O B R A Z L O Ž E Nj E
I. USTAVNI OSNOV ZA DONOŠENjE ZAKONA
Ustavni osnov za donošenje Zakona o zaštiti podataka o ličnosti sadržan je u članu 42. Ustava Republike Srbije. Stavom 2. navedenog člana propisano je da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuju zakonom, a stavom 4. istog člana propisano je da svako ima pravo da bude obavešten o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, kao i pravo na sudsku zaštitu zbog njihove zloupotrebe.
Ustavni osnov za donošenje ovog zakona sadržan je i u članu 97. tač. 2. i 16. Ustava, kojom je predviđeno da Republika Srbija uređuje i obezbeđuje, između ostalog, ostvarivanje i zaštitu sloboda i prava građana, postupak pred sudovima i drugim državnim organima, odnosno organizaciju, nadležnost i rad republičkih organa.
II. RAZLOZI ZA DONOŠENjE ZAKONA
Razlozi za donošenje novog Zakona o zaštiti podataka o ličnosti su brojni i mogu se razmatrati kako zbog potreba Republike Srbije, tako i zbog potreba međunarodne saradnje, kao i zbog procesa pridruživanja Republike Srbije Evropskoj uniji. Sa stanovišta unutrašnjeg prava, postojeći pravni okvir zaštite podataka o ličnosti ne može adekvatno da obezbedi nesmetano ostvarivanje prava na zaštitu podataka o ličnosti u svim oblastima, zbog čega je neophodno izvršiti izmene i dopune normativnog okvira u ovoj oblasti. Kada je u pitanju međunarodna saradnja, odnosno proces pridruživanja Republike Srbije Evropskoj uniji, usklađivanje nacionalnog zakonodavstva sa pravom Evropske unije predstavlja međunarodnopravnu obavezu Republike Srbije, dok status Republike Srbije kao kandidata za članstvo u Evropskoj uniji ukazuje da su evropske integracije ključne za spoljnu i unutrašnju politiku zemlje. Imajući u vidu navedene razloge, neophodno je doneti novi zakon koji će urediti ovu oblast.
Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) usvojen je krajem 2008. godine, a počeo je sa primenom 1. januara 2009. godine. Od početka primene navedeni zakon je, prema izveštajima Evropske komisije o napretku Republike Srbije, ocenjivan kao delimično usklađen sa relevantnim propisima Evropske unije u ovoj oblasti.
Pored navedenog, treba napomenuti i da tekst važećeg zakona nije značajno menjan tokom skoro devet godina primene. Zakon je samo dva puta izmenjen i dopunjen, i to jednom na osnovu odluke Ustavnog suda, a drugi put dopuna se odnosila na dozvoljenost promene svrhe obrade podataka o ličnosti.
Značaj zaštite podataka o ličnosti za Evropsku uniju (i države članice pojedinačno) izražen je pre svega Poveljom o fundamentalnim pravima Evropske unije (2000/C 364/01). Pravo na zaštitu podataka zajemčeno je članom 8. navedene Povelje (Zaštita podataka o ličnosti).
U međuvremenu, doneti su novi relevantni propisi Evropske unije koji uređuju oblast zaštite podataka o ličnosti. Reč je o Uredbi 2016/679 Evropskog parlamenta i Saveta o zaštiti pojedinca u vezi sa obradom podataka o ličnosti i slobodnom kretanju takvih podataka i stavljanju van snage Direktive 98/46/EZ (u daljem tekstu Uredba), kao i Direktivi 2016/680 o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom kretanju takvih podataka i stavljanju van snage okvirne odluke Saveta 2008/977/PUP (u daljem tekstu: Direktiva), pa je, imajući u vidu obaveze Republike Srbije u procesu pridruživanja Evropskoj uniji, bilo neophodno pripremiti novi Predlog zakona o zaštiti podataka o ličnosti koji će obezbediti usklađenost sa ovim propisima Evropske unije.
Navedeni relevantni dokumenti Evropske unije ukazuju da zaštita podataka više nije pitanje harmonizacije prava Evropske unije i pojedinačne implementacije u nacionalno zakonodavstvo, već oblast direktne primene prava Evropske unije. Snažan nezavisni organ za zaštitu podataka o ličnosti je preduslov adekvatne zaštite podataka o ličnosti za Evropsku uniju, na šta ukazuje i postojanje posebnog organa za zaštitu podataka o ličnosti u okviru Unije – Evropskog supervizora za zaštitu podataka o ličnosti, posebnih odeljenja i oficira za zaštitu podataka o ličnosti Europola ili Eurodzasta, kao i odluke Suda pravde Evropske unije o položaju organa nadležnih za zaštitu podataka o ličnosti.
Kao što je rečeno, pored potrebe usklađenosti sa pravom Evropske unije i standardima zaštite podataka o ličnosti, na neophodnost novih rešenja ukazuje i višegodišnja primena važećeg zakona.
Glavni nedostaci važećeg zakona ogledaju se, između ostalog, u neadekvatno uređenom postupku ostvarivanja prava na zaštitu podataka o ličnosti i neuređenom postupku iznošenja podataka o ličnosti iz Republike Srbije. Takođe, nedostaci su izraženi i u nepotpunom uređenju odgovornosti u slučaju kršenja prava lica, kao i u slučaju neispunjavanja zakonskih obaveza. Bezbednost podataka je potpuno neadekvatno uređena, a nedostaje i obaveza analize rizika po prava lica u slučaju pojedinih obrada koje mogu ozbiljno ugroziti njihova prava. Istovremeno, neophodno je uvesti nove institute u režim zaštite podataka o ličnosti, koji se prevashodno odnose na lica zadužena za zaštitu podataka kod rukovalaca ili kod obrađivača.
Osnovni cilj zakona je da svakome obezbedi poštovanje osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti. Stoga, Zakon o zaštiti podataka treba da uspostavi jasan pravni okvir u oblasti zaštite podataka o ličnosti u Republici Srbiji. U skladu sa Ustavom, zakon treba da uredi obradu podataka o ličnosti, odnosno zaštitu prava i postupak ostvarivanja zaštite prava pojedinca u odnosu na obradu podataka, zatim prava, obaveze i odgovornosti rukovalaca podataka, obrađivača podataka i svih primalaca podataka, kao i nadležnost i položaj nezavisnog organa za zaštitu podataka o ličnosti.
Pored toga, Predlogom zakona se ostvaruju i ostali ciljevi, od kojih su najvažniji:
– šire uređenje osnovnih pojmova koji se koriste u zakonu i dodavanje većeg broja novih pojmova;
– detaljnije uređenje postupka ostvarivanja prava na zaštitu podataka o ličnosti;
– propisivanje velikog broja različitih slučajeva kojima je u potpunosti uređen postupak iznošenja podataka o ličnosti iz Republike Srbije, čime se značajno ubrzava ovakav prenos (što je značajno zbog dostignutog stepena savremenih informacionih tehnologija, društvenih mreža, olakšavanja poslovanja privrednih subjekata i dr);
– uređenje odgovornosti u slučaju kršenja prava lica na koje se podaci odnose, kao i u slučaju neispunjavanja zakonskih obaveza rukovaoca, obrađivača ili njihovih predstavnika;
– potpunije uređenje bezbednosti podataka o ličnosti, tako što se propisuje veći broj mera zaštite podataka o ličnosti, kao i postupak u slučaju da do povrede bezbednosti ipak dođe;
– uvođenje obaveze analize rizika pre započinjanja radnji obrade, a ako je rizik visokog nivoa propisuje se neophodnost prethodnog traženja mišljenja nadzornog organa;
– propisivanje novih instituta, kao što su obavezujuća poslovna pravila, sertifikacija, određivanje lice za zaštitu podataka o ličnosti, kao i kodeks postupanja;
– potpuno uređenje obrade podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija. Svakako da ove odredbe predstavljaju jednu od najznačajnih zakonskih novina, jer se prvi put jasno propisuju posebne odredbe koje se odnose samo na nadležne organe, čime se obezbeđuje zakonitost njihovog postupanja i istovremeno određuju slučajevi kada ograničenje opšteg režima postoje;
– proširenje i preciziranje nadležnosti i ovlašćenja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik), kao nezavisnog i samostalnog državnog organa nadležnog za nadzor i sprovođenje Zakona o zaštiti podataka o ličnosti;
– obezbeđivanje usklađenosti sa relevantnim dokumentima Evropske unije (Uredbom i Direktivom), što je od velikog značaja za obaveze Republike Srbije koje su predviđene Pregovaračkim poglavljima 23 i 24.
Prilikom izrade teksta Predloga zakona korišćeni su tekstovi novih relevantnih propisa Evropske unije, analiza teksta važećeg zakona, inicijative i preporuke za izmenu njegovih odredaba, kao i rešenja koja je izneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u svom Modelu zakona. Pored toga, u tekst Predloga zakona ugrađeni su komentari Evropske komisije i EUROJUST-a, kojima je tekst u postupku pripreme bio dostavljen na mišljenje, kao i prihvaćene primedbe i sugestije državnih organa kojima je tekst (u skladu sa Poslovnikom Vlade) bio upućen na mišljenje.
