Politika zaštite podataka o ličnosti

Na osnovu člana 54. stav 1. tačka 16. Statuta “Novinsko-izdavačko društvo Kompanija Novosti ad” (dalje u tekstu: Društvo), a u skladusa Zakonom o zaštitipodataka ličnosti (“Sl. Glasnik Republike Srbije” br. 87/2018), direktor Društva dana 20.09.2021. godine, donosi sledeći akt

  1. Uvod

Politika o zaštiti podataka o ličnosti (u daljemtekstu: Politika) je opštiakt “Novinsko-izdavačko društvo Kompanija Novosti ad” (dalje u tekstu: Društvo) koji za svrhu ima uspostavljanje okvira zaštite podataka o ličnosti a sve u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: Zakon) i drugim pod zakonskim aktima koji regulišu ovu oblast.

Politika utvrđuje pravila koja uređuju zaštitu prava pojedinaca u pogledu prikupljanja i obrade podataka o ličnosti kao i dalje upravljanje i kretanje tih podataka.

Odredbi ove Politike i drugih internih akata Društva koji regulišu ovu oblast se moraju pridržavatisvi zaposleni Društva i sve organizacione jedinice Društva, u svom delokrugu rada.

 

  1. Definicije i značenje pojedinih izraza

„Podatak o ličnosti“ jesvaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežam ail i jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.

„Obrada podataka o ličnosti“ je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano s apodacima o ličnosti ili njihovim skupovima, kao što suprikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljemtekstu: obrada).

„Lice na koje se podaci odnose“ je fizičko lice čiji se podaci o ličnosti obrađuju.

„Rukovalac“ je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugim aodređuje svrhu i način obrade – za potrebe ove Politike i drugih internih akata Društva, rukovalac je Društvo.

„Obrađivač” je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca.

„Primalac” je fizičko ili pravno lice kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade.

„Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)” je nezavistan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadžor nad sprovođenjem Zakona i obavljanje drugih poslova propisanih zakonom.

„Povreda podataka o ličnosti” je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani.

„Profilisanje” je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja.

„Pseudonimizacija” je obrada nanačin koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;

 

  1. Cilj, svrha i područje primene

Društvo, kroz ovu Politiku i druga usklađena interna akta, ima za cilj zaštituosnovnih prava i sloboda fizičkih lica, a posebno njihovog prava na zaštitu podataka o ličnosti.

Cilj Politike je da uspostavi nove i usklad ipostojeće procese i mere zaštite i upravljanja podacima o ličnosti kupaca, zaposlenih, poslovnih partnera Društva i drugih lica, a čije podatke o ličnosti Društva obrađuje u okviru svojih poslovnih aktivnosti koje se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republik eSrbije.

  1. Načela obrade podataka o ličnosti

Društvo ima obavezu da svoje poslovanje uskladi sa Zakonom o zaštitipodataka o ličnosti, a to između ostalog podrazumeva obradu podataka o ličnosti u skladu sa načelima obrade koje podrazumeva da  podaci o ličnosti moraju obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose (“zakonitost, poštenje i transparentnost”), mogu  se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite (“ograničenje u odnosu na svrhu obrade”), biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade (“minimizacija podataka”), biti tačni i, ako je to neophodno, ažurirani  (“tačnost”), se moraju čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade (“ograničenje čuvanja”), se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti  (“integritet i poverljivost”).

Sva lica koja obrađuju podatke o ličnosti u svome radumoraju da usvoje i implementiraju pomenuta načela, a koja su navedena i dodatno objašnjena u ovoj Politici.

Sve organizacione jedinice Društva su dužne da se pridržavaju propisanih načela obrade podataka u svom delokrugu rada kao i svih internih akata Društva koji regulišuovu oblast.

4.1 Načelo zakonitosti poštenja i transparentnosti

Društvo u svom poslovanju treba da obrađuje podatke o li čnosti na zakonit način.

Da bi obrada bila zakonita neohodno je da Rukovalac ima valjan pravni osnov za obradu.

Ponašanje Društva kao rukovaoca mora biti zakonito, pošteno i transparentno prema licu čiji se podaci obrađuju, odnosno potrebno je da mu se na jasan i nedvosmislen način, jednostavnim, njemu razumljivim jezikom, ukaže na sva prav akoja ima po osnovu zaštite podataka.

