PRAVILNIK

O NAČINU PRETHODNE PROVERE RADNJI OBRADE PODATAKA O LIČNOSTI

("Sl. glasnik RS", br. 35/2009)

 

SADRŽINA PRAVILNIKA

Član 1

Ovim pravilnikom se bliže uređuje način na koji Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik) vrši prethodnu proveru radnji obrade podataka o ličnosti koje rukovalac podataka namerava da preduzme, u skladu sa Zakonom o zaštiti podataka o ličnosti (u daljem tekstu: Zakon).

POSTUPAK PRETHODNE PROVERE

Pokretanje postupka

Član 2

Postupak prethodne provere Poverenik pokreće po službenoj dužnosti, a na osnovu obaveštenja rukovaoca podataka da namerava da započne obradu podataka o ličnosti, odnosno da uspostavi zbirku podataka.

Član 3

Obaveštenje o nameri obrade podataka sa podacima iz člana 48. Zakona, rukovalac podataka dostavlja Povereniku najkasnije 15 dana pre započinjanja obrade, na obrascu pod nazivom: "Prijava obrade podataka", koji je odštampan uz ovaj pravilnik i čini njegov sastavni deo.

Tok postupka

Član 4

Po prijemu obaveštenja, Poverenik će najpre, na osnovu dostavljenih podataka, oceniti da li bi nameravana obrada podataka u značajnoj meri mogla dovesti do povrede prava lica na koja se podaci odnose.

Ocenu iz stava 1. ovog člana, Poverenik donosi u zavisnosti od toga da li se nameravana obrada podataka vrši u skladu sa Zakonom i da li je rukovalac podataka preduzeo propisane mere obezbeđenja i zaštite podataka.

Član 5

U slučaju kada na osnovu dostavljenih podataka Poverenik oceni da ne postoji opasnost da će se obradom podataka u značajnoj meri povrediti prava lica na koja se podaci odnose, on će o tome blagovremeno obavestiti rukovaoca podataka.

U slučaju da nameravana obrada podataka u značajnoj meri može da dovede do povrede prava lica na koja se podaci odnose, Poverenik će izvršiti proveru radnji obrade na licu mesta, kod rukovaoca podataka, odnosno obrađivača.

Radnje provere

Član 6

Prethodnu proveru radnji obrade podataka Poverenik vrši preko ovlašćenih lica, na osnovu uvida u opšte akte rukovaoca, prostorije i opremu kojom se obrada podataka namerava vršiti kao i na osnovu odgovarajuće dokumentacije rukovaoca, odnosno obrađivača podataka.

Proverom na licu mesta utvrđuje se:

1) da li je obrada podataka zasnovana na zakonu i da li se vrši u skladu sa Zakonom i

2) da li je rukovalac podataka, odnosno obrađivač, preduzeo sve potrebne mere radi obezbeđenja i zaštite podataka.

Provera zakonitosti obrade

Član 7

Prethodna provera zakonitosti obrade podataka, u smislu člana 6. stav 1. tačka 1) ovog pravilnika, podrazumeva proveru:

1) zakonskog osnova po kome se obrada vrši,

2) svrhe nameravane obrade,

3) vrste podataka o ličnosti koji će se obrađivati,

4) izvora podataka, od koga su prikupljeni,

5) vrste radnji obrade,

6) naziva i vrste zbirki u kojima se podaci nalaze,

7) korišćenja podataka: ko će biti korisnici podataka, kojih podataka, u koje svrhe i po kom pravnom osnovu,

8) prenosa podataka: kome će se podaci prenositi, koji podaci, u koje svrhe i po kom pravnom osnovu,

9) dužine trajanja obrade podataka, odnosno vremena za koje će podaci biti arhivirani uz prethodnu anonimizaciju, odnosno uništeni.

