ZAKON O ZAŠTITI PODATAKA
Član 1
Ovim zakonom uređuje se pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti i
slobodni protok takvih podataka, načela obrade, prava lica na koje se podaci odnose, obaveze
rukovalaca i obrađivača podataka o ličnosti, kodeks postupanja, prenos podataka o ličnosti u druge
države i međunarodne organizacije, nadzor nad sprovođenjem ovog zakona, pravna sredstva,
odgovornost i kazne u slučaju povrede prava fizičkih lica u vezi sa obradom podataka o ličnosti, kao i
posebni slučajevi obrade.
Ovim zakonom uređuje se i pravo na zaštitu fizičkih lica u vezi sa obradom podataka o ličnosti koju
vrše nadležni organi u svrhe sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca
krivičnih dela ili izvršenja krivičnih sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i
nacionalnoj bezbednosti, kao i slobodni protok takvih podataka.
Cilj zakona
Član 2
Ovim zakonom se obezbeđuje zaštita osnovnih prava i sloboda fizičkih lica, a posebno njihovog prava
na zaštitu podataka o ličnosti.
Odredbe posebnih zakona kojima se uređuje obrada podataka o ličnosti moraju biti u skladu sa ovim
zakonom.
Primena
Član 3
Ovaj zakon primenjuje se na obradu podataka o ličnosti koja se vrši, u celini ili delimično, na
automatizovan način, kao i na neautomatizovanu obradu podataka o ličnosti koji čine deo zbirke
podataka ili su namenjeni zbirci podataka.
Ovaj zakon ne primenjuje se na obradu podataka o ličnosti koju vrši fizičko lice za lične potrebe,
odnosno potrebe svog domaćinstva.
Ovaj zakon primenjuje se na obradu podataka o ličnosti koju vrši rukovalac, odnosno obrađivač koji
ima sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, u okviru aktivnosti koje
se vrše na teritoriji Republike Srbije, bez obzira da li se radnja obrade vrši na teritoriji Republike
Srbije.
Ovaj zakon primenjuje se na obradu podataka o ličnosti lica na koje se podaci odnose koje ima
prebivalište, odnosno boravište na teritoriji Republike Srbije od strane rukovaoca, odnosno
obrađivača koji nema sedište, odnosno prebivalište ili boravište na teritoriji Republike Srbije, ako su
radnje obrade vezane za:
ponudu robe, odnosno usluge licu na koje se podaci odnose na teritoriji Republike Srbije, bez obzira
da li se od tog lica zahteva plaćanje naknade za ovu robu, odnosno uslugu;
praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike
Značenje izraza
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
Član 4
“podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv,
neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj,
podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više
obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog
identiteta;
“lice na koje se podaci odnose” je fizičko lice čiji se podaci o ličnosti obrađuju;
“obrada podataka o ličnosti” je svaka radnja ili skup radnji koje se vrše automatizovano ili
neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje,
razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje,
otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na
drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem
tekstu: obrada);
“ograničavanje obrade” je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove
obrade u budućnosti;
“profilisanje” je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo
ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog
položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;
“pseudonimizacija” je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom
licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su
preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne
može pripisati određenom ili odredivom licu;
“zbirka podataka” je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa
posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po
funkcionalnim ili geografskim osnovama;
“rukovalac” je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima
određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i
rukovalac ili propisati uslovi za njegovo određivanje;
“obrađivač” je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime
rukovaoca;
“primalac” je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez
obzira da li se radi o
trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o
ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti
podataka o ličnosti koja se odnose na svrhu obrade;
“treća strana” je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose,
rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim
nadzorom rukovaoca ili obrađivača;
“pristanak” lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i
nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje
pristanak za obradu podataka o ličnosti koji se na njega odnose;
“povreda podataka o ličnosti” je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili
nezakonitog
uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni,
pohranjeni ili na drugi način obrađivani;
“genetski podatak” je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja
fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su
dobijeni analizom iz uzorka biološkog porekla;
“biometrijski podatak” je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim
obeležjima,
fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu
identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;
“podaci o zdravlju” su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o
pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju;
“predstavnik” je fizičko ili pravno lice sa prebivalištem, odnosno sedištem na teritoriji Republike
Srbije koje je u skladu sa članom 44. ovog zakona ovlašćeno da predstavlja rukovaoca, odnosno
obrađivača u vezi sa njihovim obavezama predviđenim ovim zakonom;
“privredni subjekat” je fizičko ili pravno lice koje obavlja privrednu delatnost, bez obzira na njegov
pravni oblik, uključujući i ortačko društvo ili udruženje koje redovno obavlja privrednu delatnost;
“multinacionalna kompanija” je privredni subjekat koji je kontrolni osnivač ili kontrolni član
privrednog subjekta, odnosno osnivač ogranka privrednog subjekta, koji obavlja privrednu delatnost
u državi u kojoj se ne nalazi njegovo sedište, kao i privredni subjekat sa značajnim učešćem u
privrednom subjektu, odnosno u osnivaču ogranka privrednog subjekta, koji obavlja privrednu
delatnost u državi u kojoj se ne nalazi sedište multinacionalne kompanije, u skladu sa zakonom kojim
se uređuju privredna društva;
“grupa privrednih subjekata” je grupa povezanih privrednih subjekata, u skladu sa zakonom kojim se
uređuje povezivanje privrednih subjekata;
“obavezujuća poslovna pravila” su interna pravila o zaštiti podataka o ličnosti koja su usvojena i koja
se primenjuju od strane rukovaoca, odnosno obrađivača, sa prebivalištem ili boravištem, odnosno
sedištem na teritoriji Republike Srbije, u svrhu regulisanja prenošenja podataka o ličnosti rukovaocu
ili obrađivaču u jednoj ili više država unutar multinacionalne kompanije ili grupe privrednih
subjekata;
“Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu:
Poverenik)” je nezavisan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za
nadzor nad sprovođenjem ovog zakona i obavljanje drugih poslova propisanih zakonom;
“usluga informacionog društva” je svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu,
elektronskim sredstvima na zahtev primaoca usluga;
“međunarodna organizacija” je organizacija ili njeno telo koje uređuje međunarodno javno pravo,
kao i bilo koje drugo telo ustanovljeno sporazumom ili na osnovu sporazuma između država;
“organ vlasti” je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno
preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna
ovlašćenja;
“nadležni organi” su:
organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje
učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i
nacionalnoj bezbednosti;
pravno lice koje je za vršenje poslova iz podtačke a) ove tačke ovlašćeno
II NAČELA
Načela obrade
Podaci o ličnosti moraju:
Član 5
se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose
(“zakonitost, poštenje i
transparentnost”). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno
drugim zakonom kojim se uređuje obrada;
se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu
obrađivati na način koji nije u skladu sa tim svrhama (“ograničenje u odnosu na svrhu obrade”);
biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade (“minimizacija
podataka”);
biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve
razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave
(“tačnost”);
se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje
svrhe obrade (“ograničenje čuvanja”);
se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu
od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom
odgovarajućih tehničkih, organizacionih i kadrovskih mera (“integritet i poverljivost”).
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da
predoči njihovu primenu (“odgovornost za postupanje”).
Obrada u druge svrhe
Član 6
Izuzetno od člana 5. stav 1. tačka 2) ovog zakona, ako se dalja obrada vrši u svrhe arhiviranja u
javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe, u skladu sa ovim
zakonom, smatra se da se podaci o ličnosti ne obrađuju na način koji nije u skladu sa prvobitnom
svrhom.
Ako obrada u svrhu koja je različita od svrhe za koju su podaci prikupljeni nije zasnovana na zakonu
koji propisuje
neophodne i srazmerne mere u demokratskom društvu radi zaštite ciljeva iz člana 40. stav 1. ovog
zakona, ili na pristanku lica na koje se podaci odnose, rukovalac je dužan da oceni da li je ta druga
svrha obrade u skladu sa svrhom obrade za koju su podaci prikupljeni, posebno uzimajući u obzir:
da li postoji veza između svrhe za koju su podaci prikupljeni i druge svrhe nameravane obrade;
okolnosti u kojima su podaci prikupljeni, uključujući i odnos između rukovaoca i lica na koje se podaci
odnose;
prirodu podataka, a posebno da li se obrađuju posebne vrste podataka o ličnosti iz člana 17. ovog
zakona, odnosno podaci o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog
zakona;
moguće posledice dalje obrade za lice na koje se podaci odnose;
primenu odgovarajućih mera zaštite, kao što su kriptozaštita i
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u svrhe
sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela ili izvršenja krivičnih
sankcija, uključujući sprečavanje i zaštitu od pretnji javnoj i nacionalnoj bezbednosti (u daljem
tekstu: u posebne svrhe).
Obrada u druge svrhe od strane nadležnih organa
Član 7
Podaci o ličnosti koji su prikupljeni od strane nadležnih organa u posebne svrhe ne mogu se
obrađivati u svrhu koja je različita od svrhe za koju su podaci prikupljeni, osim ako je ta dalja obrada
propisana zakonom.
Obrada koju vrše nadležni organi u posebne svrhe, koje su različite od svrhe za koji su podaci o
ličnosti prikupljeni, dozvoljena je ako su zajedno ispunjeni sledeći uslovi:
rukovalac je ovlašćen da obrađuje te podatke o ličnosti u takve druge svrhe, u skladu sa zakonom;
obrada je neophodna i srazmerna toj drugoj svrsi, u skladu sa
Obrada koju vrše nadležni organi u posebne svrhe može da obuhvati arhiviranje podataka o ličnosti u
javnom interesu, odnosno njihovo korišćenje u naučne, statističke ili istorijske svrhe, pod uslovom da
se primenjuju odgovarajuće tehničke, organizacione i kadrovske mere u cilju zaštite prava i sloboda
lica na koje se podaci odnose.
Čuvanje, rokovi čuvanja i preispitivanje potrebe čuvanja u posebnim slučajevima
Član 8
Izuzetno od člana 5. stav 1. tačka 5) ovog zakona, podaci o ličnosti koji se obrađuju isključivo u svrhe
arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, kao i u statističke svrhe,
mogu se čuvati i u dužem roku, uz poštovanje odredaba ovog zakona o primeni odgovarajućih
tehničkih, organizacionih i kadrovskih mera, a u cilju zaštite prava i sloboda lica na koje se podaci
odnose.
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, mora se odrediti
rok kada će se ti podaci izbrisati, odnosno rok za periodičnu ocenu potrebe njihovog čuvanja.
Ako rok iz st. 1. i 2. ovog člana nije određen zakonom, određuje ga rukovalac.
Poverenik nadzire poštovanje rokova iz st. 1. do 3. ovog člana u skladu sa svojim ovlašćenjima
propisanim ovim zakonom.
Razlikovanje pojedinih vrsta lica na koje se podaci odnose
Član 9
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je
dužan da prilikom njihove obrade, ako je to moguće, napravi jasnu razliku između podataka koji se
odnose na pojedine vrste lica o kojima se podaci obrađuju, kao što su:
lica protiv kojih postoje osnovi sumnje da su izvršila ili nameravaju da izvrše krivična dela;
lica protiv kojih postoji osnovana sumnja da su izvršila krivična dela;
lica koja su osuđena za krivična dela;
lica oštećena krivičnim delom ili lica za koja se pretpostavlja da bi mogla biti oštećena krivičnim
delom;
druga lica koja su u vezi sa krivičnim delom, kao što su svedoci, lica koja mogu da obezbede
informacije o krivičnom delu, povezana lica ili saradnici lica iz tač. 1) do 3) ovog člana.
Razlikovanje pojedinih vrsta podataka o ličnosti
Član 10
Ako se radi o podacima o ličnosti koje obrađuju nadležni organi u posebne svrhe, nadležni organ je
dužan da, u meri u kojoj je to moguće, podatke o ličnosti koji su zasnovani isključivo na činjeničnom
stanju jasno izdvoji od podataka o ličnosti koji su zasnovani na ličnoj oceni.
Ocena kvaliteta podataka o ličnosti i posebni uslovi obrade koju vrše nadležni organi u posebne
svrhe
Član 11
Nadležni organi koji obrađuju podatke o ličnosti u posebne svrhe su dužni da korišćenjem razumnih
mera obezbede da se netačni, nepotpuni i neažurirani podaci o ličnosti ne prenose, odnosno da ne
budu dostupni.
Tačnost, potpunost i ažuriranost podataka o ličnosti nadležni organi proveravaju, u meri u kojoj je to
moguće, pre započinjanja prenosa, odnosno pre nego što se ti podaci učine dostupnim.
Nadležni organ koji drugom nadležnom organu prenosi podatke o ličnosti dužan je da mu, u meri u
kojoj je to moguće, dostavi i informacije koje su neophodne za ocenu stepena tačnosti, potpunosti,
proverenosti, odnosno pouzdanosti podataka o ličnosti, kao i da mu dostavi obaveštenje o
ažuriranosti tih podataka.
Ako su preneti netačni podaci o ličnosti, odnosno ako su podaci o ličnosti preneti nezakonito,
nadležni organ kome su podaci preneti o tome se mora obavestiti bez odlaganja, a podaci o ličnosti
koji su preneti moraju biti ispravljeni ili izbrisani, odnosno njihova obrada mora biti ograničena u
skladu sa ovim zakonom.
Ako se za obradu zakonom zahtevaju posebni uslovi, nadležni organ koji prenosi podatke o ličnosti
dužan je da upozna primaoca podataka sa tim posebnim uslovima, kao i obavezom njihovog
ispunjenja.
Zakonitost obrade
Član 12
Obrada je zakonita samo ako je ispunjen jedan od sledećih uslova:
lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili
više posebno određenih svrha;
obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za
preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog
fizičkog lica;
obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih
ovlašćenja rukovaoca;
obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su
nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji
zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ vlasti u okviru svoje
nadležnosti. Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u
posebne svrhe.
Zakonitost obrade koju vrše nadležni organi u posebne svrhe
Član 13
Obrada koju vrše nadležni organi u posebne svrhe je zakonita samo ako je ta obrada neophodna za
obavljanje poslova nadležnih organa i ako je propisana zakonom. Takvim zakonom se određuju
najmanje ciljevi obrade, podaci o ličnosti koji se obrađuju i svrhe obrade.
Zakonitost obrade u posebnim slučajevima
Član 14
Osnov za obradu iz člana 12. stav 1. tač. 3) i 5) ovog zakona određuje se zakonom.
Ako se radi o obradi iz člana 12. stav 1. tačka 3) ovog zakona, zakonom se određuje i svrha obrade, a
ako se radi o obradi iz člana 12. stav 1. tačka 5) ovog zakona, zakonom se propisuje da je obrada
neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja
rukovaoca.
Zakonom iz stava 1. ovog člana propisuje se javni interes koji se namerava ostvariti, kao i obaveza
poštovanja pravila o srazmernosti obrade u odnosu na cilj koji se namerava ostvariti, a mogu se
propisati i uslovi za dozvoljenost obrade od
strane rukovaoca, vrsta podataka koji su predmet obrade, lica na koje se podaci o ličnosti odnose,
lica kojima se podaci mogu otkriti i svrha njihovog otkrivanja, ograničenja koja se odnose na svrhu
obrade, rok pohranjivanja i čuvanja podataka, kao i druge posebne radnje i postupak obrade,
uključujući i mere za obezbeđivanje zakonite i poštene obrade.
Pristanak
Član 15
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo
na obradu svojih podataka o ličnosti.
Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga
pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih
pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo
pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka
ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja
pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu
opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora
voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem
pristanka koji nije neophodan za njegovo izvršenje.
Pristanak maloletnog lica u vezi sa korišćenjem usluga informacionog društva
Član 16
Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o
svojoj ličnosti u korišćenju usluga informacionog društva.
Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka iz stava 1. ovog člana
pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog
lica.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši
roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne
tehnologije.
Obrada posebnih vrsta podataka o ličnosti
Član 17
Zabranjena je obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili
filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka
u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom
životu ili seksualnoj orijentaciji fizičkog lica.
Izuzetno, obrada iz stava 1. ovog člana dopuštena je u sledećim slučajevima:
lice na koje se podaci odnose je dalo izričit pristanak za obradu za jednu ili više svrha obrade, osim
ako je zakonom propisano da se obrada ne vrši na osnovu pristanka;
obrada je neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca
ili lica na koje se podaci odnose u oblasti rada, socijalnog osiguranja i socijalne zaštite, ako je takva
obrada propisana zakonom ili kolektivnim ugovorom koji propisuje primenu odgovarajućih mera
zaštite osnovnih prava, sloboda i interesa lica na koje se podaci odnose;
obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog
fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
obrada se vrši u okviru registrovane delatnosti i uz primenu odgovarajućih mera zaštite od strane
zadužbine, fondacije, udruženja ili druge nedobitne organizacije sa političkim, filozofskim, verskim ili
sindikalnim ciljem, pod uslovom da se obrada odnosi isključivo na članove, odnosno bivše članove te
organizacije ili lica koja imaju redovne kontakte sa njom u vezi sa ciljem organizacije, kao i da se
podaci o ličnosti ne otkrivaju izvan te organizacije bez pristanka lica na koje se odnose;
obrađuju se podaci o ličnosti koje je lice na koje se oni odnose očigledno učinilo javno dostupnim;
obrada je neophodna u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili u slučaju kad
sud postupa u okviru svoje nadležnosti;
obrada je neophodna u cilju ostvarivanja značajnog javnog interesa određenog zakonom, ako je
takva obrada srazmerna ostvarivanju cilja, uz poštovanje suštine prava na zaštitu podataka o ličnosti
i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih prava i interesa lica na
koje se ovi podaci odnose;
obrada je neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne
sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluga zdravstvene ili socijalne zaštite,
odnosno upravljanja zdravstvenim ili socijalnim sistemima, na osnovu zakona ili na osnovu ugovora
sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod
nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne
propisane zakonom ili profesionalnim pravilima;
obrada je neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita
od ozbiljnih prekograničnih pretnji zdravlju stanovništva ili obezbeđivanje visokih standarda kvaliteta
i sigurnosti zdravstvene zaštite i lekova ili medicinskih sredstava, na osnovu zakona koji obezbeđuje
odgovarajuće i posebne mere zaštite prava i sloboda lica na koje se podaci odnose, posebno u
pogledu čuvanja profesionalne tajne;
obrada je neophodna u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog
istraživanja i u statističke svrhe, u skladu sa članom 92. stav 1. ovog zakona, ako je takva obrada
srazmerna ostvarivanju ciljeva koji se nameravaju postići, uz poštovanje suštine prava na zaštitu
podataka o ličnosti i ako je obezbeđena primena odgovarajućih i posebnih mera zaštite osnovnih
prava i interesa lica na koje se ovi podaci
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Obrada posebnih vrsta podataka o ličnosti koju vrše nadležni organi u posebne svrhe
Član 18
Obrada koju vrše nadležni organi u posebne svrhe, kojom se otkriva rasno ili etničko poreklo,
političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih
podataka, biometrijskih podataka u cilju jedinstvene
identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili
seksualnoj orijentaciji fizičkog lica, dopuštena je samo ako je to neophodno, uz primenu
odgovarajućih mera zaštite prava lica na koje se podaci odnose, u jednom od sledećih slučajeva:
nadležni organ je zakonom ovlašćen da obrađuje posebne vrste podataka o ličnosti;
obrada posebnih vrsta podataka o ličnosti vrši se u cilju zaštite životno važnih interesa lica na koje se
podaci odnose ili drugog fizičkog lica;
obrada se odnosi na posebne vrste podataka o ličnosti koje je lice na koje se oni odnose očigledno
učinilo dostupnim javnosti.
