Nataša Pirc Musar

VODIČ KROZ ZAKON O ZAŠTITI PODATAKA O LIČNOSTI

Nataša Pirc Musar
VODIČ KROZ ZAKON O ZAŠTITI PODATAKA O LIČNOSTI

Izdavač
Poverenik za informacije od javnog značaja i
zaštitu podataka o ličnosti
Svetozara Markovića 42
11000 Beograd
T +381 11 2681 137
+381 11 2681-255
F +381 11 2685 023
E office@poverenik.org.rs
www.poverenik.org.rs

Za izdavača
Rodoljub Šabić

Urednik
Ivana Krpina

Autor
Nataša Pirc Musar

Priprema i štampa
Dosije studio, Beograd

ISBN 978-86-912589-0-0

Tiraž
2000 primeraka

Ova publikacija izrađena je uz podršku Evropske unije. Sadržaj ove publikacije je

isključiva odgovornost PLAC projekta i ne predstavlja stavove Evropske unije.
VODIČ KROZ ZAKON
O ZAŠTITI PODATAKA
O LIČNOSTI

Nataša Pirc Musar

Beograd, maj 2009.

 SADRŽAJ

PREDGOVOR
(Rodoljub Šabić, poverenik za informacije od javnog značaja
zaštitu podataka o ličnosti) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
PREDGOVOR (Primož Vehar, vođa tima PLAC projekta) . . . . . . . . . . . . . . . . 11
UVOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
PREDMET I CILJ ZAKONA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Šta su to podaci o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Šta je zbirka podataka? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Kada se odredbe Zakona o zaštiti podataka o ličnosti ne primenjuju? . . . . 18
OBRADA PODATAKA O LIČNOSTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Uopšteno o obradi podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Obrađivač podataka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Opšta načela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Zabrana diskriminacije . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Načelo srazmernosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Načelo tačnosti i ažurnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Uslovi za obradu podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Pravni osnov za obradu podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . 25
Zakonski osnov . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Obrada sa pristankom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Obrada podataka o ličnosti bez pristanka . . . . . . . . . . . . . . . . . . . . . . . . 27
Obrada podataka o ličnosti od strane organa vlasti . . . . . . . . . . . . . . . . 29
Svrha i način obrade podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Odluka pomoću automatizovane obrade . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Obrada u istorijske, statističke ili naučnoistraživačke svrhe . . . . . . . . . . 32
PRIKUPLJANJE PODATAKA O LIČNOSTI . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Obaveštavanje o obradi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Posebna zaštita zakonitosti obrade naročito osetljivih podataka . . . . . . 39
Prava lica u pogledu obrade podataka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Pravo na obaveštenje, uvid i kopiju i njihovo ostvarivanje . . . . . . . . . . 43

5
 Ograničenje prava na obaveštenje, uvid i kopiju . . . . . . . . . . . . . . . . . . . 46
Pravo na ispravku i brisanje, prekid
i privremeno zaustavljanje obrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Žalba u slučaju nepoštovanja prava na obaveštenje,
uvid, kopiju, ispravku i brisanje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Obaveze medija u pogledu obrade podataka o ličnosti . . . . . . . . . . . . . . . 55
Punomoćnik (član 34. ZZPL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Čuvanje i korišćenje podataka u slučaju smrti (član 35. ZZPL) . . . . . . . 57
Obaveza rukovaoca u slučaju povlačenja pristanka (član 36. ZZPL). . . . . 58
ZAKONSKE OBAVEZE RUKOVAOCA U POGLEDU
OBEZBEĐENJA PODATAKA O LIČNOSTI . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Obezbeđenje podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
1. Zakonske obaveze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2. Osnove informacionog obezbeđenja . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2.1 Autentičnost. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
10 preporuka za obezbeđenje lozinke . . . . . . . . . . . . . . . . . . . . . . 64
2.2 Autorizacija . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
2.3 Obezbeđenje praćenja obrade podataka o ličnosti . . . . . . . . . . . 66
3. Uporedna rešenja u slovenačkom Zakonu o zaštiti podataka
o ličnosti (Zakonu o varstvu osebnih podatkov ZVOP–1) . . . . . . . 69
4. Kadrovske i organizacione mere za obezbeđenje
podataka o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.1 Interni akti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.2 Kultura obezbeđenja. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5. Odgovarajući nivo obezbeđenja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.1 Obezbeđenje osetljivih podataka o ličnosti . . . . . . . . . . . . . . . . . 75
5.2 Obezbeđenje podataka o ličnosti pri ugovornoj obradi . . . . . . . 77
5.3 Spisak ključnih elemenata obezbeđenja podataka o ličnosti . . . 78
EVIDENCIJA ZBIRKI PODATAKA O LIČNOSTI . . . . . . . . . . . . . . . . . . . . . . 81
Značaj. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Mogući problemi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Jedna zbirka – jedna evidencija . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Rok za uspostavljanje evidencija . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
(Pogrešna) tumačenja vrsta podataka, koje evidencija mora da sadrži . . . . 82
Okvirni obrazac za unos u registar zbirki podataka
i evidencije zbirke podataka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

6
CENTRALNI REGISTAR ZBIRKI PODATAKA O LIČNOSTI. . . . . . . . . . . . 91
Značaj. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Uvodna preporuka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Mogući očekivani problemi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
POVERENIK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Značaj i praksa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Nadležnosti Poverenika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Nadzor nad sprovođenjem zaštite i obezbeđenja podataka o ličnosti . 95
Odlučivanje po žalbi u slučajevima navedenim u ZZPL . . . . . . . . . . . . 96
Mišljenja o propisima i drugačija mišljenja . . . . . . . . . . . . . . . . . . . . . . . 97
Prava Poverenika. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
NADZOR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Nadležnosti Poverenika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
KAZNENA POLITIKA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
OBLASTI ZAŠTITE PODATAKA O LIČNOSTI, KOJA ĆE ZAHTEVATI
NAJVIŠE REGULACIJE I RADA POVERENIKA . . . . . . . . . . . . . . . . . . . . . . . 103
Povrede prava iz radnog odnosa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Uvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Presude ESLJP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Osnovna pravila prava na privatnost na radnom mestu . . . . . . . . . . . . . . 105
KRAĐA IDENTITETA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Šta je krađa identiteta? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Načini na koje kradljivci identiteta iz internet mreže
pribavljaju podatke o ličnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Pecanje (phishing) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Pharming napadi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Socijalni inženjering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Virusi i crvi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Špijunska programska oprema, adware i trojanski konji . . . . . . . . . . . . 112
KOPIRANJE LIČNIH DOKUMENATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Zakon o zaštiti podataka o ličnosti
(„Službeni glasnik Republike Srbije“, br. 97/2008) . . . . . . . . . . . . . . . . . . . . . . . 115

7
 PREDGOVOR

Relativno nedavno, 27. oktobra 2008. godine u Službenom glasniku Re-

publike Srbije, objavljen je Ukaz o proglašenju Zakona o zaštiti podataka o
ličnosti. Zakon je kako je to uobičajeno stupio na snagu osmog dana od dana
objavljivanja, a primenjuje se od 1. januara 2009. godine.
Srbija je tako, konačno dobila Zakon o zaštiti podataka o ličnosti koji joj
je hronično nedostajao, zakon koji je neophodan svakoj demokratskoj, uređenoj
zemlji. Mada, istini za volju, ona je i do sada imala zakon pod tim imenom.
Naime, još 1998. godine u vreme postojanja Savezne Republike Jugoslavije,
donet je Zakon o zaštiti podataka o ličnosti („Sl. list SRJ“ br. 24/98), koji je kas-
nije, prestankom postojanja SRJ bio deo pravnog poretka državne zajednice Sr-
bija i Crna Gora, da bi se njenim prestankom „primenjivao“ kao propis Repub-
like Srbije. Pomenuti savezni zakon donet je radi realizacije obaveza utvrđenih
odredbama Konvencije Saveta Evrope br. 108 o zaštiti lica u odnosu na automat-
sku obradu podataka o ličnosti iz 1981. godine, i zato je, na načelnom nivou, u
tom trenutku svakako predstavljao korak napred u kontekstu unapređenja zaštite
ljudskih prava.
Nažalost, ovaj zakon bio je pravno „mrtvorođenče“. Zvuči neverovatno, ali
sva je prilika da on bukvalno nikad nije primenjivan, da nikada niko nije tražio
zaštitu koju je on „garantovao“. Kao objašnjenje za ovaj fenomen postoje dva
podjednako prihvatljiva razloga. Prvi je veoma nizak nivo svesti građana o sop-
stvenim pravima i stepenu njihove ugroženosti kao i spremnosti da se ta prava
efektivno štite. Drugi razlog je to što je u turbulentnim godinama kada je prvo
nestala SRJ, a potom i DZ SCG, „zaboravljeno“ da se utvrdi koji bi organ Repub-
like Srbije bio nadležan da vrši nadzor nad primenom ovog zakona.
Naravno, iako bi ovo i samo po sebi bio dovoljan razlog za zakonodavnu
intervenciju u ovu oblast, bilo je i dosta drugih razloga. Da bi se na te razloge
moglo odgovoriti na pravi način nije bilo celishodno intervenisati samo vršeći
izmene i dopune postojećeg zakona, već je bilo potrebno doneti potpuno nov
zakon. Dinamična kretanja i promene u oblasti ljudskih prava uopšte imala su
svoj izraz i u sferi zaštite podataka o ličnosti. U međunarodnim, pre svega u ev-
ropskim relacijama, sve evidentnije je postojalo nastojanje da se utvrdi, izgradi i
garantuje neki zajednički standard.
U tom kontekstu nezaobilazan dokument je Direktiva evropskog Parla-
menta i Saveta Evrope 95/46 o zaštiti pojedinaca u vezi sa obradom podataka o
ličnosti i slobodnom protoku podataka, oslonjena pre svega na pomenutu Kon-
venciju iz 1981. ali i na rešenja iz nekih naprednijih nacionalnih zakonodavsta-

9
va. Donošenjem Direktive 95/46 uspostavljeno je nešto što je temelj savremenih
standarda u zaštiti podataka o ličnosti.
Mada je Direktiva 95/46 doneta pre našeg Zakona o zaštiti podataka o
ličnosti iz 1998. godine, zakon se nije, ili bar u najvećoj meri, nije na nju oslan-
jao. Ta činjenica, zapravo potreba da se odgovori na zahteve koje je Direktiva
nametnula nacionalnim zakonodavstvima, zahtevala je mnogo ozbiljnije inter-
vencije nego što su izmene i dopune postojećeg zakona. Zato je dakle, trebalo
doneti potpuno nov Zakon o zaštiti podataka o ličnosti.
Novi zakon je sad tu. Njegove kvalitete i nedostatke tek treba da potvrdi
najbolji sudija, praksa. Ali ono što je izvesno, je činjenica da se radi o jednom,
po prirodi stvari vrlo apstraktnom tekstu. Ta činjenica, sama po sebi a posebno u
kombinaciji sa nedovoljnim znanjem, odsustvom u praksi definisanih demokrat-
skih standarda i snažnom inercijom konzervativnog, mora imati za posledicu
probleme u razumevanju i prihvatanju normi ovog zakona i standarda koji se na
tim normama zasnivaju.
Zbog toga je jedan od prvih zadataka Poverenika za informacije od jav-
nog značaja, koji je od 1. januara postao Poverenik za informacije od javnog
značaja i zaštitu podataka o ličnosti, bio izrada i objavljivanje vodiča kroz Zakon
o zaštiti podataka o ličnosti, koji bi sadržinu zakona učinio bližom i jasnijom
što je moguće širem krugu korisnika. Izvršavanje tog, i inače ne baš lakog za-
datka, bitno je otežavala činjenica da Poverenik radi, u još uvek, neadekvatnim
uslovima i sa veoma skromnim resursima.
Prijateljska pomoć je anulirala i taj hendikep. Zahvaljujući materijalnoj
pomoći EU, preko PLAC projekta i kolegijalnosti i kreativnosti i dragocenom
iskustvu Nataše Pirc Musar, informacijskog poverenika Republike Slovenije i
njenih saradnika, evo relativno brzo po stupanju na snagu zakona imamo Vodič
kroz Zakon o zaštiti podataka o ličnosti, koji je pred Vama. Gotovo je suvišno da
naglašavam da verujem da će on značajno doprineti kvalitetnijoj implementaciji
zakona zbog čega se, na prijateljskoj pomoći, i ovom prilikom zahvaljujem.

U Beogradu, maj 2009. godine Rodoljub Šabić

Poverenik za informacije od javnog značaja
i zaštitu podataka o ličnosti

10
 PREDGOVOR

Vodič kroz Zakon o zaštiti podataka o ličnosti predstavlja rezultat saradnje

PLAC projekta (Policy and Legal Advice Centre – koji finansira Evropska unija) i
Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Repub-
like Srbije. Ovaj Vodič je autorsko delo gospođe Nataše Pirc Musar, slovenačkog
Poverenika za informacije, koja je kao stručnjak PLAC projekta prenela neka od
najznačajnijih iskustava i rešenja iz slovenačke prakse u vezi sa zaštitom poda-
taka o ličnosti, uz istovremenu analizu ovog novog srpskog zakona, usvojenog
23. oktobra 2008. godine, koji je započeo sa primenom 1. januara 2009. godine i
time doneo nove nadležnosti Povereniku za informacije od javnog značaja, koji
uporedo postaje i poverenik za zaštitu podataka o ličnosti.
Zaštita podatka o ličnosti je veliki i složen problem sa čijim se rešavanjem
u Srbiji veoma kasnilo, ali prvi korak, koji predstavlja donošenje Zakona o zaštiti
podataka o ličnosti učinjen je, a sledi ga i uspostavljanje jednog efikasnog meha-
nizma za ostvarivanje ovog prava. Skrenuo bih ukratko pažnju na činjenicu da
je još Savezna Republika Jugoslavija, 1992. godine usvojila Zakon o potvrđivanju
Konvencije u odnosu na automatsku obradu ličnih podataka (Službeni list SRJ
– Međunarodni ugovori, br. 1/92), a 1998. godine usvojila je i Zakon o zaštiti
podataka o ličnosti (Službeni list SRJ, br. 24/98 i 26/98). Međutim, i ako je sa
stanovišta osnovnih principa zakon bio blizak tada aktuelnim evropskim stan-
dardima u primeni je ostao bez realnih efekata. Putem ove kratke napomene
želeo bih posebno da istaknem značaj adekvatnog sprovođenja novog srpskog
zakona, te potpunog uspostavljanja nadzornog organa kao preduslova zaštite po-
dataka o ličnosti.
PLAC projekat, neposrednu pomoć i podršku pruža Kancelariji za evrop-
ske integracije, ali i pojedinim ministarstvima, i naravno Povereniku za infor-
macije od javnog značaja i zaštitu podataka o ličnosti angažovanjem domaćih
i stranih stručnjaka, sa ciljem harmonizacije zakonodavstva Republike Srbije sa
zakonodavstvom i standardima Evropske unije, takođe i u oblasti zaštite poda-
taka o ličnosti.
Iskreno verujem da će ovaj vodič, nastao saradnjom kabineta poverenika
i stručnjaka jednog EU projekta, biti od velike pomoći, ali ne samo povereniku,
već i celom javnom i privatnom sektoru Srbije, te i široj javnosti kako bi se na
što primereniji način upoznali sa jednim dosta složenim područjem, koje do
sada u Republici Srbiji nije bilo pokriveno na adekvatan način. Nadam se da
će Vodič koristiti, kako rukovaocima podataka, fizičkim ili pravnim licima ili
organima vlasti koji obrađuju podatke, tako i licima na koje se podaci o ličnosti

11
odnose, i naravno povereniku koji vrši nadzor nad sprovođenjem i izvršavanjem
Zakona o zaštiti podataka o ličnosti. Takođe verujem, da će predstavljati osnov
pronalaženja nekih novih i boljih rešenja u ovoj oblasti, kako bi se na što bolji
način svakom licu obezbedilo ostvarivanje i zaštita prava na privatnost, jer zaštita
podataka o ličnosti predstavlja logičnu posledicu zaštite prava na privatnost.
Kod traženja najboljih institucionalnih rešenja, kao i kod harmonizacije
zakonodavstva u oblasti zaštite podataka o ličnosti, potrebna su međunarodna i
regionalna iskustva kako bi se mogući problemi prevazišli. Ništa manje bitan je i
doprinos nacionalnih stručnjaka, koje sam imao priliku da upoznam sarađujući
sa kabinetom srpskog poverenika, te iskreno verujem da je značajan korak
napred već učinjen i da će poverenik putem svojih ovlašćenja, odnosno predloga
i preporuka za unapređenje zaštite podataka o ličnosti bitno doprineti razvoju
ove oblasti.

Primoz Vehar,
vođa projektnog tima PLAC projekta

12
 UVOD

Srbija postaje sve bliža pristupanju evropskim tokovima i procesu inte-

gracije. Bez sumnje će u jednom momentu, u bliskoj budućnosti, postati članica
Evropske unije. Kako bi mogla učiniti taj važan i veliki korak, moraće da prome-
ni znatan broj svojih zakona i drugih propisa, između ostalih i Zakon o zaštiti
podataka o ličnosti. Prvi korak je već učinjen, ali zasigurno ne i poslednji, jer
sadašnji Zakon nije u celosti usklađen sa Direktivom 95/46/EC. Od izuzetnog
značaja je uspostavljanje nezavisnog nadzora nad upravljanjem zbirkom podata-
ka, koji će u Srbiji obavljati Poverenik za informacije od javnog značaja i zaštitu
podataka o ličnosti. Postojanje nezavisnog nadzornog organa zapravo garantuje,
da zakon neće biti samo mrtvo slovo na papiru (kao što je bio prethodni iz 1998.
godine). Biće potrebno nekoliko godina da se svi „naviknu“ na novi zakon, a
treba biti svestan činjenice, da zapravo svi (korisnici zbirke podataka, zakono-
davac i Poverenik) moraju težiti istom cilju – što većem nivou zaštite podataka
o ličnosti, kao najvažnijeg osnovnog ljudskog prava, koje proizlazi iz šireg po-
jma prava na privatnost svakog pojedinca (političara, pevača, igrača, radnika,
državnog službenika, seljaka, deteta..). U vreme modernih informacionih teh-
nologija, mogućnosti sakupljanje i zloupotreba podataka o ličnosti su znatno
uvećane, te smo u ovom Vodiču veliku pažnju posvetili zaštiti zbirki podataka
u informacionim sistemima. Takođe, ovde skrećemo pažnju na sve prisutniju
pojavu krađe identiteta, koja u zapadnim demokratijama prouzrokuje veoma
visoke troškove državi i pojedincima. U sistemu uređenih država, čemu teži i
Srbija, dodatno je potrebno čuvati takozvane jednoznačne identifikatore, kojima
pripada jedinstveni matični broj građana (JMBG). Taj broj je osnova za izradu
ličnih dokumenata (pasoša i lične karte) i prema njemu svi moraju biti dodatno
obazrivi.
U nadi da će ovaj vodič biti svima od koristi, u njemu smo izneli mnoga
slovenačka iskustva, koja su nas od 1995. godine, kada smo usvojili prvi zakon,
pa do 2005. godine, kada je brigu o zaštiti podataka o ličnosti preuzeo tadašnji
Poverenik za informacije od javnog značaja i postao Poverenik za informacije,
dovela do znanja koje danas imamo.
Kada zakon zaživi u praksi, tada ćete u celosti moći da implementirate i
uspostavite osnovno ljudsko pravo – pravo na zaštitu podataka o ličnosti.
Koristim ovu priliku da se posebno zahvalim svojim kolegama, i to Alenki
Jerše, Mojci Komac, Klemen Mišiču, diplomiranim pravnicima zaposlenim u

13
Kabinetu Poverenika za informacije Republike Slovenije, kao i Andreju Tomšiču,
magistru informatičkog menadžmenta, koji su mi pružili neizmernu pomoć pri
izradi ovog Vodiča, i bez čije podrške i stručne pomoći ne bih uspela da se iz-
borim sa ovako zahtevnim zadatkom.

Nataša Pirc Musar,

poverenik za informacije Republike Slovenije

14
 PREDMET I CILJ ZAKONA

Ustavni osnov Zakonu o zaštiti podataka o ličnosti (u daljem tekstu ZZPL)

daje član 42. Ustava Republike Srbije koji određuje, da je zagarantovana zaštita
podataka o ličnosti i da se prikupljanje, držanje, obrada i korišćenje podataka o
ličnosti uređuju zakonom. Takođe, ovaj član određuje da je zabranjena i kažnjiva
upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni, u skladu sa za-
konom, osim za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Re-
publike Srbije, na način predviđen zakonom. Svako ima pravo da bude obavešten
o prikupljenim podacima o svojoj ličnosti, u skladu sa zakonom, i pravo na sud-
sku zaštitu zbog njihove zloupotrebe.
Zakon o zaštiti podataka o ličnosti u članu 1, stav 1. određuje, da se ovim
zakonom uređuju uslovi za prikupljanje i obradu podataka o ličnosti, prava lica
i zaštita prava lica čiji se podaci prikupljaju i obrađuju, ograničenja zaštite poda-
taka o ličnosti, postupak pred nadležnim organom za zaštitu podataka o ličnosti,
obezbeđenje podataka, evidencija, iznošenje podataka iz Republike Srbije i nad-
zor nad izvršavanjem ovog zakona. U članu 2. ZZPL uređuje, da je cilj ovog za-
kona da, u vezi sa obradom podataka o ličnosti, svakom fizičkom licu obezbedi
ostvarivanje i zaštitu prava na privatnost i ostalih prava i sloboda.
Cilj zakona, međutim, nije sama zaštita podataka o ličnosti, već zaštita
pojedinca na koga se ti podaci odnose, a time i dela njegove takozvane infor-
macijske privatnosti. ZZPL ne pokriva čitav spektar prava na privatnost poje-
dinca, već samo onaj deo prava na privatnost koji se odnosi na njegove podatke
o ličnosti.
Tako na primer, vređanje nekog pojedinca u medijima i navođenje neisti-
na u vezi sa njim, zadire u njegovu privatnost, ali to nije kršenje odredbi o zaštiti
podataka o ličnosti. Ako bi pak neko o pojedincu preuzeo i objavio njegove po-
datke o ličnosti, koje je dobio iz različitih izvora podataka (npr. pojedinosti o
njegovom zdravstvenom stanju), to bi značilo kršenje odredbi ZZLP.

ŠTA SU TO PODACI O LIČNOSTI

Podatak o ličnosti je, prema članu 3, tačka 1, svaka informacija koja se od-
nosi na fizičko lice, bez obzira na oblik u kojem je izražen i na nosač informacije
(papir, traka, film, elektronski medijum i sl.), bez obzira na okolnosti čuvanja
informacija, bez obzira na način pribavljanja informacije (slušanjem, gledanjem,
putem uvida u dokument i sl.) i bez obzira na druga svojstva te informacije.
Fizičko lice je čovek na koga se odnosi podatak, čiji je identitet određen
ili odrediv na osnovu ličnog imena, jedinstvenog matičnog broja građana,

15
adresnog koda ili drugog obeležja njegovog fizičkog, psihološkog, duhovnog,
ekonomskog, kulturnog ili društvenog identiteta. Fizičko lice je ovim putem
određeno, odnosno odredivo uz pomoć njegovih identifikacionih brojeva kao
što su već pomenuti jedinstveni matični broj građana, takođe i poreski broj, broj
zdravstvenog osiguranja, broj telefona, broj lične karte ili pasoša ili pak broj stu-
dentskog indeksa. Drugi faktori pomoću kojih fizičko lice može biti određeno ili
odredivo, između ostalog, su: starost, zaposlenje, druge funkcije koje lice obav-
lja, položaj i status u određenom subjektu i sl. Takođe, podatke predstavljaju i
slika, glas, otisci prstiju, te sve druge biometrijske karakteristike fizičkog lica.
Biometrijske karakteristike su telesne, fiziološke, i karakteristike ponašanja, koje
poseduju svi pojedinci, koje su jedinstvene i stalne za svakog pojedinca posebno
i uz čiju pomoć ga je moguće identifikovati, naročito u slučaju upotrebe otisaka
prstiju, dužica oka, mrežnjače oka, obraza, ušiju, dezoksiribonukleinske kiseline
(DNK), kao i različitosti položaja.
Podatak o ličnosti je zato svaki podatak koji se odnosi na fizičko lice ako
je ono određeno ili odredivo. Podaci, koji su neprepoznatljivi, izmanipulisani ili
na neki drugi način izmenjeni, nisu podaci o ličnosti ukoliko, na osnovu njih,
nije moguće odrediti osobu na koju se odnose.
Podaci o stvarima nisu podaci o ličnosti. Tako na primer, podaci o vozilu
nisu i ne mogu biti podaci o ličnosti, jer se odnose na stvar, a stvari po svojoj
prirodi ne mogu biti nosači podataka o ličnosti. Podaci o broju šasije motornog
vozila, vrsti, tipu ili boji vozila, ne mogu predstavljati podatak o ličnosti iz razloga
što se odnose na vozilo. Navedeni podaci mogu postati podaci o ličnosti samo
u slučaju kada ih je moguće povezati sa vlasnikom, odnosno kada je, na osnovu
njih, moguće identifikovati vlasnika vozila. Zajednički znak za povezivanje, na
osnovu koga je u slučaju korišćenja podataka o vozilu, moguće identifikovati
vlasnika, je na primer saobraćajna dozvola u kojoj su, pored podataka o vozilu,
upisani i podaci o vlasniku. Bitan uslov da podaci o vozilu postanu podaci o
ličnosti je, da je pomoću njih moguće precizno identifikovati pojedinca. Takođe,
informacije o servisiranju, popravkama, kvarovima i drugi podaci o prethodnom
stanju vozila, ne mogu biti podaci o ličnosti, ukoliko pri tome nisu navedeni po-
daci pomoću kojih je moguće identifikovati sve (sadašnje i prethodne) vlasnike
vozila, na primer njihova imena, odnosno druge podatke, na osnovu kojih bi oni
bili identifikovani.
Takođe, podaci o životinjama nisu podaci o ličnosti, npr, podaci o da-
tumu rođenja životinje, opis životinje, identifikacioni broj životinje, nisu podaci
o ličnosti, ukoliko se ne odnose i na vlasnika, odnosno na lice koje se stara o
životinji. Kada lice, uz pomoć tih podataka, postane odrediv ti se podaci mogu
kvalifikovati kao podaci o ličnosti.
Potpuno je jasno da ni podaci o pravnim licima nisu podaci o ličnosti.
Malo je složenija situacija u slučaju samostalnih preduzetnika i treba skrenuti
pažnju da u slučaju kada pojedinac nastupa kao samostalni preduzetnik (privatni

16
preduzetnik), radi zaštite pravnog prometa, pravo na zaštitu podataka o ličnosti
je suženo i pojedinac u svojstvu preduzetnika ne može uživati toliko prava kao
pojedinac u svojstvu fizičkog lica. Dakle, u situacijama gde se podaci odnose na
samostalnog preduzetnika, ne može se govoriti o zaštićenim podacima o ličnosti
kada se radi o podacima pojedinca povezanim sa obavljanjem funkcije samostal-
nog preduzetnika. Poreski broj ili na primer broj tekućeg računa samostalnog
preduzetnika su u neposrednoj vezi sa obavljanjem njegove delatnosti, te stoga u
tom slučaju ne predstavljaju zaštićene podatke, dok bi za isti poreski broj odnos-
no isti tekući račun to bili zaštićeni podaci u slučaju kada ih koristi pojedinac
kao fizičko lice.

ŠTA JE ZBIRKA PODATAKA?

Zbirka podataka, prema članu 3, tačka 6. ZZPL, predstavlja skup podataka
koji se automatizovano (korišćenjem informacione tehnologije) ili neautomati-
zovano vode i dostupni su po ličnom, predmetnom ili drugom osnovu, neza-
visno od načina na koji su pohranjeni i mesta gde se čuvaju. U zbirku poda-
taka moguće je ubrojati razne baze, evidencije, registre, upisnike, spiskove, kao i
druge oblike informacija koje odgovaraju definiciji niza podataka o ličnosti, kao
na primer razni ugovori, zapisnici, zdravstveni kartoni, video snimci i sl. S obzi-
rom na definiciju zbirke koju predviđa ZZPL, možemo u zbirku podataka ubro-
jati, takođe i upravne, sudske, disciplinske i druge odgovarajuće spise. Za većinu
takvih spisa značajno je, da se u njima nalaze podaci o ličnosti, prikupljeni iz
drugih zbirki podataka o ličnosti, ili su prikupljeni neposredno od stranaka i
svedoka u postupku. Često iz ovih zbirki nastaju nove zbirke podataka (npr. na-
kon okončanja krivičnog postupka, podaci iz sudskih spisa se upisuju u kaznenu
evidenciju i sl.).
Niz podataka mora biti dostupan na osnovu određenih merila (koja se
baziraju na ličnim, opštim ili drugim osnovama), takođe, mora biti organizovan
na takav način da odredi ili omogući određivanje pojedinca (recimo mogućnost
pretrage po zbirci na osnovu imena, datuma, sadržaja podataka, i sl.) Ako sis-
tem upravljanja zbirkama omogućava pristup podacima o ličnosti pojedinca na
osnovu njegovog imena, ili njegovih drugih identifikacionih znakova (npr. jedi-
nstveni matični broj građana, datum rođenja, adresa itd.) onda se radi o zbirci
podataka o ličnosti. Isto tako računarske datoteke u kojima se nalaze podaci o
ličnosti, načelno, takođe, predstavljaju zbirke podataka, a pri tom, odgovarajući
računarski programi omogućuju pristup podacima pojedinca na osnovu njego-
vih identifikacionih znakova ili drugih merila, i ako se oni nalaze u različitim
datotekama. Ručno vođene zbirke predstavljaju zbirku podataka ukoliko je
moguće na osnovu, odnosno uz pomoć određenih merila, pristupiti podacima
o ličnosti i nekog pojedinca na taj način identifikovati. Sa druge strane, ukoliko
neposredna dostupnost, odnosno pretraga podataka pojedinaca, koji se nalaze u

17
nekoj zbirci, nije moguća i ukoliko se njihovi podaci samo slučajno, nesistemski
pojavljuju u zbirci (npr. zbirci tehničkih podataka), takva zbirka ne predstavlja
zbirku podataka u smislu ZZPL.
Zbirka podataka u smislu ovog zakona je nezavisna i od načina i mes-
ta čuvanja podataka. Činjenica da se isti podaci pojedinca nalaze u različitim
zbirkama podataka, dok se istovremeno različiti podaci pojedinca nalaze razba-
cani u različitim zbirkama podataka, nema uticaja na valjanost zbirke podataka.
ZZPL se primenjuje kada je u pitanju bilo kakva automatska obrada po-
dataka o ličnosti, a ukoliko se radi o ručnoj (neautomatskoj) obradi podataka o
ličnosti, zakon se primenjuje samo u slučaju kada podaci koji se obrađuju pred-
stavljaju zbirku podataka (član 4. ZZPL).

KADA SE ODREDBE ZAKONA O ZAŠTITI PODATAKA

O LIČNOSTI NE PRIMENJUJU?
Namera zakonodavca nije bila nadziranje i regulisanje apsolutno svake
obrade podataka o ličnosti, iz razloga što bi to bilo sasvim besmisleno i ira-
cionalno, te su u članu 5. ZZPL precizirani izuzeci od primene zakona. Podaci,
koji podležu definicijama predviđenih članom 5, još uvek predstavljaju podatke
fizičkih lica, ali u navedenim primerima ti podaci o ličnosti nisu zaštićeni svim
odredbama ZZLP. Pojedine odredbe ZZPL o uslovima korišćenja i o pravima i
obavezama u vezi sa korišćenjem se ne primenjuju za nabrojane kategorije poda-
taka o ličnosti, izuzev ukoliko očigledno dolazi do suprotnih interesa pojedinca.
Pojam „suprotni interesi lica“ je prilično uopšten i s obzirom na to da se radi o
izuzecima od primene zakona, potrebno ga je potpuno precizirati, pre svega u
skladu sa načelom srazmernosti iz 6. i 7. tačke, člana 8. ZZLP. Zakon određuje
četiri kategorije podataka o ličnosti za koje se primena ZZLP može ograničiti:
1. Prvi izuzetak predstavljaju podaci, koji su svima dostupni i objavljeni
u javnim glasilima i publikacijama ili dostupni u arhivama, muzejima i drugim
sličnim organizacijama. Iz navedene odredbe proizlazi da je cilj zaštite zakona
privatnost i dostojanstvo pojedinca pri obradi podataka o ličnosti. S obzirom
na navedeno, obrada podataka koji su već dostupni javnosti (npr. putem ob-
javljivanja u medijima, knjigama, drugim javnim publikacijama, drugim javno
dostupnim izvorima, ili dostupni javnosti u muzejima, arhivama i sl.) u osnovi
ne može značiti zadiranje u privatnost i dostojanstvo pojedinca. Ono što je javno
i što je na zakonit način postalo javno, po prirodi stvari ne može se svrstati u
načelo privatnosti pojedinca. To znači da obrada takvih, već javnih podataka o
ličnosti, iz zakonskog ugla, nije sporna, odnosno dozvoljena je.
2. Drugi izuzetak od primene ZZLP, se odnosi na podatke koji se obrađuju
za porodične i druge lične potrebe i nisu dostupni trećim licima. O obradi
ove vrste podataka o ličnosti govorimo u slučaju kada pojedinac u svojoj kući
poseduje spiskove sa ličnim imenima, adresama, datumima rođenja, brojevima

18
telefona i sl., određenih lica (rođaka, prijatelja, poznanika...) i te spiskove koristi
u komunikaciji sa tim licima. Podaci, koji se koriste za porodične i druge slične
potrebe, su oni koji nastaju u okviru domaćinstva pojedinca. Obim korišćenja u
ovakvim primerima načelno nije definisan (pojedinac može za svoje, odnosno
porodične potrebe, izraditi veoma opsežnu zbirku podataka, npr. za više stoti-
na pojedinaca), ali bi se moglo iz nesrazmernog obima korišćenja zaključiti da
korišćenje prevazilazi samo porodične potrebe. Međutim, kada je korišćenje po-
dataka o ličnosti prošireno na treća lica, na primer, na sve pojedince koji žive u
nekom stambenom bloku, na poslodavca ili pak na druga lica, više ne govorimo
o korišćenju podataka za porodične i druge odgovarajuće potrebe.
U slučajevima korišćenja podataka koje odgovara definiciji „za porodične i
druge lične potrebe“ podaci o ličnosti ne smeju biti dostupni trećim licima. U po-
jam korišćenja podataka za porodične potrebe se ne može svrstati objavljivanje
i korišćenje podataka o ličnosti na internetu. Ovakvim primerom korišćenja po-
dataka već se bavio Evropski sud pravde, sa sedištem u Luksemburgu, u slučaju
Bodil Lindqvist1 kada je odlučio da se u korišćenje podataka za porodične potrebe
ne mogu se svrstati objavljeni podaci o ličnosti na internetu. Objavljivanje po-
dataka o ličnosti na internetu je zaštićeno odredbama ZZLP, ali to ne znači da
objavljivanje podataka o ličnosti na internetu nije dozvoljeno – naprotiv, doz-
voljeno je ali isključivo uz poštovanje svih odredbi ovog zakona (ukoliko tako
određuje zakon i ukoliko objavljivanju na internetu pojedinac pristupi svojom
voljom).
3. Treći izuzetak od primene ZZLP odnosi se na podatke, koji se o
članovima političkih stranaka, udruženja, sindikata, kao i drugih oblika
udruživanja obrađuju od strane tih organizacija, pod uslovom da član da pis-
menu izjavu da određene odredbe ovog zakona ne važe za obradu podataka o
njemu za određeno vreme, ali ne duže od vremena trajanja njegovog članstva.
Pojedinci, članovi političkih stranaka, udruženja, sindikata i drugih organiza-
cija iz člana 5, tačka 3. zakona, daju pismenu izjavu da određene (ali ne sve)
odredbe zakona ne važe kod korišćenja njegovih podataka za određeno vreme,
koje nikako ne sme biti duže od trajanja njegovog članstva. Organizacije nikako
ne smeju iz upotrebe izostaviti sve odredbe ZZLP, a odluka o tome koje odredbe
se neće primenjivati, u celosti je prepuštena pomenutim organizacijama. Takođe,
preporuka je da pomenute organizacije poštuju odredbe ZZLP i da njihovo
neprimenjivanje svedu na što manju meru. Ukoliko bi pomenute organizacije
iz upotrebe isključile skoro ceo zakon i koristile samo određene manje važne
odredbe, moglo bi se postaviti pitanje njihovog kredibiliteta kao i korektnog
odnosa prema njihovom članstvu.
Kao dodatni argument za restriktivnu odluku u vezi sa neprimenjivanjem
pojedinih odredbi ZZLP, u slučajevima kada se radi o članovima političkih
stranaka ili sindikata, potrebno je upozoriti da podatak o članstvu u političkoj

1 Primer C–101/01, 6. 11. 2003.

19
stranci ili sindikatu predstavlja osetljiv podatak o ličnosti u skladu sa članom 16.
ZZLP, te kada se ne radi o izuzecima iz člana 5. (podaci koje o svojim članovima
koriste političke stranke ili sindikati) za obradu takvih podataka primenjuju se
strožija pravila.
4. Četvrti izuzetak predstavljaju podaci koje je neko lice, sposobno da se
samo stara o svojim interesima, objavilo o sebi. U takvim slučajevima zakono-
davac je predvideo da bi zaštita pojedinca bila besmislena, pošto je pojedinac
očigledno ne želi. Svakom licu, kao što je slučaj sa pravom na zaštitu njegovih
podataka, mora u određenim situacijama da bude zagarantovana mogućnost da
sam odluči kada mu takva zaštita nije potrebna. Izuzetak iz ove tačke je u slučaju
kada pojedinac sam objavi svoje podatke na internetu, u medijima, oglasnoj tabli
ili na neki drugi način. Međutim, takav pojedinac mora biti pravno sposoban
da odlučuje o svojim vlastitim interesima. U tom slučaju je navedeno korišćenje
podataka o ličnosti u celosti zaštićeno odredbama ZZLP.
Puno je primera kada pojedinac sam objavljuje svoje podatke, a najbolji
su različiti društveni internet sajtovi, kao što su Facebook ili MySpace. Međutim
treba imati na umu da pojedinac može, mimo odredbi ovog zakona, objavljivati
svoje vlastite podatke, ali pri korišćenju podataka o ličnost drugih (čak iako su
to njegovi prijatelji, rođaci, poznanici) mora se u celosti pridržavati odredbi ovog
zakona i za takvo korišćenje mora imati pravi osnov.

20
 OBRADA PODATAKA O LIČNOSTI

UOPŠTENO O OBRADI PODATAKA

O LIČNOSTI
Obrada podataka je svaka radnja preduzeta u vezi sa podacima kao što
su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje,
pretraživanje, razvrstavanje, čuvanje, razdvajanje, ukrštanje, objedinjavanje,
upodobljavanje (prilagođavanje), menjanje, obezbeđivanje, korišćenje, stavlja-
nje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje,
prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim,
prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje
drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski,
poluautomatski ili na drugi način (član 3, tačka 3. ZZPL).
ZZPL uređuje vrlo širok obim rukovanja, odnosno postupanja u vezi sa
podacima o ličnosti. Međutim, oblici obrade su u zakonu pojedinačno nabrojani
i ne obuhvataju sve moguće oblike rukovanja podacima o ličnosti. Praktično,
sva rukovanja koja je moguće izvoditi sa podacima o ličnosti predstavljaju
obradu podataka o ličnosti. Zakon, znači, ne utvrđuje „numerus clausus“ odnos-
no ne nabraja taksativno sve aktivnosti koje predstavljaju obradu podataka o
ličnosti. Ipak, upotrebom reči „kao što su“ zakon ostavlja mogućnost da pored
pojedinačno nabrajanih oblika obrade i bilo kakvo drugo rukovanje podacima o
ličnosti, označava njihovu obradu.
Podatke o ličnosti obrađuje rukovalac podataka, koji može biti organ
vlasti, ali i bilo koje fizičko ili pravno lice (člana 3, tačka 5). Ovom definicijom
određeni su svi rukovaoci podacima, koji ih obrađuju u skladu sa odredbama
ZZLP.
U vezi sa pojmom rukovalac podataka zanimljiv je primer dva privredna
društva – matično (kontrolno) i podređeno (zavisno). Postavlja se pitanje da li
su ta dva društva jedan rukovalac ili dva različita rukovaoca podataka o ličnosti.
ZZPL određuje da je rukovalac podataka o ličnosti bilo koje fizičko ili pravno
lice. ZZLP takođe ne dopušta mogućnost da dve samostalne ali povezane firme
budu jedan rukovalac podataka. Svaka firma zasebno je rukovalac podataka o
ličnosti i mora se, kao takva, brinuti o zakonitom sprovođenju odredbi ZZLP,
između ostalog, i za odgovarajuću zaštitu podataka o ličnosti koje obrađuje. Ako
poseban propis uređuje svrhu i način obrade, rukovalac može da se odredi tim
propisom (član 7. ZZPL).

21
 U zakonu je, pored pojma rukovalac podataka, definisan i pojam korisnik
podataka. Korisnik podataka je fizičko ili pravno lice, odnosno organ vlasti, koji
je zakonom ili po pristanku lica ovlašćen da koristi podatke o ličnosti (član 3,
tačka 7. ZZPL).
Neophodno je skrenuti pažnju na činjenicu da je moguće da su rukovalac
podataka i korisnik podataka isti subjekti. Rukovalac neke zbirke podataka može
biti i njen korisnik, takođe i korisnik podataka neke druge zbirke, o kojoj brine
drugi rukovalac. Dakle, nije neophodno da rukovalac i korisnik uvek predstav-
ljaju dva različita subjekta.

OBRAĐIVAČ PODATAKA
ZZPL definiše obrađivača podataka u člana 3, tačka 8, kao fizičko ili
pravno lice, odnosno organ vlasti, kome rukovalac na osnovu zakona ili ugo-
vora poverava određene poslove u vezi sa obradom. Zakon ne ograničava vrstu
obrade podataka o ličnosti, koje po tom članu rukovalac poverava obrađivaču,
niti ograničava vrstu podataka koje rukovalac poverava (putem ugovora ili na
osnovu zakonskog ovlašćenja) obrađivaču u postupak. Ovo znači da je moguće
dostaviti obrađivaču sve vrste podataka o ličnosti, takođe i osetljive, kao što bi
moglo biti npr. u oblasti zdravstva. Zakon ne ograničava ni krug subjekata koji-
ma rukovalac može poveriti pojedine naloge koji su u vezi sa obradom podataka
o ličnosti. Tako, rukovalac pomenute naloge može poveriti svakom pravnom ili
fizičkom licu, kao i organu vlasti. Rukovalac tih podataka može pojedine nalo-
ge poveriti obrađivaču podataka na osnovu odredbi zakona ili se takav prenos
naloga reguliše ugovorom. U ovom slučaju se radi o takozvanoj ugovornoj obra-
di.
ZZPL, takođe omogućava rukovaocu podataka, da pojedine naloge u vezi
sa obradom podataka, putem ugovora poveri drugom pravnom licu, pojedincu
ili organu vlasti. Zakon u takvim slučajevima ne određuje posebne uslove, ali
treba skrenuti pažnju da i za ugovorno određenog obrađivača, takođe izričito
važe odredbe člana 46. i 47. ZZLP (zaštita podataka), kao i da se za obrađivača
podataka koji je pravno lice, primenjuje član 57. (kaznene odredbe), koji određuje
kazne za nepoštovanje raznih odredbi ZZLP.
Potrebno je istaći da rukovalac podataka o ličnosti ne može na obrađivača
preneti više ovlašćenja u vezi sa obradom podataka nego što ih sam ima. Takođe,
obrađivač podataka ne sme obrađivati podatke ni u kakve druge svrhe osim u
one koje su obe strane dogovorile. Obrađivač je, na određeni način, produžena
ruka rukovaoca podataka o ličnosti, te radi toga nije dopuštena bilo kakva obrada
podataka o ličnosti koja prevazilazi ovlašćenja naručioca.
Takođe, preporučljivo je, iako u ZZLP to nije izričito navedeno, da se
prava i obaveze između rukovaoca i obrađivača precizno odrede u međusobnom

22
ugovoru. U trenutku kada obrađivača podataka o ličnosti bude određivao zakon,
odnose između njih treba, koliko je moguće, precizno urediti zakonom.
Najčešći primeri u vezi sa ugovornom obradom na koje nailazimo u
praksi su primeri kada se zbirke podataka vode na informacionom sistemu koji
je u vlasništvu drugog pravnog ili fizičkog lica, kada manji poslodavci obračun
ličnih dohodaka zaposlenih i druge računovodstvene usluge povere spoljnjem
računovodstvenom servisu, kada operateri mobilne telefonije za sklapanje
korisničkih ugovora, ovlaste druga pravna ili fizička lica, kada rukovalac poda-
taka održavanje opreme koja služi za obradu podataka o ličnosti, poveri nekom
drugom, kada organizator konferencije angažuje drugu osobu za sakupljanje
prijava učesnika, kada se ugovorne strane dogovore da će jedna za drugu vršiti
poslove video nadzora, prinudna izvršenja ili možda uništavanje dokumentacije
koja sadrži podatke o ličnosti, i sl. Preporučljivo je da rukovalac ugovorom sa
obrađivačem precizno odredi zaštitu zbirki podataka, rokove čuvanja, vraćanje
zbirke po isteku ugovora, iz razloga što on, kao rukovalac, mora ispunjavati sve
obaveze iz ovog zakona i takođe je odgovoran za obrađivača, koji obrađuje po-
datke o ličnosti u njegovo ime i za njegov račun.

