ЗАКОН О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ(“Сл. гласник РС”, бр. 87/2018) |
И ОСНОВНЫЕ ПОЛОЖЕНИЯ
Этот закон регулирует право на защиту физических лиц в связи с обработкой персональных данных и свободным потоком таких данных, принципы обработки, права лиц, к которым относятся данные, обязанности обработчиков и обработчиков персональных данных. данные, кодекс поведения, передача персональных данных другим государствам и международным организациям, надзор за исполнением настоящего закона, средства правовой защиты, ответственность и санкции в случае нарушения прав физических лиц в связи с обработкой персональных данных. данных, а также частные случаи обработки.
Этот закон также регулирует право на защиту физических лиц в связи с обработкой персональных данных, осуществляемой компетентными органами в целях предотвращения, расследования и выявления преступных деяний, судебного преследования лиц, совершивших преступные деяния, или исполнения уголовных наказаний, включая предотвращение и защита от угроз общественной и национальной безопасности., а также свободный поток таких данных.
Этот закон обеспечивает защиту основных прав и свобод физических лиц, особенно их права на защиту персональных данных.
Положения специальных законов, регулирующих обработку персональных данных, должны соответствовать настоящему закону.
Действие настоящего Закона распространяется на обработку персональных данных, которая осуществляется полностью или частично автоматизированным способом, а также на неавтоматизированную обработку персональных данных, которая является частью сбора данных или предназначена для сбора данных. .
Действие настоящего Закона не распространяется на обработку персональных данных, осуществляемую физическим лицом для личных нужд, то есть нужд его домохозяйства.
Этот закон применяется к обработке персональных данных, осуществляемой обработчиком, т. е. обработчиком, который имеет штаб-квартиру, т. е. место жительства или место жительства на территории Республики Сербии, в рамках деятельности, осуществляемой на территории Республики Сербия. Сербия, независимо от того, осуществляется ли обработка на территории Республики Сербии.
Этот закон применяется к обработке персональных данных лица, к которому относятся данные, которое имеет место жительства, т. е. место жительства на территории Республики Сербия обработчиком, т. е. обработчик, у которого нет места, т. е. место жительства или место жительства на территории Республики Сербии, если операции по переработке связаны с:
1) предложение товаров или услуг лицу, к которому относятся данные, на территории Республики Сербия, независимо от того, требуется ли от этого лица выплата компенсации за эти товары или услуги;
2) мониторинг деятельности лиц, к которым относятся данные, если деятельность осуществляется на территории Республики Сербии.
Некоторые выражения в этом законе имеют следующее значение:
1) “персональные данные” – любые данные, относящиеся к физическому лицу, личность которого устанавливается или может быть установлена прямо или косвенно, в частности, на основе маркера личности, такого как имя и идентификационный номер, данные о местоположении, идентификаторы в сетях электронной связи или одна или несколько характеристик его физической, физиологической, генетической, умственной, экономической, культурной и социальной идентичности;
2) “лицо, к которому относятся данные” – физическое лицо, персональные данные которого обрабатываются;
3) «обработка персональных данных» — любое действие или совокупность действий, совершаемых в автоматическом или неавтоматизированном режиме с персональными данными или их наборами, такие как сбор, запись, сортировка, группировка, то есть структурирование, хранение, сопоставление или изменение, раскрытие, проверка, использование, разглашение путем передачи, т. е. доставки, копирования, распространения или иного предоставления, сравнения, ограничения, удаления или уничтожения (далее: обработка);
4) «ограничение обработки» — пометка хранимых персональных данных с целью ограничения их обработки в будущем;
5) “профилирование” – любая форма автоматизированной обработки, которая используется для оценки определенной характеристики личности, в частности, с целью анализа или прогнозирования трудовой деятельности физического лица, его экономического положения, состояния здоровья, личных предпочтений, интересов. , надежность, поведение, местоположение или движения;
6) «псевдонимизация» – обработка способом, делающим невозможным отнесение персональных данных к определенному лицу без использования дополнительных данных, при условии раздельного хранения этих дополнительных данных и принятия технических, организационных и кадровых мер, обеспечивающих достоверность персональных данных. не может быть отнесено к конкретному или определяемому лицу;
7) «сбор данных» — любой структурированный набор персональных данных, доступный в соответствии с определенными критериями, независимо от того, является ли сбор централизованным, децентрализованным или классифицированным по функциональному или географическому признаку;
8) «контролер» — физическое или юридическое лицо, то есть государственный орган, который самостоятельно или совместно с другими определяет цель и способ обработки. Закон, определяющий цель и способ обработки, также может определять обработчика или предписывать условия его определения;
9) «обработчик» — физическое или юридическое лицо, то есть орган, который обрабатывает персональные данные от имени контролера;
10) “получатель” – физическое или юридическое лицо, то есть государственный орган, которому раскрыты персональные данные, независимо от того, является он третьим лицом или нет, если только это не государственный орган, который в соответствии с законом получает персональные данные в рамках расследования конкретного дела и обрабатывает эти данные в соответствии с правилами о защите персональных данных, связанными с целью обработки;
11) «третье лицо» — физическое или юридическое лицо, то есть государственный орган, не являющийся лицом, к которому относятся данные, оператором или обработчиком, а также лицо, уполномоченное на обработку персональных данных в соответствии с непосредственный контроль обработчика или обработчика;
12) «согласие» лица, к которому относятся данные, — любое добровольное, конкретное, осознанное и недвусмысленное волеизъявление этого лица, которым это лицо путем заявления или явного положительного действия дает согласие на обработку персональных данных. относящиеся к нему;
13) «нарушение персональных данных» – нарушение безопасности персональных данных, повлекшее случайное или незаконное уничтожение, утрату, изменение, несанкционированное разглашение либо доступ к переданным, хранимым или иным образом обработанным персональным данным;
14) “генетические данные” – персональные данные, относящиеся к унаследованным или приобретенным генетическим особенностям физического лица, которые предоставляют уникальную информацию о физиологии или здоровье этого лица, особенно полученные путем анализа образца биологического происхождения;
15) «биометрические данные» – персональные данные, полученные путем специальной технической обработки в связи с физическими особенностями, физиологическими особенностями или особенностями поведения физического лица, которая позволяет или подтверждает однозначное определение этого лица, например изображение его лица или его дактилоскопические данные;
16) “данные о здоровье” – данные о физическом или психическом здоровье физического лица, в том числе об оказании медицинских услуг, раскрывающие сведения о состоянии его здоровья;
17) “представитель” – физическое или юридическое лицо с местом жительства или штаб-квартирой на территории Республики Сербия, которое в соответствии со статьей 44 настоящего закона уполномочено представлять обработчика или обработчика в связи с их обязательствами, предусмотренными в этот закон;
18) “субъект хозяйствования” – физическое или юридическое лицо, осуществляющее хозяйственную деятельность, независимо от его организационно-правовой формы, в том числе товарищество или ассоциация, регулярно осуществляющие хозяйственную деятельность;
19) “многонациональная компания” – хозяйственное общество, являющееся контролирующим учредителем или контролирующим участником хозяйственного общества, то есть учредителем филиала хозяйственного общества, осуществляющего хозяйственную деятельность в стране, где не находится его штаб-квартира, а также как хозяйствующий субъект со значительным участием в хозяйственном обществе, то есть в учредителе филиала хозяйственного общества, осуществляющего хозяйственную деятельность в стране, где не находится штаб-квартира транснациональной компании, в соответствии с законодательством регулирующие коммерческие компании;
20) “группа хозяйственных обществ” – группа взаимосвязанных хозяйственных обществ, в соответствии с законодательством, регулирующим объединение хозяйственных обществ;
21) «обязательные деловые правила» – это внутренние правила защиты персональных данных, которые были приняты и применяются обработчиком, т.е. обработчиком, с местом жительства или местом жительства, т.е. штаб-квартирой на территории Республики Сербия, для цель регулирования передачи персональных данных обработчику или обработчику в одной или нескольких странах в рамках многонациональной компании или группы экономических субъектов;
22) “Уполномоченный по информации, имеющей общественное значение, и защите персональных данных (далее – Уполномоченный)” – самостоятельный и независимый орган, созданный на основании закона, на который возложен контроль за исполнением настоящего закона и выполнение иных задач, предусмотренных законом. ;
23) услуга информационного общества – любая услуга, оказываемая, как правило, на платной основе, дистанционно, электронными средствами по запросу получателя услуги;
24) “международная организация” – организация или ее орган, регулирующие международное публичное право, а также любой другой орган, созданный соглашением или на основании соглашения между государствами;
25) орган государственной власти – государственный орган, орган территориальной автономии и единицы местного самоуправления, государственное предприятие, учреждение и иная государственная служба, организация и иное юридическое или физическое лицо, осуществляющее государственные полномочия;
26) «компетентными органами» являются:
а) органы, ответственные за предупреждение, расследование и выявление преступных деяний, а также привлечение к ответственности лиц, совершивших преступные деяния, или исполнение уголовных наказаний, в том числе защиту и предотвращение угроз общественной и национальной безопасности;
б) юридическое лицо, уполномоченное законом на осуществление деятельности, предусмотренной подпунктом а) настоящего пункта.
Персональные данные должны:
1) обрабатываться законно, справедливо и прозрачно по отношению к лицу, к которому относятся данные («законность, справедливость и прозрачность»). Юридическая обработка — это обработка, которая осуществляется в соответствии с этим законом, то есть другим законом, регулирующим обработку;
2) собираются для специально определенных, явных, обоснованных и законных целей, но при этом не могут быть обработаны способом, несовместимым с этими целями («ограничение в отношении цели обработки»);
3) быть уместными, существенными и ограничиваться тем, что необходимо в связи с целью обработки («минимизация данных»);
4) быть точными и при необходимости обновляться. Принимая во внимание цель обработки, должны быть приняты все разумные меры для обеспечения того, чтобы неточные персональные данные были удалены или исправлены без промедления («точность»);
5) храниться в форме, позволяющей идентифицировать личность, только в течение периода, необходимого для достижения цели обработки («ограничение хранения»);
6) обрабатываться способом, обеспечивающим надлежащую защиту персональных данных, в том числе защиту от несанкционированной или незаконной обработки, а также от случайной утраты, уничтожения или повреждения путем применения соответствующих технических, организационных и кадровых мер («целостность и конфиденциальность»).
Оператор несет ответственность за выполнение положений пункта 1 настоящей статьи и должен быть в состоянии продемонстрировать их выполнение («ответственность за действие»).
В порядке исключения из статьи 5, абзаца 1, пункта 2) настоящего закона, если дальнейшая обработка осуществляется в целях архивирования в общественных интересах, в целях научных или исторических исследований, а также в статистических целях, в в соответствии с этим законом считается, что данные о лицах не обрабатываются способом, не соответствующим первоначальной цели.
Если обработка с целью, отличной от цели, для которой были собраны данные, не основана на законе, который предписывает необходимые и соразмерные меры в демократическом обществе для защиты целей, указанных в пункте 1 статьи 40 настоящего закона, или на с согласия лица, к которому относятся данные, оператор обязан оценить, соответствует ли эта другая цель обработки цели обработки, для которой были собраны данные, особенно принимая во внимание:
1) существует ли связь между целью, для которой были собраны данные, и другими целями предполагаемой обработки;
2) обстоятельства, при которых были собраны данные, в том числе отношения между оператором и лицом, к которому относятся данные;
3) характер данных и, в частности, обрабатываются ли специальные виды персональных данных из статьи 17 настоящего Закона, то есть персональные данные, связанные с уголовными приговорами и наказуемыми правонарушениями из статьи 19 настоящего Закона;
4) возможные последствия дальнейшей обработки для лица, к которому относятся данные;
5) применение соответствующих мер защиты, таких как криптозащита и псевдонимизация.
Положения п. 1 и 2 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами в целях предупреждения, расследования и выявления уголовных преступлений, привлечения к ответственности лиц, совершивших уголовные преступления, или исполнения уголовных наказаний, в том числе предупреждения и защиты от угроз общественной и национальной безопасности ( далее: специального назначения).
Обработка для других целей компетентными органами
Персональные данные, собранные компетентными органами для специальных целей, не могут обрабатываться для целей, отличных от целей, для которых данные были собраны, за исключением случаев, когда такая дальнейшая обработка предусмотрена законом.
Обработка, осуществляемая компетентными органами для специальных целей, отличных от целей, для которых были собраны персональные данные, допускается при одновременном соблюдении следующих условий:
1) оператор уполномочен на обработку таких персональных данных для таких иных целей в соответствии с законодательством;
2) обработка необходима и пропорциональна этой другой цели в соответствии с законом.
Обработка, осуществляемая компетентными органами для специальных целей, может включать архивирование персональных данных в общественных интересах, то есть их использование в научных, статистических или исторических целях, при условии применения соответствующих технических, организационных и кадровых мер для защиты права и свободы лиц, к которым относятся данные.
Хранение, сроки хранения и рассмотрение необходимости хранения в особых случаях
В порядке исключения из статьи 5, абзаца 1, пункта 5) настоящего закона, персональные данные, обрабатываемые исключительно в целях архивирования в общественных интересах, в целях научных или исторических исследований, а также в статистических целях, могут храниться на более длительный срок при условии соблюдения положений настоящего Закона о применении соответствующих технических, организационных и кадровых мер, в целях защиты прав и свобод лиц, к которым относятся данные.
Если речь идет о персональных данных, обрабатываемых компетентными органами для специальных целей, должен быть установлен срок, когда эти данные будут удалены, то есть срок для периодической оценки необходимости их хранения.
Если срок, указанный в п. 1. и 2. настоящей статьи законом не определяется, ее определяет оператор.
Уполномоченный контролирует соблюдение сроков, предусмотренных п. 1.-3. настоящей статьи в соответствии с их полномочиями, установленными настоящим законом.
Дифференциация отдельных типов лиц, к которым относятся данные
Если речь идет о персональных данных, обрабатываемых компетентными органами для специальных целей, компетентный орган обязан при их обработке, если это возможно, проводить четкое различие между данными, относящимися к определенным типам лиц, чьи данные обрабатываются, например:
1) лица, в отношении которых имеются основания подозревать их в совершении или намерении совершить преступные действия;
2) лица, в отношении которых имеется обоснованное подозрение в совершении ими преступных действий;
3) лица, судимые за совершение уголовных преступлений;
4) лица, пострадавшие от преступного деяния, или лица, предположительно пострадавшие от преступного деяния;
5) другие лица, связанные с преступным деянием, такие как свидетели, лица, которые могут предоставить информацию о преступном деянии, связанные лица или сообщники лиц, указанных в пункте 1)-3) настоящей статьи.
Разграничение отдельных видов персональных данных
Если речь идет о персональных данных, обрабатываемых компетентными органами для специальных целей, компетентный орган обязан, насколько это возможно, четко отделить персональные данные, основанные исключительно на фактической ситуации, от персональных данных, основанных на личной оценке.
Оценка качества персональных данных и специальных условий обработки, проводимая компетентными органами для специальных целей
Компетентные органы, обрабатывающие персональные данные для специальных целей, обязаны принимать разумные меры для обеспечения того, чтобы неточные, неполные и необновленные персональные данные не передавались и не предоставлялись.
Компетентные органы проверяют точность, полноту и актуальность персональных данных, насколько это возможно, до начала передачи, то есть до того, как данные станут доступными.
Компетентный орган, передающий персональные данные другому компетентному органу, обязан в пределах возможного предоставить ему информацию, необходимую для оценки степени точности, полноты, проверки или достоверности персональных данных, а также предоставить ее с уведомлением об обновлении этих данных.
В случае передачи недостоверных персональных данных, т.е. в случае незаконной передачи персональных данных, компетентный орган, которому были переданы данные, должен быть незамедлительно уведомлен об этом, а переданные персональные данные должны быть исправлены или удалены, либо их обработка должны быть ограничены в соответствии с этим законом.
Если по закону требуются особые условия для обработки, компетентный орган, передающий персональные данные, обязан информировать получателя данных об этих особых условиях, а также об обязанности их выполнения.
Обработка является законной только при соблюдении одного из следующих условий:
1) лицо, к которому относятся персональные данные, дало согласие на обработку своих персональных данных для одной или нескольких специально определенных целей;
2) обработка необходима для исполнения договора, заключенного с лицом, к которому относятся данные, или для совершения действий по запросу лица, к которому относятся данные, до заключения договора;
3) обработка необходима для выполнения юридических обязательств оператора;
4) обработка необходима для защиты жизненно важных интересов лица, к которому относятся данные, или другого физического лица;
5) обработка необходима для выполнения работ в общественных интересах или для осуществления предусмотренных законом полномочий оператора;
6) обработка необходима для достижения законных интересов оператора или третьего лица, если только эти интересы не перевешиваются интересами или основными правами и свободами лица, к которому относятся данные, которые требуют защиты персональных данных, и особенно, если лицо, к которому относятся данные, относится к несовершеннолетнему.
Пункт 6) абзаца 1 настоящей статьи не распространяется на обработку, осуществляемую органом в пределах его компетенции.
Положения п. 1. и 2. настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Законность обработки, осуществляемой компетентными органами для специальных целей
Обработка, осуществляемая компетентными органами для специальных целей, является законной только в том случае, если эта обработка необходима для выполнения задач компетентных органов и если она предусмотрена законом. Такой закон определяет как минимум цели обработки, обрабатываемые персональные данные и цели обработки.
Законность обработки в особых случаях
Основание для обработки из статьи 12, параграф 1, пункт 3) и 5) настоящего Закона определяются законом.
Если речь идет об обработке из пункта 3) пункта 1 статьи 12 настоящего закона, цель обработки определяется законом, а если речь идет об обработке из пункта 5) пункта 1 статьи 12 настоящего закона. , закон предусматривает, что обработка необходима для выполнения задач в общественных интересах или для осуществления предусмотренных законом полномочий оператора.
Закон из пункта 1 настоящей статьи предписывает общественный интерес, который предполагается достичь, а также обязанность соблюдать правила о соразмерности обработки по отношению к цели, которую предполагается достичь, и условия для допустимость обработки обработчиком, виды данных, подлежащих обработке, лица, к которым относятся персональные данные, лица, которым могут быть раскрыты данные и цель их раскрытия, ограничения, связанные с целью обработки, срок действия данных хранение и сохранность, а также другие специальные действия и процедуры обработки, в том числе меры по обеспечению законной и добросовестной обработки.
Если обработка основана на согласии, контролер должен быть в состоянии продемонстрировать, что лицо дало согласие на обработку своих персональных данных.
Если согласие субъекта данных дается как часть письменного заявления, которое также касается других вопросов, запрос на согласие должен быть представлен таким образом, чтобы отличать его от этих других вопросов, в понятной и легкодоступной форме, а также используя ясные и простые слова. Часть письменного заявления, противоречащая настоящему закону, не имеет юридической силы.
Субъект данных имеет право отозвать согласие в любое время. Отзыв согласия не влияет на допустимость обработки, которая осуществлялась на основании согласия до отзыва. Прежде чем давать согласие, лицо, к которому относятся данные, должно быть проинформировано о праве на отзыв, а также о последствиях отзыва. Отзыв согласия должен быть таким же простым, как и его предоставление.
При оценке того, добровольно ли дано согласие на обработку персональных данных, особое внимание необходимо обратить на то, не обусловлено ли исполнение договора, в том числе оказание услуг, дачей согласия, не являющегося необходимым для его исполнения.
Согласие несовершеннолетнего в связи с использованием услуг информационного общества
Несовершеннолетний, достигший 15-летнего возраста, может самостоятельно дать согласие на обработку персональных данных при использовании сервисов информационного общества.
