Политика заштите података о личности

На основу члана 54. став 1. тачка 16. Статута “Новинско-издавачко друштво Компанија Новости ад” (даље у тексту: Друштво), а у складуса Законом о заштитиподатака личности (“Сл. Гласник Републике Србије” бр. 87/2018), директор Друштва дана 20.09.2021. године, доноси следећи акт

  1. Увод

Политика о заштити података о личности (у даљемтексту: Политика) је општиакт “Новинско-издавачко друштво Компанија Новости ад” (даље у тексту: Друштво) који за сврху има успостављање оквира заштите података о личности а све у складу са Законом о заштити података о личности (у даљем тексту: Закон) и другим под законским актима који регулишу ову област.

Политика утврђује правила која уређују заштиту права појединаца у погледу прикупљања и обраде података о личности као и даље управљање и кретање тих података.

Одредби ове Политике и других интерних аката Друштва који регулишу ову област се морају придржаватисви запослени Друштва и све организационе јединице Друштва, у свом делокругу рада.

 

  1. Дефиниције и значење појединих израза

„Податак о личности“ јесваки податак који се односи на физичко лице чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, података о локацији, идентификатора у електронским комуникационим мрежам аил и једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета.

„Обрада података о личности“ је свака радња или скуп радњи које се врше аутоматизовано или неаутоматизовано с аподацима о личности или њиховим скуповима, као што суприкуплјање, бележење, разврставање, груписање, односно структурисање, похрањивање, уподоблјавање или мењање, откривање, увид, употреба, откривање преносом, односно доставлјањем, умножавање, ширење или на други начин чињење доступним, упоређивање, ограничавање, брисање или уништавање (у далјемтексту: обрада).

„Лице на које се подаци односе“ је физичко лице чији се подаци о личности обрађују.

„Руковалац“ је физичко или правно лице, односно орган власти који самостално или заједно са другим аодређује сврху и начин обраде – за потребе ове Политике и других интерних аката Друштва, руковалац је Друштво.

„Обрађивач” је физичко или правно лице, односно орган власти који обрађује податке о личности у име руковаоца.

„Прималац” је физичко или правно лице коме су подаци о личности откривени, без обзира да ли се ради о трећој страни или не, осим ако се ради о органима власти који у складу са законом примају податке о личности у оквиру истраживања одређеног случаја и обрађују ове податке у складу са правилима о заштити података о личности која се односе на сврху обраде.

„Повереник за информације од јавног значаја и заштиту података о личности (у даљем тексту: Повереник)” је независтан и самостални орган власти установљен на основу закона, који је надлежан за наџор над спровођењем Закона и обављање других послова прописаних законом.

„Повреда података о личности” је повреда безбедности података о личности која доводи до случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или на други начин обрађивани.

„Профилисање” је сваки облик аутоматизоване обраде који се користи да би се оценило одређено својство личности, посебно у циљу анализе или предвиђања радног учинка физичког лица, његовог економског положаја, здравственог стања, личних склоности, интереса, поузданости, понашања, локације или кретања.

„Псеудонимизација” је обрада наначин који онемогућава приписивање података о личности одређеном лицу без коришћења додатних података, под условом да се ови додатни подаци чувају посебно и да су предузете техничке, организационе и кадровске мере које обезбеђују да се податак о личности не може приписати одређеном или одредивом лицу;

 

  1. Циљ, сврха и подручје примене

Друштво, кроз ову Политику и друга усклађена интерна акта, има за циљ заштитуосновних права и слобода физичких лица, а посебно њиховог права на заштиту података о личности.

Циљ Политике је да успостави нове и усклад ипостојеће процесе и мере заштите и управљања подацима о личности купаца, запослених, пословних партнера Друштва и других лица, а чије податке о личности Друштва обрађује у оквиру својих пословних активности које се врше на територији Републике Србије, без обзира да ли се радња обраде врши на територији Републик еСрбије.