OPŠTA NAČELA

Zabrana diskriminacije
ZZPL u članu 1, stav 2. uređuje da se zaštita podataka o ličnosti
obezbeđuje svakom fizičkom licu, bez obzira na državljanstvo i prebivalište,
rasu, godine života, pol, jezik, veroispovest, političko i drugo uverenje, nacio-
nalnu pripadnost, socijalno poreklo i status, imovinsko stanje, rođenje, obra-
zovanje, društveni položaj ili druga lična svojstva, te je ovim stavom zakonski
regulisana zabrana diskriminacije. Odredba ovog člana zakona predstavlja
konkretizaciju odredbe člana 21. Ustava Republike Srbije u vezi sa zaštitom
podataka o ličnosti.
Poštovanje načela zabrane diskriminacije, takođe znači da svi moraju pri-
hvatiti činjenicu da je samovolja pri izvršavanju odredbi u vezi sa zaštitom po-
dataka o ličnosti zabranjena, te da sve odredbe, u odnosu na svakog pojedinca
treba primenjivati na jednak način.

Načelo srazmernosti
ZZPL u članu 8, tačka 6. i 7. određuju načelo srazmernosti u vezi sa
zaštitom podataka o ličnosti. Obrada podataka o ličnosti nije dozvoljena uko-
liko je podatak koji se obrađuje, nepotreban ili nepodesan za ostvarenje svrhe
obrade, kao i ukoliko su broj ili vrsta podataka koji se obrađuju nesrazmerni
svrsi obrade, što znači da je dozvoljeno obrađivati samo one podatke koji su
očigledno potrebni i primereni za postizanje zakonske namene obrade ličnih po-

23
dataka. Takođe, ograničen je i broj podataka o ličnosti koji se može obrađivati.
Obim podataka koji se obrađuju ne sme biti prekomeran, mogu se sakupljati i
obrađivati samo oni podaci koji su u cilju postizanja svrhe nužno neophodni. Ru-
kovaoci tako mogu obrađivati samo one podatke koji su potrebni za donošenje
neke odluke, izvršenje određenog ugovora ili posla, za organizovanje nagradne
igre, i slično. Ukoliko obim i vrsta podataka o ličnosti nisu zakonom predviđeni,
rukovaoci moraju, u zavisnosti od situacije odlučivati koja obrada ne predstavlja
prekomernu, odnosno nesrazmernu obradu podataka o ličnosti.
Tako na primer, pri organizovanju nagradne igre u kojoj mogu učestvovati
samo punoletna lica, organizator nagradne igre u skladu sa načelom srazmer-
nosti ne sme od učesnika zahtevati podatak o jedinstvenom matičnom broju
građana, već samo datum i godinu rođenja.
Načelo srazmernosti je, takođe bitno kod presuđivanja u situacijama kada
dođe do sukoba, odnosno kolizije dva ljudska prava, od koji je jedno ustavom
zagarantovano pravo na zaštitu podataka o ličnosti. Često je dozvoljen sukob
prava na zaštitu podataka o ličnosti i prava na slobodu izražavanja. Nijedno od
ova dva prava, međutim, nije apsolutno, već su oba ograničena drugim ljud-
skim pravima. U takvim situacijama odgovarajuću granicu potrebno je pronaći
u skladu sa načelom srazmernosti koje je, između ostalog, uređeno članom 8,
tačkama 6. i 7. ZZLP. Granicu je u sličnim primerima utvrdio i Evropski sud za
ljudska prava u poznatom slučaju Von Hannover protiv Nemačke,2 gde je presu-
dio o obimu prava medija u pogledu zadiranja u privatnost različitih kategorija
javnih ličnosti.

Načelo tačnosti i ažurnosti

ZZPL u članu 8, tačka 8. uvodi načelo tačnosti i ažurnosti. Navedeno za-
konsko pravilo teorija postavlja u ravan osnovnog načela kod obrade podataka
o ličnosti, čime ga stavlja u ravan načelu srazmernosti i zabrane diskriminacije.
Uređeno je da obrada podataka o ličnosti nije dozvoljena ako je podatak neis-
tinit ili nepotpun, odnosno kada nije zasnovan na verodostojnom izvoru ili je
zastareo. Ažurnost znači da obrađeni podaci o ličnosti odgovaraju stvarnim, na-
jnovijim podacima i da su tačni nasuprot nepravilnim podacima koji mogu biti
veoma zavaravajući. Pojedinac ima mogućnost da se uveri da li su obrađeni po-
daci tačni i ažurni, te u slučaju da nisu, pokrene odgovarajuće postupke kod ru-
kovaoca podataka i u skladu sa članom 22. ZZLP ima pravo da, pod određenim
uslovima, od rukovaoca zahteva ispravku, dopunu, ažuriranje, brisanje podataka
kao i obustavu i privremeni prekid obrade.
U skladu sa načelom tačnosti i ažurnosti rukovalac podataka može, pre
unosa podataka o ličnosti u zbirku, proveriti tačnost podataka, na primer, uvi-
dom u lični dokument ili drugi odgovarajući javna isprava pojedinca na koga

2 Von Hannover protiv Nemačke, br. 59320/00, 24. juni 2004.

24
se podaci odnose, ili na neki drugi način, ali u skladu sa namenom za koju se ti
podaci obrađuju.

USLOVI ZA OBRADU PODATAKA O LIČNOSTI

ZZPL u članu 8. određuje uslove koji moraju biti ispunjeni, da bi obrada
podataka o ličnosti bila dozvoljena. Pored nepoštovanja već pomenutih načela,
načela srazmernosti i načela tačnosti i ažurnosti, obrada podataka o ličnosti nije
dozvoljena kada:
– fizičko lice nije dalo pristanak za obradu, odnosno ako se obrada
vrši bez zakonskog ovlašćenja;
– se vrši u svrhu različitu od one za koju je određena, bez obzira da li
se vrši na osnovu pristanka lica ili zakonskog ovlašćenja za obradu
bez pristanka;
– svrha obrade nije jasno određena, ako je izmenjena, nedozvoljena
ili već ostvarena;
– je lice na koje se podaci odnose određeno ili odredivo i nakon što
se ostvari svrha obrade;
– je način obrade nedozvoljen.

PRAVNI OSNOV ZA OBRADU PODATAKA O LIČNOSTI

Zakonski osnov
Obrada podataka o ličnosti, takođe nije dozvoljena ako za obradu poda-
taka nema odgovarajućeg pravnog osnova. Odgovarajući pravni osnov za obradu
podataka o ličnosti mogu, u skladu sa članom 8, tačka 1. ZZPL omogućiti za-
kon ili pojedinac, svojom saglasnošću. Rukovalac podataka, koji ima pravni os-
nov (saglasnost ili zakonsko ovlašćenje) može obrađivati samo one podatke za
koje ima ovlašćenje u zakonu, odnosno saglasnost pojedinca na koga se podaci
odnose.
Kada se podaci o ličnosti obrađuju na osnovu zakona, zakon mora de-
taljno odrediti koji se podaci mogu obrađivati, te način i namenu njihove obrade.
Kada osnov za obradu podataka predstavlja drugi zakon, a ne ZZLP, moraju se
poštovati sve odredbe ZZPL.

Obrada sa pristankom
Pristanak pojedinca detaljnije je uređen u članu 10. ZZPL. Punovažan
pristanak pojedinac može dati nakon prethodnog obaveštenja od strane ruko-
vaoca o obradi u smislu člana 15. ZZLP. To znači da, pojedinac na koga se po-

25
daci odnose, mora biti detaljno upoznat sa svim pojedinostima obrade njego-
vih podataka (ko je rukovalac, svrha pribavljanja i dalje obrade, ko je korisnik
njegovih podataka, pravo na opoziv saglasnosti i pravne posledice opoziva...),
kao i mogućnost da može dati takozvani informisani pristanak. Takav pristanak je
pravno važeći. Pojedinac može dati pristanak pismeno ili usmeno na zapisnik.
Ako pojedinac svoj pristanak da pismeno, može ga dati u „klasičnom obliku“, za
pisani oblik se, u skladu sa članom 3, tačka 9. smatra, takođe, pristanak u ele-
ktronskom obliku, ali u tom slučaju potrebno je poštovati odgovarajuće odredbe
zakona koji uređuje pojam elektronskog potpisa. Pismeni oblik ima prednost i
sa aspekta budućeg dokazivanja postojanja, adekvatnosti, kao i dobrovoljnosti
davanja pristanka pojedinca. Pristanak za obradu podataka o ličnosti može u
ime pojedinca dati njegov zastupnik, koji u tom slučaju mora priložiti overeno
ovlašćenje, osim ukoliko drugim zakonom nije određeno drugačije.
Takođe, pojedinac može svoj pristanak za obradu podataka o ličnosti iska-
zati konkludentnom radnjom, na primer, ulaskom u prostoriju označenu kao
prostor pod video nadzorom, zna da će se njegovi podaci obrađivati u zbirkama
video snimaka, te samim ulaskom u takav prostor daje svoj pristanak. Takođe
jedan od primera je i snimanje telefonskih razgovora, u situaciji kada je pojedi-
nac, pre početka razgovora, bio upozoren da se razgovor snima, a nastavi razgo-
vor, on konkludentnom radnjom iskazuje pristanak za obradu svojih podataka.
Punovažan pristanak za obradu podataka ne može dati pojedinac koji za
to nije sposoban (npr. deca, osobe kojima je oduzeta poslovna sposobnost...).
Za takve osobe pristanak može dati zakonski zastupnik ili staratelj. Problem se
može pojaviti u vezi sa pristankom maloletnih lica. ZZPL ne određuje starosnu
granicu za punovažna pristanak za obradu podataka o ličnosti, te bi u takvim
slučajevima, bilo potrebno starosnu granicu potražiti u drugim zakonima koji
uređuju pitanje poslovne sposobnosti maloletnih osoba.
Kada se radi o obradi podataka umrlih lica i kada je dovoljan pravni os-
nov za takvu obradu pristanak pojedinca, ZZPL određuje da punovažan pris-
tanak mogu dati supružnici, deca sa navršenih 15 godina starosti, roditelji, braća
i sestre, pravni naslednik ili osoba koju je umrli za to odredio. Potrebno je upo-
zoriti, da osobe navedene u ovom stavu, moraju u prvom redu poštovati volju
umrlog i na osnovu njegove iskazane (navedene) volje odlučiti da li će dozvoliti
obradu podataka.
Pristanak se može, u skladu sa odredbom člana 11. ZZPL opozvati. Za
opoziv pristanka važe jednaka pravila kao i za sam pristanak. Kao što je uređeno
članom 11. obrada podataka o ličnosti nakon opoziva nije dozvoljena, međutim
ovde treba upozoriti, da ukoliko za obradu postoji zakonski osnov (ovlašćenje),
može se nastaviti sa obradom podataka.
Problematičan je član 11, stav 3. ZZPL koji određuje da je u slučaju opozi-
va pristanka pojedinac dužan rukovaocu nadoknaditi opravdane troškove i štetu,
u skladu sa propisima koji uređuju odgovornost za štetu, te ovu odredbu treba

26
koristiti izuzetno restriktivno jer bi njena primena u praksi mogla dovesti do
obezvređivanja namene odredbe koja pojedincu daje pravo na opoziv pristanka.
Mnogi se, upravo zbog naglašenosti ove odredbe, možda neće odlučiti
na opoziv pristanka iako su protiv obrade tih podataka o ličnosti. Time bi bila
obezvređena čitava namena zakona, koja se zasniva na tome da je obrada poda-
taka dozvoljena samo u slučaju kada lice dostavi tzv. informisani i svojom vol-
jom dat pristanak (ukoliko se, naravno, ne radi o obradi podataka na osnovu
zakona).

Obrada podataka o ličnosti bez pristanka,

(kada rukovaoc nije organ vlasti)
Podaci se, u određenim slučajevima, mogu obrađivati i bez pristanka po-
jedinca, tako da ZZPL u članu 12. određuje nekoliko takvih primera. Potrebno je
naglasiti da se u tim primerima radi o izuzecima od obrade podataka o ličnosti
na osnovu pristanka pojedinca, te se prema tim izuzecima treba odnositi re-
striktivno. Takođe, potrebno je dodatno objasniti da taj član govori o obradi po-
dataka od strane rukovaoca koji ne predstavlja organ vlasti. Osnova za obradu
podataka od strane organa vlasti, a bez pristanka pojedinca, određena je u članu
13. ZZPL.
1. Obrada bez pristanka je dozvoljena da bi se ostvarili ili zaštitili životno
važni interesi lica ili drugog lica, a posebno život, zdravlje i fizički integritet. Ova
odredba predstavlja neposredni pravni osnov za obradu podataka u primerima
kada je ugrožen život, zdravlje i fizički integritet. Ovi interesi uvek prevladaju
nad pravom na zaštitu privatnosti pojedinca, te nije potreban pristanak za obradu
podataka, što se u takvim situacijama navodi. Ova odredba se koristi samo u
izuzetnim situacijama, pre svega je treba procenjivati i iz ugla načela srazmer-
nosti. Naime, u slučajevima kada se radi o najvažnijim životnim interesima lica,
kao što su život, zdravlje i fizički integritet, mogu se obrađivati samo oni podaci
koji su potrebni i primereni u odnosu na namenu obrade, te da je njihov broj ili
vrsta srazmerna nameni obrade.
Odredbe toga stava je moguće koristiti u slučajevima hitnih medicinskih
zahvata, kada lice koje je danima u nesvesnom stanju, usled saobraćajne nesreće,
nije u mogućnosti da dâ svoj pristanak za obradu podataka, koji je lekarima
neophodan radi hitnog medicinskog zahvata (podaci o bolestima, alergijama,
lekovima koje lice koristi...). Lekar bi, na osnovu te odredbe, imao mogućnost
upoznavanja sa zdravstvenom evidencijom lica, a u svrhu spasavanja njegovoga
života ili sprečavanja drugih štetnih posledica za njegovo zdravlje i fizički integ-
ritet. Ova odredba se može upotrebiti, takođe u slučaju traženja nestalih osoba
uz pomoć lokacijskog podatka kod operatera mobilne telefonije, ako to lice ima
uz sebe mobilni telefon (recimo u slučajevima zatrpanih u lavini, ili kod dru-

27
gih prirodnih nesreća, kao i kod nestanka starijih osoba koje pate od različitih
psihičkih poremećaja, itd).
2. Obrada bez pristanka, dozvoljena je i u svrhu izvršavanja obave-
za određenih zakonom, aktom donetim u skladu sa zakonom ili ugovorom
zaključenim između lica i rukovaoca, kao i radi pripreme zaključenja ugovora.
Nesporno je da bilo koji drugi zakon pruža pravni osnov za obradu po-
dataka o ličnosti. Po pravilu, mora biti u zakonu opisana bar svrha obrade, kao
i podaci koji se obrađuju. Iz ZZPL je uočljivo da osnov za obradu podataka o
ličnosti može dati i podzakonski akt. Potrebno je skrenuti pažnju da ovakvo
rešenje nije dobro, te da nije u saglasnosti ni sa Ustavom Republike Srbije, koji
u članu 42. određuje, da se prikupljanje, čuvanje, obrada i korišćenje podataka
o ličnosti uređuju zakonom. Zato je preporučljivo, da se podzakonskim aktom
regulišu samo tehnički aspekti obrade podataka, dok osnov za obradu i vrsta
podataka o ličnosti treba obavezno da budu određeni u zakonu.
Podaci o ličnosti se bez pristanka lica mogu obrađivati, i kada se radi o
ispunjavanju obaveza određenih ugovorom između lica i rukovaoca, odnosno
kada su još u fazi dogovaranja za sklapanje ugovora. Mogu se obrađivati samo
oni podaci koji su potrebni i primereni za ispunjavanje obaveza iz ugovornog
odnosa. Pored toga, što je ugovorni odnos sam po sebi pravni osnov za obradu
podataka o ličnosti, obrada ne sme biti prekomerna. Preporučljivo je, da već sam
ugovor sadrži klauzulu o obradi podataka o ličnosti, iz koje se jasno vidi na-
mena i način obrade, vreme čuvanja podataka, te podaci koji se obrađuju. Uko-
liko ugovor ne sadrži takvu klauzulu, podrazumeva se da je podatke o ličnosti
u takvim slučajevima dozvoljeno obrađivati i nakon toga čuvati samo onoliko
vremena, koliko traje ugovorni odnos, odnosno, dokle se ispunjavaju obaveze
iz ugovornog odnosa, osim ako u određenim slučajevima zakon ne određuje
drugačije. Primer za takvu obradu podataka o ličnosti je sklapanje ugovora
između turističke agencije i lica zainteresovanog za organizaciju određenog
putovanja, koje će u fazi sklapanja ugovora turističkoj agenciji dati određene
podatke o sebi i članovima svoje porodice (npr. ime, adresu stanovanja, broj
telefona, broj pasoša...), a agencija će ih obrađivati u skladu sa namenom koja
proizlazi iz ugovora (npr. rezervacija hotela, prevoza, za potrebe pribavljanja viza
ukoliko se radi o putovanju u inostranstvo i slično).
3. Obrada podataka o ličnosti bez pristanka dozvoljena je i u drugim
slučajevima određenim ovim zakonom ili drugim propisom donetim u skladu
sa ovim zakonom, radi ostvarenja pretežnog opravdanog interesa lica, rukovao-
ca ili korisnika. Radi se o još jednom izuzetku od obrade podataka o ličnosti
na osnovu pristanka. Zakonska odredba je veoma opšta, pa zato treba pojam
„ostvarenje pretežnog opravdanog interesa lica“ ceniti kroz praksu Poverenika i su-
dova. Navedeni izuzetak je potrebno tumačiti vrlo strogo i u skladu sa načelom
srazmernosti jer se radi o obradi podataka bez pristanka lica i bez naglašenog
zakonskog osnova. Radi se o slučajevima, kada rukovalac, korisnik ili drugi po-

28
jedinac, ima osnovan interes za obradu podataka o ličnosti određenog lica i da
je taj interes toliko bitan da prevazilazi interese lica čiji će se podaci obrađivati.
Kako je već pomenuto, takav interes treba procenjivati izrazito restriktivno i
ovom odredbom se nikako ne sme opravdavati obrada podataka o ličnosti, koja
bi sa aspekta rukovaoca bila samo tehnički jednostavno izvodljiva ili zanimljiva
sa aspekta izvođenja njegove delatnosti.

Obrada podataka o ličnosti od strane organa vlasti

Organ vlasti je u skladu sa članom 3, tačka 4. ZZPL državni organ, organ
teritorijalne autonomije i jedinice lokalne samouprave, odnosno drugi organ ili
organizacija kojoj je povereno vršenje javnih ovlašćenja.
ZZPL u članu 13. uređuje obradu podataka o ličnosti od strane organa
vlasti, te definiše da organ vlasti obrađuje podatke bez pristanka lica, ako je
obrada neophodna radi obavljanja poslova iz svoje nadležnosti određenih za-
konom ili drugim propisom u cilju ostvarivanja interesa nacionalne ili javne bez-
bednosti, odbrane zemlje, sprečavanja, otkrivanja, istrage i gonjenja za krivična
dela, ekonomskih, odnosno finansijskih interesa države, zaštite zdravlja i mo-
rala, zaštite prava i sloboda i drugog javnog interesa, a u drugim slučajevima
na osnovu pismenog pristanka lica. Iz ovoga člana vidljivo je da organ vlasti
za obradu podataka o ličnosti u načelu mora dobiti saglasnost pojedinca, dok
bez saglasnosti može podatke obrađivati samo u ranije navedenim slučajevima,
međutim ti slučajevi su previše širokog značenja. Odredba tog člana je veoma
problematična iz razloga što osnov za obradu podataka o ličnosti od strane or-
gana vlasti i bez pristanka pojedinca, postavlja previše široko. Ta odredba daje
prevelika diskreciona ovlašćenja organu vlasti koji je u odnosu na pojedinca
mnogo moćnija stranka, i koja, za razliku od pojedinca, vrši funkciju vlasti. Up-
ravo zato je prilično neprirodno, da organi vlasti mogu obrađivati podatke o
ličnosti bez pristanka pojedinca i bez bilo kakve zakonske osnove.

SVRHA I NAČIN OBRADE PODATAKA O LIČNOSTI

U pogledu svrhe obrade podataka o ličnosti ZZPL u članu 8, tačke 2. I 3,
određuje da obrada nije dozvoljena kada se vrši u svrhu različitu od one za koju
je obrada određena, bez obzira da li se vrši na osnovu pristanka lica ili zakon-
skog ovlašćenja za obradu bez pristanka. Obrada podataka o ličnosti, takođe nije
dozvoljena ukoliko svrha obrade nije jasno određena, ako je izmenjena, nedoz-
voljena ili je već ostvarena.
Načelo prethodnog određivanja svrhe možemo svrstati u jedno od os-
novnih načela zaštite podataka o ličnosti, te je u ZZPL određeno, da se podaci
mogu obrađivati samo u svrhu koja je određene zakonom ili koja je uočljiva
iz pristanka pojedinca. Jedini izuzetak iz te odredbe, koji nalazimo u ZZPL, je

29
izuzetak koji predviđa član 6. i koji govori o obradi za istorijske, statističke i
naučno-istraživačke svrhe. U tim slučajevima se podaci, koji su već prikupljeni
i obrađeni za druge svrhe, mogu obrađivati u istorijske, statističke i naučno-
istraživačke svrhe. U svim drugim slučajevima mora biti prethodno određena
svrha obrade podataka.
Pored toga da je svrha unapred određena mora, takođe biti precizno opre-
deljena, nepromenjena i dozvoljena. S obzirom da svrha obrade mora da bude
unapred određena, jasno je da se u toku obrade podataka ista u pravilu ne smeju
menjati. Naravno, zakon može odrediti promenu svrhe, a rukovalac može za
promenu obezbediti ponovni pristanak lica. Upravo zato je preporučljivo da je
svrha obrade detaljno opredeljena.
Obrada podataka, takođe nije dozvoljena u slučaju kada je svrha obrade
već postignuta, te ovde govorimo o vremenskom ograničenju obrade podataka.
U pogledu te odredbe podaci o ličnosti se po ispunjenju svrhe radi koje su bili
sakupljeni, obrađeni i sačuvani, brišu iz zbirke podataka. Ovu odredbu, naravno
treba razumeti u smislu da neki drugi zakon može odrediti drugačije (npr. kada
se radi o kulturnoj zaostavštini, arhivskoj građi i slično...). Naravno, ne znači da
se određeni podaci ne bi smeli obrađivati vremenski neograničeno, već sve zavisi
od svrhe obrade podataka u pojedinim slučajevima.
Obrada podataka o ličnosti, takođe nije dozvoljena, ako je lice na koje se
podaci odnose, određen ili odrediv i nakon što je svrha obrade postignuta, što
znači da se podaci o ličnosti, nakon ispunjenja svrhe obrade moraju izbrisati ili
uništiti, uz mogućnost i da se samo učine anonimnim. To znači da lice na koje
se podaci odnose, nije više određeno ili odredivo, odnosno da su njegovi podaci
u tolikoj meri promenjeni odnosno okrnjeni, da ih više nije moguće povezati sa
njim.
Potrebno je još skrenuti pažnju, da ispunjenje svrhe obrade podataka o
ličnosti i rok čuvanja podataka ne spadaju uvek u isti vremenski period, te da
bilo koji drugi zakon može odrediti rok čuvanja određenih podataka o ličnosti,
bez obzira na to što je svrha obrade već bila ispunjena.
Poslednje, ali ne najmanje važno, je da obrada podataka o ličnosti nije
dozvoljena ukoliko je način obrade nedozvoljen. Ova odredba ima primenu u
situacijama kada je način obrade podataka detaljno određen (zakonom, ugovo-
rom, ili je pak dat pristanak lica isključivo za određenu svrhu obrade...). Ukoliko
se obrada podataka ne bi izvodila za unapred određenu svrhu, onda bi takva
obrada bila u suprotnosti sa odredbama ZZPL i time u celini bila nedozvoljena.
Pojedinac se, na primer, može saglasiti da rukovalac fotokopira njegovu
ličnu kartu, te da fotokopija čuva u fizičkom obliku. Ako bi rukovalac tu fo-
tokopiju skenirao te je čuvao u elektronskom obliku, to bi značilo da je podatke
o ličnosti pojedinca obrađivao na način koji nije dozvoljen jer za takav način
obrade nije bila data lična saglasnost.

30
 ODLUKA POMOĆU AUTOMATIZOVANE OBRADE
ZZPL u članu 9 u prvom stavu uređuje da odluka koja proizvodi pravne
posledice za lice ili pogoršava njegov položaj, ne može biti isključivo zasno-
vana na podacima koji se obrađuju automatizovano i koji služe oceni nekog
njegovog svojstva (radne sposobnosti, pouzdanosti, kreditne sposobnosti i sl.),
dok u sledećem stavu predviđa da se sme doneti odluka iz prethodnog stava,
kada je to zakonom izričito određeno, odnosno kada se usvaja zahtev lica u vezi
sa zaključenjem ili ispunjenjem ugovora, uz sprovođenje odgovarajućih mera
zaštite.
Nedozvoljeno je o pojedincu donositi odluke koje mogu pogoršati njegov
položaj ili proizvesti pravne posledice, samo na osnovu automatizovane obrade
podataka o ličnosti. Prema licu se mora odnositi kao prema konkretnom ljud-
skom biću, a ne kao prema objektu obrade. Pored automatizovane obrade poda-
taka o ličnosti mora postojati i dodatna neautomatizovana, lična obrada podataka
o ličnosti. Zakon, stoga štiti pojedinca koji, u vremenu modernih informacionih
tehnologija sve više postaje objekat obrade, te treba istaći da je nezaštićenost od
zloupotreba informatike pri donošenju odluka jedna od glavnih opasnosti koje
nam prete u budućnosti. Rezultat do koga dolazi, bez obzira na sve napredniju
programsku opremu, ima samo na izgled objektivan i nesporan značaj. Čovek,
kao onaj koji odlučuje, bez valjanog razloga joj pridaje prevelik značaj i u takve
rezultate se previše pouzdaje.3
ZZPL u članu 9. pojedinca štiti od takvog automatizovanog odlučivanja,
time što mu garantuje da se neće donositi odluke koje bi pogoršale njegov položaj
na osnovu rezultata dobijenih automatizovanom obradom podataka. U suprot-
nosti sa tim članom bi bilo, ukoliko poslodavac odbije molbu tražioca zaposlenja
kao posledicu rezultata računarskog psihološkog testa, nezakonita bi bila izrada
spiskova potencijalnih kandidata uz pomoć programske opreme za ocenjivanje
ili ocenjivanje i razvrstavanje kandidata po određenom redosledu na osnovu nji-
hovog ličnog testa, kao i utvrđivanje boniteta pojedinca radi dobijanja kredita,
i slično.
Pored svega navedenog, odlučivanje uz pomoć automatizovane obrade
dozvoljeno je u dva primera, uz pravnu pretpostavku da je pojedinac upoznat
sa postupkom automatizovane obrade podataka o ličnosti i načinom donošenja
odluke na osnovu takve obrade, kao i sa kriterijumima koji će biti osnova za
donošenje odluke.
1. Odlučivanje samo na osnovu automatizovane obrade podataka o
ličnosti prihvatljivo je ukoliko je to zakonom izričito određeno, kod izvođenja
odgovarajućih mera zaštite. Odluka koja proizvodi pravne posledice za određeno

3 N. Pirc Musar, S. Bien, J. Bogataj, M. Prelesnik, A. Žaucer, Zakon o zaštiti ličnih poda-
taka sa komentarom, GV Založba, Ljubljana 2006, str.143.

31
lice ili pak pogorša njegov položaj, može biti doneta ako neki zakon (ne i pod-
zakonski akt) to izričito odredi. Naravno, zakon mora obezbediti određene mere
zaštite. Razume se da zakon, kao jednu od mera zaštite mora da obezbedi pos-
tupak koji uključuje mogućnost pritužbe lica na donetu odluku sa kojom nije
zadovoljan.
2. Odlučivanje samo na osnovu automatizovane obrade podataka o ličnosti
je prihvatljivo, takođe, kada se rešava po zahtevu pojedinca u vezi sa zaključcima
i ispunjavanjem ugovora kod izvršavanja određenih mera zaštite. Ovaj izuzetak
se može koristiti samo kada inicijativa za donošenje neke odluke dođe od strane
pojedinca, a ne od strane njegovog ugovornog partnera. Ako se rešava po zaht-
evu lica, to znači da će odluka najčešće biti pozitivna i za njega zadovoljavajuća.
Ukoliko je odluka i pored svega, negativna bilo bi razumljivo da se pojedincu
prizna pravo na prigovor protiv donete odluke, te je u takvom slučaju automat-
ska odluka dozvoljena.

OBRADA U ISTORIJSKE, STATISTIČKE

ILI NAUČNOISTRAŽIVAČKE SVRHE
ZZPL u članu 6. uređuje da podaci prikupljeni i obrađivani u druge svr-
he mogu da se obrađuju isključivo u istorijske, statističke ili naučnoistraživačke
svrhe, ako ne služe donošenju odluka ili preduzimanju mera prema određenom
licu uz obezbeđivanje odgovarajućih mera zaštite. Mere zaštite podataka koji se
arhiviraju u isključivo istorijske, statističke ili naučnoistraživačke svrhe uređuju
se posebnim propisom.
Obrada podataka o ličnosti u istorijske, statističke i naučnoistraživačke
svrhe predstavlja primer dalje obrade podataka, koja po svrsi nije jednaka pri-
marnoj (prvobitnoj) obradi podataka o ličnosti. U načelu su rukovaoci i koris-
nici podataka o ličnosti upućeni na svrhu obrade koja je određena zakonom,
odnosno pristankom lica. Obrada u istorijske, statističke i naučnoistraživačke
svrhe, takođe znači odstupanje od člana 8. ZZPL, koji zabranjuje dalju obradu
podataka o ličnosti koja nije u skladu sa svrhom za koju su podaci bili saku-
pljeni. ZZPL je, takođe, za svakog rukovaoca zbirki podataka odredio te tri opšte
svrhe koje važe bez obzira na odredbe posebnih zakona.
ZZPL ne određuje šta sve spada u istorijske, statističke i naučnoistraživačke
svrhe, te je potrebno prilikom određivanja značenja tih pojmova, pomoći se
definicijama u drugim propisima, ukoliko takvi postoje, ili njihovo značenje
dopuniti uz pomoć definicija u raznim rečnicima (npr. rečnik srpskog književnog
jezika). Pre svega, značenje tih pojmova bi preciznije trebalo biti opredeljeno uz
pomoć prakse Poverenika i sudova, koji će se baviti slučajevima iz oblasti zaštite
podataka o ličnosti.
U pogledu obrade u istorijske, statističke i naučnoistraživačke svrhe, ZZPL
upozorava da podaci o ličnosti ne smeju služiti donošenju odluka ili preduzi-

32
manju mera prema određenom licu bez obezbeđivanje odgovarajućih mera
zaštite. Pre svega treba voditi računa o tome ko se može pozivati na istorijsku,
statističku i naučnoistraživačku delatnost. Pretpostavka je da neće biti poteškoća
kod organizacija koje su registrovane ili koje obavljaju tu delatnost, kao i kada se
radi o studentima koji pripremaju diplomske, magistarske ili doktorske radove,
već će više poteškoća biti u slučaju kada lice nije zaposleno ili nema ugovorni
odnos sa ustanovama te vrste. Iz tog razloga jedna od primarnih mera zaštite
podataka o ličnosti koju treba uvažavati u slučajevima kada rukovalac podatke
dostavlja za istorijske, statističke i naučnoistraživačke svrhe je da se takvi podaci
o ličnosti učine anonimnim. Zakon, međutim, ne govori izričito o anonimiza-
ciji podataka o ličnosti, ali govori o „odgovarajućim merama zaštite“. Razumljivo
bi bilo da se podaci koji se dostavljaju za navedene svrhe, dostavljaju na način
da lice na koje se odnose podaci više ne bi moglo biti određeno ili odredivo. U
suprotnom slučaju moglo bi da dođe do različitih spornih situacija, te bi različiti
istraživači, npr. studenti, kod izrade diplomskih radova mogli doći do vrlo oset-
ljivih podataka, koji nisu učinjeni anonimnim, a što nije u skladu sa ciljem i
svrhom samoga ZZPL.
Jedan od primera mera zaštite podataka o ličnosti je uništenje onih poda-
taka koji korisniku podataka o ličnosti nisu više potrebni za obradu u istorijske,
statističke i naučnoistraživačke svrhe. Ukoliko se korisnik podataka odluči za nji-
hovo uništenje, o trenutku i načinu uništenja mora bez odlaganja i to odmah po
uništenju, pismenim putem obavestiti rukovaoca podataka, koji mu je dostavio
lične podatke u navedene svrhe.

33
 PRIKUPLJANJE PODATAKA O LIČNOSTI

Na samom početku treba skrenuti pažnju da prikupljanje podataka o

ličnosti predstavlja samo jedan od oblika obrade podataka. Zato zakon u članu
14. potpunije i detaljnije određuje način dozvoljenog prikupljanja podataka, kao
prvu fazu obrade. Ova odredba je opšta i sama po sebi ne određuje ko može
prikupljati podatke o ličnosti, te svako ko prikuplja podatke mora za to imati
odgovarajući pravni osnov, utvrđen članovima 8. do 13. ZZPL, koji određuje doz-
voljenost obrade podataka o ličnosti. Na izgled veoma širok raspon mogućih si-
tuacija načina prikupljanja podataka o ličnosti, međutim ne znači da svako može
prikupljati podatke (ne predstavlja pravni osnov samo po sebi), ali ipak uređuje
kako se podaci prikupljaju uz uslov, da postoji odgovarajući pravni osnov (u
načelu je to pristanak lica ili zakon) za njihovu obradu u skladu sa članovima od
8. do 13. zakona.
Podaci se načelno mogu prikupljati samo od lica na koje se odnose ili od
organa uprave, koji je zakonom ovlašćen za njihovo prikupljanje. Izuzetak pred-
stavljaju slučajevi, uređeni članom 14. zakona, koji predviđa da se podaci mogu
prikupljati i od drugog lica ako:
1) je to predviđeno ugovorom zaključenim sa licem na koje se podaci
odnose;
2) je to propisano zakonom ili drugim propisom donetim u skladu sa za-
konom;
3) je to neophodno s obzirom na prirodu posla;
4) prikupljanje podataka od samog lica na koje se odnose zahteva prekomer-
ni utrošak vremena i sredstava;
5) se prikupljaju podaci radi ostvarenja ili zaštite životno važnih interesa lica
na koje se odnose, posebno života, zdravlja i fizičkog integriteta.
U svakom slučaju moguće je prikupljati samo one podatke o ličnosti, za
koje postoji pristanak lica ili obradu određuje zakon, koji su potrebni i prime-
reni, u skladu sa konkretnom svrhom za koje se prikupljaju. Takođe, u skladu sa
članom 14. ZZPL, nije moguće izbeći slučaj kada obrada, kao i prikupljanje nije
dozvoljeno.
U slučaju prikupljanja podataka o ličnosti na osnovu sklopljenog ugovora,
i podaci i svrha prikupljanja moraju biti ugovorom jasno opredeljeni, odnosno
jasno opisani. U tim slučajevima dozvoljeno je prikupljanje samo onih poda-
taka o ličnosti koji su zaista definisani ugovorom, takođe i njihova obrada mora

35
da bude ograničena u odnosu na svrhu prikupljanja i obrade, kao što proizlazi
iz ugovora, odnosno drugog dozvoljenog pravnog osnova za njihovu obradu,
utvrđeno članom 12. zakona.
U slučaju prikupljanja podataka o ličnosti od trećih lica na osnovu za-
kona, zakonom je određeno koji se podaci na taj način mogu prikupljati. Kako
zakon jasno određuje kada se mogu obrađivati podaci o ličnosti samo na osnovu
zakona, te je odluka koja govori o prikupljanju podataka na osnovu zakona pot-
puno suvišna, već ona mora biti, na osnovu članova 12. i 13. utvrđena zakonom.
Takođe, u skladu sa članom 42. Ustava Republike Srbije, prikupljanje, čuvanje,
obrada i korišćenje podataka o ličnosti uređuje se zakonom, te bi se skup poda-
taka o ličnosti koji se prikupljaju i svrha prikupljanja, u svakom slučaju moralo
definisati samim zakonom. Podzakonski propisi, mogu u tom smislu urediti
samo od koga se podaci prikupljaju, kao i druge tehničke detalje prikupljanja
zakonski definisanih podataka od trećih lica, ali ne mogu određivati rukovaoca
koji je ovlašćen da prikuplja podatke, kao ni svrhu i skup podataka koji se mogu
prikupljati.
Tri preostala izuzetka koji dozvoljavaju prikupljanje podataka od trećih
lica: u slučajevima kada je to neophodno s obzirom na prirodu posla; kada bi
prikupljanje podataka od samog lica na koje se odnose zahtevalo prekomerni
utrošak vremena i sredstava; te kada se radi o zaštiti životnih interesa, ovo treba
tumačiti veoma restriktivno i uvažavajući u prvom redu prava i interese lica na
koje se podaci odnose. To proizlazi već iz samog člana 2. ZZPL, koji određuje,
da je osnovni cilj zakona da obezbedi svakom fizičkom licu pravo na privatnost i
druga prava pri obradi podataka o ličnosti. Zato je potrebno u svakom konkret-
nom slučaju razjasniti dozvoljenost prikupljanja podataka od trećih lica u zavis-
nosti od okolnosti konkretnoga slučaja, npr. ugovora, isteklog poslovnog odnosa,
prirode samog posla i utvrđivanja da li u konkretnom slučaju stvarno postoje
razlozi koji govore u prilog dozvoljenosti prikupljanja određenih podataka i time
zadiranja u privatnost pojedinca bez njegovog znanja. Moglo bi, naime doći do
situacije kada bi određeno prikupljanje podataka bilo neizbežno u pogledu pri-
rode posla sa gledišta interesa npr. privatnih firmi, ali to ne bi bilo potrebno niti
neizbežno u pogledu na interese lica na koje se podaci odnose. Od konkretnih
okolnosti pojedinačnog slučaja takođe zavisi i koji podaci su stvarno potrebni,
primereni i neizbežni za izvršavanje određenog posla, pri čemu je potrebno te
okolnosti ceniti u pogledu zakonskog interesa do privatnosti lica na koje se po-
daci odnose. Tako nejasne odredbe ne idu u prilog osnovnom ljudskom pravu
na zaštitu podataka o ličnosti, jer dozvoljavaju previše diskrecije i veoma širokih
tumačenja.
Takođe, iz ugla zakonske zaštite interesa pojedinca u pogledu zaštite sop-
stvenih podataka, potrebno je veoma precizno i usko interpretirati dozvoljenost
prikupljanja podataka od trećih lica iz razloga što bi to zahtevalo previše vre-
mena i sredstava. U pogledu ekonomske vrednosti zbirki podataka, kao i iz

36
ugla ekonomskog interesa privrednih subjekata, zakonito prikupljanje podataka
neposredno od lica na osnovu pristanka, što predstavlja najčešći način priku-
pljanja podataka u posebnom sektoru, stalno je prisutno „previše“ sredstava i
vremena. Preširoka interpretacija tog izuzetka bi mogla u praksi dovesti do anu-
liranja osnovnih načela i odredbi zakona, te kao posledicu imati mnogostruko
posredovanje i prodaju velikih zbirki podataka od strane jedne firme drugoj,
npr. u svrhu direktnog marketinga bez uvažavanja interesa pojedinaca na koje
se podaci odnose. Osiguranje u tom pogledu je činjenica da tako prikupljene
podatke oni koji ih budu prikupljali neće smeti koristiti ukoliko, kao što je već
objašnjeno, ne bi postojao odgovarajući pravni osnov za njihovo korišćenje,
odnosno obradu (u slučaju npr. neposredne trgovine, bez dvoumljenja pre svega
lični pristanak).
Lakše je tumačiti i identifikovati postojanje zakonskog pravnog osnova
za prikupljanje podataka od trećih, ako se radi o izvršavanju ili zaštiti životno
važnih interesa lica na koje se odnose, pre svega života, zdravlja i ličnog in-
tegriteta. U tom smislu je zakon jasno zaštitio slučajeve, kada je interes lica u
pitanju, da se bez obzira na nepostojanje druge zakonske osnove ili eventualne
nemogućnosti lica da dostavi svoje podatke i dalje uvažavaju njegovi životni in-
teresi bez obzira što sam na to nema uticaja. Time se misli na slučajeve, kada
je lice npr. u nesvesnom stanju, teško povređeno, te se radi o prikupljanju po-
dataka bitnih za njegovo lečenje. Obim podataka koje je na takav način doz-
voljeno prikupiti nije neograničen, ali se odnosi na one podatke koji su potreb-
ni i primereni za izvršavanje ili zaštitu životno važnih interesa lica na koje se
odnose, pre svega života, zdravlja i ličnog integriteta. Praksa će pokazati, kakvo
će biti tumačenje pojma „životno važni interesi“ (u slučaju zdravstvenih podataka
prilikom hitne medicinske pomoći, kada je pojedinac u nesvesnom stanju npr.
podaci o alergijama, u određenim okolnostima podatak o posebnim bolestima,
trudnoći). Takođe, u tom slučaju je dalje korišćenje i obrada tako prikupljenih
podataka ograničena odredbama člana 12, odnosno mogućim kasnijim pris-
tankom lica, odnosno drugom zakonskom osnovom za pojedinačne slučajeve i
načine obrade.
Nepoštovanje odredbi člana 14. i obaveza prikupljača podataka o ličnosti
će se sankcionisati novčanom kaznom (član 57. ZZPL).

U budućnosti bi u cilju obezbeđivanja pravne sigurnosti i predvidivosti

zakonskih osnova za prikupljanje podataka o ličnosti, bilo korisno razmisliti o
jasnijoj definiciji zakonskih osnova te vrste (pre svega izuzetaka prema 3. i 4.
tački, stava 2, člana 14. ZZPL) za prikupljanje podataka bez posebne zakonske
osnove, odnosno pristanka lica na koje se podaci odnose. Zato bi bilo korisno
da se prikupljanje podataka o ličnosti uredi jedinstveno u članovima ZZPL
koji uređuju uslove dozvoljene obrade podataka.

