Predlog zakona o zaštiti podataka o ličnosti

1. Naziv propisa EU

DIREKTIVA 2016/680 EVROPSKOG PARLAMENTA I SAVETA od 27.04.2016. godine o zaštiti pojedinca u vezi sa obradom podataka o ličnosti od strane nadležnih tela u svrhe sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija i slobodnom protoku takvih podataka i stavljanju van snage okvirne odluke Saveta 2008/977/PUP

DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data and repealing Council Framework Decision 2008/977/JHA

Službeni list L 119, 4.5.2016. str. 89-131 |2. „CELEX” oznaka EU propisa | | 32016L0680 3. Ovlašćeni predlagač propisa: VladaObrađivač: Ministarstvo pravde 4. datum izrade tabele 14.09.2018. 5. Naziv (važećeg, nacrta, predloga) propisa čije odredbe su predmet analize usklađenosti sa propisom EU Predlog zakona o zaštiti podataka o ličnostiDRAFT OF THE LAW ON PERSONAL DATA PROTECTION 6. Brojčane oznake (šifre) planiranih propisa iz baze NPI2018/21 7. Usklađenost odredaba propisa sa odredbama propisa EU

a) |a1) |b) |b1) |v) |g) |d) |đ) | |Odre-dba propisa EU (član, stav, podstav, tačka, aneks) |Sadržina odredbe |Odre-dbe propisa

(član, stav, tačka) |Sadržina odredbe |Usklađe-nost odredbe propisa sa odred-bom propisa EU |Razlozi za delimičnu usklađenost, neusklađenost ili neprenosivost |Predviđeni datum za postizanje potpune usklađenosti |Napomena o usklađe-nosti propisa sa propisima EU | |1.1 |This Directive lays down the rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. |1.2. |Ovim zakonom uređuje se i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka. |PU | | | | |1.2. |In accordance with this Directive, Member States shall:

(a)

a)

protect thefundamental rights and freedoms of natural persons and in particular their right to the protection of personal data;

and

(b)

b) ensure that the exchange of personal data by competent authorities within the Union, where such exchange is required by Union or Member State law, is neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.

|2.1 |Ovim zakonom se obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti. |PU

NP |

Propisane obaveze se odnose na države članice Evropske unije | | | |1.3. |This Directive shall not preclude Member States from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities. | | |NP |Propisane obaveze se odnose na države članice Evropske unije | | | |2.1. |This Directive applies to the processing of personal data by competent authorities for the purposes set out in Article 1(1). |1.2. |Ovim zakonom uređuje se i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti, kao i slobodni protok takvih podataka. |PU | | | | |2.2 |This Directive applies to the processing of personal data wholly or partly by automated means, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. |3.1.

|Ovaj zakon primenjuje se na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke podataka ili su namenjeni zbirci podataka. |PU

| | | | |2.3. |This Directive does not apply to the processing of personal data:

(a)

a) in the course of an activity which falls

outside the scope of Union law;

(b)

b) by the Union institutions, bodies, offices and agencies.

| | |NP |Propisane obaveze se odnose na države članice Evropske unije | | | |3. |For the purposes of this Directive:

|4. |Pojedini izrazi u ovom zakonu imaju sledeće značenje: |PU | | | | |(1) |‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; |1) |1) „podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta; |PU | | | | |(2) |‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; |3) |3) „obrada podataka o ličnosti” je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada); |PU | | | | |(3) |‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; |4) |4) „ograničavanje obrade” je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti; |PU | | | | |(4) |‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; |5) |5) „profilisanje” je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja; |PU | | | | |(5) |‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; |6) |„pseudonimizacija” je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu; |PU | | | | |(6) |‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; |7) |7) „zbirka podataka” je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama; |PU | | | | |(7) |‘competent authority’ means:

(a)

a) any public authority competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; or

(b)

b) any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

|26) |„nadležni organi” su:

a) organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti;

b) pravno lice koje je za vršenje poslova iz podtačke a) ove tačke ovlašćeno zakonom. |PU | | | | |(8) |‘controller’ means the competent authority which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; |8) |„rukovalac” je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje; |PU | | | | |(9) |‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; |9) |„obrađivač” je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca; |PU | | | | |(10) |‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; |10) |„primalac” je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade; |PU | | | | |(11) |‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; |13) |„povreda podataka o ličnosti” je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani; |PU | | | | |(12) |‘genetic data’ means personal data, relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; |14) |„genetski podatak” je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla; |PU | | | | |(13) |‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; |15) |„biometrijski podatak” je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci; |PU | | | | |(14) |‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; |16) |„podaci o zdravlju” su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju; |PU | | | | |(15) |‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 41; |22) |„Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)” je nezavisan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadzor nad sprovođenjem ovog zakona i obavljanje drugih poslova propisanih zakonom; |PU | | | | |(16) |‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. |24) |„međunarodna organizacija” je organizacija ili njeno telo koje uređuje međunarodno javno pravo, kao i bilo koje drugo telo ustanovljeno sporazumom ili na osnovu sporazuma između država; |PU | | | | |4.1. |Member States shall provide for personal data to be:

(a)

) processed lawfully and fairly;

(b)

b)collected for specified, explicit and legitimate purposes and not processed in a manner that is incompatible with those purposes;

(c)

c) adequate, relevant and not excessive in relation to the purposes for which they are processed;

(d)

d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;

(e)

e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which they are processed;

(f)

f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures.

|5.1. |Podaci o ličnosti moraju:

1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose („zakonitost, poštenje i transparentnost”). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;

2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama („ograničenje u odnosu na svrhu obrade”);

3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade („minimizacija podataka”);

4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave („tačnost”);

5) se čuvati u obliku koji omogućava identifikaciju lica samo u vremenskom periodu neophodnom za ostvarivanje svrhe obrade („ograničenje čuvanja”);

6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera („integritet i poverljivost”). |PU | | | | |4.2. |Processing by the same or another controller for any of the purposes set out in Article 1(1) other than that for which the personal data are collected shall be permitted in so far as:

(a)

a) the controller is authorised to process such personal data for such a purpose in accordance with Union or Member State law; and

(b)

b) processing is necessary and proportionate to that other purpose in accordance with Union or Member State law.

|7.2. |Obrada koju vrše nadležni organi u posebne svrhe, koje su različite od svrhe za koji su podaci o ličnosti prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:

1) rukovalac je ovlašćen da obrađuje te podatke o ličnosti u takve druge svrhe, u skladu sa zakonom;

2) obrada je neophodna i srazmerna toj drugoj svrsi, u skladu sa zakonom.

|PU | | | | |4.3. |Processing by the same or another controller may include archiving in the public interest, scientific, statistical or historical use, for the purposes set out in Article 1(1), subject to appropriate safeguards for the rights and freedoms of data subjects. |7.3. |Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda lica na koje se podaci odnose. |PU | | | | |4.4. |The controller shall be responsible for, and be able to demonstrate compliance with, paragraphs 1, 2 and 3.

|5.2. |Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu („odgovornost za postupanje”). |PU | | | | |5. |Member States shall provide for appropriate time limits to be established for the erasure of personal data or for a periodic review of the need for the storage of personal data. Procedural measures shall ensure that those time limits are observed.

|8.2.

8.3.

8.4. |Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, mora se odrediti rok kada će se ti podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.

Ako rok iz stava 2. ovog člana nije određen zakonom, određuje ga rukovalac.

Poverenik nadzire poštovanje rokova iz st. 1. do 3. ovog člana u skladu sa svojim ovlašćenjima propisanim ovim zakonom. |PU | | | | |6. |Member States shall provide for the controller, where applicable and as far as possible, to make a clear distinction between personal data of different categories of data subjects, such as:

(a)

a) persons with regard to whom there are serious grounds for believing that they have committed or are about to commit a criminal offence;

(b) persons convicted of a criminal offence;

(c)

c) victims of criminal offence or persons with regard to whom certain facts give rise to reasons for believing that he or she could be the victim of a criminal offence; and

(d)

d) other parties to a criminal offence, such as persons who might be called on to testify in investigations in connection with criminal offences or subsequent criminal proceedings, persons who can provide information on criminal offences, or contacts or associates of one of the persons referred to in points (a) and (b).

|9. |Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:

1) lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;

2) lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;

3) lica koja su osuđena za krivična dela;

4) lica oštećena krivičnim delom ili lica za koje se pretpostavlja da bi mogla biti oštećena krivičnim delom;

5) druga lica koja su u vezi sa krivičnim delom, kao što su svedoci, lica koja mogu da obezbede informacije o krivičnom delu, povezana lica ili saradnici lica iz tač. 1) do 3) ovog člana. |PU | | | | |7.1. |Member States shall provide for personal data based on facts to be distinguished, as far as possible, from personal data based on personal assessments.

|10. |Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni. |PU | | | | |7.2. |Member States shall provide for the competent authorities to take all reasonable steps to ensure that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, each competent authority shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of personal data, necessary information enabling the receiving competent authority to assess the degree of accuracy, completeness and reliability of personal data, and the extent to which they are up to date shall be added. |11.1

11.2.

11.3. |Nadležni organi koji obrađuju podatke o ličnosti u posebne svrhe su dužni da korišćenjem razumnih mera obezbede da se netačni, nepotpuni i neažurirani podaci o ličnosti ne prenose, odnosno da ne budu dostupni.

Tačnost, potpunost i ažuriranost podataka o ličnosti nadležni organi proveravaju, u meri u kojoj je to moguće, pre započinjanja prenosa, odnosno pre nego što se ti podaci učine dostupnim.

Nadležni organ koji drugom nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti, proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o ažuriranosti tih podataka. |PU | | | | |7.3. |If it emerges that incorrect personal data have been transmitted or personal data have been unlawfully transmitted, the recipient shall be notified without delay. In such a case, the personal data shall be rectified or erased or processing shall be restricted in accordance with Article 16. |11.4. |Ako su preneti netačni podaci o ličnosti, odnosno ako su podaci o ličnosti preneti nezakonito, nadležni organ kome su podaci preneti o tome se mora obavestiti bez odlaganja, a podaci o ličnosti koji su preneti moraju biti ispravljeni ili izbrisani, odnosno njihova obrada mora biti ograničena u skladu sa ovim zakonom. |PU | | | | |8.1. |Member States shall provide for processing to be lawful only if and to the extent that processing is necessary for the performance of a task carried out by a competent authority for the purposes set out in Article 1(1) and that it is based on Union or Member State law. |13. |Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade. |PU | | | | |8.2. |Member State law regulating processing within the scope of this Directive shall specify at least the objectives of processing, the personal data to be processed and the purposes of the processing. |13. |Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade. |PU | | | | |9.1. |Personal data collected by competent authorities for the purposes set out in Article 1(1) shall not be processed for purposes other than those set out in Article 1(1) unless such processing is authorised by Union or Member State law. Where personal data are processed for such other purposes, Regulation (EU) 2016/679 shall apply unless the processing is carried out in an activity which falls outside the scope of Union law. |7.1. |Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se obrađivati u svrhu koja je različita od svrhe za koju su podaci prikupljeni, osim ako je ta dalja obrada propisana zakonom. |PU

NP |

Druga rečenica je neprenosiva. Podrazumeva se da se primenjuju opšte odredbe zakona, ako nije posebno rečeno za obradu nadležnih organa u posebne svrhe. | | | |9.2. |Where competent authorities are entrusted by Member State law with the performance of tasks other than those performed for the purposes set out in Article 1(1), Regulation (EU) 2016/679 shall apply to processing for such purposes, including for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, unless the processing is carried out in an activity which falls outside the scope of Union law. |7.3. |Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda lica na koje se podaci odnose.

|PU | | | | |9.3. |Member States shall, where Union or Member State law applicable to the transmitting competent authority provides specific conditions for processing, provide for the transmitting competent authority to inform the recipient of such personal data of those conditions and the requirement to comply with them. |11.5.

