Contract

NACRT

Na osnovu člana IV.4.a) Ustava Bosne i Hercegovine, Parlamentarna skupština Bosne i Hercegovine, na __. sjednici Predstavničkog doma, održanoj ____________. godine, i na __. sjednici Doma naroda, održanoj _____________. godine, usvojila xx

XXXXX

O ZAŠTITI LIČNIH PODATAKA

POGLAVLJE I. OPŠTE ODREDBE

Član 1.

(Predmet i ciljevi)

1. Ovim Zakonom propisuju se pravila u vezi sa zaštitom fizičkih lica u pogledu obrade ličnih podataka.

2. Ovim Zakonom propisuju se nadležnosti Institucije povjerenika za zaštitu ličnih podataka u Bosni i Hercegovini, organizacija i upravljanje, xxx x xxxxx pitanja značajna za njen rad i zakonito funkcionisanje.

3. Ovim Zakonom štite se osnovna prava i slobode fizičkih lica a posebno njihovo pravo na zaštitu ličnih podataka.

4. Ovim Zakonom posebno se uređuje i zaštita fizičkih lica u vezi sa obradom ličnih podataka xx xxxxxx nadležnih organa u svrhe sprječavanja, istraga, otkrivanja krivičnih djela, gonjenja učinilaca krivičnih djela, izvršenja krivičnih sankcija, uključujući sprječavanje i zaštitu od prijetnji javnoj bezbjednosti i njihovo sprječavanje.

Član 2.

(Glavno područje primjene)

1. Ovaj Zakon se primjenjuje na obradu ličnih podatke koja se u potpunosti obavlja automatizovano te na neautomatizovanu obradu ličnih podataka koji čine dio sistema čuvanja ili su namijenjeni da budu dio sistema čuvanja ličnih podataka.

2. Ovaj Zakon ne primjenjuje se na obradu ličnih podataka koju vrše fizička lica isključivo u svrhu ličnih aktivnosti ili aktivnosti domaćinstva.

3. Na obradu ličnih podataka u svrhe propisane u članu 1. stav (4) ovog Zakona ne primjenjuju se poglavlja II, III, IV i V ovog Zakona.

4. Ovaj Zakon ne dovodi u pitanje primjenu Zakona o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj: 88/07) posebno pravila o odgovornosti posrednih davalaca usluga.

Član 3.

(Teritorijalno područje primjene)

1. Ovaj Zakon primenjuje se na obradu ličnih podataka koju vrši voditelj obrade ili obrađivač koji ima sjedište u Bosni i Hercegovini, nezavisno od toga da li se obrada vrši u Bosni i Hercegovini ili ne.

2. Ovaj Zakon primenjuje se na obradu ličnih podataka vlasnika podataka u Bosni i Hercegovini koju vrši voditelj obrade ili obrađivač koji nema sjedište u Bosni i Hercegovini, ako su aktivnosti obrade povezane sa:

1. nuđenjem roba ili usluga xxx vlasnicima podataka u Bosni i Hercegovini, nezavisno od toga xxxxx xx xxxxxxx podatka da izvrši plaćanje; ili

2. praćenjem ponašanja vlasnika podataka, pod uslovom da se njihovo ponašanje odvija unutar Bosne i Hercegovine.

3. Ovaj Zakon primenjuje se na obradu ličnih podataka koju vrši voditelj obrade koji nema poslovno sjedište u Bosni i Hercegovini, već u mjestu gdje se pravo Bosne i Hercegovine primjenjuje na osnovu međunarodnog javnog prava.

Član 4.

(Definicije)

Pojedini izrazi upotrijebljeni u ovom Zakonu imaju slijedeća značenja:

1. „lični podaci” znači sve informacije koje se odnose na pojedinca xxxx je identite utvrđen ili se može utvrditi (vlasnik podataka); pojedinac xxxx se identitet može utvrditi jeste lice koje se može identifikovati posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog lica;

2. „obrada” znači svaki postupak ili skup postupaka koji se vrši na ličnim podacima ili na skupovima ličnih podataka, automatizovano ili neautomatizovano, kao što su prikupljanje, evidentiranje, organizacija, strukturiranje, pohranjivanje, prilagođavanje ili izmjena, pronalaženje, vršenje uvida, upotreba, otkrivanje prenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombinovanje, ograničenje, brisanje ili uništavanje;

3. „ograničenje obrade” znači obilježavanje čuvanih ličnih podataka u cilju ograničenja njihove obrade u budućnosti;

4. „profilisanje” znači svaki oblik automatske obrade ličnih podataka koji se sastoji od korištenja ličnih podataka za procjenu određenih ličnih aspekata u vezi fizičkog lica, posebno za analizu ili predviđanje aspekata u vezi s radnim rezultatom, ekonomskim stanjem, zdravljem, ličnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog fizičkog lica;

5. „pseudonimizacija” znači obrada ličnih podataka na takav način da se lični podaci više ne mogu dovesi u vezu sa određenim vlasnikom podataka bez korištenja dodatnih informacija, pod uslovom da su takve dodatne informacije odvojene i da se na njih primenjuju tehničke i organizacione mjere da bi se obezbijedilo da se lični podaci ne mogu povezati sa vlasnikom podataka;

6. „sistem čuvanja” znači svaki sistemski skup ličnih podataka koji su dostupni u skladu sa posebnim kriterijima, bez obzira da xx xx centralizovani, decentralizovani ili rasprostranjeni na funkcionalnoj ili geografskoj osnovi;

7. „voditelj obrade” znači fizičko ili pravno lice, javni organ ili nadležni organ koje samostalno ili zajedno s drugim određuje svrhe i sredstva obrade ličnih podataka; kada su svrhe i sredstva takve obrade utvrđeni zakonom, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se propisati zakonom;

8. „javni organ“ znači svaki organ u Bosni i Hercegovini i to: izvršni organ, zakonodavni organ, sudski organ, organ koji obavlja javnu funkciju a imenovan je ili ustanovljen u skladu sa zakonom, bilo koji drugi upravni organ i pravni subjekt koji je u vlasništvu ili pod kontrolom javnog organa;

9. “nadležni organ” znači javni organ koji je nadležan za sprječavanje, istragu i otkrivanje krivičnih djela, gonjenje učinilaca krivičnih djela ili izvršenje krivičnih sankcija, uključujući i zaštitu i sprječavanje prijetnji javnoj bezbjednosti, kao i pravna lica ako su zakonom ovlaštena za vršenje tih poslova, kao posebna kategorija voditelja obrade;

10. „obrađivač” znači fizičko ili pravno lice, javni organ koji obrađuje lične podatke u ime voditelja obrade;

11. „primalac” znači fizičko ili pravno lice, javni organ kojem se otkrivaju lični podaci, nezavisno od toga da xx xx u pitanju treća strana. Javni organi koji mogu primiti lične podatke u okviru određene istrage u skladu sa zakonom ne smatraju se primaocima ali obrada tih podataka xxxx biti u skladu sa važećim pravilima o zaštiti podataka prema svrhama obrade;

12. „treća strana” znači fizičko ili pravno lice, javni organ koje nije vlasnik podataka, voditelj obrade, obrađivač niti xxxx xxxx su ovlaštena za obradu ličnih podataka pod neposrednom nadležnošću voditelja obrade ili obrađivača;

13. „saglasnost” vlasnika podataka znači svako dobrovoljno, izričito, informisano i nedvosmisleno izražavanje volje vlasnika podataka kada on izjavom ili jasnom potvrdnom radnjom daje saglasnost za obradu ličnih podataka koji se na njega odnose;

14. „povreda ličnih podataka” znači kršenje bezbjednosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ličnim podacima koji su prenijeti, čuvani ili na drugi način obrađivani;

15. „genetski podaci” znači lični podaci koji se odnose na naslijeđene ili stečene genetske osobine fizičkog lica koje daju jedinstvene informacije o fiziologiji ili zdravlju tog fizičkog lica i koji su dobijeni posebno analizom biološkog uzorka tog fizičkog lica;

16. „biometrijski podaci” znači lični podaci dobijeni posebnom tehničkom obradom u vezi sa fizičkim osobinama, fiziološkim osobinama ili osobinama ponašanja fizičkog xxxx xxxx omogućavaju ili potvrđuju jedinstvenu identifikaciju tog fizičkog lica, kao što su fotografije lica ili daktiloskopski podaci;

17. „podaci koji se odnose na zdravlje” znači lični podaci u vezi sa fizičkim ili mentalnim zdravljem fizičkog lica, uključujući pružanje zdravstvenih usluga, koji otkrivaju informacije o njegovom zdravstvenom stanju;

18. „predstavnik” znači fizičko ili pravno lice sa prebivalištem ili boravištem odnosno sjedištem u Bosni i Hercegovini koje je voditelj obrade ili obrađivač pisanim putem imenovao u skladu sa članom 27. za predstavljanje voditelja obrade ili obrađivača u vezi s njegovim obavezama na osnovu ovog Zakona;

18. „privrednik” znači fizičko ili pravno lice koje obavlja privrednu djelatnost, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja redovno obavljaju privrednu delatnost;

19. „grupa privrednika” znači privrednik koji ostvaruje kontrolu i privrednici koji su pod njegovom kontrolom;

20. „obavezujuća korporativna pravila” znači politike zaštite ličnih podataka kojih se voditelj obrade i obrađivač sa poslovnim sjedištem u Bosni i Hercegovini pridržava prilikom prenosa ili skupova prenosa ličnih podataka voditelju obrade ili obrađivaču u jednoj ili više trećih zemalja u okviru xxxxx privrednika ili xxxxx preduzeća koja se bave zajedničkom privrednom djelatnošću;

21. „Institucija Povjerenika” znači Institucija povjerenika za zaštitu ličnih podataka u Bosni i Hercegovini;

26. „usluga informacionog društva” znači uslugu definisanu Zakonom o elektronskom pravnom i poslovnom prometu;

27. „međunarodna organizacija” znači organizacija sa svojim podređenim organima uređena međunarodnim javnim pravom ili bilo koje drugi organ koji su sporazumom ili na osnovu sporazuma osnovale dvije ili više zemalja.

POGLAVLJE II. PRINCIPI

Član 5.

(Principi obrade ličnih podataka)

1. Lični podaci moraju biti:

1. zakonito, pravično i transparentno obrađivani u odnosu na vlasnika podataka („zakonitost, pravičnost i transparentnost”);

2. prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s xxx svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 54. stav (1) ne smatra se neusklađenom sa prvobitnim svrhama („ograničenje svrhe”);

3. primjereni, relevantni i ograničeni na ono što je neophodno u svrhe u koje se obrađuju („smanjenje obima podataka”);

4. tačni i prema potrebi ažurirani; potrebno je preduzeti sve razumne mjere kako bi se obezbijedilo da lični podaci, koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odgađanja izbrisani ili ispravljeni („tačnost”);

5. čuvani u obliku koji omogućava identifikaciju vlasnika podataka i to ne duže nego što je potrebno u svrhe u koje se lični podaci obrađuju; lični podaci se mogu čuvati na duži vremenski period ako će se lični podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 54. stav (1), što podliježe provođenju primjerenih tehničkih i organizacionih mjera propisanih ovim Zakonom radi zaštite prava i xxxxxxx vlasnika podataka („ograničenje čuvanja”);

6. obrađivani na način kojim se obezbjeđuje odgovarajuća zaštita ličnih podataka, uključujući i zaštitu od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacionih mjera („cjelovitost i povjerljivost”).

2. Voditelj obrade je odgovoran za usklađenost sa stavom (1) ovog člana i xxxx biti u mogućnosti da dokaže tu usklađenost („odgovornost”).

Član 6.

(Zakonitost obrade)

1. Obrada je zakonita samo ako je ispunjen i u mjeri u kojoj je ispunjen najmanje jedan od sljedećih uslova:

1. vlasnik podataka xx xxx saglasnost za obradu svojih ličnih podataka u jednu ili više posebnih svrha;

2. obrada je neophodna radi izvršenja ugovora u kojem xx xxxxxxx podataka ugovorna strana ili radi preduzimanja radnji na zahtjev vlasnika podataka prije zaključenja ugovora;

3. obrada je neophodna radi izvršenja pravnih obaveza voditelja obrade;

4. obrada je neophodna radi zaštite važnih interesa vlasnika podataka ili drugog fizičkog lica;

5. obrada je neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlaštenja voditelja obrade;

6. obrada je neophodna zbog legitimnih interesa voditelja obrade ili xxxxx xxxxxx, osim kada nad xxx interesima pretežu interesi ili osnovna prava i slobode vlasnika podataka, a koji zahtijevaju zaštitu ličnih podataka, posebno ako xx xxxxxxx podataka dijete. Ova xxxxx xx ne primjenjuje na obradu koju vrše javni organi prilikom obavljanja svojih poslova.

2. Pravni osnov za obradu ličnih podataka iz stava (1) xxxxx c) i e) ovog člana utvrđuje se posebnim zakonom, tako da se preciznije propišu posebni uslovi za obradu xx xxxxx mjere za obezbjeđenje zakonite i pravične obrade, između ostalog i za druge posebne obrade xxxx xx to predviđeno u Poglavlju VI. ovog Zakona.

3. Posebnim zakonom, za obradu podataka iz stava (1) xxxxx c) i e), propisuje se svrha obrade, koja u pogledu obrade iz xxxxx e) xxxx biti neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlaštenja voditelja obrade. Xxx zakonom propisuju se: opšti uslovi kojima se uređuje zakonitost obrade koju vrši voditelj obrade, vrste podataka koji se obrađuju, kategorije vlasnika podataka, subjekti kojima se lični podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničenje svrhe, rokovi čuvanja te radnje obrade i postupci obrade, uključujući i mjere za obezbjeđenje zakonite i pravične obrade, kao i za druge posebne obrade xxxx xx navedeno u Poglavlju VI. Xxx zakonom xxxx xx ostvariti cilj od javnog interesa i obrada xxxx biti srazmjerna zakonitom cilju kojem se teži.

4. Ako se obrada vrši u svrhu xxxx xx različita od svrhe u koju su lični podaci prikupljeni ne zasniva na saglasnosti vlasnika podataka ili posebnom zakonu koji predstavlja neophodnu i srazmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz člana 23. stav (1), voditelj obrade, u cilju utvrđivanja da xx xx obrada u drugu svrhu u skladu sa svrhom u koju su lični podaci prvobitno prikupljeni, uzima u obzir, između ostalog:

1. svaku vezu između svrha u koje su lični podaci prikupljeni i svrha namjeravane dalje obrade;

2. kontekst u kojem su lični podaci prikupljeni, posebno u pogledu odnosa između vlasnika podataka i voditelja obrade;

3. prirodu ličnih podataka, posebno činjenicu da li se obrađuju posebne kategorije ličnih podataka u skladu sa članom 9. ili lični podaci koji se odnose na krivičnu osuđivanost i kažnjiva djela u skladu sa članom 10.;

4. moguće posljedice namjeravane dalje obrade za vlasnike podataka;

5. postojanje odgovarajućih mjera zaštite, koje mogu uključivati enkripciju ili pseudonimizaciju.

Član 7.

(Saglasnost)

1. Xxxx xx obrada zasnovana na saglasnosti, voditelj obrade xxxx biti u mogućnosti da dokaže da xx xxxxxxx podataka dao saglasnost za obradu svojih ličnih podataka.

2. Ako vlasnik podataka daje saglasnost u pisanoj izjavi koja se odnosi i xx xxxxx pitanja, zahtjev za saglasnost xxxx biti predočen na način da se jasno razlikuje od drugih pitanja, u razumljivom i xxxx dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika. Dio saglasnosti koji predstavlja kršenje ovog Zakona nije obavezujući.

3. Vlasnik podataka ima pravo da u bilo kom trenutku povuče svoju saglasnost. Povlačenje saglasnosti ne utiče na zakonitost obrade na osnovu saglasnosti prije njenog povlačenja. Prije davanja saglasnosti vlasnik podataka se o tome upoznaje. Povlačenje saglasnosti xxxx biti jednako jednostavno kao i njeno davanje.

4. Kada se procjenjuje da xx xx saglasnost data dobrovoljno, u najvećoj mogućoj mjeri se uzima u obzir da xx xx, između ostalog, izvršenje ugovora, uključujući i pružanje usluge, uslovljeno saglasnošću za obradu ličnih podataka koja nije neophodna za izvršenje tog ugovora.

Član 8.

(Uslovi koji se primjenjuju na saglasnost djeteta u vezi sa uslugama informacionog društva)

1. Kada se primjenjuje član 6. stav (1) xxxxx a) u pogledu neposrednog nuđenja usluga informacionog društva djetetu, obrada ličnih podataka djeteta zakonita je ako dijete ima najmanje 15 xxxxxx. Ako je dijete mlađe od 15 xxxxxx, takva obrada je zakonita samo ako i u mjeri u kojoj je saglasnost dao ili odobrio vršilac roditeljske odgovornosti nad djetetom.

2. Voditelj obrade xxxx da uloži razumne napore prilikom provjere da xx xx saglasnost u xxx slučajevima dao ili odobrio vršilac roditeljske odgovornosti nad djetetom, uzimajući u obzir dostupnu tehnologiju.

3. Stav (1) ovog člana ne utiču na opšta pravila obligacionog prava koja se tiču važenja, zaključenja ili dejstva ugovora u vezi sa djetetom.

Član 9.

(Obrada posebnih kategorija ličnih podataka)

1. Obrada ličnih podataka koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica, podataka o zdravlju ili podataka o spolnom životu ili seksualnoj orijentaciji xxxx xx zabranjena.

2. Izuzetno od odredbe stava (1) ovog člana, obrada posebne kategorije ličnih podataka dozvoljena je ako je ispunjen jedan od slijedećih uslova:

1. vlasnik podataka xx xxx izričitu saglasnost za obradu ovih ličnih podataka za jednu ili više konkretnih svrha, osim xxxx xx posebnim zakonom propisano da se obrada ovih podataka ne može vršiti na osnovu saglasnosti;

2. obrada je neophodna radi izvršavanja obaveza i ostvarivanja prava voditelja obrade ili vlasnika podataka u oblasti radnog prava i prava socijalnog osiguranja i socijalne zaštite, u mjeri u kojoj je to propisano zakonom ili kolektivnim ugovorom u skladu sa posebnim zakonom koji propisuje odgovarajuće mjere zaštite osnovnih prava i interesa vlasnika podataka;

3. obrada je neophodna radi zaštite životno važnih interesa vlasnika podataka ili drugog fizičkog lica ako vlasnik podataka fizički ili pravno nije sposoban dati saglasnost;

4. obrada se vrši u okviru legitimnih aktivnosti, uz odgovarajuće zaštitne mjere, fondacije, udruženja ili bilo koje druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem, i to pod uslovom da se obrada odnosi isključivo na članove ili bivše članove te organizacije ili na fizička xxxx xxxx imaju xxxxxxx kontakt sa istom a u vezi sa njenim ciljevima i da se lični podaci ne otkrivaju izvan te organizacije bez saglasnosti vlasnika podataka;

5. obrada se odnosi na lične podatke za koje je očigledno da ih je objavio vlasnik podataka;

6. obrada je neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahtjeva ili kad sudovi postupaju u sudskom svojstvu;

7. obrada je neophodna za potrebe značajnog javnog interesa, na osnovu zakona koji je srazmjeran legitimnom cilju i kojim se poštuje suština prava na zaštitu ličnih podataka i obezbjeđuju primjerene i posebne mjere za zaštitu osnovnih prava i interesa vlasnika podataka;

8. obrada je neophodna za potrebe preventivne medicine ili medicine rada zbog procjene radne sposobnosti zaposlenih, medicinske dijagnoze, pružanja zdravstvene ili socijalne zaštite ili liječenja ili upravljanja sistemima i uslugama zdravstvene ili socijalne zaštite na osnovu posebnog zakona ili u skladu sa ugovorom sa zdravstvenim radnikom i pod uslovima i mjerama zaštite iz stava (3) ovog člana;

9. obrada je neophodna iz razloga javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih prijetnji za zdravlje ili obezbjeđivanje visokih standarda kvaliteta i bezbjednosti zdravstvene zaštite i lijekova i medicinskih sredstava, na osnovu posebnog zakona kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i xxxxxxx vlasnika podataka, a posebno čuvanje profesionalne xxxxx;

10. obrada je neophodna za potrebe arhiviranja u javnom interesu, potrebe naučnog ili istorijskog istraživanja ili statističke potrebe u skladu sa članom 54. stav (1) ovog Zakona a na osnovu posebnog zakona, koji je srazmjeran legitimnom cilju i kojim se poštuje suština prava na zaštitu podataka i obezbjeđuju primjerene i posebne mjere za zaštitu osnovnih prava i interesa vlasnika podataka.

3. Lični podaci iz stava (1) ovog člana mogu se obrađivati u svrhe navedene u stavu (2) xxxxx h) ovog člana kada te podatke obrađuje stručno lice ili se podaci obrađuju pod odgovornošću stručnog lica na kojeg se primjenjuje obaveza čuvanja profesionalne xxxxx u skladu sa posebnim zakonom ili pravilima koja su utvrdili nadležni javi organi ili drugo lice na koje se primjenjuje obaveza čuvanja xxxxx u skladu sa posebnim zakonom ili pravilima koja su utvrdili nadležni javni organi.

4. Posebnim zakonima mogu se zadržati ili uvesti dodatni uslovi, uključujući i ograničenja u odnosu na obradu genetskih podataka, biometrijskih podataka ili podataka o zdravlju.

Član 10.

(Obrada ličnih podataka koji se odnose na krivičnu osuđivanost i kažnjiva djela)

Obrada ličnih podataka koji se odnose na krivične presude i kažnjiva djela ili mjere bezbjednosti na osnovu člana 6. stav (1) ovog Zakona može se vršiti samo pod nadzorom javnog organa ili xxxx xx obrada propisana posebnim zakonom kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode vlasnika podataka. Registar krivičnih presuda vodi se isključivo pod nadzorom javnog organa.

Član 11.