  1. Начела обраде података о личности

Друштво има обавезу да своје пословање усклади са Законом о заштитиподатака о личности, а то између осталог подразумева обраду података о личности у складу са начелима обраде које подразумева да  подаци о личности морају обрађивати законито, поштено и транспарентно у односу на лице на које се подаци односе (“законитост, поштење и транспарентност”), могу  се прикупљати у сврхе које су конкретно одређене, изричите, оправдане и законите (“ограничење у односу на сврху обраде”), бити примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде (“минимизација података”), бити тачни и, ако је то неопходно, ажурирани  (“тачност”), се морају чувати у облику који омогућава идентификацију лица само у року који је неопходан за остваривање сврхе обраде (“ограничење чувања”), се обрађивати на начин који обезбеђује одговарајућу заштиту података о личности  (“интегритет и поверљивост”).

Сва лица која обрађују податке о личности у своме радуморају да усвоје и имплементирају поменута начела, а која су наведена и додатно објашњена у овој Политици.

Све организационе јединице Друштва су дужне да се придржавају прописаних начела обраде података у свом делокругу рада као и свих интерних аката Друштва који регулишуову област.

4.1 Начело законитости поштења и транспарентности

Друштво у свом пословању треба да обрађује податке о ли чности на законит начин.

Да би обрада била законита неоходно је да Руковалац има ваљан правни основ за обраду.

Понашање Друштва као руковаоца мора бити законито, поштено и транспарентно према лицу чији се подаци обрађују, односно потребно је да му се на јасан и недвосмислен начин, једноставним, њему разумљивим језиком, укаже на сва прав акоја има по основу заштите података.

4.2 Начело ограничења у односу на сврху обраде

Подаци о личности могу се прикупљати у сврхе које су конкретно одређене, изричите, оправдане и законите и даље се не могу обрађивати на начин који није у складу са тим сврхама.

4.3 Начело минимизације података

Подаци о личности који се прикупљају иобрађују морају бити примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде, дакле није дозвољена обрада података који нису неопходни за испуњавање конкретно одређене сврхе.

4.4 Начело тачности

Подаци које Друштво прикупља морају бити тачнии, ако је то неопходно, ажурирани.

Узимајући у обзир сврхуо браде, морају се предузети св еразумне мере којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе.

4.5 Начело ограничења чувања

Подаци који се прикупљају и обрађују могу се чувати у облику који омогућава идентификацију лиц асамо у року који је неопходан за остваривање сврхео браде.

4.6 Начело интегритета ип оверљивости

Подаци о личности се могу обрађивати на начин који обезбеђује одговарајућу заштиту података о личности, укључујући заштиту од неовлашћенеилинезаконитеобраде, каои од случајноггубитка, уништењаилиоштећењаприменомодговарајућихтехничких, организационихикадровскихмера.

4.7 Начелоо дговорности за поступање

Руковалац је одговоран за примену свих начела обраде података и мора бити у могућности да предочи њихову примену – ово је начело које се односи на руковаоца.

 

  1. Сврха и правни основ обраде

 

Друштво обрађуј еподатке о личности физичких лица на основу њихове изричите сагласности у сврху пружања погодности продужене гаранције, одржавања контакта са купцима путемразличитих канала, праћења задовољства купаца, достављања идистрибуцијерекламнихматеријалаиинформацијакојимаћеобавештавати о погодностима и новинама у својој понуди, учешћа у наградним играма и слично.

Осимнаведеног у ставу 1, Друштво можео брађивати податке о личности по следећим основима:

  • обрада н аоснову пристанка – лице накоје се подаци о личностиодносе је пристало на обраду својих података о личности за једну или више посебно одређених сврха.
  • неопходност за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора;
  • обрада на основу закона и других обавезујућих прописа – поштовање правних обавеза руковаоца;
  • обрада у циљу заштите животно важнихи нтереса лица на које се подаци односе или другог физичког лица;
  • обрада у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца;
  • обрада је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице.