Obrada u vezi sa krivičnim presudama i kažnjivim delima
Član 19
Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti,
može se vršiti na osnovu člana 12. stav 1. ovog zakona samo pod nadzorom nadležnog organa ili, ako
je obrada dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica
na koje se podaci odnose.
Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog
organa.
Obrada koja ne zahteva identifikaciju
Član 20
Ako za ostvarivanje svrhe obrade nije potrebno, odnosno više nije potrebno da rukovalac identifikuje
lice na koje se podaci odnose, rukovalac nije dužan da zadrži, pribavi ili obradi dodatne informacije
radi identifikacije tog lica samo u cilju primene ovog zakona.
Ako je u slučaju iz stava 1. ovog člana rukovalac u mogućnosti da predoči da ne može da identifikuje
lice na koje se podaci odnose, dužan je da o tome na odgovarajući način informiše to lice, ako je to
moguće.
U slučaju iz st. 1. i 2. ovog člana ne primenjuju se odredbe člana 26. st. 1. do 4, člana 29, člana 30. st.
1. do 5, člana 31. st.
do 3, člana 33. st. 1. i 2. i člana 36. st. 1. do 4. ovog zakona, osim ako lice na koje se podaci odnose, u
cilju ostvarivanja prava iz tih članova, dostavi dodatne informacije koje omogućavaju njegovu
identifikaciju.
Odredbe st. 2. i 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
III PRAVA LICA NA KOJE SE PODACI ODNOSE
Transparentnost i načini ostvarivanja prava
Transparentne informacije, informisanje i načini ostvarivanja prava lica na koje se podaci odnose
Član 21
Rukovalac je dužan da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve
informacije iz čl. 23. i
ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33,
čl. 36. do 38. i člana
ovog zakona, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i
jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Te
informacije pružaju se u pismenom ili drugom obliku,
uključujući i elektronski oblik, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva,
informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz
člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona. U slučajevima iz člana 20. st. 2. i 3. ovog
zakona, rukovalac ne može odbiti da postupi po zahtevu lica na koje se podaci odnose u ostvarivanju
njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, osim ako rukovalac
predoči da nije u mogućnosti da identifikuje lice.
Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu
zahteva iz člana 26, čl. 29.
do 31, člana 33. i čl. 36. do 38. ovog zakona bez odlaganja, a najkasnije u roku od 30 dana od dana
prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir
složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da
obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva. Ako je lice na
koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim
putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za
nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema
zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Rukovalac pruža informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem
prava iz člana 26, čl.
do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona bez naknade. Ako je zahtev lica na koje se
podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja,
rukovalac može da:
naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
odbije da postupi po
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 26, čl. 29. do 31,
člana 33. i čl. 36. do 38. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija
neophodnih za potvrdu identiteta lica, što ne isključuje primenu člana 20. ovog zakona.
Informacije koje se pružaju licima na koje se podaci odnose u skladu sa čl. 23. i 24. ovog zakona
mogu se pružiti u kombinaciji sa standardizovanim ikonama prikazanim u elektronskom obliku kako
bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu
obradu. Mora se obezbediti da standardizovane ikone prikazane u elektronskom obliku budu čitljive
na elektronskom uređaju.
Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u
elektronskom obliku i uređuje postupak za njihovo utvrđivanje.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u
posebne svrhe.
Informisanje i načini ostvarivanja prava lica na koje se odnose podaci ako obradu vrše nadležni
organi u posebne svrhe
Član 22
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da preduzme razumne mere da
bi licu na koje se podaci odnose pružio sve informacije iz člana 25. ovog zakona, odnosno informacije
u vezi sa ostvarivanjem prava iz čl. 27, 28, 32, 34, 35, 39. i 53. ovog zakona, na sažet, razumljiv i lako
dostupan način, korišćenjem jasnih i jednostavnih reči. Te informacije se pružaju na bilo koji
primeren način, uključujući i elektronskim putem. Po pravilu, rukovalac pruža informacije u obliku u
kojem je sadržan zahtev lica na koje se podaci odnose.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz čl.
27, 28, 32, 34, 35. i 39. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose bez odlaganja u pismenom obliku pruži
informacije o postupanju po njegovom zahtevu.
Rukovalac pruža informacije iz člana 25. ovog zakona i postupa u skladu sa čl. 27, 28, 32, 34, 35, 39. i
53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili
preteran, a posebno ako se isti zahtev
učestalo ponavlja, nadležni organ može da:
naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
odbije da postupi po
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 27. ili člana 32. ovog
zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu
identiteta tog lica.
Informacije i pristup podacima o ličnosti
Informacije koje se pružaju kad se podaci o ličnosti prikupljaju od lica na koje se odnose
Član 23
Ako se podaci o ličnosti prikupljaju od lica na koje se odnose, rukovalac je dužan da u trenutku
prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:
o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
o svrsi nameravane obrade i pravnom osnovu za obradu;
o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana 12.
stav 1. tačka 6) ovog zakona;
o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu
organizaciju, kao i o tome da li se ta država ili međunarodna organizacija nalazi na listi iz člana stav 7.
ovog zakona, a u slučaju prenosa iz čl. 65. i
ili člana 69. stava 2. ovog zakona, o upućivanju na odgovarajuće mere zaštite, kao i o načinu na koji
se lice na koje se podaci odnose može upoznati sa tim
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da u trenutku prikupljanja podataka o
ličnosti licu na koje se podaci odnose pruži i sledeće dodatne informacije koje mogu da budu
neophodne da bi se obezbedila poštena i transparentna obrada u odnosu na to lice:
o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o
ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na
prenosivost podataka;
o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče
na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav
1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
o pravu da se podnese pritužba Povereniku;
o tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka
neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima
obavezu da da podatke o svojoj ličnosti i o mogućim posledicama ako se podaci ne daju;
o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog
zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o
značaju i očekivanim posledicama te obrade po lice na koje se podaci
Ako rukovalac namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one
za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se
podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog
člana.
Ako je lice na koje se podaci odnose već upoznato sa nekom od informacija iz st. 1. do 3. ovog člana,
rukovalac nema obavezu pružanja tih informacija.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u
posebne svrhe.
Informacije koje se pružaju kad se podaci o ličnosti ne prikupljaju od lica na koje se odnose Član 24
Ako se podaci o ličnosti ne prikupljaju od lica na koje se odnose, rukovalac je dužan da licu na koje se
podaci odnose pruži sledeće informacije:
o identitetu i kontakt podacima rukovaoca, kao i njegovog predstavnika, ako je on određen;
kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
o svrsi nameravane obrade i pravnom osnovu za obradu;
o vrsti podataka koji se obrađuju;
o primaocu, odnosno grupi primalaca podataka o ličnosti, ako oni postoje;
o činjenici da rukovalac namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu
organizaciju, kao i o tome da li se ova država, odnosno međunarodna organizacija nalazi na listi iz
člana 64. stav 7. ovog zakona, a u slučaju prenosa iz čl. i 67. ili člana 69. stav 2. ovog zakona, o
upućivanju na odgovarajuće mere zaštite, kao i načinu na koji se lice može upoznati sa tim merama.
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose pruži i
sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i
transparentna obrada u odnosu na lice na koje se podaci odnose:
o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
o postojanju legitimnog interesa rukovaoca ili treće strane, ako se obrada vrši na osnovu člana stav
1. tačka 6) ovog zakona;
o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje podataka o njegovoj
ličnosti, odnosno prava na ograničenje obrade, prava na prigovor na obradu, kao i prava na
prenosivost podataka;
o postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče
na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav
1. tačka 1) ili člana 17. stav 2. tačka 1) ovog zakona;
o pravu da se podnese pritužba Povereniku;
o izvoru iz kog potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora;
o postojanju automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. ovog
zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o
značaju i očekivanim posledicama te obrade po lice na koje se podaci
Rukovalac je dužan da informacije iz st. 1. i 2. ovog člana pruži:
u razumnom roku posle prikupljanja podataka o ličnosti, a najkasnije u roku od 30 dana, uzimajući u
obzir sve posebne okolnosti obrade;
najkasnije prilikom uspostavljanja prve komunikacije, ako se podaci o ličnosti koriste za komunikaciju
sa licem na koje se odnose;
najkasnije prilikom prvog otkrivanja podataka o ličnosti, ako je predviđeno otkrivanje podataka o
ličnosti drugom
Ako rukovalac namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one
za koju su podaci prikupljeni, rukovalac je dužan da pre započinjanja dalje obrade, licu na koje se
podaci odnose, pruži informacije o toj drugoj svrsi, kao i sve ostale bitne informacije iz stava 2. ovog
člana.
Rukovalac nije dužan da licu na koje se odnose podaci o ličnosti pruži informacije iz st. 1. do 4. ovog
člana ako:
lice na koje se podaci o ličnosti odnose već ima te informacije;
je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena i sredstava, a
naročito u slučaju obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog
istraživanja, kao i u statističke svrhe, ako se primenjuju uslovi i mere iz člana stav 1. ovog zakona ili
ako je verovatno da bi izvršenje obaveza iz stava 1. ovog člana onemogućilo ili bitno otežalo
ostvarivanje svrhe obrade. U tim slučajevima rukovalac je dužan da preduzme odgovarajuće mere
zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose, što uključuje i javno
objavljivanje informacija;
je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju
odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose;
se poverljivost podataka o ličnosti mora čuvati u skladu sa obavezom čuvanja profesionalne tajne
koja je propisana zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u
posebne svrhe.
Informacije koje se stavljaju na raspolaganje ili pružaju licu na koje se podaci odnose, ako obradu
vrše nadležni organi u posebne svrhe
Član 25
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da licu na koje se podaci o
ličnosti odnose stavi na raspolaganje najmanje sledeće informacije:
o identitetu i kontakt podacima rukovaoca;
kontakt podatke lica za zaštitu podataka o ličnosti, ako je ono određeno;
o svrsi nameravane obrade;
o pravu da se podnese pritužba Povereniku i kontakt podatke Poverenika;
o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o
ličnosti, odnosno postojanju prava na ograničenje obrade tih
Uz informacije iz stava 1. ovog člana, rukovalac je dužan da licu na koje se podaci odnose, da bi mu
se u određenim slučajevima omogućilo ostvarivanje njegovih prava, pruži sledeće dodatne
informacije:
o pravnom osnovu za obradu;
o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;
o grupi primalaca podataka o ličnosti, ako oni postoje, uključujući i one u drugim državama ili
međunarodnim organizacijama;
druge podatke, ako je to neophodno, a posebno ako su podaci o ličnosti prikupljeni bez znanja lica
na koje se
Informacije iz stava 2. ovog člana koje se odnose na pojedine vrste obrade mogu se uskratiti,
odnosno pružiti ograničeno ili odloženo licu na koje se podaci o ličnosti odnose, samo u onoj meri i u
onom trajanju dok je to neophodno i srazmerno u demokratskom društvu u odnosu na poštovanje
osnovnih prava i legitimnih interesa fizičkih lica, kako bi se:
izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje
krivičnih sankcija;
zaštitila javna bezbednost;
zaštitila nacionalna bezbednost i odbrana;
zaštitila prava i slobode drugih
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od
slučajeva iz stava 3. ovog člana.
Pravo lica na koje se podaci o ličnosti odnose na pristup Član 26
Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje
njegove podatke o ličnosti, pristup tim podacima, kao i sledeće informacije:
o svrsi obrade;
o vrstama podataka o ličnosti koji se obrađuju;
o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a
posebno primaocima u drugim državama ili međunarodnim organizacijama;
o predviđenom roku čuvanja podataka o ličnosti, ili ako to nije moguće, o kriterijumima za
određivanje tog roka;
o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti,
prava na ograničenje obrade i prava na prigovor na obradu;
o pravu da se podnese pritužba Povereniku;
dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na
koje se odnose;
o postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje iz člana st. 1. i 4.
ovog zakona, i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi,
kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.
Ako se podaci o ličnosti prenose u drugu državu ili međunarodnu organizaciju, lice na koje se odnose
ima pravo da bude informisano o odgovarajućim merama zaštite koje se odnose na prenos, u skladu
sa članom 65. ovog zakona.
Rukovalac je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje
obrađuje. Rukovalac može da zahteva naknadu nužnih troškova za izradu dodatnih kopija koje
zahteva lice na koje se podaci odnose. Ako se zahtev za kopiju dostavlja elektronskim putem,
informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je lice na koje se
podaci odnose zahtevalo drugačije dostavljanje.
Ostvarivanje prava i sloboda drugih lica ne može se ugroziti ostvarivanjem prava na dostavljanje
kopije iz stava 3. ovog člana.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Pravo lica na koje se odnose podaci na pristup podacima koje obrađuju nadležni organi u posebne
svrhe Član 27
Ako podatke o ličnosti obrađuju nadležni organi u posebne svrhe, lice na koje se podaci odnose ima
pravo da od rukovaoca dobije informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup
tim podacima, kao i sledeće informacije:
o svrsi obrade i pravnom osnovu za obradu;
o vrstama podataka o ličnosti koji se obrađuju;
o primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni, a posebno primaocima u
drugim državama ili međunarodnim organizacijama;
o predviđenom roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za
određivanje tog roka;
o postojanju prava da se od rukovaoca zahteva ispravka ili brisanje njegovih podataka o ličnosti,
odnosno prava na ograničenje obrade tih podataka;
o pravu da se podnese pritužba Povereniku, kao i kontakt podacima Poverenika;
informacije o podacima o ličnosti koji se obrađuju, kao i dostupne informacije o njihovom
Ograničenje prava na pristup Član 28
Pravo na pristup iz člana 27. ovog zakona može se ograničiti, u celini ili delimično, samo u onoj meri i
u onom trajanju u kome je takvo delimično ili potpuno ograničenje neophodno i predstavlja
srazmernu meru u demokratskom društvu, uz poštovanje osnovnih prava i legitimnih interesa lica čiji
se podaci obrađuju, kako bi se:
izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje
krivičnih sankcija;
zaštitila javna bezbednost;
zaštitila nacionalna bezbednost i odbrana;
zaštitila prava i slobode drugih
Zakonom se mogu odrediti vrste obrade koje, u celini ili delimično, mogu biti obuhvaćene nekim od
slučajeva iz stava 1. ovog člana.
Rukovalac je dužan da pismeno obavesti lice na koje se podaci odnose da je pristup njegovim
podacima o ličnosti odbijen ili ograničen, kao i o razlozima za odbijanje ili ograničenje, bez
nepotrebnog odlaganja, a najkasnije u roku od 15 dana.
Rukovalac nije dužan da postupi u skladu sa stavom 3. ovog člana ako bi se time dovelo u pitanje
ostvarivanje svrhe zbog koje je pristup odbijen ili ograničen.
U slučaju iz stava 4. ovog člana, kao i u slučaju ako se u postupku po zahtevu za pristup podacima
utvrdi da se podaci o ličnosti podnosioca zahteva ne obrađuju, rukovalac ima obavezu da bez
nepotrebnog odlaganja, a najkasnije u roku od 15 dana, pismeno obavesti podnosioca zahteva da je
proverom utvrđeno da ne postoje podaci o ličnosti u vezi kojih se mogu ostvariti prava predviđena
zakonom, kao i da se može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da dokumentuje činjenične i pravne razloge za donošenje odluke o ograničenju
prava iz stava 1. ovog člana, koji moraju biti stavljeni na raspolaganje Povereniku, na njegov zahtev.
Pravo na ispravku, dopunu, brisanje, ograničenje i prenosivost
Pravo na ispravku i dopunu Član 29
Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog
odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje
nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.
Pravo na brisanje podataka o ličnosti Član 30
Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca.
Rukovalac je dužan da bez nepotrebnog odlaganja podatke iz stava 1. ovog člana izbriše u sledećim
slučajevima:
podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način
obrađivani;
lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, u skladu sa
članom 12. stav 1. tačka 1) ili članom 17. stav 2. tačka 1) ovog zakona, a nema drugog pravnog
osnova za obradu;
lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa:
članom 37. stav 1. ovog zakona, a nema drugog pravnog osnova za obradu koji preteže nad
legitimnim interesom, pravom ili slobodom lica na koje se podaci odnose,
članom 37. stav 2. ovog zakona;
podaci o ličnosti su nezakonito obrađivani;
podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obaveza rukovaoca;
podaci o ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva iz člana stav 1.
ovog zakona.
