

23) „Veb stranica, blog, pružala informacionih usluga, servisni provajder, ISP (information service provider, information society service provider, online service providers or intermediary)“ – određen i fiksni sadržaj koji može biti predmet autorskih ili srodnih prava, emanacije duha, novinski članak koji može biti sastavljen i od ostalih sadržaja urađenih od strane korisnika usluga ili dostupnih korišćenjem servisa koji može izražavati slobodu misli, novinarsko izražavanje ili stav autora, a koji je određen uređivačkom politikom pružaoca usluga ili je posledica tehničkih svojstva servisa;

24) „Komunikacija u reklamne i komercijalne svrhe“ – svaki oblik komunikacije kreiran da promoviše, direktno ili indirektno, određene robe ili usluge, servis, privredna društva, organizacije ili pojedince koji obavljaju određenu privrednu ili drugu registrovanu delatnost u okviru svojih pravnih i ličnih svojstva ličnosti;

25) „Tehnološke mere“ – svaka tehnologija, uređaj ili deo uređaja koji u normalnom svojstvu korišćenja su stvoreni sa ciljem da spreče ili onemoguće radnje koje mogu da ugroze servis i korisnike. Ovaj izraz može biti korišćen i u negativnom svojstvu kada označava tehnologiju, uređaj ili deo uređaja koji se koristi sa ciljem ugrožavanja ili uništavanja celog ili dela sadržaja servisa ili tehničkkih svojstva mreže uređaja, računara ili računarskih podataka, a koji se koristi suprotno pozivitnim propisima i prirodi servisa;

26) „Mere sigurnosti“ – svaki proces ili mera koji su deo servisa i koji su stvoreni sa ciljem da zaštite korisnike i sadržaj servisa, a koja po prirodi predstavljaju različita tahnološka rešenja koja štite, čuvaju i onemogućavaju protivpravnu upotrebu sadržaja servisa, ako i protivpravni pristup, korišćenje, upotrebu, menjanje, uništenje, objavljivanje sadržaja suprotno njegovoj nameni, a što za posledicu može imati povredu poverljivosti podataka, pravne zaštite ili namene sadržaja;

Član 6.

Donosilac ovog Pravilnika kada obrađuje podatke o ličnosti u svojstvu rukovaoca ili obrađivača drži se shodno Zakonu sledećih načela obrade:

1. Načela zakonitost, poštenje i transparentnost – podaci o ličnosti će se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose. Zakonita obrada je obrada koja se vrši u skladu sa Zakonom o zaštiti podataka o ličnosti, odnosno drugim zakonom kojim se uređuje obrada;

2. Načela ograničenje u odnosu na svrhu obrade – podaci o ličnosti se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama;

3. Načela minimizacije podataka – podaci o ličnosti će biti primereni, bitni ograničeni na ono što je neophodno u odnosu na svrhu obrade;

4. Načela tačnost – podaci o ličnosti će biti tačni ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave;

5. Načela ograničenje čuvanja – podaci o ličnosti će se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade;

6. Načela integritet i poverljivost – podaci o ličnosti će se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih organizacionih i kadrovskih mera.

Rukovalac je prilikom svake obrade podataka o ličnosti predočiti primenu odredaba stava 1. ovog člana.

Član 7.

Donosilac ovog Pravilnika će vršiti obradu podataka o ličnosti na osnovu pravila propisanih u ovom Pravilniku

Obrada podataka o ličnosti može biti zakonita ako je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora ili je nepohodna u cilju poštovanja pravnih obaveza rukovaoca ili je neophodna u cilju zaštite životno važećih interesa lica na koje se podaci odnose ili drugog fizičkog lica ili je obrada neophdna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca ili je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.

Obrada koja se vrši shodno odredbi stava 2. ovog člana vrši se shodno odredbama člana 14. Zakona.

Član 8.

Pristanak na obradu se može dati u formi pismene izjave ili elektronskog zapisa na način da se nedvosmisleno može identifikovati korisnik shodno odredbi člana 4. Pravilnika.

Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči.

Član 9.

Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku.