(Obrada za koju nije potrebna identifikacija)

1. Ako voditelj obrade obrađuje lične podatke za čiju svrhu obrade nije potrebno ili više nije potrebno da identifikuje vlasnika podataka, voditelj obrade nije xxxxx xx xxxx, pribavlja ili obrađuje dodatne informacije radi identifikacije vlasnika podataka samo za potrebe poštivanja ovog Zakona.

2. Ako u slučajevima iz stava (1) ovog člana voditelj obrade može dokazati da nije u mogućnosti da identifikuje vlasnika podataka, voditelj obrade o tome, na odgovarajući način obavještava vlasnika podataka, ako je moguće. U xxx slučajevima se ne primjenjuju članovi od 15. do 20. ovog Zakona, osim u slučaju xx xxxxxxx podataka u svrhu ostvarivanja svojih prava iz tih članova pruži dodatne informacije koje omogućavaju njegovu identifikaciju.

POGLAVLJE III. PRAVA VLASNIKA PODATAKA

Član 12.

(Transparentne informacije, komunikacija i načini ostvarivanja prava vlasnika podataka)

1. Voditelj obrade preduzima odgovarajuće mjere kako bi se vlasniku podataka pružile sve informacije iz članova 13. i 14. i sve mogućnosti za ostvarivanje prava iz članova od 15. do 22. i člana 34. u vezi sa obradom podataka i to u sažetom, transparentnom, razumljivom i xxxx dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namijenjene djetetu. Informacije se pružaju u pisanom obliku ili na druge načine, uključujući i elektronski oblik xxxx xx primjereno. Ako vlasnik podataka zahtijeva, informacije se mogu pružiti usmeno, pod uslovom da je identitet vlasnika podataka utvrđen drugim sredstvima.

2. Voditelj obrade olakšava ostvarivanje prava vlasnika podataka iz članova od 15. do 22. U slučajevima iz člana 11. stav (1) voditelj obrade ne smije odbiti da postupi po zahtjevu vlasnika podataka za ostvarivanje njegovih prava iz članova od 15. do 22., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet vlasnika podataka.

3. Voditelj obrade vlasniku podataka na njegov zahtjev pruža informacije o preduzetim radnjama iz članova od 15. do 22. bez nepotrebnog odlaganja, i u svakom slučaju najkasnije u roku od mjesec xxxx od prijema zahtjeva. Taj se rok može, prema potrebi, produžiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjeva. Voditelj obrade obaviještava vlasnika podataka o svakom takvom produženju u roku od mjesec xxxx od prijema zahtjeva, pri čemu navodi razloge za odlaganje. Ako vlasnik podataka podnese zahtjev elektronskim putem, informacije se pružaju elektronskim putem ako je to moguće, osim u slučaju xxxx xxxxxxx podataka zahtijeva drugačije.

4. Ako voditelj obrade ne postupi po zahtjevu vlasnika podataka, xxxxx xx bez odlaganja a najkasnije mjesec xxxx od prijema zahtjeva obavjestiti vlasnika podataka o razlozima zbog kojih nije postupio po zahtjevu i o mogućnosti podnošenja pritužbe Instituciji povjerenika i drugim pravnim sredstvima.

5. Informacije pružene u skladu sa članovima 13. i 14. i sva komunikacija i djelovanja iz članova od 15. do 22. i člana 34. pružaju se bez naknade. Ako su zahtjevi vlasnika podataka očigledno neosnovani ili pretjerani, posebno zbog njihovog učestalog ponavljanja, voditelj obrade može:

1. naplatiti razumnu naknadu, uzimajući u obzir administrativne troškove pružanja informacija ili komunikacija ili postupanja po zahtjevu; ili

2. odbiti da postupi po zahtjevu.

Teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva je na voditelju obrade.

6. Ako voditelj obrade ima opravdane sumnje u pogledu identiteta fizičkog lica koje podnosi zahtjev iz članova od 15. do 21, voditelj obrade može, ne dovodeći u pitanje član 11., da zatraži dodatne informacije neophodne za potvrđivanje identiteta vlasnika podataka.

7. Informacije koje moraju biti pružene vlasnicima podataka, u skladu sa članovima 13. i 14. mogu se pružiti u kombinaciji sa standardizovanim ikonama kako bi se xx xxxx vidljiv, razumljiv i jasno čitljiv način pružio logičan pregled namjeravane obrade. Ako su ikone prikazane elektronski, moraju da budu mašinski čitljive.

8. Institucija povjerenika je ovlaštena da xxxxxx propise u svrhu određivanja informacija koje se prikazuju ikonama i postupaka za utvrđivanje standardizovanih ikona.

Član 13.

(Informacije koje se pružaju ako se lični podaci prikupljaju od vlasnika podataka)

1. Ako se lični podaci prikupljaju od vlasnika podataka, voditelj obrade u trenutku prikupljanja ličnih podataka vlasniku podataka pruža slijedeće informacije o:

1. identitetu i kontaktnim podacima voditelja obrade i ako je primjenjivo, predstavnika voditelja obrade;

2. kontaktnim podacima službenika za zaštitu podataka, ako je primjenjivo;

3. pravnom osnovu za obradu te svrhama obrade ličnih podataka;

4. legitimnim interesima voditelja obrade ili trećeg lica, ako je obrada zasnovana na članu 6. stav (1) xxxxx f);

5. primaocima ili kategorijama primalaca ličnih podataka, ako ih ima; i

6. činjenici da voditelj obrade namjerava da prenese lične podatke u treću zemlju ili međunarodnoj organizaciji i postojanju ili nepostojanju odluke Institucije povjerenika o adekvatnosti, odnosno, u slučaju prenosa iz člana 46. ili 47. ili člana 49, stav (2), upućivanje na primjerene ili odgovarajuće zaštitne mere i načine dobijanja njihove kopije ili mjesto na kojem su stavljeni na raspolaganje, ukoliko je primjenjivo.

2. Osim informacija iz stava (1) ovog člana, voditelj obrade u trenutku prikupljanja ličnih podataka, pruža vlasniku podataka sljedeće dodatne informacije ukoliko je to neophodno da bi se obezbijedila pravična i transparentna obrada:

1. roku u kojem će se lični podaci čuvati ili, ako to nije moguće, kriterije koji se koriste za određivanje tog roka;

2. pravu da se od voditelja obrade zatraži pristup ličnim podacima, ispravka ili brisanje ličnih podataka ili ograničenje obrade u vezi sa vlasnikom podataka i pravu na prigovor, kao i pravu na prenosivost podataka;

3. pravu da se saglasnost povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade koja se zasnivala na saglasnosti prije njenog povlačenja, ako je obrada zasnovana na članu 6. stav (1) xxxxx a) ili članu 9. stav (2) xxxxx a), ;

4. pravu na podnošenje pritužbe Instituciji povjerenika;

5. tome da xx xx davanje ličnih podataka zakonska ili ugovorna obaveza ili neophodan uslov za zaključenje ugovora, kao i da xx xxxxxxx podataka ima obavezu dati lične podatke i koje su moguće posljedice ako se takvi podaci ne pruže;

6. postojanju automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22. stav (1) i (4) te, najmanje u xxx slučajevima, razumne informacije o logici koja se koristi, kao i značaju i predviđenim posljedicama takve obrade za vlasnika podataka.

3. Ako voditelj obrade namjerava dodatno obrađivati lične podatke u svrhu koja se razlikuje od svrhe za koju su podaci prikupljeni, voditelj obrade prije te dodatne obrade vlasniku podataka pruža informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava (2) ovog člana.

4. Voditelj obrade nije xxxxx pružiti informacije vlasniku podataka iz stavova (1), (2) i (3) ovog člana ukoliko vlasnik podataka već raspolaže xxx informacijama.

Član 14.

(Informacije koje se pružaju ako lični podaci nisu dobijeni od vlasnika podataka)

1. Ako lični podaci nisu dobijeni od vlasnika podataka, voditelj obrade pruža vlasniku podataka, slijedeće informacije o:

1. identitetu i kontaktnim podacima voditelja obrade i predstavniku voditelja obrade ako je primjenjivo;

2. kontaktnim podacima službenika za zaštitu podataka, ako je primjenjivo;

3. pravnom osnovu za obradu i svrhama obrade;

4. kategorijama ličnih podataka koji se obrađuju;

5. primaocima ili kategorijama primalaca ličnih podataka, ukoliko postoje;

6. činjenicama da voditelj obrade namjerava da lične podatke prenese primaocu u treću zemlju ili međunarodnoj organizaciji i postojanju ili nepostojanju odluke Institucije povjerenika o adekvatnosti, ili u slučaju prenosa iz člana 46. ili 47. ili člana 49. stav (2), upućivanje na primjerene ili odgovarajuće zaštitne mjere i načine dobijanja njihove kopije ili mjesta na kojem su stavljeni na raspolaganje, ako je primjenjivo.

2. Osim informacija iz stava (1) ovog člana, voditelj obrade pruža vlasniku podataka slijedeće informacije ukoliko je to neophodno da bi se obezbijedila pravična i transparentna obrada u odnosu na vlasnika podataka:

1. roku u kojem će se lični podaci čuvati ili, ako to nije moguće, kriterije koji se koriste za određivanje tog roka;

2. legitimnim interesima voditelja obrade ili trećeg lica ako je obrada zasnovana na članu 6. stav (1) xxxxx f);

3. pravu da se od voditelja obrade zatraži pristup ličnim podacima, ispravka ili brisanje ličnih podataka ili ograničenje obrade u vezi sa vlasnikom podataka i pravu na prigovor, kao i pravu na prenosivost podataka;

4. pravu da se saglasnost povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade zasnovane na saglasnosti prije povlačenja, ako je obrada zasnovana na članu 6. stav (1) xxxxx a) ili članu 9. stav (2) xxxxx a);

5. pravu na podnošenje pritužbe Instituciji povjerenika;

6. izvoru ličnih podataka i, prema potrebi, da li dolaze iz javno dostupnih izvora;

7. postojanju automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22. stav (1) i (4) te, najmanje u xxx slučajevima, razumne informacije o logici koja se koristi, kao i značaju i predviđenim posljedicama takve obrade za vlasnika podataka.

3. Voditelj obrade pruža informacije iz stava (1) i (2) ovog člana:

1. u razumnom roku nakon dobijanja ličnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade ličnih podataka;

2. ako se lični podaci koriste za komunikaciju sa vlasnikom podataka, najkasnije prilikom prve komunikacije; ili

3. ako je predviđeno otkrivanje podataka drugom primaocu, najkasnije u trenutku kada su lični podaci prvi put otkriveni.

4. Ako voditelj obrade namjerava dodatno obrađivati lične podatke u svrhu koja se razlikuje od svrhe za koju su podaci prikupljeni, voditelj obrade prije te dodatne obrade pruža vlasniku podataka informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava (2) ovog člana.

5. Stavovi od (1) do (4) ovog člana ne primjenjuju se ako i u mjeri u kojoj:

1. vlasnik podataka već posjeduje informacije;

2. pružanje takvih informacija je nemoguće ili bi zahtjevalo nesrazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa uslovima i mjerama zaštite iz člana 54. stav (1) ili u mjeri u kojoj je vjerovatno da se obavezom iz stava (1) ovog člana može onemogućiti ili ozbiljno ugroziti ostvarivanje ciljeva te obrade. U takvim slučajevima, voditelj obrade preduzima odgovarajuće mjere za zaštitu prava i xxxxxxx i legitimnih interesa vlasnika podataka, između ostalog stavljanjem informacija na raspolaganje javnosti;

3. dobijanje ili otkrivanje podataka je izričito propisano posebnim zakonom koji se primenjuje na vlasnika podataka, a koji predviđa odgovarajuće mere za zaštitu legitimnih interesa vlasnika podataka; ili

4. lični podaci moraju ostati povjerljivi u skladu s obavezom čuvanja profesionalne xxxxx xxxx propisuje posebni zakon, uključujući i druge zakonske obaveze čuvanja xxxxx.

Član 15.

(Pravo vlasnika podataka na pristup)

1. Vlasnik podataka ima pravo dobiti informaciju od voditelja obrade o tome da li se obrađuju njegovi lični podaci i, ako se obrađuju, pristup ličnim podacima i sljedećim informacijama:

1. svrsi obrade;

2. kategorijama ličnih podataka koje se obrađuju;

3. primaocima ili kategorijama primalaca kojima su lični podaci otkriveni ili će im biti otkriveni, a posebno primaocima u trećim zemljama ili međunarodnim organizacijama;

4. predviđenom roku u kojem će se lični podaci čuvati, ako je to moguće, ili, ako to nije moguće, kriterijima za određivanje tog roka;

5. pravu da se od voditelja obrade zatraži ispravka ili brisanje ličnih podataka ili ograničavanje obrade ličnih podataka koji se odnose na vlasnika podataka ili prava na prigovor na takvu obradu;

6. pravu na podnošenje pritužbe Instituciji povjerenika;

7. ako se lični podaci ne prikupljaju od vlasnika podataka, svakoj dostupnoj informaciji o njihovom izvoru;

8. postojanju automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22. stav (1) i (4) te, najmanje u xxx slučajevima, razumne informacije o logici koja se koristi, kao i značaju i predviđenim posljedicama takve obrade za vlasnika podataka.

2. Ako se lični podaci prenose u treću zemlju ili međunarodnoj organizaciji, vlasnik podataka ima pravo da bude informisan o odgovarajućim mjerama zaštite u skladu sa članom 46. koje se odnose na prenos podataka.

3. Voditelj obrade obezbjeđuje kopiju ličnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži vlasnik podataka, voditelj obrade može naplatiti opravdanu naknadu na osnovu administrativnih troškova. Ako vlasnik podataka podnese zahtjev elektronskim putem te osim ako vlasnik podataka ne zahtijeva drugačije, informacije se pružaju u uobičajenom elektronskom obliku.

4. Pravo na dobijanje kopije ne smije negativno uticati na prava i slobode drugih.

Član 16.

(Pravo na ispravku)

1. Vlasnik podataka ima pravo da mu voditelj obrade omogući ispravku netačnih ličnih podataka, bez nepotrebnog odgađanja.

2. Uzimajući u obzir svrhu obrade, vlasnik podataka ima pravo da dopuni nepotpune lične podatke, između ostalog i davanjem dodatne izjave.

Član 17.

(Pravo na brisanje „pravo na zaborav”)

1. Vlasnik podataka ima pravo da mu voditelj obrade omogući brisanje ličnih podataka a voditelj obrade ima obavezu da obriše lične podatke, bez nepotrebnog odgađanja, ako je ispunjen jedan od sljedećih uslova:

1. lični podaci više nisu neophodni za svrhe u koje su prikupljeni ili na drugi način obrađeni;

2. vlasnik podataka je povukao saglasnost na kojoj je obrada zasnovana u skladu sa članom 6. stav (1) xxxxx a) ili članom 9. stav (2), xxxxx a) i ako ne postoji drugi pravni osnov za obradu;

3. vlasnik podataka je uložio prigovor na obradu u skladu sa članom 21. stav (1) i ne postoje preovlađujući zakonski razlozi za obradu, ili xx xxxxxxx podataka uložio prigovor na obradu u skladu sa članom 21. stav (2);

4. lični podaci su nezakonito obrađeni;

5. lični podaci moraju biti obrisani radi postupanja u skladu sa zakonskom obavezom kojoj podliježe voditelj obrade;

6. lični podaci su prikupljeni u vezi sa ponudom usluga informacionog društva iz člana 8. stav (1).

2. Ako je voditelj obrade javno objavio lične podatke a xxxxx xx u skladu sa stavom (1) ovog člana te lične podatke brisati, uzimajući u obzir dostupnu tehnologiju i troškove provođenja, voditelj obrade preduzima razumne mjere, uključujući i tehničke mjere, da bi obavijestio voditelje obrade koji obrađuju lične podatke da xx xxxxxxx podataka zatražio od tih voditelja obrade da brišu sve poveznice do njih ili kopiju ili rekonstrukciju tih ličnih podataka.

3. Stavovi (1) i (2) ovog člana se ne primjenjuju u mjeri u kojoj je obrada neophodna:

1. radi ostvarivanja prava na slobodu izražavanja i informisanja;

2. radi poštivanja zakonske obaveze kojom se zahtjeva obrada propisana posebnim zakonom a koja se primjenjuje na voditelja obrade ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlaštenja dodijeljenih voditelju obrade;

3. zbog javnog interesa u oblasti javnog zdravlja u skladu sa članom 9. stav (2) xxxxx h) i i), kao i članom 9. stav (3);

4. u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe u skladu sa članom 54. stav (1) u mjeri u kojoj je vjerovatno da se pravom iz stava (1) ovog člana može onemogućiti ili ozbiljno ugroziti ostvarivanje ciljeva te obrade; ili

5. radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva.

Član 18.

(Pravo na ograničenje obrade)

1. Vlasnik podataka ima pravo da mu voditelj obrade omogući ograničenje obrade ako je ispunjen jedan od sljedećih uslova:

1. vlasnik podataka osporava tačnost ličnih podataka, u roku u kojem se voditelju obrade omogućava da provjeri tačnost ličnih podataka;

2. obrada je nezakonita, a vlasnik podataka se protivi brisanju ličnih podataka i umjesto toga traži ograničenje njihove obrade;

3. voditelju obrade više nisu potrebni lični podaci za potrebe obrade, ali xx xxxxxxx podataka zahtijeva radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva;

4. vlasnik podataka je uložilo prigovor na obradu u skladu sa članom 21. stav (1) i očekuje potvrdu da li njegovi razlozi preovladavaju legitimne razloge voditelja obrade.

2. Ako je obrada ograničena u skladu sa stavom (1) ovog člana, ti lični podaci smiju se obrađivati samo uz saglasnost vlasnika podataka, izuzev čuvanja, ili za postavljanje, ostvarivanje ili odbranu pravnih zahteva ili zaštitu prava drugog fizičkog ili pravnog lica ili zbog važnog javnog interesa.

3. Vlasnika podataka koji je ostvario ograničenje obrade, u skladu sa stavom (1) ovog člana, voditelj obrade obavještava prije ukidanja ograničenja obrade.

Član 19.

(Obaveza obavještavanja o ispravci ili brisanju ličnih podataka ili ograničenju obrade)

1. Voditelj obrade obavještava sve primaoce kojima su lični podaci otkriveni o svakoj ispravci ili brisanju ličnih podataka ili ograničenju obrade izvršenom u skladu sa članom 16. članom 17. stav (1) i članom 18., osim u slučaju xxxx xx to nemoguće ili ukoliko to zahtjeva nesrazmjeran napor.

2. Voditelj obrade obavještava vlasnika podataka o xxx primaocima, ako vlasnik podataka to zahtijeva.

Član 20.

(Pravo na prenosivost ličnih podataka)

1. Vlasnik podataka ima pravo da preuzme lične podatke koji se odnose na njega, a koje xx xxx voditelju obrade u strukturiranom, uobičajno upotrebljavanom i mašinski čitljivom formatu te ima pravo da prenosi te podatke drugom voditelju obrade bez ometanja xx xxxxxx voditelja obrade kojem su lični podaci dati, ako:

1. je obrada zasnovana na saglasnosti u skladu sa članom 6. stav (1) xxxxx a) ili članom 9. stav (2) xxxxx a) ili na ugovoru u skladu sa članom 6. stav (1) xxxxx b); i

2. ukoliko se obrada vrši automatski.

2. Prilikom ostvarivanja svojih prava na prenosivost podataka vlasnik podataka ima pravo na neposredni prenos od jednog voditelja obrade drugom voditelju obrade, ako je to tehnički izvodljivo.

3. Ostvarivanjem prava na prenosivost podataka ne dovodi se u pitanje član 17. Ovo pravo se ne primjenjuje na obradu neophodnu za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru službenih ovlaštenja dodijeljenih voditelju obrade.

4. Pravo na prenosivost podataka ne smije negativno uticati na prava i slobode drugih.

Član 21.

(Pravo na prigovor)

1. Vlasnik podataka ima pravo na osnovu svoje posebne situacije u svakom trenutku voditelju obrade podnijeti prigovor na obradu njegovih ličnih podataka, u skladu sa članom 6. stav (1) xxxxx e) ili f) uključujući profilisanje zasnovano na xxx odredbama. Voditelj obrade ne smije dalje obrađivati lične podatke, osim u slučaju da dokaže da postoje uvjerljivi legitimni razlozi za obradu koji preovladavaju nad interesima, pravima i slobodama vlasnika podataka ili radi postavljanja, ostvarivanja ili odbrane pravnih zahtjeva.

2. Ako se lični podaci obrađuju za potrebe direktnog marketinga, vlasnik podataka ima pravo da u bilo kojem trenutku uloži prigovor na obradu ličnih podataka za potrebe takvog marketinga, što uključuje profilisanje u mjeri u kojoj je povezano sa takvim direktnim marketingom.

3. Ako xx xxxxxxx podataka protivi obradi za potrebe direktnog marketinga, lični podaci više se ne smiju obrađivati u te svrhe.

4. Najkasnije u trenutku prve komunikacije sa vlasnikom podataka, vlasniku podataka se izričito xxxx skrenuti pažnja na prava iz stava (1) i (2) ovog člana, te se to xxxx učiniti na xxxxx xxxxx i odvojeno od bilo koje druge informacije.

5. U kontekstu korištenja usluga informacionog društva i ne uzimajući u obzir propise iz oblasti elektronskih komunikacija, vlasnik podataka može da ostvari svoje pravo na prigovor automatizovanim putem pomoću tehničkih specifikacija.

6. Ako se lični podaci obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe na osnovu člana 54. stav (1) vlasnik podataka na osnovu svoje posebne situacije ima pravo uložiti prigovor na obradu ličnih podataka koji se na njega odnose, osim ako je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu.

Član 22.

(Automatizovano pojedinačno donošenje odluka, uključujući i profilisanje)

1. Vlasnik podataka ima pravo da se na njega ne primjenjuje odluka zasnovana isključivo na automatizovanoj obradi, uključujući i profilisanje, koja proizvodi pravne efekte ili na sličan način značajno na njega utiču.