37
 OBAVEŠTAVANJE O OBRADI
Sa gledišta zaštite prava pojedinca u vezi sa obradom podataka o ličnosti,
primarna obaveza svakog rukovaoca je da prilikom prikupljanja podataka oba-
vesti lice o bitnim informacijama u vezi sa obradom.
Rukovalac koji podatke prikuplja od lica na koje se odnose, odnosno od
drugog lica, pre prikupljanja, upoznaće lice na koje se podaci odnose, odnosno
drugo lice o:
1) svom identitetu, odnosno imenu i adresi ili firmi, odnosno identitetu dru-
gog lica koje je odgovorno za obradu podataka u skladu sa zakonom;
2) svrsi prikupljanja i dalje obrade podataka;
3) načinu korišćenja podataka;
4) identitetu lica ili vrsti lica koja koriste podatke;
5) obaveznosti i pravnom osnovu, odnosno dobrovoljnosti davanja podataka
i obrade;
6) pravu da pristanak za obradu opozove, kao i pravne posledice u slučaju
opoziva;
7) pravima koja pripadaju licu u slučaju nedozvoljene obrade;
8) drugim okolnostima čije bi nesaopštavanje licu na koje se odnose podaci,
odnosno drugom licu bilo suprotno savesnom postupanju.
Upoznavanje sa gore navedenim informacijama vrši se u pismenom ob-
liku u slučaju kada se pristanak za obradu daje u pismenom obliku, osim ako lice
na koje se podaci odnose, odnosno drugo lice, od kojeg se podaci prikupljaju,
pristane na usmeno upoznavanje.
O ovim navedenim informacijama, lice nije potrebno upoznavati ukoliko
to u pogledu okolnosti slučaja, nije moguće ili je očigledno nepotrebno, odnosno
neprimereno, posebno ukoliko je lice na koje se podaci odnose ili drugo lice,
koje prosleđuje podatke od trećeg lica, već upoznato sa tim informacijama ili ako
sa licem, na koje se podaci odnose nije moguće ostvariti kontakt. Slučajeve kada
obaveza upoznavanja ne postoji potrebno je u praksi posmatrati vrlo usko i u
vezi sa osnovnim načelom zaštite pojedinca. Potrebno je poći od pretpostavke da
je u interesu pojedinca i zaštite njegovih podataka o ličnosti, najvažnije da zna
ko njegove podatke prikuplja i obrađuje i u koje svrhe. Nikako ne bi smeo biti
dozvoljen slučaj koji bi rukovaocu dozvoljavao da izbegava svoje obaveze, te da
prema svom mišljenju ne obavesti pojedinca. Prvi i jedini faktor pri odlučivanju
mora biti interes samog lica, a samo izuzetno su dozvoljeni slučajevi kada se
samo privremeno lice ne obaveštava.
U slučajevima kada je rukovalac podatke o licu prikupio od drugog lica,
mora lice na koje se podaci odnose, upoznati sa gore navedenim informacija-
ma, bez odlaganja ili najkasnije prilikom prve obrade, osim u slučajevima, ako

38
takvo upoznavanje u pogledu okolnosti slučaja nije moguće ili zahteva pre-
komernu upotrebu vremena i sredstava ili je očigledno nepotrebno, pre svega,
ako je lice na koje se podaci odnose, već upoznato sa tim informacijama ili ako
sa tim licem nije moguće ostvariti kontakt ili ako je prikupljanje podataka i nji-
hova dalja obrada od drugog lica propisana zakonom. U tim slučajevima ru-
kovalac je u obavezi da obavesti lice na koje se podaci odnose, čim to postane
moguće ili ukoliko lice to zahteva. Slučajeve, kada obaveštavanje nije potrebno,
treba posmatrati restriktivno, pri čemu je bitna uloga Poverenika, koji se stara o
sprovođenju i sankcionisanju nepoštovanja tih prava pojedinca. Takođe, od toga
da li će Poverenik u slučaju nepoštovanja zakona preduzeti sve mere koje ima
na raspolaganju i insistirati na mehanizmima prekršajne odgovornosti (član 57.
ZZPL), zavisiće to koliko će rukovaoci, obrađivači i korisnici, primenu zakona u
praksi shvatati ozbiljno.
Rukovalac mora obavestiti lice na koje se odnose, kao i korisnika o izme-
ni, dopuni ili brisanju podataka, bez odlaganja, a najkasnije u roku od 15 dana
od dana izmene, dopune ili brisanja podataka.

POSEBNA ZAŠTITA ZAKONITOSTI OBRADE

NAROČITO OSETLJIVIH PODATAKA
Određene kategorije podataka o ličnosti su zakonski strožije zaštićene i
njihova obrada je dozvoljena pod strožijim uslovima od onih koji važe za obradu
ostalih podataka. Osetljivi podaci su, prema članu 16. ZZPL, podaci o ličnosti
koji se odnose na nacionalnu pripadnost, rasu, pol, jezik, veroispovest, pripad-
nost političkoj stranci, sindikalno članstvo, zdravstveno stanje, primanje soci-
jalne pomoći, žrtvu nasilja, osudu za krivično delo i seksualni život. Takve po-
datke načelno je dozvoljeno obrađivati samo na osnovu slobodne lične volje lica
na koje se odnose. Kada je njihova obrada zakonom izričito zabranjena, onda
obrada osetljivih podataka nije dozvoljena ni u slučaju pristanka lica. Skup po-
dataka koji se računaju kao osetljivi podaci po ZZPL, je širi nego što to predviđa
Konvencija 108 Saveta Evrope, koja kao osetljive podatke podrazumeva podatke
koji ukazuju na rasno poreklo, politička, verska ili druga uverenja, podatke koji
se odnose na zdravstveni ili seksualni život ili na osude za krivično delo.
U skladu sa članom 16, stav 2. ZZPL, izuzetno podaci koji se odnose na pri-
padnost političkoj stranci, zdravstveno stanje i primanje socijalne pomoći, mogu
se obrađivati bez pristanka lica, ukoliko je to propisano zakonom. Izuzetke od
tog strogog načela delimično određuje tačka 3, stava 1, člana 5 ZZPL, koja se od-
nosi na podatke o članovima političkih stranaka, udruženja i sindikata, te drugih
oblika udruživanja, koje o njima obrađuju te organizacije, međutim ni u jednom
slučaju bez pristanka lica na koje se odnose i ne duže od trajanja članstva.
Pristanak lica za obradu osetljivih podataka mora biti u pismenom ob-
liku, koji sadrži oznaku podatka koji se obrađuje, svrhu obrade i način njegovog

39
korišćenja. U tom delu zakon, u vezi sa obradom podataka određuje strožije
kriterijume nego za obradu klasičnih podataka o ličnosti. Zakon u tom delu ne
određuje da bi za obradu osetljivih podataka bio dovoljan pristanak dat preko
ovlašćene osobe, takođe ZZPL ne govori o obradi osetljivih podataka samo na
osnovu zakona (osim podataka o pripadnosti političkoj stranci, zdravlju i pri-
manju socijalne pomoći). U vezi sa tim da zakon obradu osetljivih podataka
uređuje posebno, činjenica je da ni okolnosti i slučajevi predviđeni članom 13.
ne mogu biti dozvoljen pravni osnov za obradu osetljivih podataka (osim poda-
taka o pripadnosti političkoj stranci, zdravlju i primanju socijalne pomoći) bez
pristanka lica na koje se podaci odnose. Zakonodavac tu nije uzimao u obzir
brojne već postojeće zbirke, koje su sačinjene na osnovu zakona i koje sadrže
osetljive podatke kao npr. upis u kaznenu evidenciju.
Zakon posebno uređuje slučajeve u kojima lice koje daje pristanak, nije
pismeno ili iz drugog razloga ne može svojeručno potpisati pristanak, te u takvim
slučajevima pristanak je punovažan ako dva svedoka svojim potpisima potvrde
da pismeno sadrži izjavu volje davaoca pristanka.
Lice koje je dalo pristanak za obradu podataka je u slučaju opoziva pris-
tanka za obradu podataka dužno rukovaocu naknaditi opravdane troškove
i štetu, u skladu sa propisima koji uređuju odgovornost za štetu, osim, ako je
to drugačije uređeno u izjavi o pristanku. Za opoziv pristanka za obradu oset-
ljivih podataka se u formalnom smislu primenjuje član 11. ZZPL kao što je već
objašnjeno. Takođe, potrebno je, u slučaju opoziva pristanka za obradu osetljivih
podataka opravdanost naknade troškova i štete tumačiti izrazito restriktivno,
inače se u celosti poništava smisao zakona i licu oduzima mogućnost raspola-
ganja vlastitim podacima i u tom smislu oduzima pravo na privatnost. Ovo je još
značajnije u slučajevima kada se lice nađe u slabijem položaju bilo kao zaposleni
ili ekonomski slabija strana (npr. ako je pristanak za prikupljanje podataka uslov
za određenu bitnu uslugu) i kada je dobrovoljnost pristanka pod znakom pita-
nja. Suština raspolaganja sa vlastitim podacima preko pristanka lica je u tome,
da je moguće takav pristanak u bilo kom trenutku opozvati. Rukovalac ne sme i
ne može prisiliti lice da ne opozove pristanak, jer bi se u takvoj situaciji radilo o
prinudi, te bi se i predstojeći zahtev za naknadu štete u slučaju opoziva pristanka
mogao svrstati u takvu ekonomsku prinudu.
U svim navedenim slučajevima obrada osetljivih podataka mora da bude
posebno označena, i obezbeđene odgovarajuće mere zaštite takve obrade. Svrha
takvog posebnog označavanja je upravo u omogućavanju strožije zaštite nad oset-
ljivim podacima. U tom smislu rukovalac mora za osetljive podatke obezbediti
dodatne zaštitne mere. Tako, pristup osetljivim podacima, radi njihove posebne
prirode, omogućen je što užem krugu ljudi, pri samoj tehničkoj zaštiti, kao i pri
njihovom čuvanju i prenošenju u elektronski oblik, i rukovalac mora primenji-
vati takve oblike zaštite koji, kao što je objašnjeno u poglavlju o zaštiti uključuju
upotrebu strožijih mera zaštite (npr. čuvanje u ormanima otpornim na požar,

40
upotreba alarmnih i protivpožarnih sistema zaštite, te dodatnih mera video nad-
zora prostorija u kojima se čuvaju osetljivi podaci, sigurne načine intervenisanja,
korišćenje kriptografskih metoda zaštite podataka pri prenosu). Način arhivi-
ranja i mere zaštite osetljivih podataka će na osnovu ZZPL odrediti vlada uz
prethodno pribavljeno mišljenje Poverenika.
Takođe članom 16. ZZPL predviđeno je da Poverenik ima pravo uvida u
osetljive podatke i pravo provere zakonitosti obrade po službenoj dužnosti ili po
zahtevu lica, odnosno rukovaoca. Poverenik će u tom smislu imati bitnu ulogu
obezbeđenja stvarnog izvođenja i ostvarivanja zaštite osetljivih podataka, kako
putem davanja mišljenja u donošenju akta kojim će vlada odrediti način arhivi-
ranja i mere zaštite tih podataka, tako i putem izvođenja redovnih inspekcijskih
nadzora po službenoj dužnosti.
Nepoštovanje odredbi o posebnoj zaštiti osetljivih podataka sankcionisano
je u članu 57. ZZPL, koji određuje novčanu kaznu za obradu podataka u supro-
tnosti sa odredbama članova 16, 17. i 18. ZZPL.

Veoma strogo ograničenje ZZPL, koje određuje da je obrada osetljivih

podataka (osim podataka o pripadnosti političkoj stranci, zdravlju i prima-
nju socijalne pomoći) i izuzecima iz člana 5. ZZPL, dozvoljena samo na os-
novu pismenog pristanka, će se u praksi, vrlo verovatno, pokazati kao teško
primenjiva, što znači da će svi državni organi i drugi koji u praksi moraju
obrađivati osetljive podatke lica, morati za to da imaju pismeni pristanak
(npr. lekari, obrada u svrhe prekršajne i kaznene evidencije, sudovi, policija,
takođe slučajevi kada lice samo objavi vlastite podatke sa uskim tumačenjem
ne zadovoljavaju stroge zahteve za pismeni pristanak). Zato bi trebalo razmis-
liti o organizovanju koje bi odredilo mogućnost zakonske osnove za obradu
svih osetljivih podataka.

PRAVA LICA U POGLEDU OBRADE PODATAKA

Zakon u III. Poglavlju uređuje zaštitu prava lica koja su u vezi sa obradom
podataka, te njihovo sprovođenje i postupak po žalbi u slučaju nepoštovanja tih
prava i to:
– pravo lica na koje se podaci odnose na obaveštenje o obradi (pra-
vo na obaveštenje o vrsti obrade, pravo na uvid, pravo na kopiju
obrađenih podataka) uređuju članovi 19, 20 i 21,
– pravo lica na koje se podaci odnose da zahteva ispravku ili brisanje
nezakonitih ili pogrešnih podataka uređuje član 22,
– pravo lica na koje se odnose podaci objavljeni u medijima uređuju
članovi 30 i 31.

41
 Prava na obaveštenje, uvid, ispravku i brisanje su bitan institut i zaštita
koji licu pruža mogućnost ostvarivanje njegovih prava u odnosu na rukovaoca
zbirki podataka. Ta prava su deo ustavom opredeljene zaštite podataka o ličnosti,
kao što ih definiše član 42. Ustava Republike Srbije, koji određuje, da svako ima
pravo da bude obavešten o prikupljanju podataka o ličnosti u skladu sa zakonom,
te pravo na sudsku zaštitu u slučaju njihove zloupotrebe. Navedena prava pred-
stavljaju jedan od oblika prava lica na informisano odlučivanje dok istovremeno
obezbeđuju transparentnost obrade podataka. Svrha tih prava je da obezbede
poštenu i zakonitu obradu podataka o ličnosti, tako da lice uvek može imati
uvid u to koji podaci o njemu se obrađuju, te može zahtevati brisanje nezakonito
sakupljenih podataka, odnosno uložiti prigovor zbog nezakonite obrade poda-
taka.
Konvencija Saveta Evrope br. 108 o zaštiti pojedinca u pogledu automatske
obrade podataka o ličnosti, koja je u Republici Srbiji stupila na snagu 1.1.2006.
godine, u članu 8. predviđa pravo na upoznavanje, te ispravku, odnosno brisanje.
Tako Konvencija 108, koja se odnosi samo na automatske zbirke podataka, na
odgovarajući način, kao i zakon Republike Srbije, određuje da svakom licu mora
biti omogućeno: da utvrdi postojanje pojedine automatske zbirke podataka koja
sadrži podatke, njenu glavnu namenu kao i sedište njenog rukovaoca; da dobije,
u razumnom vremenskom roku i bez većih kašnjenja i troškova, potvrdu o tome
koji podaci, koji se odnose na njega, se nalaze u automatskoj zbirci podataka,
kao i uvid i kopija podataka, koji mora biti u razumljivom obliku; da zahteva is-
pravku ili brisanje podataka, ukoliko su bili obrađeni u suprotnosti sa pravilima
sadržanim u nacionalnom zakonodavstvu; da ima pravno sredstvo, ukoliko za-
htevu za potvrdu ili obaveštenje, ispravku ili brisanje, nije udovoljeno. Radi se,
naime o četiri aspekta obaveza rukovaoca:
– upoznavanje sa tim da zbirka postoji,
– upoznavanje lica sa sadržajem informacija koje se o njemu u zbirci
nalaze,
– ispravka ili brisanje pogrešnih informacija,
– zaštita, ako rukovalac ta prava ne poštuje.
Prvi aspekt, odnosno upoznavanje da zbirka postoji, je u Republici Sr-
biji uređen po dva osnova: u ranije predstavljenim obavezama u pogledu
obaveštavanja lica prilikom prikupljanja podataka u skladu sa članom 14. ZZPL,
koji određuje koje informacije je dužan svaki rukovalac preneti licu prilikom
prikupljanja podataka; te sa članovima 48. do 52. ZZPL o javnosti i obaveznom
objavljivanju svih zbirki u centralnom registru zbirki podataka, koji vodi Pove-
renik (o tome više u poglavlju o obavezi formiranja kataloga i centralnog registra
zbirki podataka). Licu će u vezi sa tim od velike pomoći biti centralni registar
zbirki podataka, koje Poverenik mora objaviti na internet stranama. Iz tog regi-
stra lice može prepoznati vrstu zbirki i podataka u tim zbirkama za pojedinog

42
rukovaoca, te, između ostalog, svrhu i pravne osnove za obradu. To je važno, pre
svega u slučajevima, kada su prava lica u pogledu upoznavanja, uvida i kopije
u skladu sa zakonom ograničena. Detaljnije o preostala dva aspekta osnovnih
prava pojedinca u pogledu upoznavanja, uvida i kopije u vezi sa podacima o
ličnosti koje pojedini rukovaoci vode u svojim zbirkama, te prava na ispravke i
brisanje pogrešnih podataka iz tih zbirki, kako ih uređuje ZZPL u III. poglavlju,
objašnjeno je u daljem tekstu.

Pravo na obaveštenje, uvid i kopiju i njihovo ostvarivanje

Lice ima pravo da od rukovaoca zbirke zahteva da ga upozna sa svim, u
članovima 19, 20. i 21., navedenim aspektima obrade podataka koji se odnose na
lice, te da mu se omogući uvid odnosno kopija obrađenih podataka o ličnosti.
Pravo se ostvaruje neposredno putem zahteva, dostavljenog rukovaocu zbirke
podataka i u istoj meri važi za privatni i javni sektor.
Svaki rukovalac zbirkom podataka dužan je da lice na koje se odnose po-
daci, na osnovu njegovog zahteva istinito i u celosti obavesti o sledećem:
1. da li rukovalac obrađuje podatke o njemu i koju radnju obrade vrši – član
19,
2. koje podatke obrađuje o njemu – član 19,
3. od koga su prikupljeni podaci o njemu, odnosno ko je izvor podataka – član
19,
4. u koje svrhe obrađuje podatke o njemu – član 19,
5. po kom pravnom osnovu obrađuje podatke o njemu – član 19,
6. u kojim zbirkama podataka se nalaze podaci o njemu – član 19,
7. ko su korisnici podataka o njemu – član 19,
8. koje podatke, odnosno koje vrste podataka o njemu koriste – član 19,
9. u koje svrhe se koriste podaci o njemu – član 19,
10. po kom pravnom osnovu koristi podatke o njemu – član 19,
11. kome se podaci o njemu prenose – član 19,
12. koji podaci o njemu se prenose – član 19,
13. u koje svrhe se podaci o njemu prenose – član 19,
14. po kom pravnom osnovu se podaci prenose – član 19,
15. u kom vremenskom periodu se podaci obrađuju – član 19.
Pored toga lice ima pravo, da od rukovaoca zahteva:
– uvid u podatke koji se odnose na njega (20. član);
– kopiju podataka koji se odnose na njega (21. član).
Zahtev za obaveštenje, uvid i kopiju lice podnosi rukovaocu u pismenom
obliku, ali rukovalac može iz razloga efikasnosti prihvatiti i usmeni zahtev po-

43
jedinca. Lice koji nije pismeno, odnosno iz razloga fizičkih ili drugih smetnji ne
može podneti pisani zahtev, može zahtev dati usmeno na zapisnik. Lice može
prava ostvarivati sam ili preko ovlašćenog zastupnika.
Postupak podnošenja zahteva uređuje ZZPL u članu 24. koji takođe
utvrđuje i šta zahtev mora sadržati:
– podatke o identitetu podnosioca zahteva – odnosno lica, na koje se
podaci odnose (ime i prezime, ime jednog roditelja, datum i mesto
rođenja, jedinstveni matični broj građana, adresu stanovanja kao i
druge podatke koji su neizbežni radi kontaktiranja).
– ukoliko zahtev podnosi zakonski naslednik umrlog lica mora nave-
sti, takođe podatke o identitetu umrlog, izvod iz matične knjige
umrlih, kao i dokaz o srodstvu sa umrlim.
Ukoliko lice podnese zahtev koji je nerazumljiv ili nepotpun, rukovalac je
dužan pomoći podnosiocu i poučiti ga kako da otkloni nedostatke i da podnese
potpun zahtev. Podnosilac mora otkloniti nedostatke i potpunu dopunu podneti
u roku od najviše 15 dana od dana prijema pouke o dopuni. Ako podnosilac
ne otkloni nedostatke u datom roku, a nedostaci su takvi da se po zahtevu ne
može postupati (npr. nije jasno ko je podneo zahtev, nema dokaza o tome da je
neko zakonski naslednik umrlog), rukovalac će zaključkom odbaciti zahtev kao
neuredan.
Rukovalac može sačiniti i propisati obrazac za podnošenje zahteva za
obaveštenje, kopiju i uvid, ali to nije uslov za potpunost zahteva. Rukovalac je
dužan obrađivati i one zahteve koji nisu podneti na propisanom obrascu. Pod-
nosiocu će biti od velike pomoći ukoliko bi rukovaoci i Poverenik, na svojim
internet stranama, na vidnom mestu imali objavljen obrazac za podnošenje za-
hteva za obaveštenje, uvid, kopiju, ispravku i brisanje. To bi u praksi olakšalo
nepotrebno odugovlačenje postupka zbog nepotpunog zahteva. Podnosilac ne bi
morao izričito napisati da podnosi zahtev za obaveštenje po određenom članu
ZZPL, već bi rukovalac morao iz sadržine zahteva shvatiti da se radi o takvom
zahtevu. Zato bi rukovaoci istovremeno morali obratiti pažnju da svoje zapos-
lene, koji komuniciraju sa strankama i primaju poštu, upozore na prava pod-
nosioca. Takođe, zaposleni moraju prepoznati zahtev za obaveštenje kao takav i
proslediti ga zaduženom u organu, preduzeću itd., da ne bi iz razloga neznanja
neki od zahteva završio u „korpi za otpatke“. U vezi sa tim rukovalac može poseg-
nuti za novčanom kaznom po članu 57. ZZPL.
Takva organizacija postupka ostvarivanja prava na obaveštenje, uvid
i kopiju, odgovara podnosiocu i njen cilj je da omogući ostvarivanje prava u
praksi. U pogledu odredbi zakona podnosilac ne mora da upotrebljava zakonski
utvrđene izraze – obaveštenje, uvid ili kopija, niti mora da se poziva na ZZPL,
ali mora na jasan način da opredeli šta želi od rukovaoca. Zato je veoma bitno
da Poverenik, kao žalbeni organ, stvarno preduzima stroge mere u slučajevima

44
ćutanja i mogućih pokušaja otežavanja procesa od strane rukovaoca prilikom
ostvarivanja prava.
Rukovalac je dužan da podnosiocu dâ informacije na osnovu zahteva za
obaveštenjem bez odlaganja, odnosno najkasnije u roku 15 dana od dana predaje
zahteva. U tom periodu je rukovalac dužan dati obrazloženje u pismenom ob-
liku, ili izuzetno i usmenim putem, ukoliko se podnosilac sa tim složi. Najkas-
nije u roku 30 dana od dana prijema potpunog zahteva za uvid ili za izdavanje
kopije, rukovalac je dužan podnosiocu zahteva omogućiti uvid odnosno predati
mu kopiju.
Izuzetno se ti rokovi mogu produžiti, ali ne više od 30 dana. Ako ruko-
valac iz opravdanih razloga ne može ispuniti zahtev za obaveštenjem u roku od
15 dana, odnosno zahteve za uvid ili kopiju u roku od 30 dana, mora u slučaju
zahteva za obaveštenjem u roku od 15 dana, a u slučaju zahteva za uvid odnosno
kopiju pak u roku od 30 dana, obavestiti podnosioca zahteva i odrediti novi
rok za ispunjenje zahteva. Taj novi rok ne sme biti duži od 30 dana od isteka
15– odnosno 30-dnevnog prvobitnog roka.
Rukovalac mora zajedno sa obaveštenjem o tome da će podnosiocu zah-
teva staviti na uvid podatak, odnosno da će mu izdati kopiju podataka, takođe
saopštiti i vreme, mesto i način na koji će podnosiocu podatak biti stavljen na
uvid, kao i iznos nužnih troškova izrade kopije podataka. U slučaju da rukovalac
ne raspolaže tehničkim sredstvima za izradu kopije, mora sa time upoznati pod-
nosioca, kao i sa mogućnošću da kopiju izradi sam uz upotrebu vlastite opreme.
Praksa će još pokazati, kakve su stvarne mogućnosti da, na primer, podnosilac
sam donese štampač, USB memoriju i sl. i tim putem omogući dobijanje kopije.
Podnosilac zahteva može iz opravdanih razloga zahtevati da mu se uvid omogući
u drugo vreme. U pravilu se uvid u podatke izvodi u poslovnim prostorijama ru-
kovaoca, što znači da rukovalac ne može uslovljavati izvršenje uvida u određeno
vreme i podnosiocu omogućiti uvid iz opravdanih razloga, i ako tako zahteva,
izvan redovnog radnog vremena, takođe ne može podnosilac zahtevati da se ru-
kovalac sa računarom npr. doveze u kraj u kome on živi, ukoliko je rukovalac
teritorijalno udaljen od prebivališta podnosioca.
Rukovalac je dužan podnosiocu zahteva omogućiti uvid na način da mu u
razumljivom obliku i besplatno omogući pristup svim podacima koji se odnose
na njega u obliku u kojem se nalaze. Rukovalac, takođe mora moguće skraćenice
i druge posebne oznake, koji su pojedincu nerazumljive, objasniti. Rukovalac
mora pojedincu, na njegov zahtev, takođe pružiti stručnu pomoć za razumevanje
sadržaja podataka koji se odnose na njega.
Ako rukovalac čuva podatke u različitim oblicima (npr. papirni, audio,
video ili elektronski zapis i dr.), podnosilac zahteva može sam izabrati u koji
oblik želi ostvariti uvid, osim ako bi to bilo neizvodljivo. Rukovalac će, na zahtev
lica kojem je potrebna stručna pomoć radi razumevanja sadržine podataka koje
se na njega odnose, pružiti takvu pomoć.

45
 Ako rukovalac raspolaže podatkom na jeziku na kojem je podnet zahtev,
dužan je da podnosiocu zahteva stavi na uvid podatak i izradi kopiju na tom
jeziku, osim ako podnosilac ne odredi drugačije, a rukovalac ima mogućnosti
da udovolji zahtevu. U ovom slučaju, ukoliko se podnosilac odluči drugačije, te
ukoliko rukovalac raspolaže potrebnim sredstvima za ispunjenje takvog zahteva,
može ispuniti zahtev i na drugom jeziku.
Pravo na uvid uključuje pravo lica na pregled, čitanje i preslušavanje po-
dataka, kao i sačinjavanje beleški, dok pravo na kopiju znači, da rukovalac mora
podnosiocu izdati kopiju podataka, koji se odnose na njega, u obliku u kojem se
informacija nalazi (npr. fotokopija, audio kopija, video kopija, digitalna kopija ili
slično), odnosno u drugom obliku, ukoliko je oblik u kome se informacija nalazi
licu bio nerazumljiv.
Rukovalac mora zahtev podnosioca za obaveštenje i uvid omogućiti be-
splatno, dok nužne troškove izrade i predaje kopije snosi podnosilac. Uslovljava-
nje ostvarivanja prava na uvid plaćanjem je izričito zabranjeno.
Ako rukovalac prihvati zahtev za obaveštenje, uvid i kopiju o tome će
napraviti zabelešku. Ako rukovalac odbije zahtev, o tome donosi rešenje sa pou-
kom o pravnom sredstvu, koje podnosilac ima na raspolaganju. U postupku
odlučivanja o zahtevu primenjuju se odredbe zakona kojim se uređuje opšti up-
ravni postupak.
Ova odredba ima smisla ukoliko se radi o rukovaocima podataka u javnom
sektoru, ali ona može biti problematična kao obaveza za rukovaoce podataka u
privatnom sektoru, koji inače ne primenjuju Zakon o opštem upravnom pos-
tupku. Iz tog razloga bi se i obaveza donošenja rešenja mogla u praksi pokazati
kao problematična kada je reč o privatnom sektoru, koji u ovom slučaju treba da
primeni Zakon o opštem upravnom postupku i donese rešenje, što inače ne čini
u svom poslovanju.

Složen postupak podnošenja zahteva za ostvarivanje prava pojedinca i

primena odredbi zakona kojim se uređuje opšti upravni postupak, sa ciljem
ostvarivanja prava lica kada je reč o rukovaocima zbirki podataka u privatnom
sektoru moglo bi u praksi otežati ostvarivanje prava lica, te bi ubuduće bilo
korisno pojednostaviti postupak u korist efikasnijeg obezbeđivanja izvršenja i
ostvarivanja tih prava u praksi. Još značajnije bi bilo opredeliti obavezu svih,
ili najmanje rukovalaca u privatnom sektoru, da odlučuju u pismenoj formi,
uz odgovarajuće obrazloženje i lično uručenje podnosiocu zahteva.

Ograničenje prava na obaveštenje, uvid i kopiju

Pravo na obaveštenje, uvid i kopiju iz član 19. do 21. ZZPL moguće je u
skladu sa zakonom određenim uslovima ograničiti, što znači da rukovalac može
u određenim slučajevima zahtev za obaveštenjem, uvidom i kopijom odbiti, te
podnosilac nema mogućnost da ostvari pravo na ispravku, ažuriranje i brisanje

46
na osnovu izršenog uvida. U pogledu odredbi člana 23, koje su u određenoj
meri veoma nejasne i od tumačenja izuzetaka od strane žalbenog organa tj. Pove-
renika, zavisiće da li će izuzeci, utvrđeni ZZPL ostati izuzeci ili postati pravilo.
Kako pravo na obaveštenje, uvid, kopiju i brisanje, odnosno ispravku predstavlja
deo osnovnih načela zaštite podataka o ličnosti, bilo bi korisno da se kao doz-
voljeni izuzeci dozvole samo oni koji su potrebni za zaštitu osnovnih vrednosti
demokratskog društva (recimo samo za policijske zbirke i zbirke obaveštajnih
službi). Preširoka interpretacija izuzetaka bi lako mogla dovesti do potpunog
obezvređivanja smisla ograničenih prava.
Zakon na rukovaoca prenosi odlučivanje kako tumačiti pojedine izuzetke,
te u skladu sa članom 23, rukovalac može zahtev za obaveštavanjem, uvidom ili
kopijom ograničiti odnosno odbiti u 9 slučajeva, ako:
1. lice traži obaveštenje o tome koji se podaci o njemu obrađuju (član 19,
stav 1, tačka 2), ko su korisnici podataka o njemu (član 19, stav 1, tačka
7), koji podaci o njemu se koriste (član 19, stav 1, tačka 8), u koje svrhe
se koriste podaci o njemu (član 19, stav 1, tačka 9), te po kom pravnom
osnovu se koriste podaci o njemu (član 19, stav 1, tačka 10), a rukovalac
je podatke o njemu uneo u javni registar ili ih je na drugi način učinio
dostupnim javnosti;
2. lice zloupotrebljava svoje pravo na obaveštenje, uvid i kopiju;
3. je rukovalac ili drugo lice, u skladu s članom 15. ovog zakona, već upo-
znao lice sa onim o čemu traži da bude obavešten, odnosno ako je lice
izvršilo uvid ili dobilo kopiju, a u međuvremenu nije došlo do promene
podatka;
4. bi rukovalac bio onemogućen u vršenju poslova iz svog delokruga;
5. bi davanje obaveštenja ozbiljno ugrozilo interese nacionalne i javne bez-
bednosti, odbrane zemlje, ili radnje sprečavanja, otkrivanja, istrage i
gonjenja za krivična dela;
6. bi davanje obaveštenja ozbiljno ugrozilo važan privredni ili finansijski in-
teres države;
7. bi se obaveštenjem učinio dostupnim podatak za koji je zakonom, dru-
gim propisima ili aktima zasnovanim na zakonu određeno da se čuva kao
tajna, a zbog čijeg bi odavanja mogle nastupiti teške posledice po interes
zaštićen zakonom;
8. bi obaveštenje ozbiljno ugrozilo privatnost ili važan interes lica, posebno
život, zdravlje i fizički integritet;
9. se podaci o njemu koriste isključivo za naučnoistraživačke i statističke
svrhe, dok takvo korišćenje traje.
Takođe lice nema pravo na uvid dok traje obustava obrade, ako je obrada
obustavljena na njegov zahtev.

47
 U pogledu značaja prava lica na obaveštenje, uvid i kopiju, široka defini-
cija ograničenja prava na obaveštenja, uvid i kopije bi mogla poništiti samu
svrhu takvog prava, te je veoma važno kako će ograničenje navedenih prava
tumačiti Poverenik. Takođe, rukovaoci i Poverenik, morali bi prilikom razmat-
ranja mogućih žalbi ta ograničenja tumačiti restriktivno, uz uvažavanje osnovnog
načela zakona tj. zaštite podataka o ličnosti. Zakonodavac je sa nejasnim defini-
cijama omogućio tumačenje izuzetaka, koje je znatno šire od odredbi Konvencije
108 Saveta Evrope, što može dovesti do nastanka zanimljive pravne situacije,
ukoliko bi se lice pozivalo na Konvenciju, koja je važeći pravni akt u državama
koje su je ratifikovale, te samim tim i u Srbiji.
Povereniku će pri tumačenju ograničenja pri postojećoj širokoj definiciji
biti od velike pomoći odredbe Konvencije 108 Saveta Evrope.
Izuzeci i ograničenja prava na obaveštenje, uvid i kopiju između ostalih
određuje član 9. Konvencije 108 koji predviđa, da su dozvoljeni u slučaju kada
su propisani zakonom uz uslov poštovanja osnovnih vrednosti demokratskog
društva. U tim okvirima ograničenja su dozvoljena iz razloga: zaštite državne
bezbednosti, javne bezbednosti, monetarnih interesa države ili borbe protiv
kriminala; zaštite lica na koje se podaci odnose ili prava i sloboda drugih i u
slučajevima kada obrada podataka ne predstavlja nikakav rizik za lice na koje se
podaci odnose (npr. anonimizirani podaci). U vezi sa tim Konvencija u 9. članu
određuje i da se ograničenja ostvarivanja prava u pogledu obaveštavanja, uvida,
kopije i ispravke ili brisanja, kao i zaštite u ostvarivanju tih prava, mogu propisa-
ti zakonom i to radi korišćenja zbirki podataka koje sadrže podatke o ličnosti za
statističke ili naučnoistraživačke svrhe, ali samo ako ne postoji opasnost kršenja
privatnosti lica na koje se podaci odnose.
Ograničenja prava na obaveštenje, uvid i kopiju bi trebalo tumačiti uz
utvrđivanje konkretnih okolnosti slučaja i odmeravanjem prava koje bi se sa
ograničenjem zaštitila, sa pravima lica na koje se podaci odnose, što je jako
važno u slučaju ograničenja iz član 23, tačke 2. (zbog zloupotrebe prava) i tačke
4. (onemogućavanje vršenje poslova rukovaoca) koji rukovaocu omogućuju ve-
oma široko tumačenje.
Takođe, navedena ograničenja ne bi smela biti dozvoljena u pogledu
zaštite privatnosti lica ukoliko se podaci, posebno ako se radi o osetljivim po-
dacima, koriste neanonimizirano u naučnoistraživačke ili statističke svrhe. U tom
smislu u vezi sa tumačenjem Konvencije prihvaćeno je stanovište da se u okviru
ograničenja prava kod upotrebe podataka u naučnoistraživačke i statističke svrhe
mislilo na slučajeve obrade podataka bez mogućnosti identifikacije lica, odnosno
u anonimiziranom obliku, a nikako ne u obliku koji dozvoljava određivanje lica
na koje se ti podaci odnose.

48
 Pri tumačenju okolnosti uvek bi moralo biti poštovano načelo da su
ograničenja dozvoljena samo kada iz okolnosti datog slučaja proizlazi da su
potrebna za zaštitu osnovnih vrednosti u demokratskom društvu. Pri tumačenju
okolnosti pojedinačnih ograničenja, Poverenik bi se morao rukovoditi okol-
nostima kao što ih opredeljuje Konvencija, čija svrha je upravo sprečavanje
preširokog tumačenja tih pojmova. Tako se pod državna bezbednost mislilo na
tradicionalni naziv zaštita nacionalnog suvereniteta od unutrašnjih i spoljnih
pretnji, uključujući zaštitu spoljnih poslova države. Pod monetarnim interesima
se misli na sve načine finansiranja državne, pre svega na porez i nadzor nad kur-
som deviza. Pod pojmom borba protiv kriminala se misli na otkrivanje krivičnih
dela, ali i na krivično gonjenje. Pod izuzetkom za zaštitu interesa lica – lica koje
je dalo podatke ili prava i sloboda drugih, mislilo se pre svega na slučajeve, kada
su određeni opravdani razlozi za npr. nedavanje podataka pacijentu kod psihi-
jatrijskog lečenja, podataka u vezi sa poslovnom tajnom, podataka povezanih sa
zaštitom slobode štampe (zaštita novinarskog izvora informacija).

U vezi sa navedenim ubuduće bi bilo potrebno razmisliti o mogućem

sužavanju zakonski dozvoljenih izuzetaka, odnosno razloga za odbijanje za-
hteva lica u pogledu prava na obaveštenje, uvid i kopiju. Postojeće zakonsko
uređenje zapravo ne opredeljuje koliko često lice može zahtevati obaveštavanje,
uvid ili kopiju, te bi bilo potrebno razmisliti o izmeni zakona barem definici-
jom, da izuzetak važi za naučnoistraživačke ili statističke svrhe samo, ako se
radi o anonimiziranim podacima, te dozvoljena vremenska učestalost zahte-
va sa posledičnim ukidanjem ograničenja u vezi sa zloupotrebom prava. U
pogledu prirode izuzetaka bi se time izbeglo preterano ograničavanje prava
u praksi i istovremeno sprečilo nerazumno često podnošenje zahteva sa na-
menom zloupotrebe prava.

Pravo na ispravku i brisanje, prekid

i privremeno zaustavljanje obrade
Lice ima pravo da podnese zahtev za ispravku, dopunu, ažuriranje i
brisanje podataka, koji se odnose na njega, kao i zahtev za prekid i privremenu
obustavu obrade vlastitih podataka.
Lice ima pravo na brisanje podataka ako:
1. svrha obrade nije jasno određena;
2. je svrha obrade izmenjena, a nisu ispunjeni uslovi za obradu za tu izme-
njenu svrhu;
3. je svrha obrade ostvarena, odnosno podaci više nisu potrebni za ostva-
rivanje svrhe;

49
4. je način obrade nedozvoljen;
5. podatak spada u broj i vrstu podataka čija je obrada nesrazmerna svrsi;
6. je podatak netačan, a ne može se putem ispravke zameniti tačnim;
7. se podatak obrađuje bez pristanka ili ovlašćenja zasnovanog na zakonu i u
drugim slučajevima kada se obrada ne može vršiti u skladu sa odredbama
ovog zakona.
Lice ima pravo na prekid i privremenu obustavu obrade, ako je osporilo
tačnost, potpunost i ažurnost podataka, kao i pravo da se ti podaci označe kao
osporeni dok se ne utvrdi njihova tačnost, potpunost i ažurnost.
Zahtev za ispravku ili brisanje, kao i prekid i privremenu obustavu obrade
podnosi se na takoreći isti način kao i zahtev za obaveštenje, uvid i kopiju, pri
čemu je zahtev u pismenom obliku, osim u izuzetnim slučajevima. Zahtev za
ostvarivanje prava uređen je u članu 24 ZZPL. Zahtev u pismenom obliku pod-
nosi se rukovaocu. Nepismeno lice, odnosno lice koje zbog telesnih ili drugih
nedostataka nije u mogućnosti da zahtev sačini u pismenom obliku može zahtev
usmeno saopštiti u zapisnik. Lice svoja prava može ostvarivati samo ili preko
ovlašćenog zastupnika.
Zahtev mora da sadrži:
– podatke o identitetu podnosioca zahteva – tj. lica na koje se i po-
daci odnose (ime i prezime, ime jednog roditelja, datum i mesto
rođenja, jedinstveni matični broj građana, adresu stanovanja kao i
druge podatke koji su neophodni za kontakt).
– ako zahtev podnosi zakonski naslednik za umrlog, mora da navede
i podatke o identitetu umrlog, izvod iz matične knjige umrlih kao i
dokaz o srodstvu sa umrlim.
Ako lice podnese zahtev koji je nerazumljiv ili nepotpun, rukovalac je
dužan da ga pouči kako da nedostatke otkloni i da podnese potpun zahtev. Pod-
nosilac mora da otkloni nedostatke u određenom roku, a najduže u roku od
15 dana od dana prijema pouke o dopuni. Ukoliko podnosilac u tom roku ne
otkloni nedostatke, a nedostaci su takvi da se po zahtevu ne može postupati
(npr. nije vidljivo ko ga je podneo, nema dokaza da je neko zakonski naslednik
umrlog rukovalac će zaključkom odbaciti zahtev kao neuredan.
Rukovalac može sačiniti i propisati obrazac za podnošenje zahteva, ali to
nije uslov za potpunost zahteva. Rukovalac je dužan obrađivati i one zahteve koji
nisu podneti na propisanom obrascu. Sve na šta je ukazano u pogledu odno-
sa rukovaoca i što je navedeno u delu koji se odnosi na ostvarivanja prava na
obaveštenje, uvid i kopiju, važi i u ovom slučaju. Poverenik bi morao biti posebno
strog upravo pri razmatranju žalbi na osnovu zahteva za ispravkom mogućih ne-
zakonitih ili pogrešnih podataka. Od njihovog rešavanja zavisi efikasnost zaštite
osnovnih prava pojedinca, jer samo stvarno brisanje nezakonitih podataka ili

50
ispravke pogrešnih podataka ili prekid obrade, znače rešenje za podnosioca za-
hteva. Samo obaveštenje, uvid ili pribavljanje kopije su naime prvi korak, koji ne
menja i ne prekida nezakonitu obradu.
Rukovalac je dužan odlučiti o zahtevu bez odlaganja, međutim najkasnije
u roku od 15 dana od dana podnošenja i o svojoj odluci obavestiti podnosioca
zahteva. Ako rukovalac odbije zahtev, mora u obrazloženju svoje odluke navesti
razloge za odbijanje kao i razloge za zakonitost obrade. Protiv odluke o odbi-
janju zahteva, podnosilac može izjaviti žalbu Povereniku u roku 15 dana od dana
dostavljanja odluke uložiti žalbu Povereniku, o čemu će više biti reči u poglavlju
o žalbama.
U slučaju kada rukovalac utvrdi da je zahtev osnovan, ali je hitno (bez
odlaganja) odlučivanje u skladu sa zahtevom tehnički nemoguće ili ako bi hitno
odlučivanje u skladu sa zahtevom zahtevalo prekomernu upotrebu vremena i
sredstava, mora po službenoj dužnosti označiti podatke kao osporene i privre-
meno obustaviti obradu tih podataka.
Rukovalac koji je organi vlasti, a koji je utvrdio da je zahtev osnovan, mora
označiti podatke, koji su predmet zahteva, kao osporene i privremeno obustaviti
njihovu dalju obradu. Izuzetak od ovog pravila, kada rukovalac ne mora obus-
taviti obradu uprkos podnetom zahtevu, su primeri kada:
1) nije istekao rok za obavezno čuvanje podataka;
2) je očigledno da bi postupanje po zahtevu nanelo ozbiljnu štetu interesima
drugih lica;
3) je zbog posebnog načina čuvanja podataka postupanje po zahtevu
nemoguće ili iziskuje prekomerni utrošak vremena ili sredstava.
Navedeni izuzeci su u suprotnosti sa osnovnim ciljevima zaštite i
suštinom prava lica, jer iz ugla zaštite osnovnih ljudskih prava u slučaju svakog
opravdanog zahteva, reakcija bi morala biti hitna. Odugovlačenje, odnosno od-
bijanje potpunog zahteva, koje posredno omogućuju navedeni izuzeci, zapravo
poništava samo pravo jer je pojedincu time uskraćena zaštita. Zakasnelo pravo
predstavlja uskraćeno pravo. Upravo u slučaju zbirki podataka može tako zakas-
nelo sprovođenje prava, odnosno posredno odbijanje prava, dovesti do novih
kršenja ili zloupotrebe podataka putem dalje obrade. Pre svega u slučaju iz tačke
3, iz ugla ostvarivanja osnovnih prava utvrđenih Ustavom, ništa ne bi smelo biti
nemoguće i preskupo. U praksi je, naime svako ostvarenje prava lica za ruko-
vaoca preskupo. Ako neko nezakonito obrađuje podatke, svakako je neozbiljno
tražiti opravdanje u samom zakonu.
Označavanje podataka kao izuzetih u momentu kada se ustanovljava
tačnost, potpunost i ažurnost podataka (na osnovu člana 22, stav 3 ZZPL), se
briše na osnovu odluke ovlašćenog organa ili na osnovu pristanka lica na koje se
izuzeti podaci odnose.

