Prilog Pravilnika o upravljanju podacima

Obavještenje o upravljanju podacima u vezi s pravima fizičkog lica u pogledu obrade njegovih ličnih podataka

SADRŽAJ

  1. UVOD
  2. I POGLAVLJE – NAZIV SUBJEKTA KOJI OBRAĐUJE PODATKE
  3. II POGLAVLJE – NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE
    • IT provajder našeg Društva
    • Programer sistema ulaznica našeg Društva
  4. III POGLAVLJE – OBEZBJEĐIVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONIMA
    • Upravljanje podacima na osnovu odobrenja lica na koje se podaci odnose
    • Upravljanje podacima na osnovu obavljanja zakonskih obaveza
    • Promocija prava lica na koje se podaci odnose
  5. IV POGLAVLJE – UPRAVLJANJE PODACIMA POSJETILACA NA STRANICI DRUŠTVA – OBAVJEŠTENJE O KORIŠTENJU KOLAČIĆA (COOKIES)
  6. V POGLAVLJE – OBAVJEŠTENJE O PRAVIMA LICA NA KOJE SE PODACI ODNOSE

UVOD

Na osnovu UREDBE 2016/679 EVROPSKOG PARLAMENTA I SAVJETA (EU) (u daljem tekstu: Uredba), koja se odnosi na zaštitu i slobodan protok podataka prilikom obrade ličnih podataka fizičkih lica, odnosno na ukidanje uredbe 95/46/EK, Rukovalac podacima mora da izvrši odgovarajuće radnje kako bi obezbijedio da licu čiji se podaci prikupljaju obezbijedi sva neophodna obavještenja u vezi s obradom ličnih podataka, u sažetoj, jasnoj, preglednoj, razumljivoj i pristupačnoj formi, kao i da obezbijedi uslove za ispunjenje prava lica čiji se podaci prikupljaju.
Obavezu da se lice unaprijed obavijesti o pravu na informaciono samoopredjeljenje i na slobodu informacija propisuje i zakon CXII iz 2011. godine.
Tekstom u nastavku ispunjavamo svoje obaveze koje nam nalažu prethodno spomenuti zakoni i uredbe.
Obavještenje treba da bude istaknuto na veb stranici društva, ili treba da se pošalje licu čiji se podaci prikupljaju, na njegov zahtjev.

I POGLAVLJE
NAZIV SUBJEKTA KOJI RUKUJE PODACIMA

Izdavalac ovog obavještenja, ujedno i Rukovalac podacima:

Ime firme: Zeleni Sokovi Nemet Doo
Sjedište: Srbija, 24413 Palić, Rogaška 10
Matični broj: 21567477
PIB: 111909874
Zastupnik: Roland Nemet
Broj telefona: +381 61 210 3555
E-mail adresa: [email protected]
Veb stranica: eliksirvitalnosti.com, zelenisokovi.com, zelenisokodzita.com, sokodzita.com, eliksirzdravlja.com, nemetzito.com
(u daljem tekstu: Društvo)

II POGLAVLJE
NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE

Subjekt, koji obrađuje podatke: fizičko ili pravno lice, državni organ, agencija ili bilo kakav drugi organ, koji upravlja podacima u ime rukovaoca podataka; (Uredba 4. član 8.)
Korištenje subjekta, koji obrađuje podatke nije vezano za prethodni pristanak lica, ali je neophodno da se lice obavijesti. U skladu sa ovim uredbama, dajemo sljedeće obavještenje:

1. IT provajder Društva

Društvo za održavanje i upravljanje svojom veb stranicom koristi usluge subjekta koji obrađuje podatke, koji obezbjeđuje IT usluge (hosting usluge) i u okviru ovih usluga – u skladu sa sadržajem ugovora između dvije strane – obrađuje lične podatke koji su ostavljeni na veb stranici, tako što ih čuva na serveru.

