PRAVILNIK O SPROVOĐENjU ZAŠTITE PODATAKA O LIČNOSTI

Uvod Član 1. Pravilnik za sprovođenja zaštite podataka o ličnosti (dalje: Pravilnik) predstavlja opšti akt za PREMIUM GAMING. Svrha Pravilnika je uspostavljanje zaštite podataka o ličnosti u skladu sa Zakonom o zaštiti podataka o ličnosti (dalje: Zakon) i drugim podzakonskim aktima iz oblasti zaštite podataka o ličnosti. Član 2. Pravilnikom se uređuju pravila zaštite prava fizičkog lica u pogledu prikupljanja i obrade podataka o ličnosti, kao i dalja upravljanja i kretanja ovih podataka. Svi zaposleni u Privrednom društvu moraju da se pridržavaju i sprovode odredbe ovog pravilnika i ostalih internih akata Privrednog društva koji proističu iz Zakona i Pravilnika. Član 3. Definicije i značenja pojedinih izraza iz ovog pravilnika, kao što su: podatak o ličnosti, obrada podataka o ličnosti, lice na koje se podaci odnose, rukovalac, obrađivač, primalac, Poverenik, povreda podataka o ličnosti, profilisanje, pseudonimizacija i pristanak, definisani su u Zakonu („Značenje izrazaˮ – član 4. Zakona), Cilj, svrha i područje primene Član 4. Pravilnik ima cilj da se preko njegovih odredbi sprovodi zaštita osnovnih prava i sloboda fizičkih lica, posebno u domenu prava na zaštitu podataka o ličnosti. Pravilnikom se uspostavljaju i usklađuju procesi i mere zaštite, upravljanje podacima o ličnostima zaposlenih, poslovnih partnera i drugih lica, čije podatke Privredni subjekt obrađuje u okviru obavljanja poslovnih aktivnosti na teritoriji Republike Srbije. Načela Član 5. Privredni subjekt ima obavezu da svoje poslovanje uskladi sa Zakonom, što se posebno odnosi na obradu podataka o ličnosti u skladu sa načelima obrade definisanim članom 5. Zakona, kao što sledi: Načelo zakonitosti poštenja i transparentnosti Privredni subjekt u svom poslovanju treba da obrađuje podatke o ličnosti na zakonit način. Da bi obrada bila zakonita, neophodno je da rukovalac ima valjan pravni osnov za obradu. Ponašanje Privrednog društva kao rukovaoca mora biti zakonito, pošteno i transparentno prema licu čiji se podaci obrađuju, odnosno potrebno je da mu se na jasan i nedvosmislen način, jednostavnim, njemu razumljivim jezikom, ukaže na sva prava koja ima po osnovu zaštite podataka. Načelo ograničenja u odnosu na svrhu obrade Podaci o ličnosti mogu da se prikupljaju u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje ne mogu da se obrađuju na način koji nije u skladu sa tim svrhama. Načelo minimizacije podataka Podaci o ličnosti koji se prikupljaju i obrađuju moraju da budu primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade, dakle nije dozvoljena obrada podataka koji nisu neophodni za ispunjavanje konkretno određene svrhe. Načelo tačnosti Podaci koje Društvo prikuplja moraju da budu tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju da se preduzmu sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave. Načelo ograničenja čuvanja Podaci koji se prikupljaju i obrađuju mogu da se čuvaju u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade. Načelo integriteta i poverljivosti Podaci o ličnosti mogu da se obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera. Svrha i pravni osnov obrade Član 6. Svrhu i načine obrade ličnih podataka može da odredi Privredni subjekt ili koji od partnera Privrednog društva sa kojim Privredni subjekt ima sklopljen ugovor u vezi sa obradom ličnih podataka. Kada Privredni subjekt samo odredi svrhu i sredstva obrade ličnih podataka, tada je Privredni subjekt rukovalac. Kada Privredni subjekt obrađuje podatke u ime rukovaoca, tada je Privredni subjekt obrađivač ličnih podataka i obrađuje podatke u skladu sa zahtevom rukovaoca. U tom slučaju rukovalac određuje koje lične podatke i u kojem obimu privredno društvo kao obrađivač treba da obrađuje podatke. Osim navedenog u stavu 1, društvo može da obrađuje podatke o ličnosti po sledećim osnovima: 1. Obrada na osnovu pristanka – lice na koje se podaci o ličnosti odnose pristalo je na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha. Ukoliko se obrada podataka bazira na ovom osnovu, društvo mora biti u mogućnosti da dokaže da je lice na koje se podaci odnose pristalo na obradu. Pre davanja pristanka lice na koje se podaci odnose mora da bude obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opoziv pristanka ne utiče na obradu koja je vršena na osnovu pristanka pre opoziva. Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. 2. Neophodnost za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora. 3. Obrada na osnovu zakona i drugih propisa – poštovanje pravnih obaveza rukovaoca. 