Turistička agencija ZNAK Travel
Pravilnikom o zaštiti podataka o ličnosti ,,Olimpic Cabi doo Znak travel (u daljem tekstu: Agencija) uređuju se organizacioni, tehnički i logičko-tehnički postupci i mere za zaštitu podataka o ličnosti u Agenciji , sa namerom sprečavanja slučajnog/nenamernog ili namernog neovlašćenog uništenja podataka, njihove izmene ili gubitka, kao i neovlašćenog pristupa, obrade, korišćenja ili dostavljanja podataka o ličnosti. Na pitanja, koja ovaj Pravilnik ne reguliše, neposredno se primenjuju odredbe trenutno važećih propisa koji regulišu zaštitu ličnih podataka i to:
Zakona o zaštiti podataka o ličnosti („Sl.glasnik RS” 87/2018- u daljem tekstu: Zakon) i
Opšte uredbe – UREDBA (EU) 2016/679 Evropskog parlamenta I saveta od 27. aprila 2016. godine o zaštiti pojedinaca prilikom obrade ličnih podataka i o slobodnom protoku takvih podataka.
ZZPL/Zakon – Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS” br.987/2018 ),
UREDBA – Opšta uredba – UREDBA (EU) 2016/679 Evropskog parlamenta I saveta od 27. aprila 2016. godine
Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podatak o lokaciji identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta
(u daljem tekstu: podatak)
Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju
Zbirka podataka je svaki strukturirani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana ili razvrstana po funkcionalnim ili geografskim osnovama
Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima kao što su: prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada)
Ograničavanje obrade je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti
Profilisanje je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja Pseudonimizacija je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne
može pripisati određenom ili odredivom licu
Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade
Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca
Primalac je fizičko ili pravno lice odnosno organ vlasti kome su podaci o ličnosti otkriveni bez obzira da li se radi o trećoj strani ili ne
Treća strana je fizičko ili pravno lice odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača
Ovlašćeno lice za obradu podataka o ličnosti je lice koje je u Agenciji zaduženo za obradu podataka o ličnosti odnosno obrada podataka o ličnosti proizilazi iz prirode posla tog lica odnosno iz prirode posla organizacionog dela Agencije u kome se obrada vrši, uključujući i rukovodioce tog organizacionog dela kao i lica zadužena za rad IS Agencije
Pristanak lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose
Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni ili pohranjeni ili na drugi način obrađivani
Posebne vrste podataka o ličnosti su one vrste podataka o ličnosti koje otkrivaju rasno ili etničko poreklo , političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, genetske podatke, biometrijske podatke za svrhe jedinstvene identifikacije pojedinaca, podaci u vezi sa zdravljem ili podaci u vezi sa seksualnim životom pojedinca ili seksualnom orjentacijom
Genetski podatak je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom uzorka biološkog porekla
Biometrijski podatak je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci
Podaci o zdravlju su podaci o fizičkom ili mentalnom zdravlju fizičkog lica uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju Nosač podataka su sve vrste sredstava na kojima su zapisani ili snimljeni podaci (isprave, akta, materijali, spisi, računarska oprema uključujući magnetne, optičke ili druge računarske medije, fotokopije, zvučni, grafički ili video materijal, mikrofilmovi, uređaji za prenos podataka i sl.