Naziv i podaci subjekta koji obrađuje podatke:
Ime firme: Beohosting Group Doo
Sjedište: 11000 Beograd, Mile Dimić 9, Srbija
Matični broj: 21699497
PIB: 112568867
Zastupnik: Filip Popović
Veb sajt: beohosting.com

III. POGLAVLJE
OSIGURAVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONIMA

1. Upravljanje podacima na osnovu odobrenja od lica, na koje se podaci odnose

(1) Ukoliko Društvo želi da obrađuje podatke na osnovu odobrenja, neophodno je da pristanak za obradu ličnih podataka lica čijim će se podacima upravljati zatraži pomoću formulara čiji je sadržaj određen u pravilniku o upravljanju podacima.
(2) Smatra se odobrenjem i ako korisnik označi polje koje se odnosi na zatraživanje pristanka za obradu podataka na veb stranici Društva, ako obavi povezana tehnička podešavanja u vezi sa korištenjem usluga informacionog društva, kao i svaka druga izjava ili akt koji jasno označava pristanak lica na planiranu obradu njegovih ličnih podataka. Ćutanje, unaprijed štiklirano polje ili ne preduzimanje nikakvih akcija se ne smatra pristankom.
(3) Pristanak se odnosi na sve akcije vezane za obradu podataka, koja se vrši sa istim ciljem ili ciljevima. Ukoliko obrada podataka služi svrsi više različitih ciljeva, pristanak mora da se zatraži za sve ciljeve vezane za obradu podataka.
(4) Ukoliko lice da svoje odobrenje u sklopu pisane izjave koja se odnosi i na druge ciljeve – npr. prodaja, sklapanje uslužnog ugovora – pristanak mora da se zatraži na način da bude jasan, jednostavno izražen, shvatljiv, pristupačan i jasno razlikovan od ostalih ciljeva. Dijelovi ovakvih izjava koji sadrže pristanak lica, a koji nisu u skladu sa Uredbom, nisu pravosnažni.
(5) Društvo ne može da uslovi sklapanje ili izvršenje ugovora pristankom na obradu onih ličnih podataka koji nisu potrebni za izvršenje ugovora.
(6) Povlačenje pristanka treba da bude isto toliko jednostavno kao i davanje pristanka.
(7) Ukoliko se lični podatak snimi pristankom lica, rukovalac podacima snimljene podatke može da koristi u nedostatku uredbi koje se razlikuju od zakona, u cilju izvršenja pravnih obaveza, bez posebnog pristanka, i nakon povlačenja pristanka od strane lica.
(8) Stranica ciljano ne sakuplja podatke maloljetnika (ispod 16 godina starosti). Ukoliko se sačuvaju podaci maloljetnog lica, nakon sticanja saznanja o ovoj činjenici, podaci maloljetnog lica se brišu bez odlaganja.

2. Upravljanje podacima na osnovu obavljanja zakonskih obaveza

(1) U slučaju obrade podataka na osnovu obavljanja zakonskih obaveza, obuhvat podataka, cilj obrade podataka, vrijeme čuvanja podataka i korisnike podataka određuju uredbe zakona.
(2) Obrada podataka na osnovu izvršenja zakonskih obaveza ne zavisi od pristanka lica, budući da obradu podataka određuje zakon. U ovom slučaju lice prije prikupljanja podataka mora da se obavijesti da je prikupljanje podataka obavezno, a mora da se detaljno i jasno obavijesti i o svim činjenicama vezanim za obradu njegovih podataka, sa posebnim osvrtom na cilj i zakonsku osnovu obrade podataka, subjektu koji ima pravo na obradu podataka, vremenu trajanja obrade podataka, o tome da se ličnim podacima upravlja u skladu sa zakonskim odredbama i o tome ko sve može da ima pristup podacima. Obavještenje mora da obuhvata i prava lica i mogućnosti korištenja prava vezana za obradu ličnih podataka. U slučaju obavezne obrade podataka obavještenjem može da se smatra i objavljivanje poziva na sve zakonske uredbe koje sadrže gore spomenute informacije.

3. Promocija prava lica, na koje se podaci odnose

Društvo je u obavezi da u slučaju svih aktivnosti vezanih za obradu podataka, obezbijedi da lice može da iskoristi svoja prava.

IV POGLAVLJE
UPRAVLJANJE PODACIMA POSJETILACA NA STRANICI DRUŠTVA – SAOPŠTENJE O KORIŠTENJU KOLAČIĆA (COOKIES)

1. Posjetilac veb stranice mora biti obaviješten o primjeni kolačića i za sve, osim tehnički neophodnih sesija (kolačića), mora se tražiti dozvola posjetioca.