4.2 Načelo ograničenja u odnosu na svrhu obrade

Podaci o ličnosti mogu se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.

4.3 Načelo minimizacije podataka

Podaci o ličnosti koji se prikupljaju iobrađuju moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade, dakle nije dozvoljena obrada podataka koji nisu neophodni za ispunjavanje konkretno određene svrhe.

4.4 Načelo tačnosti

Podaci koje Društvo prikuplja moraju biti tačnii, ako je to neophodno, ažurirani.

Uzimajući u obzir svrhuo brade, moraju se preduzeti sv erazumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave.

4.5 Načelo ograničenja čuvanja

Podaci koji se prikupljaju i obrađuju mogu se čuvati u obliku koji omogućava identifikaciju lic asamo u roku koji je neophodan za ostvarivanje svrheo brade.

4.6 Načelo integriteta ip overljivosti

Podaci o ličnosti se mogu obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćeneilinezakoniteobrade, kaoi od slučajnoggubitka, uništenjailioštećenjaprimenomodgovarajućihtehničkih, organizacionihikadrovskihmera.

4.7 Načeloo dgovornosti za postupanje

Rukovalac je odgovoran za primenu svih načela obrade podataka i mora biti u mogućnosti da predoči njihovu primenu – ovo je načelo koje se odnosi na rukovaoca.

 

  1. Svrha i pravni osnov obrade

 

Društvo obrađuj epodatke o ličnosti fizičkih lica na osnovu njihove izričite saglasnosti u svrhu pružanja pogodnosti produžene garancije, održavanja kontakta sa kupcima putemrazličitih kanala, praćenja zadovoljstva kupaca, dostavljanja idistribucijereklamnihmaterijalaiinformacijakojimaćeobaveštavati o pogodnostima i novinama u svojoj ponudi, učešća u nagradnim igrama i slično.

Osimnavedenog u stavu 1, Društvo možeo brađivati podatke o ličnosti po sledećim osnovima:

  • obrada n aosnovu pristanka – lice nakoje se podaci o ličnostiodnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha.
  • neophodnost za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
  • obrada na osnovu zakona i drugih obavezujućih propisa – poštovanje pravnih obaveza rukovaoca;
  • obrada u cilju zaštite životno važnihi nteresa lica na koje se podaci odnose ili drugog fizičkog lica;
  • obrada u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
  • obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.

5.1 Obrada na osnovu pristanka

Ukoliko se obrada podataka bazira na ovom osnovu Društvo mora biti u mogućnosti da dokaže da je lice nakoje se podaci odnose pristalo na obradu.

Pre davanja pristanka lice nakoje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva.

Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Lice nakoje se podaci odnose imap ravo da opozove pristanak u svakom trenutku.

 

  1. Prikupljanje i čuvanjepodataka o ličnosti

Društvo može da prikuplja podatke o ličnosti fizičkih lica na različite načine.

Najčešće podatke o ličnosti dostavljaju direktno lica na koja se ti podaci odnose, a Društvo može da koristi i druge informacije o fizičkim licima koje sudostupne u javnim registrima, bazama podataka, internet aplikacijama, socijalnim mrežama i drugim javnim izvorima podataka. Sve navedene podatke i informacije obrađuju licaz aposlena u Društvu) u okviru svoji hradnih aktivnosti a sve u skladu sa Zakonom i internim aktima Društva.

U procesu prikupljanja i obrade podataka o ličnosti jedna od obaveza Društva kao rukovaoca je da licu na koje se podaci odnose saopšti informaciju o rokučuvanja (iobrade) podataka o ličnosti, ili ako to nije moguć eonda bar kriterijume za njegovo određivanje.

Period u kojem se podaci prikupljaju i obrađuju zavisi od pravnog osnova i svrhe obrade određenje kategorije podataka o ličnosti.

Podaci o ličnosti koji se obrađuju isključivo po osnovus aglasnosti lica nakoje se odnose, obrađuju se u skladu sa svrhom zbog koje su prikupljeni (tj. do ispunjenja svrhe), odnosno do povlačenja saglasnost i od strane lica na koje se podaci odnose.

Nakon ispunjenj asvrh eobrade, (osim ako ne postoji neki drugi osnov za obradu, npr. zakon) podaci o ličnosti se brišu, uništavaju, blokiraju ili anonimizuju.