Ako je rukovalac javno objavio podatke o ličnosti, njegova obaveza da izbriše podatke u skladu sa
stavom 1. ovog člana obuhvata i preduzimanje svih razumnih mera, uključujući i tehničke mere, u
skladu sa dostupnim tehnologijama i mogućnostima snošenja troškova njihove upotrebe, u cilju
obaveštavanja drugih rukovaoca koji te podatke obrađuju da je lice na koje se podaci odnose
podnelo zahtev za brisanje svih kopija ovih podataka i upućivanja, odnosno elektronskih veza prema
ovim podacima.
Lice na koje se podaci odnose podnosi zahtev za ostvarivanje prava iz stava 1. ovog člana rukovaocu.
Stavovi 1. do 3. ovog člana ne primenjuju se u meri u kojoj je obrada neophodna zbog:
ostvarivanja slobode izražavanja i informisanja;
poštovanja zakonske obaveze rukovaoca kojom se zahteva obrada ili izvršenja poslova u javnom
interesu ili izvršenja službenih ovlašćenja rukovaoca;
ostvarivanja javnog interesa u oblasti javnog zdravlja, u skladu sa članom 17. stav 2. tač. 8) i 9) ovog
zakona;
svrhe arhiviranja u javnom interesu, svrhe naučnog ili istorijskog istraživanja, kao i statističke svrhe u
skladu sa članom 92. stav 1. ovog zakona, a opravdano se očekuje da bi ostvarivanje prava iz st. 1. i 2.
ovog člana moglo da onemogući ili bitno ugrozi ostvarivanje ciljeva te svrhe;
podnošenja, ostvarivanja ili odbrane pravnog
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Pravo na ograničenje obrade Član 31
Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane
rukovaoca ako je ispunjen jedan od sledećih slučajeva:
lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava
rukovaocu proveru tačnosti podataka o ličnosti;
obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto
brisanja zahteva ograničenje upotrebe podataka;
rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se
podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa članom stav 1. ovog zakona,
a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima
tog lica.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, ti podaci mogu se dalje obrađivati samo
na osnovu pristanka lica na koje se podaci odnose, osim ako se radi o njihovom pohranjivanju ili u
cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva ili zbog zaštite prava drugih fizičkih,
odnosno pravnih lica ili zbog ostvarivanja značajnih javnih interesa.
Ako je obrada ograničena u skladu sa stavom 1. ovog člana, rukovalac je dužan da informiše lice na
koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Odredbe st. 1. do 3. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Pravo na brisanje ili ograničenje obrade koju vrše nadležni organi u posebne svrhe Član 32
Ako obradu vrše nadležni organi u posebne svrhe, lice na koje se oni odnose ima pravo da se njegovi
podaci o ličnosti izbrišu od strane rukovaoca, a rukovalac je dužan da bez nepotrebnog odlaganja
izbriše te podatke ako su obradom povređene odredbe čl. 5, 13. i 18. ovog zakona ili ako podaci o
ličnosti moraju biti izbrisani zbog ispunjenja zakonske obaveze rukovaoca.
Rukovalac je dužan da ograniči obradu, umesto da izbriše podatke o ličnosti, ako se radi o jednom od
sledećih slučajeva:
tačnost podataka o ličnosti je osporena od strane lica na koje se podaci odnose, a njihova tačnost,
odnosno netačnost se ne može utvrditi;
podaci o ličnosti moraju biti sačuvani u cilju prikupljanja i obezbeđivanja
Ako je obrada ograničena u skladu sa stavom 2. tačka 1) ovog člana, rukovalac je dužan da informiše
lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade Član
33
Rukovalac je dužan da obavesti sve primaoce kojima su podaci o ličnosti otkriveni o svakoj ispravci ili
brisanju podataka o ličnosti ili ograničenju njihove obrade u skladu sa članom 29, članom 30. stav 1. i
članom 31. ovog zakona, osim ako je to nemoguće ili zahteva prekomeran utrošak vremena i
sredstava.
Rukovalac je dužan da lice na koje se podaci odnose, na njegov zahtev, informiše o svim primaocima
iz stava 1. ovog člana. Odredbe st. 1. do 2. ovog člana ne primenjuju se na obradu koju vrše nadležni
organi u posebne svrhe.
Obaveza obaveštavanja u vezi sa ispravkom ili brisanjem podataka, kao i ograničenjem obrade koju
vrše nadležni organi u posebne svrhe
Član 34
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da pismeno obavesti lice na
koje se podaci odnose o odbijanju ispravljanja ili brisanja njegovih podataka o ličnosti, odnosno
ograničavanju obrade, kao i o razlozima za to odbijanje ili ograničavanje.
Rukovalac se potpuno ili delimično oslobađa obaveze obaveštavanja iz stava 1. ovog člana u onoj
meri u kojoj takvo ograničenje predstavlja neophodnu i srazmernu meru u demokratskom društvu,
uz dužno poštovanje osnovnih prava i legitimnih interesa lica čiji se podaci obrađuju, kako bi se:
izbeglo ometanje službenog ili zakonom uređenog prikupljanja informacija, istrage ili postupaka;
omogućilo sprečavanje, istraga i otkrivanje krivičnih dela, gonjenje učinilaca krivičnih dela ili izvršenje
krivičnih sankcija;
zaštitila javna bezbednost;
zaštitila nacionalna bezbednost i odbrana;
zaštitila prava i slobode drugih
U slučaju iz st. 1. i 2. ovog člana, rukovalac je dužan da informiše lice na koje se podaci odnose da se
može pritužbom obratiti Povereniku, odnosno tužbom sudu.
Rukovalac je dužan da o ispravci netačnih podataka obavesti nadležni organ od koga su ovi podaci
dobijeni.
Ako su podaci o ličnosti ispravljeni, izbrisani ili je njihova obrada ograničena u skladu sa članom 29. i
članom 32. st. 1. i 2. ovog zakona, rukovalac je dužan da primaoce tih podataka obavesti o njihovoj
ispravci, brisanju ili ograničenju obrade.
Primaoci podataka koji su obavešteni u skladu sa stavom 5. ovog člana dužni su da podatke koji se
kod njih nalaze isprave, izbrišu ili ograniče njihovu obradu.
Ostvarivanje prava lica na koje se odnose podaci kada obradu vrše nadležni organi u posebne svrhe i
provera Poverenika
Član 35
U slučajevima iz člana 25. stav 3, člana 28. st. 3. i 4. i člana 34. stav 2. ovog zakona, prava lica na koje
se odnose podaci mogu se ostvariti i preko Poverenika, u skladu sa njegovim ovlašćenjima
propisanim ovim zakonom.
Rukovalac je dužan da obavesti lice na koje se podaci odnose da u slučajevima iz stava 1. ovog člana
može da ostvari svoja prava preko Poverenika.
Ako se, u slučajevima iz stava 1. ovog člana, prava lica na koje se podaci odnose ostvaruju preko
Poverenika, Poverenik je dužan da obavesti to lice najmanje o tome da je izvršena provera i nadzor
nad obradom njegovih podataka o ličnosti, kao i o pravu da se za zaštitu svojih prava može obratiti
sudu.
Pravo na prenosivost podataka Član 36
Lice na koje se podaci odnose ima pravo da njegove podatke o ličnosti koje je prethodno dostavilo
rukovaocu primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i
ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti
podaci bili dostavljeni, ako su zajedno ispunjeni sledeći uslovi:
obrada je zasnovana na pristanku u skladu sa članom stav 1. tačka 1) ili članom 17. stav 2. tačka 1)
ovog zakona ili na osnovu ugovora, u skladu sa članom 12. stav 1. tačka 2) ovog zakona;
obrada se vrši
Pravo iz stava 1. ovog člana obuhvata i pravo lica da njegovi podaci o ličnosti budu neposredno
preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ako je to
tehnički izvodljivo.
Ostvarivanje prava iz stava 1. ovog člana nema uticaja na primenu člana 30. ovog zakona. Pravo iz
stava 1. ovog člana se ne može ostvariti ako je obrada nužna za izvršenje poslova od javnog interesa
ili za vršenje službenih ovlašćenja rukovaoca.
Ostvarivanje prava iz stava 1. ovog člana ne može štetno uticati na ostvarivanje prava i sloboda
drugih lica. Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u
posebne svrhe.
Pravo na prigovor i automatizovano donošenje pojedinačnih odluka
Pravo na prigovor Član 37
Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, lice na koje se podaci
odnose ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka
o ličnosti, koja se vrši u skladu sa članom 12.
stav 1. tač. 5) i 6) ovog zakona, uključujući i profilisanje koje se zasniva na tim odredbama. Rukovalac
je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da
postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se
podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih
podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje, u
meri u kojoj je ono povezano sa direktnim oglašavanjem.
Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja,
podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.
Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se
podaci odnose, upozori to lice na postojanje prava iz st. 1. i 2. ovog člana i da ga upozna sa tim
pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.
U korišćenju usluga informacionog društva, lice na koje se podaci odnose ima pravo da podnese
prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga.
Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u
skladu sa članom 92. ovog zakona, lice na koje se podaci odnose na osnovu svoje posebne situacije
ima pravo da podnese prigovor na obradu svojih podataka o ličnosti, osim ako je obrada neophodna
za obavljanje poslova u javnom interesu.
Automatizovano donošenje pojedinačnih odluka i profilisanje Član 38
Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na
osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne
posledice po to lice ili ta odluka značajno utiče na njegov položaj.
Stav 1. ovog člana ne primenjuje se ako je odluka:
neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda i
legitimnih interesa lica na koje se podaci odnose;
zasnovana na izričitom pristanku lica na koje se podaci
U slučaju iz stava 2. tač. 1) i 3) ovog člana rukovalac je dužan da primeni odgovarajuće mere zaštite
prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi
učešće fizičkog lica pod kontrolom
rukovaoca u donošenju odluke, pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa
odlukom, kao i pravo lica na koje se podaci odnose da ospori odluku pred ovlašćenim licem
rukovaoca.
Odluke iz stava 2. ovog člana ne mogu se zasnivati na posebnim vrstama podataka o ličnosti iz člana
17. stav 1. ovog zakona, osim ako se primenjuje član 17. stav 2. tač. 1) i 5) ovog zakona i ako su
obezbeđene odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci
odnose.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u
posebne svrhe.
Automatizovano donošenje pojedinačnih odluka i profilisanje u vezi sa obradom koju vrše nadležni
organi u posebne svrhe
Član 39
Zabranjeno je donošenje odluke isključivo na osnovu automatizovane obrade koju vrše nadležni
organi u posebne svrhe, uključujući i profilisanje, ako takva odluka može da proizvede štetne pravne
posledice po lice na koje se podaci odnose ili značajno utiče na položaj tog lica, osim ako je
donošenje te odluke zasnovano na zakonu i ako su tim zakonom propisane odgovarajuće mere
zaštite prava i sloboda lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće
fizičkog lica pod kontrolom rukovaoca u donošenju odluke.
Odluka iz stava 1. ovog člana ne može se zasnivati na posebnim vrstama podataka o ličnosti iz člana
18. stav 1. ovog zakona, osim ako se primenjuju odgovarajuće mere zaštite prava, sloboda i
legitimnih interesa lica na koje se podaci odnose.
Zabranjeno je profilisanje koje dovodi do diskriminacije fizičkih lica na osnovu posebnih vrsta
podataka o ličnosti iz člana 18. stav 1. ovog zakona.
Ograničenja
Član 40
Prava i obaveze iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33, čl. 36. do 39. i člana 53, kao i člana 5. ovog
zakona ako se te
odredbe odnose na ostvarivanje prava i obaveza iz čl. 21, 23, 24, 26, čl. 29. do 31, člana 33. i čl. 36.
do 39. ovog zakona, mogu se ograničiti ako ta ograničenja ne zadiru u suštinu osnovnih prava i
sloboda i ako to predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu:
nacionalne bezbednosti;
odbrane;
javne bezbednosti;
sprečavanja, istrage i otkrivanja krivičnih dela, gonjenja učinilaca krivičnih dela, ili izvršenje krivičnih
sankcija, uključujući sprečavanje i zaštitu od pretnji po javnu bezbednost;
drugih važnih opštih javnih interesa, a posebno važnih državnih ili finansijskih interesa Republike
Srbije, uključujući monetarnu politiku, budžet, poreski sistem, javno zdravlje i socijalnu zaštitu;
nezavisnosti pravosuđa i sudskih postupaka;
sprečavanja, istraživanja, otkrivanja i gonjenja za povredu profesionalne etike;
funkcije praćenja, nadzora ili vršenja regulatorne funkcije koja je stalno ili povremeno povezana sa
vršenjem službenih ovlašćenja u slučajevima iz tač. 1) do 5) i tačke 7) ovog stava;
lica na koje se podaci odnose ili prava i sloboda drugih lica;
ostvarivanja potraživanja u građanskim
Prilikom primene ograničenja prava i obaveza iz stava 1. ovog člana moraju se, prema potrebi, uzeti
u obzir najmanje:
svrhe obrade ili vrste obrade;
vrste podataka o ličnosti;
obim ograničenja;
mere zaštite u cilju sprečavanja zloupotrebe, nedozvoljenog pristupa ili prenosa podataka o ličnosti;
posebnosti rukovaoca, odnosno vrsta rukovaoca;
rok čuvanja i mere zaštite podataka o ličnosti koje se mogu primeniti, s obzirom na prirodu, obim i
svrhu obrade ili vrste obrade;
rizici po prava i slobode lica na koje se podaci odnose;
pravo lica na koje se odnose podaci da bude informisano o ograničenju, osim ako to informisanje
onemogućava ostvarivanje svrhe ograničenja.
Odredbe st. 1. i 2. ovog člana primenjuju se i u slučaju kad se obrada od strane nadležnih organa ne
vrši u posebne svrhe.
IV RUKOVALAC I OBRAĐIVAČ
Opšte obaveze
Obaveze rukovaoca Član 41
Rukovalac je dužan da preduzme odgovarajuće tehničke, organizacione i kadrovske mere kako bi
obezbedio da se obrada vrši u skladu sa ovim zakonom i bio u mogućnosti da to predoči, uzimajući u
obzir prirodu, obim, okolnosti i svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za
prava i slobode fizičkih lica.
Mere iz stava 1. ovog člana se preispituju i ažuriraju, ako je to neophodno.
Ako je to u srazmeri sa obradom podataka, mere iz stava 1. ovog člana uključuju primenu
odgovarajućih internih akata rukovaoca o zaštiti podataka o ličnosti.
Rukovalac može predočiti da se pridržava obaveza iz stava 1. ovog člana i na osnovu primene
odobrenog kodeksa postupanja iz člana 59. ovog zakona ili izdatog sertifikata iz člana 61. ovog
zakona.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Mere zaštite Član 42
Uzimajući u obzir nivo tehnoloških dostignuća i troškove njihove primene, prirodu, obim, okolnosti i
svrhu obrade, kao i verovatnoću nastupanja rizika i nivo rizika za prava i slobode fizičkih lica koji
proizilaze iz obrade, rukovalac je prilikom određivanja načina obrade, kao i u toku obrade, dužan da:
primeni odgovarajuće tehničke, organizacione i kadrovske mere, kao što je pseudonimizacija, koje
imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je
smanjenje broja podataka;
obezbedi primenu neophodnih mehanizama zaštite u toku obrade, kako bi se ispunili uslovi za
obradu propisani ovim zakonom i zaštitila prava i slobode lica na koja se podaci
Rukovalac je dužan da stalnom primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera
obezbedi da se uvek obrađuju samo oni podaci o ličnosti koji su neophodni za ostvarivanje svake
pojedinačne svrhe obrade. Ta se obaveza primenjuje u odnosu na broj prikupljenih podataka, obim
njihove obrade, rok njihovog pohranjivanja i njihovu dostupnost.
Merama iz stava 2. ovog člana mora se uvek obezbediti da se bez učešća fizičkog lica podaci o ličnosti
ne mogu učiniti dostupnim neograničenom broju fizičkih lica.
Izdati sertifikat iz člana 61. ovog zakona rukovalac može koristiti da predoči da se pridržava obaveza
iz st. 1. do 3. ovog člana.
Stav 4. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Zajednički rukovaoci Član 43
Ako dva ili više rukovaoca zajednički određuju svrhu i način obrade, oni se smatraju zajedničkim
rukovaocima.
Zajednički rukovaoci iz stava 1. ovog člana na transparentan način određuju odgovornost svakog od
njih za poštovanje obaveza propisanih ovim zakonom, a posebno obaveza u pogledu ostvarivanja
prava lica na koje se podaci odnose i ispunjavanja njihovih obaveza da tom licu pruže informacije iz
čl. 23. do 25. ovog zakona.
Odgovornost iz stava 2. ovog člana uređuje se sporazumom zajedničkih rukovaoca, osim ako je ova
odgovornost propisana zakonom koji se primenjuje na rukovaoce.
Sporazumom iz stava 3. ovog člana mora se odrediti lice za kontakt sa licem na koje se podaci
odnose i urediti odnos svakog od zajedničkih rukovaoca sa licem na koje se podaci odnose.
Suština odredbi sporazuma iz stava 3. ovog člana mora biti dostupna licu na koje se podaci odnose.
Odredbe st. 4. i 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.
Bez obzira na odredbe sporazuma iz stava 3. ovog člana, lice na koje se podaci odnose može ostvariti
svoja prava utvrđena ovim zakonom pojedinačno u odnosu prema svakom od zajedničkih rukovaoca.
