Шта доноси нови Закон о заштити података о личности

Разлози и циљеви доношења новог Закона о заштити података о личности, као и значајне новине које прате овај закон, предмет су разматрања у овом тексту.

Нови Закон о заштити податка о личности („Сл. гласник РС”, бр. 87/2018) од 13. 11. 2018. године, ступио је на снагу 21. 11. 2018, а примењује се по истеку девет месеци од дана ступања на снагу, осим одредбе члана 98. овог закона, која се односи на Централни регистар збирки података. Наиме, наведени регистар, који је успостављен по одредбама Закона о заштити података о личности („Сл. гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12), престаје да се води од дана ступања на снагу овог закона. Од дана када почиње примена новог закона престаје да важи Закон о заштити података о личности („Сл. гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12).

Разлози за доношење новог Закона о заштити података о личности

Разлози за доношење новог Закона о заштити података о личности могу се сагледати како са становишта унутрашњег права тако и са становишта неопходности међународне сарадње и обавеза Републике Србије у процесу придруживања Европској унији.

Са аспекта унутрашњег права Републике Србије, Закон о заштити података о личности („Сл. гласник РС”, бр. 97/2008, 104/2009 – други закон, 68/2012 – Одлука УС РС и 107/2012), који за време примене у периоду 2008–2018. године није значајније мењан, садржи недостатке, који уједно могу да се дефинишу као разлози за доношење новог закона, а то су:

1. постојање потребе да се шире уреде основни појмови који се користе у Закону, као и да се прецизније уреде начела обраде података о личности;
2. недовољно уређен поступак остваривања права на заштиту података о личности;
3. недовољно уређен поступак изношења података о личности из Републике Србије;
4. непотпуно уређена одговорност у случају кршења права лица, као и у случају неиспуњавања законских обавеза;
5. безбедност података о личности такође је непотпуно уређена;
6. недостаје обавеза анализе ризика за права лица на која се подаци односе у случају појединих обрада виског ризика које озбиљно могу да угрозе њихова права;
7. поступци за заштиту права лица на која се подаци односе нису одговарајуће уређени;
8. недостају одредбе из Уредбе 2016/679 Европског парламента и Савета о заштити појединца у вези са обрадом података о личности и слободном кретању таквих података и стављању ван снаге Директиве 98/46/ЕЗ (у даљем тексту: Уредба), које се односе на нове институте, као што су обавезујућа пословна правила, сертификација, лице за заштиту података о личности и кодекс поступања;
9. постојање потребе да се уреди обрада података о личности коју врше надлежни органи у сврхе спречавања, истраге, откривања или гоњења кривичних дела или извршења кривичних санкција, с обзиром на то да Директива 2016/680 о заштити појединца у вези са обрадом података о личности од стране надлежних тела у сврхе спречавања, истраге, откривања или гоњења кривичних дела или извршења кривичних санкција и слободном кретању таквих података и стављању ван снаге оквирне одлуке Савета 2008/977/ПУП (у даљем тексту: Директива) предвиђа значајна одступања од општег режима, који се предвиђа наведеном уредбом, у случају када обраду врше надлежни органи у наведене сврхе;
10. потреба да се прецизније и шире уреде надлежности и овлашћења надзорног тела за спровођење Закона о заштити података о личности;
11. недовољно уређени посебни случајеви обраде података о личности.

 

Са становишта међународне сарадње, усклађивање националног законодавства са правом Европске уније представља међународноправну обавезу Републике Србије, док статус Републике Србије, као кандидата за чланство у Европској унији, указује на то да су европске интеграције кључне за спољну и унутрашњу политику земље.

Имајући у виду обавезе Републике Србије у процесу придруживања Европској унији, неопходно је да нови Закон о заштити података о личности обезбеди усклађеност са прописима Европске уније, односно са релевантним документима Европске уније, и то са:

1) Повељом о фундаменталним правима Европске уније (2000/C 364/01), којом је право на заштиту података зајемчено чланом 8;

2) Уредбом 2016/679 Европског парламента и Савета о заштити појединца у вези са обрадом података о личности и слободном кретању таквих података и стављању ван снаге Директиве 98/46/ЕЗ; као и

3) Директивом 2016/680 о заштити појединца у вези са обрадом података о личности од стране надлежних тела у сврхе спречавања, истраге, откривања или гоњења кривичних дела или извршења кривичних санкција и слободном кретању таквих података и стављању ван снаге оквирне одлуке Савета 2008/977/ПУП.