Kada Društvo ima obavezu da podatke čuva i nakon okončanja poslovne saradnje sa licem na koje se podaci odnose, npr. Na osnovu zakona ili legitimnog interesa, podaci o ličnosti se obrađuju dok ne istekne rok predviđen zakonom za zakonske obaveze Društva, a kod legitimnog interesa (npr. u slučaju eventualnog spora lica na koje se podaci odnose i Društva) obrada se vrši dok traje legitimni interes.

  1. Prava lica na koja se podaci odnose

Lica na koja se podaci odnose imaju određena prava garantovana Zakonom, a Društvo kao rukovalac u obradi podataka je dužno da omogući pomenutim licima uživanje tih prava u potpunosti.

7.1 Pravo na informisanje

Društvo, u svojstvu rukovaoca podacima o ličnosti, ima obavezu da licima čiji se podaci obrađuju obezbedi sve raspoložive informacije koje se tiču njihovih prava.

Pravo na informisanje predstavlja direktnu primenu načela transparentnosti odstrane Društva u njegovim poslovanju.

Kada govorimo o informisanju u trenutku davanja pristanka naobrad upodataka o ličnosti, pre davanja pristanka, neophodno je da Društvo pruži informaciju licu koje daje pristanak, o pravuna opoziv, kao i o dejstvu opoziva na daljuo bradu podataka.

Društvo će u trenutku prikupljanja podataka o ličnosti, tom licu pružiti sledeće informacije:

  1. identitet i kontakt podatke rukovaoca;
  2. kontakt podatke lica za zaštitu podataka o ličnosti;
  3. svrha nameravane obrade i pravn iosnov za obradu;
  4. o primaocu ili grupi primaoca ukoliko postoje;
  5. o nameri prenosa podataka o ličnosti u drugu državu ili međunarodnuo rganizaciju;
  6. o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o k riterijumima za njegovo određivanje;
  7. o postojanj uprava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava naprenosivost podataka;
  8. o postojanju automatizovanog donošenja odluke, uključujući i profilisanje;
  9. o pravu da se podnese pritužba Povereniku;
  10. o tome da li je davanje podataka o ličnosti zakonska ili ugovorna- obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora;
  11. o postojanju prava nao poziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopušteno stobrade na osnovu pristanka pre opoziva.

 

Ukoliko se podaci o ličnosti ne prikupljaju odlica na koje se odnose, pored svih navedenih informacija iz pretrhodnog stava potrebno je dostaviti i informaciju o izvoru iz kojeg potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora.

 

7.2 Pravo na pristup, ispravku, ažuriranje i brisanje podataka

 

Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup timp odacima, odnosno ima pravo da mu po zahtevu Društvo dostavi sve informacije u vezi podataka koje obrađuje.

Rukovalac je dužan da licu na koje se podaci odnose, na njegov zahtev dostavi kopiju podataka koje obrađuje.

Rukovalac može da zahteva naknadu nužnih troškova za izradu dodatnih kopija koje zahteva lice nakoje se podaci odnose.

Prava iz ove tačke takođe predstavljaju direktnu primenu načela transparentnosti u praksi.

Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave.

U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.

Lice nakoje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od  strane rukovaoca u sledećim slučajevima:

  1. podaci više nisu neophodni za ostvarivanje svrhe za koju su prikupljani,
  2. lice je opozvalo pristanak na osnovu kojeg se vršila obrada,
  3. podaci o ličnosti su nezakonito obrađivani,
  4. podaci moraju biti obrisani u cilju izvršavanja zakonskih obaveza rukovaoca,
  5. lice na koje se podaci odnose je podnelo prigovor na obradu – važi samo u određenim slučajevima.

Rukovalac je dužan da obavesti sve primaoce kojima su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i sredstava.

Prava iz ove tačke takođe predstavljaju direktnu primenu načela transparentnosti inačela tačnosti u praksi.

7.3 Pravo na ograničenje obrade

Lice nakoje se podaci odnose imapravo da se obrada njegovih podataka o ličnosti ograniči od stranerukovaoca ako je ispunjenje jedan od sledećih slučajeva:

  1. lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti;
  2. obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;
  3. rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrheo brade, ali ih je lice n akoje se podaci odnosezatražilo u cilj upodnošenja, ostvarivanja ili odbrane pravnog zahteva;
  4. lice n akoje se podaci odnose je podnelo prigovor nao bradu, a u toku je procenjivanje da li pravniosnov za obradu od strane rukovaoca preteže nad interesima tog lica;
  5. ako je obrada ograničena u skladu sa gore navedenim, ti podaci mogu se dalje obrađivati samo na osnovu pristanka lica na koje se podaci odnose.