В случае несовершеннолетнего, не достигшего 15-летнего возраста, на обработку данных, указанных в пункте 1 настоящей статьи, согласие должно дать родитель, осуществляющий родительские права, то есть иной законный представитель несовершеннолетнего.
Оператор должен принять разумные меры для определения того, было ли согласие дано родителем, осуществляющим родительские права, или иным законным представителем несовершеннолетнего с учетом доступных технологий.
Обработка специальных видов персональных данных
Запрещается обработка, раскрывающая расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных с целью однозначной идентификации лица, данных о состоянии здоровья или данных о половой жизни. жизнь или сексуальная ориентация физического лица лица.
В порядке исключения обработка, указанная в пункте 1 настоящей статьи, допускается в следующих случаях:
1) лицо, к которому относятся данные, дало прямое согласие на обработку для одной или нескольких целей обработки, если законом не установлено, что обработка не осуществляется на основе согласия;
2) обработка необходима для выполнения обязательств или применения установленных законом полномочий контролера или лица, к которому относятся данные в сфере труда, социального страхования и социальной защиты, если такая обработка предусмотрена законом или коллективным соглашение, предписывающее применение надлежащих мер для защиты основных прав, свобод и интересов лица, к которому относятся данные;
3) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически не может дать согласие;
4) обработка осуществляется в рамках зарегистрированной деятельности и с применением соответствующих мер защиты пожертвованием, фондом, ассоциацией или иной некоммерческой организацией с политической, философской, религиозной или профсоюзной целью, при условии, что обработка относится исключительно к членам или бывшим членам и организации или лицам, которые имеют с ней регулярные контакты в связи с целями организации, а также что персональные данные не разглашаются за пределы этой организации без согласия лиц, к которым они относятся;
5) обрабатываются персональные данные, которые лицо, к которому они относятся, очевидно сделал общедоступными;
6) обработка необходима для предъявления, осуществления или защиты иска или в случае, когда суд действует в пределах своей компетенции;
7) обработка необходима для достижения значительного общественного интереса, определенного законом, если такая обработка соразмерна достижению цели, при соблюдении существа права на защиту персональных данных и если применение соответствующих и специальных мер для защиты основных прав и интересов лиц, к которым эти отношения относятся, обеспечиваются данные отношения;
8) обработка необходима в целях профилактической медицины или медицины труда, в целях оценки трудоспособности работников, медицинской диагностики, оказания услуг здравоохранения или социальной защиты, т.е. управления системами здравоохранения или социальной защиты, на основании закона или на основании на основании договора с медицинским работником, если обработка осуществляется медицинским работником или под его контролем или другим лицом, которое обязано хранить профессиональную тайну, установленную законом или профессиональными правилами;
9) обработка необходима для достижения общественных интересов в области общественного здоровья, таких как защита от серьезных трансграничных угроз здоровью населения или обеспечение высоких стандартов качества и безопасности медицинской помощи и лекарственных средств или медицинских изделий, на основании закона, предусматривающего надлежащие и специальные меры защиты прав и свобод лиц, к которым относятся данные, особенно в отношении профессиональной тайны;
10) обработка необходима для целей архивирования в общественных интересах, для целей научных или исторических исследований и для статистических целей в соответствии с пунктом 1 статьи 92 настоящего Закона, если такая обработка соразмерна достижению цели. цели, которые предполагается достичь, при соблюдении сущности прав на защиту персональных данных и при обеспечении применения надлежащих и специальных мер по защите основных прав и интересов лиц, к которым относятся эти данные.
Положения п. 1. и 2. настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Обработка специальных видов персональных данных, осуществляемая компетентными органами в специальных целях
Обработка, осуществляемая компетентными органами в специальных целях, которая раскрывает расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данные о состоянии здоровья или данные о половой жизни или сексуальной ориентации физического лица, допускается только в случае необходимости, с применением соответствующих мер защиты прав лица, к которому относятся данные, в одном из следующих случаи:
1) компетентный орган уполномочен законом на обработку специальных видов персональных данных;
2) обработка специальных видов персональных данных осуществляется в целях защиты жизненно важных интересов лица, к которому относятся данные, или иного физического лица;
3) обработка относится к особым видам персональных данных, которые лицо, к которому они относятся, очевидно, сделал общедоступным.
Обработка в связи с уголовными судимостями и наказуемыми правонарушениями
Обработка персональных данных, связанных с уголовными судимостями, наказуемыми деяниями и мерами безопасности, может осуществляться на основании пункта 1 статьи 12 настоящего закона только под надзором компетентного органа или, если обработка разрешена законом, с применение соответствующих специальных мер по защите прав и свобод лиц, к которым относятся данные.
Уникальный учет судебных решений по уголовным делам ведется исключительно компетентным органом и под его надзором.
Обработка, не требующая идентификации
Если для достижения цели обработки нет необходимости, то есть оператору больше не нужно идентифицировать лицо, к которому относятся данные, оператор не обязан сохранять, получать или обрабатывать дополнительную информацию для целью идентификации этого лица только в целях применения настоящего закона.
Если в случае, указанном в пункте 1 настоящей статьи, оператор может доказать, что он не может идентифицировать лицо, к которому относятся данные, он обязан, если это возможно, сообщить об этом этому лицу.
В случае из п. 1. и 2. настоящей статьи не применяются положения статьи 26, абз. 1-4, ст. 29, ст. 30, абз. 1. до 5, Статья 31, параграф 1 к 3, статья 33, абзац 1. и 2. и Статья 36, пар. 1.–4. настоящего закона, если только лицо, к которому относятся данные, для осуществления прав, предусмотренных этими статьями, не представит дополнительную информацию, позволяющую его идентифицировать.
Положения п. 2. и 3. настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
III РЕАЛЬНЫЕ ЛИЦА, К КОТОРЫМ ОТНОСЯТСЯ ДАННЫЕ
1. Прозрачность и способы реализации прав
Прозрачная информация, информация и способы реализации прав лиц, к которым относятся данные
Оператор обязан принять соответствующие меры для предоставления лицу, к которому относятся данные, всех сведений из ст. 23 и 24 настоящего Закона, то есть сведения об осуществлении прав из ст. 26 ст. 29-31, ст. 33, ст. 36-38 и статьи 53 настоящего Закона, в сжатой, прозрачной, понятной и легкодоступной форме, с использованием четких и простых слов, особенно если это информация, предназначенная для несовершеннолетних. Такая информация предоставляется в письменной или иной форме, в том числе в электронной форме, если это уместно. По просьбе лица, к которому относятся данные, информация может быть предоставлена в устной форме при условии, что личность лица установлена с несомненностью.
Контролер обязан оказать помощь лицу, к которому относятся данные, в осуществлении его прав из ст. 26 ст. 29–31, ст. 33 и ст. 36-38 настоящего Закона. В случаях, указанных в статье 20, абз. 2 и 3 настоящего закона, контролер не может отказать в действии по запросу лица, к которому относятся данные, при осуществлении им своих прав из ст. 26 ст. 29–31, ст. 33 и ст. 36–38 настоящего Закона, за исключением случаев, когда проводник представляет, что он не может идентифицировать человека.
Оператор обязан предоставить лицу, к которому относятся данные, информацию о действии на основании запроса из ст. 26 ст. 29–31, ст. 33 и ст. 36-38 настоящего Закона безотлагательно, но не позднее чем в течение 30 дней со дня получения запроса. При необходимости этот срок может быть продлен еще на 60 дней с учетом сложности и количества запросов. О продлении срока и причинах такого продления оператор обязан сообщить лицу, к которому относятся данные, в течение 30 дней со дня получения запроса. Если субъект данных сделал запрос в электронной форме, информация должна быть предоставлена в электронном виде, если это возможно, если только субъект данных не запросил предоставление информации другим способом.
Если контролер не действует по запросу лица, к которому относятся данные, он обязан сообщить этому лицу о причинах бездействия без промедления и не позднее, чем в течение 30 дней со дня получения запроса, а также права на обращение с жалобой к Уполномоченному, т.е. с иском в суд.
Оператор предоставляет информацию из ст. 23 и 24 настоящего Закона, то есть сведения об осуществлении прав из ст. 26 ст. 29-31, ст. 33, ст. 36–38 и статьи 53 настоящего Закона бесплатно. Если запрос субъекта данных является явно необоснованным или чрезмерным, и особенно если один и тот же запрос повторяется часто, контролер может:
1) взимать необходимые административные расходы на предоставление информации, т.е. обработку запроса;
2) отказывается удовлетворить просьбу.
Бремя доказывания того, что запрос является явно необоснованным или чрезмерным, лежит на операторе.
Если оператор обоснованно сомневается в личности лица, подавшего запрос из статьи 26, ст. 29–31, ст. 33 и ст. 36 – 38 настоящего Закона, оператор может запросить представление дополнительных сведений, необходимых для подтверждения личности лица, что не исключает применения статьи 20 настоящего Закона.
Информация предоставляется лицам, к которым относятся данные в соответствии со ст. 23 и 24 этого закона могут быть предоставлены в сочетании со стандартными значками, отображаемыми в электронной форме, чтобы обеспечить целенаправленное представление о предполагаемой обработке легко видимым, понятным и четко различимым способом. Необходимо обеспечить, чтобы стандартизированные значки, отображаемые в электронной форме, были читаемы на электронном устройстве.
Уполномоченный определяет информацию, которая представлена стандартизированными пиктограммами, отображаемыми в электронном виде, и организует порядок их определения.
Положения п. Пункты 1-9 настоящей статьи не распространяются на обработку данных, осуществляемую компетентными органами для специальных целей.
Информация и способы осуществления прав лиц, к которым относятся данные, если обработка осуществляется компетентными органами для специальных целей
Если обработка осуществляется компетентными органами для специальных целей, контролер обязан принять разумные меры для предоставления лицу, к которому относятся данные, всей информации из статьи 25 настоящего закона, т.е. информации, связанной с осуществлением прав из статьи 25 настоящего Закона. 27, 28, 32, 34, 35, 39 и 53 настоящего Закона, в сжатой, понятной и легкодоступной форме, ясными и простыми словами. Данная информация предоставляется любым подходящим способом, в том числе в электронном виде. Как правило, оператор предоставляет информацию в том виде, в котором содержится запрос субъекта данных.
Контролер обязан оказать помощь лицу, к которому относятся данные, в осуществлении его прав из ст. 27, 28, 32, 34, 35 и 39 настоящего Закона.
Оператор обязан предоставить лицу, к которому относятся данные, без промедления в письменной форме информацию о принятых мерах по его запросу.
Оператор предоставляет информацию из статьи 25 настоящего Закона и действует в соответствии со ст. 27, 28, 32, 34, 35, 39 и 53 настоящего Закона бесплатно. Если запрос субъекта данных является явно необоснованным или чрезмерным, и особенно если один и тот же запрос повторяется часто, компетентный орган может:
1) взимать необходимые административные расходы на предоставление информации, т.е. обработку запроса;
2) отказывается удовлетворить просьбу.
Бремя доказывания того, что запрос является явно необоснованным или чрезмерным, лежит на операторе.
Если оператор обоснованно сомневается в личности лица, подавшего запрос в соответствии со статьей 27 или статьей 32 настоящего Закона, оператор может запросить представление дополнительных сведений, необходимых для подтверждения личности этого лица.
2. Информация и доступ к персональным данным
Информация, предоставляемая при сборе персональных данных от лица, к которому они относятся
Если персональные данные собираются у лица, к которому они относятся, оператор обязан предоставить этому лицу следующую информацию в момент сбора персональных данных:
1) о личности и контактных данных оператора, а также его представителя, если он назначен;
2) контактные данные лица по защите персональных данных, если оно установлено;
3) о цели предполагаемой обработки и правовом основании обработки;
4) о наличии законного интереса оператора или третьего лица, если обработка осуществляется на основании пункта 6) пункта 1 статьи 12 настоящего Закона;
5) о получателе, то есть о группе получателей персональных данных, если они существуют;
6) о том, что контролер намеревается передать персональные данные в другую страну или международную организацию, а также о том, входит ли эта страна или международная организация в список из пункта 7 статьи 64 настоящего Закона, а в случае передачи из Статья 65 и 67 или пункта 2 статьи 69 настоящего закона в отношении соответствующих мер защиты, а также способа, которым лицо, к которому относятся данные, может ознакомиться с этими мерами.
В дополнение к информации из пункта 1 настоящей статьи контролер обязан предоставить лицу, к которому относятся данные, следующую дополнительную информацию во время сбора персональных данных, которая может быть необходима для обеспечения справедливой и прозрачной обработки в отношении тому человеку:
1) о сроке хранения персональных данных или, если это невозможно, о критериях его определения;
2) о наличии права запрашивать доступ, исправление или удаление персональных данных у контролера, т. е. наличие права на ограничение обработки, права на возражение, а также права на переносимость данных;
3) о наличии права отозвать согласие в любое время, а также о том, что отзыв согласия не влияет на допустимость обработки на основании согласия до отзыва, если обработка осуществляется на основании статьи 12, абзаца 1, пункта 1) или статьи 17, абзаца 2, пункта 1) настоящего закона;
4) о праве подачи жалобы Уполномоченному;
5) о том, является ли предоставление персональных данных юридическим или договорным обязательством или является ли предоставление данных необходимым условием заключения договора, а также имеет ли лицо, к которому относятся данные, обязательство по предоставлению персональных данных и возможные последствия, если данные не дают;
6) о наличии автоматизированного принятия решений, в том числе профилирования из статьи 38, абз. 1. и 4. настоящего закона и, по крайней мере, в этих случаях целесообразную информацию об используемой логике, а также о значении и ожидаемых последствиях этой обработки для лица, к которому относятся данные.
Если оператор намерен в дальнейшем обрабатывать персональные данные для иной цели, отличной от той, для которой данные были собраны, оператор обязан предоставить лицу, к которому относятся данные, информацию об этой другой цели, а также все другие существенные сведения из пункта 2 настоящей статьи.
Если лицо, к которому относятся данные, уже знакомо с некоторыми сведениями из п. 1.–3. настоящей статьи, оператор не обязан предоставлять такую информацию.
Положения п. Пункты 1-4 настоящей статьи не распространяются на обработку данных, осуществляемую компетентными органами для специальных целей.
Информация, предоставляемая, когда персональные данные не собираются от лица, к которому они относятся
Если персональные данные не собираются от лица, к которому они относятся, оператор обязан предоставить лицу, к которому относятся данные, следующую информацию:
1) о личности и контактных данных оператора, а также его представителя, если он назначен;
2) контактные данные лица по защите персональных данных, если оно установлено;
3) о цели предполагаемой обработки и правовом основании обработки;
4) о виде обрабатываемых данных;
5) о получателе, то есть о группе получателей персональных данных, если они существуют;
6) о том, что контролер намеревается передать персональные данные в другую страну или международную организацию, а также о том, входит ли эта страна или международная организация в список из пункта 7 статьи 64 настоящего закона, а в случае передачи из Статья 65 и 67 или пункта 2 статьи 69 настоящего Закона о применении соответствующих мер защиты, а также способе ознакомления лица с этими мерами.
В дополнение к информации из пункта 1 настоящей статьи контролер обязан предоставить субъекту данных следующую дополнительную информацию, которая может быть необходима для обеспечения справедливой и прозрачной обработки в отношении субъекта данных:
1) о сроке хранения персональных данных или, если это невозможно, о критериях его определения;
2) о наличии законного интереса оператора или третьего лица, если обработка осуществляется на основании пункта 6) пункта 1 статьи 12 настоящего Закона;
3) о наличии права запрашивать доступ, исправление или удаление персональных данных у контролера, то есть право на ограничение обработки, право возражать против обработки, а также право на переносимость данных;
4) о наличии права отозвать согласие в любое время, а также о том, что отзыв согласия не влияет на допустимость обработки на основании согласия до отзыва, если обработка осуществляется на основании статьи 12 , абзаца 1, пункта 1) или статьи 17, абзаца 2, пункта 1) настоящего закона;
5) о праве подачи жалобы Уполномоченному;
6) об источнике персональных данных и, при необходимости, о том, получены ли данные из общедоступных источников;
7) о наличии автоматизированного принятия решений, в том числе профилирования из статьи 38, абз. 1. и 4. настоящего закона и, по крайней мере, в этих случаях целесообразную информацию об используемой логике, а также о значении и ожидаемых последствиях этой обработки для лица, к которому относятся данные.
Оператор обязан предоставить информацию из п. 1. и 2. настоящей статьи предусматривают:
1) в разумный срок после сбора персональных данных, но не позднее 30 дней с учетом всех особых обстоятельств обработки;
2) не позднее момента установления первой связи, если персональные данные используются для связи с лицом, к которому они относятся;
3) не позднее, чем при первом раскрытии персональных данных, если предусмотрено раскрытие персональных данных другому получателю.
Если оператор намерен в дальнейшем обрабатывать персональные данные для иной цели, отличной от той, для которой данные были собраны, оператор обязан предоставить лицу, к которому относятся данные, информацию об этой другой цели, а также все другие существенные сведения из пункта 2 настоящей статьи.
Оператор не обязан предоставлять лицу, к которому относятся персональные данные, сведения из п. с 1 по 4 настоящей статьи, если:
1) лицо, к которому относятся персональные данные, уже владеет этой информацией;
2) предоставление такой информации невозможно или потребовало бы несоразмерных затрат времени и ресурсов, особенно в случае обработки в целях архивирования в общественных интересах, в целях научных или исторических исследований, а также в статистических целях, если применяются условия и меры из статьи 92. пункта 1 настоящего закона или если существует вероятность того, что выполнение обязательств из пункта 1 настоящей статьи сделает невозможным или значительно затруднит достижение цели обработки. В этих случаях оператор обязан принять соответствующие меры для защиты прав и свобод, а также законных интересов лиц, к которым относятся данные, в том числе публичное обнародование информации;
3) сбор или раскрытие персональных данных прямо предусмотрено законом, предусматривающим соответствующие меры по защите законных интересов лица, к которому относятся данные;
4) конфиденциальность персональных данных должна сохраняться в соответствии с установленной законом обязанностью по сохранению профессиональной тайны.
Положения п. Пункты 1-5 настоящей статьи не распространяются на обработку данных, осуществляемую компетентными органами для специальных целей.
Информация, которая становится доступной или предоставляется лицу, к которому относятся данные, если обработка осуществляется компетентными органами для специальных целей.
Если обработка осуществляется компетентными органами для специальных целей, контролер обязан предоставить как минимум следующую информацию лицу, к которому относятся персональные данные:
1) о личности и контактных данных оператора;
2) контактные данные лица по защите персональных данных, если оно установлено;
3) по цели предполагаемой обработки;
4) о праве подачи жалобы Уполномоченному и контактные данные Уполномоченного;
5) о наличии права запрашивать у контролера доступ, исправление или удаление его персональных данных, то есть наличие права на ограничение обработки таких данных.
В дополнение к информации, указанной в пункте 1 настоящей статьи, контролер обязан предоставить лицу, к которому относятся данные, для того, чтобы дать ему возможность реализовать свои права в определенных случаях, следующую дополнительную информацию:
1) о правовом основании обработки;
2) о сроке хранения персональных данных или, если это невозможно, о критериях его определения;
3) о группе получателей персональных данных, если они существуют, в том числе в других странах или международных организациях;
4) иные данные, если это необходимо, и особенно если персональные данные были собраны без ведома лица, к которому они относятся.