III. OBJAŠNjENjE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENjA
Predlog zakona o zaštiti podataka o ličnosti sadrži deset glava, i to: Osnovne odredbe (Glava I), Načela (Glava II), Prava lica na koje se podaci odnose (Glava III), Rukovalac i obrađivač (Glava IV), Prenos podataka o ličnosti u druge zemlje i međunarodne organizacije (Glava V), Poverenik (Glava VI), Pravna sredstva, odgovornost i kazne (Glava VII), Posebni slučajevi obrade (Glava VIII), Kaznene odredbe (Glava IH) i Prelazne i završne odredbe (Glava H).
Osnovne odredbe (Glava I. Predloga zakona) sadrže četiri člana, i uređuju predmet zakona, cilj zakona, njegovu primenu i značenje osnovnih izraza koji se koriste u zakonu. Obzirom na značaj ove glave za tekst celog zakona (posebno što se predviđa značenje najvažnijih izraza koji se koriste kroz ceo tekst zakona), ova glava je i nazvana „Osnovne odredbe”.
Članom 1. Predloga zakona određen je njegov predmet. Stavom 1. navedenog člana predviđeno je da zakon uređuje pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i slobodnim protokom takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva, odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i posebne slučajeve obrade.
Stavom 2. istog člana predviđeno je da se zakonom uređuje i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka. Stav 2. člana 1. Predloga zakona je posledica usklađivanja sa Direktivom.
Treba napomenuti da su, s obzirom da pravila iz navedene Direktive predstavljaju ograničenja u odnosu na odredbe iz Uredbe, kroz ceo tekst Predloga zakona data opšta pravila o obradi podataka koja su predviđena Uredbom, a da se odmah zatim propisuju izuzeci koji se odnese na obradu podataka u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, a koji su predviđeni Direktivom. Treba napomenuti i da se, ako takvih ograničenja nema, na obradu podataka o ličnosti (kada ne obrađuju podatke u posebne svrhe), primenjuje opšti režim kao i na ostale organe vlasti.
U članu 2. Predloga zakona propisan je njegov cilj. Stavom 1. ovog člana definisan je opšti cilj zakona, koji je identičan cilju važećeg zakona, a to je da se zakonom obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.
Novinu predstavlja stav 2. ovog člana koji ukazuje na značaj ovog zakona kao zakona koji u oblasti zaštite podataka o ličnosti ima opšti i sistemski karakter, kao i potrebu da posebni zakoni (obzirom da se zakonom mora urediti prikupljanje, držanje, obrada i korišćenje podataka o ličnosti), kada uređuju obradu podataka moraju biti usklađeni sa ovim zakonom, jer on ovu oblast celovito i najdetaljnije uređuje.
Član 3. Predloga zakona odnosi se na obim njegove primene. Stavom 1. navedenog člana preciziran je član 4. važećeg zakona koji uređuje zaštitu podataka o ličnosti.
Stavom 2. istog člana predviđeno je da se zakon ne primenjuje na obradu podataka fizičkog lica za lične potrebe, kao i za potrebe svog porodičnog domaćinstva.
Takođe, zakon se primenjuje na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji ima sedište na teritoriji Republike Srbije, u okviru aktivnosti koje se vrše na teritoriji Republike Srbije, i to bez obzira da li se radnje obrade vrše na teritoriji Republike Srbije.
Isto tako, stavom 4. istog člana predviđeno je da se zakon primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose, koje ima prebivalište na teritoriji Republike Srbije, ako se obrada vrši od strane rukovaoca, odnosno obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, pod uslovom da su radnje obrade vezane za ponudu roba, odnosno usluga licu na koje se podaci odnose na teritoriji Republike Srbije, i to bez obzira da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu, kao i za praćenje aktivnosti lica na koje se podaci odnose, a koje se vrše na teritoriji Republike Srbije.
Jedan od najvažnijih članova Predloga zakona je svakako član 4, u kome su data objašnjenja najznačajnih pojmova koji se u zakonu koriste. U odnosu na važeći zakon (koji sadrži deset osnovnih pojmova), u Predlogu zakona su kao novi pojmovi određeni: „profilisanje”, „pseudonimizacija”, „treća strana”, „pristanak” „povreda bezbednosti podataka”, „genetski podatak”, „biometrijski podatak”, „podaci o zdravlju”, „predstavnik”, „privredni subjekat”, „multinacionalna kompanija”, „grupa privrednih subjekata”, „obavezujuća poslovna pravila”, „usluga informacionog društva” „međunarodna organizacija” i „nadležni organ”. Takođe je određeno i značenje izraza „pristanak” i „Poverenik”. Za razliku od sada važećeg zakonskog rešenja, prema kome se pristanak može dati isključivo u pismenom obliku (a koje je u primeni zakona izazivalo velike probleme, posebno imajući u vidu ubrzani razvoj informacionih tehnologija), pojam pristanka je sada precizno definisan i značajno proširen. Naime, pristanak lica na koje se podaci odnose je određen kao svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose.
Kao što je rečeno, određen je i pojam „nadležnog organa”, kao organa vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti. Kao što je rečeno, značajno je napomenuti da ako nadležni organi ne obrađuju podatke o ličnosti u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela i izvršenja krivičnih sankcija, na njihovo postupanje primenjuju se odredbe zakona koje se odnose na postupanje ostalih organa vlasti. Ako, međutim, postupaju u navedene svrhe, tada se primenjuju ograničenja predviđena tačno određenim odredbama Predloga zakona.
Treba napomenuti i da su sve nove definicije, u odnosu na važeći zakon, pored potrebe da se osnovni pojmovi koji se koriste u zakonu što preciznije odrede, posledica usaglašavanja sa Uredbom i Direktivom.
Glava druga Predloga zakona (čl. 5. do 20) uređuje načela koja se odnose na obradu podataka, kao polazne osnove i osnovne principe kojih se uvek treba pridržavati prilikom bilo koje obrade podataka o ličnosti.
Član 5. Predloga zakona propisuje načela obrade podataka o ličnosti. Ta načela su sledeća: zakonitost, poštenje i transparentnost, ograničenje u odnosu na svrhu obrade, minimizacija podataka, tačnost, ograničenje čuvanja i odgovornost za postupanje.
Zakonitost obrade podrazumeva da se obrada podataka može vršiti samo ako je to uređeno zakonom.
Ograničenje svrhe obrade podrazumeva da se podaci o ličnosti moraju obrađivati samo u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.
Minimizacija podataka podrazumeva da podaci koji se obrađuju moraju biti primereni, bitni i ograničeni samo na ono što je neophodno.
Tačnost podrazumeva ne samo da podaci o ličnosti moraju biti tačni, nego i da se moraju preduzeti sve razumne mere da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave.
Ograničenje čuvanja podrazumeva da se podaci moraju čuvati samo u vremenskom periodu neophodnom za ostvarivanje svrhe obrade.
Integritet i poverljivost podrazumevaju da se podaci moraju obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, što uključuje zaštitu od neovlašćene ili nezakonite obrade, od slučajnog gubitka, od uništenja ili oštećenja, kao i primenom odgovarajućih mera zaštite.
Član 6. Predloga zakona predstavlja izuzetak u odnosu na načelo ograničenja u odnosu na svrhe obrade, i predviđa da se ne smatra drugom svrhom obrade ona obrada koja se vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe.
Član 7. Predloga zakona takođe predstavlja izuzetak od načela ograničenja u odnosu na svrhe obrade. Reč je o obradi podataka od strane nadležnih organa u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, kao i gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj ili nacionalnoj bezbednosti (u daljem tekstu: u posebne svrhe). U tom slučaju moguća je i obrada podataka o ličnosti u druge svrhe, ali samo ako su zajedno ispunjeni uslovi da je takva obrada podataka predviđena zakonom, kao i da je neophodna i srazmerna toj drugoj svrsi.
Član 8. Predloga zakona predstavlja izuzetak od načela ograničenja čuvanja i odnosi se na podatke o ličnosti koji se obrađuju isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe. Izuzetak takođe postoji i za podatke prikupljene u posebne svrhe. U tom slučaju, rukovalac mora odrediti rok kada će se podaci brisati, ako takav rok nije određen zakonom.
Član 9. Predloga zakona takođe uređuje obradu podataka u posebne svrhe. Navedeni član propisuje obavezu nadležnog organa da napravi jasnu razliku između lica koja su u različitim fazama krivičnog postupka, osuđenim licima, licima koja su oštećena krivičnim delom, kao i licima koja su u vezi sa krivičnim delom (svedoci). Članom 10. Predloga zakona ova obaveza nadležnog organa se odnosi i na dužnost izdvajanja podataka o ličnosti koji su zasnovani na činjeničnom stanju i onih podataka koji su zasnovani na ličnoj oceni.