51
 U postupku odlučivanja o zahtevu primenjuju se odredbe zakona kojim
se uređuje opšti upravni postupak, što bi se u praksi moglo pokazati kao veliki
problem u slučaju privatnog sektora, slično kao što je upozoreno ranije u poglav-
lju o ostvarivanju prava na uvid, obaveštenje i kopiju.

Zakonodavac bi morao što pre izmeniti stav 5, člana 26. ZZPL u delu
koji omogućuje posredno odbijanje, odnosno odugovlačenje rešavanja zah-
teva lica na koje se podaci odnose. Ta rešenja bi, naime u praksi mogla sasvim
poništiti postojanje i ostvarivanje samog prava.

Žalba u slučaju nepoštovanja prava na obaveštenje,

uvid, kopiju, ispravku i brisanje
Za efikasnu zaštitu prava takođe je značajna odredba člana 32. i 33. ZZPL,
koja određuje da će rukovalac, u slučaju da ne obrađuje traženi podatak, pros-
lediti zahtev (za obaveštenje, uvid, kopiju, ispravak ili brisanje) Povereniku, osim
ako se podnosilac zahteva tome protivi. Po prijemu zahteva Poverenik proverava
da li rukovalac obrađuje traženi podatak i u slučaju da utvrdi da ga ne obrađuje,
Poverenik će dostaviti zahtev rukovaocu koji obrađuje podatak i o tome obaves-
titi podnosioca zahteva ili će ga uputiti na rukovaoca koji obrađuje podatak, u
zavisnosti od toga na koji će se način efikasnije ostvariti zahtev. Rukovalac u tom
slučaju mora odlučiti u roku od 15 dana od uručenja prosleđenog zahteva.
Ako u toj fazi Poverenik utvrdi da rukovalac kome je prvobitno bio pod-
net zahtev, zaista obrađuje zahtevane podatke, rešenjem će naložiti rukovaocu
da odluči o zahtevu. U ovom slučaju rukovalac mora da odluči o dostavljenom
zahtevu u roku 7 dana od dana dostavljanja rešenja Poverenika.
U praksi ovo predstavlja garanciju licu da je delovanje rukovaoca u vezi
sa zahtevom stvarno podvrgnuto proveri drugostepenog organa, bez sumnje da
će takav odnos povećati i poverenje pojedinaca u odluke, odnosno odgovore ru-
kovaoca, s obzirom da će rukovalac znati da ne može da izbegne nadzor. Ovaj
vid organizacije mogao bi se pokazati kao problematičan iz razloga moguće
preopterećenosti Poverenika, koji tako ne bi razmatrao samo žalbe, već praktično
i svaki neopravdan zahtev. Možda bi korisnije rešenje bilo da Poverenik meritor-
no odlučuje, ali se tako može dogoditi da isti predmet dva puta obrađuje.
U vezi sa ostvarivanjem prava na obaveštenje, uvid, kopiju, ispravke i
brisanje, kao i na prekid i privremeno obustavu obrade po ZZPL lice uvek ima
mogućnost izjavljivanja žalbe Povereniku. Zakon u IV poglavlju uređuje pos-
tupak po žalbi pogledu izvršavanja zahteva za obaveštenje, uvid, kopiju, ispravku
i brisanje (član 38–43).
Podnosilac zahteva može u roku od 15 dana (po uručenju odluke o odba-
civanju, odnosno odbijanju zahteva, odnosno po isteku utvrđenog roka), izjaviti
žalbu Povereniku:

52
 – protiv odluke rukovaoca kojom je odbijen ili odbačen zahtev;
– kada rukovalac ne odluči o zahtevu u propisanom roku (15 dana
kod zahteva za obaveštenjem sa mogućim produženjem na ukupno
45 dana u slučaju opravdanog produženja roka; 15 dana kod zahteva
za ispravku, dopunu, ažuriranje i brisanje podataka, kao i kod zah-
teva za opoziv i privremenu obustavu obrade podataka; odnosno 30
dana kod zahteva za uvid ili kopiju, sa mogućim produženjem na
ukupno 60 dana u slučaju opravdanog produženja roka);
– ako rukovalac ne stavi na uvid podatak, odnosno ne izda kopiju
podatka ili to ne učini u roku i na način propisan ovim zakonom;
– ako rukovalac uslovi izdavanje kopije podataka uplatom naknade
koja prevazilazi iznos nužnih troškova izrade kopije;
– ako rukovalac, suprotno zakonu, otežava ili onemogućava ostvari-
vanje prava podnosioca.
Rok za žalbu protiv odluke rukovaoca o zahtevu je:
– u slučaju odbijanja ili odbacivanja zahteva: 15 dana od dana uručenja
odluke kojom je zahtev odbačen ili odbijen;
– u slučaju ćutanja rukovaoca, tj. ako rukovalac na zahtev ne odgovori,
15 dana po isteku gore navedenog propisanog roka za odlučivanje o
pojedinom zahtevu.
Uz žalbu se prilaže zahtev sa dokazom o predaji i odluka koja se osporava.
Poverenik donosi odluku po žalbi najkasnije u roku od 30 dana od dana
podnošenja žalbe. Žalba se pre toga dostavlja rukovaocu, koji ima mogućnost
odgovora na žalbu. O navodima iz odgovora na žalbu, potom ima pravo da se
izjasni podnosilac koji je podneo prvobitni zahtev.
Poverenik odbacuje rešenjem neblagovremenu ili nepotpunu žalbu,
odnosno žalbu koja je izjavljena od neovlašćenog lica.
Ako Poverenik ne odbaci žalbu već je uzme u sadržinsko odlučivanje,
preduzima sve potrebne mere za utvđivanje činjeničnog stanja koje su potrebne
za odlučivanje po žalbi. Povereniku, odnosno licu koga on posebno ovlasti u
skladu sa članom 40. zakona koji definiše utvrđivanje činjeničnog stanja u pos-
tupku po žalbi, radi utvrđivanja činjeničnog stanja, omogućiće se uvid u poda-
tak, izuzev u slučaju iz člana 45, stava 2. U skladu sa ovom odredbom, Poverenik
u određenim slučajevima (na osnovu odluke predsednika Vrhovnog kasacionog
suda, ako bi se time mogao istinski ugroziti interes nacionalne ili javne bez-
bednosti, odbrana države ili aktivnosti sprečavanja, otkrivanja, istrage i gonjenja
kažnjivih radnji) nema uvid, odnosno pristup do svih potrebnih podataka, što je
detaljnije objašnjeno u nastavku. U praksi bi ta ograničenja mogla istinski ugro-
ziti ili sasvim onemogućiti rad Poverenika, naročito u slučajevima koji su iz ugla
zaštite prava lica na privatnost pred zahtevima države, najviše osetljivi.

53
 Snaga Poverenika u nadziranju zakonitosti obrade podataka o ličnosti
je najznačajnija upravo u odnosu na rukovaoce koji imaju takva ovlašćenja
za pristup osnovnom ljudskom pravu na zaštitu podataka o ličnosti i najviše
zadiru u privatnost lica. Zapravo ovi organi imaju takva ovlašćenja da mogu
zadirati u privatnost lica tako da ono za to uopšte ne zna (prisluškivanje tele-
fonskih razgovora, tajno praćenje...), te dovesti do dugoročnih posledica.
Ograničiti nadzorni organ upravo u tom delu je takođe nelogično. Svaki
rukovalac zbirke podataka mora poštovati načelo srazmernosti, koje je os-
novni princip, takođe i pri zaštiti osnovnog ljudskog prava na privatnost, koju
obezbeđuje član 8. Konvencije o osnovnim ljudskim pravima Saveta Evrope.
Takođe, Poverenik mora u svom radu poštovati načelo srazmernosti (posmat-
rati i nadzirati tačno toliko podataka o ličnosti koliko je to neophodno za
uspešno izvođenje nadzora). S toga je načelo srazmernosti upravo to koje
Poverenika ograničava, a ne „a priori“ odredba u zakonu. Ukoliko bi Srbija
želela u bližoj budućnosti pristupiti Šengenu, taj član bi značio ozbiljnu pre-
preku, iz razloga što Šengenska konvencija u članu 114. zahteva nezavisan
nadzor nad policijskim zbirkama koje će biti uključene u šengenski informa-
cioni sistem (SIS), tj. nadzor nad tim da li su podaci u sistem uneti na stvarno
pravnoj osnovi i da ne povređuju prava pojedinca. Taj član je, takođe neo-
phodno u budućnosti izmeniti.

Kada Poverenik, na osnovu žalbe podnete iz razloga ćutanja rukovaoca

(jer rukovalac nije odgovorio na zahtev pojedinca), utvrdi da je žalba osnovana,
rešenjem će naložiti rukovaocu da u određenom roku pristupi po zahtevu.
Rešenje Poverenika po žalbi je obavezujuće, konačno i izvršno. U slučaju
potrebe Vlada obezbeđuje izvršenje rešenja Poverenika i može bliže da odredi
način izvršenja rešenja. U slučaju neizvršenja rešenja Poverenika moguće je ru-
kovaoca, obrađivača ili korisnika (pravno ili fizičko lice, kao i odgovorno lice u
pravnom licu, državom organu, organu teritorijalne autonomije ili organu lokalne
samouprave) u prekršajnom postupku, takođe kazniti novčanom kaznom.
Protiv odluke Poverenika moguće je pokrenuti upravni spor. ZZPL pri
tom u članu 42. ne opredeljuje ko su lica koja su aktivno legitimisana za pokre-
tanje upravnog spora, ali prema odredbama Zakona o upravnim sporovima („Sl.
list SRJ“ br. 46/96) tužilac u upravnom sporu može biti lice kome je upravnim
aktom povređeno neko pravo ili na zakonu zasnovan interes. U protivnom, kada
bi pravo na tužbu protiv odluke Poverenika (kao predstavnika države) bilo dato
organu državne uprave, to bi bez sumnje značilo tužbu države protiv države po
predmetu zaštita prava lica.
Poverenik obustavlja žalbeni postupak:
– ako rukovalac nakon izjavljene žalbe zbog nepostupanja po zahte-
vu, a pre donošenja odluke po žalbi, omogući ostvarivanje prava na
uvid, odnosno kopiju ili odluči u skladu sa zahtevom;
– ako podnosilac odustane od žalbe.

54
 Takođe, u žalbenom postupku se subsidijarno primenjuju odredbe zakona
kojim se uređuje opšti upravni postupak.

OBAVEZE MEDIJA U POGLEDU

OBRADE PODATAKA O LIČNOSTI
Zakon posebno utvrđuje odredbe koje važe za obradu podataka od strane
novinara, kao i drugih medijskih poslenika isključivo u publicističkoj delatnosti
javnih glasila, izuzimajući obradu koja služi oglašavanju. Za obradu u isključivo
publicističkoj delatnosti javnih glasila ZZPL u članu 29. predviđa, da u tom delu
za medije važe samo odredbe člana 3, 5. i 8. tačka 1 do 5 i članovi 46. i 47. ZZPL.
Za obradu te vrste – u slučaju medija je to u prvom redu javno objavljivanje po-
dataka o ličnosti – takođe važe ograničenja u pogledu dozvoljene obrade poda-
taka u skladu sa članom 5. ZZPL i predviđenim izuzecima za koje ZZPL ne važi.
Tako objavljivanje podataka nije dozvoljeno u ranije obrazloženim slučajevima,
koje određuju 1. do 5. tačka, člana 8. ZZPL, a pre svega: ako fizičko lice na koje
se ti podaci odnose, nije dalo pristanak za obradu, odnosno ako se obrada vrši
bez zakonskog ovlašćenja i ako se radi o obradi neanonimiziranih podataka po
ispunjenju namene obrade koja je bila određena prikupljanjem.
Mediji mogu, u skladu sa članom 5. ZZPL, da obrađuju podatke koje je
lice samo objavio (može se podrazumevati da se takva objava računa kao objava
sa pristankom, za sva buduća objavljivanja), kao i podatke koji su već objavljeni
u medijima, publikacijama, javnim glasilima ili na drugi način javno dostupni
u arhivama, muzejima ili sličnim organizacijama. Izuzetak ličnog korišćenja i
izuzetak korišćenja u svrhe delovanja političkih stranaka, koje inače već određuje
član 5. zakona, u svrhu delovanja medija ne primenjuju se jer sama objava po-
dataka javnosti, kao i svaka medijska poruka neizostavno znači obradu koju nije
moguće ubrojati u početnu obradu4 i bez pristanka lica, takođe i za obradu u
svrhu rada političkih stranaka, jer one same po sebi ne uključuju objavljivanje.
Pri tome, sam član 5. u uvodnom stavu kaže da je zakonodovac imao na
umu strogo tumačenje tih odredbi, jer dozvoljava mogućnost strožijeg tumačenja
i posledično obezvređivanje postojanja tih izuzetaka, do kojeg je moguće doći
tokom procenjivanja. Tako navedeni izuzeci ne primenjuju se u slučaju kada in-
teresi lica na koje se podaci odnose, prevladaju nad interesima, kada je ta vr-
sta obrade izuzeta iz odredbi upotrebe zakona. U praksi bi to moglo značiti,
da npr. već objavljeni podaci o deci ne smeju biti ponovo objavljeni ukoliko bi
interes prava deteta (kako ga određuje nacionalno zakonodavstvo ili npr. Kon-
vencija o pravima deteta) očigledno prevladao nad interesom javnosti da bude
obaveštena.

4 O ovome više u slučaju Bodil Lindqvist protiv Komisije, Službeni list EU št. C 7 od 10.
1. 2004 odlučio, takođe Sud Evropske zajednice.

55
 ZZPL u članu 29. predviđa dodatni slučaj kada je, bez obzira na druge odredbe
o dozvoljenosti obrade, obrada podataka od strane novinara kao i drugih medijskih
poslenika isključivo u publicističkoj delatnosti javnih glasila sa izuzetkom obrade
namenjene oglašavanju, dozvoljena. Za potrebe takve obrade – objave u medijima
– mogu se koristiti i podaci koji se odnose na pripadnost političkoj stranci lica, ako
su važni s obzirom na javnu funkciju koju lice vrši. Zakonodavac je u ovom delu na
posrednan način sam izvršio probu srazmernosti, kojom u delu koji se odnosi na
podatak o političkoj pripadnosti, tj. članstvu u političkoj stranci, pravu javnosti na
obaveštenost i na demokratski nadzor, daje prednost u odnosu na zaštitu tog dela
privatnosti lica. Time je u delu koji se odnosi na tu kategoriju podataka o ličnosti
tzv. javne ličnosti – u tom smislu samo politički funkcioneri – ozakonio odluke
Evropskog suda za ljudska prava, koji je u slučaju Von Hannover protiv Nemačke,
priznao da tzv. javne ličnosti imaju manji obim očekivane privatnosti, odnosno
uživaju manji obim prava na privatnost nego lica koji to nisu.
U vezi sa tim mediji su takođe obavezni u okviru obrade podataka o
ličnosti, da obezbede odgovarajuće mere zaštite podataka u skladu sa članom 46.
i 47. ZZPL, kao što je već objašnjeno u poglavlju o zaštiti podataka o ličnosti.
Time je zakonodavac medije obavezao jednakim standardima zaštite poda-
taka o ličnosti, koji važe i za ostale. Istovremeno je, u pogledu na specifičnu pri-
rodu medija, za njih posebno uredio prava lica u odnosu na zaštitu svojih prava,
te mediji moraju, u ovom slučaju, kao rukovaoci zbirki podataka, prilikom zah-
teva na odgovor, ispravku, opoziv ili drugu informaciju koja se objavi na zahtev
lica na koje se podatak odnosi, iz člana 29. ZZPL (to je podatak koji su mediji
objavili), priključiti je obrađivanom podatku i čuvati u roku za čuvanje prvobitno
obrađenog podatka. Zakon ovo uređuje veoma neprecizno i nejasno u članu 30.
ZZPL iz razloga što nije precizno određeno da li se pod rukovaocima misli na
medije (npr. medijske kuće) ili možda i na novinare. Takođe, zakon ne govori
o tome na koje zbirke se tu misli i u kojim zbirkama mora rukovalac da čuva
podatak o odgovoru, ispravci i opozivu. Samo posredno, polazeći od činjenice da
se radi o podpoglavlju koje se odnosi na obradi podataka o ličnosti u medijima,
moguće je razumeti da je time zakonodavac mislio na novinare i javna glasila.
Na osnovu člana 31. ZZPL, ako se objavljivanjem podatka u javnom
glasilu i publikaciji povredi pravo ili pravno zaštićen interes lica, povređeno lice
može zahtevati od odgovornog urednika i izdavača javnog glasila obaveštenje o
podacima koji se o njemu obrađuju, uvid u podatke i kopiju. Odgovorni urednik
i izdavač javnog glasila mogu takav zahtev odbiti samo u slučaju:
– ako bi se time otkrili podaci o izvoru informacije, koje novinar i
drugi medijski poslenik nisu dužni ili nisu spremni otkriti;
– ako bi se time otkrili podaci u vezi sa licem koje je učestvovalo u
pripremi i objavljivanju informacije, a odgovorni urednik nije spre-
man da ih otkrije;
– ako postoje okolnosti u kojima bi obaveštavanje, uvid ili izrada kopije
bitno omeli obaveštavanje javnosti o informacijama od javnog značaja.

56
 U ovom delu zakonodavac je suzio krug prava lica samo na slučajeve kada
bi se objavljivanjem podataka u javnom glasilu i publkaciji kršilo pravo ili pravno
zaštićen interes lica. Zakon bi bilo moguće tumačiti u smislu ako se radi o pre-
thodnom upoznavanju lica, pred objavljivanje. Takvo tumačenje bi moglo voditi
u cenzuru i postavljanje Poverenika u položaj odlučivanja o tome, ko može nešto
objaviti i o kome, što bez dvoumljenja nije svrha zakona i što bi moglo dovesti
do težih kršenja osnovnih prava u pogledu slobode izražavanja. U praksi će zato
odredbe toga člana biti vrlo teško sprovoditi, te je potrebno prilikom sprovođenja
tih odredbi voditi računa o pravu na slobodu izražavanja i posledicama ovakvog
ograničenja na slobodu štampe i medija.

Iz ugla pravne sigurnosti, u tako važnoj oblasti kao što je sloboda

izražavanja i sloboda medija, navedene odredbe člana 30. i 31. ZZPL pred-
stavljaju preteću pravnu nesigurnost i potrebno ih je dopuniti.

PUNOMOĆNIK (ČLAN 34. ZZPL)

ZZPL u članu 34. predviđa da se prava propisana ovim zakonom mogu
ostvariti lično ili preko punomoćnika, pri čemu punomoćje mora biti overeno.

ČUVANJE I KORIŠĆENJE PODATAKA U SLUČAJU SMRTI

(ČLAN 35. ZZPL)
ZZPL članom 35. uređuje obradu podataka umrlih lica. U slučaju smr-
ti i proglašenja nestalog lica za umrlo, podaci koji su prikupljeni na osnovu
ugovora, odnosno saglasnosti u pismenom obliku, čuvaju se u skladu sa uslovi-
ma utvrđenim u ugovoru. U vezi sa ovim u praksi mogu nastupiti određene
poteškoće, jer je teško očekivati da bi uslovi u pogledu obrade podataka u slučaju
smrti na odgovarajući način, unapred bili opredeljeni u ugovoru. Zakon, naime
ne sadrži odredbe koje bi omogućile upotrebu ili zabranu upotrebe od strane
naslednika umrlog. Takođe, nije jasno kako da u slučaju smrti postupa rukova-
lac koji je podatke obrađivao na osnovu ugovora, ako u ugovoru nije određeno
koliko vremena može, odnosno mora čuvati podatke i šta može sa njima da radi.
U vezi sa rokom čuvanja podataka koji su prikupljeni na osnovu zakona, za-
konodavac bio precizan i odredio da se podaci čuvaju najmanje godinu dana
od smrti, odnosno od proglašenja nestale osobe za mrtvu. Ovako ograničena
odredba je neuobičajena jer se kod zaštite podataka o ličnosti u pravilu određuju
maksimalni rokovi čuvanja, a ne minimalni, tako da će u praksi, u pogledu
određivanja odgovarajućeg roka čuvanja, koji ne sme biti kraći od jedne godi-
ne, biti potrebno uvažavati načelo srazmernosti. Iz tog razloga ovu odredbu

57
je potrebno tumačiti više kao smernicu zakonodavcu da u posebnim zakoni-
ma odredi rokove čuvanja (koji ne smeju biti kraći od jedne godine). Zakon
određuje da je po isteku roka čuvanja podatke potrebno uništiti, a o uništenju je
potrebno sačiniti zabelešku. Kako ZZPL u ovoj odredbi nije konkretan u pogledu
korišćenja podataka u statističke, istorijske i istraživačke svrhe, biće potrebno u
tim slučajevima poštovati odredbe sektorskih zakona. Odredbu je iz ugla člana 6.
ZZPL, koji dozvoljava statistički, istorijski i naučnoistraživački rad sa podacima,
potrebno tumačiti tako da se rukovalac, pre uništenja mora zapitati, da li su mu
podaci još potrebni u svrhe iz člana 6. ZZPL i ako jesu, podatke neće uništavati,
već ih samo anonimizira i kao takve dalje koristi.

OBAVEZA RUKOVAOCA U SLUČAJU

POVLAČENJA PRISTANKA (ČLAN 36. ZZPL)

Rukovaoci moraju imati na umu, da se pristanak ne sme posmatrati kao

apsolutan, pogotovu ne iz ugla vremenskog trajanja. Licu je potrebno priznati
osnovno pravo da daje i povuče pristanak, i nakon povlačenja pristanka, ruko-
valac više ne raspolaže pravnim osnovom potrebnim za obradu podataka, osim
ako zakon određuje drugačije. Ako je zbirka podataka uspostavljena na osnovu
pristanka u pismenom obliku ili ugovorom, u slučaju povlačenja pristanka u pis-
menom obliku, odnosno u slučaju raskida ugovora, rukovalac je obavezan da
podatke briše u roku od 15 dana od dana povlačenja pristanka, odnosno raskida
ugovora, osim ako je drugačije propisano ili ugovoreno. Podatke u navedenom
roku nije potrebno brisati, ako tako određuje drugi zakon – ovde je reč pre svega
o odredbama zakonodavstva iz poreskog, računovodstvenog, arhivskog i drugih
oblasti – odnosno, ukoliko su se lice i rukovalac prethodno drugačije dogovo-
rili. U praksi je moguće očekivati određen otpor u pogledu brisanja podataka
o ličnosti koji se odnose na dati zahtev, jer pre svega u privatnom sektoru pos-
toji težnja da se podaci obrađuju i posle povlačenja pristanka (prvenstveno iz
trgovinsko-ekonomskih razloga), što je nedozvoljeno i mora biti odgovarajuće
nadzirano, te sankcionisano od strane državnog nadzornog organa.
Kao primer navodimo uređenje direktnog marketinga u pravnom pros-
toru EU što je pre svega uređeno Direktivom 2002/58/ES.5 Rukovalac mora
pre izvođenja direktnog marketinga, unapred elektronskim putem dobiti prista-
nak lica (tzv. načelo opt-in), dok lice ima pravo da zahteva trajni ili privremeni
prekid upotrebe njegovih kontaktnih podataka u svrhu direktnog marketinga.
Nepoštovanje takvog zahteva lica predstavlja kršenje zakonskih zahteva.

5 Direktiva 2002/58/ES Evropskog parlamenta i Saveta od 12. jula 2002. o obradi poda-
taka o ličnosti i zaštiti privatnosti na područiju elektronskih komunikacija (Direktiva
o privatnosti i elektronskim komunikacijama).

58
 Primer iz prakse u Republici Sloveniji:
Nepoštovanje povlačenja pristanka je jedan od najčešćih oblika prijava
iz oblasti direktnog marketinga Povereniku za informacije RS. Radi se o bro-
jnim primerima, kada lice od rukovaoca zahteva prekid korišćenja njegovih
kontaktnih podataka u svrhu direktnog marketinga, rukovalac pak na njegov
zahtev ne odgovori pozitivno u zakonskom roku i nastavi sa slanjem oglasnih
poruka. Lice u takvim slučajevima najčešće podnosi prijavu Povereniku za
informacije, koji protiv rukovaoca pokreće postupak inspekcijskog nadzora,
a nakon ustanovljenog prekršaja protiv prekršioca se pokreće prekršajni pos-
tupak.

59
 ZAKONSKE OBAVEZE RUKOVAOCA U POGLEDU
OBEZBEĐENJA PODATAKA O LIČNOSTI

OBEZBEĐENJE PODATAKA O LIČNOSTI

Obezbeđenje podataka o ličnosti je jedan od ključnih elemenata šireg po-
jma zaštite podataka o ličnosti. Bez odgovarajućeg obezbeđenja podataka teško
možemo da govorimo o zaštiti podataka, zato je poznavanje osnovnih principa
obezbeđenja jedan od najvažnijih aspekata zaštite podataka o ličnosti, kako za
lica koja moraju da poštuju odredbe zakona, tako i za nadzorne organe.
U ovom poglavlju ćemo, u uvodu, sagledati koje su zakonske obaveze,
koje moraju poštovati rukovaoci zbirki podataka. U nastavku ćemo sagledati
neke osnove obezbeđenja i zaštite podataka na slučajevima iz prakse, te dati
praktične primere organizacionih i tehničkih mera za obezbeđenja podataka o
ličnosti. Proverićemo kakva je situacija sa obezbeđenjem podataka o ličnosti kod
ugovornih obrada. Potražićemo odgovor na pitanje, koji je odgovarajući nivo
obezbeđenja podataka.

1. Zakonske obaveze
Član 47. ZZPL određuje sledeće:
Podaci moraju biti odgovarajuće zaštićeni od zloupotreba, uništenja, gu-
bitka, neovlašćenih promena ili pristupa.
Rukovalac i obrađivač dužni su da preduzmu tehničke, kadrovske i orga-
nizacione mere zaštite podataka, u skladu sa utvrđenim standardima i postupci-
ma, a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog
pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde obave-
zu lica koja su zaposlena na obradi, da čuvaju tajnost podataka.
U vezi sa navedenom definicijom, u praksi se postavljaju neka pitanja kao
što su: koje su to stvarne tehničke, kadrovske i organizacione mere za zaštitu
podataka, koji su to pomenuti utvrđeni standardi i postupci i pre svega, koji je
to odgovarajući nivo zaštite koju zahteva zakon. Odgovor na ova pitanja mora-
ju pronaći, kako rukovaoci zbirki podataka, tako i državni nadzorni organ koji
proverava adekvatnost zaštite.

2. Osnove informacionog obezbeđenja

Važno je da se odmah razdvoji značenje izraza zaštita podataka o ličnosti
(engl. data protection) i obezbeđenje podataka o ličnosti (engl. data security).

61
Obezbeđenje podataka je deo šireg pojma zaštite podataka o ličnosti. Da bi
podatke mogli odgovarajuće zaštititi, treba ih, naravno i obezbediti, tj. zaštiti
od neovlašćenih pristupa i korišćenja, pored osiguranja bitno je da postoji
odgovarajući pravni osnov, da se podaci koriste samo u svrhu za koju su bili
prikupljeni, da se poštuju prava lica, itd. Obezbeđenje, kao deo zaštite podataka
o ličnosti predstavlja jedan od najvažnijih elemenata.
Zakon govori o utvrđenim standardima i postupcima za obezbeđenje
podataka o ličnosti. Ako tražimo primer međunarodno utvrđenog standarda,
koji je tehnološki nezavisan, namenjen obezbeđenju, kako elektronski tako i pa-
pirno obrađivanih podataka, takav standard je ISO/IEC 27001:2005.6 Standard
ISO/IEC 27001:2005 je odgovarajući prvenstveno iz organizacionog ugla, kao i
iz ugla mehanizama i postupaka, međutim sa tehničke strane potrebno je oslo-
niti se na druge više tehnički opredeljene standarde i dobru praksu, kao što su
COBIT7, ITIL8 itd. Detaljniji opis dobre prakse bi prevazišao opseg i svrhu ovog
vodiča, a svakako se radi o preporukama dobre prakse, koje iz ugla rukovalaca
ima smisla proučiti i primeniti u svojoj organizaciji.
Kada govorimo o utvrđenim standardima i postupcima za zaštitu u infor-
macionim sistemima, pre svega mislimo na tzv. pristup AAA, koji se zasniva na
tri osnovne zaštite, koje su u engleskom jeziku imenovane authentication, authori-
zation i accountability. Razlog da se u ovom delu Vodiča predstavi ovaj pristup,
zasniva se pre svega na činjenici da se danas, u vremenu koje nazivamo infor-
maciono doba ili informaciono društvo, velika većina podataka prikuplja, čuva i
obrađuje uz pomoć sredstava informaciono komunikacionih tehnologija. Teorije
obezbeđenja informacionih sistema su od izuzetnog značaja za zaštitu podataka
o ličnosti koji se u tim sistemima nalaze i obrađuju. Savremene informaciono
komunikacione tehnologije pružaju izuzetne mogućnosti za obradu podataka
o ličnosti, jer se isti obrađuju mnogo brže, u velikim količinama, bolja je vre-
menska i prostorna pristupačnost podacima, a time dolazi do novih rizika za
obezbeđenje podataka u informacionim sistemima. Princip AAA je tehnološki

6 ISO/IEC 27001 je standard za ustanovljenje i upravljanje informacione zaštite (ISMS)

standard, koga je ustanovila Međunarodna organizacija za standardizaciju (ISO) i
Međunarodna elektrotehnička komisija (IEC).
7 COBIT je skup najbolje prakse (okvir) za informacionu tehnologiju (IT) za uprav-
ljanje, koje stvara Information Systems Audit and Control Association (ISACA) te IT
Governance Institute (ITGI). COBIT obezbeđuje rukovaocima, revizorima i IT koris-
nicima, sa nizom opšte donetih mera, pokazatelja, procesa i najbolje prakse, oruđe za
upravljanje i maksimiziranje koristi pridobijenih upotrebom informacione tehnologi-
je.
8 The Information Technology Infrastructure Library (ITIL) je skup koncepata i poli-
tika za upravljanje informacione tehnologije (IT), infrastrukture, razvoja i delovanje.
ITIL sadrži detaljan opis brojnih važnih IT praksi sa spiskovima, nalozima i postupci-
ma, koje je moguće prilagoditi za sve IT vrste organizacije.

62
neutralan i nezavisan od vrste informacionog sistema ili korišćenih tehnologija
i kao takav je veoma upotrebljiv za određivanje odgovarajućih postupaka i mera
za zaštitu podataka o ličnosti.
Prvi element principa AAA je overa (angl. authentication), radi se o pos-
tupku u kom utvrđujemo istovetnost identiteta koji pruža korisnik koji želi da
pristupi informacionom sistemu, odnosno podacima koji se u njemu nalaze.
Drugim rečima sa aspekta zaštite podataka o ličnosti – radi se o tome kako
proveravamo identitet osobe koja može pristupiti podacima o ličnosti.
Drugi element principa AAA je autorizacija (angl. authorization). Postupak
autorizacije definiše korisnike, grupe korisnika, uslugu ili proces prava pristupa
čitavom informacionom sistemu ili njegovim delovima, usluge, aplikacije i druge
elemente. Sa aspekta zaštite podataka o ličnosti – do kojih podataka o ličnosti
mogu pristupiti ovlašćene osobe i šta mogu sa tim podacima raditi (tzv. pris-
tupna prava).
Treći ključni element obezbeđenja po principu AAA je praćenje, odnosno
mogućnost naknadnog utvrđivanja, kada su pojedini podaci o ličnosti, koji su
uneti u zbirku podataka bili korišćeni ili drugačije obrađeni i ko je to uradio
(angl. accountability).
Rukovalac mora odgovarajuće zaštititi podatke o ličnosti, mora se po-
brinuti da uvažava sva tri AAA srazmerno sa prirodom podataka o ličnosti i
rizikom kog predstavlja obrada određenih podataka. U nastavku ćemo detaljnije
upoznati princip AAA.

2.1 Autentičnost
Obezbeđenje informacionog sistema, a time i podataka i informacija koje
prikuplja, čuva i obrađuje, je zavisno od pouzdane identifikacije korisnika. Pos-
tupak kojim utvrđujemo istovetnost identiteta koji pruža korisnik nazivamo
autentičnost.
U savremenim informacionim sistemima se koriste različiti načini
utvrđivanja autentičnosti, između ostalih:
• Šta imamo. Svoj identitet potvrđujemo posedovanjem nekog predmeta ili
uređaja. Autentičnost možemo dokazati ključem kojim možemo otključati
ključaonicu, ili npr. sa bankovnom karticom koju stavljamo u otvor
bankarskog automata i time dokazujemo da je posedujemo.
• Šta znamo. Svoj identitet dokazujemo time što nešto što nikome nije
poznato poverimo drugoj osobi ili uređaju, koja može potvrditi njenu
ispravnost. Primer je upis korisničkog imena i lozinke prilikom prijave
u operacioni sistem ili upis ličnog identifikacionog broja (PIN) prilikom
upotrebe bankomata.

63
10 preporuka za obezbeđenje lozinke
1. Lozinke treba da budu dugačke najviše 6-7 znakova.
2. Treba da sadrže alfa-numeričke znakove (velika i mala slova, sim-
bole i brojeve).
3. Lozinke ne zapisivati na parčiće papira! Ukoliko to nije moguće, taj
papir nikako ne treba čuvati u blizini računara (na monitoru, ispod
tastature, ispod telefona, u lako dostupnim policama i sl.).
4. Lozinke redovno treba menjati. Preporučljivo je menjati ih svakog
meseca ili bar na svaka tri meseca.
5. Ne koristiti stare lozinke i ne kombinovati prethodne lozinke sa
dodatnim brojevima (npr. jovan1, jovan2 itd.).
6. Ne koristiti slova ili brojeve redosledom (npr. „abcdefg“ ili „234567“)
i ne koristiti susedne tipke na tastaturi (npr. „qwertz“).
7. Ne koristiti reči koje se nalaze u rečnicima i ne koristiti lozinke
koje je lako otkriti ili njihove kombinacije (imena kućnih ljubi-
maca, partnera, dece, auta, registarskih brojeva, godine starosti i
datuma rođenja i sl.).
8. Dobra i sigurna lozinka je ona koju znamo samo mi, istovremeno
je laka za pamćenje i nije je potrebno nigde zapisivati.
9. Kako sastaviti sigurnu lozinku, koju je lako zapamtiti i nije potreb-
no zapisivati? Dobru i sigurnu lozinku možemo jednostavno sas-
taviti tako da npr. izaberemo omiljenu pesmu i upotrebimo recimo
prva slova svake pojedine reči. Ako između prve i druge verzije
dodamo još nekoliko brojeva, recimo našu težinu, visinu ili nešto
slično što više ili manje znamo samo mi, dobijamo lozinku koju
brzo zapamtimo, istovremeno veoma sigurnu: npr. NPSS175nplj.
Prilikom promene lozinke jednostavno upotrebimo drugu pesmu
i drugi broj.
10. I dobro sastavljena lozinka ništa ne znači ukoliko se nasedne na
tzv. socijalni inženjering. Reč je o metodi kada se napadač lažno
predstavlja za npr. kolegu iz IT odeljenja ili nekog spoljnog servisa
za održavanje i traži pristupne lozinke zbog određenih aktivnosti
održavanja koje mora da obavi. Uvek se unapred treba zapitati da
li mu to zaista treba, te dva puta proveriti da li ima pravo pris-
tupa tim podacima. Istraživanja pokazuju da više od polovine
uobičajenih korisnika računara nasedne na razne vidove socijalnog
inženjeringa.

• Šta smo. Radi se o ponašanju ili fizičkim svojstvima, koje označavamo kao
biometrijske funkcije. Sa fizičkim svojstvima kao što je oblik lica, obris

64
 dlana, otisak prsta i sl., možemo dokazati svoj identitet, upotrebljive su,
takođe i neki vidovi ponašanja, kao što su način kucanja, boja glasa itd.
Biometrijske podatke informacioni sistem preuzima, odnosno proverava
uz pomoć posebnih čitača biometrijskih podataka i programske opreme.
Kao pomoć pri utvrđivanju identiteta može poslužiti vreme i mesto iden-
tifikacije. Ista osoba se ne može identifikovati na dva geografski udaljena mesta u
kratkom vremenskom periodu. Koristimo ovu pomoć kod ograničavanja prijave
u informacioni sistem u vreme i na mestu za koje utvrdimo da za specifičnog
korisnika nije logično, npr. izvan radnog vremena, u noćnim satima i sl.

2.2 Autorizacija
Pojam autorizacije predstavlja pravo na pristup. Reč je o spisku osoba koje
mogu pristupiti podacima o ličnosti i na njima izvoditi određene radnje, kao što
su unošenje, kopiranje, prosleđivanje i druge radnje koje predstavljaju u obradu
podataka o ličnosti. Rukovalac mora da sačini i da ažurira dokumentovan i pre-
cizan spisak prava na pristup, iz kojih mora biti vidljivo ko i kada može pristupiti
i do kojih podataka. Pristupna prava moraju biti odgovarajuća s obzirom na za-
datke i ovlašćenja zaposlenog i moraju biti u odgovarajućoj hijerarhijskoj struk-
turi. Državni nadzorni organ koji u postupku inspekcijskog nadzora ustanovi da
lice nema jasnih i određenih prava pristupa do podataka, mora to svrstati kao
nedostatak kada je u pitanju zaštita podataka o ličnosti.
U praksi se postavljaju i neka druga pitanja, pre svega u pogledu doz-
voljenog korišćenja grupnih prava pristupa (timski rad, grupna lozinka, jedan
prijavljen korisnik i više stvarnih korisnika itd.). Korišćenje grupnih prava se
u pravilu ne preporučuje, osim ako je to zbog prirode posla neizbežno (npr.
radne stanice u urgentnim ambulantama). Gotovo sigurno možemo tvrditi da
u takvom slučaju ne možemo ostvariti naknadno utvrđivanje ko je mogao pris-
tupiti određenom podatku i potencijalno ga zloupotrebiti, kako je to opisano
ranije u primerima koji se javljaju u praksi, već je najviše zabeleženo samo ime
grupnog korisnika (npr. jedinica ili nešto slično).
U odgovoru na pitanje, da li je dozvoljeno korišćenje grupnih prava pris-
tupa, ključna su dva pitanja i to, da li je priroda posla zaista takva da bi upotreba
individualnih lozinki ometala proces rada i prouzrokovala druge, potencijalno
vrlo ozbiljne posledice (npr. snažne smetnje u radu) i drugo, ako su grupna prava
pristupa neizbežna, kako se može obezbediti mogućnost naknadnog utvrđivanja
odgovorne osobe ukoliko je došlo do zloupotrebe?
Svuda gde zbog prirode posla nije opravdano koristiti individualno pravo
pristupa, može se izuzetno koristiti grupno pravo pristupa. Pri tome važi upo-
zorenje da razlog za korišćenje grupnog pristupnog prava mora da bude ozbiljno
opravdan, ozbiljnost i rizik moraju prevagnuti nad odsustvom mogućnosti de-
taljnog utvrđivanja ko je odgovoran za zloupotrebu podatka o ličnosti. Sama

65
nepraktičnost zbog učestalog prijavljivanja i odjavljivanja u informacioni sis-
tem ili pojedine aplikacije nije dovoljan razlog za korišćenje prava na pristup na
nivou grupe (npr. jednog korisničkog imena i lozinke za više korisnika). Sistem
mora, uprkos tome, omogućiti naknadno utvrđivanje o tome ko su bili članovi
određenog tima u određenom periodu, jer je time sužen skup lica koje bi mo-
gle zloupotrebiti podatke, dok sama korisnička prava moraju biti detaljno doku-
mentovana. Pored navedenog potrebno je grupna prava na pristup ograničiti i
to tako, da se pomoću grupnih korisničkih imena i lozinki može pristupiti samo
do podataka o ličnosti u ograničenom obimu i periodu i naravno, u skladu sa
svrhom obrade.
U slučajevima kada pristup podacima o ličnosti imaju lica koja su na
privremenom radu ili zameni, primereno je i potrebno dodeliti im izdvojena
prava na pristup; u slučaju da radniki na zameni i pored toga koristi prava na
pristup odsutnog radnika o tome odsutni radnik ili njegov nadređeni moraju biti
obavešteni.
U svim slučajevima gde odjavljivanje jednog i prijavljivanje drugog koris-
nika nema ozbiljnih posledica, već je iz ugla korisnika manje praktičan zadatak,
u praksi je postavljen zahtev da se koriste individualna prava na pristup (lozinke
i sl. na nivou korisnika) i da se korisnik pre početka rada prijavi u sistem, a po
završetku iz njega odjavi. Svakako treba upozoriti da sistem mora da omogući
samostalno isključivanje nakon određenog vremena neaktivnosti korisnika, ili
ručno isključivanje radne stanice od strane korisnika. Nedopustivo je da radna
mesto bude potpuno pristupačno, i da je poslednji korisnik još uvek prijavljen u
informacioni sistem i moguće druge aplikacije, i kada korisnika dugo nema na
radnom mestu što može da bude otvoren put za veoma jednostavnu zloupotrebu
podataka o ličnosti.

