1. prilog Pravilnika o upravljanju podacima
SAOPŠTENJE O UPRAVLJANJU PODACIMA VEZANO ZA PRAVA FIZIČKOG LICA U VEZI UPRAVLJANJA NJEGOVIM LIČNIM PODACIMA
SADRŽAJ
UVOD
I POGLAVLJE – NAZIV SUBJEKTA KOJI RUKUJE PODACIMA
II POGLAVLJE – NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE
1. IT provajder našeg Društva
2. Programer sistema karata našeg Društva
III POGLAVLJE – OBEZBEĐIVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONIMA
1. Upravljanje podacima na osnovu odobrenja od lica, na koje se podaci odnose
2. Upravljanje podacima na osnovu obavljanja zakonskih obaveza
3. Promocija prava lica, na koje se podaci odnose
IV POGLAVLJE - UPRAVLJANJE PODACIMA POSETILACA NA STRANICI DRUŠTVA – SAOPŠTENJE O KORIŠĆENJU KOLAČIĆA (COOKIES)
V POGLAVLJE – SAOPŠTENJE O PRAVIMA LICA, NA KOJE SE PODACI ODNOSE
UVOD
Na osnovu UREDBE 2016/679 EVROPSKOG PARLAMENTA I SAVETA (EU) (u nastavku: Uredba), koja se odnosi na zaštitu i slobodan tok podataka prilikom upravljanja ličnim podacima fizičkih lica, odnosno na ukidanje uredbe 95/46/EK, Rukovalac podacima mora da izvrši odgovarajuće radnje, kako bi obezbedio, da licu, čiji se podaci prikupljaju, obezbedi sva neophodna obaveštenja u vezi upravljanja ličnim podacima, u sažetoj, jasnoj, preglednoj, razumljivoj i pristupačnoj formi, kao i da obezbedi uslove za ispunjenje prava lica, čiji se podaci prikupljaju.
Obavezu, da se lice unapred obavesti o pravu na informaciono samoopredeljenje i na slobodu informacija prepisuje i zakon CXII iz 2011. godine.
Tekstom u nastavku ispunjavamo svoje obaveze, koje nam nalažu prethodno spomenuti zakoni i uredbe.
Obaveštenje treba da bude istaknuto na veb stranici društva, ili treba da se pošalje licu, čiji se podaci prikupljaju, na njegov zahtev.
I POGLAVLJE
NAZIV SUBJEKTA KOJI RUKUJE PODACIMA
Izdavaoc ovog obaveštenja, ujedno i Rukovalac podacima:
Ime firme: DRUŠTVO ZA PROIZVODNJU, TRGOVINU I USLUGE NBA2 PLAST DOO SREMSKA KAMENICA
Sedište: Sremska Kamenica
Matični broj: 20111097
PIB: 104195702
Zastupnik: Aleksandar Tasić
Broj telefona: +381 63 498 033
E-mail adresa: nba2plast@gmail.com
Veb stranica: nba2-plast.rs/sr
(u daljem tekstu: Društvo)
II POGLAVLJE
NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE
Subjekat, koji obrađuje podatke: fizičko ili pravno lice, državni organ, agencija ili bilo kakav drugi organ, koji upravlja podacima u ime rukovaoca podataka; (Uredba 4. član 8.)
Korišćenje subjekta, koji obrađuje podatke nije vezano za prethodan pristanak lica, ali je neophodno, da se lice obavesti. U skladu sa ovim uredbama, dajemo sledeće obaveštenje:
1. IT provajder Društva
Društvo za održavanje i upravljanje svojom veb stranicom koristi usluge subjekta, koji obrađuje podatke, koji obezbeđuje IT usluge (hosting usluge) i u okviru ovih usluga – u skladu sa sadržajem ugovora između dve strane – upravlja ličnim podacima, koji su ostavljeni na veb stranici, tako, što ih čuva na serveru.