Информация, указанная в пункте 2 настоящей статьи, относящаяся к определенным видам обработки, может быть удержана, т.е. предоставлена ограниченно или с задержкой лицу, к которому относятся персональные данные, только в том объеме и на срок, который необходим и соразмерно в демократическом обществе в отношении соблюдения основных прав и законных интересов физических лиц, чтобы:
1) избегал вмешательства в официальный или регулируемый законом сбор информации, расследование или процедуры;
2) позволяло предотвращать, расследовать и раскрывать преступные деяния, привлекать к ответственности лиц, совершивших преступные деяния, или приводить в исполнение уголовные санкции;
3) охраняемая общественная безопасность;
4) охраняемая национальная безопасность и оборона;
5) защищал права и свободы других лиц.
Законом могут быть определены виды обработки, на которые полностью или частично могут распространяться отдельные случаи из пункта 3 настоящей статьи.
Право лица, к которому относятся персональные данные, на доступ
Лицо, к которому относятся данные, имеет право запросить у контроллера информацию о том, обрабатывает ли он его персональные данные, доступ к этим данным, а также следующую информацию:
1) с целью обработки;
2) о видах персональных данных, которые обрабатываются;
3) о получателе или видах получателей, которым были раскрыты или будут раскрыты персональные данные, особенно о получателях в других странах или международных организациях;
4) об ожидаемом сроке хранения персональных данных, а если это невозможно, о критериях определения этого срока;
5) о наличии права требовать от контролера исправления или удаления его персональных данных, права на ограничение обработки и права возражать против обработки;
6) о праве подачи жалобы Уполномоченному;
7) имеющиеся сведения об источнике персональных данных, если персональные данные получены не от лиц, к которым они относятся;
8) о наличии автоматизированной процедуры принятия решений, в том числе профилирования из статьи 38, абз. 1. и 4. настоящего закона и, по крайней мере, в этих случаях целесообразную информацию об используемой логике, а также о значении и ожидаемых последствиях этой обработки для лица, к которому относятся данные.
Если персональные данные передаются в другую страну или международную организацию, лицо, к которому они относятся, имеет право на получение информации о соответствующих мерах защиты, связанных с передачей, в соответствии со статьей 65 настоящего Закона.
Оператор обязан предоставить копию обрабатываемых им данных лицу, к которому относятся данные, по его запросу. Оператор может потребовать возмещения необходимых расходов на изготовление дополнительных копий, запрошенных лицом, к которому относятся данные. Если запрос на получение копии подается в электронном виде, информация представляется в обычно используемой электронной форме, если только лицо, к которому относятся данные, не потребовало иного представления.
Осуществление прав и свобод других лиц не может быть поставлено под угрозу реализацией права на получение копии в соответствии с пунктом 3 настоящей статьи.
Положения п. Пункты 1-4 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Право субъектов данных на доступ к данным, обрабатываемым компетентными органами для специальных целей
Если персональные данные обрабатываются компетентными органами для специальных целей, лицо, к которому относятся данные, имеет право получить от контролера информацию о том, обрабатывает ли он его персональные данные, доступ к этим данным, а также следующую информацию:
1) о цели обработки и правовом основании обработки;
2) о видах персональных данных, которые обрабатываются;
3) о получателе или видах получателей, которым были раскрыты персональные данные, особенно о получателях в других странах или международных организациях;
4) об ожидаемом сроке хранения персональных данных или, если это невозможно, о критериях определения этого срока;
5) о наличии права требовать от оператора исправления или удаления его персональных данных, то есть права на ограничение обработки таких данных;
6) о праве подачи жалобы Уполномоченному, а также контактные данные Уполномоченного;
7) сведения об обрабатываемых персональных данных, а также имеющиеся сведения об их источнике.
Право доступа, предусмотренное статьей 27 настоящего Закона, может быть ограничено полностью или частично только в той степени и на тот срок, в течение которых такое частичное или полное ограничение необходимо и представляет собой соразмерную меру в демократическом обществе при соблюдении основных прав и законных интересов лиц, данные которых обрабатываются, в целях:
1) избегал вмешательства в официальный или регулируемый законом сбор информации, расследование или процедуры;
2) позволяло предотвращать, расследовать и раскрывать преступные деяния, привлекать к ответственности лиц, совершивших преступные деяния, или приводить в исполнение уголовные санкции;
3) охраняемая общественная безопасность;
4) охраняемая национальная безопасность и оборона;
5) защищал права и свободы других лиц.
Законом могут быть определены виды обработки, на которые полностью или частично могут распространяться отдельные случаи из пункта 1 настоящей статьи.
Оператор обязан в письменной форме сообщить лицу, к которому относятся данные, об отказе или ограничении доступа к его персональным данным, а также о причинах отказа или ограничения, без неоправданной задержки, но не позднее 15 дней.
Оператор не обязан действовать в соответствии с пунктом 3 настоящей статьи, если это поставит под сомнение достижение цели, для которой доступ был запрещен или ограничен.
В случае, указанном в пункте 4 настоящей статьи, а также в случае, если в порядке запроса на доступ к данным будет установлено, что персональные данные запрашивающего лица не обрабатываются, оператор обязан уведомить в письменной форме без неоправданной задержки, но не позднее чем в течение 15 дней после того, как заявитель проверкой установил отсутствие персональных данных, в связи с которыми могут быть реализованы права, предусмотренные законом, а также что он может подать жалобу с Уполномоченным, т.е. подать иск в суд.
Оператор обязан документально оформить фактические и юридические основания принятия решения об ограничении прав, предусмотренных пунктом 1 настоящей статьи, которые должны быть предоставлены Уполномоченному по его требованию.
3. Право на исправление, изменение, удаление, ограничение и переносимость
Право на исправление и изменение
Субъект данных имеет право на исправление неточных персональных данных без неоправданной задержки. В зависимости от цели обработки лицо, к которому относятся данные, вправе дополнить свои неполные персональные данные, в том числе предоставить дополнительное заявление.
Право на удаление персональных данных
Субъект данных имеет право на удаление своих персональных данных контролером.
Оператор обязан удалить данные из пункта 1 настоящей статьи без неоправданной задержки в следующих случаях:
1) персональные данные больше не нужны для достижения цели, для которой они были собраны или иным образом обработаны;
2) лицо, к которому относятся данные, отозвало согласие, на основании которого осуществлялась обработка, в соответствии со статьей 12, пункт 1, пункт 1) или статьей 17, пункт 2, пункт 1) настоящего закона, и нет другого правового основания для обработки;
3) лицо, к которому относятся данные, подало возражение против обработки в соответствии с:
а) пункт 1 статьи 37 настоящего закона, и нет другого правового основания для обработки, которое преобладает над законным интересом, правом или свободой лица, к которому относятся данные,
б) пункт 2 статьи 37 настоящего Закона;
4) персональные данные обрабатывались неправомерно;
5) персональные данные должны быть удалены для выполнения юридических обязательств оператора;
6) персональные данные были собраны в связи с использованием услуг информационного общества в соответствии с пунктом 1 статьи 16 настоящего закона.
В случае если оператор публично опубликовал персональные данные, его обязанность по удалению данных в соответствии с пунктом 1 настоящей статьи включает в себя принятие всех разумных мер, в том числе технических, в соответствии с имеющимися технологиями и возможностью нести расходы на их использование, в целях информировать других обработчиков, обрабатывающих данные, о том, что лицо, к которому относятся данные, подало запрос на удаление всех копий этих данных и ссылок, то есть электронных ссылок на эти данные.
Лицо, к которому относятся данные, подает контролеру запрос на осуществление прав из пункта 1 настоящей статьи.
Пункты 1-3 настоящей статьи не применяются в той мере, в какой обработка необходима в связи с:
1) осуществление свободы слова и информации;
2) соблюдение законного обязательства оператора, которое требует обработки или выполнения задач в общественных интересах или исполнения должностных полномочий оператора;
3) реализация общественного интереса в области здравоохранения в соответствии со статьей 17, пункт 2, пункт 8) и 9) настоящего Закона;
4) целей архивирования в общественных интересах, целей научных или исторических исследований, а также статистических целей в соответствии со статьей 92, пунктом 1 настоящего закона, и разумно ожидать, что осуществление прав из пункта 1. и 2. настоящей статьи могут сделать невозможным или существенно угрожать достижению целей этой цели;
5) предъявление, осуществление или защита правового требования.
Положения п. Пункты 1-5 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Право на ограничение обработки
Субъект данных имеет право на ограничение обработки его персональных данных контролером, если выполняется один из следующих случаев:
1) лицо, к которому относятся данные, оспаривает достоверность персональных данных, в срок, позволяющий оператору проверить достоверность персональных данных;
2) обработка является незаконной, и лицо, к которому относятся данные, возражает против удаления персональных данных и вместо удаления требует ограничения использования данных;
3) контролер больше не нуждается в персональных данных для достижения цели обработки, но лицо, к которому относятся данные, запросило их для подачи, реализации или защиты правового требования;
4) лицо, к которому относятся данные, представило возражение против обработки в соответствии со статьей 37, пункт 1 настоящего закона, и проводится оценка того, перевешивает ли правовая основа для обработки контролером интересы этого лица. .
В случае ограничения обработки в соответствии с пунктом 1 настоящей статьи дальнейшая обработка таких данных может осуществляться только на основании согласия лица, к которому относятся данные, за исключением случаев, когда речь идет об их хранении или в целях предоставления, реализации либо для защиты судебного иска, либо для защиты прав других физических или юридических лиц, либо в связи с реализацией значимых общественных интересов.
Если обработка ограничена в соответствии с пунктом 1 настоящей статьи, контролер обязан проинформировать лицо, к которому относятся данные, о прекращении ограничения до того, как ограничение перестанет действовать.
Положения п. Пункты 1-3 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Право на удаление или ограничение обработки, осуществляемой компетентными органами для специальных целей
Если обработка осуществляется компетентными органами для специальных целей, лицо, к которому они относятся, имеет право на удаление своих персональных данных оператором, и оператор обязан удалить такие данные без неоправданной задержки, если обработка нарушает положения искусства. 5, 13 и 18 настоящего закона или если личные данные должны быть удалены в связи с выполнением юридического обязательства контролера.
Оператор обязан ограничить обработку вместо удаления персональных данных в одном из следующих случаев:
1) достоверность персональных данных оспаривается лицом, к которому относятся данные, и их достоверность или недостоверность не может быть установлена;
2) личные данные должны быть сохранены для сбора и обеспечения доказательств.
Если обработка ограничена в соответствии с абзацем 2. пункта 1) настоящей статьи, контролер обязан проинформировать лицо, к которому относятся данные, о прекращении ограничения до того, как ограничение перестанет действовать.
Обязанность уведомления об исправлении или удалении данных, а также об ограничении обработки
Контролер обязан информировать всех получателей, которым были раскрыты персональные данные, о любом исправлении или удалении персональных данных или ограничении их обработки в соответствии со статьей 29, статьей 30, пунктом 1 и статьей 31 настоящего закона, за исключением случаев, когда это невозможно. или требует чрезмерных затрат времени и ресурсов.
Контролер обязан сообщить лицу, к которому относятся данные, по его требованию обо всех получателях из пункта 1 настоящей статьи.
Положения п. Пункты 1-2 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Обязательство уведомлять в связи с исправлением или удалением данных, а также ограничением обработки, осуществляемой компетентными органами для специальных целей
Если обработка осуществляется компетентными органами для специальных целей, контролер обязан письменно уведомить лицо, к которому относятся данные, об отказе в исправлении или удалении его персональных данных, т. е. об ограничении обработки, а также о причины такого отказа или ограничения.
Контролер полностью или частично освобождается от обязательства по уведомлению согласно пункту 1 настоящей статьи в той мере, в какой такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе при должном уважении основных прав и законных интересов лица, чье данные обрабатываются, чтобы:
1) избегал вмешательства в официальный или регулируемый законом сбор информации, расследование или процедуры;
2) позволяло предотвращать, расследовать и раскрывать преступные деяния, привлекать к ответственности лиц, совершивших преступные деяния, или приводить в исполнение уголовные санкции;
3) охраняемая общественная безопасность;
4) охраняемая национальная безопасность и оборона;
5) защищал права и свободы других лиц.
В случае из п. 1 и 2 настоящей статьи, контролер обязан сообщить лицу, к которому относятся данные, о том, что он может обратиться с жалобой к Уполномоченному, либо обратиться с иском в суд.
Оператор обязан информировать компетентный орган, от которого эти данные были получены, об исправлении неверных данных.
Если персональные данные исправлены, удалены или их обработка ограничена в соответствии со статьей 29 и статьей 32 п. 1 и 2 настоящего закона, оператор обязан информировать получателей таких данных об их исправлении, удалении или ограничении обработки.
Получатели данных, которые были уведомлены в соответствии с пунктом 5 настоящей статьи, обязаны исправить, удалить или ограничить обработку имеющихся у них данных.
Осуществление прав лиц, к которым относятся данные, при проведении обработки компетентными органами для специальных целей и проверки Уполномоченным
В случаях, указанных в статье 25, пункт 3, статье 28, пункт 3. и 4. и статьи 34. пункта 2. настоящего закона, права лиц, к которым относятся данные, могут осуществляться через Уполномоченного в соответствии с его полномочиями, установленными настоящим законом.
Оператор обязан уведомить лицо, к которому относятся данные, о том, что в случаях, предусмотренных пунктом 1 настоящей статьи, он может осуществлять свои права через Уполномоченного.
Если в случаях, указанных в пункте 1 настоящей статьи, права лица, к которому относятся данные, осуществляются через Уполномоченного, Уполномоченный обязан информировать это лицо как минимум о том, что проверка и надзор за обработкой его персональных данных, а также вправе обратиться в суд за защитой своих прав.
Лицо, к которому относятся данные, имеет право на получение своих персональных данных, которые оно ранее предоставило контролеру, в структурированной, широко используемой и электронно-читаемой форме, а также имеет право передавать эти данные другому контролеру без вмешательства со стороны контролера, которому данные были доставлены. , если вместе выполняются следующие условия:
1) обработка основана на согласии в соответствии со статьей 12, пункт 1, пункт 1) или статьей 17, пункт 2, пункт 1) настоящего закона или на основании договора, в соответствии со статьей 12, пункт 1, пункт 2) настоящего Закона;
2) обработка производится автоматически.
Право из пункта 1 настоящей статьи включает в себя право лица на прямую передачу его персональных данных другому оператору оператором, которому эти данные были ранее переданы, если это технически осуществимо.
Осуществление прав из пункта 1 настоящей статьи не влияет на применение статьи 30 настоящего Закона. Право из пункта 1 настоящей статьи не может быть реализовано, если обработка необходима для выполнения задач, представляющих общественный интерес, или для осуществления должностных полномочий оператора.
Осуществление прав, указанных в пункте 1 настоящей статьи, не может отрицательно сказываться на осуществлении прав и свобод других лиц.
Положения п. Пункты 1-4 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
4. Право на возражение и автоматизированное принятие индивидуальных решений
Если он считает, что это оправдано в связи с особой ситуацией, в которой он находится, лицо, к которому относятся данные, имеет право в любое время подать возражение против обработки его персональных данных контролеру, которое осуществляется в соответствии со статьей 12, пункт 1. пункт. 5) и 6) настоящего закона, включая профилирование на основании этих положений. Контролер обязан прекратить обработку данных лица, подавшего жалобу, если только он не представил, что существуют юридические причины для обработки, которые превалируют над интересами, правами или свободами лица, к которому данные относятся или относятся к ним. подача, осуществление или защита законных требований.
Субъект данных имеет право в любое время возразить против обработки его персональных данных, которые обрабатываются в целях прямой рекламы, включая профилирование, в той мере, в какой это связано с прямой рекламой.
Если субъект данных возражает против обработки в целях прямой рекламы, персональные данные больше не могут обрабатываться для таких целей.
Контролер обязан предупредить это лицо о наличии права из п. 1. и 2. этой статьи и информировать его об этих правах в явной и ясной форме, отдельно от всей другой информации, которую он предоставляет.
При использовании услуг информационного общества лицо, к которому относятся данные, имеет право подать жалобу с помощью автоматизированных средств, в соответствии с техническими условиями использования услуг.
Если персональные данные обрабатываются в целях научных или исторических исследований или в статистических целях, в соответствии со статьей 92 настоящего Закона лицо, к которому относятся данные, исходя из его особого положения, имеет право подать возражение против обработки его персональные данные, за исключением случаев, когда обработка необходима для выполнения задач в общественных интересах.
Автоматизированное индивидуальное принятие решений и профилирование
Лицо, к которому относятся данные, вправе не применять к нему решение, принятое исключительно на основе автоматизированной обработки, в том числе профилирования, если это решение влечет за собой правовые последствия для этого лица или это решение существенно влияет на его положение.
Пункт 1 настоящей статьи не применяется, если решение:
1) необходимые для заключения или исполнения договора между лицом, к которому относятся данные, и контролером;
2) на основании закона, если этим законом предусмотрены соответствующие меры по защите прав, свобод и законных интересов лиц, к которым относятся сведения;
3) на основании явного согласия лица, к которому относятся данные.
В случае, указанном в пункте 2. 1) и 3) настоящей статьи, оператор обязан реализовать надлежащие меры по защите прав, свобод и законных интересов субъекта данных, а не менее права обеспечить участие физического лица, находящегося под контролем оператора. при принятии решения право субъекта данных, связанное с выражением своей позиции в отношении решения, а также право лица, к которому относятся данные, оспаривать решение перед уполномоченным лицом контролера.
Решения из пункта 2 настоящей статьи не могут основываться на особых видах персональных данных из пункта 1 статьи 17 настоящего Закона, если не применяется пункт 2 пункта 2 статьи 17. 1) и 5) настоящего Закона и предусмотрены ли соответствующие меры по защите прав, свобод и законных интересов лиц, к которым относятся данные.
Положения п. Пункты 1-4 настоящей статьи не распространяются на обработку данных, осуществляемую компетентными органами для специальных целей.
Автоматизированное индивидуальное принятие решений и профилирование в связи с обработкой, проводимой компетентными органами для специальных целей.
Запрещается принимать решение исключительно на основании автоматизированной обработки, осуществляемой компетентными органами для специальных целей, в том числе профилирования, если такое решение может повлечь вредные юридические последствия для лица, к которому относятся данные, или существенно повлиять на положение этого лица. лицо, если только принятие таких решений не основано на законе и если этот закон предписывает соответствующие меры для защиты прав и свобод лица, к которому относятся данные, и, по крайней мере, право на обеспечение участия физического лица под контролем контролера контроль при принятии решения.
Решение из пункта 1 настоящей статьи не может основываться на особых видах персональных данных из пункта 1 статьи 18 настоящего Закона, если не будут применены надлежащие меры по защите прав, свобод и законных интересов лица, к которому относятся данные.
Запрещается профилирование, ведущее к дискриминации физических лиц на основе особых видов персональных данных, предусмотренных пунктом 1 статьи 18 настоящего закона.
Права и обязанности из ст. 21, 23, 24, 26 ст. 29-31, ст. 33, ст. 36-39 и статьи 53, а также статьи 5 настоящего закона, если эти положения относятся к осуществлению прав и обязанностей из ст. 21, 23, 24, 26 ст. 29–31, ст. 33 и ст. 36-39 настоящего Закона, могут быть ограничены, если эти ограничения не затрагивают сути основных прав и свобод и если это представляет собой необходимую и соразмерную меру в демократическом обществе для защиты:
1) национальная безопасность;
2) оборона;
3) общественная безопасность;
4) предотвращение, расследование и раскрытие преступных деяний, привлечение к ответственности лиц, совершивших преступные деяния, или приведение в исполнение уголовных наказаний, в том числе предупреждение и защита от угроз общественной безопасности;
5) другие важные общественные интересы и особенно важные государственные или финансовые интересы Республики Сербии, включая денежно-кредитную политику, бюджет, налоговую систему, здравоохранение и социальную защиту;
6) независимость судебной власти и судопроизводства;
7) предупреждение, расследование, выявление и привлечение к ответственности за нарушение профессиональной этики;
8) функции контроля, надзора или выполнения регулирующей функции, постоянно или время от времени связанной с осуществлением должностных полномочий в случаях, указанных в пункте 1) к 5) и пункту 7) настоящего пункта;
9) лица, к которым относятся данные, или права и свободы других лиц;
10) реализация исков по гражданским делам.