2.3 Obezbeđenje praćenja obrade podataka o ličnosti

Na samom početku potrebno je objasniti svrhu (ratio) jednog od ključnih
elemenata zaštite – praćenje, što podrazumeva da obezbeđenje podataka o
ličnosti mora biti uređeno na način da omogući kasnije utvrđivanje kada su po-
jedini podaci uneti u zbirku podataka, korišćeni ili drugačije obrađeni, te ko je
to uradio. Navedena odredba je od izuzetnog značaja, pre svega zbog otkrivanja
neovlašćenog pristupa zbirkama podataka o ličnosti i posledično zloupotrebe
tako dobijenih podataka (npr. javno otkrivanje i sl.). Praćenje je takva mera ko-
jom se utvrđuje ko je zloupotrebio određene podatke o ličnosti. Možemo pred-
staviti primer iz prakse, u slučaju da u javnost „procure“ podaci o zdravstvenom
stanju neke javne ličnosti, npr. da neki političar ima AIDS. Kako ćemo utvrditi
ko je odgovoran za neovlašćeno otkrivanje takvih podataka? Pravo na pristup
podacima o ličnosti ograničava pristup podacima, ali nam ne govori ko je svo-
jim pristupom stvarno zloupotrebio podatke o ličnosti. Nemoguće je stopro-
centno sprečiti neovlašćeno upoznavanje i zloupotrebu podataka o ličnosti, ali

66
je potrebno preduzeti sve odgovarajuće mere, koje mogu sprečiti zloupotrebu
ili barem omogućiti naknadno utvrđivanje odgovornosti. Praćenje je značajno
i kao prevencija, zbog čega je zaposlene potrebno upoznati sa činjenicom da
se sprovodi praćenje obrade podataka o ličnosti. U nekim slučajevima to može
odvratiti lice od neopravdanog pristupa podacima o ličnosti, i ako bi mu pravo
na pristup to omogućilo, ali će znati da će njegovo delovanje biti evidentirano i
da će za takvo delovanje, takođe i odgovarati.
U prvom redu praćenje mora biti omogućeno informacionim sistemom.
Kako je pojam obrade podataka o ličnosti veoma širok i praktično uključuje
bilo kakvo postupanje sa podacima, uključujući i sam pristup, sistem mora da
omogući praćenje celokupne obrade podataka o ličnosti, kao i uvid. U praksi
se pojavljuju određena pitanja zbog zablude da je praćenje, uprkos savremenim
informacionim tehnologijama, jednostavno i može potraživati velike resurse.
Možemo razlikovati tri nivoa praćenja:
1.) Praćenje promena.
Prvi nivo praćenja omogućuje naknadno utvrđivanje ko je uneo, ažurirao
ili promenio, odnosno izbrisao neki podatak o ličnosti, i kada.
2.) Praćenje pristupa podacima.
Drugi nivo omogućava naknadno utvrđivanje, ko je uneo, ažurirao ili
promenio, odnosno izbrisao neki podatak i kada, pored toga se još beleži, ko i
kada je određenom podatku samo pristupio (uvid, upoznavanje), a podatak nije
menjao. Potrebno je dodeliti za uvid, odnosno pristup podatku, svaku naredbu
informacionom sistemu, odnosno bazi podataka, koji se odražava u pridobijanju
podatka ili njegovom prikazivanju na izlaznom uređaju (npr. na računarskom
ekranu), kao pristup podatku koji je na tom nivou potrebno zabeležiti. Od te
tačke nadalje praćenje daljeg korišćenja tako dobijenih podataka nije više
moguće, niti ima smisla, jer je mogućih načina dalje obrade previše (ekran je,
naime moguće fotografisati, presnimiti, odštampati itd.).
3.) Potpuno praćenje sa beleženjem pristupa, promene podataka, kao i
beleženjem prvobitnih i ispravljanih podataka.
U trećem nivou se sve beleži, tj. ko i kada je pristupio podatku, menjao
podatak i ako ga je menjao, kakav je bio prvobitni podatak i u šta je bio prome-
njen. Reč je o celokupnoj istoriji u koju se beleži životni ciklus podatka. Treći
nivo je tehnički izvodljiv, a svakako znači zahtevnu i skupu investiciju u opremu
za čuvanje takvih podataka bez znatnih prednosti sa aspekta obezbeđenja poda-
taka.
Pri određivanju zahtevanog nivoa praćenja od velikog značaja je to, što
postupci i mere obezbeđenja podataka o ličnosti moraju da budu odgovarajući
u pogledu rizika, koji predstavlja obrada i priroda određenih podataka koji se
obrađuju. Kod osetljivih podataka se radi o najsuptilnijoj kategoriji podataka

67
o ličnosti, koji zahtevaju posebno obezbeđenje i zaštitu, kao i ograničenja doz-
voljene obrade nabrojana taksativno. Ustanovljena praksa državnog nadzornog
organa za zaštitu podataka o ličnosti zasniva se na tome da programska oprema
za osetljive podatke mora da omogući kasnije utvrđivanje, ko, kada i do ko-
jih podataka je pristupio (nivo 2). To znači da informacioni sistem u kom se
obrađuju osetljivi podaci, mora da omogući naknadno utvrđivanje koji korisnik
sistema, i u koje vreme je informacionom sistemu postavio zahtev za dobijanje
ili prikazivanje podataka određenog lica. Praćenje te vrste je od ključnog značaja
za naknadno utvrđivanje mogućih zloupotreba zbog neovlašćenog upoznavanja
(i naknadnog prosleđivanja, odnosno obrade) podataka o ličnosti.
Za podatke o ličnosti, koji po definiciji ZZPL ne spadaju u osetljive po-
datke, rukovalac mora da obezbedi najmanje onaj nivo praćenja promena o uno-
su podataka u zbirku, o tome ko je uneo podatke i kada (nivo 1), ali se to ne
sme shvatiti kao pravilo u smislu da praćenje pristupa podacima nije potrebno.
Značajno je uvažavati rizik koji predstavlja obrada i priroda određenih poda-
taka o ličnosti koji se obrađuju. Takođe, otkrivanje „uobičajenog“ podatka o
ličnosti može za lice ili rukovaoca imati veliku težinu i ozbiljne posledice, te je u
određenim slučajevima potrebno obezbediti praćenje svakog pristupa podacima,
o čemu je potrebno odlučivati u zavisnosti od slučaja.
Uprkos svemu navedenom, povremeno je moguće praćenje relativno lako
obezbediti. Radi se pre svega o manjim rukovaocima zbirki podataka, koji zbirke
vode i obrađuju uz pomoć priručnih paketa oruđa za rad sa tekstovima (npr.
MS Office, OpenOffice.org i sl.), kao što su oruđa za rad sa tabelama (npr. MS
Excel, nekodirani program OpenOffice.org Calc i sl.), oruđa za rad sa bazama
podataka (npr. MS Access, OpenOffice.org Base i sl.). U takvim oruđima se često
vode spiskovi kupaca i stranaka, primaoca direktnog marketinga i slične zbirke
podataka. Obezbeđenje praćenja u paketima te vrste je obično relativno jednos-
tavno, jer je moguće uključiti funkcionalnost praćenja promena i takvu eviden-
ciju pristupa podacima moguće je zaštiti lozinkom. Ograničeni pristup može biti
vrlo upotrebljiv, takođe kod obrade podataka o pristanku lica (npr. u izvođenju
direktnog marketinga), jer je moguće da se taj podatak jednostavno zabeleži
u odgovarajuću tabelu, i istovremeno se obezbedi praćenje unosa ili mogućih
promena toga podatka.
Obezbeđenje praćenja u većim informacionim sistemima, aplikacijama
i bazama podataka je, naravno neuporedivo složenije, pri tome je od ključnog
značaja da se ta funkcija uzme u obzir još u samoj izgradnji, odnosno razvoju tih
rešenja. Pri čemu se misli na nužnost komunikacije i saradnje pravnih i informa-
cionih delova poslodavca, koji moraju u toj saradnji pravilno interpretirati zahte-
ve zakonodavca i potom ih odgovarajuće implementirati u svojoj porudžbini
spoljnjem izvođaču, odnosno uvažavati prilikom vlastitog razvoja programskih
rešenja.
Teškoće prilikom izvršavanja načela praćenja mogu nastati tamo, gde su
zbirke vođene ručno i kada nisu informatizovane. Takve zbirke je zato, pre svega

68
potrebno na primeren način čuvati (zaključavati u ormane, posebne sobe i sl.), i
u pravilniku ili drugom odgovarajućem aktu tačno odrediti lica koja imaju pravo
pristupa podacima o ličnosti. Značajno je da je moguće brzo ustanoviti ko je i
kada imao pristup određenom spisu, kartoteci, i sl.

3. Uporedna rešenja u slovenačkom Zakonu o zaštiti podataka

o ličnosti (Zakonu o varstvu osebnih podatkov ZVOP–1)
Uporedno-pravno slovenački ZVOP–1 je konkretniji od ZZPL, i sama
Direktiva 95/46/ES može ponuditi određene konkretnije preporuke, odnosno
smernice u pogledu obezbeđenja podataka o ličnosti. ZVOP–1 predviđa da or-
ganizacioni, tehnički i logičko-tehnički postupci i mere za zaštitu podataka o
ličnosti moraju biti izvedeni tako da se:
1. osiguraju prostori, oprema i sistemska programska oprema, uključujući
ulazno-izlazne jedinice;
2. osigura aplikativna programska oprema, kojom se obrađuju podaci o
ličnosti;
3. sprečava neovlašćen pristup podacima o ličnosti prilikom njihovog preno-
sa, uključujući i prenos putem telekomunikacionih sredstava i mreža;
4. obezbeđuje efikasan način blokiranja, uništavanja, brisanja ili anoni-
miziranja podataka o ličnosti;
5. omogućava naknadno utvrđivanje, kada su pojedini podaci o ličnosti une-
ti u zbirku podataka, korišćeni ili drugačije obrađeni i ko je to uradio,
kao i za period za koji je zakonom određena zaštita prava pojedinca zbog
nedozvoljenog prosleđivanja ili obrade podataka o ličnosti.
Potrebno je objasniti određene pojmove, koji se u ZVOP–1 pojavljuju u
osnovnoj definiciji zaštite podataka o ličnosti. U informacionim firmama obrada
većih količina podataka neizbežno je uslovljena upotrebom informaciono-
komunikacionih tehnologija, što takođe važi i za obradu podataka o ličnosti.
Pri tome neizbežno dotičemo pitanje obezbeđenja podataka u informacionim
sistemima. Pogrešan stav je da će se sve teškoće u vezi zaštite podataka rešiti
upotrebom korisničkog imena i lozinke, i da će se moguće neprijatnosti od upa-
da neovlašćenih i gubljenje podataka sprečiti protivpožarnim zidovima i protiv-
virusnim programima. ZVOP–1 postavlja pred rukovaoce zbirki podataka, sa
aspekta obezbeđenja podataka o ličnosti, vrlo stroge uslove. U nastavku su zato
predstavljeni neki osnovni pojmovi, koji su važni za razumevanje zaštite u kon-
tekstu ZVOP–1. Pored same opreme (engl. Hardware) on naime određuje zaštitu
sistemske i aplikativne programske oprema.
Sistemska programska oprema (engl. system software) je računarski pro-
gram, koji određuje način rada računara i upravlja njime, npr. program za zaštitno
kopiranje ili operacioni sistem (Windows, Linux, Mac OS itd.). Sistemsku pro-

69
gramsku opremu potrebno je razdvojiti od aplikativne programske opreme, dru-
gim rečima korisničkih programa, kao što su obrađivači teksta i slično, koji ne
spadaju u sistemsku programsku opremu.
Programska oprema (engl. software) su sistemski ili korisnički programi
kao deo računarskog sistema, u praksi se javlja, takođe sinonim programi. U
pogledu na prava korišćenja i dostupnosti možemo govoriti o vlasničkoj ili za-
konski zaštićenoj programskoj opremi (engl. proprietary software), slobodno
dostupnoj programskoj opremi (engl. freeware), probnoj programskoj opremi
(angl. shareware) itd.
Aplikativna programska oprema predstavlja podgrupu pojma program-
ska oprema, naime radi se o aplikacijama (engl. application) ili korisničkim
programima, kao računarskim programima, koji su namenjeni korisniku za
izvršavanje određenih zadataka, npr. obrađivač teksta, oruđa za rad sa tabelama
i sl. Tako možemo reći, da nije sva programska oprema aplikativna, jer postoji
npr. takođe sistemska i mašinska programska oprema (engl. firmware), koja nije
namenjena korisnicima za izvršavanje određenih zadataka, već samo omogućava
rad računarskog sistema i običan konačni korisnik se sa njom uobičajeno uopšte
ne susreće.
ZVOP–1 takođe određuje zaštitu ulazno-izlaznih jedinica. Ulazno-izlazne
jedinice ili uređaji (engl. input/output device, I/O device) su unutrašnji (ili in-
tegrisane) uređaji, koji omogućuju prenos podataka u računarski sistem i iz
računarskog sistema, kao i interakciju sa čovekom. Ulazno-izlazne jedinice su
deo mašinske, a ne programske opreme. U najčešće ulazne jedinice spadaju
tastature, miševi, prateće kuglice, ekrani na dodir (istovremeno i izlazna jedini-
ca), modemi, mikrofoni, CD/DVD i USB mediji itd. U najčešće izlazne jedinice
spadaju ekrani, štampači, zvučnici, ploteri i sl.
Mašinska oprema (engl. hardware) ili računarski uređaji su fizički deo
računarskog sistema, zajedno sa ulaznim i izlaznim uređajima. Radi se dakle
o pomoćnicima, radnim stanicama, odnosno ličnim računarima i terminali-
ma, mrežnoj infrastrukturi i slično. Vrlo pojednostavljeno možemo reći, da je
mašinsku opremu moguće „opipati“, međutim programska oprema je „neopi-
pljiva“.

4. Kadrovske i organizacione mere

za obezbeđenje podataka o ličnosti
U prethodnim poglavljima predstavljeno je obezbeđenje, pre svega sa
tehničkog aspekta, ali ZZPL, u članu 47. predviđa i kadrovske i organizacione
mere. Kada je reč o kadrovskim merama, misli se pre svega na zaposlene, koji
se u obavljanju svog posla susreću sa podacima o ličnosti. Jedan od ključnih ele-
menata za odgovarajuće obezbeđenje podataka o ličnosti je obuka zaposlenih u
vezi sa njihovim obavezama, kako u pogledu obezbeđenja, tako i u pogledu same

70
zaštite podataka o ličnosti. Ustaljena praksa u državama članicama EU je, da se
zaposleni pri zaključenju radnog odnosa, odnosno prilikom stupanja na radno
mesto, upozna sa sadržajem predmetnog zakonodavstva, tj. sa odredbama ZZPL.
Po pravilu zaposleni dobija izvod internog pravilnika, koji određuje postupke i
mere, kojima se u organizaciji u kojoj se zaposlio štite podaci o ličnosti, zapos-
leni uobičajeno potpisuje izjavu o upoznavanju i o obavezi obezbeđenja poda-
taka o ličnosti pri obavljanju svog posla. Takođe, treba istaći da je to prvi korak
i svakako ne i poslednji, koji svaki rukovalac mora da izvrši kako bi mogao da
tvrdi da se pobrinuo za zadovoljavajuće obezbeđenje podataka o ličnosti.

4.1. Interni akti

ZZPL ne sadrži odredbe koje bi rukovaoce zbirki podataka obavezivale
da donose interne akte, kojima bi se unutar organizacije određivali postupci i
mere za obezbeđenje podataka o ličnosti. Ukoliko uporedno-pravno obratimo
pažnju na član 25, stav 2 slovenačkog ZVOP–1, koji predviđa da rukovaoci
podataka u svojim aktima propisuju postupke i mere za obezbeđenje podataka
i određuju lica, odgovorna za određene zbirke podataka i lica, koje mogu zbog
prirode njihovog posla, obrađivati određene podatke. Navedena obaveza je
inače bila promenama ZVOP–1 formalno blaža za rukovaoce koji imaju manje
od 50 osoba, ipak možemo tvrditi da se radi o važnom elementu obezbeđenja
podataka o ličnosti. Svakako da je potrebno još pre pripreme takvog akta, iz-
vesti određene aktivnosti, koje same po sebi podižu nivo poznavanja zakona
kod rukovaoca zbirki podataka. Oni se moraju pre same pripreme podučiti, o
obavezama koje proizilaze iz zakona, a pre svega moraju izvršiti pregled svoje
organizacije. Ukoliko želimo zaštiti podatke, najpre moramo utvrditi gde se
sve u našoj organizaciji podaci nalaze. Čak i u državama, u kojima je zakon
o zaštiti podataka o ličnosti već dugo vremena na snazi, sreću se rukovaoci
zbirki koji ni početnu fazu nisu izveli zadovoljavajuće, i tek prilikom inspekci-
jskog nadzora ustanove da zaista obrađuju određene podatke i vode zbirke.
Kada izvršimo pregled svoje organizacije i utvrdimo koje podatke o ličnosti
obrađujemo, potrebno je uraditi analizu rizika kojom se utvrđuje šta sve preti
podacima koje obrađujemo. Na osnovu tako izvedene analize možemo obliko-
vati mere kojima ćemo obezbediti podatke o ličnosti. Te mere moraju biti de-
taljno naznačene u internim aktima – neprimereno je bez preciziranja koristiti
određene uzorke pravilnika koji se mogu nabaviti na tržištu ili samo kopirati
odredbe zakona u interni pravilnik. Interni pravilnik mora biti vrlo egzaktan
i mora odrediti, ko štiti koje podatke, na koji način i kojim merama, šta se
sa podacima sme početi i u kom obimu, pre svega mora biti konkretizovan u
odnosu na organizaciju. Član 47. ZZPL može se naći u nepromenjenom obliku
u uvodnim članovima internog akta, nakon kojih moraju slediti sasvim konk-
retne odredbe, koje između ostalog uređuju sledeće teme:

71
 • Evidentiranje dokumenata
• Prosleđivanje podataka o ličnosti i evidencija prosleđivanja
• Pregledanje, prepisivanje i kopiranje podataka od strane stranaka i
korisnika
• Kopiranje i štampanje podataka od strane zaposlenih
• Čuvanje podataka
• Elektronska pošta i upotreba druge programske opreme na
računaru
• Zaštita prostorija
• Zaštita nosilaca podataka koji sadrže podatke o ličnosti
• Zaštita mašinske i programske opreme
• Zaštita podataka kod ugovornih obrada
• Odgovornost za izvršavanje i nadzor nad izvršavanjem
• Izjava o upoznavanju sa pravilnikom.

Primer konkretnih odredbi u internom aktu o zaštiti podataka o ličnosti

Podaci o ličnosti u fizičkom obliku uništavaju se na način, kojim se obezbeđuje
da podatak postane neraspoznatljiv i neobnovljiv (npr. rezač papira).
U zaštićenim prostorima po zavšetku radnog vremena, odnosno po
završenom poslu izvan radnog vremena, ormani i pisaći stolovi sa nosiocima
podataka koji sadrže podatke o ličnosti moraju biti zaključani, a računari i dru-
ga mašinska oprema isključena i fizički ili programski zaključana.

Interni akti o obezbeđenju nisu namenjeni sami sebi, već da bi rukovaoca

podataka obavezali da stvarno shvati kakve podatke obrađuje, da razmisli šta sve
preti tim podacima, i kako će u skladu sa tim podatke zaštititi, te to formalno
propisati i time obezbediti „jasna pravila igre“. Prilikom kontrole inspekcijskih
organa rukovaoci, koji nisu imali interne akte, su često bili uhvaćeni u prekršaju
zbog određenih nedostataka u pogledu obezbeđenja podataka o ličnosti. Prema
podacima Poverenika za informacije Republike Slovenije kršenje obezbeđenja
podataka je drugi prekršaj po učestalosti (iza neodgovornosti, odnosno odsut-
nosti pravne osnove za obradu).
Naravno da samo donošenje internih akata nije dovoljno i da se radi samo
o slovu na papiru, ako:
• se u praksi ne izvršavaju,
• ih zaposleni uopšte ne poznaju,
• su bili predstavljeni zaposlenima samo prilikom zaključenja radnog
odnosa.

72
 O odgovarajućem nivou zaštite možemo govoriti kada pravilnik stvarno
zaživi u praksi, odnosno kada se zaposleni upoznaju sa njegovim odredbama,
ukoliko su svesni svojih obaveza i prava u vezi sa podacima o ličnosti, kao i
ukoliko se poznavanje odredbi internih akata redovno proverava. Sa tog aspekta
veoma je važna kontinuirana obuka, koju je preporučljivo obavljati najmanje
jednom godišnje.

Primer iz prakse – o značaju internih akata

Poverenik za informacije RS je kod jednog od državnih organa prove-
ravao da li se podaci o ličnosti redovnih zbirki podataka, koje na zakonskoj
osnovi obrađuje državni organ, koriste u svrhe za koje su bili prikupljeni,
odnosno da li se podaci zloupotrebljavaju u druge svrhe. Za potrebe in-
spekcijskog nadzora Poverenik je od organa zahtevao podatke o tome, ko
je i kada, od zaposlenih u državnom organu imao uvid u podatke poznatih
lica iz političkog i estradnog života. Državni organ je imao prilično dobre
tehničke postupke obezbeđenja podataka, a takođe vodio je ažuran i doku-
mentovan spisak prava na pristup korisnika, kao i beleživši svaki pristup za-
poslenih zbirkama podataka, te je državni organ bio u mogućnosti da Pove-
reniku preda i spisak praćenja obrade podataka o ličnosti. Iz navedenog je
bilo moguće sagledati priličan broj pristupa podacima poznatih lica, te je
bilo moguće utvrditi, da je dobar deo pristupa bio neopravdan i da se radilo
o korišćenju podataka za lične potrebe – kako je kasnije bilo utvrđeno, za-
posleni u državnom organu su podacima pristupali pre svega iz radoznalos-
ti. Radilo se o očiglednoj zloupotrebi podataka o ličnosti. Državni organ se
odgovarajuće pobrinuo za tehničke mere i postupke obezbeđenja podataka
(u suprotnom, uopšte ne bi mogli dokazati da su podaci bili zloupotrebljeni,
čime organ ne bi zadovoljio zahtevima u pogledu prava na pristup podacima
i obezbeđivanja podataka), ali pokazali su se nedostaci pri organizacionim i
kadrovskim merama obezbeđenja podataka. Zaposleni u državnom organu
očigledno nisu poznavali odredbe internog akta o obezbeđenju podataka
o ličnosti, zato su (naravno pogrešno) mislili da im pristup službenim po-
dacima omogućava, takođe i gledanje podataka, što naravno nije u službene
svrhe. Mnogo puta zaposleni je bio uveren, da sam uvid u lične podatke još
ne predstavlja prekršaj, iako su odredbe u pogledu obrade podataka veoma
jasne i sam uvid se, takođe ubraja u obradu podataka, za koju je potrebno
raspolagati sa odgovarajućim pravnim osnovom, koji zaposleni nisu imali, pa
su u podatke poznatih lica gledali iz radoznalosti. U pogledu odgovornosti
za ustanovljene prekršaje potrebno je prvenstveno utvrditi, da li je rukovalac
obezbedio odgovarajući nivo obezbeđenja podataka – ukoliko jeste, potrebno
je odgovornost za zloupotrebu podataka o ličnosti pripisati pojedincu, koji
je i pored odgovarajućeg odnosa od strane rukovaoca, obrađivao podatke u
suprotnosti sa odredbama zakona i internih akata rukovaoca.

73
 4.2 Kultura obezbeđenja
Organizacije koje žele na duži rok da smanje rizike zloupotrebe podataka,
kada se radi o poslovnim tajnama, tajnim podacima, podacima o ličnosti, ili
drugim podacima koje je potrebno zaštititi, ulažu napore za uspostavljanje tzv.
kulture obezbeđenja. Više puta, u prethodnim poglavljima opisana mera pred-
stavlja sastavni deo takve kulture obezbeđenja, među koje spadaju analiza infor-
macijskih izvora, analiza pretnji i rizika, nacrti obrade rizika, formalizacija pos-
tupaka u internim aktima, strategije i zaštita politika te postupci i mere izgradnje
kulture zaštite u koje spada stalna obuka zaposlenih. Iskustva iz obezbeđenja
informacionih sistema, govore, da je veoma često ljudski faktor primaran izvor
zloupotreba, dok među najveće opasnosti u poslednje vreme spadaju interne
pretnje (ljuti i nezadovoljni zaposleni ili bivši zaposleni i sl.). Obezbeđenje stalne
obuke je uobičajeno jedina uspešna mera protiv pretnji takve vrste. Socijalni
inženjering je primer takvih pretnji, gde nam čak i tako dobra tehnička zaštita,
jasni i propisani postupci, ne mogu pomoći ukoliko zaposleni pravovremeno ne
prepoznaju pokušaje socijalnog inženjeringa i ne odreaguju hitno i pravilno.

5. Odgovarajući nivo obezbeđenja

Jedno od ključnih pitanja sa kojim se suočavaju kako rukovaoci tako i nad-
zorni organi, je pitanje, koji je odgovarajući nivo obezbeđenja. Da li je frizerka,
koja ima kontaktne podatke svojih mušterija obavezna da sprovodi iste postupke
i mere za obezbeđenje podataka o ličnosti, kao npr. bolnica, ministarstvo, ope-
rater elektronskih komunikacija? Odgovor je, naravno ne. Pod odgovarajućim
obezbeđenjem podrazumeva se da postupci i mere za obezbeđenje podataka o
ličnosti moraju da budu odgovarajući u pogledu rizika koji predstavlja obrada i
priroda određenih podataka koji se obrađuju. Ako se zadržimo na ranije pome-
nutom praktičnom primeru – kontaktni podaci, koji se nalaze u imeniku frizerke,
ne predstavljaju visok rizik u pogledu zloupotrebe i posledično ne zahtevaju jed-
nake nivoe zaštite, kojom, recimo moraju biti obuhvaćeni osetljivi podaci koji se
nalaze u kartotekama ili u informacionom sistemu bolnice.
Pored osnovne razlike između podataka o ličnosti i osetljivih podataka o
ličnosti, potrebno je razmotriti i rizik koji donosi obrada određenih podataka
o ličnosti. Od rukovalaca, koji u svojim zbirkama imaju veliki broj podataka o
ličnosti, potrebno je zahtevati viši nivo obezbeđenja podataka, jer bi moguća
zloupotreba (npr. gubljenje podataka) pogodila veći broj lica. Takođe, potreb-
no je viši nivo obezbeđenja zahtevati od rukovalaca, koji obrađuju podatke čija
zloupotreba predstavlja veći rizik za lice, kao što su recimo rukovaoci, koji u
svojim zbirkama vode podatke o jednoličnim identifikatorima (npr. JMBG), sa
kojim je moguće povezivati podatke o ličnosti u različitim zbirkama, odnosno
među različitim rukovaocima.
Rukovaoci i obrađivači podataka o ličnosti moraju imati na umu, da
neodgovarajući nivo obezbeđenja predstavlja prekršaj u skladu sa članom 57,
tačka 11. ZZPL, tako što se za prekršaj kažnjava rukovalac, obrađivač ili koris-

74
nik, koji ima svojstvo pravnog lica, sa novčanom kaznom od 50.000 do 1.000.000
dinara, takođe, novčanom kaznom od 5.000 do 50.000 dinara kažnjava se fizičko
lice, odnosno odgovorna osoba.
U daljem tekstu posebno skrećemo pažnju na obezbeđenje osetljivih po-
dataka o ličnosti.

5.1 Obezbeđenje naročito osetljivih podataka o ličnosti

Naročito osetljivi podaci o ličnosti, kao što je istaknuto, već zbog svoje pri-
rode zahtevaju viši nivo obezbeđenja, kako predviđa član 16, stav 3. ZZPL, koji
određuje, da obrada naročito osetljivih podataka mora biti posebno označena i
zaštićena. Tako se za njih po pravilu zahteva potpuno praćenje obrade, odnos-
no rukovalac mora obezbediti da se svaki uvid, odnosno pristup zabeleži. Već
samo neovlašćeno upoznavanje sa naročito osetljivim podacima lica (npr. po-
daci o teškim bolestima lica – zaraženost HIV virusom) može imati za lice teške
i dalekosežne posledice. U pogledu tehničke zaštite nosača naročito osetljivih
podataka o ličnosti (radi se o svim vrstama sredstava na kojima su zapisani ili
snimljeni podaci: listinzi, akti, materijali, spisi, računarska oprema sa uključenim
magnetnim, optičkim ili drugim računarskim medijima, fotokopije, zvučna
i foto građa, mikrofilmovi, uređaji za prenos podataka i sl.), naime zakonski
propisanih i određenih minimalnih tehničkih standarda, međutim u pogledu
osetljivosti takvih podataka može se smatrati, da je nosače naročito osetljivih
podataka o ličnosti potrebno čuvati u zaključanim protivpožarnim ormanima,
za prostorije u kojima se takvi podaci nalaze, bili bi preporučljivo obezbediti
dodatnu zaštitu sa video nadzornim sistemom, uređajem za alarmno javljanje,
kao i protivpožarnom zaštitom.
Pri prenosu naročito osetljivih podataka o ličnosti preko telekomunika-
cionih mreža preporučujemo da se kao norma odgovarajuće zaštite smatra
situacija kada se podaci prenose korišćenjem kriptografskih metoda, tako da je
obezbeđena njihova nečitljivost, odnosno neprepoznatljivost tokom prenosa,
kao i elektronskog potpisa, koji obezbeđuje da su izvor i primalac zaista oni za koje
se predstavljaju, te da sadržaj prenesenih podataka nije bio okrnjen ili bilo kako
promenjen tokom prenosa.
Kriptovanjem osnovnu poruku, koju obično zovemo izvorna, po unapred
opredeljenom postupku ili metodi menjamo u kriptovanu poruku, tako da pri
tome koristimo određene vrednosti za parametre u algoritmu, koje nazivamo
ključ. Sagovornici se zato moraju pre komunikacije dogovoriti o algoritmu i
ključu, kako bi mogli slati šifrovane poruke. Kod osetljivih podataka o ličnosti
reč je o podatku posebne prirode, sa kojim ne sme da se upozna neovlašćeno
lice, niti da ga promeni ili uništi. Isto tako je veoma važno obezbediti da se
podaci šalju na pravu adresu, što se kod upotrebe elektronskih mreža najčešće
obezbeđuje upravo kriptografskim metodama i elektronskim potpisom. Pri-
likom slanja poruka preko elektronskih komunikacionih mreža nije dovoljno da
poruku šifriramo, već da zaštitna aplikacija obezbedi i sledeće funkcije: tajnost

75
(engl. confidentiality), celovitost (engl. integrity), autentičnost (engl. authentica-
tion), prevenciju tajenja (engl. nonrepudiation), kontrolu pristupa (engl. access
control). Uz pomoć kriptografskih metoda, obezbeđujemo da podaci, koji se
šalju putem elektronskih mreža, budu poverljivi, tako da im neovlašćene osobe
ne mogu pristupiti, kao i da stignu od izvora do ušća komunikacije, u istom i
neokrnjenom obliku.
Možemo razlikovati simetrične i asimetrične kriptografske metode. Kod
simetričnih algoritama ili algoritama sa privatnim ključem imamo samo jedan
ključ kojim šifrujemo i dešifrujemo poruku. Osnovni nedostatak ove metode su
poteškoće u pogledu sigurne razmene ključeva i broj ključeva. Svaki par prima-
laca i pošiljalaca u ovom slučaju ima svoj tajni ključ; ako se poruke razmenjuju
između pet osoba, tada je potrebno sigurno čuvati pet različitih tajnih ključeva.
Najpoznatiji simetrični algoritmi su: DES (Data Encryption Standard) ili DEA
(Data Encryption Algorithm) kao i trojni DES, RC2, RC4, RC5, te IDEA (Inter-
national Data Encryption Algorithm) .
Kod asimetričnih metoda korisnik formira dva međusobno povezana
ključa i jednog objavi (javni ključ). Svi, koji mu žele poslati poruku koristiće
njegov javni ključ za šifriranje poruka. Dešifrovati poruku može samo on lično,
jer zna svoj sakriveni ključ (privatni ključ). Kako bi šifrovanje dugačkih datoteka
sa asimetričnim algoritmom bilo presporo, pri digitalnom potpisivanju najpre
ćemo uraditi sažetak (tkz. hash) datoteke sa funkcijom zgušnjavanja, te samo to
šifriramo sa privatnim ključem. Primalac će najpre sa javnim ključem dešifrovati
potpis, iz poruke ponovo izračunati sažetak i uporediti ga sa onim koji je dobio
u potpisu. Ukoliko se podudaraju, dobio je takvu poruku kakva je potpisana.
Danas se najviše koristi algoritam RSA, Diffie-Hellman-ov algoritam i algoritmi
na osnovu elipsastih kriva.
Pored korišćenja kriptografskih metoda, pri obezbeđenju osetljivih po-
dataka o ličnosti, značajnu ulogu ima elektronski potpis. Elektronski potpis je
niz podataka u elektronskom obliku, koji je sadržan, dodat ili logički povezan
sa drugim podacima i namenjen je proveri identiteta tih podataka i identifika-
ciji potpisnika. Siguran elektronski potpis je elektronski potpis koji ispunjava
sledeće zahteve: da je povezan isključivo sa potpisnikom, da je iz njega moguće
pouzdano utvrditi potpisnika, da je napravljen sredstvima za sigurno elektron-
sko potpisivanje, koji su pod isključivim potpisnikovim nadzorom, da je povezan
sa podacima na koje se odnosi na način da je uočljiva svaka kasnija promena tih
podataka ili veza sa njima. Navedeni zahtevi se u praksi obezbeđuju upotrebom
kriptografskih metoda.
Potpisanu elektronsku poruku svako može da pročita, ali ne može da me-
nja njen sadržaj, a da se pri tom promene ne zabeleže. S obzirom na to, da pri-
vatni ključ poznaje isključivo potpisnik (nosilac digitalne potvrde), obezbeđeno
je da je zaista on potpisao poruku. Za upotrebu digitalnog potpisa, dakle mo-
ramo imati digitalnu potvrdu, što je pojašnjeno u nastavku.

76
 Digitalna potvrda (engl. Digital Certificate) je odgovarajuća zamena
klasičnim ličnim identifikatorima (lična karta, pasoš, bankarska kartica...) sa
specifičnom namenom, a inače je namenjena obezbeđenju sigurnog i verodosto-
jnog elektronskog poslovanja. Predstavljena je kao računarski zapis i sadrži po-
datke o vlasniku (ime, e-mail adresu, jedinstveni broj...), njegov javni ključ, po-
datke o overitelju tj. izdavaocu digitalne potvrde, kao i period važnosti digitalne
potvrde i digitalnim potpisom sa privatnim ključem izdavaoca potvrde. Digitalna
potvrda je zato ključni element elektronskog potpisa. Pojmovi digitalni sertifikat
i digitalna potvrda se u praksi koriste kao sinonimi.
U praksi, uz pomoć kriptografskih metoda takođe možemo zaštiti komu-
nikacije putem elektronske pošte i interneta. Među najpoznatije pakete za
šifriranje elektronske pošte spada PGP (Pretty Good Privacy), koji radi tako, da
se digitalni potpis ostvari upotrebom asimetričnog algoritma RSA i algoritma
za zgušnjavanje. Takođe, za slanje podataka preko interneta postoje rešenja koja
automatski šifriraju podatke i proveravaju autentičnost pomoćnih alata sa ko-
jima korisnik komunicira, radi se o tzv. SSL i TLS protokolima za uspostavljanje
sigurnih veza (npr. VPN).

5.2 Obezbeđenje podataka o ličnosti pri ugovornoj obradi

ZZPL u članu 46, stav 3 određuje, da je rukovalac dužan da upozna
obrađivača i lice koje ima uvid u podatke sa merama za zaštitu tajnosti poda-
taka. Uprkos činjenici što je jezik konkretne odredbe donekle jasan, ratio legis
te odredbe je nedvosmislen. Rukovalac može pojedine poslove u vezi sa obra-
dom podataka o ličnosti, ugovorom poveriti ugovornom obrađivaču, pri tome
mora obezbediti da se ugovorni obrađivač, na isti način i u jednakom obimu,
pobrine za zaštitu podataka koje obrađuje u ime i za račun rukovaoca, jer se radi
o „produženoj ruci“ rukovaoca. Zakon inače ne određuje oblik dogovora između
rukovaoca i obrađivača, ali se svakako preporučuje, da se međusobna prava i
obaveze urede ugovorom, koji bi trebao biti sastavljen u pismenom obliku (može
da bude i u obliku aneksa uz postojeći pismeni ugovor) i treba da sadrži dogovor
o postupcima i merama za zaštitu podataka o ličnosti. Nepostojanje formal-
nog međusobnog uređenja prava, obaveza, a pre svega odgovornosti u pogledu
obrade podataka o ličnosti, bi se odrazilo na povećan rizik u pogledu prekršaja.
Državni nadzorni organ može adekvatnost zaštite podataka o ličnosti utvrditi,
takođe uz pomoć provere, da li postoje formalni dogovor između rukovaoca i
ugovornog obrađivača ili drugih osoba kojima je rukovalac omogućio pristup
podacima o ličnosti. Preporučljivo je, takođe, da se opredeli kakav će biti odnos
prema podacima o ličnosti u slučaju prestanka ugovornog obrađivača, u slučaju
raskida ugovorne obrade, te u slučaju spora između rukovaoca i obrađivača. U
svim navedenim slučajevima neophodno je, da se podaci o ličnosti (i sve moguće
kopije nosača podataka) bez nepotrebnog odlaganja vrate rukovaocu. Sa aspekta
ugovornog obrađivača je potrebno upozoriti još na to, da ugovorni obrađivač

77
u slučaju raskida ugovora ne raspolaže više sa potrebnim pravnim osnovom
za obradu podataka o ličnosti. Kao primer možemo navesti centre plaćanja ili
usluge špeditera – podatke o ličnosti mogu obrađivati samo u okviru odredbi
ugovora, i nemaju pravni osnov da zadržavaju ili kombinuju podatke o ličnosti
različitih rukovaoca nakon što im prestane pravni osnov iz ugovora.

5.3 Spisak ključnih elemenata obezbeđenja podataka o ličnosti

U daljem tekstu prikazani primer spiska ključnih elemenata obezbeđenja
podataka o ličnosti (check-list) može, kako rukovaocima tako i državnom nadzor-
nom organu na koncizan i sistematičan način ilustrovati, da li možemo smatrati
da neko lice sprovodi odgovarajuće postupke i mere za zaštitu ličnih podataka,9
gde se vide manjkavosti, a time i rizici za zloupotrebu podataka o ličnosti. Spi-
sak je samo jedan od mogućih pristupa, koji je moguće koristiti i prilagoditi u
odnosu na to da li rukovalac obrađuje i naročito osetljive podatke o ličnosti, ko-
liko velike su zbirke podataka sa kojima raspolaže, kakav je rizik za zloupotrebu
određenih podataka o ličnosti koje obrađuje i sl.

DA NE
A1 – Autentičnost
Usvojena politika lozinki
Propisana dužina lozinki
Propisana struktura lozinki
Propisana istorija lozinki
Redovno menjanje lozinki
A2 – Autorizacija
Propisan je postupak i okolnosti dodeljivanja/oduzimanja prava
Prava na pristup su dokumentovana
Prava na pristup su odgovarajuća u pogledu zadataka zaposlenih
Prava na pristup su hijerarhijska
Prava na pristup su ažurna
A3 – Praćenje
Praćenje promena
Praćenje svih pristupa i promena
Obezbeđenje osetljivih POL
Naročito osetljivi POL su posebno označeni
Praćenje svih pristupa i promena

9 Detaljniji i upotrebljiv spisak upotrebljivih kontrolnih tačaka je opredeljen u stand-

ardu ISO 27002:2005 – Kodeks rukovanja za informaciono upravljanje obezbeđenjem, koji
nabraja sigurnosne kontrolne ciljeve i predlaže vrstu posebnih sigurnosnih mera.

78
 DA NE

Obezbeđenje POL, koji se vode na papiru

Lice sprovodi politiku čistog stola
Lice sprovodi politiku čistog stola
Prostorije i nosači podataka se zaključavaju
Ugovorna obrada
Postoji pismeni ugovor o obradi POL
Pismeni ugovor sadrži dogovor o postupcima i merama za obezbeđenje
POL
Zaposleni kod ugovornog obrađivača poznaju zahteve u pogledu
obezbeđenja POL
Zaposleni kod ugovornog obrađivača sprovode postupke za
obezbeđenje POL (praktičan test)
Pristup lica, koje nisu zaposlena, je nadziran
Uništenje podataka o ličnosti
Nosači POL su po isteku rokova čuvanja uništeni
Papirni nosači podataka su izrezani pod nadzorom
Elektronski nosači podataka su više puta slučajno prepisani ili fizički
uništeni
Informaciono-tehničke mere
Lice štiti pristup mreži
Lice koristi i redovno osvežava prot-virusnu zaštitu (up date)
Lice redovno instalira sigurnosne korekcije
Lice ima usvojenu politiku sigurnog kopiranja
Sigurne kopije se čuvaju odvojeno i pod nadzorom
Lice ima usvojenu politiku sigurnosti za prenosne uređaje
Podaci o ličnosti na prenosnim uređajima su kriptovani
Kadrovsko–organizacione mere
Lice ima usvojen akt o obezbeđenju podataka o ličnosti
Zaposleni poznaju odredbe internog akta
Zaposleni se redovno obučavaju u pogledu obezbeđenja POL

79
 EVIDENCIJA ZBIRKI PODATAKA O LIČNOSTI

ZNAČAJ

Kako proizlazi iz duha ZZPL i nekih njegovih odredbi, lice mora biti upo-
znato sa tim koje podatke o njemu vodi rukovalac podataka. Sistematičnost
organizacije, posebno u vreme modernih tehnologija kada rukovaoci podataka
mogu jednostavno dobiti podatke iz različitih zbirki podataka i sa njima jednos-
tavno operisati, je utoliko važnija.
Lice može putem uvida u evidencije zbirki podataka jednostavnije doći do
svih vrsta podataka, koje rukovalac vodi, pri čemu mu evidencija pomaže da do
njih dođe brže i efikasnije. Time što tačno zna koje vrste podataka vodi rukova-
lac, lice može preciznije zahtevati uvid u vlastite podatke i brže ih dobiti.
Isto tako evidencija zbirki podataka podrazumeva da rukovalac podataka
određene vrste podataka ne može i ne sme da prikrva. Ako bi se to ipak dogodi-
lo, dužnost Poverenika je, da to utvrdi u postupku nadzora i adekvatno reaguje.

MOGUĆI PROBLEMI

Jedna zbirka – jedna evidencija

Evidenciju zbirke podataka mora da vodi svaki rukovalac podataka o
ličnosti. Prilikom praktične primene Zakona u ovom delu (član 48.), moguće je
da dođe do situacije da rukovaoci podataka,pravdajući razlozima organizacije
rada, podatke o svim zbirkama podataka koje vode, udružie u jednu evidenciju,
što nije u skladu sa zakonom. Takve greške se već događaju u slovenačkoj prak-
si i pored toga što ZVOP–1 u članu 26. izričito navodi, da rukovalac podataka
mora da napravi katalog zbirke podataka o ličnosti, za svaku (pr. autora) zbirku
podataka. S obzirom na nepreciznost odgovarajuće odredbe ZZPL, Poverenik
će u svojoj praksi morati pažljivije da prati evidencije zbirki podataka i njihov
sadržaj.
Potreba da se napravi evidencija zbirki podataka za svaku zbirku, proi-
zlazi, takođe iz logičnog razloga navedenog u članu 48. ZZPL, jer zakon nabraja
podatke koji moraju biti sadržani u evidenciji zbirke podataka, i to taksativno, u
jednini (vidi npr. tačku 1. stava 1, člana 48).

81
Rok za uspostavljanje evidencija
Zakon ne određuje kada rukovaoci zbirki podataka moraju da uspostave
evidenciju zbirke podataka. Međutim, iz samog člana 49. stav 1, može se
zaključiti, da bi rukovalac podataka morao podatke iz evidencije zbirki poda-
taka dostaviti za potrebe registra zbirki podataka, najkasnije u roku od 15 dana
pre uspostavljanja zbirke podataka, odnosno obrade podataka. Ovu odredbu je
moguće primeniti i na član 48, i logično zakljičiti, da rukovalac zbirki podataka
mora da uspostavi evidenciju zbirke podataka do navedenog roka. Podaci iz evi-
dencije su, naime važan deo podataka o zbirkama koji se prosleđuju u registar
zbirki podataka.

(POGREŠNA) TUMAČENJA VRSTA PODATAKA,

KOJE EVIDENCIJA MORA DA SADRŽI
Vrsta podataka i naziv zbirke podataka
U slovenačkoj praksi se najčešće pojavljuje greška, da rukovaoci poda-
taka pod jedan naziv zbirke navedu više zbirki ili naziva zbirki, koja sadrži više
različitih vrsta podataka o ličnosti, nekim „skupnim“ imenom – npr. zbirka po-
dataka o ličnosti firme XY. Takvo opredeljenje, naravno nije primereno, odnosno
nije u skladu sa zakonom, već rukovalac podataka mora, poštujući prvenstveno
svrhu za koju je svaka zbirka pojedinačno uspostavljena, sam razgraničiti zbirke
podataka. Svakako će u praksi Poverenik morati, bar kod manjih ili neodređenih
zbirki podataka, izuzetno da dozvoli da se one združe u naziv koji bi jasno
odražavao sadržinu takve zbirke (npr. tkz. Inbox i Outbox – Poverenik verovatno
neće zahtevati da rukovalac zbirki podataka napravi dve evidencije, već jednu,
npr. sa nazivom Evidencija elektronske pošte).
Takva odluka, naravno ne može zavisiti od rukovaoca zbirki podataka,
već od tumačenja zakona koji će u prvom redu zahtevati aktivno delovanje Pove-
renika.
Kakav će biti naziv zbirke u prvom redu odlučuje rukovalac, jer zakon
(osim u slučajevima kada zakon određuje organizovanje neke zbirke i takođe joj
izričito dodeli ime) ne opredeljuje kako tačno treba da glasi naziv. Bez obzira na
to, potrebno je da naziv barem približno opredeljuje sadržinu zbirke podataka. U
pogledu naziva zbirke, kada on nije određen zakonom, Poverenik će verovatno
dopuštati rukovaocima više slobode.
Primeri: Prekršajna evidencija, Evidencija stranaka firme, Evidencija podataka o
ličnosti namenjena za karticu pogodnosti firme...
Vrsta podataka o ličnosti
Obaveza rukovaoca je, da u ovom delu navede sve vrste podataka o ličnosti
koji su sadržani u zbirci podataka (npr. ime, prezime, JMBG, adresu, broj tekućeg

82
računa, fotografiju lica, datum i vreme ulaska i izlaska iz poslovnih prostorija,
zaposlenja...). Pri tome rukovalac podataka nema toliko slobode, koliko je ima
recimo kod naziva zbirke. Iz opisa vrsta podataka o ličnosti mora da bude jasno
uočljivo, koje podatke vodi i obrađuje rukovalac, jer će samo takvo – taksativno
– nabrajanje omogućiti licu da se upozna sa podatkom o tome, koje podatke o
ličnosti rukovalac o njemu stvarno vodi, odnosno obrađuje.
Potrebno je još naglasiti, da rukovalac mora da navede samo one vrste
koje stvarno obrađuje, a ne da navodi podatke „na zalihama“, jer se može dogo-
diti, da u praksi ima problema, ako bi na primer lice zahtevalo uvid u vlastite
podatke, koje rukovalac zapravo neće da obrađuje. U takvom slučaju se može
dogoditi, da lice podnese žalbu Povereniku, a on bi morao u vezi sa tim sprovesti
celokupan postupak utvrđivanja stvarnog stanja, što za rukovaoca znači dodatni
posao i komplikacije.
Vrsta obrade
U ovom delu rukovalac će morati precizno da opredeli kako konkretno
obrađuje podatke. Pre svega će biti važno, da li će rukovalac podatke obrađivati
na automatski ili ručni način. Isto tako će morati opredeliti vrste obrade kako to
(davanjem primera) nabraja član 3, stav 1, tačka 3. ZZPL.
Takva odredba u zakonu može u praksi rukovaocima predstavljati teškoće,
jer se može dogoditi, da se vrsta obrade u okviru namene (koja inače ostaje ista)
promeni. Kako rešiti taj problem, verovatno će pokazati praksa Poverenika.
Naziv, ime, sedište i adresa rukovaoca
U ovom delu većih poteškoća verovatno neće biti, osim u slučajevima,
kada rukovaoca podataka čini više osoba. U takvom slučaju će verovatno biti
potrebno pažljivo uzeti u obzir definiciju rukovaoca podataka, utvrđenu u članu
3. stav 1. tačka 5. ZZPL. Odlučujuća će biti činjenica ko stvarno obrađuje podatke
o ličnosti, pri čemu se, prilikom utvrđivanja kome Poverenik može naložiti neku
obavezu, treba rukovoditi i drugim zakonima i propisima.10
Datum početka obrade, odnosno uspostavljanja zbirke podataka o ličnosti
U ovom delu u skladu sa 15-dnevnim rokom uspostavljanja evidencije pre
formiranja zbirke podataka, ne bi smelo biti problema.
Mogući su manji problemi kod zbirki koje postoje već duže vremena, i
datum formiranja će biti – barem kod onih najstarijih zbirki – izuzetno teško
odrediti. Savet je da se kao datum navede bar godina, iako i ona nije poznata, pa
se Povereniku preporučuje, da tu činjenicu uvažava u postupku i od rukovaoca
ne zahteva precizno određivanje, već samo opisno.