2. Opšte informacije o kolačićima

2.1. Kolačić (cookie) je podatak koji posjećena veb stranica šalje pretraživaču posjetioca (u formi vrijednosne promjenljive) za čuvanje, a kasnije ista veb stranica može popuniti sadržaj kolačića. Kolačići mogu biti validni (važeći) dok se pretraživač ne zatvori, ali i u neograničenom vremenskom periodu. Kasnije, kod svakog HTTP(S) zahtjeva će pretraživač poslati ove informacije na server, na ovaj način mijenjajući podatke na korisničkom uređaju.
2.2. Suština kolačića je da se označi i identifikuje korisnik (npr. njegov ulazak na stranicu) i da se u svim narednim slučajevima dati korisnik tretira na odgovarajući način. Rizik leži u činjenici da korisnik nije uvijek svjestan da ga kolačići identifikuju, a to pruža priliku da korisnik bude praćen od strane vlasnika stranice ili drugog provajdera čiji je sadržaj ugrađen u stranicu (npr. Facebook, Google Analytics). Prilikom praćenja, o korisniku se kreira profil, a u ovim slučajevima se sadržaj kolačića tretira kao lični podatak.
2.3. Tipovi kolačića:
2.3.1. Tehnički neophodni kolačići sesija: bez njih veb stranice jednostavno nisu funkcionalne, one se koriste za identifikaciju korisnika, kad je ušao na stranicu, šta je stavio u korpu itd. U ovom slučaju se obično čuva ID sesije, dok se drugi podaci čuvaju na serveru, čineći ih sigurnijim. Sa sigurnosnog aspekta, kada vrijednost kolačića sesije nije dobro generisana, postoji rizik od krijumčarenja sesije, pa je neophodno da se ove vrijednosti generišu pravilno. Druge terminologije kolačićima sesije nazivaju svaki kolačić koji se obriše u trenutku izlaska iz pretraživača (sesija je upotreba pretraživača od početka do izlaska).
2.3.2. Kolačići koji olakšavaju upotrebu: ovdje spadaju oni kolačići koji pamte odabire korisnika – npr. u kojoj formi želi da gleda stranicu. Ovi kolačići u suštini označavaju podatke podešavanja koji se čuvaju u kolačićima.
2.3.3. Kolačići performansi: Iako nemaju mnogo veze sa „performansama”, ovo je naziv za kolačiće koji prikupljaju informacije o ponašanju korisnika, klikovima i provedenom vremenu na stranici koju posjećuju. To su obično aplikacije nezavisnih proizvođača (kao što su kolačići Google Analytics, AdWords ili Yandex.ru). Pogodni su za profilisanje posjetilaca.
Saznajte više o kolačićima Google Analytics-a ovdje:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
Saznajte više o Google AdWords kolačićima ovdje:
https://support.google.com/adwords/answer/2407785?hl=sr
2.4. Prihvatanje ili omogućavanje kolačića nije obavezno. U podešavanjima pretraživača se može podesiti da se svi kolačići automatski odbiju, ili da pretraživač javi kada sistem šalje kolačiće. Većina pretraživača automatski prihvata kolačiće kao podrazumijevane, ali se podešavanja obično mogu promijeniti kako bi se spriječilo automatsko prihvatanje i kako bi korisniku svaki put bio ponuđen odabir između prihvatanja i odbijanja kolačića.

Pogledajte linkove ispod za podešavanja kolačića najpopularnijih pretraživača:

Međutim, mora se napomenuti da određene funkcije sajta ili usluge možda ne funkcionišu ispravno bez kolačića.

3. Informacije o kolačićima korištenim na veb lokaciji Društva i o podacima koji su nastali tokom posjete

3.1. Podaci kojima se upravlja prilikom posjete
Veb lokacija našeg Društva može koristiti veb stranicu za snimanje i obradu sljedećih informacija o posjetiocu ili uređaju koji koristi:
• IP adresu posjetioca,
• tip pretraživača,
• karakteristike operativnog sistema uređaja koji posjetilac koristi (konfigurisan jezik),
• vrijeme posjete,
• (pod)stranice, funkcije ili servisi koje posjećujete,
• klikove.
Ovi podaci se čuvaju do 90 dana i koriste se primarno za testiranje sigurnosnih incidenata.

