Број: 20849/22
Дана: 01.12 .2022.
На основу Закона о заштити података о личности („Службени гласник РС”, број 87/2018) и члана 75. Статута ЈКП „Информатика“ Нови Сад број 19260-6/16 од 20.10.2016. године, директор ЈКП „Информатика“ Нови Сад дана 01.12.2022.године доноси:
ПРАВИЛНИК О ЗАШТИТИ ПОДАТАКА О ЛИЧНОСТИ
ЈАВНОГ КОМУНАЛНОГ ПРЕДУЗЕЋА
,,ИНФОРМАТИКА“ НОВИ САД
1.ПРЕДМЕТ ПРАВИЛНИКА
Члан 1.
Правилник о заштити података о личности Јавног комуналног предузећа „Информатика“ Нови Сад (у даљем тексту: Правилник) је правни документ који регулише заштиту, односно обраду података о личности запослених, сарадника, консултаната и других лица ангажованих од стране Јавног комуналног предузећа „Информатика“ Нови Сад (у даљем тексту: Предузеће), као и других лица чије податке Предузеће обрађује (корисника, клијената), као и друга питања из заштите података о личности која су од значаја за запослене и друга физичка лица и Предузеће, а у складу са Законом о заштити података о личности (у даљем тексту: ЗЗПЛ), Општом уредбом о заштити података Европске уније (у даљем тескту GDPR), и другим релевантним правним изворима из области заштите података о личности.
Тeрмини који се користе у овом Правилнику, а имају родно значење, изражени у граматичком мушком роду, подразумевају природни женски и мушки пол лица на које се односе.
Овај Правилник се примењује на све видове обраде података о личности који се врше у оквиру Предузећа, као и на податке о личности које Предузеће обрађује у оквиру обављања своје делатности, без обзира на то у ком својству се Предузеће у односу на обраду јавља (руковалац, обрађивач), и без обзира да ли се обрада података о личности врши на аутоматизован начин, у папирном или електронском облику. Доношењем овог Правилника Предузеће обезбеђује правну сигурност и транспарентност у погледу обраде података о личности запослених и других лица чији се подаци обрађују, као и да се утврђује правни основ, сврха обраде, врсте података који се обрађују, права физичких лица у погледу обраде података о личности, мере заштите података и др.
Правилник успоставља и обавезе запослених у погледу заштите података о личности физичких лица. Појам „запослени” обухвата, поред запослених на неодређено и одређено време, и лица ангажована на основу уговора о делу, уговора о привремено повременим пословима, ауторских уговора, уговора о пружању консултантских услуга, уговоре са лицима на пракси, приправнике, уступљене запослене и слично. Правилник се примењује и на сараднике, кандидате који конкуришу за посао, клијенте, пословне партнере, кориснике услуга, лица која посећују Интернет страницу Предузећа, кориснике услуга путем мобилних апликација, консултанте и друга заинтересована физичка лица.
Правилник се примењује и на екстерне обрађиваче којима је уговором поверена обрада података о личности у односу на које се Предузеће јавља као руковалац, у складу са одредбама овог Правилника.
Запослени су обавезни да поштују и штите податке о личности које обрађују током рада у или са Предузећем, да поштују законске одредбе и овај Правилник који регулишу заштиту података о личности, као и све процедуре које се спроводе на нивоу Предузећа, а које доприносе заштити података о личности. Запослени који врше радње обраде, у случају да имају недоумицу у вези са обрадом неког податка о личности, или било које друго питање у вези са заштитом податка о личности, дужни су да се обрате за мишљење Лицу за заштиту података о личности, као и да обавесте непосредног руководиоца. Запослени могу обрађивати само оне податке којима им је дозвољен приступ, у складу са задацима које обављају.
Правилник успоставља и обавезу запослених да одговоре на „Упитник за процену спремности ЈКП Информатика у односу на закон о заштити података о личности (ЗЗПЛ)“ (Прилог број 1) у оквиру којег се врши самопровера статуса усклађености са главним захтевима Закона о заштити података о личности (ЗЗПЛ) Републике Србије. Након спровођења овог упитника потребно је проћи кроз „Контролну листу КЛ – 001 - за руковаоце који су органи власти“, а коју је објавио на свом порталу Повереник за информације од јавног значаја и заштиту података о личности (https://www.poverenik.rs/sr/).
Члан 2.
Руковалац и Обрађивач
ЈКП „Информатика“ Нови Сад, са седиштем у Новом Саду, Булевар цара Лазара број 3, МБ: 08023182, ПИБ: 101651557, може у оквиру свог пословања представљати руковаоца или обрађивача података о личности, у зависности од околности посла током којег се врши обрада података, при чему се са подацима поступа искључиво у складу с важећим прописима и обезбеђује се одговарајући ниво организационе и техничке заштите података о личности.
Правилником се уређују следеће области:
-
Предмет Правилника
-
Појмови и скраћенице
-
Начин примене основних начела обраде
-
Правни основ обраде података о личности
-
Врсте података о личности које Предузеће обрађује и посебни случајеви обраде
-
Транспарентност обраде
-
Сврха обраде података о личности
-
Права лица чији се подаци обрађују и начин остваривања права
-
Извор података о личности лица на које се подаци односе
-
Рокови чувања података о личности
-
Евиденције о радњама обраде података о личности
-
Процена утицаја обраде на заштиту података о личности
-
Одговори на повреду података и обавештавање
-
Лице за заштиту података о личности
-
Обавезе Предузећа као обрађивача и однос према обрађивачу
-
Техничке, организационе и кадровске мере за заштиту података о личности
-
Начини прекограничног преноса података о личности
-
Правна средства за заштиту података о личности у случају повреде права
-
Прелазне и завршне одредбе.
2.ПОЈМОВИ И СКРАЋЕНИЦЕ
Члан 3.
-
GDPR - Уредба (ЕУ) 2016/679 Европског парламента и Савета ЕУ од 27. априла 2016. о заштити лица у односу на обраду података о личности и слободном кретању таквих података и стављању Директиве 95/46/ЕЗ ван снаге (у даљем тексту: „ GDPR”);
-
Закон о заштити података о личности (у даљем тексту ЗЗПЛ), („Службени гласник РС”, број 87/2018);
-
Закон о раду („Службени гласник РС”, број 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017 - одлука Уставног суда, 113/2017 и 95/2018-аутентично тумачење), у даљем тексту: „ЗОР”;
-
З акон о слободном приступу информацијама од јавног значаја („Службени гласник РС“,број 120/2004, 54/2007, 104/2009, 36/2010 и 105/2021);
-
Повереник за информације од јавног значаја и заштиту података о личности Републике Србије (у даљем тексту: „Повереник”) – је независан и самосталан орган власти установљен на основу закона, који је надлежан за надзор над спровођењем ЗЗПЛ и обављање других послова прописаних законом (https://www.poverenik.rs/sr/);
-
Податак о личности је сваки податак који се односи на физичко лице чији је идентитет одређен или одредив, непосредно или посредно, посебно на основу ознаке идентитета, као што је име и идентификациони број, податак о локацији, идентификатор у електронским комуникационим мрежама или једног, односно више обележја његовог физичког, физиолошког, генетског, менталног, економског, културног и друштвеног идентитета;
-
Лице на које се подаци односе је физичко лице чији се подаци о личности обрађују;
-
Посебне врсте података о личности су подаци којим се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, генетски податаци, биометријски подаци, подаци о здравственом стању, сексуалном животу или сексуалној оријентацији физичког лица;
-
Обрада података о личности је свака радња или скуп радњи које се врше аутоматизовано или неаутоматизовано са подацима о личности или њиховим скуповима, као што су прикупљање, бележење, разврставање, груписање, односно структурисање, похрањивање, уподобљавање или мењање, откривање, увид, употреба, откривање преносом, односно достављањем, умножавање, ширење или на други начин чињење доступним, упоређивање, ограничавање, брисање или уништавање (у даљем тексту: обрада);
-
Руковалац је физичко или правно лице, односно орган власти који самостално или заједно са другима одређује сврху и начин обраде. Законом којим се одређује сврха и начин обраде, може се одредити и руковалац или прописати услови за његово одређивање;
-
Обрађивач је физичко или правно лице, односно орган власти, који обрађује податке о личности у име руковаоца;
-
Профилисање је сваки облик аутоматизоване обраде који се користи да би се оценило одређено својство личности, посебно у циљу анализе или предвиђања радног учинка физичког лица, његовог економског положаја, здравственог стања, личних склоности, интереса, поузданости, понашања, локације или кретања;
-
Псеудонимизација је обрада на начин који онемогућава приписивање података о личности одређеном лицу без коришћења додатних података, под условом да се ови додатни подаци чувају посебно и да су предузете техничке, организационе и кадровске мере које обезбеђују да се податак о личности не може приписати одрeђеном или одредивом лицу;
-
Анонимизација значи обраду података о личности са циљем неповратног спречавања идентификације особе на коју се односе. Подаци се могу сматрати анонимизованим када не дозвољавају идентификацију појединаца на које се односе и када није могуће да се појединац идентификује из података било којом даљом обрадом тих истих података или обрадом тих истих података заједно са другим подацима који су доступни или ће вероватно бити доступни.
-
Орган власти је државни орган, орган територијалне аутономије и јединице локалне самоуправе, јавно предузеће, установа и друга јавна служба, организација и друго правно или физичко лице које врши јавна овлашћења;
-
Надлежни органи су органи власти који су надлежни за спречавање, истрагу и откривање кривичних дела, као и гоњење учинилаца кривичних дела или извршења кривичних санкција, укључујући и заштиту и спречавање претњи јавној и националној безбедности;
-
Пристанак лица на које се подаци односе је свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим то лице, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе;
-
Повреда података о личности је повреда безбедности података о личности која доводи до случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или на други начин обрађивани;
-
Генетски податак је податак о личности који се односи на наслеђена или стечена генетска обележја физичког лица која пружају јединствену информацију о физиологији или здрављу тог лица, а нарочито они који су добијeни анализом из узoрка биолошког порекла;
-
Биометријски податак је податак о личности добијен посебном техничком обрадом у вези са физичким обележјима, физиолошким обележјима или обележјима понашања физичког лица, која омогућава или потврђује јединствену идентификацију тог лица, као што је слика његовог лица или његови дактилоскопски подаци;
-
Подаци о здрављу су подаци о физичком или менталном здрављу физичког лица, укључујући и оне о пружању здравствених услуга, којима се откривају информације о његовом здравственом стању.