Opoziv ne utiče na doputenost obrade koja je vršena na osnovu pristanka pre opoziva.

Član 10.

Maloletno lice koje je navršilo 15. godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.

Ako se radi o maloletnom licu koje nije navršilo 15. godina, za obradu podataka iz stava 1. ovog člana pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.

Korisnik koji ima manje od 15. godina obavezan je da se uzdrži od korišćenja servisa i usluga informacionog društva koje pruža donosilac ovog Pravilnika.

Korisnik koji ima manje od 18. godina i čiji lični podaci treba da budu obrađeni radi stupanja u pravni odnos sa donosiocem ovog Pravilnika dužan je da predoči donosiocu ovog Pravilnika saglanost roditelja ili zakonskih zastupnika i donosilac ovog Pravilnika ima pravo da odbije predlog za obradu podataka o ličnosti korisnika mlađeg od 18. godina ukoliko isti nije u stanju da dokaže da ima potrebnu saglasnost.

Član 11.

Kada donosilac ovog Pravilnika obrađuje podatke o ličnosti u svojstvu rukovaoca ili obrađivača, lice na koje se podaci odnose ima pravo na informisanje o načinu obrade podataka o ličnosti i načinu  pristupa podacima o ličnosti, pravo na ispravku i dopunu, pravo na brisanje podataka o ličnosti, pravo na ograničenje obrade, pravo da bude obavešteno u vezi sa ispravkom ili brisanjem podataka i ograničenjem obrade, pravo na osnovu prenosa podataka, pravo na prigovor, pravo na prigovor na automatizovano donošenje pojedinačnih odluka i profilisanje i ograničenje prava.

Kada donosilac ovog Pravilnika obrađuje podatke o ličnosti u svojstvu rukovaoca ili obrađivača, dužan je da licu na koje se podaci odnose pruži pomoć pri ostvarivanju prava na pristup podacima o ličnosti, prava na ispravku i dopunu, prava na brisanje podataka o ličnosti, prava da bude obavešteno  u vezi sa ispravkom ili brisanjem i ograničenjem obrade, prava na prenos podataka, prava na prigovor i prava na prigovor na automatizovano donošenje pojedinačih odluka i profilisanje.

Ukoliko donosilac ovog Pravilnika obrađuje podatke o ličnosti u svojstvu rukovaoca ili obrađivača, a nije u mogućnosti  shodno odrebi člana 4. ovog Pravilnika da identifikuje lice na koje se podaci odnose ili nije više potrebno da identifikuje lice na koje se podaci odnose shodno odredbi člana 20. stav 1. Zakona donosilac ovog Pravilnika nje dužan da zadrži, pribavi ili obradi dodatne informacije radi identifikacije tog lica samo u cilju primene ovog Pravilnika i Zakona, pri čemu je dužan da o tome na odgovarajući način informiše to lice, ako je to moguće.

U tom slučaju ne primenjuju se odredbe člana 26. stav 1. do 4., člana 29. člana 30. stav 1. do 5. člana 31. stav 1. do 3. člana 33. stav 1. i 2. i člana 36. stav 1. do 4. Zakona, osim ako lice na koje se podaci odnose u cilju ostvarivanja prava iz tih članova, dostavi dodatne informacije koje omogućavaju njegovu identifikaciju.

Kada donosilac ovog Pravilnika obrađuje podatke o ličnosti u svojstvu rukovaoca ili obrađivača dužan je da lice na koje se podaci odnose informiše o postupanju na osnovu zahteva za ostvarivanje prava na pristup podacima o ličnosti, pravu na ispravku i dopunu, pravu na brisanje podataka o ličnosti, pravu da bude obavešteno u vezi sa ispravkom ili brisanjem podataka i ograničenjem obrade, pravu na prenos podataka, pravu na prigovor i pravu na prigovor na automatizovano donošenje pojedinačnih odluka i profilisanje bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva.

Rok iz prethodnog stava može biti produžen još za 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva.

Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacije će se pružiti elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacije pruže na drugi način.

Ako podnosilac ovog Pravilnika obrađuje podatke u svojstvu rukovaoca i ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja a najkasnije u roku od 30 dana od dana prijema zahteva.