Provera primene mera obezbeđenja i zaštite podataka

Član 8

Prethodnom proverom primene mera obezbeđenja i zaštite podataka, u smislu člana 6. stav 1. tačka 2) ovog pravilnika, utvrđuje se da li su rukovalac i obrađivač podataka preduzeli odgovarajuće organizacione, kadrovske i tehničke mere radi zaštite podataka od mogućih zloupotreba, uništenja, gubitka, nedopuštenog pristupa, neovlašćenih promena, objavljivanja i svake druge zloupotrebe podataka, kao i mere u pogledu utvrđivanja obaveza čuvanja tajnosti podataka od strane lica koja su zaposlena na obradi.

Član 9

Provera mera obezbeđenja i zaštite podataka odnosi se na proveru primene važećih normi, standarda i tehničkih uputstava u pogledu:

- priključenja i smeštaja računara sa bazama podataka i druge računarske opreme,

- obezbeđenja uređaja za neprekidno napajanje električnom energijom,

- zaštite modemskih priključaka (i brojeva) od neovlašćenog lokalnog i daljinskog pristupa,

- obezbeđenja računarskih programa i opreme za sigurnosno prijavljivanje i evidentiranje pristupa za rad na računaru, za sprečavanje neovlašćenog iznosa i unosa podataka upotrebom prenosnih informatičkih medija, komunikacionih priključaka i priključaka za ispis podataka, za zaštitu od računarskih virusa i drugih štetnih programa, kao i obezbeđenja opreme kriptološkog osiguranja posebnih kategorija ličnih podataka na prenosnim informatičkim medijima za čuvanje i u toku prenosa tih podataka informatičkim i telekomunikacionim sredstvima,

- primene mera obaveznog obaveštavanja rukovaoca podataka od strane obrađivača podataka, administratora mrežnog sistema, administratora zbirke podataka o svakom pokušaju neovlašćenog pristupa podacima,

- obezbeđenja prostorija u kojima je smeštena računarska i telekomunikaciona oprema, u pogledu kontrole ulaza, odnosno zabrane pristupa neovlašćenim licima,

- primene mera zaštite od: požara, električnog i magnetnog polja, jonizućeg zračenja i elektriciteta, vlage, hladnoće i toplote, opasnih materija eksplozivnih i lako zapaljujućih sredstava, prašine, potresa i drugih elementarnih nepogoda, u pogledu prostorija, uređaja i opreme,

- obezbeđenja pristupa zbirkama podataka, upotrebe korisničkih imena, i odgovarajućih propusnica,

- obezbeđenja dnevnog, nedeljnog, mesečnog i godišnjeg pohranjivanja podataka na druge prenosive informatičke medije (sigurnosne kopije zbirki) uz primenu mera sigurnosti i tajnosti podataka, za slučaj uništenja aktivnih baza podataka, i obezbeđenja evidencije tih prenosivih medija, kao i zanavljanje zapisa na kopijama usled proteka roka.

Naročito osetljivi podaci

Član 10

U pogledu naročito osetljivih podataka, proverom će se utvrditi da li su preduzete i posebne mere zaštite podataka koje je Vlada, u skladu sa Zakonom, propisala za ovu vrstu podataka.

Mere Poverenika

Član 11

U slučaju da ovlašćeno lice utvrdi da ne postoji pravni osnov za obradu podataka ili da zakonom nisu uređena najvažnija pitanja za njihovu obradu, kao što su: svrha obrade, vrsta podataka koji se obrađuju, korisnici podataka i dužina trajanja obrade, Poverenik će doneti rešenje kojim će privremeno zabraniti takvu obradu podataka dok se ne otklone razlozi koji su prouzrokovali zabranu.

Poverenik će privremeno zabraniti obradu podataka i u slučaju da nisu primenjene odgovarajuće organizacione, kadrovske i tehničke mere radi zaštite podataka od mogućih zloupotreba, uništenja, gubitka, nedopuštenog pristupa, neovlašćenih promena, objavljivanja i svake druge zloupotrebe podataka, kao i mere u pogledu utvrđivanja obaveza čuvanja tajnosti podataka od strane lica koja su zaposlena na obradi, sve dok rukovalac zbirke podataka ne dostavi dokaz da je preduzeo odgovarajuće mere obezbeđenja i zaštite podataka.