3.НАЧИН ПРИМЕНЕ ОСНОВНИХ НАЧЕЛА ОБРАДЕ
Члан 4.
Приликом обраде података о личности, Предузеће односно запослени који у име Предузећа обрађују податке о личности како запослених тако и других лица, морају се придржавати начела обраде прописаних чланом 5. ЗЗПЛ и то:
- Начела законитости, поштења и транспарентности- које подразумева да се подаци о личности морају обрађивати законито (законита обрада је обрада која се врши у складу са ЗЗПЛ и другим законима којима се уређује обрада), поштено и транспарентно у односу на лице на које се подаци односе;
- Начела ограничења у односу на сврху обраде- које подразумева да се подаци о личности морају прикупљати у сврхе које су конкретно одређене, изричите, оправдане и законите и даље се не могу обрађивати на начин који није у складу са тим сврхама;
- Начела минимизације података- које подразумева да подаци о личности морају бити примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде;
- Начела тачности- које подразумева да подаци о личности морају бити тачни, и ако је то неопходно, ажурирани, узимајући у обзир сврху обраде, морају се предузети све разумне мере којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе;
- Начела ограничења чувања- које подразумева да се подаци о личности морају чувати у облику који омогућава идентификацију лица само у року који је неопходан за остваривање сврхе обраде;
- Начела интегритета и поверљивости- које подразумева да се подаци о личности морају обрађивати на начин који обезбеђује одговарајућу заштиту података о личности, укључујући заштиту од неовлашћене или незаконите обраде, као и од случајног губитка, уништења или оштећења применом одговарајућих техничких, организационих и кадровских мера.
Предузеће као руковалац је одговорно за примену горе наведених начела обраде и мора бити у могућности да предочи њихову примену.
4.ПРАВНИ ОСНОВ ОБРАДЕ ПОДАТАКА О ЛИЧНОСТИ
Члан 5.
Предузеће као руковалац законито обрађује податке о личности само ако је испуњен један од следећих услова:
-
лице на које се подаци о личности односе је пристало на обраду својих података о личности за једну или више посебно одређених сврха;
-
обрада је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев лица на које се подаци односе, пре закључења уговора;
-
обрада је неопходна у циљу поштовања правних обавеза руковаоца;
-
обрада је неопходна у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица;
-
обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца;
-
обрада је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако су над тим интересима претежнији интереси или основна права и слободе лица на које се подаци односе који захтевају заштиту података о личности, а посебно ако је лице на које се подаци односе малолетно лице (не примењује се на обраду коју врши Предузеће као орган власти у оквиру своје надлежности).
Малолетно лице које је навршило 15 година може самостално да даје пристанак за обраду података о својој личности у коришћењу услуга информационог друштва.
Ако се ради o малолетном лицу које није навршило 15 година, за обраду података пристанак мора дати родитељ који врши родитељско право, односно други законски заступник малолетног лица.
Руковалац мора предузети разумне мере у циљу утврђивања да ли је пристанак дао родитељ који врши родитељско право, односно други законски заступник малолетног лица, узимајући у обзир доступне технологије. Ако се обрада заснива на пристанку, руковалац мора бити у могућности да предочи да је лице пристало на обраду својих података о личности.
Ако се пристанак лица на које се подаци односе даје у оквиру писмене изјаве која се односи и на друга питања, захтев за давање пристанка мора бити представљен на начин којим се издваја од тих других питања, у разумљивом и лако доступном облику, као и уз употребу јасних и једноставних речи. Део писмене изјаве који је у супротности са овим законом не производи правно дејство.
Обрасци за давање пристанка саставни су делови овог Правилника:
- „Образац за давање пристанка“- физичка лица (Образац број 1);
- „Образац за давање пристанка“-родитељa/законског заступника (Образац број 3).
Лице на које се подаци односе има право да опозове пристанак у сваком тренутку. Опозив пристанка не утиче на допуштеност обраде која је вршена на основу пристанка пре опозива. Пре давања пристанка лице на које се подаци односе мора бити обавештено о праву на опозив, као и дејству опозива. Опозивање пристанка мора бити једноставно, као и давање пристанка.
Обрасци за повлачење пристанка саставни су делови овог Правилника:
- „Образац за повлачење пристанка“- физичка лица (Образац број 2);
-„Образац за повлачење пристанка“ родитеља/ законског заступника (Образац број 4).
Приликом оцењивања да ли је пристанак за обраду података о личности слободно дат, посебно се мора водити рачуна о томе да ли се извршење уговора, укључујући и пружање услуга, условљава давањем пристанка који није неопходан за његово извршење.
5.ВРСТЕ ПОДАТАКА О ЛИЧНОСТИ КОЈЕ ПРЕДУЗЕЋЕ ОБРАЂУЈЕ И ПОСЕБНИ СЛУЧАЈЕВИ ОБРАДЕ
Члан 6.
Предузеће као руковалац може обрађивати следеће податке о личности запослених:
-
Име и презиме, адреса пребивалишта/боравишта, општина пребивалишта/боравишта, датум и место рођења, пол, брачно стање, јединствени матични број грађана (ЈМБГ), број личне карте, држављанство, број здравственог осигурања (ЛБО), академске и професионалне квалификације, степен образовања, титуле, подаци о вештинама, знање страних језика, подаци о обукама, историја запослења, биографија, радно искуство, број банковног рачуна, подаци о заради и додатним накнадама, назив радног места, процена супервизора, пословна е-маил адреса, IP (Internet Protocol) адреса, приступна шифра, приватни е-mail, број телефона, контакт сродника за хитне случајеве; као и други подаци неопходни за извршење законом прописаних обавеза Предузећа и реализације уговора о раду, односно другог уговорног односа са запосленим.
-
Забрањена је обрада посебних података о личности односно обрада којом се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обрада генетских података, биометријских података у циљу јединствене идентификације лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица.
-
Предузеће изузетно може обрађивати посебне врсте податке о личности запослених, уколико је обрада неопходна у циљу извршења обавеза или примене законом прописаних овлашћења руковаоца у области рада, социјалног осигурања и социјалне заштите, уколико је таква обрада прописана законом или колективним уговором или уколико је обрада неопходна у сврху превентивне медицине или медицине рада, ради процене радне способности запослених, медицинске дијагностике, пружања услуге здравствене или социјалне заштите, на основу закона или на основу уговора са здравственим радником, ако се обрада врши од стране или под надзором здравственог радника или другог лица које има обавезу чувања професионалне тајне прописане законом или професионалним правилима.
-
Предузеће не обрађује већи број или другу врсту података о личности од оних који су потребни да би се испунила наведена сврха.
-
Уколико се обрада посебних врста података у складу са ЗЗПЛ врши на основу пристанка запослених, а у случајевима када таква обрада од стране Предузећа као руковаоца није прописана законом или колективним уговором , такав пристанак мора бит дат у писаној форми која обухвата детаљне информације о врсти података о личности који се обрађују, сврси обраде и начину обраде података.
Предузеће као руковалац може обрађивати следеће податке о личности клијенaтa, пословних партнера, кориснике услуга, лица која посећују Интернет сајт Предузећа, кориснике услуга који користе мобилне апликације, консултанта и других лица:
-
Име и презиме(име једног родитеља), назив послодавца/институције/организације/установе коју лице представља или из које долази, датум рођења, јединствени матични број грађана (ЈМБГ), број личне карте, број пасоша/путне исправе, место рођења, адресу пребивалишта/боравишта, општина пребивалишта/боравишта, пол, биографија, податке о академским и професионалним квалификацијама, контакт е-маил адреса, контакт телефон, регистарска ознака возила
.
Предузеће као руковалац може обрађивати следеће податке о личности кандидата за посао:
-
Име и презиме, датум и место рођења; академске и професионалне квалификације садржане у радној биографији и мотивационом писму: степен образовања, титуле, подаци о вештинама, знању страних језика, обукама, листа претходних послодаваца, е-маил, број телефона.
Напомена: приликом расписивања конкурса за запослење Предузеће не утврђујe форму радне биографије, већ се кандидату оставља да је сам одреди. У том смислу Предузеће може доћи у посед већег обима података од представљеног, вољом кандидата за посао. Сви прикупљени подаци чувају се у периоду од две године у сврху накнадне процене потребе за ангажовањем кандидата за посао, а након истека рока трајно се бришу.
Обрада у вези са кривичним пресудама и кажњивим делима:
Обрада података о личности који се односе на кривичне пресуде, кажњива дела и мере безбедности, може се вршити на основу члана 12. став 1 ЗЗПЛ само под надзором надлежног органа или ако је допуштена законом, уз примену одговарајућих посебних мера заштите права и слобода лица на које се подаци односе. Јединствена евиденција о кривичним пресудама води се искључиво од стране и под надзором надлежног органа.
Члан 7.
Информације од јавног значаја које садрже податке о личности могу бити учињене доступним тражиоцу од стране Предузећа као руковаоца у складу са законом.
На обраду јединственог матичног броја грађана (ЈМБГ) примењују се одредбе закона којим се уређује јединствени матични број грађана, односно одредбе другог закона уз примену одредби ЗЗПЛ које се односе на заштиту права и слобода лица на које се подаци односе.
На обраду у области рада и запошљавања примењују се одредбе закона којима се уређује рад и запошљавање и колективни уговори, уз примену одредби закона којима се уређује заштита података о личности.
6.ТРАНСПАРЕНТНОСТ ОБРАДЕ
Члан 8.