Predstavnici rukovaoca ili obrađivača koji nemaju sedište u Republici Srbiji Član 44
Rukovalac, odnosno obrađivač, u slučajevima iz člana 3. stav 4. ovog zakona, dužan je da odredi u
pismenom obliku svog predstavnika u Republici Srbiji, osim ako je:
obrada povremena, ne uključuje u velikoj meri obradu posebnih podataka iz člana stav 1. ovog
zakona ili podataka o ličnosti koji se odnose na osude za krivična dela i kažnjiva dela iz člana 19. ovog
zakona, i verovatno je da neće prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir
prirodu, okolnosti, obim i svrhe obrade;
rukovalac, odnosno obrađivač organ
Rukovalac, odnosno obrađivač ovlašćuje predstavnika iz stava 1. ovog člana kao lice kome se, uz
rukovaoca ili obrađivača, odnosno umesto njih, lice na koje se podaci odnose, Poverenik ili drugo lice
može obratiti u pogledu svih pitanja u vezi sa obradom podatka o ličnosti, a u cilju obezbeđivanja
poštovanja odredbi ovog zakona.
Pritužba, tužba i ostali pravni zahtevi iz ovog zakona se mogu podneti protiv rukovaoca ili
obrađivača, bez obzira na to da li je određen njihov predstavnik iz stava 1. ovog člana.
Obrađivač Član 45
Ako se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili
organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih
mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se
obezbeđuje zaštita prava lica na koje se podaci odnose.
Obrađivač iz stava 1. ovog člana može poveriti obradu drugom obrađivaču samo ako ga rukovalac za
to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Ako se obrada vrši na osnovu opšteg
ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača,
odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj
promeni.
Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom,
koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji
obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu
obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze
rukovaoca.
Ugovorom ili drugim pravno obavezujućim aktom iz stava 3. ovog člana propisuje se da je obrađivač
dužan da:
obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca, uključujući i uputstvo u
odnosu na prenošenje podataka o ličnosti u druge države ili međunarodne organizacije, osim ako je
obrađivač zakonom obavezan da obrađuje podatke. U tom slučaju, obrađivač je dužan da obavesti
rukovaoca o toj zakonskoj obavezi pre započinjanja obrade, osim ako zakon zabranjuje dostavljanje
tih informacija zbog potrebe zaštite važnog javnog interesa;
obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje
poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
preduzme sve potrebne mere u skladu sa članom 50. ovog zakona;
poštuje uslove za poveravanje obrade drugom obrađivaču iz st. 2. i 7. ovog člana;
uzimajući u obzir prirodu obrade, pomaže rukovaocu primenom odgovarajućih tehničkih,
organizacionih i kadrovskih mera, koliko je to moguće, u ispunjavanju obaveza rukovaoca u odnosu
na zahteve za ostvarivanje prava lica na koje se podaci odnose iz Glave III. ovog zakona;
pomaže rukovaocu u ispunjavanju obaveza iz člana i čl. 52. do 55. ovog zakona, uzimajući u obzir
prirodu obrade i informacije koje su mu dostupne;
posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili vrati rukovaocu
sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza
čuvanja podataka;
učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza
obrađivača propisanih ovim članom, kao i informacije koje omogućavaju i doprinose kontroli rada
obrađivača, koju sprovodi rukovalac ili drugo lice koje on za to
U slučaju iz stava 4. tačka 8) ovog člana, obrađivač je dužan da bez odlaganja upozori rukovaoca ako
smatra da pismeno uputstvo koje je od njega dobio nije u skladu sa ovim zakonom ili drugim
zakonom kojim se uređuje zaštita podataka o ličnosti.
Ako obradu vrše nadležni organi u posebne svrhe, ugovorom ili drugim pravno obavezujućim aktom
iz stava 3. ovog člana propisuje se da je obrađivač dužan da:
obrađuje podatke o ličnosti samo na osnovu uputstava rukovaoca;
obezbedi da se lice koje je ovlašćeno da obrađuje podatke obavezalo na čuvanje poverljivosti
podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;
pomaže na odgovarajući način rukovaocu u ispunjavanju njegove obaveze poštovanja odredbi o
pravima lica na koje se podaci odnose iz Glave III. ovog zakona;
posle okončanja ugovorenih radnji obrade, a na osnovu odluke rukovaoca, izbriše ili mu vrati sve
podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja
podataka;
učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza
obrađivača propisanih ovim članom;
obezbedi poštovanje uslova iz st. 2, 3. i 6. ovog člana ako poverava obradu drugom obrađivaču.
Ako obrađivač odredi drugog obrađivača za vršenje posebnih radnji obrade u ime rukovaoca, iste
obaveze zaštite podataka o ličnosti propisane ugovorom ili drugim pravno obavezujućim aktom
između rukovaoca i obrađivača iz st. 3. i 4. ovog člana obavezuju i tog drugog obrađivača, na osnovu
posebnog ugovora ili drugog pravno obavezujućeg akta, koji je zaključen, odnosno usvojen u
pismenom obliku, što obuhvata i elektronski oblik, kojim se u odnosu između obrađivača i drugog
obrađivača propisuju dovoljne garancije za primenu odgovarajućih tehničkih, organizacionih i
kadrovskih mera koje obezbeđuju da se obrada vrši u skladu sa ovim zakonom. Ako drugi obrađivač
ne ispuni svoje obaveze u vezi sa zaštitom podataka o ličnosti, za ispunjenje ovih obaveza drugog
obrađivača rukovaocu odgovara obrađivač.
Ako obrađivač povredi odredbe ovog zakona određujući svrhu i način obrade podatka o ličnosti,
obrađivač se smatra rukovaocem u odnosu na tu obradu.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdatog sertifikata iz
člana 61. ovog zakona može se koristiti da se predoči da obrađivač ispunjava obaveze pružanja
garancija iz st. 1. i 7. ovog člana.
Pravni odnos između rukovaoca i obrađivača koji se uređuje u skladu sa st. 3. i 7. ovog člana, može
biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama iz stava 11. ovog člana,
uključujući i one koje su vezane za sertifikat koji se odobrava rukovaocu ili obrađivaču u skladu sa čl.
61. i 62. ovog zakona.
Poverenik može da izradi standardne ugovorne klauzule koje se odnose na obaveze iz st. 3. i 7. ovog
člana, posebno uzimajući u obzir evropsku praksu u izradi standardnih ugovornih klauzula.
Odredbe st. 4, 5, 7. i st. 9. do 11. ovog člana ne primenjuju se na nadležne organe koji vrše obradu u
posebne svrhe.
Obrada po nalogu Član 46
Obrađivač, odnosno drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup
podacima o ličnosti, ne može da obrađuje te podatke bez naloga rukovaoca, osim ako je takva
obrada propisana zakonom.
Evidencija radnji obrade Član 47
Rukovalac i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o radnjama obrade za
koje je odgovoran, a koja sadrži informacije o:
imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu
podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
svrsi obrade;
vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u
drugim državama ili međunarodnim organizacijama;
prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge
države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose
u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
roku posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 1. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da vodi evidenciju o svim
vrstama radnji obrade za koje je odgovoran, a koja sadrži informacije o:
imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca i lica za zaštitu podataka o ličnosti, ako
oni postoje, odnosno ako su određeni;
svrsi obrade;
vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u
drugim državama ili međunarodnim organizacijama;
korišćenju profilisanja, ako se profilisanje koristi;
vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije, ako se takav
prenos podataka o ličnosti vrši;
pravnom osnovu za postupak obrade, uključujući i prenos podataka o ličnosti;
roku čijim istekom se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Obrađivač i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o svim vrstama radnji
obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno
predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno
ako su određeni;
vrsti obrada koje se vrše u ime svakog rukovaoca;
prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge
države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose
u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Odredbe stava 4. ovog člana ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, svaki obrađivač je dužan da vodi evidenciju o svim
vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno
lica za zaštitu podataka o ličnosti, ako je ono određeno;
vrsti obrada koje se vrše u ime svakog rukovaoca;
prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac
to izričito zahteva, uključujući i nazive države ili međunarodne organizacije, ako se takav prenos
podataka o ličnosti vrši;
opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Evidencije iz st. 1, 3, 4. i 6. ovog člana vode se u pismenom obliku, što obuhvata i elektronski oblik i
čuvaju se trajno.
Rukovalac ili obrađivač, kao i njihovi predstavnici, ako su određeni, dužni su da evidencije iz st. 1, 3,
4. i 6. ovog člana učine dostupnim Povereniku, na njegov zahtev.
Odredbe st. 1. i 4. ovog člana ne primenjuju se na privredne subjekte i organizacije u kojima je
zaposleno manje od 250 lica, osim ako:
obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
obrada nije povremena;
obrada obuhvata posebne vrste podataka o ličnosti iz člana stav 1. ovog zakona ili podatke o ličnosti
koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti iz člana 19. ovog zakona.
Beleženje radnji obrade koju vrše nadležni organi u posebne svrhe Član 48
Nadležni organ koji obrađuje podatke u posebne svrhe dužan je da obezbedi da se prilikom upotrebe
sistema automatske obrade u tom sistemu beleže najmanje sledeće radnje obrade: unos, menjanje,
uvid, otkrivanje, uključujući i prenos, upoređivanje i brisanje.
Beleženje uvida i otkrivanja podataka o ličnosti mora da omogući utvrđivanje razloga za vršenje
radnji obrade, datuma i vremena preduzimanja radnji obrade i, ako je to moguće, identiteta lica koje
je izvršilo uvid ili otkrilo podatke o ličnosti, kao i identiteta primaoca ovih podataka.
Beleženje iz stava 1. ovog člana može biti korišćeno isključivo u svrhu ocene zakonitosti obrade,
internog nadzora, obezbeđivanja integriteta i bezbednosti podataka, kao i pokretanja i vođenja
krivičnog postupka.
Zapis nastao beleženjem iz stava 1. ovog člana stavlja se na uvid Povereniku, na njegov zahtev.
Saradnja sa Poverenikom Član 49
Rukovalac, obrađivač i njihovi predstavnici, ako su određeni, dužni su da sarađuju sa Poverenikom u
vršenju njegovih ovlašćenja.
Bezbednost podataka o ličnosti
Bezbednost obrade
Član 50
U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom,
okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i
slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i
kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.
Prema potrebi, mere iz stava 1. ovog člana naročito obuhvataju:
pseudonimizaciju i kriptozaštitu podataka o ličnosti;
sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i
usluga obrade;
obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih
ili tehničkih incidenata u najkraćem roku;
postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i
kadrovskih mera bezbednosti
Prilikom procenjivanja odgovarajućeg nivoa bezbednosti iz stava 1. ovog člana posebno se uzimaju u
obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene,
neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani
na drugi način.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona, odnosno izdat sertifikat iz člana
61. ovog zakona, može se koristiti u cilju predočavanja ispunjenosti obaveza iz stava 1. ovog člana.
Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je
ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke
samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Bezbednost obrade koju vrše nadležni organi u posebne svrhe Član 51
Ako obradu vrše nadležni organi u posebne svrhe, a u skladu sa nivoom tehnoloških dostignuća i
troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom
nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode
odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo
bezbednosti u odnosu na rizik, a posebno ako se radi o obradi posebnih vrsta podataka o ličnosti iz
člana
ovog
Na osnovu procene rizika, rukovalac ili obrađivač dužan je da prilikom automatske obrade primeni
odgovarajuće mere iz stava 1. ovog člana koje obezbeđuju da se:
onemogući neovlašćenom licu pristup opremi koja se koristi za obradu (“kontrola pristupa opremi”);
spreči neovlašćeno čitanje, umnožavanje, izmena ili uklanjanje nosača podataka (“kontrola nosača
podataka”);
spreči neovlašćeno unošenje podataka o ličnosti, kao i neovlašćena izmena, brisanje i kontrola
pohranjenih podataka o ličnosti (“kontrola pohranjivanja”);
spreči korišćenje sistema za automatsku obradu od strane neovlašćenog lica, upotrebom opreme za
prenos podataka (“kontrola upotrebe”);
osigura da lice koje je ovlašćeno za korišćenje sistema za automatsku obradu ima pristup samo onim
podacima o ličnosti na koje se odnosi njegovo ovlašćenje za pristup podacima (“kontrola pristupa
podacima”);
može proveriti, odnosno ustanoviti kome su podaci o ličnosti preneti, mogu biti preneti ili učinjeni
dostupnim, upotrebom opreme za prenos podataka (“kontrola prenosa”);
može naknadno proveriti, odnosno utvrditi koji su podaci o ličnosti uneti u sistem automatske
obrade, od strane kog lica i kada su uneti (“kontrola unosa”);
spreči neovlašćeno čitanje, umnožavanje, izmena ili brisanje podataka o ličnosti u toku njihovog
prenosa ili u toku prevoza nosača podataka (“kontrola prevoza”);
ponovo uspostavi instalirani sistem u slučaju prekida njegovog rada (“obnavljanje sistema”);
osigura da sistem ispravno radi i da se greške u radu sistema uredno prijavljuju (“pouzdanost”), kao i
da se pohranjeni podaci o ličnosti ne mogu ugroziti zbog nedostataka u radu sistema (“integritet”).
Obaveštavanje Poverenika o povredi podataka o ličnosti Član 52
Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode
fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili, ako je to moguće, u roku od 72 časa
od saznanja za povredu.
Ako rukovalac ne postupi u roku od 72 časa od saznanja za povredu, dužan je da obrazloži razloge
zbog kojih nije postupio u tom roku.
Obrađivač je dužan da, posle saznanja za povredu podataka o ličnosti, bez nepotrebnog odlaganja
obavesti rukovaoca o toj povredi.
Obaveštenje iz stava 1. ovog člana mora da sadrži najmanje sledeće informacije:
opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se
podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena;
ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se
mogu dobiti podaci o povredi;
opis mogućih posledica povrede;
opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom,
uključujući i mere koje su preduzete u cilju umanjenja štetnih
Ako se sve informacije iz stava 4. ovog člana ne mogu dostaviti istovremeno, rukovalac bez
nepotrebnog odlaganja postupno dostavlja dostupne informacije.
Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o
povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.
Dokumentacija iz stava 6. ovog člana mora omogućiti Povereniku da utvrdi da li je rukovalac
postupio u skladu sa odredbama ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, a koji su
preneti rukovaocu u drugoj državi ili međunarodnoj organizaciji, rukovalac je dužan da bez
nepotrebnog odlaganja dostavi informacije iz stava 4. ovog člana rukovaocu u toj drugoj državi ili
međunarodnoj organizaciji, u skladu sa međunarodnim sporazumom.
Poverenik propisuje obrazac obaveštenja iz stava 1. ovog člana i bliže uređuje način obaveštavanja.
Obaveštavanje lica o povredi podataka o ličnosti Član 53
Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica,
rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.
U obaveštenju iz stava 1. ovog člana rukovalac je dužan da na jasan i razumljiv način opiše prirodu
povrede podataka i navede najmanje informacije iz člana 52. stav 4. tač. 2) do 4) ovog zakona.
Rukovalac nije dužan da obavesti lice iz stava 1. ovog člana ako:
je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o
ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama
onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;
je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom
za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;
bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i
sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran
način obezbedi pružanje obaveštenja licu na koje se podaci
Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik
može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu
da to učini ili može da utvrdi da su ispunjeni uslovi iz stava 3. ovog člana.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, rukovalac
može odložiti ili ograničiti obaveštavanje lica na koje se podaci odnose, u skladu sa uslovima i na
osnovu razloga iz člana 25. stav 3. ovog zakona.
Procena uticaja obrade na zaštitu podataka o ličnosti i prethodno mišljenje Poverenika
Procena uticaja na zaštitu podataka o ličnosti Član 54
Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir
prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica,
rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji
obrade na zaštitu podataka o ličnosti.
Ako više sličnih radnji obrade mogu prouzrokovati slične visoke rizike za zaštitu podataka o ličnosti,
može se izvršiti zajednička procena.
Prilikom procene uticaja rukovalac je dužan da zatraži mišljenje lica za zaštitu podataka o ličnosti,
ako je ono određeno. Procena uticaja iz stava 1. ovog člana obavezno se vrši u slučaju:
sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću
automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose
odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti
u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog zakona, u velikom obimu;
sistematskog nadzora nad javno dostupnim površinama u velikoj
Poverenik je dužan da sačini i javno objavi na svojoj internet stranici listu vrsta radnji obrade za koje
se mora izvršiti procena uticaja iz stava 1. ovog člana, a može da sačini i objavi i listu vrsta radnji
obrade za koje procena nije potrebna.
Procena uticaja najmanje mora da sadrži:
sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, uključujući i opis legitimnog interesa
rukovaoca, ako on postoji;
procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade;
procenu rizika za prava i slobode lica na koje se podaci odnose iz stava ovog člana;
opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme
zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i
obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne
interese lica na koje se podaci odnose i drugih
Stav 6. ovog člana ne primenjuje se na procenu uticaja obrade koju vrše nadležni organi u posebne
svrhe.
Procena uticaja obrade koju vrše nadležni organi u posebne svrhe najmanje mora da sadrži
sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se
podaci odnose, opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući
mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i
obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne
interese lica na koje se podaci odnose i drugih lica.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona od strane rukovaoca ili obrađivača
mora se uzeti u obzir prilikom procene uticaja radnji obrade na zaštitu podataka o ličnosti.
Stav 9. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Prema potrebi, rukovalac od lica na koje se podaci odnose ili njihovih predstavnika traži mišljenje o
radnjama obrade koje namerava da vrši, ne dovodeći u pitanje zaštitu poslovnih ili javnih interesa ili
bezbednost radnji obrade.
Ako se posebnim zakonom propisuju pojedine radnje obrade, odnosno grupe radnji obrade, a
obrada se vrši u skladu sa članom 12. stav 1. tačka 3) ili tačka 5) ovog zakona, pa je procena uticaja
na zaštitu podataka o ličnosti već izvršena u okviru opšte procene uticaja prilikom donošenja zakona,
st. 1. do 9. ovog člana se ne primenjuje, osim ako se utvrdi da je
neophodno izvršiti novu procenu.
Prema potrebi, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade,
rukovalac je dužan da preispita da li se radnje obrada vrše u skladu sa izvršenom procenom uticaja
na zaštitu podataka o ličnosti.