5.1 Обрада на основу пристанка

Уколико се обрада података базира на овом основу Друштво мора бити у могућности да докаже да је лице накоје се подаци односе пристало на обраду.

Пре давања пристанка лице накоје се подаци односе мора бити обавештено о праву на опозив, као и дејству опозива.

Опозив пристанка не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива. Лице накоје се подаци односе имап раво да опозове пристанак у сваком тренутку.

 

  1. Прикупљање и чувањеподатака о личности

Друштво може да прикупља податке о личности физичких лица на различите начине.

Најчешће податке о личности достављају директно лица на која се ти подаци односе, а Друштво може да користи и друге информације о физичким лицима које судоступне у јавним регистрима, базама података, интернет апликацијама, социјалним мрежама и другим јавним изворима података. Све наведене податке и информације обрађују лицаз апослена у Друштву) у оквиру своји храдних активности а све у складу са Законом и интерним актима Друштва.

У процесу прикупљања и обраде података о личности једна од обавеза Друштва као руковаоца је да лицу на које се подаци односе саопшти информацију о рокучувања (иобраде) података о личности, или ако то није могућ еонда бар критеријуме за његово одређивање.

Период у којем се подаци прикупљају и обрађују зависи од правног основа и сврхе обраде одређење категорије података о личности.

Подаци о личности који се обрађују искључиво по основус агласности лица накоје се односе, обрађују се у складу са сврхом због које су прикупљени (тј. до испуњења сврхе), односно до повлачења сагласност и од стране лица на које се подаци односе.

Након испуњењ асврх еобраде, (осим ако не постоји неки други основ за обраду, нпр. закон) подаци о личности се бришу, уништавају, блокирају или анонимизују.

Када Друштво има обавезу да податке чува и након окончања пословне сарадње са лицем на које се подаци односе, нпр. На основу закона или легитимног интереса, подаци о личности се обрађују док не истекне рок предвиђен законом за законске обавезе Друштва, а код легитимног интереса (нпр. у случају евентуалног спора лица на које се подаци односе и Друштва) обрада се врши док траје легитимни интерес.

  1. Права лица на која се подаци односе

Лица на која се подаци односе имају одређена права гарантована Законом, а Друштво као руковалац у обради података је дужно да омогући поменутим лицима уживање тих права у потпуности.

7.1 Право на информисање

Друштво, у својству руковаоца подацима о личности, има обавезу да лицима чији се подаци обрађују обезбеди све расположиве информације које се тичу њихових права.

Право на информисање представља директну примену начела транспарентности одстране Друштва у његовим пословању.

Када говоримо о информисању у тренутку давања пристанка наобрад уподатака о личности, пре давања пристанка, неопходно је да Друштво пружи информацију лицу које даје пристанак, о правуна опозив, као и о дејству опозива на даљуо браду података.

Друштво ће у тренутку прикуплјања података о личности, том лицу пружити следеће информације:

  1. идентитет и контакт податке руковаоца;
  2. контакт податке лица за заштиту података о личности;
  3. сврха намераване обраде и правн иоснов за обраду;
  4. о примаоцу или групи примаоца уколико постоје;
  5. о намери преноса података о личности у другу државу или међународнуо рганизацију;
  6. о року чувања података о личности или, ако то није могуће, о к ритеријумима за његово одређивање;
  7. о постојањ управа да се од руковаоца захтева приступ, исправка или брисање његових података о личности, односно постојању права на ограничење обраде, права на приговор, као и права напреносивост података;
  8. о постојању аутоматизованог доношења одлуке, уклјучујући и профилисање;
  9. о праву да се поднесе притужба Поверенику;
  10. о томе да ли је давање података о личности законска или уговорна- обавеза или је давање података неопходан услов за заклјучење уговора;
  11. о постојању права нао позив пристанка у било које време, као и о томе да опозив пристанка не утиче на допуштено стобраде на основу пристанка пре опозива.