При применении ограничений прав и обязанностей, предусмотренных пунктом 1 настоящей статьи, по мере необходимости необходимо учитывать как минимум следующее:
1) цели обработки или виды обработки;
2) виды персональных данных;
3) объем ограничений;
4) меры защиты, направленные на предотвращение неправомерного использования, несанкционированного доступа или передачи персональных данных;
5) особенности оператора, то есть вид оператора;
6) срок хранения и меры защиты персональных данных, которые могут быть применены с учетом характера, объема и цели обработки или видов обработки;
7) риски для прав и свобод лиц, к которым относятся данные;
8) право лица, к которому относятся данные, быть информированным об ограничении, если только эта информация не препятствует достижению цели ограничения.
Положения п. 1. и 2. настоящей статьи применяются также в случае, когда обработка компетентными органами осуществляется не для специальных целей.
Оператор обязан принять соответствующие технические, организационные и кадровые меры для обеспечения того, чтобы обработка осуществлялась в соответствии с настоящим законом и быть в состоянии продемонстрировать это с учетом характера, объема, обстоятельств и цели обработки, а также как вероятность возникновения рисков и уровень риска для прав и свобод физических лиц.
Меры из пункта 1 настоящей статьи пересматриваются и при необходимости обновляются.
Если это соразмерно обработке данных, к мерам, указанным в пункте 1 настоящей статьи, относится применение соответствующих внутренних актов оператора о защите персональных данных.
Оператор может представить, что он выполняет обязательства из пункта 1 настоящей статьи также на основании применения утвержденного кодекса поведения из статьи 59 настоящего Закона или выданного сертификата из статьи 61 настоящего Закона.
Пункт 4 настоящей статьи не распространяется на обработку, осуществляемую компетентными органами для специальных целей.
С учетом уровня технических достижений и затрат на их применение, характера, объема, обстоятельств и цели обработки, а также вероятности возникновения рисков и уровня риска для прав и свобод физических лиц возникающих в результате обработки, оператор при определении способа обработки, а также в процессе обработки обязан:
1) применять соответствующие технические, организационные и кадровые меры, такие как псевдонимизация, направленные на обеспечение эффективного применения принципов защиты персональных данных, таких как сокращение количества данных;
2) обеспечить применение необходимых механизмов защиты при обработке, в целях выполнения условий обработки, установленных настоящим законом, и защиты прав и свобод лиц, к которым относятся данные.
Оператор обязан обеспечить, чтобы путем постоянного применения соответствующих технических, организационных и кадровых мер всегда обрабатывались только те персональные данные, которые необходимы для реализации каждой отдельной цели обработки. Это обязательство применяется в отношении количества собираемых данных, объема их обработки, срока их хранения и их доступности.
Меры, предусмотренные пунктом 2 настоящей статьи, всегда должны обеспечивать, чтобы персональные данные не могли быть предоставлены неограниченному кругу физических лиц без участия физического лица.
Свидетельство, выданное в соответствии со статьей 61 настоящего закона, может быть использовано оператором для демонстрации того, что он соблюдает обязательства, предусмотренные абз. с 1 по 3 настоящей статьи.
Пункт 4 настоящей статьи не распространяется на обработку, осуществляемую компетентными органами для специальных целей.
Если два или более контролера совместно определяют цель и метод обработки, они считаются совместными контролерами.
Совместные контролеры из пункта 1 настоящей статьи прозрачно определяют ответственность каждого из них за соблюдение обязанностей, предусмотренных настоящим законом, особенно обязанностей, касающихся осуществления прав лица, к которому относятся данные, и выполнения своих обязанностей. предоставить этому лицу сведения из ст. 23-25 настоящего Закона.
Ответственность из пункта 2 настоящей статьи регулируется соглашением участников совместной деятельности, если эта ответственность не установлена законом, применимым к операторам.
Соглашение из пункта 3 настоящей статьи должно определять контактное лицо субъекта данных и регулировать отношения каждого из совместных контролеров с субъектом данных.
Суть положений договора, указанных в пункте 3 настоящей статьи, должна быть доступна лицу, к которому относятся данные.
Положения п. 4 и 5 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Независимо от положений договора, указанного в пункте 3 настоящей статьи, лицо, к которому относятся данные, может осуществлять свои права, установленные настоящим законом, индивидуально в отношении каждого из совместных контролеров.
Представители обработчиков или переработчиков, у которых нет штаб-квартиры в Республике Сербия
В случаях, указанных в пункте 4 статьи 3 настоящего закона, контролер, то есть обработчик, обязан письменно назначить своего представителя в Республике Сербии, за исключением случаев, когда:
1) эпизодическая обработка, в значительной степени не включает обработку специальных данных из пункта 1 статьи 17 настоящего закона или персональных данных, связанных с судимостью за уголовные преступления и наказуемые правонарушения из статьи 19 настоящего закона, и вполне вероятно, что это не создаст риск для прав и свобод физических лиц, принимая во внимание характер, обстоятельства, объем и цели обработки;
2) обработчик, то есть орган обработки.
Обработчик или обработчик уполномочивает представителя из пункта 1 настоящей статьи как лицо, к которому, помимо обработчика или обработчика, или вместо них, лица, к которому относятся данные, может обратиться Уполномоченный или иное лицо. в отношении всех вопросов, связанных с обработкой персональных данных, в целях обеспечения соблюдения положений настоящего закона.
Жалобы, судебные иски и иные судебные иски по настоящему закону могут быть поданы против обработчика или обработчика независимо от того, назначен ли их представитель в соответствии с пунктом 1 настоящей статьи.
Если обработка осуществляется от имени контролера, контролер может назначить в качестве обработчика только то лицо или орган, который полностью гарантирует применение соответствующих технических, организационных и кадровых мер таким образом, чтобы обработка выполнялась в в соответствии с положениями настоящего закона и что обеспечивает защиту прав лиц, к которым относятся данные.
Обработчик, указанный в пункте 1 настоящей статьи, может поручить обработку другому обработчику только в том случае, если оператор уполномочивает его на это на основании общего или специального письменного разрешения. Если обработка осуществляется на основании общего разрешения, обработчик обязан информировать оператора о предполагаемом выборе другого обработчика, то есть о замене другого обработчика, чтобы у оператора была возможность возражать против такого изменения.
Обработка обработчиком должна регулироваться договором или иным юридически обязывающим актом, который заключается или принимается в письменной форме, в том числе в электронной форме, связывающей обработчик с оператором и регламентирующей предмет и продолжительность обработки, характер и цель обработки, тип данных о личности и тип лица, чьи данные обрабатываются, а также права и обязанности оператора.
Договором или иным юридически обязывающим актом из пункта 3 настоящей статьи предусмотрено, что обработчик обязан:
1) обрабатывает персональные данные только на основании письменных указаний оператора, в том числе поручения в отношении передачи персональных данных в другие страны или международные организации, за исключением случаев, когда оператор по закону обязан обрабатывать данные. В этом случае обработчик обязан проинформировать оператора об этом юридическом обязательстве до начала обработки, если только закон не запрещает предоставление такой информации в связи с необходимостью защиты важных общественных интересов;
2) обеспечить, чтобы физическое лицо, уполномоченное на обработку персональных данных, обязывалось сохранять конфиденциальность данных или чтобы на него распространялось юридическое обязательство по сохранению конфиденциальности данных;
3) принять все необходимые меры в соответствии со статьей 50 настоящего Закона;
4) соответствует условиям поручения обработки другому обработчику из абз. 2. и 7. этой статьи;
5) принимая во внимание характер обработки, помогает контролеру, применяя соответствующие технические, организационные и кадровые меры, насколько это возможно, в выполнении обязательств контролера в отношении запросов на осуществление прав лиц, которым данные обратитесь к Разделу III. настоящего закона;
6) содействует оператору в выполнении обязательств из ст. 50 и ст. 52-55 настоящего Закона с учетом характера обработки и имеющейся у него информации;
7) после окончания договорных операций по обработке и на основании решения оператора удалить или вернуть оператору все персональные данные и удалить все копии этих данных, если законом не установлена обязанность хранения данных;
8) предоставлять оператору всю информацию, необходимую для демонстрации выполнения оператором обязанностей, предусмотренных настоящей статьей, а также информацию, позволяющую и способствующую контролю за работой оператора, осуществляемому оператором или иным лицом. уполномоченный им.
В случае, указанном в абзаце 4 пункта 8) настоящей статьи, обработчик обязан незамедлительно предупредить оператора, если он считает, что полученное им письменное указание не соответствует настоящему закону или иному закону, регулирующему охрану персональных данных.
Если обработка осуществляется компетентными органами для специальных целей, договором или иным юридически обязательным актом из пункта 3 настоящей статьи предусмотрено, что обработчик обязан:
1) обрабатывает персональные данные только на основании указаний оператора;
2) обеспечить, чтобы лицо, уполномоченное на обработку данных, обязуется сохранять конфиденциальность данных или что на это лицо распространяется юридическое обязательство по сохранению конфиденциальности данных;
3) помогает оператору надлежащим образом выполнять свои обязательства по соблюдению положений о правах лиц, к которым относятся данные из раздела III. настоящего закона;
4) после окончания договорных действий по обработке и на основании решения оператора удалить или вернуть все персональные данные и удалить все копии этих данных, за исключением случаев, когда существует установленная законом обязанность хранения данных;
5) предоставлять оператору всю информацию, необходимую для демонстрации выполнения оператором своих обязательств, предусмотренных настоящей статьей;
6) обеспечить выполнение условий п. 2, 3 и 6 настоящей статьи, если он поручает обработку другому обработчику.
Если обработчик назначает другого обработчика для выполнения специальных действий по обработке от имени обработчика, те же обязательства по защите персональных данных, предусмотренные договором или иным юридически обязывающим актом между обработчиком и обработчиком из п. 3. и 4. настоящей статьи обязывают и другого обработчика на основании специального договора или иного юридически обязывающего акта, заключенного или принятого в письменной, в том числе в электронной форме, который устанавливает достаточные условия в отношениях между обработчик, а другой обработчик гарантирует применение соответствующих технических, организационных и кадровых мер, обеспечивающих выполнение обработки в соответствии с настоящим законом. Если другой обработчик не выполняет свои обязательства по защите персональных данных, обработчик несет ответственность за выполнение этих обязательств другого обработчика.
Если обработчик нарушает положения настоящего закона, определяя цель и способ обработки персональных данных, обработчик считается оператором в отношении такой обработки.
Применение утвержденного кодекса поведения из статьи 59 настоящего закона, т. е. выданного сертификата из статьи 61 настоящего закона, может быть использовано для демонстрации того, что обработчик выполняет обязательства по предоставлению гарантий из абз. 1 и 7 этой статьи.
Правоотношения между оператором и процессором, которые регулируются в соответствии с п. 3 и 7 настоящей статьи, могут быть полностью или частично основаны на стандартных договорных условиях из пункта 11 настоящей статьи, в том числе касающихся сертификата, выданного обработчику или переработчику в соответствии со ст. 61 и 62 настоящего Закона.
Комиссар может составить стандартные договорные положения, которые относятся к обязательствам из абз. 3 и 7 настоящей статьи, особенно с учетом европейской практики составления типовых договорных условий.
Положения п. 4, 5, 7 и ул. 9-11 настоящей статьи не распространяются на компетентные органы, осуществляющие обработку для специальных целей.
Обработчик, то есть иное лицо, уполномоченное обработчиком или обработчиком на доступ к персональным данным, не может обрабатывать такие данные без распоряжения обработчика, за исключением случаев, когда такая обработка предусмотрена законодательством.
Оператор и его представитель, если он назначен, обязаны вести учет операций по обработке, за которые он отвечает, который содержит информацию о:
1) наименование и контактные данные обработчика, совместных обработчиков, представителя обработчика и лица по защите персональных данных, если они существуют, то есть если они назначены;
2) цели обработки;
3) тип лица, к которому относятся данные, и тип персональных данных;
4) тип получателей, которым раскрыты или будут раскрыты персональные данные, в том числе получатели в других странах или международных организациях;
5) передача персональных данных другим странам или международным организациям, в том числе на имя другой страны или международной организации, а также документов о применении мер защиты, если данные передаются в соответствии с пунктом 2 статьи 69 настоящего Закона, если такая передача данных о личности;
6) срок, по истечении которого удаляются отдельные виды персональных данных, если такой срок установлен;
7) общее описание мер защиты, указанных в части 1 статьи 50 настоящего Закона, если это возможно.
Положения пункта 1 настоящей статьи не применяются, если обработка осуществляется компетентными органами для специальных целей.
Если обработка осуществляется компетентными органами для специальных целей, оператор обязан вести учет всех видов операций по обработке, за которые он несет ответственность, который содержит информацию о:
1) наименование и контактные данные обработчика, совместных обработчиков и лица по защите персональных данных, если они существуют, то есть если они указаны;
2) цели обработки;
3) тип лица, к которому относятся данные, и тип персональных данных;
4) тип получателей, которым раскрыты или будут раскрыты персональные данные, в том числе получатели в других странах или международных организациях;
5) использование профилирования, если используется профилирование;
6) виды передачи персональных данных в другие страны или международные организации, если такая передача персональных данных осуществляется;
7) правовое основание порядка обработки, в том числе передачи персональных данных;
8) срок, до которого удаляются отдельные виды персональных данных, если такой срок установлен;
9) общее описание мер защиты, указанных в части 1 статьи 50 настоящего Закона, если это возможно.
Обработчик и его представитель, если он назначен, обязаны вести учет всех видов действий по обработке, выполняемых от имени обработчика, которые содержат информацию о:
1) наименование и контактная информация каждого обработчика и каждого обработчика, от имени которого осуществляется обработка, т.е. представителя обработчика или обработчика и лица по защите персональных данных, если они существуют, то есть если они назначены ;
2) тип обработки, выполняемой от имени каждого оператора;
3) передача персональных данных другим странам или международным организациям, в том числе на имя другой страны или международной организации, а также документов о применении мер защиты, если данные передаются в соответствии с пунктом 2 статьи 69 настоящего Закона, если такая передача данных о личности;
4) общее описание мер защиты, указанных в части 1 статьи 50 настоящего Закона, если это возможно.
Положения пункта 4 настоящей статьи не применяются, если обработка осуществляется компетентными органами для специальных целей.
Если обработка осуществляется компетентными органами для специальных целей, каждый обработчик обязан вести учет всех видов действий по обработке, осуществляемых от имени оператора, который содержит информацию о:
1) имя и контактная информация каждого обработчика и каждого обработчика, от имени которого осуществляется обработка, то есть лица по защите персональных данных, если оно назначено;
2) тип обработки, выполняемой от имени каждого оператора;
3) передача персональных данных другим странам или международным организациям при условии наличия у оператора прямого запроса на это, в том числе наименования стран или международных организаций, если такая передача персональных данных осуществляется;
4) общее описание мер защиты, указанных в части 1 статьи 50 настоящего Закона, если это возможно.
Записи из п. 1, 3, 4 и 6 настоящей статьи хранятся в письменной форме, в том числе в электронной форме, и хранятся постоянно.
Обработчик или обработчик, а также их представители, если они назначены, обязаны вести записи из п. 1, 3, 4 и 6 настоящей статьи предоставляются Уполномоченному по его запросу.
Положения п. 1. и 4. настоящей статьи не распространяются на хозяйствующих субъектов и организаций, в которых занято менее 250 человек, за исключением:
1) выполняемая ими обработка может создать высокий риск для прав и свобод лиц, к которым относятся данные;
2) обработка не разовая;
3) обработка включает в себя специальные виды персональных данных из пункта 1 статьи 17 настоящего Закона или персональные данные, связанные с судимостью, наказуемым деянием и мерами безопасности из статьи 19 настоящего Закона.
Запись действий по обработке, выполняемых компетентными органами для специальных целей
Компетентный орган, осуществляющий обработку данных для специальных целей, обязан обеспечить, чтобы при использовании системы автоматической обработки в этой системе фиксировались как минимум следующие действия по обработке: ввод, изменение, проверка, раскрытие, в том числе передача, сравнение и удаление.
Учет доступа и раскрытия персональных данных должен позволять определять причину совершения действий по обработке, дату и время совершения действий по обработке и, по возможности, личность лица, осуществившего доступ или разглашившего персональные данные, а также личность получателя этих данных.
Запись из пункта 1 настоящей статьи может быть использована исключительно в целях оценки законности обработки, внутреннего надзора, обеспечения целостности и безопасности данных, а также возбуждения и ведения уголовных дел.
Запись, созданная записью, указанной в пункте 1 настоящей статьи, предоставляется для ознакомления Уполномоченному по его требованию.
Обработчик, обработчик и их представители, если они назначены, обязаны сотрудничать с Комиссаром при осуществлении им своих полномочий.
2. Безопасность персональных данных
В соответствии с уровнем технических достижений и затрат на их применение, характером, объемом, обстоятельствами и целью обработки, а также вероятностью возникновения риска и уровнем риска для прав и свобод физических лиц, обработчик и обработчик принимают соответствующие технические, организационные и кадровые меры для достижения надлежащего уровня безопасности в отношении риска.
В случае необходимости к мерам, указанным в пункте 1 настоящей статьи, в частности, относятся:
1) псевдонимизация и криптозащита персональных данных;
2) способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость процессинговых систем и сервисов;
3) обеспечение установления повторной доступности и доступа к персональным данным при физических или технических происшествиях в кратчайшие сроки;
4) порядок регулярной проверки, оценки и оценки эффективности технических, организационных и кадровых мер безопасности.
При оценке соответствующего уровня защищенности из пункта 1 настоящей статьи учитываются риски обработки, особенно риски случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа к персональным данным, которые были переданы, сохранены или обрабатываются другим способом.
Приложение утвержденного кодекса поведения из статьи 59 настоящего закона, то есть выданное свидетельство из статьи 61 настоящего закона, может быть использовано для демонстрации выполнения обязательств из пункта 1 настоящей статьи.
Оператор и обработчик обязаны принимать меры для обеспечения того, чтобы любое физическое лицо, которое уполномочено оператором или обработчиком на доступ к персональным данным, обрабатывало эти данные только по распоряжению оператора или если это требуется по закону.
Положения п. Пункты 1-5 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Безопасность обработки, осуществляемой компетентными органами для специальных целей
Если обработка осуществляется компетентными органами для специальных целей и в соответствии с уровнем технологических достижений и затрат на их применение, характер, объем, обстоятельства и цель обработки, а также вероятность возникновения риска и уровень риска для прав и свобод физических лиц, обработчик и обработчик осуществляют соответствующие технические, организационные и кадровые меры для достижения надлежащего уровня безопасности в отношении риска, особенно если это касается обработки специальные виды персональных данных из статьи 18 настоящего Закона.
