Zaštita podataka o ličnosti

Na osnovu člana 41. stav 3. Zakona o zaštiti podataka o ličnosti („Sl. glasnik RSˮ, br. 87/2018)  LJILJANA TODOROVIĆ – ĐILAS PREDUZETNIK POLIKLINIKA CONSILIUM NOVI SAD iz Novog Sada, ul. Vršačka br. 21, MB 64491776, PIB 109880837, dana 03.04.2026. godine, donosi sledeći:

PRAVILNIK O ZAŠTITI PODATAKA O LIČNOSTI

I UVOD

Član 1.

Pravilnik o zaštiti podataka o ličnosti (dalje: Pravilnik) predstavlja opšti akt LJILJANA TODOROVIĆ – ĐILAS PREDUZETNIK POLIKLINIKA CONSILIUM NOVI SAD iz Novog Sada (dalje: Privredni subjekt).

Svrha Pravilnika je uspostavljanje zaštite podataka o ličnosti u skladu sa Zakonom o zaštiti podataka o ličnosti (dalje: Zakon) i drugim podzakonskim aktima iz oblasti zaštite podataka o ličnosti.

Član 2.

Pravilnikom se uređuju pravila zaštite prava fizičkog lica u pogledu prikupljanja i obrade podataka o ličnosti, kao i dalja upravljanja i kretanja ovih podataka.

Svi zaposleni kod privrednog subjekta moraju da se pridržavaju i sprovode odredbe ovog pravilnika i ostalih internih akata privrednog subjekta koji proističu iz Zakona i Pravilnika.

Član 3.

Pojedini izrazi u ovom Pravilniku imaju sledeće značenje:

  1. Podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta;
  2. Lice na koje se podaci odnose je fizičko lice čiji se podaci o ličnosti obrađuju;
  3. Obrada podataka o ličnosti je svaka radnja ili skup radnji koje se vrše automatizovano ili neautomatizovano sa podacima o ličnosti ili njihovim skupovima, kao što su prikupljanje, beleženje, razvrstavanje, grupisanje, odnosno strukturisanje, pohranjivanje, upodobljavanje ili menjanje, otkrivanje, uvid, upotreba, otkrivanje prenosom, odnosno dostavljanjem, umnožavanje, širenje ili na drugi način činjenje dostupnim, upoređivanje, ograničavanje, brisanje ili uništavanje (u daljem tekstu: obrada);
  4. Ograničavanje obrade je označavanje pohranjenih podataka o ličnosti u cilju ograničenja njihove obrade u budućnosti;
  5. Profilisanje je svaki oblik automatizovane obrade koji se koristi da bi se ocenilo određeno svojstvo ličnosti, posebno u cilju analize ili predviđanja radnog učinka fizičkog lica, njegovog ekonomskog položaja, zdravstvenog stanja, ličnih sklonosti, interesa, pouzdanosti, ponašanja, lokacije ili kretanja;
  6. Pseudonimizacija je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu;
  7. Zbirka podataka je svaki strukturisani skup podataka o ličnosti koji je dostupan u skladu sa posebnim kriterijumima, bez obzira da li je zbirka centralizovana, decentralizovana ili razvrstana po funkcionalnim ili geografskim osnovama;
  8. Rukovalac je fizičko ili pravno lice, odnosno organ vlasti koji samostalno ili zajedno sa drugima određuje svrhu i način obrade. Zakonom kojim se određuje svrha i način obrade, može se odrediti i rukovalac ili propisati uslovi za njegovo određivanje;
  9. Obrađivač je fizičko ili pravno lice, odnosno organ vlasti koji obrađuje podatke o ličnosti u ime rukovaoca;
  10. Primalac je fizičko ili pravno lice, odnosno organ vlasti kome su podaci o ličnosti otkriveni, bez obzira da li se radi o trećoj strani ili ne, osim ako se radi o organima vlasti koji u skladu sa zakonom primaju podatke o ličnosti u okviru istraživanja određenog slučaja i obrađuju ove podatke u skladu sa pravilima o zaštiti podataka o ličnosti koja se odnose na svrhu obrade;
  11. Treća strana je fizičko ili pravno lice, odnosno organ vlasti, koji nije lice na koje se podaci odnose, rukovalac ili obrađivač, kao ni lice koje je ovlašćeno da obrađuje podatke o ličnosti pod neposrednim nadzorom rukovaoca ili obrađivača;
  12. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik)” je nezavisan i samostalni organ vlasti ustanovljen na osnovu zakona, koji je nadležan za nadzor nad sprovođenjem ovog zakona i obavljanje drugih poslova propisanih zakonom;
  13. Nadležni organi su:
  14. a) organi vlasti koji su nadležni za sprečavanje, istragu i otkrivanje krivičnih dela, kao i gonjenje učinilaca krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprečavanje pretnji javnoj i nacionalnoj bezbednosti;
  15. b) pravno lice koje je za vršenje poslova iz podtačke a) ove tačke ovlašćeno zakonom.