Предузеће као руковалац је дужно да предузме одговарајуће мере да би лицу на које се подаци односе пружио све информације у вези са остваривањем права, на сажет, транспарентан, разумљив и лако доступан начин, коришћењем јасних и једноставних речи, а посебно ако се ради о информацији која је намењена малолетном лицу. Те информације пружају се у писменом или другом облику, укључујући и електронски облик, ако је то погодно. Ако лице на које се подаци односе то захтева, информације се могу пружити усмено, под условом да је идентитет лица несумњиво утврђен. Предузеће ће настојати да све релевантне информације које се тичу обраде података о личности буду јавно доступне на уобичајени начин, тј.као што је у наставку овог члана и описано.
Транспарентност у обради података о личности се пре свега остварује:
-
Израдом и објављивањем „Општег обавештења о обради података о личности“ на Интернет страници Предузећа www.nsinfo.co.rs , као и истицањем на видном месту у службеним просторијама Предузећа - (Обавештење број 1);
-
Израдом „Посебног обавештења о обради података о личности запослених у Предузећу“ и чињења доступним тог документа запосленима објављивањем на Интранет страници Предузећа и достављањем сваком запосленом - (Обавештење број 2);
-
Благовременим одговарањем на захтеве лица на које се подаци односе;
-
Чињењем доступним свих релевантних докумената која се тичу обраде података о личности.
За испуњење обавеза из овог члана задужује се Лице за заштиту података о личности.
Члан 9.
У случају када се подаци о личности прикупљају од лица на које се подаци односе, Предузеће као руковалац је дужно да у тренутку прикупљања података о личности том лицу пружи следеће информације:
-
идентитет и контакт податке руковаоца, као и његовог представника, ако је он одређен;
-
контакт податке лица за заштиту података о личности;
-
сврху намераване обраде и правном основу за обраду;
-
постојање легитимног интереса руковаоца или треће стране;
-
о примаоцу, односно групи прималаца података о личности ако они постоје;
-
о чињеници да намерава да изнесе податке о личности у другу државу или међународну организацију.
Предузеће као руковалац је дужно да у тренутку прикупљања података о личности, лицу поред горе таксативно наведених информација пружи и следеће додатне информације које могу да буду неопходне да би се обезбедила поштена и транспаретна обрада у односу на то лице и то:
-
о року чувања података о личности или, ако то није могуће, о критеријумима за његово одређивање;
-
о постојању права да се од руковаоца захтева приступ, исправка или брисање његових података о личности, права на ограничење обраде, права на приговор, и права на преносивост података;
-
о постојању права на опозив пристанка у било које време, као и да опозив пристанка не утиче на допуштеност обраде на основу пристанка пре опозива;
-
o праву да се поднесе притужба Поверенику;
-
да ли је давање података о личности законска или уговорна обавеза или је давање података неопходан услов за закључење уговора, као и о томе да ли лице на које се подаци односе има обавезу да да податке и о могућим последицама ако се подаци не дају;
-
o постојању аутоматизованог доношења одлуке, укључујући профилисање и о значају и очекиваним последицама те обраде по лице на које се подаци односе.
Предузеће као руковалац је дужно да, уколико намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, пре започињања даље обраде у другу сврху обавести лице на које се подаци односе о тој другој сврси.
Уколико је лице на које се подаци односе већ упознато са наведеним информацијама, Предузеће као руковалац нема обавезу пружања ових информација.
Уколико је у питању обрада података коју врше надлежни органи у посебне сврхе не примењују се одредбе из овог члана.
Члан 10.
У случају када се подаци о личности не прикупљају од лица на које се подаци односе, Предузеће као руковалац је дужно да лицу на које се подаци односе пружи све информације које се пружају и у случају из претходног члана (када се подаци прикупљају од лица на које се подаци односе) уз обавезу да се пруже и додатне информације:
-
о врсти података који се обрађују;
-
о извору из кога потичу подаци о личности односно да ли потичу из јавно доступних извора.
Предузеће као руковалац је дужно да наведене информације пружи у разумном року после прикупљања података о личности, а најкасније у року од 30 дана, најкасније приликом успостављања прве комуникације, ако се подаци о личности користе за комуникацију са лицем на које се односе и најкасније приликом првог откривања података о личности, ако је предвиђено откривање података о личности другом примаоцу.
Предузеће као руковалац је дужно да, уколико намерава да даље обрађује податке о личности у другу сврху која је различита од оне за коју су подаци прикупљени, пре започињања даље обраде у другу сврху обавести лице на које се подаци односе о тој другој сврси.
Предузеће као руковалац није дужно да лицу на које се подаци односе пружи информације из
овог члана ако:
-
je лице на које се подаци односе већ упознато са наведеним информацијама;
-
је пружање таквих информација немогуће или би захтевало несразмеран утрошак времена или средстава, а нарочито у случају обраде у сврхе архивирања у јавном интересу, у сврхе научног или историјског истраживања као и у статистичке сврхе, ако се примењују услови и мере прописанe Законом, или ако је вероватно да би извршење обавеза из овог члана онемогућило или битно отежало остваривање сврхе обраде. У тим случајевима Предузеће као руковалац је дужно да предузме одговарајуће мере заштите права и слобода, као и легитимних интереса лица на које се подаци односе што укључује и јавно објављивање информација;
-
је прикупљање или откривање података о личности изричито прописано законом којим се обезбеђују одговарајуће мере заштите легитимних интереса лица на које се подаци односе;
-
се поверљивост података о личности мора чувати у складу са обавезом чувања професионалне тајне која је прописана законом.
Уколико је у питању обрада података коју врше надлежни органи у посебне сврхе не примењују се одредбе из овог члана.
7.СВРХА ОБРАДЕ ПОДАТАКА О ЛИЧНОСТИ
Члан 11.
Предузеће обрађује податке о личности у доле наведене сврхе, а сврху одређује тако што претходно утврђује да ли се циљ који жели да постигне може остварити на начин који не подразумева прикупљање и обраду података о личности. Предузеће не обрађује више података или шири круг података од оних који су неопходни за остварење наведених сврха, и ако циљ може да се оствари искључиво обрадом података о личности, Предузеће ће применити мере анонимизације или псеудонимизације података о личности.
Сврха обраде се одређује тако што се утврђују циљеви које обрада мора да оствари.
Конкретне сврхе обраде података о личности Предузећа су описане у обавештењима из члана 8. овог Правилника („Опште обавештење о обради података о личности“ - Обавештење број 1 и „Посебно обавештење о обради података о личности запослених у Предузећу“ - Обавештење број 2 ).
У случају да се у раду Предузећа појави потреба за обрадом података о личности у друге сврхе од оних које су описане у обавештењима, Предузеће ће ажурирати та обавештења на начин да укључе нове сврхе обраде и учиниће их доступним на начин прописан чланом 8. овог Правилника.
Предузеће као руковалац је у обавези да редовно ажурира и проверава постојање потребе за обрадом података о личности и предузима све неопходне радње у циљу брисања и уклањања података о личности чија обрада више није непходна за конкретно одређене сврхе.
Члан 12.
Предузеће као руковалац податке о личности из члана 6. овог Правилника прикупља и обрађује у следеће сврхе:
-
Запошљавање, остваривање права из радног односа и управљање људским ресурсима
Предузеће прикупља и обрађује податке о личности у сврху заснивања и реализације радног односа, укључујући и друге уговорне односе по основу којих ангажује сараднике и консултанте (нпр. податке за потребе утврђивања адекватности и квалификација кандидата за одређена радна места, за управљање радним временом и одсуствима, за обрачун зарада, путних трошкова и дневница, за утврђивање накнада по основу боловања и других видова одсуства са радног места, за процену напредовања запослених, за обезбеђивање додатних обука и едукација, за вођење дисциплинских поступака, за утврђивање права на јубиларну награду, права на солидарну помоћ, на помоћ за рођење детета, пријаве и одјаве запослених на осигурање и др.).
-
Пословне активности
Предузеће обрађује податке о личности у сврху: обављања послова обједињене наплате комунално-стамбених и других услуга, издавања рачуна за извршене услуге, извршавања обавеза ради наплате потраживања од корисника услуга, управљања пројектима, за плаћање робе, услуга и радова, пословни развој, постављање видео уређаја по налогу надлежног органа, организације канцеларијског пословања, за реализацију обука и стручног усавршавања и др.
-
Информационо-комуникационе технологије и информациона безбедност
Предузеће обрађује податке о личности у сврху: обављања послова информационе безбедности у складу са ISO/IEC 27001 стандардом, примену мера физичко-техничке заштите запослених и имовине Предузећа, оперативног управљања и функционалног одржавања информационо-комуникационих технологија (рачунарско-комуникационе мрежe, хардвера и софтвера).
-
Усклађивање пословања са релевантним прописима и ISO стандардима
Предузеће обрађује податке о личности у сврху: усклађивања пословања са позитивним прописима, пре свега из домена радног и пореског законодавства, заштите података о личности, усаглашавaње са међународним и српским ISO стандардима (ISO 9001) и друге личне податке у складу са Одлуком о организовању ЈКП „Информатика“ Нови Сад.
8.ПРАВА ЛИЦА НА КОЈЕ СЕ ПОДАЦИ ОДНОСЕ
Члан 13.
Предузеће као руковалац је дужно да предузме одговарајуће мере да би лицу на које се подаци односе пружило све информације у вези са остваривањем права, у складу са „Процедуром за остваривање права на приступ лица на које се подаци односе“(Прилог број 2). Информације треба пружити на сажет, транспарентан, разумљив и лако доступан начин, коришћењем јасних и једноставних речи, а пружају се у писаном или другом облику, укључујући и електронски, ако је то погодно.
Ако лице на које се подаци односе то захтева, информације се могу пружити усмено, под условом да је идентитет лица несумњиво утврђен. Информације које се пружају лицима на које се подаци односе могу се пружити у комбинацији са стандардизованим иконицама приказаним у електронском облику у оквиру евентуалног web софтверског решења како би се, на лако видљив, разумљив и јасно уочљив начин, обезбедио сврсисходан увид у намеравану обраду. Мора се обезбедити да стандардизоване иконице, уколико Предузеће примени софтверско решење, приказане у електронском облику буду читљиве на персоналним рачунарима, таблетима и паметним телефонима.