2. Stav (1) ovoga člana ne primjenjuje se ako je odluka:

1. potrebna za zaključivanje ili izvršenje ugovora između vlasnika podataka i voditelja obrade;

2. dozvoljena zakonom koji se primjenjuje na voditelja obrade i koji propisuje odgovarajuće zaštitne mjere za prava i slobode te legitimne interese vlasnika podataka; ili

3. zasnovana na izričitoj saglasnosti vlasnika podataka.

3. U slučajevima iz stava (2) xxxxx a) i c) ovog člana, voditelj obrade preduzima odgovarajuće mjere za zaštitu prava i xxxxxxx xx legitimnih interesa vlasnika podataka, najmanje prava na učešće fizičkog lica u donošenju odluke, prava izražavanja sopstvenog stava i prava na osporavanje odluke.

4. Odluka iz stava (2) ovog člana ne smiju biti zasnovana na posebnim kategorijama ličnih podataka iz člana 9. stav (1), osim ako se primjenjuje član 9. stav (2) xxxxx a) ili g) te ako su uspostavljene odgovarajuće mjere za zaštitu prava i xxxxxxx i legitimnih interesa vlasnika podataka.

Član 23.

(Ograničenja)

1. Na osnovu posebnog zakona koji se odnosi na voditelja obrade i obrađivača može se ograničiti obim prava i obaveza iz članova od 12. do 22. i člana 34., kao i člana 5, ako odredbe tog zakona odgovaraju pravima i obavezama propisanim u članovima od 12. do 22., ukoliko se takvim ograničenjem poštuje suština osnovnih prava i xxxxxxx i ako ono predstavlja neophodnu i srazmjernu mjeru u demokratskom društvu za zaštitu:

1. državne bezbjednosti;

2. odbrane;

3. javne bezbjednosti;

4. sprječavanja, istrage, otkrivanja ili gonjenja krivičnih djela ili izvršenja krivičnih sankcija, uključujući zaštitu od prijetnji javnoj bezbjednost i njihovo sprječavanje;

5. drugih važnih ciljeva od opšteg javnog interesa u Bosni i Hercegovini, a posebno važnog privrednog ili finansijskog interesa, što uključuje monetarna, budžetska i poreska pitanja, javno zdravstvo i socijalnu zaštitu;

6. nezavisnosti pravosuđa i sudskih postupaka;

7. sprječavanja, istrage, otkrivanja i gonjenja povrede xxxxx u zakonski regulisanim profesijama;

8. nadzorne, inspekcijske ili regulatorne funkcije xxxx xx, najmanje povremeno, povezana sa izvršavanjem službenih ovlaštenja u slučajevima iz tačaka od a) do e) i xxxxx g) ovog stava;

9. vlasnika podataka ili prava i xxxxxxx drugih;

10. ostvarivanja potraživanja u građanskim sporovima.

2. Posebni zakon iz stava (1) ovog člana sadrži posebne odredbe, po potrebi, a najmanje o slijedećem:

1. svrhama obrade ili kategorijama obrade;

2. kategorijama ličnih podataka;

3. obimu uvedenih ograničenja;

4. mjerama zaštite za sprječavanje zloupotrebe ili nezakonitog pristupa ili prenosa;

5. određenju voditelja obrade ili kategorija voditelja obrade;

6. roku čuvanja i mjerama zaštite koje se mogu primjeniti uzimajući u obzir prirodu, obim i svrhe obrade ili kategorije obrade;

7. rizicima za prava i slobode vlasnika podataka; i

8. pravu vlasnika podataka da bude obavješten o ograničenju, osim ako to može biti štetno za svrhu tog ograničenja.

POGLAVLJE IV. VODITELJ OBRADE I OBRAĐIVAČ

Član 24.

(Obaveze voditelja obrade)

1. Voditelj obrade xx xxxxx primjeniti odgovarajuće tehničke i organizacione mjere imajući u vidu prirodu, obim, okolnosti i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, kako bi obezbijedio da se obrada vrši u skladu sa ovim Zakonom i kako bi to mogao dokazati. Te mjere se prema potrebi preispituju i ažuriraju.

2. Mjere iz stava (1) ovog člana, ako su srazmjerne u odnosu na aktivnosti obrade, uključuju provođenje odgovarajućih politika zaštite podataka xx xxxxxx voditelja obrade.

3. Poštivanje odobrenih kodeksa ponašanja iz člana 40. ili odobrenih mehanizama certifikacije iz člana 42. može da služi kao element za dokazivanje usklađenosti sa obavezama voditelja obrade.

Član 25.

(Tehnička i integrisana zaštita podataka)

1. Uzimajući u obzir najnovija dostignuća, troškove provođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica koji proizilaze iz obrade podataka, voditelj obrade, prilikom određivanja sredstava obrade i prilikom same obrade primjenjuje odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje djelotvorne primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ovog Zakona i zaštitila prava vlasnika podataka.

2. Voditelj obrade primjenjuje odgovarajuće tehničke i organizacione mjere kojima se obezbjeđuje da integrisanim načinom budu obrađeni samo lični podaci koji su neophodni za svaku posebnu svrhu obrade. Ova obaveza se odnosi na količinu prikupljenih ličnih podataka, obim njihove obrade, rok njihovog čuvanja i njihovu dostupnost. Ovim mjerama obezbjeđuje se da lični podaci nisu automatski, bez intervencije fizičkog lica, dostupni neograničenom broju drugih lica.

3. Odobren mehanizam certifikacije iz člana 42. može da služi kao element za dokazivanje usklađenosti sa zahtjevima iz stavova (1) i (2) ovog člana.

Član 26.

(Zajednički voditelji obrade)

1. Ako dva ili više voditelja obrade zajednički odrede svrhe i načine obrade, smatraju se zajedničkim voditeljima obrade. Oni na transparentan način međusobnim sporazumom određuju odgovornosti svakoga od njih u cilju izvršavanja obaveza iz ovog Zakona, posebno u vezi sa ostvarivanjem prava vlasnika podataka i dužnostima svakoga od njih u pogledu pružanja informacija iz čl. 13. i 14, osim u slučaju da su odgovornosti svakog od voditelja obrade utvrđene zakonom koji se primjenjuje na voditelje obrade. Sporazumom se može odrediti kontaktna xxxxx za vlasnike podataka.

2. Sporazum iz stava (1) ovog člana xxxx xx odgovarajući način da odražava pojedinačne uloge i odnose zajedničkih voditelja obrade u odnosu na vlasnike podataka. Suština sporazuma xxxx da bude dostupna vlasniku podataka.

3. Nezavisno od uslova sporazuma iz stava (1) ovog člana vlasnik podataka može da ostvaruje svoja prava iz ovog Zakona u odnosu sa svakim voditeljem obrade i protiv svakog od njih.

Član 27.

(Predstavnici voditelja obrade ili obrađivača koji nemaju sjedište u Bosni i Hercegovini)

1. Ako se primjenjuje član 3. stav (2) voditelj obrade ili obrađivač ima obavezu da pisanim putem imenuju svog predstavnika u Bosni i Hercegovini.

2. Obaveza iz stava (1) ovog člana ne primjenjuje se na:

1. obradu xxxx xx povremena, ne podrazumjeva u većoj meri obradu posebnih kategorija podataka iz člana 9. stava (1) ili obradu ličnih podataka koji se odnose na krivične presude i kažnjiva djela iz člana 10. i za koju nije vjerovatno da će prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade; ili

2. javne organe.

3. Voditelj obrade ili obrađivač ovlašćuju predstavnika kako bi se, uz obraćanje voditelju obrade ili obrađivaču ili umjesto obraćanja njima, njemu obraćali posebno Instituciji povjerenika i vlasnici podataka u vezi sa svim pitanjima koja se odnose na obradu ličnih podataka radi obezbjeđivanja usklađenosti obrade ličnih podataka sa ovim Zakonom.

4. Imenovanje predstavnika voditelja obrade ili obrađivača ne utiče na pravne zahtjeve koji mogu biti postavljeni protiv samog voditelja obrade ili obrađivača.

Član 28.

(Obrađivač)

1. Ako se obrada ličnih podataka vrši u ime voditelja obrade, voditelj obrade koristi isključivo obrađivača koji u dovoljnoj mjeri garantuje primjenu odgovarajućih tehničkih i organizacionih mjera tako da obrada bude u skladu sa zahtjevima iz ovog Zakona i da se obradom obezbjeđuje zaštitu prava vlasnika podataka.

2. Obrađivač ne može angažovati drugog obrađivača bez prethodnog posebnog ili opšteg pisanog odobrenja voditelja obrade. U slučaju opšteg pisanog odobrenja, obrađivač obavještava voditelja obrade o svim planiranim izmjenama u vezi sa uvođenjem novih ili zamjenom postojećih obrađivača kako bi time voditelju obrade omogućio da uloži prigovor na te izmjene.

3. Obrada xx xxxxxx obrađivača uređuje se ugovorom ili drugim pravnim aktom u skladu sa zakonom koji obavezuje obrađivača prema voditelju obrade, u kojem se navodi predmet i trajanje obrade, priroda i svrha obrade, vrsta ličnih podataka i kategoriju vlasnika podataka, kao i obaveze i prava voditelja obrade. Xxx ugovorom ili drugim pravnim aktom posebno se određuje da obrađivač:

1. obrađuje lične podatke samo prema dokumentovanim uputstvima voditelja obrade, između ostalog i u pogledu prenosa ličnih podataka u treću zemlju ili međunarodnoj organizaciji, osim ako je to propisano posebnim zakonom koji se primenjuje na obrađivača; u xxx slučaju, obrađivač obavještava voditelja obrade o xxx pravnom zahtjevu prije obrade, osim ako se xxx zakonom zabranjuje takvo obavještavanje zbog važnih razloga od javnog interesa;

2. obezbjeđuje da su se lica ovlaštena za obradu ličnih podataka obavezala na poštivanje povjerljivosti ili da ih na poštivanje povjerljivosti obavezuje odgovarajući zakon;

3. preduzima sve potrebne mere u skladu sa članom 32.;

4. poštuje uslove iz stavova (2) i (4) ovog člana za angažovanje drugog obrađivača;

5. uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacionih mjera, koliko je to moguće, da ispuni obavezu voditelja obrade da odgovori na zahtjeve za ostvarivanje prava vlasnika podataka iz Poglavlja III. ovog Zakona;

6. pomaže voditelju obrade u obezbjeđivanju usklađenosti sa obavezama iz članova od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne obrađivaču;

7. po izboru voditelja obrade, briše ili vraća voditelju obrade sve lične podatke nakon završetka pružanja usluga vezanih za obradu i briše postojeće kopije, osim u slučaju da je zakonom propisana obaveza čuvanja ličnih podataka;

8. voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštivanja obaveza iz ovog člana i voditelju obrade ili drugom revizoru kojeg ovlasti voditelj obrade omogućava vršenje revizije, uključujući i inspekcije, i pomaže u njihovom vršenju. Obrađivač odmah obavještava voditelja obrade ako prema njegovom mišljenju određeno uputstvo krši ovaj Zakon ili druga pravila o zaštiti podataka.

4. Ako obrađivač angažuje drugog obrađivača za vršenje posebnih aktivnosti obrade u ime voditelja obrade, iste obaveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i obrađivača iz stava (3) ovog člana nameću se xxx drugom obrađivaču ugovorom ili drugi pravnim aktom u skladu sa posebnim zakonom, a posebno obaveza davanja dovoljnih garancija za primjenu odgovarajućih tehničkih i organizacionih mjera na način kojim se obezbjeđuje da obrada zadovoljava zahtjeve iz ovog Zakona. Ako taj drugi obrađivač ne ispunjava obaveze zaštite podataka, prvi obrađivač ostaje u potpunosti odgovoran voditelju obrade za izvršavanje obaveza tog drugog obrađivača.

5. Poštivanje odobrenih kodeksa ponašanja xx xxxxxx obrađivača, iz člana 40. ili odobrenog mehanizma certifikacije, iz člana 42., može da služi kao element za dokazivanje pružanja dovoljnih garancija iz stavova (1) i (4) ovog člana.

6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i obrađivača, ugovor ili drugi pravni akt iz stavova (3) i (4) ovog člana može u cjelini ili djelimično da se zasniva na standardnim ugovornim klauzulama iz stavova (7) i (8) ovog člana, uključujući između ostalog i klauzule koje su dio certifikata dodijljenog voditelju obrade ili obrađivaču u skladu sa članovima 42. i 43.

7. Institucija povjerenika može donijeti standardne ugovorne klauzule za pitanja iz stavova (3) i (4) ovog člana u cilju dosljedne primjene ovog Zakona.

8. Ugovor ili drugi pravni akt iz stavova (3) i (4) ovog člana xxxx biti u pisanom obliku, što uključuje i elektronski oblik.

9. Ne dovodeći u pitanje članove 108., 109. i 110. ako obrađivač krši ovaj Zakon time što određuje svrhu i načine obrade podataka, obrađivač se smatra voditeljem obrade u vezi s xxx obradom.

Član 29.

(Obrada pod kontrolom voditelja obrade ili obrađivača)

Obrađivač i lice koje radi pod kontrolom voditelja obrade ili obrađivača a ima pristup ličnim podacima, ne smije da obrađuje te podatke bez naloga voditelja obrade, osim xxxx xx to propisano posebnim zakonom.

Član 30.

(Evidencija o obradi)

1. Svaki voditelj obrade i predstavnik voditelja obrade, ukoliko je primjenjivo, vodi evidenciju obrade za koje je odgovoran. Ta evidencija sadrži sljedeće informacije:

1. ime i kontaktne podatke voditelja obrade i, ukoliko je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

2. svrhe obrade;

3. opis kategorija vlasnika podataka i kategorija ličnih podataka;

4. kategorije primalaca kojima su lični podaci otkriveni ili će im biti otkriveni, uključujući i primaoce u trećim zemljama ili međunarodnim organizacijama;

5. ukoliko je primjenjivo, o prenosu ličnih podataka u treću zemlju ili međunarodnoj organizaciji, uključujući identifikaciju te treće zemlje ili međunarodne organizacije i, u slučaju prenosa iz člana 49. stav (2), dokumentaciju o odgovarajućim zaštitnim merama;

6. ako je moguće, predviđene rokove za brisanje različitih kategorija podataka;

7. ako je moguće, opšti opis tehničkih i organizacionih bezbjednosnih mjera iz člana 32. stav (1).

2. Svaki obrađivač i predstavnik obrađivača, ukoliko je primjenjivo, vodi evidenciju o svim vrstama obrada koje se vrše u ime voditelja obrade, koja sadrži:

1. ime i kontaktne podatke jednog ili više obrađivača i svakog voditelja obrade u čije ime obrađivač djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili obrađivača kao i službenika za zaštitu podataka;

2. vrste obrade koje se obavljaju u ime svakog voditelja obrade;

3. ukoliko je primjenjivo, informacije o prenosu ličnih podataka u treću zemlju ili međunarodnoj organizaciji, sa identifikacijom te treće zemlje ili međunarodne organizacije i u slučaju prenosa iz člana 49. stav (2), dokumentaciju o odgovarajućim zaštitnim mjerama;

4. ako je moguće, opšti opis tehničkih i organizacionih bezbjednosnih mjera iz člana 32. stav (1).

3. Evidencija iz stavova (1) i (2) ovog člana xxxx biti u pisanom obliku, što uključuje i elektronski oblik.

4. Voditelj obrade ili obrađivač te predstavnik voditelja obrade ili obrađivača, ako je primjenjivo, na zahtjev Institucije povjerenika omogućavaju uvid u evidenciju.

5. Obaveze iz stavova (1) i (2) ovog člana ne primjenjuju se na preduzeće ili organizaciju u kojoj je zaposleno manje od 250 lica, osim kada postoji vjerovatnoća da će obrada koju vrši predstavljati visok rizika za prava i slobode vlasnika podataka, ako obrada nije povremena ili ako obrada obuhvata posebne kategorije podataka ili su u pitanju lični podaci koji se odnose na krivične presude i kažnjiva djela.

Član 31.

(Saradnja sa Institucijom povjerenika)

Voditelj obrade i obrađivač te, ako je to primjenjivo, njihovi predstavnici, dužni su sarađivati sa Institucijom povjernika u obavljanju njegovih zadataka.

Član 32.

(Bezbjednost obrade)

1. Uzimajući u obzir najnovija dostignuća, troškove provođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, voditelj obrade i obrađivač primjenjuju odgovarajuće tehničke i organizacione mjere kako bi postigli odgovarajući nivo bezbjednosti shodno riziku, što prema potrebi podrazumijeva:

1. pseudonimizaciju i enkripciju ličnih podataka;

2. mogućnost obezbjeđivanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sistema i usluga obrade;

3. sposobnost blagovremenog ponovnog uspostavljanja dostupnosti ličnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

4. postupak redovnog testiranja, ocjenjivanja i procjene djelotvornosti tehničkih i organizacionih mjera za postizanje bezbjednosti obrade.

2. Prilikom procjene odgovarajućeg nivoa bezbjednosti, u obzir se uzimaju prije svega rizici koje predstavlja obrada, a posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ličnih podataka ili neovlaštenog pristupa ličnih podacima koji su preneseni, čuvani ili na drugi način obrađivani.

3. Poštivanje odobrenog kodeksa ponašanja iz člana 40. ili odobrenog mehanizma certifikacije iz člana 42. može se koristiti kao element za dokazivanje usklađenosti sa zahtjevima iz stava (1) ovog člana.

4. Voditelj obrade i obrađivač preduzimaju mjere kako bi obezbijedili da svako fizičko lice koje djeluje pod kontrolom voditelja obrade ili obrađivača, a koje ima pristup ličnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim u slučajevima xxxx xx to propisano posebnim zakonom.

Član 33.

(Izvještavanje Institucije povjerenika o povredi ličnih podataka)

1. Voditelj obrade xx xxxxx o povredi ličnih podataka bez nepotrebnog odgađanja i, ukoliko je moguće, najkasnije u roku od 72 sata nakon saznanja za tu povredu, izvijestiti Instituciju povjerenika o povredi ličnih podataka, osim u slučaju ako je vjerovatno da ta povreda neće ugroziti prava i slobode fizičkih lica. Ako izvještavanje nije izvršeno u roku od 72 sata, voditelj obrade xx xxxxx navesti razloge za kašnjenje.

2. Obrađivač xx xxxxx, po saznanju za povredu ličnih podataka, bez nepotrebnog odgađanja o tome izvijestiti voditelja obrade.

3. Izvještaj iz stava (1) ovog člana sadrži najmanje sljedeće:

1. opis prirode povrede ličnih podataka, i ako je moguće, sa navedenim kategorijama i približnim brojem vlasnika podataka, kao i kategorijama i približnim brojem evidencija ličnih podataka;

2. ime i prezime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne xxxxx xx koje xx xxxx dobiti xxx informacija;

3. opis vjerovatne posljedice povrede ličnih podataka;

4. opis mjera koje je voditelj obrade preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnih podataka, uključujući prema potrebi i mjere za ublažavanje njenih mogućih štetnih posljedica.

4. Ako i u mjeri u kojoj nije moguće istovremeno dostaviti informacije, informacije se mogu dostavljati u dijelovima, bez nepotrebnog daljnjeg odgađanja.

5. Voditelj obrade dokumentuje svaku povredu ličnih podataka, uključujući i činjenice u vezi sa povredom ličnih podataka, njene posljedice i mjere preduzete za popravljanje situacije. Ta dokumentacija Instituciji povjerenika omogućava da provjeri postupanje po ovom članu.

Član 34.

(Obavještavanje vlasnika podataka o povredi ličnih podataka)

1. Voditelj obrade bez nepotrebnog odgađanja obavještava vlasnika podataka o povredi ličnih podataka ako je vjerovatno da će povreda ličnih podataka prouzrokovati visok rizik za prava i slobode fizičkog lica.

2. U obavještenju se jasnim i jednostavnim jezikom opisuje priroda povrede ličnih podataka te se navode najmanje informacije i mjere iz člana 33. stav (3) xxxxx b), c) i d).

3. Obavještavanje vlasnika podataka nije obavezno ako je ispunjen jedan od sljedećih uslova:

1. ako je voditelj obrade preduzeo odgovarajuće tehničke i organizacione zaštitne mjere i te mjere su primijenjene na lične podatke u vezi s xxxxxx xx došlo do povrede ličnih podataka, a prije svega mjere koje lične podatke čini nerazumljivim licu koje nije ovlašteno da im pristupi, kao što je enkripcija;

2. ako je voditelj obrade preduzeo naknadne mjere kojima se obezbjeđuje da više nije vjerovatno da xx xxxx do visokog rizika za prava i slobode vlasnika podataka;

3. ako bi to zahtijevalo nesrazmjeran napor. U xxx slučaju se objavljuje javno obavještenje ili se preduzima slična mjera kojom se vlasnici podataka obavještavaju na jednako djelotvoran način.

4. Ako voditelj obrade do tog trenutka nije obavijestio vlasnika podataka o povredi ličnih podataka, Institucija povjerenika, nakon razmatranja stepena vjerovatnoće da će povreda ličnih podataka prouzrokovati visok rizik, može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uslova iz stava (3) ovog člana.

Član 35.

(Procjena uticaja na zaštitu podataka)

1. Voditelj obrade prije obrade vrši procjenu uticaja predviđenih postupaka obrade na zaštitu ličnih podataka ako je vjerovatno da će ta obrada, posebno uzimajući u obzir nove tehnologije te prirodu, obim, kontekst i svrhe obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica. Jedna procjena može se odnositi na više sličnih obrada koji predstavljaju slične visoke rizike.

2. Pri provođenju procjene uticaja na zaštitu podataka, voditelj obrade obraća se za savjet službeniku za zaštitu podataka, ako je imenovan.