Ukoliko prestanu razlozi za ograničenje rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego št oograničenj eprestane da važi.

7.4 Pravo na prenosivost podataka

Lice nakoje se podaci odnose ima pravo da dobije od rukovaoca njegovepodatke o ličnosti koje mu je prethodn odostavio u uobičajeno korišćenom obliku (elektronskom, čitljivom, strukturisanom), i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja odstrane rukovaoca kojem su ti podaci dostavljeni.

Ovo pravo obuhvata i pravo da njegov ipodaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podac iprethodno dostavljeni, ukoliko je to tehnički izvodljivo.

7.5 Pravo na prigovor

Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaciodnose, upozori to lice na postojanje prava na prigovori da ga upozna sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.

Lice nakoje se podaci odnose u svakom trenutku ima pravo da rukovaocu podnese prigovor na obradu njegovih podataka o ličnosti ukoliko smatra da ima opravdanih razloga za to.

Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ukoliko postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima i slobodama lica na koje se podaci odnose.

Lice na koje se podaci odnose im apravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u tom slučaju podaci o ličnosti ne mogu se daljeo brađivati u takves vrhe.

Lice na koje se podaci odnose ima pravo da podnese prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga.

7.6 Prava vezana za automatizovano donošenje odluka i profilisanje

Društvo u obrad ipodataka koristi i metode automatizovane obrade (uključujući tup rofilisanje), i na osnovu tako obrađenih podataka donosi odluke.

Lica čiji se podaci obrađuju imaju pravo da traže da se tako donešen aodluka ne primenjuju na njih ukoliko navedena odluka značajno utiču na njihov položaj ili proizvodi pravne posledice.

Navedeno pravo isključuje se ukoliko je odluka neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca, ili ako se odluka zasniva na izričitom pristanku lica, ali u tim slučajevima neophodno je da rukovalac obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, pravo licana koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i da ospori odluku pred ovlašćenim licem rukovaoca.

 

  1. Rukovalac, zajednički rukovalac i obrađivač

 

Rukovalac je dužan da prilikom određivanja načina obrade, i u samom postupku obrade primeni mere kojei maju za cilj obezbeđivanje primene načela zaštite podataka o ličnosti, kao što su: smanjenje broja podataka, obrada na način koji onemogućava pripisivanje podataka o ličnosti određeno mlicu bez korišćenja dodatnih podataka – pseudonimizacija, kao idruge mere a sve u skladu sa tehničkim mogućnostima.

Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih merao bezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade. Ta se obaveza primenjuje u odnosu na brojprikupljenihpodataka, obimnjihoveobrade, roknjihovogpohranjivanjainjihovudostupnost (ovo je direktnaprimenanačelaminimizacijepodatakaiograničenja u odnosunasvrhuobrade).

Ukolikodvailivišerukovaocazajedničkiodređujusvrhuinačinobrade, oni se smatrajuzajedničkimrukovaocima. U slučajevimakadapostojezajedničkirukovaocinatransparentannačin se određujeodgovornostsvakogodnjih za poštovanjeobavezapropisanihovimzakonom, a posebnoobaveza u pogleduostvarivanjapravalicanakoje se podaciodnoseiispunjavanjaobavezarukovaoca.

Ukolikoobradupodatakavršiobrađivač u imerukovaoca, rukovalacmože da odredikaoobrađivačasamo ono lice ili organ vlasti koji u potpunostigarantujeprimenuodgovarajućihtehničkih, organizacionihikadrovskihmera, nanačin koji obezbeđuje da se obradavrši u skladusaodredbamaZakonai da se obezbeđujezaštitapravalicanakoje se podaciodnose. Obrađivačmožepoveritiobradudrugomobrađivačusamoako ga rukovalac za to ovlastinaosnovuopštegiliposebnogpismenogovlašćenja.

Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravnoobavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuj eobrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.

