Primena Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018) („Zakon“) će početi počevši od 21. avgusta 2019. godine. Prelaznim i završnim odredbama Zakona je propisano da će podzakonski akti predviđeni Zakonom biti doneti u roku od devet meseci od dana stupanja na snagu ovog Zakona. S tim u vezi, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (“Poverenik”) je do sada doneo pet podzakonskih akata, koji će se primenjivati od dana primene Zakona, dakle od 21. avgusta 2019. godine. Poverenik će u narednom periodu nastaviti sa radom na donošenju drugih podzakonskih akata u skladu sa Zakonom. U nastavku će biti prikazan pregled podzakonskih akata donetih do sada.
1. Pravilnik o obrascu i načinu vođenja evidencije lica za zaštitu podataka o ličnosti („Službeni glasnik RS“, broj 40/2019)
Ovaj pravilnik utvrđuje obrazac i način vođenja evidencije lica za zaštitu podataka o ličnosti („Evidencija”). Evidenciju vodi Poverenik, a ista sadrži podatke o:
– rukovaocu, odnosno obrađivaču (ime, prezime i adresu, odnosno naziv i sedište) i
– licu za zaštitu podataka o ličnosti (ime, prezime, adresu, i-mejl i broj telefona).
Rukovalac, odnosno obrađivač dostavlja Povereniku podatke iz Evidencije, i to u pisanom obliku, neposredno, putem pošte ili na i-mejl adresu: licezazastitu@poverenik.rs. Evidencija je jedinstvena i vodi se u elektronskom obliku na obrascu koji je priložen uz Pravilnik.
Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.
2. Pravilnik o obrascu i načinu vođenja interne evidencije o povredama Zakona o zaštiti podataka o ličnosti i merama koje se u vršenju inspekcijskog nadzora preduzimaju („Službeni glasnik RS“, broj 40/2019)
Ovaj pravilnik propisuje obrazac i način vođenja interne evidencije o povredama Zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju.
Evidenciju o povredama Zakona i merama koje se u vršenju inspekcijskog nadzora preduzimaju (“Interna evidencija”) vodi Poverenik.
Interna evidencija sadrži podatke o:
– rukovaocu ili obrađivaču koji je povredio Zakon (ime i prezime ili naziv, prebivalište, boravište ili sedište),
– povredi Zakona (opis povrede i član Zakona koji je povređen),
– merama koje su preduzete i
– postupanju rukovaoca ili obrađivača po izrečenim merama.
Interna evidencija je jedinstvena i vodi se u Stručnoj službi Poverenika, u elektronskom obliku. Grafički prikaz obrasca Interne evidencije dat je na obrascu kao prilog Pravilnika.
Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.
3. Pravilnik o obrascu obaveštenja o povredi podataka o ličnosti i načinu obaveštavanja Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti o povredi podataka o ličnosti („Službeni glasnik RS“, broj 40/2019)
Ovaj pravilnik utvrđuje obrazac obaveštenja o povredi podataka o ličnosti (“Obrazac obaveštenja”) i način obaveštavanja Poverenika o povredi podataka o ličnosti. Obrazac obaveštenja sastavni je deo Pravilnika.
Obrazac obaveštenja sadrži:
– Podatke o rukovaocu,
– Podatke o povredi podataka,
– Opis mogućih posledica povrede,
– Opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo,
– Ostale podatke od značaja za obaveštavanje o povredi podataka.
Rukovalac dostavlja Povereniku obaveštenje o povredi podataka u pisanom obliku, neposredno ili putem pošte, a može da dostavi i skenirani primerak obaveštenja na i-mejl adresu: povredapodataka@poverenik.rs.
Rukovalac je obavezan da dostavi Povereniku obaveštenje o povredi podataka o ličnosti na Obrascu obaveštenja u roku od 72 časa od saznanja za povredu. U slučaju da rukovalac u trenutku dostavljanja obaveštenja Povereniku ne može da unese sve podatke, dužan je da podatke koji nedostaju naknadno dostavi na isti način na koji je dostavljeno obaveštenje. Rukovalac koji ne postupi u propisanom roku, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.
Rukovalac uz obaveštenje dostavlja i evidencije radnji obrade koje se odnose na podatke koji su bili predmet povrede podataka o ličnosti, a koje rukovalac vodi u skladu sa članom 47 Zakona.
Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.
4. Pravilnik o obrascu pritužbe („Službeni glasnik RS“, broj 40/2019)
Ovaj pravilnik utvrđuje obrazac pritužbe koju fizičko lice može podneti Povereniku ukoliko smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama Zakona.
Pritužba se dostavlja Povereniku u pisanom obliku, neposredno ili putem pošte, a može da se dostavi i skenirani primerak pritužbe na i-mejl adresu: prituzba@poverenik.rs. Ukoliko se pritužba dostavlja u pisanom obliku, dostavlja se na adresu: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, Bulevar kralja Aleksandra 15, Beograd.
Obrazac pritužbe sadrži sledeće podatke:
– Podaci o pritužiocu,
– Podaci o rukovaocu podataka o ličnosti protiv koga se podnosi pritužba,
– Pravo koje je povređeno,
– Razlozi pritužbe.
U pritužbi se po potrebi mogu navesti i druge korisne informacije koje ukazuju na to da je u konkretnom slučaju obrada podataka o ličnosti izvršena suprotno odredbama Zakona.
Ukoliko fizičko lice smatra da je obrada podataka o njegovoj ličnosti izvršena suprotno odredbama Zakona, a pritužbu ne podnosi na propisanom obrascu, trebalo bi da navede podatke koji će omogućiti postupanje po pritužbi.
Ovaj pravilnik je stupio na snagu 15. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.
5. Odluka o listi vrsta radnji obrade podataka o ličnosti za koje se mora izvršiti procena uticaja na zaštitu podataka o ličnosti i tražiti mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti („Službeni glasnik RS“, broj 45/2019)
Ova odluka je materijalno najrelevantniji podzakonski akt donet do sada iz razloga što utvrđuje listu radnji obrade podataka o ličnosti za koje rukovalac, pre nego što započne sa obradom, mora izvršiti procenu uticaja i mora tražiti mišljenje Poverenika.
Procena uticaja na zaštitu podataka o ličnosti vrši se u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti, odnosno podataka kojima se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrade genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima i merama bezbednosti, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri;
4) obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili za marketinške svrhe;
5) upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;
6) obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;
7) obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;
8) obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;
9) obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.
Osim u prethodno pomenutim slučajevima, rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica – lica na koje se podaci odnose.
Posle izvršene procene uticaja na zaštitu podataka o ličnosti, rukovalac je obavezan da, pre nego što započne sa obradom podataka o ličnosti, Povereniku podnese zahtev za davanje mišljenja i plati odgovarajući iznos administrativne takse.
Ova odluka je stupila na snagu 29. juna 2019. godine, a primenjivaće se od 21. avgusta 2019. godine.