3. Procjena uticaja na zaštitu podataka ovog člana obavezna je posebno u slučaju:

1. sistematske i obimne procjene ličnih aspekata u vezi s fizičkim licima koje se zasnivaju na automatizovanoj obradi, uključujući profilisanje i xxxx xx osnov za donošenje odluka koje proizvode pravno dejstvo u odnosu na fizičko lice ili na sličan način značajno utiču na fizičko lice;

2. obimne obrade posebnih kategorija ličnih podataka iz člana 9. stav (1) ili podataka koji se odnose na krivične presude i kažnjiva djela iz člana 10.; ili

3. sistemskog praćenja javno dostupnog područja u velikoj mjeri.

4. Institucija povjerenika uspostavlja i javno objavljuje xxxxxx vrsta obrada na koje se primenjuje obaveza vršenja procjene uticaja na zaštitu podataka.

5. Institucija povjerenika može uspostaviti i javno objaviti xxxxxx vrsta obrada za koje nije potrebna procjena uticaja na zaštitu podataka.

6. Procjena uticaja obuhvata najmanje:

1. sistematski opis predviđenih postupaka obrade i svrha obrade, uključujući ako je primjenjivo, legitiman interes voditelja obrade;

2. procjenu neophodnosti i proporcionalnosti postupaka obrade u odnosu na njihove svrhe;

3. procjenu rizika za prava i slobode vlasnika podataka; i

4. predviđene mjere za rješavanje rizika, što uključuje zaštitne mjere, bezbjednosne mjere i mehanizme za obezbjeđivanje zaštite ličnih podataka i dokazivanje usklađenosti s ovim Zakonom, uzimajući u obzir prava i legitimne interese vlasnika podataka i drugih uključenih lica.

7. Poštivanje odobrenih kodeksa ponašanja xx xxxxxx voditelja obrade ili obrađivača uzima se u obzir prilikom procjene uticaja obrada koje primjenjuju ti voditelji obrade ili obrađivači, posebno u svrhe procjene uticaja na zaštitu podataka.

8. Voditelj obrade prema potrebi od vlasnika podataka ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili bezbjednost postupka obrade.

9. Ako obrada u skladu sa članom 6. stav (1), xxxxx c) ili e) ima pravni osnov u posebnom zakonu koji se primjenjuje na voditelja obrade, ako xx xxx zakonom uređeni posebne obrade ili skup predmetnih radnji i ako je procjena uticaja na zaštitu podataka već provedena kao dio opšte procjene uticaja u kontekstu donošenja pravnog osnova, stavovi od (1) do (6) ovog člana se ne primjenjuju, osim ako voditelj obrade odluči da je potrebno provesti takvu procjenu prije obrade.

10. Voditelj obrade prema potrebi preispituje da xx xx obrada izvršena u skladu s procjenom uticaja na zaštitu podataka, i to najmanje kada dođe do promjene u nivou xxxxxx xxxx predstavljaju obrade.

Član 36.

(Prethodno savjetovanje)

1. Voditelj obrade savjetuje se sa Institucijom povjerenika prije obrade ako je procjena uticaja na zaštitu podataka pokazala da bi obrada prouzrokovala visokog rizik u slučaju da voditelj obrade ne xxxxxx mjere za ublažavanje rizika.

2. Ako Institucija povjerenika smatra da bi se namjeravanom obradom iz stava (1) ovog člana kršio ovaj Zakon, posebno ako voditelj obrade nije u dovoljnoj meri utvrdio ili umanjio rizik, Institucija povjerenika u roku od 60 xxxx od prijema zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade, a prema potrebi i obrađivača, i pri xxx xxxx da koristi bilo koje od svojih ovlaštenja iz člana 100. Taj rok, po potrebi, može se produžiti za 40 xxxx, u zavisnosti od složenosti namjeravane obrade. Institucija povjerenika u roku od 30 xxxx od prijema zahteva obavještava voditelja obrade, a prema potrebi i obrađivača, o svakom takvom produženju i o razlozima odgađanja. Proticanje ovih rokova može privremeno da bude obustavljeno dok Institucija povjerenika ne dobije informacije koje je zahtjevala za potrebe savjetovanja.

3. Prilikom savjetovanja voditelj obrade Instituciji povjerenika dostavlja:

1. ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i obrađivača koji učestvuju u obradi, posebno u slučaju obrade unutar xxxxx privrednika;

2. svrhu i sredstva namjeravane obrade;

3. zaštitne mjere i druge mjere za zaštitu prava i xxxxxxx vlasnika podataka na osnovu ovog Zakona;

4. ako je primjenjivo, kontakt podatke službenika za zaštitu podataka;

5. procjenu uticaja na zaštitu podataka xxxx xx propisano članom 35.; i

6. sve druge informacije koje Institucija povjerenika zatraži.

4. Prijedlog zakona kojim se reguliše obrada ličnih podataka, prije njegovog upućivanja u parlamentarnu proceduru, kao i prijedlozi podzakonskih akata koji se zasnivaju na zakonu a odnose se na obradu ličnih podataka dostavljaju se Instituciji povjerenika na mišljenje.

5. Nezavisno xx xxxxx (1) ovog člana, zakonom se može propisati obaveza voditelju obrade da se savjetuje sa Institucijom povjerenika i da od njega pribavi prethodno odobrenje u vezi obrade koju obavlja za izvršenje zadataka u javnom interesu, uključujući i obradu u vezi sa socijalnom i zdravstvenom zaštitom.

Član 37.

(Imenovanje službenika za zaštitu ličnih podataka)

1. Voditelj obrade i obrađivač su dužni imenovati službenika za zaštitu ličnih podataka u slučaju kada:

1. obradu vrši javni organ, osim sudova koji postupaju u okviru sudske nadležnosti;

2. se osnovne djelatnosti voditelja obrade ili obrađivača sastoje iz radnji obrade koje zbog svoje prirode, obima ili svrha zahtijevaju redovno i sistematsko praćenje vlasnika podataka u velikoj mjeri, ili

3. se osnovne djelatnosti voditelja obrade ili obrađivača sastoje iz masovne obrade posebnih kategorija podataka na osnovu člana 9. ili ličnih podataka u vezi sa krivičnim presudama i kažnjivim djelima iz člana 10.

2. Grupa privrednika može da imenuje jednog službenika za zaštitu ličnih podataka pod uslovom da je službenik za zaštitu ličnih podataka xxxx dostupan iz svakog poslovnog sjedišta.

3. Ako je voditelj obrade ili obrađivač javni organ, za više takvih organa može se imenovati jedan službenik za zaštitu ličnih podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu.

4. U slučajevima koji nisu navedeni u stavu (1) ovog člana, voditelj obrade ili obrađivač ili udruženja i drugi organi koji predstavljaju kategoriju voditelja obrade ili obrađivača mogu, odnosno u slučajevima xxxx xx to propisano zakonom, moraju da imenuju službenika za zaštitu ličnih podataka. Službenik za zaštitu ličnih podataka može da obavlja poslove u ime tih udruženja i drugih organa koji predstavljaju voditelje obrade ili obrađivače.

5. Službenik za zaštitu ličnih podataka imenuje se na osnovu njegovih stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksi u oblasti zaštite ličnih podataka i sposobnosti obavljanja zadataka iz člana 39.

6. Službenik za zaštitu ličnih podataka može da bude zaposlen kod voditelja obrade ili obrađivača ili može da obavlja poslove na osnovu ugovora o djelu.

7. Voditelj obrade ili obrađivač objavljuje kontakt podatke službenika za zaštitu ličnih podataka i saopštava ih Instituciji povjerenika.

Član 38.

(Status službenika za zaštitu ličnih podataka)

1. Voditelj obrade i obrađivač obezbjeđuju da službenik za zaštitu ličnih podataka bude na odgovarajući način i blagovremeno uključen u sva pitanja koja se tiču zaštite ličnih podataka.

2. Voditelj obrade i obrađivač podržavaju službenika za zaštitu ličnih podataka u izvršavanju zadataka pružajući mu potrebna sredstva za izvršavanje tih zadataka i ostvarivanje pristupa ličnim podacima i postupcima obrade, kao i za održavanje njegovog stručnog znanja.

3. Voditelj obrade i obrađivač obezbjeđuju da službenik za zaštitu ličnih podataka ne prima nikakve instrukcije prilikom obavljanja tih zadataka. Voditelj obrade ili obrađivač ne mogu da ga razriješe dužnosti ili kazne zbog toga što obavlja svoje zadatke. Službenik za zaštitu ličnih podataka odgovara neposredno najvišem nivou rukovodstva voditelja obrade ili obrađivača.

4. Vlasnik podataka može da se obrati službeniku za zaštitu ličnih podataka za sva pitanja koja se tiču obrade njihovih ličnih podataka i ostvarivanja njihovih prava iz ovog Zakona.

5. Službenik za zaštitu ličnih podataka xxxxx xx čuvati tajnost u vezi sa obavljanjem svojih zadataka, u skladu sa važećim zakonima.

6. Službenik za zaštitu ličnih podataka može da obavlja i druge zadatke i dužnosti. Voditelj obrade ili obrađivač obezbjeđuje da ti zadaci i dužnosti ne dovedu do sukoba interesa.

Član 39.

(Zadaci službenika za zaštitu ličnih podataka)

1. Službenik za zaštitu ličnih podataka obavlja najmanje slijedeće zadatke:

1. informisanje i savjetovanje voditelja obrade ili obrađivača i zaposlenih koji vrše obradu o njihovim obavezama iz ovog Zakona i drugih zakona kojima se propisuje zaštita ličnih podataka;

2. praćenje poštivanja ovog Zakona i drugih zakona kojima se propisuje zaštita ličnih podataka, kao i politikama voditelja obrade ili obrađivača u vezi sa zaštitom ličnih podataka, uključujući i podjelu odgovornosti, podizanje svijesti i osposobljavanje zaposlenih koje učestvuje u radnjama obrade, kao i s xxx povezanim revizijama;

3. pružanje savjeta, xxxx xx to zatraženo, u pogledu procjene uticaja na zaštititu ličnih podataka i praćenje njenog izvršavanja u skladu sa članom 35.;

4. saradnja sa Institucijom povjerenka;

5. djelovanje kao kontaktna xxxxx za Instituciju povjerenika o pitanjima koja se tiču obrade, što uključuje i prethodno savjetovanje, te savjetovanje, po potrebi, o svim drugim pitanjima.

2. Službenik za zaštitu ličnih podataka prilikom obavljanja svojih zadataka vodi računa o riziku povezanom za radnje obrade i uzima u obzir prirodu, obim, kontekst i svrhe obrade.

Član 40.

(Kodeksi ponašanja)

1. Vijeće ministara Bosne i Hercegovine, vlade drugih nivoa vlasti i Institucija Povjerenika podstiču izradu kodeksa ponašanja u cilju pravilne primjene ovog Zakona, uzimajući u obzir specifičnost različitih sektora obrade i posebne potrebe mikro, malih i srednjih preduzeća.

2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili obrađivača mogu da izrade kodekse ponašanja, odnosno da izmijene i prošire takve kodekse, radi preciziranja primjene ovog Zakona, koji se odnose na:

1. pravičnu i transparentnu obradu;

2. legitimne interese voditelja obrade u posebnim kontekstima;

3. prikupljanje ličnih podataka;

4. pseudonimizaciju ličnih podataka;

5. informisanje javnosti i vlasnika podataka;

6. ostvarivanje prava vlasnika podataka;

7. informisanje i zaštitu djece i način pribavljanja saglasnosti nosilaca roditeljskog prava nad djetetom;

8. mjere i postupke iz članova 24. i 25. kao i mjere za postizanje bezbjednosti obrade iz člana 32.;

9. izvještavanje Institucije povjerenika o povredama ličnih podataka i obavještavanje vlasnika podataka o takvim povredama;

10. prenos ličnih podataka trećim zemljama ili međunarodnim organizacijama; ili

11. xxxxxxxxx postupke i druge postupke za rešavanje sporova između voditelja obrade i vlasnika podataka u vezi sa obradom, ne dovodeći u pitanje prava vlasnika podataka na osnovu članova 104. i 106.

3. Kodeks ponašanja iz stava (2) ovog člana obavezno sadrži odredbe koje tijelu iz člana 41. stav (1) omogućavaju da provodi obavezno praćenje usklađenosti voditelja obrade ili obrađivača koji su se obavezali na njegovu primjenu, ne dovodeći u pitanje nadležnosti Institucije povjerenika.

4. Udruženja i druga tijela iz stava (2) ovog člana koja namjeravaju da izrade kodeks ponašanja ili da izmijene i prošire kodeks, nacrt kodeksa, odnosno izmjene ili proširenje kodeksa, dostavljaju Instituciji Povjerenika. Institucija Povjerenika daje mišljenje o tome da xx xx nacrt u skladu sa ovim Zakonom te odobrava takav nacrt ako ocijeni da obezbjeđuje dovoljno adekvatne zaštitne mjere.

5. Ako Institucija Povjerenika odobri nacrt kodeksa ponašanja, odnosno izmjene ili proširenje kodeksa, u skladu sa stavom (4) ovog člana, kodeks će registrovati i objaviti.

6. Osim što su dužni da poštuju kodekse voditelji obrade i obrađivači koji podliježu ovom Zakonu, kodekse ponašanja koji su odobreni u skladu sa stavom (4) ovog člana mogu primjenjivati i voditelji obrade ili obrađivači na koje se ovaj Zakon u skladu sa članom 3. ne primjenjuje, kako bi obezbijedili odgovarajuće zaštitne mjere u okviru prenosa ličnih podataka trećim zemljama ili međunarodnim organizacijama, pod uslovima iz člana 46. stav (2), xxxxx d). Ti voditelji obrade ili obrađivači putem ugovornih ili drugih pravno obavezujućih instrumenata preuzimaju obavezujuće i provodive obaveze za primjenu tih odgovarajućih zaštitnih mjera, uključujući i mjere vezane za prava vlasnika podataka.

Član 41.

(Praćenje odobrenih kodeksa ponašanja)

1. Ne dovodeći u pitanje nadležnosti Institucije povjerenika, praćenje usklađenosti sa kodeksom ponašanja može vršiti tijelo s odgovarajućim stepenom stručnosti za predmet kodeksa i koji je u tu svrhu akreditovala Institucija povjerenika.

2. Tijelo iz stava (1) ovog člana može biti akreditovano za praćenje usklađenosti s kodeksom ponašanja ako je to tijelo:

1. Instituciji povjerenika na zadovoljavajući način dokazalo svoju nezavisnost i stručnost za predmet kodeksa;

2. uspostavilo postupke koji mu omogućavaju da ocjenjuje kvalifikovanost voditelja obrade i obrađivača za primjenu kodeksa, da prati njihove primjene odredbi kodeksa i da periodično preispituje njegovo funkcionisanje;

3. uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili obrađivač primjenjuju ili su primijenili kodeks i učinilo te postupke i strukture transparentnim vlasnicima podataka i javnosti; i

4. na zadovoljavajući način Instituciji povjerenika dokaže da njegovi zadaci i dužnosti ne dovode do sukoba interesa.

3. Ne dovodeći u pitanje nadležnosti Institucije povjerenika i odredbe Poglavlja IX, tijelo iz stava (1) ovog člana, uz primjenu odgovarajućih zaštitnih mera, preduzima odgovarajuće radnje u slučajevima kršenja kodeksa xx xxxxxx voditelja obrade ili obrađivača, što uključuje i privremeno ili trajno isključenje iz kodeksa. O xxx radnjama i razlozima za njihovo preduzimanje tijelo obavještava Instituciju ovjerenika.

4. Institucija Povjerenika oduzima akreditaciju tijelu ako uslovi za akreditaciju više nisu ispunjeni ili ako radnje koje tijelo provodi predstavljaju kršenje ovog Zakona.

5. Ovaj član se ne primenjuje na obradu ličnih podataka koju obavljaju javni organi.

Član 42.

(Certifikacija)

1. Vijeće ministara Bosne i Hercegovine, vlade drugih nivoa vlasti i Institucija Povjerenika podstiču, uspostavljanje mehanizama certifikacije zaštite ličnih podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su radnje obrade koje provode voditelj obrade i obrađivač u skladu s ovim Zakonom. U obzir se uzimaju posebne potrebe mikro, malih i srednjih preduzeća.

2. Pored toga što se mehanizmi certifikacije zaštite ličnih podataka, pečati ili oznake odobreni na osnovu stava (5) ovog člana primjenjuju na voditelje obrade ili obrađivače na koje se primenjuje ovaj Zakon, oni mogu da budu uspostavljeni radi dokazivanja postojanja odgovarajućih zaštitnih mjera koje obezbjeđuju voditelji obrade i obrađivači na koje se ovaj Zakon u skladu sa članom 3. ne odnosi, u okviru prenosa ličnih podataka trećim zemljama ili međunarodnim organizacijama pod uslovima iz člana 46 stav (2) xxxxx e). Takvi voditelji obrade ili obrađivači putem ugovornih ili drugih pravno obavezujućih instrumenata preuzimaju obavezujuće i provodive obaveze za primjenu odgovarajućih zaštitnih mjera, uključujući i mjere vezane za vlasnike podataka.

3. Certifikacija je dobrovoljna i dostupna putem procesa koji je transparentan.

4. Certifikacija u skladu s ovim članom ne umanjuje odgovornost voditelja obrade ili obrađivača za poštivanje ovog Zakona i ne dovodi u pitanje nadležnosti Institucije povjerenika.

5. Certifikaciju u skladu s ovim članom izdaju certifikaciona tijela iz člana 43., na osnovu kriterija koje je odobrila Institucija Povjerenika.

6. Voditelj obrade ili obrađivač koji svoje obrade predaje na certifikaciju certifikacionom tijelu pruža sve informacije i omogućava pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certifikacije.

7. Certifikat se voditelju obrade ili obrađivaču izdaje na najviše tri godine i može se obnoviti pod istim uslovima ako su i dalje ispunjeni relevantni zahtjevi. Certifikaciona tijela ili Institucija Povjerenika oduzimaju certifikat prema potrebi ako se ne ispune zahtjevi za certifikaciju ili ako oni nisu više ispunjeni.

8. Institucija Povjerenika sve mehanizme certifikacije, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na prikladan način.

Član 43.

(Certifikaciona tijela)

1. Akreditaciju certifikacionih tijela, sa odgovarajućim stepenom stručnosti iz oblasti zaštite ličnih podataka, vrši Institucija povjerenika. Ne dovodeći u pitanje zadatke i ovlaštenja Institucije povjerenika iz članova 99. i 100., certifikaciona tijela nakon što o tome obavijeste Instituciju povjerenika kako bi ona mogla prema potrebi izvršavati ovlaštenja na osnovu člana 100. stav (2) xxxxx h), izdaju i obnavljaju certifikaciju.

2. Certifikaciona tijela mogu biti akreditovana samo pod slijedećim uslovima:

1. Instituciji povjerenika na zadovoljavajući način dokažu svoju nezavisnost i stručnost u predmetu certifikacije;

2. se obavežu da će poštivati kriterije iz člana 42. stav (5);

3. uspostave postupke za izdavanje, periodično preispitivanje i povlačenje certifikacije, pečata i oznaka za zaštitu podataka;

4. uspostave postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili obrađivač primjenjuju ili su primjenili certifikaciju, i učinila te postupke i strukture transparentnim vlasnicima podataka i javnosti; i

5. Instituciji povjerenika na zadovoljavajući način dokažu da njegovi zadaci i dužnosti ne dovode do sukoba interesa.

3. Akreditacija certifikacionih tijela provodi se na osnovu kriterija koje je propisala Institucija povjerenika.

4. Akreditacija se izdaje na najviše pet xxxxxx i može se obnoviti pod istim uslovima ako certifikaciono tijelo i dalje ispunjava relevantne zahtjeve iz ovog člana.

5. Ne dovodeći u pitanje Poglavlje VIII ovog Zakona, Institucija povjerenika povlači akreditaciju certifikacionog tijela na osnovu stava (1) ovog člana ako se uslovi za akreditaciju ne ispune ili više nisu ispunjeni, ili ako se radnjama koje preduzima certifikaciono tijelo krši ovaj Zakon.

6. Certifikaciona tijela odgovorna su za pravilnu procjenu koja dovodi do certifikacije ili oduzimanja certifikata, ne dovodeći u pitanje odgovornost voditelja obrade ili obrađivača za poštivanje ovog Zakona.

7. Certifikaciona tijela Instituciji povjerenika navode razloge za izdavanje ili oduzimanje certifikata.

8. Institucija povjerenika u xxxx dostupnom obliku objavljuje kriterije iz člana 42. stav (5).

POGLAVLJE V. PRENOSI LIČNIH PODATAKA U INOSTRANSTVO

Član 44.

(Opšta načela prenosa)

Svaki prenos ličnih podataka koji se obrađuju ili su namjenjeni obradi nakon prenosa u treću zemlju ili međunarodnu organizaciju, uz primjenu ostalih odredbi ovog Zakona, vrši se samo ako voditelj obrade i obrađivač postupaju u skladu sa uslovima iz ovog Poglavlja xxxx xxxx i za daljnje prenose ličnih podataka iz treće zemlje ili međunarodne organizacije u xxx jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog Poglavlja primjenjuju se kako bi se obezbijedilo da se ne ugrozi nivo zaštite fizičkih lica koji je garantovan ovim Zakonom.

Član 45.

(Prenosi na osnovu odluke o adekvatnosti)

1. Prenos ličnih podataka u treću zemlju ili međunarodnoj organizaciji može se vršiti ako Institucija povjerenika odluči da treća zemlja, teritorija, ili jedan ili više konkretnih sektora unutar te treće zemlje ili međunarodna organizacija obezbjeđuje adekvatan nivo zaštite. Za takav prenos nije potrebno posebno odobrenje.