Prethodno mišljenje Poverenika Član 55
Ako procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog
zakona, ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za
umanjenje rizika, rukovalac je dužan da zatraži mišljenje Poverenika pre započinjanja radnje obrade.
Stav 1. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrši nadležni organ u posebne svrhe, rukovalac, odnosno obrađivač je dužan da zatraži
mišljenje Poverenika pre započinjanja radnji obrade koje će dovesti do stvaranja nove zbirke
podataka u slučaju da:
procena uticaja na zaštitu podataka o ličnosti, koja je izvršena u skladu sa članom 54. ovog zakona,
ukazuje da će nameravane radnje obrade proizvesti visok rizik ako se ne preduzmu mere za
umanjenje rizika;
vrsta obrade, a posebno ako se koriste nove tehnologije, mehanizmi zaštite ili postupci, predstavljaju
visok rizik za prava i slobode lica na koje se podaci
Ako Poverenik smatra da bi nameravane radnje obrade iz st. 1. i 3. ovog člana mogle da povrede
odredbe ovog zakona, a posebno ako rukovalac nije na odgovarajući način procenio ili umanjio rizik,
Poverenik je dužan da u roku od 60 dana od dana prijema zahteva dostavi pismeno mišljenje
rukovaocu ili obrađivaču, ako je on podneo zahtev, kao i da po potrebi iskoristi ovlašćenja iz člana
79. ovog zakona.
Rok iz stava 4. ovog člana može se produžiti za 45 dana uzimajući u obzir složenost nameravanih
radnji obrade, a Poverenik je dužan da o odlaganju i razlozima za odlaganje davanja mišljenja upozna
rukovaoca ili obrađivača, ako je on podneo zahtev, u roku od 30 dana od prijema zahteva za
mišljenje.
Rokovi iz st. 4. i 5. ovog člana ne teku dok Poverenik ne dobije sve tražene informacije koje su
neophodne za davanje mišljenja.
Uz zahtev za mišljenje, rukovalac je dužan da Povereniku dostavi podatke o:
dužnostima rukovaoca, i, ako postoje, zajedničkih rukovaoca i obrađivača koji učestvuju u obradi,
posebno ako se radi o obradi koja se vrši unutar grupe privrednih subjekata;
svrhama i načinima nameravane obrade;
tehničkim, organizacionim i kadrovskim merama, kao i mehanizmima zaštite prava i sloboda lica na
koje se podaci odnose u skladu sa ovim zakonom;
kontakt podacima lica za zaštitu podataka, ako je ono određeno;
proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona;
svim drugim informacijama koje zatraži
Stav 7. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Ako obradu vrši nadležni organ u posebne svrhe, rukovalac iz stava 3. ovog člana je dužan da
Povereniku dostavi podatke o proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona,
a na zahtev Poverenika i druge informacije koje su od značaja za njegovo mišljenje o radnjama
obrade, a posebno riziku po zaštitu podataka o ličnosti lica na koje se podaci odnose i mehanizmima
zaštite njegovih prava.
Poverenik može da sastavi i javno objavi na svojoj internet prezentaciji listu vrsti radnji obrade u vezi
sa kojima se mora tražiti njegovo mišljenje.
Organi vlasti koji predlažu usvajanje zakona i drugih propisa zasnovanih na zakonima, a koji sadrže
odredbe o obradi podataka o ličnosti, dužni su da u toku njihove pripreme zatraže mišljenje
Poverenika.
Lice za zaštitu podataka o ličnosti
Određivanje Član 56
Rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti. Rukovalac i obrađivač dužni
su da odrede lice za zaštitu podataka o ličnosti ako se:
obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja
njegovih sudskih ovlašćenja;
osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu,
odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti iz
člana stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. ovog
zakona, u velikom obimu.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu nadležnih organa u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da odredi lice za zaštitu
podataka o ličnosti, osim ako se radi o obradi koju vrše sudovi u svrhu obavljanja njihovih sudskih
ovlašćenja.
Grupa privrednih subjekata može odrediti zajedničko lice za zaštitu podataka o ličnosti, pod uslovom
da je ovo lice jednako dostupno svakom članu grupe.
Ako su rukovaoci ili obrađivači organi vlasti ili nadležni organi, može se odrediti zajedničko lice za
zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu tih organa vlasti.
Posebnim zakonom može se propisati da rukovaoci, odnosno obrađivači ili njihova udruženja koja ih
predstavljaju, moraju odrediti lice za zaštitu podataka o ličnosti.
Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito
stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje
obaveza iz člana 58. ovog zakona.
Lice za zaštitu podataka o ličnosti može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati
poslove na osnovu ugovora.
Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi
ih Povereniku.
Poverenik vodi evidenciju lica za zaštitu podataka o ličnosti koja sadrži: imena i prezimena lica za
zaštitu podataka o ličnosti, njihove kontakt podatke, kao i imena i kontakt podatke rukovaoca,
odnosno obrađivača.
Poverenik propisuje obrazac evidencije iz stava 11. ovog člana i uređuje način njenog vođenja.
Položaj lica za zaštitu podataka o ličnosti Član 57
Rukovalac i obrađivač dužni su da blagovremeno i na odgovarajući način uključe lice za zaštitu
podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti.
Rukovalac i obrađivač dužni su da omoguće licu za zaštitu podataka o ličnosti izvršavanje obaveza iz
člana 58. ovog zakona na taj način što mu obezbeđuju neophodna sredstva za izvršavanje ovih
obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje.
Rukovalac i obrađivač dužni su da obezbede nezavisnost lica za zaštitu podataka o ličnosti u
izvršavanju njegovih obaveza.
Rukovalac ili obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos,
odnosno ugovor sa njim zbog izvršavanja obaveza iz člana 58. ovog zakona.
Za izvršavanje obaveza iz člana 58. ovog zakona lice za zaštitu podataka o ličnosti neposredno je
odgovorno rukovodiocu rukovaoca ili obrađivača.
Lica na koje se podaci odnose mogu se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim
pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih
prava propisanih ovim zakonom.
Lice za zaštitu podataka o ličnosti dužno je da čuva tajnost, odnosno poverljivost podataka do kojih
je došlo u izvršavanju obaveza iz člana 58. ovog zakona, u skladu sa zakonom.
Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a
rukovalac ili obrađivač dužni su da obezbede da izvršavanje drugih poslova i obaveza ne dovede lice
za zaštitu podataka o ličnosti u sukob interesa.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe st. 1. do 5. i 8. ovog
člana ne primenjuju se na obrađivača.
Obaveze lica za zaštitu podataka o ličnosti Član 58
Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:
informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o
njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se
odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i
obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati
postupanje po toj proceni, u skladu sa članom 54. ovog zakona;
sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim
u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja iz
člana 55. ovog
U izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o
riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.
Ako su rukovaoci nadležni organi koji vrše obradu u posebne svrhe, odredbe stava 1. tač. 1) i 2) ovog
člana ne primenjuju se na obrađivača.
Kodeks postupanja i izdavanje sertifikata
Kodeks postupanja Član 59
Udruženja i drugi subjekti koji predstavljaju grupe rukovaoca ili obrađivača mogu izraditi kodeks
postupanja u cilju efikasnije primene ovog zakona, a naročito u pogledu:
poštene i transparentne obrade;
legitimnih interesa rukovaoca, uzimajući u obzir okolnosti konkretnih slučajeva;
prikupljanja podataka o ličnosti;
pseudonimizacije podataka o ličnosti;
informacija koje se pružaju javnosti i licima na koje se podaci odnose;
ostvarivanja prava lica na koje se podaci odnose;
informacija koje se pružaju maloletnim licima, njihovoj zaštiti, kao i načina na koji se pribavlja
pristanak roditelja koji vrši roditeljsko pravo;
mera i postupaka iz čl. i 42. ovog zakona, kao i mera koje imaju za cilj bezbednost obrade iz člana 50.
ovog zakona;
obaveštavanja Poverenika o povredi podataka o ličnosti, kao i informisanja lica na koje se podaci
odnose o takvim povredama;
prenosa podataka o ličnosti u druge države ili međunarodne organizacije;
načina rešavanja sporova između rukovaoca i lica na koje se podaci odnose mirnim putem, što ne
utiče na ostvarivanja prava lica na koje se podaci odnose iz čl. 82. i 84. ovog
Rukovaoci, odnosno obrađivači na koje se ovaj zakon ne primenjuje, u cilju obezbeđivanja
odgovarajućih mera zaštite lica na koje se podaci odnose u okviru prenosa njihovih podataka o
ličnosti u druge države ili međunarodne organizacije na osnovu člana 65. stav 2. tačka 3) ovog
zakona, mogu prihvatiti ili se obavezati na primenu kodeksa postupanja koji je odobren u skladu sa
stavom 5. ovog člana, putem ugovornih ili drugih pravno obavezujućih akata kojima se obavezuju na
primenu tih mera zaštite, a posebno u odnosu na prava lica na koje se podaci odnose.
Kodeks postupanja iz stava 1. ovog člana obavezno sadrži odredbe koje omogućavaju licu iz člana 60.
stav 1. ovog zakona vršenje nadzora nad primenom kodeksa od strane rukovaoca ili obrađivača koji
su se obavezali na primenu kodeksa, što ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl.
77. do 79. ovog zakona.
Udruženja i drugi subjekti iz stava 1. ovog člana koji nameravaju da izrade kodeks postupanja ili da
izmene postojeći kodeks, dužni su da predlog kodeksa ili njegovih izmena dostave Povereniku na
mišljenje.
Poverenik daje mišljenje o usklađenosti predloga kodeksa postupanja ili njegovih izmena sa
odredbama ovog zakona, a ako utvrdi da predlog kodeksa sadrži dovoljne garancije za zaštitu
podataka o ličnosti, kodeks postupanja ili njegove izmene registruje i javno objavljuje na svojoj
internet stranici.
Odredbe st. 1. do 5. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Kontrola primene kodeksa postupanja Član 60
Kontrolu primene kodeksa postupanja, u skladu sa članom 59. stav 3. ovog zakona, može vršiti
pravno lice koje je akreditovano za vršenje kontrole u skladu sa zakonom koji uređuje akreditaciju.
Vršenje kontrole iz stava 1. ovog člana ne utiče na inspekcijska i druga ovlašćenja Poverenika iz čl. 77.
do 79. ovog zakona. Pravno lice iz stava 1. ovog člana može se akreditovati samo ako je:
dokazalo Povereniku svoju nezavisnost i stručnost u odnosu na sadržinu kodeksa;
uspostavilo postupak procene osposobljenosti rukovaoca i obrađivača za primenu kodeksa
postupanja, praćenja primene kodeksa od strane rukovaoca ili obrađivača, kao i periodičnog
preispitivanja njegove delotvornosti;
uspostavilo postupak i organ za odlučivanje o pritužbama zbog povrede kodeksa postupanja ili
načina njegove primene od strane rukovaoca ili obrađivača, kao i obezbedilo transparentnost tog
postupka i organa prema javnosti i licima na koje se podaci odnose;
dokazalo Povereniku da u vršenju njegovih ovlašćenja ne može doći do sukoba
U slučaju povrede kodeksa postupanja od strane rukovaoca ili obrađivača, pravno lice iz stava 1.
ovog člana preduzima odgovarajuće mere u propisanom postupku, uključujući i privremeno ili trajno
isključenje rukovaoca, odnosno obrađivača iz primene kodeksa.
Pravno lice iz stava 1. ovog člana dužno je da obavesti Poverenika o preduzetim merama iz stava 4.
ovog člana, kao i razlozima za njihovo određivanje.
Preduzimanje mera iz stava 4. ovog člana ne utiče na ovlašćenja Poverenika i primenu odredbi Glave
VII. ovog zakona.
Pravnom licu iz stava 1. ovog člana akreditacija se oduzima ako se utvrdi da ono više ne ispunjava
uslove za akreditaciju ili da mere koje ono preduzima krše odredbe ovog zakona.
Odredbe st. 1. do 7. ovog člana ne primenjuju se na organe vlasti i obradu koju vrše nadležni organi u
posebne svrhe.
Izdavanje sertifikata Član 61
U cilju dokazivanja poštovanja odredbi ovog zakona od strane rukovaoca i obrađivača, a posebno
uzimajući u obzir potrebe malih i srednjih preduzeća, mogu se ustanoviti postupci izdavanja
sertifikata o zaštiti podataka o ličnosti, sa odgovarajućim žigovima i oznakama za zaštitu podataka.
Rukovaocu, odnosno obrađivaču na koje se ovaj zakon ne primenjuje, u cilju dokazivanja
preduzimanja mera zaštite od
strane rukovaoca i obrađivača, a u okviru prenosa njihovih podataka o ličnosti u druge države ili
međunarodne organizacije na osnovu člana 65. stav 2. tačka 5) ovog zakona, može se izdati
sertifikat, sa odgovarajućim žigovima i oznakama, u skladu sa stavom 5. ovog člana, pod uslovom da
oni putem ugovora ili drugog pravno obavezujućeg akta prihvate primenu ovih mera zaštite,
uključujući i zaštitu prava lica na koje se podaci odnose.
Postupak izdavanja sertifikata je dobrovoljan i transparentan.
Postojanje izdatog sertifikata ne može uticati na zakonske obaveze rukovaoca i obrađivača, niti na
inspekcijska i druga ovlašćenja Poverenika iz čl. 77. do 79. ovog zakona.
Sertifikat izdaje sertifikaciono telo iz člana 62. ovog zakona ili Poverenik, na osnovu kriterijuma koje
propisuje Poverenik, u skladu sa ovlašćenjima iz člana 79. stav 3. ovog zakona.
Rukovalac i obrađivač koji zahtevaju izdavanje sertifikata dužni su da sertifikacionom telu iz člana 62.
ovog zakona, odnosno Povereniku, ako je zahtev upućen njemu, omoguće pristup radnjama obrade i
pruže sve informacije o obradi koje su
neophodne za sprovođenje postupka izdavanja sertifikata.
Sertifikat se izdaje rukovaocu i obrađivaču na period koji ne može biti duži od tri godine, a može se
obnoviti ako oni i dalje ispunjavaju iste propisane uslove i kriterijume za izdavanje sertifikata.
Sertifikat iz stava 7. ovog člana se ukida u slučaju kad sertifikaciono telo, odnosno Poverenik, ako je
zahtev upućen njemu, utvrdi da rukovalac, odnosno obrađivač više ne ispunjava propisane
kriterijume za izdavanje sertifikata.
Poverenik vodi i javno objavljuje na svojoj internet stranici spisak sertifikacionih tela i izdatih
sertifikata, sa odgovarajućim žigovima i oznakama.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
Sertifikaciona tela Član 62
Sertifikaciono telo, koje ima odgovarajući nivo stručnosti u pogledu zaštite podataka o ličnosti i koje
je akreditovano u skladu sa zakonom kojim se uređuje akreditacija, izdaje, obnavlja i ukida sertifikat,
zajedno sa žigom i oznakom, posle
obaveštavanja Poverenika o odluci koja se namerava doneti, što ne utiče na inspekcijska i druga
ovlašćenja Poverenika iz čl.
do 79. ovog zakona.
Sertifikaciono telo iz stava 1. ovog člana može biti akreditovano samo ako:
dokaže Povereniku svoju nezavisnost i stručnost u odnosu na predmet sertifikacije;
se obavezalo na poštovanje propisanih kriterijuma iz člana stav 5. ovog zakona;
propiše postupak za izdavanje, periodičnu proveru i ukidanje sertifikata, žiga i oznake;
propiše postupak i odredi organe za postupanje po pritužbama protiv rukovaoca i obrađivača zbog
vršenja radnji obrade na način suprotan izdatom sertifikatu i učini ih dostupnim javnosti i licu na koje
se podaci odnose;
dokaže Povereniku da u izvršavanju njegovih poslova ne može nastati sukob
Poverenik propisuje kriterijume za akreditaciju sertifikacionog tela, na osnovu uslova iz stava 2. ovog
člana.
Akreditacija se izdaje sertifikacionom telu na period do pet godina i može se obnoviti ako
sertifikaciono telo i dalje ispunjava propisane uslove i kriterijume za akreditaciju.
Akreditacija sertifikacionog tela se ukida ako se utvrdi da ono više ne ispunjava uslove i kriterijume
za akreditaciju ili ako se utvrdi da sertifikaciono telo krši odredbe ovog zakona.
Sertifikaciono telo je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje,
obnavljanje i ukidanje sertifikata i dužno je da Poverenika upozna sa razlozima za izdavanje,
obnavljanje ili ukidanje sertifikata.
Poverenik objavljuje kriterijume za akreditaciju iz stava 3. ovog člana.
Sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici
Srbiji, ako je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika
Srbija.
Ako je sertifikaciono telo koje je sprovelo sertifikaciju akreditovano od strane nacionalnog tela druge
države, koje je sa Akreditacionim telom Srbije potpisalo sporazum kojim se međusobno priznaje
ekvivalentnost sistema akreditacije u obimu koji je određen potpisanim sporazumom, u Republici
Srbiji se mogu prihvatiti sertifikati tog sertifikacionog tela, bez ponovnog sprovođenja postupka
sertifikacije.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne
svrhe.
V PRENOS PODATAKA O LIČNOSTI U DRUGE DRŽAVE I MEĐUNARODNE ORGANIZACIJE
Opšta načela prenosa
Član 63
Svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog
prenošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako u skladu sa
drugim odredbama ovog zakona rukovalac i obrađivač postupaju u skladu sa uslovima propisanim
ovim poglavljem zakona, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili
međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja
primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ovaj zakon.
Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka čija je obrada u toku ili su
namenjeni daljoj obradi posle njihovog prenosa u drugu državu ili međunarodnu organizaciju, može
se izvršiti samo ako su zajedno ispunjeni sledeći uslovi:
prenos je neophodno izvršiti u posebne svrhe;
podaci o ličnosti se prenose rukovaocu u drugoj državi ili međunarodnoj organizaciji koji je nadležan
organ za obavljanje poslova u posebne svrhe;
Vlada je utvrdila listu država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti
u tim državama i međunarodnih organizacija koje obezbeđuju primereni nivo zaštite podataka o
ličnosti u skladu sa članom ovog zakona, a prenos podataka se vrši u jednu od tih država, na deo
njene teritorije ili u jedan ili više sektora određene delatnosti u toj državi ili u međunarodnu
organizaciju, ili je, ako to nije slučaj, primena odgovarajućih mera zaštite obezbeđena u skladu sa
članom 66. ovog zakona, ili se, ako njihova primena nije obezbeđena, primenjuju odredbe o prenosu
podataka u posebnim situacijama iz člana 70. ovog zakona;
u slučaju daljeg prenosa podataka o ličnosti iz druge države ili međunarodne organizacije u treću
državu ili međunarodnu organizaciju, nadležni organ koji je izvršio prvi prenos ili drugi nadležni organ
u Republici Srbiji je odobrio dalji prenos, pošto je uzeo u obzir sve okolnosti od značaja za dalji
prenos, uključujući težinu krivičnog dela, svrhu prvog prenosa i nivo zaštite podataka o ličnosti u
trećoj državi ili međunarodnoj organizaciji u koju se podaci dalje
Prenos na osnovu primerenog nivoa zaštite
Član 64
Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedan ili više sektora
određenih delatnosti u toj državi ili u međunarodnu organizaciju, bez prethodnog odobrenja, može
se izvršiti ako je utvrđeno da ta druga država, deo njene
teritorije ili jedan ili više sektora određenih delatnosti u toj državi ili ta međunarodna organizacija
obezbeđuje primereni nivo zaštite podataka o ličnosti.
Smatra se da je primereni nivo zaštite iz stava 1. ovog člana obezbeđen u državama i međunarodnim
organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku
obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više
sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane
Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.
Vlada može da utvrdi da država, deo njene teritorije, oblast delatnosti, odnosno pravnog regulisanja
ili međunarodna organizacija ne obezbeđuje primereni nivo zaštite iz stava 1. ovog člana, osim ako
se radi o članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih
podataka, uzimajući u obzir:
princip vladavine prava i poštovanja ljudskih prava i osnovnih sloboda, važeće zakonodavstvo,
uključujući i propise u oblasti javne bezbednosti, odbrane, nacionalne bezbednosti, krivičnog prava i
pristupa organa vlasti podacima o ličnosti, kao i primenu ovih propisa, pravila o zaštiti podataka o
ličnosti i profesionalnih pravila u ovoj oblasti, odnosno preduzimanje mera zaštite podataka o
ličnosti, uključujući i pravila o daljem prenošenju podataka o ličnosti u treće države ili međunarodne
organizacije, koja se primenjuju u praksi sudova i drugih organa vlasti u drugoj državi ili
međunarodnoj organizaciji, kao i delotvornost ostvarivanja prava lica na koje se odnose podaci, a
posebno delotvornost upravnih i sudskih postupaka zaštite prava lica čiji se podaci prenose;
postojanje i delotvornost rada nadzornog tela za zaštitu podataka o ličnosti u drugoj državi ili
nadzornog tela koje je nadležno za nadzor nad međunarodnom organizacijom u ovoj oblasti, sa
ovlašćenjem da obezbedi primenu pravila o zaštiti podataka o ličnosti i pokrene postupke zaštite
podataka o ličnosti u slučaju njihovog nepoštovanja, pruži pomoć i savetuje lica na koja se podaci
odnose u ostvarivanju njegovih prava, kao i da sarađuje sa nadzornim telima drugih država;
međunarodne obaveze koje je druga država ili međunarodna organizacija preuzela, ili druge obaveze
koje proizilaze iz pravno obavezujućih međunarodnih ugovora ili drugih pravnih instrumenata, kao i
iz članstva u multilateralnim ili regionalnim organizacijama, a posebno u pogledu zaštite podatka o
ličnosti.
Smatra se da je obezbeđen primereni nivo zaštite i ako je sa drugom državom ili međunarodnom
organizacijom zaključen međunarodni sporazum o prenosu podataka o ličnosti.
U postupku zaključivanja međunarodnog sporazuma o prenosu podataka o ličnosti posebno se
utvrđuje ispunjenost uslova iz stava 3. ovog člana.
Vlada prati stanje u oblasti zaštite podataka u ličnosti u drugim državama, na delovima njenih
teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili u međunarodnim
organizacijama, na osnovu dostupnih prikupljenih
informacija i na osnovu informacije prikupljene od strane međunarodnih organizacija, koje su od
značaja za preispitivanje postojanja primerenog nivoa zaštite.
Lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i
međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite, odnosno za
koje je Vlada utvrdila da ne obezbeđuje primereni nivo zaštite objavljuje se u “Službenom glasniku
Republike Srbije”.
Prenos uz primenu odgovarajućih mera zaštite
Član 65
Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, na deo njene teritorije ili
u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju za koju
listom iz člana 64. stav 7. ovog zakona nije utvrđeno postojanje primerenog nivoa zaštite, samo ako
je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na
koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se bez posebnog odobrenja Poverenika
obezbediti:
pravno obavezujućim aktom sačinjenim između organa vlasti;
standardnim ugovornim klauzulama izrađenim od strane Poverenika u skladu sa članom 45. ovog
zakona, kojima se u celini uređuje pravni odnos između rukovaoca i obrađivača;
obavezujućim poslovnim pravilima, u skladu sa članom 67. ovog zakona;
odobrenim kodeksom postupanja u skladu sa članom 59. ovog zakona, zajedno sa obavezujućom i
sprovodivom primenom odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci
odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji;
izdatim sertifikatima iz člana 61. ovog zakona, zajedno sa preuzetim obavezama primene
odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane
rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji.
Odgovarajuće mere zaštite iz stava 1. ovog člana mogu se obezbediti i na osnovu posebnog
odobrenja Poverenika:
ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u
drugoj državi ili međunarodnoj organizaciji;
odredbama koje se unose u sporazum između organa vlasti, a kojima se obezbeđuje delotvorna i
sprovodiva zaštita prava lica na koje se podaci
Poverenik daje odobrenje iz stava 3. ovog člana u roku od 60 dana od dana podnošenja zahteva za
odobrenje. Odredbe st. 1. do 4. ovog člana ne primenjuju se na prenos podataka koje obrađuju
nadležni organi u posebne svrhe.
Prenos podataka koje obrađuju nadležni organi u posebne svrhe, uz primenu odgovarajućih mera
zaštite
Član 66
Ako obradu vrše nadležni organi u posebne svrhe, prenos podataka o ličnosti u drugu državu, na deo
njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu
organizaciju za koju listom iz člana 64. stav 7. ovog zakona nije utvrđeno postojanje primerenog
nivoa zaštite dopušten je u jednom od sledećih slučajeva:
ako su odgovarajuće mere zaštite podataka o ličnosti propisane u pravno obavezujućem aktu;
ako je rukovalac ocenio sve okolnosti koje se odnose na prenos podataka o ličnosti i utvrdio da
odgovarajuće mere zaštite podataka o ličnosti
Rukovalac je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu stava 1. tačka 2) ovog
člana.
Rukovalac je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. tačka 2) ovog člana,
kao i da dokumentaciju o prenosu stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa,
nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti.
Obavezujuća poslovna pravila
Član 67
Poverenik odobrava obavezujuća poslovna pravila, ako ta pravila zajedno ispunjavaju sledeće uslove:
pravno su obavezujuća, primenjuju se na i sprovode se od strane svakog člana multinacionalne
kompanije ili grupe privrednih subjekata, uključujući i njihove zaposlene;
izričito obezbeđuju ostvarivanje prava lica na koje se podaci odnose u vezi sa obradom njihovih
podataka;
ispunjavaju uslove propisane stavom 2. ovog člana.
Obavezujućim poslovnim pravilima iz stava 1. ovog člana najmanje se mora odrediti:
struktura i kontakt podaci multinacionalne kompanije ili grupe privrednih subjekata, kao i svakog od
njenih članova;
prenos ili grupe prenosa podataka o ličnosti, uključujući vrste podataka o ličnosti, vrste radnji obrade
i njihovu svrhu, vrste lica na koje se podaci odnose i naziv države u koju se podaci prenose;
obaveznost primene obavezujućih poslovnih pravila, kako u okviru multinacionalne kompanije ili
grupe privrednih subjekata, tako i izvan njih;
primena opštih načela zaštite podataka o ličnosti, a naročito ograničenja svrhe obrade, minimizacija
podataka, ograničenje čuvanja, integritet podataka, mere stalne zaštite podataka, pravni osnov za
obradu, obrade posebnih vrsta podataka o ličnosti, mere bezbednosti i uslove za dalji prenos
podataka o ličnosti drugim licima ili telima koja nisu obavezana obavezujućim poslovnim pravilima;
prava lica na koje se podaci odnose u odnosu na obradu i načine ostvarivanja tih prava, uključujući i
prava u vezi sa automatizovanim donošenjem pojedinačnih odluka i profilisanjem iz člana ovog
zakona, pravo na podnošenje pritužbe Povereniku, odnosno tužbe sudu u skladu sa čl. 82. i 84. ovog
zakona, kao i pravo na naknadu štete zbog povrede obavezujućih poslovnih pravila;
prihvatanje odgovornosti rukovaoca, odnosno obrađivača sa prebivalištem, boravištem ili sedištem
na teritoriji Republike Srbije za povredu ovih pravila koju je učinio drugi član grupe koji nema
prebivalište, boravište ili sedište na teritoriji Republike Srbije, osim ako rukovalac ili obrađivač
dokaže da taj drugi član grupe nije odgovoran za događaj koji je prouzrokovao štetu;
način na koji se licu na koje se podaci odnose pružaju informacije o obavezujućim poslovnim
pravilima, a posebno o odredbama tač. 4) do 6) ovog stava, uz pružanje ostalih informacija iz čl. 23. i
24. ovog zakona;
ovlašćenja lica za zaštitu podataka o ličnosti, određenog u skladu sa članom ovog zakona, ili bilo kog
drugog lica koje je ovlašćeno za nadzor nad primenom obavezujućih poslovnih pravila unutar
multinacionalne kompanije ili grupe privrednih subjekata, uključujući i nadzor nad obukom i
odlučivanje o pritužbama unutar multinacionalne kompanije ili grupe;
postupak koji se sprovodi po pritužbama;
mehanizam provere postupanja u skladu sa obavezujućim poslovnim pravilima unutar
multinacionalne kompanije ili grupe privrednih subjekata. Ovaj mehanizam uključuje reviziju zaštite
podataka o ličnosti i korektivne mere za zaštitu prava lica na koje se podaci Rezultati provere moraju
biti saopšteni licu iz tačke 8) ovog stava, kao i upravljačkom organu multinacionalne kompanije ili
grupe privrednih subjekata, a moraju biti stavljeni na raspolaganje i Povereniku, na njegov zahtev;
način izveštavanja i vođenja evidencije o promenama obavezujućih poslovnih pravila i način
obaveštavanja Poverenika o tim promenama;
način saradnje sa Poverenikom u cilju obezbeđenja primene obavezujućih poslovnih pravila od
strane svakog člana multinacionalne kompanije ili grupe privrednih subjekata pojedinačno, a
posebno način na koji se Povereniku stavljaju na raspolaganje rezultati provere iz tačke 10) ovog
stava;
način izveštavanja Poverenika o pravnim obavezama koje se primenjuju prema članu
multinacionalne kompanije ili grupe privrednih subjekata u drugoj državi, a koji bi mogli imati
značajan štetan uticaj na garancije propisane obavezujućim poslovnim pravilima;
odgovarajuća obuka za zaštitu podataka o ličnosti lica koja imaju trajan ili redovan pristup podacima
o ličnosti.
Poverenik može bliže urediti način razmene informacija između rukovalaca, obrađivača i Poverenika
u primeni stava 2. ovog člana.
Ako su ispunjeni uslovi iz stava 1. ovog člana, Poverenik odobrava obavezujuća poslovna pravila u
roku od 60 dana od dana podnošenja zahteva za njihovo odobrenje.
Odredbe st. 1. do 4. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi
u posebne svrhe.
Prenos ili otkrivanje podataka o ličnosti na osnovu odluke organa druge države
Član 68
Odluke suda ili upravnog organa druge države, kojima se od rukovaoca ili obrađivača zahteva prenos
ili otkrivanje podataka o ličnosti, mogu biti priznate ili izvršene u Republici Srbiji samo ako se
zasnivaju na međunarodnom sporazumu, kao što je sporazum o međunarodnoj pravnoj pomoći
zaključen između Republike Srbije i te druge države, što ne utiče na primenu drugih osnova za
prenos u skladu sa odredbama ove glave zakona.
Stav 1. ovog člana ne primenjuje se na prenos podataka koje obrađuju nadležni organi u posebne
svrhe.
Prenos podataka u posebnim situacijama
Član 69
Ako se prenos podatka o ličnosti ne vrši u skladu sa odredbama čl. 64, 65. i 67. ovog zakona, ovi
podaci mogu se preneti u drugu državu ili međunarodnu organizaciju samo ako se radi o jednom od
sledećih slučajeva:
lice na koje se podaci odnose je izričito pristalo na predloženi prenos, pošto je, zbog nepostojanja
odluke o primerenom nivou zaštite i odgovarajućih mera zaštite, informisano o mogućim rizicima
vezanim za taj prenos;
prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili za
primenu predugovornih mera preduzetih na zahtev lica na koje se podaci odnose;
prenos je neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci
odnose između rukovaoca i drugog fizičkog ili pravnog lica;
prenos je neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije,
pod uslovom da prenos pojedinih vrsta podataka o ličnosti ovim zakonom nije ograničen;
prenos je neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva;
prenos je neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog
fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak;
vrši se prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili
bilo kom licu koje može da dokaže da ima opravdani interes, ali samo u meri u kojoj su ispunjeni
zakonom propisani uslovi za uvid u tom posebnom slučaju.
Ako se prenos ne može izvršiti u skladu sa stavom 1. ovog člana i čl. 64, 65. i 67. ovog zakona, podaci
o ličnosti se mogu preneti u drugu državu ili međunarodnu organizaciju samo ako su zajedno
ispunjeni sledeći uslovi:
prenos podataka se ne ponavlja;
prenose se podaci ograničenog broja fizičkih lica;
prenos je neophodan u cilju ostvarivanja legitimnog interesa rukovaoca koji preteže nad interesima,
odnosno pravima ili slobodama lica na koje se podaci odnose;
rukovalac je obezbedio primenu odgovarajućih mera zaštite podataka o ličnosti na osnovu
prethodne procene svih okolnosti u vezi sa prenosom ovih
Rukovalac, odnosno obrađivač dužni su da u evidenciji o radnjama obrade iz člana 47. ovog zakona
obezbede dokaz o izvršenoj proceni i primeni odgovarajućih mera zaštite iz stava 2. tačka 4) ovog
člana.
Rukovalac je dužan da obavesti Poverenika o prenosu podataka izvršenom u skladu sa stavom 2.
ovog člana.
Rukovalac je dužan da licu na koje se podaci odnose, uz informacije iz čl. 23. i 24. ovog zakona, pruži i
informaciju o prenosu podataka iz stava 2. ovog člana, uključujući i informaciju o tome koji se
legitimni interes rukovaoca ostvaruje takvim prenosom.
Prenos podataka iz stava 1. tačka 7) ovog člana ne može da se odnosi na sve podatke o ličnosti ili na
cele vrste podataka o ličnosti iz registra.
Ako se prenose podaci iz registra koji su dostupni samo licu koje ima opravdani interes, u skladu sa
stavom 1. tačka 7) ovog člana, prenos se može izvršiti samo na zahtev tog lica ili ako je to lice
primalac podataka.
Odredbe stava 1. tač. 1) do 3) i stava 2. ovog člana ne primenjuju se na aktivnosti organa vlasti u
vršenju njihovih nadležnosti.
Odredbe st. 1. do 8. ovog člana ne primenjuju se na prenos podataka koje obrađuju nadležni organi
u posebne svrhe.
Posebne situacije prenosa podataka koje obrađuju nadležni organi u posebne svrhe
Član 70
Ako se prenos podatka o ličnosti koje obrađuju nadležni organi u posebne svrhe ne vrši u skladu sa
odredbama čl. 64. i 66. ovog zakona, ovi podaci mogu se preneti u drugu državu ili međunarodnu
organizaciju samo ako je takav prenos neophodan u jednom od sledećih slučajeva:
u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
u cilju zaštite legitimnih interesa lica na koje se podaci odnose, ako je to predviđeno zakonom;
u cilju sprečavanja neposredne i ozbiljne opasnosti za javnu bezbednost Republike Srbije ili druge
države;
u pojedinačnom slučaju, ako je u pitanju obrada u posebne svrhe;
u pojedinačnom slučaju, u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva, ako je taj cilj
neposredno u vezi sa posebnim
Prenos podataka o ličnosti ne može se izvršiti ako nadležan organ koji vrši prenos utvrdi da interes
zaštite osnovnih prava i sloboda lica na koje se podaci odnose preteže u odnosu na javni interes iz
stava 1. tač. 4) i 5) ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i
da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 3. ovog člana sadrži informacije o datumu i vremenu prenosa,
nadležnom organu koji prima podatke, razlozima za prenos i podacima koji su preneti.