Наведени релевантни документи Европске уније указују на то да заштита података више није питање хармонизације права Европске уније и појединачне имплементације у национално законодавство, већ област директне примене права Европске уније.

Снажан независни орган за заштиту података о личности предуслов је адекватне заштите података о личности за Европску унију. У прилог томе говори и постојање посебног органа за заштиту података о личности у оквиру Уније – Европског супервизора за заштиту података о личности, посебних одељења и официра за заштиту података о личности Еуропола или Еуроџаста, као и одлуке Суда правде Европске уније о положају органа надлежних за заштиту података о личности.

Циљеви који се желе постићи доношењем и применом новог Закона о заштити података о личности

Поменути циљеви могу да се сагледају на следећи начин:

Основни циљ доношења и примене новог закона јесте да свакоме обезбеди заштиту података о личности ради несметаног остваривања права на заштиту података о личности (право уређено не само законима него и Уставом Републике Србије), као и да успостави јасан правни оквир у области заштите података о личности у Републици Србији и да уреди обраду података о личности, односно заштиту права и поступак остваривања заштите права појединца у односу на обраду података, затим права, обавезе и одговорности руковалаца података, обрађивача података и свих прималаца података, као и надлежност и положај независног органа за заштиту података о личности.

Други циљ је да Закон о заштити података о личности буде закон општег карактера, са којим је неопходно ускладити посебне законе који садрже одредбе о заштити података о личности. Усклађивањем других закона са овим законом обезбеђује се јединство правног система Републике Србије.

Појединачни циљеви који треба да се постигну доношењем и применом новог закона јесу:

– шире уређење основних појмова који се користе у Закону и додавање већег броја нових појмова (трећа страна, профилисање, минимизација, група привредних субјеката, биометријски подаци, генетски подаци и др.);

– прецизније уређење и јасније дефинисање основних начела која се односе на обраду података о личности;

– детаљније уређење поступка остваривања права на заштиту података о личности;

– прописивање великог броја различитих случајева којима је у потпуности уређен поступак изношења података о личности из Републике Србије, чиме се значајно убрзава овакав пренос (што је значајно због достигнутог степена савремених информационих технологија, друштвених мрежа, олакшаног пословања привредних субјеката и др.), при чему су прописани јасни услови под којима такав пренос може да се изврши, који подразумева и пуно поштовање права лица на која се подаци односе;

– уређење одговорности у случају кршења права лица на која се подаци односе, као и у случају неиспуњавања законских обавеза руковаоца, обрађивача или њихових представника, при чему је та одговорност и прекршајна и одговорност за учињену штету;

– много потпуније уређење безбедности података о личности, при чему се прописује већи број мера заштите података о личности (техничких, организационих и кадровских), као и поступак у случају да до повреде безбедности ипак дође (обавеза обавештавања надзорног тела и лица на која се подаци односе и др.);

– увођење обавезе анализе ризика пре започињања радњи обраде, а ако је ризик висoког нивоа, прописује се неопходност претходног тражења мишљења надзорног органа;

– прописивање нових института, као што су обавезујућа пословна правила, сертификација, одређивање лица за заштиту података о личности, као и кодекс поступања, при чему је циљ њиховог прописивања да се, и кроз увођење интерних правила или одређивање лица које ће се бавити заштитом података о личности, омогући боља примена Закона;

– потпуно уређење обраде података о личности коју врше надлежни органи у сврхе спречавања, истраге, откривања или гоњења кривичних дела или извршења кривичних санкција, при чему ове одредбе свакако представљају једну од најзначајнијих законских новина јер се први пут јасно прописују посебне одредбе које се односе само на надлежне органе (када врше обраду података у тачно одређене сврхе), чиме се обезбеђује законитост њиховог поступања, али истовремено и одређују случајеви када ограничења општег режима постоје, јер ако таквих ограничења нема, примениће се општи режим;