Na postupanje nadležnih organa odnosi se i član 11. Predloga zakona. Navedeni član propisuje dužnost nadležnih organa da korišćenjem razumnih mera obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni. Nadležni organi su dužni da tačnost i ažurnost podataka proveravaju pre započinjanja prenosa podataka, da drugom nadležnom organu kome vrše prenos dostave i informacije o oceni tačnosti, odnosno ažurnosti podataka, kao i da obavesti drugi nadležni organ o potrebi da se preneti podaci isprave ili izbrišu.
Načelu zakonitosti obrade posvećen je član 12. Predloga zakona. Ovim članom predviđeno je da obrada može biti zakonito jedino ako je ispunjeni neki od predviđenih uslova. Ti uslovi su: da se lice na koje se podaci o ličnosti odnose saglasilo sa obradom njegovih podataka; da je obrada neophodna za izvršenje ugovora zaključenim sa licem na koje se podaci odnose; da je obrada neophodna u cilju poštovanja pravnih obaveza rukovaoca, propisanih zakonom ili ugovorom; da je obrada neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica; da je obrada neophodna u cilju obavljanja poslova u javnom interesu ili izvršavanja propisanih ovlašćenja rukovaoca ili ako je obrada neophodna u cilju ostvarenja legitimnih interesa rukovaoca ili treće strane.
Članovi 13. i 14. Predloga zakona predstavljaju izuzetak u odnosu na načelo zakonitosti, i to ako je reč o obradi podataka u posebne svrhe, kao i u posebnim slučajevima. Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Posebni slučajevi su vezani za obradu koja je neophodna u cilju poštovanja pravnih obaveza rukovaoca i obradu koja je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca.
Značajnu novinu predstavljaju i odredbe o pristanku lica na koje se podaci odnose na obradu njegovih podataka (član 15. Predloga zakona). Za razliku od važećeg zakonskog rešenja koje je predviđalo da pristanak mora biti dat u pismenom obliku, sada se takav oblik ne zahteva. Međutim, u slučajevima kada je pristanak dat na drugi način, a u cilju izbegavanja mogućih zloupotreba, rukovalac ima obavezu da dokaže (predoči) da je neko lice zaista i dalo pristanak za obradu njegovih podataka.
Veoma su važne i odredbe o pristanku maloletnog lica za obradu njegovih podataka u korišćenju usluga informacionog društva (član 16. Predloga zakona). Predviđeno je da maloletno lice koje je navršilo 15 godina može samostalno da da pristanak za obradu svojih podataka, dok za obradu podataka o maloletnom licu koje nije navršilo 15 godina pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica. Prilikom određivanja ove starosne granice imalo se u vidu da maloletnik od 15 godina može da zasnuje radni odnos, kao i da se radi o davanju saglasnosti za obradu podataka o ličnosti u korišćenju usluga informacionog društva, koje maloletnici i inače veoma često koriste, zbog čega je uzrast od 15 godina primeren za samostalno davanje ovakve saglasnosti.
Obrada posebnih kategorija podataka o ličnosti je uređena u članu 17. Predloga zakona. Kao opšte načelo predviđeno je da je zabranjena obrada podataka o ličnosti kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka, u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji lica.
Međutim, imajući u vidu veliki broj mogućih situacija kada je neophodno izvršiti i obradu ovakvih podataka, u stavu 2. istog člana, precizno je navedeno deset izuzetaka kada se obrada posebnih kategorija podataka ipak može vršiti.
Ako obradu posebnih kategorija podataka vrše nadležni organi u posebne svrhe, i to samo ako je to neophodno, ovakva obrada je moguća samo ako je nadležni organ za to ovlašćen zakonom ili se obrada posebnih vrsta podataka vrši u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog lica, kao i u slučaju ako se obrada odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti (član 18. Predloga zakona).
Članom 19. Predloga zakona uređena je obrada podataka o ličnosti koja se u vezi sa krivičnim presudama i kažnjivim delima. Ovakva obrada može se vršiti samo pod nadzorom nadležnog organa ili (ako je takva obrada dopuštena zakonom) samo uz punu primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.
Istim članom Predloga zakona je predviđeno i da se jedinstvena evidencija o krivičnim presudama vodi isključivo od strane nadležnog organa i pod njegovim nadzorom.
Članom 20. Predloga zakona predviđen je slučaj kada za ostvarivanje svrhe nije potrebno da rukovalac identifikuje lice na koje se podaci odnose. U tom slučaju, rukovalac nema obavezu da zadrži, pribavi ili obradi dodatne informacije radi identifikacije lica.
Glava III. Predloga zakona – Prava lica na koje se podaci odnose (čl. 21. do 40) sadrži više odeljaka.
U okviru prvog odeljka uređena je transparentnost i načini ostvarivanja prava lica na koje se podaci odnose (čl. 21. i 22. Predloga zakona).
Član 21. Predloga zakona uređuje koje su to informacije koje rukovalac mora da pruži licu na koji se podaci odnose, kao i obavezu rukovaoca da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o tome obavesti to lice, kao i da ga obavesti o razlozima za nepostupanje, kao i o pravu da podnese pritužbu Povereniku, odnosno tužbu sudu. Informacije se pružaju bez naknade, osim u slučaju da je zahtev očigledno neosnovan, preteran ili se isti zahtev učestalo ponavlja. Takođe, a imajući u vidu dostignuti nivo informacionih tehnologija, informacije se mogu pružiti i putem standardizovanih ikona, kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Standardizovane ikone moraju biti čitljive na elektronskom uređaju.
Slična pravila se primenjuju i na nadležne organe kada vrše obradu u posebne svrhe, s tim što je broj informacija koje se pružaju, u odnosu na druge rukovaoce, manji (član 22. Predloga zakona).
Drugi odeljak uređuje informacije koje pruža rukovalac, kao i pristup koji lice na koje se podaci odnose može da ostvari (čl. 23. do 28. Predloga zakona).
Član 23. Predloga zakona uređuje informacije koje rukovalac pruža licu na koje se podaci odnose. Te informacije su sledeće: o svom identitetu i kontakt podacima, o kontakt podacima lica za zaštitu podataka o ličnosti, o svrsi nameravane obrade i pravnom osnovu za obradu, o pravnom interesu rukovaoca ili treće strane, o primaocu, odnosno grupi primaoca podataka o ličnosti, kao i informaciju o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju.
Pored navedenih informacija, rukovalac je dužan da pruži i dodatne informacije koje su neophodne da bi se obezbedila pravična i transparentna obrada. Te informacije se odnose na: rok čuvanja podataka o ličnosti; postojanje prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o ličnosti, odnosno postojanje prava na ograničenje obrade, postojanje prava na prigovor, kao i prava na prenosivost podataka; postojanje prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva; postojanje prava da se podnese pritužba Povereniku; informcije o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o postojanju automatizovanog donošenja odluke, što uključuju i profilisanje.
Slične informacije rukovalac je dužan da pruži i kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose (član 24. Predloga zakona).
Član 25. Predloga zakona se odnosi na informacije koje pruža nadležni organ kada vrši obradu podataka u posebne svrhe. Imajući u vidu specifičnost kod obrade podataka u navedene svrhe, broj informacija koje se pružaju licu na koje se podaci odnose je manji.
Pravo na pristup lica na koje se podaci odnose podrazumeva pravo da se od rukovaoca zahteva informacija da li se njegovi podaci obrađuju, pristup takvim podacima, kao i pravo da se dobiju informacije o obradi (član 26. Predloga zakona). U slučaju da se podaci obrađuju u posebne svrhe, broj informacija o obradi je manji (član 27. Predloga zakona).
Pravo na pristup može se ograničiti (član 28. Predloga zakona) samo u obimu i trajanju u kome je to neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju. Ovakvo ograničenje može se izvršiti samo sa ciljem da se izbegne ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; omogući sprečavanje, otkrivanje i gonjenje učinilaca krivičnih dela, ili izvršenja krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana ili da se zaštite prava i slobode drugih lica. U tom slučaju, rukovalac je dužan da obrazloženu pismenu odluku kojom se zahtev za pristup odbija, odnosno pravo na pristup ograničava, bez odlaganja dostavi licu na koje se podaci odnose. Na zahtev Poverenika, rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju pristupa.
Izuzetno, postoji mogućnost da rukovalac nema obavezu da postupi na navedeni način. Ovaj izuzetak postoji kada bi se na taj način dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen (stav 4. istog člana). Ali i tada, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Treći odeljak (čl. 29. do 36. Predloga zakona) uređuje pravo na ispravku podataka, pravo na brisanje podataka, pravo na ograničenje obrade i pravo na prenosivost podataka.
Pravo na ispravku (član 29. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se netačni podaci o njemu bez nepotrebnog odlaganja isprave od strane rukovaoca. To lice, u zavisnosti od svrhe obrade, ima pravo i da se nepotpuni podaci o njemu dopune od strane rukovaoca.