Naziv i podaci subjekta, koji upravlja podacima:
Ime firme: ErdSoft doo
Sedište: 24000 Subotica, Somborski put 33a, Srbija
Matični broj: 21354619
PIB: 110478829
Zastupnik: Daniel Erdudac
Broj telefona: +381 60 44 60 555
Faks: nema
E-mail adresa: daniel.erdudac@erdsoft.com
Veb sajt: erdsoft.com
III. POGLAVLJE
OBEZBEĐIVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONSKIM PROPISIMA
1. Upravljanje podacima uz pristanak lica na koje se podaci odnose
(1) Kada Društvo želi da upravlja podacima na osnovu pristanka, potrebno je da se pristanak za obradu ličnih podataka od strane lica, čijim će se podacima upravljati, pribavi putem formulara čiji je sadržaj utvrđen pravilnikom o upravljanju podacima.
(2) Pristanak može biti izražen i tako što korisnik označi polje koje se odnosi na saglasnost za obradu podataka na veb stranici Društva, obavi odgovarajuća tehnička podešavanja u vezi sa korišćenjem usluga informacionog društva, kao i svaki drugi čin ili izjava koja jasno ukazuje na saglasnost lica za planiranu obradu njegovih ličnih podataka. Ćutanje, unapred označeno polje ili neaktivnost ne smatraju se pristankom.
(3) Pristanak obuhvata sve aktivnosti u vezi sa upravljanjem podacima koje se sprovode sa istom svrhom ili ciljevima. Ako upravljanje podacima služi više različitih svrha, pristanak mora biti pribavljen za sve ciljeve obrade podataka.
(4) Ako lice daje pristanak u okviru pisane izjave koja se odnosi i na druge svrhe – na primer, prodaja, sklapanje ugovora o uslugama – pristanak mora biti pribavljen na način koji je jasan, jednostavno izražen, razumljiv i pristupačan, te jasno odvojen od drugih svrha. Delovi takvih izjava koji se odnose na pristanak, a nisu u skladu sa Uredbom, neće imati pravnu snagu.
(5) Društvo ne može uslovljavati sklapanje ili izvršenje ugovora davanjem pristanka za obradu ličnih podataka koji nisu neophodni za izvršenje ugovora.
(6) Povlačenje pristanka mora biti jednako jednostavno kao i davanje pristanka.
(7) Ako je lični podatak zabeležen uz pristanak lica, rukovalac podacima može koristiti te podatke bez dodatnog pristanka, u skladu sa zakonskim propisima, i nakon povlačenja pristanka.
(8) Stranica namerno ne prikuplja podatke o maloletnicima (mlađim od 16 godina). Ako se podaci o maloletnom licu ipak sačuvaju, oni će biti odmah obrisani čim saznamo za tu činjenicu.
2. Upravljanje podacima na osnovu zakonskih obaveza
(1) Kada se podacima upravlja na osnovu zakonskih obaveza, obim podataka, svrha upravljanja, vreme čuvanja podataka i korisnici podataka određuju se zakonom.
(2) Upravljanje podacima na osnovu izvršavanja zakonskih obaveza ne zavisi od pristanka lica, budući da je obavezno po zakonu. U ovom slučaju, lice mora biti obavešteno pre prikupljanja podataka o obaveznosti prikupljanja, kao i o svim relevantnim činjenicama u vezi sa obradom podataka, sa posebnim naglaskom na svrhu i zakonski osnov obrade, subjekta ovlašćenog za upravljanje podacima, vremenu čuvanja podataka, te o tome da se podaci obrađuju u skladu sa zakonom i ko sve može imati pristup tim podacima. Obaveštenje mora uključiti i prava lica i mogućnosti korišćenja tih prava u vezi sa upravljanjem ličnim podacima. U slučaju obavezne obrade podataka, objavljivanje poziva na relevantne zakonske propise može se smatrati obaveštenjem.
3. Promocija prava lica na koje se podaci odnose
Društvo je dužno da u svim aktivnostima vezanim za upravljanje podacima omogući da lice može ostvariti svoja prava.
IV POGLAVLJE
UPRAVLJANJE PODACIMA POSETILACA NA STRANICI DRUŠTVA – IZJAVA O KORIŠĆENJU KOLAČIĆA (COOKIES)
1. Posetilac veb stranice mora biti obavešten o korišćenju kolačića, i za sve osim tehnički neophodnih sesijskih kolačića, potrebno je pribaviti dozvolu posetioca.