Pravo na ostvarivanje prava propisanim ovim Pravilnikom se ostvaruje bez naplaćivanja naknade osim ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja u kom slučaju se mogu naplatiti nužni administrativni troškovi pružanja informacija, odnosno postupanja po zahtevu ili odbiti zahtev za postupanje.

Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev za ostvarivanje prava propisanih stavom 1. ovog člana može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta lica.

Član 12.

Ako se podaci o ličnosti prikupljaju od lica na koje se odnose, rukovalac je dužan da u trenutku prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:

1) identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;

2) kontakt pdoatke lica za zaštitu podataka o ličnosti, ako je ono određeno;

3) o svrsi nameravane obrade i pravnom osnovu za obradu;

4) o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrš na osnovu obrade koja je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim inteesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti a posebno ako je lice na koje se podaci odnose maloletno lice;

5) o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;

6) o roku čuvanja podataka o ličnosti ili, ako to nije moguće o kriterijumima za njegovo određivanje;

7) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka;

8) o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu pristanka lica na koje se podaci o ličnosti odnose za jednu ili više posebno određenih svrha ili se vrši obrada posebnih vrsta podataka o ličnosti lica na koje se podaci odnose a koje je dalo izričit pristanak za obradu za jednu ili više svrha;

1) o pravu da se podnese pritužba Povereniku;

2) o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima obavezu da da podatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju;

3) o postojanju automatizovanog donošenja odluke, uključujući profilisanje i svrsishodne informacije  o logici koja se pri tome koristi, kao i o značenju i očekivanim posledicama te obrade po lice na koje se podaci odnose.

Ako je lice na koje se podaci odnose već upoznato sa nekom od informacija iz ovog člana rukovalac nema obavezu pružanja tih informacija.

Član 13.

Ako se podaci o ličnosti ne prikupljaju od lica na koje se odnose, rukovalac je dužan da licu na koje se podaci odnose pruži informacije o pravima propisanim odredbom člana 12. ovog Pravilnika u razumnom roku posle prikupljanja podataka o ličnosti, a najkasnije u roku od 30 dana uzimajući u obzir sve posebne okolnosti obrade ili najkasnije prilikom uspostavljanja prve komunikacije, ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose, odnosno najkasnije prilikom prvog otkrivanja podataka o ličnosti, ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu.

Ako rukovalac namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljen, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi kao i sve ostal bitne informacije iz ovog člana.

Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz stava 1. i 2. ovog člana ako:

1) lice na koje se podaci o ličnosti odnose već ima te informacije;

2) je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, a naročito u slučaju obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, ako se primenjuju uslovi i mere iz člana 91. stav l Zakona ili ako je verovatno da bi izvršenje obaveza iz stava 1. ovog člana onemogućilo ili bitno otežalo ostvarivanje svrhe obrade. U tim slučajevima rukovodilac je dužan da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, što uključuje i javno objavljivanje informacija;

3) je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na kokje se podaci odnose;

4) se poverljivost podataka o  lčnosti mora čuvati u skladu sa obavezom čuvanja profesionalne tajne koja je propisana zakonom.

Član 14.

Lice na koje se podaci odnose ima pravo da od rukovaoca podnošenjem zahteva dobije informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:

1) svrsi obrade;

2) vrstama podataka o ličnosti koji se obrađuju;

3) o primaocu li vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;

4) o predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za određivanje tog roka;

5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, prava na ograničenje obrade i prava na prigovor na obradu;

6) o pravu da se podnese pritužba Povereniku;

7) dostupne informacije o izvodu podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na koje se odnose;

8) o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje, i informacijama o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.

Zahtev za ostvarivanje prava podnosi se podnošenjem zahteva doposiocu ovog Pravilnika.

Član 15.

Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave.

U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopun, što uključuje i davanje dodatne izjave.

Lice na koje se podaci odnose ostvaruje pravo garantovano stavom 1. ovog člana na način propisan ovim Pravilnikom.

Član 16.

Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti brišu od strane rukovaoca.