 

Уколико се подаци о личности не прикупљају одлица на које се односе, поред свих наведених информација из претрходног става потребно је доставити и информацију о извору из којег потичу подаци о личности и, према потреби, да ли подаци потичу из јавно доступних извора.

 

7.2 Право на приступ, исправку, ажурирање и брисање података

 

Лице на које се подаци односе има право да од руковаоца захтева информацију о томе да ли обрађује његове податке о личности, приступ тимп одацима, односно има право да му по захтеву Друштво достави све информације у вези података које обрађује.

Руковалац је дужан да лицу на које се подаци односе, на његов захтев достави копију података које обрађује.

Руковалац може да захтева накнаду нужних трошкова за израду додатних копија које захтева лице накоје се подаци односе.

Права из ове тачке такође представљају директну примену начела транспарентности у пракси.

Лице на које се подаци односе има право да се његови нетачни подаци о личности без непотребног одлагања исправе.

У зависности од сврхе обраде, лице на које се подаци односе има право да своје непотпуне податке о личности допуни, што укључује и давање додатне изјаве.

Лице накоје се подаци односе има право да се његови подаци о личности избришу од  стране руковаоца у следећим случајевима:

  1. подаци више нису неопходни за остваривање сврхе за коју су прикупљани,
  2. лице је опозвало пристанак на основу којег се вршила обрада,
  3. подаци о личности су незаконито обрађивани,
  4. подаци морају бити обрисани у циљу извршавања законских обавеза руковаоца,
  5. лице на које се подаци односе је поднело приговор на обраду – важи само у одређеним случајевима.

Руковалац је дужан да обавести све примаоце којима су подаци о личности откривени о свакој исправци или брисању података о личности или ограничењу њихове обраде, осим ако је то немогуће или захтева прекомеран утрошак времена и средстава.

Права из ове тачке такође представљају директну примену начела транспарентности иначела тачности у пракси.

7.3 Право на ограничење обраде

Лице накоје се подаци односе имаправо да се обрада његових података о личности ограничи од странеруковаоца ако је испуњење један од следећих случајева:

  1. лице на које се подаци односе оспорава тачност података о личности, у року који омогућава руковаоцу проверу тачности података о личности;
  2. обрада је незаконита, а лице на које се подаци односе се противи брисању података о личности и уместо брисања захтева ограничење употребе података;
  3. руковаоцу више нису потребни подаци о личности за остваривање сврхео браде, али их је лице н акоје се подаци односезатражило у циљ уподношења, остваривања или одбране правног захтева;
  4. лице н акоје се подаци односе је поднело приговор нао браду, а у току је процењивање да ли правниоснов за обраду од стране руковаоца претеже над интересима тог лица;
  5. ако је обрада ограничена у складу са горе наведеним, ти подаци могу се даље обрађивати само на основу пристанка лица на које се подаци односе.

Уколико престану разлози за ограничење руковалац је дужан да информише лице на које се подаци односе о престанку ограничења, пре него шт оограничењ епрестане да важи.

7.4 Право на преносивост података

Лице накоје се подаци односе има право да добије од руковаоца његовеподатке о личности које му је претходн одоставио у уобичајено коришћеном облику (електронском, читљивом, структурисаном), и има право да ове податке пренесе другом руковаоцу без ометања одстране руковаоца којем су ти подаци достављени.

Ово право обухвата и право да његов иподаци о личности буду непосредно пренети другом руковаоцу од стране руковаоца којем су ови подац ипретходно достављени, уколико је то технички изводљиво.

7.5 Право на приговор

Руковалац је дужан да најкасније приликом успостављања прве комуникације са лицем на које се подациодносе, упозори то лице на постојање права на приговори да га упозна са тим правима на изричит и јасан начин, одвојено од свих других информација које му пружа.

Лице накоје се подаци односе у сваком тренутку има право да руковаоцу поднесе приговор на обраду његових података о личности уколико сматра да има оправданих разлога за то.

Руковалац је дужан да прекине са обрадом података о лицу које је поднело приговор, осим уколико постоје законски разлози за обраду који претежу над интересима, правима и слободама лица на које се подаци односе.

