ZAKONO ZAŠTITI PODATAKA O LIČNOSTI("Sl. list SRJ", br. 24/98 i 26/98 - ispr.) |
Ovim zakonom uređuje se zaštita podataka o ličnosti (u daljem tekstu: lični podaci).
Zaštitom ličnih podataka, u smislu ovog zakona, bez obzira na oblik u kome su iskazani, smatraju se postupci i mere kojima se sprečava nezakonito prikupljanje, obrada, čuvanje, korišćenje i razmena ličnih podataka, kao i njihovo iznošenje iz zemlje.
Lični podaci mogu se prikupljati, obrađivati i koristiti samo za svrhe utvrđene zakonom, a u druge svrhe - na osnovu pismene saglasnosti građanina.
Pojedini izrazi upotrebljeni u ovom zakonu imaju sledeće značenje:
1) građanin je fizičko lice na koje se podaci odnose;
2) lični podaci su informacije koje su sadržane u zbirkama tih podataka, a koji se odnose na privatnost, integritet ličnosti, lični i porodični život i druga lična prava koja su u vezi sa identifikovanim licem ili licem koje se može identifikovati;
3) zbirka ličnih podataka je uređen skup ličnih podataka (evidencija, registar, datoteka i sl.), bez obzira na oblik iskazivanja i sredstva za njihovo čuvanje;
4) katalog zbirki ličnih podataka je pregled zbirki ličnih podataka, sa opisom njihove sadržine i namene, kao i načina obezbeđivanja i dostupnosti;
5) obrada ličnih podataka je skup ručnih, poluautomatizovanih ili automatizovanih aktivnosti s podacima radi prikupljanja, memorisanja, pregrupisavanja, izmene, razmene, prenosa, pretraživanja, širenja, zabrane korišćenja i brisanja podataka;
6) rukovalac zbirkom ličnih podataka je državni organ ili organizacija, organ jedinice lokalne samouprave, pravno lice i preduzetnik koji su zakonom ili pismenom saglasnošću građanina ovlašćeni da prikupljaju, obrađuju, čuvaju i prenose lične podatke i da uspostavljaju, održavaju i koriste zbirku ličnih podataka;
7) korisnik zbirke ličnih podataka je državni organ ili organizacija, pravno lice i preduzetnik koji su zakonom ili pismenom saglasnošću građanina ovlašćeni da koriste zbirku ličnih podataka.
II PRAVA I OBAVEZE RUKOVAOCA ZBIRKOM LIČNIH PODATAKA
Rukovalac zbirkom ličnih podataka uspostavlja zbirku samo za potrebe predviđene zakonom ili na osnovu pismene saglasnosti građanina.
Rukovalac zbirkom ličnih podataka uspostavlja i vodi katalog zbirki ličnih podataka. Katalog je javan i dostupan je na uvid svakom građaninu.
Obaveza obrade i čuvanja ličnih podataka prestaje po prestanku potrebe za koju su podaci prikupljeni i obrađivani ili po isteku zakonom, odnosno pismenom saglasnošću građanina određenog trajanja zbirke ličnih podataka.
Pismenu saglasnost o uspostavljanju zbirke ličnih podataka građanin daje rukovaocu zbirkom ličnih podataka radi obrade i čuvanja tih podataka.
U ime lica koja su lišena poslovne sposobnosti pismenu saglasnost iz stava 1. ovog člana daje staratelj, a za maloletna lica tu saglasnost daju roditelji ili usvojioci, odnosno staratelji.
Rukovalac zbirkom ličnih podataka može ustupiti zbirku ili deo zbirke zakonom ovlašćenim korisnicima ili uz pismenu saglasnost građanina.
Zbirka ličnih podataka, deo zbirke ili pojedini podaci iz nje mogu se koristiti za naučne, obrazovne ili slične svrhe u obliku koji ne omogućava identifikaciju građanina.
Zbirka ličnih podataka, deo zbirke ili pojedini podaci, u smislu stava 2. ovog člana, mogu se dati u obliku koji omogućava identifikaciju građanina samo uz njegovu pismenu saglasnost.