– проширење и прецизирање надлежности и овлашћења Повереника за информације од јавног значаја и заштиту података о личности, као независног и самосталног државног органа надлежног за надзор и спровођење Закона о заштити података о личности, при чему је такође уређен и његов статус како би му се обезбедила пуна независност;

– уређење посебних случајева обраде података о личности, уз напомену да је реч само о најкарактеристичнијим случајевима, с обзиром на то да је обрада података уређена и већим бројем других посебних закона;

– обезбеђивање усклађености са релевантним документима Европске уније (претходно поменуте уредба и директива), што је од великог значаја за обавезе Републике Србије које су предвиђене преговарачким поглављима 23 и 24.

Новине које доноси Закон о заштити података о личности

Нови Закон о заштити података о личности садржи десет глава, и то: Основне одредбе (глава I), Начела (глава II), Права лица на које се подаци односе (глава III), Руковалац и обрађивач (глава IV), Пренос података о личности у друге земље и међународне организације (глава V), Повереник (глава VI), Правна средства, одговорност и казне (глава VII), Посебни случајеви обраде (глава VIII), Казнене одредбе (глава IХ) и Прелазне и завршне одредбе (глава Х).

Један од најважнијих чланова новог закона свакако је члан 4, у коме су дата објашњења најзначајнијих појмова који се у Закону користе.

У односу на Закон о заштити података о личности („Сл. гласник РС”, бр. 97/2008, 104/2009 – други закон, 68/2012 – Одлука УС РС и 107/2012 – у даљем тексту: претходни закон), који садржи десет основних појмова, у новом закону су, као потпуно нови појмови, одређени:

-„профилисање”,

-„псеудонимизација”,

– „трећа страна”,

-„пристанак”,

-„повреда безбедности података”,

-„генетски податак”,

-„биометријски податак”,

-„подаци о здрављу”,

-„представник”,

-„привредни субјекат”,

-„мултинационална компанија”,

-„група привредних субјеката”,

-„обавезујућа пословна правила”,

-„услуга информационог друштва”

-„међународна организација” и

-„надлежни орган”.

Значајну новину представљају и одредбе о пристанку лица на које се подаци односе на обраду његових података (члан 15. Закона). За разлику од решења садржаног у претходном закону, према коме пристанак може да се да искључиво у писменом облику (што је у примени Закона изазивало велике проблеме, посебно имајући у виду убрзани развој информационих технологија), појам пристанка сада је прецизно дефинисан и значајно проширен. Наиме, пристанак лица на које се подаци односе одређен је као свако добровољно, одређено, информисано и недвосмислено изражавање воље тог лица, којим оно, изјавом или јасном потврдном радњом, даје пристанак за обраду података о личности који се на њега односе. Међутим, у случајевима када је пристанак дат на други начин, а у циљу избегавања могућих злоупотреба, руковалац има обавезу да докаже (предочи) да је неко лице заиста и пристало на обраду његових података.

Веома су важне и одредбе о пристанку малолетног лица на обраду његових података при коришћењу услуга информационог друштва (члан 16. новог закона). Предвиђено је да малолетно лице које је навршило 15 година самостално може да дâ пристанак на обраду својих података, док на обраду података о малолетном лицу које није навршило 15 година пристанак мора дати родитељ који врши родитељско право, односно други законски заступник малолетног лица. Приликом одређивања ове старосне границе имало се у виду да малолетник од 15 година може да заснује радни однос, као и да се ради о давању сагласности за обраду података о личности при коришћењу услуга информационог друштва, које малолетници и иначе веома често користе, због чега је узраст од 15 година примерен за самостално давање овакве сагласности.

