(„Службени гласник РС“, бр. 97/2008, 104/2009, 68/2012 – одлука Уставног суда РС и 107/2012)
I ОСНОВНЕ ОДРЕДБЕ
Предмет закона
Члан 1
Овим законом се уређују услови за прикупљање и обраду података о личности, права лица и заштита права лица чији се подаци прикупљају и обрађују, ограничења заштите података о личности, поступак пред надлежним органом за заштиту података о личности, обезбеђење података, евиденција, изношење података из Републике Србије и надзор над извршавањем овог закона.
Заштита података о личности обезбеђује се сваком физичком лицу, без обзира на држављанство и пребивалиште, расу, године живота, пол, језик, вероисповест, политичко и друго уверење, националну припадност, социјално порекло и статус, имовинско стање, рођење, образовање, друштвени положај или друга лична својства.
Послове заштите података о личности обавља Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник), као самосталан државни орган, независан у вршењу своје надлежности.
Циљ закона
Члан 2
Циљ овог закона је да, у вези са обрадом података о личности, сваком физичком лицу обезбеди остваривање и заштиту права на приватност и осталих права и слобода.
Значење израза у овом закону
Члан 3
Поједини изрази у овом закону имају следеће значење:
1) Податак о личности је свака информација која се односи на физичко лице, без обзира на облик у коме је изражена и на носач информације (папир, трака, филм, електронски медиј и сл.), по чијем налогу, у чије име, односно за чији рачун је информација похрањена, датум настанка информације, место похрањивања информације, начин сазнавања информације (непосредно, путем слушања, гледања и сл, односно посредно, путем увида у документ у којем је информација садржана и сл.), или без обзира на друго својство информације (у даљем тексту: податак);
2) Физичко лице је човек на кога се односи податак, чији је идентитет одређен или одредив на основу личног имена, јединственог матичног броја грађана, адресног кода или другог обележја његовог физичког, психолошког, духовног, економског, културног или друштвеног идентитета (у даљем тексту: лице);
3) Обрада података је свака радња предузета у вези са подацима као што су: прикупљање, бележење, преписивање, умножавање, копирање, преношење, претраживање, разврставање, похрањивање, раздвајање, укрштање, обједињавање, уподобљавање, мењање, обезбеђивање, коришћење, стављање на увид, откривање, објављивање, ширење, снимање, организовање, чување, прилагођавање, откривање путем преноса или на други начин чињење доступним, прикривање, измештање и на други начин чињење недоступним, као и спровођење других радњи у вези са наведеним подацима, без обзира да ли се врши аутоматски, полуаутоматски или на други начин (у даљем тексту: обрада);
4) Орган власти је државни орган, орган територијалне аутономије и јединице локалне самоуправе, односно други орган или организација којој је поверено вршење јавних овлашћења;
5) Руковалац података је физичко или правно лице, односно орган власти који обрађује податке (у даљем тексту: руковалац);
6) Збирка података је скуп података који се аутоматизовано или неаутоматизовано воде и доступни су по личном, предметном или другом основу, независно од начина на који су похрањени и места где се чувају;
7) Корисник података је физичко или правно лице, односно орган власти, који је законом или по пристанку лица овлашћен да користи податке (у даљем тексту: корисник);
8) Обрађивач података је физичко или правно лице, односно орган власти, коме руковалац на основу закона или уговора поверава одређене послове у вези са обрадом (у даљем тексту: обрађивач);
9) Писмени облик подразумева и електронски облик, под условима из закона којим се уређује електронски потпис;
10) Централни регистар збирки података (у даљем тексту: Централни регистар) је евиденција коју чини регистар збирки података и каталог збирки података коју води Повереник.
Примена закона
Члан 4
Одредбе овог закона примењују се на сваку аутоматизовану обраду, као и на обраду садржану у збирци података која се не води аутоматизовано.
Подаци на које се закон не примењује
Члан 5
Осим ако очигледно претежу супротни интереси лица, поједине одредбе овог закона о условима за обраду, као и о правима и обавезама у вези са обрадом не примењују се на обраду:
1) података који су доступни свакоме и објављени у јавним гласилима и публикацијама или приступачни у архивама, музејима и другим сличним организацијама;
2) података који се обрађују за породичне и друге личне потребе и нису доступни трећим лицима;
3) података који се о члановима политичких странака, удружења, синдиката, као и других облика удруживања обрађују од стране тих организација, под условом да члан дâ писмену изјаву да одређене одредбе овог закона не важе за обраду података о њему за одређено време, али не дуже од времена трајања његовог чланства;
4) података које је лице, способно да се само стара о својим интересима, објавило о себи.
Обрада у историјске, статистичке или научноистраживачке сврхе
Члан 6
Подаци прикупљени и обрађивани у друге сврхе могу да се обрађују искључиво у историјске, статистичке или научноистраживачке сврхе, ако не служе доношењу одлука или предузимању мера према одређеном лицу уз обезбеђивање одговарајућих мера заштите.
Мере заштите података који се архивирају у искључиво историјске, статистичке или научноистраживачке сврхе уређују се посебним прописом.
Руковалац одређен посебним прописом
Члан 7
Ако посебан пропис уређује сврху и начин обраде, руковалац може да се одреди тим прописом.