Rukovalac zbirkom ličnih podataka može, u okviru svojih ovlašćenja, da poveri poslove ili deo poslova uspostavljanja i vođenja zbirke, odnosno prikupljanja, obrade, čuvanja i davanja ličnih podataka iz zbirke drugom pravnom licu ili preduzetniku registrovanim za obavljanje tih poslova.
Pravno lice ili preduzetnik iz stava 1. ovog člana može obavljati poverene poslove u okviru ovlašćenja rukovaoca zbirkom ličnih podataka.
Pravno lice ili preduzetnik iz stava 1. ovog člana ne može u obavljanju poverenih poslova u okviru ovlašćenja rukovaoca zbirkom ličnih podataka koristiti podatke iz te zbirke.
Međusobna prava i obaveze rukovaoca zbirkom ličnih podataka i lica iz stava 1. ovog člana uređuju se ugovorom, koji se zaključuje u pismenom obliku i sadrži uslove i mere za obezbeđivanje zaštite ličnih podataka.
Rukovalac zbirkom ličnih podataka utvrđuje mere obezbeđenja i zaštite podataka od uništenja, gubitka, neovlašćenog korišćenja, menjanja ili davanja i od neovlašćenog pristupa prostoru, opremi i sredstvima koja se koriste u obradi ličnih podataka, mere i postupke u slučaju vanrednih okolnosti, kao i nosioce poslova i odgovornosti u vezi sa zbirkom.
Rukovalac zbirkom ličnih podataka dužan je da preduzme pravne, organizacione i odgovarajuće tehničko-tehnološke mere i postupke radi zaštite ličnih podataka.
Rukovalac zbirkom ličnih podataka vodi registar zbirke.
Registar zbirke sadrži podatke o nazivu, pravnom osnovu, vrstama ličnih podataka, načinu prikupljanja ličnih podataka, kategorijama obuhvaćenih građana, korisnicima i ograničenju čuvanja i korišćenja ličnih podataka, nameni i trajanju zbirke i odgovornom licu, kao i opis tih podataka, a ako su poslovi ili deo poslova iz člana 7. ovog zakona povereni drugom fizičkom licu ili pravnom licu - i podatke o prebivalištu fizičkog lica, odnosno podatke o firmi, odnosno nazivu i sedištu pravnog lica.
Ako se uspostavi nova zbirka ličnih podataka ili izmeni struktura postojeće zbirke, rukovalac zbirkom ličnih podataka dužan je da, u roku od 15 dana od dana uspostavljanja zbirke ili izmene njene strukture, nadležnom saveznom organu dostavi izveštaj o tome.
Građanin ima pravo da sazna:
1) u kojim zbirkama ličnih podataka se nalaze podaci koji se odnose na njega;
2) koji se podaci o njemu obrađuju, ko ih obrađuje, u koje svrhe i po kom osnovu;
3) ko su korisnici ličnih podataka koji se na njega odnose i po kom osnovu.
Građanin može da zahteva od rukovaoca zbirkom ličnih podataka:
1) obaveštenje o postojanju zbirke ličnih podataka i pismeni dokaz (potvrdu) o ličnim podacima koji se u zbirci vode o njemu;
2) uvid u podatke koji se na njega odnose;
3) ispravku netačnih podataka koji se na njega odnose;
4) brisanje podataka koji se na njega odnose ako njihova obrada nije u skladu sa zakonom, odnosno ugovorom;
5) zabranu korišćenja netačnih, neažurnih i nepotpunih podataka koji se na njega odnose;
6) zabranu korišćenja podataka iz zbirki podataka i sl. ako se ne koriste u skladu sa zakonom, odnosno ugovorom.
Rukovalac zbirkom ličnih podataka dužan je da, bez odlaganja, postupi po zahtevu građanina.
Lični podaci čije korišćenje je zabranjeno na osnovu tačke 5. stav 1. ovog člana u zbirci moraju biti posebno označeni.