Право на преносивост података је законска новина (члан 36. Закона). Ово право подразумева да лице на које се подаци односе има право да податке које је претходно доставило руковаоцу, од њега прими у структурисаном, уобичајено коришћеном и електронски читљивом формату, као и да има право да ове податке пренесе другом руковаоцу без ометања од стране руковаоца којем су ти подаци били достављени. Да би се овакво право остварило, неопходно је да буду испуњени и следећи услови: да је лице на које се подаци односе дало пристанак за обраду података или да се таква обрада врши на основу уговора, као и да се обрада података врши аутоматизовано.

Oдредбом члана 40 новог закона (ограничења) није прописано да права грађана могу да се ограниче једино на начин прописан Законом, већ је ставом 1. прописано да права и обавезе из чл. 21, 23, 24, 26, чл. од 29. до 31, члана 33, чл. од 36. до 39. и члана 53, као и члана 5. овог закона ако се те одредбе односе на остваривање права и обавеза из чл. 21, 23, 24, 26, чл. од 29. до 31, члана 33. и чл. од 36. до 39. овог закона, могу да се ограниче ако та ограничења не задиру у суштину основних права и слобода и ако то представља неопходну и сразмерну меру у демократском друштву за заштиту: 1) националне безбедности; 2) одбране; 3) јавне безбедности; 4) спречавања, истраге и откривања кривичних дела, гоњења учинилаца кривичних дела или извршења кривичних санкција, укључујући спречавање и заштиту од претњи по јавну безбедност; 5) других важних општих јавних интереса, а посебно важних државних или финансијских интереса Републике Србије, укључујући монетарну политику, буџет, порески систем, јавно здравље и социјалну заштиту; 6) независности правосуђа и судских поступака; 7) спречавања, истраживања, откривања и гоњења за повреду професионалне етике; 8) функције праћења, надзора или вршења регулаторне функције која је стално или повремено повезана са вршењем службених овлашћења у случајевима из т. од 1) до 5) и тачке 7) овог става; 9) лица на која се подаци односе или права и слобода других лица; 10) остваривања потраживања у грађанским стварима. Одредбом става 2. истог члана прописано је да приликом примене ограничења права и обавеза из става 1. овог члана морају да се, према потреби, узму у обзир најмање: 1) сврхе обраде или врсте обраде; 2) врсте података о личности; 3) обим ограничења; 4) мере заштите у циљу спречавања злоупотребе, недозвољеног приступа или преноса података о личности; 5) посебности руковаоца, односно врста руковаоца; 6) рок чувања и мере заштите података о личности које могу да се примене с обзиром на природу, обим и сврху обраде или врсте обраде; 7) ризици по права и слободе лица на које се подаци односе; 8) право лица на које се подаци односе да буде информисано о ограничењу, осим ако то информисање онемогућава остваривање сврхе ограничења. Одредбе ст. 1. и 2. овог члана примењују се и у случају кад се обрада од стране надлежних органа не врши у посебне сврхе. У вези са наведеном одредбом члана 40. треба додати и то да би нови Закон о заштити података о личности требало да  грађанима обезбеди низ нових права, и то: право на увид, исправку, допуну, брисање и ограничење обраде података о личности. Ограничавање ових права на било који начин, осим на начин прописан Законом, оставља простора државним органима и приватним компанијама да рукују личним подацима грађана без законског ограничења. Устав Републике Србије такође прописује да свако има право да буде обавештен о прикупљеним подацима о својој личности, у складу са Законом, као и право на судску заштиту због злоупотребе наведених података.

Одредбом члана 47. новог закона (евиденције радњи обраде) прописано је да је руковалац, као и његов представник, ако је одређен, дужан да води евиденцију о радњама обраде за које је одговоран, која садржи информације о: 1) имену и контакт подацима руковалаца, заједничких руковалаца, представника руковалаца и лица за заштиту података о личности, ако они постоје, односно ако су одређени; 2) сврси обраде; 3) врсти лица на које се подаци односе и врсти података о личности; 4) врсти прималаца којима су подаци о личности откривени или ће бити откривени, укључујући и примаоце у другим државама или међународним организацијама; 5) преносу података о личности у друге државе или међународне организације, укључујући и назив друге државе или међународне организације, као и документе о примени мера заштите ако се подаци преносе у складу са чланом 69. став 2. овог Закона, ако се такав пренос података о личности врши; 6) року после чијег се истека бришу одређене врсте података о личности, ако је такав рок одређен; 7) општем опису мера заштите из члана 50. став 1. Закона, ако је то могуће.