Prenos podataka koje obrađuju nadležni organi u posebne svrhe primaocu u drugoj državi
Član 71
Izuzetno od odredbe člana 63. stav 2. tačka 2) ovog zakona i bez obzira na primenu međunarodnog
sporazuma iz stava 2. ovog člana, nadležni organ koji obrađuje podatke u posebne svrhe može
neposredno preneti podatke o ličnosti primaocu u drugoj državi samo ako su poštovane druge
odredbe ovog zakona i ako su zajedno ispunjeni sledeći uslovi:
prenos je neophodan za izvršenje zakonskog ovlašćenja nadležnog organa koji vrši prenos u posebne
svrhe;
nadležni organ koji vrši prenos je utvrdio da interes zaštite osnovnih prava ili sloboda lica na koje se
podaci odnose ne preteže u odnosu na javni interes radi čije zaštite je neophodno izvršiti prenos
podataka;
nadležni organ koji vrši prenos smatra da je prenos nadležnom organu u drugoj državi u posebne
svrhe nedelotvoran ili da ne odgovara postizanju tih svrha, a posebno ako se prenos ne može izvršiti
na vreme;
nadležni organ u drugoj državi je bez nepotrebnog odlaganja obavešten o prenosu, osim ako je takvo
obaveštavanje nedelotvorno ili ne odgovara postizanju svrhe;
nadležni organ koji vrši prenos je obavestio primaoca u drugoj državi o svrhama obrade podataka,
kao i o tome da se obrada može vršiti samo u te svrhe, samo od strane primaoca i samo ako je takva
obrada
Međunarodni sporazum iz stava 1. ovog člana je svaki sporazum koji je zaključen između Republike
Srbije i jedne ili više drugih država, a kojim se uređuje saradnja u krivičnim stvarima ili policijska
saradnja.
Nadležni organ koji vrši prenos je dužan da obavesti Poverenika o prenosu koji je izvršen na osnovu
stava 1. ovog člana.
Nadležni organ je dužan da dokumentuje prenos koji je izvršen na osnovu stava 1. ovog člana, kao i
da ovu dokumentaciju stavi na raspolaganje Povereniku, na njegov zahtev.
Dokumentacija o prenosu iz stava 4. ovog člana sadrži informacije o datumu i vremenu prenosa,
primaocu podataka, razlozima za prenos i podacima o ličnosti koji su preneti.
Međunarodna saradnja u vezi sa zaštitom podataka o ličnosti
Član 72
Poverenik preduzima odgovarajuće mere u odnosima sa organima nadležnim za zaštitu podataka o
ličnosti u drugim državama i međunarodnim organizacijama u cilju:
razvoja mehanizama međunarodne saradnje za olakšavanje delotvorne primene zakona koji se
odnose na zaštitu podataka o ličnosti;
obezbeđivanja međunarodne uzajamne pomoći u primeni zakona koji se odnose na zaštitu podataka
o ličnosti, uključujući i obaveštavanje, upućivanje na postupke zaštite i pravne pomoći u vršenju
nadzora, kao i razmenu informacija, pod uslovom da su preduzete odgovarajuće mere zaštite
podataka o ličnosti i osnovnih prava i sloboda;
angažovanja zainteresovanih strana u raspravama i aktivnostima koje su usmerene na razvoj
međunarodne saradnje u primeni zakona koji se odnose na zaštitu podataka o ličnosti;
podsticanja i unapređivanja razmene informacija o zakonodavstvu koje se odnosi na zaštitu
podataka o ličnosti i njegovoj primeni, uključujući i pitanja sukoba nadležnosti sa drugim državama u
ovoj
VI POVERENIK
Nezavisan status
Nadzorno telo Član 73
U cilju zaštite osnovnih prava i sloboda fizičkih lica u vezi sa obradom, poslove praćenja primene
ovog zakona u skladu sa propisanim ovlašćenjima vrši Poverenik, kao nezavisan državni organ.
Poverenik ima zamenika za zaštitu podataka o ličnosti.
Na sedište Poverenika,izbor Poverenika i zamenika Poverenika, prestanak njihovog mandata,
postupak njihovog razrešenja, njihov položaj, stručnu službu Poverenika, kao i na finansiranje i
podnošenje izveštaja, primenjuju se odredbe zakona kojim se uređuje slobodan pristup
informacijama od javnog značaja, ako ovim zakonom nije drugačije određeno.
Nezavisnost
Član 74
U vršenju svojih ovlašćenja i poslova, u skladu sa ovim zakonom, Poverenik je potpuno nezavisan,
slobodan je od svakog neposrednog ili posrednog spoljnog uticaja i ne može da traži niti prima
naloge od bilo koga.
Poverenik se ne može baviti drugom delatnošću ni drugim poslom, uz naknadu ili bez naknade, niti
može obavljati drugu javnu funkciju ili vršiti drugo javno ovlašćenje, niti politički delovati.
U cilju obezbeđivanja delotvornog vršenja zakonom propisanih ovlašćenja, neophodna finansijska
sredstva za rad, prostorije za rad, kao i neophodne tehničke, organizacione i kadrovske uslove za rad
Poverenika obezbeđuju se u skladu sa zakonom kojim se uređuje budžet i zakonima kojima se
uređuje državna uprava i položaj državnih službenika.
Poverenik samostalno vrši izbor zaposlenih između kandidata koji ispunjavaju zakonom propisane
uslove za rad u državnim organima i njima potpuno samostalno rukovodi.
Kontrolu nad trošenjem sredstava za rad Poverenika vrši Državna revizorska institucija, u skladu sa
zakonom, na način koji ne utiče na nezavisnost Poverenika.
Uslovi za izbor Poverenika Član 75
Pored uslova za izbor Poverenika, propisanih zakonom kojim se uređuje slobodan pristup
informacijama od javnog značaja, Poverenik mora da ima potrebno stručno znanje i iskustvo u
oblasti zaštite podataka o ličnosti.
Obaveza čuvanja profesionalne tajne Član 76
Poverenik, zamenik Poverenika i zaposleni u službi Poverenika dužni su da kao profesionalnu tajnu
čuvaju sve podatke do kojih su došli u obavljanju svoje funkcije, odnosno poslova, uključujući i
podatke u vezi sa povredom ovog zakona sa kojima ih je upoznalo lice koje nije zaposleno kod
Poverenika.
Obaveza iz stava 1. ovog člana traje i posle prestanka obavljanja funkcije Poverenika ili zamenika
Poverenika, odnosno prestanka rada u službi Poverenika.
Nadležnosti Poverenika
Opšta nadležnost Član 77
Poverenik vrši svoja ovlašćenja, u skladu sa ovim zakonom, na teritoriji Republike Srbije.
U vršenju svojih ovlašćenja Poverenik postupa u skladu sa zakonom kojim se uređuje opšti upravni
postupak, kao i shodnom primenom zakona kojim se uređuje inspekcijski nadzor, ako ovim zakonom
nije drugačije određeno.
Poverenik nije nadležan da vrši nadzor nad obradom od strane sudova u vršenju njihovih sudskih
ovlašćenja.
Poslovi Poverenika
Poverenik:
Član 78
vrši nadzor i obezbeđuje primenu ovog zakona u skladu sa svojim ovlašćenjima;
stara se o podizanju javne svesti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom, a
posebno ako se radi o obradi podataka o maloletnom licu;
daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, u skladu sa
propisom, o zakonskim i drugim merama koje se odnose na zaštitu prava i sloboda fizičkih lica u vezi
sa obradom;
stara se o podizanju svesti rukovaoca i obrađivača u vezi sa njihovim obavezama propisanim ovim
zakonom;
na zahtev lica na koje se podaci odnose, pruža informacije o njihovim pravima propisanim ovim
zakonom;
postupa po pritužbama lica na koje se podaci odnose, utvrđuje da li je došlo do povrede ovog zakona
i obaveštava podnosioca pritužbe o toku i rezultatima postupka koji vodi u skladu sa članom 82. ovog
zakona;
sarađuje sa nadzornim organima drugih država u vezi sa zaštitom podataka o ličnosti, a posebno u
razmeni informacija i pružanju uzajamne pravne pomoći;
vrši inspekcijski nadzor nad primenom ovog zakona, u skladu sa ovim zakonom i shodnom primenom
zakona kojim se uređuje inspekcijski nadzor, i podnosi zahtev za pokretanje prekršajnog postupka
ako utvrdi da je došlo do povrede ovog zakona, u skladu sa zakonom kojim se uređuju prekršaji;
prati razvoj informacionih i komunikacionih tehnologija, kao i poslovne i druge prakse od značaja za
zaštitu podataka o ličnosti;
izrađuje standardne ugovorne klauzule iz člana 45. stav 11. ovog zakona;
sačinjava i javno objavljuje liste iz člana 54. stav 5. ovog zakona;
daje pismeno mišljenje iz člana 55. stav 4. ovog zakona;
vodi evidenciju lica za zaštitu podataka o ličnosti iz člana 56. stav 11. ovog zakona;
podstiče izradu kodeksa postupanja u skladu sa članom 59. stav 1. ovog zakona i daje mišljenje i
saglasnost na kodeks postupanja u skladu sa članom 59. stav 5. ovog zakona;
obavlja poslove u skladu sa članom 60. ovog zakona;
podstiče izdavanje sertifikata za zaštitu podataka o ličnosti i odgovarajućih žigova i oznaka u skladu
sa članom stav
i propisuje kriterijume za sertifikaciju u skladu sa članom 61. stav 5. ovog zakona;
sprovodi periodično preispitivanje sertifikata u skladu sa članom 61. stav 8. ovog zakona;
propisuje i objavljuje kriterijume za akreditaciju sertifikacionog tela i obavlja poslove u skladu sa
članom ovog zakona;
odobrava odredbe ugovora ili sporazuma iz člana 65. stav 3. ovog zakona;
odobrava obavezujuća poslovna pravila u skladu sa članom 67. ovog zakona;
vodi internu evidenciju o povredama ovog zakona i merama koje se u vršenju inspekcijskog nadzora
preduzimaju u skladu sa članom 79. stav 2. ovog zakona;
obavlja i druge poslove određene ovim
Poslove nadzora iz stava 1. tač. 1) i 8) ovog člana Poverenik vrši preko ovlašćenih lica iz stručne
službe Poverenika.
Evidencija iz stava 1. tačka 21) ovog člana sadrži: podatke o rukovaocima ili obrađivačima koji su
povredili ovaj zakon (njihovo ime i prezime ili naziv, prebivalište, boravište ili sedište), podatke o
povredama ovog zakona (opis povrede i član zakona koji je povređen), podatke o merama koje su
preduzete i podatke o postupanju rukovaoca ili obrađivača po izrečenim merama.
Obrazac evidencije iz stava 3. ovog člana i način njenog vođenja propisuje Poverenik.
U cilju pojednostavljivanja podnošenja pritužbe, Poverenik propisuje obrazac pritužbe i omogućava
njeno podnošenje elektronskim putem, ne isključujući i ostala sredstva komunikacije.
Poverenik obavlja svoje poslove besplatno za lice na koje se podaci odnose i lice za zaštitu podataka
o ličnosti.
Ako je pritužba Povereniku očigledno neosnovana, preobimna ili se preterano ponavlja, Poverenik
može da traži naknadu nužnih troškova ili da odbije da postupa po toj pritužbi, uz navođenje razloga
kojima se dokazuje da se radi o neosnovanom, preobimnom ili preterano ponavljanom zahtevu.
Inspekcijska i druga ovlašćenja
Poverenik je ovlašćen da:
Član 79
naloži rukovaocu i obrađivaču, a prema potrebi i njihovim predstavnicima, da mu pruže sve
informacije koje zatraži u vršenju svojih ovlašćenja;
proverava i ocenjuje primenu odredbi zakona i na drugi način vrši nadzor nad zaštitom podataka o
ličnosti korišćenjem inspekcijskih ovlašćenja;
proverava ispunjenost uslova za sertifikaciju u skladu sa članom 61. stav 8. ovog zakona;
obaveštava rukovaoca, odnosno obrađivača o mogućim povredama ovog zakona;
zatraži i dobije od rukovaoca i obrađivača pristup svim podacima o ličnosti, kao i informacijama
neophodnim za vršenje njegovih ovlašćenja;
zatraži i dobije pristup svim prostorijama rukovaoca i obrađivača, uključujući i pristup svim
sredstvima i Poverenik je ovlašćen da preduzme sledeće korektivne mere:
da upozori rukovaoca i obrađivača dostavljanjem pismenog mišljenja da se nameravanim radnjama
obrade mogu povrediti odredbe ovog zakona u skladu sa članom 55. stav 4. ovog zakona;
da izrekne opomenu rukovaocu, odnosno obrađivaču ako se obradom povređuju odredbe ovog
zakona;
da naloži rukovaocu i obrađivaču da postupe po zahtevu lica na koje se podaci odnose u vezi sa
ostvarivanjem njegovih prava, u skladu sa ovim zakonom;
da naloži rukovaocu i obrađivaču da usklade radnje obrade sa odredbama ovog zakona, na tačno
određeni način i u tačno određenom roku;
da naloži rukovaocu da obavesti lice na koje se podaci o ličnosti odnose o povredi podataka o
ličnosti;
da izrekne privremeno ili trajno ograničenje vršenja radnje obrade, uključujući i zabranu obrade;
da naloži ispravljanje, odnosno brisanje podataka o ličnosti ili ograniči vršenje radnje obrade u skladu
sa čl. do 32. ovog zakona, kao i da naloži rukovaocu da obavesti o tome drugog rukovaoca, lice na
koje se podaci odnose i primaoce kojima su podaci o ličnosti otkriveni ili preneti, u skladu sa članom
30. stav 3. i čl. 33. i 34. ovog zakona;
da ukine sertifikat ili da naloži sertifikacionom telu ukidanje sertifikata koji je izdat u skladu sa čl. 61. i
62. ovog zakona, kao i da naloži sertifikacionom telu da odbije izdavanje sertifikata ako nisu ispunjeni
uslovi za njegovo izdavanje;
da izrekne novčanu kaznu na osnovu prekršajnog naloga ako je prilikom inspekcijskog nadzora
utvrđeno da je došlo do prekršaja za koji je ovim zakonom propisana novčana kazna u fiksnom
iznosu, umesto drugih mera propisanih ovim stavom ili uz njih, a u zavisnosti od okolnosti
konkretnog slučaja;
da obustavi prenos podataka o ličnosti primaocu u drugoj državi ili međunarodnoj organizaciji.
Poverenik je ovlašćen i da:
izrađuje standardne ugovorne klauzule iz člana 45. stav 11;
daje mišljenje rukovaocima u postupku prethodnog pribavljanja mišljenja Poverenika, u skladu sa
članom ovog zakona;
daje mišljenje Narodnoj skupštini, Vladi, drugim organima vlasti i organizacijama, po sopstvenoj
inicijativi ili na njihov zahtev, kao i javnosti, o svim pitanjima u vezi sa zaštitom podataka o ličnosti;
registruje i objavljuje kodeks postupanja, na koji je prethodno dao saglasnost, u skladu sa članom
stav 5. ovog zakona;
izdaje sertifikate i propisuje kriterijume za izdavanje sertifikata, u skladu sa članom 61. stav 5. ovog
zakona;
propisuje kriterijume za akreditaciju, u skladu sa članom 62. ovog zakona;
odobrava ugovorne odredbe, odnosno odredbe koje se unose u sporazum, u skladu sa članom stav
3. ovog zakona;
odobrava obavezujuća poslovna pravila, u skladu sa članom 67. ovog zakona. Kontrolu akata
Poverenika donetih na osnovu ovog člana vrši sud, u skladu sa
U vršenju svojih ovlašćenja Poverenik može da pokrene postupak pred sudom ili drugim organom, u
skladu sa zakonom.
Prijavljivanje povrede zakona Član 80
Nadležni organ koji vrši obradu u posebne svrhe je dužan da obezbedi primenu efektivnih
mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona Povereniku.
Izveštavanje Član 81
Poverenik je dužan da sačini godišnji izveštaj o svojim aktivnostima, koji sadrži podatke o vrstama
povreda ovog zakona i merama koje su preduzete u vezi sa tim povredama, kao i da ga podnese
Narodnoj skupštini.
Izveštaj iz stava 1. ovog stava dostavlja se i Vladi i stavlja se na uvid javnosti, na odgovarajući način.
VII PRAVNA SREDSTVA, ODGOVORNOST I KAZNE
Pravo na pritužbu Povereniku
Član 82
Lice na koje se podaci odnose ima pravo da podnese pritužbu Povereniku ako smatra da je obrada
podataka o njegovoj ličnosti izvršena suprotno odredbama ovog zakona. U postupku po pritužbi
shodno se primenjuju odredbe zakona kojim se uređuje inspekcijski nadzor u delu koji se odnosi na
postupanje po predstavkama. Podnošenje pritužbe Povereniku ne utiče na pravo ovog lica da
pokrene druge postupke upravne ili sudske zaštite.
Poverenik je dužan da podnosioca pritužbe obavesti o toku postupka koji vodi, rezultatima postupka,
kao i o pravu lica da pokrene sudski postupak u skladu sa članom 83. ovog zakona.
Pravo na sudsku zaštitu protiv odluke Poverenika
Član 83
Lice na koje se podaci odnose, rukovalac, obrađivač, odnosno drugo fizičko ili pravno lice na koje se
odnosi odluka Poverenika, doneta u skladu sa ovim zakonom, ima pravo da protiv te odluke tužbom
pokrene upravni spor u roku od 30
dana od dana prijema odluke. Podnošenje tužbe u upravnom sporu ne utiče na pravo da se pokrenu
drugi postupci upravne ili sudske zaštite.
Ako Poverenik u roku od 60 dana od dana podnošenja pritužbe ne postupi po pritužbi ili ne postupi u
skladu sa članom 82. stav 2. ovog zakona, lice na koje se podaci odnose ima pravo da pokrene
upravni spor.
Sudska zaštita prava lica
Član 84
Lice na koje se podaci odnose ima pravo na sudsku zaštitu ako smatra da mu je, suprotno ovom
zakonu, od strane rukovaoca ili obrađivača radnjom obrade njegovih podataka o ličnosti povređeno
pravo propisano ovim zakonom. Podnošenje tužbe sudu ne utiče na pravo ovog lica da pokrene
druge postupke upravne ili sudske zaštite.
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda da obaveže tuženog na:
davanje informacije iz čl. 22. do 27, čl. 33. do 35. i člana 37. ovog zakona;
ispravku, odnosno brisanje podataka o tužiocu iz čl. 29, 30. i 32. ovog zakona;
ograničenje obrade iz čl. 31. i 32. ovog zakona;
davanje podataka u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku;
prenošenje podataka drugom rukovaocu iz člana 36. ovog zakona;
prekid obrade podataka iz člana 37. ovog
Tužbom za zaštitu prava iz stava 1. ovog člana može se zahtevati od suda i da utvrdi da je odluka koja
se odnosi na tužioca doneta suprotno čl. 38. i 39. ovog zakona.