2. Opšte informacije o kolačićima
2.1. Kolačić (cookie) je podatak koji veb stranica šalje pretraživaču posetioca (u formi promenljive vrednosti) za čuvanje, a kasnije ista veb stranica može pristupiti sadržaju kolačića. Kolačići mogu biti važeći dok se pretraživač ne zatvori ili tokom neograničenog vremenskog perioda. Kasnije, prilikom svakog HTTP(S) zahteva, pretraživač šalje te informacije serveru, menjajući podatke na korisničkom uređaju.
2.2. Suština kolačića je da identifikuje korisnika (npr. njegovu prijavu na stranicu) i omogućava da se u svim narednim interakcijama tretira na odgovarajući način. Rizik leži u činjenici da korisnik nije uvek svestan identifikacije putem kolačića, što omogućava praćenje korisnika od strane vlasnika stranice ili drugog provajdera čiji je sadržaj integrisan u stranicu (npr. Facebook, Google Analytics). Praćenjem korisnika može se kreirati profil, a u tim slučajevima sadržaj kolačića se tretira kao lični podatak.
2.3. Tipovi kolačića:
2.3.1. Tehnički neophodni kolačići sesije: bez njih, veb stranice ne funkcionišu ispravno, koriste se za identifikaciju korisnika, šta je dodao u korpu itd. Obično se čuva ID sesije, dok se drugi podaci čuvaju na serveru, čineći ih sigurnijim. U pogledu bezbednosti, ako vrednost kolačića sesije nije dobro generisana, postoji rizik od otmice sesije, stoga je neophodno da se te vrednosti pravilno generišu. U nekim terminologijama, sesijski kolačići se nazivaju svi kolačići koji se brišu nakon zatvaranja pretraživača.
2.3.2. Kolačići koji olakšavaju upotrebu: ovi kolačići pamte korisničke odabire – npr. u kojoj formi želi da vidi stranicu. Ovi kolačići zapravo beleže podatke o podešavanjima koja se čuvaju u kolačićima.
2.3.3. Kolačići performansi: Iako nemaju mnogo veze sa "performansama", ovo je naziv za kolačiće koji prikupljaju informacije o korisničkom ponašanju, klikovima i vremenu provedenom na stranici. Obično su to kolačići nezavisnih proizvođača (kao što su Google Analytics, AdWords ili Yandex.ru). Pogodni su za profilisanje posetilaca.
Saznajte više o kolačićima Google Analytics-a ovde: Analytics-cookies
Saznajte više o Google AdWords kolačićima ovde: Google support
2.4. Prihvatanje ili odbijanje kolačića nije obavezno. U podešavanjima pretraživača možete podesiti da se svi kolačići automatski odbiju, ili da pretraživač obavesti kada sistem šalje kolačiće. Većina pretraživača automatski prihvata kolačiće, ali se podešavanja obično mogu promeniti kako bi se sprečilo automatsko prihvatanje i omogućilo korisniku da svaki put odabere između prihvatanja ili odbijanja kolačića.
Pogledajte linkove ispod za podešavanja kolačića u najpopularnijim pretraživačima:
• Google Chrome: Chrome support
• Firefox: Firefox support
• Microsoft Internet Explorer 11: Microsoft support
• Microsoft Internet Explorer 10: Microsoft support
• Microsoft Internet Explorer 9: Microsoft support
• Microsoft Internet Explorer 8: Microsoft support
• Microsoft Edge: Microsoft support
• Safari: Apple support
Međutim, treba napomenuti da određene funkcionalnosti sajta ili usluge možda neće ispravno funkcionisati bez kolačića.
3. Informacije o kolačićima korišćenim na veb stranici Društva i podacima prikupljenim tokom posete
3.1. Podaci koji se prikupljaju tokom posete
Naša veb stranica može beležiti i upravljati sledećim informacijama o posetiocu ili uređaju koji koristi:
- IP adresu posetioca,
- tip pretraživača,
- karakteristike operativnog sistema na uređaju posetioca (uključujući jezičke postavke),
- vreme posete,
- (pod)stranice, funkcije ili usluge koje posećujete,
- klikove.
Ovi podaci se čuvaju do 90 dana i koriste se prvenstveno za testiranje sigurnosnih incidenata.