Pravo na brisanje, odnosno „pravo lica da bude zaboravljeno” (član 30. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se podaci o njemu obrišu od strane rukovaoca. Pri tome, rukovalac je dužan da bez odlaganje podatke izbriše: ako podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni; ako je lice na koje se podaci odnose opozvalo pristanak na osnovu kojeg se obrada vršila; ako je lice na koje se podaci odnose podnelo prigovor na obradu; ako su podaci o ličnosti nezakonito obrađivani; ako podaci o ličnosti moraju biti izbrisani u cilju izvršenja obaveze rukovaoca propisane zakonom i ako su podaci o ličnosti prikupljeni u vezi sa korišćenjem usluga informacionog društva.
Pravo na ograničenje obrade (član 31. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da se obrada podataka o njemu ograniči od strane rukovaoca. Do ovakvog ograničenja dolazi u sledećim slučajevima: ako lice na koje se podaci odnose osporava tačnost podataka o sebi (ograničenje se primenjuje u periodu koji omogućava rukovaocu proveru tačnosti podataka); ako je obrada nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o sebi i umesto brisanja zahteva ograničenje upotrebe podataka; ako rukovaocu više nisu potrebni podaci o ličnosti za ostvarenje svrhe obrade, ali ih je lice na koje se odnose zatražilo u cilju podnošenja, ostvarivanja, odnosno odbrane pravnog zahteva i ako je lice na koje se podaci odnose podnelo prigovor na obradu, a u toku je procenjivanje da li pravni osnov za obradu podataka od strane rukovaoca preteže nad interesima, pravima i slobodama tog lica. Ako je obrada podataka o ličnosti ograničena, ti podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose, u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, zbog zaštite prava drugih fizičkih, odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa. Ako je obrada podataka ograničena postoji obaveza rukovaoca da informiše lice na koje se podaci odnose o prestanku ograničenja.
Pravo na brisanje i ograničenje obrade, kada obradu podataka vrše nadležni organi u posebne svrhe, uređeno je članom 32. Predloga zakona. U ovom slučaju, obim prava lica na koje se podaci odnose je manji u odnosu na opšti režim.
Obaveza obaveštavanja u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. Predloga zakona) je dvostruka. Sa jedne strane rukovalac je dužan da primaoca podataka o ličnosti obavesti o ispravci, brisanju i ograničenju obrade, a sa druge strane dužan je i da lice na koje se podaci odnose obavesti o primaocima kojima je takvo obaveštenje dostavljeno.
Obaveza obaveštavanja o ispravci i brisanju podataka, kao i ograničenju obrade, kada obradu podataka vrše nadležni organi u posebne svrhe, uređena je članom 34. Predloga zakona i predstavlja izuzetak u odnosu na opšte pravilo koje se primenjuje na druge rukovaoce. U ovom slučaju, predviđeno je da se nadležni organ koji obrađuje podatke može potpuno ili delimično osloboditi obaveze informisanja ako je to neophodno da se: izbegne ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage, odnosno postupka; omogući sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija; zaštiti javna bezbednost; zaštiti nacionalna bezbednost i odbrana, odnosno zaštite prava i slobode drugih lica. Međutim, ostaje obaveza nadležnog organa da se lice na koje se podaci odnose, radi ostvarivanja svojih prava, može obratiti Povereniku, odnosno sudu. Takođe, ako su podaci koji su dobijeni od drugog nadležnog organa netačni podaci, rukovalac je dužan da ga obavesti o njihovoj ispravci.
Ako se ostvarivanje prava lica na koje se podaci odnose, kada obradu podataka vrše nadležni organi u posebne svrhe vrši uz posredovanje Poverenika, Poverenik u skladu sa svojim ovlašćenjim vrši odgovarajuću proveru i nadzor nad takvom obradom podataka (član 35. Predloga zakona).
Pravo na prenosivost podataka je zakonska novina u odnosu na važeće zakonsko rešenje (član 36. Predloga zakona). Ovo pravo podrazumeva da lice na koje se podaci odnose ima pravo da podatke koje je prethodno dostavilo rukovaocu primi od njega u strukturisanom, uobičajno korišćenom i elektronski čitljivom formatu i da ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni. Da bi se ovakvo pravo ostvarilo, neophodno je da budu ispunjeni i sledeći uslovi: da je lice na koje se podaci odnose dalo pristanak za obradu podataka ili da se takva obrada vrši na osnovu ugovora, kao i da se obrada podataka vrši automatizovano.
Četvrti i peti odeljak (čl. 37. do 40. Predloga zakona) uređuje pravo na prigovor, automatizovano donošenje pojedinačnih odluka i ograničenja.
Pravo na prigovor (Član 37. Predloga zakona) podrazumeva da lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu njegovih podataka o ličnosti. Ako se podnese prigovor, rukovalac ima obavezu da prekine sa obradom podataka o licu koje je podnelo prigovor. O postojanju ovog prava, rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose, upozori ovo lice.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja. U slučaju podnošenja prigovora, podaci o ličnosti se ne mogu se dalje obrađivati u svrhe direktnog oglašavanja.
Članom 38. Predloga zakona je uređeno automatizovano donošenje pojedinačnih odluka i profilisanje. To podrazumeva da lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili takva odluka značajno utiče na njegov položaj.
Stav 2. istog člana predviđa izuzetak od navedene opšte odredbe i predviđa da se automatizovana pojedinačna odluka ipak može doneti u sledećim slučajevima: ako je takva odluka neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca; ako je odluka zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, kao i ako je zasnovana na izričitom pristanku lica na koje se podaci odnose.
Mogućnost automatizovanog donošenja pojedinačnih odluka je ograničena kada su u pitanju nadležni organi koji obrađuju podatke u posebne svrhe (član 39. Predloga zakona). Takva odluka može se doneti samo u slučaju ako je zasnovana na zakonu kojim su propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke.
Ovakva odluka se ne može zasnivati na posebnim vrstama podataka o ličnosti, a takođe izričito je zabranjeno profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta podataka o ličnosti.
Član 40. Predloga zakona propisuje ograničenja od opštih odredbi Glave III.
Predviđeno je da ovakva ograničenja mogu postojati pod uslovom da ta ograničenja ne zadiru u suštinu osnovnih prava i sloboda i ako je to neophodno i predstavlja srazmernu meru u demokratskom društvu. Pored toga, neophodno je da se ograničenja odnose na zaštitu: nacionalne bezbednosti; odbrane; javne bezbednosti; sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost; drugih važnih opštih javnih interesa, a posebno važnih privrednih ili finansijskih interesa Republike Srbije, uključujući i interese vezane za monetarnu politiku, budzet, poreski sistem, javno zdravlje i socijalnu zaštitu; nezavisnosti pravosuđa i sudskih postupaka; sprečavanja, istraživanja, otkrivanja i gonjenja za povredu profesionalne etike; funkcije praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa vršenjem službenih ovlašćenja; lica na koje se podaci odnose ili prava i sloboda drugih lica i ostvarivanja potraživanja u građanskim stvarima.
Glava IV. Predloga zakona – Rukovalac i obrađivač (čl. 41. do 62) takođe sadrži više odeljaka.
U okviru prvog odeljka (čl. 41. do 49. Predloga zakona) propisane su opšte obaveze koje se odnose na rukovaoca i obrađivača.
Obaveze rukovaoca propisane u članu 41. Predloga zakona predviđaju da je rukovalac dužan da preduzme odgovarajuće tehničke, kadrovske i organizacione mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči. Prilikom preduzimanja ovih mera uzima se u obzir priroda, obim, okolnosti i svrha obrade, verovatnoća nastupanja rizika, kao i nivo mogućeg rizika po ostvarivanje prava i slobode lica. Postoji obaveza i da se ove mere preispituju i ažuriraju.
Kada su u pitanju mere zaštite (član 42. Predloga zakona), rukovalac je dužan da primeni odgovarajuće tehničke, organizacione i kadrovske mere koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao i da obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose.
Pored toga, rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake svrhe obrade. Navedenim merama mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Član 43. Predloga zakona određuje pojam zajedničkih rukovaoca. Tačnije, ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima. Zajednički rukovaoci na transparentan način određuju odgovornost svakog od njih za poštovanje odredbi propisanih ovim zakonom, a posebno u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže potrebne informacije. Odgovornost se uređuje sporazumom zajedničkih rukovaoca, a tim sporazumom mora se odrediti i lice za kontakt sa licem na koje se podaci odnose. Međutim, bez obzira na odredbe sporazuma zajedničih rukovaoca, lice na koje se podaci odnose može ostvariti svoja prava pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.