3.2. Kolačići korišteni na veb stranici
3.2.1. Tehnički neophodni kolačići sesije
Svrha obrade podataka je da se osigura pravilno funkcionisanje veb stranice. Ovi kolačići su potrebni da omoguće posjetiocima da pretražuju veb stranicu bez problema i da u potpunosti iskoriste sve funkcije, usluge koje su dostupne putem veb stranice, uključujući – posebno – komentare posjetilaca na određenom sajtu ili identitet prijavljenog korisnika tokom posjete. Trajanje ovakve obrade kolačića je ograničeno na trenutnu posjetu posjetilaca, ova vrsta kolačića će se automatski izbrisati sa računara korisnika kada se sesija završi ili kada se pretraživač zatvori.
Pravna osnova za obradu ovih podataka je 13/A. § (3) paragraf CVIII Zakona o uslugama elektronske trgovine i usluga informacionog društva iz 2001. godine, prema kojem pružalac usluga u cilju pružanja usluge može da obrađuje lične podatke koji su tehnički neophodni za pružanje usluge. Ako su ostali uslovi nepromijenjeni, pružaoci usluga moraju da biraju i koriste alate koji se koriste za pružanje usluga informacionog društva, na način da se lični podaci obrađuju samo ako je to strogo neophodno za pružanje usluge i za ispunjavanje drugih neophodnih namjena navedenih u ovom zakonu, ali i u tom slučaju samo u mjeri i vremenu koje je neophodno.
3.2.1. Kolačići koji olakšavaju upotrebu
Ovi kolačići pamte izbor korisnika, na primjer, u kom obliku korisnik želi da vidi stranicu. Ove vrste kolačića su u suštini podaci o podešavanjima koji se čuvaju u kolačiću.
Pravna osnova za obradu ovih podataka je pristanak posjetilaca.
Svrha obrade podataka je povećanje efikasnosti usluga, unapređenje korisničkog iskustva i obezbjeđivanje pogodnijeg korištenja sajta.
Ovi podaci se nalaze na korisničkom računaru, veb stranica im samo pristupa i na osnovu njih prepoznaje posjetioca.
3.2.2. Kolačići performansi
Ovaj tip kolačića prikuplja informacije o ponašanju korisnika, vremenu provedenom i klikovima na stranici koju korisnik gleda. Ovi kolačići obično prate aplikacije trećih lica (npr. Google Analytics, AdWords).
Pravna osnova za obradu podataka: pristanak lica na koje se podaci odnose.
Cilj obrade podataka je analiza veb stranice i slanje promotivnih ponuda.

V POGLAVLJE
SAOPŠTENJE O PRAVIMA LICA, NA KOJE SE PODACI ODNOSE

I Prava lica na koje se podaci odnose, sažeto:
1. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose
2. Pravo na prethodne informacije, koje se pružaju – ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose
3. Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose
4. Pravo lica na koje se podaci odnose na pristup
5. Pravo na ispravku
6. Pravo na brisanje (“pravo na zaborav”)
7. Pravo na ograničavanje obrade
8. Obaveza obavještavanja o ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade
9. Pravo na prenosivost podataka
10. Pravo na prigovor
11. Donošenje automatizovanih pojedinačnih odluka, uključujući i profilisanje 12. Ograničenja
13. Obavještavanje lica na koja se podaci odnose o povredi bezbjednosti podataka o ličnosti
14. Pravo na pritužbu nadzornom organu
15. Pravo na djelotvorno pravno sredstvo protiv nadzornog organa
16. Pravo na djelotvorno pravno sredstvo protiv rukovaoca ili obrađivača

II Prava lica na koje se podaci odnose, detaljno:

1. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose

1.1. Rukovalac preduzima odgovarajuće mjere kako bi se licu na koje se podaci odnose pružile sve informacije u vezi sa obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namijenjene djetetu. Informacije se pružaju u pisanom obliku ili na druge načine, uključujući i elektronski oblik kada je primjereno. Ako lice na koje se podaci odnose to zatraži, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica na koje se podaci odnose određen na druge načine.
1.2. Rukovalac olakšava ostvarivanje prava lica na koje se podaci odnose.
1.3. Rukovalac na zahtjev pruža licu na koje se podaci odnose informacije o preduzetim radnjama bez nepotrebnog odlaganja, a u svakom slučaju najkasnije u roku od mjesec dana od prijema zahtjeva. Taj rok može prema potrebi da se produži za dodatna dva mjeseca, a Rukovalac obavezno obavještava lice na koje se podaci odnose o svakom takvom produženju u roku.
1.4. Ako rukovalac ne postupi po zahtjevu lica na koje se podaci odnose, rukovalac obavještava lice na koje se podaci odnose odmah ili najkasnije mjesec dana od prijema zahtjeva o razlozima zbog kojih nije postupio po zahtjevu i o mogućnosti podnošenja pritužbe nadzornom organu i traženja pravnog lijeka.
1.5. Informacije koje se pružaju, sva komunikacija i preduzete mjere pružaju se bez naknade, ali u određenim slučajevima, koje Uredba propisuje, može da se obračuna naknada.
Detaljna pravila se mogu pronaći u 12. članu Uredbe.