Treća država je država koja nije država članica EU ili deo evropskog privrednog prostora Multinacionalna kompanija je privredni subjekat koji je kontrolni osnivač ili kontrolni član privrednog subjekta, odnosno osnivač ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi njegovo sedište, kao i privredni subjekt sa značajnim učešćem u privrednom subjektu, odnosno u osnivaču ogranka privrednog subjekta, koji obavlja privrednu delatnost u državi u kojoj se ne nalazi sedište multinacionalne kompanije
Grupa privrednih društava je grupa povezanih privrednih subjekata u smislu Zakona o privrednim društvima
Predstavnik je fizičko ili pravno lice sa prebivalištem odnosno sedištem na teritoriji Republike Srbije koje je u skladu sa članom 44. ZZPL ovlašćeno da predstavlja Rukovaoca, odnosno obrađivača u vezi sa njihovim obavezama predviđenim ZZPL
Obavezujuća poslovna pravila su interna pravila o zaštiti podataka o ličnosti koja su usvojena i koja se primenjuju od strane rukovaoca odnosno obrađivača sa prebivalištem odnosno boravištem odnosno sedištem na teritoriji Republike Srbije u svrhu regulisanja prenošenja podataka o ličnosti rukovaocu ili obrađivaču u jednoj ili više država unutar multinacionalne kompanije ili grupe privrednih subjekata
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (dalje: Poverenik) je nezavistan i samostalni organ ustanovljen na osnovu Zakona koji je nadležan za nadzor nad sprovođenjem Zakona i dr. poslova propisanih Zakonom
Usluga informacionog društva je svaka usluga koja se uobičajeno pruža uz naknadu na daljinu elektronskim sredstvima na zahtev primaoca usluga
Saglasnost pojedinca je svaka dobrovoljna, izričita, informisana i nedvosmislena izjava volje pojedinca, na kog se odnose podaci o ličnosti, s kojom izrazi saglasnost za obradu podataka o ličnosti koji se odnose na njega; pisani pristanak pojedinca je potpisana izjava pojedinca koja ima oblik isprave; potpis je i na osnovu zakona s potpisom izjednačen oblik, dat telekomunikacionim sredstvom, i na osnovu zakona s potpisom izjednačen oblik, koji da pojedinac koji ne ume ili ne može da piše. Saglasnost pojedinca za obradu podataka o ličnosti je potrebna samo u slučaju kad ne postoji drugi zakonski osnov za obradu podataka o ličnosti
Nadležni organi su:
–organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti,
-pravno lice ovlašćeno Zakonom.
Osnovna načela obrade podataka o ličnosti u Agenciji su načelo zakonitosti, poštenja i transparentnosti.
3.1 Načelo zakonitosti:
Agencija obradu podataka o ličnosti vrši u skladu sa ZZPL, drugim zakonom kojim se uređuje obrada I ovim Pravilnikom.
Obrada podataka o ličnosti u Agenciji se vrši:
3.2 Načelo „ograničenja u odnosu na svrhu obrade”
Agencija prikuplja podatke o ličnosti u svrhe koje su konkretno određene, izričite, opravdane i zakonite i nadalje vrši njihovu obradu na način koji je u skladu sa tim svrhama.
Izuzetno, moguća je obrada u druge svrhe – različite od svrhe za koju su podaci o ličnosti prikupljeni, ako je zasnovana na zakonu ili pristanku lica na koje se podaci o ličnosti odnose, odnosno ukoliko Agencija oceni – primenom odredaba člana 6. i dr. ZZPL (ako postoji veza između svrhe za koju su podaci o ličnosti prikupljeni I druge svrhe, imajući u vidu odnos Agencija i lica na koje se podaci o ličnosti odnose, prirodu podataka, moguće posledice dalje obrade za lice na koje se podaci odnose, primenu odgovarajućih mera zaštite kao kriptozaštita i pseudonimizacija) da je ta druga svrha obrade u skladu sa svrhom obrade za koju su podaci o ličnosti prikupljeni.
3.3. Načelo: „minimizacije podataka” ” – prikupljeni podaci moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade.
Zabranjena je obrada kojom se otkriva rasno i etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao I obrada genetskih podataka, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orjentaciji fizičkog lica.
Izuzetno, obrada ovih podataka je dopuštena u sledećim slučajevima:
– na osnovu pristanka za obradu za jednu ili više zakonom propisano da se obrada ovih podataka svrha obrade lica na koje se podaci odnose osim ako je ne vrši na osnovu pristanka,
– obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja Agencije ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera zaštite osnovnih prava, sloboda I interesa lica na koje se podaci odnose,
– ako je obrada neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak,
– ako se obrađuju podaci koje je lice na koje se odnose očigledno učinilo javno dostupnim, Pravilnik o zaštiti podataka o ličnosti 1.0 Primena od 21.08.2019. godine
– ako je obrada neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kada sud postupa u okviru svoje nadležnosti, – obrada je neophodna u cilju ostvarivanja značajnog javnog interesa (obrada ograničena I uz primenu mera zaštite),
– obrada je neophodna u svrhu preventivne medicine I medicine rada , radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene I socijalne zaštite, na osnovu zakona i na osnovu ugovora sa zdravstvenim radnikom ako se obrada vrši pod nadzorom zdravstvenog radnika koji ima obavezu čuvanja profesionalne tajne,
– ako je obrada neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja (ograničena obrada uz primenu mera zaštite),
– ako je obrada neophodna u svrhe arhiviranja u javnom interesu, naučnog ili istorijskog istraživanja ili u statističke svrhe, srazmerna I uz primenu mera zaštite.