На основании оценки риска оператор или обработчик обязан применять соответствующие меры из пункта 1 настоящей статьи при автоматической обработке, которые обеспечивают:
1) предотвратить доступ посторонних лиц к используемому для обработки оборудованию («контроль доступа к оборудованию»);
2) предотвращать несанкционированное чтение, дублирование, изменение или удаление носителей информации («контроль носителей информации»);
3) не допускать несанкционированного ввода персональных данных, а также несанкционированного изменения, удаления и контроля хранимых персональных данных («контроль хранения»);
4) не допускать использования системы автоматической обработки неуполномоченным лицом, использующим средства передачи данных («использование контроля»);
5) обеспечить, чтобы лицо, уполномоченное использовать систему для автоматической обработки, имело доступ только к тем персональным данным, на которые распространяется его разрешение на доступ к данным («контроль доступа к данным»);
6) может проверить, то есть установить, кому персональные данные были переданы, могут быть переданы или предоставлены, с использованием средств передачи данных («контроль передачи»);
7) может впоследствии проверить, то есть определить, какие персональные данные были введены в автоматизированную систему обработки, каким лицом и когда они были введены («входной контроль»);
8) не допускать несанкционированного считывания, дублирования, изменения или удаления персональных данных при их передаче или во время перевозки носителя данных («транспортный контроль»);
9) восстановить установленную систему в случае прерывания ее работы («восстановление системы»);
10) обеспечить правильную работу системы и своевременное сообщение об ошибках в работе системы («надежность»), а также невозможность компрометации хранимых персональных данных из-за дефектов в работе системы («целостность»).
Уведомление Уполномоченного о нарушении персональных данных
Оператор обязан уведомить Уполномоченного о нарушении персональных данных, которое может создать угрозу для прав и свобод физических лиц, без неоправданной задержки или, по возможности, в течение 72 часов после того, как стало известно о нарушении.
Если оператор не действует в течение 72 часов после того, как ему стало известно о нарушении, он обязан объяснить причины бездействия в течение этого периода.
Обработчик обязан, узнав о нарушении персональных данных, незамедлительно сообщить об этом оператору.
Уведомление из пункта 1 настоящей статьи должно содержать как минимум следующую информацию:
1) описание характера нарушения персональных данных, в том числе виды данных и примерное количество лиц, к которым относятся данные такого типа, а также примерное количество персональных данных, безопасность которых нарушена;
2) наименование и контактные данные лица по защите персональных данных или сведения об ином способе получения информации о нарушении;
3) описание возможных последствий травмы;
4) описание мер, предпринятых оператором или предполагаемых к принятию в связи с нарушением, в том числе мер, принятых в целях уменьшения вредных последствий.
Если вся информация, указанная в пункте 4 настоящей статьи, не может быть представлена одновременно, оператор представляет имеющуюся информацию постепенно, без неоправданной задержки.
Оператор обязан документировать каждое нарушение персональных данных, в том числе факты нарушения, его последствия и принятые меры по их устранению.
Документация пункта 6 настоящей статьи должна позволить Уполномоченному определить, действовал ли оператор в соответствии с положениями настоящей статьи.
Если это нарушение персональных данных, которые обрабатываются компетентными органами для специальных целей и которые были переданы контролеру в другой стране или международной организации, контролер обязан предоставить контролеру информацию из пункта 4 настоящей статьи. в этой другой стране или международной организации без неоправданной задержки в соответствии с международным соглашением.
Уполномоченный устанавливает форму уведомления из пункта 1 настоящей статьи и более детально регламентирует порядок уведомления.
Уведомление лица о нарушении персональных данных
Если нарушение персональных данных может создать высокий риск для прав и свобод физических лиц, оператор обязан незамедлительно сообщить о нарушении лицу, к которому относятся данные.
В уведомлении из пункта 1 настоящей статьи оператор обязан четко и понятно описать характер нарушения данных и указать как минимум информацию из пункта 4 статьи 52. 2) – 4) настоящего Закона.
Оператор не обязан уведомлять лицо, указанное в пункте 1 настоящей статьи, если:
1) принял соответствующие технические, организационные и кадровые меры защиты в отношении персональных данных, безопасность которых была нарушена, особенно если он воспрепятствовал разборчивости данных для всех лиц, не имеющих права доступа к этим данным, средствами криптозащиты или другие меры;
2) впоследствии принял меры к тому, чтобы нарушение персональных данных с высокой степенью риска для прав и свобод лица, к которому относятся данные, не могло более иметь последствий для этого лица;
3) уведомление лица, к которому относятся данные, представляло бы собой несоразмерную трату времени и ресурсов. В этом случае оператор обязан уведомить лицо, к которому относятся данные, путем публичного уведомления или иным эффективным способом.
Если оператор не проинформировал лицо, к которому относятся данные, о нарушении персональных данных, Уполномоченный может, принимая во внимание возможность того, что нарушение данных создает высокий риск, приказать сделать это оператору или может определить, что нарушение соблюдены условия пункта 3 настоящей статьи .
Если это нарушение персональных данных, обрабатываемых компетентными органами для специальных целей, контролер может отложить или ограничить уведомление лица, к которому относятся данные, в соответствии с условиями и на основании причин из статьи 25, пункт 3 этот закон.
3. Оценка влияния обработки на защиту персональных данных и предыдущее заключение Уполномоченного
Оценка влияния на защиту персональных данных
Если существует вероятность того, что какой-либо вид обработки, особенно с использованием новых технологий и с учетом характера, объема, обстоятельств и цели обработки, вызовет высокий риск для прав и свобод физических лиц, оператор обязан провести оценку воздействия предполагаемых действий по обработке для защиты персональных данных.
Если несколько аналогичных операций по обработке могут вызвать одинаково высокие риски для защиты персональных данных, может быть проведена совместная оценка.
При оценке воздействия оператор обязан запросить мнение лица по защите персональных данных, если оно назначено.
Оценка воздействия, указанная в пункте 1 настоящей статьи, должна проводиться в случае:
1) систематическая и всесторонняя оценка состояния и особенностей физического лица, которая осуществляется с помощью автоматизированной обработки персональных данных, в том числе профилирования, на основании которой принимаются решения, имеющие значение для правового положения физического лица или имеющие аналогичное значительное воздействие на него;
2) обработка особых видов персональных данных, предусмотренных пунктом 1 статьи 17 и пунктом 1 статьи 18, или персональных данных в связи с вынесением приговоров по уголовным делам и наказуемыми деяниями, предусмотренными статьей 19 настоящего Закона, в крупном размере;
3) систематический надзор за общедоступными территориями в значительной степени.
Уполномоченный обязан составить и опубликовать на своем сайте перечень видов операций по переработке, в отношении которых должна быть проведена оценка воздействия, предусмотренная пунктом 1 настоящей статьи, а также вправе составить и опубликовать перечень видов операций по переработке, для которых оценка не требуется.
Оценка воздействия должна содержать как минимум:
1) исчерпывающее описание предполагаемых действий по обработке и цели обработки, включая описание законных интересов контролера, если таковые существуют;
2) оценка необходимости и соразмерности действий по обработке по отношению к целям обработки;
3) оценка рисков для прав и свобод лиц, к которым относятся сведения из пункта 1 настоящей статьи;
4) описание мер, которые предполагается принять в связи с наличием рисков, в том числе механизмов защиты, а также технических, организационных и кадровых мер, направленных на защиту персональных данных и предоставление доказательств соблюдения положений настоящего закона. , с учетом прав и законных интересов лиц, к которым относятся данные, а также других лиц.
Пункт 6 настоящей статьи не распространяется на оценку воздействия обработки, осуществляемой компетентными органами для специальных целей.
Оценка воздействия обработки, осуществляемой компетентными органами для специальных целей, должна как минимум содержать исчерпывающее описание предполагаемых действий по обработке, оценку риска для прав и свобод лиц, к которым относятся данные, описание мер, которые предполагается предпринять в связи с наличием риска, включая механизмы защиты, а также технические, организационные и кадровые меры, направленные на защиту персональных данных и предоставление доказательств соблюдения положений настоящего закона, принимая во внимание учитывать права и законные интересы лица, к которому относятся данные, и других лиц.
Применение обработчиком или обработчиком утвержденного кодекса поведения из статьи 59 настоящего закона должно учитываться при оценке влияния действий по обработке на защиту персональных данных.
Пункт 9 настоящей статьи не распространяется на обработку, осуществляемую компетентными органами для специальных целей.
При необходимости оператор запрашивает мнение лиц, к которым относятся данные, или их представителей о действиях по обработке, которые они намереваются выполнить, не ставя под сомнение защиту деловых или общественных интересов или безопасность действий по обработке.
Если отдельным законом предусмотрены отдельные действия по обработке, т.е. группы действий по обработке, и обработка осуществляется в соответствии со статьей 12, пунктом 1, пунктом 3) или пунктом 5) настоящего закона, то оценка воздействия на защиту персональных данных уже проводилась в рамках общей оценки воздействия при принятии закона, абз. Пункты 1-9 настоящей статьи не применяются, если не установлено, что необходимо провести новую оценку.
При необходимости и, по крайней мере, в случае изменения уровня риска, связанного с операциями по переработке, оператор обязан проверить, выполняются ли операции по переработке в соответствии с проведенной оценкой воздействия на защита персональных данных.
Предварительное мнение Уполномоченного
Если оценка влияния на защиту персональных данных, проведенная в соответствии со статьей 54 настоящего Закона, указывает на то, что предполагаемые действия по обработке будут создавать высокий риск, если не будут приняты меры по снижению риска, контролеру обязан запросить мнение Комиссара до начала действия по обработке.
Пункт 1 настоящей статьи не распространяется на обработку, осуществляемую компетентными органами для специальных целей.
Если обработка осуществляется компетентным органом для специальных целей, обработчик, то есть обработчик, обязан запросить мнение Уполномоченного до начала действий по обработке, которые приведут к созданию нового набора данных в случае, если :
1) оценка влияния на защиту персональных данных, проведенная в соответствии со статьей 54 настоящего Закона, указывает на то, что предполагаемые действия по обработке будут создавать высокий риск, если не будут приняты меры по снижению риска;
2) тип обработки, особенно при использовании новых технологий, механизмов защиты или процедур, представляет высокий риск для прав и свобод лиц, к которым относятся данные.
Если Уполномоченный считает, что предполагаемые операции по обработке из п. 1 и 3 настоящей статьи могли нарушать положения настоящего закона, и особенно, если оператор не оценил или не уменьшил риск должным образом, Уполномоченный обязан представить письменное заключение оператору или обработчику в течение 60 дней с даты получения запроса, если ему подан запрос, а также использовать полномочия, предусмотренные статьей 79 настоящего Закона, в случае необходимости.
Срок из пункта 4 настоящей статьи может быть продлен на 45 дней с учетом сложности предполагаемых действий по обработке, при этом Уполномоченный обязан уведомить оператора или обработчика, если им подана заявка, о задержке и причины задержки дачи заключения, в течение 30 дней с момента получения запроса на заключение.
Сроки из п. 4 и 5 настоящей статьи не вступают в силу до получения Уполномоченным всей запрашиваемой информации, необходимой для дачи заключения.
Наряду с запросом заключения оператор обязан предоставить Уполномоченному информацию о:
1) обязанности обработчика, а при наличии совместных обработчиков и переработчиков, участвующих в переработке, особенно если переработка осуществляется в рамках группы хозяйствующих субъектов;
2) цели и способы предполагаемой обработки;
3) технические, организационные и кадровые меры, а также механизмы защиты прав и свобод лиц, к которым относятся данные в соответствии с настоящим Законом;
4) контактная информация лица по защите данных, если она указана;
5) оценка влияния на защиту персональных данных статьи 54 настоящего Закона;
6) вся иная информация, запрошенная Комиссаром.
Пункт 7 настоящей статьи не распространяется на обработку, осуществляемую компетентными органами для специальных целей.
Если обработка осуществляется компетентным органом в специальных целях, обработчик, указанный в пункте 3 настоящей статьи, обязан предоставить Уполномоченному данные об оценке влияния на защиту персональных данных положений статьи 54 настоящего Закона. , а по запросу Уполномоченного – иную информацию, имеющую значение для его мнения о действиях по обработке, и в частности о риске для защиты персональных данных лица, к которому относятся данные, и механизмов защиты его права.
Уполномоченный может составить и публично опубликовать в своей интернет-презентации перечень видов процессинговых операций, в связи с которыми необходимо запросить его мнение.
Органы, предлагающие принятие законов и иных нормативных правовых актов на основе законов, содержащих положения об обработке персональных данных, обязаны запрашивать мнение Уполномоченного при их подготовке.
4. Лицо по защите персональных данных
Оператор и обработчик могут назначить лицо для защиты персональных данных.
Оператор и обработчик обязаны назначить лицо для защиты персональных данных, если:
1) обработка осуществляется органами власти, за исключением случаев, когда обработка осуществляется судом в целях осуществления его судебных полномочий;
2) основная деятельность обработчика или обработчика состоит из операций по обработке, которые по своему характеру, объему или целям требуют регулярного и систематического надзора за большим количеством лиц, к которым относятся данные;
3) основная деятельность оператора или обработчика заключается в обработке особых видов персональных данных из пункта 1 статьи 17 или персональных данных в связи с уголовными приговорами и наказуемыми действиями из статьи 19 настоящего Закона в крупном размере.
Положения п. 1. и 2. настоящей статьи не применяются к обработке компетентными органами для специальных целей.
Если обработка осуществляется компетентными органами для специальных целей, контролер обязан назначить лицо для защиты персональных данных, за исключением случаев, когда обработка осуществляется судами с целью осуществления их судебных полномочий.
Группа хозяйствующих субъектов может назначить общее лицо для защиты персональных данных при условии, что это лицо равнодоступно для каждого члена группы.
Если обработчиками или обработчиками являются органы или компетентные органы, может быть назначено общее лицо для защиты персональных данных с учетом организационной структуры и размера этих органов.
Специальный закон может предписывать, что обработчики, то есть обработчики или представляющие их ассоциации, должны назначить лицо для защиты персональных данных.
Лицо, ответственное за защиту персональных данных, определяется исходя из его профессиональной квалификации, особенно профессиональных знаний и опыта в области защиты персональных данных, а также способности выполнять обязанности, указанные в статье 58 настоящего Закона.
Лицо по защите персональных данных может быть нанято контролером или обработчиком или может выполнять задачи на основе договора.
Оператор или обработчик обязан опубликовать контактные данные лица по защите персональных данных и передать их Уполномоченному.
Уполномоченный ведет учет лиц по защите персональных данных, который содержит: имена и фамилии лиц по защите персональных данных, их контактные данные, а также имена и контактные данные обработчика, то есть обработчика .
Уполномоченный устанавливает форму учета из пункта 11 настоящей статьи и регулирует порядок его ведения.
Должность лица по защите персональных данных
Оператор и обработчик обязаны своевременно и надлежащим образом включать лицо по защите персональных данных во все задачи, связанные с защитой персональных данных.
Контролер и обработчик обязаны предоставить лицу по защите персональных данных возможность выполнять обязательства из статьи 58 настоящего Закона, предоставив ему необходимые средства для выполнения этих обязательств, доступ к персональным данным и действиям по обработке, а также его профессиональная подготовка.
Обработчик и обработчик обязаны обеспечить независимость лица в отношении защиты персональных данных при выполнении им своих обязанностей.
Контролер или обработчик не может наказывать лицо за защиту персональных данных, а также расторгать с ним трудовые отношения или договор за выполнение обязательств, предусмотренных статьей 58 настоящего закона.
За выполнение обязательств из статьи 58 настоящего Закона лицо по защите персональных данных несет прямую ответственность перед руководителем обработчика или обработчика.
Лица, к которым относятся данные, могут обращаться к лицу по вопросам защиты персональных данных в связи со всеми вопросами, связанными с обработкой их персональных данных, а также в связи с реализацией своих прав, предусмотренных настоящим законом.
Лицо по защите персональных данных обязано сохранять тайну, то есть конфиденциальность данных, полученных при исполнении обязанностей, предусмотренных статьей 58 настоящего Закона, в соответствии с законом.
Лицо по защите персональных данных может выполнять другие задачи и выполнять другие обязанности, а оператор или обработчик обязан обеспечить, чтобы выполнение других задач и обязательств не приводило лицо по защите персональных данных к конфликту интересов. .
Если обработчиками являются компетентные органы, осуществляющие обработку для специальных целей, положения п. Пункты с 1 по 5 и 8 этой статьи не относятся к процессору.
Обязанности лиц по защите персональных данных
Уполномоченный по защите персональных данных, как минимум, обязан:
1) информирует и дает заключение обработчику или обработчику, а также работникам, осуществляющим операции по обработке, об их юридических обязательствах по защите персональных данных;
2) осуществляет контроль за выполнением положений настоящего закона, иных законов и внутренних нормативных актов оператора или обработчика, связанных с защитой персональных данных, в том числе вопросов разделения обязанностей, повышения осведомленности и обучения работников, участвующих в деятельности по обработке, а также как контроль;
3) дает заключение по запросу об оценке влияния обработки на защиту персональных данных и контролирует действия в соответствии с этой оценкой в соответствии со статьей 54 настоящего Закона;
4) сотрудничает с Уполномоченным, представляет контактное лицо для взаимодействия с Уполномоченным и консультируется с ним по вопросам, связанным с обработкой, включая уведомление и получение заключений в соответствии со статьей 55 настоящего Закона.
При выполнении своих обязанностей лицо по защите персональных данных обязано проявлять особую осторожность в отношении риска, связанного с операциями обработки, с учетом характера, объема, обстоятельств и целей обработки.
Если обработчиками являются компетентные органы, осуществляющие обработку для специальных целей, положения абзаца 1, п. 1) и 2) этой статьи не относятся к процессору.
5. Кодекс поведения и выдача сертификатов
Ассоциации и другие организации, представляющие группы обработчиков или переработчиков, могут разработать кодекс поведения в целях более эффективного применения этого закона, особенно в отношении:
1) честная и прозрачная обработка;
2) законные интересы оператора с учетом обстоятельств конкретных дел;
3) сбор персональных данных;
4) псевдонимизация персональных данных;
5) информация, предоставляемая общественности и лицам, к которым относятся данные;
6) осуществление прав лица, к которому относятся данные;
7) информация, предоставляемая несовершеннолетним, их защита, а также способ получения согласия родителя, осуществляющего родительские права;
8) меры и процедуры из ст. 41 и 42 настоящего Закона, а также меры, направленные на обеспечение безопасности обработки из статьи 50 настоящего Закона;
9) уведомление Уполномоченного о нарушении персональных данных, а также информирование лица, к которому относятся данные, о таких нарушениях;
10) передача персональных данных другим странам или международным организациям;
11) способы разрешения споров между контролером и лицом, к которому относятся данные, мирным путем, что не влияет на осуществление прав лица, к которому относятся данные из ст. 82 и 84 настоящего Закона.
Обработчики, то есть обработчики, на которых не распространяется действие настоящего закона, в целях обеспечения надлежащих мер защиты лиц, к которым относятся данные, в рамках передачи их персональных данных другим странам или международным организациям на основании статьи 65, параграф 2, пункт 3) настоящего закона, могут принять или обязаться применять кодекс поведения, утвержденный в соответствии с параграфом 5 настоящей статьи, посредством договорных или других юридически обязывающих действий, которыми они обязуются применять эти меры защиты. меры, особенно в отношении прав лиц, к которым относятся данные.
Кодекс поведения из пункта 1 настоящей статьи обязательно содержит положения, позволяющие лицу из пункта 1 статьи 60 настоящего закона контролировать выполнение кодекса операторами или обработчиками, взявшими на себя обязательство по внедрению кодекса, что не затрагивают осмотр и иные полномочия уполномоченного из ст. 77-79 настоящего Закона.
Ассоциации и другие субъекты из пункта 1 настоящей статьи, которые намереваются разработать кодекс поведения или внести изменения в существующий кодекс, обязаны представить предложение кодекса или его поправок Уполномоченному для заключения.