2. Pravo na prethodne informacije, koje se pružaju – ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose

2.1. Ako su podaci o ličnosti lica na koje se podaci odnose prikupljeni od lica na koje se podaci odnose, rukovalac prilikom prikupljanja podataka o ličnosti tom licu pruža sve sljedeće informacije:
a) identitet i podatke za kontakt rukovaoca i, ukoliko je primjenljivo, predstavnika rukovaoca;
b) podatke za kontakt ovlašćenog lica za zaštitu podataka, ukoliko je primjenljivo;
c) svrhe obrade za koje su podaci o ličnosti namijenjeni, kao i pravni osnov za obradu;
d) ako je obrada zasnovana na ostvarivanju zakonskih prava, legitimne interese rukovaoca ili trećeg lica;
e) korisnike ili kategorije korisnika podataka o ličnosti, ukoliko postoje;
f) ukoliko je primjenljivo, činjenicu da rukovalac namjerava da prenese podatke o ličnosti trećoj zemlji ili međunarodnoj organizaciji.
2.2. Rukovalac prilikom prikupljanja podataka o ličnosti pruža licu na koje se podaci odnose sljedeće dodatne informacije potrebne da bi se obezbijedila pravična i transparentna obrada:
a) o roku u kojem će se podaci o ličnosti čuvati ili, ako to nije moguće, kriterijume koji su korišteni za određivanje tog roka;
b) postojanje prava da se od rukovaoca zatraži pristup podacima o ličnosti i ispravka ili brisanje podataka o ličnosti ili ograničavanje obrade u vezi s licem na koje se podaci odnose ili prava na prigovor na obradu, kao i pravo na prenosivost podataka;
c) ako je obrada zasnovana na pristanku korisnika, postojanje prava da se pristanak povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade zasnovane na pristanku prije povlačenja pristanka;
d) pravo na podnošenje pritužbe nadzornom organu;
e) informaciju o tome da li je pružanje podataka o ličnosti zakonska ili ugovorna obaveza ili neophodan uslov za zaključenje ugovora, kao i da li lice na koje se podaci odnose ima obavezu da pruži podatke o ličnosti i koje su moguće posljedice ako se takvi podaci ne pruže;
f) postojanje automatizovanog donošenja odluka, uključujući i profilisanje i, barem u tim slučajevima, sadržajne informacije o logici koja se koristi, kao i značaj i predviđene posljedice takve obrade za lice na koje se podaci odnose.
2.3. Ako rukovalac namjerava dalje da obrađuje podatke o ličnosti u svrhu koja se razlikuje od svrhe za koju su podaci o ličnosti prikupljeni, rukovalac prije te dalje obrade pruža licu na koje se podaci odnose informacije o toj drugoj svrsi i sve dodatne relevantne informacije.
Sva dodatna pravila u vezi prava na prethodnu informisanost sadrži 13. član Uredbe.

3. Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose

3.1. Ukoliko lične podatke nije dobio od lica na koje se podaci odnose, rukovalac je u obavezi da najkasnije u roku od mjesec dana od dana pribavljanja podataka obavijesti lice na koje se podaci odnose o u 2. tački opisanim činjenicama i informacijama, o kategoriji ličnih podataka, o izvoru ličnih podataka ili u određenim slučajevima o tome da li podaci proističu iz javno dostupnih izvora: ukoliko lične podatke koriste za kontaktiranje lica na koje se podaci odnose, barem kod prvog kontakta sa licem; ili ukoliko namjeravaju da podatke prenesu i drugim korisnicima, najkasnije do prvog prenošenja.
3.2. Na ostala pravila se primjenjuju činjenice i obaveze iz 2. tačke (Pravo na prethodnu informisanost).
Detaljna pravila ovog obavještenja sadrži 14. član Uredbe.

4. Pravo lica na koje se podaci odnose na pristup

4.1. Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se obrađuju njegovi podaci o ličnosti i, ako se takvi podaci o ličnosti obrađuju, ima pravo pristupa podacima o ličnosti i informacijama navedenim u 2. i 3. tački (15. član Uredbe).
4.2. Ako se podaci o ličnosti prenose u treću zemlju ili međunarodnu organizaciju, lice na koje se podaci odnose ima pravo da bude informisano o odgovarajućim mjerama zaštite u skladu sa članom 46. koje se odnose na prenos.
4.3. Rukovalac obezbjeđuje kopiju podataka o ličnosti koji se obrađuju. Za sve dodatne kopije koje zatraži lice na koje se podaci odnose rukovalac može naplatiti prihvatljivu naknadu na osnovu administrativnih troškova.
Detaljna pravila u vezi prava lica na koje se podaci odnose na pristup sadrži 15. član Uredbe.