14) Pacijent je lice, bolesno ili zdravo, koje zatraži ili kome privredni subjekt pruža zdravstvenu uslugu radi očuvanja i unapređenja zdravlja, sprečavanja, suzbijanja i ranog otkrivanja bolesti, povreda i drugih poremećaja zdravlja i blagovremenog i efikasnog lečenja, nege i rehabilitacije;

15) Medicinska dokumentacija je dokument koji sadrži zapažene, merljive i ponovljive nalaze dobijene prilikom pregleda pacijenta, kao i laboratorijske i dijagnostičke testove, procene ili dijagnostičke formulacije. Medicinska dokumentacija hronološki beleži brigu o pacijentu, podržava dijagnostiku ili razloge posete zdravstvenoj ustanovi, potkrepljuje preventivne postupke, skrining, postupke lečenja i precizno ih dokumentuje. Predstavlja sudsko-medicinski dokument zbog čega mora biti potpuna, tačna i dostupna. Predstavlja i grupu sredstava za usklađeno evidentiranje i prikupljanje podataka o događajima i aktivnostima u sistemu zdravstvene zaštite.

16) Zdravstvena dokumentacija je skup podataka i dokumenata, izvornih ili reprodukovanih, koji obuhvata medicinsku dokumentaciju i ostalu dokumentaciju koja nastaje ili je preuzeta u zdravstvenoj delatnosti (administrativnu, finansijsku i drugu nemedicinsku dokumentaciju).

II CILJ, SVRHA I PODRUČJE PRIMENE

Član 4.

Pravilnik ima cilj da se preko njegovih odredbi sprovodi zaštita osnovnih prava i sloboda fizičkih lica, posebno u domenu prava na zaštitu podataka o ličnosti.

Pravilnikom se uspostavljaju i usklađuju procesi i mere zaštite, upravljanje podacima o ličnostima zaposlenih, pacijenata, poslovnih partnera i drugih lica, čije podatke privredni subjekt obrađuje u okviru obavljanja poslovnih aktivnosti na teritoriji Republike Srbije.

III NAČELA 

Član 5.

Privredni subjekt ima obavezu da svoje poslovanje uskladi sa Zakonom, što se posebno odnosi na obradu podataka o ličnosti u skladu sa načelima obrade, i to:

1) Načelo zakonitosti, poštenja i transparentnosti

Privredni subjekt u svom poslovanju treba da obrađuje podatke o ličnosti na zakonit način.  Da bi obrada bila zakonita, neophodno je da rukovalac ima valjan pravni osnov za obradu.

Ponašanje privrednog subjekta kao rukovaoca mora biti zakonito, pošteno i transparentno prema licu čiji se podaci obrađuju, odnosno potrebno je da mu se na jasan i nedvosmislen način, jednostavnim, njemu razumljivim jezikom, ukaže na sva prava koja ima po osnovu zaštite podataka. 

