PRAVILNIK O ZAŠTITI PODATAKA O LIČNOSTI

Broj: 20849/22

Dana: 01.12 .2022.

Na osnovu Zakona o zaštiti podataka o ličnosti („Službeni glasnik RS”, broj 87/2018) i člana 75. Statuta JKP „Informatika“ Novi Sad broj 19260-6/16 od 20.10.2016. godine, direktor JKP „Informatika“ Novi Sad dana 01.12.2022.godine donosi:

PRAVILNIK O ZAŠTITI PODATAKA O LIČNOSTI

JAVNOG KOMUNALNOG PREDUZEĆA

,,INFORMATIKA“ NOVI SAD

1.PREDMET PRAVILNIKA

Član 1.

Pravilnik o zaštiti podataka o ličnosti Javnog komunalnog preduzeća „Informatika“ Novi Sad (u daljem tekstu: Pravilnik) je pravni dokument koji reguliše zaštitu, odnosno obradu podataka o ličnosti zaposlenih, saradnika, konsultanata i drugih lica angažovanih od strane Javnog komunalnog preduzeća „Informatika“ Novi Sad (u daljem tekstu: Preduzeće), kao i drugih lica čije podatke Preduzeće obrađuje (korisnika, klijenata), kao i druga pitanja iz zaštite podataka o ličnosti koja su od značaja za zaposlene i druga fizička lica i Preduzeće, a u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: ZZPL), Opštom uredbom o zaštiti podataka Evropske unije (u daljem tesktu GDPR), i drugim relevantnim pravnim izvorima iz oblasti zaštite podataka o ličnosti.

Termini koji se koriste u ovom Pravilniku, a imaju rodno značenje, izraženi u gramatičkom muškom rodu, podrazumevaju prirodni ženski i muški pol lica na koje se odnose.

Ovaj Pravilnik se primenjuje na sve vidove obrade podataka o ličnosti koji se vrše u okviru Preduzeća, kao i na podatke o ličnosti koje Preduzeće obrađuje u okviru obavljanja svoje delatnosti, bez obzira na to u kom svojstvu se Preduzeće u odnosu na obradu javlja (rukovalac, obrađivač), i bez obzira da li se obrada podataka o ličnosti vrši na automatizovan način, u papirnom ili elektronskom obliku. Donošenjem ovog Pravilnika Preduzeće obezbeđuje pravnu sigurnost i transparentnost u pogledu obrade podataka o ličnosti zaposlenih i drugih lica čiji se podaci obrađuju, kao i da se utvrđuje pravni osnov, svrha obrade, vrste podataka koji se obrađuju, prava fizičkih lica u pogledu obrade podataka o ličnosti, mere zaštite podataka i dr.

Pravilnik uspostavlja i obaveze zaposlenih u pogledu zaštite podataka o ličnosti fizičkih lica. Pojam „zaposleni” obuhvata, pored zaposlenih na neodređeno i određeno vreme, i lica angažovana na osnovu ugovora o delu, ugovora o privremeno povremenim poslovima, autorskih ugovora, ugovora o pružanju konsultantskih usluga, ugovore sa licima na praksi, pripravnike, ustupljene zaposlene i slično. Pravilnik se primenjuje i na saradnike, kandidate koji konkurišu za posao, klijente, poslovne partnere, korisnike usluga, lica koja posećuju Internet stranicu Preduzeća, korisnike usluga putem mobilnih aplikacija, konsultante i druga zainteresovana fizička lica.

Pravilnik se primenjuje i na eksterne obrađivače kojima je ugovorom poverena obrada podataka o ličnosti u odnosu na koje se Preduzeće javlja kao rukovalac, u skladu sa odredbama ovog Pravilnika.

Zaposleni su obavezni da poštuju i štite podatke o ličnosti koje obrađuju tokom rada u ili sa Preduzećem, da poštuju zakonske odredbe i ovaj Pravilnik koji regulišu zaštitu podataka o ličnosti, kao i sve procedure koje se sprovode na nivou Preduzeća, a koje doprinose zaštiti podataka o ličnosti. Zaposleni koji vrše radnje obrade, u slučaju da imaju nedoumicu u vezi sa obradom nekog podatka o ličnosti, ili bilo koje drugo pitanje u vezi sa zaštitom podatka o ličnosti, dužni su da se obrate za mišljenje Licu za zaštitu podataka o ličnosti, kao i da obaveste neposrednog rukovodioca. Zaposleni mogu obrađivati samo one podatke kojima im je dozvoljen pristup, u skladu sa zadacima koje obavljaju.

Pravilnik uspostavlja i obavezu zaposlenih da odgovore na „Upitnik za procenu spremnosti JKP Informatika u odnosu na zakon o zaštiti podataka o ličnosti (ZZPL)“ (Prilog broj 1) u okviru kojeg se vrši samoprovera statusa usklađenosti sa glavnim zahtevima Zakona o zaštiti podataka o ličnosti (ZZPL) Republike Srbije. Nakon sprovođenja ovog upitnika potrebno je proći kroz „Kontrolnu listu KL – 001 - za rukovaoce koji su organi vlasti“, a koju je objavio na svom portalu Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/).

Član 2.

Rukovalac i Obrađivač

JKP „Informatika“ Novi Sad, sa sedištem u Novom Sadu, Bulevar cara Lazara broj 3, MB: 08023182, PIB: 101651557, može u okviru svog poslovanja predstavljati rukovaoca ili obrađivača podataka o ličnosti, u zavisnosti od okolnosti posla tokom kojeg se vrši obrada podataka, pri čemu se sa podacima postupa isključivo u skladu s važećim propisima i obezbeđuje se odgovarajući nivo organizacione i tehničke zaštite podataka o ličnosti.

Pravilnikom se uređuju sledeće oblasti:

  1. Predmet Pravilnika

  2. Pojmovi i skraćenice

  3. Način primene osnovnih načela obrade

  4. Pravni osnov obrade podataka o ličnosti

  5. Vrste podataka o ličnosti koje Preduzeće obrađuje i posebni slučajevi obrade

  6. Transparentnost obrade

  7. Svrha obrade podataka o ličnosti

  8. Prava lica čiji se podaci obrađuju i način ostvarivanja prava

  9. Izvor podataka o ličnosti lica na koje se podaci odnose

  10. Rokovi čuvanja podataka o ličnosti

  11. Evidencije o radnjama obrade podataka o ličnosti

  12. Procena uticaja obrade na zaštitu podataka o ličnosti

  13. Odgovori na povredu podataka i obaveštavanje

  14. Lice za zaštitu podataka o ličnosti

  15. Obaveze Preduzeća kao obrađivača i odnos prema obrađivaču

  16. Tehničke, organizacione i kadrovske mere za zaštitu podataka o ličnosti

  17. Načini prekograničnog prenosa podataka o ličnosti

  18. Pravna sredstva za zaštitu podataka o ličnosti u slučaju povrede prava

  19. Prelazne i završne odredbe.

2.POJMOVI I SKRAĆENICE

Član 3.

  • GDPR - Uredba (EU) 2016/679 Evropskog parlamenta i Saveta EU od 27. aprila 2016. o zaštiti lica u odnosu na obradu podataka o ličnosti i slobodnom kretanju takvih podataka i stavljanju Direktive 95/46/EZ van snage (u daljem tekstu: „ GDPR”);

  • Zakon o zaštiti podataka o ličnosti (u daljem tekstu ZZPL), („Službeni glasnik RS”, broj 87/2018);

  • Zakon o radu („Službeni glasnik RS”, broj 24/2005, 61/2005, 54/2009, 32/2013, 75/2014, 13/2017 - odluka Ustavnog suda, 113/2017 i 95/2018-autentično tumačenje), u daljem tekstu: „ZOR”;

  • Z akon o slobodnom pristupu informacijama od javnog značaja („Službeni glasnik RS“,broj 120/2004, 54/2007, 104/2009, 36/2010 i 105/2021);

  • Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije (u daljem tekstu: „Poverenik”) – je nezavisan i samostalan organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadzor nad sprovođenjem ZZPL i obavljanje drugih poslova propisanih zakonom (https://www.poverenik.rs/sr/);

  • Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podatak o lokaciji, identifikator u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;

  • Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju;

  • Posebne vrste podataka o ličnosti su podaci kojim se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, genetski podataci, biometrijski podaci, podaci o zdravstvenom stanju, seksualnom životu ili seksualnoj orijentaciji fizičkog lica;

  • Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada);

  • Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje;

  • Obrađivač je fizičko ili pravno lice, odnosno organ vlasti, koji obrađuje podatke o ličnosti u ime rukovaoca;

  • Profilisanje je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;

  • Pseudonimizacija je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;

  • Anonimizacija znači obradu podataka o ličnosti sa ciljem nepovratnog sprečavanja identifikacije osobe na koju se odnose. Podaci se mogu smatrati anonimizovanim kada ne dozvoljavaju identifikaciju pojedinaca na koje se odnose i kada nije moguće da se pojedinac identifikuje iz podataka bilo kojom daljom obradom tih istih podataka ili obradom tih istih podataka zajedno sa drugim podacima koji su dostupni ili će verovatno biti dostupni.

  • Organ vlasti je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja;

  • Nadležni organi su organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti;

  • Pristanak lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose;

  • Povreda podataka o ličnosti je povreda bezbednosti podataka o ličnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili na drugi način obrađivani;

  • Genetski podatak je podatak o ličnosti koji se odnosi na nasleđena ili stečena genetska obeležja fizičkog lica koja pružaju jedinstvenu informaciju o fiziologiji ili zdravlju tog lica, a naročito oni koji su dobijeni analizom iz uzorka biološkog porekla;

  • Biometrijski podatak je podatak o ličnosti dobijen posebnom tehničkom obradom u vezi sa fizičkim obeležjima, fiziološkim obeležjima ili obeležjima ponašanja fizičkog lica, koja omogućava ili potvrđuje jedinstvenu identifikaciju tog lica, kao što je slika njegovog lica ili njegovi daktiloskopski podaci;

  • Podaci o zdravlju su podaci o fizičkom ili mentalnom zdravlju fizičkog lica, uključujući i one o pružanju zdravstvenih usluga, kojima se otkrivaju informacije o njegovom zdravstvenom stanju.