II УСЛОВИ ЗА ОБРАДУ
Недозвољеност обраде
Члан 8
Обрада није дозвољена ако:
1) физичко лице није дало пристанак за обраду, односно ако се обрада врши без законског овлашћења;
2) се врши у сврху различиту од оне за коју је одређена, без обзира да ли се врши на основу пристанка лица или законског овлашћења за обраду без пристанка, осим ако се врши у сврху прикупљања средстава за хуманитарне потребе из члана 12. тачка 2а) и члана 12а овог закона;
3) сврха обраде није јасно одређена, ако је измењена, недозвољена или већ остварена;
4) је лице на које се подаци односе одређено или одредиво и након што се оствари сврха обраде;
5) је начин обраде недозвољен;
6) је податак који се обрађује непотребан или неподесан за остварење сврхе обраде;
7) су број или врста података који се обрађују несразмерни сврси обраде;
8) је податак неистинит и непотпун, односно када није заснован на веродостојном извору или је застарео.
Одлука помоћу аутоматизоване обраде
Члан 9
Одлука која производи правне последице за лице или погоршава његов положај, не може бити искључиво заснована на подацима који се обрађују аутоматизовано и који служе оцени неког његовог својства (радне способности, поузданости, кредитне способности и сл.).
Одлука из става 1. овог члана може се донети када је то законом изричито одређено, односно када се усваја захтев лица у вези са закључењем или испуњењем уговора, уз спровођење одговарајућих мера заштите.
У случају из става 2. овог члана лице мора бити упознато са поступком аутоматизоване обраде и начином доношења одлуке.
Обрада са пристанком
Члан 10
Пуноважан пристанак за обраду може дати лице, након што га руковалац претходно обавести у смислу одредбе члана 15. овог закона.
Пуноважан пристанак лице може дати писмено или усмено на записник.
Пристанак се може дати преко пуномоћника.
Пуномоћје мора бити оверено, изузев ако законом није прописано друкчије.
Пристанак за лице које није способно за давање пристанка даје законски заступник или старалац.
Пристанак за обраду података о лицу које је умрло могу дати супружник, деца са навршених 15 година живота, родитељи, браћа и сестре, односно законски наследник или лице које је за то одредио умрли.
Опозив пристанка
Члан 11
Пристанак се може опозвати.
Пуноважан опозив лице може дати писмено или усмено на записник.
У случају опозива, лице које је дало пристанак дужно је да руковаоцу накнади оправдане трошкове и штету, у складу са прописима који уређују одговорност за штету.
Обрада података је недозвољена после опозива пристанка.
Обрада без пристанка
Члан 12
Обрада без пристанка је дозвољена:
1) да би се остварили или заштитили животно важни интереси лица или другог лица, а посебно живот, здравље и физички интегритет;
2) у сврху извршења обавеза одређених законом, актом донетим у складу са законом или уговором закљученим између лица и руковаоца, као и ради припреме закључења уговора;
2а) у сврху прикупљања средстава за хуманитарне потребе;
3) у другим случајевима одређеним овим законом, ради остварења претежног оправданог интереса лица, руковаоца или корисника.
Члан 12а
У случају из члана 12. тачка 2а) руковалац може податке о личности, које већ обрађује у одређене сврхе на основу законског овлашћења, да обрађује и у сврху прикупљања средстава за хуманитарне потребе.
Обрада од стране органа власти
Члан 13
Орган власти обрађује податке без пристанка лица, ако је обрада неопходна ради обављања послова из своје надлежности одређених законом у циљу остваривања интереса националне или јавне безбедности, одбране земље, спречавања, откривања, истраге и гоњења за кривична дела, економских, односно финансијских интереса државе, заштите здравља и морала, заштите права и слобода и другог јавног интереса, а у другим случајевима на основу писменог пристанка лица.
Прикупљање података
Члан 14
Подаци се прикупљају од лица на које се односе и од органа управе који су законом овлашћени за њихово прикупљање.
Подаци се могу прикупљати и од другог лица ако:
1) је то предвиђено уговором закљученим са лицем на које се подаци односе;
2) је то прописано законом;
3) је то неопходно с обзиром на природу посла;
4) прикупљање података од самог лица на које се односе захтева прекомерни утрошак времена и средстава;
5) се прикупљају подаци ради остварења или заштите животно важних интереса лица на које се односе, посебно живота, здравља и физичког интегритета.
Обавештавање о обради
Члан 15
Руковалац који податке прикупља од лица на које се односе, односно од другог лица, пре прикупљања, упознаће лице на које се подаци односе, односно друго лице о:
1) свом идентитету, односно имену и адреси или фирми, односно идентитету другог лица које је одговорно за обраду података у складу са законом;
2) сврси прикупљања и даље обраде података;
3) начину коришћења података;
4) идентитету лица или врсти лица која користе податке;
5) обавезности и правном основу, односно добровољности давања података и обраде;
6) праву да пристанак за обраду опозове, као и правне последице у случају опозива;
7) правима која припадају лицу у случају недозвољене обраде;
8) другим околностима чије би несаопштавање лицу на које се односе подаци, односно другом лицу било супротно савесном поступању.