Rukovalac, odnosno obrađivač koji nema sedište u Republici Srbiji dužan je da odredi u pismenom obliku svog predstavnika u Republici Srbiji, sa sedištem u Republici Srbiji (član 44. Predloga zakona). Rukovalac, odnosno obrađivač, ovlašćuje svog predstavnika kao lice kome se lice na koje se podaci odnose, Poverenik ili drugo lice može obratiti u pogledu svih pitanja u vezi sa obradom podatka o ličnosti.
Ako se obrada podataka o ličnosti vrši za račun rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice koje u potpunosti garantuje primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona, kao i zaštitu prava lica na koje se podaci odnose (član 45. Predloga zakona). Obrađivač može dalje poveriti obradu podataka o ličnosti drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja.
Obrada podataka o ličnosti od strane obrađivača mora biti regulisana ugovorom ili drugim pravno obavezujućim aktom, zaključenim, odnosno usvojenim u pisanom obliku, kojim se uređuje odnos između rukovaoca i obrađivača, uključujući predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i ovlašćenja i obaveze rukovaoca.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.
Ispunjavanje obaveza pružanja garancija može se predočiti i na osnovu primene odobrenog kodeksa postupanja, odnosno izdatog sertifikata.
Pravni odnos između rukovaoca i obrađivača može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama.
U članu 46. Predloga zakona propisano je da obrađivač sme da obrađuje podatke o ličnosti samo po nalogu rukovaoca, osim u slučaju kada je na takvu obradu podataka o ličnosti obavezan zakonom.
Članom 47. Predloga zakona propisane su evidencije o radnjama obrade. Reč je o evidencijama koje obavezno vode rukovalac i obrađivač, odnosno drugi obrađivač. Evidencije se vode u pismenom obliku, što obuhvata i elektronski oblik. Posebnu evidenciju o obradi podataka vode i nadležni organi ako obrađuju podatke u posebne svrhe. Rukovalac, obrađivač i njihovi predstavnici, dužni su da evidencije koje vode učine dostupnim Povereniku na njegov zahtev. Odredbe o vođenju evidencija ne primenjuju se na organizacije u kojima je zaposleno manje od 250 lica, osim u slučaju kad obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose, kad obrada nije povremena i kad obrada obuhvata posebne vrste podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti.
Ako obradu podataka vrše nadležni organi u posebne svrhe, ovi organi su dužni da obezbede da se prilikom upotrebe sistema automatske obrade podataka, u tom sistemu, beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje (član 48. Predloga zakona).
Beleženje uvida i otkrivanja mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, odnosno identiteta primaoca ovih podataka. Beleženje može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka, a zapis nastao beleženjem stavlja se na uvid Povereniku.
Članom 49. Predloga zakona propisana je opšta obaveza saradnje sa Poverenikom, koja podrazumeva da su rukovalac, obrađivač i njihovi predstavnici dužni da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.
Drugi odeljak ove glave (čl. 50. do 53. Predloga zakona) uređuje bezbednost podataka o ličnosti.
Članom 50. Predloga zakona propisuje obavezu rukovaoca i obrađivača da sprovode odgovarajuće tehnničke, kadrovske i organizacione mere u cilju dostizanja odgovarajućeg nivoa bezbednosti u odnosu na rizik. Ove mere naročito obuhvataju: pseudonimizaciju i kriptozaštitu podataka o ličnosti; obezbeđivanje sposobnosti osiguranja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade; obezbeđivanje sposobnosti uspostavljanja u najkraćem roku ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata, kao i postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, kadrovskih i organizacionih mera bezbednosti obrade.
Iste obaveze imaju i nadležni organi ako vrše obradu podataka u posebne svrhe (Član 51. Predloga zakona). Pored ove opšte obaveze, nadležni organi dužni su da prilikom automatske obrade podataka primene mere koje trebaju da obezbede da se: onemogući neovlašćenom licu pristup opremi koja se koristi za obradu podataka; spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka; spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti; spreči korišćenja sistema za automatsku obradu od strane neovlašćenog lica upotrebom opreme za prenos podataka; osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima; može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti; može naknadno proveriti, odnosno ustanoviti koji podaci o ličnosti su uneti u sistem automatske obrade, od strane kog lica i kad su uneti; spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa; ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada; osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju, kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema.
U čl. 51. i 52. Predloga zakona propisane su obaveze obaveštavanja Poverenika, odnosno lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti.
Rukovalac je dužan da dokumentuje svaku povredu bezbednosti podataka, uključujući i činjenice o povredi, njenim posledicama i preduzetim aktivnostima za njihovo otklanjanje, a ta dokumentacija Povereniku predstavlja osnov za utvrđivanje da li je rukovalac postupio u skladu sa svojim obavezama.
Ako povreda bezbednosti podataka može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez odlaganja o tome obavesti lice na koje se podaci odnose (član 53. Predloga zakona). Poverenik može naložiti rukovaocu koji nije obavestio lice na koje se podaci odnose da to učini.
Treći odeljak ove glave (član 54. i 55. Predloga zakona) uređuje procenu uticaja na zaštitu podataka o ličnosti i prethodno obaveštavanje.
Član 54. Predloga zakona propisuje obavezu rukovaoca da pre nego što započne sa obradom podataka izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti. Procena uticaja obavezno se vrši u slučaju: sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti; obrade u velikom obimu posebnih vrsta podataka o ličnosti, kao i u slučaju sistematskog nadzora nad javno dostupnim površinama u velikoj meri.
Procena uticaja sadrži: sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade, procenu rizika za prava i slobode lica na koje se podaci odnose i opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi zakona.
Predviđa se i obaveza Poverenika da sačini i javno objavi listu vrsta radnji obrade za koje se mora izvršiti procena uticaja, a pored toga, Poverenik može da sačini i javno objavi i listu vrsta radnji obrade u vezi sa kojima se ne zahteva procena uticaja.
Ako procena uticaja na zaštitu podataka o ličnosti ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, rukovalac je dužan da o tome obavesti Poverenika pre započinjanja radnje obrade (član 55. Predloga zakona). Ako Poverenik smatra da bi nameravane radnje obrade mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik dostavlja pismeno mišljenje rukovaocu. Pored toga, Poverenik može da iskoristi i svoja inspekcijska ovlašćenja. Istim članom, dato je ovlašćenje Povereniku da može da sastavi i javno objavi listu vrsti radnji obrade u vezi sa kojima se mora zahtevati njegovo mišljenje.
Četvrti odeljak iste glave (čl. 56. do 58. Predloga zakona) uređuje lice za zaštitu podataka o ličnosti, odnosno njegovo određivanje, položaj i obaveze. Lice za zaštiti podataka takođe predstavlja zakonsku novinu u odnosu na važeće rešenje.
Članom 56. stav 1. predviđena je mogućnost da rukovalac, odnosno obrađivač odrede lice za zaštitu podataka o ličnosti.
Stav 2. istog člana predviđa slučajeve kada se lice za zaštitu podataka o ličnosti obavezno mora odrediti. Ti slučajevi su sledeći: ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja svojih sudskih ovlašćenja; ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose i ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih podataka o ličnosti u velikom obimu.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom da je ovo lice jednako dostupno svakom članu grupe, a ako su rukovaoci, odnosno obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu organa vlasti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti. Takvo lice može biti zaposleno kod rukovaoca, odnosno obrađivača, ili može biti angažovano na osnovu ugovora.
Član 57. Predloga zakona uređuje položaj lica za zaštitu podataka o ličnosti. Propisano je da su rukovalac i obrađivač dužni da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti, da mu obezbedi neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, njegovo stručno usavršavanje, kao i da mu obezbede nezavisnost u izvršavanju njegovih obaveza. Takođe, rukovalac i obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja obaveza koje se odnose na zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti ima sledeće obaveze (član 58. Predloga zakona): da informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti; da prati primenu odredbi zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih na radnjama obrade, kao i kontrole; da daje mišljenje o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje u skladu sa njom i da sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu podataka o ličnosti.
Peti odeljak iste glave (čl. 59. do 62. Predloga zakona) se odnosi na kodeks postupanja i sertifikaciju. I ovde je reč o zakonskim novinama u odnosu na važeće rešenje.
Članom 59. Predloga zakona predviđeno je da udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu usvojiti kodeks postupanja u cilju efikasnije primene ovog zakona. Udruženja i drugi subjekti, koji nameravaju da izrade kodeks postupanja ili da izmene postojeći kodeks, dužni su da predlog kodeksa, odnosno njegovih izmena, dostave Povereniku na mišljenje. Poverenik je dužan da da mišljenje o usklađenosti predloga kodeksa postupanja sa odredbama ovog zakona, kao i da registruje i objavi kodeks, na koji je prethodno dao saglasnost, ako utvrdi da kodeks sadrži dovoljne garancije za zaštitu podataka o ličnosti.
Nadzor nad primenom kodeksa postupanja (član 60. Predloga zakona) može vršiti pravno lice koje poseduje odgovarajući nivo stručnosti u vezi sa sadržinom kodeksa i koje je akreditovano za vršenje nadzora.