Евиденције радњи обраде воде се у писменом облику, што обухвата и електронски облик, и чувају се трајно.

Руковалац или обрађивач, као и њихови представници, ако су одређени, дужни су да евиденције учине доступним Поверенику на његов захтев.

Одредбе о вођењу евиденција не примењују се на организације у којима је запослено мање од 250 лица, осим у случају када обрада коју врше може да проузрокује висок ризик по права и слободе лица на која се подаци односе, кад обрада није повремена и кад обрада обухвата посебне врсте података о личности или податке о личности који се односе на кривичне пресуде, кажњива дела и мере безбедности.

Једна од законских новина прописана је и чланом 56. став 1. новог закона, а односи се на могућност да руковалац односно обрађивач одреди лице за заштиту података о личности. Одредбом става 2. истог члана Закона предвиђени су случајеви када лице за заштиту података о личности обавезно мора да се одреди:

– ако се обрада врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања својих судских овлашћења;

– ако се основне активности руковаоца или обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски надзор великог броја лица на која се подаци односе и

– ако се основне активности руковаоца или обрађивача састоје у обради посебних података о личности у великом обиму.

Група привредних субјеката може да одреди заједничко лице за заштиту података о личности под условом да је ово лице једнако доступно сваком члану групе, а ако су руковаоци односно обрађивачи органи власти или надлежни органи, може да се одреди заједничко лице за заштиту података о личности узимајући у обзир организациону структуру и величину органа власти. Лице за заштиту података о личности одређује се на основу стручних квалификација, а нарочито стручног знања и искуства у области заштите података о личности. Такво лице може да буде запослено код руковаоца односно обрађивача или ангажовано на основу уговора.

Положај лица за заштиту података о личности уређен је одредбом члана 57. новог Закона о заштити података о личности. Прописано је да су руковалац и обрађивач дужни да благовремено и на одговарајући начин укључе лице за заштиту података о личности у све послове који се односе на заштиту података о личности, затим да му обезбеде неопходна средства за извршавање ових обавеза, приступ подацима о личности и радњама обраде и стручно усавршавање, као и да му обезбеде независност у извршавању обавеза. Такође, руковалац и обрађивач не могу да казне лице за заштиту података о личности нити да раскину радни однос, односно уговор са њим због извршавања обавеза које се односе на заштиту података о личности.

Обавезе лица за заштиту података о личности прописане су одредбом члана 58. новог закона:

– информише и даје мишљење руковаоцу или обрађивачу, као и запосленима који врше радње обраде, о њиховим законским обавезама у вези са заштитом података о личности;

– прати примену одредби Закона и интерних прописа руковаоца или обрађивача који се односе на заштиту података о личности, укључујући и питања поделе одговорности, подизања свести и обуке запослених на радњама обраде, као и контроле;

– даје мишљење о процени утицаја обраде на заштиту података о личности и прати поступање у складу са њом и

– сарађује са Повереником, представља контакт тачку за сарадњу са Повереником и саветује се са њим у вези са питањима која се односе на обраду података о личности.

Законске новине прописане су и одредбама чланова 59–62. новог закона, а односе се на кодекс поступања и сертификацију.

Одредбом члана 59. новог закона предвиђено је да удружења и други субјекти који представљају групе руковалаца или обрађивача могу да усвоје кодекс поступања у циљу ефикасније примене овог закона. Одредбом члана 61. новог закона предвиђено је да поступци сертификације заштите података о личности, са одговарајућим жиговима и ознакама, могу да се установе у циљу доказивања поштовања одредби овог закона од стране руковалаца и обрађивача, а посебно узимајући у обзир потребе малих и средњих предузећа.