2. Prilikom procjene adekvatnosti nivoa zaštite, Institucija povjerenika posebno uzima u obzir slijedeće elemente:

1. vladavinu prava, poštivanje ljudskih prava i osnovnih xxxxxxx, relevantno opšte i sektorsko zakonodavstvo, što uključuje zakonodavstvo o javnoj bezbjednosti, odbrani, državnoj bezbjednosti, krivičnom pravu i pristupu javnih organa ličnim podacima, kao i primjenu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere bezbjednosti, što uključuje pravila za daljnji prenos ličnih podataka u xxx jednu treću zemlju ili međunarodnu organizaciju, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu, kao i postojanje djelotvornih i provedivih prava vlasnika podataka i efikasnu upravnu i sudsku zaštitu vlasnika podataka xxxx se lični podaci prenose;

2. postojanje i efikasno funkcionisanje jednog ili više nezavisnih nadzornih organa u trećoj zemlji, ili tijela koje je nadležno za međunarodnu organizaciju, s odgovornošću za obezbjeđivanje i sprovođenje poštivanja pravila o zaštiti podataka, što uključuje adekvatna izvršna ovlaštenja za pružanje pomoći vlasnicima podataka i savjetovanje vlasnika podataka u ostvarivanju njihovih prava, kao i za saradnju sa Institucijom povjerenika; i

3. međunarodne obaveze koje je dotična treća zemlja ili međunarodna organizacija preuzela ili druge obaveze koje proizilaze iz pravno obavezujućih konvencija ili instrumenata, kao i iz njenog učestvovanja u multilateralnim ili regionalnim sistemima, posebno u vezi sa zaštitom ličnih podataka.

3. Institucija povjerenika nakon procjene adekvatnosti nivoa zaštite može provedbenim aktom odlučiti da treća zemlja, teritorija, jedan ili više određenih sektora unutar treće zemlje ili međunarodna organizacija obezbjeđuje adekvatan nivo zaštite. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi određuje se i nadzorni organ ili organi iz stava (3) xxxxx b) ovog člana.

4. Institucija povjerenika kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli uticati na provođenje odluka o adekvatnosti.

5. Ako dostupne informacije ukazuju, a posebno nakon procjene iz stava (4) ovog člana, da treća zemlja, teritorija ili jedan ili više određenih sektora unutar treće zemlje ili međunarodna organizacija više ne obezbjeđuje adekvatan nivo zaštite u mjeri u kojoj je to potrebno, Institucija povjerenika provedbenim aktima stavlja van snage, mijenja ili odgađa izvršenje odluke iz stava (4) ovog člana bez retroaktivnog dejstva. Zbog važnih pravnih i izuzetno hitnih razloga Institucija povjerenika odmah donosi primjenjive odluke.

6. Institucija povjerenika započinje savjetovanje sa trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavom (6) ovog člana.

7. Odluka donesena na osnovu stava (6) ovog člana ne dovodi u pitanje prenos ličnih podataka u treću zemlju, na teritoriju ili u jedan ili više određenih sektora unutar te treće zemlje ili međunarodnoj organizaciji u skladu sa članovima od 46. do 49.

8. Institucija povjerenika u Službenom glasniku Bosne i Hercegovine i na svojoj internet stranici objavljuje xxxxxx trećih zemalja, teritorija i konkretnih sektora unutar treće zemlje i međunarodnih organizacija u vezi sa xxxxxx xx donijela odluku da ne obezbjeđuju, odnosno da više ne obezbeđuju adekvatan nivo zaštite.

Član 46.

(Prenosi na koje se primjenjuju odgovarajuće zaštitne mere)

1. Ako nije donesena odluka o adekvatnosti voditelj obrade ili obrađivač može prenijeti lične podatke u treću zemlju ili međunarodnoj organizaciji samo ako je voditelj obrade ili obrađivač predvidio odgovarajuće zaštitne mjere i pod uslovom da su vlasnicima podataka na raspolaganju izvršiva prava i efektivna pravna sredstva.

2. Odgovarajuće zaštitne mjere iz stava (1) ovog člana mogu, bez potrebe za posebnom odlukom Institucije Povjerenika, biti obezbijeđene:

1. pravno obavezujućim i izvršnim instrumentom između javnih organa;

2. obavezujućim korporativnim pravilima;

3. standardnim klauzulama o zaštiti podataka koje donosi Institucija povjerenika;

4. odobrenim kodeksom ponašanja u skladu sa članom 40. zajedno sa obavezujućim i izvršnim obavezama voditelja obrade ili obrađivača u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog i u pogledu prava vlasnika podataka; ili

5. odobrenim mehanizmom certifikacije u skladu sa članom 42. zajedno sa obavezujućim i izvršnim obavezama voditelja obrade ili obrađivača u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog i u pogledu prava vlasnika podataka.

3. Pod uslovom da to odobri Institucija Povjerenika, odgovarajuće zaštitne mjere iz stava (1) ovog člana takođe mogu da budu obezbijeđene posebno:

1. ugovornim klauzulama između voditelja obrade ili obrađivača i voditelja obrade, obrađivača ili primaoca ličnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

2. odredbama koje se unose u administrativne dogovore između javnih organa i koja sadrže ostvariva i efektivna prava vlasnika podataka.

4. Odluke donesene na osnovu člana 18. stav (4) dosadašnjeg Zakona ostaju na snazi dok se ne izmijene, zamijene ili stave van snage odlukom Institucije ovjerenika.

Član 47.

(Obavezujuća korporativna pravila)

1. Institucija povjerenika odobrava obavezujuća korporativna pravila pod uslovom da:

1. su pravno obavezujuća i da se primenjuju na svakog zainteresovanog člana određene xxxxx privrednika ili xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost, što uključuje i njihove zaposlene, te da ih oni izvršavaju;

2. vlasnicima podataka izričito daju izvršiva prava u vezi s obradom njihovih ličnih podataka; i

3. ispunjavaju uslove iz stava (2) ovog člana.

2. Obavezujuća korporativna pravila određuju najmanje:

1. strukturu i podatke za kontakt xxxxx privrednika i xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost i svakog od njenih članova;

2. prenose podataka ili skupove prenosa, uz navođenje kategorije ličnih podataka, vrste obrade i njene svrhe, kategorije vlasnika podataka i određenje treće zemlje ili zemalja o kojima se radi;

3. njihovu pravno obavezujuću prirodu, kako iznutra tako i vani;

4. primjenu opštih načela zaštite podataka, a posebno ograničenja svrhe, smanjenje količine podataka, ograničenog roka čuvanja, kvaliteta podataka, tehničke i integrisane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija ličnih podataka, mjera za postizanje bezbjednosti podataka i uslove u vezi s daljnjim prenosom tijelima koja nisu obavezana obavezujućim korporativnim pravilima;

5. prava vlasnika podataka u vezi s obradom i načine za ostvarenje tih prava, uključujući i pravo da se na njih ne primjenjuju odluke koje se zasnivaju isključivo na automatskoj obradi, što uključuje i profilisanje u skladu sa članom 22., pravo na pritužbu Instituciji povjerenika i nadležnim sudovima u skladu sa članom 105. i pravo na sudsku zaštitu, a u odgovarajućim slučajevima i pravo na naknadu za kršenje obavezujućih korporativnih pravila;

6. da voditelj obrade ili obrađivač sa sjedištem na teritoriji Bosne i Hercegovine prihvata odgovornost za sva kršenja obavezujućih korporativnih pravila xx xxxxxx bilo kog člana koji nema sjedište u Bosni i Hercegovini; voditelj obrade ili obrađivač je u cjelini ili djelimično izuzet od ove odgovornosti samo ako dokaže da taj član nije odgovoran za događaj koji je prouzrokovao štetu;

7. na xxxx xxxxx se vlasnicima podataka, pored informacija iz člana 13. i 14., pružaju informacije o obavezujućim korporativnim pravilima, posebno o odredbama iz tačaka d), e) i f) ovog stava;

8. zadatke svakog službenika za zaštitu podataka imenovanog u skladu sa članom 37. ili bilo kojeg drugog lica ili subjekta odgovornog za praćenje usklađenosti sa obavezujućim korporativnim pravilima u grupi privrednika ili grupi privrednika koja obavljaju zajedničku privrednu djelatnost, kao i praćenje osposobljenosti i rješavanja prigovora;

9. postupke povodom prigovora;

10. mehanizme unutar xxxxx privrednika ili xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost, kojima se obezbjeđuje provjera poštivanja obavezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za obezbjeđivanje korektivnih mjera za zaštitu prava vlasnika podataka. Rezultate takve provjere potrebno je saopštiti licu ili subjektu iz xxxxx h) ovog stava i upravnom odboru xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost, a na zahtjev ih je potrebno staviti na raspolaganje Instituciji povjereniku;

11. mehanizme za izvještavanje i vođenje evidencije o promjenama pravila i izvještavanje Institucije povjerenika o xxx promjenama;

12. mehanizam saradnje sa Institucijom povjerenika radi obezbjeđivanja usklađenosti svakog člana xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost, prije svega tako što se Instituciji povjerenika stave na raspolaganje rezultati provjera mjera iz xxxxx j) ovog stava;

13. mehanizme za izvještavanje Institucije povjerenika o bilo kakvim pravnim obavezama koje se odnose na člana xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost primjenjuju u trećoj zemlji, a koje bi xxxxx da imaju značajan negativan uticaj na garancije sadržane u obavezujućim korporativnim pravilima; i

14. odgovarajuće osposobljavanje iz oblasti zaštite podataka za osoblje koje ima stalan ili redovan pristup ličnim podacima.

3. Institucija Povjerenika može odrediti format i postupke razmjene informacija između voditelja obrade, obrađivača i Institucije Povjerenika za obavezujuća korporativna pravila u smislu ovog člana.

Član 48.

(Prenos ili otkrivanje podataka koji nisu dozvoljeni)

Svaka presuda suda, tribunala ili odluka upravnog organa treće zemlje kojom se od voditelja obrade ili obrađivača zahtijeva prenos ili otkrivanje ličnih podataka može biti priznata ili izvršena samo ako se zasniva na međunarodnom sporazumu, kao što je sporazum o uzajamnoj pravnoj pomoći, između treće zemlje xxxx xx podnijela zahtjev i Bosne i Hercegovine, ne dovodeći u pitanje druge razloge za prenos u skladu s ovim Poglavljem.

Član 49.

(Odstupanja u posebnim slučajevima)

1. Prenos ili skup prenosa ličnih podataka u treću zemlju ili međunarodnoj organizaciji, ako ne postoji odluka o adekvatnosti u skladu sa članom 45. stav (2) ili odgovarajuće zaštitne mjere u skladu sa članom 46., uključujući i obavezujuća korporativna pravila, vrši se samo pod jednim od sljedećih uslova:

1. vlasnik podataka je izričito saglasan na predloženi prenos nakon što je upoznat s mogućim rizicima takvih prenosa zbog nepostojanja odluke o adekvatnosti i odgovarajućih zaštitnih mera;

2. xxxxxx xx neophodan za izvršenje ugovora između vlasnika podataka i voditelja obrade ili provođenje predugovornih mjera na zahtjev vlasnika podataka;

3. xxxxxx xx neophodan radi sklapanja ili izvršenja ugovora sklopljenog u interesu vlasnika podataka između voditelja obrade i drugog fizičkog ili pravnog lica;

4. xxxxxx xx neophodan iz važnih razloga javnog interesa;

5. xxxxxx xx neophodan za postavljanje, ostvarivanje ili odbranu pravnih zahteva;

6. xxxxxx xx neophodan za zaštitu životno važnih interesa vlasnika podataka ili drugih lica ako vlasnik podataka fizički ili pravno nije sposoban dati saglasnost;

7. prenos se vrši iz registra koji prema pravnim propisima u Bosni i Hercegovini služi za pružanje informacija javnosti i koji je dostupan za uvid javnosti ili bilo kom licu koje može da dokaže postojanje legitimnog interesa, ali samo u mjeri u kojoj su ispunjeni uslovi propisani posebnim zakonom za uvid u xxx posebnom slučaju.

2. Prenos u treću zemlju ili međunarodnoj organizaciji, u slučaju kada osnov za prenos ne može biti član 45. ili 46., uključujući i obavezujuća korporativna pravila, i kada se ne primjenjuje nijedno odstupanje u posebnim slučajevima iz stava (1) ovog člana, može se izvršiti samo ako se prenos ne ponavlja, ako se odnosi samo na ograničeni broj vlasnika podataka i ako je neophodan za potrebe važnih, legitimnih interesa voditelja obrade nad kojima ne preovlađuju interesi ili prava i slobode vlasnika podataka, a voditelj obrade je procijenio sve okolnosti prenosa podataka i na osnovu te procjene je predvidio odgovarajuće zaštitne mjere u pogledu zaštite ličnih podataka. Voditelj obrade o prenosu obavještava Instituciju povjerenika. Uz informacije iz člana 13. i 14., voditelj obrade obavještava vlasnika podataka o prenosu i o važnim legitimnim interesima.

3. Prenos na osnovu stava (1) xxxxx g) ovog člana ne uključuje lične podatke u cjelini ni cijele kategorije ličnih podataka sadržanih u registru. Xxxx xx registar namijenjen uvidu xxxx xxxx imaju legitiman interes, prenos se vrši samo ako to zahtevaju xx xxxx ili ako su ona primaoci.

4. Stav (1) xxxxx a), b) i c) i stav (2) ovog člana ne primjenjuju se na aktivnosti koje obavljaju javni organi prilikom izvršavanja svojih javnih ovlaštenja.

5. Javni interes iz stava (1) xxxxx d) ovog člana xxxx biti propisan zakonom koji se primenjuje na voditelja obrade.

6. Ako nije donijeta odluka o adekvatnosti, iz važnih razloga javnog interesa zakonom mogu biti izričito propisana ograničenja prenosa određenih kategorija ličnih podataka trećoj zemlji ili međunarodnoj organizaciji.

7. Voditelj obrade ili obrađivač dokumentuje procjenu, kao i odgovarajuće zaštitne mjere iz stava (1) i (2) ovog člana, u evidencije iz člana 30.

POGLAVLJE VI. POSEBNI SLUČAJEVI OBRADE

Član 50.

(Obrada ličnih podataka i xxxxxxx izražavanja i informisanja)

Obrada ličnih podataka prilikom korištenja prava na slobodu izražavanja i informisanja, što uključuje obradu isključivo u novinarske svrhe, u svrhe akademskog, umjetničkog ili književnog izražavanja, vrši se u skladu sa posebnim propisima kojima se utvrđuju izuzeci ili odstupanja od primjene poglavlja II (Principi), poglavlja III (Prava vlasnika podataka), poglavlja IV (Voditelj obrade i obrađivač), poglavlja V (Prenos ličnih podataka u inostranstvo), poglavlja VI (Posebni slučajevi obrade) i poglavlja VIII (Nezavisni nadzorni organ) ovog Zakona, ako su ona potrebna da se uskladi pravo na zaštitu ličnih podataka sa slobodom izražavanja i informisanja.“

Član 51.

(Obrada ličnih podataka i javni pristup službenim dokumentima)

1. Javni organ i nadležni organ, u skladu sa zakonom koji se primenjuje na taj organ, može u javnom interesu otkriti lične podatke iz službenih dokumenata kojima raspolaže, kako bi se javni pristup službenim dokumentima uskladio sa pravom na zaštitu ličnih podataka u skladu sa ovim Zakonom.

2. Odredbe ovog Zakon uzet će se u obzir prilikom primjene Zakona o slobodi pristupa informacijama.

Član 52.

(Obrada nacionalnog identifikacionog broja)

(1) Posebni uslovi za obradu nacionalnog identifikacionog broja ili bilo kog drugog identifikatora opšte primjene propisuje se posebnim zakonom.

(2) U slučaju iz stava (1) ovog člana nacionalni identifikacioni broj ili bilo koji drugi identifikator opšte primjene upotrebljava se samo uz primjenu odgovarajućih zaštitnih mjera u pogledu prava i xxxxxxx vlasnika podataka, u skladu sa ovim Zakonom.

Član 53.

(Obrada ličnih podataka u kontekstu zaposlenja)

1. Posebnim zakonom ili kolektivnim ugovorima preciziraju se pravila sa ciljem obezbjeđivanja zaštite prava i xxxxxxx u vezi sa obradom ličnih podataka u kontekstu zaposlenja, posebno za potrebe zapošljavanja, izvršenja ugovora o radu, uključujući i izvršavanje obaveza propisanih zakonom ili kolektivnim ugovorima, za potrebe upravljanja, planiranja i organizacije rada, jednakosti i različitosti na radnom mestu, zdravstva i bezbjednosti na radu, zaštite imovine poslodavca ili klijenta i za potrebe individualnog ili kolektivnog ostvarivanja i uživanja prava i pogodnosti iz radnog odnosa, kao i za potrebe prestanka radnog odnosa.

2. Ta pravila uključuju prikladne i posebne mjere za zaštitu ljudskog dostojanstva vlasnika podataka, njegovih legitimnih interesa i osnovnih prava, posebno u vezi sa transparentnošću obrade, prenos ličnih podataka unutar xxxxx privrednika ili xxxxx privrednika koja obavljaju zajedničku privrednu djelatnost, kao i sistema praćenja na radnom mestu.

Član 54.

(Zaštitne mjere i odstupanja u vezi sa obradom ličnih podataka u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe)

1. Na obradu ličnih podataka u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe primenjuju se odgovarajuće zaštitne mjere u skladu sa ovim Zakonom u pogledu prava i xxxxxxx vlasnika podataka. Xxx zaštitnim mjerama obezbeđuje se primjena tehničkih i organizacionih mjera, posebno onih kojima se garantuje primjena načela smanjenja obima podataka. Te mjere mogu uključivati pseudonimizaciju, ako se te svrhe mogu da ostvare na xxx xxxxx. Ako se te svrhe mogu postići daljnjom obradom koja ne omogućava ili više ne omogućava identifikaciju vlasnika podataka, te svrhe se ostvaruju na xxx xxxxx.

2. Ako se lični podaci obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, samo se zakonom mogu predvidjeti odstupanja od prava navedenih iz članova 15., 16., 18. i 21. uz primjenu uslova i mjera zaštite iz stava (1) ovog člana, ukoliko je vjerovatno da bi ta prava mogla spriječiti ili ozbiljno ugroziti ostvarivanje tih posebnih svrha, pa su takva odstupanja neophodna za postizanje tih svrha.

3. Ako se lični podaci obrađuju u svrhe arhiviranja u javnom interesu, samo se zakonom mogu predvidjeti odstupanja od prava navedenih u članovima 15., 16., 18., 19., 20. i 21., uz primjenu uslova i mjera zaštite iz stava (1) ovog člana, ukoliko je vjerovatno da bi ta prava mogla da spriječe ili ozbiljno ugroze ostvarivanje tih posebnih svrha, pa su takva odstupanja neophodna za postizanje tih svrha.

4. Ako obrada iz stavova (2) i (3) ovog člana istovremeno služi i drugoj svrsi, odstupanja se primenjuju samo za obradu u svrhe koje su navedene u xxx stavovima.

Član 55.

(Video nadzor)

1. Praćenje određenog prostora putem video nadzora dozvoljeno xx xxxx ukoliko je to nužno za zaštitu lica i imovine i ukoliko ne preovladaju interesi vlasnika podataka.

2. Video nadzorom mogu biti obuhvaćeni samo prostori ili dijelovi prostora xxxx je nadzor xxxxx xxxx postizanja svrhe iz stava (1) ovog člana.

3. Smatra se da xx xxxxx interes uspostavljanje video nadzora javno dostupnih objekata velikih površina, kao što su sportski objekti, mjesta okupljanja, zabavni centri, tržni centri ili parkirališta, ili vozila javnog prevoza, u cilju zaštite života, zdravlja ili slobode lica.

4. Voditelj obrade ili obrađivač xxxxx xx na vidnom mjestu istaći oznaku o vršenju video nadzora. Oznaka o video nadzoru sadrži informacije: da xx xxxxxxx pod video nadzorom; podatke o voditelju obrade odnosno obrađivaču; kontakt podatke putem kojih vlasnik podataka može ostvariti svoja prava. Oznaka treba biti vidljiva najkasnije prilikom ulaska u vidokrug snimanja.

5. Za uspostavljanje video nadzora u stambenim odnosno poslovno stambenim zgradama potrebna je saglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova. Video nadzorom može se obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničkim prostorijama u stambenim zgradama.

6. Praćenje javnih prostora putem video nadzora u svrhe iz člana 1. stav (4) ovog Zakona dozvoljeno xx xxxx ako je to propisano posebnim zakonom.

Član 56.

(Postojeća pravila o zaštiti ličnih podataka crkava i vjerskih zajednica)

1. Ako crkve i vjerske zajednice primjenjuju, u vrijeme stupanja na snagu ovog Zakona, sveobuhvatna pravila u pogledu obrade ličnih podataka, ta postojeća pravila mogu se i dalje primjenjivati pod uslovom da se usklade sa ovim Zakonom.

2. Crkve i vjerske zajednice koje primjenjuju sveobuhvatna pravila nadzire nezavisni nadzorni organ, xxxx xxxx biti posebni organ, pod uslovom da ispunjava uslove utvrđene u Poglavlju VIII ovog Zakona.

Član 57.

(Obaveze tajnosti)

1. Državne i službene xxxxx ne predstavljaju prepreku za Instituciju povjerenika u vršenju ovlaštenja iz člana 100. stav (1) xxxxx f) i g) ovog Zakona, ako je to neophodno i srazmjerno u cilju usklađivanja prava na zaštitu ličnih podataka sa obavezom tajnosti.

2. Svaki pristup, kopiranje i bilo kakva druga obrada podataka koji su klasifikovani sa utvrđenim stepenom tajnosti na osnovu posebnog propisa vršiti će se u skladu sa propisima kojima se propisuje zaštita tajnih podataka.

3. Odredbe o tajnosti su i za Instituciju povjerenika obavezujuće.

4. Obradu tajnih podataka vršiti će službenici Institucije povjerenika koji imaju odgovarajuću dozvolu za xxxxxxx xxx podacima.

POGLAVLJE VII. ZAŠTITA LIČNIH PODATAKA XX XXXXXX NADLEŽNIH ORGANA U SVRHE SPRJEČAVANJA, ISTRAGE, OTKRIVANJA KRIVIČNIH DJELA ILI GONJENJA UČINILACA KRIVIČNIH DJELA, IZVRŠENJA KRIVIČNIH SANKCIJA UKLJUČUJUĆI I ZAŠTITU OD PRIJETNJI JAVNOJ BEZBJEDNOSTI I NJIHOVO SPRIJEČAVANJE

Član 58.