10 ZVOP–1 npr. u članu 76. određuje, da se video nadzor u zgradama sa više stanova
može uvesti, ako se sa tim slaže barem 70% vlasnika. Ako se vlasnici odluče da će iz-
graditi video nadzor sami tj. kao grupa vlasnika, ko je tada obavezan da ispuni odluku
Poverenika, odnosno, da li su u obavezi svi vlasnici ili samo 70% vlasnika? Još više
ovakva odstupanja prave teškoće u utvrđivanju prekršajne odgovornosti. Praksa Pove-
renika će verovatno pokazati, kako precizno odrediti rukovaoca podataka o ličnosti.

83
 Svrha obrade
Verovatno najvažnija tačka evidencije zbirke podataka je svrha obrade.
Ona bi morala, u evidenciji zbirke podataka biti precizno određena, jer je svrha
obrade ključni uslov za utvrđivanje da li rukovalac uopšte može da obrađuje
određene podatke i na koji način. Isto tako bi lice, upravo na osnovu navedene
svrhe, moglo ostvarivati svoju upravnu i sudsku zaštitu u odnosu na rukovaoca
podataka o ličnosti.
Takođe, Poverenik bi verovatno morao ovoj tački posvetiti najviše pažnje,
jer će ona biti nužno potrebna kod odlučivanja u upravnom postupku. Tako, ako
se rukovalac podataka, navođenjem svrhe još u evidenciji, bude obavezao da će
podatke obrađivati samo u okviru te svrhe, on bi u eventualnom postupku pred
Poverenikom teško dokazao da može, ili sme podatke koristiti, takođe i izvan te
svrhe.
Primeri:
• obaveštenja o proizvodima, slanje rezultata stručnih istraživanja,
pozivi na predavanja i školovanja;
• odobravanje stipendija, praćenje studija, zaključci, zaposlenja;
• izdavanje računa, knjiženje izdatih računa, naplata neplaćenih
računa.
Pravni osnov
Ako kao osnov za obradu služi zakon, potrebno je u evidenciji navesti
naziv zakona, član i stav, kao i podatak o objavi u Službenom glasilu ukoliko se
radi o objavljenim evidencijama(člana 48. stav 2. ZZPL,).
U slučajevima, kada rukovalac podataka obrađuje podatke o ličnosti na
osnovu pristanka lica, potrebno je napisati lični pristanak.
U slučajevima, kada je pravni osnov za obradu ličnih podataka ugovorni
odnos, potrebno je navesti naziv i podatke o ugovoru, npr. ugovor o najmu, br...
od.. ugovor o pozajmici...
Kategorije lica na koje se podaci odnose
U ovoj tački rukovalac mora navesti generičku oznaku lica, na koje se po-
daci odnose, na primer:
• učenici osnovne škole ...;
• zaposleni u firmi ...;
• osobe, koje ulaze u područje video nadzora;
• zaposleni koji imaju pristup u prostor pomoću biometrijskih mera;
• kupci firme ...;
• primaoci reklamnih poruka firme ...
U ovoj tački rukovaoci moraju, pre svega da poštuju pravilo, da pravilnim
generičkim oznakama obuhvate stvarno sva lica čije podatke obrađuju.

84
 Vrsta i stepen tajnosti podataka
Ova tačka dolazi do izražaja samo u javnom sektoru i kod onih subjekata
privatnog sektora, koji bi eventualno mogli da dođu u dodir sa tajnim podacima.
Ostali rukovaoci će to polje verovatno ostaviti prazno ili će navesti da ne rade
sa tajnim podacima. Taj deo evidencije će u praksi, kako rukovaocima, tako i
Povereniku verovatno prouzrokovati velike probleme, jer se može dogoditi, da
određeni dokument, označen jednim od stepena tajnosti podataka, sadrži po-
datke o ličnosti, pri tome bi već samo otkrivanje postojanja dokumenta moglo
uzrokovati otkrivanje tajnosti podataka.
Kako će te slučajeve, koje inače Direktiva ne opredeljuje, rešavati Pove-
renik, verovatno će pokazati praksa. Prema poslednjim informacijama11 i ruko-
vaoci i Poverenik će verovatno imati velikih problema u izvršavanju ove tačke,
radi nejasnoća (ili potpune odsutnosti) pravnog uređenja te oblasti. Verovatno
će samo praksa pokazati kako da se ova tačka sadržajno ispuni.
Način prikupljanja i čuvanja podataka, te preduzete mere zaštite podataka
(član 48, stav1, tačke 9. i 13. ZZPL).
Kao i u prethodnoj tački, u praksi će se verovatno pojaviti problemi o tome
kako su rukovaoci podataka došli do podataka o ličnosti u zbirkama koje već
vode, i koje postoje već dugo vremena. Takođe, u tim slučajevima će verovatno
biti potrebna mudrost rukovalaca podataka, a korisna će biti i praksa Poverenika
kako da postupa u takvim slučajevima. Iz ugla sadašnje organizacije ZZPL bilo
bi korisno da rukovaoci za zbirke, nastale u prošlosti, što detaljnije (koliko je
to naravno moguće) navedu po kom pravnom osnovu su dobijali podatke, pre
svega sa osloncem na sadašnju organizaciju ZZPL.
U pogledu čuvanja podataka važi preporuka, da rukovaoci što je moguće
konkretnije i detaljnije naznače obezbeđenje zbirke podataka, jer kako se poka-
zalo u praksi slovenačkog Poverenika, upravo je ova oblast najproblematičnija.
Tako da nije dovoljno, da rukovaoci navedu da svoje zbirke štite u skladu sa
ZZPL, već zaštitu podataka moraju da preciziraju.
I rukovaoci i Poverenik će se verovatno „preganjati“, kada budu proba-
li navesti mere zaštite u 9. ili 13. tački, člana 48, stav 1. ZZPL. Verovatno će
Poverenik morati da sačini uputstva o tome u koju tačku će rukovaoci podataka
morati da navedu načine obezbeđenja podataka. Verovatno u praksi neće biti
teškoća, ukoliko rukovaoci podataka budu način obezbeđenja naveli u 9. ili 13.

11 Prema poslednjim informacijama (vidi npr. http://www.mtsmondo.com/news/vesti/

text.php?vest=124774, od 15. 2. 2009 – preuzeto od Tanjug-a) U Republici Srbiji mogao
bi da zavlada haos u pogledu propisa o tajnim podacima, jer bi se mogli uređivati sa
više od 400 zakona i podzakonskih akata, ocenjuju predstavnici nevladinog sektora, a
Srbija još nema Zakon o klasifikaciji informacija, koji bi trebalo da obezbedi sistema-
tsku pravnu kontrolu tajnih podataka po ugledu na zemlje Evropske unije.

85
tački evidencije. Sa aspekta prava lica važan je sadržaj, a ne u koju tačku spada
koji sadržaj.12
Kao primer navodimo opis obezbeđenja slovenačkog Poverenika za jednu
od zbirki podataka koju vodi:
„Prostorije, u kojima se nalaze nosači podataka o ličnosti, koji su povezani
sa zbirkom podataka, kao i računarska oprema koja služi za obradu podataka, se
izvan radnog vremena zaključavaju, a zaključavaju se, takođe i kada u njima nema
zaposlenih. Zbirka podataka, koja se nalazi u računarskom sistemu, je zaštićena sis-
temom lozinki za autorizaciju i identifikaciju korisnika programa i podataka. Sistem
lozinki omogućuje, takođe kasnije utvrđivanje, kada su bili pojedini podaci korišćeni
ili uneseni u zbirku podataka i ko je to uradio, kao i period na koji se pojedini po-
daci čuvaju. Podatke o ličnosti mogu obrađivati samo lica, koja je za obradu ov-
lastio starešina organa (direktor, predsednik...) i koje su navedene na spisku koji je
poseban prilog Pravilnika o postupcima i merama za zaštitu podataka o ličnosti,
koji je 12.5.2006. izdala Poverenik za informacije Nataša Pirc Musar. Papirni nosači
podataka o ličnosti, koji služe za unos podataka u računarski vođenu zbirku poda-
taka, listinzi sa podacima iz računarske zbirke podataka, kao i diskete, magnetne
trake, optički diskovi koji se odnose na zbirku podataka, se izvan radnog vremena
zaključavaju u metalne protivpožarne ormane. Postupci i mere zaštite podataka
su detaljnije određeni u Pravilniku o postupcima i merama za zaštitu podataka o
ličnosti, koji je 12.05.2006. izdala Poverenik za informacije Nataša Pirc Musar.“13
Rok čuvanja i upotreba podataka
Slično kao u prethodnoj tački verovatno će se događati i prilikom
navođenja roka čuvanja podataka. Razlika je, što je način prikupljanja podataka
jednokratna aktivnost u prošlosti, dok je rok čuvanja kategorija koja se još uvek
utvrđuje. Rukovaoci zbirki podataka će zato morati prečistiti svoje zbirke i one
kod kojih nema postavljenog roka, uskladiti sa odredbama ZZPL.
Navođenje roka znači, da će rukovaoci po isteku toga roka morati po-
datke u zbirci da unište, blokiraju ili anonimiziraju. U slučajevima, kada se po-
daci o ličnosti obrađuju na osnovu ugovornog odnosa, rukovalac navodi trajanje
ugovora, odnosno do kada traju pravne posledice ugovora (npr. kod dužnika).
U slučajevima, kada će rukovalac obrađivati podatke na osnovu pristanka lica,
navodi dogovor između lica i rukovaoca podataka. Ukoliko se podaci obrađuju
na osnovu zakona, navede rok koji je određen zakonom. Primeri:
Podaci o ličnosti se čuvaju 10 godina ili do opoziva lica na koje se podaci
odnose;
Podaci o ličnosti se čuvaju u skladu sa odredbama ugovora o pozajmici.

12 Kao primer vidi uzorak evidencije na kraju ovoga poglavlja.

13 http://www.ip-rs.si/index.php?id=159&no_cache=1&tx_register_pi1[mode]=1&tx_
register_pi1[pointer]=&tx_register_pi1[sifra]=0tvbgydwdhe2bkwg3yzca9j5juqv2sba
&tx_register_pi1[sword]=informacijski%20poobla%C5%A1%C4%8Denec&tx_regis-
ter_pi1[showUid]=1915&tx_register_pi1[piz]=14254

86
 U ovoj tački rukovalac podataka će morati da navede na koji način će
podatke koristiti. Na primer, obrađivaće ih za potrebe direktnog marketinga (u
slučajevima tkz. segmentiranog /ciljnog/ marketinga, rukovalac mora da dobije
novi lični pristanak) i kako će rukovati sa tim podacima. Na primer – grupisa-
nje pojedinačnih nabavki, filtriranje podataka, izrada reklamnog materijala za
potrebe direktnog marketinga sa podacima o licu na koje se podaci odnose ...
Naziv, ime, sedište i adresa korisnika
Pod ovom tačkom rukovaoci će morati da navedu, kome će podatke da
proslede ili pokažu. Ukoliko ih ne prosleđuju ili ne pokazuju, rukovaoci će
navesti da nema korisnika. Pri tome je za rukovaoce preporučljivo, da razmisle,
takođe o korisnicima koje možda prilikom formiranja zbirke nisu predvideli
(npr. sudovi, policija u izuzetnim slučajevima i na osnovu zakona).
Iznošenje u treće države
Ovde verovatno ni Poverenik ni rukovaoci podataka ne bi smeli imati
većih problema, jer je način iznošenja u treće države određen u ZZPL, te je
potrebno navesti podatke koje ZZPL u ovoj tački navodi.
Zahtev povodom obrade
Ovu tačku će najverovatnije sa uputstvima morati da dopuni baš Pove-
renik. Ni Direktiva, ni slovenački ZVOP–1 ovu tačku ne poznaju, te će Poverenik
morati da tumači ovu tačku sa aspekta prakse i opštih odredbi ZZPL.
Poverenik ovu odredbu moze razumeti jedino tako da se odnosi na zahte-
ve lica za ostvarivanje prava u vezi sa obradom podataka i da se u evidenciju uno-
se podaci o zahtevima ukoliko ih je bilo nakon uspostavljanja zbirke. Precizniji
odgovor na ovo pitanje može uslediti tek nakon što Vlada donese podzakonski
akt o načinu vođenja evidencije i obrascu evidencije, iz člana 48.stav 4. ZZPL.
Izuzeci u pogledu izrade evidencija
ZZPL u članu 48, stav 2. predviđa izuzetke od obaveze rukovaoca poda-
taka da obrazuje evidenciju zbirki podataka. Izuzeci su precizno određeni, tako
da rukovaoci ovde neće imati značajnijih problema prilikom nadzora izrade evi-
dencija, izuzev u određenim slučajevima navedenim u daljem tekstu.
Ovo posebno važi kod tumačenja podataka za porodično i lično korišćenje.
U slovenačkoj praksi više puta se desilo da je bilo teško napraviti razliku između
takvog korišćenja ili korišćenja stvarnog rukovaoca, koji je bio deo „porodice“
– na primer samostalni preduzetnik, koji obavlja delatnost u svojoj kući, ili kada
privredno društvo ima isto sedište kao što ga ima fizičko lice – vlasnik firme.
Rukovalac bi tako na osnovu činjenica i okolnosti slučaja morao oceniti, da li je
zbirka deo ličnog korišćenja lica ili deo, koji obrađuje lice koji samostalno obav-
lja delatnost na tržištu, i kao takvo mora uspostaviti evidenciju zbirki podataka.
Verovatno bi podjednako ovaj izuzetak presudio i Poverenik, zato se rukovao-

87
cima preporučuje da sami razgraniče podatke koje obrađuje privredno društvo,
a koje lice, jer bi u slučaju pogrešnog tumačenja mogli prekršajno odgovarati.
Po ovom pitanju, nakon što vlada donese podzakonski akt iz člana 48. stav
4. ZZPL, o načinu vođenja evidencije i obrascu evidencije, mogla bi uslediti i
bliža pojašnjenja Poverenika rukovalacima podataka.

OKVIRNI OBRAZAC ZA UNOS U REGISTAR

ZBIRKI PODATAKA I EVIDENCIJE ZBIRKE PODATAKA

Primer referenci i opisa podataka Konkretan primer

Naziv zbirke (naziv sadrži ime koje odredi Evidencija kupaca firme
propis ili ga odredi rukovalac na osno-
vu pristanka lica ili ugovornog odnosa
– primer Evidencija kupaca, evidencija
video nadzora ...)
Vrstu radnje obrade Npr. Prikupljanje podataka, korišćenje,
Iz čl. 3.stav1. tačka 3) ZZPL, prepisivanje, umnožavanje, snimanje,
stavljanje na uvid, objavljivanje...
Vrste podataka (navedite vrste podataka, koje Ime i prezime, elektronska adresa, kućna
se nalaze u zbirci, pri čemu budite pažljivi da adresa, broj telefona
ne unosite nikakve konkretne podatke, npr.
ime, prezime, adresa, elektronska pošta, sni
mak video nadzora, otisak prsta ...)
Naziv i sedište rukovaoca (navedite firmu Mali trgovac, d.o.o., Srpska ulica 1, Beograd
i sedište, odnosno ime i prezime te adresu
rukovaoca)
Datum započinjanja obrade, odnosno us- 1. 1. 2009.
postavljanja zbirke podataka (navedite da-
tum, kada je zbirka podataka bila uspostav-
ljena, odnosno kada će biti ako još nije)
Svrha obrade (navesti sve svrhe, za koje Direktni marketing, ponuda proizvoda
se podaci u zbirci obrađuju, npr. direktni firme i obaveštenja o novitetima
marketing, izvršavanje ugovora o zapos-
lenju ili drugog ugovornog odnosa...)
Pravni osnov (navedite, po kom pravnom Pristanak lica na koje se podaci odnose
osnovu ste podatke dobili i potom ih
dalje obrađujete, npr. pristanak, ugovorni
odnos i sl.)

88
Kategorija lica na koje se podaci odnose Kupci firme
(navedite generičke oznake osoba na koje
se podaci odnose, npr. zaposleni u firmi,
kupci firme...)
Vrsta i stepen tajnosti podataka (navedite Nema tajnih podataka u zbirci.
stepen tajnosti, koja je određena za po-
datke navedene u zbirci, kako to proi-
zlazi iz odgovarajućeg propisa, koji
reguliše konkretnu oblast, npr. strogo
tajno). Ako tajni podaci nisu sadržani
u zbirci, navedite da tajnih podataka
nema.
Način prikupljanja i čuvanja podataka Podaci su prikupljeni na osnovu reklam-
(navedite na koji način ste prikupili podatke nog materijala, koji su firmi poslala fizička
i kakav način obezbeđenja ste uveli u cilju lica, na koje se podaci odnose.
zaštite podataka, npr. prikupljanje putem Podaci su obezbeđeni elektronski i fizički.
ugovora o zaposlenju, preko anketnih lis-
tova; elektronska zaštita, odgovarajuća poli-
tika lozinki...) – navedite generičku oznaku
zaštite, detaljnije način zaštite opredelite u
tački 13.
Rok čuvanja i upotrebe podataka 5 godina
(navedite koliko vremena ćete podatke
čuvati i obrađivati. Po isteku roka morate
podatke uništiti ili ih anonimizirati), npr.
10 godina, do isteka odredbi ugovora, tra-
jno ...
Naziv, ime, sedište i adresa korisnika (opis Podaci se ne prosleđuju korisnicima
sadrži navedene podatke pravnih lica,
odnosno fizičkih lica, koji samostalno
obavljaju delatnost na tržištu i već su im
bili ili će biti prosleđeni podaci iz zbirke,
npr. medicinska društva. Ako se neće
prosleđivati, to navedite.
Označavanje unošenja ili iznošenja po- Podaci se ne iznose iz Republike Srbije.
dataka iz Republike Srbije sa nazivom
države, odnosno međunarodne organi-
zacije i stranog korisnika, pravni osnov i
svrhu unošenja ili iznošenja. Ako se po-
daci ne iznose, odnosno ne unose u Sr-
biju, odnosno iz nje, to navedite.

89
 Preduzete mere zaštite podataka (što de-
taljnije opišite zaštitu podataka u zbirci)
Zahtev povodom obrade
Verovatno se odnosi na zahteve lica za ost-
varivanje prava u vezi sa obradom podata-
ka – unose se podaci o zahtevima ukoliko
ih je bilo nakon uspostavljanja zbirke
Prostorije, u kojima se nalaze nosači po-
dataka, koji su povezani sa zbirkom po-
dataka, kao i računarska oprema, koja
služi za obradu podataka, se izvan radnog
vremena zaključavaju, a zaključavaju se,
takođe i u vreme kada u njima nema za-
poslenih. Zbirka podataka koja se nalazi
u računarskom sistemu, je osigurana sis-
temom lozinki za autorizaciju i identi-
fikaciju korisnika programa i podataka.
Sistem lozinki omogućava, takođe kasnije
utvrđivanje, kada su pojedini podaci bili
korišćeni ili uneti u zbirku i ko je to ura-
dio, kao i period na koji se pojedini podaci
čuvaju. Podatke mogu obrađivati samo
lica, koja je za obradu ovlastio zakonski
zastupnik firme. Papirni nosači podataka,
koji služe za unos podataka u računarski
vođenu zbirku podataka, listinzi sa po-
dacima iz računarske zbirke podataka, kao
i diskete, magnetne trake, optički diskovi,
koji se odnose na zbirku podataka, se izvan
radnog vremena zaključavaju u metalne
protivpožarne ormane. Postupci i mere
zaštite podataka su detaljnije određeni
u Pravilniku o postupcima i merama za
zaštitu podataka o ličnosti, koji je 1.1. 2009.
izradio zakonski zastupnik firme.
Nije bilo zahteva

Nekoliko najčešćih grešaka iz slovenačke prakse, koje će verovatno

prouzrokovati probleme i u Srbiji:
• rukovaoci u evidencije samo navedu podatke o ličnosti, a ne i nji-
hov opis (npr. kopiraju čitavu bazu podataka u evidenciju);
• rukovaoci previđaju, da je, takođe zbirka snimaka video nadzora,
zbirka podataka o ličnosti pa za tu zbirku ne uspostave evidenciju;
• naziv zbirke ne rezimira sadržinu zbirke podataka o ličnosti;
• nepotpuni i netačni podaci u evidencijama;
• rukovaoci ne uspostave evidencije za zbirke biometrijskih podataka (npr.
zbirka otisaka prstiju, zbirka template-ova /šablona/ otisaka prstiju...).

90
 CENTRALNI REGISTAR
ZBIRKI PODATAKA O LIČNOSTI

ZNAČAJ
Svrha Centralnog registra zbirki podataka je da se lice upozna sa obra-
dom vlastitih podataka i predstavlja produženu ruku evidencije zbirki podataka
o ličnosti. Centralni registar omogućava da se lice upozna sa zbirkama podataka
o ličnosti koje obrađuje određeni rukovalac, te lakše dođe do informacija o po-
dacima koji su mu potrebni. U slučaju kada Centralni registar ne bi postojao,
lice bi teško dolazilo do informacija o podacima koje rukovalac obrađuje, a neke
podatke o ličnosti rukovalac bi mu mogao i prećutati. Stoga je centralni registar
veoma važan u cilju upoznavanja lica sa vlastitim podacima, kao i zbog nadzora
nad obradom podataka o ličnosti, koje obrađuje rukovalac.
Upravo zato će jedan od prvih zadataka Poverenika biti da što je moguće
pre obavesti i poduči rukovaoce podataka o značaju unosa podataka u Centralni
registar zbirki podataka. Pre toga, potrebno je da vlada, u skladu sa čl.48.st.4.
ZZPL donese podzakonski akt kojim će propisati način vođenja evidencije i
obrazac evidencije.

UVODNA PREPORUKA
Već u samom uvodu preporučujemo da se Centralni registar u elektron-
skom obliku uspostavi što pre, jer bi se u odnosu na broj rukovalaca podataka
moglo izuzetno i značajno usporiti delovanje Poverenika. Ujedno bi rukovao-
cima podataka znatno olakšalo unos u Centralni registar, kao i uspostavljanje
evidencija podataka.
Kako pokazuje slovenačka praksa, elektronski unos u Centralni registar
se u praksi pokazao kao izuzetno uspešan, takođe i rukovaoci podataka su se u
većini slučajeva odlučivali za takav unos, jer im to u jednom postupku omogućava
kako izradu kataloga (evidencija) zbirki podataka, tako i unos u registar zbirki
podataka.14
Kako prelazne odredbe ZZPL u članu 61. predviđaju da su rukovaoci
dužni da podatke iz evidencija dostave Povereniku u roku od 12 meseci od dana
stupanja na snagu zakona, te bi osnivanje elektronskog Centralnog registra zbirki

14 Detaljnije vidi http://www.ip-rs.si/varstvo-osebnih-podatkov/register-zbirk/.

91
podataka bilo olakšanje, kako za Poverenika tako i za prilagođavanje rukovalaca
takvom načinu upisa.

MOGUĆI OČEKIVANI PROBLEMI

Kako se pokazalo u Sloveniji, rukovaoci su, u početku osnivanja regis-
tra Povereniku često slali čitave baze podataka, umesto opisa zbirki podataka o
ličnosti. Stoga Povereniku preporučujemo da u prelaznom periodu od 12 meseci,
koliko imaju rukovaoci za ispunjenje obaveza u pogledu dostavljanja podataka
u Centralni registar zbirki podataka, rukovaoce aktivno upozori na tu grešku,
jer je to takođe i prekršaj po ZZPL. Rukovaocima podataka će prelazni period
bez dileme omogućiti, da se detaljno upoznaju sa odredbama ZZPL u pogledu
i uspostavljanja evidencija i unosa podataka iz njih u Centralni registar zbirki
podataka o ličnosti, kao i da se prilagode elektronskom upisu u registar.
Učestalih problema će verovatno biti i u organizacionom delu osnivanja
Centralnog registra. Kako je reč o obimnoj zbirci podataka, informaciona plat-
forma bi morala biti dobro postavljena, da ne bi dolazilo do pada sistema. Ned-
vosmisleno je potrebno osnovati i ažurne i temeljne tzv. back-up kopije elektron-
skih zapisa.
U Sloveniji su se rukovaoci za upis u registar zbirki podataka odlučivali u
poslednjim trenucima prelaznog perioda, koji im je Poverenik postavio za orga-
nizaciju u skladu sa zakonom, te se naglo povećao broj prijava, stoga rukovao-
cima preporuka, da unos urade što pre, jer će tako moći da otklone eventualne
greške koje bi mogli načiniti pri unosu u registar. Ovo je posebno značajno jer
Poverenik, za razliku od slovenačkog, ima i obavezu da pre uspostavljanja zbirke
podataka i po prijemu prijave za upis u registar zbirki, proveri obradu podataka u
konkretnoj zbirci, da ne bi došlo do povrede podataka o ličnosti.15 Tu mogućnost
rukovaoci bi mogli iskoristiti, jer je za očekivati da ukoliko obaveštenja za upis
budu davali u poslednjim trenucima, pred isticanje roka, Poverenik, sasvim
praktično gledano, fizički neće moći da pregleda sve prijave. Kako rukovalac ima
dužnost da ažurira podatke u registru i svojim evidencijama zbirki podataka,
tako ima i prekršajnu odgovornost u slučaju nedostataka ili neažurnih unosa.
Prema članu 51, stav 1. rukovaoci podataka dostavljaju Povereniku novu
zbirku podataka 15 dana od dana uspostavljanja zbirke ili od izvršene promene.
Načelo ažurnosti ovde – kao i kod evidencija zbirki podataka – od rukovalaca
zahteva da redovno ažuriraju (up-date) kako evidencije tako i unose u registar
zbirki podataka. Pri tome će se u praksi, prilikom nadziranja rukovalaca, vero-
vatno pokazati da oni često ne brinu o ažurnosti zbirki i da će Poverenik morati
da preduzima mere u skladu sa ZZPL.

15 Vidi član 50. ZZPL.

92
 Kao i kod ažuriranja unosa u registar zbirki podataka rukovaoci poda-
taka Povereniku dostavljaju i prestanak svog postojanja (pravna lica i samostalni
preduzetnici).
Iz ugla slovenačkog i evropskog zakonodavstva neobična je, takođe odred-
ba člana 52, stava 6. ZZPL, koja određuje da Poverenik mora jednom godišnje da
objavi popis zbirki podataka u Službenom glasniku Republike Srbije. U odnosu
na količinu podataka verovatno bi bilo efikasnije da Poverenik izradi neki konci-
zan oblik registra zbirki, u suprotnom takav popis u Službenom glasniku RS može
se pokazati kao neefikasan (jer bi registar zbirki objavljen na internetu omogućio
daleko lakšu pretragu po stranama sajta Poverenika, nego po Službenom glas-
niku; takođe, registar objavljen u Službenom glasniku ne bi morao (s obzirom na
to da bi bio objavljen samo jednom godišnje) da bude tačan i ažuran, pre svega
(takođe sa finansijskog aspekta) bi bio neracionalan, jer bi veliki broj podataka u
Službenom glasniku verovatno prouzrokovao bitno veće troškove štampanja.
ZZPL u članu 52, stav 2 određuje da se Centralni registar sastoji iz registra
zbirki podataka i kataloga zbirki podataka. Budući da je zakon možda na ovom
mestu nerazumljiv, jer razdvaja dva slična, odnosno jednaka pojma s obzirom na
sadržaj Direktive EU 95/46, navedena direktiva je zadovoljena uspostavljanjem
zbirke podataka iz evidencija, kao što predviđa 1. stav 48. člana ZZPL. Šta bi
mogao biti pojam „katalog“, koji inače ZVOP–1 koristi jednako kao ZZPL po-
jam „evidencija“, verovatno će pokazati praksa Poverenika (ZZPL naime samo
određuje da katalog zbirki podataka sadrži opis evidentiranih zbirki podataka).
Nedvosmisleno, navedena direktiva zahteva da rukovaoci podataka u registar
dostavljaju podatke iz kataloga zbirki podataka, kao što predviđa član 51, stav
2. ZZPL, kao i (u vezi sa članom 49, stav 1. ZZPL) podatke iz člana 48. ZZPL.
Rukovaoci će ispuniti svoju zakonsku obavezu već time što će podatke iz člana
48. ZZPL proslediti Povereniku, a Poverenik će ispuniti svoju, kada uspostavi
Centralni registar zbirki prosleđenih podataka iz evidencija, slično kao što to
određuje ZVOP–1.16
Rukovaocima podataka, pretežno u javnom sektoru, rad bi mogao biti
olakšan odredbom člana 49. stav 2. ZZPL, koja predviđa da Povereniku ne treba
dostavljati prethodno obaveštenje o nameri uspostavljanja nove zbirke podataka
kao i o svakoj daljoj nameravanoj obradi u slučaju kada je posebnim propisom
odrešena svrha obrade, vrsta podataka koji se obrađuju, vrste korisnika, kojima
će podaci biti dostupni kao i vreme za koje će podaci biti arhivirani.
Poverenik će verovatno imati određenih problema pri određivanju pojma
„javna bezbednost“, koji u ZZPL uvodi član 52, stav 7. kao jedan od izuzeta-
ka kod uvida u registar zbirki podataka. Ako se nacionalna bezbednost i drugi
izuzeci već mogu (barem približno) izdvojiti iz pozitivnog zakonodavstva, javnu
bezbednost će biti teže definisati. U svetu se često, upravo na račun javne bez-

16 Vidi takođe http://www.ip-rs.si/?id=159.

93
bednosti, zadire u pravo privatnosti lica. Možda upravo zato što ona nije defini-
sana. Poverenika u takvim situacijama verovatno čeka težak posao, međutim
verovatno će tu odredbu tumačiti koliko je to moguće restriktivno, kao što se
tumače, takođe i drugi delovi ZZPL.
U pogledu toga da bi izuzetak od uvida u registar mogao zahtevati ruko-
valac podataka, naravno da postoji opasnost, da bi rukovaoci mogli zahtevati da
se uvid u neke podatke iz Centralnog registra onemogući i ako za njih inače ne
važe izuzeci navedeni u toj odredbi ZZPL. Već unapred treba rukovaoce upo-
zoriti da zahtevaju onemogućavanje uvida u podatke zaista samo u slučajevima,
koje predviđa član 52, stav 7. ZZPL, jer Poverenik još uvek može izuzetke
presuđivati na osnovu specijalnih zakona koji se odnose na određeni izuzetak
i uvid omogućiti po načelu lex specialis derogat legi generali, tako može zahtevu
rukovaoca presuditi po zakonima koji se odnose na podatke čije neotkrivanje
zahteva rukovalac.

94
 POVERENIK

ZNAČAJ I PRAKSA
Funkcija Poverenika u Republici Srbiji konkretizuje zahteve Direktive o
tome, da država mora da obezbedi samostalni nezavisni organ za zaštitu poda-
taka o ličnosti. Ta funkcija donosi Povereniku više obaveza nego prava. U prvom
redu potrebno je precizirati da će Poverenik verovatno morati da uloži mnogo
napora u predstavljanju ZZPL, jer kako su pokazala istraživanja, koja su pre dve
godine obavljena u cilju utvrđivanja stanja u oblasti pristupa informacijama od
javnog značaja,17 čiji je deo bio, takođe i utvrđivanje stanja u oblasti zaštite po-
dataka o ličnosti, ni javnost, a ni određeni državni organi nisu znali za posto-
janje ranije važećeg Zakona o zaštiti podataka o ličnosti.
Verovatno bi imalo smisla da se Poverenik, barem nekoliko meseci od
početka primene ZZPL, posveti pre svega preventivnom delovanju i ne podnosi
zahtev za pokretanje prekršajnog postupka, osim naravno, ako nastane štetna
posledica. Upravo preventivno delovanje se u Sloveniji pokazalo kao efikasnije
u odnosu na represivno delovanje. U okviru ovoga bi verovatno imalo smisla i
izvođenje preventivnih inspekcijskih nadzora, gde (po pravilu na poziv ruko-
vaoca) Poverenik obavi kompletan inspekcijski pregled, na kraju ne izriče sank-
cije, odnosno ne podnosi zahtev za pokretanje prekršajnog postupka. Takođe,
ova praksa se u Sloveniji pokazala efikasnom u oblasti preventivnog delovanja
Poverenika.

NADLEŽNOSTI POVERENIKA
Nadležnosti Poverenika ZZPL navodi u članu 44, te u nastavku slede pre-
poruke za određene tačke nadležnosti.

Nadzor nad sprovođenjem zaštite i

obezbeđenja podataka o ličnosti
Slično kao kod evidencija zakon neuobičajeno dva puta koristi izraz
„zaštita“ (i ako posredno), i to u tački 1. i 10, člana 44. Kako proizlazi iz navedenih
tačaka, 10. tačka odnosi se na generalno nadgledanje mera zaštite (što u praksi

17 Vidi: Pirc (ur.), Bien, Klemenc, Mišič, Mrak – Analiza Zakona o slobodnom pristupu
informacijama od javnog značaja sa istraživanjem o primeni zakona u praksi, Be-
ograd, CEELI, 2007.

95
verovatno znači i nadgledanje novih načina zaštite, pre svega elektronske), tačka
1. ovog člana primenjivaće se kada Poverenik bude sprovodio nadzor kod po-
jedinih rukovalaca podataka. Kako je upravo obezbeđenje podataka jedno od
najvažnijih poglavlja zakona, verovatno će Poverenik obezbeđenju podataka
posvetiti posebnu pažnju, te se rukovaocima preporučuje da obezbeđenje što pre
urede u skladu sa ZZPL, posebno u oblasti elektronske zaštite.18
Kako je pokazala slovenačka praksa, rukovaoci često pokušavaju da prikri-
ju nepravilnosti, zato bi nenajavljeni inspekcijski pregledi Poverenika verovatno
bili dobrodošli i pomogli bržoj implementaciji mera koje će biti u funkciji zaštite
podataka o ličnosti.
Takođe, izgovor kako rukovalac određena dokumenta „trenutno“ nema
kod sebe i da će ih poslati naknadno, često je samo izgovor kako bi rukovalac
izbegao moguće sankcije. Pošto će Poverenik pri sprovođenju nadzora verova-
tno biti dosledan, za rukovaoce važi preporuka da dokumenta pokažu prilikom
samog nadzora. Naknadno stvaranje dokumenata je, takođe moguće krivično
delo.
U pogledu obezbeđenja podataka verovatno će Poverenik Republike Sr-
bije morati, jednako kao i slovenački, da dosta vremena posveti uvođenju novih
tehnologija, koje sve više zadiru u privatnost lica, a ujedno ih je i sve više. Samo
kao primer navodimo biometriju, RFID, različite pametne kartice i sl. S obzi-
rom na to da su ljudi u načelu primorani da koriste nove tehnologije (što je sa
jedne strane naravno razumljivo i preporučljivo), ali često nisu svesni uticaja na
njihovu privatnost. Upravo iz tog razloga Poverenik bi morao u tim slučajevima
da bude neka vrsta regulatora, koji bi onemogućio prekomerno zadiranje u pri-
vatnost lica. Rukovaocima, sa druge strane, se preporučuje da prilikom uvođenja
novih tehnologija poštuju moguće uticaje na zaštitu podataka o ličnosti, jer bi
mogli ukoliko to ne učine da naprave prekršaj u skladu sa ZZPL.

Odlučivanje po žalbi u slučajevima navedenim u ZZPL

Poverenik će po ovoj tački delovati pre svega u slučajevima navede-
nim u članu 38. ZZPL. Iskustveno, Poverenik će najviše žalbi imati iz razloga
onemogućavanja uvida u vlastite podatke. Kako se pokazalo u slovenačkoj prak-
si, podnosioci često podnose prijave, iz kojih nije jasno, da li se radi o žalbi
po zakonu koji uređuje pristup informacijama od javnog značaja ili o žalbi
zbog onemogućavanja uvida u vlastite podatke. Slovenački Poverenik u takvim
slučajevima redovno postupa na način, da podnosioca naknadno pozove, utvrdi
po kom zakonu ulaže žalbu, i ukoliko se žali zbog ćutanja organa, preporuči or-
ganu prvog stepena, da primeni zakon koji je za lice povoljniji, tj. ZZPL ukoliko
neko evidentno želi uvid u vlastite podatke. Drugačiji je, na primer američki
način, gde dvosmislene prijave automatski obrađuju po sistemu koji žaliocu
18 Više u poglavlju o Obezbeđenju podataka.

96
omogućava upravo najveću količinu informacija, odnosno sprovedu takav pos-
tupak koji je za žalioca najpovoljniji. Koji način će odabrati srpski Poverenik,
praksa će pokazati.
Takođe, u slovenačkoj praksi često se događa, da žalilac neposredno od
Poverenika zahteva, da mu pribavi određene podatke. Takav način je naravno
pogrešan, jer žalilac prvo mora da zahteva pravo na obaveštenje neposredno od
rukovaoca, a u slučaju da mu on traženi uvid onemogući, može izjaviti žalbu
Povereniku.

Mišljenja o propisima i drugačija mišljenja

U početku treba istaći da je slovenačka praksa, u slučajevima kada Pove-
renik odgovara na različita pitanja lica u vezi sa zaštitom podataka, Povereniku
u prvom redu omogućila praksu i razmišljanje, pre nego što je teoretski problem
nastao u praksi. Takođe, za tri godine postojanja Poverenika skupilo se toliko
mišljenja, da je stvoreno veliko iskustvo koje je od pomoći kako Povereniku,
tako i rukovaocima podataka i licima na koje se podaci odnose. Isti pristup
preporučuje se i srpskom Povereniku, uprkos tome, što će u početku verovatno
biti preopterećen odgovorima na različita pitanja fizičkih lica i rukovalaca.
Takođe, savetuje se opreznost i vođenje računa prilikom usvajanja zako-
na. U ovom delu Poverenik ima velike mogućnosti da utiče na zakonodavstvo,
kako bi ono bilo u skladu sa zaštitom podataka o ličnosti, pre svega u skladu
sa načelima i odredbama Direktive. Koliki uticaj će Poverenik imati prilikom
davanja mišljenja izvršnoj vlasti kod pripreme zakona i zakonodavnoj vlasti kod
samog usvajanja, verovatno primarno zavisi upravo od Poverenika kao autoriteta
na srpskoj političkoj sceni.
Pohvalno je da je autor ZZPL u zakon uneo, da Poverenik daje mišljenje u
vezi sa uspostavljanjem novih zbirki podataka, pre svega u slučajevima novih in-
formacionih tehnologija u okviru obrade podataka. To Povereniku omogućava,
da stvarno utiče na upotrebu novih tehnologija u okviru obrade podataka. Kako
je već navedeno u nekim poglavljima ovog dela, pravo je uvek korak iza novih
tehnologija. Upravo ta odredba, navedena u članu 44, stav 1, tačka 7. ZZPL,
omogućiće Povereniku da smanji raskorak između postojeće i novih tehnolo-
gija. Bez dvoumljenja razmišljanje o novim tehnologijama i njihovom zadira-
nju u privatnost neće biti jednostavno i verovatno će često biti potrebno u to
uključiti stručnjake iz oblasti određene struke. Ipak, Poverenik ima izvanrednu
mogućnost, koju većina drugih nadzornih organa nema, kao izričito naglašene
u zakonima, da stvara novu praksu iz domena tehnologija. Koliko će biti ta
mišljenja uvažavana u praksi, drugo je pitanje. Takođe, na to će verovatno uticati
i autoritet Poverenika, koji će ostvariti u Srbiji.

97
Prava Poverenika
Prava Poverenika, utvrđena članom 45. stav 1. ZZPL su široka i u skladu su
sa Direktivom i opštim smernicama u oblasti zaštite podataka o ličnosti. Logičko
zaključivanje nam ukazuje, da Poverenik mora da ima pristup svim dokumen-
tima, potrebnim za obavljanje posla, u suprotnom ne bi mogao izvršavati svoje
zadatke na način kako to određuje ZZPL.
U vezi sa uvidom u tajne podatke potrebno je naglasiti, da Poverenik, već
na osnovu zakona i funkcije koju obavlja, ima pravo uvida u tajne podatke, dok
ovlašćena lica Poverenika moraju za to da dobiju dozvolu, kao što je uređeno
propisima o tajnim podacima.
Hipotetički posmatrano, može se dogoditi da državni organi, usled vlas-
titih interesa, Povereniku onemoguće uvid u dokumente, koje označe kao neke
od izuzetaka iz stava 2. navedenog člana ZZPL, o čemu je napred bilo više reči.
ZZPL u članu 45, stav 3. i 4, možda donekle ublažava stav 2. istog člana,
međutim ostavlja mogućnost državnom organu da u roku od 16 dana (8 dana
za podnošenje zahteva Vrhovnom kasacionom sudu i 8 dana za donošenje od-
luke predsednika ovog suda – ovaj zadnji je samo instrukcijski rok i pitanje je,
da li će ga se predsednik suda pridržavati), sa dokumentom manipuliše i u naj-
gorem slučaju, sasvim uništi sporne podatke o ličnosti sadržane u dokumentu.
Zakon određuje da predsednik Vrhovnog kasacionog suda donese mišljenje, što
je sasvim nejasno, a znači da organ može mišljenje poštovati ili ne. Rukovao-
cima podataka se preporučuje da poštuju pravo na zaštitu podataka o ličnosti,
jer je, kao što je već pomenuto u ovom delu, reč o jednom od osnovnih ljudskih
prava. Povereniku se preporučuje da posebnu pažnju posveti nadzoru upravo
nad takvim dokumentima.
Povereniku se, takođe preporučuje, da najznačajnije slučajeve sam objavi
u javnosti (naravno uz poštovanje odredbi ZZPL i na način koji donosi što man-
ju štete rukovaocu), jer će time prouzrokovati pritisak na rukovaoce podataka,
koji ne žele loš ugled u javnosti. Slovenačko iskustvo je pokazalo, da je medijsko
pojavljivanje Poverenika, doprinelo većoj osetljivosti novinara na zloupotrebe
podataka o ličnosti. Tako da sami novinari upozoravaju Poverenika na svakod-
nevne prekršaje.