5. Pravo na ispravku

5.1. Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući ispravku netačnih podataka o ličnosti koji se na njega odnose.
5.2. Uzimajući u obzir svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni nepotpune podatke o ličnosti, između ostalog davanjem dodatne izjave.
Ova pravila sadrži 16. član Uredbe.

6. Pravo na brisanje (“pravo na zaborav”)

6.1. Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose, a rukovalac ima obavezu da obriše podatke o ličnosti bez nepotrebnog odlaganja, ako je ispunjen jedan od sljedećih uslova:
a) podaci o ličnosti više nisu neophodni za svrhe u koje su prikupljeni ili na drugi način obrađeni;
b) lice na koje se podaci odnose je povuklo pristanak na kojem je obrada zasnovana i ako ne postoji druga pravna osnova za obradu;
c) lice na koje se podaci odnose je uložilo prigovor na obradu i ne postoje preovlađujući zakonski razlozi za obradu;
d) podaci o ličnosti su nezakonito obrađeni;
e) podaci o ličnosti moraju da budu obrisani radi postupanja u skladu sa zakonskom obavezom prema pravu Unije ili pravu države članice koje se primjenjuje na rukovaoca;
f) podaci o ličnosti su prikupljeni u vezi s ponudom usluga informacionog društva neposredno djetetu.
6.2. Stavovi o brisanju podataka se ne primjenjuju ako je obrada neophodna:
a) radi ostvarivanja prava na slobodu izražavanja i informisanja;
b) radi poštovanja zakonske obaveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice koje se primjenjuje na rukovaoca ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodijeljenih rukovaocu podataka;
c) zbog javnog interesa u oblasti javnog zdravlja;
d) za potrebe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe ako bi pravo na brisanje vjerovatno onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade; ili
e) radi uspostavljanja, ostvarivanja ili odbrane pravnih zahtjeva.
Detaljna pravila vezana za pravo na brisanje podataka sadrži 17. član Uredbe.

7. Pravo na ograničavanje obrade

7.1. Ako je obrada ograničena, takvi podaci o ličnosti smiju da se obrađuju samo uz pristanak lica na koje se podaci odnose, izuzev čuvanja, ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili zaštitu prava drugog fizičkog ili pravnog lica ili zbog važnog javnog interesa Unije ili države članice.
7.2. Lice na koje se podaci odnose ima pravo da obezbijedi ograničenje obrade od strane rukovaoca ako je ispunjen jedan od sljedećih uslova:
a) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji rukovaocu podataka omogućava da provjeri tačnost podataka o ličnosti;
b) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umjesto toga traži ograničavanje njihove upotrebe;
c) rukovaocu podataka više nisu potrebni podaci o ličnosti za potrebe obrade, ali ih lice na koje se podaci odnose traži radi uspostavljanja, ostvarivanja ili odbrane pravnih zahtjeva; ili
d) lice na koje se podaci odnose je uložilo prigovor na obradu i još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad razlozima lica na koje se podaci odnose.
7.3. Lice na koje se podaci odnose koje je dobilo ograničenje obrade rukovalac obavještava prije ukidanja ograničenja obrade.
Detaljna pravila sadrži 18. član Uredbe.

8. Obaveza obavještavanja o ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade

Rukovalac obavještava svakog korisnika kojem su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade izvršenom, osim u slučaju da se ispostavi da je to nemoguće ili zahtijeva nesrazmjeran napor. Rukovalac obavještava lice na koje se podaci odnose o tim korisnicima ako lice na koje se podaci odnose to zahtijeva.
Detaljna pravila sadrži 19. član Uredbe.