|Ako se za obradu zakonom zahtevaju posebni uslovi, nadležni organ koji prenosi podatke o ličnosti dužan je da upozna primaoca podataka sa tim posebnim uslovima, kao i obavezom njihovog ispunjenja. |PU | | | | |9.4. |Member States shall provide for the transmitting competent authority not to apply conditions pursuant to paragraph 3 to recipients in other Member States or to agencies, offices and bodies established pursuant to Chapters 4 and 5 of Title V of the TFEU other than those applicable to similar transmissions of data within the Member State of the transmitting competent authority. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |10. |Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be allowed only where strictly necessary, subject to appropriate safeguards for the rights and freedoms of the data subject, and only:

(a)

(a) where authorised by Union or Member State law;

(b)

b) to protect the vital interests of the data subject or of another natural person; or

(c)

c) where such processing relates to data which are manifestly made public by the data subject.

|18. |Obrada koju vrše nadležni organi u posebne svrhe, kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica dopuštena je samo ako je to neophodno, uz primenu odgovarajućih mera zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:

1) nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;

2) obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;

3) obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno učinilo dostupnim javnosti. |PU | | | | |11.1. |Member States shall provide for a decision based solely on automated processing, including profiling, which produces an adverse legal effect concerning the data subject or significantly affects him or her, to be prohibited unless authorised by Union or Member State law to which the controller is subject and which provides appropriate safeguards for the rights and freedoms of the data subject, at least the right to obtain human intervention on the part of the controller. |39.1. |Zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni organi u posebne svrhe, uključujući i profilisanje, ako takva odluka može da proizvede štetne pravne posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere zaštite prava i sloboda lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke. |PU | | | | |11.2. |Decisions referred to in paragraph 1 of this Article shall not be based on special categories of personal data referred to in Article 10, unless suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place. |39.2. |Odluka iz stava 1. ovog člana ne može se zasnivati na posebnim vrstama podataka o ličnosti iz člana 18. stav 1. ovog zakona, osim ako se primenjuju odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose. |PU | | | | |11.3. |Profiling that results in discrimination against natural persons on the basis of special categories of personal data referred to in Article 10 shall be prohibited, in accordance with Union law. |39.3.

|Zabranjeno je profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta podataka o ličnosti iz člana 18. stav 1. ovog zakona. |PU | | | | |12.1. |Member States shall provide for the controller to take reasonable steps to provide any information referred to in Article 13 and make any communication with regard to Articles 11, 14 to 18 and 31 relating to processing to the data subject in a concise, intelligible and easily accessible form, using clear and plain language. The information shall be provided by any appropriate means, including by electronic means. As a general rule, the controller shall provide the information in the same form as the request. |22.1. |Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da preduzme razumne mere da bi licu na koje se podaci odnose pružio sve informacije iz člana 25. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona, na sažet, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči. Te informacije se pružaju na bilo koji primeren način, uključujući i elektronskim putem. Po pravilu, rukovalac pruža informacije u obliku u kojem je sadržan zahtev lica na koje se podaci odnose. |PU | | | | |12.2. |Member States shall provide for the controller to facilitate the exercise of the rights of the data subject under Articles 11 and 14 to 18. |22.2. |Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz čl. 27, 28, 32, 34, 35. i 39. ovog zakona. |PU | | | | |12.3. |Member States shall provide for the controller to inform the data subject in writing about the follow up to his or her request without undue delay. |22.3. |Rukovalac je dužan da licu na koje se podaci odnose bez odlaganja u pismenom obliku pruži informacije o postupanju po njegovom zahtevu. |PU | | | | |12.4. |Member States shall provide for the information provided under Article 13 and any communication made or action taken pursuant to Articles 11, 14 to 18 and 31 to be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:

(a)

a) charge a reasonable fee, taking into account the administrative costs of providing the information or communication or taking the action requested; or

(b)

) refuse to act on the request.

The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. |22.4.

22.5. |Rukovalac pruža informacije iz člana 25. ovog zakona i postupa u skladu sa čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, nadležni organ može da:

1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;

2) odbije da postupi po zahtevu.

Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu. |PU | | | | |12.5. |Where the controller has reasonable doubts concerning the identity of the natural person making a request referred to in Article 14 or 16, the controller may request the provision of additional information necessary to confirm the identity of the data subject. |22.6. |Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 27. ili člana 32. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta tog lica. |PU | | | | |13.1. |Member States shall provide for the controller to make available to the data subject at least the following information:

(a)

a) the identity and the contact details of the controller;

(b)

b) the contact details of the data protection officer, where applicable;

(c)

c) the purposes of the processing for which the personal data are intended;

(d)

d) the right to lodge a complaint with a supervisory authority and the contact details of the supervisory authority;

(e)

e) the existence of the right to request from the controller access to and rectification or erasure of personal data and restriction of processing of the personal data concerning the data subject.

|25.1.

|Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da licu na koje se podaci o ličnosti odnose stavi na raspolaganje najmanje sledeće informacije:

1) o identitetu i kontakt podacima rukovaoca;

2) kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;

3) o svrsi nameravane obrade;

4) o pravu da se podnese pritužba Povereniku i kontakt podatke Poverenika;

5) o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade tih podataka.

|PU | | | | |13.2. |In addition to the information referred to in paragraph 1, Member States shall provide by law for the controller to give to the data subject, in specific cases, the following further information to enable the exercise of his or her rights:

(a)

a) the legal basis for the processing;

(b)

b) the period for which the personal data will be stored, or, where that is not possible, the criteria used to determine that period;

(c)

c) where applicable, the categories of recipients of the personal data, including in third countries or international organisations;

(d)

d) where necessary, further information, in particular where the personal data are collected without the knowledge of the data subject.

|25.2. |Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose, da bi mu se u određenim slučajevima omogućilo ostvarivanje njegovih prava, pruži sledeće dodatne informacije:

1) o pravnom osnovu za obradu;

2) o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;

3) o grupi primalaca podataka o ličnosti, ako oni postoje, uključujući i one u drugim državama ili međunarodnim organizacijama;

4) druge podatke, ako je to neophodno, a posebno ako su podaci o ličnosti prikupljeni bez znanja lica na koje se odnose. |PU | | | | |13.3. |Member States may adopt legislative measures delaying, restricting or omitting the provision of the information to the data subject pursuant to paragraph 2 to the extent that, and for as long as, such a measure constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and the legitimate interests of the natural person concerned, in order to:

(a)

a) avoid obstructing official or legal inquiries, investigations or procedures;

(b)

b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c)

) protect public security;

(d)

) protect national security;

(e)

e) protect the rights and freedoms of others.

|25.3. |Informacije iz stava 2. ovog člana koje se odnose na pojedine vrste obrade mogu se uskratiti, odnosno pružiti ograničeno ili odloženo licu na koje se podaci o ličnosti odnose, samo u onoj meri i u onom trajanju dok je to neophodno i srazmerno u demokratskom društvu u odnosu na poštovanje osnovnih prava i legitimnih interesa fizičkih lica, kako bi se:

1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;

2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;

3) zaštitila javna bezbednost;

4) zaštitila nacionalna bezbednost i odbrana;

5) zaštitila prava i slobode drugih lica. |PU | | |

| |13.4. |Member States may adopt legislative measures in order to determine categories of processing which may wholly or partly fall under any of the points listed in paragraph 3. |25.4. |Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 3. ovog člana. |PU | | | | |14. |Subject to Article 15, Member States shall provide for the right of the data subject to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

(a)

a) the purposes of and legal basis for the processing;

(b)

b) the categories of personal data concerned;

(c)

c) the recipients or categories of recipients to whom the personal data have been disclosed, in particular recipients in third countries or international organisations;

(d)

d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

(e)

e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject;

(f)

f) the right to lodge a complaint with the supervisory authority and the contact details of the supervisory authority;

(g)

g) communication of the personal data undergoing processing and of any available information as to their origin.

|27. |Ako podatke o ličnosti obrađuju nadležni organi u posebne svrhe, lice na koje se podaci odnose ima pravo da od rukovaoca dobije informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:

1) o svrsi obrade i pravnom osnovu za obradu;

2) o vrstama podataka o ličnosti koji se obrađuju;

3) o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama;

4) o predviđenom periodu čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za određivanje tog perioda;

5) o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti, odnosno prava na ograničenje obrade tih podataka;

6) o pravu da se podnese pritužba Povereniku, kao i kontakt podacima Poverenika;

7) informacije o podacima o ličnosti koji se obrađuju, kao i dostupne informacije o njihovom izvoru. |PU | | | | |15.1. |Member States may adopt legislative measures restricting, wholly or partly, the data subject’s right of access to the extent that, and for as long as such a partial or complete restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned, in order to:

(a)

a) avoid obstructing official or legal inquiries, investigations or procedures;

(b)

b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c)

) protect public security;

(d)

) protect national security;

(e)

e) protect the rights and freedoms of others.

|28.1. |Pravo na pristup iz člana 27. ovog zakona može se ograničiti, u celini ili delimično, samo u onoj meri i u onom trajanju u kome je takvo delimično ili potpuno ograničenje neophodno i predstavlja srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:

1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;

2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;

3) zaštitila javna bezbednost;

4) zaštitila nacionalna bezbednost i odbrana;

5) zaštitila prava i slobode drugih lica. |PU | | | | |15.2. |Member States may adopt legislative measures in order to determine categories of processing which may wholly or partly fall under points (a) to (e) of paragraph 1. |28.2. |Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od slučajeva iz stava 1. ovog člana. |PU | | | | |15.3. |In the cases referred to in paragraphs 1 and 2, Member States shall provide for the controller to inform the data subject, without undue delay, in writing of any refusal or restriction of access and of the reasons for the refusal or the restriction. Such information may be omitted where the provision thereof would undermine a purpose under paragraph 1. Member States shall provide for the controller to inform the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy. |28.3.

28.4.

28.5.

|Rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose da je pristup njegovim podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana.

Rukovalac nije dužan da postupi u skladu sa stavom 3. ovog člana ako bi se time dovelo u pitanje ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen.

U slučaju iz stava 4. ovog člana, kao i u slučaju ako se u postupku po zahtevu za pristup podacima utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da bez nepotrebnog odlaganja, a najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu. |PU | | | | |15.4. |Member States shall provide for the controller to document the factual or legal reasons on which the decision is based. That information shall be made available to the supervisory authorities. |28.6. |Rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju prava iz stava 1. ovog člana, koji moraju biti stavljeni na raspolaganje Povereniku, na njegov zahtev. |PU | | | | |16.1. |Member States shall provide for the right of the data subject to obtain from the controller without undue delay the rectification of inaccurate personal data relating to him or her. Taking into account the purposes of the processing, Member States shall provide for the data subject to have the right to have incomplete personal data completed, including by means of providing a supplementary statement. |29.

|Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave. |PU | | | | |16.2. |Member States shall require the controller to erase personal data without undue delay and provide for the right of the data subject to obtain from the controller the erasure of personal data concerning him or her without undue delay where processing infringes the provisions adopted pursuant to Article 4, 8 or 10, or where personal data must be erased in order to comply with a legal obligation to which the controller is subject. |32.1. |Ako obradu vrše nadležni organi u posebne svrhe, lice na koje se oni odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca, a rukovalac je dužan da bez nepotrebnog odlaganja izbriše te podatke ako su obradom povređene odredbe čl. 5, 13. i 18. ovog zakona ili ako podaci o ličnosti moraju biti izbrisani zbog ispunjenja zakonske obaveze rukovaoca. |PU | | | | |16.3. |Instead of erasure, the controller shall restrict processing where:

(a)

a) the accuracy of the personal data is contested by the data subject and their accuracy or inaccuracy cannot be ascertained; or

(b)

b) the personal data must be maintained for the purposes of evidence.