Rukovalac je dužan da bez nepotrebno odlaganja podatke iz stava 1. ovog člana izbriše u sledećim slučajevima:

1) podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;

2) lice na koje se podaci o ličnosti odnose je opozvalo pristanak za obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;

3) lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa:

1. pravom na podnošenje prigovora na automatizovano donošenje pojedinačnih odluka, a nema drugog pravnog osnova za obradu koji preteže nad legitimnim interesom, pravom ili slobodom lica na  koje se podaci odnose;

2. pravom lica na koje se podaci odnose da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem

1) podaci o ličnosti su nezakonito obrađivani;

2) podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza rukovaoca;

3) podaci o  ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva odnosno u vezi sa pristankom maloletnog lica u vezi sa korišćenjem usluga informacionog društva.

Ukoliko donosilac ovog Pravilnika lične podatke učini javno dostupnim njegova obaveza da izbriše podatke u skladu sa stavom 1. ovog člana obuhvata i preduzimanje svih razumnih mera, uključujući i tehničke mere, u  skladu sa dostupnim tehnologijama i  mogućnostima snošenja troškova njihove upotrebe, u cilju obaveštavanja drugih rukovaoca koji te podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema ovim podacima.

Lice na koje se podaci odnose podnosi zahtev za ostvarivanje prava iz stava 1. ovog člana rukovaocu na način propisan ovim Pravilnikom.

Stavovi 1. do 3. ovog člana ne primenjuju se u meri u kojoj je obrada neophodna zbog:

1) ostvarivanja slobode izražavanja i informisanja;

2) poštovanje zakonske obaveze rukovaoca kojom se zahteva obrada ili izvršenja poslova u javnom interesu ili izvršenja službenih ovlašćenja rukovaoca;

3) svrhe arhiviranja u javnom interesu, svrhe naučnog ili istorijskog istraživanja, kao i statističke svrhe u skladu sa članom 92. stav 1. ovog Zakona, a opravdano se očekuje da bi ostvarivanje prava iz st. 1 i 2. ovog člana moglo da onemogući ili bitno ugrozi ostvarivanje ciljeva te svrhe;

Član 17.

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od stsrane rukovaoca ako je ispunjen jedan od sledećih slučajeva:

1) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnossti;

2) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;

3) rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;

4) lice na koje se podaci odnose je podnelo prigovor na automatizovano donošenje pojedinačnih odluka, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.

Ako je obrada ograničena u skladu sa stavom 1. ovog člana, ti  podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose, osim ako se radi o njihovom pohranjivanju ili u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili zbog zaštite prava drugih fizičkih, odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa.

Ako je obrada ograničena u skladu sa stavom 1. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.

Član 18.

Rukovalac je dužan da obavesti sve primaoce kojima su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava.

Rukovalac je dužan da lice na koje se podaci odnose, na njegov zahtev, informiše o svim primaocima iz stava 1. ovog člana.

Član 19.

Lice na koje se podaci odnose ima pravo da njegove podatke o ličnsoti koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, ako su zajedno ispunjeni sledeći uslovi:

1) obrada je zasnovana na pristanku lica na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha, ili se obrađujue posebna vrsta podataka o ličnosti a lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka ili na osnovu ugovora, a obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;

2) obrada se vrši automatizovano.

Pravo iz stava 1. ovog člana obuhvata i pravo lica da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to tehnički izvodljivo.

Ostvarivanje prava iz stava 1. ovog člana nema uticaja na ostvarivanje prava na brisanje podataka.

Pravo iz stava 1. ovog člana se ne može ostvariti ako je obrada nužna za izvršenje poslova od javnog interesa ili za vršenje službenih ovlašćenja rukovaoca.

Ostvarivanje prava iz stava 1. ovog člana ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.

Član 20.

Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice na koje se podaci odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti, koja se vrši u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca ili u cilju ostvarivanja  legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim inbteresima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice, uključujući i profilisanje koje se zasniva na tim odredbama. Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji  se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem.

Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.

Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori to lice na postojanje prava iz st. 1 i 2 ovog člana i da ga upozna sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.