3.2. Kolačići korišćeni na veb stranici
3.2.1. Tehnički neophodni kolačići sesije
Svrha upravljanja ovim podacima je osiguranje pravilnog funkcionisanja veb stranice. Ovi kolačići su neophodni da bi posetioci mogli nesmetano pretraživati stranicu i u potpunosti koristiti sve funkcije i usluge koje ona nudi, uključujući, ali ne ograničavajući se na, komentare posetilaca i identifikaciju prijavljenih korisnika tokom posete. Trajanje ovakvih kolačića je ograničeno na trajanje sesije; oni se automatski brišu sa korisnikovog uređaja po završetku sesije ili zatvaranjem pretraživača.
Pravna osnova za obradu ovih podataka je član 13/A, stav 3 Zakona o uslugama elektronske trgovine i informacionog društva (CVIII/2001), koji omogućava pružaocu usluga da obrađuje lične podatke neophodne za pružanje usluge. Pružaoci usluga moraju birati i koristiti alate za pružanje usluga informacionog društva tako da lični podaci budu obrađeni samo kada je to strogo neophodno za pružanje usluge i samo u meri i trajanju koje je neophodno.
3.2.2. Kolačići koji olakšavaju upotrebu
Ovi kolačići pamte korisničke izbore, kao što je način prikaza stranice. Ovi podaci o podešavanjima se čuvaju u kolačićima.
Pravna osnova za obradu ovih podataka je pristanak posetilaca.
Svrha upravljanja podacima je poboljšanje efikasnosti usluga, unapređenje korisničkog iskustva i omogućavanje jednostavnijeg korišćenja sajta.
Ovi podaci se čuvaju na korisničkom uređaju, a veb stranica im pristupa i na osnovu njih prepoznaje posetioca.
3.2.3. Kolačići performansi
Ovi kolačići prikupljaju informacije o korisničkom ponašanju, vremenu provedenom na stranici i klikovima. Obično ih koriste aplikacije trećih strana (npr. Google Analytics, AdWords).
Pravna osnova za obradu ovih podataka je pristanak korisnika.
Svrha upravljanja podacima je analiza veb stranice i slanje promotivnih ponuda.
V POGLAVLJE
IZJAVA O PRAVIMA LICA NA KOJE SE PODACI ODNOSE
I. Prava lica na koje se podaci odnose, ukratko:
- Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose
- Pravo na prethodne informacije u slučaju prikupljanja podataka od lica na koje se podaci odnose
- Informacije koje se pružaju ako podaci nisu prikupljeni od lica na koje se odnose
- Pravo na pristup
- Pravo na ispravku
- Pravo na brisanje ("pravo na zaborav")
- Pravo na ograničenje obrade
- Obaveza obaveštavanja o ispravci, brisanju ili ograničenju obrade
- Pravo na prenosivost podataka
- Pravo na prigovor
- Donošenje automatizovanih pojedinačnih odluka, uključujući profilisanje
- Ograničenja
- Obaveštavanje lica na koje se podaci odnose o povredi bezbednosti podataka
- Pravo na pritužbu nadzornom organu
- Pravo na delotvorno pravno sredstvo protiv nadzornog organa
- Pravo na delotvorno pravno sredstvo protiv rukovaoca ili obrađivača.
II Prava lica na koje se podaci odnose, detaljno:
1. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose
1.1. Rukovalac preduzima sve potrebne mere kako bi licu na koje se podaci odnose pružio sve informacije u vezi sa obradom podataka na jasan, transparentan, razumljiv i lako dostupan način, koristeći jednostavan i razumljiv jezik, naročito kada se radi o informacijama koje su namenjene deci. Informacije se mogu pružiti u pisanom obliku ili na drugi način, uključujući elektronski, kada je to primereno. Na zahtev lica na koje se podaci odnose, informacije se mogu pružiti i usmeno, pod uslovom da je identitet lica na odgovarajući način potvrđen.
1.2. Rukovalac olakšava ostvarivanje prava lica na koje se podaci odnose.
1.3. Rukovalac je dužan da, na zahtev lica na koje se podaci odnose, pruži informacije o preduzetim radnjama bez nepotrebnog odlaganja, a najkasnije u roku od mesec dana od prijema zahteva. Ovaj rok može biti produžen za dodatna dva meseca, ukoliko je to potrebno, pri čemu je rukovalac obavezan da o svakom takvom produženju obavesti lice na koje se podaci odnose u roku.