Лице на које се подаци односе им аправо да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање, у том случају подаци о личности не могу се даљео брађивати у таквес врхе.

Лице на које се подаци односе има право да поднесе приговор аутоматизованим путем, у складу са техничким спецификацијама коришћења услуга.

7.6 Права везана за аутоматизовано доношење одлука и профилисање

Друштво у обрад иподатака користи и методе аутоматизоване обраде (укључујући туп рофилисање), и на основу тако обрађених података доноси одлуке.

Лица чији се подаци обрађују имају право да траже да се тако донешен аодлука не примењују на њих уколико наведена одлука значајно утичу на њихов положај или производи правне последице.

Наведено право искључује се уколико је одлука неопходна за закључење или извршење уговора између лица на које се подаци односе и руковаоца, или ако се одлука заснива на изричитом пристанку лица, али у тим случајевима неопходно је да руковалац обезбеди учешће физичког лица под контролом руковаоца у доношењу одлуке, право лицана које се подаци односе да изрази свој став у вези са одлуком, као и да оспори одлуку пред овлашћеним лицем руковаоца.

 

  1. Руковалац, заједнички руковалац и обрађивач

 

Руковалац је дужан да приликом одређивања начина обраде, и у самом поступку обраде примени мере којеи мају за циљ обезбеђивање примене начела заштите података о личности, као што су: смањење броја података, обрада на начин који онемогућава приписивање података о личности одређено млицу без коришћења додатних података – псеудонимизација, као идруге мере а све у складу са техничким могућностима.

Руковалац је дужан да сталном применом одговарајућих техничких, организационих и кадровских мерао безбеди да се увек обрађују само они подаци о личности који су неопходни за остваривање сваке појединачне сврхе обраде. Та се обавеза примењује у односу на бројприкупљенихподатака, обимњиховеобраде, рокњиховогпохрањивањаињиховудоступност (ово је директнаприменаначеламинимизацијеподатакаиограничења у односунасврхуобраде).

Уколикодваиливишеруковаоцазаједничкиодређујусврхуиначинобраде, они се сматрајузаједничкимруковаоцима. У случајевимакадапостојезаједничкируковаоцинатранспарентанначин се одређујеодговорностсвакогодњих за поштовањеобавезапрописаниховимзаконом, а посебнообавеза у погледуостваривањаправалицанакоје се подациодносеииспуњавањаобавезаруковаоца.

Уколикообрадуподатакавршиобрађивач у имеруковаоца, руковалацможе да одредикаообрађивачасамо оно лице или орган власти који у потпуностигарантујеприменуодговарајућихтехничких, организационихикадровскихмера, наначин који обезбеђује да се обрадаврши у складусаодредбамаЗаконаи да се обезбеђујезаштитаправалицанакоје се подациодносе. Обрађивачможеповеритиобрадудругомобрађивачусамоако га руковалац за то овластинаосновуопштегилипосебногписменоговлашћења.

Обрада од стране обрађивача мора бити уређена уговором или другим правнообавезујућим актом, који је закључен, односно усвојен у писменом облику, што обухвата и електронски облик, који обавезуј еобрађивача према руковаоцу и који уређује предмет и трајање обраде, природу и сврху обраде, врсту података о личности и врсту лица о којима се подаци обрађују, као и права и обавезе руковаоца.

Обрађивач приликом обраде података има следеће дужности:

  1. да обрађујеподатке о личностисамонаосновуписменихупутстава;
  2. да обезбеди да се физичко лице које је овлашћено да обрађујеподатке о личностиобавезалоначувањеповерљивостиподатака;
  3. да послеокончањауговоренихрадњиобраде, а наосновуодлукеруковаоца, избришеиливратируковаоцусвеподатке о личностииизбришесвекопијеовихподатака, осимако је закономпрописанаобавезачувањаподатака;
  4. да помажеруковаоцуприменомодговарајућихтехничких, организационихикадровскихмера, колико је то могуће, у испуњавањуобавезаруковаоца у односуназахтеве за остваривањеправалицанакоје се подациодносе;
  5. да поштујеуслове за поверавањеобрадедругомобрађивачу;
  6. да учинидоступнимруковаоцусвеинформацијекојесунеопходне за предочавањеиспуњеностиобавезаобрађивачапрописаниховимчланом, каоиинформацијекојеомогућавајуидоприносеконтролирадаобрађивача.