Where processing is restricted pursuant to point (a) of the first subparagraph, the controller shall inform the data subject before lifting the restriction of processing. |32.2.

32.3. |Rukovalac je dužan da ograniči obradu, umesto da izbriše podatke o ličnosti, ako se radi o jednom od sledećih slučajeva:

1) tačnost podataka o ličnosti je osporena od strane lica na koje se podaci odnose, a njihova tačnost, odnosno netačnost se ne može utvrditi;

2) podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja dokaza.

Ako je obrada ograničena u skladu sa stavom 2. tačka 1) ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi. |PU | | | | |16.4. |Member States shall provide for the controller to inform the data subject in writing of any refusal of rectification or erasure of personal data or restriction of processing and of the reasons for the refusal. Member States may adopt legislative measures restricting, wholly or partly, the obligation to provide such information to the extent that such a restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned in order to:

(a)

a) avoid obstructing official or legal inquiries, investigations or procedures;

(b)

b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c)

) protect public security;

(d)

) protect national security;

(e)

e) protect the rights and freedoms of others.

Member States shall provide for the controller to inform the data subject of the possibility of lodging a complaint with a supervisory authority or seeking a judicial remedy. |34.1.

34.2.

34.3. |Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose o odbijanju ispravljanja ili brisanja njegovih podataka o ličnosti, odnosno ograničavanju obrade, kao i o razlozima za to odbijanje ili ograničavanje.

Rukovalac se potpuno ili delimično oslobađa obaveze obaveštavanja iz stava 1. ovog člana u onoj meri u kojoj takvo ograničenje predstavlja neophodnu i srazmernu meru u demokratskom društvu, uz dužno poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:

1) izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;

2) omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija;

3) zaštitila javna bezbednost;

4) zaštitila nacionalna bezbednost i odbrana;

5) zaštitila prava i slobode drugih lica.

U slučaju iz st. 1. i 2. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose da se može pritužbom obratiti Povereniku, odnosno tužbom sudu. |PU | | | | |16.5. |Member States shall provide for the controller to communicate the rectification of inaccurate personal data to the competent authority from which the inaccurate personal data originate. |34.4. |Rukovalac je dužan da o ispravci netačnih podataka obavesti nadležni organ od koga su ovi podaci dobijeni. |PU | | | | |16.6. |Member States shall, where personal data has been rectified or erased or processing has been restricted pursuant to paragraphs 1, 2 and 3, provide for the controller to notify the recipients and that the recipients shall rectify or erase the personal data or restrict processing of the personal data under their responsibility. |34.5.

34.6.

|Ako su podaci o ličnosti ispravljeni, izbrisani ili je njihova obrada ograničena u skladu sa članom 29. i članom 32. st. 1. i 2. ovog zakona, rukovalac je dužan da primaoce tih podataka obavesti o njihovoj ispravci, brisanju ili ograničenju obrade.

Primaoci podataka koji su obavešteni u skladu sa stavom 5. ovog člana dužni su da podatke koji se kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu. |PU | | | | |17.1. |In the cases referred to in Article 13(3), Article 15(3) and Article 16(4) Member States shall adopt measures providing that the rights of the data subject may also be exercised through the competent supervisory authority. |35.1. |U slučajevima iz člana 25. stav 3, člana 28. st. 3. i 4. i člana 34. stav 2. ovog zakona, prava lica na koje se odnose podaci mogu se ostvariti i preko Poverenika, u skladu sa njegovim ovlašćenjima propisanim ovim zakonom. |PU | | | | |17.2. |Member States shall provide for the controller to inform the data subject of the possibility of exercising his or her rights through the supervisory authority pursuant to paragraph 1. |35.2. |Rukovalac je dužan da obavesti lice na koje se podaci odnose da u slučajevima iz stava 1. ovog člana može da ostvari svoja prava preko Poverenika.

|PU | | | | |17.3. |Where the right referred to in paragraph 1 is exercised, the supervisory authority shall inform the data subject at least that all necessary verifications or a review by the supervisory authority have taken place. The supervisory authority shall also inform the data subject of his or her right to seek a judicial remedy. |35.3. |Ako se, u slučajevima iz stava 1. ovog člana, prava lica na koje se podaci odnose ostvaruju preko Poverenika, Poverenik je dužan da obavesti to lice najmanje o tome da je izvršena provera i nadzor nad obradom njegovih podataka o ličnosti, kao i o pravu da se za zaštitu svojih prava može obratiti sudu. |PU | | |

| |18. |Member States may provide for the exercise of the rights referred to in Articles 13, 14 and 16 to be carried out in accordance with Member State law where the personal data are contained in a judicial decision or record or case file processed in the course of criminal investigations and proceedings. |19.1.

19.2. |Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose.

Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog organa. |PU | | | | |19.1. |Member States shall provide for the controller, taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, to implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Directive. Those measures shall be reviewed and updated where necessary. |41.1.

41.2. |Rukovalac je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica.

Mere iz stava 1. ovog člana se preispituju i ažuriraju, ako je to neophodno. |PU | | | | |19.2. |Where proportionate in relation to the processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller. |41.3. |Ako je to u srazmeri sa obradom podataka, mere iz stava 1. ovog člana uključuju primenu odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti. |PU | | | | |20.1. |Member States shall provide for the controller, taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing, as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, both at the time of the determination of the means for processing and at the time of the processing itself, to implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing, in order to meet the requirements of this Directive and protect the rights of data subjects. |42.1. |Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji proizilaze iz obrade, rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:

1) primeni odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je smanjenje broja podataka;

2) obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci odnose. |PU | | | | |20.2. |Member States shall provide for the controller to implement appropriate technical and organisational measures ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons. |42.2.

42.3. |Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade. Ta se obaveza primenjuje u odnosu na broj prikupljenih podataka, obim njihove obrade, vremenski period njihovog pohranjivanja i njihovu dostupnost.

Merama iz stava 2. ovog člana mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti ne mogu učiniti dostupnim neograničenom broju fizičkih lica. |PU | | | | |21.1. |Member States shall, where two or more controllers jointly determine the purposes and means of processing, provide for them to be joint controllers. They shall, in a transparent manner, determine their respective responsibilities for compliance with this Directive, in particular as regards the exercise of the rights of the data subject and their respective duties to provide the information referred to in Article 13, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement shall designate the contact point for data subjects. Member States may designate which of the joint controllers can act as a single contact point for data subjects to exercise their rights. |43.1

43.2.

43.3.

43.4. |Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim rukovaocima.

Zajednički rukovaoci iz stava 1. ovog člana na transparentan način određuju odgovornost svakog od njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije iz čl. 23. do 25. ovog zakona.

Odgovornost iz stava 2. ovog člana uređuje se sporazumom zajedničkih rukovaoca, osim ako je ova odgovornost propisana zakonom koji se primenjuje na rukovaoce.

Sporazumom iz stava 3. ovog člana mora se odrediti lice za kontakt sa licem na koje se podaci odnose i urediti odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose.

|PU | | | | |21.2. |Irrespective of the terms of the arrangement referred to in paragraph 1, Member States may provide for the data subject to exercise his or her rights under the provisions adopted pursuant to this Directive in respect of and against each of the controllers. |43.8. |Bez obzira na odredbe sporazuma iz stava 3. ovog člana, lice na koje se podaci odnose može ostvariti svoja prava utvrđena ovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.

|PU | | | | |22.1. |Member States shall, where processing is to be carried out on behalf of a controller, provide for the controller to use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Directive and ensure the protection of the rights of the data subject. |45.1. |Ako se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose. |PU | | | | |22.2. |Member States shall provide for the processor not to engage another processor without prior specific or general written authorisation by the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. |45.2. |Obrađivač iz stava 1. ovog člana može poveriti obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Ako se obrada vrši na osnovu opšteg ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača, odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj promeni. |PU | | | | |22.3. |Member States shall provide for the processing by a processor to be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

(a)

a) acts only on instructions from the controller;

(b)

b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

(c)

c) assists the controller by any appropriate means to ensure compliance with the provisions on the data subject’s rights;

(d)

d) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of data processing services, and deletes existing copies unless Union or Member State law requires storage of the personal data;

(e)

e) makes available to the controller all information necessary to demonstrate compliance with this Article;

(f)

f) complies with the conditions referred to in paragraphs 2 and 3 for engaging another processor.

|45.3.

45.6.

|Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.

Ako obradu vrše nadležni organi u posebne svrhe, ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač dužan da:

1) obrađuje podatke o ličnosti samo na osnovu uputstava rukovaoca;

2) obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;

3) pomaže na odgovarajući način rukovaocu u ispunjavanju njegove obaveze poštovanja odredbi o pravima lica na koje se podaci odnose iz Glave III. ovog zakona;

4) posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili mu vrati sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka;

5) učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom.

6) obezbedi poštovanje uslova iz st. 2, 3. i 6. ovog člana ako poverava obradu drugom obrađivaču. |PU | | | | |22.4. |The contract or the other legal act referred to in paragraph 3 shall be in writing, including in an electronic form. |45.3. |Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obradu, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca. |PU | | | | |22.5. |If a processor determines, in infringement of this Directive, the purposes and means of processing, that processor shall be considered to be a controller in respect of that processing. |45.8. |Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.

|PU | | | | |23. |Member States shall provide for the processor and any person acting under the authority of the controller or of the processor, who has access to personal data, not to process those data except on instructions from the controller, unless required to do so by Union or Member State law. |46. |Obrađivač, odnosno drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca, osim ako je takva obrada propisana zakonom.

|PU | | | | |24.1. |Member States shall provide for controllers to maintain a record of all categories of processing activities under their responsibility. That record shall contain all of the following information:

(a)

a) the name and contact details of the controller and, where applicable, the joint controller and the data protection officer;

(b)

b) the purposes of the processing;

(c)

c) the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations;

(d)

d) a description of the categories of data subject and of the categories of personal data;

(e)

e) where applicable, the use of profiling;

(f)

f) where applicable, the categories of transfers of personal data to a third country or an international organisation;

(g)

g) an indication of the legal basis for the processing operation, including transfers, for which the personal data are intended;

(h)

h) where possible, the envisaged time limits for erasure of the different categories of personal data;

(i)

i) where possible, a general description of the technical and organisational security measures referred to in Article 29(1).

|47.3. |Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da vodi evidenciju o svim vrstama radnji obrade za koje je odgovoran, a koja sadrži informacije o:

1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;

2) svrsi obrade;

3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;

4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;

5) korišćenju profilisanja, ako se profilisanje koristi;

6) vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;

7) pravnom osnovu za postupak obrade, uključujući i prenos podataka o ličnosti;

8) roku čijim istekom se brišu određene vrste podataka o ličnosti, ako je takav rok određen;

9) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.

|PU | | | | |24.2. |Member States shall provide for each processor to maintain a record of all categories of processing activities carried out on behalf of a controller, containing:

(a)

a) the name and contact details of the processor or processors, of each controller on behalf of which the processor is acting and, where applicable, the data protection officer;

(b)

b) the categories of processing carried out on behalf of each controller;

(c)

c) where applicable, transfers of personal data to a third country or an international organisation where explicitly instructed to do so by the controller, including the identification of that third country or international organisation;

(d)

d) where possible, a general description of the technical and organisational security measures referred to in Article 29(1).

|47.6.

|Ako obradu vrše nadležni organi u posebne svrhe, svaki obrađivač je dužan da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:

1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno lica za zaštitu podataka o ličnosti, ako je ono određeno;

2) vrsti obrada koje se vrše u ime svakog rukovaoca;

3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac to izričito zahteva, uključujući i nazive države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;

4) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.

|PU | | | | |24.3. |The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.