 

3.NAČIN PRIMENE OSNOVNIH NAČELA OBRADE

Član 4.

Prilikom obrade podataka o ličnosti, Preduzeće odnosno zaposleni koji u ime Preduzeća obrađuju podatke o ličnosti kako zaposlenih tako i drugih lica, moraju se pridržavati načela obrade propisanih članom 5. ZZPL i to:

- Načela zakonitosti, poštenja i transparentnosti- koje podrazumeva da se podaci o ličnosti moraju obrađivati zakonito (zakonita obrada je obrada koja se vrši u skladu sa ZZPL i drugim zakonima kojima se uređuje obrada), pošteno i transparentno u odnosu na lice na koje se podaci odnose;

- Načela ograničenja u odnosu na svrhu obrade- koje podrazumeva da se podaci o ličnosti moraju prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama;

- Načela minimizacije podataka- koje podrazumeva da podaci o ličnosti moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade;

- Načela tačnosti- koje podrazumeva da podaci o ličnosti moraju biti tačni, i ako je to neophodno, ažurirani, uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave;

- Načela ograničenja čuvanja- koje podrazumeva da se podaci o ličnosti moraju čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade;

- Načela integriteta i poverljivosti- koje podrazumeva da se podaci o ličnosti moraju obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.

Preduzeće kao rukovalac je odgovorno za primenu gore navedenih načela obrade i mora biti u mogućnosti da predoči njihovu primenu.

4.PRAVNI OSNOV OBRADE PODATAKA O LIČNOSTI

Član 5.

Preduzeće kao rukovalac zakonito obrađuje podatke o ličnosti samo ako je ispunjen jedan od sledećih uslova:

  1. lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;

  2. obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;

  3. obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;

  4. obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;

  5. obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;

  6. obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice (ne primenjuje se na obradu koju vrši Preduzeće kao organ vlasti u okviru svoje nadležnosti).

Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.

Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.

Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije. Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti.

Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.

Obrasci za davanje pristanka sastavni su delovi ovog Pravilnika:

- „Obrazac za davanje pristanka“- fizička lica (Obrazac broj 1);

- „Obrazac za davanje pristanka“-roditelja/zakonskog zastupnika (Obrazac broj 3).

Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.

Obrasci za povlačenje pristanka sastavni su delovi ovog Pravilnika:

- „Obrazac za povlačenje pristanka“- fizička lica (Obrazac broj 2);

-„Obrazac za povlačenje pristanka“ roditelja/ zakonskog zastupnika (Obrazac broj 4).

Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.

5.VRSTE PODATAKA O LIČNOSTI KOJE PREDUZEĆE OBRAĐUJE I POSEBNI SLUČAJEVI OBRADE

Član 6.

Preduzeće kao rukovalac može obrađivati sledeće podatke o ličnosti zaposlenih:

  • Ime i prezime, adresa prebivališta/boravišta, opština prebivališta/boravišta, datum i mesto rođenja, pol, bračno stanje, jedinstveni matični broj građana (JMBG), broj lične karte, državljanstvo, broj zdravstvenog osiguranja (LBO), akademske i profesionalne kvalifikacije, stepen obrazovanja, titule, podaci o veštinama, znanje stranih jezika, podaci o obukama, istorija zaposlenja, biografija, radno iskustvo, broj bankovnog računa, podaci o zaradi i dodatnim naknadama, naziv radnog mesta, procena supervizora, poslovna e-mail adresa, IP (Internet Protocol) adresa, pristupna šifra, privatni e-mail, broj telefona, kontakt srodnika za hitne slučajeve; kao i drugi podaci neophodni za izvršenje zakonom propisanih obaveza Preduzeća i realizacije ugovora o radu, odnosno drugog ugovornog odnosa sa zaposlenim.

  • Zabranjena je obrada posebnih podataka o ličnosti odnosno obrada kojom se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica.

  • Preduzeće izuzetno može obrađivati posebne vrste podatke o ličnosti zaposlenih, ukoliko je obrada neophodna u cilju izvršenja obaveza ili primene zakonom propisanih ovlašćenja rukovaoca u oblasti rada, socijalnog osiguranja i socijalne zaštite, ukoliko je takva obrada propisana zakonom ili kolektivnim ugovorom ili ukoliko je obrada neophodna u svrhu preventivne medicine ili medicine rada, radi procene radne sposobnosti zaposlenih, medicinske dijagnostike, pružanja usluge zdravstvene ili socijalne zaštite, na osnovu zakona ili na osnovu ugovora sa zdravstvenim radnikom, ako se obrada vrši od strane ili pod nadzorom zdravstvenog radnika ili drugog lica koje ima obavezu čuvanja profesionalne tajne propisane zakonom ili profesionalnim pravilima.

  • Preduzeće ne obrađuje veći broj ili drugu vrstu podataka o ličnosti od onih koji su potrebni da bi se ispunila navedena svrha.

  • Ukoliko se obrada posebnih vrsta podataka u skladu sa ZZPL vrši na osnovu pristanka zaposlenih, a u slučajevima kada takva obrada od strane Preduzeća kao rukovaoca nije propisana zakonom ili kolektivnim ugovorom , takav pristanak mora bit dat u pisanoj formi koja obuhvata detaljne informacije o vrsti podataka o ličnosti koji se obrađuju, svrsi obrade i načinu obrade podataka.

Preduzeće kao rukovalac može obrađivati sledeće podatke o ličnosti klijenata, poslovnih partnera, korisnike usluga, lica koja posećuju Internet sajt Preduzeća, korisnike usluga koji koriste mobilne aplikacije, konsultanta i drugih lica:

  • Ime i prezime(ime jednog roditelja), naziv poslodavca/institucije/organizacije/ustanove koju lice predstavlja ili iz koje dolazi, datum rođenja, jedinstveni matični broj građana (JMBG), broj lične karte, broj pasoša/putne isprave, mesto rođenja, adresu prebivališta/boravišta, opština prebivališta/boravišta, pol, biografija, podatke o akademskim i profesionalnim kvalifikacijama, kontakt e-mail adresa, kontakt telefon, registarska oznaka vozila .

Preduzeće kao rukovalac može obrađivati sledeće podatke o ličnosti kandidata za posao:

  • Ime i prezime, datum i mesto rođenja; akademske i profesionalne kvalifikacije sadržane u radnoj biografiji i motivacionom pismu: stepen obrazovanja, titule, podaci o veštinama, znanju stranih jezika, obukama, lista prethodnih poslodavaca, e-mail, broj telefona.

Napomena: prilikom raspisivanja konkursa za zaposlenje Preduzeće ne utvrđuje formu radne biografije, već se kandidatu ostavlja da je sam odredi. U tom smislu Preduzeće može doći u posed većeg obima podataka od predstavljenog, voljom kandidata za posao. Svi prikupljeni podaci čuvaju se u periodu od dve godine u svrhu naknadne procene potrebe za angažovanjem kandidata za posao, a nakon isteka roka trajno se brišu.

Obrada u vezi sa krivičnim presudama i kažnjivim delima:

Obrada podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, može se vršiti na osnovu člana 12. stav 1 ZZPL samo pod nadzorom nadležnog organa ili ako je dopuštena zakonom, uz primenu odgovarajućih posebnih mera zaštite prava i sloboda lica na koje se podaci odnose. Jedinstvena evidencija o krivičnim presudama vodi se isključivo od strane i pod nadzorom nadležnog organa.

Član 7.

Informacije od javnog značaja koje sadrže podatke o ličnosti mogu biti učinjene dostupnim tražiocu od strane Preduzeća kao rukovaoca u skladu sa zakonom.

Na obradu jedinstvenog matičnog broja građana (JMBG) primenjuju se odredbe zakona kojim se uređuje jedinstveni matični broj građana, odnosno odredbe drugog zakona uz primenu odredbi ZZPL koje se odnose na zaštitu prava i sloboda lica na koje se podaci odnose.

Na obradu u oblasti rada i zapošljavanja primenjuju se odredbe zakona kojima se uređuje rad i zapošljavanje i kolektivni ugovori, uz primenu odredbi zakona kojima se uređuje zaštita podataka o ličnosti.

6.TRANSPARENTNOST OBRADE

Član 8.

Preduzeće kao rukovalac je dužno da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve informacije u vezi sa ostvarivanjem prava, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Te informacije pružaju se u pismenom ili drugom obliku, uključujući i elektronski oblik, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen. Preduzeće će nastojati da sve relevantne informacije koje se tiču obrade podataka o ličnosti budu javno dostupne na uobičajeni način, tj.kao što je u nastavku ovog člana i opisano.

Transparentnost u obradi podataka o ličnosti se pre svega ostvaruje:

  1. Izradom i objavljivanjem „Opšteg obaveštenja o obradi podataka o ličnosti“ na Internet stranici Preduzeća www.nsinfo.co.rs , kao i isticanjem na vidnom mestu u službenim prostorijama Preduzeća - (Obaveštenje broj 1);

  2. Izradom „Posebnog obaveštenja o obradi podataka o ličnosti zaposlenih u Preduzeću“ i činjenja dostupnim tog dokumenta zaposlenima objavljivanjem na Intranet stranici Preduzeća i dostavljanjem svakom zaposlenom - (Obaveštenje broj 2);

  3. Blagovremenim odgovaranjem na zahteve lica na koje se podaci odnose;

  4. Činjenjem dostupnim svih relevantnih dokumenata koja se tiču obrade podataka o ličnosti.

Za ispunjenje obaveza iz ovog člana zadužuje se Lice za zaštitu podataka o ličnosti.

Član 9.

U slučaju kada se podaci o ličnosti prikupljaju od lica na koje se podaci odnose, Preduzeće kao rukovalac je dužno da u trenutku prikupljanja podataka o ličnosti tom licu pruži sledeće informacije:

  1. identitet i kontakt podatke rukovaoca, kao i njegovog predstavnika, ako je on određen;

  2. kontakt podatke lica za zaštitu podataka o ličnosti;

  3. svrhu nameravane obrade i pravnom osnovu za obradu;

  4. postojanje legitimnog interesa rukovaoca ili treće strane;

  5. o primaocu, odnosno grupi primalaca podataka o ličnosti ako oni postoje;

  6. o činjenici da namerava da iznese podatke o ličnosti u drugu državu ili međunarodnu organizaciju.