2) Načelo ograničenja u odnosu na svrhu obrade

Podaci o ličnosti mogu da se prikupljaju u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje ne mogu da se obrađuju na način koji nije u skladu sa tim svrhama.

3) Načelo minimizacije podataka

Podaci o ličnosti koji se prikupljaju i obrađuju moraju da budu primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade, dakle nije dozvoljena obrada podataka koji nisu neophodni za ispunjavanje konkretno određene svrhe.

4) Načelo tačnosti

Podaci koje privredni subjekt prikuplja moraju da budu tačni i, ako je to neophodno, ažurirani.

Uzimajući u obzir svrhu obrade, moraju da se preduzmu sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave.

5) Načelo ograničenja čuvanja

Podaci koji se prikupljaju i obrađuju mogu da se čuvaju u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade.

6) Načelo integriteta i poverljivosti

Podaci o ličnosti mogu da se obrađuju na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera.

IV PODACI O LIČNOSTI KOJI SE OBRAĐUJU

Član 6.

  1. Privredni subjekt može obrađivati sledeće podatke o ličnosti zaposlenih i radno angažovanih lica: 

– ime i prezime, adresa, datum i mesto rođenja, pol, bračno stanje, matični broj, broj lične karte, državljanstvo, broj zdravstvenog osiguranja (LBO); akademske i profesionalne/stručne kvalifikacije: stepen obrazovanja, titule, podaci o veštinama, znanju stranih jezika, obukama, istorija zaposlenja, biografija; finansijski podaci: broj bankovnog računa, podaci o zaradi i dodatnim naknadama; podaci o izvršenju radnih obaveza; radno mesto – pozicija, procena pretpostavljenog (supervizora), poslovna adresa elektronske pošte, IP adresa, pristupna šifra; komunikacijski podaci: adresa elektronske pošte, broj telefona, kontakt srodnika za hitne slučajeve; drugi podaci neophodni za izvršenje zakonom propisanih obaveza poslodavca i izvršavanja ugovora o radu, odnosno ugovora kojim se uređuje rad van radnog odnosa između zaposlenog, odnosno radno angažovanog lica i privrednog subjekta. 

Privredni subjekt može obrađivati i određene kategorije posebnih vrsta podataka o ličnosti, u skladu sa članom 17. Zakona (na primer, obrada posebne vrste podataka o ličnosti zaposlenih i članova njihovih porodica za svrhu izvršenja obaveza ili primene zakonom propisanih ovlašćenja u oblasti radnih odnosa, socijalnog osiguranja i socijalne zaštite). 

  1. Privredni subjekt može obrađivati sledeće podatke o ličnosti pacijenata:  

Privredni subjekt obrađuje podatke o pacijentima na koje je obavezan Zakonom o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva u svrhe i u obimu propisanom ovim zakonom i u skladu sa načelima zaštite podataka o ličnosti koji podrazumevaju zakonitost i srazmernost pri obradi, tačnost, ažurnost i odgovarajuću zaštitu prikupljenih podataka od uništenja, gubitka i nedopuštenog pristupa i zloupotrebe.

Privredni subjekt u skladu sa Zakonom o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva obrađuje sledeće podatke o pacijentima: 

  1. Podaci o pacijentu:

– podaci o ličnosti: prezime, ime, prezime i ime jednog roditelja-staratelja, pol, dan, mesec, godina i mesto rođenja, bračno stanje, mesto prebivališta i boravišta, JMBG (jedinstveni matični broj građana); podaci o osiguranju; LBO (lični broj osiguranika); podaci o izabranim lekarima; medicinski podaci; lična medicinska istorija; porodična medicinska istorija; podaci o invalidnosti i nesposobnosti; podaci o faktorima rizika; socijalni podaci o pacijentu (zanimanje, školska sprema); kontaktni podaci (telefon, mobilni, imejl adresa).