Građanin ne može koristiti prava iz člana 11. i člana 12. tač. 1. do 4. ovog zakona, ako se ta prava odnose na zbirke ličnih podataka koje se vode u skladu s propisima o kaznenoj evidenciji i propisima o evidenciji u oblasti bezbednosti Savezne Republike Jugoslavije.
Ako je zbirka ličnih podataka uspostavljena pismenom saglasnošću građanina, u slučaju povlačenja te saglasnosti rukovalac zbirkom ličnih podataka je obavezan da podatke briše iz zbirke u roku od 15 dana od dana povlačenja pismene saglasnosti.
U slučaju smrti građanina, lični podaci iz zbirke ličnih podataka prikupljeni na osnovu pismene saglasnosti građanina čuvaju se u skladu sa uslovima utvrđenim tom saglasnošću, a lični podaci iz zbirke ličnih podataka prikupljeni na osnovu zakona - najmanje godinu dana.
U slučaju iz stava 2. ovog člana, rukovalac zbirkom ličnih podataka je obavezan da se stara o korišćenju i zaštiti podataka prikupljenih u zbirku ličnih podataka, u skladu sa zakonom. Saglasnost za korišćenje ličnih podataka o umrlom građaninu daju njegovi naslednici, prema zakonskom redu nasleđivanja.
Građanin kome je povređeno pravo utvrđeno ovim zakonom ili je pričinjena šteta zbog toga što su korišćeni podaci prikupljeni na način ili za namene koje nisu u skladu sa odredbama ovog zakona, može pred nadležnim sudom zahtevati ostvarenje prava, odnosno naknadu štete.
Lični podaci moraju biti tačni, ažurni i zasnovani na verodostojnim izvorima, a s obzirom na namenu za koju se prikupljaju - i potpuni.
Lični podaci se prikupljaju na način kojim se ne vređa dostojanstvo čoveka.
Lični podaci o građanima mogu se prikupljati od drugih građana ili preuzimati iz postojećih zbirki ličnih podataka u slučajevima predviđenim zakonom ili na osnovu pismene saglasnosti građanina.
Rukovalac zbirkom ličnih podataka odgovoran je za kvalitet tih podataka.
Od trenutka uzimanja ličnih podataka od građanina, rukovalac zbirkom ličnih podataka odgovoran je za tačnost, ažurnost i potpunost podataka, kao i za označavanje podataka čije je korišćenje zabranjeno.
Lični podaci o rasnom poreklu, nacionalnoj pripadnosti, religioznim i drugim uverenjima, političkim i sindikalnim opredeljenjima i seksualnom životu mogu se prikupljati, obrađivati i davati na korišćenje samo uz pismenu saglasnost građanina.
Lični podaci o zdravstvenom stanju i osuđivanosti građanina mogu se prikupljati, čuvati i davati na korišćenje samo u skladu sa zakonom.
Nadzor nad izvršavanjem ovog zakona vrši nadležni savezni organ.
U vršenju nadzora nadležni savezni organ ima pravo da pregleda:
1) sadržaj registra zbirki ličnih podataka i sadržaj zbirki ličnih podataka;
2) dokumentaciju koja se odnosi na prikupljanje, obradu, čuvanje, prenošenje i korišćenje zbirki ličnih podataka;
3) opšte akte rukovaoca zbirkom ličnih podataka koji se odnose na mere i postupke zaštite ličnih podataka;
4) prostorije i opremu od značaja za ostvarivanje zaštite zbirki ličnih podataka.
Nadležni savezni organ zabraniće prikupljanje, obradu, korišćenje i prenošenje ličnih podataka ako utvrdi da za to nisu ispunjeni uslovi predviđeni ovim zakonom.
Nadležni savezni organ narediće:
1) otklanjanje uočenih nepravilnosti u zaštiti ličnih podataka u određenom roku;
2) brisanje cele zbirke ličnih podataka ako nije uspostavljena ili se ne koristi po zakonu;
3) izmenu ili zabranu korišćenja ili brisanje ličnih podataka ako utvrdi da su povređena lična prava.