Pravno lice se može akreditovati ako je ispunilo tačno propisane uslove. Akreditacija se oduzima pravnom licu ako se utvrdi da ono više ne ispunjava uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Članom 61. Predloga zakona uređena je sertifikacija. Postupci sertifikacije zaštite podataka o ličnosti, sa odgovarajućim žigovima i oznakama, mogu se ustanoviti u cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno uzimajući u obzir potrebe malih i srednjih preduzeća.
Postupak sertifikacije je dobrovoljan i transparentan. Sertifikacija ne može uticati na zakonske obaveze rukovaoca i obrađivača. Sertifikat izdaje sertifikaciono telo ili Poverenik, na osnovu kriterijuma koje propisuje Poverenik.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu, odnosno Povereniku, omoguće pristup radnjama obrade i pruže sve informacije o obradi podataka koje su neophodne za sprovođenje postupka sertifikacije. Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijumime za sertifikaciju. Sertifikat se ukida ako sertifikaciono telo, odnosno Poverenik, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane kriterijume za izdavanje sertifikate.
Član 62. Predloga zakona odnosi se na sertifikaciona tela. Sertifikaciono telo, koje poseduje odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti izdaje, obnavlja i ukida sertifikat, i to posle obaveštavanja Poverenika o odluci koja se namerava doneti.
Sertifikaciono telo može biti akreditovano samo ako ispunjava tačno propisane uslove. Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako sertifikackiono telo i dalje ispunjava propisane uslove i kriterijume. Izdata akreditacija se ukida ako se utvrdi da sertifikovano telo više ne ispunjava uslove za akreditaciju ili ako krši odredbe ovog zakona. Kriterijume za akreditaciju sertifikacionog tela propisuje Poverenik.
Takođe, Poverenik vodi i javno objavljuje na svojoj internet stranici spisak sertifikacionih tela i izdatih sertifikata.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i ukidanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje, obnavljanje ili ukidanje sertifikata.
Treba napomenuti i da sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici Srbiji, naravno pod uslovom da je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika Srbija.
Glava V. Predloga zakona na nov način detaljno uređuje prenos podataka o ličnosti u druge države i međunarodne organizacije (čl. 63. do 72). Za razliku od važećih zakonskih rešenja, predviđeno je više mogućnosti za prenos podataka u drugu državu ili međunarodnu organizaciju, pri čemu treba naglasiti da u svakoj od mogućih situacija postoje jasno propisani uslovi koji moraju biti ispunjeni.
Članom 63. Predloga zakona propisana su opšta načela za prenos podataka u druge države i međunarodne organizacije. Osnovni princip je da se svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može izvršiti samo ako u skladu sa drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim tim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon.
Ako obradu podataka vrše nadležni organi u posebne svrhe, prenos podataka se može izvršiti samo ako se prenos vrši u navedene svrhe, ako se podaci prenose organu koji ima istu nadležnost u drugoj državi ili međunarodnoj organizaciji, ako je u drugoj zemlji ili međunarodnoj organizaciji obezbeđen primereni nivo zaštite i ako je nadležni organ odobrio dalji prenos podataka.
Član 64. Predloga zakona uređuje prenos na osnovu primerenog nivoa zaštite.
Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, delovima njihovih teritorija, oblasti delatnosti, odnosno pravnog regulisanja ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.
Ipak, uzimajući u obzir različite okolnosti, Vlada može da utvrdi da neka država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite.
Smatra se da je obezbeđen primereni nivo zaštite i ako je sa drugom državom ili međunarodnom organizacijom zaključen međunarodni sporazum o prenosu podataka o ličnosti.
Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite, odnosno za koje je Vlada utvrdila da ne obezbeđuje primereni nivo zaštite objavljuje se u „Službenom glasniku Republike Srbije”.
Članom 65. predviđena je mogućnost prenosa podataka i u državu ili deo njene teritorije koja se ne nalazi na listi država, delova njihovih teritorija ili međunarodnih organizacija koje imaju primereni nivo zaštite, naravno uz ispunjenje tačno određenih uslova, odnosno na osnovu posebnog odobrenja Poverenika. Ovakav prenos je moguć i kada ga vrši nadležni organi u posebne svrhe, na način i pod uslovima iz člana 66. Predloga zakona.
Članom 67. Predloga zakona propisano je da Poverenik odobrava obavezujuća poslovna pravila, koja se takođe mogu iskoristiti za dokazivanje primene zakona. Ona mogu biti odobrena ako ispunjavaju zajedno sledeće uslove: pravno su obavezujuća i primenjuju se i sprovode se od strane svakog člana multinacionalne kompanije, odnosno grupe privrednih subjekata, uključujući i njihove zaposlene; izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih podataka; zadovoljavaju veći broj uslova propisanih stavom 2. tog člana.
U čl. 68. i 69. Predloga zakona su propisani drugi slučajevi kada je moguć prenos podataka u drugu državu ili međunarodnu organizaciju. Reč je o slučajevima kada se prenos ili otkrivanje podataka o ličnosti vrši na osnovu pojedinačne odluke organa druge država, kao i u slučaju prenosa podataka u posebnim situacijama. Te posebne situacije se odnose na slučajeve kada je: lice na koje se podaci odnose izričito pristalo na predloženi prenos; prenos neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca; prenos neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica; prenos neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije; prenos neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva; prenos neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak i ako se vrši prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili bilo kom licu koje može da dokaže da ima opravdani interes.
U čl. 70. i 71. Predloga zakona predviđeni su slučajevi prenosa podataka u posebnim situacijama, kada obradu podataka vrše nadležni organi u posebne svrhe.
Međunarodnu saradnju u vezi sa zaštitom podataka o ličnosti vrši Poverenik. U tom smislu, Povernik je dužan da preduzme odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama, odnosno međunarodnim organizacijama (član 72. Predloga zakona), koje se odnose na međunarodnu saradnju u oblasti zaštite podataka o ličnosti.
Glava VI. uređuje rad nadzornog tela nad postupanjem sa podacima o ličnosti, odnosno Poverenika (čl. 73. do 81. Predloga zakona).
Prvo poglavlje u okviru ove glave (čl. 73. do 76. Predloga zakona) uređuje nezavisan status nadzornog tela.
Članom 73. Predloga zakona određeno je da je nadzorno telo nad primenom ovog zakona u Republici Srbiji Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti. Poslove praćenja primene zakona, u skladu sa propisanim ovlašćenjima, Poverenik vrši kao nezavisan državni organ.
S obzirom da pored poslova koji su vezani za zaštitu podataka o ličnosti Poverenik obavlja i poslove u skladu sa drugim zakonima, predviđeno je da za ovu oblast ima zamenika koji će ga zamenjivati u vršenju ovlašćenja koje se odnose na zaštitu podataka o ličnosti.
Nezavisnost Poverenika je bliže uređena u članu 74. Predloga zakona. Nezavisnost podrazumeva da je Poverenik potpuno nezavisan, da je slobodan od svakog neposrednog ili posrednog spoljnog uticaja i da ne može da traži niti da prima naloge od bilo koga. Da bi se obezbedila njegova nezavisnost, u stavu 2. istog člana uređeni su poslovi koje Poverenik ne može da obavlja, odnosno propisano je da se Poverenik ne može baviti drugom delatnošću niti drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje i da ne može politički delovati.
Pored toga, stavom 3. istog člana je određeno da se neophodna finansijska sredstva za rad Poverenika, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove, obezbeđuju u skladu sa zakonom, a stavom 5. da kontrolu nad trošenjem sredstava za rad Poverenika vrši isključivo Državna revizorska institucija, i to na način koji ne utiče na nezavisnost Poverenika.
Članom 75. Predloga zakona propisani su dodatni uslovi koje (pored uslova propisanih Zakonom o slobodnom pristupu informacijama od javnog značaja) mora da ispunjava Poverenik.
Članom 76. Predloga zakona propisana je obaveza Poverenika i svih zaposlenih u njegovoj službi da kao profesionalnu tajnu čuvaju sve podatke koje saznaju u toku obavljanja poslova.
Drugo poglavlje iste glave (čl. 77. do 81. Predloga zakona) uređuje nadležnosti Poverenika.
Članom 77. Predloga zakona propisana je opšta nadležnost Poverenika, odnosno da je nadležan na teritoriji Republike Srbije, kao i izuzetak da nije nadležan jedino u slučaju kada podatke o ličnosti obrađuju sudovi, i to samo u vršenju njihovih sudskih ovlašćenja.