4. Obrada u cilju zaštite važnih interesa lica na koje se podaci odnose ili drugog lica. 5. Obrada u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca. 6. Obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose, koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno. Prikupljanje i čuvanje podataka o ličnosti Član 7. Privredni subjekt može da prikuplja podatke o ličnosti fizičkih lica na različite načine. Najčešće se podaci o ličnosti uzimaju od lica na koja se ti podaci odnose. Privredni subjekt može da koristi informacije o fizičkim licima koje su dostupne u javnim bazama podataka, internet aplikacijama, socijalnim mrežama i drugim javnim izvorima podataka. Prikupljeni podaci i informacije mogu da se obrađuju od strane lica zaposlenih u privrednom društvu u okviru svojih radnih aktivnosti i u skladu sa Zakonom i internim aktima privrednog društva. U toku prikupljanja i obrade podataka o ličnosti obaveza privrednog društva kao rukovaoca jeste da licu na koje se podaci odnose saopšti informaciju o roku čuvanja podataka o ličnosti ili ako to nije moguće, onda bar kriterijume za njegovo određivanje. Period u kojem se podaci prikupljaju i obrađuju zavisi od pravnog osnova i svrhe obrade određene kategorije podataka o ličnosti. Podaci o ličnosti koji se obrađuju isključivo po osnovu saglasnosti lica na koje se odnose, obrađuju se u skladu sa svrhom zbog koje su prikupljeni, odnosno do povlačenja saglasnosti od strane lica na koje se podaci odnose. Nakon ispunjenja svrhe obrade (osim ako ne postoji neki drugi osnov za obradu, npr. zakon) podaci o ličnosti se brišu, uništavaju, blokiraju ili anonimizuju. Kada Privredni subjekt ima obavezu da podatke čuva i nakon okončanja poslovne saradnje sa licem na koje se podaci odnose, npr. na osnovu zakona ili legitimnog interesa, podaci o ličnosti se obrađuju dok ne istekne rok predviđen zakonom za zakonske obaveze privrednog društva, a kod legitimnog interesa (npr. u slučaju eventualnog spora lica na koje se podaci odnose i društva) obrada se vrši dok traje legitimni interes. Prava lica na koja se podaci odnose Član 8. Lica na koja se podaci odnose imaju određena prava garantovana Zakonom, a Privredni subjekt, kao rukovalac u obradi podataka, dužan je da omogući pomenutim licima uživanje tih prava u potpunosti. Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva po Zakonu, bez odlaganja, a najkasnije u roku od trideset dana od dana prijema zahteva. Taj rok može da bude produžen za još šezdeset dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od trideset dana od dana prijema zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija mora da se pruži elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način. Pravo na informisanje Član 9. Privredni subjekt, u svojstvu rukovaoca podacima o ličnosti, ima obavezu da licima čiji se podaci obrađuju obezbedi sve raspoložive informacije koje se tiču njihovih prava. Privredni subjekt će u trenutku prikupljanja podataka tom licu pružiti informacije o: - identitetu i kontakt podacima rukovaoca; - kontakt podacima lica za zaštitu podataka o ličnosti; - svrsi nameravane obrade i pravnom osnovu za obradu; - roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje; - postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka; - tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora. Ukoliko se podaci o ličnosti ne prikupljaju od lica na koje se odnose, pored svih navedenih informacija iz prethodnog stava, potrebno je dostaviti i informaciju o izvoru iz kojeg potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora. Pravo na ažuriranje i brisanje podataka Član 10. Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, odnosno ima pravo da mu po zahtevu Privredni subjekt dostavi sve informacije u vezi sa podacima koje obrađuje. Rukovalac je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje. Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave. Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca u sledećim slučajevima: - podaci više nisu neophodni za ostvarivanje svrhe za koju su prikupljani, - lice je opozvalo pristanak na osnovu kojeg se vršila obrada, - podaci o ličnosti su nezakonito obrađivani, - podaci moraju da budu obrisani u cilju izvršavanja zakonskih obaveza rukovaoca, - lice na koje se podaci odnose podnelo je prigovor na obradu – važi samo u određenim slučajevima. Pravo na ograničenje obrade Član 11. Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca ako je ispunjen jedan od sledećih slučajeva: - lice na koje se podaci odnose osporava tačnost podataka o ličnosti u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti; - obrada je nezakonita, a lice na koje se podaci odnose protivi se brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka; - rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva; - lice na koje se podaci odnose podnelo je prigovor na obradu, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica; - ako je obrada ograničena u skladu sa gorenavedenim, ti podaci dalje mogu da se obrađuju samo na osnovu pristanka lica na koje se podaci odnose. Ukoliko prestanu razlozi za ograničenje, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi. Pravo na prenosivost podataka Član 12. Lice na koje se podaci odnose ima pravo da dobije od rukovaoca njegove podatke o ličnosti koje mu je prethodno dostavio u uobičajeno korišćenom obliku (elektronskom, čitljivom, strukturisanom), i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci dostavljeni. Ovo pravo obuhvata i pravo da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ukoliko je to tehnički izvodljivo. Pravo na prigovor Član 13. Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose upozori to lice na postojanje prava na prigovor i da ga upozna sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža. Lice na koje se podaci odnose ima pravo da rukovaocu podnese prigovor na obradu njegovih podataka o ličnosti ukoliko smatra da ima opravdanih razloga za to. Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ukoliko postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima i slobodama lica na koje se podaci odnose. Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje. U tom slučaju podaci o ličnosti ne mogu dalje da se obrađuju u takve svrhe. Lice na koje se podaci odnose ima pravo da podnese prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga. Prava vezana za automatizovano donošenje odluka i profilisanje Član 14. Društvo u obradi podataka koristi i metode automatizovane obrade (uključujući tu profilisanje) i na osnovu tako obrađenih podataka donosi odluke. Lica čiji se podaci obrađuju imaju pravo da traže da se tako donesena odluka ne primenjuju na njih ukoliko navedena odluka značajno utiču na njihov položaj ili proizvodi pravne posledice. Navedeno pravo isključuje se ukoliko je odluka neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili ako se odluka zasniva na izričitom pristanku lica, ali u tim slučajevima neophodno je da rukovalac obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, zatim pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i da ospori odluku pred ovlašćenim licem rukovaoca. Rukovalac, zajednički rukovalac i obrađivač Član 15. Rukovalac je dužan da prilikom određivanja načina obrade i u samom postupku obrade primeni mere koje imaju za cilj obezbeđivanje primene načela zaštite podataka o ličnosti, kao što su: - smanjenje broja podataka, - obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka – pseudonimizacija i - druge mere, a sve u skladu sa tehničkim mogućnostima. Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake pojedinačne svrhe obrade i ta se obaveza primenjuje u odnosu na broj prikupljenih podataka, obim njihove obrade, rok njihovog pohranjivanja i njihovu dostupnost. Ukoliko dva ili više rukovaoca zajednički određuju svrhu i način obrade, smatraju se zajedničkim rukovaocima. U slučajevima kada postoje zajednički rukovaoci, na transparentan način se određuje odgovornost svakog od njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja prava lica na koje se podaci odnose i ispunjavanja obaveza rukovaoca. Ukoliko obradu podataka vrši obrađivač u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama Zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose. Obrađivač može da poveri obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Obrada od strane obrađivača mora da bude uređena ugovorom ili drugim pravno obavezujućim aktom koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i uređuje: - predmet i trajanje obrade, - prirodu i svrhu obrade, - vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju i - prava i obaveze rukovaoca. Obrađivač prilikom obrade podataka ima sledeće dužnosti: - da obrađuje podatke o ličnosti samo na osnovu pismenih uputstava; - da obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka; - da posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja podataka; - da pomaže rukovaocu primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera, koliko