  1. Podaci o zdravstvenom stanju i zdravstvenim uslugama:

– podaci o poseti; razlog posete; lična anamneza i objektivni nalaz; dijagnoze; retke bolesti i stanja, zdravstvene usluge pružene u toku posete; planirane zdravstvene usluge; upućivanje na specijalističke preglede; upućivanje na bolničko lečenje; izdati medicinski dokumenti; podaci o lekovima; izdata medicinsko-tehnička pomagala; ugradni medicinski materijal; značajne medicinske informacije; rezultati pruženih zdravstvenih usluga, rezultati genetičkih analiza; rezultati prikupljeni tokom kliničkog ispitivanja leka i medicinskog sredstva; patohistološki nalaz; laboratorijski nalaz; radiološki nalaz sa snimcima (MR, EEG, CT, UZ i sl); obdukcioni nalaz; pristanak pacijenta koji se odnosi na medicinske procedure, a u skladu sa zakonom kojim se uređuju prava pacijenta.

  1. Privredni subjekt može obrađivati sledeće podatke o ličnosti kandidata za posao: 

– ime i prezime, datum i mesto rođenja; akademske i profesionalne/stručne kvalifikacije sadržane u radnoj biografiji i motivacionom pismu: stepen obrazovanja, titule, podaci o veštinama, znanju stranih jezika, obukama, lista prethodnih poslodavaca; komunikacijski podaci: adresa elektronske pošte, broj telefona. 

Prilikom raspisivanja konkursa za zaposlenje privredni subjekt ne utvrđuje formu radne biografije, nego je sam određuje kandidat za posao, usled čega privredni subjekt može doći u posed većeg obima podataka od onog koji je sadržan u tački 3. ovog člana, voljom kandidata za posao. Ovako prikupljeni podaci čuvaju se do okončanja konkursa.

Privredni subjekt, u skladu sa načelom minimizacije podataka, ne obrađuje veći broj ili drugu vrstu ličnih podataka od onih koji su potrebni da bi se ispunila navedena svrha.

Ukoliko se obrada posebnih vrsta podataka vrši na osnovu saglasnosti lica (na primer, kako bi se prilagodili uslovi obuke ili rada zdravstvenom stanju polaznika), ta saglasnost mora biti data u pisanoj formi koja obuhvata detaljne informacije o vrsti podataka koji se obrađuju, svrsi obrade i načinu korišćenja podataka. 

V NAČIN PRIKUPLJANJA PODATAKA O LIČNOSTI

Član 7.

Podaci i ličnosti prikupljaju se, po pravilu, neposredno od zaposlenih i pacijenata i to pisanim, usmenim ili elektronskim putem.

Ukoliko to nalažu razlozi naročite hitnosti, naročito ukoliko su ugroženi život i zdravlje pacijenta, a ove podatke nije moguće prikupiti neposredno od pacijenta, privredni subjekt može neophodne podatke o ličnosti pacijenta prikupiti i na drugi pogodan način u zavisnosti od konkretnih okolnosti.

VI SVRHA OBRADE

Član 8.

Privredni subjekt obrađuje podatke u dole navedene svrhe: 

1) Zapošljavanje i upravljanje ljudskim resursima

Privredni subjekt obrađuje podatke o ličnosti radi uspostavljanja i realizacije radnog odnosa ili druge vrste ugovornog odnosa po osnovu kojih privredni subjekt angažuje konsultante, saradnike i druga angažovana lica. Primera radi, privredni subjekt obrađuje podatke kako bu utvrdila da li je konkretan kandidat adekvatan, kvalifikovan i stručan za određeno radno mesto, procenu nepredovanja, obezbeđivanje dodatnih obuka ili edukacija.

2) Pružanje usluga pacijentima

Privredni subjekt obrađuje podatke o pacijentima koji su neophodni radi pružanja kvalitetne zdravstvene usluge i to radi zakazivanja usluge, preventivne medicine, medicinske dijagnostike, obezbeđivanja zdravstvene nege, lečenja. 