The controller and the processor shall make those records available to the supervisory authority on request. |47.7.

47.8. |Evidencije iz st. 1, 3, 4. i 6. ovog člana vode se u pismenom obliku, što obuhvata i elektronski oblik i čuvaju se trajno.

Rukovalac ili obrađivač, kao i njihovi predstavnici, ako su određeni, dužni su da evidencije iz st. 1, 3, 4. i 6. ovog člana učine dostupnim Povereniku, na njegov zahtev. |PU | | | | |25.1. |Member States shall provide for logs to be kept for at least the following processing operations in automated processing systems: collection, alteration, consultation, disclosure including transfers, combination and erasure. The logs of consultation and disclosure shall make it possible to establish the justification, date and time of such operations and, as far as possible, the identification of the person who consulted or disclosed personal data, and the identity of the recipients of such personal data. |48.1.

48.2. |Nadležni organ koji obrađuje podatke u posebne svrhe dužan je da obezbedi da se prilikom upotrebe sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje, uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje.

Beleženje uvida i otkrivanja podataka o ličnosti mora da omogući utvrđivanje razloga za vršenje radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka. |PU | | | | |25.2. |The logs shall be used solely for verification of the lawfulness of processing, self-monitoring, ensuring the integrity and security of the personal data, and for criminal proceedings. |48.3. |Beleženje iz stava 1. ovog člana može biti korišćeno isključivo u svrhu ocene zakonitosti obrade, internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja krivičnog postupka. |PU | | | | |25.3. |The controller and the processor shall make the logs available to the supervisory authority on request. |48.4. |Zapis nastao beleženjem iz stava 1. ovog člana stavlja se na uvid Povereniku, na njegov zahtev. |PU | | | | |26. |Member States shall provide for the controller and the processor to cooperate, on request, with the supervisory authority in the performance of its tasks on request. |49. |Rukovalac, obrađivač i njihovi predstavnici, ako su određeni, dužni su da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.

|PU | | | | |27.1. |Where a type of processing, in particular, using new technologies, and taking into account the nature, scope, context and purposes of the processing is likely to result in a high risk to the rights and freedoms of natural persons, Member States shall provide for the controller to carry out, prior to the processing, an assessment of the impact of the envisaged processing operations on the protection of personal data. |54.1.

|Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.

|PU | | | | |27.2. |The assessment referred to in paragraph 1 shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address those risks, safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Directive, taking into account the rights and legitimate interests of the data subjects and other persons concerned. |54.8. |Procena uticaja obrade koju vrše nadležni organi u posebne svrhe najmanje mora da sadrži sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se podaci odnose, opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica. |PU | | | | |28.1. |Member States shall provide for the controller or processor to consult the supervisory authority prior to processing which will form part of a new filing system to be created, where:

(a)

a) a data protection impact assessment as provided for in Article 27 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk; or

(b)

b) the type of processing, in particular, where using new technologies, mechanisms or procedures, involves a high risk to the rights and freedoms of data subjects.

|55.3. |Ako obradu vrše nadležni organ u posebne svrhe, rukovalac, odnosno obrađivač je dužan da zatraži mišljenje Poverenika pre započinjanja radnji obrade koje će dovesti do stvaranja nove zbirke podataka u slučaju da:

1) procena uticaja na zaštitu podataka o ličnosti koja je izvršena u skladu sa članom 54. ovog zakona ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika;

2) vrsta obrade, a posebno ako se koriste nove tehnologije, mehanizmi zaštite ili postupci, predstavljaju visok rizik za prava i slobode lica na koje se podaci odnose. |PU | | | | |28.2. |Member States shall provide for the supervisory authority to be consulted during the preparation of a proposal for a legislative measure to be adopted by a national parliament or of a regulatory measure based on such a legislative measure, which relates to processing. |55.11. |Organi vlasti koji predlažu usvajanje zakona i drugih propisa zasnovanih na zakonima, a koji sadrže odredbe o obradi podataka o ličnosti, dužni su da u toku njihove pripreme zatraže mišljenje Poverenika.

|PU | | | | |28.3. |Member States shall provide that the supervisory authority may establish a list of the processing operations which are subject to prior consultation pursuant to paragraph 1. |55.10. |Poverenik može da sastavi i javno objavi na svojoj interner stranici listu vrsti radnji obrade u vezi sa kojima se mora tražiti njegovo mišljenje. |PU | | | | |28.4. |Member States shall provide for the controller to provide the supervisory authority with the data protection impact assessment pursuant to Article 27 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of personal data of the data subject and of the related safeguards. |55.9. |Ako obradu vrše nadležni organ u posebne svrhe, rukovalac iz stava 3. ovog člana je dužan da Povereniku dostavi podatke o proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona, a na zahtev Poverenika i druge informacije koje su od značaja za njegovo mišljenje o radnjama obrade, a posebno riziku po zaštitu podataka o ličnosti lica na koje se podaci odnose i mehanizmima zaštite njegovih prava. |PU | | | | |28.5. |Member States shall, where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 of this Article would infringe the provisions adopted pursuant to this Directive, in particular where the controller has insufficiently identified or mitigated the risk, provide for the supervisory authority to provide, within a period of up to six weeks of receipt of the request for consultation, written advice to the controller and, where applicable, to the processor, and may use any of its powers referred to in Article 47. That period may be extended by a month, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor of any such extension within one month of receipt of the request for consultation, together with the reasons for the delay. |55.4.

55.5.

55.6. |Ako Poverenik smatra da bi nameravane radnje obrade iz st. 1. i 3. ovog člana mogle da povrede odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik, Poverenik je dužan da u roku od 60 dana od dana prijema zahteva dostavi pismeno mišljenje rukovaocu ili obrađivaču, ako je on podneo zahtev, kao i da po potrebi iskoristi ovlašćenja iz člana 79. ovog zakona.

Rok iz stava 4. ovog člana može se produžiti za 45 dana uzimajući u obzir složenost nameravanih radnji obrade, a Poverenik je dužan da o odlaganju i razlozima za odlaganje davanja mišljenja upozna rukovaoca ili obrađivača, ako je on podneo zahtev, u roku od 30 dana od prijema zahteva za mišljenje.

Rokovi iz st. 4. i 5. ovog člana ne teku dok Poverenik ne dobije sve tražene informacije koje su neophodne za davanje mišljenja. |PU | | | | |29.1. |Member States shall provide for the controller and the processor, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, to implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in particular as regards the processing of special categories of personal data referred to in Article 10. |51.1. |Ako obradu vrše nadležni organi u posebne svrhe, a u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehnničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik, a posebno ako se radi o obradi posebnih vrsta podataka o ličnosti iz člana 18. ovog zakona. |PU | | | | |29.2. |In respect of automated processing, each Member State shall provide for the controller or processor, following an evaluation of the risks, to implement measures designed to:

(a)

a) deny unauthorised persons access to processing equipment used for processing (‘equipment access control’);

(b)

b) prevent the unauthorised reading, copying, modification or removal of data media (‘data media control’);

(c)

c) prevent the unauthorised input of personal data and the unauthorised inspection, modification or deletion of stored personal data (‘storage control’);

(d)

d) prevent the use of automated processing systems by unauthorised persons using data communication equipment (‘user control’);

(e)

e) ensure that persons authorised to use an automated processing system have access only to the personal data covered by their access authorisation (‘data access control’);

(f)

f) ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’);

(g)

g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the personal data were input (‘input control’);

(h)

h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (‘transport control’);

(i)

i) ensure that installed systems may, in the case of interruption, be restored (‘recovery’);

(j)

j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’).

|51.2. |Na osnovu procene rizika, rukovalac ili obrađivač dužan je da prilikom automatske obrade primeni odgovarajuće mere iz stava 1. ovog člana koje obezbeđuju da se:

1) onemogući neovlašćenom licu pristup opremi koja se koristi za obradu („kontrola pristupa opremi”);

2) spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka („kontrola nosača podataka”);

3) spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola pohranjenih podataka o ličnosti („kontrola pohranjivanja”);

4) spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za prenos podataka („kontrola upotrebe”);

5) osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima („kontrola pristupa podacima”);

6) može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni dostupnim, upotrebom opreme za prenos podataka („kontrola prenosa”);

7) može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti („kontrola unosa”);

8) spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka („kontrola prevoza”);

9) ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada („obnavljanje sistema”);

10) osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju („pouzdanost”), kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema („integritet”). |PU | | | | |30.1. |Member States shall, in the case of a personal data breach, provide for the controller to notify without undue delay and, where feasible, not later than 72 hours after having become aware of it, the personal data breach to the supervisory authority, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. |52.1.

52.2. |Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa od saznanja za povredu.

Ako rukovalac ne postupi u roku od 72 časa od saznanja za povredu, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.

|PU | | | | |30.2. |The processor shall notify the controller without undue delay after becoming aware of a personal data breach. |52.3. |Obrađivač je dužan da, posle saznanja za povredu podataka o ličnosti, bez nepotrebnog odlaganja obavesti rukovaoca o toj povredi. |PU | | | | |30.3. |The notification referred to in paragraph 1 shall at least:

(a)

a) describe the nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

(b)

b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;

(c)

c) describe the likely consequences of the personal data breach;

(d)

d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

|52.4. |Obaveštenje iz stava 1. ovog člana mora da sadrži najmanje sledeće informacije:

1) opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koje se podaci odnose te vrste, kao i približan broj podataka o ličnosti čija je bezbednost povređena;

2) ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi;

3) opis mogućih posledica povrede;

4) opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.

|PU | | | | |30.4. |Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. |52.5. |Ako se sve informacije iz stava 4. ovog člana ne mogu dostaviti istovremeno, rukovalac bez nepotrebnog odlaganja postupno dostavlja dostupne informacije. |PU | | | | |30.5. |Member States shall provide for the controller to document any personal data breaches referred to in paragraph 1, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. |52.6.

52.7. |Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.

Dokumentacija iz stava 6. ovog člana mora omogućiti Povereniku da utvrdi da li je rukovalac postupio u skladu sa odredbama ovog člana. |PU | | | | |30.6. |Member States shall, where the personal data breach involves personal data that have been transmitted by or to the controller of another Member State, provide for the information referred to in paragraph 3 to be communicated to the controller of that Member State without undue delay. |52.8. |Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, a koji su preneti rukovaocu u drugoj državi ili međunarodnoj organizaciji, rukovalac je dužan je da bez nepotrebnog odlaganja dostavi informacije iz stava 4. ovog člana rukovaocu u toj drugoj državi ili međunarodnoj organizaciji, u skladu sa međunarodnim sporazumom. |PU | | | | |31.1. |Member States shall, where the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, provide for the controller to communicate the personal data breach to the data subject without undue delay. |53.1. |Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose. |PU | | | | |31.2. |The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and shall contain at least the information and measures referred to in points (b), (c) and (d) of Article 30(3). |53.2. |U obaveštenju iz stava 1. ovog člana rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede podataka i navede najmanje informacije iz člana 52. stav 4. tač. 2) do 4) ovog zakona. |PU | | | | |31.3. |The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a)

a) the controller has implemented appropriate technological and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

(b)

b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c)

c) it would involve a disproportionate effort. In such a case, there shall instead be a public communication or a similar measure whereby the data subjects are informed in an equally effective manner.

|53.3.

|Rukovalac nije dužan da obavesti lice iz stava 1. ovog člana ako:

1) je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;

2) je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;