Одредбе чланова 63–72. новог закона детаљно уређују пренос података о личности у друге државе и међународне организације, на нов начин. За разлику од  решења садржаног у претходном закону, предвиђено је више могућности за пренос података у другу државу или међународну организацију, при чему треба нагласити да у свакој од могућих ситуација постоје јасно прописани услови који морају да буду испуњени.

Новине су прописане и у поглављу VI (одредбе чланова 73–81) новог закона, а односе се на Повереника.

Одредбом члана 73. новог закона предвиђено је да је Повереник независан државни орган, као и да има заменика, који ће га замењивати у вршењу овлашћења која се односе на заштиту података о личности.

Одредбом члана 77. новог закона прописује се изузетак сходно коме Повереник није надлежан да врши надзор над обрадом од стране судова при вршењу њихових судских овлашћења.

У члану 78. новог закона детаљно су прописана овлашћења Повереника, и то да:

– врши надзор и обезбеђује примену овог закона у складу са својим овлашћењима;

– стара се о подизању јавне свести о ризицима, правилима, мерама заштите и правима у вези са обрадом;

– даје мишљење Народној скупштини, Влади, другим органима власти и организацијама о законским и другим мерама које се односе на заштиту права и слобода физичких лица у вези са обрадом;

– стара се о подизању свести руковалаца и обрађивача у вези са њиховим обавезама прописаним овим законом;

– на захтев лица на која се подаци односе пружа информације о њиховим правима прописаним овим законом; поступа по притужбама лица на која се подаци односе, утврђује да ли је дошло до повреде овог закона и обавештава подносиоца притужбе о току и резултатима поступка који води;

– сарађује са надзорним органима других држава у вези са заштитом података о личности, а посебно у размени информација и пружању узајамне правне помоћи;

– врши инспекцијски надзор над применом овог закона, у складу са овим законом и сходном применом закона којим се уређује инспекцијски надзор, као и да подноси захтев за покретање прекршајног поступка ако утврди да је дошло до повреде овог закона;

– прати развој информационих и комуникационих технологија, као и пословне и друге праксе од значаја за заштиту података о личности; израђује стандардне уговорне клаузуле;

– сачињава и јавно објављује листе врста радњи обраде за које мора да се изврши процена утицаја;

– води евиденцију лица за заштиту података о личности; даје писмено мишљење о процени да ли ће намераване радње обраде произвести висок ризик;

– подстиче израду кодекса поступања;

– подстиче издавање сертификата за заштиту података о личности и прописује критеријуме за сертификацију;

– спроводи периодично преиспитивање сертификата;

– прописује и објављује критеријуме за акредитацију сертификационог тела; одобрава одредбе уговора или споразума о преносу података;

– одобрава обавезујућа пословна правила;

– води интерну евиденцију о повредама овог закона и мерама које се у вршењу инспекцијског надзора предузимају;

– обавља и друге послове одређене овим законом.

Треба напоменути да послове надзора Повереник врши преко овлашћених лица из стручне службе Повереника. У циљу поједностављивања подношења притужбе Поверенику је дато овлашћење да пропише образац притужбе и омогући њено подношење електронским путем. Такође је значајно истаћи да Повереник обавља своје послове тако да је то бесплатно за лице на које се подаци односе, као и за лице за заштиту података о личности.

У члану 79. новог закона прописана су инспекцијска овлашћења Повереника. Поред стандардних овлашћења Повереника у вршењу инспекцијског надзора (став 1. члана 79), прописане су и корективне мере за које је Повереник овлашћен (став 2. истог члана), као и остала овлашћења Повереника (став 3. истог члана). Поред наведеног, ставом 5. истог члана прописано је да у вршењу својих овлашћења Повереник може да покрене одговарајући поступак пред судом или другим органом.