(Načela obrade ličnih podataka)

1. Lični podaci moraju biti:

1. obrađivani zakonito i pravično;

2. prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu sa xxx svrhama;

3. primjereni, relevantni i ograničeni na ono što je neophodno u svrhe u koje se obrađuju;

4. tačni i prema potrebi ažurirani; potrebno je preduzeti sve razumne mjere kako bi se obezbijedilo da lični podaci, koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odgađanja izbrisani ili ispravljeni;

5. čuvani u obliku koji omogućava identifikaciju vlasnika podataka i to ne duže nego što je potrebno u svrhe u koje se podaci obrađuju;

6. obrađivani na način kojim se obezbjeđuje odgovarajuća zaštita ličnih podataka, uključujući i zaštitu od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacionih mjera.

1. Obrada koju obavlja isti ili neki drugi voditelj obrade u svrhu iz člana 1. stav (4) različitu od one za koju su lični podaci prikupljeni dozvoljena je:

1. ako je nadležni organ ovlašten za obradu takvih ličnih podataka u takvu svrhu u skladu sa posebnim zakonom; ili

2. ako je obrada neophodna i proporcionalna toj drugoj svrsi u skladu sa posebnim zakonom.

3. Obrada koju obavlja isti ili neki drugi nadležni organ može uključivati arhiviranje u javnom interesu, u naučne, statističke ili istorijske svrhe, za svrhe iz člana 1. stava (4), uz preduzimanje odgovarajućih zaštitnih mjera u pogledu prava i xxxxxxx vlasnika podataka.

4. Nadležni organ odgovoran je za usklađenost sa stavovima (1), (2) i (3) ovog člana i xxxx biti u mogućnosti da dokaže tu usklađenost.

Član 59.

(Rokovi za čuvanje i preispitivanje)

Posebnim zakonom određuju se rokovi za brisanje ličnih podataka ili za periodično preispitivanje potrebe njihovog čuvanja. Nadležni organi dužni su uspostaviti pravila i procedure xxxxxx xx se obezbijediti poštivanje tih rokova.

Član 60.

(Razlika između različitih kategorija vlasnika podataka)

Nadležni organ xxxxx xx, prema potrebi i ukoliko je to moguće, napraviti jasnu razliku između ličnih podataka različitih kategorija vlasnika podataka, kao što su:

1. lica za koje postoje osnovi sumnje da su izvršili ili namjeravaju da izvrše krivično djelo;

2. lica osuđena za krivična djela;

3. xxxx xxxx su žrtve krivičnog djela ili lica u pogledu kojih postoje određene činjenice koje daju osnov za sumnju da bi to lice moglo biti žrtva krivičnog djela; i

4. xxxx xxxx se dovode u vezu sa krivičnim djelom, kao što su xxxx xxxx se mogu pozvati da svjedoče u istragama ili naknadnom krivičnom postupku, xxxx xxxx mogu dati informacije o krivičnim djelima ili lica za kontakt ili saradnici lica iz tačaka a) i b).

Član 61.

(Razlika između ličnih podataka i provjera kvaliteta ličnih podataka)

1. Nadležni organ xxxxx xx obezbijediti da se lični podaci zasnovani na činjenicama razlikuju, što xx xxxx moguće, od ličnih podataka zasnovanih na ličnim procjenama.

2. Nadležni organ xxxxx xx da preduzme sve razumne mjere kako bi obezbijedio da se lični podaci koji su netačni, nepotpuni ili neažurni ne prenose niti stavljaju na raspolaganje. Nadležni organ, što xx xxxx moguće, provjerava kvalitet ličnih podataka prije njihova prenošenja ili stavljanja na raspolaganje. Prilikom svakog prenošenja ličnih podataka, što xx xxxx moguće, dostavljaju se neophodne informacije koje nadležnom organu, koje je podatke dobio, omogućava ocjenu stepena tačnosti, potpunosti i pouzdanosti ličnih podataka, kao i u kojoj su mjeri ažurirani.

3. Ukoliko se utvrdi da su preneseni netačni lični podaci ili da su lični podaci preneseni nezakonito, nadležni organ xxxx bez odgađanja o tome obavijestiti primaoca. U xxx slučaju lični podaci moraju se ispraviti ili brisati ili obradu ograničiti u skladu sa članom 70.

Član 62.

(Zakonitost obrade)

1. Obrada ličnih podataka koju vrši nadležni organ zakonita xx xxxx ako je neophodna i samo u onoj mjeri u kojoj je neophodna za obavljanje poslova nadležnog organa u svrhe iz člana 1. stav (4) i ako je propisana zakonom.

2. Zakon iz stava (1) ovog člana propisuje najmanje ciljevi obrade, lične podatke koji se obrađuju i svrhe obrade.

Član 63.

(Posebni uslovi obrade)

1. Lični podaci koje nadležni organi prikupljaju za svrhe utvrđene u članu 1. stav (4) ne smiju se obrađivati u druge svrhe, osim ako je takva obrada propisana posebnim zakonom i u xxx slučaju ne primjenjuju se odredbe ovog Poglavlja.

2. Ako je posebnim zakonom nadležnom organu povjereno obavljanje poslova drugačijih od onih koje obavljaju u svrhe iz člana 1. stav (4), u xxx slučaju ne primjenjuju se odredbe ovog Poglavlja, između ostalog i za arhiviranje u javnom interesu, ili u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe.

3. Ako su posebnim zakonom, koji se odnosi na nadležni organ koji prenosi podatke, propisani posebni uslovi za obradu, nadležni organ koji prenosi te lične podatke primaocu xxxxx xx istog obavijestiti o xxx uslovima i o zahtjevima za poštivanje tih uslova.

Član 64.

(Obrada posebnih kategorija ličnih podataka)

Nadležni organ može obrađivati lične podatake koji otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjerska ili filozofska uvjerenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije lica ili podataka o zdravlju ili podataka o spolnom životu ili seksualnoj orijentaciji lica, isključivo ako je to neophodno, pridržavajući se odgovarajućih zaštitnih mjera u pogledu prava i xxxxxxx vlasnika podataka, te samo:

1. ako je propisano posebnim zakonom;

2. radi zaštite vitalnih interesa vlasnika podataka ili drugog pojedinca; ili

3. ako se takva obrada odnosi na podatke za koje je očito da ih je objavio vlasnik podataka.

Član 65.

(Automatizovano pojedinačno donošenje odluka)

1. Nadležnom organu je zabranjeno donošenje odluke isključivo na osnovu automatizovane obrade, uključujući i profilisanje, koja proizvodi negativne pravne efekte za vlasnika podataka ili na njega značajno utiče, osim ako je odobreno posebnim zakonom koji propisuje odgovarajuće zaštitne mjere za prava i slobode vlasnika podataka, najmanje prava na učešće fizičkog lica u donošenju odluke.

2. Odluka iz stava (1) ovog člana ne smiju biti zasnovana na posebnim kategorijama ličnih podataka iz člana 64., osim ako su uspostavljene odgovarajuće mjere zaštite prava i xxxxxxx i legitimnih interesa vlasnika podataka.

3. Nadležnom organu je zabranjeno profilisanje koje dovodi do diskriminacije lica na osnovu posebnih kategorija ličnih podataka iz člana 64.

Član 66.

(Obavještavanje i načini ostvarivanja prava vlasnika podataka)

1. Nadležni organ xxxxx xx preduzeti sve odgovarajuće mjere kako bi se vlasniku podataka pružile sve informacije iz člana 67. te dala sva obaviještenja u pogledu člana 65., članova od 68. do 72. i člana 85. u vezi s obradom i to u sažetom, razumljivom i xxxx dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika. Informacije se pružaju bilo kojim odgovarajućim sredstvom, uključujući i elektronsko. Nadležni organ, u pravilu, pruža informaciju u istom obliku u kojem je zahtjev podnesen.

2. Nadležni organ xxxxx xx olakšati ostvarivanje prava vlasnika podataka iz člana 65. i članova od 68. do 72.

3. Nadležni organ xxxxx xx vlasnika podataka pisanim putem obavjestiti o daljnjim radnjama u vezi s njegovim zahtjevom, bez nepotrebnog odgađanja.

4. Nadležni organ xxxxx xx, bez naknade, pružiti informacije, odnosno preduzeti mjere, na osnovu člana 67. te sva obavještenja pružena ili mjere preduzete na osnovu člana 65., članova od 68. do 72. i člana 85. Ako su zahtjevi vlasnika podataka očigledno neosnovani ili pretjerani, posebno zbog njihovog učestalog ponavljanja, nadležni organ može:

1. naplatiti razumnu naknadu, uzimajući u obzir administrativne troškove pružanja informacija ili obaviještenja ili preduzimanja traženih mjera; ili

2. odbiti da postupi po zahtjevu.

Teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva je na nadležnom organu.

5. Ako nadležni organ ima opravdane sumnje u pogledu identiteta fizičkog lica koje podnosi zahtjev iz člana 68. ili 70., nadležni organ može da zatraži dodatne informacije neophodne za potvrđivanje identiteta vlasnika podataka.

Član 67.

(Informacije koje se stavljaju na raspolaganje ili daju vlasniku podataka)

1. Nadležni organ xxxxx xx vlasniku podataka staviti na raspolaganje najmanje informacije o sljedećem:

1. identitetu i kontaktnim podacima nadležnog organa;

2. kontaktnim podacima službenika za zaštitu podataka, ako je primjenjivo;

3. svrhama obrade ličnih podataka;

4. pravu na podnošenje pritužbe Instituciji povjerenika i kontaktnim podacima Institucije Povjerenika;

5. postojanju prava da od nadležnog organa zatraži pristup svojim ličnim podacima, njihovu ispravku ili brisanje, ili ograničenje obrade ličnih podataka.

2. Da bi se vlasniku podataka omogućilo ostvarivanje njegovih prava nadležni organ, tamo gdje je to neophodno, osim informacija iz stava (1) ovog člana, vlasniku podataka daje dodatne informacije o sljedećem:

1. pravnom osnovu obrade ličnih podataka;

2. roku u kojem će se lični podaci čuvati ili, ako to nije moguće, o kriterijima korištenim za utvrđivanje tog roka;

3. kategorijama primalaca ličnih podataka, uključujući treće zemlje ili međunarodne organizacije, ako je primjenjivo;

4. prema potrebi, dodatne informacije, posebno ako se lični podaci prikupljaju bez znanja vlasnika podataka.

3. Posebnim zakonom mogu se propisati mjere za odgađanje, ograničenje ili uskraćivanje pružanja informacija vlasniku podataka na osnovu stava (2) ovog člana u onoj mjeri i u onom trajanju u kojem takva mjera predstavlja potrebnu i proporcionalnu mjeru u demokratskom društvu uz poštivanje osnovnih prava i legitimnih interesa vlasnika podataka, sa ciljem da se:

1. spriječi ometanje službenog i zakonom uređenog prikupljanja informacija, istraga ili postupaka;

2. izbjegne ometanje sprječavanja, otkrivanja, istraga ili gonjenja učinilaca krivičnih djela ili izvršavanja krivičnih sankcija;

3. zaštiti javna bezbjednost;

4. zaštiti državna bezbjednost;

5. zaštite prava i slobode drugih.

4. Posebnim zakonom mogu se propisati kategorije obrade koje mogu u cijelini ili djelimično biti obuhvaćene bilo kojom od tačaka iz stava (3) ovog člana.

Član 68.

(Pravo vlasnika podataka na pristup)

Nadležni organ xxxxx xx, uzimajući u obzir član 69., vlasniku podataka, na njegov zahtjev, obezbijediti informaciju o tome da li obrađuje njegove lične podatke, te ako se takvi lični podaci obrađuju, xxxxxxx xxx ličnim podacima i sljedećim informacijama:

1. svrhama obrade i pravnom osnovu obrade;

2. kategorijama ličnih podataka koji se obrađuju;

3. primaocima ili kategorijama primalaca kojima su lični podaci otkriveni, posebno primaocima u trećim zemljama ili međunarodnim organizacijama;

4. predviđenom roku u kojem će se lični podaci čuvati, ako je to moguće, ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog roka;

5. postojanju prava da od nadležnog organa zatraži ispravku ili brisanje svojih ličnih podataka ili ograničenje obrade ličnih podataka;

6. o pravu na podnošenje pritužbe Instituciji povjerenika i kontaktnim podacima Institucije povjerenika;

7. o ličnim podacima koji se obrađuju i o svim dostupnim informacijama o izvoru ličnih podataka.

Član 69.

(Ograničenja prava pristupa)

1. Posebnim zakonom koji se odnosi na nadležni organ može se vlasniku podataka u cijelini ili djelimično ograničiti pravo pristupa u onoj mjeri i u onom trajanju u kojem takvo djelimično ili potpuno ograničenje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz poštivanje osnovnih prava i legitimnih interesa vlasnika podataka kako bi se:

1. spriječilo ometanje službenog ili zakonom uređenog prikupljanja informacija, istraga ili postupaka;

2. izbjeglo ometanje sprječavanja, otkrivanja, istraga ili progona izvršilaca krivičnih djela ili izvršavanja krivičnih sankcija;

3. zaštitila javna bezbjednost;

4. zaštitila državna bezbjednost;

5. zaštitila prava i slobode drugih.

2. Posebnim zakonom mogu se odrediti kategorije obrade koje mogu u cijelini ili djelimično biti obuhvaćene bilo kojom tačkom iz stava (1) ovog člana.

3. U slučajevima iz stava (1) i (2) ovog člana nadležni organ xxxxx xx bez nepotrebnog odgađanja pisanim putem obavijestiti vlasnika podataka o svakom odbijanju ili ograničenju xxxxxxxx xx o razlozima odbijanja ili ograničenja, osim ako bi pružanje takvih informacija dovelo u pitanje neku od svrha iz stava (1) ovog člana. Nadležni organ xxxxx xx obavijestiti vlasnika podataka o mogućnosti podnošenja pritužbe Instituciji povjerenika ili traženja pravnog lijeka.

4. Nadležni organ xxxxx xx da dokumentuje činjenične ili pravne razloge na kojima se zasniva odluka. Ti se podaci stavljaju na raspolaganje Instituciji povjereniku.

Član 70.

(Pravo na ispravku ili brisanje ličnih podataka i ograničenje obrade)

1. Nadležni organ xxxxx xx, bez nepotrebnog odgađanja, vlasniku podataka omogućiti ispravku netačnih ličnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade podataka vlasnik podataka ima pravo da dopuni nepotpune lične podatke, između ostalog i davanjem dodatne izjave.

2. Nadležni organ xxxxx xx da vlasniku podataka omogući brisanje ličnih podataka, bez nepotrebnog odgađanja, ako se obradom krše odredbe člana 58., 62. ili 64., ili ako se lični podaci moraju brisati radi poštivanja pravne obaveze iz posebnog zakona.

3. Nadležni organ, umjesto brisanja, xxxxx xx ograničiti obradu ako:

1. vlasnik podataka osporava tačnost ličnih podataka, a njihovu tačnost ili netačnost nije moguće utvrditi; ili

2. lični podaci moraju biti sačuvani kao dokaz.

Ako je obrada ograničena na osnovu xxxxx a) ovog stava, nadležni organ xxxxx xx obavijestiti vlasnika podataka prije uklanjanja ograničenja obrade.

4. Nadležni organ xxxxx xx pisanim putem obavjestiti vlasnika podataka o svakom odbijanju ispravke ili brisanja ličnih podataka ili ograničenja obrade te o razlozima odbijanja. Posebnim zakonom koji se odnosi na nadležni organ može se vlasniku podataka potpuno ili djelimično ograničiti pravo pristupa u onoj mjeri i u onom trajanju u kojem takvo potpuno ili djelimično ograničenje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz poštivanje osnovnih prava i legitimnih interesa vlasnika podataka kako bi se:

1. spriječilo ometanje službenog ili zakonom uređenog prikupljanja informacija, istraga ili postupaka;

2. izbjeglo ometanje sprečavanja, otkrivanja, istraga ili progona izvršilaca krivičnih djela ili izvršavanja krivičnih sankcija;

3. zaštitila javna bezbjednost;

4. zaštitila državna bezbjednost;

5. zaštitila prava i slobode drugih.

Nadležni organ xxxxx xx obavijestiti vlasnika podataka o mogućnosti podnošenja pritužbe Instituciji povjerenika ili traženja pravnog lijeka.

5. Nadležni organ xxxxx xx o ispravci netačnih ličnih podataka obavjestiti nadležni organ od kojeg potiču netačni podaci.

6. Nadležni organ xxxxx xx, ako su lični podaci ispravljeni ili brisani, ili je obrada bila ograničena na osnovu stavova (1), (2) ili (3) ovog člana obavjestiti primaoce a primaoci su dužni da isprave ili obrišu lične podatke ili ograniče obradu ličnih podataka u okviru svoje odgovornosti.

Član 71.

(Ostvarivanje prava vlasnika podataka i provjera Institucije povjerenika)

1. Ako xx xxxxxxx podataka nezadovoljan postupkom nadležnog organa može podnijeti pritužbu Instituciji povjerenika, u slučajevima iz člana 67. stav (3), člana 69. stav (3) i člana 70. stav (4).

2. Nadležni organ xxxxx xx obavijestiti vlasnika podataka o mogućnosti ostvarivanja prava putem pritužbe Instituciji povjerenika ili traženja drugog pravnog lijeka na osnovu stava (1) ovog člana.

3. U slučaju iz stava (1) ovog člana, Institucija povjerenika dužna je obavijestiti vlasnika podataka najmanje o tome da je izvršena provjera i nadzor kao i o pravu na pravni lijek.

Član 72.

(Prava vlasnika podataka u krivičnim istragama i postupcima)

Vlasnik podataka ostvaruje prava, iz članova 67., 68. i 70., u skladu sa zakonima o krivičnim postupcima, ako su lični podaci sadržani u sudskoj odluci ili evidenciji ili spisu predmeta obrađeni tokom krivičnih istraga i postupaka.

Član 73.

(Obaveze nadležnog organa)

1. Nadležni organ xx xxxxx primjeniti odgovarajuće tehničke i organizacione mjere imajući u vidu prirodu, obim, okolnosti i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, kako bi obezbijedio da se obrada vrši u skladu sa ovim Zakonom i kako bi to mogao dokazati. Te mjere se prema potrebi preispituju i ažuriraju.

2. Mjere iz stava (1) ovog člana, ako su srazmjerne u odnosu na aktivnosti obrade, uključuju provođenje odgovarajućih politika zaštite podataka xx xxxxxx nadležnog organa.

Član 74.

(Tehnička i integrisana zaštita podataka)

1. Nadležni organ xxxxx xx, uzimajući u obzir najnovija dostignuća i trošak provođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerojatnoće i ozbiljnosti za prava i slobode lica koji proizlaze iz obrade podataka, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, primijeniti odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje djelotvorne primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu, kako bi se ispunili zahtjevi iz ovog Zakona i zaštitila prava vlasnika podataka.

2. Nadležni organ xxxxx xx primjenijeniti odgovarajuće tehničke i organizacione mjere kojima se bezbjeđuje da integrisanim načinom budu obrađeni samo lični podaci koji su neophodni za svaku posebnu svrhu obrade. Ova obaveza se odnosi i na količinu prikupljenih ličnih podataka, obim njihove obrade, rok njihovog čuvanja i njihovu dostupnost. Ovim mjerama se obezbjeđuje da lični podaci nisu automatski, bez intervencije fizičkog lica, dostupni neograničenom broju lica.

Član 75.

(Zajednički voditelji obrade)

1. Ako dva ili više nadležnih organa odrede svrhe i načine obrade ličnih podataka, smatraju se zajednički voditelji obrade. Oni na transparentan način međusobnim sporazumom određuju odgovornosti svakoga od njih u cilju izvršavanja obaveza iz ovog Zakona, posebno u vezi sa ostvarivanjem prava vlasnika podataka i dužnostima svakoga od njih u pogledu pružanja informacija iz člana 67., osim ako su odgovornosti nadležnih organa utvrđene zakonom koji se primjenjuje na te nadležne organe. Sporazumom se određuje kontaktna xxxxx za vlasnike podataka. Zakonom se može odrediti koji od zajedničkih voditelja obrade može djelovati kao jedinstvena kontaktna xxxxx za ostvarivanje prava vlasnika podataka.

2. Nezavisno od uslova sporazuma iz stava (1) ovog člana, vlasnik podataka može da ostvaruje svoja prava iz ovog Zakona u odnosu sa svakim nadležnim organom i protiv svakog od njih.

Član 76.

(Obrađivač)

Nadležni organ ne može obrađivati lične podatke u svrhe iz člana 1. stav (4) putem obrađivača.

Član 77.

(Obrada pod kontrolom nadležnog organa)

Lice koje djeluje pod kontrolom nadležnog organa, a ima pristup ličnim podacima, ne smije da obrađuje te podatke bez naloga voditelja obrade, osim xxxx xx to propisano posebnim zakonom.

Član 78.

(Evidencija o obradi)

1. Nadležni organ vodi evidenciju obrade za xxxx xx odgovoran. Ta evidencija sadrži sljedeće informacije:

1. ime i kontaktne podatke nadležnog organa, zajedničkog nadležnog organa i službenika za zaštitu podataka;

2. svrhe obrade;

3. kategorije primalaca kojima su lični podaci otkriveni ili će im biti otkriveni, uključujući primaoce u trećim zemljama ili međunarodnim organizacijama;

4. opis kategorija vlasnika podataka i kategorija ličnih podataka;

5. upotreba izrade profila, ako je primjenjivo;

6. kategorije prenosa ličnih podataka u treću zemlju ili međunarodnu organizaciju, ako je primjenjivo;

7. o pravnom osnovu za obradu, uključujući prenose, kojem su lični podaci namijenjeni;

8. o predviđenim rokovima za brisanje različitih kategorija ličnih podataka, ako je moguće;

9. opšti opis tehničkih i organizacionih bezbjednosnih mjera iz člana 83. stav (1), ako je moguće.