 

Уколико обрађивач повреди одредбе Закона одређујући сврху и начин обраде податка о личности, обрађивач се сматра руковаоцем у односу на ту обраду.

Обрађивач, илидруго лице које је од странеруковаоцаилиобрађивачаовлашћено за приступподацима о личности, не може да обрађујетеподатке без налогаруковаоца.

  1. Евиденцијерадњиобраде

Друштвокаоруковалацињенпредставникуколико је одређен, имаобавезу да водиевиденцију о радњамаобраде а којасадржиследећеинформације:

  1. информације о именуиконтактподацимаруковаоца, заједничкихруковаоца, представникаруковаоцаилица за заштитуподатака о личностиуколикосуодређени;
  2. информације о сврсиобраде;
  3. информације о врстилицанакоје се подациодносекаои о врстиподатака који се обрађују;
  4. врстипрималацакојимаћеподаци о личностибитиоткривени;
  5. информације о преносуподатака у другедржавеилимеђународнеорганизације, иметихдржаваиорганизацијакаоидокументе о применимеразаштитетихподатака, а свеовоуколико се такавпреносврши;
  6. информације о рокучувањаподатакауколико је такаврокодређен;
  7. општи опис мера заштите податакау колико је то могуће.

Претходно описане евиденције се воде у писаном облику, што обухвата ие лектронски облик, и чувају се трајно.

Друштвокаоруковалац, каоињенипредставници, акосуодређени, дужнису да описанеевиденцијеучинедоступнимПоверенику, нањеговзахтев, каои да сарађујусаПовереником у вршењуњеговиховлашћења.

  1. Безбедностподатака о личности

Друштвосвеподаткечуваиобрађујеузприменусвихрасположивихтехничкихиорганизационихмеразаштитеподатака у складусаЗакономиинтернимактимаДруштва. Друштво је дужно да применомтехнолошкихдостигнућа, каоитехничких, кадровскихиорганизационихмеракојеиманарасполагањуосигурабезбедностподатака.

 

10.1 Безбедност обраде

Друштвокаоруковалац у обрадиподатакакористи мере како би обезбедилабезбедностобраде а те мере обухватајунарочито:

  1. псеудонимизацијуикриптозаштитуподатака о личности;
  2. способностобезбеђивањатрајнеповерљивости, интегритета, расположивостииотпорностисистемаиуслугаобраде;
  3. обезбеђивањеуспостављањапоновнерасположивостииприступаподацима о личности у случајуфизичкихилитехничкихинцидената у најкраћемроку;
  4. поступакредовногтестирања, оцењивањаипроцењивањаделотворноститехничких, организационихикадровскихмерабезбедностиобраде.

 

Друштво интерним актима уређује приступ запослених подацима о личности, у оквиру својих радних задатака.

 

10.2 Обавештавање Повереника о повреди података

Уколикодође до повредеподатака о личностикојаможе да произведеризик по праваислободефизичкихлица, Друштво је дужно да обавестиПовереника без непотребногодлагања, или, а најкасније у року од 72 часаодсазнања за повреду, у супротномдужно је да образложиразлогезбогкојихнијепоступило у том року.

 

Обавештење из претходног става мора да садрж инајмање следеће информације:

  1. описприродеповредеподатака о личности, укључујућиврстеподатакаиприближанбројлицанакоја се подацитеврстеодносе, каоиприближанбројподатака о личностичија је безбедностповређена;
  2. име и контакт податке лица за заштитуподатака о личностиилиинформације о другомначинуна који се могудобитиподаци о повреди;
  3. описмогућихпоследицаповреде;
  4. описмеракоје је руковалацпредузеоиличије је предузимањепредложено у везисаповредом, укључујућии мере којесупредузете у циљуумањењаштетнихпоследица.