Одредбама чланова 82–87. новог закона предвиђена су правна средства, одговорност и казне. Једна од најзначајнија новина коју доноси Закон о заштити података о личности везана је за подношење правних средстава. По претходном Закону, лице је имало право жалбе Поверенику ако сматра да руковалац не обрађује његове податке у складу са Законом, а ако је незадовољан одлуком Повереника, могао је да покрене управни спор. Новим законом предвиђа се читав низ различитих могућности за заштиту права, при чему је могуће поднети више правних средстава, независно од тога да ли је већ поднето неко средство. Пре свега, може да се поднесе приговор руковаоцу на обраду података. Поред тога, може да се поднесе и притужба Поверенику. Против одлуке Повереника, односно у случају да таква одлука није донета у року од 60 дана од дана подношења притужбе, може да се покрене управни спор. Исто тако, а независно од других поступака, може да се оствари и непосредна судска заштита. Нови Закон о заштити података о личности изричито прописује и право на накнаду штете, које подразумева да лице које је претрпело материјалну или нематеријалну штету због повреде одредаба Закона има право на новчану накнаду ове штете од руковаоца односно обрађивача који је штету проузроковао.

Посебни случајеви обраде података о личности прописани су одредбама чланова 88–94. новог Закона о заштити података о личности. Реч је о обради података о личности која се врши у сврхе новинарског истраживања и објављивања информација у медијима, као и у сврхе научног, уметничког или књижевног изражавања, затим о односу обраде података о личности и слободног приступа информацијама од јавног значаја, обради јединственог матичног броја грађана, обради података у области рада и запошљавања, заштити и ограничењу примене одредби Закона на обраду података у сврхе архивирања у јавном интересу, научног или историјског истраживања и у статистичке сврхе, као и о обради података о личности од стране цркава и верских заједница и обради података о личности у хуманитарне сврхе од стране органа власти.

Одредбом члана 95. новог закона прописане су казнене одредбе. Предвиђена су 32 различита прекршаја због повреда Закона. За све прекршаје предвиђена је новчана казна у распону предвиђеном Законом о прекршајима. За прописане прекршаје могу да одговарају руковалац, као и обрађивач који има својство правног лица. Поред тога, у складу са Законом о прекршајима, за прописане прекршаје могу да одговарају и предузетник, физичко лице, као и одговорно лице у правном лицу, државном органу, органу територијалне аутономије и јединици локалне самоуправе, односно одговорно лице у представништву или пословној јединици страног правног лица. Као посебан прекршај прописан је случај када лице при обављању послова заштите података не чува податке које сазна током обављања послова као професионалну тајну. Такође, прописано је и шест прекршаја због којих може да се изрекне новчана казна у фиксном износу, што је такође новина у односу на претходни закон.

Одредбама чланова 96–102. новог закона прописане су прелазне и завршне одредбе. Чланом 96. новог закона, а имајући у виду да Повереник има свог заменика за заштиту података о личности, предвиђено је да тај заменик наставља да врши своју дужност до истека мандата за који је изабран.

Одредбом члана 98. новог закона прописано је да Централни регистар збирки података, који је успостављен по одредбама претходног Закона о заштити података о личности, престаје да се води од дана ступања на снагу овог закона, као и да се са Централним регистром (као и са подацима садржаним у том регистру) поступа у складу са прописима који уређују поступање са архивском грађом. Овде је важно напоменути да руковалац подацима има и даље обавезу вођења евиденције својих збирки података (треба их устројити и електронски, по узору на Централни регистар), тако да брисање Централног регистра не утиче на обавезе руковаоца.

Одредбом члана 99. новог закона предвиђено је да ће се подзаконски акти, неопходни за његову примену, донети у року од девет месеци од дана ступања на снагу Закона, а да се до њиховог усвајања примењују подзаконски акти који су донети на основу претходног Закона о заштити података о личности.

Одредбом члана 100. новог закона прописано је да ће се одредбе других закона, које се односе на обраду података о личности, ускладити са одредбама овог закона до краја 2020. године, како би се обезбедило да поменути други закони буду усклађени са законом који у овој области има системски карактер.

Завршним одредбама новог закона (чланови 101. и 102) предвиђено је стављање ван снаге претходног закона (Закон о заштити података о личности – „Сл. гласник РС”, бр. 97/08, 104/09 – др. закон, 68/12 – УС и 107/12), као и ступање Закона на снагу и почетак његове примене.