9. Pravo na prenosivost podataka

9.1. Lice na koje se podaci odnose ima pravo da primi podatke o ličnosti koji se odnose na njega, a koje je pružilo rukovaocu podataka u strukturiranom, uobičajenom i mašinski čitljivom formatu i ima pravo da prenosi te podatke drugom rukovaocu podataka bez ometanja od strane rukovaoca kojem su podaci o ličnosti pruženi, ako:
a) je obrada zasnovana na pristanku ili na ugovoru; i
b) se obrada vrši automatski.
9.2. Prilikom ostvarivanja svojih prava na prenosivost podataka, lice na koje se podaci odnose ima pravo na neposredni prenos od jednog rukovaoca do drugog.
9.3. Ostvarivanje prava na prenosivost podataka ne dovodi u pitanje član 17 (Pravo na brisanje, odnosno “pravo na zaborav”). To pravo se ne primjenjuje na obradu neophodnu za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodijeljenih rukovaocu podataka. Ovo pravo ne smije negativno da utiče na prava i slobode drugih.
Detaljna pravila sadrži 20. član Uredbe.

10. Pravo na prigovor

10.1. Lice na koje se podaci odnose ima pravo da na osnovu razloga koji se odnose na njegov konkretan položaj u bilo kom trenutku uloži prigovor na obradu podataka o ličnosti koji se odnose na njega, u skladu sa članom 6, stav 1, tačka e) ili f), uključujući profilisanje zasnovano na tim odredbama. Rukovalac ne smije više da obrađuje podatke o ličnosti, osim u slučaju da dokaže da postoje uvjerljivi legitimni razlozi za obradu koji preovlađuju nad interesima, pravima i slobodama lica na koje se podaci odnose ili radi uspostavljanja, ostvarivanja ili odbrane pravnih zahtjeva.
10.2. Ako se podaci o ličnosti obrađuju za potrebe direktnog marketinga, lice na koje se podaci odnose ima pravo da u bilo kom trenutku uloži prigovor na obradu podataka o ličnosti koji se odnose na njega za potrebe takvog marketinga, što uključuje profilisanje ako je povezano sa takvim direktnim marketingom. Ako se lice na koje se podaci odnose uloži prigovor na obradu za potrebe direktnog marketinga, podaci o ličnosti više ne smiju da se obrađuju u takve svrhe.
10.3. Najkasnije prilikom prve komunikacije sa licem na koje se podaci odnose, licu na koje se podaci odnose se izričito skreće pažnja na ovo pravo, koje mora da se prikaže jasno i odvojeno od svih drugih informacija.
10.4. Lice na koje se podaci odnose može da ostvari svoje pravo na prigovor automatskim putem pomoću tehničkih specifikacija.
10.5. Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, lice na koje se podaci odnose na osnovu razloga koji se odnose na njegov konkretan položaj ima pravo da uloži prigovor na obradu podataka o ličnosti koji se na njega odnose, osim ako je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu.
Detaljna pravila sadrži 21. član Uredbe.

11. Donošenje automatizovanih pojedinačnih odluka, uključujući i profilisanje

11.1. Lice na koje se podaci odnose ima pravo da se na njega ne primjenjuje odluka zasnovana isključivo na automatskoj obradi, uključujući i profilisanje, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno utiču na njega.
11.2. Stav 1. ne primjenjuje se ako je odluka:
a) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
b) dozvoljena pravom Unije ili pravom države članice koje se primjenjuje na rukovaoca i koje takođe propisuje odgovarajuće zaštitne mjere za prava i sloboda i legitimne interese lica na koje se podaci odnose; ili
c) zasnovana na izričitom pristanku lica na koje se podaci odnose.
11.3. U slučajevima iz stava 2, tačke a) i c), rukovalac preduzima odgovarajuće mjere za zaštitu prava i sloboda i legitimnih interesa lica na koje se podaci odnose, a minimalno prava na ljudsku intervenciju rukovaoca, prava izražavanja sopstvenog stava i prava na osporavanje odluke.
Dodatna pravila sadrži 22. član Uredbe.

12. Ograničenja

Na osnovu prava Unije ili prava države članice, koje se primjenjuje na rukovaoca ili obrađivača, zakonskom mjerom može da se ograniči obim obaveza i prava iz člana 12. do 22. i člana 34, kao i člana 5, ukoliko se takvim ograničenjem poštuje suština osnovnih prava i sloboda.
Uslove ovih ograničenja sadrži 23. član Uredbe.