2. Evidencija iz stava (1) ovog člana xxxx biti u pisanom obliku, što uključuje elektronski oblik.

3. Nadležni organ na zahtjev Institucije povjerenika stavlja evidenciju na raspolaganje.

Član 79.

(Zapisivanje)

1. Nadležni organ xxxxx xx, kod automatizovanih sistema obrade ličnih podataka, uspostaviti sistem logovanja koji automatski bilježi najmanje sljedeće informacije o: prikupljanju, izmjeni, izvršenom uvidu, otkrivanju, uključujući prenose, kombinovanju i brisanju. Zapisi o izvršenom uvidu i otkrivanju omogućavaju da se utvrdi obrazloženje, datum i vrijeme takvih postupaka te, ako je to moguće, identitet lica koje je izvršilo uvid ili otkrilo lične podatke i identitet primaoca takvih ličnih podataka.

2. Zapis se upotrebljava samo u svrhe provjere zakonitosti obrade, samopraćenja i obezbjeđenja cjelovitosti i bezbjednosti ličnih podataka te za krivične postupke.

3. Nadležni organ na zahtjev Institucije povjerenika stavlja zapise na raspolaganje.

Član 80.

(Saradnja sa Institucijom povjerenika)

Nadležni organ xx xxxxx da sarađuje po zahtjevu Institucije povjerenika, prilikom izvršavanja svojih nadležnosti.

Član 81.

(Procjena uticaja na zaštitu podataka)

1. Nadležni organ prije obrade vrši procjenu uticaja predviđenih postupaka obrade na zaštitu ličnih podataka, ako je vjerovatno da će neka vrsta obrade, posebno primjenom novih tehnologija i uzimajući u obzir prirodu, obim, kontekst i svrhe te obrade, prouzrokovati visoki rizik za prava i slobode lica,

2. Procjena iz stav (1) ovog člana xxxx sadržavati najmanje opšti opis predviđenih postupaka obrade, procjenu rizika za prava i slobode vlasnika podataka, predviđene mjere za rizike, zaštitne i bezbjednosne mjere i mehanizme kako bi se obezbijedila zaštita ličnih podataka i dokazala usklađenost sa ovim Zakonom, uzimajući u obzir prava i legitimne interese vlasnika podataka i drugih uključenih lica.

Član 82.

(Prethodno savjetovanje sa Institucijom povjerenika)

1. Nadležni organ xx xxxxx da se savjetuje se sa Institucijom povjerenika prije obrade ličnih podataka koji će biti uključeni u novi sistem čuvanja, ako:

1. procjena uticaja na zaštitu podataka, xxxx xx predviđeno članom 81., upućuje na to da bi obrada mogla prouzrokovati visoki rizik ako nadležni organ ne preduzme mjere kako bi umanjio rizik; ili

2. vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode vlasnika podataka.

2. Prijedlog zakona kojim se reguliše obrada ličnih podataka, prije njegovog upućivanja u parlamentarnu proceduru, kao i prijedlozi podzakonskih akata koji se zasnivaju na zakonu a odnose se na obradu ličnih podataka dostavljaju se Instituciji povjerenika na mišljenje.

3. Institucija povjerenika može uspostaviti popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavom (1) ovog člana.

4. Nadležni organ xx xxxxx Instituciji povjerenika dostaviti procjenu uticaja na zaštitu podataka na osnovu člana 81. i na njegov zahtjev, pružiti sve ostale informacije pomoću kojih će Institucija povjerenika moći procijeniti usklađenost obrade te posebno rizike za zaštitu ličnih podataka vlasnika podataka i povezane zaštitne mjere.

5. Institucija Povjerenika će u roku od najviše 42 xxxx od zaprimanja pisanog zahtjeva, pisanim putem dati savjet nadležnom organu, te može iskoristiti bilo koji od svojih ovlaštenja, ako smatra da bi se namjeravanom obradom iz stava (1) ovog člana kršile odredbe ovog Zakona, posebno ako nadležni organ nije u dovoljnoj mjeri utvrdio ili umanjio rizik. Taj se rok može prema potrebi produžiti za 30 xxxx, uzimajući u obzir složenost namjeravane obrade. Institucija Povjerenika u roku od 30 xxxx od zaprimanja zahtjeva obavještava nadležni organ, o svakom takvom produženju i o razlozima odgađanja.

Član 83.

(Bezbjednost obrade)

1. Nadležni organ xxxxx xx, uzimajući u obzir najnovija dostignuća, troškove provođenja, prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih nivoa vjerovatnoće i ozbiljnosti za prava i slobode fizičkih lica, primijeniti odgovarajuće tehničke i organizacione mjere kako bi postigao odgovarajući nivo bezbjednosti shodno riziku, posebno u pogledu obrade posebnih kategorija ličnih podataka.

2. U pogledu automatizovane obrade nadležni organ, nakon procjene rizika, xxxxx xx uspostaviti mjere koje obezbjeđuju da se:

1. onemogući neovlaštenim licima pristup opremi koja se koristi za obradu („kontrola pristupa opremi”);

2. spriječi neovlašteno čitanje, umnožavanje, mijenjanje ili uklanjanje nosača podataka („kontrola nosača podataka”);

3. spriječi neovlašteno unošenje ličnih podataka te neovlašteno pregledanje, mijenjanje ili brisanje čuvanih ličnih podataka („kontrola čuvanja”);

4. spriječi korištenje sistema za automatsku obradu xx xxxxxx neovlaštenog lica upotrebom opreme za prenos podataka („kontrola upotrebe”);

5. lice koje je ovlašteno za korištenje sistema za automatsku obradu ima pristup samo onim ličnim podacima na koje se odnosi njegovo odobrenje za pristup („kontrola pristupa podacima”);

6. može provjeriti i utvrditi kome su lični podaci preneseni, odnosno bi mogli biti preneseni ili učinjeni dostupnim upotrebom opreme za prenos podataka („kontrola prenosa”);

7. može naknadno provjerti, odnosno utvrditi koji su lični podaci uneseni u sistem automatske obrade te ko ih xx x xxxx unio („kontrola unosa”);

8. spriječi neovlašteno čitanje, umnožavanje, mijenjanje ili brisanje ličnih podataka tokom prenosa ličnih podataka ili prenosa nosača podataka („kontrola prenosa”);

9. mogućnost ponovne uspostave instaliranih sistema u slučaju prekida njihovog rada („obnavljanje sistema”);

10. održava ispravna funkcija sistema, da se pojava grešaka u funkcionisanju sistema prijavi („pouzdanost”) i da se čuvani lični podaci ne mogu ugroziti zbog nedostataka u funkcionisanju sistema („integritet”).

Član 84.

(Izvještavanje Institucije povjerenika o povredi ličnih podataka)

1. Nadležni organ xx xxxxx u slučaju povrede ličnih podataka, bez nepotrebnog odgađanja i ukoliko je moguće, najkasnije 72 sata nakon saznanja za tu povredu, izvijestiti Instituciju povjerenika o povredi ličnih podataka, osim ako povredom ličnih podataka vjerojatno neće biti ugrožena prava i slobode fizičkog lica. Ako izvještavanje Institucije povjerenika nije izvršeno u roku 72 sata, xxxx xx navesti obrazloženje za kašnjenje.

2. Izvještaj iz stava (1) ovog člana sadrži najmanje sljedeće informacije:

1. opis prirode povrede ličnih podataka, uključujući, ako je moguće, kategorije i približan broj vlasnika podataka, kao i kategorije i približan broj evidencija ličnih podataka o xxxxxx xx riječ;

2. ime i prezime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne xxxxx xx koje xx xxxx dobiti xxx informacija;

3. opis vjerojatne posljedice povrede ličnih podataka;

4. opis mjera koje je nadležni organ preduzeo ili čije je preduzimanje predložio radi rješavanja problema povrede ličnih podataka, uključujući prema potrebi i mjere za ublažavanje mogućih štetnih posljedica.

3. Informacije se mogu dostavljati u dijelovima, bez nepotrebnog daljnjeg odgađanja, ukoliko i u mjeri u kojoj nije moguće istovremeno dostaviti sve informacije.

4. Nadležni organ dokumentuje svaku povredu ličnih podataka, uključujući i činjenice u vezi sa povredom ličnih podataka, njene posljedice i mjere preduzete za popravljanje situacije. Ta dokumentacija Instituciji povjerenika xxxx omogućiti provjeru poštivanja ovog člana.

Član 85.

(Obavještavanje vlasnika podataka o povredi ličnih podataka)

1. Ako je vjerovatno da će povreda ličnih podataka prouzrokovatiti visok rizik za prava i slobode fizičkog lica, nadležni organ bez nepotrebnog odgađanja obavještava vlasnika podataka o povredi ličnih podataka.

2. U obavještenju se jasnim i jednostavnim jezikom opisuje priroda povrede ličnih podataka te se navode najmanje informacije i mjere iz člana 84. stav (2) xxxxx b), c) i d).

3. Obavještavanje vlasnika podataka nije obavezno ako je ispunjen jedan od sljedećih uslova:

1. ako je nadležni organ preduzeo odgovarajuće tehničke i organizacione mjere zaštite i te mjere su primijenjene na lične podatke u vezi xx xxxxxx xx xxxxx do povrede ličnih podataka, a prije svega mjere koje lične podatke čine nerazumljivim licu koje nije ovlašteno da im pristupi, kao što je enkripcija;

2. ako je voditelj obrade preduzeo naknadne mjere kojima se obezbjeđuje da više nije vjerovatno da xx xxxx do visokog rizika za prava i slobode vlasnika podataka;

3. ako bi to zahtijevalo nesrazmjeran napor. U xxx slučaju se objavljuje javno obavještenje ili se preduzima slična mjera kojom se vlasnici podataka obavještavaju na jednako djelotvoran način.

4. Ako nadležni organ do tog trenutka nije obavijestio vlasnika podataka o povredi ličnih podataka, Institucija povjerenika, nakon razmatranja stepena vjerovatnoće da će povreda ličnih podataka prouzrokovati visok rizik, može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uslova iz stava (3) ovog člana.

5. Obavještavanje vlasnika podataka može se odgoditi, ograničiti ili uskratiti u skladu sa uslovima i na osnovu razloga iz člana 67. stav (3).

Član 86.

(Imenovanje službenika za zaštitu ličnih podataka)

1. Nadležni organ xx xxxxx imenovati službenika za zaštitu ličnih podataka podataka. Sudovi kada postupaju u okviru svoje sudske nadležnosti nisu dužni imenovati službenika za zaštitu ličnih podataka.

2. Službenik za zaštitu ličnih podataka imenuje se na osnovu njegovih stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksi u oblasti zaštite ličnih podataka i sposobnosti obavljanja zadataka iz člana 88.

3. Više nadležnih organa mogu imenovati jednog službenika za zaštitu ličnih podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu.

4. Nadležni organ xx xxxxx objaviti kontaktne podatke službenika za zaštitu ličnih podataka i saopštiti ih Instituciji povjerenika.

Član 87.

(Radno mjesto službenika za zaštitu ličnih podataka)

1. Nadležni organ xx xxxxx obezbjediti da službenik za zaštitu ličnih podataka bude na odgovarajući način i blagovremeno uključen u sva pitanja koja se tiču zaštite ličnih podataka.

2. Nadležni organ xx xxxxx podržavati službenika za zaštitu ličnih podataka u izvršavanju zadataka pružajući mu potrebna sredstva za izvršavanje tih zadataka i pristup ličnim podacima i postupcima obrade, kao i za održavanje njegova stručnog znanja.

Član 88.

(Zadaci službenika za zaštitu ličnih podataka)

Nadležni organ službeniku za zaštitu ličnih podataka povjerava najmanje sljedeće zadatke:

1. informisanje i savjetovanje nadležnog organa i zaposlenih koji vrše obradu o njihovim obavezama iz ovog Zakona i drugih zakona kojima se propisuje zaštita ličnih podataka;

2. praćenje poštivanja ovog Zakona i drugih zakona kojima se propisuje zaštita ličnih podataka, kao i politikama nadležnog organa u vezi sa zaštitom ličnih podataka, uključujući i podjelu odgovornosti, podizanje svijesti i osposobljavanje zaposlenih koji učestvuju u radnjama obrade, kao i sa xxx povezanim revizijama;

3. pružanje savjeta, xxxx xx to zahtijevano, u pogledu procjene uticaja na zaštitu ličnih podataka i praćenje njenog izvršavanja u skladu sa članom 81.;

4. saradnja sa Institucijom povjerenika;

5. djelovanje kao kontaktna xxxxx za Instituciju povjerenika o pitanjima koja se tiču obrade, što uključuje i prethodno savjetovanje iz člana 82. te savjetovanje, po potrebi, o svim drugim pitanjima.

Član 89.

(Opšta načela prenosa ličnih podataka u inostranstvo)

1. Nadležni organ xx xxxxx svaki prenos ličnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prenosa u treću zemlju ili međunarodnoj organizaciji, uključujući daljnje prenose xxx jednoj trećoj zemlji ili međunarodnoj organizaciji, izvršavati pridržavajući se odredbi ovog Poglavlja, samo ako su ispunjeni sljedeći uslovi i to:

1. xxxxxx xx neophodan u svrhe utvrđene u članu 1. stav (4);

2. lični podaci prenose se nadležnom organu u treću zemlju ili međunarodnoj organizaciji, koji predstavlja javni organ nadležan za potrebe iz člana 1. stava (4);

3. Institucija Povjerenika je donijela odluku o adekvatnosti na osnovu člana 90. ili, u nedostatku takve odluke, odgovarajuće zaštitne mjere koje moraju biti obezbijeđene ili postoje na osnovu člana 91. ili se, u nedostatku odluke o adekvatnosti na osnovu člana 90. i odgovarajućih zaštitnih mjera u skladu s članom 91. primjenjuju odstupanja za posebne situacije na osnovu člana 92.; i

4. u slučaju daljnjeg prenosa u xxx jednu treću zemlju ili međunarodnu organizaciju, nadležni organ koji je izvršio prvi prenos ili drugi nadležni organ u Bosni i Hercegovini može, nakon što je uzeo u obzir sve relevantne činjenice, uključujući ozbiljnost krivičnog djela, svrhu u koju su lični podaci prvo preneseni i nivo zaštite ličnih podataka u trećoj zemlji ili međunarodnoj organizaciji, odobriti daljnji prenos.

2. Sve odredbe u vezi prenosa ličnih podataka trećoj zemlji ili međunarodnoj organizaciji primjenjuju se kako bi se obezbijedilo da se ne ugrozi nivo zaštite fizičkih lica koji je garantovan ovim Poglavljem Zakona.

Član 90.

(Prenosi na osnovu odluke o adekvatnosti)

1. Prenos ličnih podataka u treću zemlju ili međunarodnu organizaciju može se vršiti ako Institucija povjerenika odluči da treća zemlja, teritorija, ili jedan ili više konkretnih sektora unutar te treće zemlje, ili međunarodna organizacija obezbjeđuje adekvatan nivo zaštite. Za takav prenos nije potrebno posebno odobrenje.

2. Prilikom procjene adekvatnosti nivoa zaštite Institucija povjerenika posebno uzima u obzir sljedeće elemente:

1. vladavinu prava, poštivanje ljudskih prava i osnovnih xxxxxxx, relevantno opšte i sektorsko zakonodavstvo, što uključuje zakonodavstvo o javnoj bezbjednosti, odbrani, državnoj bezbjednosti, krivičnom pravu i pristupu javnih organa ličnim podacima, kao i primjenu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere bezbjednosti, što uključuje pravila za daljnji prenos ličnih podataka u xxx jednu treću zemlju ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu, kao i postojanje djelotvornih i provedivih prava vlasnika podataka i efikasnu upravnu i sudsku zaštitu vlasnika podataka;

2. postojanje i efikasno funkcionisanje jednog ili više nezavisnih nadzornih organa u trećoj zemlji, ili organa kojem podliježe međunarodna organizacija, odgovornih za osiguravanje i provođenje poštovanja pravila o zaštiti podataka, što uključuje adekvatna izvršna ovlaštenja za pružanje pomoći vlasnicima podataka u ostvarivanju njihovih prava, kao i za saradnju sa Institucijom povjerenika; i

3. međunarodne obaveze koje je dotična treća zemlja ili međunarodna organizacija preuzela ili druge obaveze koje proizlaze iz pravno obavezujućih konvencija ili instrumenata, kao i iz njenog učestvovanja u multilateralnim ili regionalnim sistemima, posebno u vezi sa zaštitom ličnih podataka.

3. Institucija povjerenika nakon procjene adekvatnosti nivoa zaštite može provedbenim aktom odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija obezbjeđuju adekvatan nivo zaštite. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi određuje se se i nadzorni organ ili organi iz stava (2) xxxxx b) ovog člana.

4. Institucija povjerenika kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli uticati na provođenje odluka donesenih u skladu sa stavom (3) ovog člana.

5. Ako dostupne informacije ukazuju, a posebno nakon procjene iz stava (3) ovog člana, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje ili međunarodna organizacija više ne obezbjeđuje adekvatan nivo zaštite u mjeri u kojoj je to potrebno, Institucija Povjerenika provedbenim aktima stavlja van snage, mijenja ili odgađa izvršenje odluke iz stava (3) ovog člana bez retroaktivnog dejstva. Zbog važnih pravno osnovanih i izuzetno hitnih razloga Institucija povjerenika odmah donosi primjenjive odluke.

6. Institucija povjerenika započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavom (5) ovog člana.

7. Odlukom donesenom na osnovu stava (5) ovog člana ne mogu se dovesti u pitanje prenosi ličnih podataka u treću zemlju, na teritoriju ili jedan ili više određenih sektora te treće zemlje ili međunarodnoj organizaciji u skladu sa članovima 91. i 92.

8. Institucija Povjerenika u Službenom glasniku Bosne i Hercegovine i na svojoj internet stranici objavljuje xxxxxx trećih zemalja, područja i konkretnih sektora unutar treće zemlje i međunarodnih organizacija u vezi sa xxxxxx xx donijela odluku da ne obezbjeđuju, odnosno da više ne obezbjeđuju adekvatan nivo zaštite.

Član 91.

(Prenosi na koje se primjenjuju odgovarajuće zaštitne mjere)

1. Nadležni organ može izvršiti prenos ličnih podataka trećoj zemlji ili međunarodnoj organizaciji, ako nije donesena odluka na osnovu člana 90. stav (3), pod slijedećim uslovima:

1. ako su odgovarajuće zaštitne mjere u pogledu zaštite ličnih podataka predviđene u pravno obavezujućem instrumentu; ili

2. ako je nadležni organ procijenio sve okolnosti u vezi sa prenosom ličnih podataka i zaključio da postoje odgovarajuće zaštitne mjere u pogledu zaštite ličnih podataka.

2. Nadležni organ xx xxxxx obavjestiti Instituciju povjerenika o kategorijama prenosa u skladu sa stavom (1) xxxxx b) ovog člana.

3. Kada se prenos zasniva na stavu (1) xxxxx b) ovog člana, nadležni organ xx xxxxx takav prenos dokumentovati, a dokumentaciju se po zahtjevu staviti na raspolaganje Instituciji povjerenika, uključujući datum i vrijeme prenosa, informacije o nadležnom organu koji je dobio podatke, obrazloženje prenosa i koji su lični podaci preneseni.

Član 92.

(Odstupanja u posebnim slučajevima)

1. Ako ne postoji odluka o adekvatnosti ili odgovarajuće zaštitne mjere, prenos ili skup prenosa ličnih podataka u treću zemlju ili međunarodnoj organizaciji vrši se samo ako xx xxxxxx neophodan i pod jednim od sljedećih uslova:

1. kako bi se zaštitili životno važni interesi vlasnika podataka ili drugog lica;

2. kako bi se zaštitili legitimni interesi vlasnika podataka, ako je to predviđeno posebnim zakonom;

3. kako bi se spriječila neposredna i ozbiljna prijetnja javnoj bezbjednosti Bosne i Hercegovine ili treće zemlje;

4. u pojedinačnim slučajevima u svrhe navedene u članu 1. stav (4); ili

5. u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva u vezi sa svrhama navedenim u članu 1. stav (4).

2. Lični podaci ne smiju se prenositi ako nadležni organ koji obavlja prenos utvrdi da osnovna prava i slobode odnosnog vlasnika podataka imaju prednost pred javnim interesom u pogledu prenosa iz stava (1) xxxxx d) i e) ovog člana.

3. Ako se prenos vrši na osnovu stava (1) ovog člana, nadležni organ xx xxxxx takav prenos dokumentovati, i dokumentaciju po zahtjevu staviti na raspolaganje Instituciji povjerenika, uključujući datum i vrijeme prenosa, informacije o nadležnom organu koji je dobio podatke, obrazloženje prenosa i koji su lični podaci preneseni.

Član 93.

(Prenosi ličnih podataka primaocima sa poslovnim sjedištem u trećim zemljama)

1. Nadležni organ može u skladu sa posebnim zakonom, odstupajući od člana 89. stav (1) xxxxx b) i ne dovodeći u pitanje nijedan međunarodni sporazum iz stava (2) ovog člana, u pojedinačnim i posebnim slučajevima, prenijeti lične podatke direktno primaocima sa poslovnim sjedištem u trećim zemljama samo ako se pridržavaju odredbi ovog Poglavlja i ako su ispunjeni svi sljedeći uslovi:

1. xxxxxx xx isključivo neophodan za obavljanje zadatka nadležnog organa koji obavlja prenos xxxx xx predviđeno posebnim zakonom u svrhe navedene u članu 1. stav (4);

2. nadležni organ koji obavlja prenos utvrdi da osnovna prava i slobode dotičnog vlasnika podataka nemaju prednost nad javnim interesom koji iziskuje prenos u predmetnom slučaju;

3. nadležni organ koji obavlja prenos smatra da xx xxxxxx organu nadležnom u svrhe iz člana 1. stav (4) u treću zemlju nedjelotvoran ili neprimjeren, posebno zato što se prenos ne može pravovremeno ostvariti;

4. organ koji je u trećoj zemlji nadležan u svrhe iz člana 1. stav (4) obaviješten je bez nepotrebnog odgađanja, osim ako je to nedjelotvorno ili neprimjereno;

5. nadležni organ koji obavlja prenos obavijesti primaoca o određenoj svrhi ili svrhama u koje taj primalac isključivo može obrađivati lične podatake samo ako je takva obrada neophodna.