Права лица на које се подаци односе су:
-
Право на приступ– свако физичко лице има право да од руковаоца захтева информацију да ли обрађује податке о њему, које и у коју сврху, приступ тим подацима, предвиђени рок чувања, копију тих података али и информацију о свим осталим питањима. Право на приступ може бити ограничено, у целини или делимично, у разумном року,али не дужем од 6 (шест) месеци.
-
Право на исправку и допуну- лице на које се подаци односе има право да захтева исправку његових нетачних података о личности без непотребног одлагања. Уколико су подаци непотпуни, лице има право да своје податке допуни кроз давање додатне изјаве.
-
Право на брисање- свако лице на које се подаци односе има право да се његови подаци о личности избришу од стране руковаоца када више нису неопходни за остваривање сврхе због које су прикупљени или на други начин обрађивани, ако је лице опозвало пристанак на основу кога се обрада вршила или је поднело приговор на обраду, ако су подаци незаконито обрађивани, ако брисање представља извршење законске обавезе руковаоца или ако су подаци о личности претходно прикупљени у вези са коришћењем услуга информационог друштва. Писмени захтев за брисање се подноси руковаоцу.
-
Право на ограничење обраде- лице на које се подаци односе има право да од руковаоца захтева да се обрада његових података о личности ограничи у случајевима који су предвиђени.
-
Право на преносивост података- уколико су заједно испуњени услови, лице на које се подаци односе има право да претходно достављене податке прими у структурисаном облику од руковаоца као и да их, без његовог ометања, пренесе другом руковаоцу.
-
Право на прекид обраде (приговор ) -лице на које се подаци односе има право да од руковаоца, у виду приговора на обраду, захтева прекид обраде, укључујући и профилисање. Уколико руковалац није предочио да постоје законски разлози за обраду који претежу над интересима, правима или слободама лица на које се подаци односе или су у вези са подношењем, остваривањем или одбраном правног захтева, биће дужан да прекине са обрадом података о лицу које је поднело приговор.
-
Право на приговор и аутоматизовано доношење појединачних одлука - лице на које се подаци односе, уколико сматра да је то оправдано у односу на посебну ситуацију у којој се налази,има право да у сваком тренутку поднесе руковаоцу приговор на обраду његових података о личности, укључујући и профилисање.
Захтев за приступ, исправку и допуну, брисање, ограничење обраде, преносивост података, прекид обраде као и непримењивање одлуке донесене на основу аутоматизоване обраде, лице чији се подаци обрађују подноси руковаоцу. Уколико руковалац оправдано посумња у идентитет лица које је поднело захтев, може од лица захтевати достављање додатних информација неопходних за потврду идентитета.
Руковалац је дужан да достави копију података које обрађује, лицу на које се подаци односе, на његов захтев, без одлагања, а најкасније у року од 30 дана од дана пријема захтева. Тај рок може бити продужен за још 60 дана ако је то неопходно, узимајући у обзир сложеност и број захтева. О продужењу рока и разлозима за то продужење Предузеће као руковалац је дужно да обавести лице на које се подаци односе у року од 30 дана од дана пријема захтева.
Ако је захтев за копију достављен електронским путем, информације се достављају у уобичајено коришћеном електронском облику, осим ако је лице на које с подаци односе захтевало другачије достављање. Уколико лице на које се подаци односе захтева израду додатних копија, руковалац може да захтева накнаду нужних трошкова за исте.
Ако руковалац не поступи по захтеву лица на које се подаци односе дужан је да о разлозима за непоступање обавести то лице без одлагања, а најкасније у року од 30 дана од дана пријема захтева, као и о праву на подношење притужбе Поверенику, односно тужбе суду.
Члан 14.
Лицe на које се подаци односе захтев за остваривање права из чл.13. овог Правилника, у складу са „Процедуром за остваривање права на приступ лица на које се подаци односе“ може поднети на прописаним обрасцима:
- „Образац захтева за приступ подацима о личности“ (Образац број 5);
- „Образац за откривање података о личности“ (Образац број 6).
Обрасце је потребно да доставе на:
- email адресу zastita.podataka@nsinfo.co.rs , уз назнаку „Захтев за заштиту података о личности“ или
- редовну адресу / ЈКП „Информатика“ Нови Сад, са седиштем у Новом Саду, Булевар цара Лазара број 3, уз назнаку „Захтев за заштиту података о личности“.
Образац Захтева за остваривање права из претходног члана доступан је на званичној Интернет страници www.nsinfo.co.rs , као и у пословним просторијама Предузећа.
9.ИЗВОР ПОДАТАКА ЛИЦА НА КОЈЕ СЕ ПОДАЦИ ОДНОСЕ И ПРИМАОЦИ ПОДАТАКА О ЛИЧНОСТИ
Члан 15.
Податке о личности запослених Предузеће прикупља директно од запослених.
Податке о личности корисника услуга, клијената, пословних партнера и кандидата за посао Предузеће прикупља на један од следећих начина:
- непосредно од лица чији се подаци обрађују, приликом подношења захтева, рекламација, притужби и слично, телефонским путем, коришћењем телефонских бројева Контакт центра ЈКП Информатика, Булевар цара Лазара 3, 21102 Нови Сад, тел. 0800 222 021, 021/4895-015.
- непосредно од лица чији се подаци обрађују, приликом подношења захтева, рекламација, притужби и слично у пословним просторијама и на шалтерима рекламација, или путем званичне Интернет странице www.nsinfo.co.rs подношењем захтева, рекламација, притужби и слично online, као и приликом приступа делу Интернет странице која се односи на услугу „Моји рачуни“ https://mojiracuni.nsinfo.co.rs/web/ .
- од надлежног државног органа или органа јединице локалне самоуправе (МУП, комунална милиција, комунална инспекција и др.) у складу са законом којим се уређује обављање комуналне делатности, када је то потребно ради извршавања послова из надлежности Предузећа као вршиоца комуналне делатности, наплате накнаде за извршену комуналну услугу након истека рока утврђеног за плаћање или покретање поступка пред надлежним државним органима и јавним извршитељима због неизвршења законом утврђених обавеза од стране корисника услуга.
- и друге личне податке у складу са Одлуком о организовању ЈКП „Информатика“ Нови Сад.
Подаци о личности лица на које се подаци односе се обрађују у сврхе које су наведене у овом Правилнику. Када је за остваривање те сврхе потребно, приступ подацима могу имати одређени примаоци као што су банке, органи власти, тражиоци информација од јавног значаја и други.
10.РОКОВИ ЧУВАЊА ПОДАТАКА О ЛИЧНОСТИ ЗАПОСЛЕНИХ
Члан 16.
Подаци о личности запослених које Предузеће као руковалац обрађује у вези са радноправним односима чувају се трајно, у складу са законом којим се регулишу евиденције у области рада.
Подаци о личности запослених који нису обухваћени у ставу 1. овог члана чувају се до испуњења сврхе за коју су прикупљени, односно до истека рокова прописаних интерним актом Предузећа којим се дефинише „Листа категорија архивске грађе и документарног материјала са роковима чувања“, као нпр. подаци о личности у вези са остваривањем права на помоћ за рођење детета, солидарну помоћ, помоћ у случају смрти члана уже породице и др.
Уколико је рок чувања података о личности прописан посебним законом, Предузеће као руковалац задржаће податке у датом законском року, као нпр. рокови чувања података прописани на основу Закона о рачуноводству, Законa о архивској грађи и архивској делатности и др.
Након испуњења сврхе, односно истека законом прописаног рока за чување података, подаци ће бити трајно обрисани у складу са Законом о архивској грађи и архивској делатности.
РОКОВИ ЧУВАЊА ПОДАТАКА О ЛИЧНОСТИ ЗА КЛИЈЕНТЕ, ПОСЛОВНЕ ПАРТНЕРЕ, КОРИСНИКЕ УСЛУГА, ЛИЦА КОЈА ПОСЕЋУЈУ ИНТЕРНЕТ СТРАНИЦУ, КАНДИДАТЕ ЗА ПОСАО И ДР.
Члан 17.
Подаци о личности које Предузеће као руковалац обрађује, а односе се на клијенте, пословне партнере, кориснике услуга, лица која посећују Интернет страницу Предузећа, кориснике услуга путем мобилних апликација, кандидате за посао и др. чувају се до испуњења сврхе за коју су прикупљени, свих уговорних права и обавеза, односно до истека рокова прописаних позитивним прописима. Рок у коме се подаци о личности чувају зависи од законске обавезе чувања података, врсте закљученог уговора, трајања уговора, од рокова застарелости потраживања, рокова прописаних интерним актом Предузећа којим се дефинише „Листа категорија архивске грађе и документарног материјала са роковима чувања“
Уколико је рок чувања података о личности прописан посебним законом, Предузеће као руковалац задржаће податке у датом законском року.
Након испуњења сврхе, односно истека законом прописаног рока за чување података, подаци ће бити трајно обрисани.
11.ЕВИДЕНЦИЈА РАДЊИ ОБРАДЕ
Члан 18.
Да би заједнички приступ пружио одговорност и поштовање одредби ЗЗПЛ и омогућио Предузећу јасан поглед на њене радње обраде, евиденција радњи обраде користиће се за евидентирање и праћење радњи обраде Предузећа у вези са обрадом података о личности.
Евиденција радњи обраде је пре свега интерни документ који ће помоћи запосленима у Предузећу да боље схвате како и зашто је потребно да се подаци о личности обрађују, као и како да развију политике и процедуре за заштиту тих података. У том смислу је важан део одговорности самог Предузећа, као и у случају истраге надзорних органа, као неспоран доказ да руководство Предузећа има свесност и да контролише све своје операције обраде података о личности.
Лице за заштиту података о личности одговорно је за вођење евиденције о радњама обраде података о личности Предузећа у облику обрасца „Евиденција радњи обраде“ (Прилог број 3).