3.4. Načelo tačnosti – prikupljeni podaci moraju biti tačni-ažurirani- Agencija mora preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti izbrišu ili isprave,
3.5.Načeloi ograničenja čuvanja – podaci se čuvaju u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade,
3.6.Načelo integriteta i poverljivosti – podaci se obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene I nezakonite obrade, kao i od
slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.
Agencija je dužna da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružila sledeće informacije:
4.1. Ako se podaci prikupljaju od lica na koje se odnose, Agencija je dužna da u trenutku prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:
– o identitetu i kontakt podacima Agencije i njenog predstavnika (rukovodilac organizacionog dela u kome se prikupljaju podaci o ličnosti),
– kontakt podatke lica za zaštitu podataka o ličnosti,
– o svrsi nameravane obrade i pravnom osnovu za obradu,
– o postojanju legitimnog interesa Agencije ili trećeg lica za obradu (ako se prikupljanje podataka vrši po tom osnovu),
– o primaocu, odnosno grupi primalaca podataka o ličnosti (ako postoje),
– o činjenici da Agencija namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju kao I o tome da li se ta država (međunarodna organizacija) nalazi na listi država
odnosno međunarodnih organizacija koje po oceni nadležnih tela obezbeđuju primereni nivo zaštite podataka
Radi obezbeđenja poštene i transparentne obrade, Agencija, tom prilikom, pruža licu od koga prikuplja podatke I sledeće dodatne informacije:
– o roku čuvanja podataka o ličnosti odnosno o kriterijumima za određivanje tog roka,
– o postojanju prava da se od Agencije zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno o postojanju prava na ograničenje obrade, prava na prigovor kao I prava na
prenosivost podataka, – o postojanju prava na opoziv saglasnosti u bilo koje vreme,
– o pravu da se podnese pritužba Povereniku za informacije od javnog značaja,
– o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima
obavezu da da podatke o svojoj ličnosti iI o mogućim posledicama ako se podaci ne daju,
– o postojanju automatizovanog donošenja odluke, uključujući i profilisanje – o logici koja se u tim slučajevima koristi kao i o značaju i posledicama takve obrade po lice na koje se podaci odnose.
Ako Agencija namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, Agencija je dužna da pre početka takve nove obrade , licu na koje se podaci odnose, pruži informacije o toj drugoj svrsi kao I ostale bitne informacije.
Lice na koje se podaci odnose ima pravo:
– da zahteva od Agencije informaciju o tome da li obrađuje njegove podatke o ličnosti kao I pristup njegovim podacima o ličnosti koje obrađuje Agencija (Izuzetno, Agencija može ograničiti
potpuno ili delimično I samo onoliko vremena koliko je to neophodno, pravo na pristup podacima o ličnosti koje obrađuje ako to nalažu razlozi sprovođenja istraga I postupaka nadležnih organa, javna
I nacionalna bezbednost I zaštita prava i sloboda drugih lica (o čemu će pisano obavestiti lice koje je zahtevalo pristup svojim podacima o ličnosti),
– da zahteva informacije: o svrsi obrade, o vrstama podataka o ličnosti koji se obrađuju,o primaocu, odnosno grupi primalaca podataka o ličnosti (ako postoje), o roku čuvanja podataka o
ličnosti odnosno o kriterijumima za određivanje tog roka,
– pravo na ispravku, dopunu, brisanje , ograničenje i prenosivost.
Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez odlaganja isprave i po potrebi dopune.
Ako se podaci o ličnosti prenose u drugu državu ili međunarodnu organizaciju, ima pravo da od Agencije zahteva informacije o merama zaštite koje se odnose na prenos podataka.
Agencija je dužna da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje.
– pravo na brisanje podataka o ličnosti: Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca.