Друштвокаоруковалац је дужно да документујесвакуповредуподатака о личности, укључујућиичињенице о повреди, њенимпоследицамаипредузетиммерама за њиховоотклањање.

Повереникпрописујеобразацобавештењаиближеуређујеначинобавештавања.

10.3 Обавештавање лица о повреди података о личности

Акоповредаподатака о личностиможе да произведевисокризик по праваислободефизичкихлица, Друштвоимаобавезу да без непотребногодлагања о повредиобавести лице накоје се подациодносе.

АкоДруштвонијеобавестило лице накоје се подациодносе о повредиподатака о личности, Повереникможе да наложиДруштву да то учини.

 

10.4 Процена утицаја обраде на заштиту података о личности

Уколикопостојивероватноћа да ћенекаврстаобраде, посебноупотребомновихтехнологијаиузимајући у обзирприроду, обим, околностиисврхуобраде, проузроковативисокризик за праваислободефизичкихлица, Друштвоимаобавезу да пре негоштозапочнесаобрадом, извршипроценуутицајапредвиђенихрадњиобраденазаштитуподатака о личности. ПриликомпроценеутицајаДруштво је дужно да затражимишљењелица за заштитуподатака о личности.

Процена утицаја радњи обраде обавезно се врши у случају:

  1. систематскеисвеобухватнепроценестањаиособинафизичкоглицакоја се вршипомоћуаутоматизованеобрадеподатака о личности, укључујућиипрофилисање, наосновукоје се доносеодлукеоџначаја за правниположајпојединцаилинасличанначинзначајноутичунањега;
  2. обрадепосебнихврстаподатака о личностиилиподатака о личности у везисакривичнимпресудамаикажњивимделима;
  3. систематскогнаџоранађавнодоступнимповршинама у великој мери.

10.5 Претходно мишљење Повереника

Уколикопроценаутицајарадњиобраденазаштитуподатака о личности, указује да ћенамераванерадњеобрадепроизвестивисокризикако се не предузму мере за умањењеризика, Друштво је дужно да затражимишљењеПовереника пре започињањарадњеобраде.

  1. Преносподатака о личности у другедржавеимеђународнеорганизације

Преносподатака о личности у другедржавеимеђународнеорганизацијемогуће је извршитиуколикоДруштвопоступа у складусаусловимапрописанимовомПолитиком. Наведенипреносподразумеваидаљипреносподатакаиздругедржавеилимеђународнеорганизације у трећудржавуилимеђународнуорганизацију, а свенаведеноћебитиуређенопосебнимуговором. Циљоваквогпоступања је обезбеђивањепримереногнивоазаштитефизичкихлица који је једнакнивоу који гарантујеЗакон о заштитиподатака о личности.

11.1 Пренос на основу примереног нивоа заштите

Пренос података о личности у другу државу, на део њене територије, или у једаниливишесектораодређенихделатности у тојдржавиили у међународнуорганизацију, без претходногодобрења, може се извршитиако је утврђено да та другадржава, део њенетериторијеилиједаниливишесектораодређенихделатности у тојдржавиили та међународнаорганизацијаобезбеђујепримеренинивозаштитеподатака о личности.

Сматра се да је примеренинивозаштитеобезбеђен у државамаимеђународниморганизацијамакојесучланицеКонвенцијеСаветаЕвропе о заштитилица у односунааутоматскуобрадуличнихподатака, односно у државама, наделовимањиховихтериторијаили у једномиливишесектораодређенихделатности у тимдржавамаилимеђународниморганизацијама за које је од странеЕвропскеунијеутврђено да обезбеђујупримеренинивозаштите.