Обавеза из става 1. овог члана не постоји када такво упознавање, с обзиром на околности случаја, није могуће или је очигледно непотребно, односно непримерено, а нарочито ако је лице на које се односе подаци, односно друго лице већ упознато са тиме или ако лице на које се подаци односе није доступно.
Руковалац који је податке о лицу прикупио од другог лица, упознаће са условима из става 1. овог члана, лице на које се подаци односе, без одлагања или најкасније при првој обради, осим када такво упознавање, с обзиром на околности случаја, није могуће, односно захтева прекомерни утрошак времена и средстава или је очигледно непотребно, а нарочито ако је лице на које се односе подаци већ упознато са тиме, односно ако лице на које се подаци односе није доступно или ако је прикупљање и даља обрада података од другог лица прописана законом.
У случају из става 3. овог члана, руковалац је дужан да обавести лице на које се подаци односе чим то постане могуће, односно ако лице то захтева.
Упознавање из става 1. овог члана врши се у писменом облику у случају када се за пристанак за обраду даје у писменом облику, осим ако лице на које се подаци односе, односно друго лице, пристане на усмено упознавање.
Руковалац ће обавестити лице на које се подаци односе и корисника о измени, допуни или брисању података без одлагања, а најкасније у року од 15 дана од дана измене, допуне или брисања података.
Нарочито осетљиви подаци
Члан 16
Подаци који се односе на националну припадност, расу, пол, језик, вероисповест, припадност политичкој странци, синдикално чланство, здравствено стање, примање социјалне помоћи, жртву насиља, осуду за кривично дело и сексуални живот могу се обрађивати на основу слободно датог пристанка лица, осим када законом није дозвољена обрада ни уз пристанак.
Изузетно, подаци који се односе на припадност политичкој странци, здравствено стање и примање социјалне помоћи, могу се обрађивати без пристанка лица, само ако је то законом прописано.
У случају из ст. 1. и 2. овог члана, обрада мора бити посебно означена и заштићена мерама заштите.
У случају из ст. 1. и 2. овог члана, Повереник има право увида у податке и провере законитости обраде по службеној дужности или по захтеву лица, односно руковаоца.
Начин архивирања и мере заштите података из ст. 1. и 2. овог члана, уз претходно прибављено мишљење Повереника, уређује Влада.
Пристанак за обраду нарочито осетљивих података
Члан 17
Пристанак за обраду нарочито осетљивих података даје се у писменом облику, који садржи ознаку податка који се обрађује, сврху обраде и начин његовог коришћења.
Ако давалац пристанка није писмен или из другог разлога није у стању да пристанак својеручно потпише, пристанак је пуноважан ако два сведока својим потписима потврде да писмено садржи изјаву воље даваоца пристанка.
Опозив пристанка за обраду нарочито осетљивих података
Члан 18
У случају опозива, лице које је дало пристанак дужно је да руковаоцу накнади оправдане трошкове и штету, у складу са прописима који уређују одговорност за штету, осим ако је друкчије одређено у изјави о пристанку.
На опозив пристанка за обраду нарочито осетљивих података сходно се примењује члан 11. овог закона.
III ПРАВА ЛИЦА И ЗАШТИТА ПРАВА ЛИЦА
1. Права
Право на обавештење о обради
Члан 19
Лице има право да захтева да га руковалац истинито и потпуно обавести о томе:
1) да ли руковалац обрађује податке о њему и коју радњу обраде врши;
2) које податке обрађује о њему;
3) од кога су прикупљени подаци о њему, односно ко је извор података;
4) у које сврхе обрађује податке о њему;
5) по ком правном основу обрађује податке о њему;
6) у којим збиркама података се налазе подаци о њему;
7) ко су корисници података о њему;
8) које податке, односно које врсте података о њему користе;
9) у које сврхе се користе подаци о њему;
10) по ком правном основу користи податке о њему;
11) коме се подаци преносе;
12) који подаци се преносе;
13) у које сврхе се подаци преносе;
14) по ком правном основу се подаци преносе;
15) у ком временском периоду се подаци обрађују.
Право на увид
Члан 20
Лице има право да од руковаоца захтева да му стави на увид податке који се на њега односе.
Право на увид у податке који се на њега односе обухвата право на преглед, читање и слушање података, као и прављење забележака.
Право на копију
Члан 21
Лице има право да од руковаоца захтева копију податка који се на њега односи.
Руковалац издаје копију податка (фотокопију, аудио копију, видео копију, дигиталну копију и сл.) у облику у којем се информација налази, односно у другом облику ако би у облику у коме се информација налази лицу била неразумљива.
Лице сноси нужне трошкове израде и предаје копије податка.
Права лица поводом извршеног увида
Члан 22
Лице има право да од руковаоца захтева исправку, допуну, ажурирање, брисање података, као и прекид и привремену обуставу обраде.
Лице има право на брисање података ако:
1) сврха обраде није јасно одређена;
2) је сврха обраде измењена, а нису испуњени услови за обраду за ту измењену сврху;
3) је сврха обраде остварена, односно подаци више нису потребни за остваривање сврхе;
4) је начин обраде недозвољен;
5) податак спада у број и врсту података чија је обрада несразмерна сврси;
6) је податак нетачан, а не може се путем исправке заменити тачним;
7) се податак обрађује без пристанка или овлашћења заснованог на закону и у другим случајевима када се обрада не може вршити у складу са одредбама овог закона.