Agencija je dužna da bez nepotrebnog odlaganja podatke o ličnosti izbriše u sledećim slučajevima:
¯ kada podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni,
¯ kada je lice na koje se podaci odnose opozvalo pristanak na osnovu kojeg se obrada vršila, a nema drugog pravnog osnova za obradu,
Pravilnik o zaštiti podataka o ličnosti 1.0 Primena od 21.08.2019. godine
¯ lice na koje se podaci odnose je podnelo prigovor na obradu, a obrada se vrši radi ostvarenja javnog interesa ili legitimnog interesa Agencije ili trećeg lica ili za potrebe direktnog oglašavanja,
uključujući i profilisanje,
¯ kada su podaci o ličnosti nezakonito obrađivani,
¯ kada podaci o ličnosti moraju biti izbrisani radi izvršenja zakonskih obaveza Agencije,
¯ ako su podaci o ličnosti maloletnog lica starijeg od 15 godina prikupljeni u vezi sa korišćenjem usluga informacionog društva .
Ako je Agencija javno objavila napred označene podatke, dužnost brisanja podataka obuhvata I preduzimanje raznih mera, uključujući I tehničke mere u cilju obaveštavanja drugih rukovaoca koji te
podatke obrađuju da je lice na koje se podaci odnose podnelo zahtev za brisanje svih kopija ovih podataka i elektronskih veza prema ovim podacima.
Lice na koje se podaci odnose podnosi zahtev Agenciji za ostvarivanje prava na brisanje podataka o ličnosti.
Napred navedeno se ne primenjuje u meri u kojoj je obrada neophodna zbog:
– ostvarivanja slobode izražavanja i informisanja,
– poštovanja zakonske obaveze Agencije kojom se zahteva obrada ili izvršenja poslova u javnom interesu ili izvršenja službenih ovlašćenja Agencije,
– ostvarivanje javnog interesa u oblasti zdravlja (obrada je neophodna u svrhu preventivne medicine, radi procene radne sposobnosti zaposlenih, radi pružanja usluga zdravstvene I socijalne zaštite ili u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja),
– svrhe arhiviranja u javnom interesu, svrhe naučnog I istorijskog istraživanja kao I statističke svrhe, a opravdano se očekuje da bi ostvarivanje prava na brisanje podataka onemogućilo ostvarivanje navedene svrhe,
– podnošenja, ostvarivanja ili odbrane pravnog zahteva.
– pravo na ograničenje obrade
Lice na koje se podaci odnose ima pravo da zahteva od Agencije da se obrada njegovih podataka o ličnosti ograniči ukoliko:
– osporava tačnost podataka o ličnosti,
– ako je obrada nezakonita, ali lice na koje se podaci odnose se protivi brisanju I zahteva ograničenje obrade,
– Agenciji podaci više nisu neophodni radi ostvarenja svrhe obrade, ali lice zahteva ograničenje obrade radi podnošenja, ostvarivanja ili odbrane pravnog zahteva,
– lice na koje se podaci odnose je podnelo prigovor na obradu da pravni osnov Rukovaoca ne preteže nad njegovim interesima.
Dalja obrada podataka o ličnosti čija je obrada ograničena, moguća je samo po pristanku lica na koje se podaci odnose odnosno radi ostvarivanja značajnog javnog interesa ili pravnog zahteva I zaštite
drugih lica.
Agencija je obavezna da obavesti sve primaoce kojima su podaci o ličnosti otkriveni, o svakoj ispravci ili brisanju podataka o ličnosti ili ograničenju njihove obrade, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena I sredstava.
Pravilnik o zaštiti podataka o ličnosti 1.0 Primena od 21.08.2019. godine
– pravo na prenosivost podataka
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo Agenciji primi od Agencije u strukturisanom, uobičajeno korišćenom I elektronski čitljivom obliku I ima pravo da ove podatke prenese drugom rukovaocu pod uslovom:
– ako je obrada od drugog Rukovaoca neophodna za izvršenje poslova od javnog interesa ili za drugog
Rukovaoca zasnovana na pristanku ili na osnovu ugovora,
– obrada se vrši automatizovano.
Pravo na prenosivost podataka obuhvata I pravo da podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane Agencije ako je to tehnički moguće.