Врста евиденције зависи од тога да ли Предузеће делује као руковалац података или као обрађивач података. Ако Предузеће делује и као руковалац и као обрађивач (за различите активности обраде), тада она мора да води Евиденцију радњи обраде и као руковалац и као обрађивач.
Када Предузеће делује као руковалац података, да би се осигурало поштовање захтева ЗЗПЛ, дужно је да води Евиденцију радњи обраде, која мора да садржи информације о:
-
имену и контакт подацима руковаоца, заједничких руковаоца, представника руковаоца и лица за заштиту података о личности, ако они постоје, односно ако су одређени;
-
сврси обраде;
-
врсти лица на које се подаци односе и врсти података о личности;
-
врсти прималаца којима су подаци о личности откривени или ће бити откривени, укључујући и примаоце у другим државама или међународним организацијама;
-
преносу података о личности у друге државе или међународне организације, укључујући и назив друге државе или међународне организације, као и документе о примени мера заштите;
-
року после чијег истека се бришу одређене врсте података о личности, ако је такав рок одређен;
-
општем опису мера заштите утврђених у оквиру ЗЗПЛ (организационе, техничке и кадровске мере).
Образац за вођење евиденције Предузећа као руковаоца саставни је део овог Правилника у облику обрасца „Евиденција радњи обраде“ (Прилог број 3).
Предузеће као руковалац података је дужно да ажурира евиденцију када дође до промене у вези са основним подацима из овог члана.
Члан 19.
Када Предузеће делује као обрађивач података, дужно је да води Евиденцију радњи обраде свих категорија радњи обраде извршене у име руковаоца, а која садржи најмање следеће информације о:
-
имену и контакт подацима сваког обрађивача и сваког руковаоца у чије име се обрада врши, односно представника руковаоца или обрађивача и лица за заштиту података о личности, ако они постоје, односно ако су одређени;
-
врсти обрада које се врше у име сваког руковаоца;
-
преносу података о личности у друге државе или међународне организације, укључујући и назив друге државе или међународне организације, као и документе о примени мера заштите ако се подаци преносе;
-
општем опису мера заштите утврђених у оквиру ЗЗПЛ (организационе, техничке и кадровске мере).
Образац за вођење евиденције Предузећа као обрађивача саставни је део овог Правилника у облику обрасца „Евиденција радњи обраде“ (Прилог број 3).
Предузеће врши обраду података о личности као обрађивач на основу Одлуке о обједињеној наплати комунално-стамбених и других услуга, и свих других подзаконских аката која су објављена у "Службеном листу Града Новог Сада", а којима су му поверени одређени послови у вези са обрадом података, као и на основу закљученог уговора са руковаоцима о поверавању одређених послова у вези са обрадом података у складу са ЗЗПЛ и овим Правилником
Члан 20.
Руковалац, обрађивач и њихови представници, ако су одређени, дужни су да сарађују са Повереником у вршењу његових овлашћења.
Одговорност за попуњавање Евиденције радњи обраде сноси свака организациона јединица и/или појединац у оквиру Предузећа одговорни за обраду података о личности.
У том смислу свака служба унутар Предузећа је дужна да припреми сопствену Евиденцију радњи обраде. У ту сврху ће руководиоци служби или други овлашћени запослени као одговорни сарадници сваке службе да попуне иницијалну евиденцију и да је одржавају ажурном.
Одговорни сарадници ће редовно извештавати Лице за заштиту података о личности приликом додавања/брисања нових радњи обраде или промене постојећих.
Лице за заштиту података о личности вршиће контролу ажурности Евиденције радњи обраде, најмање једном годишње и деловаће као једина тачка за контакт у случајевима када службе и одговорни сарадници имају потешкоћа у идентификовању исправних елемената које треба увести у Евиденцију радњи обраде.
12.ПРОЦЕНА УТИЦАЈА ОБРАДЕ НА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Члан 21.
Ако више сличних радњи обраде могу проузроковати сличне високе ризике за заштиту података о личности, може се извршити заједничка процена утицаја. Приликом процене утицаја руковалац је дужан да затражи мишљење Лица за заштиту података о личности.
Процена утицаја је обавезна за руковаоце података. Ако се значајни делови обраде одвијају са обрађивачем, обрађивач мора да помаже са проценом на захтев руковаоца. Процена утицаја се мора обавити пре обраде података о личности.
Лице за заштиту података о личности задуженo је за целокупни поступак процене утицаја обраде на заштиту података и мора одлучити да ли ће приликом спровођења консултовати лица на које се подаци односе.
Када се врши процена утицаја на заштиту података, треба да се користи „Регистар (DPIA) за процену утицаја предвиђених радњи обраде на заштиту података о личности“ (Прилог број 4).
Ако постоји однос заједничког руковаоца, сваки руковалац мора пажљиво дефинисати који део активности обраде података припада коме.
Повереник за заштиту података о личности (https://www.poverenik.rs/sr/) је сачинио и јавно објавио на својој Интернет страници листу врста радњи обраде за које се мора извршити процена утицаја:
-
систематске и свеобухватне процене стања и особина физичког лица која се врши помоћу аутоматизоване обраде података о личности, укључујући и профилисање, на основу које се доносе одлуке од значаја за правни положај појединца или на сличан начин значајно утичу на њега;
-
обраде посебних врста података о личности, односно података којима се открива расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, као и обраде генетских података, биометријских података у циљу јединствене идентификације лица, података о здравственом стању или података о сексуалном животу или сексуалној оријентацији физичког лица или података о личности у вези са мерама безбедности, у великом обиму;
-
систематског надзора над јавно доступним површинама у великој мери;
-
обраде података о личности деце и малолетника у сврху профилисања, аутоматизованог одлучивања или за маркетиншке сврхе;
-
употребе нових технологија или технолошких решења за обраду података о личности или са могућношћу обраде података о личности који служе за анализу или предвиђање економске ситуације, здравља, склоности или интересовања, поузданости или понашања, локације или кретања физичких лица;
-
обраде података о личности на начин који укључује праћење локације или понашања појединца у случају системске обраде података о комуникацији насталих употребом телефона, интернета или других средстава комуникације;
-
обраде биометријских података у циљу јединствене идентификације запослених од стране послодавца и у другим случајевима обраде података о личности запослених од стране послодавца употребом апликација или система за праћење њиховог рада, кретања, комуникације и сл.;
-
обраде података о личности укрштањем, повезивањем или провером подударности из више извора;
-
обраде посебних врста података о личности у сврху профилисања или аутоматизованог одлучивања.
-
руковалац је обавезан да изврши процену утицаја на заштиту података о личности и у другим случајевима ако је вероватно да ће нека врста обраде, посебно употребом нових технологија и узимајући у обзир природу, обим, околности и сврху обраде, проузроковати висок ризик за права и слободе физичких лица.
Члан 22.
Процена утицаја најмање мора да садржи следеће кораке:
-
свеобухватан опис предвиђених радњи обраде и сврху обраде, укључујући и опис легитимног интереса руковаоца, ако он постоји
-
процену неопходности и сразмерности вршења радњи обраде у односу на сврхе обраде
-
процену ризика за права и слободе лица на које се подаци односе
-
опис мера које се намеравају предузети у односу на постојање ризика, укључујући механизме заштите, као и техничке, организационе и кадровске мере у циљу заштите податка о личности и обезбеђивања доказа о поштовању одредби овог закона, узимајући у обзир права и легитимне интересе лица на које се подаци односе и других лица.
Корак 1: Списак и груписањерадњи обраде података
Лице за заштиту података о личности мора прегледати све активности у „Евиденцији радњи обраде“, узети у обзир све нове активности које још нису наведене у Евиденцији и навести све радње обраде података у „Регистар (DPIA) за процену утицаја предвиђених радњи обраде на заштиту података о личности“.
Једна процена утицаја може се обавити за више радњи обраде података истовремено, ако те активности обраде представљају сличне велике ризике. Лице за заштиту података о личности одлучује које ће радње обраде података бити оцењене заједно.
Корак 2 : Одговорити на примарни упитник
Лице за заштиту података о личности мора одговорити на сва примарна питања за сваку радњу обраде података уз помоћ одговорних лица за сваку радњу обраде података.
Ова примарна питања су потребна да би се утврдило да ли ће вероватноћа обраде резултирати високим ризиком за права и слободе физичких лица.
Корак 3 : Одредити да ли је потребна потпуна процена утицаја обраде на заштиту података
Лице за заштиту података о личности ће утврдити да ли радња обраде података мора да прође кроз процену утицаја из тзв. „Прага упитника“који се налази у „Регистру (DPIA)“. Ако се на било које питање из „Прага упитника“ одговори са "Да", потребно је урадити „Упитник за процену утицаја обраде на заштиту података“ за ту одређену радњу обраде података о личности који се налази у „Регистру (DPIA)“.
Чак и ако су одговори на сва питања у „Прагу упитника“ са „Не“, Лице за заштиту података о личности може одлучити да спроведе „Упитник за процену утицаја обраде на заштиту података“, ако Предузеће треба да добије јаснији увид у ризике који су повезани.
Корак 4 : Одговорити на Упитник за процену утицаја обраде на заштиту података
За сваку активност обраде података у којој је потребна процена утицаја, Лице за заштиту података о личности испуњава „Упитник за процену утицаја обраде на заштиту података“ у „Регистру (DPIA)“. Сви обавезни елементи морају бити попуњени. Сврха ових питања је да се добије систематичан опис радњи обраде.
Корак 5 : Идентификовати и навести кључне ризике по безбедност
Једном када Лице за заштиту података о личности испуни „Упитник за процену утицаја обраде за заштиту података“, мора да искористи налазе како би навео „Идентификоване кључне ризике (информационе безбедности)“ повезане са предметном радњом обраде.
Лице за заштиту података о личности мора посебно да узме у обзир ризике од случајног или незаконитог уништења, губитка, измена, неовлашћеног откривања или приступа подацима о личности.
Корак 6 : Одредити како смањити ризике
Једном када су кључни ризици идентификовани и наведени, Лице за заштиту података о личности треба да формулише „Мере за смањење ризика“ и убаци их у „Упитник за процену утицаја обраде за заштиту података“ у „Регистру (DPIA)“ заједно са „Роковима и одговорностима за имплементацију мера“.