Лице има право на прекид и привремену обуставу обраде, ако је оспорило тачност, потпуност и ажурност података, као и право да се ти подаци означе као оспорени, док се не утврди њихова тачност, потпуност и ажурност.
2. Ограничења
Ограничења права
Члан 23
Право на обавештење, увид и копију може се ограничити ако:
1) лице тражи обавештење из члана 19. тач. 2) и 7) до 10) овог закона, а руковалац је податке о њему унео у јавни регистар или их је на други начин учинио доступним јавности;
2) лице злоупотребљава своје право на обавештење, увид и копију;
3) је руковалац или друго лице, у складу с чланом 15. овог закона, већ упознао лице са оним о чему тражи да буде обавештен, односно ако је лице извршило увид или добило копију, а у међувремену није дошло до промене податка;
4) би руковалац био онемогућен у вршењу послова из свог делокруга;
5) би давање обавештења озбиљно угрозило интересе националне и јавне безбедности, одбране земље, или радње спречавања, откривања, истраге и гоњења за кривична дела;
6) би давање обавештења озбиљно угрозило важан привредни или финансијски интерес државе;
7) би се обавештењем учинио доступним податак за који је законом, другим прописима или актима заснованим на закону одређено да се чува као тајна, а због чијег би одавања могле наступити тешке последице по интерес заштићен законом;
8) би обавештење озбиљно угрозило приватност или важан интерес лица, посебно живот, здравље и физички интегритет;
9) се подаци о њему користе искључиво за научноистраживачке и статистичке сврхе, док такво коришћење траје.
Лице нема право на увид док траје обустава обраде ако је обрада обустављена на његов захтев.
3. Захтев
Захтев за остваривање права
Члан 24
Захтев за обавештење, увид и копију подноси се руковаоцу у писменом облику, а руковалац може прихватити и усмени захтев, из разлога ефикасности и економичности. Захтев за остваривање права поводом извршеног увида подноси се руковаоцу у писменом облику.
Захтев из става 1. овог члана садржи: податке о идентитету подносиоца (име и презиме, име једног родитеља, датум и место рођења, јединствени матични број грађана), адресу пребивалишта, односно боравишта, као и друге податке неопходне за контакт.
Захтев који подноси законски наследник умрлог лица садржи и податке о идентитету умрлог. Уз захтев се прилаже извод из матичне књиге умрлих, као и доказ о сродству подносиоца са умрлим.
Неписмено лице, односно лице које због телесних или других недостатака није у могућности да захтев сачини у писменом облику може захтев усмено саопштити у записник.
Руковалац може прописати образац за подношење захтева, али је дужан да размотри и захтев који није сачињен на том обрасцу.
Ако је захтев неразумљив или непотпун, руковалац је дужан да поучи подносиоца како да недостатке отклони.
Ако подносилац не отклони недостатке у одређеном року, а најдуже у року од 15 дана од дана пријема поуке о допуни, а недостаци су такви да се по захтеву не може поступати, руковалац ће закључком одбацити захтев као неуредан.
4. Одлучивање
Одлучивање о захтеву за обавештење, увид и копију
Члан 25
Руковалац је дужан да обавештење о поднетом захтеву изда без одлагања, а најкасније у року од 15 дана од дана подношења. Обавештење се даје у писменом облику, а изузетно се може дати и усмено ако на то пристане подносилац.
Руковалац је дужан да без одлагања, а најкасније у року од 30 дана од дана пријема уредног захтева за увид, односно за издавање копије, омогући подносиоцу да изврши увид, односно да му преда копију.
Руковалац ће заједно са обавештењем о томе да ће подносиоцу захтева ставити на увид податак, односно издати му копију податка, саопштити и време, место и начин на који ће му податак бити стављен на увид, износ нужних трошкова израде копије податка, а у случају да не располаже техничким средствима за израду копије, упознаће подносиоца са могућношћу да употребом своје опреме изради копију.
Подносилац захтева из става 2. овог члана може из оправданих разлога тражити да увид у податке изврши у друго време. Увид у податке врши се по правилу у службеним просторијама руковаоца.
Ако руковалац није у могућности, из оправданих разлога, да поступи по захтеву у прописаном року, обавестиће о томе подносиоца и одредити нови рок за поступање који не може бити дужи од 30 дана од истека рока из ст. 1. и 2. овог члана.
Ако прихвати захтев за обавештење, увид и копију, руковалац о томе сачињава забелешку.
Ако руковалац одбије захтев, о томе доноси решење са поуком о правном средству.
Ако руковалац не одговори на захтев у роковима из ст. 1. и 2. овог члана, као и ако одбије захтев, подносилац захтева може изјавити жалбу Поверенику.
Одлучивање о захтеву поводом извршеног увида
Члан 26
Руковалац је дужан да одлучи о захтеву поводом извршеног увида из члана 24. овог закона, без одлагања, а најкасније у року од 15 дана од дана подношења захтева и да о одлуци обавести подносиоца захтева.
Када руковалац одбије захтев из става 1. овог члана, у образложењу решења наводи разлоге за одбијање захтева, као и разлоге за дозвољеност обраде.
Подносилац захтева може изјавити жалбу Поверенику против решења о одбијању захтева из става 1. овог члана, у року од 15 дана од дана достављања решења.