3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose. |PU | | | | |31.4. |If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so, or may decide that any of the conditions referred to in paragraph 3 are met. |53.4. |Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu da to učini ili može da utvrdi da su ispunjeni uslovi iz stava 3. ovog člana. |PU | | | | |31.5. |The communication to the data subject referred to in paragraph 1 of this Article may be delayed, restricted or omitted subject to the conditions and on the grounds referred to in Article 13(3). |53.5. |Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, rukovalac može odložiti ili ograničiti obaveštavanje lica na koje se podaci odnose, u skladu sa uslovima i na osnovu razloga iz člana 25. stav 3. ovog zakona. |PU | | | | |32.1. |Member States shall provide for the controller to designate a data protection officer. Member States may exempt courts and other independent judicial authorities when acting in their judicial capacity from that obligation. |56.4. |Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da odredi lice za zaštitu podataka o ličnosti, osim ako se radi o obradi koju vrše sudovi u svrhu obavljanja njegovih sudskih ovlašćenja. |PU | | | | |32.2. |The data protection officer shall be designated on the basis of his or her professional qualities and, in particular, his or her expert knowledge of data protection law and practice and ability to fulfil the tasks referred to in Article 34. |56.8.

|Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza iz člana 58. ovog zakona. |PU | | | | |32.3. |A single data protection officer may be designated for several competent authorities, taking account of their organisational structure and size. |56.6. |Ako su rukovaoci ili obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu tih organa vlasti. |PU | | | | |32.4. |Member States shall provide for the controller to publish the contact details of the data protection officer and communicate them to the supervisory authority. |56.10.

|Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku.

|PU | | | | |33.1. |Member States shall provide for the controller to ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. |57.1.

|Rukovalac i obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti. |PU | | | | |33.2. |The controller shall support the data protection officer in performing the tasks referred to in Article 34 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. |57.2. |Rukovalac i obrađivač dužni su da omoguće licu za zaštitu podataka o ličnosti izvršavanje obaveza iz člana 58. ovog zakona na taj način što mu obezbeđuju neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje. |PU | | | | |34. |Member States shall provide for the controller to entrust the data protection officer at least with the following tasks:

(a)

a) to inform and advise the controller and the employees who carry out processing of their obligations pursuant to this Directive and to other Union or Member State data protection provisions;

(b)

b) to monitor compliance with this Directive, with other Union or Member State data protection provisions and with the policies of the controller in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(c)

c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 27;

(d)

d) to cooperate with the supervisory authority;

(e)

e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 28, and to consult, where appropriate, with regard to any other matter.

|58.1. |Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:

1) informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;

2) prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;

3) daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni, u skladu sa članom 54. ovog zakona;

4) sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koje se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz člana 55. ovog zakona.

|PU | | | | |35.1. |Member States shall provide for any transfer by competent authorities of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation including for onward transfers to another third country or international organisation to take place, subject to compliance with the national provisions adopted pursuant to other provisions of this Directive, only where the conditions laid down in this Chapter are met, namely:

(a)

a) the transfer is necessary for the purposes set out in Article 1(1);

(b)

b) the personal data are transferred to a controller in a third country or international organisation that is an authority competent for the purposes referred to in Article 1(1);

(c)

c) where personal data are transmitted or made available from another Member State, that Member State has given its prior authorisation to the transfer in accordance with its national law;

(d)

d) the Commission has adopted an adequacy decision pursuant to Article 36, or, in the absence of such a decision, appropriate safeguards have been provided or exist pursuant to Article 37, or, in the absence of an adequacy decision pursuant to Article 36 and of appropriate safeguards in accordance with Article 37, derogations for specific situations apply pursuant to Article 38; and

(e)

e) in the case of an onward transfer to another third country or international organisation, the competent authority that carried out the original transfer or another competent authority of the same Member State authorises the onward transfer, after taking into due account all relevant factors, including the seriousness of the criminal offence, the purpose for which the personal data was originally transferred and the level of personal data protection in the third country or an international organisation to which personal data are onward transferred.

|63.1.

63.2. |Svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako u skladu sa drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim ovim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon.

Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenosa u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako su zajedno ispunjeni sledeći uslovi:

1) prenos je neophodno izvršiti u posebne svrhe;

2) podaci o ličnosti se prenose rukovaocu u drugoj državi ili međunarodnoj organizaciji koji je nadležan organ za obavljanje poslove u posebne svrhe;

3) Vlada je utvrdila listu država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija koje obezbeđuju primereni nivo zaštite podataka o ličnosti u skladu sa članom 64. ovog zakona, a prenos podataka se vrši u jednu od tih država, na deo njene teritorije ili u jedan ili više sektora određene delatnosti u toj državi ili u međunarodnu organizaciju, ili je, ako to nije slučaj, primena odgovarajućih mera zaštite obezbeđena u skladu sa članom 66. ovog zakona, ili se, ako njihova primena nije obezbeđena, primenjuju odredbe o prenosu podataka u posebnim situacijama iz člana 70. ovog zakona;

4) u slučaju daljeg prenosa podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, nadležni organ koji je izvršio prvi prenos ili drugi nadležni organ u Republici Srbiji je odobrio dalji prenos, pošto je uzeo u obzir sve okolnosti od značaja za dalji prenos, uključujući težinu krivičnog dela, svrhu prvog prenosa i nivo zaštite podataka o ličnosti u trećoj državi ili međunarodnoj organizaciji u koju se podaci dalje prenose.

|PU

NP |

Tačka s) se odnosi na propisane obaveze država članica Evropske unije

| | | |35.2. |Member States shall provide for transfers without the prior authorisation by another Member State in accordance with point (c) of paragraph 1 to be permitted only if the transfer of the personal data is necessary for the prevention of an immediate and serious threat to public security of a Member State or a third country or to essential interests of a Member State and the prior authorisation cannot be obtained in good time. The authority responsible for giving prior authorisation shall be informed without delay. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |35.3. |All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons ensured by this Directive is not undermined. |63.1. |Svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako u skladu sa drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim ovim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon. |PU | | | | |36.1. |Member States shall provide that a transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. |64.1.

64.2. |Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju, bez prethodnog odobrenja, može se izvršiti ako je utvrđeno da ta druga država, deo njene teritorije ili jedan ili više sektora određenih delatnosti u toj državi ili ta međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti.

Smatra se da je primereni nivo zaštite iz stava 1. ovog člana obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite. |PU | | | | |36.2. |When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements:

(a)

a) the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation, which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are transferred;

(b)

b) the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with data protection rules, including adequate enforcement powers, for assisting and advising data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and

(c)

c) the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data.

|64.3. |Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana, osim ako se radi o članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, uzimajući u obzir:

1) princip vladavine prava i poštovanja ljudskih prava i osnovnih sloboda, važeće zakonodavstvo, uključujući i propise u oblasti javne bezbednosti, odbrane, nacionalne bezbednosti, krivičnog prava i pristupa organa vlasti podacima o ličnosti, kao i primenu ovih propisa, pravila o zaštiti podataka o ličnosti i profesionalnih pravila u ovoj oblasti, odnosno preduzimanje mera zaštite podataka o ličnosti, uključujući i pravila o daljem prenošenju podataka o ličnosti u treće države ili međunarodne organizacije, koja se primenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili međunarodnoj organizaciji, kao i delotvornost ostvarivanja prava lica na koje se odnose podaci, a posebno delotvornost upravnih i sudskih postupaka zaštite prava lica čiji se podaci prenose;

2) postojanje i delotvornost rada nadzornog tela za zaštitu podataka o ličnosti u drugoj državi ili nadzornog tela koje je nadležno za nadzor nad međunarodnom organizacijom u ovoj oblasti, sa ovlašćenjem da obezbedi primenu pravila o zaštiti podataka o ličnosti i pokrene postupke zaštite podataka o ličnosti u slučaju njihovog nepoštovanja, pruži pomoć i savetuje lica na koje se podaci odnose u ostvarivanju njegovih prava, kao i da sarađuje sa nadzornim telima drugih država;

3) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze koje proizilaze iz pravnoobavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u pogledu zaštite podatka o ličnosti. |PU | | | | |36.3. |The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide a mechanism for periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 58(2). |64.3.

64.6. |Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana, osim ako se radi o članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, uzimajući u obzir:

1) princip vladavine prava i poštovanja ljudskih prava i osnovnih sloboda, važeće zakonodavstvo, uključujući i propise u oblasti javne bezbednosti, odbrane, nacionalne bezbednosti, krivičnog prava i pristupa organa vlasti podacima o ličnosti, kao i primenu ovih propisa, pravila o zaštiti podataka o ličnosti i profesionalnih pravila u ovoj oblasti, odnosno preduzimanje mera zaštite podataka o ličnosti, uključujući i pravila o daljem prenošenju podataka o ličnosti u treće države ili međunarodne organizacije, koja se primenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili međunarodnoj organizaciji, kao i delotvornost ostvarivanja prava lica na koje se odnose podaci, a posebno delotvornost upravnih i sudskih postupaka zaštite prava lica čiji se podaci prenose;

2) postojanje i delotvornost rada nadzornog tela za zaštitu podataka o ličnosti u drugoj državi ili nadzornog tela koje je nadležno za nadzor nad međunarodnom organizacijom u ovoj oblasti, sa ovlašćenjem da obezbedi primenu pravila o zaštiti podataka o ličnosti i pokrene pokrene postupke zaštite podataka o ličnosti u slučaju njihovog nepoštovanja, pruži pomoć i savetuje lica na koje se podaci odnose u ostvarivanju njegovih prava, kao i da sarađuje sa nadzornim telima drugih država;

3) međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze koje proizilaze iz pravnoobavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u pogledu zaštite podatka o ličnosti.

Vlada prati stanje u oblasti zaštite podataka u ličnosti u drugim državama, na delovima njenih teritorija ili u jednom ili više sektora određnih delatnosti u tim državama ili u međunarodnim organizacijima, na osnovu dostupnih prikupljenih informacija i na osnovu informacije prikupljene od strane međunarodnih organizacija, koje su od značaja za preispitivanje postojanja primerenog nivoa zaštite. |PU | | | | |36.4. |The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3. |64.6.

|Vlada prati stanje u oblasti zaštite podataka u ličnosti u drugim državama, na delovima njenih teritorija ili u jednom ili više sektora određnih delatnosti u tim državama ili u međunarodnim organizacijima, na osnovu dostupnih prikupljenih informacija i na osnovu informacije prikupljene od strane međunarodnih organizacija, koje su od značaja za preispitivanje postojanja primerenog nivoa zaštite. |PU | | | | |36.5. |The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 58(2).

On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 58(3). |64.6. |Vlada prati stanje u oblasti zaštite podataka u ličnosti u drugim državama, na delovima njenih teritorija ili u jednom ili više sektora određnih delatnosti u tim državama ili u međunarodnim organizacijima, na osnovu dostupnih prikupljenih informacija i na osnovu informacije prikupljene od strane međunarodnih organizacija, koje su od značaja za preispitivanje postojanja primerenog nivoa zaštite. |PU | | | | |36.6. |The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |36.7. |Member States shall provide for a decision pursuant to paragraph 5 to be without prejudice to transfers of personal data to the third country, the territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 37 and 38. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |36.8. |The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |37.1. |In the absence of a decision pursuant to Article 36(3), Member States shall provide that a transfer of personal data to a third country or an international organisation may take place where:

(a)

a) appropriate safeguards with regard to the protection of personal data are provided for in a legally binding instrument; or

(b)

b) the controller has assessed all the circumstances surrounding the transfer of personal data and concludes that appropriate safeguards exist with regard to the protection of personal data.

|66.1. |Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju za koju listom iz člana 64. stav 7. ovog zakona nije utvrđeno postojanje primerenog nivoa zaštite dopušten je u jednom od sledećih slučajeva:

1) ako su odgovarajuće mere zaštite podataka o ličnosti propisane u pravno obavezujućem aktu;

2) ako je rukovalac ocenio sve okolnosti koje se odnose na prenos podataka o ličnosti i utvrdio da odgovarajuće mere zaštite podataka o ličnosti postoje.

|PU | | | | |37.2. |The controller shall inform the supervisory authority about categories of transfers under point (b) of paragraph 1. |66.2. |Rukovalac je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. tačka 2) ovog člana. |PU | | | | |37.3. |When a transfer is based on point (b) of paragraph 1, such a transfer shall be documented and the documentation shall be made available to the supervisory authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred. |66.3.