Preduzeće kao rukovalac je dužno da u trenutku prikupljanja podataka o ličnosti, licu pored gore taksativno navedenih informacija pruži i sledeće dodatne informacije koje mogu da budu neophodne da bi se obezbedila poštena i transparetna obrada u odnosu na to lice i to:

  1. o roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;

  2. o postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, prava na ograničenje obrade, prava na prigovor, i prava na prenosivost podataka;

  3. o postojanju prava na opoziv pristanka u bilo koje vreme, kao i da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva;

  4. o pravu da se podnese pritužba Povereniku;

  5. da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora, kao i o tome da li lice na koje se podaci odnose ima obavezu da da podatke i o mogućim posledicama ako se podaci ne daju;

  6. o postojanju automatizovanog donošenja odluke, uključujući profilisanje i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.

Preduzeće kao rukovalac je dužno da, ukoliko namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, pre započinjanja dalje obrade u drugu svrhu obavesti lice na koje se podaci odnose o toj drugoj svrsi.

Ukoliko je lice na koje se podaci odnose već upoznato sa navedenim informacijama, Preduzeće kao rukovalac nema obavezu pružanja ovih informacija.

Ukoliko je u pitanju obrada podataka koju vrše nadležni organi u posebne svrhe ne primenjuju se odredbe iz ovog člana.

Član 10.

U slučaju kada se podaci o ličnosti ne prikupljaju od lica na koje se podaci odnose, Preduzeće kao rukovalac je dužno da licu na koje se podaci odnose pruži sve informacije koje se pružaju i u slučaju iz prethodnog člana (kada se podaci prikupljaju od lica na koje se podaci odnose) uz obavezu da se pruže i dodatne informacije:

  1. o vrsti podataka koji se obrađuju;

  2. o izvoru iz koga potiču podaci o ličnosti odnosno da li potiču iz javno dostupnih izvora.

Preduzeće kao rukovalac je dužno da navedene informacije pruži u razumnom roku posle prikupljanja podataka o ličnosti, a najkasnije u roku od 30 dana, najkasnije prilikom uspostavljanja prve komunikacije, ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se odnose i najkasnije prilikom prvog otkrivanja podataka o ličnosti, ako je predviđeno otkrivanje podataka o ličnosti drugom primaocu.

Preduzeće kao rukovalac je dužno da, ukoliko namerava da dalje obrađuje podatke o ličnosti u drugu svrhu koja je različita od one za koju su podaci prikupljeni, pre započinjanja dalje obrade u drugu svrhu obavesti lice na koje se podaci odnose o toj drugoj svrsi.

Preduzeće kao rukovalac nije dužno da licu na koje se podaci odnose pruži informacije iz

ovog člana ako:

  1. je lice na koje se podaci odnose već upoznato sa navedenim informacijama;

  2. je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmeran utrošak vremena ili sredstava, a naročito u slučaju obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja kao i u statističke svrhe, ako se primenjuju uslovi i mere propisane Zakonom, ili ako je verovatno da bi izvršenje obaveza iz ovog člana onemogućilo ili bitno otežalo ostvarivanje svrhe obrade. U tim slučajevima Preduzeće kao rukovalac je dužno da preduzme odgovarajuće mere zaštite prava i sloboda, kao i legitimnih interesa lica na koje se podaci odnose što uključuje i javno objavljivanje informacija;

  3. je prikupljanje ili otkrivanje podataka o ličnosti izričito propisano zakonom kojim se obezbeđuju odgovarajuće mere zaštite legitimnih interesa lica na koje se podaci odnose;

  4. se poverljivost podataka o ličnosti mora čuvati u skladu sa obavezom čuvanja profesionalne tajne koja je propisana zakonom.

Ukoliko je u pitanju obrada podataka koju vrše nadležni organi u posebne svrhe ne primenjuju se odredbe iz ovog člana.

7.SVRHA OBRADE PODATAKA O LIČNOSTI

Član 11.

Preduzeće obrađuje podatke o ličnosti u dole navedene svrhe, a svrhu određuje tako što prethodno utvrđuje da li se cilj koji želi da postigne može ostvariti na način koji ne podrazumeva prikupljanje i obradu podataka o ličnosti. Preduzeće ne obrađuje više podataka ili širi krug podataka od onih koji su neophodni za ostvarenje navedenih svrha, i ako cilj može da se ostvari isključivo obradom podataka o ličnosti, Preduzeće će primeniti mere anonimizacije ili pseudonimizacije podataka o ličnosti.

Svrha obrade se određuje tako što se utvrđuju ciljevi koje obrada mora da ostvari.

Konkretne svrhe obrade podataka o ličnosti Preduzeća su opisane u obaveštenjima iz člana 8. ovog Pravilnika („Opšte obaveštenje o obradi podataka o ličnosti“ - Obaveštenje broj 1 i „Posebno obaveštenje o obradi podataka o ličnosti zaposlenih u Preduzeću“ - Obaveštenje broj 2 ).

U slučaju da se u radu Preduzeća pojavi potreba za obradom podataka o ličnosti u druge svrhe od onih koje su opisane u obaveštenjima, Preduzeće će ažurirati ta obaveštenja na način da uključe nove svrhe obrade i učiniće ih dostupnim na način propisan članom 8. ovog Pravilnika.

Preduzeće kao rukovalac je u obavezi da redovno ažurira i proverava postojanje potrebe za obradom podataka o ličnosti i preduzima sve neophodne radnje u cilju brisanja i uklanjanja podataka o ličnosti čija obrada više nije nephodna za konkretno određene svrhe.

Član 12.

Preduzeće kao rukovalac podatke o ličnosti iz člana 6. ovog Pravilnika prikuplja i obrađuje u sledeće svrhe:

  1. Zapošljavanje, ostvarivanje prava iz radnog odnosa i upravljanje ljudskim resursima

Preduzeće prikuplja i obrađuje podatke o ličnosti u svrhu zasnivanja i realizacije radnog odnosa, uključujući i druge ugovorne odnose po osnovu kojih angažuje saradnike i konsultante (npr. podatke za potrebe utvrđivanja adekvatnosti i kvalifikacija kandidata za određena radna mesta, za upravljanje radnim vremenom i odsustvima, za obračun zarada, putnih troškova i dnevnica, za utvrđivanje naknada po osnovu bolovanja i drugih vidova odsustva sa radnog mesta, za procenu napredovanja zaposlenih, za obezbeđivanje dodatnih obuka i edukacija, za vođenje disciplinskih postupaka, za utvrđivanje prava na jubilarnu nagradu, prava na solidarnu pomoć, na pomoć za rođenje deteta, prijave i odjave zaposlenih na osiguranje i dr.).

  1. Poslovne aktivnosti

Preduzeće obrađuje podatke o ličnosti u svrhu: obavljanja poslova objedinjene naplate komunalno-stambenih i drugih usluga, izdavanja računa za izvršene usluge, izvršavanja obaveza radi naplate potraživanja od korisnika usluga, upravljanja projektima, za plaćanje robe, usluga i radova, poslovni razvoj, postavljanje video uređaja po nalogu nadležnog organa, organizacije kancelarijskog poslovanja, za realizaciju obuka i stručnog usavršavanja i dr.

  1. Informaciono-komunikacione tehnologije i informaciona bezbednost

Preduzeće obrađuje podatke o ličnosti u svrhu: obavljanja poslova informacione bezbednosti u skladu sa ISO/IEC 27001 standardom, primenu mera fizičko-tehničke zaštite zaposlenih i imovine Preduzeća, operativnog upravljanja i funkcionalnog održavanja informaciono-komunikacionih tehnologija (računarsko-komunikacione mreže, hardvera i softvera).

  1. Usklađivanje poslovanja sa relevantnim propisima i ISO standardima

Preduzeće obrađuje podatke o ličnosti u svrhu: usklađivanja poslovanja sa pozitivnim propisima, pre svega iz domena radnog i poreskog zakonodavstva, zaštite podataka o ličnosti, usaglašavanje sa međunarodnim i srpskim ISO standardima (ISO 9001) i druge lične podatke u skladu sa Odlukom o organizovanju JKP „Informatika“ Novi Sad.

8.PRAVA LICA NA KOJE SE PODACI ODNOSE

Član 13.

Preduzeće kao rukovalac je dužno da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružilo sve informacije u vezi sa ostvarivanjem prava, u skladu sa „Procedurom za ostvarivanje prava na pristup lica na koje se podaci odnose“(Prilog broj 2). Informacije treba pružiti na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a pružaju se u pisanom ili drugom obliku, uključujući i elektronski, ako je to pogodno.

Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen. Informacije koje se pružaju licima na koje se podaci odnose mogu se pružiti u kombinaciji sa standardizovanim ikonicama prikazanim u elektronskom obliku u okviru eventualnog web softverskog rešenja kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Mora se obezbediti da standardizovane ikonice, ukoliko Preduzeće primeni softversko rešenje, prikazane u elektronskom obliku budu čitljive na personalnim računarima, tabletima i pametnim telefonima.

Prava lica na koje se podaci odnose su:

  1. Pravo na pristup– svako fizičko lice ima pravo da od rukovaoca zahteva informaciju da li obrađuje podatke o njemu, koje i u koju svrhu, pristup tim podacima, predviđeni rok čuvanja, kopiju tih podataka ali i informaciju o svim ostalim pitanjima. Pravo na pristup može biti ograničeno, u celini ili delimično, u razumnom roku,ali ne dužem od 6 (šest) meseci.

  2. Pravo na ispravku i dopunu- lice na koje se podaci odnose ima pravo da zahteva ispravku njegovih netačnih podataka o ličnosti bez nepotrebnog odlaganja. Ukoliko su podaci nepotpuni, lice ima pravo da svoje podatke dopuni kroz davanje dodatne izjave.