U članu 78. Predloga zakona detaljno su propisana ovlašćenja Poverenika. To su sledeća ovlašćenja: vrši nadzor i obezbeđuje primenu ovog zakona u skladu sa svojim ovlašćenjima; stara se o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom; daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom; stara se o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim obavezama propisanim ovim zakonom; na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim zakonom; postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede ovog zakona i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi; sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u razmeni informacija i pružanju uzajamne pravne pomoći; vrši inspekcijski nadzor nad primenom ovog zakona, u skladu sa ovim zakonom i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, i podnosi zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede ovog zakona; prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za zaštitu podataka o ličnosti; izrađuje standardne ugovorne klauzule; sačinjava i javno objavljuje liste vrsta radnji obrade za koje se mora izvršiti procena uticaja; vodi evidenciju lica za zaštitu podataka o ličnosti; daje pismeno mišljenje o proceni da li će nameravane radnje obrade proizvesti visok rizik; podstiče izradu kodeksa postupanja; podstiče izdavanje sertifikata za zaštitu podataka o ličnosti i propisuje kriterijume za sertifikaciju; sprovodi periodično preispitivanje sertifikata; propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela; odobrava odredbe ugovora ili sporazuma o prenosu podataka; odobrava obavezujuća poslovna pravila; vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju; obavlja i druge poslove određene ovim zakonom.
Treba napomenuti da poslove nadzora Poverenik vrši preko ovlašćenih lica iz stručne službe Poverenika.
U cilju pojednostavljivanja podnošenja pritužbe, Povereniku je dato ovlašćenje da propiše obrazac pritužbe i omogući njeno podnošenje elektronskim putem. Takođe, značajno je istaći da Poverenik obavlja svoje poslove na način da je to besplatno za lice na koje se podaci odnose, kao i lice za zaštitu podataka o ličnosti.
U članu 79. Predloga zakona propisana su inspekcijska ovlašćenja Poverenika. Pored standardnih ovlašćenja Poverenika u vršenju inspekcijskog nadzora (stav 1), propisane su i korektivne mere za koje ja Poverenik ovlašćen (stav 2), kao i ostala ovlašćenja Poverenika (stav 3). Pored toga, u vršenju svojih ovlašćenja, propisano je i da Poverenik može da pokrene odgovarajući postupak pred sudom ili drugim organom.
Član 80. Predloga zakona propisuje obavezu nadležnog organa da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede zakona Povereniku, a član 81. Predloga zakona obavezu Poverenika da sačini godišnji izveštaj o svim aktivnostima. Godišnji izveštaj podnosi se Narodnoj skupštini, a dostavlja se i Vladi i stavlja na uvid javnosti.
Glava VII. Predloga zakona uređuje pravna sredstva, odgovornost i kazne (čl. 82. do 87).
Jedna od najznačajnija novina koju donosi Predlog zakona vezana je za podnošenje pravnih sredstava. Po važećem zakonu, lice je imalo pravo žalbe Povereniku, ako smatra da rukovalac ne obrađuje njegove podatke u skladu sa zakonom, a ako je nezadovoljan odlukom Poverenika, mogao je da pokrene upravni spor.
Sada se predviđa čitav niz različitih mogućnosti za zaštitu prava, pri čemu je moguće podneti više pravnih sredstava, nezavisno od toga da li je već podneto neko sredstvo. Pre svega, može se podneti prigovor rukovaocu na obradu podataka. Pored toga, može se podneti pritužba Povereniku. Protiv odluke Poverenika, odnosno u slučaju da takva odluka nije doneta u roku od 60 dana od dana podnošenja pritužbe, može da se pokrene upravni spor.
Isto tako, a nezavisno od drugih postupaka može se ostvariti i neposredna sudska zaštita.
Na kraju, Predlog zakona izričito propisuje i pravo na naknadu štete, koje podrazumeva da lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Pravo na pritužbu Povereniku (član 82. Predloga zakona) je jedan od osnovnih oblika zaštite i ono omogućuje da lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. Ovo pravo ne utiče na pravo lica na koje se podaci odnose da pokrene i druge postupke upravne ili sudske zaštite. Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka, kao i o pravu lica da pokrene sudski postupak. Protiv odluke Poverenika, lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, ima pravo da tužbom pokrene upravni spor (član 83. Predloga zakona).
Lice na koje se podaci odnose ima pravo i na sudsku zaštitu (član 84. Predloga zakona), ako smatra da je njegovo pravo propisano ovim zakonom povređeno radnjom obrade podataka o njegovoj ličnosti od strane rukovaoca, odnosno obrađivača, suprotno odredbama ovog zakona. Kao i u slučaju kod podnošenja pritužbe Povereniku, podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava pred sudom, može se zahtevati od suda da obaveže tuženog na davanje informacije, na ispravku, odnosno brisanje podataka o tužiocu, na ograničenje obrade, na davanje podataka u strukturisanom, uobičajeno korišćenom i elektronski čitljivom formatu, na prenošenje podataka drugom rukovaocu, kao i na prekid obrade podataka.
U ovom posebnom sudskom postupku, revizija pravnosnažne odluke je uvek dopuštena, a na sudski postupak se primenjuju odredbe zakona kojim se uređuje parnični postupak.
U upravnom i sudskom postupku lice na koje se podaci odnose ima pravo da ga, u skladu sa posebnim zakonom, zastupa predstavnik udruženja koje se bavi zaštitom prava i sloboda tog lica (član 85. Predloga zakona).
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona (član 86. Predloga zakona) ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao. Za nastalu štetu odgovara rukovalac, a obrađivač samo u slučaju kad nije postupao u skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je postupao izvan ili suprotno uputstvima rukovaoca izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije odgovoran za nastanak štete, a ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade štete.
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način (član 87. Predloga zakona). Stavom 3. istog člana određene su okolnosti koje treba uzeti u obzir u svakom pojedinačnom slučaju, prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu.
Glavom VIII. uređeni su posebni slučajevi obrada (čl. 88. do 94. Predloga zakona).
Posebni slučajevi imaju svoje specifičnosti u odnosu na ostale odredbe Predloga zakona, pa su zbog toga predviđene u posebnoj glavi. Reč je o obradi podataka o ličnosti koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima, kao i svrhe naučnog, umetničkog ili književnog izražavanja, odnosu obrade podataka o ličnosti i slobodnog pristupa informacijama od javnog značaja, obradi jedinstvenog matičnog broja građana, obradi podataka u oblasti rada i zapošljavanja, zaštiti i ograničenju primene odredbi zakona na obradu podataka u svrhe arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja i u statističke svrhe, obradi podataka o ličnosti od strane crkava i verskih zajednica i obradi podataka o ličnosti u humanitarne svrhe od strane organa vlasti.
Kaznene odredbe predviđene su Glavom IH. (član 95. Predloga zakona). Predviđa se 32 različita prekršaja zbog povreda zakona. Za sve prekršaje predviđena je novčana kazna u rasponu predviđenim Zakonom o prekršajima. Za propisane prekršaje mogu da odgovaraju rukovalac, kao i obrađivač koji ima svojstvo pravnog lica. Pored toga, u skladu sa Zakonom o prekršajima, za propisane prekršaje mogu da odgovaraju i preduzetnik, fizičko lice, kao i odgovorno lice u pravnom licu, državnom organu, organu teritorijalne autonomije i jedinici lokalne samouprave, odnosno odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica. Kao poseban prekršaj je propisan slučaj kada lice za obavljanja poslove zaštite podataka ne čuva podatke koje sazna tokom obavljanja poslova kao profesionalnu tajnu.
Takođe, propisano je i šest prekršaja zbog kojih se može izreći novčana kazna u fiksnom iznosu, što je takođe novina u odnosu na važeći zakon.
Završni deo Predloga zakona (Glava X) sadrži njegove prelazne i završne odredbe (čl. 96. do 102. Predloga zakona).
Članom 96. Predloga zakona, a imajući u vidu da Poverenik ima svog zamenika za zaštitu podataka o ličnosti, predviđeno je da taj zamenik nastavlja da vrši svoju dužnost do isteka mandata za koji je izabran.
Članom 97. Predloga zakona predviđeno je da će se postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, postupci po zahtevima za izdavanje dozvole za iznošenje podataka iz Republike Srbije, kao i postupci nadzora koji nisu okončani do dana početka primene ovog zakona primeniti odredbe važećeg Zakona o zaštiti podataka o ličnosti.
Članom 98. predviđeno je da Centralni registar zbirki podataka koji je uspostavljen po odredbama važećeg zakona o zaštiti podataka o ličnosti prestaje da se da se vodi danom stupanja na snagu ovog zakona, kao i da se sa Centralnim registrom (kao i sa podacima sadržanim u tom registru), postupa se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Članom 99. Predloga zakona predviđeno je da se podzakonski akti čije donošenje zakon predviđa za njegovu primenu donesu u roku od devet meseci od dana stupanja na snagu zakona, a da se do njihovog usvajanja primenjuju podzakonski akti koji su doneti na osnovu važećeg Zakona o zaštiti podataka o ličnosti.
Članom 100. Predloga zakona propisano je da će se odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiti sa odredbama ovog zakona do kraja 2020. godine, kako bi se obezbedilo da ovi drugi zakoni budu usklađeni sa zakonom koji u ovoj oblasti ima sistemski karakter.