U korišćenju usluga informacionog društva, lice na koje se podaci odnose ima pravo da podnese prigovor automatizovanim putem, u skladu sa tehničkim  specifikacijama korišćenja usluga.

Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, lice na koje se podaci odnose na osnovu svoje posebne situacije ima pravo da podnese prigovor na obradu svojih podataka o ličnosti, osim ako je obrada neophodna za obavljanje poslova u javnom interesu.

Prigovor se podnosi rukovaocu na način predviđen ovim Pravilnikom.

Član 21.

Lice  na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu autmatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.

Stavom 1. ovog člana ne primenjuje se ako je odluka:

1) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;

2) zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose;

3) zasnovana na izričitom pristanku lica na koje se podaci odnose.

U slučaju iz stava 1. tač. 1) i 3) ovog člana rukovalac je dužan da primeni odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i pravo lica na koje se podaci odnose da ospori odluku pred ovlašćenim licem rukovaoca.

Pravo iz ovog člana se ostvaruje na način propisan ovim Pravilnikom.

Odluke iz stava 2. ovog člana ne mogu se zasnivati na posebnim vrstama podataka o ličnosti, osim ako je lice na koje se podaci odnose dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim ako je zakonom propisano da se obrada ne vrši na osnovu pristanka ili se obrađuju podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim i ako su obezbeđene odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na  koje se podaci odnose.

Član 22.

Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac će bez nepotrebnog odlaganja o povredi obavestiti lice na koje se podaci odnose.

U obaveštenju iz stava 1. ovog člana rukovalac će na jasan i razumnjiv način opisati prirodu povrede podataka i navesti sledeće informacije:

1) način na koji se mogu dobiti podaci o povredi;

2) opis mogućih posledica povrede;

3) opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih poslecica.

Član 23.

U slučaju da je donosilac ovog Pravilnika u ulozi rukovaoca preduzeće odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa Zakonom i ovim Pravilnikom, činjenjem ovog Pravilnika dostupnim korisniku, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika  i nivo  rizika za prava i slobode fizičkih lica.

Član 24.

Kada donosilac ovog Pravilnika postupa u ulozi rukovaoca obezbedi će da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.

Za potrebe ostvarivanja prava korisnika, donosilac ovog Pravilnika kada postupa u ulozi rukovaoca staviće na raspolaganje posebno sredstvo komunikacije za zaštitu prava korisnika.

Član 25.

Kada se obrada vrši u ime rukovaoca, rukovalac će odrediti kao obrađivača samo ono lice ili organ vlasti koji su potpunosti garantuje primenu pravila propisanih ovim Pravilnikom, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama Zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose kao što je ovde propisano.

Ukoliko Poverenik izradi standardne ugovorne klauzule koje se odnose na obaveze rukovaoca iz stava 1. ovog člana, posebno uzimajući u obzir evropsku praksu u izradi standardnih ugovornih klauzula, donosilac ovog Pravilnika će iste primeniti u odnosu  sa obrađivačem i može shodno izvršiti izmene i dopune ovog Pravilnika.

Donosilac ovog Pravilnika će obezbediti da obrađivač, odnosno drugo lice kojke je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca, osim ako je takva obrada propisana zakonom.

Član 26.

Donosilac ovog Pravilnika kada postupa u ulozi rukovaoca ili obrađivača i kada prenosi podatke o ličnosti radi dalje obrade u drugu državu ili međunarodnu organizaciju, će o tome posebno obavestiti korisnika i postupace u skladu sa odredbama Zakona.

Član 27.

Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama Zakona.

U cilju pojednostavljivanja podnošenja pritužbe, Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva komunikacije.

Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu lica da pokrene sudski postupak radi zaštite prava lica.

Član 28.

Lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da mu je, suprotno Zakonu o zaštiti podataka o ličnosti, od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno pravo propisano Zakonom.

Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba Zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.

Član 29.

Na ono što posebno nije uređeno ovim Pravilikom primenjivaće se odgovarajuće odredbe Zakona.

Član 30.

Ovaj pravilnik stupa na snagu danom donošenja.

U ______________________,                               Odgovorno lice