  3. Pravo na brisanje- svako lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca kada više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani, ako je lice opozvalo pristanak na osnovu koga se obrada vršila ili je podnelo prigovor na obradu, ako su podaci nezakonito obrađivani, ako brisanje predstavlja izvršenje zakonske obaveze rukovaoca ili ako su podaci o ličnosti prethodno prikupljeni u vezi sa korišćenjem usluga informacionog društva. Pismeni zahtev za brisanje se podnosi rukovaocu.

  4. Pravo na ograničenje obrade- lice na koje se podaci odnose ima pravo da od rukovaoca zahteva da se obrada njegovih podataka o ličnosti ograniči u slučajevima koji su predviđeni.

  5. Pravo na prenosivost podataka- ukoliko su zajedno ispunjeni uslovi, lice na koje se podaci odnose ima pravo da prethodno dostavljene podatke primi u strukturisanom obliku od rukovaoca kao i da ih, bez njegovog ometanja, prenese drugom rukovaocu.

  6. Pravo na prekid obrade (prigovor ) -lice na koje se podaci odnose ima pravo da od rukovaoca, u vidu prigovora na obradu, zahteva prekid obrade, uključujući i profilisanje. Ukoliko rukovalac nije predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koje se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva, biće dužan da prekine sa obradom podataka o licu koje je podnelo prigovor.

  7. Pravo na prigovor i automatizovano donošenje pojedinačnih odluka - lice na koje se podaci odnose, ukoliko smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi,ima pravo da u svakom trenutku podnese rukovaocu prigovor na obradu njegovih podataka o ličnosti, uključujući i profilisanje.

Zahtev za pristup, ispravku i dopunu, brisanje, ograničenje obrade, prenosivost podataka, prekid obrade kao i neprimenjivanje odluke donesene na osnovu automatizovane obrade, lice čiji se podaci obrađuju podnosi rukovaocu. Ukoliko rukovalac opravdano posumnja u identitet lica koje je podnelo zahtev, može od lica zahtevati dostavljanje dodatnih informacija neophodnih za potvrdu identiteta.

Rukovalac je dužan da dostavi kopiju podataka koje obrađuje, licu na koje se podaci odnose, na njegov zahtev, bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje Preduzeće kao rukovalac je dužno da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva.

Ako je zahtev za kopiju dostavljen elektronskim putem, informacije se dostavljaju u uobičajeno korišćenom elektronskom obliku, osim ako je lice na koje s podaci odnose zahtevalo drugačije dostavljanje. Ukoliko lice na koje se podaci odnose zahteva izradu dodatnih kopija, rukovalac može da zahteva naknadu nužnih troškova za iste.

Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.

Član 14.

Lice na koje se podaci odnose zahtev za ostvarivanje prava iz čl.13. ovog Pravilnika, u skladu sa „Procedurom za ostvarivanje prava na pristup lica na koje se podaci odnose“ može podneti na propisanim obrascima:

- „Obrazac zahteva za pristup podacima o ličnosti“ (Obrazac broj 5);

- „Obrazac za otkrivanje podataka o ličnosti“ (Obrazac broj 6).

Obrasce je potrebno da dostave na:

- email adresu zastita.podataka@nsinfo.co.rs , uz naznaku „Zahtev za zaštitu podataka o ličnosti“ ili

- redovnu adresu / JKP „Informatika“ Novi Sad, sa sedištem u Novom Sadu, Bulevar cara Lazara broj 3, uz naznaku „Zahtev za zaštitu podataka o ličnosti“.

Obrazac Zahteva za ostvarivanje prava iz prethodnog člana dostupan je na zvaničnoj Internet stranici www.nsinfo.co.rs , kao i u poslovnim prostorijama Preduzeća.

9.IZVOR PODATAKA LICA NA KOJE SE PODACI ODNOSE I PRIMAOCI PODATAKA O LIČNOSTI

Član 15.

Podatke o ličnosti zaposlenih Preduzeće prikuplja direktno od zaposlenih.

Podatke o ličnosti korisnika usluga, klijenata, poslovnih partnera i kandidata za posao Preduzeće prikuplja na jedan od sledećih načina:

- neposredno od lica čiji se podaci obrađuju, prilikom podnošenja zahteva, reklamacija, pritužbi i slično, telefonskim putem, korišćenjem telefonskih brojeva Kontakt centra JKP Informatika, Bulevar cara Lazara 3, 21102 Novi Sad, tel. 0800 222 021, 021/4895-015.

- neposredno od lica čiji se podaci obrađuju, prilikom podnošenja zahteva, reklamacija, pritužbi i slično u poslovnim prostorijama i na šalterima reklamacija, ili putem zvanične Internet stranice www.nsinfo.co.rs podnošenjem zahteva, reklamacija, pritužbi i slično online, kao i prilikom pristupa delu Internet stranice koja se odnosi na uslugu „Moji računi“ https://mojiracuni.nsinfo.co.rs/web/ .

- od nadležnog državnog organa ili organa jedinice lokalne samouprave (MUP, komunalna milicija, komunalna inspekcija i dr.) u skladu sa zakonom kojim se uređuje obavljanje komunalne delatnosti, kada je to potrebno radi izvršavanja poslova iz nadležnosti Preduzeća kao vršioca komunalne delatnosti, naplate naknade za izvršenu komunalnu uslugu nakon isteka roka utvrđenog za plaćanje ili pokretanje postupka pred nadležnim državnim organima i javnim izvršiteljima zbog neizvršenja zakonom utvrđenih obaveza od strane korisnika usluga.

- i druge lične podatke u skladu sa Odlukom o organizovanju JKP „Informatika“ Novi Sad.

Podaci o ličnosti lica na koje se podaci odnose se obrađuju u svrhe koje su navedene u ovom Pravilniku. Kada je za ostvarivanje te svrhe potrebno, pristup podacima mogu imati određeni primaoci kao što su banke, organi vlasti, tražioci informacija od javnog značaja i drugi.

10.ROKOVI ČUVANjA PODATAKA O LIČNOSTI ZAPOSLENIH

Član 16.

Podaci o ličnosti zaposlenih koje Preduzeće kao rukovalac obrađuje u vezi sa radnopravnim odnosima čuvaju se trajno, u skladu sa zakonom kojim se regulišu evidencije u oblasti rada.

Podaci o ličnosti zaposlenih koji nisu obuhvaćeni u stavu 1. ovog člana čuvaju se do ispunjenja svrhe za koju su prikupljeni, odnosno do isteka rokova propisanih internim aktom Preduzeća kojim se definiše „Lista kategorija arhivske građe i dokumentarnog materijala sa rokovima čuvanja“, kao npr. podaci o ličnosti u vezi sa ostvarivanjem prava na pomoć za rođenje deteta, solidarnu pomoć, pomoć u slučaju smrti člana uže porodice i dr.

Ukoliko je rok čuvanja podataka o ličnosti propisan posebnim zakonom, Preduzeće kao rukovalac zadržaće podatke u datom zakonskom roku, kao npr. rokovi čuvanja podataka propisani na osnovu Zakona o računovodstvu, Zakona o arhivskoj građi i arhivskoj delatnosti i dr.

Nakon ispunjenja svrhe, odnosno isteka zakonom propisanog roka za čuvanje podataka, podaci će biti trajno obrisani u skladu sa Zakonom o arhivskoj građi i arhivskoj delatnosti.

ROKOVI ČUVANjA PODATAKA O LIČNOSTI ZA KLIJENTE, POSLOVNE PARTNERE, KORISNIKE USLUGA, LICA KOJA POSEĆUJU INTERNET STRANICU, KANDIDATE ZA POSAO I DR.

Član 17.

Podaci o ličnosti koje Preduzeće kao rukovalac obrađuje, a odnose se na klijente, poslovne partnere, korisnike usluga, lica koja posećuju Internet stranicu Preduzeća, korisnike usluga putem mobilnih aplikacija, kandidate za posao i dr. čuvaju se do ispunjenja svrhe za koju su prikupljeni, svih ugovornih prava i obaveza, odnosno do isteka rokova propisanih pozitivnim propisima. Rok u kome se podaci o ličnosti čuvaju zavisi od zakonske obaveze čuvanja podataka, vrste zaključenog ugovora, trajanja ugovora, od rokova zastarelosti potraživanja, rokova propisanih internim aktom Preduzeća kojim se definiše „Lista kategorija arhivske građe i dokumentarnog materijala sa rokovima čuvanja“

Ukoliko je rok čuvanja podataka o ličnosti propisan posebnim zakonom, Preduzeće kao rukovalac zadržaće podatke u datom zakonskom roku.

Nakon ispunjenja svrhe, odnosno isteka zakonom propisanog roka za čuvanje podataka, podaci će biti trajno obrisani.

11.EVIDENCIJA RADNjI OBRADE

Član 18.

Da bi zajednički pristup pružio odgovornost i poštovanje odredbi ZZPL i omogućio Preduzeću jasan pogled na njene radnje obrade, evidencija radnji obrade koristiće se za evidentiranje i praćenje radnji obrade Preduzeća u vezi sa obradom podataka o ličnosti.

Evidencija radnji obrade je pre svega interni dokument koji će pomoći zaposlenima u Preduzeću da bolje shvate kako i zašto je potrebno da se podaci o ličnosti obrađuju, kao i kako da razviju politike i procedure za zaštitu tih podataka. U tom smislu je važan deo odgovornosti samog Preduzeća, kao i u slučaju istrage nadzornih organa, kao nesporan dokaz da rukovodstvo Preduzeća ima svesnost i da kontroliše sve svoje operacije obrade podataka o ličnosti.

Lice za zaštitu podataka o ličnosti odgovorno je za vođenje evidencije o radnjama obrade podataka o ličnosti Preduzeća u obliku obrasca „Evidencija radnji obrade“ (Prilog broj 3).

Vrsta evidencije zavisi od toga da li Preduzeće deluje kao rukovalac podataka ili kao obrađivač podataka. Ako Preduzeće deluje i kao rukovalac i kao obrađivač (za različite aktivnosti obrade), tada ona mora da vodi Evidenciju radnji obrade i kao rukovalac i kao obrađivač.