Obrađivač prilikom obrade podataka ima sledeće dužnosti:

  1. da obrađujepodatke o ličnostisamonaosnovupismenihuputstava;
  2. da obezbedi da se fizičko lice koje je ovlašćeno da obrađujepodatke o ličnostiobavezalonačuvanjepoverljivostipodataka;
  3. da posleokončanjaugovorenihradnjiobrade, a naosnovuodlukerukovaoca, izbrišeilivratirukovaocusvepodatke o ličnostiiizbrišesvekopijeovihpodataka, osimako je zakonompropisanaobavezačuvanjapodataka;
  4. da pomažerukovaocuprimenomodgovarajućihtehničkih, organizacionihikadrovskihmera, koliko je to moguće, u ispunjavanjuobavezarukovaoca u odnosunazahteve za ostvarivanjepravalicanakoje se podaciodnose;
  5. da poštujeuslove za poveravanjeobradedrugomobrađivaču;
  6. da učinidostupnimrukovaocusveinformacijekojesuneophodne za predočavanjeispunjenostiobavezaobrađivačapropisanihovimčlanom, kaoiinformacijekojeomogućavajuidoprinosekontroliradaobrađivača.

 

Ukoliko obrađivač povredi odredbe Zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu.

Obrađivač, ilidrugo lice koje je od stranerukovaocailiobrađivačaovlašćeno za pristuppodacima o ličnosti, ne može da obrađujetepodatke bez nalogarukovaoca.

  1. Evidencijeradnjiobrade

Društvokaorukovalacinjenpredstavnikukoliko je određen, imaobavezu da vodievidenciju o radnjamaobrade a kojasadržisledećeinformacije:

  1. informacije o imenuikontaktpodacimarukovaoca, zajedničkihrukovaoca, predstavnikarukovaocailica za zaštitupodataka o ličnostiukolikosuodređeni;
  2. informacije o svrsiobrade;
  3. informacije o vrstilicanakoje se podaciodnosekaoi o vrstipodataka koji se obrađuju;
  4. vrstiprimalacakojimaćepodaci o ličnostibitiotkriveni;
  5. informacije o prenosupodataka u drugedržaveilimeđunarodneorganizacije, imetihdržavaiorganizacijakaoidokumente o primenimerazaštitetihpodataka, a sveovoukoliko se takavprenosvrši;
  6. informacije o rokučuvanjapodatakaukoliko je takavrokodređen;
  7. opšti opis mera zaštite podatakau koliko je to moguće.

Prethodno opisane evidencije se vode u pisanom obliku, što obuhvata ie lektronski oblik, i čuvaju se trajno.

Društvokaorukovalac, kaoinjenipredstavnici, akosuodređeni, dužnisu da opisaneevidencijeučinedostupnimPovereniku, nanjegovzahtev, kaoi da sarađujusaPoverenikom u vršenjunjegovihovlašćenja.

  1. Bezbednostpodataka o ličnosti

Društvosvepodatkečuvaiobrađujeuzprimenusvihraspoloživihtehničkihiorganizacionihmerazaštitepodataka u skladusaZakonomiinternimaktimaDruštva. Društvo je dužno da primenomtehnološkihdostignuća, kaoitehničkih, kadrovskihiorganizacionihmerakojeimanaraspolaganjuosigurabezbednostpodataka.

 

10.1 Bezbednost obrade

Društvokaorukovalac u obradipodatakakoristi mere kako bi obezbedilabezbednostobrade a te mere obuhvatajunaročito:

  1. pseudonimizacijuikriptozaštitupodataka o ličnosti;
  2. sposobnostobezbeđivanjatrajnepoverljivosti, integriteta, raspoloživostiiotpornostisistemaiuslugaobrade;
  3. obezbeđivanjeuspostavljanjaponovneraspoloživostiipristupapodacima o ličnosti u slučajufizičkihilitehničkihincidenata u najkraćemroku;
  4. postupakredovnogtestiranja, ocenjivanjaiprocenjivanjadelotvornostitehničkih, organizacionihikadrovskihmerabezbednostiobrade.

 

Društvo internim aktima uređuje pristup zaposlenih podacima o ličnosti, u okviru svojih radnih zadataka.

 

10.2 Obaveštavanje Poverenika o povredi podataka

Ukolikodođe do povredepodataka o ličnostikojamože da proizvederizik po pravaislobodefizičkihlica, Društvo je dužno da obavestiPoverenika bez nepotrebnogodlaganja, ili, a najkasnije u roku od 72 časaodsaznanja za povredu, u suprotnomdužno je da obrazložirazlogezbogkojihnijepostupilo u tom roku.