1.4. Ukoliko rukovalac ne postupi po zahtevu lica na koje se podaci odnose, dužan je da ga o tome obavesti odmah ili najkasnije u roku od mesec dana od prijema zahteva, navodeći razloge zbog kojih nije postupio po zahtevu, kao i informacije o mogućnosti podnošenja pritužbe nadzornom organu i traženja pravnog leka.
1.5. Svi pruženi podaci, komunikacija i preduzete mere obezbeđuju se bez naknade, osim u slučajevima propisanim Uredbom kada je moguće naplatiti naknadu.
Detaljna pravila su sadržana u članu 12. Uredbe.
2. Pravo na prethodne informacije koje se pružaju – ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose
2.1. Ako su podaci o ličnosti prikupljeni od lica na koje se odnose, rukovalac je dužan da pri prikupljanju podataka pruži licu sledeće informacije:
a) identitet i kontakt podatke rukovaoca, kao i, ukoliko je primenljivo, predstavnika rukovaoca;
b) kontakt podatke službenika za zaštitu podataka, ako je primenljivo;
c) svrhu obrade podataka o ličnosti i pravni osnov za obradu;
d) ukoliko je obrada zasnovana na legitimnim interesima rukovaoca ili treće strane, informacije o tim interesima;
e) primaoce ili kategorije primalaca podataka o ličnosti, ukoliko postoje;
f) ukoliko je primenljivo, informacije o nameri rukovaoca da prenese podatke o ličnosti trećoj zemlji ili međunarodnoj organizaciji.
2.2. Rukovalac prilikom prikupljanja podataka o ličnosti obezbeđuje licu na koje se podaci odnose sledeće dodatne informacije kako bi obezbedio pravičnu i transparentnu obradu:
a) o periodu čuvanja podataka o ličnosti ili, ako to nije moguće, kriterijume koji su korišćeni za određivanje tog perioda;
b) postojanje prava da se od rukovaoca zatraži pristup podacima o ličnosti, ispravka ili brisanje podataka, ograničenje obrade, pravo na prigovor, kao i pravo na prenosivost podataka;
c) ako je obrada zasnovana na pristanku korisnika, pravo da se pristanak povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade pre povlačenja pristanka;
d) pravo na podnošenje pritužbe nadzornom organu;
e) informaciju o tome da li je pružanje podataka o ličnosti zakonska ili ugovorna obaveza ili uslov za zaključenje ugovora, kao i da li je lice obavezno da pruži podatke i koje su moguće posledice ako se podaci ne pruže;
f) postojanje automatizovanog donošenja odluka, uključujući profilisanje, i značajne informacije o logici koja se koristi, kao i značaju i predviđenim posledicama takve obrade za lice.
2.3. Ukoliko rukovalac namerava da dalje obrađuje podatke o ličnosti u svrhu koja se razlikuje od one za koju su prikupljeni, pre te dalje obrade obaveštava lice o toj novoj svrsi i pruža sve relevantne informacije.
Detaljna pravila u vezi prava na prethodnu informisanost sadržana su u članu 13. Uredbe.
3. Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose
3.1. Ukoliko rukovalac dobije lične podatke iz drugih izvora, dužan je da, najkasnije u roku od mesec dana od pribavljanja podataka, obavesti lice o kategorijama prikupljenih podataka, izvoru podataka, kao i o svim informacijama iz tačke 2. Ako se podaci koriste za kontaktiranje lica, rukovalac mora pružiti ove informacije najkasnije prilikom prvog kontakta. Takođe, ukoliko rukovalac namerava da prenese podatke drugim korisnicima, dužan je da obavesti lice o tome najkasnije prilikom prvog prenošenja.
3.2. Ostala pravila primenjuju se u skladu sa odredbama iz tačke 2 (Pravo na prethodnu informisanost).
Detaljna pravila ovog obaveštenja sadržana su u članu 14. Uredbe.