Kada Preduzeće deluje kao rukovalac podataka, da bi se osiguralo poštovanje zahteva ZZPL, dužno je da vodi Evidenciju radnji obrade, koja mora da sadrži informacije o:

  1. imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;

  2. svrsi obrade;

  3. vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;

  4. vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;

  5. prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite;

  6. roku posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;

  7. opštem opisu mera zaštite utvrđenih u okviru ZZPL (organizacione, tehničke i kadrovske mere).

Obrazac za vođenje evidencije Preduzeća kao rukovaoca sastavni je deo ovog Pravilnika u obliku obrasca „Evidencija radnji obrade“ (Prilog broj 3).

Preduzeće kao rukovalac podataka je dužno da ažurira evidenciju kada dođe do promene u vezi sa osnovnim podacima iz ovog člana.

Član 19.

Kada Preduzeće deluje kao obrađivač podataka, dužno je da vodi Evidenciju radnji obrade svih kategorija radnji obrade izvršene u ime rukovaoca, a koja sadrži najmanje sledeće informacije o:

  1. imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;

  2. vrsti obrada koje se vrše u ime svakog rukovaoca;

  3. prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose;

  4. opštem opisu mera zaštite utvrđenih u okviru ZZPL (organizacione, tehničke i kadrovske mere).

Obrazac za vođenje evidencije Preduzeća kao obrađivača sastavni je deo ovog Pravilnika u obliku obrasca „Evidencija radnji obrade“ (Prilog broj 3).

Preduzeće vrši obradu podataka o ličnosti kao obrađivač na osnovu Odluke o objedinjenoj naplati komunalno-stambenih i drugih usluga, i svih drugih podzakonskih akata koja su objavljena u "Službenom listu Grada Novog Sada", a kojima su mu povereni određeni poslovi u vezi sa obradom podataka, kao i na osnovu zaključenog ugovora sa rukovaocima o poveravanju određenih poslova u vezi sa obradom podataka u skladu sa ZZPL i ovim Pravilnikom

Član 20.

Rukovalac, obrađivač i njihovi predstavnici, ako su određeni, dužni su da sarađuju sa Poverenikom u vršenju njegovih ovlašćenja.

Odgovornost za popunjavanje Evidencije radnji obrade snosi svaka organizaciona jedinica i/ili pojedinac u okviru Preduzeća odgovorni za obradu podataka o ličnosti.

U tom smislu svaka služba unutar Preduzeća je dužna da pripremi sopstvenu Evidenciju radnji obrade. U tu svrhu će rukovodioci službi ili drugi ovlašćeni zaposleni kao odgovorni saradnici svake službe da popune inicijalnu evidenciju i da je održavaju ažurnom.

Odgovorni saradnici će redovno izveštavati Lice za zaštitu podataka o ličnosti prilikom dodavanja/brisanja novih radnji obrade ili promene postojećih.

Lice za zaštitu podataka o ličnosti vršiće kontrolu ažurnosti Evidencije radnji obrade, najmanje jednom godišnje i delovaće kao jedina tačka za kontakt u slučajevima kada službe i odgovorni saradnici imaju poteškoća u identifikovanju ispravnih elemenata koje treba uvesti u Evidenciju radnji obrade.

12.PROCENA UTICAJA OBRADE NA ZAŠTITU PODATAKA O LIČNOSTI

Član 21.

Ako više sličnih radnji obrade mogu prouzrokovati slične visoke rizike za zaštitu podataka o ličnosti, može se izvršiti zajednička procena uticaja. Prilikom procene uticaja rukovalac je dužan da zatraži mišljenje Lica za zaštitu podataka o ličnosti.

Procena uticaja je obavezna za rukovaoce podataka. Ako se značajni delovi obrade odvijaju sa obrađivačem, obrađivač mora da pomaže sa procenom na zahtev rukovaoca. Procena uticaja se mora obaviti pre obrade podataka o ličnosti.

Lice za zaštitu podataka o ličnosti zaduženo je za celokupni postupak procene uticaja obrade na zaštitu podataka i mora odlučiti da li će prilikom sprovođenja konsultovati lica na koje se podaci odnose.

Kada se vrši procena uticaja na zaštitu podataka, treba da se koristi „Registar (DPIA) za procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti“ (Prilog broj 4).

Ako postoji odnos zajedničkog rukovaoca, svaki rukovalac mora pažljivo definisati koji deo aktivnosti obrade podataka pripada kome.

Poverenik za zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/) je sačinio i javno objavio na svojoj Internet stranici listu vrsta radnji obrade za koje se mora izvršiti procena uticaja:

  1. sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;

  2. obrade posebnih vrsta podataka o ličnosti, odnosno podataka kojima se otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrade genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica ili podataka o ličnosti u vezi sa merama bezbednosti, u velikom obimu;

  3. sistematskog nadzora nad javno dostupnim površinama u velikoj meri;

  4. obrade podataka o ličnosti dece i maloletnika u svrhu profilisanja, automatizovanog odlučivanja ili za marketinške svrhe;

  5. upotrebe novih tehnologija ili tehnoloških rešenja za obradu podataka o ličnosti ili sa mogućnošću obrade podataka o ličnosti koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, sklonosti ili interesovanja, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih lica;

  6. obrade podataka o ličnosti na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sistemske obrade podataka o komunikaciji nastalih upotrebom telefona, interneta ili drugih sredstava komunikacije;

  7. obrade biometrijskih podataka u cilju jedinstvene identifikacije zaposlenih od strane poslodavca i u drugim slučajevima obrade podataka o ličnosti zaposlenih od strane poslodavca upotrebom aplikacija ili sistema za praćenje njihovog rada, kretanja, komunikacije i sl.;

  8. obrade podataka o ličnosti ukrštanjem, povezivanjem ili proverom podudarnosti iz više izvora;

  9. obrade posebnih vrsta podataka o ličnosti u svrhu profilisanja ili automatizovanog odlučivanja.

  10. rukovalac je obavezan da izvrši procenu uticaja na zaštitu podataka o ličnosti i u drugim slučajevima ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica.

Član 22.

Procena uticaja najmanje mora da sadrži sledeće korake:

  1. sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, uključujući i opis legitimnog interesa rukovaoca, ako on postoji

  2. procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade

  3. procenu rizika za prava i slobode lica na koje se podaci odnose

  4. opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.

Korak 1: Spisak i grupisanjeradnji obrade podataka

Lice za zaštitu podataka o ličnosti mora pregledati sve aktivnosti u „Evidenciji radnji obrade“, uzeti u obzir sve nove aktivnosti koje još nisu navedene u Evidenciji i navesti sve radnje obrade podataka u „Registar (DPIA) za procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti“.

Jedna procena uticaja može se obaviti za više radnji obrade podataka istovremeno, ako te aktivnosti obrade predstavljaju slične velike rizike. Lice za zaštitu podataka o ličnosti odlučuje koje će radnje obrade podataka biti ocenjene zajedno.

Korak 2 : Odgovoriti na primarni upitnik

Lice za zaštitu podataka o ličnosti mora odgovoriti na sva primarna pitanja za svaku radnju obrade podataka uz pomoć odgovornih lica za svaku radnju obrade podataka.

Ova primarna pitanja su potrebna da bi se utvrdilo da li će verovatnoća obrade rezultirati visokim rizikom za prava i slobode fizičkih lica.

Korak 3 : Odrediti da li je potrebna potpuna procena uticaja obrade na zaštitu podataka

Lice za zaštitu podataka o ličnosti će utvrditi da li radnja obrade podataka mora da prođe kroz procenu uticaja iz tzv. „Praga upitnikakoji se nalazi u „Registru (DPIA)“. Ako se na bilo koje pitanje iz „Praga upitnika“ odgovori sa "Da", potrebno je uraditi „Upitnik za procenu uticaja obrade na zaštitu podataka“ za tu određenu radnju obrade podataka o ličnosti koji se nalazi u „Registru (DPIA)“.

Čak i ako su odgovori na sva pitanja u „Pragu upitnika“ sa „Ne“, Lice za zaštitu podataka o ličnosti može odlučiti da sprovede „Upitnik za procenu uticaja obrade na zaštitu podataka“, ako Preduzeće treba da dobije jasniji uvid u rizike koji su povezani.

Korak 4 : Odgovoriti na Upitnik za procenu uticaja obrade na zaštitu podataka

Za svaku aktivnost obrade podataka u kojoj je potrebna procena uticaja, Lice za zaštitu podataka o ličnosti ispunjava „Upitnik za procenu uticaja obrade na zaštitu podataka“ u „Registru (DPIA)“. Svi obavezni elementi moraju biti popunjeni. Svrha ovih pitanja je da se dobije sistematičan opis radnji obrade.

Korak 5 : Identifikovati i navesti ključne rizike po bezbednost

Jednom kada Lice za zaštitu podataka o ličnosti ispuni „Upitnik za procenu uticaja obrade za zaštitu podataka“, mora da iskoristi nalaze kako bi naveo „Identifikovane ključne rizike (informacione bezbednosti)“ povezane sa predmetnom radnjom obrade.

Lice za zaštitu podataka o ličnosti mora posebno da uzme u obzir rizike od slučajnog ili nezakonitog uništenja, gubitka, izmena, neovlašćenog otkrivanja ili pristupa podacima o ličnosti.

Korak 6 : Odrediti kako smanjiti rizike

Jednom kada su ključni rizici identifikovani i navedeni, Lice za zaštitu podataka o ličnosti treba da formuliše „Mere za smanjenje rizika“ i ubaci ih u „Upitnik za procenu uticaja obrade za zaštitu podataka“ u „Registru (DPIA)“ zajedno sa „Rokovima i odgovornostima za implementaciju mera“.

Korak 7 : Zabeležiti implementaciju

Jednom kada je zaštita implementirana, Lice za zaštitu podataka o ličnosti mora da je evidentira u „Upitnik za procenu uticaja obrade na zaštitu podataka“ u „Registru (DPIA)“ u koloni „Zapis o primenjenim merama“.