3) Ispunjavanje zakonskih obaveza

Privredni subjekt obrađuje podatke o ličnosti radi ispunjenja pravnih obaveza i usklađivanja poslovanja sa relevantnim pravnim propisima iz domena zdravstva, radnog i poreskog zakonodavstva.

VII PRAVNI OSNOV OBRADE LIČNIH PODATAKA 

Član 9.

Privredni subjekt prikuplja i obrađuje podatke o ličnosti pacijenata isključivo na temelju slobodne volje pacijenata.

Izostanak davanja određenih ličnih podataka može imati za posledicu pravnu i faktičku nemogućnost pružanja usluge od strane privrednog subjekta.

VIII ROKOVI ČUVANJA PODATAKA

Član 10.

Podaci o ličnosti koji se prikupljaju čuvaju se onoliko koliko je neophodno radi ostvarivanja svrhe u koju su prikupljeni.

Podaci o ličnosti o zaposlenima, kao i bivšim zaposlenima se u kadrovskoj evidenciji privrednog subjekta čuvaju trajno, u skladu sa Zakonom o evidencijama u oblasti rada.

Podaci o ličnosti o pacijentima koji se prikupljaju po osnovu Zakona o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva čuvaće se u rokovima propisanim tim zakonom.

IX PRAVA LICA NA KOJE SE PODACI ODNOSE 

Član 11.

Lica na koja se podaci odnose imaju određena prava garantovana Zakonom, a privredni subjekt, kao rukovalac u obradi podataka, dužan je da omogući pomenutim licima uživanje tih prava u potpunosti. 

Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva po Zakonu, bez odlaganja, a najkasnije u roku od 30 (trideset) dana od dana prijema zahteva. Taj rok može da bude produžen za još 60 (šezdeset) dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. 

O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 (trideset) dana od dana prijema zahteva. 

Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija mora da se pruži elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.

 

PRAVO NA INFORMISANJE

Član 12.

Privredni subjekt, u svojstvu rukovaoca podacima o ličnosti, ima obavezu da licima čiji se podaci obrađuju obezbedi sve raspoložive informacije koje se tiču njihovih prava. 

Privredni subjekt će u trenutku prikupljanja podataka tom licu pružiti informacije o:

– identitetu i kontakt podacima rukovaoca;

– kontakt podacima lica za zaštitu podataka o ličnosti;

– svrsi nameravane obrade i pravnom osnovu za obradu;

– roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za njegovo određivanje;

– postojanju prava da se od rukovaoca zahteva pristup, ispravka ili brisanje njegovih podataka o ličnosti, odnosno postojanju prava na ograničenje obrade, prava na prigovor, kao i prava na prenosivost podataka;

– tome da li je davanje podataka o ličnosti zakonska ili ugovorna obaveza ili je davanje podataka neophodan uslov za zaključenje ugovora. 

Ukoliko se podaci o ličnosti ne prikupljaju od lica na koje se odnose, pored svih navedenih informacija iz prethodnog stava, potrebno je dostaviti i informaciju o izvoru iz kojeg potiču podaci o ličnosti i, prema potrebi, da li podaci potiču iz javno dostupnih izvora.

PRAVO NA AŽURIRANJE I BRISANJE PODATAKA

Član 13.

Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva informaciju o tome da li obrađuje njegove podatke o ličnosti, pristup tim podacima, odnosno ima pravo da mu po zahtevu privredni subjekt dostavi sve informacije u vezi sa podacima koje obrađuje. 

Privredni subjekt je dužan da licu na koje se podaci odnose na njegov zahtev dostavi kopiju podataka koje obrađuje.

Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave.

U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.

Lice na koje se podaci odnose ima pravo da se njegovi podaci o ličnosti izbrišu od strane rukovaoca u sledećim slučajevima:

– podaci više nisu neophodni za ostvarivanje svrhe za koju su prikupljani,

– lice je opozvalo pristanak na osnovu kojeg se vršila obrada,

– podaci o ličnosti su nezakonito obrađivani,

– podaci moraju da budu obrisani u cilju izvršavanja zakonskih obaveza rukovaoca,

– lice na koje se podaci odnose podnelo je prigovor na obradu – važi samo u određenim slučajevima.