U slučaju da se u vezi sa obradom podataka utvrdi da postoje manji propusti koji neće bitno ugroziti njihovu bezbednost, Poverenik će naložiti preduzimanje odgovarajućih mera uz ostavljanje primerenog roka da se nedostaci otklone.

U slučaju da rukovalac podataka ne otkloni utvrđene nedostatke u ostavljenom roku, Poverenik će zabraniti obradu podataka.

Upis u Centralni registar

Član 12

Obaveštenje rukovaoca podataka iz člana 3. ovog pravilnika, Poverenik upisuje u Centralni registar.

Stupanje na snagu Pravilnika

Član 13

Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

 

Obrazac

PRIJAVA OBRADE PODATAKA

Zakon o zaštiti podataka o ličnosti ("Službeni glasnik RS", broj 97/08) - čl. 48-51.

POVERENIK ZA INFORMACIJE OD JAVNOG ZNAČAJA I ZAŠTITU PODATAKA O LIČNOSTI

1. Naziv zbirke podataka

(Naziv sadrži ime zbirke koje je određeno propisom ili ga je odredio sam rukovalac na osnovu pristanka lica ili ugovornog odnosa. Npr. Evidencija izdatih službenih legitimacija, Evidencija kupaca firme, Evidencija posetilaca, evidencija video nadzora itd.)

 

 

 

*

–––––––––––––––

Napomena: 

u slučaju nedostatka prostora, kod elektronske verzije mogu se dodati nove linije odnosno novi list papira uz naznaku odgovarajuće rubrike kod ručnog popunjavanja.

 

2. Vrsta radnje obrade

(Npr. prikupljanje podataka, korišćenje, beleženje, prepisivanje, umnožavanje, kopiranje, pretraživanje, razvrstavanje, snimanje, stavljanje na uvid objavljivanje itd. - Vidi član 3. stav 1. tačka 3. Zakona)

 

 

 

 

 

3. Vrste podataka

Navedite vrste podataka koje se nalaze u zbirci, pri čemu budite pažljivi da ne unosite nikakve konkretne podatke, (kao što su ime, prezime, adresa, elektronska pošta, snimak video nadzora, otisak prsta i sl.), već samo vrstu podataka (kao npr. ime i prezime, elektronska adresa, kućna adresa, broj telefona.)

 

 

 

 

 

 

4. Naziv, ime, sedište i adresa rukovaoca

(Navedite firmu i sedište sa adresom, odnosno ime i prezime sa adresom rukovaoca podataka. Npr. "Market d.o.o. za trgovinu", Petar Petrović, vlasnik stomatološke ordinacije, Ulica Beogradska br. 1, Beograd)

 

 

 

 

 

 

5. Datum započinjanja obrade, odnosno uspostavljanja zbirke podataka

(navedite datum kada je zbirka podataka bila uspostavljena, odnosno kada će biti ako još nije. Npr. 15. 05. 2009. g.)

 

 

 

 

 

 

6. Svrha obrade

(Navedite sve svrhe, za koje se podaci u zbirci obrađuju, npr. direktni marketing, izvršavanje ugovora o zaposlenju ili drugog ugovornog odnosa, formulaciju zakonom utvrđene svrhe. Npr. Direktni marketing, ponuda proizvoda firme i obaveštenja o novitetima, inspekcijski nadzor, sprečavanje prenošenja zaraznih bolesti i dr.)

 

 

 

 

 

 

7. Pravni osnov obrade, odnosno uspostavljanja zbirke podataka

(Navedite po kom pravnom osnovu ste podatke dobili i dalje ih obrađujete, npr. čl. ... Zakona..., pristanak lica na koje se podaci odnose, ugovorni odnos, i sl.)

 

 

 

 

 

8. Kategorija lica na koje se podaci odnose

(Navedite generičke oznake osoba na koje se podaci odnose, npr. zaposleni u firmi, kupci firme, zaposleni u organu, lica sa posebnim ovlašćenjima i dr.)