Nadležni savezni organ dužan je da podnese prijavu za prekršaj ako smatra da je povredom ovog zakona učinjen prekršaj.
VII IZNOŠENJE LIČNIH PODATAKA IZ SAVEZNE REPUBLIKE JUGOSLAVIJE
Podaci iz zbirke ličnih podataka mogu se, uz poštovanje načela uzajamnosti, iznositi iz Savezne Republike Jugoslavije ako je država u koju se podaci unose ustanovila zaštitu ličnih podataka koja obuhvata i strane državljane, i to na nivou koji ne sme biti niži od nivoa predviđenog ovim zakonom.
Novčanom kaznom od 5.000 do 50.000 dinara kazniće se za prekršaj preduzeće ili drugo pravno lice:
1) ako zbirku ličnih podataka, deo zbirke ili pojedine podatke iz nje ustupi neovlašćenim korisnicima ili ako to učini bez pismene saglasnosti građanina (član 6. stav 1);
2) ako zbirku ličnih podataka, deo zbirke ili pojedine podatke iz nje daje drugim korisnicima za naučne, obrazovne ili slične svrhe u obliku koji omogućava identifikaciju građanina (član 6. stav 2);
3) ako poslove ili deo poslova uspostavljanja i vođenja zbirke ličnih podataka, odnosno prikupljanje, obradu, čuvanje i davanje ličnih podataka iz zbirki poveri fizičkom licu ili pravnom licu koje nije registrovano za obavljanje tih poslova (član 7. stav 1);
4) ako, obavljajući poslove koji su mu povereni, koristi podatke iz zbirke (član 7. stav 3);
5) ako ne utvrdi mere obezbeđenja i zaštite ličnih podataka od uništenja, gubitka, neovlašćenog korišćenja, menjanja ili davanja i od neovlašćenog pristupa prostoru, opremi i sredstvima koja se koriste u obradi ličnih podataka, mere i postupke u slučaju vanrednih okolnosti, kao i nosioce poslova i odgovornosti u vezi sa zbirkom ličnih podataka, ili te mere ne sprovodi (član 8);
6) ako ne vodi registar zbirke ličnih podataka (član 9. stav 1);
7) ako registar zbirki ličnih podataka koji vodi ne sadrži predviđene podatke propisane članom 9. stav 2. ovog zakona (član 9. stav 2);
8) ako rukovalac zbirkom ličnih podataka, u predviđenom roku, ne dostavi nadležnom saveznom organu izveštaj o uspostavljanju nove zbirke ili izmeni strukture postojeće (član 10);
9) ako građaninu ne omogući uvid u podatke, ispravku, brisanje ili zabranu korišćenja podataka, a za to su ispunjeni uslovi propisani zakonom (član 12);
10) ako u roku od 15 dana od dana povlačenja pismene saglasnosti građanina ne izbriše lične podatke iz zbirke (član 14. stav 1);
11) ako lične podatke prikuplja na način kojim se vređa dostojanstvo čoveka (član 16. stav 2).
Za radnje iz stava 1. ovog člana kazniće se za prekršaj preduzetnik novčanom kaznom od 300 do 3.000 dinara.
Za radnje iz stava 1. ovog člana kazniće se za prekršaj i odgovorno lice u državnom organu ili organizaciji ili organu lokalne samouprave, u preduzeću ili drugom pravnom licu novčanom kaznom od 300 do 3.000 dinara.
Za radnje iz tač. 1, 2, 9. i 11. stava 1. ovog člana sud može preduzetniku iz stava 2. ovog člana i odgovornom licu iz stava 3. ovog člana, uz kaznu za prekršaj, izreći i meru zabrane obavljanja delatnosti u trajanju od tri meseca do jedne godine.
Rukovalac zbirkom ličnih podataka dužan je da u roku od 30 dana od dana stupanja na snagu ovog zakona obavesti nadležni savezni organ o postojanju zbirki ličnih podataka.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom listu SRJ".