Корак 7 : Забележити имплементацију
Једном када је заштита имплементирана, Лице за заштиту података о личности мора да је евидентира у „Упитник за процену утицаја обраде на заштиту података“ у „Регистру (DPIA)“ у колони „Запис о примењеним мерама“.
Корак 8 : Консултације са Повереником
Ако резултати процене утицаја показују да би радња обраде података резултирала високим ризиком, чак и ако се спроводе мере информационе безбедности, тада Лице за заштиту података о личности мора консултовати Повереника за заштиту података о личности пре него што се изврши обрада података.
После извршене процене утицаја на заштиту података о личности, руковалац, односно обрађивач је обавезан да, у случајевима утврђеним законом којим се уређује заштита података о личности, пре него што започне са обрадом података о личности, Поверенику за информације од јавног значаја и заштиту података о личности поднесе захтев за давање мишљења.
У овом случају, Лице за заштиту података о личности мора да обезбеди уз захтев за мишљење следеће информације Поверенику о:
-
дужностима руковаоца, и, ако постоје, заједничких руковаоца и обрађивача који учествују у обради, посебно ако се ради о обради која се врши унутар групе привредних субјеката
-
сврхама и начинима намераване обраде
-
техничким, организационим и кадровским мерама, као и механизмима заштите права и слобода лица на које се подаци односе у складу са овим законом
-
контакт подацима лица за заштиту података
-
процени утицаја на заштиту података о личности из члана 54. овог закона
-
свим другим информацијама које затражи Повереник.
Члан 23.
Према потреби, а најмање у случају кад је дошло до промене нивоа ризика у вези са радњама обраде, Предузеће као руковалац је дужно да преиспита да ли се радње обрадe врше у складу са извршеном проценом утицаја на заштиту података о личности.
Лице за заштиту података о личности мора преиспитивати процену утицаја у следећим случајевима:
-
ако се ризици повезани са радњама обраде података мењају, или
-
ако је дошло до значајних промена у радњама обраде података, или
-
ако је дошло до промене правних основа за обраду (законитост обраде), или
-
ако Предузеће започне да делује као обрађивач, а руковалац тражи преиспитивање процене утицаја.
13.ОДГОВОРИ НА ПОВРЕДУ ПОДАТАКА И ОБАВЕШТАВАЊЕ
Члан 24.
Тим за одговор на повреду података се именује без обзира да ли је дошло до повреде или не, и мора бити интердисциплинарни тим који се састоји од следећих добро упућених и квалификованих појединаца:
-
Вођа Тима је ДПО (Лице за заштиту података о личности)
-
Члан Тима и заменик вође тима је Самостали стручни сарадник за анализу квалитета
Остали чланови Тима су:
-
Руководилац Службе за пројектовање и програмирање
-
Руководилац Службе за обраду података и рекламације
-
Руководилац Службе за финансијско-рачуноводствене послове
-
Руководилац Службе за опште регистре
-
Руководилац Службе за ИКТ подршку
-
Руководилац Службе за инвестиције, комерцијалне послове и маркетинг
-
Руководилац Службе за правне, кадровске и опште послове
-
Руководилац Огранака за телекомуникацине технологије
-
Организатор послова система квалитета
-
Организатор послова маркетинга
-
ХР менаџер
-
Самостални сарадник за послове заштите на раду и техничку безбедност објекта
Рад Тима се може одвијати на састанцима или виртуелно на једној или више локација помођу видео алата за колаборацију.
Тим мора осигурати да постоји неопходна спремност за одговор на повреду података о личности, заједно са потребним ресурсима и припремом (попут листе телефонских бројева, листе са заменама за кључне запослене, а потребан је и приступ политикама, процедурама и записима стандарда ISO 9001 и ISO/IEC 27001).
Мисија тима је да пружи непосредан, ефикасан и вешт одговор на све сумње, наводне или стварне повреде података о личности који утичу на Предузеће.
Ако је потребно, чланови тима могу укључити спољне странке (нпр. за обављање задатака дигиталне форензике или за помоћ Предузећу у кризним ситуацијама).
Вођа Тима за одговор на повреду података може да одлучи да укључи додатне запослене у тим, ради решавања одређених повреда података о личности.
Тим за одговор на повреду података може истовремено да решава више од једне сумњиве, наводне или стварне повреде података о личности.
Тим за одговор на повреду података мора бити спреман да реагује на сумњу, наводну или стварну повреду података о личности у периоду од 2 радна дана од тренутка пријаве.
Једном када се вођи Тима за одговор на повреду података пријави повреда података о личности, тим мора да спроведе следеће:
-
Потврди/одлучи о одговору на повреду података о личности
-
Осигура да се покрене, спроведе, документује и закључи исправна и непристрасна истрага (укључујући дигиталну форензику, ако је потребно)
-
Идентификује захтеве за санацијом и пронађе решење
-
Извести о налазима највише руководство
-
По потреби координира са одговарајућим властима
-
Координира унутрашњу и спољну комуникацију
-
Осигура да се оштећена лица на која се подаци односе, ако је потребно, правилно обавесте.
Тим за одговор на повреду података сазиваће се за сваку пријављену (и наводну) повреду података о личности, а водиће га вођа Тима за одговор на повреду података.
Члан 25.
Поступак одговора на повреду података покреће се када неко примети да се дешава сумњива, наводна или стварна повреда података о личности, и било који члан Тима за одговор на повреду података буде обавештен о томе. Тим је одговоран да утврди да ли повреду треба сматрати повредом која утиче на податке о личности.
Вођа тима за повреду података одговоран је за документовање свих одлука тима. Будући да би ове документе могли да прегледају Повереник за заштиту података о личности и други државни органи или представници органа власти или оснивача, они морају да буду написани врло прецизно и темељно како би се осигурала следљивост и одговорност.
Обавештавање руковаоца о повреди података од стране обрађивача података .
Обрађивач је дужан да, после сазнања за повреду података о личности, одмах, без непотребног одлагања обавести руковаоца о тој повреди.
Када повреда података о личности или сумња на повреду података погоде податке о личности који се обрађују у име треће стране, Лице за заштиту података о личности организације која делује као обрађивач података мора без одлагања пријавити сваку повреду података о личности руковаоцу података.
Одговорно лице за заштиту података о личности обрађивача ће послати обавештење руковаоцу које ће садржати следеће:
-
Опис природе повреде
-
Категорије података о личности које су погођене
-
Приближан број лица на које се подаци односе, а који су погођени
-
Име и подаци за контакт Вође тима за одговор на повреду података/Лица за заштиту података о личности
-
Последице повреде података о личности
-
Предузете мере за одговор на повреду података о личности
-
Све информације које се односе на повреде података
Обавештавање Повереника о повреди података о личности .
Руковалац је дужан да о повреди података о личности која може да произведе ризик по права и слободе физичких лица обавести Повереника без непотребног одлагања, или ако је то могуће, у року од 72 часа од сазнања за повреду.
Када се догодила повреда података о личности или сумња на повреду података о личности које Предузеће обрађује као руковалац података, следеће радње предузима Тим за одговор на повреду података:
-
Мора да утврди да ли повреда података о личности треба да се пријави Поверенику
-
Да би се утврдио ризик за права и слободе погођеног лица на које се подаци односе, Лице за заштиту података о личности мора извршити Процену утицаја активности обраде захваћене повредом на заштиту података о личности користећи „Регистар (DPIA) за процену утицаја предвиђених радњи обраде на заштиту података о личности“
-
Ако повреда података о личности вероватно неће довести до ризика за права и слободе погођених лица на које се подаци односе, обавештење није потребно. Без обзира да ли је дошло до повреде или не, руковалац је дужан да документује сваку повреду података о личности, укључујући и чињенице о повреди, њеним последицама и предузетим мерама за њихово отклањање, које треба да Лице за заштиту података о личности евидентира у „Регистар повреде података“.
-
Повереник мора бити обавештен без одлагања, али најкасније у року од 72 сата , ако повреда података о личности може довести до ризика за права и слободе погођених лица на које се подаци односе. Ако руковалац не поступи у року од 72 сата од сазнања за повреду, дужан је да образложи разлоге због којих није поступио у том року.
Лице за заштиту података о личности послаће попуњени „Образац обавештења Повереника
о повреди података о личности“ (Обавештење број 3) за повреде података које могу да произведу ризик по права и слободе физичких лица, а које ће обавештење садржати најмање следеће:
-
опис природе повреде података о личности, укључујући врсте података и приближан број лица на која се подаци те врсте односе, као и приближан број података о личности чија је безбедност повређена
-
име и контакт податке лица за заштиту података о личности или информације о другом начину на који се могу добити подаци о повреди
-
опис могућих последица повреде
-
опис мера које је руковалац предузео или чије је предузимање предложено у вези са повредом, укључујући и мере које су предузете у циљу умањења штетних последица.
Ако се све информације не могу доставити истовремено, руковалац без непотребног одлагања поступно доставља доступне информације.
Обавештавање лица о повреди података о личности.
Ако повреда података о личности може да произведе висок ризик по права и слободе физичких лица, руковалац је дужан да без непотребног одлагања о повреди обавести лицa на које се подаци односе.
У попуњеном „Обрасцу обавештења Лица на које се подаци односе о повреди података о личности“ (Обавештење број 4) ће Лице за заштиту података о личности Предузећа да на јасан и разумљив начин опише природу повреде података и наведе најмање информације из претходне тачке.
Руковалац није дужан да обавести погођено лице на које се подаци односе:
-
Ако је предузео одговарајуће техничке, организационе и кадровске мере заштите у односу на податке о личности чија је безбедност повређена, а посебно ако је криптозаштитом или другим мерама онемогућио разумљивост података свим лицима која нису овлашћена за приступ овим подацима.