Уколико је садругомдржавомилимеђународноморганизацијомзакљученмеђународниспоразум о преносуподатака о личности, сматра се да је обезбеђенпримеренинивозаштите.

11.2 Пренос уз примену одговарајућих мера заштите

Руковалацилиобрађивачмогу да пренесуподатке о личности у другудржаву, на део њенетериторијеили у једаниливишесектораодређенихделатности у тојдржавиили у међународнуорганизацију за којунијеутврђенопостојањепримереногнивоазаштите, самоако је руковалац, односнообрађивачобезбедиоодговарајуће мере заштитеовихподатакаиако је лицунакоје се подациодносеобезбеђенаостваривостњеговихправаиделотворнаправназаштита.

Мере за заштитуподатакапоменуте у претходномставумогу се обезбедитисаили без посебногодобрењаПовереника.

  1. Лице за заштитуподатака о личности

 

Друштвокаоруковалац  можесвојомодлуком да одреди лице за заштитуподатака о личности.

УколикоДруштвокаоруковалацименује лице за заштитуподатакаличностидужно је да објавиконтактподаткелица за заштитуподатака о личностиидоставиихПоверенику, који водиевиденцијулица за заштитуподатака о личности.

Лицанакоје се подациодносемогу се обратитилицу за заштитуподатака о личности у везисасвимпитањимакоја се односенаобрадусвојихподатка о личности, каои у везисаостваривањемсвојихправапрописаниховимзаконом.

12.1 Однос Друштва као руковаоца и лица за заштиту података о личности

ОрганиДруштваодређују Лице за заштитуподатака о личностиизредовасвојихзапослених.

Друштвокаоруковалацимаобавезу да благовременоинаодговарајућиначинукључи лице за заштитуподатака о личности у свепослове који се односеназаштитуподатака о личности. У испуњавањуовеобавезеДруштвотреба да омогућиовомлицуизвршавањесвихобавезатакоштоће му обезбедитинеопходнасредства за извршавањеовихобавеза, приступподацима о личностиирадњамаобраде, каоињеговостручноусавршавање. Друштво мора да обезбединезависностлицу за заштитуподатака о личности у извршавањуњеговихобавеза, и не може га казнити, нитираскинутирадниоднос, односноуговорсањимзбогизвршавањањеговихобавеза. Лице за заштитуподатака о личностинепосредно је одговорноДруштву, аимаобавезу да чуватајност, односноповерљивостподатака до којих је дошло у извршавањусвојихобавеза.

Лицанакоје се подациодносемогу се обратитилицу за заштитуподатака о личности у везисасвимпитањимакоја се односенаобрадусвојихподатка о личности, каои у везисаостваривањемсвојихправапрописанихзаконом.

Лице за заштитуподатака о личностиможе да обавља друге послове и извршава другео бавезе, а Друштво као руковалац је дужна да обезбеди да извршавањедругихпословаиобавеза не доведе лице за заштитуподатака о личности у сукобинтереса.

12.2 Обавезе лица за заштиту података о личности

Лице за заштитуподатака о личности има обавезу да:

  1. информише и даје мишљење Друштву као руковаоцу, као и запосленима који врше радње обраде о њиховим законским обавезама у вези са заштитом података о личности и интерним актима Друштва који регулишу ову област;
  2. прати примену Закона, других закона и интерних прописа руковаоца или обрађивача који се односе на заштиту података о личности, укључујући и питања поделео дговорности, подизања свести и обук езапослених који учествују у радњама обраде, као и контроле;
  3. даје мишљење, када се то затражи, о процени утицаја обраде на заштиту података о личности и пратипоступање по тој процени;
  4. сарађујеса Повереником, представља контакт тачку за сарадњу са Повереником и саветује се сањим у вези са питањима која се односе на обраду, укључујући и обавештавање и прибављање мишљења повереника.

У извршавању својих обавеза лице за заштиту података о личности дужно је да посебно водирачуна о ризику који се односи на радње обраде, узимајући у обзир природу, обим, околности и сврхе обраде.