Нови Закон о заштити података о личности не садржи одредбе о видео-надзору, пре свега зато што Закон о заштити података о личности, као системски закон у овој области, треба да садржи одредбе општег карактера, а посебни закони, који такође у неком делу садрже одредбе о обради и заштити података, треба да садрже посебне одредбе којима ће се уредити поједине радње обраде (видео-надзор). Уколико би одредбе о видео-надзору биле преузете и регулисане у Закону о заштити података о личности, било би нужно да се обаве и додатне консултације са другим органима који се баве специфичним питањима (нпр. видео-надзор службених просторија, надзор стамбених зграда и слично), а такође би се отворило питање допуне посебних случајева обраде и у областима радних односа, здравства, просвете и слично, што свакако не може да се уреди само Законом о заштити података о личности.

Примена новог Закона о заштити података о личности отпочеће протеком 9 месеци након његовог ступања на снагу,  у које време је неопходно да се стекну услови за примену новог Закона, који подразумевају доношење подзаконских аката, као и спровођење обуке надлежних органа за примену Закона. С обзиром на то да се новим законом уводи нови судски поступак, неопходно је спровести обуку за судије, јавнотужилачко особље и остале државне органе.

 

НОВИ ЗАКОН О ЗАШТИТИ ПОДАТАКА О ЛИЧНОСТИ ПОДРЖАВА СТВАРАЊЕ НОВИХ ПРИВРЕДНИХ СУБЈЕКАТА НА ТРЖИШТУ КОЈИ ЋЕ БИТИ СПЕЦИЈАЛИЗОВАНИ ЗА ОВУ ОБЛАСТ, С ОБЗИРОМ НА ТО ДА ЛИЦЕ ЗА ЗАШТИТУ ПОДАТАКА О ЛИЧНОСТИ НЕ МОРА БИТИ САМО ЛИЦЕ КОЈЕ ЈЕ ЗАПОСЛЕНО У НЕКОМ ОРГАНУ ИЛИ ПРИВРЕДНОМ СУБЈЕКТУ, ВЕЋ ТО МОЖЕ БИТИ И НЕКО ДРУГО ЛИЦЕ КОЈЕ ЋЕ СЕ АНГАЖОВАТИ НА ОСНОВУ УГОВОРА.

 

Новине у Закону везане за увођење обавезних пословних правила, сертификата за заштиту података о личности и лица за заштиту података о личности свакако ће обезбедити поштовање одговарајућих стандарда у области заштите података о личности који се односе на привредно пословање. Такође, и друга законска решења, као што је питање пристанка на обраду података, заиста ће смањити трошкове пословања и допринети већој брзини пословних активности. Чињеница је да ће већи степен заштите лица на која се подаци односе, као и прецизирање поступка остваривања њихових права, допринети већој правној сигурности. Одредбе о преносу података из Републике Србије такође ће значајно унапредити тренутно стање у области заштите података о личности. Законским решењима обезбеђује се и усклађеност са релевантним прописима Европске уније, као и ефикаснији рад надзорног тела за спровођење Закона. Поред тога, и свим субјектима обезбеђени су нови механизми правне заштите (управне и судске), који могу да се покрену независно један од другог.

Примена новог Закона о заштити података о личности свакако ће обезбедити много јаснија правила у области заштите података о личности, а самим тим и поштенију и транспарентнију тржишну конкуренцију која је везана за ову област.

Закон непосредно дозвољава могућност стварања нових привредних субјеката који ће бити специјализовани за ову област, с обзиром на то да лице за заштиту података о личности не мора бити само лице које је запослено у неком органу или привредном субјекту, већ то може бити и неко друго лице које ће се ангажовати на основу уговора.

Надзор над применом кодекса поступања може да врши правно лице које је акредитовано за вршење надзора. Исто тако, прописивањем могућности да, поред Повереника, сертификат за заштиту података о личности може да изда и одговарајуће сертификационо тело, такође се ствара могућност за стварање нових привредних субјеката који ће се бавити активностима у вези са применом Закона.