4. Pravo lica na koje se podaci odnose na pristup
4.1. Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se njegovi podaci o ličnosti obrađuju, i ako se obrađuju, pravo na pristup tim podacima i informacijama navedenim u tačkama 2 i 3 (član 15. Uredbe).
4.2. Ako se podaci o ličnosti prenose u treću zemlju ili međunarodnu organizaciju, lice ima pravo da bude informisano o merama zaštite u skladu sa članom 46. Uredbe koje se odnose na taj prenos.
4.3. Rukovalac je dužan da obezbedi kopiju podataka o ličnosti koji se obrađuju. Za sve dodatne kopije koje lice zatraži, rukovalac može naplatiti naknadu zasnovanu na administrativnim troškovima.
Detaljna pravila u vezi prava lica na pristup sadržana su u članu 15. Uredbe.
5. Pravo na ispravku
5.1. Lice na koje se podaci odnose ima pravo da rukovalac bez nepotrebnog odlaganja ispravi netačne podatke o ličnosti koji se na njega odnose.
5.2. Uzimajući u obzir svrhu obrade, lice ima pravo da dopuni nepotpune podatke o ličnosti, između ostalog, davanjem dodatne izjave.
Ova pravila sadržana su u članu 16. Uredbe.
6. Pravo na brisanje ("pravo na zaborav")
6.1. Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose, a rukovalac je dužan da obriše te podatke bez nepotrebnog odlaganja, ako je ispunjen jedan od sledećih uslova:
a) podaci više nisu potrebni u svrhe za koje su prikupljeni ili na drugi način obrađeni;
b) lice povlači pristanak na kojem se obrada zasnivala, a ne postoji drugi pravni osnov za obradu;
c) lice ulaže prigovor na obradu i ne postoje preovlađujući legitimni razlozi za obradu;
d) podaci su nezakonito obrađeni;
e) podaci moraju biti obrisani kako bi se ispunila zakonska obaveza rukovaoca prema pravu Unije ili države članice;
f) podaci su prikupljeni u vezi s ponudom usluga informacionog društva detetu.
6.2. Ova odredba ne primenjuje se ako je obrada podataka neophodna:
a) radi ostvarivanja prava na slobodu izražavanja i informisanja;
b) radi ispunjenja zakonske obaveze koja zahteva obradu u skladu sa pravom Unije ili države članice, ili radi izvršenja zadatka od javnog interesa ili u okviru službenih ovlašćenja rukovaoca;
c) zbog javnog interesa u oblasti javnog zdravlja;
d) za potrebe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja, ili u statističke svrhe ako bi pravo na brisanje onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade; ili
e) radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva.
Detaljna pravila vezana za pravo na brisanje podataka sadržana su u članu 17. Uredbe.
7. Pravo na ograničavanje obrade
7.1. Kada je obrada ograničena, takvi lični podaci mogu se obrađivati samo uz pristanak lica na koje se podaci odnose, osim u slučaju čuvanja podataka, ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva, zaštitu prava drugog fizičkog ili pravnog lica, ili zbog važnog javnog interesa Unije ili države članice.
7.2. Lice na koje se podaci odnose ima pravo da zahteva ograničenje obrade od strane rukovaoca ukoliko je ispunjen jedan od sledećih uslova:
a) lice na koje se podaci odnose osporava tačnost ličnih podataka, na period koji omogućava rukovaocu da proveri tačnost tih podataka;
b) obrada je nezakonita, a lice se protivi brisanju ličnih podataka i umesto toga traži ograničenje njihove upotrebe;
c) rukovaocu više nisu potrebni lični podaci za potrebe obrade, ali ih lice zahteva za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva; ili
d) lice je uložilo prigovor na obradu i još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad interesima lica.
7.3. Lice koje je dobilo pravo na ograničenje obrade rukovalac mora obavestiti pre nego što ukine to ograničenje.
Detaljna pravila su sadržana u članu 18. Uredbe.
8. Obaveza obaveštavanja o ispravci ili brisanju ličnih podataka ili ograničavanju obrade
Rukovalac je dužan da obavesti sve primaoce kojima su lični podaci otkriveni o svakoj ispravci, brisanju ili ograničavanju obrade podataka, osim ako se to pokaže nemogućim ili bi zahtevalo nesrazmeran napor. Rukovalac mora da obavesti lice na koje se podaci odnose o tim primaocima ako lice to zahteva.