– pravo na prigovor
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese Agenciji prigovor na obradu svojih podataka, ukoliko Agencije iste obrađuje na osnovu legitimnog interesa ili za potrebe direktnog oglašavanja uključujući i profilisanje – u tom slučaju Agencija nadalje ne može obrađivati podatke lica za te svrhe.
Angencija je dužna da već kod uspostavljanja prve komunikacije sa licem na koje se podaci odnose upoznana isto sa postojanjem ovog prava.
– Automatizovano donošenje pojedinačnih odluka
Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući I profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj, osim:
– ako je odluka neophodna za zaključenje ili izvršenje ugovora sa Agencijom,
– zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda I legitimnih interesa lica na koje se podaci odnose,
– zasnovana na izričitom pristanku lica na koje se podaci odnose.
U ovom slučaju Agencija je dužna da obezbedi najmanje pravo učešća tog lica pod kontrolom Agencije u procesu donošenja odluke, njegovo pravo da izrazi svoj stav u vezi sa odlukom I pravo da ospori odluku. U ovom procesu ne smeju se obrađivati posebne vrste podataka o ličnosti pa se odluka u ovom procesu ne sme zasnivati na tim podacima.
Napred navedena prava lica na koje se podaci odnose, mogu biti ograničena usled zaštite nacionalne bezbednosti, odbrane, javne bezbednosti, ako se time sprečava istraga i otkrivanje krivičnih dela, gonjenje učinilaca dela ili izvršenje krivičnih sankcija, drugih važnih javnih interesa, nezavisnost pravosuđa I sudskih postupaka, istraživanje, otkrivanje I gonjenje za povredu profesionalne etike, vršenja regulatorne funkcije, ostvarivanje potraživanja u građanskim stvarima.
Agencija je dužna da preduzme odgovarajuće tehničke, organizacione I kadrovske mere kako bi obezbedila da se obrada podataka o ličnosti vrši u skladu sa Zakonom o zaštiti podataka o ličnosti i Opštom uredbom I kako bi bila u mogućnosti da to I dokaže, polazeći od prirode, obima, svrhe obrade i verovatnoće nastupanja rizika za prava I slobode lica na koja se podaci odnose, uključujući I primenu odgovarajućih internih akata Agencije.
Radnje i mere iz prethodnog stave se po potrebi preispituju i ažuriraju.
Agencija je prilikom određivanja načina obrade I u toku obrade dužna da:
Agencija je dužna da obezbedi da se obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje pojedinačnih svrha obrade I da isti budu dostupni samo zaposlenim u procesu ostvarivanja svrhe obrade.
Ako dva ili više rukovaoca zajednički obrađuju podatke o ličnosti, oni se smatraju zajedničkim rukovaocem I prava, dužnosti I odgovornost uređuju sporazumno osim kada je njihova odgovornost uređena zakonom.
Agencija obradu podataka o ličnosti može poveriti trećem licu – obrađivaču, ali to može biti samo lice koje vrši obradu u ime Agencije kao rukovaoca i koje u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih I kadrovskih mera, na način koji obezbeđuje da se obrada vrši zakonito. Obrađivač može poveriti obradu drugom obrađivaču samo ako ga Agencija za to ovlasti pismenim ovlašćenjem. Obrada od strane obrađivača mora biti uređena ugovorom odnosno, pravno obavezujućim aktom.
Obrađivač je dužan da obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, da obezbedi da se fizičko lice koje obrađuje podatke obavezalo na čuvanje poverljivosti podataka, da poštuje uslove za poveravanje obrade drugom obrađivaču, posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca izbriše ili vrati rukovaocu sve podatke o ličnosti I sve kopije ovih podataka.
Agencija o radnjama obrade podataka o ličnosti uspostavlja I vodi evidenciju koja sadrži:
Agencija imenuje staratelje zbirki podataka o ličnosti u svim organizacionim delovima u kojima se sprovode radnje obrade podataka o ličnosti koji su dužni da vode računa o tačnosti I ažurnosti sadržine evidencije.
Evidencije obrade podataka o ličnosti vode se u pismenom obliku, što obuhvata I elektronski oblik I čuvaju se trajno. Agencija je obavezna da iste učini dostupnim Povereniku za informacije od javnog značaja na njegov zahtev.