-
Ако је накнадно предузео мере којима је обезбедио да повреда података о личности са високим ризиком за права и слободе лица на које се подаци односе више не може да произведе последице за то лице
-
Ако би обавештавање лица на које се подаци односе представљало несразмеран утрошак времена и средстава. У том случају, руковалац је дужан да путем јавног обавештавања или на други делотворан начин обезбеди пружање обавештења лицу на које се подаци односе.
Ако руковалац није обавестио лице на које се подаци односе о повреди података о личности, Повереник може, узимајући у обзир могућност да повреда података произведе висок ризик, да наложи руковаоцу да то учини или може да утврди да су предузете одговарајуће техничке, организационе и кадровске мере заштите.
14.ЛИЦЕ ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Члан 26.
Да би се постигло поштовање одредби ЗЗПЛ и осигурало континуирано поштовање свих основних активности обраде података у Предузећу одлучено је да се успостави функција Лице за заштиту података о личности (еквивалентно са GDPR где је то DPO – Data Protection Officer).
Лице за заштиту података о личности одговорно је за осигурање укупне усаглашености са ЗЗПЛ за све активности обраде података о личности у Предузећу.
Лице за заштиту података о личности је независна функција у Предузећу те као такво директно подноси извештај директору.
Да би се осигурала независност лица за заштиту података о личности, он/она неће бити отпуштени или кажњени на било који начин приликом извршавања ставки наведених у следећем одељку.
У циљу спречавања било ког случаја сукоба интереса, Лице за заштиту података о личности неће заузети било који положај у друштву који му даје прилику да утврђује сврху и начине обраде података о личности.
Одговорности Лица за заштиту података о личности укључују најмање следеће:
-
информише и даје мишљење руковаоцу или обрађивачу, као и запосленима који врше радње обраде о њиховим законским обавезама у вези са заштитом података о личности;
-
прати примену одредби овог закона, других закона и интерних прописа руковаоца или обрађивача који се односе на заштиту података о личности, укључујући и питања поделе одговорности, подизања свести и обуке запослених који учествују у радњама обраде, као и контроле;
-
даје мишљење, када се то затражи, о процени утицаја обраде на заштиту података о личности и прати поступање по тој процени;
-
сарађује са Повереником, представља контакт тачку за сарадњу са Повереником и саветује се са њим у вези са питањима која се односе на обраду, укључујући и обавештавање и прибављање мишљења.
У извршавању својих обавеза Лице за заштиту података о личности дужно је да посебно води рачуна о ризику који се односи на радње обраде, узимајући у обзир природу, обим, околности и сврхе обраде.
Следеће одговорности могу се узети у обзир, ако се не сукобљавају са горе наведеним кључним активностима:
-
Преиспитати/развити процедуре информационе безбедности и друге контроле за заштиту података о личности.
-
Успоставити адекватне контроле за обезбеђивање и одржавање поверљивости, интегритета и доступности података о личности.
-
Допринети процесу планирања континуитета пословања и опоравка од катастрофе како би се осигурало да се води рачуна о обради података о личности.
Лице за заштиту података о личности је овлашћено да има приступ свим средствима Предузећа, која се односе на обраду и похрањивање (складиштење) података о личности у сврху процене коришћења и безбедности података о личности.
Лице за заштиту података о личности руковаоца је дужно да повреду података o личности упише у „Регистар повреде података“ (Прилог број 5).
Запослени и сва друга заинтересована лица која су у вези са Предузећем ће у потпуности сарађивати са Лицем за заштиту података о личности приликом извршавања горе наведених задатака.
Лице за заштиту података о личности.
Следећи канали комуникације постављени су за позицију Лица за заштиту података о личности и омогућавају приступачност:
-
поштанска адреса: ЈКП „Информатика“ Нови Сад, 21000 Нови Сад, Булевар цара Лазара 3 – за Лице за заштиту података о личности
-
наменски телефонски број +381 21 489-51-24
-
наменска адреса е-поште zastita.podataka@nsinfo.co.rs .
15.ОБАВЕЗЕ ПРЕДУЗЕЋА КАО ОБРАЂИВАЧА И ОДНОС ПРЕМА ОБРАЂИВАЧУ
Члан 27.
Предузеће као обрађивач гарантује руковаоцу примену одговарајућих техничких, кадровских и организационих мера на начин који обезбеђује да се обрада врши у складу са обавезама које проистичу из важећег ЗЗПЛ и Правилника или Опште политике заштите података о личности (Политике приватности) конкретног руковаоца.
Предузеће као обрађивач поверене активности радње обраде врши искључиво у складу са налогом руковаоца и Одлуком о обједињеној наплати комунално-стамбених и других услуга и свих других подзаконских аката која су објављена у "Службеном листу Града Новог Сада", а којима су му поверени одређени послови у вези са обрадом података и/или Уговором о повереној обради података о личности којим се уређује положај обрађивача, његови задаци у односу на обраду података и друга битна питања у вези са обрадом података о личности која се врши у име руковаоца, у складу са обавезама које проистичу из важећег ЗЗПЛ и Политике приватности конкретног руковаоца.
У случају да се повреда података о личности односи на податке о личности у односу на које је Предузеће обрађивач, о инциденту ће Предузеће хитно обавестити руковаоца и применити све доступне техничке, кадровске и организационе мере у циљу санирања последица повреде података о личности, у складу са међународним и српским стандардом ISO/IEC 27001 који је имплементиран у Предузећу и у односу на који је Предузеће међународно сертификовано.
Предузеће као обрађивач у смислу дефиниције овог Правилника води Евиденцију радњи обраде података поверених од стране руковалаца, а која евиденција најмање садржи све информације које захтева ЗЗПЛ.
На друга питања која нису уређена овим чланом сходно се примењују остале одредбе овог Правилника.
Члан 28.
Када се обрада врши у име Предузећа као руковаоца, Предузеће ће одредити као обрађивача само оно лице или орган јавне власти који у потпуности гарантује примену правила прописаних овим Правилником, на начин који обезбеђује да се обрада врши у складу са одредбама ЗЗПЛ и да се обезбеђује заштита права лица на које се подаци односе.
Предузеће као руковалац ће обезбедити да обрађивач, односно друго лице које је од стране руковаоца или обрађивача овлашћено за приступ подацима о личности, не може да обрађује те податке без налога Предузећа као руковаоца, осим ако је таква обрада прописана законом.
Члан 29.
Уговором закљученим са руковаоцем прописује се да је обрађивач дужан да:
-
обрађује податке о личности само на основу писмених упутстава руковаоца;
-
обезбеди да се физичко лице које је овлашћено да обрађује податке о личности обавезало на чување поверљивости података или да то лице подлеже законској обавези чувања поверљивости података;
-
предузме све потребне мере у складу са ЗЗПЛ;
-
поштује услове за поверавање обраде другом обрађивачу;
-
узимајући у обзир природу обраде помаже руковаоцу применом одговарајућих техничких, кадровских и организационих мера, колико је то могуће, у испуњавању обавеза руковаоца у односу на захтеве за остваривање права лица на које се подаци односе;
-
помаже руковаоцу у испуњавању обавеза прописаних у ЗЗПЛ, узимајући у обзир природу обраде и информације које су му доступне;
-
после окончања уговорених радњи обраде, а на основу налога руковаоца, избрише или врати руковаоцу све податке о личности и избрише све копије ових података, осим ако је законом прописана обавеза чувања тих података;
-
учини доступним руковаоцу све информације које су неопходне за предочавање испуњености обавеза обрађивача, као и информације које омогућавају и доприносе котроли рада обрађивача коју спроводи руковалац или друго лице које он за то овласти. Предузеће као обрађивач упозориће руковаоца, ако сматра да писмено упутство које је од њега добио није у складу са ЗЗПЛ или другим законом којим се уређује заштита података о личности.
Правни однос између руковаоца и обрађивача може бити заснован у целини или делимично на стандардним уговорним клаузулама у складу са „Одлуком о утврђивању стандардних уговорних клаузула“ коју је објавио на свом порталу Повереник за информације од јавног значаја и заштиту података о личности ( https://www.poverenik.rs/sr/ ).
16.ТЕХНИЧКЕ, ОРГАНИЗАЦИОНЕ И КАДРОВСKЕ МЕРЕ ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ
Члан 30.
У складу са нивоом технолошких достигнућа и трошковима њихове примене, природом, обимом, околностима и сврхом обраде, као и вероватноћом наступања ризика и нивоом ризика за права и слободе физичких лица, Предузеће као руковалац и као обрађивач спроводе одговарајуће техничке, организационе и кадровске мере како би достигли одговарајући ниво безбедности у односу на ризик.
Једну од значајнијих кадровских мера Предузеће као руковалац и као обрађивач испуњава именовањем Лица за заштиту података о личности. За остале запослене ове мере се испуњавају описом послова у уговору о раду или давањем овлашћења за приступ и обраду података о личности строго одређеним лицима од стране Предузећа.
Према потреби, ове мере нарочито обухватају:
-
псеудонимизацију и криптозаштиту података о личности;
-
способност обезбеђивања трајне поверљивости, интегритета, расположивости и отпорности система и услуга обраде;
-
обезбеђивање успостављања поновне расположивости и приступа подацима о личности у случају физичких или техничких инцидената у најкраћем року;
-
поступак редовног тестирања, оцењивања и процењивања делотворности техничких, организационих и кадровских мера безбедности обраде.
Приликом процењивања одговарајућег нивоа безбедности посебно се узимају у обзир ризици обраде, а нарочито ризици од случајног или незаконитог уништења, губитка, измене, неовлашћеног откривања или приступа подацима о личности који су пренесени, похрањени или обрађивани на други начин.
У циљу доказивања поштовања одредби ЗЗПЛ и овог Правилника од стране Предузећа као руковаоца и као обрађивача, Предузећу је издат ISO/IEC 27001 сертификат о усаглашености техничких, организационих и кадровских мера при заштити информација и информационе имовине Предузећа и у оквиру њих безбедности обраде података о личности, са одговарајућим жиговима и ознакама за заштиту података од стране међународног сертификационог тела ISOQAR/UKAS које је одговорно за правилну процену испуњености критеријума за издавање, обнављање и укидање сертификата. Према ЗЗПЛ, сертификат који је издало сертификовано тело друге државе или међународне организације важи у Републици Србији, ако је издат у складу са потврђеним међународним споразумом чији је потписник Република Србија.