Ако је руковалац утврдио да је захтев поводом извршеног увида основан, а не постоји техничка могућност да се без одлагања поступи по захтеву, или ако би неодложно поступање по захтеву изискивало прекомерни утрошак времена и средстава, руковалац ће по службеној дужности означити податке као оспорене и привремено обуставити њихову обраду.
Руковалац који је орган власти, а који је утврдио да је захтев поводом извршеног увида основан, означиће податак као оспорен и привремено обуставити његову обраду. Руковалац неће исправити, допунити, ажурирати и брисати податак, односно прекинути обраду ако:
1) није истекао рок за обавезно чување података;
2) је очигледно да би поступање по захтеву нанело озбиљну штету интересима других лица;
3) је због посебног начина чувања података поступање по захтеву немогуће или изискује прекомерни утрошак времена или средстава.
Ознака оспорености из члана 22. став 3. овог закона, брисаће се на основу одлуке надлежног органа или по пристанку лица на које се податак односи.
5. Начин остваривања права
Начин остваривање права на увид
Члан 27
Руковалац је дужан да подносиоцу учини доступним податак који се на њега односи, у разумљивом облику.
Руковалац је дужан да подносиоцу учини доступним све податке у стању у каквом се налазе.
Ако се податак чува у разним облицима (папир, аудио, видео или електронски запис и др), подносилац има право да изврши увид у облику који сам изабере, осим када је то неизводљиво.
Лице које није у стању да без пратиоца изврши увид у податке, може да то учини уз помоћ пратиоца.
Руковалац ће, на захтев лица којем је потребна стручна помоћ ради разумевања садржине података који се на њега односе, пружити такву помоћ.
Вршење права на увид у податке руковалац не сме условити плаћањем накнаде.
Ако руковалац располаже податком на језику на коме је поднет захтев, дужан је да подносиоцу стави на увид податак и изради копију на том језику, осим ако подносилац не одреди друкчије, а руковалац има могућности да удовољи захтеву.
Начин остваривања права на копију
Члан 28
Руковалац издаје копију податка (фотокопију, аудио копију, видео копију, дигиталну копију и сл.) у облику у којем се информација налази, односно у другом облику, ако би у облику у коме се информација налази лицу била неразумљива.
Нужне трошкове израде и предаје копије податка сноси подносилац.
6. Обрада за делатност јавних гласила
Члан 29
За обраду од стране новинара и других медијских посленика која искључиво служи публицистичкој делатности јавног гласила, изузимајући обраду која служи оглашавању, важе одредбе чл. 3, 5. и 8. тач. 1) до 5) и чл. 46. и 47. овог закона.
За потребе обраде из става 1. овог члана могу се користити и подаци који се односе на припадност политичкој странци лица, ако су важни с обзиром на јавну функцију коју лице врши.
Прикључивање одговора и других информација
Члан 30
Одговор, исправку, опозив или коју другу информацију која се објави на захтев лица на кога се односи податак из члана 29. овог закона, руковалац прикључује обрађиваном податку и чува у року за чување тог податка.
Заштита личности
Члан 31
Ако се објављивањем податка у јавном гласилу и публикацији повреди право или правно заштићен интерес лица, повређено лице може захтевати од одговорног уредника и издавача јавног гласила обавештење о подацима који се о њему обрађују, увид у податке и копију, изузев ако:
1) би се тиме открили подаци у вези са извором информације које новинар и други медијски посленик нису дужни или нису спремни да открију;
2) би се тиме открили подаци у вези са лицем које је учествовало у припреми и објављивању информације, а одговорни уредник није спреман да их открије;
3) постоје околности у којима би обавештавање, увид или израда копије битно омели обавештавање јавности о информацијама од јавног значаја.
7. Посебне одредбе
Прослеђивање захтева Поверенику
Члан 32
Када руковалац не обрађује податак, проследиће захтев Поверенику, осим ако се подносилац захтева томе противи.
Поступање Повереника
Члан 33
По пријему захтева Повереник проверава да ли руковалац обрађује тражени податак.
Ако утврди да руковалац не обрађује податак, Повереник ће доставити захтев руковаоцу који обрађује податак и о томе ће обавестити подносиоца захтева или ће га упутити на руковаоца који обрађује податак, у зависности од тога на који ће се начин ефикасније остварити захтев.
Ако утврди да руковалац обрађује податак, Повереник ће решењем наложити руковаоцу да одлучи о захтеву.
Руковалац одлучује о достављеном захтеву из става 2. овог члана у роковима из члана 25. став 1. и члана 26. став 1. овог закона од дана достављања, а у случају из става 3. овог члана у року од седам дана од дана достављања решења Повереника.
Пуномоћник
Члан 34
Права прописана овим законом могу се остварити лично или преко пуномоћника.
Пуномоћје мора бити оверено.
Чување и коришћење у случају смрти
Члан 35
У случају смрти и проглашења несталог лица за умрло, подаци који су прикупљени на основу уговора, односно сагласности у писменом облику, чувају се у складу са условима утврђеним у уговору, односно пристанку, а подаци који су прикупљени на основу закона чувају се најмање годину дана од дана смрти, односно проглашења несталог лица за умрло, а након тога се уништавају. О уништавању података сачињава се забелешка.