Agencija je dužna da u skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, sprovede odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigla odgovarajući nivo bezbednosti u odnosu na rizik, a naročito:
Na osnovu procene rizika, Agencija je dužna da:
¯ onemogući neovlašćenom licu pristup opremi koja se koristi za obradu,
¯ spreči neovlašćeno čitanje, umnožavanje, izmenu ili uklanjanje nosača podataka,
¯ spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćenu izmenu, brisanje i kontrolu pohranjenih podataka o ličnosti,
¯ spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica upotrebom opreme za prenos podataka,
¯ osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim podacima ličnosti na koje se odnosi njegovo ovlašćenje za pristup,
¯ može proveriti odnosno ustanoviti kome su podaci o ličnosti preneti ili mogu biti preneti upotrebom opreme za prenos podataka,
¯ može naknadno proveriti odnosno ustanoviti koji su podaci o ličnosti uneti u sistem automatske obrade, od strane kog lica i kada su uneti,
¯ spreči neovlašćeno čitanje, umnožavanje, izmenu ili brisanje podataka o ličnosti u toku njihovog prenosa ili u toku prevoza nosača podataka,
¯ ponovo uspostaviti instalirani sistem u slučaju prekida njegovog rada,
¯ osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju kao i da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema.
Dozvoljeno je prenositi lične podatke informacionim, telekomunikacionim i drugim sredstvima samo uz izvođenje postupaka i mera koji neovlašćenim licima sprečavaju prisvajanje ili uništenje podataka i neopravdano upoznavanje sa njihovim sadržajem.
Lični podaci se dostavljaju samo onim korisnicima odnosno, licima koja se identifikuju odgovarajućim zakonskim osnovom ili pisanim zahtevom odnosno izričitim pisanim pristankom pojedinca na kog se podaci odnose.
Za svako dostavljanje ličnih podataka korisnik prava mora da podnese pisani zahtev u kome mora biti jasno navedena odredba zakona koja korisnika ovlašćuje za sticanje ličnih podataka ili uz zahtev mora biti priložen pisani zahtev odnosno izričit pisani pristanak pojedinca na kog se podaci odnose.
Svako dostavljanje ličnih podataka beleži se u evidenciji dostavljanja iz koje mora biti vidljivo koji lični podaci su dostavljeni, kome, kada i po kom zakonskom osnovu.
Nikada se ne dostavljaju dokumenti u originalu, osim u slučaju postojanja zakonskog osnova. Dokument u originalu mora se u vreme odsutnosti zameniti kopijom.
Svaki prenos ličnih podataka, koji se obrađuje ili je namenjen prenosu u treću državu ili međunarodnu organizaciju, dopušten je u skladu sa trenutno važećim propisima koji regulišu zaštitu podataka o ličnosti.
U Agenciji video nadzor koristimo za svrhe zaštite ljudi i imovine. Korišćenje za druge svrhe nije dozvoljeno.
Područja gde se sprovodi video nadzor moraju biti obeležena na odgovarajući način (nalepnica sa upozorenjem i telefonskim brojem na koji se mogu dobiti informacije u vezi sa video nadzorom).
Zaposleni, koji su tokom rada podvrgnuti video nadzoru, o tome moraju biti prethodno obavešteni u pisanom obliku.
Svako, ko želi uvid u video snimak, na kome se nalazi, mora Agenciji da podnese pisani zahtev, a Agencija mu mora omogućiti uvid. Takođe mora da potpiše izjavu o zaštiti informacija kojom se obavezuje da će čuvati sve
Ukoliko zaposleni, klijent ili posetilac na video nadzornom sistemu agencije želi uvid u snimak, na kome se nalazi, prilikom pregleda tih snimaka prisutan je i rukovodilac informatičke zaštite.
Video nadzor je zabranjeno vršiti u garderobama i sanitarijama. Svaki uvid u video snimke mora se evidentirati.
Agencija sprovodi biometrijske mere u skladu sa važećim propisima.
Podaci o ličnosti se čuvaju onoliko vremena koliko je potrebno za obezbeđivanje svrhe za koju su lični podaci prikupljeni, osim ako zakon ili drugi akt ne određuju duže čuvanje.