PRAVO NA OGRANIČENJE OBRADE

Član 14.

Lice na koje se podaci odnose ima pravo da se obrada njegovih podataka o ličnosti ograniči od strane rukovaoca ako je ispunjen jedan od sledećih slučajeva:

– lice na koje se podaci odnose osporava tačnost podataka o ličnosti u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti;

– obrada je nezakonita, a lice na koje se podaci odnose protivi se brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka; 

– rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva; 

– lice na koje se podaci odnose podnelo je prigovor na obradu, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica; 

– ako je obrada ograničena u skladu sa gorenavedenim, ti podaci dalje mogu da se obrađuju samo na osnovu pristanka lica na koje se podaci odnose. 

Ukoliko prestanu razlozi za ograničenje, rukovalac je dužan da informiše lice na koje se podaci odnose o prestanku ograničenja, pre nego što ograničenje prestane da važi.

PRAVO NA PRENOSIVOST OBRADE

Član 15.

Lice na koje se podaci odnose ima pravo da dobije od rukovaoca njegove podatke o ličnosti koje mu je prethodno dostavio u uobičajeno korišćenom obliku (elektronskom, čitljivom, strukturisanom) i ima pravo da ove podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su ti podaci dostavljeni. 

Ovo pravo obuhvata i pravo da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni, ukoliko je to tehnički izvodljivo. 

 

PRAVO NA PRIGOVOR

Član 16.

Rukovalac je dužan da najkasnije prilikom uspostavljanja prve komunikacije sa licem na koje se podaci odnose upozori to lice na postojanje prava na prigovor i da ga upozna sa tim pravima na izričit i jasan način, odvojeno od svih drugih informacija koje mu pruža.

Lice na koje se podaci odnose ima pravo da rukovaocu podnese prigovor na obradu njegovih podataka o ličnosti ukoliko smatra da ima opravdanih razloga za to. 

Rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ukoliko postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima i slobodama lica na koje se podaci odnose. 

Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe direktnog oglašavanja, uključujući i profilisanje. U tom slučaju podaci o ličnosti ne mogu dalje da se obrađuju u takve svrhe. 

Lice na koje se podaci odnose ima pravo da podnese prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga.

X BEZBEDNOST PODATAKA O LIČNOSTI

Član 17.

Privredni subjekt sve podatke čuva i obrađuje uz primenu svih raspoloživih tehničkih i organizacionih mera zaštite podataka u skladu sa Zakonom i internim aktima privrednog društva.

Privredni subjekt je dužna da, primenom tehnoloških dostignuća, kao i tehničkih, kadrovskih i organizacionih mera koje ima na raspolaganju osigura bezbednost podataka.

Član 18.

Privredni subjekt, kao rukovalac u obradi podataka, koristi mere kako bi obezbedio bezbednost obrade, a te mere obuhvataju naročito:

– pseudonimizaciju i kriptozaštitu podataka o ličnosti;

– sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;

– obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;

– postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.

Privredni subjekt internim aktima uređuje pristup zaposlenih podacima o ličnosti u okviru svojih radnih zadataka. 

XI OBAVEŠTAVANJE POVERENIKA O POVREDI PODATAKA

Član 19.

Ukoliko dođe do povrede podataka o ličnosti koja može da proizvede rizik po prava i slobode fizičkih lica, privredni subjekt je dužan da obavesti Poverenika bez nepotrebnog odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu, u suprotnom dužno je da obrazloži razloge zbog kojih nije postupilo u tom roku. 