Пристанак за коришћење података о умрлом лицу дају лица из члана 10. став 6. овог закона.
Обавеза руковаоца
Члан 36
Ако је збирка података успостављена уговором, односно на основу пристанка у писменом облику, у случају раскида уговора, односно повлачења пристанка у писменом облику, руковалац је обавезан да податке брише у року од 15 дана од дана раскида уговора, односно повлачења пристанка, осим ако је другачије прописано или уговорено.
Сходна примена одредаба закона о управном поступку
Члан 37
На поступак одлучивања о захтевима примењују се одредбе закона којим се уређује општи управни поступак, осим ако овим законом није друкчије одређено.
IV ПОСТУПАК ПО ЖАЛБИ
Право на жалбу
Члан 38
Подносилац захтева за остваривање права у вези са обрадом може изјавити жалбу Поверенику:
1) против одлуке руковаоца којом је одбијен или одбачен захтев;
2) када руковалац не одлучи о захтеву у прописаном року;
3) ако руковалац не стави на увид податак, односно не изда копију податка или то не учини у року и на начин прописан овим законом;
4) ако руковалац услови издавање копије података уплатом накнаде која превазилази износ нужних трошкова израде копије;
5) ако руковалац, супротно закону, отежава или онемогућава остваривање права.
Жалба се може изјавити у року од 15 дана од дана достављања одлуке којом је захтев одбијен или одбачен, односно по истеку прописаног рока за одлучивање и поступање.
Уз жалбу се прилаже захтев са доказом о предаји руковаоцу и одлука која се оспорава.
Решавање Повереника по жалби
Члан 39
Повереник доноси одлуку по жалби најкасније у року од 30 дана од дана подношења жалбе. Жалба се доставља руковаоцу ради одговора на жалбу. О наводима из одговора на жалбу може се изјаснити подносилац.
Повереник одбацује решењем неблаговремену или непотпуну жалбу, односно жалбу која је изјављена од неовлашћеног лица.
Када Повереник, поводом жалбе изјављене због недоношења одлуке по захтеву, утврди да је жалба основана, решењем ће наложити руковаоцу да у одређеном року поступи по захтеву.
Ако руковалац након изјављене жалбе због непоступања по захтеву, а пре доношења одлуке по жалби, омогући остваривање права на увид, односно копију или по захтеву одлучи, Повереник ће закључком обуставити поступак по жалби.
Поступак по жалби се обуставља и када подносилац одустане од жалбе.
Утврђивање чињеничног стања у поступку по жалби
Члан 40
Повереник предузима радње за утврђивање чињеничног стања које су неопходне ради одлучивања по жалби.
Поверенику, односно лицу кога он посебно овласти, ради утврђивања чињеничног стања, омогућиће се увид у податак, односно збирку података, изузев у случају из члана 45. став 2. овог закона.
Обавезност и извршење решења
Члан 41
Решење Повереника по жалби је обавезујуће, коначно и извршно.
Влада у случају потребе обезбеђује извршење решења Повереника и може ближе да одреди начин извршења решења.
Правни лек против одлуке
Члан 42
Против одлуке Повереника може се покренути управни спор.
Остале одредбе поступка
Члан 43
На поступак одлучивања по жалби примењују се одредбе закона којим се уређује општи управни поступак, осим ако овим законом није друкчије одређено.
V ПОВЕРЕНИК
Надлежност
Члан 44
Повереник:
1) надзире спровођење заштите података;
2) одлучује по жалби у случају прописаним овим законом;
3) води Централни регистар;
4) надзире и дозвољава изношење података из Републике Србије;
5) указује на уочене злоупотребе приликом прикупљања података;
6) саставља листу држава и међународних организација које имају одговарајуће уређену заштиту података;
7) даје мишљење у вези са успостављањем нових збирки података, односно у случају увођења нове информационе технологије у обради података;
8) даје мишљење, у случају када постоји сумња да ли се неки скуп података сматра збирком података у смислу овог закона;
9) даје мишљење Влади у поступку доношења акта о начину архивирања и о мерама заштите нарочито осетљивих података;
10) прати примену мера за заштиту података и предлаже побољшање тих мера;
11) даје предлоге и препоруке за унапређење заштите података;
12) даје претходно мишљење да ли одређени начин обраде представља специфичан ризик за права и слободе грађанина;
13) прати уређење заштите података у другим земљама;
14) сарађује са органима надлежним за надзор над заштитом података у другим земљама;
15) одређује начин даљег поступања са подацима када је руковалац престао да постоји, осим ако је прописано друкчије;
16) обавља и друге послове из своје надлежности.
Повереник може имати заменика за заштиту података о личности.
Извештај који подноси Народној скупштини, Повереник доставља председнику Републике, Влади и Заштитнику грађана и на одговарајући начин ставља на увид јавности.
Право приступа и увида
Члан 45
Повереник има право приступа и увида у:
1) податак и збирку података;
2) комплетну документацију која се односи на прикупљање података и друге радње обраде, као и на остваривање права лица из овог закона;
3) опште акте руковаоца;
4) просторије и опрему коју користи руковалац.