Posle isteka roka čuvanja podaci o ličnosti se brišu, uništavaju, blokiraju ili anonimizuju, osim ako zakon ili drugi akt ne određuju drugačije.
Rokovi, posle kojih se lični podaci brišu iz zbirke podataka, vidljivi su iz evidencije o delatnosti obrade ličnih podataka.
Za brisanje podataka sa računarskih medija koristi se takav metod da je onemogućeno obnavljanje svih ili dela izbrisanih podataka.
Podaci na klasičnim medijima (isprave, kartoteke, registar, spisak…) uništavaju se na način koji onemogućava čitanje svih ili dela uništenih podataka na način regulisan internim aktima Agencije.
Na isti način se uništava pomoćni materijal (npr. kalkulacije i grafikone, skice, probne odnosno neuspešne ispise i sl.).
Otpadne nosače podataka, koji sadrže lične podatke, zabranjeno je bacati u kantu za smeće.
Zaposleni Agencije, koji je ovlašćen za obradu određenih vrsta ličnih podataka, njih može da obrađuje samo i isključivo u poslovne svrhe i zbog poslovnih razloga. Obrada u bilo koje druge svrhe znači neosnovanu obradu i kršenje u skladu sa odredbama ovog Pravilnika.
Zaposleni su dužni da o aktivnostima, koje su povezane sa otkrivanjem ili neovlašćenim uništavanjem poverljivih podataka, zlonamernom ili neovlašćenom korišćenju, prisvajanju, menjanju ili oštećivanju, odmah obavesti ovlašćeno lice za zaštitu ličnih podataka, a sami su dužni da pokušaju da takvu aktivnost spreče.
U slučaju kršenja zaštite ličnih podataka, Agencija bez nepotrebnog odlaganja, a po mogućnosti najkasnije u roku od 72 sata posle upoznavanja sa kršenjem, o tome obaveštava Poverenika za informacije u obliku i na način, kao što to odredi Poverenik za informacije, osim ako nije verovatno da bi kršenjem zaštite ličnih podataka bila ugrožena prava i slobode pojedinca.
Bilo koje kršenje zaštite ličnih podataka dokumentuje se, uključujući činjenice u vezi sa kršenjem zaštite podataka o ličnosti, njegove efekte i usvojene korektivne mere.
Kada je verovatno da kršenje zaštite podataka o ličnosti stvara veliki rizik za prava i slobode pojedinaca, Agencija bez nepotrebnog odlaganja obaveštava pojedinca, na kog se odnose podaci o ličnosti , da je došlo do kršenja zaštite ličnih podataka.
Obaveštenje pojedincu iz prethodnog stava nije potrebno ako je Agencija sprovela odgovarajuće tehničke i organizacione mere, naročito mere, na osnovu kojih lični podaci postaju nerazumljivi svima koji nisu ovlašćeni za pristup njima; ako je Agencija usvojila naknadne mere za obezbeđivanje da više neće doći do velikog rizika za prava pojedinaca; ako bi to zahtevalo nesrazmeran napor, pri čemu se objavljuje javno obaveštenje.
Za izvođenje postupaka i tehničkih i organizacionih mera za zaštitu ličnih podataka odgovorna su lica u skladu sa Pravilnikom o zaštiti podatak ao ličnosti.
Svako, ko obrađuje lične podatke, dužan je da sprovodi propisane postupke i mere za zaštitu ličnih podataka, s kojima se upoznao u obavljanju svog posla. Obaveza zaštite podataka ne prestaje prestankom radnog odnosa.
Svi zaposleni Agencije upoznati su sa obavezom zaštite podataka o ličnosti i odgovornostima u smislu važećih propisa i Pravilnika o zaštiti podatak ao ličnosti.
Za zaposlene u Agenciji nepoštovanje odredaba Pravilnika o zaštiti podatak ao ličnosti znači kršenje radnih obaveza, što za posledicu može imati radnopravne sankcije, kao i odštetnu odgovornost, sve u skladu sa važećim propisima.
Licenca OTP br. 156/2021, kategorija A, od 02/11/2022
Sajt je informativnog karaktera. Iako nastojimo da ga redovno ažuriramo, postoji mogućnost različitih informacija od trenutno važećih. Molimo Vas da sve informacije proverite direktno u agenciji putem telefona, e-mail-a ili lično.