je to moguće, u ispunjavanju obaveza rukovaoca u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose; - da poštuje uslove za poveravanje obrade drugom obrađivaču; - da učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača propisanih ovim članom, kao i informacije koje omogućavaju i doprinose kontroli rada obrađivača. Ukoliko obrađivač povredi odredbe Zakona određujući svrhu i način obrade podatka o ličnosti, obrađivač se smatra rukovaocem u odnosu na tu obradu. Obrađivač ili drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca. Evidencije radnji obrade Član 16. Rukovalac i njegov predstavnik, ukoliko je određen, imaju obavezu da vode evidenciju o radnjama obrade koje sadrže informacije o: - imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka o ličnosti ukoliko su određeni; - svrsi obrade; - vrsti lica na koje se podaci odnose, kao i o vrsti podataka koji se obrađuju; - vrsti primalaca kojima će podaci o ličnosti biti otkriveni; - prenosu podataka u druge države ili međunarodne organizacije, ime tih država i organizacija, kao i dokumente o primeni mera zaštite tih podataka, a sve ovo ukoliko se takav prenos vrši; - roku čuvanja podataka ukoliko je takav rok određen; - opštem opisu mera zaštite podataka ako je to moguće. Prethodno opisane evidencije vode se u pisanom obliku, što obuhvata i elektronski oblik, i čuvaju se trajno. Društvo kao rukovalac, kao i njegovi predstavnici, ako su određeni, dužni su da opisane evidencije učine dostupnim Povereniku na njegov zahtev, kao i da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja. Obrađivač i njegov predstavnik, ako je određen, dužni su da vode evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, koja sadrži informacije o: - imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni; - vrsti obrada koje se vrše u ime svakog rukovaoca; - prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. zakona, ako se takav prenos podataka o ličnosti vrši; - opštem opisu mera zaštite iz člana 50. stav 1. Zakona, ako je to moguće. Bezbednost podataka o ličnosti Član 17. Privredni subjekt sve podatke čuva i obrađuje uz primenu svih raspoloživih tehničkih i organizacionih mera zaštite podataka u skladu sa Zakonom i internim aktima privrednog društva. Privredni subjekt je dužan da, primenom tehnoloških dostignuća, kao i tehničkih, kadrovskih i organizacionih mera koje ima na raspolaganju, osigura bezbednost podataka. Bezbednost obrade Član 18. Privredni subjekt, kao rukovalac u obradi podataka, koristi mere kako bi obezbedio bezbednost obrade, a te mere obuhvataju naročito: - pseudonimizaciju i kriptozaštitu podataka o ličnosti; - sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade; - obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku; - postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade. Privredno društvo internim aktima uređuje pristup zaposlenih podacima o ličnosti u okviru svojih radnih zadataka. Obaveštavanje Poverenika o povredi podataka Član 19. Ukoliko dođe do povrede podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica, Privredni subjekt je dužan da obavesti Poverenika bez nepotrebnog odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu, u suprotnom dužno je da obrazloži razloge zbog kojih nije postupilo u tom roku. Obaveštenje iz prethodnog stava mora da sadrži najmanje sledeće informacije: - opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena; - ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji mogu da se dobiju podaci o povredi; - opis mogućih posledica povrede; - opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica. Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje. Poverenik propisuje obrazac obaveštenja i bliže uređuje način obaveštavanja. Obaveštavanje lica o povredi podataka o ličnosti Član 20. Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, Privredni subjekt ima obavezu da bez odlaganja o povredi obavesti lice na koje se podaci odnose. Ako društvo nije obavestilo lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može da naloži društvu da to učini. Procena uticaja obrade na zaštitu podataka o ličnosti Član 21. Ukoliko postoji verovatnoća da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, društvo ima obavezu da, pre nego što započne sa obradom, izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti. Prilikom procene uticaja Privredni subjekt je dužan da zatraži mišljenje lica za zaštitu podataka o ličnosti. Procena uticaja radnji obrade obavezno se vrši u