Уполномоченный выносит заключение о соответствии предлагаемого кодекса поведения или поправок к нему положениям настоящего закона и, если он установит, что предлагаемый кодекс содержит достаточные гарантии защиты персональных данных, регистрирует кодекс поведения или его поправки и публикует их публично на своем веб-сайте.
Положения п. Пункты 1-5 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Контроль применения кодекса поведения
Контроль за применением кодекса поведения в соответствии с пунктом 3 статьи 59 настоящего Закона может осуществлять юридическое лицо, аккредитованное для осуществления контроля в соответствии с законодательством, регулирующим аккредитацию.
Осуществление контроля из пункта 1 настоящей статьи не затрагивает проверку и иные полномочия Уполномоченного из ст. 77-79 настоящего Закона.
Юридическое лицо, указанное в пункте 1 настоящей статьи, может быть аккредитовано только в случае:
1) доказал Уполномоченному свою независимость и компетентность в отношении содержания кодекса;
2) установил порядок оценки компетентности обработчиков и обработчиков по применению кодекса поведения, контроля за выполнением обработчиком или обработчиком кодекса, а также периодической проверки его эффективности;
3) установили порядок и орган для рассмотрения жалоб в связи с нарушением обработчиком или обработчиком кодекса поведения или порядка его применения, а также обеспечили прозрачность этого порядка и органа по отношению к общественности и лицам, которым данные относятся;
4) доказал Уполномоченному отсутствие конфликта интересов при осуществлении им своих полномочий.
В случае нарушения оператором или переработчиком кодекса поведения юридическое лицо из пункта 1 настоящей статьи принимает в установленном порядке соответствующие меры, в том числе временное или постоянное отстранение оператора или переработчика от применения кодекса.
Юридическое лицо из пункта 1 настоящей статьи обязано информировать Уполномоченного о принятых мерах из пункта 4 настоящей статьи, а также о причинах их определения.
Принятие мер, указанных в пункте 4 настоящей статьи, не влияет на полномочия Уполномоченного и применение положений Раздела VII. этого закона.
Аккредитация юридического лица, предусмотренного пунктом 1 настоящей статьи, аннулируется, если установлено, что оно более не соответствует требованиям, предъявляемым к аккредитации, или что предпринимаемые им меры нарушают положения настоящего Закона.
Положения п. Пункты 1-7 настоящей статьи не распространяются на органы и обработку, осуществляемую компетентными органами для специальных целей.
В целях подтверждения соблюдения операторами и обработчиками положений настоящего закона, и особенно с учетом потребностей малых и средних предприятий, процедур выдачи сертификатов о защите персональных данных с соответствующими товарными знаками и знаками защиты данных, можно установить.
Обработчику, то есть обработчику, на которого не распространяется действие настоящего закона, в целях доказательства того, что обработчик и обработчик приняли защитные меры, а также в рамках передачи своих персональных данных другим странам или международным организациям на основании 65, абзаца 2, пункта 5) настоящего Закона может быть выдано свидетельство с соответствующими товарными знаками и маркировкой в соответствии с пунктом 5 настоящей статьи при условии, что они принимают применение этих мер защиты, в том числе охрану права лиц, к которым относятся данные, посредством договора или иного юридически обязывающего акта.
Процесс выдачи сертификата является добровольным и прозрачным.
Наличие выданного сертификата не может повлиять на юридические обязательства обработчика и обработчика, а также на проверку и другие полномочия Уполномоченного по ст. 77-79 настоящего Закона.
Сертификат выдается органом по сертификации в соответствии со статьей 62 настоящего Закона или Уполномоченным на основании критериев, установленных Уполномоченным, в соответствии с полномочиями, предусмотренными пунктом 3 статьи 79 настоящего Закона.
Оператор и переработчик, запрашивающие выдачу сертификата, обязаны предоставить органу по сертификации в соответствии со статьей 62 настоящего Закона или Уполномоченному, если запрос адресован ему, доступ к операциям по обработке и предоставить всю информацию о переработке, которая необходимые для осуществления процедуры выдачи сертификата.
Сертификат выдается обработчику и обработчику на срок, который не может превышать трех лет, и может быть продлен, если они продолжают соответствовать тем же установленным условиям и критериям для выдачи сертификата.
Сертификат, указанный в пункте 7 настоящей статьи, аннулируется в случае, если орган по сертификации или Уполномоченный, если запрос адресован ему, установит, что обработчик или переработчик больше не соответствует установленным критериям для выдачи сертификата. .
Комиссар ведет и публично публикует на своем веб-сайте список органов по сертификации и выданных сертификатов с соответствующими товарными знаками и маркировкой.
Положения п. Пункты 1-9 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
Орган по сертификации, имеющий соответствующий уровень знаний в области защиты персональных данных и аккредитованный в соответствии с законодательством, регулирующим аккредитацию, выдает, продлевает и отзывает сертификат вместе с печатью и клеймом после уведомления Уполномоченного о принятом решении. производиться, что не влияет на проверку и иные полномочия уполномоченного из ст. 77-79 настоящего Закона.
Орган по сертификации, указанный в пункте 1 настоящей статьи, может быть аккредитован только в случае:
1) доказать Уполномоченному свою независимость и компетентность в отношении предмета сертификации;
2) обязались соблюдать критерии, установленные пунктом 5 статьи 61 настоящего Закона;
3) устанавливает порядок выдачи, периодической проверки и аннулирования свидетельств, товарных знаков и этикеток;
4) устанавливает порядок и определяет органы для рассмотрения жалоб на операторов и обработчиков за выполнение действий по обработке способом, противоречащим выданному сертификату, и делает их доступными для общественности и лица, к которому относятся данные;
5) доказать Уполномоченному, что при исполнении им своих обязанностей не может возникнуть конфликт интересов.
Уполномоченный устанавливает критерии аккредитации органа по сертификации, исходя из условий пункта 2 настоящей статьи.
Аккредитация выдается органу по сертификации на срок до пяти лет и может быть продлена, если орган по сертификации продолжает соответствовать установленным условиям и критериям аккредитации.
Аккредитация органа по сертификации прекращается, если установлено, что он более не соответствует условиям и критериям аккредитации, либо если установлено, что орган по сертификации нарушает положения настоящего Закона.
Орган по сертификации несет ответственность за правильную оценку выполнения критериев выдачи, продления и отзыва сертификата и обязан информировать Уполномоченного о причинах выдачи, продления или отзыва сертификата.
Уполномоченный публикует критерии аккредитации из пункта 3 настоящей статьи.
Сертификат, выданный сертификационным органом другой страны или международной организации, действителен в Республике Сербия, если он был выдан в соответствии с подтвержденным международным соглашением, участником которого является Республика Сербия.
Если орган по сертификации, проводивший сертификацию, аккредитован национальным органом другой страны, подписавшим соглашение с Органом по аккредитации Сербии, которое взаимно признает эквивалентность системы аккредитации в объеме, определенном подписанным соглашением, сертификаты что орган по сертификации может быть принят в Республике Сербии без повторного внедрения процесса сертификации.
Положения п. Пункты 1-9 настоящей статьи не распространяются на обработку, осуществляемую компетентными органами для специальных целей.
V ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ДРУГИЕ СТРАНЫ И МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ
Любая передача персональных данных, обработка которых находится в процессе или предназначена для дальнейшей обработки после их передачи в другую страну или международную организацию, может быть осуществлена только в том случае, если в соответствии с другими положениями настоящего закона обработчик и обработчик действуют в соответствии с условия, предусмотренные настоящей главой закона, что включает в себя дальнейшую передачу персональных данных из другой страны или международной организации в третью страну или международную организацию, с целью обеспечения надлежащего уровня защиты физических лиц, равного уровню гарантированного по этому закону.
Если обработка осуществляется компетентными органами для специальных целей, передача данных, обработка которых находится в процессе или которые предназначены для дальнейшей обработки после их передачи в другую страну или международную организацию, может осуществляться только при соблюдении следующих условий: вместе:
1) передача должна осуществляться для специальных целей;
2) персональные данные передаются обработчику в другой стране или международной организации, которая является компетентным органом для выполнения задач специального назначения;
3) Правительство установило перечень стран, частей их территорий или одной или нескольких отраслей определенной деятельности в тех странах и международных организациях, которые обеспечивают надлежащий уровень защиты персональных данных в соответствии со статьей 64 настоящего Закона, и данные передача осуществляется в одно из этих государств, на часть его территории или в один или несколько секторов определенной деятельности в этом государстве или в международную организацию, или, если это не так, применение соответствующих мер защиты обеспечивается в соответствии со статьей 66 настоящего Закона, либо, если их применение не предусмотрено, применяют положения о передаче данных в особых случаях из статьи 70 настоящего Закона;
4) в случае дальнейшей передачи персональных данных из другой страны или международной организации в третью страну или международную организацию компетентный орган, осуществивший первую передачу, или другой компетентный орган в Республике Сербии одобрил дальнейшую передачу, приняв учитывать все соответствующие обстоятельства для последующей передачи, включая тяжесть уголовного преступления, цель первой передачи и уровень защиты персональных данных в третьей стране или международной организации, которым данные передаются в дальнейшем.
Передача на основе соответствующего уровня защиты
Передача персональных данных в другую страну, на часть ее территории либо в одну или несколько отраслей определенной деятельности в этой стране или в международную организацию без предварительного согласования может быть осуществлена, если установлено, что другая страна, часть ее территории или один или несколько секторов определенной деятельности в этой стране или этой международной организации обеспечивают надлежащий уровень защиты персональных данных.
Считается, что надлежащий уровень защиты из пункта 1 настоящей статьи обеспечивается в странах и международных организациях, являющихся участниками Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, т.е. в странах, на части своей территории или в одном или нескольких секторах определенные виды деятельности в тех странах или международных организациях, которые определены Европейским союзом как обеспечивающие адекватный уровень защиты.
Правительство может определить, что государство, часть его территории, сфера деятельности, т.е. правовое регулирование или международная организация не обеспечивает надлежащего уровня защиты из пункта 1 настоящей статьи, если только оно не является членом Совета Европы. Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных, принимая во внимание:
1) принцип законности и уважения прав человека и основных свобод, действующего законодательства, в том числе нормативных актов в области общественной безопасности, обороны, национальной безопасности, уголовного права и доступа органов власти к персональным данным, а также применения настоящего Положения, правила о защите персональных данных и профессиональные правила в этой сфере, то есть принятие мер по защите персональных данных, в том числе правил о дальнейшей передаче персональных данных в третьи страны или международные организации, которые применяются в практике суды и другие органы в другой стране или международной организации, а также эффективность осуществления прав лиц, к которым относятся данные, и, в частности, эффективность административных и судебных процедур по защите прав лиц, чьи данные передаются;
2) наличие и эффективность работы надзорного органа по защите персональных данных в другой стране или надзорного органа, осуществляющего надзор за международной организацией в этой сфере, с полномочиями по обеспечению применения правил о защиты персональных данных и инициировать процедуры по защите персональных данных в случае их несоблюдения, оказывать помощь и консультации лицам, к которым относятся данные, при осуществлении ими своих прав, а также сотрудничать с надзорными органами другие страны;
3) международные обязательства, взятые на себя другим государством или международной организацией, или иные обязательства, вытекающие из имеющих обязательную юридическую силу международных договоров или иных правовых актов, а также из членства в многосторонних или региональных организациях, особенно в отношении защиты персональных данных.
Считается, что достаточный уровень защиты обеспечивается, если международный договор о передаче персональных данных заключен с другой страной или международной организацией.
В процессе заключения международного договора о передаче персональных данных выполнение условий пункта 3 настоящей статьи определяется отдельно.
Правительство отслеживает ситуацию в сфере защиты персональных данных в других странах, на части своей территории или в одном или нескольких секторах определенной деятельности в этих странах или в международных организациях, на основе имеющейся информации, собранной и на основе информации, собранной международными организации, которые важны для проверки наличия надлежащего уровня защиты.
Перечень стран, частей их территорий или одного или нескольких секторов определенной деятельности в тех странах и международных организациях, в которых считается, что обеспечен адекватный уровень защиты, т.е. для которых Правительство определило, что оно не обеспечивает адекватный уровень защиты, опубликовано в «Официальном вестнике Республики Сербии».
Передача с применением соответствующих мер защиты
Контроллер или обработчик может передавать персональные данные в другую страну, на часть ее территории или в один или несколько секторов определенной деятельности в этой стране или в международную организацию, для которых не установлен список из пункта 7 статьи 64 настоящего закона. наличие надлежащего уровня защиты только в том случае, если обработчик, то есть обработчик, предусмотрел соответствующие меры для защиты этих данных и если лицу, к которому относятся данные, обеспечена реализация его прав и эффективная правовая защита.
Соответствующие меры защиты из пункта 1 настоящей статьи могут быть предоставлены без специального согласования с Уполномоченным:
1) юридически обязательным актом, составленным между органами власти;
2) типовые договорные условия, составленные Комиссаром в соответствии со статьей 45 настоящего Закона, в полной мере регулирующие правоотношения между оператором и процессором;
3) обязательные правила делового оборота в соответствии со статьей 67 настоящего Закона;
4) утвержденный кодекс поведения в соответствии со статьей 59 настоящего Закона вместе с обязательным и обязательным применением соответствующих мер защиты, включая защиту прав субъекта данных, обработчиком или обработчиком в другой стране или международной организации ;
5) выданные сертификаты из статьи 61 настоящего Закона вместе с принятыми на себя обязательствами по применению соответствующих мер защиты, включая защиту прав лица, к которому относятся данные, обработчиком или обработчиком в другой стране или международной организации.
Соответствующие меры защиты из пункта 1 настоящей статьи могут также предоставляться на основании специального разрешения Уполномоченного:
1) договорные положения между обработчиком или обработчиком и обработчиком, обработчиком или получателем в другой стране или международной организации;
2) положения, включенные в соглашение между органами власти, которые обеспечивают эффективную и действенную защиту прав лиц, к которым относятся данные.
Уполномоченный должен дать разрешение в соответствии с пунктом 3 настоящей статьи в течение 60 дней с даты подачи запроса на утверждение.
Положения п. Пункты 1–4 настоящей статьи не распространяются на передачу данных, обрабатываемых компетентными органами для специальных целей.
Передача данных, обрабатываемых компетентными органами для специальных целей, с применением соответствующих мер защиты
Если обработка осуществляется компетентными органами в специальных целях, передача персональных данных в другую страну, на часть ее территории или в один или несколько секторов определенной деятельности в этой стране или в международную организацию, для которых перечень из статьи 64, пункт 7 настоящего Закона не установлено наличие надлежащего уровня защиты допускается в одном из следующих случаев:
1) если юридически обязывающим актом предусмотрены соответствующие меры по защите персональных данных;
2) если оператор оценил все обстоятельства, связанные с передачей персональных данных, и установил наличие соответствующих мер защиты персональных данных.
Оператор обязан уведомить Комиссионера о переводе, совершенном на основании абзаца 1 пункта 2) настоящей статьи.
Оператор обязан документально оформить передачу, осуществленную на основании абзаца 1 пункта 2) настоящей статьи, а также предоставить документацию о передаче Комиссионеру по его требованию.
Документация о передаче, указанной в пункте 3 настоящей статьи, содержит сведения о дате и времени передачи, компетентном органе, получившем данные, причинах передачи и данных, которые были переданы.
Комиссар утверждает обязательные бизнес-правила, если эти правила вместе отвечают следующим условиям:
1) имеют обязательную юридическую силу, применяются и реализуются каждым участником многонациональной компании или группы хозяйствующих субъектов, в том числе их работниками;
2) прямо обеспечить реализацию прав субъекта данных в связи с обработкой его данных;
3) соответствовать условиям, предусмотренным пунктом 2 настоящей статьи.
Обязательные бизнес-правила из пункта 1 настоящей статьи должны указывать как минимум:
1) структура и контактная информация многонациональной компании или группы хозяйствующих субъектов, а также каждого из ее участников;
2) передача или группы передач персональных данных, в том числе виды персональных данных, виды операций по обработке и их цель, виды лиц, к которым относятся данные, и наименование страны, в которую данные передаются;
3) обязательство применять обязательные правила ведения бизнеса как внутри многонациональной компании или группы хозяйствующих субъектов, так и за их пределами;
4) применение общих принципов защиты персональных данных, в частности ограничения цели обработки, минимизации данных, ограничения хранения, целостности данных, постоянных мер защиты данных, правовых основ обработки, обработки отдельных видов персональных данных, мер безопасности и условия дальнейшей передачи данных о лице другим лицам или органам, не связанным обязательными деловыми правилами;
5) права субъекта данных в отношении обработки и способов осуществления этих прав, в том числе права, связанные с автоматизированным принятием индивидуальных решений и профилированием из статьи 38 настоящего закона, право на подачу жалобы Уполномоченному, то есть иск в суд в соответствии со ст. 82 и 84 настоящего Закона, а также право на возмещение убытков вследствие нарушения обязательных правил делового оборота;
6) принятие на себя ответственности обработчика, т. е. обработчика с местожительством, резиденцией или штаб-квартирой на территории Республики Сербия за нарушение этих правил, совершенное другим членом группы, который не имеет резиденции, резиденции или штаб-квартиры в на территории Республики Сербии, если обработчик или обработчик не докажет, что другая группа-член не несет ответственности за событие, вызвавшее ущерб;
7) способ, которым лицо, к которому относятся данные, получает информацию об обязательных правилах ведения бизнеса, и особенно о положениях пункта 4) – 6) настоящего пункта, наряду с предоставлением иных сведений из ст. 23 и 24 настоящего Закона;
8) полномочия лица по защите персональных данных, определенные в соответствии со статьей 58 настоящего Закона, или любого другого лица, уполномоченного осуществлять надзор за применением обязательных правил ведения бизнеса в многонациональной компании или группе хозяйствующих субъектов, в том числе надзор за обучением и принятием решений по жалобам в многонациональной компании или группе;
9) процедура, осуществляемая на основании жалоб;
10) механизм проверки действий в соответствии с обязательными правилами ведения бизнеса в рамках транснациональной компании или группы хозяйствующих субъектов. Этот механизм включает в себя проверку защиты персональных данных и корректирующие меры для защиты прав субъектов данных. Результаты проверки должны быть доведены до сведения лица, указанного в пункте 8) настоящего пункта, а также до органа управления многонациональной компании или группы хозяйствующих субъектов, и должны быть предоставлены Уполномоченному по его требованию;
11) способ сообщения и ведения учета изменений обязательных правил ведения бизнеса и способ уведомления Комиссара об этих изменениях;
12) способ взаимодействия с Уполномоченным в целях обеспечения выполнения обязательных правил хозяйственной деятельности каждым участником многонациональной компании или группы хозяйствующих субъектов в отдельности и, в частности, порядок рассмотрения результатов проверки из пункта 10) этот параграф предоставляется Комиссару;
13) порядок сообщения Уполномоченному о юридических обязательствах, которые распространяются на члена многонациональной компании или группу хозяйствующих субъектов в другой стране, что может оказать существенное негативное влияние на гарантии, предусмотренные обязательными правилами ведения бизнеса;
14) надлежащее обучение защите персональных данных лиц, имеющих постоянный или регулярный доступ к персональным данным.
Уполномоченный может более детально регламентировать порядок обмена информацией между обработчиками, обработчиками и Уполномоченным в порядке применения пункта 2 настоящей статьи.
При соблюдении условий пункта 1 настоящей статьи Уполномоченный утверждает обязательные для исполнения правила делового оборота в течение 60 дней со дня подачи заявления об их утверждении.