 

Obaveštenje iz prethodnog stava mora da sadrž inajmanje sledeće informacije:

  1. opisprirodepovredepodataka o ličnosti, uključujućivrstepodatakaipribližanbrojlicanakoja se podacitevrsteodnose, kaoipribližanbrojpodataka o ličnostičija je bezbednostpovređena;
  2. ime i kontakt podatke lica za zaštitupodataka o ličnostiiliinformacije o drugomnačinuna koji se mogudobitipodaci o povredi;
  3. opismogućihposledicapovrede;
  4. opismerakoje je rukovalacpreduzeoiličije je preduzimanjepredloženo u vezisapovredom, uključujućii mere kojesupreduzete u ciljuumanjenjaštetnihposledica.

Društvokaorukovalac je dužno da dokumentujesvakupovredupodataka o ličnosti, uključujućiičinjenice o povredi, njenimposledicamaipreduzetimmerama za njihovootklanjanje.

Poverenikpropisujeobrazacobaveštenjaibližeuređujenačinobaveštavanja.

10.3 Obaveštavanje lica o povredi podataka o ličnosti

Akopovredapodataka o ličnostimože da proizvedevisokrizik po pravaislobodefizičkihlica, Društvoimaobavezu da bez nepotrebnogodlaganja o povrediobavesti lice nakoje se podaciodnose.

AkoDruštvonijeobavestilo lice nakoje se podaciodnose o povredipodataka o ličnosti, Poverenikmože da naložiDruštvu da to učini.

 

10.4 Procena uticaja obrade na zaštitu podataka o ličnosti

Ukolikopostojiverovatnoća da ćenekavrstaobrade, posebnoupotrebomnovihtehnologijaiuzimajući u obzirprirodu, obim, okolnostiisvrhuobrade, prouzrokovativisokrizik za pravaislobodefizičkihlica, Društvoimaobavezu da pre negoštozapočnesaobradom, izvršiprocenuuticajapredviđenihradnjiobradenazaštitupodataka o ličnosti. PrilikomproceneuticajaDruštvo je dužno da zatražimišljenjelica za zaštitupodataka o ličnosti.

Procena uticaja radnji obrade obavezno se vrši u slučaju:

  1. sistematskeisveobuhvatneprocenestanjaiosobinafizičkoglicakoja se vršipomoćuautomatizovaneobradepodataka o ličnosti, uključujućiiprofilisanje, naosnovukoje se donoseodlukeodžnačaja za pravnipoložajpojedincailinasličannačinznačajnoutičunanjega;
  2. obradeposebnihvrstapodataka o ličnostiilipodataka o ličnosti u vezisakrivičnimpresudamaikažnjivimdelima;
  3. sistematskognadžoranađavnodostupnimpovršinama u velikoj meri.

10.5 Prethodno mišljenje Poverenika

Ukolikoprocenauticajaradnjiobradenazaštitupodataka o ličnosti, ukazuje da ćenameravaneradnjeobradeproizvestivisokrizikako se ne preduzmu mere za umanjenjerizika, Društvo je dužno da zatražimišljenjePoverenika pre započinjanjaradnjeobrade.

  1. Prenospodataka o ličnosti u drugedržaveimeđunarodneorganizacije

Prenospodataka o ličnosti u drugedržaveimeđunarodneorganizacijemoguće je izvršitiukolikoDruštvopostupa u skladusauslovimapropisanimovomPolitikom. Navedeniprenospodrazumevaidaljiprenospodatakaizdrugedržaveilimeđunarodneorganizacije u trećudržavuilimeđunarodnuorganizaciju, a svenavedenoćebitiuređenoposebnimugovorom. Ciljovakvogpostupanja je obezbeđivanjeprimerenognivoazaštitefizičkihlica koji je jednaknivou koji garantujeZakon o zaštitipodataka o ličnosti.

11.1 Prenos na osnovu primerenog nivoa zaštite

Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedanilivišesektoraodređenihdelatnosti u tojdržaviili u međunarodnuorganizaciju, bez prethodnogodobrenja, može se izvršitiako je utvrđeno da ta drugadržava, deo njeneteritorijeilijedanilivišesektoraodređenihdelatnosti u tojdržaviili ta međunarodnaorganizacijaobezbeđujeprimereninivozaštitepodataka o ličnosti.