Detaljna pravila su sadržana u članu 19. Uredbe.
9. Pravo na prenosivost podataka
9.1. Lice na koje se podaci odnose ima pravo da primi svoje lične podatke koje je dostavilo rukovaocu, u strukturisanom, uobičajenom i mašinski čitljivom formatu, i da te podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su podaci dostavljeni, pod uslovom da:
a) je obrada zasnovana na pristanku ili na ugovoru; i
b) se obrada vrši automatizovano.
9.2. Prilikom ostvarivanja prava na prenosivost podataka, lice ima pravo na neposredni prenos podataka od jednog rukovaoca do drugog.
9.3. Ostvarivanje prava na prenosivost podataka ne dovodi u pitanje pravo na brisanje ("pravo na zaborav") u skladu sa članom 17. Uredbe. Ovo pravo se ne primenjuje na obradu neophodnu za izvršenje zadatka od javnog interesa ili u okviru službenih ovlašćenja dodeljenih rukovaocu. Ovo pravo ne sme negativno uticati na prava i slobode drugih.
Detaljna pravila su sadržana u članu 20. Uredbe.
10. Pravo na prigovor
10.1. Lice na koje se podaci odnose ima pravo da u bilo kom trenutku uloži prigovor na obradu svojih ličnih podataka koja se zasniva na članu 6, stav 1, tačka e) ili f) Uredbe, uključujući profilisanje zasnovano na tim odredbama, iz razloga koji se odnose na njegovu specifičnu situaciju. Rukovalac više ne sme obrađivati lične podatke, osim ako dokaže postojanje uverljivih legitimnih razloga za obradu koji preovlađuju nad interesima, pravima i slobodama lica ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.
10.2. Ako se lični podaci obrađuju za potrebe direktnog marketinga, lice ima pravo da u bilo kom trenutku uloži prigovor na obradu svojih podataka u te svrhe, uključujući profilisanje u meri u kojoj je povezano sa direktnim marketingom. Ako lice uloži prigovor na obradu za potrebe direktnog marketinga, lični podaci više ne smeju da se obrađuju u te svrhe.
10.3. Lice mora biti izričito obavešteno o ovom pravu najkasnije prilikom prve komunikacije s njim, na jasan način i odvojeno od ostalih informacija.
10.4. Lice može ostvariti svoje pravo na prigovor automatskim putem, koristeći tehničke specifikacije.
10.5. Ako se lični podaci obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, lice ima pravo da uloži prigovor na obradu svojih podataka iz razloga koji se odnose na njegovu specifičnu situaciju, osim ako je obrada neophodna za izvršenje zadatka od javnog interesa.
Detaljna pravila su sadržana u članu 21. Uredbe.
11. Donošenje automatizovanih pojedinačnih odluka, uključujući profilisanje
11.1. Lice ima pravo da ne bude podvrgnuto odluci koja se zasniva isključivo na automatskoj obradi, uključujući profilisanje, a koja proizvodi pravne efekte ili na sličan način značajno utiče na njega.
11.2. Stav 1 se ne primenjuje ako je odluka:
a) neophodna za zaključivanje ili izvršenje ugovora između lica i rukovaoca;
b) dozvoljena pravom Unije ili države članice koje se primenjuje na rukovaoca, a koje takođe propisuje odgovarajuće zaštitne mere za prava i slobode i legitimne interese lica; ili
c) zasnovana na izričitom pristanku lica.
11.3. U slučajevima iz stava 2, tačke a) i c), rukovalac je dužan da preduzme odgovarajuće mere za zaštitu prava i sloboda i legitimnih interesa lica, uključujući pravo na ljudsku intervenciju, pravo na izražavanje svog stava i pravo na osporavanje odluke.
Detaljna pravila su sadržana u članu 22. Uredbe.
12. Ograničenja
Na osnovu prava Unije ili države članice, koje se primenjuje na rukovaoca ili obrađivača, zakonskom merom može se ograničiti obim obaveza i prava iz članova 12 do 22 i člana 34, kao i člana 5, pod uslovom da se takvim ograničenjem poštuje suština osnovnih prava i sloboda.