98
 NADZOR

Nadležnosti Poverenika
Kao što proizilazi iz člana 54. ZZPL, nadzor nad sprovođenjem ovog za-
kona vrši Poverenik i ovlašćena lica Poverenika. U praksi srpskog Poverenika
verovatnoće se pokazati (slično slovenačkom iskustvu), da je oblast zaštite po-
dataka o ličnosti obimna, koja – uprkos kratkom zakonu – može biti previše
složena, pre svega u stvaranju prakse u ovoj oblasti. Zakon naime izričito ne
određuje, da Poverenik mora da obrađuje i anonimne prijave, ali u smislu da je
reč o jednom od osnovnih ljudskih prava, drugu mogućnost osim obrade, pozi-
tivno zakonodavstvo zapravo ne dozvoljava.
U pogledu legitimacije, odnosno službene isprave, poseban oblik vero-
vatno nije potreban. Ipak treba preporučiti, da ona sadrži određene elemente,
koji su se u slovenačkoj praksi pokazali kao korisni. Nedvosmisleno, legitimacija
mora da sadrži fotografiju, a pored toga preporučljivo je, da se u njoj navede i
zakonski osnov po kom Poverenik ili ovlašćeno lice Poverenika sprovodi nad-
zor.
Povereniku će verovatno od velike pomoći biti odredba člana 55. ZZPL,
koja rukovaocima podataka nalaže obavezu, da Povereniku moraju da omoguće
vršenje nadzora i uvid u potrebnu dokumentaciju. S obzirom da je nepoštovanje
ove odredbe, takođe sankcionisano (član 57, stav 1, tačka 16. ZZPL), Poverenik
verovatno neće imati većih problema.
Poverenik, odnosno ovlašćena lica, naravno ne smeju obrađivati samo po-
datke iz prijave, već moraju po redovnoj dužnosti utvrditi sve činjenice i okol-
nosti potrebne za donošenje odluke.
U pogledu postavljenog roka za otklanjanje nepravilnosti (vidi član 56, stav
2, tačka 1 ZZPL) preporučuje se da Poverenik uvažava okolnosti slučaja i realan
rok za otklanjanje nepravilnosti (npr. potrebno je izvođenje javnog konkursa koji
je bio poništen – prekratak rok bi za takvog rukovaoca bilo nemoguće ispuniti) i
– pre svega, ukoliko štetne posledice nisu nastale – omogući rukovaocu duži rok
za ispunjenje obaveze. Konačno, svrha ZZPL je upravo u tome, da se uredi pro-
tivpravno stanje u oblasti zaštite podataka o ličnosti. Prekratak rok za ispunjava-
nje obaveza verovatno ne bi postigao taj cilj ili ga ne bi postigao u potpunosti.
Prema slovenačkoj praksi, u slučaju upravnog spora protiv rešenja Pove-
renika, moglo bi se očekivati da Upravni sud možda i nema previše sudske
prakse iz oblasti zaštite podataka o ličnosti. Zato se savetuje da odluke budu do-
bro i detaljno obrazložene u pogledu stvarnog stanja i pravnog osnova, imajući
u vidu da primena ovog zakona nije nimalo jednostavna.

99
 KAZNENA POLITIKA

Već na početku se preporučuje da Poverenik kaznenu politiku prilago-

di preventivnom delovanju. To će verovatno biti najpotrebnije u prvoj godini
primene zakona. Konačno, radi se o jednom od osnovnih ljudskih prava, koje
uživa lice, i svrha ZZPL je upravo uređenje stanja u oblasti zaštite podataka o
ličnosti.
S obzirom na član 56, stav 5 ZZPL Poverenik može podneti samo
prekršajnu prijavu i kako se navodi o izricanju sankcije neće odlučivati on, već
drugi prekršajni organ, odnosno sud, u nastavku ovog poglavlja preporuke se
odnose pre svega na predstavljanje stvarnog stanja i na predloge Poverenika
sudu u pogledu odmeravanja sankcije.
Poverenik, barem u početnoj fazi važenja ZZPL, od rukovaoca podataka
teško može očekivati njegovo poznavanje. Potrebno je imati na umu, da ruko-
vaoci moraju da poštujui veliki broj drugih propisa, npr. poreski, životna sredina,
marketinški... Upravo zato ponovo se preporučuje, da se Poverenik ograniči na
preventivno delovanje. Bez dvoumljenja, kako pokazuju slovenačka iskustva, kao
jedan od oblika preventivnog delovanja, biće i neformalni inspekcijski pregledi,
gde Poverenik na osnovu molbe rukovaoca izvrši „običan“ inspekcijski pregled,
ali da tom prilikom ne izriče sankcije, već samo preporuke za odklanjanje ne-
pravilnosti. Naravno da je to diskreciono pravo i izraz dobre volje Poverenika,
savetujemo da Poverenik takve preglede obavlja pre svega kod najvećih rukova-
laca podataka o ličnosti.
Kako proizilazi iz slovenačke prakse, preventivna politika delovanja Pove-
renika se dobro pokazala, i u tome što je slovenački Poverenik u načelu izricao
samo upozorenja i opomene rukovaocima, jer štetna posledica nije nastala. Pove-
renik, međutim izriče sankcije u slučajevima kada štetna posledica nije nastala,
ali lice ne postupa u skladu sa uputstvima Poverenika u roku koji je odredio
Poverenik.
U pogledu prekršaja, potrebno je upozoriti, takođe na one odredbe ZZPL,
koje predviđaju da su rukovaoci podataka obavezni da izvrše neke radnje pre
samog izvođenja posla, npr. da uspostave evidenciju zbirke podataka pre samog
nastanka zbirke podataka (takav primer bi došao u obzir po isteku 12-mesečnog
roka za uređenje te oblasti19). Klasičan primer, naveden u slovenačkom ZVOP–1
je, da rukovalac podataka, pre uvođenja biometrije, mora da dobije odluku Pove-
renika. Rukovaocima, koji su biometriju uveli pre početka važnosti ZVOP–1,

19 Vidi: član 61. ZZPL.

101
ne možemo izricati sankcije, jer su postupali u skladu sa tada važećim zakono-
davstvom. Međutim, ne znači, da je trenutno izvođenje biometrije u skladu sa
ZVOP–1. Poverenik još uvek može odlukom naložiti podnošenje prijave za do-
bijanje odluke Poverenika za uvođenje biometrije, međutim protiv rukovaoca ne
može pokrenuti prekršajni postupak, jer rukovalac nije postupio suprotno za-
konu, koji je predstavljao pozitivno–pravni propis u vreme uvođenja biometrije
kod rukovaoca, što opet znači da je oslobođen samo prekršajne odgovornosti,
ali ne obaveze usklađivanja svog delovanja u skladu sa novim zakonom. On bi
naravno nastao u slučaju kada rukovalac podataka ne bi izvršio opisane odluke
Poverenika.
ZZPL u članu 61. kao jedini izuzetak u odnosu na prethodne odredbe
određuje, da su rukovaoci dužni da u roku od 12 meseci od stupanja na snagu
zakona, uspostavljene zbirke i evidencije zbirki podataka usaglase sa zakonom
i da evidencije zbirki dostave Povereniku radi upisa u Centralni registar. zbirki
podataka. Ovde Poverenik može, po isteku zakonom propisanog roka, pokrenuti
prekršajni postupak odmah po isteku tog roka.

102
 OBLASTI ZAŠTITE PODATAKA O LIČNOSTI,
KOJA ĆE ZAHTEVATI NAJVIŠE REGULACIJE
I RADA POVERENIKA

Prema iskustvima slovenačkog Poverenika za informacije, mnogo

pitanja i nadzora biće potrebno sprovesti u oblasti radnih odnosa, posebnu
pažnju treba posvetiti, i krađama identiteta i u vezi sa tim nenadziranim fo-
tokopiranjem ličnih dokumenata. Ovim temama smo zato posvetili nešto
više pažnje.

POVREDE PRAVA IZ RADNOG ODNOSA

UVOD

Kako se pokazalo u Sloveniji, Poverenik dobija najviše prijava iz oblasti

radnih odnosa. Može se primetiti, da se u većini slučajeva radi o sporu između
poslodavca i jednog ili više zaposlenih, na primer u slučaju otpuštanja radnika.
Kao što će verovatno primetiti i srpski Poverenik, većina takvih slučajeva proi-
zlazi iz neke „zle namere“ jedne ili druge strane.
Bez obzira na navedeno u prethodnom stavu, upravo zbog velikog broja
prijava iz ove oblasti, razvila se bogata praksa slovenačkog Poverenika.
Potrebno je posebno upozoriti na bitno drugačije pravno uređenje u
pogledu nadzora zaposlenih u SAD i u Evropi. Dok u SAD zakonodavstvo
omogućava poslodavcu bitno veća zadiranja u prava na privatnost zaposlenog
na radnom mestu, evropska praksa, pre svega praksa Evropskog suda za ljudska
prava (ESLJP) ukazuje na restriktivno tumačenje ove oblasti.

Presude ESLJP
Bez dileme, Povereniku će od velike pomoći biti praksa ESLJP, koja naime
nije tako bogata kao u nekim drugim oblastima, ali i takva je izuzetno korisna u
svakodnevnoj praksi. Iz praktičnih razloga samo najvažnije presude su navedene
u ovom poglavlju.

103
Copland v. Ujedinjenog Kraljevstva20
Podnosilac Lynette Copland je zastupala tvrdnju kršenja člana 8. i 13. Ev-
ropske konvencije o ljudskim pravima, jer joj je poslodavac na koledžu nadzirao
telefonske razgovore, elektronsku poštu i korišćenje interneta.
Sud je u ovom slučaju odlučio, da je prikupljnje i čuvanje podataka o
ličnosti, koji su se odnosili na telefonske razgovore, kao i na elektronsku poštu i
korišćenje interneta, bez njenog znanja, kršilo njena prava na poštovanje privat-
nosti, te da je takav nadzor bio kršenje člana 8. EKLJP.
Sud naime nije isključio mogućnost nadzora korišćenja telefona i elektron-
ske pošte na radnom mestu zaposlenog, ukoliko je to potrebno, u demokratskom
društvu u određenim situacijama, koje moraju kao posledicu imati zakonit cilj.
U konkretnom slučaju sud je ocenio da je nadzor bio nepotreban.
Ključni element presude je u tome, da zaposlena nije bila unapred upo-
zorena, kada i u kojim slučajevima poslodavac može da nadzire elektronsku
poštu.

Halford v. Ujedinjenog kraljevstva21

U ovom slučaju policija je nadzirala službeni telefon jedne od svojih za-
poslenih, u cilju prikupljanja materijal za svoju odbranu u postupku zbog dis-
kriminacije.
ESLJP je odlučio, da takav postupak predstavlja kršenje prava na privat-
nost zaposlene na radnom mestu, izuzetno važan je bio stav Suda da zaposleni
mogu, i na radnom mestu opravdano očekivati privatnost, ukoliko je to njegovo
očekivanje opravdano.

Presuda francuskog kasacionog suda

Zanimljiva je, takođe presuda kasacionog suda u Francuskoj br. 99–42.942
iz 2001. godine, koja ne spominje formalni pravni izvor, ali je zanimljiva zbog
pozicije koju je zauzeo taj sud. Između ostalog je naime pisalo, da „poslodavac,
koji čita poruke, koje zaposleni šalje ili prima preko službenog računara, krši osnovna
prava radnika, koja određuje član 8. Evropske konvencije o ljudskim pravima... To važi
bez obzira da li je zaposleni bio unapred upoznat da službeni računar ne sme koristiti
u neslužbene svrhe... Preduzeće ili druge ustanove ne smeju biti mesta, gde će poslo-
davci proizvoljno i bez ograničenja sprovoditi svoja diskreciona prava; ne smeju postati
područja totalnog nadzora, gde osnovna ljudska prava nemaju značaja... Pomenimo,
da je opšta potpuna zabrana upotrebe e-pošte u neslužbene svrhe nerealna i krši pravno
načelo srazmernosti.“

20 Application No 62617/00, presuda od 3. 4. 2007.

21 (20605/92) [1997] ECHR 32 (25 6. 1997)

104
 Sud se tako pozivao upravo na kršenje načela srazmernosti, što znači, da
je čak zauzeo strožiju poziciju, nego što ju je zauzeo ESLJP.22

OSNOVNA PRAVILA PRAVA NA PRIVATNOST

NA RADNOM MESTU
Slovenački Poverenik je na osnovu bogate prakse iz oblasti privatnosti na
radnom mestu, u 2009. godini sačinio 5 zlatnih pravila, koja bi trebali poštovati,
kako poslodavci tako i zaposleni na radnom mestu. Kako bi ona mogla biti od
pomoći i srpskom Povereniku, navodimo ih i objašnjavamo u ovom poglavlju.
1. pravilo
Poslodavac može od zaposlenog sakupiti i dalje obrađivati samo toliko po-
dataka o ličnosti, koliko je to nužno potrebno za izvršavanje prava i obaveza iz
radnog odnosa i koliko određuje zakonodavstvo.
2. pravilo
Radnik, takođe na radnom mestu ima pravo na privatnost srazmerno za-
konskom cilju, kojem poslodavac teži.
3. pravilo
Svaku obradu podataka u okviru radnog odnosa je potrebno izvršavati što
je moguće restriktivnije, međutim nije dozvoljena obrada pod prinudom.
4. pravilo
Za podatke o ličnosti, koji nisu obuhvaćeni u 1. pravilu, potrebno je obez-
bediti pristanak zaposlenog, ali ne pod prinudom.
5. pravilo
Zadiranje u privatnost zaposlenog na radnom mestu moguće je izvesti
samo ako dođe do kolizije sa nekim drugim ustavnim pravom, koje u konkret-
nom slučaju prevlada.

1. Pravilo
Jasno da je poslodavac, uprkos drugačijim formalnim opredeljenjima, u
radnom odnosu jača strana od zaposlenog. Upravo zbog toga ima i monopol
moći nad njim. Zato je poslodavca potrebno ograničavati, takođe i prilikom
prikupljanja podataka o ličnosti. Poslodavac tako može obrađivati samo one

22 Kovačič, http://matej.owca.info/workplace.html, čak navodi priznatog američkog soci-

ologa, koji se bavio oblašću privatnosti, Amitaija Etzionija, koji smatra, da špijuniranje
elektronske pošte zaposlenih umanjuje timski osećaj na radnom mestu, što u konačnoj fazi
možda čak više šteti preduzeću, nego da preduzeće zaposlene uopšte ne nadzire.

105
podatke o ličnosti koji su zaista neophodni za postizanje ciljeva iz ugovora o
radu. Potrebno je biti posebno pažljiv kod osetljivih podataka, kao što su npr.
zdravstveno stanje (slovenački Poverenik tako npr. ne dozvoljava poslodavcu da
od zaposlenog zahteva otkrivanje dijagnoze, dobijanje nalaza i sl. već je dovoljno
samo obaveštenje izabranog lekara o odsutnosti sa posla i režimu kretanja za-
poslenog za vreme bolovanja), podatke o broju dece (ukoliko ih zaposleni nema
osiguranih preko njega), članstvo u sindikatu, polna orijentaciji, versko ubeđenje
i sl.
Bez obzira na navedeno zaposleni, na osnovu (novog) izričitog pristanka
može otkriti i proslediti poslodavcu određene podatke, koji su potrebni za pos-
tizanje nekih dodatnih prava, koja nisu nužno neposredno povezana sa radnim
odnosom, odnosno ti podaci mu omogućuju povoljniji položaj u određenim
situacijama (npr. ako firma odluči da otpusti više radnika, a pri tome socijalno
siromašnijima omogući da budu otpušteni među poslednjim ili im nudi neku
dodatnu pomoć, onda je u interesu radnika da te podatke otkrije).
Isto pravilo važi i prilikom nadzora bolovanja uz pomoć detektiva. Poslo-
davac, kao rukovalac podataka o ličnosti, može taj posao preneti na ugovornog
obrađivača, u konkretnom slučaju detektiva. On od zaposlenog ne sme zahtevati
dijagnozu, uzroke bolesti i sl., ali ima pravo i može da proveri da li se zaposleni
pridržava uputstava lekara ili ne. Značajno, kod ugovorne obrade je da ugovorni
obrađivač ne može imati više prava nego što ih ima rukovalac podataka.

2. Pravilo
Neka američka istraživanja su utvrdila, da firme koje zaposlenima
omogućavaju više privatnosti na radnom mestu, na duži rok imaju manje izos-
tanaka zbog odmora i bolovanja. Potpuno je jasno da će takav podatak Pov-
ereniku pomoći u odgovorima na očekivane pritužbe poslodavaca, da imaju
pravo da u potpunosti izvršavaju svoja vlasnička prava nad sredstvima za rad, te
zaposlenima ne dozvoljavaju izvršavanje prava na privatnost.
U skladu sa ovim pravilom slovenački Poverenik rukovaocima podataka
savetuje, da moraju u skladu sa gore navedenim presudama ESLJP zaposlene
upozoriti na bilo kakav nadzor nad njima (npr. telefonski pozivi, GPS uređaji u
vozilima i sl.). Potrebno je, ukoliko zaposleni elektronske uređaje može koristiti
i u privatne svrhe, zaposlenom omogućiti da na lak ili jednostavan način takav
uređaj isključi, kada stupi u područje privatnosti.
Verovatno će se i u praksi srpskog Poverenika pojaviti slučaj, kada će
poslodavac hteti da utvrdi koga je zaposleni pozivao u radno vreme i time poslo-
davcu pričinio štetu. U ovakvim slučajevima slovenački Poverenik smatra, da
poslodavac može dobiti izvod telefonskih poziva (uostalom obično je nosilac
pretplate), međutim ispisane telefonske brojeve ne sme upoređivati sa adresama
u imeniku, odnosno utvrđivati kome telefonski broj pripada, jer bi time zalazio
čak u pravo na zaštitu podataka lica kojima telefonski brojevi pripadaju.

106
 Najbolje rešenje, koje podržava i ESLJP, je da poslodavac unapred odredi
iznos do kog zaposleni može koristiti telefon, a razliku bi plaćao sam. Slično je
kod upotrebe interneta – poslodavac tako unapred blokira one strane koje zapos-
leni ne sme posećivati, odnosno dozvoli samo one sajtove koje zaposleni može
koristiti.

3. Pravilo
Takođe, i u ovom pravilu primenjujemo stanovište da je zaposleni u
poređenju sa poslodavcem slabija strana, te je odredbe ZZPL potrebno tumačiti
izuzetno restriktivno.
Svaki nadzor zaposlenih (npr. video nadzor, biometrija) mora biti opravdan
i unapred saopšten zaposlenima.

4. Pravilo
Problem kod pristanka zaposlenog (kao i kod drugih lica na koja se po-
daci odnose), je u tome, da će Poverenik u nekim slučajevima izuzetno teško
utvrditi da li je zaposleni stvarno dobrovoljno dao pristanak ili ga je poslodavac
na to jednostavno prisilio. Povereniku se zato preporučuje da iskoristi prava koja
ima po zakonu koji uređuje upravni postupak, te sasluša svedoke – zaposlenog,
druge zaposlene i sl. Ovo iz razloga što svedok može biti krivično odgovoran
zbog lažnog svedočenja.
Konačno, Poverenik će verovatno kroz praksu brzo prepoznati slučajeve
kada poslodavci budu pogrešno ili lažno navodili i dokazivali pristanak lica.
U slovenačkoj praksi Poverenik izričito zahteva da pristanak mora da
bude izričit i u skladu sa definicijom izjave volje, kako je u Sloveniji definiše
Obligacioni zakonik.

5. Pravilo
U vezi sa ovim pravilom potrebno je pre svega napomenuti nadzor nad
korišćenjem službene elektronsle pošte (Inbox, Outbox slovenački Poverenik ubra-
ja u zbirke podataka o ličnosti) i interneta od strane zaposlenih. Prvenstveno je
potrebno istaći da poslodavac ni pod kojim uslovom nema pravo uvida u pri-
vatnu elektronsku poštu zaposlenog (npr. nalog otvoren na gmail, yahoo, msn...).
Slovenački Poverenik, u slučajevima kada poslodavac očekuje da će mu službena
elektronska pošta trebati u službene svrhe (npr. sklapanje ugovora, slanje pon-
uda...), savetuje, da se poslodavac i zaposleni prethodno pismeno dogovore oko
načina korišćenja elektronske pošte. Pravila, unapred moraju biti jasna. Uprkos
takvom dogovoru zalaženje u komunikacijsku privatnost zaposlenog mora da
bude opravdano za konkretan slučaj ispitivanja navodnih prekršaja zaposlenog,
svakako u skladu sa načelom srazmernosti.
U slučajevima kada zaposlenom prestane radni odnos, praksa je da poslo-
davac ima potrebu za podacima iz elektronske pošte zaposlenog. Slovenački Pov-

107
erenik u takvim slučajevima savetuje da se formira komisija, koju čine posloda-
vac i zaposleni (moguće je i predstavnik sindikata) i zajedno pregledaju računar
i elektronsku poštu zaposlenog. Time se obezbeđuju oba prava – na jednoj stra-
ni pravo zaposlenog na očekivanu privatnost, na drugoj strani vlasničko pravo
poslodavca, na taj način se poslodavac obezbeđuje da zaposleni ne obriše za
njega bitnu elektronsku poštu.
Ako poslodavac utvrdi da kod upotrebe službene elektronske pošte pos-
toji sumnja kažnjivog postupka ili prekršaja, slovenački Poverenik rukovaocima
podataka preporučuje, da odmah pozovu policiju ili inspekcijski organ koji će
dokaze zaštititi u skladu sa pravilima dokazivanja u elektronskom svetu. Ako bi
poslodavac sam kopirao ili obrađivao bilo kakve podatke, takvi dokazi ne bi bili
nužno upotrebljivi (elektronski trag), u postupku bi gotovo sigurno bili isključeni
kao nezakonito pribavljeni. Ustav Republike Srbije, u članu 41. predviđa da je
tajnost pisama i drugih sredstava komunikacije nepovrediva, odstupanja su doz-
voljena samo na određeno vreme i na osnovu odluke suda, ako su neophodna
radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način
predviđen zakonom. Ukoliko bi poslodavac sam pregledao elektronsku poštu za-
poslenog moguće je da time krši i Ustav, i takav dokaz, kao što je navedeno,
verovatno bi bio smatran za nezakonit.
U zaključku ovog poglavlja ističemo još 10 najčešćih kršenja ZVOP–1 u
oblasti radnih odnosa, koje je slovenački Poverenik naveo u okviru pomenutih
pet zlatnih pravila. Oni će verovatno Povereniku biti od pomoći pri otkrivanju
nepravilnosti kod sprovođenja nadzora nad rukovaocima (neki se, naime odnose
na specifičnu uređenost slovenačkog ZVOP–1, međutim mogu u praksi Pove-
reniku pružiti značajnu pomoć):
1. pregledanje elektronske pošte zaposlenih i nadzor nad upotrebom inter-
neta;
2. pribavljanje zdravstvenih podataka o zaposlenima;
3. nepravilno sprovođenje video nadzora bolovanja (pre svega ugovorna
obrada od strane detektiva);
4. neopravdan video nadzor radnih prostorija;
5. poslodavci pismenim putem ne obaveste zaposlene o uvođenju video nad-
zora;
6. poslodavci ne obezbeđuju odgovarajuće zbirke podataka o ličnosti zapos-
lenih;
7. neopravdano praćenje zaposlenih sa GPS uređajima, mobilnim telefonima
i sl.;
8. neopravdan nadzor nad telefonskim pozivima zaposlenih;
9. poslodavci ne omogućavaju zaposlenom, da se upozna sa vlastitim po-
dacima;
10. prekomerno prikupljanje podataka zaposlenih.

108
 KRAĐA IDENTITETA

ŠTA JE KRAĐA IDENTITETA?

Krađa identiteta je definisana kao upotreba podataka o ličnosti, odnos-
no identiteta nekog drugog sa ciljem pribavljanja neke koristi ili inkriminaci-
ja drugog lica.
U Sloveniji je krađa identiteta, novim Krivičnim zakonikom definisana kao
krivično delo, kojim počinilac pribavlja određene značajne podatke o ličnosti,
kao što su na primer brojevi ličnih dokumenata, zajedno sa jednoznačnim iden-
tifikatorima, kao što su u našem pravnom poretku JMBG i poreski broj, u cilju
pribavljanja lične, a ne samo imovinske koristi. Štetne posledice takvog krivičnog
dela, ne obuhvataju samo pribavljanje imovinske koristi, već i druge koristi (na
primer ulaz u određene prostorije).
Krađa identiteta, za lice kome je identitet ukraden može imati neopisive
posledice, iz razloga što to lice može biti okrivljeno za dela koja nije počinilo. Iz
tog razloga, mnoge države, među kojima je i Slovenija, su već donela zakone koji
krađu identiteta svrstavaju u krivična dela.
Krađa identiteta predstavlja posebnu vrstu ozbiljnog i nepovratnog
zalaženja u privatnost, odnosno u zaštitu podataka o ličnosti. Na žrtve, krađa
identiteta može uticati takvim intenzitetom, koji se može porediti sa posledi-
cama drugih nasilnih krivičnih dela, protiv života i tela ili imovine. Krađa ident-
iteta se ne odnosi samo na imovinsko pitanje (npr. pražnjenje računa u banci,
prodaja hartija od vrednosti...), već zadire u privatnost žrtve, čak su zabeleženi
slučajevi kada je licu oduzeta sloboda zbog sumnje da je počinio krivično delo
(pre svega kod krađe biometrijskih podataka, npr. otiska prsta). Kao zanim-
ljivost navedimo da Federalna komisija za trgovinu u SAD (FTC) u godišnjim
izveštajima o žalbama potrošača, svake godine objavljuje pregled najčešćih žalbi.
Već nekoliko godina (prošle godine sedmi put uzastopno) na prvom mestu se
nalazi krađa identiteta.
Uz pomoć različitih načina pribavljanja podataka o ličnosti, počinilac
počinje da se predstavlja kao neko drugi, te u njegovo ime stupa u različite pravne
odnose (npr. zaposlenje, dobijanje određenog obrazovanja, dobijanje ličnih do-
kumenata...). Iz tog razloga krađa identiteta nije samo zloupotreba određenog
podatka o ličnosti, jer je uvek u vezi sa tim da počinilac pridobije određenu
korist. Pri tome ne radi se samo o pravu na zaštitu podataka o ličnosti, već i
druga prava, koja proizlaze iz šireg prava na privatnost, kao na primer zaštita
tajnosti pisama i drugih sredstava komuniciranja –član 37. Ustava RS (Republika

109
Slovenija). Na udaru su takođe i prava lica, pre svega pravo na lično dostojan-
stvo, jer žrtve takvog dela snose posledice usled gubitka dobrog imena, ugleda,
časti, odnosno doživljavaju stalna emocionalna uzbuđenja jer je krađa određenih
podataka o ličnosti nepopravljiva (npr. krađa biometrijskih podataka, krađa
jednoličnog identifikatora).
Kod krađe identiteta poznajemo više vrsta napada:
• u pogledu lica, koje vrši napad (napad može vrši ovlašćeno ili
neovlašćeno lice),
• U pogledu toga, da li su podaci ukradeni iz zbirke podataka ili tokom
prenosa kroz mrežu (neposredni napad na nosače čuvanih podataka
ili medije za prenos podataka; postoji takođe i mogućnost krađe
podataka prilikom skeniranja dokumenata iz analognog u digitalni
oblik),
• U pogledu motiva (finansijska krađa identiteta, kriminalna krađa
identiteta i preuzimanje identiteta u svakodnevnom životu),
• U pogledu izabrane metode (poznajemo tehničke i ne-tehničke me-
tode).

NAČINI NA KOJE KRADLJIVCI IDENTITETA

IZ INTERNET MREŽE PRIBAVLJAJU PODATKE O LIČNOSTI
Identitet druge osobe može se nezakonito pribaviti na različite načine u
zavisnosti, pre svega od opšteg nivoa zaštite l podataka o ličnosti u određenoj
firmi, odnosno pravnom poretku. Pripremne radnje za to krivično delo obuh-
vataju različite vrste kažnjivih i nekažnjivih delovanja: krađa novčanika sa ličnim
dokumentima, prisluškivane elektronske poruke, računarski virus, tkz. phishing,
pharming, dobijanje određenih podataka na prevaru, čak i traženjem podataka o
ličnosti bačenih u smeće (dumpster diving) i sl.
Kako su zloupotreba podataka o ličnosti i krađa identiteta u velikoj meri
povezani sa razvojem informaciono-komunikacionih tehnologija, u nastavku
dajemo objašnjenje najčešćih načina pribavljanje podataka o ličnosti iz internet
mreže.

Pecanje (phishing)
Izraz pecanje podataka (phishing) nastao je iz engleskih reči za lozinku
(password) i pecanje (fishing). Radi se o nezakonitom načinu obmane korisnika,
kojim prevarant pokušava pomoću lažnih internet stranica i elektronskih poru-
ka da od korisnika na bilo koji način izvuče njihove podatke, kao što su: broj
kreditne kartice, korisnička imena i lozinke, digitalne potvrde i ostale podatke o
ličnosti. Tom prilikom se koriste različite tehnike koje spadaju u domen tkz. soci-
jalnog inženjeringa. U pravilu najpre postave lažnu internet stranicu, koja je ve-

110
oma slična pravoj, nakon toga vas pomoću lažne elektronske poruke pokušavaju
da navedu da posetite tu stranicu, ili da odmah pridobiju vaše podatke putem
odgovora na tu poruku.
Radi se o slučaju, kada počinilac pošalje elektronsku poruku koja izgleda
kao prava poruka banke. U poruci će pošiljalac navesti, da je došlo do proble-
ma sa korisnikovim bankovnim računom, zbog čega ga mole da im pošalje broj
računa, odnosno korisničko ime i lozinku. Ukoliko bi korisnik na takvu poruku
odgovorio, postao bi žrtva internet prevare.

Pharming napadi
Pharming napadi (reč je o kovanici engleskih reči farming i pharmacy, a
odnosi se na tehniku genetskog inženjeringa, u svetu interneta bi mogli govo-
riti o inženjeringu adresa internet lokacija), su za korisnika veoma opasni, jer
ih je teško prepoznati. Glavna razlika između phishing-a i pharming-a je u tome,
što se kod pharming-a radi više o tehničkom napadu, dok je tehnika socijalnog
inženjeringa ona na kojoj se zasniva pecanje podataka. Po pravilu radi se o
neposrednom napadu na DNS server ili o napadu na određenu datoteku koja se
nalazi u računaru korisnika (reč je o tzv. datoteci domaćinu, odnosno host file,
gde se nalaze podaci o URL i domenima). Korisnik je u tim slučajevima uveren
da se nalazi na pravoj strani, jer je otkucao pravi URL naslov strane, u stvari ga
je jedan od pomenutih načina napada preusmerio na lažne strane, a da se pri
tome nije promenila URL adresa u prozoru pretraživača. Korisnik naravno u
tom pogrešnom ubeđenju ima dovoljno samopouzdanja da unese svoje podatke
u obrasce, koji se nalaze na takvim stranama.

Socijalni inženjering
Socijalni inženjering je skup tehnika napadača koje služe ubeđivanju ko-
risnika ili administratora sistema da mu izda autentične podatke, sa kojima se
zatim nezakonito prijavljuje u sistem. Socijalni inženjering zasniva se na tzv.
kognitivnim odstupanjima i koristi reagovanja ljudi u određenim situacijama
(npr. pod pritiskom). Izvođači socijalnog inženjeringa uz pomoć veština kojima
vladaju, preuzimajući identitete drugih ljudi mogu veoma uspešno da pribave
važne podatke. Verovatno najpoznatiji haker Kevin Mittnick, je bio poznat up-
ravo po sposobnosti dobijanja podataka od ljudi. Za socijalni inženjering mogu
biti veoma korisne internet strane namenjene druženju (npr. Facebook), gde
ljudi sami o sebi objavljuju brojne podatke o ličnosti, koji napadaču omogućuju
bolje upoznavanje žrtve i time predviđanje njenih reakcija.

Virusi i crvi
Virusi predstavljaju štetne kodova koji žive unutar datoteka kao što su npr.
datoteke obrađivača tekstova Word, obrađivača tabela Excel i ostalih. Prilikom
otvaranja zaražene datoteke virus se raširi i zarazi ostale datoteke u računaru.

111
 Crvi su takođe samoreplicirajući programi koji su, za razliku od virusa
inteligentniji, jer umeju samoinicijativno da traže odgovarajuće ciljeve kako bi ih
zarazili. I crvi i virusi nose sa sobom teret (payload), koji im omogućava preuzi-
manje nadzora nad zaraženim računarom, brisanje datoteka ili krađu podataka
o ličnosti.
Pažljiv pregled ove oblasti ukazuje da se svake nedelje pojavi oko 500
novih virusa i crva. Broj virusa i crva se svake godine poveća za 400%, pri čemu
njihovi autori/kriminalci postaju sve inventivniji.
Predstavnici ove vrste štetnih kodova se često nalaze upravo u neželjenim
elektronskim porukama (spam), zato je potrebno biti posebno obazriv prilikom
otvaranja takve pošte.

Špijunska programska oprema, adware i trojanski konji

Špijunska programska oprema (spyware) je još jedna od kategorija
štetnih kodova. Programi takve vrste unose se u računar prilikom uobičajenog
pretraživanja na internetu, pri čemu za zarazu računara iskoriste zaštitne ne-
dostatke internet pretraživača (Mozzila, Internet Explorer, Opera...). Neki od
tih predstavnika u računar se prenesu i u obliku besplatnih programa, čuvara
ekrana, raznih linija sa alatima (toolbars) i P2P programa za deljenje datoteka.
Špijunska programska oprema može bez znanja korisnika promeniti telefonski
broj, koji poziva modem, preko koga se korisnik povezuje na internet. Pored
toga špijunska programska oprema može da beleži lozinke i ostale poverljive
podatke, pa ih potom šalje kriminalcima. Jedan od najpopularnijih trikova
špijunske opreme je, takođe preusmeravanje pretraživača na neželjene internet
lokacije, što napadačima omogućava vršenje različitih krivičnih dela.
Adware je sa druge strane kategorija štetnih kodova, koji sakupljaju po-
datke o korisnicima i njihovim internet navikama. Predstavnici štetnih kodova
ove vrste dostavljaju svoja saznanja različitim agencijama, koji kasnije korisnike
zatrpavaju različitim reklamnim oglasima i neželjenom elektronskom poštom.
Špijunska programska oprema i adware se od svojih rođaka virusa i crva
razlikuje po tome, što nisu sposobni da se šire sa jednog računara na ostale
računarske sisteme.
Još jedna kategorija štetočina su trojanski konji koji se u računaru pri-
taje u obliku legitimnog programa. Kada korisnik instalira legitimni program,
istovremeno se instalira i trojanski konj, koji napadaču omogućava preuzimanje
kontrole nad računarom.

112
 KOPIRANJE LIČNIH DOKUMENATA

Slovenačka zakonska rešenja bila su sve do sredine 2008. godine, kada su

stupile na snagu dopune Zakona o ličnoj karti i Zakona o putnim ispravama,
pravno gledano prilično nedorečena i Poverenik je usled tih nedorečenosti imao
dosta problema u slučajevima kada je rukovaocima putem odluke pokušavao da
odredi uništenje fotokopija.
Opasnost kopiranja ličnih dokumenata je, kako će verovatno pokazati i
praksa srpskog Poverenika, izuzetno velika. Savremene tehnologije omogućavaju
izuzetno lako kopiranje i izradu falsifikovanih ličnih dokumenata.23
Nakon izmena navedenih zakona i praksa se promenila i može se ukratko
sažeti u sledećim tačkama:
Fotokopiranje lične karte i pasoša je u načelu zabranjeno, osim ako zakon
određuje drugačije;
Izuzeci su neke finansijske institucije i neke druge funkcije, npr. notari;
Izuzetno je dozvoljeno kopiranje lične karte i pasoša, ukoliko lice da pis-
menu saglasnost;
Bez obzira na navedeno zabranjeno je kopiranje i čuvanje kopija lične
karte i pasoša u elektronskom obliku (jer omogućava najlakše zloupotrebe ličnih
dokumenata).
Slovenački Poverenik uložio je veliki napor kako bi postigao ovakve iz-
mene zakona. Isto preporučujemo i srpskom Povereniku koji će bez dvoum-
ljenja, kao i ranije nailaziti na slučajeve falsifikovanih ličnih dokumenata. Dok
takav zakon ne bude usvojen, preporučuje se Povereniku da izuzetno strogo i
restriktivno tumači praksu u oblasti kopiranja ličnih dokumenata.

23 Tako, na primer Poverenik je obrađivao slučaj lica koje je falsifikovalo pasoš druge
osobe i tako kupilo televizor na rate, a račun je dobilo oštećeno lice.

113
 ZAKON
O ZAŠTITI PODATAKA O LIČNOSTI

I. OSNOVNE ODREDBE

Predmet zakona
Član 1.
Ovim zakonom se uređuju uslovi za prikupljanje i obradu podataka
o ličnosti, prava lica i zaštita prava lica čiji se podaci prikupljaju i obrađuju,
ograničenja zaštite podataka o ličnosti, postupak pred nadležnim organom za
zaštitu podataka o ličnosti, obezbeđenje podataka, evidencija, iznošenje poda-
taka iz Republike Srbije i nadzor nad izvršavanjem ovog zakona.
Zaštita podataka o ličnosti obezbeđuje se svakom fizičkom licu, bez
obzira na državljanstvo i prebivalište, rasu, godine života, pol, jezik, veroispovest,
političko i drugo uverenje, nacionalnu pripadnost, socijalno poreklo i status, im-
ovinsko stanje, rođenje, obrazovanje, društveni položaj ili druga lična svojstva.
Poslove zaštite podataka o ličnosti obavlja Poverenik za informacije od
javnog značaja i zaštitu podataka o ličnosti (u daljem tekstu: Poverenik), kao
samostalan državni organ, nezavisan u vršenju svoje nadležnosti.

Cilj zakona
Član 2.
Cilj ovog zakona je da, u vezi sa obradom podataka o ličnosti, svakom
fizičkom licu obezbedi ostvarivanje i zaštitu prava na privatnost i ostalih prava
i sloboda.

Značenje izraza u ovom zakonu

Član 3.
Pojedini izrazi u ovom zakonu imaju sledeće značenje:
1) Podatak o ličnosti je svaka informacija koja se odnosi na fizičko lice,
bez obzira na oblik u kome je izražena i na nosač informacije (papir, traka, film,
elektronski medij i sl), po čijem nalogu, u čije ime, odnosno za čiji račun jein-
formacija pohranjena, datum nastanka informacije, mesto pohranjivanja infor-
macije, način saznavanja informacije (neposredno, putem slušanja, gledanja i sl,

115
odnosno posredno, putem uvida u dokument u kojem je informacija sadržana i
sl), ili bez obzira na drugo svojstvo informacije (u daljem tekstu: podatak);
2) Fizičko lice je čovek na koga se odnosi podatak, čiji je identitet određen
ili odrediv na osnovu ličnog imena, jedinstvenog matičnog broja građana, adres-
nog koda ili drugog obeležja njegovog fizičkog, psihološkog, duhovnog, ekonom-
skog, kulturnog ili društvenog identiteta (u daljem tekstu: lice);
3) Obrada podataka je svaka radnja preduzeta u vezi sa podacima
kao što su: prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje,
prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje,
objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljan-
je na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje,
prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim,
prikrivanje, izmeštanje i na drugi način činjenje nedostupnim, kao i sprovođenje
drugih radnji u vezi sa navedenim podacima, bez obzira da li se vrši automatski,
poluautomatski ili na drugi način (u daljem tekstu: obrada);
4) Organ vlasti je državni organ, organ teritorijalne autonomije i jedin-
ice lokalne samouprave, odnosno drugi organ ili organizacija kojoj je povereno
vršenje javnih ovlašćenja;
5) Rukovalac podataka je fizičko ili pravno lice, odnosno organ vlasti koji
obrađuje podatke (u daljem tekstu: rukovalac);
6) Zbirka podataka je skup podataka koji se automatizovano ili neautoma-
tizovano vode i dostupni su po ličnom, predmetnom ili drugom osnovu, neza-
visno od načina na koji su pohranjeni i mesta gde se čuvaju;
7) Korisnik podataka je fizičko ili pravno lice, odnosno organ vlasti, koji je za-
konom ili po pristanku lica ovlašćen da koristi podatke (u daljem tekstu: korisnik);
8) Obrađivač podataka je fizičko ili pravno lice, odnosno organ vlasti,
kome rukovalac na osnovu zakona ili ugovora poverava određene poslove u vezi
sa obradom (u daljem tekstu: obrađivač);
9) Pismeni oblik podrazumeva i elektronski oblik, pod uslovima iz zakona
kojim se uređuje elektronski potpis;
10) Centralni registar zbirki podataka (u daljem tekstu: Centralni registar)
je evidencija koju čini registar zbirki podataka i katalog zbirki podataka koju
vodi Poverenik.

Primena zakona
Član 4.
Odredbe ovog zakona primenjuju se na svaku automatizovanu obradu,
kao i na obradu sadržanu u zbirci podatka koja se ne vodi automatizovano.

116
 Podaci na koje se zakon ne primenjuje
Član 5.
Osim ako očigledno pretežu suprotni interesi lica, pojedine odredbe ovog
zakona o uslovima za obradu, kao i o pravima i obavezama u vezi sa obradom
ne primenjuju se na obradu:
1) podataka koji su dostupni svakome i objavljeni u javnim glasilima i
publikacijama ili pristupačni u arhivama, muzejima i drugim sličnim organiza-
cijama;
2) podataka koji se obrađuju za porodične i druge lične potrebe i nisu
dostupni trećim licima;
3) podataka koji se o članovima političkih stranaka, udruženja, sindikata,
kao i drugih oblika udruživanja obrađuju od strane tih organizacija, pod us-
lovom da član da pismenu izjavu da određene odredbe ovog zakona ne važe za
obradu podataka o njemu za određeno vreme, ali ne duže od vremena trajanja
njegovog članstva;
4) podataka koje je lice, sposobno da se samo stara o svojim interesima,
objavilo o sebi.

Obrada u istorijske, statističke ili naučnoistraživačke svrhe

Član 6.
Podaci prikupljeni i obrađivani u druge svrhe mogu da se obrađuju
isključivo u istorijske, statističke ili naučnoistraživačke svrhe, ako ne služe
donošenju odluka ili preduzimanju mera prema određenom licu uz obezbeđivanje
odgovarajućih mera zaštite.
Mere zaštite podataka koji se arhiviraju u isključivo istorijske, statističke ili
naučnoistraživačke svrhe uređuju se posebnim propisom.

Rukovalac određen posebnim propisom

Član 7.
Ako poseban propis uređuje svrhu i način obrade, rukovalac može da se
odredi tim propisom.

II. USLOVI ZA OBRADU

Nedozvoljenost obrade
Član 8.
Obrada nije dozvoljena ako:
1) fizičko lice nije dalo pristanak za obradu, odnosno ako se obrada vrši
bez zakonskog ovlašćenja;

117
 2) se vrši u svrhu različitu od one za koju je određena, bez obzira da li se
vrši na osnovu pristanka lica ili zakonskog ovlašćenja za obradu bez pristanka;
3) svrha obrade nije jasno određena, ako je izmenjena, nedozvoljena ili
već ostvarena;
4) je lice na koje se podaci odnose određeno ili odredivo i nakon što se
ostvari svrha obrade;
5) je način obrade nedozvoljen;
6) je podatak koji se obrađuje nepotreban ili nepodesan za ostvarenje svr-
he obrade;
7) su broj ili vrsta podataka koji se obrađuju nesrazmerni svrsi obrade;
8) je podatak neistinit i nepotpun, odnosno kada nije zasnovan na vero-
dostojnom izvoru ili je zastareo.