 

 

 

 

 

9. Vrsta i stepen tajnosti podataka

(Navedite stepen tajnosti koja je određena za podatke navedene u zbirci, kako to proizlazi iz odgovarajućeg propisa koji reguliše konkretnu oblast, npr. strogo poverljivo, službena tajna). Ako tajni podaci nisu sadržani u zbirci, navedite da nema tajnih podataka u zbirci.

 

 

 

 

 

10. Način prikupljanja i čuvanja podataka

Navedite na koji način ste prikupili podatke i kakav način obezbeđenja ste uveli u cilju zaštite podataka, npr.: prikupljanje putem ugovora o zaposlenju, od drugog organa na osnovu zakona, preko anketnih listova, na osnovu reklamnog materijala koji su firmi poslala fizička lica na koja se podaci odnose. Navedite način i oblik čuvanja podataka, npr. papir, traka, kompakt disk i dr., kao i generičku oznaku zaštite, npr. elektronska i fizička zaštita podataka (bliži način zaštite opišite u tački 14.)

 

 

 

 

 

11. Rok čuvanja i upotrebe podataka

(Navedite koliko vremena ćete podatke čuvati i obrađivati, nakon čega će podaci biti arhivirani uz prethodnu anonimizaciju ili uništeni. Npr. 10 godina, do isteka odredbi ugovora, trajno i sl.)

 

 

 

 

 

12. Naziv, ime, sedište i adresa korisnika

(Opis sadrži navedene podatke pravnih i fizičkih lica, odnosno preduzetnika koji samostalno obavljaju delatnost na tržištu, a kojima su ili kojima će biti prosleđeni podaci iz zbirke. Npr. Lekarske komore, zdravstvene organizacije, fondovi penzionog i zdravstvenog osiguranja. Ako se neće prosleđivati, navedite da se podaci ne prosleđuju korisnicima.)

 

 

 

 

 

13. Označavanje unošenja ili iznošenja podataka iz Republike Srbije

Sa nazivom države, odnosno međunarodne organizacije i stranog korisnika, pravni osnov i svrha unošenja ili iznošenja. Ako se podaci ne iznose, odnosno ne unose u Srbiju, to navedite.

 

 

 

 

 

 

14. Preduzete mere zaštite podataka

(Što detaljnije opišite zaštitu podataka u zbirci, kao npr. prostorije, u kojima se nalaze nosioci podataka, koji su povezani sa zbirkom podataka, kao i računarska oprema, koja služi za obradu podataka, se izvan radnog vremena zaključavaju, a zaključavaju se, takođe i u vreme kada u njima nema zaposlenih. Zbirka podataka koja se nalazi u računarskom sistemu, je osigurana sistemom lozinki za autorizaciju i identifikaciju korisnika programa i podataka. Sistem lozinki omogućava, takođe kasnije utvrđivanje, kada su pojedini podaci bili korišćeni ili uneti u zbirku i ko je to uradio, kao i period na koji se pojedini podaci čuvaju. Podatke mogu obrađivati samo lica, koja je za obradu ovlastio zakonski zastupnik firme, odnosno organa. Papirni nosioci podataka, koji služe za unos podataka u računarski vođenu zbirku podataka, listinzi sa podacima iz računarske zbirke podataka, kao i diskete, magnetne trake, optički diskovi, koji se odnose na zbirku podataka, se izvan radnog vremena zaključavaju u metalne protivpožarne ormane. Postupci i mere zaštite podataka su detaljnije određeni u aktu rukovaoca podataka o postupcima i merama za zaštitu podataka o ličnosti.)

 

 

 

 

 

15. Zahtev povodom obrade

(Preuzeto iz člana 48. stav 1. tačka 14. Zakona - podaci se unose samo ako ih je bilo)

 

 

 

 

 

 

 

 

 , dana 

 

 

 

(mesto)

 

(datum)

 

 

 

Podatke dostavio/la:

 

 

 

(ime prezime osobe)

 

 

 

(funkcija)

 

 

 

(podaci za kontakt, adresa, telefon, elektronska adresa)