66.4. |Rukovalac je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. tačka 2) ovog člana, kao i da dokumentaciju o prenosu stavi na raspolaganje Povereniku, na njegov zahtev.

Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti. |PU | | | | |38.1. |In the absence of an adequacy decision pursuant to Article 36, or of appropriate safeguards pursuant to Article 37, Member States shall provide that a transfer or a category of transfers of personal data to a third country or an international organisation may take place only on the condition that the transfer is necessary:

(a)

a) in order to protect the vital interests of the data subject or another person;

(b)

b) to safeguard legitimate interests of the data subject, where the law of the Member State transferring the personal data so provides;

(c)

c) for the prevention of an immediate and serious threat to public security of a Member State or a third country;

(d)

d) in individual cases for the purposes set out in Article 1(1); or

(e)

e) in an individual case for the establishment, exercise or defence of legal claims relating to the purposes set out in Article 1(1).

|70.1. |Ako se prenos podatka o ličnosti koje obrađuju nadležni organi u posebne svrhe ne vrši u skladu sa odredbama čl. 64. i 66. ovog zakona, ovi podaci mogu se preneti u drugu državu ili međunarodnu organizaciju samo ako je takav prenos neophodan u jednom od sledećih slučajeva:

1) u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;

2) u cilju zaštite legitimnih interesa lica na koje se podaci odnose, ako je to predviđeno zakonom;

3) u cilju sprečavanja neposredne i ozbiljne opasnosti za javnu bezbednost Republike Srbije ili druge države;

4) u pojedinačnom slučaju, ako je u pitanju obrada u posebne svrhe;

5) u pojedinačnom slučaju, u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, ako je taj cilj neposredno u vezi sa posebnim svrhama. |PU | | | | |38.2. |Personal data shall not be transferred if the transferring competent authority determines that fundamental rights and freedoms of the data subject concerned override the public interest in the transfer set out in points (d) and (e) of paragraph 1. |70.2. |Prenos podataka o ličnosti ne može se izvršiti ako nadležan organ koji vrši prenos utvrdi da interes zaštite osnovnih prava i sloboda lica na koje se podaci odnose preteže u odnosu na javni interes iz stava 1. tač. 4) i 5) ovog člana. |PU | | | | |38.3. |Where a transfer is based on paragraph 1, such a transfer shall be documented and the documentation shall be made available to the supervisory authority on request, including the date and time of the transfer, information about the receiving competent authority, the justification for the transfer and the personal data transferred. |70.3.

70.4. |Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.

Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa, nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti. |PU | | | | |39.1. | By way of derogation from point (b) of Article 35(1) and without prejudice to any international agreement referred to in paragraph 2 of this Article, Union or Member State law may provide for the competent authorities referred to in point (7)(a) of Article 3, in individual and specific cases, to transfer personal data directly to recipients established in third countries only if the other provisions of this Directive are complied with and all of the following conditions are fulfilled:

(a)

a) the transfer is strictly necessary for the performance of a task of the transferring competent authority as provided for by Union or Member State law for the purposes set out in Article 1(1);

(b)

b) the transferring competent authority determines that no fundamental rights and freedoms of the data subject concerned override the public interest necessitating the transfer in the case at hand;

(c)

c) the transferring competent authority considers that the transfer to an authority that is competent for the purposes referred to in Article 1(1) in the third country is ineffective or inappropriate, in particular because the transfer cannot be achieved in good time;

(d)

d) the authority that is competent for the purposes referred to in Article 1(1) in the third country is informed without undue delay, unless this is ineffective or inappropriate;

(e)

e) the transferring competent authority informs the recipient of the specified purpose or purposes for which the personal data are only to be processed by the latter provided that such processing is necessary.

|71.1. |Izuzetno od odredbe člana 63. stav 2. tačka 2) ovog zakona i bez obzira na primenu međunarodnog sporazuma iz stava 2. ovog člana, nadležni organ koji obrađuje podatke u posebne svrhe može neposredno preneti podatke o ličnosti primaocu u drugoj državi samo ako su poštovane druge odredbe ovog zakona i ako su zajedno ispunjeni sledeći uslovi:

1) prenos je neophodan za izvršenje zakonskog ovlašćenja nadležnog organa koji vrši prenos u posebne svrhe;

2) nadležni organ koji vrši prenos je utvrdio da interes zaštite osnovnih prava ili sloboda lica na koje se podaci odnose ne preteže u odnosu na javni interes radi čije zaštite je neophodno izvršiti prenos podataka;

3) nadležni organ koji vrši prenos smatra da je prenos nadležnom organu u drugoj državi u posebne svrhe nedelotvoran ili da ne odgovara postizanju tih svrha, a posebno ako se prenos ne može izvršiti na vreme;

4) nadležni organ u drugoj državi je bez nepotrebnog odlaganja obavešten o prenosu, osim ako je takvo obaveštavanje nedelotvorno ili ne odgovara postizanju svrhe;

5) nadležni organ koji vrši prenos je obavestio primaoca u drugoj državi o svrhama obrade podataka, kao i o tome da se obrada može vršiti samo u te svrhe, samo od strane primaoca i samo ako je takva obrada neophodna. |PU | | | | |39.2. |An international agreement referred to in paragraph 1 shall be any bilateral or multilateral international agreement in force between Member States and third countries in the field of judicial cooperation in criminal matters and police cooperation. |71.2. |Međunarodni sporazum iz stava 1. ovog člana je svaki sporazum koji je zaključen između Republike Srbije i jedne ili više drugih država, a kojim se uređuje saradnja u krivičnim stvarima ili policijska saradnja.

|PU | | | | |39.3. |The transferring competent authority shall inform the supervisory authority about transfers under this Article. |71.3. |Nadležni organ koji vrši prenos je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. ovog člana. |PU | | | | |39.4. |Where a transfer is based on paragraph 1, such a transfer shall be documented. |71.4.

71.5. |Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.

Dokumentacija o prenosu iz stava 4. ovog člana sadrži informacije o datumu i vremenu prenosa, primaocu podataka, razlozima za prenos i podacima o ličnosti koji su preneti. |PU | | | | |40. |In relation to third countries and international organisations, the Commission and Member States shall take appropriate steps to:

(a)

a) develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data;

(b)

b) provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms;

(c)

c) engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data;

(d)

d) promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries.

|72. |Poverenik preduzima odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o ličnosti u drugim državama i međunarodnim organizacijama u cilju:

1) razvoja mehanizama međunarodne saradnje za olakšavanje delotvorne primene zakona koji se odnose na zaštitu podataka o ličnosti;

2) obezbeđivanja međunarodne uzajamne pomoći u primeni zakona koji se odnose na zaštitu podataka o ličnosti, uključujući i obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju nadzora, kao i razmenu informacija, pod uslovom da su preduzete odgovarajuće mere zaštite podataka o ličnosti i osnovnih prava i sloboda;

3) angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj međunarodne saradnje u primeni zakona koji se odnose na zaštitu podataka o ličnosti;

4) podsticanja i unapređivanja razmene informacija o zakonodavstvu koje se odnosi na zaštitu podataka o ličnosti i njegovoj primeni, uključujući i pitanja sukoba nadležnosti sa drugim državama u ovoj oblasti. |PU | | | | |41.1. |Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Directive, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’). |73.1.

|U cilju zaštite osnovnih prava i sloboda fizičkih lica u vezi sa obradom, poslove praćenja primene ovog zakona u skladu sa propisanim ovlašćenjima vrši Poverenik, kao nezavisan državni organ. |PU | | | | |41.2. |Each supervisory authority shall contribute to the consistent application of this Directive throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and with the Commission in accordance with Chapter VII. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |41.3. |Member States may provide for a supervisory authority established under Regulation (EU) 2016/679 to be the supervisory authority referred to in this Directive and to assume responsibility for the tasks of the supervisory authority to be established under paragraph 1 of this Article. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |41.4. |Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which are to represent those authorities in the Board referred to in Article 51. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |42.1. |Each Member State shall provide for each supervisory authority to act with complete independence in performing its tasks and exercising its powers in accordance with this Directive. |74.1.

|U vršenju svojih ovlašćenja i poslova, u skladu sa ovim zakonom, Poverenik je potpuno nezavisan, slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne može da traži niti prima naloge od bilo koga. |PU | | | | |42.2. |Member States shall provide for the member or members of their supervisory authorities in the performance of their tasks and exercise of their powers in accordance with this Directive, to remain free from external influence, whether direct or indirect, and that they shall neither seek nor take instructions from anybody. |74.1. |U vršenju svojih ovlašćenja i poslova, u skladu sa ovim zakonom, Poverenik je potpuno nezavisan, slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne može da traži niti prima naloge od bilo koga. |PU | | | | |42.3. |Members of Member States’ supervisory authorities shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not. |74.2. |Poverenik se ne može baviti drugom delatnošću ni drugim poslom, uz naknadu ili bez naknade, niti može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje, niti politički delovati. |PU | | | | |42.4. |Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the Board. |74.3. |U cilju obezbeđivanja delotvornog vršenja zakonom propisanih ovlašćenja, neophodna finansijska sredstva za rad, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove za rad Poverenika obezbeđuju se u skladu sa zakonom kojim se uređuje budzet i zakonima kojima se uređuje državna uprava i položaj državnih službenika. |PU | | | | |42.5. |Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned. |74.4.

|Poverenik samostalno vrši izbor zaposlenih između kandidata koji ispunjavaju zakonom propisane uslove za rad u državnim organima i njima potpuno samostalno rukovodi. |PU | | | | |42.6. |Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget. |74.5. |Kontrolu nad trošenjem sredstava za rad Poverenika vrši Državna revizorska institucija, u skladu sa zakonom, na način koji ne utiče na nezavisnost Poverenika.

|PU | | | | |43.1. |Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by:

their parliament;

their government;

their head of State; or

an independent body entrusted with the appointment under Member State law.

|73.3 |Na sedište Poverenika, izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata, postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno. |PU | | | | |43.2. |Each member shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform their duties and exercise their powers. |75. |Pored uslova za izbor Poverenika, propisanih zakonom kojim se uređuje slobodan pristup informacijama od javnog značaja, Poverenik mora da ima potrebno stručno znanje i iskustvo u oblasti zaštite podataka o ličnosti. |PU | | | | |43.3. |The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement, in accordance with the law of the Member State concerned. |73.3. |Na sedište Poverenika, izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata, postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno. |PU | | | | |43.4. |A member shall be dismissed only in cases of serious misconduct or if the member no longer fulfils the conditions required for the performance of the duties. |73.3.

|Na sedište Poverenika, izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata, postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno. |PU | | | | |44.1. |Each Member State shall provide by law for all of the following:

(a)

a) the establishment of each supervisory authority;

(b)

b) the qualifications and eligibility conditions required to be appointed as a member of each supervisory authority;

(c)

c) the rules and procedures for the appointment of the member or members of each supervisory authority;

(d)

d) the duration of the term of the member or members of each supervisory authority of not less than four years, except for the first appointment after 6 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure;

(e)

e) whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment;

(f)

f) the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment.

|73.3. |Na sedište Poverenika, izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata, postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno. |PU | | | | |44.2. |The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or the exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Directive. |76.1.

76.2. |Poverenik, zamenik Poverenika i zaposleni u službi Poverenika dužni su da kao profesionalnu tajnu čuvaju sve podatke do kojih su došli u obavljanju svoje funkcije, odnosno poslova, uključujući i podatke u vezi sa povredom ovog zakona sa kojima ih je upoznalo lice koje nije zaposleno kod Poverenika.