13. Obavještavanje lica na koja se podaci odnose o povredi bezbjednosti podataka o ličnosti

13.1. Kada je vjerovatno da će povreda bezbjednosti podataka o ličnosti prouzrokovati veliki rizik za prava i slobode fizičkih lica, rukovalac bez nepotrebnog odlaganja obavještava lica na koja se podaci odnose da je došlo do povrede bezbjednosti podataka o ličnosti. U obavještenju licu na koja se podaci odnose se jasnim i jednostavnim jezikom opisuje priroda povrede bezbjednosti podataka o ličnosti i ono sadrži najmanje sljedeće informacije i mjere:
a) ime i podatke za kontakt ovlašćenog lica za zaštitu podataka ili druge kontaktne tačke od koje se može dobiti još informacija;
b) opis vjerovatne posljedice povrede bezbjednosti podataka o ličnosti;
c) opis mjera koje je rukovalac preduzeo ili čije preduzimanje predlaže radi otklanjanja povrede bezbjednosti podataka o ličnosti, uključujući prema potrebi i mjere za ublažavanje njenih štetnih posljedica.
13.2. Obavještavanje lica na koja se podaci odnose nije obavezno ako je ispunjen bilo koji od sljedećih uslova:
a) ako je rukovalac preduzeo odgovarajuće tehničke i organizacione zaštitne mjere i te mjere su primijenjene na podatke o ličnosti u vezi s kojima je došlo do povrede bezbjednosti podataka o ličnosti, a prije svega mjere koje podatke o ličnosti čine nerazumljivima licu koje nije ovlašćeno da im pristupi, kao što je enkripcija;
b) ako je rukovalac preduzeo naknadne mjere kojima se obezbjeđuje da više nije vjerovatno da će doći do visokog rizika za prava i slobode lica na koja se podaci odnose;
c) ako bi to zahtijevalo nesrazmjeran napor. U takvom slučaju se objavljuje javno obavještenje ili se preduzima slična mjera kojom se lica na koja se podaci odnose obavještavaju na jednako djelotvoran način.
Dodatna pravila sadrži 34. član Uredbe.

14. Pravo na pritužbu nadzornom organu

Svako lice na koje se podaci odnose ima pravo da podnese pritužbu nadzornom organu, posebno u državi članici u kojoj ima uobičajeno boravište, u kojoj je njegovo radno mjesto ili mjesto navodnog kršenja, ako lice na koje se podaci odnose smatra da se obradom podataka o ličnosti u vezi s njim krši ova uredba. Nadzorni organ kojem je podnesena pritužba obavještava pritužioca o napretku i ishodu pritužbe, uključujući i mogućnost primjene pravnog sredstva.
Ova pravila sadrži 77. član Uredbe.

15. Pravo na djelotvorno pravno sredstvo protiv nadzornog organa

15.1. Ne dovodeći u pitanje bilo koje drugo upravno ili vansudsko pravno sredstvo, svako fizičko ili pravno lice ima pravo na djelotvorno pravno sredstvo protiv pravno obavezujuće odluke nadzornog organa koja se na njega odnosi.
15.2. Ne dovodeći u pitanje bilo koje drugo upravno ili vansudsko pravno sredstvo, svako lice na koje se podaci odnose ima pravo na djelotvorno pravno sredstvo ako nadzorni organ nadležan na osnovu člana 55. i 56. ne riješi pritužbu ili ne obavijesti lice na koja se podaci odnose u roku od tri mjeseca, o napretku ili ishodu podnesene pritužbe.
15.3. Za postupke protiv nadzornog organa nadležni su sudovi države članice u kojoj nadzorni organ ima sjedište.
15.4. Ako je pokrenut postupak protiv odluke nadzornog organa kojoj je prethodilo mišljenje ili odluka Odbora u okviru mehanizma konzistentnosti, nadzorni organ prosljeđuje sudu to mišljenje ili odluku.
Ova pravila sadrži 78. član Uredbe.

16. Pravo na djelotvorno pravno sredstvo protiv rukovaoca ili obrađivača

16.1. Ne dovodeći u pitanje bilo koje drugo raspoloživo upravno ili vansudsko pravno sredstvo, uključujući i pravo na podnošenje pritužbe nadzornom organu, lice na koje se podaci odnose ima pravo na djelotvorno pravno sredstvo ako smatra da su njegova prava iz ove uredbe prekršena uslijed obrade njegovih podataka o ličnosti protivno ovoj uredbi.
16.2. Za postupke protiv rukovaoca ili obrađivača nadležni su sudovi države članice u kojoj rukovalac ili obrađivač ima sjedište. Alternativno su za te postupke nadležni sudovi države članice u kojoj lice na koje se podaci odnose ima uobičajeno boravište, osim kada je rukovalac ili obrađivač organ javne vlasti države članice koji vrši svoja javna ovlašćenja.
Ova pravila sadrži 79. član Uredbe.