VI ОБЕЗБЕЂЕЊЕ ПОДАТАКА
Обавеза чувања тајне
Члан 46
Повереник, заменик Повереника и запослени у стручној служби, дужни су да као тајну, у складу са законом и другим прописима којима се уређује тајност података, чувају све податке које сазнају у обављању својих дужности, осим ако је друкчије прописано.
Обавеза из става 1. овог члана траје и по престанку обављања дужности Повереника и заменика Повереника, односно по престанку радног односа у стручној служби.
Руковалац је дужан да упозна обрађивача и лице које има увид у податке са мерама за заштиту тајности података.
Организационе и техничке мере
Члан 47
Подаци морају бити одговарајуће заштићени од злоупотреба, уништења, губитка, неовлашћених промена или приступа.
Руковалац и обрађивач дужни су да предузму техничке, кадровске и организационе мере заштите података, у складу са утврђеним стандардима и поступцима, а које су потребне да би се подаци заштитили од губитка, уништења, недопуштеног приступа, промене, објављивања и сваке друге злоупотребе, као и да утврде обавезу лица која су запослена на обради, да чувају тајност података.
VII ЕВИДЕНЦИЈА
Евиденција о обради
Члан 48
Руковалац образује и води евиденцију која садржи:
1) врсту података и назив збирке података;
2) врсту радње обраде;
3) назив, име, седиште и адресу руковаоца;
4) датум започињања обраде, односно успостављања збирке података;
5) сврху обраде;
6) правни основ обраде, односно успостављања збирке података;
7) категорију лица на које се подаци односе;
8) врсту и степен тајности података;
9) начин прикупљања и чувања података;
10) рок чувања и употребе података;
11) назив, име, седиште и адресу корисника;
12) ознаку уношења, односно изношења података из Републике Србије са називом државе, односно међународне организације и страног корисника, правни основ и сврху уношења, односно изношења података;
13) предузете мере заштите података;
14) захтев поводом обраде.
Руковалац није дужан да образује и води евиденцију обраде: података који се обрађују искључиво у породичне и друге личне потребе у смислу одредбе члана 5. тачка 2) овог закона, података који се обрађују ради вођења регистара чије је вођење законом прописано, података за збирку података коју чине само јавно објављени подаци, као ни података који се односе на лице чији идентитет није одређен а руковалац, обрађивач, односно корисник није овлашћен да идентитет одреди.
Руковалац ажурира евиденцију када дође до промене у вези са основним подацима из става 1. овог члана у року од 15 дана од дана настанка промене.
Образац за вођење евиденције и начин вођења евиденције из става 1. овог члана прописује Влада.
Обавештавање Повереника
Члан 49
Руковалац је дужан да пре започињања обраде, односно успостављања збирке података достави Поверенику обавештење о намери успостављања збирке података заједно са подацима из члана 48. овог закона, као и о свакој даљој намераваној обради, пре предузимања обраде и то најкасније 15 дана пре успостављања збирке података, односно обраде.
Обавеза достављања обавештења из става 1. овог члана не односи се на започињање обраде, односно успостављање збирке података у случају када је посебним прописом одређена сврха обраде, врста података који се обрађују, врсте корисника којима ће подаци бити доступни, као и време за које ће подаци бити архивирани.
Претходна провера
Члан 50
Након пријема обавештења из члана 49. овог закона, пре успостављања збирке података, Повереник проверава радње обраде које би у значајној мери могле да доведу до повреде права лица.
Начин провере из става 1. овог члана уређује се актом Повереника.
Обавеза достављања
Члан 51
Руковалац доставља Поверенику евиденцију о збирци података, односно промене у евиденцији података најкасније у року од 15 дана од дана успостављања, односно промене.
Обавештења из члана 49. став 1. овог закона и евиденције из става 1. овог члана уписују се у Централни регистар.
Централни регистар
Члан 52
Повереник успоставља и води Централни регистар.
Централни регистар се састоји од регистра збирки података и каталога збирки података.
Регистар збирки података садржи податке из члана 51. став 2. овог закона.
Каталог збирки података садржи опис евидентираних збирки података.
Централни регистар је јаван и обавезно се објављује путем интернета.
Повереник једном годишње објављује попис збирки података у „Службеном гласнику Републике Србије“.
Повереник ће ускратити право на увид у евиденцију о збирци података ако то захтева руковалац, под условом да је то неопходно за остваривање претежног интереса очувања националне или јавне безбедности, одбране земље, рада органа власти, финансијског интереса државе или ако је законом, другим прописом или актом заснованим на закону одређено да се евиденција о збирци података чува као тајна.
VIII ИЗНОШЕЊЕ ПОДАТАКА ИЗ РЕПУБЛИКЕ СРБИЈЕ
Члан 53
Подаци се могу износити из Републике Србије у државу чланицу Конвенције о заштити лица у односу на аутоматску обраду личних података Савета Европе.
Подаци се могу износити из Републике Србије у државу која није чланица конвенције из става 1. овог члана, односно међународну организацију, ако је у тој држави, односно међународној организацији, прописом, односно уговором о преносу података, обезбеђен степен заштите података у складу са конвенцијом.
Приликом изношења података из става 2. овог члана, Повереник утврђује да ли су испуњени услови и спроведене мере заштите података приликом њиховог изношења из Републике Србије и даје дозволу за изношење.