Obaveza iz stava 1. ovog člana traje i posle prestanka obavljanja funkcije Poverenika ili zamenika Poverenika, odnosno prestanka rada u službi Poverenika. |PU | | | | |45.1. | Each Member State shall provide for each supervisory authority to be competent for the performance of the tasks assigned to, and for the exercise of the powers conferred on, it in accordance with this Directive on the territory of its own Member State. |77.1. |Poverenik vrši svoja ovlašćenja, u skladu sa ovim zakonom, na teritoriji Republike Srbije.

|PU | | | | |45.2. |Each Member State shall provide for each supervisory authority not to be competent for the supervision of processing operations of courts when acting in their judicial capacity. Member States may provide for their supervisory authority not to be competent to supervise processing operations of other independent judicial authorities when acting in their judicial capacity. |77.3. |Poverenik nije nadležan da vrši nadzor nad obradom od strane sudova u vršenju njihovih sudskih ovlašćenja. |PU | | | | |46.1. |Each Member State shall provide, on its territory, for each supervisory authority to:

(a)

a) monitor and enforce the application of the provisions adopted pursuant to this Directive and its implementing measures;

(b)

b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing;

(c)

c) advise, in accordance with Member State law, the national parliament, the government and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to processing;

(d)

d) promote the awareness of controllers and processors of their obligations under this Directive;

(e)

e) upon request, provide information to any data subject concerning the exercise of their rights under this Directive and, if appropriate, cooperate with the supervisory authorities in other Member States to that end;

(f)

f) deal with complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 55, and investigate, to the extent appropriate, the subject-matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

(g)

g) check the lawfulness of processing pursuant to Article 17, and inform the data subject within a reasonable period of the outcome of the check pursuant to paragraph 3 of that Article or of the reasons why the check has not been carried out;

(h)

h) cooperate with, including by sharing information, and provide mutual assistance to other supervisory authorities, with a view to ensuring the consistency of application and enforcement of this Directive;

(i)

i) conduct investigations on the application of this Directive, including on the basis of information received from another supervisory authority or other public authority;

(j)

j) monitor relevant developments insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;

(k)

k) provide advice on the processing operations referred to in Article 28; and

(l)

l) contribute to the activities of the Board.

|78.1. |Poverenik:

1) vrši nadzor i obezbeđuje primenu ovog zakona u skladu sa svojim ovlašćenjima;

2) stara se o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom, a posebno ako se radi o obradi podataka o maloletnom licu;

3) daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, u skladu sa propisom, o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi sa obradom;

4) stara se o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim obavezama propisanim ovim zakonom;

5) na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim zakonom;

6) postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede ovog zakona i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi u skladu sa članom 82. ovog zakona;

7) sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u razmeni informacija i pružanju uzajamne pravne pomoći;

8) vrši inspekcijski nadzor nad primenom ovog zakona, u skladu sa ovim zakonom i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, i podnosi zahtev za pokretanje prekršajnog postupka ako utvrdi da je došlo do povrede ovog zakona, u skladu sa zakonom kojim se uređuju prekršaji;

9) prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za zaštitu podataka o ličnosti;

10) izrađuje standardne ugovorne klauzule iz člana 45. stav 11. ovog zakona;

11) sačinjava i javno objavljuje liste iz člana 54. stav 5. ovog zakona;

12) daje pismeno mišljenje iz člana 55. stav 4. ovog zakona;

13) vodi evidenciju lica za zaštitu podataka o ličnosti iz člana 56. stav 11. ovog zakona;

14) podstiče izradu kodeksa postupanja u skladu sa članom 59. stav 1. ovog zakona i daje mišljenje i saglasnost na kodeks postupanja u skladu sa članom 59. stav 5. ovog zakona;

15) obavlja poslove u skladu sa članom 60. ovog zakona;

16) podstiče izdavanje sertifikata za zaštitu podataka o ličnosti i odgovarajućih žigova i oznaka u skladu sa članom 61. stav 1. i propisuje kriterijume za sertifikaciju u skladu sa članom 61. stav 5. ovog zakona;

17) sprovodi periodično preispitivanje sertifikata u skladu sa članom 61. stav 8. ovog zakona;

18) propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela i obavlja poslove u skladu sa članom 62. ovog zakona;

19) odobrava odredbe ugovora ili sporazuma iz člana 65. stav 3. ovog zakona;

20) odobrava obavezujuća poslovna pravila u skladu sa članom 67. ovog zakona;

21) vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju u skladu sa članom 79. stav 2. ovog zakona;

22) obavlja i druge poslove određene ovim zakonom. |PU

NP |

Tačka l) se odnosi na propisane obaveze država članica Evropske unije. | | | |46.2. |Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. |78.5. |U cilju pojednostavljivanja podnošenja pritužbe, Poverenik propisuje obrazac pritužbe i omogućava njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva komunikacije. |PU | | | | |46.3. |The performance of the tasks of each supervisory authority shall be free of charge for the data subject and for the data protection officer. |78.6. |Poverenik obavlja svoje poslove besplatno za lice na koje se podaci odnose i lice za zaštitu podataka o ličnosti.

|PU | | | | |46.4. |Where a request is manifestly unfounded or excessive, in particular because it is repetitive, the supervisory authority may charge a reasonable fee based on its administrative costs, or may refuse to act on the request. The supervisory authority shall bear the burden of demonstrating that the request is manifestly unfounded or excessive. |78.7. |Ako je pritužba Povereniku očigledno neosnovana, preobimna ili se preterano ponavlja, Poverenik može da traži naknadu nužnih troškova ili da odbije da postupa po toj pritužbi, uz navođenje razloga kojima se dokazuje da se radi o neosnovanom, preobimnom ili preterano ponavljanom zahtevu. |PU | | | | |47.1. |Each Member State shall provide by law for each supervisory authority to have effective investigative powers. Those powers shall include at least the power to obtain from the controller and the processor access to all personal data that are being processed and to all information necessary for the performance of its tasks. |79.1. |Poverenik je ovlašćen da:

1) naloži rukovaocu i obrađivaču, a prema potrebi i njihovim predstavnicima, da mu pruže sve informacije koje zatraži u vršenju svojih ovlašćenja;

2) proverava i ocenjuje primenu odredbi zakona i na drugi način vrši nadzor nad zaštitom podataka o ličnosti korišćenjem inspekcijskih ovlašćenja;

3) proverava ispunjenost uslova za sertifikaciju u skladu sa članom 61. stav 8. ovog zakona;

4) obaveštava rukovaoca, odnosno obrađivača o mogućim povredama ovog zakona;

5) zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama neophodnim za vršenje njegovih ovlašćenja;

6) zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim sredstvima i opremi. |PU | | | | |47.2. |Each Member State shall provide by law for each supervisory authority to have effective corrective powers such as, for example:

(a)

a) to issue warnings to a controller or processor that intended processing operations are likely to infringe the provisions adopted pursuant to this Directive;

(b)

b) to order the controller or processor to bring processing operations into compliance with the provisions adopted pursuant to this Directive, where appropriate, in a specified manner and within a specified period, in particular by ordering the rectification or erasure of personal data or restriction of processing pursuant to Article 16;

(c)

c) to impose a temporary or definitive limitation, including a ban, on processing.

|79.2. |Poverenik je ovlašćen da preduzme sledeće korektivne mere:

1) da upozori rukovaoca i obrađivača dostavljanjem pismenog mišljenja da se nameravanim radnjama obrade mogu povrediti odredbe ovog zakona u skladu sa članom 55. stav 4. ovog zakona;

2) da izrekne opomenu rukovaocu, odnosno obrađivaču ako se obradom povređuju odredbe ovog zakona;

3) da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa ostvarivanjem njegovih prava, u skladu sa ovim zakonom;

4) da naloži rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ovog zakona, na tačno određeni način i u tačno određenom vremenskom periodu;

5) da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka o ličnosti;

6) da izrekne privremeno ili trajno ograničenje vršenja radnje obrade, uključujući i zabranu obrade;

7) da naloži ispravljanje, odnosno brisanje podataka o ličnosti ili ograniči vršenje radnje obrade u skladu sa čl. 29. do 32. ovog zakona, kao i da naloži rukovaocu da obavesti o tome drugog rukovaoca, lice na koje se podaci odnose i primaoce kojima su podaci o ličnosti otkriveni ili preneti, u skladu sa članom 30. stav 3. i čl. 33. i 34. ovog zakona;

8) da poništi sertifikat ili da naloži sertifikacionom telu poništavanje sertifikata koji je izdat u skladu sa čl. 61. i 62. ovog zakona, kao i da naloži sertifikacionom telu da odbije izdavanje sertifikata ako nisu ispunjeni uslovi za njegovo izdavanje;

9) da izrekne novčanu kaznu na osnovu prekršajnog naloga ako je prilikom inspekcijskog nadzora utvrđeno da je došlo do prekršaja za koji je ovim zakonom propisana novčana kazna u fiksnom iznosu, umesto drugih mera propisanih ovim stavom ili uz njih, u zavisnosti od okolnosti konkretnog slučaja;

10) da obustavi prenos podataka o ličnosti primaocu u drugoj državi ili međunarodnoj organizaciji. |PU | | | | |47.3. |Each Member State shall provide by law for each supervisory authority to have effective advisory powers to advise the controller in accordance with the prior consultation procedure referred to in Article 28 and to issue, on its own initiative or on request, opinions to its national parliament and its government or, in accordance with its national law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data. |79.3. |Poverenik je ovlašćen i da:

1) izrađuje standardne ugovorne klauzule iz člana 45. stav 11;

2) daje mišljenje rukovaocima u postupku prethodnog pribavljanja mišljenja Poverenika, skladu sa članom 55. ovog zakona;

3) daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, po sopstvenoj inicijativi ili na njihov zahtev, kao i javnosti, o svim pitanjima u vezi sa zaštitom podataka o ličnosti;

4) registruje i objavljuje kodeks postupanja, na koji je prethodno dao saglasnost, u skladu sa članom 59. stav 5. ovog zakona;

5) izdaje sertifikate i propisuje kriterijume za izdavanje sertifikata, u skladu sa članom 61. stav 5. ovog zakona;

6) propisuje kriterijume za akreditaciju, u skladu sa članom 62. ovog zakona;

7) odobrava ugovorne odredbe, odnosno odredbe koje se unose u sporazum, u skladu sa članom 65. stav 3. ovog zakona;

8) odobrava obavezujuća poslovna pravila, u skladu sa članom 67. ovog zakona. |PU | | | | |47.4. |The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, as set out in Union and Member State law in accordance with the Charter. |79.4.

|Kontrolu akata Poverenika donetih na osnovu ovog člana vrši sud, u skladu sa zakonom. |PU | | | | |47.5. |Each Member State shall provide by law for each supervisory authority to have the power to bring infringements of provisions adopted pursuant to this Directive to the attention of judicial authorities and, where appropriate, to commence or otherwise engage in legal proceedings, in order to enforce the provisions adopted pursuant to this Directive. |79.5. |U vršenju svojih ovlašćenja Poverenik može da pokrene postupak pred sudom ili drugim organom, u skladu sa zakonom.

|PU | | | | |48. |Member States shall provide for competent authorities to put in place effective mechanisms to encourage confidential reporting of infringements of this Directive. |80. |Nadležni organ koji vrši obradu u posebne svrhe je dužan da obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona Povereniku. |PU | | | | |49. |Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of penalties imposed. Those reports shall be transmitted to the national parliament, the government and other authorities as designated by Member State law. They shall be made available to the public, the Commission and the Board. |81.1.

81.2. |Poverenik je dužan da sačini godišnji izveštaj o svojim aktivnostima, koji sadrži podatke o vrstama povreda ovog zakona i merama koje su preduzete u vezi sa tim povredama, kao i da ga podnese Narodnoj skupštini.