Završnim odredbama Predloga zakona (čl. 101. i 102) predviđeno je stavljanje van snage važećeg zakona (Zakon o zaštiti podataka o ličnosti – „Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12), kao i stupanje zakona na snagu i početak njegove primene.
Predviđena je odložena primena zakona, kako bi se do početka njegove primene doneli neophodni podzakonski akti i obezbedili svi potrebni uslovi za njegovu punu primenu.
IV. PROCENA FINANSIJSKIH SREDSTAVA POTREBNIH ZA SPROVOĐENjE ZAKONA
Za sprovođenje ovog zakona nije potrebno obezbediti dodatna sredstva u Budzetu Republike Srbije za 2018. godinu, dok će takva sredstva eventualno biti potrebno obezbediti u 2019. godini (posle početka njegove primene), kao i u narednim godinama.
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje mogu da podrazumevaju eventualne dodatne troškove, a struktura tih potreba bi bila sledeća:
1) Dodatne institucionalne potrebe, i to:
– Institucionalno jačanje postojeće institucije – Poverenika, imajući u vidu proširenje delokruga u delu koji se odnosi na međunarodnu razmenu podataka o ličnosti, poslove nadzora primene zakona, poslove koji se odnose na davanje mišljenja prilikom pripreme materijala drugih organa državne uprave koji sadrže odredbe o zaštiti podataka o ličnosti, kao i za sve nove poslove koje predviđaju novi propisi Evropske unije sa kojima se vrši usklađivanje (poslovi vezani za sertifikaciju, prethodnu procenu rizika, kodeks postupanja, izradu standardizovanih ikona u elektronskom obliku, standardnih ugovornih klauzula, poslove međunarodne saradnje, korektivne mere i drugo).
– Kako se primena zakona odnosi na sve organe vlasti, pojedini organi javne vlasti sa većim brojem zaposlenih (npr. Ministarstvo unutrašnjih poslova, Ministarstvo odbrane i dr.) imaće potrebu za obrazovanjem novih unutrašnjih organizacionih jedinica koje će se baviti zaštitom podataka o ličnosti. Te unutrašnje organizacione jedinice trebalo bi da budu, odeljenja, odseci ili grupe. U ovom trenutku je nemoguće dati neku bližu procenu eventualnih troškova koji mogu nastati zbog mogućih organizacionih promena u organima vlasti zbog primene ovog zakona, jer, kao što je rečeno, to pre svega zavisi od organa vlasti. Osnovna procena je da je ovakve promene moguće obaviti bez dodatnog zapošljavanja.
– Osnovna procena je da neće postojati i neki posebni troškovi za primenu tehničkih mera koje se predviđaju Predlogom zakona, s obzirom da se ove mere uglavnom već primenjuju (prema propisima o informacionoj bezbednosti). Dodatno unapređenje IT opreme, kancelarijske opreme, kao i druge opreme neophodne za zaposlene se i inače podrazumeva u redovnom obavljanju poslova organa javne vlasti i naravno da će zavisiti od mogućnosti i ograničenja koje predviđa Budzet;
2) Administrativni kapaciteti
Za primenu Zakona o zaštiti podataka o ličnosti, procena je da postoje dodatne potrebe koje podrazumevaju mogućnost dodatnih troškova za proširenje administrativnih kapaciteta, a struktura tih potreba bi bila sledeća:
2.1. Dodatne administrativne potrebe, i to:
– Dodatni poslovni prostor: odgovarajući broj kancelarija za Poverenika, kao i više kancelarija za zaposlene u organima vlasti koje postupaju sa podacima o ličnosti u većoj meri.
– Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, što će svakako zavisiti od kadrovskih potreba i obezbeđenog dodatnog poslovnog prostora.
2.2. Kadrovske potrebe:
– veći broj državnih službenika u Stručnoj službi Poverenika, za stalno – na neodređeno vreme (visoka stručna sprema, diplomiranih pravnika ili eventualno nekog od fakulteta društvenog smera), od čega bi najveći deo bio u zvanju višeg savetnika, a manji deo bi činili zaposleni sa srednjom stručnom spremom;
– veći broj državnih službenika iz drugih ministarstava ili pravosuđa, na neodređeno vreme u ostalim ministarstvima, sudovima, javnim tužilaštvima, kao i drugim organima javne vlasti.
Kadrovske potrebe će se pre svega rešiti preuzimanjem postojećih državnih službenika, a samo izuzetno i dodatnim zapošljavanjem. Osnovna pretpostavka da je dodatne zaposlene u najvećoj meri moguće angažovati iz drugih državnih organa, dakle iz reda već zaposlenih državnih službenika koji imaju potrebno radno iskustvo, za koje su već predviđeni rashodi za zaposlene. Eventualno dodatno zapošljavanje će zavisiti od mogućnosti i ograničenja koje predviđa Budzet.
– Dodatne administrativne potrebe (korišćenje usluga i roba), i to:
– Dodatna oprema: IT, kancelarijska oprema, kao i druga oprema neophodna za zaposlene, kao i kancelarije, a sve u skladu sa mogućnostima.
3) Troškovi obuke:
– Obuka za sudije
S obzirom da se Predlogom zakona uvodi novi sudski postupak, neophodno je sprovesti obuku za sudije. Obuka će se sprovesti u Pravosudnoj akademiji. Procenjeno je da će posle donošenja zakona, a do početka njegove primene biti neophodna obuka za 30 sudija. Obuka će se sprovesti u Beogradu (za sve sudije) i trajala bi nekoliko dana. Troškovi za obuku ukupno iznose 800 evra u dinarskoj protivrednosti za dan obuke. Reč je o troškovima za predavače, putne troškove i ostale troškove.
Posle početka primene zakona, pa nadalje, takođe je neophodno sprovoditi istu ovakvu obuku i za druge sudije, sa istim troškovima.
Kada je u pitanju obuka za sudsko i javnotužilačko osoblje, krajem 2018. godine bi bilo potrebno započeti sprovođenje obuke onih zaposlenih koji najviše postupaju sa podacima o ličnosti u toku rada. Za njih bi tema obuke bila upoznavanje sa novim zakonskim rešenjima. Procenjeno je da obuka za ovu grupu (koju bi sačinjavalo 60 polaznika) treba da bude jednodnevna, kao i da su troškovi obuke oko 600 evra u dinarskoj protivvrednosti. Predviđeno je da se, za početak, sprovedu četiri ovakve obuke, i to u gradovima u kojima se nalaze sedišta Apelacionih sudova (Beograd, Kragujevac, Niš i Novi Sad).
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje, pri čemu je procena troškova ista.
Za ostale državne organe takođe je potrebno sprovesti obuku. Sa obukom bi trebalo započeti krajem 2018. godine i početkom 2019. godine. Obuka bi se organizovala preko Nacionalne akademije za javnu upravu, bila bi jednodnevna i takođe bi se odnosila na nova zakonska rešenja iz oblasti zaštite podataka o ličnosti. Obuku bi trebalo sprovoditi periodično kako bi bio obučen što veći broj zaposlenih u državnim organima.
Istu ovakvu obuku je potrebno permanentno sprovoditi u toku 2019. godine (posle početka primene zakona), pa nadalje.
Kada su u pitanju troškovi obuke sudija, odnosno sudskog i javnotužilačkog osoblja, za koju je predviđeno da je sprovodi Pravosudna akademija, ukazujemo da se radi o redovnom poslovanju Pravosudne akademije za koje se sredstva obezbeđuju u budzetu svake godine, a čija je to osnovna delatnost.
Isto se odnosi na obuku državnih službenika koja će biti sprovedena preko Nacionalne akademije za javnu upravu.
Ovde treba imati u vidu i da se obuke koje se odnose na zaštitu podataka o ličnosti već sprovode više godina. Takođe, treba napomenuti i da je potrebno da se ovaj Predlog zakona usvoji, jer se obuke mogu detaljno planirati (i odobriti) samo u odnosu na zakon koji je već usvojen.
Napominjemo i da je u ovom trenutku nemoguće bliže kvantitativno izraziti troškove koji eventualno mogu da nastanu primenom zakona, s obzirom da pojedini troškovi organa vlasti pre svega zavise od broja podataka o ličnosti koji se obrađuju, vrste podataka, sadašnjih mera zaštite koje se primenjuju prema podacima o ličnosti (pre svega onih iz oblasti informacione bezbednosti), objektivnih potreba za obradu podataka o ličnosti i dr.
Na kraju, ukazujemo da će organi vlasti do početka primene zakona, pa nadalje, moći da opredele detaljne iznose neophodnih budzetskih sredstava za sprovođenje ovog zakona posebno za naredne godine (2020. godinu i nadalje), što će biti izraženo kroz planiranje i pripremu zakona koji uređuje Budzet za naredne godine, imajući u vidu njegove mogućnosti i ograničenja.