Положения п. Пункты 1–4 настоящей статьи не распространяются на передачу данных, обрабатываемых компетентными органами для специальных целей.
Передача или раскрытие персональных данных на основании решения властей другой страны
Решения суда или административного органа другой страны, требующие от контролера или обработчика данных о передаче или раскрытии персональных данных, могут быть признаны или приведены в исполнение в Республике Сербия только в том случае, если они основаны на международном соглашении, таком как соглашение о международном правовая помощь, заключенная между Республикой Сербией и другими государствами, которая не влияет на применение других оснований для передачи в соответствии с положениями настоящей главы закона.
Пункт 1 настоящей статьи не распространяется на передачу данных, обрабатываемых компетентными органами для специальных целей.
Передача данных в особых ситуациях
Если передача персональных данных не осуществляется в соответствии с положениями ст. 64, 65 и 67 настоящего закона, эти данные могут быть переданы в другую страну или международную организацию только в одном из следующих случаев:
1) лицо, к которому относятся данные, выразило явное согласие на предлагаемую передачу, поскольку в связи с отсутствием решения о соответствующем уровне защиты и соответствующих мерах защиты оно было проинформировано о возможных рисках, связанных с этой передачей;
2) передача необходима для исполнения договора между субъектом данных и контролером или для реализации преддоговорных мер, принятых по запросу субъекта данных;
3) передача необходима для заключения или исполнения договора, заключенного в интересах лица, к которому относятся данные, между контролером и другим физическим или юридическим лицом;
4) передача необходима для достижения важных общественных интересов, предусмотренных законом Республики Сербия, при условии, что передача определенных типов персональных данных не ограничивается настоящим законом;
5) передача необходима для предъявления, реализации или защиты иска;
6) передача необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически не может дать согласие;
7) передаются определенные личные данные, содержащиеся в публичном реестре, которые доступны общественности или любому лицу, которое может доказать, что у него есть обоснованный интерес, но только в той степени, в которой в этом отношении соблюдаются условия, установленные законом для проверки. частный случай.
Если передача не может быть осуществлена в соответствии с пунктом 1 настоящей статьи и ст. 64, 65 и 67 настоящего закона, персональные данные могут быть переданы в другую страну или международную организацию только при одновременном соблюдении следующих условий:
1) передача данных не повторяется;
2) передаются данные ограниченного круга физических лиц;
3) передача необходима для достижения законного интереса оператора, превалирующего над интересами, то есть правами или свободами лица, к которому относятся данные;
4) оператор обеспечил применение соответствующих мер защиты персональных данных на основании предварительной оценки всех обстоятельств, связанных с передачей этих данных.
Оператор, то есть обработчик, обязан предоставить доказательства проведенной оценки и применения соответствующих мер защиты из абзаца 2 пункта 4) настоящей статьи в протоколе обработки действий, указанных в статье 47 настоящего Закона.
Оператор обязан информировать Уполномоченного о передаче данных, осуществляемой в соответствии с пунктом 2 настоящей статьи.
Оператор обязан предоставить лицу, к которому относятся данные, наряду со сведениями из ст. 23 и 24 настоящего Закона, также привести информацию о передаче данных из пункта 2 настоящей статьи, в том числе информацию о том, какой законный интерес оператора достигается такой передачей.
Передача данных из абзаца 1 пункта 7) настоящей статьи не может относиться ко всем персональным данным или ко всем видам персональных данных из реестра.
В случае передачи данных из реестра, которые доступны только лицу, имеющему обоснованный интерес, в соответствии с абзацем первым пункта 7) настоящей статьи передача может быть осуществлена только по заявлению этого лица или в случае его получатель данных.
Положения абзаца 1, п. Пункты 1) – 3) и пункт 2 настоящей статьи не распространяются на деятельность органов власти при осуществлении ими своих полномочий.
Положения п. 1-8 настоящей статьи не распространяются на передачу данных, обрабатываемых компетентными органами для специальных целей.
Особые ситуации передачи данных, обрабатываемые компетентными органами для особых целей
Если передача персональных данных, обрабатываемых компетентными органами для специальных целей, не осуществляется в соответствии с положениями ст. 64 и 66 настоящего Закона, эти данные могут быть переданы другой стране или международной организации только в том случае, если такая передача необходима в одном из следующих случаев:
1) в целях защиты жизненно важных интересов лица, к которому относятся данные, или другого физического лица;
2) в целях защиты законных интересов лица, к которому относятся данные, если это предусмотрено законом;
3) для предотвращения непосредственной и серьезной опасности для общественной безопасности Республики Сербии или другой страны;
4) в отдельном случае, если речь идет о переработке для специальных целей;
5) в отдельном случае для предъявления, реализации или защиты иска, если эта цель непосредственно связана со специальными целями.
Передача персональных данных не может быть осуществлена, если компетентный орган, осуществляющий передачу, определит, что интерес защиты основных прав и свобод лица, к которому относятся данные, перевешивает общественный интерес из пункта 1, пункта. 4) и 5) настоящей статьи.
Компетентный орган обязан документально оформить передачу, осуществленную на основании пункта 1 настоящей статьи, а также предоставить эту документацию Уполномоченному по его требованию.
Документация о передаче, указанной в пункте 3 настоящей статьи, содержит сведения о дате и времени передачи, компетентном органе, получившем данные, причинах передачи и данных, которые были переданы.
Передача данных, обрабатываемых компетентными органами для специальных целей, получателю в другой стране
В порядке исключения из положений пункта 2 статьи 63 настоящего Закона и независимо от применения международного договора из пункта 2 настоящей статьи компетентный орган, осуществляющий обработку данных для специальных целей, может напрямую передавать персональные данные получателю. в другой стране только в том случае, если соблюдаются другие положения настоящего закона и при одновременном соблюдении следующих условий:
1) передача необходима для исполнения законного разрешения компетентного органа, осуществляющего передачу для специальных целей;
2) компетентный орган, осуществляющий передачу, определил, что интерес защиты основных прав или свобод лица, к которому относятся данные, не перевешивает общественный интерес, для защиты которого необходимо передать данные;
3) компетентный орган, осуществляющий передачу, считает, что передача компетентному органу другой страны для специальных целей неэффективна или не соответствует достижению этих целей, особенно если передача не может быть осуществлена в срок;
4) компетентный орган другой страны уведомляется о передаче без неоправданной задержки, за исключением случаев, когда такое уведомление является недействительным или не соответствует достижению цели;
5) компетентный орган, осуществляющий передачу, проинформировал получателя в другой стране о целях обработки данных, а также о том, что обработка может осуществляться только для этих целей, только получателем и только в том случае, если такая обработка необходимый.
Международным соглашением, указанным в пункте 1 настоящей статьи, является любое соглашение, заключенное между Республикой Сербия и одним или несколькими другими государствами, которое регулирует сотрудничество по уголовным делам или сотрудничество полиции.
Компетентный орган, осуществляющий передачу, обязан сообщить Уполномоченному о передаче, осуществленной на основании пункта 1 настоящей статьи.
Компетентный орган обязан документально оформить передачу, осуществленную на основании пункта 1 настоящей статьи, а также предоставить эту документацию Уполномоченному по его требованию.
Документация о передаче из пункта 4 настоящей статьи содержит сведения о дате и времени передачи, получателе данных, причинах передачи и персональных данных, которые были переданы.
Международное сотрудничество в связи с защитой персональных данных
Уполномоченный принимает соответствующие меры во взаимоотношениях с органами, ответственными за защиту персональных данных других стран и международных организаций, в целях:
1) развитие механизмов международного сотрудничества для содействия эффективному применению законодательства, связанного с защитой персональных данных;
2) обеспечение международной взаимопомощи в применении законодательства, связанного с защитой персональных данных, включая уведомление, направление на процедуры защиты и правовую помощь при осуществлении надзора, а также обмен информацией при условии принятия соответствующих мер по защите персональных данных были изъяты и основные права и свободы;
3) привлечение заинтересованных лиц к обсуждениям и мероприятиям, направленным на развитие международного сотрудничества в сфере применения законодательства о защите персональных данных;
4) поощрение и совершенствование обмена информацией о законодательстве, связанном с защитой персональных данных и его применении, в том числе по вопросам конфликтов юрисдикций с другими государствами в этой сфере.
В целях защиты основных прав и свобод физических лиц в связи с обработкой работу по контролю за применением настоящего Закона осуществляет Уполномоченный как самостоятельный государственный орган в соответствии с установленными полномочиями.
У уполномоченного есть заместитель по защите персональных данных.
Положения закона, регулирующие свободный доступ к информации, имеющей общественное значение, распространяются на местопребывание Уполномоченного, избрание Уполномоченного и заместителя Уполномоченного, прекращение их полномочий, порядок их увольнения, занимаемую должность, профессиональную службу Уполномоченного. Уполномоченного, а также на финансирование и представление отчетов, если настоящим законом не установлено иное.
При осуществлении своих полномочий и обязанностей в соответствии с настоящим законом Уполномоченный полностью самостоятелен, свободен от какого-либо прямого или косвенного внешнего влияния и не может запрашивать или получать распоряжения от кого бы то ни было.
Комиссар не может заниматься какой-либо другой деятельностью или работой за вознаграждение или без такового, а также не может выполнять какие-либо другие общественные функции или осуществлять какие-либо другие государственные полномочия, а также действовать политически.
В целях обеспечения эффективного осуществления полномочий, установленных законодательством, необходимые финансовые средства для работы, помещения для работы, а также необходимые технические, организационные и кадровые условия для работы Уполномоченного предоставляются в соответствии с законом, регулирующим бюджет и законы, регулирующие государственное управление и положение государственных служащих.
Уполномоченный самостоятельно отбирает работников из числа кандидатов, отвечающих установленным законодательством условиям для работы в государственных органах, и полностью самостоятельно руководит ими.
Контроль за расходованием средств на работу Уполномоченного осуществляет Государственное контрольно-ревизионное учреждение в соответствии с законодательством способом, не затрагивающим независимость Уполномоченного.
Условия избрания Уполномоченного
Помимо условий избрания Уполномоченного, предусмотренных законом, регулирующим свободный доступ к информации, имеющей общественное значение, Уполномоченный должен обладать необходимыми профессиональными знаниями и опытом в области защиты персональных данных.
Обязанность хранить профессиональную тайну
Уполномоченный, заместитель Уполномоченного и работники Уполномоченного обязаны хранить в качестве профессиональной тайны все сведения, полученные при исполнении ими своих функций, то есть работы, в том числе сведения, связанные с нарушением настоящего Закона, доведенные до их сведения лицом, не работает Комиссаром.
Обязанность, предусмотренная пунктом 1 настоящей статьи, сохраняется и после прекращения полномочий Уполномоченного или заместителя Уполномоченного, то есть прекращения работы на службе Уполномоченного.
Комиссар осуществляет свои полномочия в соответствии с настоящим законом на территории Республики Сербии.
При осуществлении своих полномочий Уполномоченный действует в соответствии с законодательством, регулирующим общий административный порядок, а также с соответствующим применением законодательства, регулирующего инспекционный надзор, если иное не установлено настоящим Законом.
Комиссар не уполномочен контролировать рассмотрение дела судами при осуществлении ими своих судебных полномочий.
Доверенное лицо:
1) контролирует и обеспечивает исполнение настоящего Закона в соответствии со своими полномочиями;
2) заботится о повышении осведомленности общественности о рисках, правилах, мерах защиты и правах в связи с обработкой, особенно если это касается обработки данных о несовершеннолетнем;
3) дает заключение Национальному Собранию, Правительству, другим органам и организациям в соответствии с положением о правовых и иных мерах, связанных с защитой прав и свобод физических лиц в связи с обработкой;
4) заботится о повышении осведомленности обработчиков и переработчиков об их обязанностях, установленных настоящим законом;
5) по запросу лица, к которому относятся данные, предоставляет информацию о своих правах, установленных настоящим законом;
6) действует по жалобам лиц, к которым относятся данные, устанавливает, имело ли место нарушение настоящего Закона, и информирует заявителя о ходе и результатах процедуры, проводимой в соответствии со статьей 82 настоящего Закона;
7) сотрудничает с надзорными органами других стран в связи с защитой персональных данных, особенно в сфере обмена информацией и оказания взаимной правовой помощи;
8) осуществляет инспекционный надзор за исполнением настоящего закона в соответствии с настоящим законом и соответствующим применением закона, регулирующего инспекционный надзор, и вносит ходатайство о возбуждении дела о проступке, если установит, что имело место нарушение настоящего закона. , в соответствии с законом, регулирующим правонарушения;
9) следит за развитием информационных и коммуникационных технологий, а также деловой и иной практикой, имеющей значение для защиты персональных данных;
10) разрабатывает типовые договорные условия из пункта 11 статьи 45 настоящего Закона;
11) составляет и публично публикует списки, указанные в пункте 5 статьи 54 настоящего Закона;
12) дает письменное заключение в соответствии с пунктом 4 статьи 55 настоящего Закона;
13) ведет учет лиц по защите персональных данных, указанных в пункте 11 статьи 56 настоящего Закона;
14) поощряет разработку кодекса поведения в соответствии с пунктом 1 статьи 59 настоящего Закона и дает заключение и согласие на кодекс поведения в соответствии с пунктом 5 статьи 59 настоящего Закона;
15) выполняет задачи в соответствии со статьей 60 настоящего Закона;
16) поощряет выдачу сертификатов для защиты персональных данных и соответствующих товарных знаков и маркировок в соответствии с пунктом 1 статьи 61 и устанавливает критерии сертификации в соответствии с пунктом 5 статьи 61 настоящего закона;
17) проводит периодическую проверку свидетельств в соответствии с пунктом 8 статьи 61 настоящего Закона;
18) устанавливает и публикует критерии аккредитации органа по сертификации и выполняет задачи в соответствии со статьей 62 настоящего Закона;
19) утверждает положения договоров или соглашений из пункта 3 статьи 65 настоящего Закона;
20) утверждает обязательные для исполнения правила делового оборота в соответствии со статьей 67 настоящего Закона;
21) ведет внутренний учет нарушений настоящего Закона и мер, принятых при проведении инспекционного надзора в соответствии с пунктом 2 статьи 79 настоящего Закона;
22) выполняет иные обязанности, предусмотренные настоящим Законом.
Задачи по надзору из пункта 1, пункта 1) и 8) настоящей статьи осуществляется Уполномоченным через уполномоченных лиц из профессиональной службы Уполномоченного.
Записи, указанные в абзаце первом пункта 21) настоящей статьи, содержат: данные об обработчиках или обработчиках, нарушивших настоящий закон (их имя, фамилия или должность, место жительства, место жительства или место нахождения), данные о нарушениях настоящего закона. закона (описание нарушения и статьи закона, повлекшего за собой причинение вреда), данные о принятых мерах и данные о действиях оператора или обработчика по наложенным мерам.
Форма протоколов из пункта 3 настоящей статьи и порядок их ведения устанавливаются Уполномоченным.
В целях упрощения подачи жалобы Уполномоченный устанавливает форму жалобы и допускает ее подачу в электронном виде, не исключая других средств связи.
Уполномоченный выполняет свои обязанности безвозмездно для лица, к которому относятся данные, и лица по защите персональных данных.
Если жалоба к Уполномоченному является явно необоснованной, чрезмерной или чрезмерно повторяющейся, Уполномоченный может потребовать возмещения необходимых расходов или отказать в принятии мер по этой жалобе, сославшись на причины, доказывающие, что это необоснованная, чрезмерная или чрезмерно повторяющаяся просьба.
Комиссар вправе:
1) приказать оператору и обработчику, а при необходимости и их представителям предоставить ему всю информацию, которую он запрашивает при осуществлении своих полномочий;
2) проверяет и оценивает применение положений закона и иным образом осуществляет надзор за защитой персональных данных, используя инспекционные полномочия;
3) проверяет выполнение условий сертификации в соответствии с пунктом 8 статьи 61 настоящего Закона;
4) сообщает обработчику, то есть обработчику, о возможных нарушениях этого закона;
5) запрашивать и получать от обработчика и обработчика доступ ко всем персональным данным, а также информацию, необходимую для осуществления своих полномочий;
6) запрашивать и получать доступ во все помещения оператора и обработчика, в том числе доступ ко всем средствам и оборудованию.
Комиссар вправе принять следующие меры по исправлению положения:
1) предупредить обработчика и обработчика путем представления письменного мнения о том, что предполагаемые действия по обработке могут нарушать положения настоящего закона в соответствии с пунктом 4 статьи 55 настоящего закона;
2) вынести предупреждение оператору, то есть обработчику, если обработка нарушает положения настоящего закона;
3) поручить обработчику и обработчику действовать по запросу лица, к которому относятся данные, в связи с осуществлением его прав в соответствии с настоящим законом;
4) приказать обработчику и обработчику согласовать действия по обработке с положениями настоящего закона точно определенным образом и в точно установленный срок;
5) поручить оператору сообщить лицу, к которому относятся персональные данные, о нарушении персональных данных;
6) наложить временное или постоянное ограничение на обработку, в том числе запрет на обработку;
7) заказать исправление или удаление персональных данных или ограничить обработку в соответствии со ст. 29-32 настоящего Закона, а также обязать оператора информировать другого оператора, лицо, к которому относятся данные, и получателей, которым были раскрыты или переданы персональные данные, в соответствии со статьей 30, пунктом 3 и ст. . 33 и 34 настоящего Закона;
8) отозвать сертификат или обязать орган по сертификации отозвать сертификат, выданный в соответствии со ст. 61 и 62 настоящего Закона, а также предписать органу по сертификации отказать в выдаче сертификата при несоблюдении условий его выдачи;
9) налагать штраф на основании предписания о проступке, если в ходе проверки установлено, что совершен проступок, за который настоящим законом установлен фиксированный размер штрафа, вместо иных мер, предусмотренных настоящим пунктом или в дополнения к ним в зависимости от обстоятельств конкретного дела;
10) приостановить передачу персональных данных получателю в другую страну или международную организацию.
Доверительный управляющий также имеет право:
1) разрабатывает типовые договорные условия из статьи 45, пункт 11;
2) дает заключение кураторам в порядке предварительного получения заключения Уполномоченного в соответствии со статьей 55 настоящего Закона;
3) дает заключение Национальному Собранию, Правительству, другим органам и организациям по собственной инициативе или по их запросу, а также общественности по всем вопросам, связанным с защитой персональных данных;
4) зарегистрировать и опубликовать кодекс поведения, на который он ранее дал свое согласие, в соответствии с пунктом 5 статьи 59 настоящего Закона;
5) выдает сертификаты и устанавливает критерии выдачи сертификатов в соответствии с пунктом 5 статьи 61 настоящего Закона;
6) устанавливает критерии аккредитации в соответствии со статьей 62 настоящего Закона;
7) утверждает договорные условия, то есть положения, заключенные в договоре, в соответствии с пунктом 3 статьи 65 настоящего Закона;
8) утверждает обязательные для исполнения правила делового оборота в соответствии со статьей 67 настоящего Закона.
Контроль за актами Уполномоченного, принятыми на основании настоящей статьи, осуществляется судом в соответствии с законом.
При осуществлении своих полномочий Уполномоченный может возбудить дело в суде или ином органе в соответствии с законом.
Компетентный орган, осуществляющий обработку для специальных целей, обязан обеспечить реализацию эффективных механизмов конфиденциального сообщения Уполномоченному о случаях нарушения настоящего закона.
Уполномоченный обязан ежегодно составлять отчет о своей деятельности, содержащий данные о видах нарушений настоящего Закона и мерах, принятых в связи с этими нарушениями, а также представлять его Национальному Собранию.