Uslove ovih ograničenja sadržane su u članu 23. Uredbe.
13. Obaveštavanje lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti
13.1. Kada postoji velika verovatnoća da će povreda bezbednosti podataka o ličnosti prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja obavesti lice o toj povredi. U obaveštenju se jasnim i jednostavnim jezikom opisuje priroda povrede, a ono mora sadržati najmanje sledeće informacije:
a) ime i kontakt podatke službenika za zaštitu podataka ili druge kontakt tačke od koje se mogu dobiti dodatne informacije;
b) opis verovatnih posledica povrede;
c) opis mera koje je rukovalac preduzeo ili namerava da preduzme radi otklanjanja povrede, uključujući, prema potrebi, mere za ublažavanje štetnih posledica.
13.2. Obaveštavanje lica nije potrebno ako je ispunjen bilo koji od sledećih uslova:
a) ako je rukovalac preduzeo odgovarajuće tehničke i organizacione mere zaštite, a te mere su primenjene na lične podatke koji su bili predmet povrede, naročito mere koje čine podatke nerazumljivima licu koje nije ovlašćeno da im pristupi, kao što je enkripcija;
b) ako je rukovalac preduzeo naknadne mere kojima se obezbeđuje da više ne postoji verovatnoća za visok rizik za prava i slobode lica;
c) ako bi obaveštavanje zahtevalo nesrazmeran napor. U takvim slučajevima, objavljuje se javno obaveštenje ili se preduzima slična mera kojom se lica obaveštavaju na jednako delotvoran način.
Detaljna pravila su sadržana u članu 34. Uredbe.
14. Pravo na pritužbu nadzornom organu
Svako lice ima pravo da podnese pritužbu nadzornom organu, posebno u državi članici u kojoj ima uobičajeno boravište, radno mesto ili u kojoj je došlo do navodnog kršenja, ako smatra da obrada njegovih podataka krši ovu uredbu. Nadzorni organ kojem je podneta pritužba obaveštava podnosioca o napretku i ishodu pritužbe, uključujući i mogućnost primene pravnog sredstva.
Ova pravila su sadržana u članu 77. Uredbe.
15. Pravo na delotvorno pravno sredstvo protiv nadzornog organa
15.1. Bez obzira na bilo koje drugo upravno ili vansudsko pravno sredstvo, svako fizičko ili pravno lice ima pravo na delotvorno pravno sredstvo protiv pravno obavezujuće odluke nadzornog organa koja se na njega odnosi.
15.2. Bez obzira na bilo koje drugo upravno ili vansudsko pravno sredstvo, svako lice ima pravo na delotvorno pravno sredstvo ako nadzorni organ nadležan prema članu 55. i 56. ne reši pritužbu ili ne obavesti lice u roku od tri meseca o napretku ili ishodu podnete pritužbe.
15.3. Nadležni sudovi za postupke protiv nadzornog organa su sudovi države članice u kojoj nadzorni organ ima sedište.
15.4. Ako je pokrenut postupak protiv odluke nadzornog organa kojoj je prethodilo mišljenje ili odluka Odbora u okviru mehanizma konzistentnosti, nadzorni organ prosleđuje sudu to mišljenje ili odluku.
Ova pravila su sadržana u članu 78. Uredbe.
16. Pravo na delotvorno pravno sredstvo protiv rukovaoca ili obrađivača
16.1. Bez obzira na bilo koje drugo raspoloživo upravno ili vansudsko pravno sredstvo, uključujući pravo na podnošenje pritužbe nadzornom organu, lice ima pravo na delotvorno pravno sredstvo ako smatra da su njegova prava prekršena usled obrade njegovih podataka suprotno ovoj uredbi.
16.2. Nadležni sudovi za postupke protiv rukovaoca ili obrađivača su sudovi države članice u kojoj rukovalac ili obrađivač ima sedište. Alternativno, nadležni sudovi su sudovi države članice u kojoj lice ima uobičajeno boravište, osim kada je rukovalac ili obrađivač organ javne vlasti države članice koji vrši svoja javna ovlašćenja.
Ova pravila su sadržana u članu 79. Uredbe.