slučaju: - sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega; - obrade posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima; - sistematskog nadzora nad javno dostupnim površinama u velikoj meri. Prethodno mišljenje Poverenika Član 22. Ukoliko procena uticaja radnji obrade na zaštitu podataka o ličnosti ukazuje na to da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za umanjenje rizika, društvo je dužno da zatraži mišljenje Poverenika pre započinjanja radnje obrade. Prenos podataka o ličnosti u druge države i međunarodne organizacije Član 23. Prenos podataka o ličnosti u druge države i međunarodne organizacije moguće je izvršiti ukoliko Privredni subjekt postupa u skladu sa uslovima propisanim ovim pravilnikom. Navedeni prenos podrazumeva i dalji prenos podataka iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, pri čemu će sve navedeno biti uređeno posebnim ugovorom. Cilj ovakvog postupanja je obezbeđivanje primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje Zakon o zaštiti podataka o ličnosti. Prenos na osnovu primerenog nivoa zaštite Član 24. Prenos podataka o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi, ili u međunarodnu organizaciju, bez prethodnog odobrenja, može da se izvrši ako je utvrđeno da ta druga država, deo njene teritorije ili jedan ili više sektora određenih delatnosti u toj državi, ili ta međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti. Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama, ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite. Ukoliko je sa drugom državom ili međunarodnom organizacijom zaključen međunarodni sporazum o prenosu podataka o ličnosti, smatra se da je obezbeđen primereni nivo zaštite. Prenos uz primenu odgovarajućih mera zaštite Član 25. Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi, ili u međunarodnu organizaciju za koju nije utvrđeno postojanje primerenog nivoa zaštite, samo ako je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita. Mere za zaštitu podataka pomenute u prethodnom stavu mogu se obezbediti sa ili bez posebnog odobrenja Poverenika. Lice za zaštitu podataka o ličnosti Član26. Privredni subjekt, kao rukovalac ili obrađivač, svojom odlukom može da odredi lice za zaštitu podataka o ličnosti. Ukoliko Privredni subjekt imenuje lice za zaštitu podataka ličnosti, dužno je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku, koji vodi evidenciju lica za zaštitu podataka o ličnosti. Lica na koje se podaci odnose mogu da se obrate licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih ovim zakonom. Odnos rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti Član 27. Organi Privrednog subjekta određuju lice za zaštitu podataka o ličnosti iz redova svojih zaposlenih. Privredni subjekt, kao rukovalac ili obrađivač, ima obavezu da blagovremeno i na odgovarajući način uključi lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti. Pri ispunjavanju ove obaveze Privredni subjekt treba da omogući pomenutom licu izvršavanje svih obaveza tako što će mu obezbediti neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje. Privredni subjekt mora da obezbedi nezavisnost licu za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza, pri čemu ga ne može kazniti niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja njegovih obaveza. Lice za zaštitu podataka o ličnosti neposredno je odgovorno Privrednom subjektu, a ima obavezu da čuva tajnost, odnosno poverljivost podataka do kojih je došlo pri izvršavanju svojih obaveza. Lica na koje se podaci odnose mogu se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih zakonom. Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a Privredni subjekt je, kao rukovalac ili obrađivač, dužan da obezbedi da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa. Obaveze lica za zaštitu podataka o ličnosti Član 28. Ukoliko je imenovano, lice za zaštitu podataka o ličnosti ima obavezu da: - informiše i daje mišljenje Privrednom subjektu kao rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti i internim aktima društva koji regulišu ovu oblast; - prati primenu Zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole; - daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti, kao i da prati postupanje po toj proceni; - sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja Poverenika. Pri izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade. Završna odredba Član 29. Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja na oglasnoj tabli preduzetnika 01.12.2022. godine.