Отчет из пункта 1 настоящего пункта также представляется Правительству и доводится до сведения общественности в установленном порядке.
VII PRAVNA SREDSTVA, ODGOVORNOST I KAZNE
Право на жалобу Уполномоченному
Лицо, к которому относятся данные, вправе подать жалобу Уполномоченному, если считает, что обработка его персональных данных осуществлялась вопреки положениям настоящего закона. В претензионном порядке соответственно применяются положения закона, регулирующие инспекционный надзор в части рассмотрения жалоб. Подача жалобы Уполномоченному не влияет на право этого лица инициировать другие административные или судебные процедуры защиты.
Уполномоченный обязан информировать заявителя о ходе проводимого им производства, результатах производства, а также о праве лица на возбуждение судебного дела в соответствии со статьей 83 настоящего Закона.
Право на судебную защиту от решения Уполномоченного
Лицо, к которому относятся данные, обработчик, обработчик или иное физическое или юридическое лицо, к которому относится решение Уполномоченного, принятое в соответствии с настоящим законом, имеет право возбудить административный спор против этого решения с иском. в течение 30 дней со дня получения решения. Подача иска в административном споре не влияет на право инициировать иные административные или судебные процедуры защиты.
Если Уполномоченный не действует по жалобе или не действует в соответствии со статьей 82, пунктом 2 настоящего Закона, в течение 60 дней со дня подачи жалобы, лицо, к которому относятся данные, имеет право возбудить административное дело. спор.
Лицо, к которому относятся данные, имеет право на судебную защиту, если считает, что вопреки настоящему закону его право, предусмотренное настоящим законом, было нарушено оператором или обработчиком действием по обработке его персональных данных. Подача иска в суд не влияет на право этого лица инициировать другие административные или судебные процедуры защиты.
При иске о защите прав, предусмотренных пунктом 1 настоящей статьи, суд может быть обязан обязать ответчика:
1) предоставление сведений из ст. 22-27 ст. 33-35 и статьи 37 настоящего Закона;
2) исправление, т.е. удаление данных об истце из ст. 29, 30 и 32 настоящего Закона;
3) ограничение обработки из ст. 31 и 32 настоящего Закона;
4) предоставление данных в структурированной, широко используемой и электронной форме;
5) передача данных другому оператору, указанному в статье 36 настоящего Закона;
6) прекращения обработки данных в соответствии со статьей 37 настоящего Закона.
С иском о защите прав из пункта 1 настоящей статьи в суд может быть обращено требование об установлении того, что решение в отношении истца принято с нарушением ст. 38 и 39 настоящего Закона.
Иск из п. 2. и 3. настоящей статьи должны быть представлены в вышестоящий суд, на территории которого контролер, т. е. обработчик или его представитель, имеет место жительства, место жительства или штаб-квартиру, или на чьей территории находится лицо, к которому относятся данные. место жительства или проживания, если только контролер, то есть обработчик, не является уполномоченным органом.
Пересмотр вступивших в законную силу решений, вынесенных по искам из п. 2. и 3. этой статьи разрешены всегда.
В порядке судебной защиты применяются нормы права, регулирующего гражданский процесс, если иное не установлено настоящим Законом.
Представление лица, к которому относятся данные
Лицо, к которому относятся данные, в связи с защитой персональных данных вправе уполномочить представителя объединения, занимающегося защитой прав и свобод лица, к которому относятся данные, в соответствии с закона, представлять его в судебном разбирательстве, указанном в ст. 82-84 и статьей 86 этого закона.
Лицо, которому причинен материальный или нематериальный ущерб вследствие нарушения положений настоящего Закона, имеет право на денежное возмещение этого ущерба от обработчика или обработчика, причинившего ущерб.
Если материальный или нематериальный ущерб причинен незаконной обработкой, осуществляемой компетентными органами в специальных целях, то есть нарушением положений закона, касающихся обработки таких данных, лицо, понесшее ущерб, имеет право на компенсацию от оператор или другой компетентный орган, к которому может быть предъявлен иск о возмещении убытков, в соответствии с законом.
Оператор несет ответственность за ущерб, предусмотренный пунктом 1 настоящей статьи, а обработчик несет ответственность только в том случае, если он не действовал в соответствии с обязанностями, установленными настоящим законом, которые непосредственно на него распространяются, или когда он действовал вне инструкций или вопреки инструкциям оператора, выданное в соответствии с настоящим Законом.
Оператор, т.е. обработчик, освобождается от ответственности за ущерб, если докажет, что он никоим образом не несет ответственности за возникновение ущерба.
Если обработка осуществляется несколькими обработчиками или обработчиками или совместно обработчиком и обработчиком, и если они несут ответственность за ущерб, каждый обработчик или обработчик несет ответственность за всю сумму убытков.
Если оператор или переработчик из пункта 5 настоящей статьи выплатил всю сумму возмещения убытков, он вправе требовать от других операторов или переработчиков возврата части суммы, соответствующей их ответственности за возникновение ущерба, в соответствии с пунктом 3 настоящей статьи.
Штрафы за нарушение положений настоящего Закона в каждом отдельном случае налагаются и применяются эффективным, соразмерным и превентивным образом.
Штрафы, предусмотренные пунктом 1 настоящей статьи, в зависимости от обстоятельств конкретного дела могут налагаться дополнительно к мерам или вместо мер, предусмотренных пунктом 2 пункта 2 статьи 79. 1) к 8) и пункту 10) настоящего Закона.
При принятии решения о наложении штрафов и их размере в каждом отдельном случае необходимо учитывать следующее:
1) характер, тяжесть и продолжительность нарушения положений закона с учетом вида, объема и цели обработки, а также количества лиц, к которым относятся данные, и уровня понесенного ими ущерба. ;
2) наличие умысла или неосторожности нарушителя;
3) каждое действие оператора и обработчика, направленное на устранение или уменьшение ущерба, причиненного лицам, к которым относятся данные;
4) степень ответственности обработчика и переработчика с учетом примененных ими мер в соответствии со статьей 42 и статьей 50 настоящего Закона;
5) предыдущие случаи нарушения обработчиками и обработчиками положений настоящего закона, имеющие значение для вынесения приговора;
6) степень сотрудничества оператора и обработчика с Уполномоченным в целях устранения последствий нарушения законодательства и устранения или смягчения вредных последствий нарушения;
7) виды персональных данных, к которым относятся нарушения;
8) способ, которым Уполномоченный узнал о нарушении, и, в частности, сообщал ли и в каком объеме обработчик или обработчик Уполномоченному о нарушении;
9) действия в соответствии с мерами воздействия Уполномоченного, ранее наложенными на оператора, то есть обработчика, в связи с тем же случаем нарушения, в соответствии с пунктом 2 статьи 79 настоящего Закона;
10) применение утвержденных кодексов поведения в соответствии со статьей 59 настоящего Закона, то есть наличие справок из статьи 61 настоящего Закона;
11) все другие отягчающие и смягчающие обстоятельства в конкретном случае, такие как избежание финансового ущерба или финансовой выгоды, которая была получена прямо или косвенно путем нарушения положений настоящего закона.
Обработка и свобода слова и информации
Положения главы II не распространяются на обработку, осуществляемую в целях журналистского исследования и публикации информации в средствах массовой информации, а также в целях научного, художественного или литературного самовыражения. к VI. и ст. 89-94 настоящего Закона, если в конкретном случае эти ограничения необходимы для защиты свободы слова и информации.
Обработка и свободный доступ к информации, имеющей общественное значение
Информация, имеющая общественное значение, которая содержит личные данные, может быть предоставлена лицу, ищущему информацию, властями таким образом, чтобы гарантировать, что право общественности знать и право на защиту личных данных могут быть реализованы вместе, в объеме, установленном законом, регулирующим свободный доступ к информации, имеющей общественное значение, и настоящий закон.
К обработке единого государственного идентификационного номера граждан применяются положения закона, регулирующего единый национальный идентификационный номер граждан, или иного закона, в дополнение к применению положений настоящего закона, касающихся защиты прав и свободы лиц, к которым относятся данные.
Обработка в сфере труда и занятости
К обработке в сфере труда и занятости применяются положения закона о труде и занятости и коллективных договоров с применением положений настоящего закона.
Если закон, регулирующий труд и занятость, или коллективный договор содержат положения о защите персональных данных, должны быть предусмотрены также специальные меры для защиты достоинства лица, законных интересов и основных прав лица, к которому относятся данные, особенно в отношение к прозрачности обработки, обмену персональными данными лиц внутри многонациональной компании, то есть группы хозяйствующих субъектов, а также система надзора в рабочей среде.
Меры защиты и ограничение применения закона об обработке для целей архивирования в общественных интересах, для целей научных или исторических исследований или для статистических целей
Надлежащие меры по защите прав и свобод лиц, к которым относятся данные, предусмотренные настоящим законом, применяются к обработке в целях архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях. Эти меры обеспечивают применение технических, организационных и кадровых мер, особенно для обеспечения соблюдения принципа минимизации данных. Эти меры могут включать псевдонимизацию, если цель обработки может быть достигнута с помощью этой меры.
Если цели, указанные в пункте 1 настоящей статьи, могут быть достигнуты без идентификации или без дополнительной идентификации лица, к которому относятся данные, эти цели должны быть достигнуты таким образом, чтобы исключить дальнейшую идентификацию этого лица.
Положения о правах лиц, к которым относятся данные из ст. 26, 29, 31 и 37 настоящего Закона не применяются, если обработка осуществляется в целях научных или исторических исследований или в статистических целях, если это необходимо для достижения этих целей или если применение этих положений закон сделает невозможным или существенно затруднит их достижение с применением мер, предусмотренных абз. 1. и 2. этой статьи.
Положения о правах лиц, к которым относятся данные из ст. 26 и 29 и ст. 31–37 настоящего закона не применяются, если обработка осуществляется с целью архивирования в общественных интересах, если это необходимо для достижения этой цели или если применение этих положений закона сделало бы это невозможным или значительно затруднило бы для ее достижения с применением мер из п. 1. и 2. этой статьи.
Если обработано из п. 3. и 4. настоящей статьи также для других целей, положения настоящего закона применяются к обработке для других целей без ограничений.
Обработка церковью и религиозными общинами
Если церкви или религиозные общины применяют всеобъемлющие правила, касающиеся защиты физических лиц в отношении обработки, эти существующие правила могут продолжать применяться при условии, что они согласованы с настоящим законом.
В случае, указанном в пункте 1 настоящей статьи, положения настоящего Закона о проверке и иные полномочия уполномоченного из ст. 77-79 настоящего Закона, если церковь, то есть религиозная община, не образует специальный самостоятельный надзорный орган, который будет осуществлять эти полномочия, при условии, что такой орган соответствует условиям, предусмотренным главой VI. этого закона.
Обработка властями в гуманитарных целях
Персональные данные, обрабатываемые государственным органом, также могут обрабатываться в целях сбора средств на гуманитарные цели с применением соответствующих мер по защите прав и свобод лиц, к которым относятся данные, в соответствии с настоящим законом.
Для сбора средств на гуманитарные цели персональные данные, обрабатываемые органом, не могут быть переданы другим лицам.
Штраф в размере от 50 000 до 2 000 000 динаров будет наложен за правонарушение со стороны оператора, то есть обработчика, имеющего статус юридического лица, если:
1) обрабатывает персональные данные вопреки принципам обработки из пункта 1 статьи 5 настоящего Закона;
2) обрабатывает персональные данные в иных целях, противоречащих ст. 6 и 7 настоящего закона;
3) не проводит четкого разделения персональных данных, основанных на фактическом положении, от персональных данных, основанных на личной оценке (статья 10);
4) если он с применением разумных мер не обеспечивает непередачу недостоверных, неполных и устаревших персональных данных, то есть их недоступность (пункт 1 статьи 11);
5) обрабатывает персональные данные без согласия лица, к которому относятся данные, и не имеет возможности представить, что лицо, к которому относятся данные, дало согласие на обработку своих данных (пункт 1 статьи 15);
6) обрабатывает специальные виды персональных данных вопреки ст. 17 и 18 настоящего Закона;
7) обрабатывает персональные данные в связи с уголовными приговорами, наказуемыми правонарушениями и мерами безопасности, противоречащими части 1 статьи 19 настоящего закона;
8) не предоставляет информацию, указанную в статье 23 абз. 1–3 и ст. 24 абз. с 1 по 4 настоящего закона;
9) не предоставляет или не предоставляет информацию, указанную в статье 25 абз. 1. и 2. настоящего закона;
10) не предоставляет запрошенную информацию, не предоставляет доступ к данным, то есть если не предоставляет копию обрабатываемых им данных (статья 26, пункты 1 и 2 и статья 27);
11) частично или полностью ограничивать право доступа к данным лицу, к которому относятся данные, вопреки пункту 1 статьи 28 настоящего Закона;
12) не исправляет неверные данные или не дополняет неполные данные, что противоречит статье 29 настоящего Закона;
13) безотлагательно не удаляет данные лица, к которому относятся данные, в случаях, предусмотренных пунктом 2 статьи 30 настоящего Закона;
14) не ограничивает обработку персональных данных в случаях, предусмотренных статьей 31 настоящего Закона;
15) не удаляет персональные данные (статья 32);
16) не уведомляет получателя об исправлении, удалении и ограничении обработки (пункт 1 статьи 33);
17) не сообщает лицу, к которому относятся данные, решение об отказе в исправлении, удалении или ограничении обработки, а также причину отказа (пункт 1 статьи 34);
18) не прекращает обработку данных после подачи лицом жалобы (статья 37, пункт 1);
19) принято решение, влекущее юридические последствия для лица, к которому относятся данные, исключительно на основании автоматизированной обработки, вопреки ст. 38 и 39 настоящего Закона;
20) при определении способа переработки, а также в процессе переработки не принимает соответствующих технических, организационных и кадровых мер, противоречащих статье 42 настоящего Закона;
21) отношения между участниками совместной деятельности не урегулированы в порядке, установленном статьей 43, абз. со 2. по 4. настоящего закона;
22) поручать обработку персональных данных оператору в нарушение статьи 45 настоящего Закона;
23) обработка данных осуществляется без распоряжения или вопреки распоряжению оператора (статья 46);
24) не уведомляет Уполномоченного о нарушении безопасности данных, что противоречит статье 52 настоящего Закона;
25) не информирует лицо, к которому относятся данные, о нарушении безопасности данных, что противоречит статье 53 настоящего Закона;
26) не проводит оценку влияния на защиту безопасности данных в порядке, предусмотренном статьей 54 настоящего Закона;
27) не уведомляет Уполномоченного, то есть не запрашивает заключение Уполномоченного до начала операции по обработке (пункты 1 и 3 статьи 55);
28) не назначает лицо для защиты персональных данных в случаях, предусмотренных пунктом 2 статьи 56 настоящего Закона;
29) не выполняет свои обязательства перед лицом по защите персональных данных из статьи 57, абз. с 1 по 3 настоящего закона;
30) передача персональных данных другим странам и международным организациям противоречит ст. 63-71 настоящего Закона;
31) не обеспечивает реализацию эффективных механизмов конфиденциального сообщения о случаях нарушения настоящего Закона (статья 80);
32) обрабатывает персональные данные для целей архивирования в общественных интересах, для целей научных или исторических исследований или для статистических целей, противоречащих статье 92 настоящего Закона.
Штраф в размере 100 000 динаров будет наложен за правонарушение на оператора, т.е. обработчика, имеющего статус юридического лица, если:
1) не информирует получателя о предусмотренных законодательством особых условиях обработки персональных данных и его обязанности по выполнению этих условий (статья 11, пункт 5);
2) не вручает мотивированное решение лицу, к которому относятся данные, то есть не уведомляет лицо в срок, указанный в статье 28, абз. 3 и 5 настоящего закона;
3) продолжить обработку в целях прямой рекламы, и лицо, к которому относятся данные, подало возражение против такой обработки (статья 37, пункт 3);
4) не назначает своего представителя в Республике Сербии вопреки статье 44 настоящего закона;
5) не ведет установленный учет по обработке (статья 47) либо не ведет учет действий по обработке (статья 48);
6) не публикует контактную информацию лица по защите персональных данных и не представляет ее Уполномоченному (пункт 11 статьи 56).
Штраф в размере от 5 000 до 150 000 динаров будет наложен за правонарушение на физическое лицо, которое не хранит в качестве профессиональной тайны личные данные, ставшие ему известными при исполнении служебных обязанностей (статья 57, пункт 7 и статья 76).
За правонарушение, предусмотренное пунктом 1 настоящей статьи, предприниматель будет оштрафован на сумму от 20 000 до 500 000 динаров.
За проступок, предусмотренный пунктом 1 настоящей статьи, физическое лицо, то есть ответственное лицо в юридическом лице, государственный орган, то есть орган территориальной автономии и единицы местного самоуправления, а равно ответственное лицо в представительстве или бизнес-подразделении иностранного юридического лица, будет оштрафовано на сумму от 5 000 до 150 000 динаров.
За правонарушение, предусмотренное пунктом 2 настоящей статьи, на предпринимателя будет наложен штраф в размере 50 000 динаров.
За проступок, предусмотренный пунктом 2 настоящей статьи, физическое лицо, то есть ответственное лицо в юридическом лице, государственном органе, то есть органе территориальной автономии и органе местного самоуправления, а также ответственное лицо в представителе офис или бизнес-подразделение иностранного юридического лица, будет оштрафован на сумму 20 000 динаров.
X ПЕРЕХОДНЫЕ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Заместитель Уполномоченного по защите персональных данных, избранный в соответствии с Законом о защите персональных данных («Официальный вестник РС», № 97/08, 104/09 – д-р Закон, 68/12 – США и 107/12), продолжает выполнять эту обязанность до окончания срока полномочий, на который он был избран.
Процедуры обжалования запросов на осуществление прав в связи с обработкой, процедуры запросов на выдачу разрешения на экспорт данных из Республики Сербия и процедуры надзора, которые не были завершены на дату применения этого закона, будут завершены в соответствии с положениями Закона о защите персональных данных («Официальный гласник РС», № 97/08, 104/09 – другие законы, 68/12 – США и 107/12).
Центральный регистр сбора данных
Центральный реестр сбора данных, который был создан в соответствии с положениями Закона о защите персональных данных («Официальный вестник РС», № 97/08, 104/09 – д-р Закон, 68/12 – США и 107/ 12) прекращает свое действие со дня вступления в силу настоящего Закона.
Центральный реестр, указанный в пункте 1 настоящей статьи, а также данные, содержащиеся в этом реестре, ведутся в соответствии с правилами обращения с архивными материалами.
Подзаконные акты, предусмотренные настоящим Законом, принимаются в течение девяти месяцев со дня вступления в силу настоящего Закона.
Продолжают применяться подзаконные акты, принятые на основании Закона о защите персональных данных («Официальный вестник РС», № 97/08, 104/09 – Др. Закон, 68/12 – УС и 107/12). до принятия подзаконных актов из пункта 1 настоящей статьи, если они не противоречат настоящему Закону.
Положения других законов, касающихся обработки персональных данных, будут приведены в соответствие с положениями настоящего закона до конца 2020 года.
Прекращение действия предыдущего закона
Закон «О защите персональных данных» («Официальные ведомости РС», № 97/08, 104/09 — Др. Закон, 68/12 — УС и 107/12) прекращает свое действие со дня принятия настоящего Закона. вступает в силу.
Настоящий закон вступает в силу на восьмой день со дня его публикации в «Официальном вестнике Республики Сербия» и применяется по истечении девяти месяцев со дня вступления закона в силу, за исключением на положение статьи 98 настоящего Закона, которое применяется со дня его вступления в силу.