Smatra se da je primereninivozaštiteobezbeđen u državamaimeđunarodnimorganizacijamakojesučlaniceKonvencijeSavetaEvrope o zaštitilica u odnosunaautomatskuobraduličnihpodataka, odnosno u državama, nadelovimanjihovihteritorijaili u jednomilivišesektoraodređenihdelatnosti u timdržavamailimeđunarodnimorganizacijama za koje je od straneEvropskeunijeutvrđeno da obezbeđujuprimereninivozaštite.

Ukoliko je sadrugomdržavomilimeđunarodnomorganizacijomzaključenmeđunarodnisporazum o prenosupodataka o ličnosti, smatra se da je obezbeđenprimereninivozaštite.

11.2 Prenos uz primenu odgovarajućih mera zaštite

Rukovalaciliobrađivačmogu da prenesupodatke o ličnosti u drugudržavu, na deo njeneteritorijeili u jedanilivišesektoraodređenihdelatnosti u tojdržaviili u međunarodnuorganizaciju za kojunijeutvrđenopostojanjeprimerenognivoazaštite, samoako je rukovalac, odnosnoobrađivačobezbedioodgovarajuće mere zaštiteovihpodatakaiako je licunakoje se podaciodnoseobezbeđenaostvarivostnjegovihpravaidelotvornapravnazaštita.

Mere za zaštitupodatakapomenute u prethodnomstavumogu se obezbeditisaili bez posebnogodobrenjaPoverenika.

  1. Lice za zaštitupodataka o ličnosti

 

Društvokaorukovalac  možesvojomodlukom da odredi lice za zaštitupodataka o ličnosti.

UkolikoDruštvokaorukovalacimenuje lice za zaštitupodatakaličnostidužno je da objavikontaktpodatkelica za zaštitupodataka o ličnostiidostaviihPovereniku, koji vodievidencijulica za zaštitupodataka o ličnosti.

Licanakoje se podaciodnosemogu se obratitilicu za zaštitupodataka o ličnosti u vezisasvimpitanjimakoja se odnosenaobradusvojihpodatka o ličnosti, kaoi u vezisaostvarivanjemsvojihpravapropisanihovimzakonom.

12.1 Odnos Društva kao rukovaoca i lica za zaštitu podataka o ličnosti

OrganiDruštvaodređuju Lice za zaštitupodataka o ličnostiizredovasvojihzaposlenih.

Društvokaorukovalacimaobavezu da blagovremenoinaodgovarajućinačinuključi lice za zaštitupodataka o ličnosti u sveposlove koji se odnosenazaštitupodataka o ličnosti. U ispunjavanjuoveobavezeDruštvotreba da omogućiovomlicuizvršavanjesvihobavezatakoštoće mu obezbeditineophodnasredstva za izvršavanjeovihobaveza, pristuppodacima o ličnostiiradnjamaobrade, kaoinjegovostručnousavršavanje. Društvo mora da obezbedinezavisnostlicu za zaštitupodataka o ličnosti u izvršavanjunjegovihobaveza, i ne može ga kazniti, nitiraskinutiradniodnos, odnosnougovorsanjimzbogizvršavanjanjegovihobaveza. Lice za zaštitupodataka o ličnostineposredno je odgovornoDruštvu, aimaobavezu da čuvatajnost, odnosnopoverljivostpodataka do kojih je došlo u izvršavanjusvojihobaveza.

Licanakoje se podaciodnosemogu se obratitilicu za zaštitupodataka o ličnosti u vezisasvimpitanjimakoja se odnosenaobradusvojihpodatka o ličnosti, kaoi u vezisaostvarivanjemsvojihpravapropisanihzakonom.

Lice za zaštitupodataka o ličnostimože da obavlja druge poslove i izvršava drugeo baveze, a Društvo kao rukovalac je dužna da obezbedi da izvršavanjedrugihposlovaiobaveza ne dovede lice za zaštitupodataka o ličnosti u sukobinteresa.

12.2 Obaveze lica za zaštitu podataka o ličnosti

Lice za zaštitupodataka o ličnosti ima obavezu da:

  1. informiše i daje mišljenje Društvu kao rukovaocu, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti i internim aktima Društva koji regulišu ovu oblast;
  2. prati primenu Zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podeleo dgovornosti, podizanja svesti i obuk ezaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
  3. daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i pratipostupanje po toj proceni;
  4. sarađujesa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sanjim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja poverenika.

U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodiračuna o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.