Odluka pomoću automatizovane obrade

Član 9.
Odluka koja proizvodi pravne posledice za lice ili pogoršava njegov položaj,
ne može biti isključivo zasnovana na podacima koji se obrađuju automatizovano
i koji služe oceni nekog njegovog svojstva (radne sposobnosti, pouzdanosti,
kreditne sposobnosti i sl).
Odluka iz stava 1. ovog člana može se doneti kada je to zakonom izričito
određeno, odnosno kada se usvaja zahtev lica u vezi sa zaključenjem ili ispunjen-
jem ugovora, uz sprovođenje odgovarajućih mera zaštite.
U slučaju iz stava 2. ovog člana lice mora biti upoznato sa postupkom
automatizovane obrade i načinom donošenja odluke.

Obrada sa pristankom
Član 10.
Punovažan pristanak za obradu može dati lice, nakon što ga rukovalac
prethodno obavesti u smislu odredbe člana 15. ovog zakona.
Punovažan pristanak lice može dati pismeno ili usmeno na zapisnik.
Pristanak se može dati preko punomoćnika.
Punomoćje mora biti overeno, izuzev ako zakonom nije propisano
drukčije.
Pristanak za lice koje nije sposobno za davanje pristanka daje zakonski
zastupnik ili staralac.
Pristanak za obradu podataka o licu koje je umrlo mogu dati supružnik,
deca sa navršenih 15 godina života, roditelji, braća i sestre, odnosno zakonski
naslednik ili lice koje je za to odredio umrli.

118
 Opoziv pristanka
Član 11.
Pristanak se može opozvati.
Punovažan opoziv lice može dati pismeno ili usmeno na zapisnik.
U slučaju opoziva, lice koje je dalo pristanak dužno je da rukovaocu na-
knadi opravdane troškove i štetu, u skladu sa propisima koji uređuju odgovor-
nost za štetu.
Obrada podataka je nedozvoljena posle opoziva pristanka.

Obrada bez pristanka

Član 12.
Obrada bez pristanka je dozvoljena:
1) da bi se ostvarili ili zaštitili životno važni interesi lica ili drugog lica, a
posebno život, zdravlje i fizički integritet;
2) u svrhu izvršenja obaveza određenih zakonom, aktom donetim u
skladu sa zakonom ili ugovorom zaključenim između lica i rukovaoca, kao i radi
pripreme zaključenja ugovora;
3) u drugim slučajevima određenim ovim zakonom ili drugim propisom
donetim u skladu sa ovim zakonom, radi ostvarenja pretežnog opravdanog in-
teresa lica, rukovaoca ili korisnika.

Obrada od strane organa vlasti

Član 13.
Organ vlasti obrađuje podatke bez pristanka lica, ako je obrada neophod-
na radi obavljanja poslova iz svoje nadležnosti određenih zakonom ili drugim
propisom u cilju ostvarivanja interesa nacionalne ili javne bezbednosti, odbrane
zemlje, sprečavanja, otkrivanja, istrage i gonjenja za krivična dela, ekonomskih,
odnosno finansijskih interesa države, zaštite zdravlja i morala, zaštite prava i
sloboda i drugog javnog interesa, a u drugim slučajevima na osnovu pismenog
pristanka lica.

Prikupljanje podataka
Član 14.
Podaci se prikupljaju od lica na koje se odnose i od organa uprave koji su
zakonom ovlašćeni za njihovo prikupljanje.
Podaci se mogu prikupljati i od drugog lica ako:
1) je to predviđeno ugovorom zaključenim sa licem na koje se podaci
odnose;

119
 2) je to propisano zakonom ili drugim propisom donetim u skladu sa za-
konom;
3) je to neophodno s obzirom na prirodu posla;
4) prikupljanje podataka od samog lica na koje se odnose zahteva pre-
komerni utrošak vremena i sredstava;
5) se prikupljaju podaci radi ostvarenja ili zaštite životno važnih interesa
lica na koje se odnose, posebno života, zdravlja i fizičkog integriteta.

Obaveštavanje o obradi
Član 15.
Rukovalac koji podatke prikuplja od lica na koje se odnose, odnosno od
drugog lica, pre prikupljanja, upoznaće lice na koje se podaci odnose, odnosno
drugo lice o:
1) svom identitetu, odnosno imenu i adresi ili firmi, odnosno identitetu
drugog lica koje je odgovorno za obradu podataka u skladu sa zakonom;
2) svrsi prikupljanja i dalje obrade podataka;
3) načinu korišćenja podataka;
4) identitetu lica ili vrsti lica koja koriste podatke;
5) obaveznosti i pravnom osnovu, odnosno dobrovoljnosti davanja poda-
taka i obrade;
6) pravu da pristanak za obradu opozove, kao i pravne posledice u slučaju
opoziva;
7) pravima koja pripadaju licu u slučaju nedozvoljene obrade;
8) drugim okolnostima čije bi nesaopštavanje licu na koje se odnose po-
daci, odnosno drugom licu bilo suprotno savesnom postupanju.
Obaveza iz stava 1. ovog člana ne postoji kada takvo upoznavanje, s obzi-
rom na okolnosti slučaja, nije moguće ili je očigledno nepotrebno, odnosno ne-
primereno, a naročito ako je lice na koje se odnose podaci, odnosno drugo lice
već upoznato sa time ili ako lice na koje se podaci odnose nije dostupno.
Rukovalac koji je podatke o licu prikupio od drugog lica, upoznaće sa us-
lovima iz stava 1. ovog člana, lice na koje se podaci odnose, bez odlaganja ili na-
jkasnije pri prvoj obradi, osim kada takvo upoznavanje, s obzirom na okolnosti
slučaja, nije moguće, odnosno zahteva prekomerni utrošak vremena i sredstava
ili je očigledno nepotrebno, a naročito ako je lice na koje se odnose podaci već
upoznato sa time, odnosno ako lice na koje se podaci odnose nije dostupno ili
ako je prikupljanje i dalja obrada podataka od drugog lica propisana zakonom.
U slučaju iz stava 3. ovog člana, rukovalac je dužan da obavesti lice na koje
se podaci odnose čim to postane moguće, odnosno ako lice to zahteva.

120
 Upoznavanje iz stava 1. ovog člana vrši se u pismenom obliku u slučaju
kada se za pristanak za obradu daje u pismenom obliku, osim ako lice na koje se
podaci odnose, odnosno drugo lice, pristane na usmeno upoznavanje.
Rukovalac će obavestiti lice na koje se podaci odnose i korisnika o izmeni,
dopuni ili brisanju podataka bez odlaganja, a najkasnije u roku od 15 dana od
dana izmene, dopune ili brisanja podataka.

Naročito osetljivi podaci

Član 16.
Podaci koji se odnose na nacionalnu pripadnost, rasu, pol, jezik, ver-
oispovest, pripadnost političkoj stranci, sindikalno članstvo, zdravstveno stan-
je, primanje socijalne pomoći, žrtvu nasilja, osudu za krivično delo i seksualni
život mogu se obrađivati na osnovu slobodno datog pristanka lica, osim kada
zakonom nije dozvoljena obrada ni uz pristanak.
Izuzetno, podaci koji se odnose na pripadnost političkoj stranci,
zdravstveno stanje i primanje socijalne pomoći, mogu se obrađivati bez pris-
tanka lica, samo ako je to zakonom propisano.
U slučaju iz st. 1. i 2. ovog člana, obrada mora biti posebno označena i
zaštićena merama zaštite.
U slučaju iz st. 1. i 2. ovog člana, Poverenik ima pravo uvida u podatke
i provere zakonitosti obrade po službenoj dužnosti ili po zahtevu lica, odnosno
rukovaoca.
Način arhiviranja i mere zaštite podataka iz st. 1. i 2. ovog člana, uz pre-
thodno pribavljeno mišljenje Poverenika, uređuje Vlada.

Pristanak za obradu naročito osetljivih podataka

Član 17.
Pristanak za obradu naročito osetljivih podataka daje se u pismenom ob-
liku, koji sadrži oznaku podatka koji se obrađuje, svrhu obrade i način njegovog
korišćenja.
Ako davalac pristanka nije pismen ili iz drugog razloga nije u stanju da
pristanak svojeručno potpiše, pristanak je punovažan ako dva svedoka svojim
potpisima potvrde da pismeno sadrži izjavu volje davaoca pristanka.

Opoziv pristanka za obradu naročito osetljivih podataka

Član 18.
U slučaju opoziva, lice koje je dalo pristanak dužno je da rukovaocu na-
knadi opravdane troškove i štetu, u skladu sa propisima koji uređuju odgovor-
nost za štetu, osim ako je drukčije određeno u izjavi o pristanku.

121
 Na opoziv pristanka za obradu naročito osetljivih podataka shodno se pri-
menjuje član 11. ovog zakona.

III. PRAVA LICA I ZAŠTITA PRAVA LICA

1. Prava
Pravo na obaveštenje o obradi
Član 19.
Lice ima pravo da zahteva da ga rukovalac istinito i potpuno obavesti o
tome:
1) da li rukovalac obrađuje podatke o njemu i koju radnju obrade vrši;
2) koje podatke obrađuje o njemu;
3) od koga su prikupljeni podaci o njemu, odnosno ko je izvor podataka;
4) u koje svrhe obrađuje podatke o njemu;
5) po kom pravnom osnovu obrađuje podatke o njemu;
6) u kojim zbirkama podataka se nalaze podaci o njemu;
7) ko su korisnici podataka o njemu;
8) koje podatke, odnosno koje vrste podataka o njemu koriste;
9) u koje svrhe se koriste podaci o njemu;
10) po kom pravnom osnovu koristi podatke o njemu;
11) kome se podaci prenose;
12) koji podaci se prenose;
13) u koje svrhe se podaci prenose;
14) po kom pravnom osnovu se podaci prenose;
15) u kom vremenskom periodu se podaci obrađuju.

Pravo na uvid
Član 20.
Lice ima pravo da od rukovaoca zahteva da mu stavi na uvid podatke koji
se na njega odnose.
Pravo na uvid u podatke koji se na njega odnose obuhvata pravo na pre-
gled, čitanje i slušanje podataka, kao i pravljenje zabeležaka.

Pravo na kopiju
Član 21.
Lice ima pravo da od rukovaoca zahteva kopiju podatka koji se na njega
odnosi.

122
 Rukovalac izdaje kopiju podatka (fotokopiju, audio kopiju, video kopiju,
digitalnu kopiju i sl) u obliku u kojem se informacija nalazi, odnosno u drugom
obliku ako bi u obliku u kome se informacija nalazi licu bila nerazumljiva.
Lice snosi nužne troškove izrade i predaje kopije podatka.

Prava lica povodom izvršenog uvida

Član 22.
Lice ima pravo da od rukovaoca zahteva ispravku, dopunu, ažuriranje,
brisanje podataka, kao i prekid i privremenu obustavu obrade.
Lice ima pravo na brisanje podataka ako:
1) svrha obrade nije jasno određena;
2) je svrha obrade izmenjena, a nisu ispunjeni uslovi za obradu za tu iz-
menjenu svrhu;
3) je svrha obrade ostvarena, odnosno podaci više nisu potrebni za ost-
varivanje svrhe;
4) je način obrade nedozvoljen;
5) podatak spada u broj i vrstu podataka čija je obrada nesrazmerna svrsi;
6) je podatak netačan, a ne može se putem ispravke zameniti tačnim;
7) se podatak obrađuje bez pristanka ili ovlašćenja zasnovanog na zakonu
i u drugim slučajevima kada se obrada ne može vršiti u skladu sa odredbama
ovog zakona.
Lice ima pravo na prekid i privremenu obustavu obrade, ako je osporilo
tačnost, potpunost i ažurnost podataka, kao i pravo da se ti podaci označe kao
osporeni, dok se ne utvrdi njihova tačnost, potpunost i ažurnost.

2. Ograničenja
Ograničenja prava
Član 23.
Pravo na obaveštenje, uvid i kopiju može se ograničiti ako:
1) lice traži obaveštenje iz člana 19. tač. 2) i 7) do 10) ovog zakona, a ru-
kovalac je podatke o njemu uneo u javni registar ili ih je na drugi način učinio
dostupnim javnosti;
2) lice zloupotrebljava svoje pravo na obaveštenje, uvid i kopiju;
3) je rukovalac ili drugo lice, u skladu s članom 15. ovog zakona, već up-
oznao lice sa onim o čemu traži da bude obavešten, odnosno ako je lice izvršilo
uvid ili dobilo kopiju, a u međuvremenu nije došlo do promene podatka;
4) bi rukovalac bio onemogućen u vršenju poslova iz svog delokruga;
5) bi davanje obaveštenja ozbiljno ugrozilo interese nacionalne i javne
bezbednosti, odbrane zemlje, ili radnje sprečavanja, otkrivanja, istrage i gonjenja
za krivična dela;

123
 6) bi davanje obaveštenja ozbiljno ugrozilo važan privredni ili finansijski
interes države;
7) bi se obaveštenjem učinio dostupnim podatak za koji je zakonom, dru-
gim propisima ili aktima zasnovanim na zakonu određeno da se čuva kao tajna,
a zbog čijeg bi odavanja mogle nastupiti teške posledice po interes zaštićen za-
konom;
8) bi obaveštenje ozbiljno ugrozilo privatnost ili važan interes lica, poseb-
no život, zdravlje i fizički integritet;
9) se podaci o njemu koriste isključivo za naučnoistraživačke i statističke
svrhe, dok takvo korišćenje traje.
Lice nema pravo na uvid dok traje obustava obrade ako je obrada obus-
tavljena na njegov zahtev.

3. Zahtev
Zahtev za ostvarivanje prava
Član 24.
Zahtev za obaveštenje, uvid i kopiju podnosi se rukovaocu u pismenom
obliku, a rukovalac može prihvatiti i usmeni zahtev, iz razloga efikasnosti i
ekonomičnosti. Zahtev za ostvarivanje prava povodom izvršenog uvida podnosi
se rukovaocu u pismenom obliku.
Zahtev iz stava 1. ovog člana sadrži: podatke o identitetu podnosioca
(ime i prezime, ime jednog roditelja, datum i mesto rođenja, jedinstveni matični
broj građana), adresu prebivališta, odnosno boravišta, kao i druge podatke neo-
phodne za kontakt.
Zahtev koji podnosi zakonski naslednik umrlog lica sadrži i podatke o
identitetu umrlog. Uz zahtev se prilaže izvod iz matične knjige umrlih, kao i
dokaz o srodstvu podnosioca sa umrlim.
Nepismeno lice, odnosno lice koje zbog telesnih ili drugih nedostataka
nije u mogućnosti da zahtev sačini u pismenom obliku može zahtev usmeno
saopštiti u zapisnik.
Rukovalac može propisati obrazac za podnošenje zahteva, ali je dužan da
razmotri i zahtev koji nije sačinjen na tom obrascu.
Ako je zahtev nerazumljiv ili nepotpun, rukovalac je dužan da pouči pod-
nosioca kako da nedostatke otkloni.
Ako podnosilac ne otkloni nedostatke u određenom roku, a najduže u roku
od 15 dana od dana prijema pouke o dopuni, a nedostaci su takvi da se po zahtevu
ne može postupati, rukovalac će zaključkom odbaciti zahtev kao neuredan.

124
 4. Odlučivanje
Odlučivanje o zahtevu za obaveštenje, uvid i kopiju
Član 25.
Rukovalac je dužan da obaveštenje o podnetom zahtevu izda bez odla-
ganja, a najkasnije u roku od 15 dana od dana podnošenja. Obaveštenje se daje
u pismenom obliku, a izuzetno se može dati i usmeno ako na to pristane pod-
nosilac.
Rukovalac je dužan da bez odlaganja, a najkasnije u roku od 30 dana od
dana prijema urednog zahteva za uvid, odnosno za izdavanje kopije, omogući
podnosiocu da izvrši uvid, odnosno da mu preda kopiju.
Rukovalac će zajedno sa obaveštenjem o tome da će podnosiocu zahteva
staviti na uvid podatak, odnosno izdati mu kopiju podatka, saopštiti i vreme,
mesto i način na koji će mu podatak biti stavljen na uvid, iznos nužnih troškova
izrade kopije podatka, a u slučaju da ne raspolaže tehničkim sredstvima za izradu
kopije, upoznaće podnosioca sa mogućnošću da upotrebom svoje opreme izradi
kopiju.
Podnosilac zahteva iz stava 2. ovog člana može iz opravdanih razloga
tražiti da uvid u podatke izvrši u drugo vreme. Uvid u podatke vrši se po pravilu
u službenim prostorijama rukovaoca.
Ako rukovalac nije u mogućnosti, iz opravdanih razloga, da postupi po zaht-
evu u propisanom roku, obavestiće o tome podnosioca i odrediti novi rok za pos-
tupanje koji ne može biti duži od 30 dana od isteka roka iz st. 1. i 2. ovog člana.
Ako prihvati zahtev za obaveštenje, uvid i kopiju, rukovalac o tome
sačinjava zabelešku.
Ako rukovalac odbije zahtev, o tome donosi rešenje sa poukom o pravnom
sredstvu.
Ako rukovalac ne odgovori na zahtev u rokovima iz st. 1. i 2. ovog člana,
kao i ako odbije zahtev, podnosilac zahteva može izjaviti žalbu Povereniku.

Odlučivanje o zahtevu povodom izvršenog uvida

Član 26.
Rukovalac je dužan da odluči o zahtevu povodom izvršenog uvida iz
člana 24. ovog zakona, bez odlaganja, a najkasnije u roku od 15 dana od dana
podnošenja zahteva i da o odluci obavesti podnosioca zahteva.
Kada rukovalac odbije zahtev iz stava 1. ovog člana, u obrazloženju rešenja
navodi razloge za odbijanje zahteva, kao i razloge za dozvoljenost obrade.
Podnosilac zahteva može izjaviti žalbu Povereniku protiv rešenja o od-
bijanju zahteva iz stava 1. ovog člana, u roku od 15 dana od dana dostavljanja
rešenja.

125
 Ako je rukovalac utvrdio da je zahtev povodom izvršenog uvida osnovan,
a ne postoji tehnička mogućnost da se bez odlaganja postupi po zahtevu, ili ako
bi neodložno postupanje po zahtevu iziskivalo prekomerni utrošak vremena i
sredstava, rukovalac će po službenoj dužnosti označiti podatke kao osporene i
privremeno obustaviti njihovu obradu.
Rukovalac koji je organ vlasti, a koji je utvrdio da je zahtev povodom
izvršenog uvida osnovan, označiće podatak kao osporen i privremeno obustaviti
njegovu obradu. Rukovalac neće ispraviti, dopuniti, ažurirati i brisati podatak,
odnosno prekinuti obradu ako:
1) nije istekao rok za obavezno čuvanje podataka;
2) je očigledno da bi postupanje po zahtevu nanelo ozbiljnu štetu inter-
esima drugih lica;
3) je zbog posebnog načina čuvanja podataka postupanje po zahtevu
nemoguće ili iziskuje prekomerni utrošak vremena ili sredstava.
Oznaka osporenosti iz člana 22. stav 3. ovog zakona, brisaće se na osnovu
odluke nadležnog organa ili po pristanku lica na koje se podatak odnosi.

5. Način ostvarivanja prava

Način ostvarivanje prava na uvid
Član 27.
Rukovalac je dužan da podnosiocu učini dostupnim podatak koji se na
njega odnosi, u razumljivom obliku.
Rukovalac je dužan da podnosiocu učini dostupnim sve podatke u stanju
u kakvom se nalaze.
Ako se podatak čuva u raznim oblicima (papir, audio, video ili elektronski
zapis i dr), podnosilac ima pravo da izvrši uvid u obliku koji sam izabere, osim
kada je to neizvodljivo.
Lice koje nije u stanju da bez pratioca izvrši uvid u podatke, može da to
učini uz pomoć pratioca.
Rukovalac će, na zahtev lica kojem je potrebna stručna pomoć radi ra-
zumevanja sadržine podataka koji se na njega odnose, pružiti takvu pomoć.
Vršenje prava na uvid u podatke rukovalac ne sme usloviti plaćanjem na-
knade.
Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev,
dužan je da podnosiocu stavi na uvid podatak i izradi kopiju na tom jeziku,
osim ako podnosilac ne odredi drukčije, a rukovalac ima mogućnosti da udo-
volji zahtevu.

126
 Način ostvarivanja prava na kopiju
Član 28.
Rukovalac izdaje kopiju podatka (fotokopiju, audio kopiju, video kopiju,
digitalnu kopiju i sl) u obliku u kojem se informacija nalazi, odnosno u drugom
obliku, ako bi u obliku u kome se informacija nalazi licu bila nerazumljiva.
Nužne troškove izrade i predaje kopije podatka snosi podnosilac.
6. Obrada za delatnost javnih glasila
Član 29.
Za obradu od strane novinara i drugih medijskih poslenika koja isključivo
služi publicističkoj delatnosti javnog glasila, izuzimajući obradu koja služi
oglašavanju, važe odredbe čl. 3, 5. i 8. tač. 1) do 5) i čl. 46. i 47. ovog zakona.
Za potrebe obrade iz stava 1. ovog člana mogu se koristiti i podaci koji
se odnose na pripadnost političkoj stranci lica, ako su važni s obzirom na javnu
funkciju koju lice vrši.
Priključivanje odgovora i drugih informacija
Član 30.
Odgovor, ispravku, opoziv ili koju drugu informaciju koja se objavi na
zahtev lica na koga se odnosi podatak iz člana 29. ovog zakona, rukovalac
priključuje obrađivanom podatku i čuva u roku za čuvanje tog podatka.
Zaštita ličnosti
Član 31.
Ako se objavljivanjem podatka u javnom glasilu i publikaciji povredi pra-
vo ili pravno zaštićen interes lica, povređeno lice može zahtevati od odgovor-
nog urednika i izdavača javnog glasila obaveštenje o podacima koji se o njemu
obrađuju, uvid u podatke i kopiju, izuzev ako:
1) bi se time otkrili podaci u vezi sa izvorom informacije koje novinar i
drugi medijski poslenik nisu dužni ili nisu spremni da otkriju;
2) bi se time otkrili podaci u vezi sa licem koje je učestvovalo u pripremi i
objavljivanju informacije, a odgovorni urednik nije spreman da ih otkrije;
3) postoje okolnosti u kojima bi obaveštavanje, uvid ili izrada kopije bitno
omeli obaveštavanje javnosti o informacijama od javnog značaja.
7. Posebne odredbe
Prosleđivanje zahteva Povereniku
Član 32.
Kada rukovalac ne obrađuje podatak, proslediće zahtev Povereniku, osim
ako se podnosilac zahteva tome protivi.

127
 Postupanje Poverenika
Član 33.
Po prijemu zahteva Poverenik proverava da li rukovalac obrađuje traženi
podatak.
Ako utvrdi da rukovalac ne obrađuje podatak, Poverenik će dostaviti za-
htev rukovaocu koji obrađuje podatak i o tome će obavestiti podnosioca zahteva
ili će ga uputiti na rukovaoca koji obrađuje podatak, u zavisnosti od toga na koji
će se način efikasnije ostvariti zahtev.
Ako utvrdi da rukovalac obrađuje podatak, Poverenik će rešenjem naložiti
rukovaocu da odluči o zahtevu.
Rukovalac odlučuje o dostavljenom zahtevu iz stava 2. ovog člana u roko-
vima iz člana 25. stav 1. i člana 26. stav 1. ovog zakona od dana dostavljanja, a u
slučaju iz stava 3. ovog člana u roku od sedam dana od dana dostavljanja rešenja
Poverenika.

Punomoćnik
Član 34.
Prava propisana ovim zakonom mogu se ostvariti lično ili preko puno-
moćnika.
Punomoćje mora biti overeno.

Čuvanje i korišćenje u slučaju smrti

Član 35.
U slučaju smrti i proglašenja nestalog lica za umrlo, podaci koji su priku-
pljeni na osnovu ugovora, odnosno saglasnosti u pismenom obliku, čuvaju se
u skladu sa uslovima utvrđenim u ugovoru, odnosno pristanku, a podaci koji
su prikupljeni na osnovu zakona čuvaju se najmanje godinu dana od dana sm-
rti, odnosno proglašenja nestalog lica za umrlo, a nakon toga se uništavaju. O
uništavanju podataka sačinjava se zabeleška.
Pristanak za korišćenje podataka o umrlom licu daju lica iz člana 10. stav
6. ovog zakona.

Obaveza rukovaoca
Član 36.
Ako je zbirka podataka uspostavljena ugovorom, odnosno na osnovu pris-
tanka u pismenom obliku, u slučaju raskida ugovora, odnosno povlačenja pris-
tanka u pismenom obliku, rukovalac je obavezan da podatke briše u roku od
15 dana od dana raskida ugovora, odnosno povlačenja pristanka, osim ako je
drugačije propisano ili ugovoreno.
128
 Shodna primena odredaba zakona o upravnom postupku
Član 37.
Na postupak odlučivanja o zahtevima primenjuju se odredbe zakona ko-
jim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drukčije
određeno.

IV. POSTUPAK PO ŽALBI

Pravo na žalbu
Član 38.
Podnosilac zahteva za ostvarivanje prava u vezi sa obradom može izjaviti
žalbu Povereniku:
1) protiv odluke rukovaoca kojom je odbijen ili odbačen zahtev;
2) kada rukovalac ne odluči o zahtevu u propisanom roku;
3) ako rukovalac ne stavi na uvid podatak, odnosno ne izda kopiju po-
datka ili to ne učini u roku i na način propisan ovim zakonom;
4) ako rukovalac uslovi izdavanje kopije podataka uplatom naknade koja
prevazilazi iznos nužnih troškova izrade kopije;
5) ako rukovalac, suprotno zakonu, otežava ili onemogućava ostvarivanje
prava.
Žalba se može izjaviti u roku od 15 dana od dana dostavljanja odluke
kojom je zahtev odbijen ili odbačen, odnosno po isteku propisanog roka za
odlučivanje i postupanje.
Uz žalbu se prilaže zahtev sa dokazom o predaji rukovaocu i odluka koja
se osporava.

Rešavanje Poverenika po žalbi

Član 39.
Poverenik donosi odluku po žalbi najkasnije u roku od 30 dana od dana
podnošenja žalbe. Žalba se dostavlja rukovaocu radi odgovora na žalbu. O na-
vodima iz odgovora na žalbu može se izjasniti podnosilac.
Poverenik odbacuje rešenjem neblagovremenu ili nepotpunu žalbu,
odnosno žalbu koja je izjavljena od neovlašćenog lica.
Kada Poverenik, povodom žalbe izjavljene zbog nedonošenja odluke
po zahtevu, utvrdi da je žalba osnovana, rešenjem će naložiti rukovaocu da u
određenom roku postupi po zahtevu.

129
 Ako rukovalac nakon izjavljene žalbe zbog nepostupanja po zahtevu, a pre
donošenja odluke po žalbi, omogući ostvarivanje prava na uvid, odnosno kopiju
ili po zahtevu odluči, Poverenik će zaključkom obustaviti postupak po žalbi.
Postupak po žalbi se obustavlja i kada podnosilac odustane od žalbe.

Utvrđivanje činjeničnog stanja u postupku po žalbi

Član 40.
Poverenik preduzima radnje za utvrđivanje činjeničnog stanja koje su ne-
ophodne radi odlučivanja po žalbi.
Povereniku, odnosno licu koga on posebno ovlasti, radi utvrđivanja
činjeničnog stanja, omogućiće se uvid u podatak, odnosno zbirku podataka,
izuzev u slučaju iz člana 45. stav 2. ovog zakona.

Obaveznost i izvršenje rešenja

Član 41.
Rešenje Poverenika po žalbi je obavezujuće, konačno i izvršno.
Vlada u slučaju potrebe obezbeđuje izvršenje rešenja Poverenika i može
bliže da odredi način izvršenja rešenja.

Pravni lek protiv odluke

Član 42.
Protiv odluke Poverenika može se pokrenuti upravni spor.

Ostale odredbe postupka

Član 43.
Na postupak odlučivanja po žalbi primenjuju se odredbe zakona ko-
jim se uređuje opšti upravni postupak, osim ako ovim zakonom nije drukčije
određeno.

V. POVERENIK

Nadležnost
Član 44.
Poverenik:
1) nadzire sprovođenje zaštite podataka;
2) odlučuje po žalbi u slučaju propisanim ovim zakonom;
3) vodi Centralni registar;
4) nadzire i dozvoljava iznošenje podataka iz Republike Srbije;

130
 5) ukazuje na uočene zloupotrebe prilikom prikupljanja podataka;
6) sastavlja listu država i međunarodnih organizacija koje imaju
odgovarajuće uređenu zaštitu podataka;
7) daje mišljenje u vezi sa uspostavljanjem novih zbirki podataka, odnos-
no u slučaju uvođenja nove informacione tehnologije u obradi podataka;
8) daje mišljenje, u slučaju kada postoji sumnja da li se neki skup poda-
taka smatra zbirkom podataka u smislu ovog zakona;
9) daje mišljenje Vladi u postupku donošenja akta o načinu arhiviranja i o
merama zaštite naročito osetljivih podataka;
10) prati primenu mera za zaštitu podataka i predlaže poboljšanje tih
mera;
11) daje predloge i preporuke za unapređenje zaštite podataka;
12) daje prethodno mišljenje da li određeni način obrade predstavlja
specifičan rizik za prava i slobode građanina;
13) prati uređenje zaštite podataka u drugim zemljama;
14) sarađuje sa organima nadležnim za nadzor nad zaštitom podataka u
drugim zemljama;
15) određuje način daljeg postupanja sa podacima kada je rukovalac
prestao da postoji, osim ako je propisano drukčije;
16) obavlja i druge poslove iz svoje nadležnosti.
Poverenik može imati zamenika za zaštitu podataka o ličnosti.
Izveštaj koji podnosi Narodnoj skupštini, Poverenik dostavlja predsedniku
Republike, Vladi i Zaštitniku građana i na odgovarajući način stavlja na uvid
javnosti.

Pravo pristupa i uvida

Član 45.
Poverenik ima pravo pristupa i uvida u:
1) podatak i zbirku podataka;
2) kompletnu dokumentaciju koja se odnosi na prikupljanje podataka i
druge radnje obrade, kao i na ostvarivanje prava lica iz ovog zakona;
3) opšte akte rukovaoca;
4) prostorije i opremu koju koristi rukovalac.
Pristup i uvid iz stava 1. tač. 1), 2) i 4) ovog člana može se ograničiti ako bi
se time ozbiljno ugrozio interes nacionalne ili javne bezbednosti, odbrane zemlje
ili radnje sprečavanja, otkrivanja, istrage i gonjenja za krivična dela, dok traju
razlozi za ograničenje, u skladu sa zakonom.
U slučaju da rukovalac smatra da postoje razlozi za ograničenje iz stava 2.
ovog člana dužan je da, u roku od osam dana od dana dostavljanja zahteva

131
 Poverenika, zatraži mišljenje predsednika Vrhovnog kasacionog suda o
postojanju razloga za ograničenje prava pristupa i uvida Poverenika.
Predsednik Vrhovnog kasacionog suda dužan je da, u roku od osam dana
od dana dostavljanja zahteva rukovaoca iz stava 3. ovog člana, dostavi mišljenje
rukovaocu. Rukovalac je dužan da o mišljenju predsednika Vrhovnog kasacionog
suda obavesti Poverenika.

VI. OBEZBEĐENJE PODATAKA

Obaveza čuvanja tajne

Član 46.
Poverenik, zamenik Poverenika i zaposleni u stručnoj službi, dužni su da
kao tajnu, u skladu sa zakonom i drugim propisima kojima se uređuje tajnost
podataka, čuvaju sve podatke koje saznaju u obavljanju svojih dužnosti, osim
ako je drukčije propisano.
Obaveza iz stava 1. ovog člana traje i po prestanku obavljanja dužnosti
Poverenika i zamenika Poverenika, odnosno po prestanku radnog odnosa u
stručnoj službi.
Rukovalac je dužan da upozna obrađivača i lice koje ima uvid u podatke
sa merama za zaštitu tajnosti podataka.

Organizacione i tehničke mere

Član 47.
Podaci moraju biti odgovarajuće zaštićeni od zloupotreba, uništenja, gu-
bitka, neovlašćenih promena ili pristupa.
Rukovalac i obrađivač dužni su da preduzmu tehničke, kadrovske i organ-
izacione mere zaštite podataka, u skladu sa utvrđenim standardima i postupcima,
a koje su potrebne da bi se podaci zaštitili od gubitka, uništenja, nedopuštenog
pristupa, promene, objavljivanja i svake druge zloupotrebe, kao i da utvrde
obavezu lica koja su zaposlena na obradi, da čuvaju tajnost podataka.

VII. EVIDENCIJA

Evidencija o obradi
Član 48.
Rukovalac obrazuje i vodi evidenciju koja sadrži:
1) vrstu podataka i naziv zbirke podataka;
2) vrstu radnje obrade;

132
 3) naziv, ime, sedište i adresu rukovaoca;
4) datum započinjanja obrade, odnosno uspostavljanja zbirke podataka;
5) svrhu obrade;
6) pravni osnov obrade, odnosno uspostavljanja zbirke podataka;
7) kategoriju lica na koje se podaci odnose;
8) vrstu i stepen tajnosti podataka;
9) način prikupljanja i čuvanja podataka;
10) rok čuvanja i upotrebe podataka;
11) naziv, ime, sedište i adresu korisnika;
12) oznaku unošenja, odnosno iznošenja podataka iz Republike Srbije sa
nazivom države, odnosno međunarodne organizacije i stranog korisnika, pravni
osnov i svrhu unošenja, odnosno iznošenja podataka;
13) preduzete mere zaštite podataka;
14) zahtev povodom obrade.
Rukovalac nije dužan da obrazuje i vodi evidenciju obrade: podataka koji
se obrađuju isključivo u porodične i druge lične potrebe u smislu odredbe člana
5. tačka
2) ovog zakona, podataka koji se obrađuju radi vođenja registara čije je
vođenje zakonom propisano, podataka za zbirku podataka koju čine samo javno
objavljeni podaci, kao ni podataka koji se odnose na lice čiji identitet nije određen
a rukovalac, obrađivač, odnosno korisnik nije ovlašćen da identitet odredi.
Rukovalac ažurira evidenciju kada dođe do promene u vezi sa osnovnim
podacima iz stava 1. ovog člana u roku od 15 dana od dana nastanka promene.
Obrazac za vođenje evidencije i način vođenja evidencije iz stava 1. ovog
člana propisuje Vlada.

Obaveštavanje Poverenika
Član 49.
Rukovalac je dužan da pre započinjanja obrade, odnosno uspostavljanja
zbirke podataka dostavi Povereniku obaveštenje o nameri uspostavljanja zbirke
podataka zajedno sa podacima iz člana 48. ovog zakona, kao i o svakoj daljoj
nameravanoj obradi, pre preduzimanja obrade i to najkasnije 15 dana pre us-
postavljanja zbirke podataka, odnosno obrade.
Obaveza dostavljanja obaveštenja iz stava 1. ovog člana ne odnosi se na
započinjanje obrade, odnosno uspostavljanje zbirke podataka u slučaju kada je
posebnim propisom određena svrha obrade, vrsta podataka koji se obrađuju,
vrste korisnika kojima će podaci biti dostupni, kao i vreme za koje će podaci biti
arhivirani.

133
 Prethodna provera
Član 50.
Nakon prijema obaveštenja iz člana 49. ovog zakona, pre uspostavljanja
zbirke podataka, Poverenik proverava radnje obrade koje bi u značajnoj meri
mogle da dovedu do povrede prava lica.
Način provere iz stava 1. ovog člana uređuje se aktom Poverenika.

Obaveza dostavljanja
Član 51.
Rukovalac dostavlja Povereniku evidenciju o zbirci podataka, odnosno
promene u evidenciji podataka najkasnije u roku od 15 dana od dana uspostav-
ljanja, odnosno promene.
Obaveštenja iz člana 49. stav 1. ovog zakona i evidencije iz stava 1. ovog
člana upisuju se u Centralni registar.

Centralni registar
Član 52.
Poverenik uspostavlja i vodi Centralni registar.
Centralni registar se sastoji od registra zbirki podataka i kataloga zbirki
podataka.
Registar zbirki podataka sadrži podatke iz člana 51. stav 2. ovog zakona.
Katalog zbirki podataka sadrži opis evidentiranih zbirki podataka.
Centralni registar je javan i obavezno se objavljuje putem interneta.
Poverenik jednom godišnje objavljuje popis zbirki podataka u „Službenom
glasniku Republike Srbije”.
Poverenik će uskratiti pravo na uvid u evidenciju o zbirci podataka ako to
zahteva rukovalac, pod uslovom da je to neophodno za ostvarivanje pretežnog
interesa očuvanja nacionalne ili javne bezbednosti, odbrane zemlje, rada organa
vlasti, finansijskog interesa države ili ako je zakonom, drugim propisom ili ak-
tom zasnovanim na zakonu određeno da se evidencija o zbirci podataka čuva
kao tajna.

VIII. IZNOŠENJE PODATAKA IZ REPUBLIKE SRBIJE

Član 53.
Podaci se mogu iznositi iz Republike Srbije u državu članicu Konvencije o
zaštiti lica u odnosu na automatsku obradu ličnih podataka Saveta Evrope.
Podaci se mogu iznositi iz Republike Srbije u državu koja nije članica kon-
vencije iz stava 1. ovog člana, odnosno međunarodnu organizaciju, ako je u toj

134
državi, odnosno međunarodnoj organizaciji, propisom, odnosno ugovorom o
prenosu podataka, obezbeđen stepen zaštite podataka u skladu sa konvencijom.
Prilikom iznošenja podataka iz stava 2. ovog člana, Poverenik utvrđuje
da li su ispunjeni uslovi i sprovedene mere zaštite podataka prilikom njihovog
iznošenja iz Republike Srbije i daje dozvolu za iznošenje.

IX. NADZOR

Nadležnost
Član 54.
Nadzor nad sprovođenjem i izvršavanjem ovog zakona vrši Poverenik.
Poslove iz stava 1. ovog člana Poverenik vrši preko ovlašćenih lica.
Ovlašćeno lice je dužno da nadzor vrši stručno i blagovremeno i da o
izvršenom nadzoru sačini zapisnik.
U vršenju nadzora ovlašćeno lice postupa na osnovu saznanja do kojih je
došao po službenoj dužnosti, od strane podnosioca žalbe ili trećeg lica.
U vršenju nadzora ovlašćeno lice je dužno da pokaže legitimaciju.
Obrazac legitimacije propisuje Poverenik.

Omogućavanje vršenja nadzora

Član 55.
Lica kojima su ovim zakonom utvrđene obaveze u vezi sa zaštitom poda-
taka, dužna su da ovlašćenom licu omoguće nesmetano vršenje nadzora i stave
mu na uvid i raspolaganje potrebnu dokumentaciju.

Ovlašćenja Poverenika u nadzoru

Član 56.
Ako se prilikom obavljanja nadzora utvrdi da su povređene odredbe za-
kona kojima se uređuje obrada, Poverenik će upozoriti rukovaoca na nepravil-
nosti u obradi.
Na osnovu nalaza ovlašćenog lica, Poverenik može:
1) narediti da se nepravilnosti otklone u određenom roku;
2) privremeno zabraniti obradu koja se obavlja suprotno odredbama ovog
zakona;
3) narediti brisanje podataka prikupljenih bez pravnog osnova.
Protiv akta iz stava 2. ovog člana žalba nije dozvoljena, ali se može pokre-
nuti upravni spor.

135
 Sprovođenje mera iz stava 2. ovog člana uređuje se aktom Poverenika.
Poverenik je dužan da podnese prekršajnu prijavu zbog povreda odredaba
ovog zakona.

X. KAZNENE ODREDBE
Član 57.
Novčanom kaznom od 50.000 do 1.000.000 dinara kazniće se za prekršaj
rukovalac, obrađivač ili korisnik koji ima svojstvo pravnog lica ako:
1) obrađuje podatke bez pristanka suprotno uslovima iz člana 12. ovog
zakona;
2) obrađuje podatke suprotno uslovima iz člana 13. ovog zakona;
3) prikuplja podatke od drugog lica suprotno uslovima iz člana 14. stav
2. ovog zakona;
4) pre prikupljanja podataka ne upozna lice na koje se podaci odnose,
odnosno drugo lice o uslovima iz člana 15. stav 1. ovog zakona;
5) obrađuje naročito osetljive podatke suprotno čl. 16. do 18. ovog zakona;
6) ne učini dostupnim sve podatke u stanju u kakvom se nalaze suprotno
članu 27. stav 2. ovog zakona;
7) ne izda kopiju podatka u obliku u kojem se informacija nalazi supro-
tno članu 28. stav 1. ovog zakona;
8) ne obriše podatke iz zbirke podataka suprotno članu 36. ovog zakona;
9) ne izvrši rešenje Poverenika po žalbi (član 41. stav 1. ovog zakona);
10) postupi suprotno obavezi čuvanja tajne iz člana 46. st. 1. i 2. ovog
zakona;
11) postupi suprotno obavezi preduzimanja mera iz člana 47. stav 2. ovog
zakona;
12) ne obrazuje evidenciju, odnosno ne ažurira evidenciju suprotno članu
48. st. 1. i 3. ovog zakona;
13) ne obavesti Poverenika o nameri uspostavljanja zbirke podataka u
propisanom roku suprotno članu 49. stav 1. ovog zakona;
14) ne dostavi Povereniku evidenciju, odnosno promene u zbirci podataka
u propisanom roku (član 51. stav 1. ovog zakona);
15) iznosi podatke iz Republike Srbije suprotno članu 53. ovog zakona;
16) ne omogući ovlašćenom licu nesmetano vršenje nadzora i ne stavi mu
na uvid i raspolaganje potrebnu dokumentaciju (član 55. ovog zakona);
17) ne postupi po nalozima Poverenika (član 56. stav 2. ovog zakona).
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom ka-
znom od 20.000 do 500.000 dinara.

136
 Za prekršaj iz stava 1. ovog člana kazniće se fizičko lice, odnosno odgov-
orno lice u pravnom licu, državnom organu, odnosno organu teritorijalne au-
tonomije i jedinice lokalne samouprave novčanom kaznom od 5.000 do 50.000
dinara.

XI. PRELAZNE I ZAVRŠNE ODREDBE

Član 58.
Na sedište, izbor, prestanak mandata, postupak razrešenja, položaj Pove-
renika, zamenika Poverenika, stručnu službu, finansiranje i podnošenje izveštaja
primenjuju se odredbe Zakona o slobodnom pristupu informacijama od javnog
značaja („Službeni glasnik RS”, br. 120/04 i 54/07).
Član 59.
Poverenik za informacije od javnog značaja, ustanovljen Zakonom o slo-
bodnom pristupu informacijama od javnog značaja („Službeni glasnik RS”, br.
120/04 i 54/07) nastavlja sa radom pod nazivom Poverenik za informacije od
javnog značaja i zaštitu podataka o ličnosti.
Član 60.
Podzakonski akti na osnovu ovog zakona biće doneti u roku od šest mese-
ci od dana stupanja na snagu ovog zakona.
Član 61.
Zbirke podataka i evidencije uspostavljene do stupanja na snagu ovog za-
kona uskladiće se sa njegovim odredbama u roku od 12 meseci od dana stupanja
na snagu ovog zakona.
Rukovaoci podataka dužni su da evidencije iz člana 48. ovog zakona
dostave Povereniku, u roku od 12 meseci od dana stupanja na snagu ovog za-
kona.
Član 62.
Danom početka primene ovog zakona prestaje da važi Zakon o zaštiti po-
dataka o ličnosti („Službeni list SRJ”, br. 24/98 i 26/98-ispravka).
Član 63.
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u „Službenom
glasniku Republike Srbije”, a primenjivaće se od 1. januara 2009. godine.

137
CIP – Каталогизација у публикацији
Народна библиотека Србије, Београд
342.738(497.11)(094.5.072)
342.738(497.11)(035)
ПИРЦ Мусар, Наташа,
Vodič kroz Zakon o zaštiti podataka o ličnosti / Nataša Pirc Musar. – Beograd
: Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, 2009
(Beograd : Dosije). - 137 str. ; 24 cm
Tiraž 2.000. - Str. 9-10: Predgovor / Rodoljub Šabić. - Str. 11-12: Predgovor / Primož
Vehar. - Napomene i bibliografske reference uz tekst
ISBN 978-86-912589-0-0
а) Право на заштиту података о личности – Србија – Законски прописи б)
Право на Заштиту података о личности – Србија – Приручници
COBISS.SR-ID 167175436