Korak 8 : Konsultacije sa Poverenikom

Ako rezultati procene uticaja pokazuju da bi radnja obrade podataka rezultirala visokim rizikom, čak i ako se sprovode mere informacione bezbednosti, tada Lice za zaštitu podataka o ličnosti mora konsultovati Poverenika za zaštitu podataka o ličnosti pre nego što se izvrši obrada podataka.

Posle izvršene procene uticaja na zaštitu podataka o ličnosti, rukovalac, odnosno obrađivač je obavezan da, u slučajevima utvrđenim zakonom kojim se uređuje zaštita podataka o ličnosti, pre nego što započne sa obradom podataka o ličnosti, Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti podnese zahtev za davanje mišljenja.

U ovom slučaju, Lice za zaštitu podataka o ličnosti mora da obezbedi uz zahtev za mišljenje sledeće informacije Povereniku o:

  1. dužnostima rukovaoca, i, ako postoje, zajedničkih rukovaoca i obrađivača koji učestvuju u obradi, posebno ako se radi o obradi koja se vrši unutar grupe privrednih subjekata

  2. svrhama i načinima nameravane obrade

  3. tehničkim, organizacionim i kadrovskim merama, kao i mehanizmima zaštite prava i sloboda lica na koje se podaci odnose u skladu sa ovim zakonom

  4. kontakt podacima lica za zaštitu podataka

  5. proceni uticaja na zaštitu podataka o ličnosti iz člana 54. ovog zakona

  6. svim drugim informacijama koje zatraži Poverenik.

Član 23.

Prema potrebi, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade, Preduzeće kao rukovalac je dužno da preispita da li se radnje obrade vrše u skladu sa izvršenom procenom uticaja na zaštitu podataka o ličnosti.

Lice za zaštitu podataka o ličnosti mora preispitivati procenu uticaja u sledećim slučajevima:

  • ako se rizici povezani sa radnjama obrade podataka menjaju, ili

  • ako je došlo do značajnih promena u radnjama obrade podataka, ili

  • ako je došlo do promene pravnih osnova za obradu (zakonitost obrade), ili

  • ako Preduzeće započne da deluje kao obrađivač, a rukovalac traži preispitivanje procene uticaja.

13.ODGOVORI NA POVREDU PODATAKA I OBAVEŠTAVANjE

Član 24.

Tim za odgovor na povredu podataka se imenuje bez obzira da li je došlo do povrede ili ne, i mora biti interdisciplinarni tim koji se sastoji od sledećih dobro upućenih i kvalifikovanih pojedinaca:

  • Vođa Tima je DPO (Lice za zaštitu podataka o ličnosti)

  • Član Tima i zamenik vođe tima je Samostali stručni saradnik za analizu kvaliteta

Ostali članovi Tima su:

  • Rukovodilac Službe za projektovanje i programiranje

  • Rukovodilac Službe za obradu podataka i reklamacije

  • Rukovodilac Službe za finansijsko-računovodstvene poslove

  • Rukovodilac Službe za opšte registre

  • Rukovodilac Službe za IKT podršku

  • Rukovodilac Službe za investicije, komercijalne poslove i marketing

  • Rukovodilac Službe za pravne, kadrovske i opšte poslove

  • Rukovodilac Ogranaka za telekomunikacine tehnologije

  • Organizator poslova sistema kvaliteta

  • Organizator poslova marketinga

  • HR menadžer

  • Samostalni saradnik za poslove zaštite na radu i tehničku bezbednost objekta

Rad Tima se može odvijati na sastancima ili virtuelno na jednoj ili više lokacija pomođu video alata za kolaboraciju.

Tim mora osigurati da postoji neophodna spremnost za odgovor na povredu podataka o ličnosti, zajedno sa potrebnim resursima i pripremom (poput liste telefonskih brojeva, liste sa zamenama za ključne zaposlene, a potreban je i pristup politikama, procedurama i zapisima standarda ISO 9001 i ISO/IEC 27001).

Misija tima je da pruži neposredan, efikasan i vešt odgovor na sve sumnje, navodne ili stvarne povrede podataka o ličnosti koji utiču na Preduzeće.

Ako je potrebno, članovi tima mogu uključiti spoljne stranke (npr. za obavljanje zadataka digitalne forenzike ili za pomoć Preduzeću u kriznim situacijama).

Vođa Tima za odgovor na povredu podataka može da odluči da uključi dodatne zaposlene u tim, radi rešavanja određenih povreda podataka o ličnosti.

Tim za odgovor na povredu podataka može istovremeno da rešava više od jedne sumnjive, navodne ili stvarne povrede podataka o ličnosti.

Tim za odgovor na povredu podataka mora biti spreman da reaguje na sumnju, navodnu ili stvarnu povredu podataka o ličnosti u periodu od 2 radna dana od trenutka prijave.

Jednom kada se vođi Tima za odgovor na povredu podataka prijavi povreda podataka o ličnosti, tim mora da sprovede sledeće:

  • Potvrdi/odluči o odgovoru na povredu podataka o ličnosti

  • Osigura da se pokrene, sprovede, dokumentuje i zaključi ispravna i nepristrasna istraga (uključujući digitalnu forenziku, ako je potrebno)

  • Identifikuje zahteve za sanacijom i pronađe rešenje

  • Izvesti o nalazima najviše rukovodstvo

  • Po potrebi koordinira sa odgovarajućim vlastima

  • Koordinira unutrašnju i spoljnu komunikaciju

  • Osigura da se oštećena lica na koja se podaci odnose, ako je potrebno, pravilno obaveste.

Tim za odgovor na povredu podataka sazivaće se za svaku prijavljenu (i navodnu) povredu podataka o ličnosti, a vodiće ga vođa Tima za odgovor na povredu podataka.

Član 25.

Postupak odgovora na povredu podataka pokreće se kada neko primeti da se dešava sumnjiva, navodna ili stvarna povreda podataka o ličnosti, i bilo koji član Tima za odgovor na povredu podataka bude obavešten o tome. Tim je odgovoran da utvrdi da li povredu treba smatrati povredom koja utiče na podatke o ličnosti.

Vođa tima za povredu podataka odgovoran je za dokumentovanje svih odluka tima. Budući da bi ove dokumente mogli da pregledaju Poverenik za zaštitu podataka o ličnosti i drugi državni organi ili predstavnici organa vlasti ili osnivača, oni moraju da budu napisani vrlo precizno i temeljno kako bi se osigurala sledljivost i odgovornost.

Obaveštavanje rukovaoca o povredi podataka od strane obrađivača podataka .

Obrađivač je dužan da, posle saznanja za povredu podataka o ličnosti, odmah, bez nepotrebnog odlaganja obavesti rukovaoca o toj povredi.

Kada povreda podataka o ličnosti ili sumnja na povredu podataka pogode podatke o ličnosti koji se obrađuju u ime treće strane, Lice za zaštitu podataka o ličnosti organizacije koja deluje kao obrađivač podataka mora bez odlaganja prijaviti svaku povredu podataka o ličnosti rukovaocu podataka.

Odgovorno lice za zaštitu podataka o ličnosti obrađivača će poslati obaveštenje rukovaocu koje će sadržati sledeće:

  • Opis prirode povrede

  • Kategorije podataka o ličnosti koje su pogođene

  • Približan broj lica na koje se podaci odnose, a koji su pogođeni

  • Ime i podaci za kontakt Vođe tima za odgovor na povredu podataka/Lica za zaštitu podataka o ličnosti

  • Posledice povrede podataka o ličnosti

  • Preduzete mere za odgovor na povredu podataka o ličnosti

  • Sve informacije koje se odnose na povrede podataka

Obaveštavanje Poverenika o povredi podataka o ličnosti .

Rukovalac je dužan da o povredi podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica obavesti Poverenika bez nepotrebnog odlaganja, ili ako je to moguće, u roku od 72 časa od saznanja za povredu.

Kada se dogodila povreda podataka o ličnosti ili sumnja na povredu podataka o ličnosti koje Preduzeće obrađuje kao rukovalac podataka, sledeće radnje preduzima Tim za odgovor na povredu podataka:

  • Mora da utvrdi da li povreda podataka o ličnosti treba da se prijavi Povereniku

  • Da bi se utvrdio rizik za prava i slobode pogođenog lica na koje se podaci odnose, Lice za zaštitu podataka o ličnosti mora izvršiti Procenu uticaja aktivnosti obrade zahvaćene povredom na zaštitu podataka o ličnosti koristeći „Registar (DPIA) za procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti“

  • Ako povreda podataka o ličnosti verovatno neće dovesti do rizika za prava i slobode pogođenih lica na koje se podaci odnose, obaveštenje nije potrebno. Bez obzira da li je došlo do povrede ili ne, rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje, koje treba da Lice za zaštitu podataka o ličnosti evidentira u „Registar povrede podataka“.

  • Poverenik mora biti obavešten bez odlaganja, ali najkasnije u roku od 72 sata , ako povreda podataka o ličnosti može dovesti do rizika za prava i slobode pogođenih lica na koje se podaci odnose. Ako rukovalac ne postupi u roku od 72 sata od saznanja za povredu, dužan je da obrazloži razloge zbog kojih nije postupio u tom roku.

Lice za zaštitu podataka o ličnosti poslaće popunjeni „Obrazac obaveštenja Poverenika

o povredi podataka o ličnosti“ (Obaveštenje broj 3) za povrede podataka koje mogu da proizvedu rizik po prava i slobode fizičkih lica, a koje će obaveštenje sadržati najmanje sledeće:

  • opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena

  • ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji se mogu dobiti podaci o povredi

  • opis mogućih posledica povrede

  • opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica.

Ako se sve informacije ne mogu dostaviti istovremeno, rukovalac bez nepotrebnog odlaganja postupno dostavlja dostupne informacije.

Obaveštavanje lica o povredi podataka o ličnosti.

Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lica na koje se podaci odnose.

U popunjenom „Obrascu obaveštenja Lica na koje se podaci odnose o povredi podataka o ličnosti“ (Obaveštenje broj 4) će Lice za zaštitu podataka o ličnosti Preduzeća da na jasan i razumljiv način opiše prirodu povrede podataka i navede najmanje informacije iz prethodne tačke.