Izveštaj iz stava 1. ovog stava dostavlja se i Vladi i stavlja se na uvid javnosti, na odgovarajući način. |PU | | | | |50.1. |Each Member State shall provide for their supervisory authorities to provide each other with relevant information and mutual assistance in order to implement and apply this Directive in a consistent manner, and to put in place measures for effective cooperation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out consultations, inspections and investigations. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.2. |Each Member States shall provide for each supervisory authority to take all appropriate measures required to reply to a request of another supervisory authority without undue delay and no later than one month after receiving the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.3. |Requests for assistance shall contain all the necessary information, including the purpose of and reasons for the request. Information exchanged shall be used only for the purpose for which it was requested. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.4. |The requested supervisory authority shall not refuse to comply with the request unless:

(a)

a) it is not competent for the subject-matter of the request or for the measures it is requested to execute; or

(b)

b) compliance with the request would infringe this Directive or Union or Member State law to which the supervisory authority receiving the request is subject.

| | |NP

|Propisane obaveze se odnose na države članice Evropske unije. | | | |50.5. |The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress of the measures taken in order to respond to the request. The requested supervisory authority shall provide reasons for any refusal to comply with a request pursuant to paragraph 4. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.6. |Requested supervisory authorities shall, as a rule, supply the information requested by other supervisory authorities by electronic means, using a standardised format. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.7. |Requested supervisory authorities shall not charge a fee for any action taken by them pursuant to a request for mutual assistance. Supervisory authorities may agree on rules to indemnify each other for specific expenditure arising from the provision of mutual assistance in exceptional circumstances. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |50.8. |The Commission may, by means of implementing acts, specify the format and procedures for mutual assistance referred to in this Article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 58(2). | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |51.1. |The Board established by Regulation (EU) 2016/679 shall perform all of the following tasks in relation to processing within the scope of this Directive:

(a)

a) advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Directive;

(b)

b) examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Directive and issue guidelines, recommendations and best practices in order to encourage consistent application of this Directive;

(c)

c) draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 47(1) and (3);

(d)

d) issue guidelines, recommendations and best practices in accordance with point (b) of this subparagraph for establishing personal data breaches and determining the undue delay referred to in Article 30(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach;

(e)

e) issue guidelines, recommendations and best practices in accordance with point (b) of this subparagraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of natural persons as referred to in Article 31(1);

(f)

f) review the practical application of the guidelines, recommendations and best practices;

(g)

g) provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country, a territory or one or more specified sectors within a third country, or an international organisation, including for the assessment whether such a third country, territory, specified sector, or international organisation no longer ensures an adequate level of protection;

(h)

h) promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities;

(i)

i) promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations;

(j)

j) promote the exchange of knowledge and documentation on data protection law and practice with data protection supervisory authorities worldwide.

With regard to point (g) of the first subparagraph, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with the territory or specified sector within that third country, or with the international organisation. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |51.2. |Where the Commission requests advice from the Board, it may indicate a time limit, taking into account the urgency of the matter. |

| |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |51.3. |The Board shall forward its opinions, guidelines, recommendations and best practices to the Commission and to the committee referred to in Article 58(1) and make them public. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |51.4. |Commission shall inform the Board of the action it has taken following opinions, guidelines, recommendations and best practices issued by the Board. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |52.1. |Without prejudice to any other administrative or judicial remedy, Member States shall provide for every data subject to have the right to lodge a complaint with a single supervisory authority, if the data subject considers that the processing of personal data relating to him or her infringes provisions adopted pursuant to this Directive. |82.1. |Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. U postupku po pritužbi shodno se primenjuju odredbe zakona kojim se uređuje inspekcijski nadzor u delu koji se odnosi na postupanje po predstavkama. Podnošenje pritužbe Povereniku ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite. |PU | | | | |52.2. |Member States shall provide for the supervisory authority with which the complaint has been lodged to transmit it to the competent supervisory authority, without undue delay if the complaint is not lodged with the supervisory authority that is competent pursuant to Article 45(1). The data subject shall be informed about the transmission. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |52.3. |Member States shall provide for the supervisory authority with which the complaint has been lodged to provide further assistance on request of the data subject. |78.1.

tačka 5) |Poverenik:

……

5) na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim zakonom;

……. |PU | | | | |52.4. |The data subject shall be informed by the competent supervisory authority of the progress and the outcome of the complaint, including of the possibility of a judicial remedy pursuant to Article 53. |82.2. |Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezulatatima postupka, kao i o pravu lica da pokrene sudski postupak u skladu sa članom 83. ovog zakona. |PU | | | | |53.1. |Without prejudice to any other administrative or non-judicial remedy, Member States shall provide for the right of a natural or legal person to an effective judicial remedy against a legally binding decision of a supervisory authority concerning them. |83.1. |Lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se odnosi odluka Poverenika, doneta u skladu sa ovim zakonom, ima pravo da protiv te odluke tužbom pokrene upravni spor u roku od 30 dana od dana prijema odluke. Podnošenje tužbe u upravnom sporu ne utiče na pravo da se pokrenu drugi postupci upravne ili sudske zaštite. |PU | | | | |53.2. |Without prejudice to any other administrative or non-judicial remedy, each data subject shall have the right to an effective judicial remedy where the supervisory authority which is competent pursuant to Article 45(1) does not handle a complaint or does not inform the data subject within three months of the progress or outcome of the complaint lodged pursuant to Article 52. |83.2. |Ako Poverenik u roku od 60 dana od dana podnošenja pritužbe ne postupi po pritužbi ili ne postupi u skladu sa članom 82. stav 2. ovog zakona, lice na koje se podaci odnose ima pravo da pokrene upravni spor.

|PU | | | | |53.3. |Member States shall provide for proceedings against a supervisory authority to be brought before the courts of the Member State where the supervisory authority is established. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |54. |Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 52, Member States shall provide for the right of a data subject to an effective judicial remedy where he or she considers that his or her rights laid down in provisions adopted pursuant to this Directive have been infringed as a result of the processing of his or her personal data in non-compliance with those provisions. |84.1.

84.2.

84.3.

|Lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da mu je, suprotno ovom zakonu, od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno pravo propisano ovim zakonom. Podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene druge postupke upravne ili sudske zaštite.

Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda da obaveže tuženog na:

1) davanje informacije iz čl. 22. do 27, čl. 33. do 35. i člana 37. ovog zakona;

2) ispravku, odnosno brisanje podataka o tužiocu iz čl. 29, 30. i 32. ovog zakona;

3) ograničenje obrade iz čl. 31. i 32. ovog zakona;

4) davanje podataka u strukturisanom, uobičajno korišćenom i elektronski čitljivom obliku;

5) prenošenje podataka drugom rukovaocu iz člana 36. ovog zakona;

6) prekid obrade podataka iz člana 37. ovog zakona.

Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda i da utvrdi da je odluka koja se odnosi na tužioca doneta suprotno čl. 38. i 39. ovog zakona. |PU | | | | |55. |Member States shall, in accordance with Member State procedural law, provide for the data subject to have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance with Member State law, has statutory objectives which are in the public interest and is active in the field of protection of data subject’s rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf and to exercise the rights referred to in Articles 52, 53 and 54 on his or her behalf. |85. |Lice na koje se podaci odnose, u vezi sa zaštitom podataka o ličnosti, ima pravo da ovlasti predstavnika udruženja koje se bavi zaštitom prava i sloboda lica na koje se podaci odnose da ga, u skladu sa zakonom, zastupa u postupcima iz čl. 82. do 84. i člana 86. ovog zakona.

|PU | | | | |56. |Member States shall provide for any person who has suffered material or non-material damage as a result of an unlawful processing operation or of any act infringing national provisions adopted pursuant to this Directive to have the right to receive compensation for the damage suffered from the controller or any other authority competent under Member State law. |86.1.

86.2. |Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona ima pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.

Ako je materijalna ili nematerijalna šteta prouzrokovana nezakonitom obradom koju vrše nadležni organi u posebne svrhe, odnosno povredom odredaba zakona koji se odnose na obradu tih podataka, lice koje je pretrpelo štetu ima pravo na naknadu štete od rukovaoca ili drugog nadležnog organa protiv kojeg se može podneti tužba za naknadu štete, u skladu sa zakonom. |PU | | | | |57. |Member States shall lay down the rules on penalties applicable to infringements of the provisions adopted pursuant to this Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive. |87.1. |Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i primenjuju na delotvoran, srazmeran i preventivan način.

|PU | | | | |58.1. |The Commission shall be assisted by the committee established by Article 93 of Regulation (EU) 2016/679. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |58.2. |Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |58.3. |Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |59.1. |Framework Decision 2008/977/JHA is repealed with effect from 6 May 2018. |

| |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |59.2. |References to the repealed Decision referred to in paragraph 1 shall be construed as references to this Directive. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |60. |The specific provisions for the protection of personal data in Union legal acts that entered into force on or before 6 May 2016 in the field of judicial cooperation in criminal matters and police cooperation, which regulate processing between Member States and the access of designated authorities of Member States to information systems established pursuant to the Treaties within the scope of this Directive, shall remain unaffected. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |61. |International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 6 May 2016 and which comply with Union law as applicable prior to that date shall remain in force until amended, replaced or revoked. |

| |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.1. |By 6 May 2022, and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Directive to the European Parliament and to the Council. The reports shall be made public. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.2. |In the context of the evaluations and reviews referred to in paragraph 1, the Commission shall examine, in particular, the application and functioning of Chapter V on the transfer of personal data to third countries or international organisations with particular regard to decisions adopted pursuant to Article 36(3) and Article 39. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.3. |For the purposes of paragraphs 1 and 2, the Commission may request information from Member States and supervisory authorities. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.4. |In carrying out the evaluations and reviews referred to in paragraphs 1 and 2, the Commission shall take into account the positions and findings of the European Parliament, of the Council and of other relevant bodies or sources. | |

|NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.5. |The Commission shall, if necessary, submit appropriate proposals with a view to amending this Directive, in particular taking account of developments in information technology and in the light of the state of progress in the information society. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |62.6. |By 6 May 2019, the Commission shall review other legal acts adopted by the Union which regulate processing by the competent authorities for the purposes set out in Article 1(1) including those referred to in Article 60, in order to assess the need to align them with this Directive and to make, where appropriate, the necessary proposals to amend those acts to ensure a consistent approach to the protection of personal data within the scope of this Directive. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |63.1. |Member States shall adopt and publish, by 6 May 2018, the laws, regulations and administrative provisions necessary to comply with this Directive. They shall forthwith notify to the Commission the text of those provisions. They shall apply those provisions from 6 May 2018.

When Member States adopt those provisions, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. Member States shall determine how such reference is to be made. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |63.2. |By way of derogation from paragraph 1, a Member State may provide, exceptionally, where it involves disproportionate effort, for automated processing systems set up before 6 May 2016 to be brought into conformity with Article 25(1) by 6 May 2023. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |63.3. |By way of derogation from paragraphs 1 and 2 of this Article, a Member State may, in exceptional circumstances, bring an automated processing system as referred to in paragraph 2 of this Article into conformity with Article 25(1) within a specified period after the period referred to in paragraph 2 of this Article, if it would otherwise cause serious difficulties for the operation of that particular automated processing system. The Member State concerned shall notify the Commission of the grounds for those serious difficulties and the grounds for the specified period within which it shall bring that particular automated processing system into conformity with Article 25(1). The specified period shall in any event not be later than 6 May 2026. |

| |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |63.4. |Member States shall communicate to the Commission the text of the main provisions of national law which they adopt in the field covered by this Directive. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |64. |This Directive shall enter into force on the day following that of its publication in the Official Journal of the European Union. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |65. |This Directive is addressed to the Member States. | | |NP |Propisane obaveze se odnose na države članice Evropske unije. | | | |