Obaveštenje iz prethodnog stava mora da sadrži najmanje sledeće informacije: 

– opis prirode povrede podataka o ličnosti, uključujući vrste podataka i približan broj lica na koja se podaci te vrste odnose, kao i približan broj podataka o ličnosti čija je bezbednost povređena; 

– ime i kontakt podatke lica za zaštitu podataka o ličnosti ili informacije o drugom načinu na koji mogu da se dobiju podaci o povredi; 

– opis mogućih posledica povrede; 

– opis mera koje je rukovalac preduzeo ili čije je preduzimanje predloženo u vezi sa povredom, uključujući i mere koje su preduzete u cilju umanjenja štetnih posledica. 

Rukovalac je dužan da dokumentuje svaku povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.

Poverenik propisuje obrazac obaveštenja i bliže uređuje način obaveštavanja. 

XII OBAVEŠTAVANJE LICA O POVREDI PODATAKA O LIČNOSTI

Član 20.

Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, privredni subjekt ima obavezu da bez odlaganja o povredi obavesti lice na koje se podaci odnose. 

Ako privredni subjekt nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može da naloži društvu da to učini.

XIII LICE ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 21.

Privredni subjekt će odlukom odrediti lice za zaštitu podataka o ličnosti. 

Pivredni subjekt će objaviti kontakt podatke lica za zaštitu podataka o ličnosti i dostaviće ih Povereniku koji vodi evidenciju lica za zaštitu podataka o ličnosti. 

Lica na koje se podaci odnose mogu da se obrate licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih ovim zakonom. 

ODNOS PRIVREDNOG SUBJEKTA I LICA ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 22.

Privredni subjekt određuje lice za zaštitu podataka o ličnosti iz redova svojih zaposlenih.

Privredni subjekt ima obavezu da blagovremeno i na odgovarajući način uključi lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti. Pri ispunjavanju ove obaveze Privredni subjekt treba da omogući pomenutom licu izvršavanje svih obaveza tako što će mu obezbediti neophodna sredstva za izvršavanje ovih obaveza, pristup podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje.

Privredni subjekt mora da obezbedi nezavisnost licu za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza, pri čemu ga ne može kazniti niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja njegovih obaveza.

Lice za zaštitu podataka o ličnosti ima obavezu da čuva tajnost, odnosno poverljivost podataka do kojih je došlo pri izvršavanju svojih obaveza.

Lica na koje se podaci odnose mogu se obratiti licu za zaštitu podataka o ličnosti u vezi sa svim pitanjima koja se odnose na obradu svojih podatka o ličnosti, kao i u vezi sa ostvarivanjem svojih prava propisanih zakonom. 

Lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a privredni subjekt, kao rukovalac ili obrađivač, dužan je da obezbedi da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa. 

OBAVEZE LICA ZA ZAŠTITU PODATAKA O LIČNOSTI

Član 23.

Lice za zaštitu podataka o ličnosti ima obavezu da: 

– informiše i daje mišljenje privrednom subjektu kao rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti i internim aktima društva koji regulišu ovu oblast; 

– prati primenu Zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole; 

– daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti, kao i da prati postupanje po toj proceni; 

– sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja Poverenika. 

Pri izvršavanju svojih obaveza lice za zaštitu podataka o ličnosti dužno je da posebno vodi računa o riziku koji se odnosi na radnje obrade, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.

XIV OBAVEZE ZAPOSLENIH 

Član 24.

Zaposleni ustupaju svoje podatke o ličnosti koji su potrebni Rukovaocu za ispunjavanje svojih zakonskih obaveza i poslovanje, odnosno obavljanje delatnosti i sprovođenje poslovnih aktivnosti. 

Zaposleni su dužni da poštuju i štite podatke o ličnosti koje obrađuju. 

Zaposleni smeju da obrađuju samo one podatke kojima im je dozvoljen pristup, u skladu sa zadacima koje obavljaju. 

XV ZAVRŠNE ODREDBE

Član 25.

Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja na oglasnoj tabli privrednog subjekta.

U Novom Sadu,                 

dana 03.04.2026. godine