IX НАДЗОР
Надлежност
Члан 54
Надзор над спровођењем и извршавањем овог закона врши Повереник.
Послове из става 1. овог члана Повереник врши преко овлашћених лица.
Овлашћено лице је дужно да надзор врши стручно и благовремено и да о извршеном надзору сачини записник.
У вршењу надзора овлашћено лице поступа на основу сазнања до којих је дошао по службеној дужности, од стране подносиоца жалбе или трећег лица.
У вршењу надзора овлашћено лице је дужно да покаже легитимацију. Образац легитимације прописује Повереник.
Омогућавање вршења надзора
Члан 55
Лица којима су овим законом утврђене обавезе у вези са заштитом података, дужна су да овлашћеном лицу омогуће несметано вршење надзора и ставе му на увид и располагање потребну документацију.
Овлашћења Повереника у надзору
Члан 56
Ако се приликом обављања надзора утврди да су повређене одредбе закона којима се уређује обрада, Повереник ће упозорити руковаоца на неправилности у обради.
На основу налаза овлашћеног лица, Повереник може:
1) наредити да се неправилности отклоне у одређеном року;
2) привремено забранити обраду која се обавља супротно одредбама овог закона;
3) наредити брисање података прикупљених без правног основа.
Против акта из става 2. овог члана жалба није дозвољена, али се може покренути управни спор.
Спровођење мера из става 2. овог члана уређује се актом Повереника.
Повереник је дужан да поднесе прекршајну пријаву због повреда одредаба овог закона.
X КАЗНЕНЕ ОДРЕДБЕ
Члан 57
Новчаном казном од 50.000 до 1.000.000 динара казниће се за прекршај руковалац, обрађивач или корисник који има својство правног лица ако:
1) обрађује податке без пристанка супротно условима из члана 12. овог закона;
2) обрађује податке супротно условима из члана 13. овог закона;
3) прикупља податке од другог лица супротно условима из члана 14. став 2. овог закона;
4) пре прикупљања података не упозна лице на које се подаци односе, односно друго лице о условима из члана 15. став 1. овог закона;
5) обрађује нарочито осетљиве податке супротно чл. 16. до 18. овог закона;
6) не учини доступним све податке у стању у каквом се налазе супротно члану 27. став 2. овог закона;
7) не изда копију податка у облику у којем се информација налази супротно члану 28. став 1. овог закона;
8) не обрише податке из збирке података супротно члану 36. овог закона;
9) не изврши решење Повереника по жалби (члан 41. став 1. овог закона);
10) поступи супротно обавези чувања тајне из члана 46. ст. 1. и 2. овог закона;
11) поступи супротно обавези предузимања мера из члана 47. став 2. овог закона;
12) не образује евиденцију, односно не ажурира евиденцију супротно члану 48. ст. 1. и 3. овог закона;
13) не обавести Повереника о намери успостављања збирке података у прописаном року супротно члану 49. став 1. овог закона;
14) не достави Поверенику евиденцију, односно промене у збирци података у прописаном року (члан 51. став 1. овог закона);
15) износи податке из Републике Србије супротно члану 53. овог закона;
16) не омогући овлашћеном лицу несметано вршење надзора и не стави му на увид и располагање потребну документацију (члан 55. овог закона);
17) не поступи по налозима Повереника (члан 56. став 2. овог закона).
За прекршај из става 1. овог члана казниће се предузетник новчаном казном од 20.000 до 500.000 динара.
За прекршај из става 1. овог члана казниће се физичко лице, односно одговорно лице у правном лицу, државном органу, односно органу територијалне аутономије и јединице локалне самоуправе новчаном казном од 5.000 до 50.000 динара.
XI ПРЕЛАЗНЕ И ЗАВРШНЕ ОДРЕДБЕ
Члан 58
На седиште, избор, престанак мандата, поступак разрешења, положај Повереника, заменика Повереника, стручну службу, финансирање и подношење извештаја примењују се одредбе Закона о слободном приступу информацијама од јавног значаја („Службени гласник РС“, бр. 120/04 и 54/07).
Члан 59
Повереник за информације од јавног значаја, установљен Законом о слободном приступу информацијама од јавног значаја („Службени гласник РС“, бр. 120/04 и 54/07) наставља са радом под називом Повереник за информације од јавног значаја и заштиту података о личности.
Члан 60
Подзаконски акти на основу овог закона биће донети у року од шест месеци од дана ступања на снагу овог закона.
Члан 61
Збирке података и евиденције успостављене до ступања на снагу овог закона ускладиће се са његовим одредбама у року од 12 месеци од дана ступања на снагу овог закона.
Руковаоци података дужни су да евиденције из члана 48. овог закона доставе Поверенику, у року од 12 месеци од дана ступања на снагу овог закона.
Члан 62
Даном почетка примене овог закона престаје да важи Закон о заштити података о личности („Службени лист СРЈ“, бр. 24/98 и 26/98 – исправка).
Члан 63
Овај закон ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србије“, а примењиваће се од 1. јануара 2009. године.
Самостални члан Закона о допунама
Закона о заштити података о личности
(„Службени гласник РС“, бр. 107/2012)
Члан 4
Овај закон ступа на снагу осмог дана од дана објављивања у „Службеном гласнику Републике Србије“.