Tužba iz st. 2. i 3. ovog člana podnosi se višem sudu na čijoj teritoriji rukovalac, odnosno obrađivač ili
njihov predstavnik ima prebivalište, boravište, odnosno sedište ili na čijoj teritoriji lice na koje se
odnose podaci ima prebivalište ili boravište, osim ako je rukovalac, odnosno obrađivač organ vlasti.
Revizija pravnosnažne odluke donete po tužbama iz st. 2. i 3. ovog člana je uvek dopuštena.
U postupku sudske zaštite primenjuju se odredbe zakona kojim se uređuje parnični postupak, ako
ovim zakonom nije drugačije određeno.
Zastupanje lica na koje se podaci odnose
Član 85
Lice na koje se podaci odnose, u vezi sa zaštitom podataka o ličnosti, ima pravo da ovlasti
predstavnika udruženja koje se bavi zaštitom prava i sloboda lica na koje se podaci odnose da ga, u
skladu sa zakonom, zastupa u postupcima iz čl. 82. do
i člana 86. ovog zakona.
Pravo na naknadu štete
Član 86
Lice koje je pretrpelo materijalnu ili nematerijalnu štetu zbog povrede odredaba ovog zakona ima
pravo na novčanu naknadu ove štete od rukovaoca, odnosno obrađivača koji je štetu prouzrokovao.
Ako je materijalna ili nematerijalna šteta prouzrokovana nezakonitom obradom koju vrše nadležni
organi u posebne svrhe, odnosno povredom odredaba zakona koji se odnose na obradu tih
podataka, lice koje je pretrpelo štetu ima pravo na naknadu štete od rukovaoca ili drugog nadležnog
organa protiv kojeg se može podneti tužba za naknadu štete, u skladu sa zakonom.
Za štetu iz stava 1. ovog člana odgovara rukovalac, a obrađivač odgovara samo ako nije postupao u
skladu sa obavezama propisanim ovim zakonom koje se odnose neposredno na njega ili kad je
postupao izvan uputstava ili suprotno uputstvima rukovaoca, izdatim u skladu sa ovim zakonom.
Rukovalac, odnosno obrađivač oslobađa se odgovornosti za štetu ako dokaže da ni na koji način nije
odgovoran za nastanak štete.
Ako obradu vrše više rukovalaca, odnosno obrađivača ili zajedno rukovalac i obrađivač, i ako su oni
odgovorni za štetu, svaki rukovalac, odnosno obrađivač odgovoran je za celokupan iznos naknade
štete.
Ako je rukovalac, odnosno obrađivač iz stava 5. ovog člana isplatio celokupan iznos naknade štete,
on ima pravo da zahteva od drugih rukovaoca, odnosno obrađivača povraćaj dela iznosa koji
odgovara njihovoj odgovornosti za nastanak štete, u skladu sa stavom 3. ovog člana.
Uslovi za izricanje novčanih kazni
Član 87
Novčane kazne zbog povrede odredbi ovog zakona u svakom pojedinačnom slučaju izriču se i
primenjuju na delotvoran, srazmeran i preventivan način.
Novčane kazne iz stava 1. ovog člana, u zavisnosti od okolnosti pojedinačnog slučaja, mogu se izreći
uz mere ili umesto mera propisanih članom 79. stav 2. tač. 1) do 8) i tačka 10) ovog zakona.
Prilikom odlučivanja o izricanju novčanih kazni i njihovom iznosu mora se u svakom pojedinačnom
slučaju voditi računa o:
prirodi, težini i trajanju povrede odredbi zakona, uzimajući u obzir vrstu, obim i svrhu obrade, kao i
broj lica na koje se podaci odnose i nivo štete koju su oni pretrpeli;
postojanju namere ili nepažnje prekršioca;
svakoj radnji rukovaoca i obrađivača usmerenoj na otklanjanje ili ublažavanje štete koju su pretrpela
lica na koje se podaci odnose;
stepenu odgovornosti rukovaoca i obrađivača, uzimajući u obzir mere koje su primenili u skladu sa
članom i članom
ovog zakona;
prethodnim slučajevima kršenja odredbi ovog zakona od strane rukovaoca i obrađivača koji su od
značaja za izricanje kazne;
stepenu saradnje rukovaoca i obrađivača sa Poverenikom u cilju otklanjanja posledica povrede
zakona i otklanjanja ili ublažavanja štetnih posledica povrede;
vrstama podataka o ličnosti na koje se odnose povrede;
načinu na koji je Poverenik saznao za povredu, a posebno o tome da li je i u kojoj meri rukovalac,
odnosno obrađivač obavestio Poverenika o povredi;
postupanju u skladu sa korektivnim merama Poverenika koje su ranije izrečene rukovaocu, odnosno
obrađivaču u vezi sa istim slučajem povrede, u skladu sa članom 79. stav 2. ovog zakona;
primeni odobrenih kodeksa postupanja u skladu sa članom ovog zakona, odnosno postojanju
sertifikata iz člana 61. ovog zakona;
svim drugim otežavajućim i olakšavajućim okolnostima u konkretnom slučaju, kao što su izbegavanje
finansijskog gubitka ili finansijska korist koja je ostvarena na neposredan ili posredan način
povredom odredbi ovog
VIII POSEBNI SLUČAJEVI OBRADE
Obrada i slobode izražavanja i informisanja
Član 88
Na obradu koja se vrši u svrhe novinarskog istraživanja i objavljivanja informacija u medijima, kao i u
svrhe naučnog, umetničkog ili književnog izražavanja, ne primenjuju se odredbe Glave II. do VI. i čl.
89. do 94. ovog zakona, ako su u konkretnom slučaju ova ograničenje neophodna u cilju zaštite
slobode izražavanja i informisanja.
Obrada i slobodan pristup informacijama od javnog značaja
Član 89
Informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu
informacije od strane organa vlasti na način kojim se obezbeđuje da se pravo javnosti da zna i pravo
na zaštitu podataka o ličnosti mogu ostvariti zajedno, u meri propisanoj zakonom kojim se uređuje
slobodan pristup informacijama od javnog značaja i ovim zakonom.
Obrada jedinstvenog matičnog broja građana
Član 90
Na obradu jedinstvenog matičnog broja građana, primenjuju se odredbe zakona kojim se uređuje
jedinstveni matični broj građana, odnosno drugog zakona, uz primenu odredbi ovog zakona koje se
odnose na zaštitu prava i sloboda lica na koje se podaci odnose.
Obrada u oblasti rada i zapošljavanja
Član 91
Na obradu u oblasti rada i zapošljavanja primenjuju se odredbe zakona kojima se uređuje rad i
zapošljavanje i kolektivni ugovori, uz primenu odredbi ovog zakona.
Ako zakon koji uređuje rad i zapošljavanje ili kolektivni ugovor sadrže odredbe o zaštiti podataka o
ličnosti, moraju se propisati i posebne mere zaštite dostojanstva ličnosti, legitimnih interesa i
osnovnih prava lica na koje se podaci odnose, posebno u odnosu na transparentnost obrade,
razmenu podataka o ličnosti unutar multinacionalne kompanije, odnosno grupe privrednih
subjekata, kao i sistem nadzora u radnoj sredini.
Mere zaštite i ograničenje primene zakona na obradu u svrhe arhiviranja u javnom interesu, u svrhe
naučnog ili istorijskog istraživanja ili u statističke svrhe
Član 92
Na obradu u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u
statističke svrhe primenjuju se odgovarajuće mere zaštite prava i sloboda lica na koje se podaci
odnose propisane ovim zakonom. Te mere obezbeđuju primenu tehničkih, organizacionih i
kadrovskih mera, a posebno kako bi se obezbedilo poštovanje načela minimizacije podataka. Te
mere mogu obuhvatiti pseudonimizaciju, ako se svrha obrade može ostvariti upotrebom te mere.
Ako se svrhe iz stava 1. ovog člana mogu ostvariti bez identifikacije ili bez dalje identifikacije lica na
koje se podaci odnose, te svrhe se moraju ostvariti na način koji onemogućava dalju identifikaciju
tog lica.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26, 29, 31. i 37. ovog zakona se ne primenjuju
ako se obrada vrši u svrhe naučnog ili istorijskog istraživanja ili statističke svrhe, ako je to neophodno
za ostvarivanje tih svrha ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala
njihovo ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.
Odredbe o pravima lica na koje se podaci odnose iz čl. 26. i 29. i čl. 31. do 37. ovog zakona ne
primenjuju se ako se obrada vrši u svrhe arhiviranja u javnom interesu, ako je to neophodno za
ostvarivanje te svrhe ili ako bi primena tih odredbi zakona onemogućila ili značajno otežala njeno
ostvarivanje, uz primenu mera iz st. 1. i 2. ovog člana.
Ako se obrada iz st. 3. i 4. ovog člana vrši i u druge svrhe, na obradu u druge svrhe primenjuju se
odredbe ovog zakona bez ograničenja.
Obrada od strane crkve i verskih zajednica
Član 93
Ako crkve ili verske zajednice primenjuju sveobuhvatna pravila u pogledu zaštite fizičkih lica u
odnosu na obradu, ta postojeća pravila mogu se i dalje primenjivati pod uslovom da se usklade sa
ovim zakonom.
U slučaju iz stava 1. ovog člana, primenjuju se i odredbe ovog zakona o inspekcijskim i drugim
ovlašćenjima Poverenika iz čl.
do 79. ovog zakona, osim ako crkva, odnosno verska zajednica, ne obrazuje posebno nezavisno
nadzorno telo koje će vršiti ta ovlašćenja, pod uslovom da takvo telo ispunjava uslove predviđene
Poglavljem VI. ovog zakona.
Obrada u humanitarne svrhe od strane organa vlasti
Član 94
Podaci o ličnosti koje obrađuje organ vlasti mogu da se obrađuju i u cilju prikupljanja sredstava za
humanitarne svrhe, uz primenu odgovarajućih mera zaštite prava i sloboda lica na koje se podaci
odnose, u skladu sa ovim zakonom.
U cilju prikupljanja sredstava za humanitarne svrhe podaci o ličnosti koje obrađuje organ vlasti ne
mogu se ustupati drugim licima.
IX KAZNENE ODREDBE
Član 95
Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj rukovalac, odnosno
obrađivač koji ima svojstvo pravnog lica ako:
obrađuje podatke o ličnosti suprotno načelima obrade iz člana 5. stav 1. ovog zakona;
obrađuje podatke o ličnosti u druge svrhe, suprotno čl. 6. i 7. ovog zakona;
jasno ne izdvoji podatke o ličnosti koji su zasnovani na činjeničnom stanju od podataka o ličnosti koji
su zasnovani na ličnoj oceni (član 10);
ako korišćenjem razumnih mera ne obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne
prenose, odnosno da ne budu dostupni (član 11. stav 1);
obrađuje podatke o ličnosti bez saglasnosti lica na koje se podaci odnose, a nije u mogućnosti da
predoči da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka (član 15. stav
1);
obrađuje posebne vrste podataka o ličnosti suprotno čl. 17. i 18. ovog zakona;
obrađuje podatke o ličnosti u vezi sa krivičnim presudama, kažnjivim delima i merama bezbednosti
suprotno članu stav
ovog zakona;
licu na koje se podaci odnose ne pruži informacije iz člana 23. st. 1. do 3. i člana 24. st. 1. do 4. ovog
zakona;
licu na koje se podaci odnose ne stavi na raspolaganje ili ne pruži informacije iz člana st. 1. i 2. ovog
zakona;
ne pruži tražene informacije, ne omogući pristup podacima, odnosno ako ne dostavi kopiju podataka
koje obrađuje (član
st. 1. i 2. i član 27);
ograniči delimično ili u celini pravo na pristup podacima licu na koje se podaci odnose suprotno članu
stav 1. ovog zakona;
ne ispravi netačne podatke ili ne dopuni nepotpune podatke, suprotno članu 29. ovog zakona;
ne izbriše podatke lica na koje se podaci odnose bez odlaganja u slučajevima iz člana stav 2. ovog
zakona;
ne ograniči obradu podataka o ličnosti u slučajevima iz člana 31. ovog zakona;
ne izbriše podatke o ličnosti (član 32);
ne obavesti primaoca u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. stav 1);
ne informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno
ograničavanja obrade, kao i o razlogu za odbijanje (član 34. stav 1);
ne prekine sa obradom podataka nakon što je lice podnelo prigovor (član 37. stav 1);
se donese odluka koja proizvodi pravne posledice po lice na koje se podaci odnose isključivo na
osnovu automatizovane obrade, suprotno čl. 38. i 39. ovog zakona;
prilikom određivanja načina obrade, kao i u toku obrade ne preduzme odgovarajuće tehničke,
organizacione i kadrovske mere, suprotno članu 42. ovog zakona;
se odnos između zajedničkih rukovaoca ne uredi na način propisan članom 43. st. do 2. do 4. ovog
zakona;
poveri obradu podataka o ličnosti obrađivaču, suprotno članu 45. ovog zakona;
se podaci obrađuju bez naloga ili suprotno nalogu rukovaoca (član 46);
ne obavesti Poverenika o povredi bezbednosti podataka, suprotno članu 52. ovog zakona;
ne obavesti lice na koje se podaci odnose o povredi bezbednosti podataka, suprotno članu 53. ovog
zakona;
ne izvrši procenu uticaja na zaštitu bezbednosti podataka na način predviđen članom 54. ovog
zakona;
ne obavesti Poverenika, odnosno ne zatraži mišljenje Poverenika pre započinjanja radnje obrade
(član st. 1. i 3);
ne odredi lice za zaštitu podataka o ličnosti u slučajevima iz člana 56. stav 2. ovog zakona;
ne izvrši svoje obaveze prema licu za zaštitu podataka o ličnosti iz člana 57. st. 1. do 3. ovog zakona;
se prenos podataka o ličnosti u druge zemlje i međunarodne organizacije vrši suprotno čl. do 71.
ovog zakona;
ne obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog
zakona (član 80);
obrađuje podatke o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog
istraživanja ili u statističke svrhe suprotno članu 92. ovog
Novčanom kaznom u iznosu od 100.000 dinara kazniće se za prekršaj rukovalac, odnosno obrađivač
koji ima svojstvo pravnog lica ako:
ne upozna primaoca sa posebnim uslovima za obradu podataka o ličnosti propisnim zakonom i
njegovom obavezom ispunjenja tih uslova (član 11. stav 5);
ne dostavi licu na koje se podaci odnose obrazloženu odluku, odnosno ne obavesti lice u roku iz
člana st. 3. i 5. ovog zakona;
nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor
na takvu obradu (član 37. stav 3);
ne odredi svog predstavnika u Republici Srbiji, suprotno članu 44. ovog zakona;
ne vodi propisane evidencije o obradi (član 47), ili ne beleži radnje obrade (član 48);
ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku (član 56. stav
11).
Novčanom kaznom od 5.000 do 150.000 dinara kazniće se za prekršaj fizičko lice koje ne čuva kao
profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova (član 57. stav 7. i
član 76).
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom kaznom od 20.000 do 500.000
dinara.
Za prekršaj iz stava 1. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu,
državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i
odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od
5.000 do 150.000 dinara.
Za prekršaj iz stava 2. ovog člana kazniće se preduzetnik novčanom kaznom od u iznosu od 50.000
dinara.
Za prekršaj iz stava 2. ovog člana kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu,
državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i
odgovorno lice u predstavništvu ili poslovnoj jedinici
stranog pravnog lica novčanom kaznom u iznosu od 20.000 dinara.
X PRELAZNE I ZAVRŠNE ODREDBE
Zamenik Poverenika
Član 96
Zamenik poverenika za zaštitu podataka o ličnosti koji je izabran u skladu sa Zakonom o zaštiti
podataka o ličnosti (“Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12),
nastavlja da vrši tu dužnost do isteka mandata na koji je izabran.
Započeti postupci
Član 97
Postupci po žalbama povodom zahteva za ostvarivanje prava u vezi sa obradom, postupci po
zahtevima za izdavanje dozvole za iznošenje podataka iz Republike Srbije i postupci nadzora koji nisu
okončani do dana početka primene ovog zakona okončaće se po odredbama Zakona o zaštiti
podataka o ličnosti (“Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12).
Centralni registar zbirki podataka
Član 98
Centralni registar zbirki podataka koji je uspostavljen po odredbama Zakona o zaštiti podataka o
ličnosti (“Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) prestaje da se vodi
danom stupanja na snagu ovog zakona.
Sa centralnim registrom iz stava 1. ovog člana, kao i sa podacima sadržanim u tom registru, postupa
se u skladu sa propisima koji uređuju postupanje sa arhivskom građom.
Podzakonski akti
Član 99
Podzakonski akti predviđeni ovim zakonom biće doneti u roku od devet meseci od dana stupanja na
snagu ovog zakona.
Podzakonski akti koji su doneti na osnovu Zakona o zaštiti podataka o ličnosti (“Službeni glasnik RS”,
br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12) nastavljaju da se primenjuju do donošenja
podzakonskih akata iz stava 1. ovog člana, ako nisu u suprotnosti sa ovim zakonom.
Usklađivanje drugih zakona
Član 100
Odredbe drugih zakona, koje se odnose na obradu podataka o ličnosti, uskladiće se sa odredbama
ovog zakona do kraja 2020. godine.
Prestanak važenja ranijeg zakona
Član 101
Danom početka primene ovog zakona prestaje da važi Zakon o zaštiti podataka o ličnosti (“Službeni
glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 – US i 107/12).
Stupanje zakona na snagu
Član 102
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u “Službenom glasniku Republike
Srbije”, a primenjuje se po isteku devet meseci od dana stupanja zakona na snagu, osim odredbe
člana 98. ovog zakona koja se primenjuje od dana njegovog stupanja na snagu.