Руковалац и обрађивач дужни су да предузму мере у циљу обезбеђивања да свако физичко лице које је овлашћено за приступ подацима о личности од стране руковаоца или обрађивача, обрађује ове податке само по налогу руковаоца или ако је на то обавезано законом.
Предузеће је дужно да све запослене упозна са обавезом заштите података о личности као и њиховом одговорношћу у смислу важећих прописа и овог Правилника.
Запослени који обрађују податке о личности дужни су да спроводе прописане мере и поступке за заштиту података о личности са којима се упознају у обављању својих послова. Непоштовање одредаба овог Правилника повлачи повреду радних обавеза.
Обавеза заштите података о личности не престаје престанком радног односа.
17.НАЧИНИ ПРЕКОГРАНИЧНОГ ПРЕНОСА ПОДАТАКА О ЛИЧНОСТИ
Члан 31.
Сваки пренос података о личности чија је обрада у току или су намењени даљој обради после њиховог преношења у другу државу или међународну организацију, може се извршити само ако руковалац и обрађивач поступају у складу са прописаним условима, што обухвата и даљи пренос података о личности из друге државе или међународне организације у трећу државу или међународну организацију, а у циљу обезбеђивања примереног нивоа заштите физичких лица који је једнак нивоу који гарантује ЗЗПЛ.
Пренос на основу примереног нивоа заштите.
Пренос података о личности у другу државу, на део њене територије, или у један или више сектора одређених делатности у тој држави или у међународну организацију, без претходног одобрења, може се извршити ако је утврђено да та друга држава, део њене територије или један или више сектора одређених делатности у тој држави или та међународна организација обезбеђује примерени ниво заштите података о личности.
Сматра се да је примерени ниво заштите обезбеђен у државама и међународним организацијама које су чланице Конвенције Савета Европе о заштити лица у односу на аутоматску обраду личних података, односно у државама, на деловима њихових територија или у једном или више сектора одређених делатности у тим државама или међународним организацијама за које је од стране Европске уније утврђено да обезбеђују примерени ниво заштите.
„Одлука о листи држава, делова њихових територија или једног или више сектора одређених делатности у тим државама и међународних организација у којима се сматра да је обезбеђен примерени ниво заштите података о личности, односно за које је Влада утврдила да не обезбеђује примерени ниво заштите, објавио је на свом порталу Повереник за информације од јавног значаја и заштиту података о личности (https://www.poverenik.rs/sr/)..
Пренос уз примену одговарајућих мера заштите.
Руковалац или обрађивач могу да пренесу податке о личности у другу државу, на део њене територије или у један или више сектора одређених делатности у тој држави или у међународну организацију који нису на „Листи држава“ (што значи да није утврђено постојање примереног нивоа заштите), само ако је руковалац, односно обрађивач обезбедио одговарајуће мере заштите ових података и ако је лицу на које се подаци односе обезбеђена остваривост његових права и делотворна правна заштита.
Одговарајуће мере заштите могу се без посебног одобрења Повереника обезбедити:
-
правно обавезујућим актом сачињеним између органа власти
-
„Одлуком о утврђивању стандардних уговорних клаузула“ коју је објавио на свом порталу Повереник за информације од јавног значаја и заштиту података о личности (https://www.poverenik.rs/sr/), којима се у целини уређује правни однос између руковаоца и обрађивача
-
обавезујућим пословним правилима
-
одобреним кодексом поступања, заједно са обавезујућом и спроводивом применом одговарајућих мера заштите, укључујући и заштиту права лица на које се подаци односе, од стране руковаоца или обрађивача у другој држави или међународној организацији
-
издатим сертификатима, заједно са преузетим обавезама примене одговарајућих мера заштите, укључујући и заштиту права лица на које се подаци односе, од стране руковаоца или обрађивача у другој држави или међународној организацији.
Одговарајуће мере заштите могу се обезбедити и на основу посебног одобрења Повереника:
-
-
уговорним одредбама између руковаоца или обрађивача и руковаоца, обрађивача или примаоца у другој држави или међународној организацији;
-
одредбама које се уносе у споразум између органа власти, а којима се обезбеђује делотворна и спроводива заштита права лица на које се подаци односе.
-
Повереник даје одобрење у року од 60 дана од дана подношења захтева за одобрење.
Пренос или откривање података о личности на основу одлуке органа друге државе.
Одлуке суда или управног органа друге државе, којима се од руковаоца или обрађивача захтева пренос или откривање података о личности, могу бити признате или извршене у Републици Србији само ако се заснивају на међународном споразуму, као што је споразум о међународној правној помоћи закључен између Републике Србије и те друге државе.
Пренос података у посебним ситуацијама.
Ако се пренос податка о личности не врши на неки од претходно описаних начина, ови подаци могу се пренети у другу државу или међународну организацију само ако се ради о једном од следећих случајева:
-
-
лице на које се подаци односе је изричито пристало на предложени пренос, пошто је, због непостојања одлуке о примереном нивоу заштите и одговарајућих мера заштите, информисано о могућим ризицима везаним за тај пренос
-
пренос је неопходан за извршење уговора између лица на које се подаци односе и руковаоца или за примену предуговорних мера предузетих на захтев лица на које се подаци односе
-
пренос је неопходан за закључење или извршење уговора закљученог у интересу лица на које се подаци односе између руковаоца и другог физичког или правног лица
-
пренос је неопходан за остваривање важног јавног интереса прописаног законом Републике Србије, под условом да пренос појединих врста података о личности овим законом није ограничен
-
пренос је неопходан за подношење, остваривање или одбрану правног захтева
-
пренос је неопходан за заштиту животно важних интереса лица на које се подаци односе или другог физичког лица, ако лице на које се подаци односе физички или правно није у могућности да даје пристанак
-
врши се пренос појединих података о личности садржаних у јавном регистру, који су доступни јавности или било ком лицу које може да докаже да има оправдани интерес, али само у мери у којој су испуњени законом прописани услови за увид у том посебном случају.
-
Члан 32.
Ако се пренос не може извршити у складу са претходном ситуацијом или на неки од претходно описаних начина, подаци о личности се могу пренети у другу државу или међународну организацију само ако су заједно испуњени следећи услови:
-
пренос података се не понавља
-
преносе се подаци ограниченог броја физичких лица
-
пренос је неопходан у циљу остваривања легитимног интереса руковаоца који претеже над интересима, односно правима или слободама лица на које се подаци односе
-
руковалац је обезбедио примену одговарајућих мера заштите података о личности на основу претходне процене свих околности у вези са преносом ових података.
Руковалац је дужан да обавести Повереника о преносу података извршеном на овај начин, а такође су дужни да у Евиденцији о радњама обраде обезбеде доказ о извршеној процени и примени одговарајућих мера заштите. Исто тако, Предузеће као руковалац је дужно да лицу на које се подаци односе пружи и информацију о преносу података на овај начин, укључујући и информацију о томе који се легитимни интерес руковаоца остварује таквим преносом.
18.ПРАВНА СРЕДСТВА ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ У СЛУЧАЈУ ПОВРЕДЕ ПРАВА
Члан 33.
Лице чији се подаци о личности обрађују има право да поднесе приговор Лицу за заштиту података о личности код Предузећа као руковаоца, уколико сматра да су његова права утврђена у ЗЗПЛ и овим Правилником повређена.
Лице чији се подаци о личности обрађују има право да поднесе притужбу Поверенику за приступ информацијама од јавног значаја и заштиту података о личности (https://www.poverenik.rs/sr/), уколико сматра да су повређена његова права прописана у ЗЗПЛ и овим Правилником.
Лице чији се подаци о личности обрађују од стране руковаоца има право на управну и судску заштиту подношењем тужбе, ако сматра да су повређена његова права прописана у ЗЗПЛ и овим Правилником.
19.ПРЕЛАЗНЕ И ЗАВРШНЕ ОДРЕДБЕ
Члан 34.
За сва питања која нису регулисана овим Правилником примењује се ЗЗПЛ, као и остали правно релевантни прописи који садрже одредбе о заштити података о личности. Све што није појединачно дефинисано овим Правилником, у погледу делатности коју обавља Предузеће, сходно ће се примењивати одредбе Одлуке о организовању ЈКП „Информатика“ Нови Сад, а све ради прецизне примене овог Правилника и заштите личних података у складу са важећом законском регулативом из ове области.
Саставни део овог Правилника чине следећи прилози, обрасци и обавештења:
Прилог број 1: „Упитник за процену спремности ЈКП Информатика у односу на Закон о заштити података о личности (ЗЗПЛ)“
Прилог број 2: „Процедура за остваривање права на приступ лица на које се подаци односе“
Прилог број 3: „Евиденција радњи обраде“
Прилог број 4: „Регистар (DPIA) за процену утицаја предвиђених радњи обраде на заштиту података о личности“
Прилог број 5: „Регистар повреде података“
Образац број 1: „Образац за давање пристанка“
Образац број 2: „Образац за повлачење пристанка“
Образац број 3: „Образац за давање пристанка-родитеља/законског заступника“
Образац број 4: „Образац за повлачење пристанка- родитеља/законског заступника“
Образац број 5: „Образац захтева за приступ подацима о личности“
Образац број 6: „Образац за откривање података о личности“.
Обавештење број 1: „Опште обавештења о обради података о личности“
Обавештење број 2: „Посебно обавештење о обради података о личности запослених у Предузећу“
Обавештење број 3: „Образац обавештења Повереника о повреди података о личности“
Обавештење број 4: „Образац обавештења Лица на које се подаци односе о повреди података о личности“
Овај Правилник са свим прилозима, обрасцима и обавештењима биће објављен на огласној табли Предузећа и на Интранет порталу Предузећа. Предузеће је дужно да све евиденције које прате овај Правилник учине доступним Поверенику на његов захтев.
Члан 35.
Овај Правилник ступа на снагу даном његовог доношења.