Rukovalac nije dužan da obavesti pogođeno lice na koje se podaci odnose:

  • Ako je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima.

  • Ako je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice

  • Ako bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose.

Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu da to učini ili može da utvrdi da su preduzete odgovarajuće tehničke, organizacione i kadrovske mere zaštite.

14.LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 26.

Da bi se postiglo poštovanje odredbi ZZPL i osiguralo kontinuirano poštovanje svih osnovnih aktivnosti obrade podataka u Preduzeću odlučeno je da se uspostavi funkcija Lice za zaštitu podataka o ličnosti (ekvivalentno sa GDPR gde je to DPO – Data Protection Officer).

Lice za zaštitu podataka o ličnosti odgovorno je za osiguranje ukupne usaglašenosti sa ZZPL za sve aktivnosti obrade podataka o ličnosti u Preduzeću.

Lice za zaštitu podataka o ličnosti je nezavisna funkcija u Preduzeću te kao takvo direktno podnosi izveštaj direktoru.

Da bi se osigurala nezavisnost lica za zaštitu podataka o ličnosti, on/ona neće biti otpušteni ili kažnjeni na bilo koji način prilikom izvršavanja stavki navedenih u sledećem odeljku.

U cilju sprečavanja bilo kog slučaja sukoba interesa, Lice za zaštitu podataka o ličnosti neće zauzeti bilo koji položaj u društvu koji mu daje priliku da utvrđuje svrhu i načine obrade podataka o ličnosti.

Odgovornosti Lica za zaštitu podataka o ličnosti uključuju najmanje sledeće:

  1. informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;

  2. prati primenu odredbi ovog zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;

  3. daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni;

  4. sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja.

U izvršavanju svojih obaveza Lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.

Sledeće odgovornosti mogu se uzeti u obzir, ako se ne sukobljavaju sa gore navedenim ključnim aktivnostima:

  • Preispitati/razviti procedure informacione bezbednosti i druge kontrole za zaštitu podataka o ličnosti.

  • Uspostaviti adekvatne kontrole za obezbeđivanje i održavanje poverljivosti, integriteta i dostupnosti podataka o ličnosti.

  • Doprineti procesu planiranja kontinuiteta poslovanja i oporavka od katastrofe kako bi se osiguralo da se vodi računa o obradi podataka o ličnosti.

Lice za zaštitu podataka o ličnosti je ovlašćeno da ima pristup svim sredstvima Preduzeća, koja se odnose na obradu i pohranjivanje (skladištenje) podataka o ličnosti u svrhu procene korišćenja i bezbednosti podataka o ličnosti.

Lice za zaštitu podataka o ličnosti rukovaoca je dužno da povredu podataka o ličnosti upiše u „Registar povrede podataka“ (Prilog broj 5).

Zaposleni i sva druga zainteresovana lica koja su u vezi sa Preduzećem će u potpunosti sarađivati sa Licem za zaštitu podataka o ličnosti prilikom izvršavanja gore navedenih zadataka.

Lice za zaštitu podataka o ličnosti.

Sledeći kanali komunikacije postavljeni su za poziciju Lica za zaštitu podataka o ličnosti i omogućavaju pristupačnost:

  • poštanska adresa: JKP „Informatika“ Novi Sad, 21000 Novi Sad, Bulevar cara Lazara 3 – za Lice za zaštitu podataka o ličnosti

  • namenski telefonski broj +381 21 489-51-24

  • namenska adresa e-pošte zastita.podataka@nsinfo.co.rs .

15.OBAVEZE PREDUZEĆA KAO OBRAĐIVAČA I ODNOS PREMA OBRAĐIVAČU

Član 27.

Preduzeće kao obrađivač garantuje rukovaocu primenu odgovarajućih tehničkih, kadrovskih i organizacionih mera na način koji obezbeđuje da se obrada vrši u skladu sa obavezama koje proističu iz važećeg ZZPL i Pravilnika ili Opšte politike zaštite podataka o ličnosti (Politike privatnosti) konkretnog rukovaoca.

Preduzeće kao obrađivač poverene aktivnosti radnje obrade vrši isključivo u skladu sa nalogom rukovaoca i Odlukom o objedinjenoj naplati komunalno-stambenih i drugih usluga i svih drugih podzakonskih akata koja su objavljena u "Službenom listu Grada Novog Sada", a kojima su mu povereni određeni poslovi u vezi sa obradom podataka i/ili Ugovorom o poverenoj obradi podataka o ličnosti kojim se uređuje položaj obrađivača, njegovi zadaci u odnosu na obradu podataka i druga bitna pitanja u vezi sa obradom podataka o ličnosti koja se vrši u ime rukovaoca, u skladu sa obavezama koje proističu iz važećeg ZZPL i Politike privatnosti konkretnog rukovaoca.

U slučaju da se povreda podataka o ličnosti odnosi na podatke o ličnosti u odnosu na koje je Preduzeće obrađivač, o incidentu će Preduzeće hitno obavestiti rukovaoca i primeniti sve dostupne tehničke, kadrovske i organizacione mere u cilju saniranja posledica povrede podataka o ličnosti, u skladu sa međunarodnim i srpskim standardom ISO/IEC 27001 koji je implementiran u Preduzeću i u odnosu na koji je Preduzeće međunarodno sertifikovano.

Preduzeće kao obrađivač u smislu definicije ovog Pravilnika vodi Evidenciju radnji obrade podataka poverenih od strane rukovalaca, a koja evidencija najmanje sadrži sve informacije koje zahteva ZZPL.

Na druga pitanja koja nisu uređena ovim članom shodno se primenjuju ostale odredbe ovog Pravilnika.

Član 28.

Kada se obrada vrši u ime Preduzeća kao rukovaoca, Preduzeće će odrediti kao obrađivača samo ono lice ili organ javne vlasti koji u potpunosti garantuje primenu pravila propisanih ovim Pravilnikom, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ZZPL i da se obezbeđuje zaštita prava lica na koje se podaci odnose.

Preduzeće kao rukovalac će obezbediti da obrađivač, odnosno drugo lice koje je od strane rukovaoca ili obrađivača ovlašćeno za pristup podacima o ličnosti, ne može da obrađuje te podatke bez naloga Preduzeća kao rukovaoca, osim ako je takva obrada propisana zakonom.

Član 29.

Ugovorom zaključenim sa rukovaocem propisuje se da je obrađivač dužan da:

  1. obrađuje podatke o ličnosti samo na osnovu pismenih uputstava rukovaoca;

  2. obezbedi da se fizičko lice koje je ovlašćeno da obrađuje podatke o ličnosti obavezalo na čuvanje poverljivosti podataka ili da to lice podleže zakonskoj obavezi čuvanja poverljivosti podataka;

  3. preduzme sve potrebne mere u skladu sa ZZPL;

  4. poštuje uslove za poveravanje obrade drugom obrađivaču;

  5. uzimajući u obzir prirodu obrade pomaže rukovaocu primenom odgovarajućih tehničkih, kadrovskih i organizacionih mera, koliko je to moguće, u ispunjavanju obaveza rukovaoca u odnosu na zahteve za ostvarivanje prava lica na koje se podaci odnose;

  6. pomaže rukovaocu u ispunjavanju obaveza propisanih u ZZPL, uzimajući u obzir prirodu obrade i informacije koje su mu dostupne;

  7. posle okončanja ugovorenih radnji obrade, a na osnovu naloga rukovaoca, izbriše ili vrati rukovaocu sve podatke o ličnosti i izbriše sve kopije ovih podataka, osim ako je zakonom propisana obaveza čuvanja tih podataka;

  8. učini dostupnim rukovaocu sve informacije koje su neophodne za predočavanje ispunjenosti obaveza obrađivača, kao i informacije koje omogućavaju i doprinose kotroli rada obrađivača koju sprovodi rukovalac ili drugo lice koje on za to ovlasti. Preduzeće kao obrađivač upozoriće rukovaoca, ako smatra da pismeno uputstvo koje je od njega dobio nije u skladu sa ZZPL ili drugim zakonom kojim se uređuje zaštita podataka o ličnosti.

Pravni odnos između rukovaoca i obrađivača može biti zasnovan u celini ili delimično na standardnim ugovornim klauzulama u skladu sa „Odlukom o utvrđivanju standardnih ugovornih klauzula“ koju je objavio na svom portalu Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti ( https://www.poverenik.rs/sr/ ).

16.TEHNIČKE, ORGANIZACIONE I KADROVSKE MERE ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 30.

U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, Preduzeće kao rukovalac i kao obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.

Jednu od značajnijih kadrovskih mera Preduzeće kao rukovalac i kao obrađivač ispunjava imenovanjem Lica za zaštitu podataka o ličnosti. Za ostale zaposlene ove mere se ispunjavaju opisom poslova u ugovoru o radu ili davanjem ovlašćenja za pristup i obradu podataka o ličnosti strogo određenim licima od strane Preduzeća.

Prema potrebi, ove mere naročito obuhvataju:

  1. pseudonimizaciju i kriptozaštitu podataka o ličnosti;

  2. sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;

  3. obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;

  4. postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.

Prilikom procenjivanja odgovarajućeg nivoa bezbednosti posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.

U cilju dokazivanja poštovanja odredbi ZZPL i ovog Pravilnika od strane Preduzeća kao rukovaoca i kao obrađivača, Preduzeću je izdat ISO/IEC 27001 sertifikat o usaglašenosti tehničkih, organizacionih i kadrovskih mera pri zaštiti informacija i informacione imovine Preduzeća i u okviru njih bezbednosti obrade podataka o ličnosti, sa odgovarajućim žigovima i oznakama za zaštitu podataka od strane međunarodnog sertifikacionog tela ISOQAR/UKAS koje je odgovorno za pravilnu procenu ispunjenosti kriterijuma za izdavanje, obnavljanje i ukidanje sertifikata. Prema ZZPL, sertifikat koji je izdalo sertifikovano telo druge države ili međunarodne organizacije važi u Republici Srbiji, ako je izdat u skladu sa potvrđenim međunarodnim sporazumom čiji je potpisnik Republika Srbija.

Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke samo po nalogu rukovaoca ili ako je na to obavezano zakonom.

Preduzeće je dužno da sve zaposlene upozna sa obavezom zaštite podataka o ličnosti kao i njihovom odgovornošću u smislu važećih propisa i ovog Pravilnika.

Zaposleni koji obrađuju podatke o ličnosti dužni su da sprovode propisane mere i postupke za zaštitu podataka o ličnosti sa kojima se upoznaju u obavljanju svojih poslova. Nepoštovanje odredaba ovog Pravilnika povlači povredu radnih obaveza.

Obaveza zaštite podataka o ličnosti ne prestaje prestankom radnog odnosa.

17.NAČINI PREKOGRANIČNOG PRENOSA PODATAKA O LIČNOSTI

Član 31.

Svaki prenos podataka o ličnosti čija je obrada u toku ili su namenjeni daljoj obradi posle njihovog prenošenja u drugu državu ili međunarodnu organizaciju, može se izvršiti samo ako rukovalac i obrađivač postupaju u skladu sa propisanim uslovima, što obuhvata i dalji prenos podataka o ličnosti iz druge države ili međunarodne organizacije u treću državu ili međunarodnu organizaciju, a u cilju obezbeđivanja primerenog nivoa zaštite fizičkih lica koji je jednak nivou koji garantuje ZZPL.

Prenos na osnovu primerenog nivoa zaštite.

Prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju, bez prethodnog odobrenja, može se izvršiti ako je utvrđeno da ta druga država, deo njene teritorije ili jedan ili više sektora određenih delatnosti u toj državi ili ta međunarodna organizacija obezbeđuje primereni nivo zaštite podataka o ličnosti.

Smatra se da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, odnosno u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.

„Odluka o listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti, odnosno za koje je Vlada utvrdila da ne obezbeđuje primereni nivo zaštite, objavio je na svom portalu Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/)..

Prenos uz primenu odgovarajućih mera zaštite.

Rukovalac ili obrađivač mogu da prenesu podatke o ličnosti u drugu državu, na deo njene teritorije ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju koji nisu na „Listi država“ (što znači da nije utvrđeno postojanje primerenog nivoa zaštite), samo ako je rukovalac, odnosno obrađivač obezbedio odgovarajuće mere zaštite ovih podataka i ako je licu na koje se podaci odnose obezbeđena ostvarivost njegovih prava i delotvorna pravna zaštita.

Odgovarajuće mere zaštite mogu se bez posebnog odobrenja Poverenika obezbediti:

  1. pravno obavezujućim aktom sačinjenim između organa vlasti

  2. „Odlukom o utvrđivanju standardnih ugovornih klauzula“ koju je objavio na svom portalu Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/), kojima se u celini uređuje pravni odnos između rukovaoca i obrađivača

  3. obavezujućim poslovnim pravilima

  4. odobrenim kodeksom postupanja, zajedno sa obavezujućom i sprovodivom primenom odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji

  5. izdatim sertifikatima, zajedno sa preuzetim obavezama primene odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji.

Odgovarajuće mere zaštite mogu se obezbediti i na osnovu posebnog odobrenja Poverenika:

    1. ugovornim odredbama između rukovaoca ili obrađivača i rukovaoca, obrađivača ili primaoca u drugoj državi ili međunarodnoj organizaciji;

    2. odredbama koje se unose u sporazum između organa vlasti, a kojima se obezbeđuje delotvorna i sprovodiva zaštita prava lica na koje se podaci odnose.

Poverenik daje odobrenje u roku od 60 dana od dana podnošenja zahteva za odobrenje.

Prenos ili otkrivanje podataka o ličnosti na osnovu odluke organa druge države.

Odluke suda ili upravnog organa druge države, kojima se od rukovaoca ili obrađivača zahteva prenos ili otkrivanje podataka o ličnosti, mogu biti priznate ili izvršene u Republici Srbiji samo ako se zasnivaju na međunarodnom sporazumu, kao što je sporazum o međunarodnoj pravnoj pomoći zaključen između Republike Srbije i te druge države.

Prenos podataka u posebnim situacijama.

Ako se prenos podatka o ličnosti ne vrši na neki od prethodno opisanih načina, ovi podaci mogu se preneti u drugu državu ili međunarodnu organizaciju samo ako se radi o jednom od sledećih slučajeva:

    1. lice na koje se podaci odnose je izričito pristalo na predloženi prenos, pošto je, zbog nepostojanja odluke o primerenom nivou zaštite i odgovarajućih mera zaštite, informisano o mogućim rizicima vezanim za taj prenos

    2. prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca ili za primenu predugovornih mera preduzetih na zahtev lica na koje se podaci odnose

    3. prenos je neophodan za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica

    4. prenos je neophodan za ostvarivanje važnog javnog interesa propisanog zakonom Republike Srbije, pod uslovom da prenos pojedinih vrsta podataka o ličnosti ovim zakonom nije ograničen

    5. prenos je neophodan za podnošenje, ostvarivanje ili odbranu pravnog zahteva

    6. prenos je neophodan za zaštitu životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica, ako lice na koje se podaci odnose fizički ili pravno nije u mogućnosti da daje pristanak

    7. vrši se prenos pojedinih podataka o ličnosti sadržanih u javnom registru, koji su dostupni javnosti ili bilo kom licu koje može da dokaže da ima opravdani interes, ali samo u meri u kojoj su ispunjeni zakonom propisani uslovi za uvid u tom posebnom slučaju.

Član 32.

Ako se prenos ne može izvršiti u skladu sa prethodnom situacijom ili na neki od prethodno opisanih načina, podaci o ličnosti se mogu preneti u drugu državu ili međunarodnu organizaciju samo ako su zajedno ispunjeni sledeći uslovi:

  1. prenos podataka se ne ponavlja

  2. prenose se podaci ograničenog broja fizičkih lica

  3. prenos je neophodan u cilju ostvarivanja legitimnog interesa rukovaoca koji preteže nad interesima, odnosno pravima ili slobodama lica na koje se podaci odnose

  4. rukovalac je obezbedio primenu odgovarajućih mera zaštite podataka o ličnosti na osnovu prethodne procene svih okolnosti u vezi sa prenosom ovih podataka.

Rukovalac je dužan da obavesti Poverenika o prenosu podataka izvršenom na ovaj način, a takođe su dužni da u Evidenciji o radnjama obrade obezbede dokaz o izvršenoj proceni i primeni odgovarajućih mera zaštite. Isto tako, Preduzeće kao rukovalac je dužno da licu na koje se podaci odnose pruži i informaciju o prenosu podataka na ovaj način, uključujući i informaciju o tome koji se legitimni interes rukovaoca ostvaruje takvim prenosom.

18.PRAVNA SREDSTVA ZA ZAŠTITU PODATAKA O LIČNOSTI U SLUČAJU POVREDE PRAVA

Član 33.

Lice čiji se podaci o ličnosti obrađuju ima pravo da podnese prigovor Licu za zaštitu podataka o ličnosti kod Preduzeća kao rukovaoca, ukoliko smatra da su njegova prava utvrđena u ZZPL i ovim Pravilnikom povređena.

Lice čiji se podaci o ličnosti obrađuju ima pravo da podnese pritužbu Povereniku za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti (https://www.poverenik.rs/sr/), ukoliko smatra da su povređena njegova prava propisana u ZZPL i ovim Pravilnikom.

Lice čiji se podaci o ličnosti obrađuju od strane rukovaoca ima pravo na upravnu i sudsku zaštitu podnošenjem tužbe, ako smatra da su povređena njegova prava propisana u ZZPL i ovim Pravilnikom.

19.PRELAZNE I ZAVRŠNE ODREDBE

Član 34.

Za sva pitanja koja nisu regulisana ovim Pravilnikom primenjuje se ZZPL, kao i ostali pravno relevantni propisi koji sadrže odredbe o zaštiti podataka o ličnosti. Sve što nije pojedinačno definisano ovim Pravilnikom, u pogledu delatnosti koju obavlja Preduzeće, shodno će se primenjivati odredbe Odluke o organizovanju JKP „Informatika“ Novi Sad, a sve radi precizne primene ovog Pravilnika i zaštite ličnih podataka u skladu sa važećom zakonskom regulativom iz ove oblasti.

Sastavni deo ovog Pravilnika čine sledeći prilozi, obrasci i obaveštenja:

Prilog broj 1: „Upitnik za procenu spremnosti JKP Informatika u odnosu na Zakon o zaštiti podataka o ličnosti (ZZPL)“

Prilog broj 2: „Procedura za ostvarivanje prava na pristup lica na koje se podaci odnose“

Prilog broj 3: „Evidencija radnji obrade“

Prilog broj 4: „Registar (DPIA) za procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti“

Prilog broj 5: „Registar povrede podataka“

Obrazac broj 1: „Obrazac za davanje pristanka“

Obrazac broj 2: „Obrazac za povlačenje pristanka“

Obrazac broj 3: „Obrazac za davanje pristanka-roditelja/zakonskog zastupnika“

Obrazac broj 4: „Obrazac za povlačenje pristanka- roditelja/zakonskog zastupnika“

Obrazac broj 5: „Obrazac zahteva za pristup podacima o ličnosti“

Obrazac broj 6: „Obrazac za otkrivanje podataka o ličnosti“.

Obaveštenje broj 1: „Opšte obaveštenja o obradi podataka o ličnosti“

Obaveštenje broj 2: „Posebno obaveštenje o obradi podataka o ličnosti zaposlenih u Preduzeću“

Obaveštenje broj 3: „Obrazac obaveštenja Poverenika o povredi podataka o ličnosti“

Obaveštenje broj 4: „Obrazac obaveštenja Lica na koje se podaci odnose o povredi podataka o ličnosti“

Ovaj Pravilnik sa svim prilozima, obrascima i obaveštenjima biće objavljen na oglasnoj tabli Preduzeća i na Intranet portalu Preduzeća. Preduzeće je dužno da sve evidencije koje prate ovaj Pravilnik učine dostupnim Povereniku na njegov zahtev.

Član 35.

Ovaj Pravilnik stupa na snagu danom njegovog donošenja.