2. Međunarodni sporazum iz stava (1) ovog člana je svaki bilateralni ili multilateralni međunarodni sporazum na snazi između Bosne i Hercegovine i trećih zemalja u području pravosudne suradnje u krivičnim stvarima i policijske suradnje.

3. Nadležni organ koji obavlja prenos xxxxx xx obavjestiti Instituciju Povjerenika o prenosima u skladu s ovim članom.

4. Nadležni organ koji vrši prenos ličnih špodataka na osnovu stava (1) ovog člana, xxxxx xx takav prenos dokumentovati.

POGLAVLJE VIII. NEZAVISNI NADZORNI ORGAN

Član 94.

(Institucija povjerenika)

1. Danom stupanja na snagu ovog Zakona Agencija za zaštitu ličnih podataka u Bosni i Hercegovini osnovana Zakonom o zaštiti ličnih podataka („Službeni glasnik BiH“ broj 49/06, 76/11 i 89/11) mijenja naziv u Instituciju povjerenika za zaštitu ličnih podataka u Bosni i Hercegovini i nastavlja xx xxxxx.

2. Institucija povjerenika kao pravni slijednik Agencije za zaštitu ličnih podataka u Bosni i Hercegovini preuzima njene poslove, arhivu i drugu dokumentaciju, sredstva za rad, finansijska sredstva, prava i obaveze kao i zaposlene.

3. Institucija povjerenika je nezavisni nadzorni organ, osnovana za praćenje primjene ovog Zakona, u cilju zaštite osnovnih prava i xxxxxxx fizičkih lica u vezi s obradom ličnih podataka u Bosni i Hercegovini.

4. Sjedište Institucije povjerenika je u Sarajevu.

5. Na sva pitanja organizacije i upravljanja, xx xxxxx pitanja značajna za funkcionisanje Institucije povjerenika, primjenjuju se propisi koji regulišu predmetnu oblast, osim ukoliko nije drugačije propisano ovim Zakonom.

Član 95.

(Nezavisnost Institucije povjerenika)

1. Institucija povjerenika deluje potpuno nezavisno prilikom obavljanja svojih nadležnosti u skladu sa ovom Zakonom.

2. Povjerenik, zamjenik povjerenika i zaposleni u Instituciji povjerenika, prilikom obavljanja svojih dužnosti i vršenja svojih ovlaštenja u skladu s ovim Zakonom, ne smiju biti izloženi neposrednom ili posrednom spoljnom uticaju i ne smiju ni xx xxxx tražiti ili primati instrukcije.

3. Povjerenik, zamjenik povjerenika i zaposleni u Instituciji povjerenika moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima i tokom svog mandata ne smiju obavljati poslove koji su sa xxx dužnostima nespojivi, nezavisno od toga da xx xx za te poslove plaćeni ili ne.

4. Institucija povjerenika xxxx imati ljudske, tehničke i finansijske resurse, prostorije i infrastrukturu potrebne za efikasno obavljanje svojih nadležnosti, uključujući i ovlaštenja koja se odnose na međunarodnu uzajamnu pomoć i saradnju.

5. Institucija povjerenika samostalno provodi postupak prijema i izbora svih zaposlenika.

6. Na zaposlene u Instituciji povjerenika neće se primjenjivati Zakon o državnoj službi u institucijama Bosne i Hercegovine, osim u dijelu koji se odnosi na nazive radnih mjesta. Na zaposlene u Instituciji povjerenika primjenjuju se opšti zakoni i drugi propisi u Bosni i Hercegovini u vezi sa radnim odnosima.

7. Pravilnik o unutrašnjoj organizaciji Institucije povjerenika odobrava Parlamentarna skupština Bosne i Hercegovine na prijedlog povjerenika.

8. Institucija povjerenika, u skladu sa odredbama Zakona o finansiranju institucija Bosne i Hercegovine, priprema nacrt svog godišnjeg budžeta i dostavlja ga parlamentarnoj komisiji na odobravanje. Institucija povjerenika, nakon dobijanja odobrenja parlamentarne komisije, prema rokovima iz Zakona o finansiranju institucija Bosne i Hercegovine, dostavlja Ministarstvu finansija i trezora Bosne i Hercegovine nacrt svog budžeta radi uvrštavanja u budžet institucija Bosne i Hercegovine i međunarodnih obaveza Bosne i Hercegovine. Ministarstvo finansija i trezora Bosne i Hercegovine, Vijeće ministara Bosne i Hercegovine i Predsjedništvo Bosne i Hercegovine mogu dati mišljenje o nacrtu budžeta Institucije povjerenika, bez mogućnosti izmjene nacrta budžeta koji je prethodno odobrila parlamentarna komisija. Institucija povjerenika podliježe finansijskoj kontroli koja ne utiče na njegovu nezavisnost.

Član 96.

(Uslovi za imenovanje, privremeno udaljenje i razrješenje povjerenika i zamjenika povjerenika)

1. Povjerenika i zamjenika povjerenika imenuje Parlamentarna skupština Bosne i Hercegovine na osnovu javnog konkursa u skladu sa Zakonom o ministarskim i drugim vladinim imenovanjima u Bosni i Hercegovini.

2. Povjerenik i zamjenik povjerenika imenuju se na period od pet xxxxxx uz mogućnost ponovnog imenovanja dva puta.

3. Uslovi za imenovanje povjerenika i zamjenika povjerenika su:

1. da je državljanin Bosne i Hercegovine;

2. da ima navršenih 35 xxxxxx xxxxxx;

3. da protiv njega nije potvrđena optužnica za krivično djelo za koje je propisana kazna zatvora od najmanje pet godine ili da mu nije izrečena kazna zatvora za krivično djelo sa umišljajem;

4. da nije obuhvaćen odredbom člana IX. stav 1. Ustava Bosne i Hercegovine;

5. da je zdravstveno sposoban;

6. da ima obrazovanje diplomiranog pravnika najmanje VII. xxxxxx stručne spreme, odnosno bolonjskog sistema studiranja, sa ostvarenih 240 bodova;

7. da ima pet xxxxxx radnog iskustva na poslovima rukovođenja u upravi; i

8. da ima iskustvo i vještine u oblasti ljudskih prava, posebno u oblasti zaštite ličnih podataka.

4. Parlamentarna skupština Bosne i Hercegovine može privremeno udaljiti povjerenika i zamjenika povjerenika ukoliko se otkrije xxxxx povreda službene dužnosti. Privremeno udaljenje će trajati dok xx xxxxx povreda službene dužnosti ne utvrdi konačnom odlukom.

5. Parlamentarna skupština Bosne i Hercegovine može razriješiti povjerenika i zamjenika povjerenika prije isteka mandata:

1. na njegov zahtjev;

2. ako se utvrdi xxxxx povreda službene dužnosti; ili

3. ako više ne ispunjava uslove potrebne za imenovanje.

Član 97.

(Rukovođenje Institucijom povjerenika)

1. Institucijom povjerenika rukovodi povjerenik.

2. Povjerenik ima jednog zamjenika.

3. Zamjenik povjerenika zamjenjuje povjerenika za vrijeme njegovog odsustva i izvršava druge dužnosti koje mu prenese povjerenik.

4. Povjerenik je odgovoran za zakonit rad Institucije povjerenika.

5. Povjereniku i zamjeniku povjerenika kao i zaposlenim u Instituciji povjerenika zabranjeno je djelovanje, poslovanje i pogodnosti koji nisu u skladu sa principom nezavisnosti i nepristrasnosti, za vrijeme trajanja mandata i nakon njegovog prestanka.

6. Povjerenik i zamjenik povjerenika i zaposleni u Instituciji povjerenika, za vreme trajanja mandata i nakon njegovog prestanka, dužni su čuvati profesionalnu tajnu koja se odnosi na sve povjerljive informacije koje saznaju prilikom obavljanja svojih dužnosti ili vršenja svojih ovlaštenja, u skladu sa propisima u Bosni i Hercegovini. Tokom trajanja njihovog mandata, dužnost čuvanja profesionalne xxxxx xx posebno odnosi na prijave fizičkih lica o kršenjima ovog Zakona.

Član 98.

(Nadležnosti Institucije povjerenika)

1. Institucija povjerenika je nadležna za obavljanje zadataka koji su joj povjereni i vršenje ovlaštenja koja su joj dodijeljeni u skladu sa ovim Zakonom.

2. Institucija ovjerenika je nadležna i za nadzor postupaka obrade ličnih podataka koju vrše nadležni organi.

3. Institucija povjerenika nije nadležna za nadzor postupaka obrade ličnih podataka koju vrše sudovi kada obavljaju sudsku funkciju.

Član 99.

(Zadaci Institucije povjerenika)

1. Institucija povjerenika obavlja slijedeće zadatke:

1. prati i provodi primjenu ovog Zakona;

2. promoviše javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje, a posebnu pažnju posvećuje aktivnostima koje su izričito namijenjene djeci;

3. savjetuje, u skladu sa ovim Zakonom, zakonodavne organe, xxxxx x xxxxx institucije i organe o zakonodavnim i upravnim mjerama u vezi sa zaštitom prava i xxxxxxx fizičkih lica u vezi obrade;

4. podiže svijest voditelja obrade i obrađivača o njihovim obavezama iz ovog Zakona;

5. svakom vlasniku podataka, na zahtjev, pruža informacije u vezi sa ostvarivanjem njegovih prava iz ovog Zakona;

6. rješava pritužbe koje podnese vlasnik podataka ili tijelo, organizacija ili udruženje u skladu sa članom 106. i u odgovarajućoj mjeri istražuje predmet pritužbe i u razumnom roku obavještava podnosioca o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga;

7. provodi istrage u vezi primjene ovog Zakona, između ostalog i na osnovu informacija primljenih od javnih organa;

8. prati bitna kretanja, u mjeri u kojoj utiču na zaštitu ličnih podataka, a posebno razvoj informacionih i komunikacionih tehnologija i komercijalnih praksi;

9. donosi standardne ugovorne klauzule iz člana 28. stav (7) i člana 46. stav (2) xxxxx c);

10. utvrđuje i vodi xxxxxx obrada u vezi sa obavezom vršenja procjene uticaja na zaštititu podataka u skladu sa članom 35. stav (4);

11. daje savjete o obradi ličnih podataka iz člana 36. stav (2) i člana 82. stav (5);

12. podstiče izradu kodeksa ponašanja i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dovoljne zaštitne mjere u skladu sa članom 40. stav (5);

13. podstiče uspostavljanje mehanizama certifikacije zaštite podataka, kao i pečata i oznaka za zaštitu podataka u skladu sa članom 42. stav (1) i odobrava kriterije certifikacije u skladu sa članom 42. stav (5);

14. u odgovarajućim slučajevima vrši periodično preispitivanje izdatih certifikata u skladu sa članom 42. stav (7);

15. sačinjava i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu sa članom 41. i akreditaciju certifikacionog tijela u skladu sa članom 43.;

16. vrši akreditaciju tijela za praćenje kodeksa ponašanja u skladu sa članom 41. i akreditaciju certifikacionog tijela u skladu skladu sa članom 43.;

17. odobrava ugovorne klauzule i odredbe iz člana 46. stav (3);

18. odobrava obavezujuća korporativna pravila u skladu sa članom 47.;

19. vodi internu evidenciju o kršenjima ovog Zakona i mjerama koje su preduzete u skladu sa članom 100. stav (2);

20. izvršava sve ostale zadatke u vezi sa zaštitom ličnih podataka.

2. Institucija povjerenika olakšava podnošenje pritužbi mjerama kao što je obrazac za podnošenje pritužbe koji se može popuniti i elektronskim putem, pri čemu nisu isključena druga sredstva komunikacije.

3. Institucija povjerenika obavlja zadatake besplatno za vlasnike podataka i za službenike za zaštitu ličnih podataka.

4. Ako su zahtjevi vlasnika podataka očigledno neosnovani ili pretjerani, posebno zbog učestalog ponavljanja, Institucija povjerenika može naplatiti razumnu naknadu na osnovu administrativnih troškova ili odbiti da postupi po zahtjevu. Institucija povjerenika snosi teret dokazivanja očigledne neosnovanosti ili pretjeranosti zahtjeva.

5. Institucija povjerenika naplaćuje naknadu za davanje mišljenja, obuke i sl. poslovnim subjektima koje su zahtijevali u svrhu obavljanja svoje redovne djelatnosti odnosno pružanja usluga.

6. Kriterije za određivanje naknade iz stavova (4) i (5) ovog člana utvrđuje Institucija povjerenika. Kriteriji se objavljuju u „Službenom glasniku Bosne i Hercegovine“.

7. Naknada se uplaćuje na jedinstveni račun trezora Bosne i Hercegovine.

Član 100.

(Ovlaštenja Institucije povjerenika)

1. Institucija povjerenika ima slijedeća istražna ovlaštenja:

1. vršiti preispitivanje certifikata izdatih u skladu sa članom 42. stav (7);

2. vršiti inspekcijske nadzore;

3. vršiti istrage u vidu revizije zaštite podataka;

4. narediti voditelju obrade i obrađivaču, a prema potrebi i predstavniku voditelja obrade ili obrađivača, dostavljanje svih informacija potrebnih za obavljanje njenih zadataka;

5. obavijestiti voditelja obrade ili obrađivača o navodnom kršenju ovog Zakona;

6. ostvariti pristup svim ličnim podacima i svim informacijama potrebnim za obavljanje njenih zadataka koji su u posjedu voditelja obrade i obrađivača;

7. ostvariti pristup svim prostorijama voditelja obrade i obrađivača, uključujući svu opremu i sredstva za obradu podataka.

2. Institucija povjerenika ima slijedeća korektivna ovlaštenja:

1. upozoriti voditelja obrade ili obrađivača da bi namjeravane obrade xxxxx xxxx predstavljati kršenje ovog Zakona;

2. opomenuti voditelja obrade ili obrađivača ako se obradom krši ovaj Zakon;

3. narediti voditelju obrade ili obrađivaču da postupi po zahtjevu vlasnika podataka za ostvarivanje njegovih prava u skladu s ovim Zakonom;

4. narediti voditelju obrade ili obrađivaču da obrade, ukoliko je potrebno, uskladi sa odredbama ovog Zakona na tačno određen način i u tačno zadatom roku;

5. narediti voditelju obrade da vlasnika podataka obavijesti o povredi ličnih podataka;

6. privremeno ili trajno ograničiti obradu, uključujući i zabranu obrade;

7. narediti ispravljanje ili brisanje ličnih podataka ili ograničenje obrade i obavještavanje o takvim radnjama primalaca kojima su lični podaci otkriveni;

8. oduzeti certifikat izdat u skladu sa članovima 42. i 43. ili da certifikacionom tijelu naloži da ne izda certifikat ako zahtjevi za certifikaciju nisu ispunjeni ili da povuče certifikat ako zahtjevi više nisu ispunjeni;

9. izreći upravnu novčanu kaznu u skladu sa članom 108. uz mjere ili umjesto mjera iz ovog stava, u zavisnosti od okolnosti konkretnog slučaja;

10. narediti privremeno obustavljanje prenosa podataka primaocu u treću zemlju ili međunarodnoj organizaciji.

3. Institucija povjerenika ima slijedeća ovlaštenja u vezi sa odobravanjem i savjetovanjem:

1. savjetovati voditelja obrade u skladu sa postupkom prethodnog savjetovanja iz članova 36. i 82.;

2. davati mišljenja o svim pitanjima koja se tiču zaštite ličnih podataka, na vlastitu inicijativu ili na zahtjev zakonodavnih organa, vlada ili, u slučajevima xxxx xx to posebnim zakonom propisano, drugim institucijama i organima, kao i javnosti;

3. odobriti obradu iz člana 36. stav (5) ako je posebnim zakonom propisano takvo prethodno odobrenje;

4. davati mišljenja i odobravati nacrte kodeksa ponašanja u skladu sa članom 40. stav (5);

5. akreditovati certifikaciona tijela u skladu sa članom 43;

6. odobravati kriterije certifikacije u skladu sa članom 42. stav (5);

7. usvajati standardne klauzule o zaštiti podataka iz članova 28. stav (7) i 46. stav (2) xxxxx c);

8. odobriti ugovorne klauzule iz člana 46. stav (3) xxxxx a);

9. odobriti administrativne dogovore iz člana 46. stav (3) xxxxx b); i

10. odobriti obavezujuća korporativna pravila u skladu sa članom 47.

4. Odluka Institucije povjerenika je konačna u upravnom postupku i protiv iste nije dozvoljena xxxxx, xxx xx xxxx pokrenuti upravni spor pred Sudom Bosne i Hercegovine.

5. Institucija povjerenika je ovlaštena da po potrebi obavijesti nadležne istražne organe o povredama ovog Zakona ili pokrene pravne postupke, uključujući i ocjenu ustavnosti i zakonitosti, ili u xxx postupcima na drugi način učestvuje kako bi se proveo ovaj Zakon.

Član 101.

(Međunarodna saradnja radi zaštite ličnih podataka)

Institucija povjerenika preduzima odgovarajuće mjere u vezi s trećim zemljama i međunarodnim organizacijama radi:

1. razvoja mehanizama međunarodne saradnje za olakšavanje efikasnog provođenja zakonodavstva o zaštiti ličnih podataka;

2. obezbjeđivanja uzajamne međunarodne pomoći u provođenju zakonodavstva o zaštiti ličnih podataka, što podrazumijeva obavještavanje, upućivanje pritužbi, pružanje pomoći u istragama i razmjenu informacija, u skladu s odgovarajućim mjerama za zaštitu ličnih podataka i drugim osnovnim pravima i slobodama;

3. uključivanja relevantnih interesnih grupa u raspravu i aktivnosti xxxx je cilj unapređenje međunarodne saradnje na provođenju zakonodavstva o zaštiti ličnih podataka;

4. promovisanja razmjene i dokumentovanja zakonodavstva i prakse u vezi sa zaštitom ličnih podataka, uključujući i sporove oko nadležnosti sa trećim zemljama.

Član 102.

(Povjerljivo prijavljivanje povreda zakona)

1. Nadležni organ koji obrađuje lične podatke u svrhe iz člana 1. stav (4) ovog Zakona xxxxx xx da obezbijedi primjenu efikasnih mehanizama za povjerljivo prijavljivanje slučajeva povrede ovog Zakona.

2. Mehanizmi koji se primjenjuju u skladu sa stavom (1) ovog člana moraju obezbijediti da se povreda može prijaviti nadležnom organu ili Instituciji povjerenika.

3. Ovi mehanizmi uključuju podizanje svijesti o zaštiti ličnih podataka i mjere o zaštiti xxxx xxxx prijavljuju povrede.

Član 103.

(Izveštaji o zaštiti ličnih podataka)

1. Institucija povjerenika podnosi Parlamentarnoj skupštini Bosne i Hercegovine godišnji izvještaj o zaštiti ličnih podataka, i čini ga dostupnim javnosti.

2. Godišnji izvještaj o zaštiti ličnih podataka sadrži:

1. podatke o svim aktivnostima Institucije povjerenika a posebno o vrstama povreda ličnih podataka i o mjerama koje su preduzete,

2. ostalim aktivnostima Institucije povjerenika;

3. stanju zaštite ličnih podataka u Bosni i Hercegovina;

4. ključna pitanja iz oblasti zaštite ličnih podataka;

5. kapacitetima Institucije povjerenika.

POGLAVLJE IX. PRAVNA SREDSTVA, ODGOVORNOST I KAZNE

Član 104.

(Pravo na pritužbu Instituciji povjerenika)

1. Ne dovodeći u pitanje druga upravna ili sudska pravna sredstva, svaki vlasnik podataka ima pravo da podnese pritužbu Instituciji povjerenika, ako smatra da se obradom ličnih podataka, u vezi s njim, krši ovaj Zakon.

2. Institucija povjerenika obavještava podnosioca pritužbe o napretku i ishodu postupka, uključujući i mogućnost primjene pravnog sredstva na osnovu člana 105. i pruža dodatnu pomoć na zahtjev podnosioca pritužbe.

Član 105.

(Pravo na djelotvorno pravno sredstvo protiv odluka Institucije povjerenika)

1. Ne dovodeći u pitanje druga upravna ili vansudska pravna sredstva svako fizičko ili pravno lice ima pravo pokrenuti upravni spor pred Sudom Bosne i Hercegovine, protiv odluke Institucije povjerenika koja se na njega odnosi.

2. Ne dovodeći u pitanje druga upravna ili vansudska pravna sredstva svaki vlasnik podataka ima pravo pokrenuti upravni spor pred Sudom Bosne i Hercegovine ako Institucija povjerenika, u roku od tri mjeseca, ne riješi pritužbu ili ne obavijesti vlasnika podataka o napretku ili ishodu pritužbe.

Član 106.

(Pravo na djelotvorno pravno sredstvo protiv voditelja obrade ili obrađivača)

1. Ne dovodeći u pitanje bilo koje drugo raspoloživo upravno ili vansudsko pravno sredstvo, uključujući i pravo na podnošenje pritužbe Instituciji povjerenika, vlasnik podataka ima pravo na djelotvorno pravno sredstvo ako smatra da su zbog obrade ličnih podataka prekršena njegova prava iz ovog Zakona.

2. Postupci protiv voditelja obrade ili obrađivača vode se pred sudom na čijem području voditelj obrade ili obrađivač ima sjedište ili pred sudom na čijem području vlasnik podataka ima prebivalište, osim ako je voditelj obrade ili obrađivač javni organ koji djeluje izvršavajući svoja ovlaštenja.

Član 107.

(Zastupanje vlasnika podataka)

1. Vlasnik podataka ima pravo dati ovlaštenje neprofitnom tijelu, organizaciji ili udruženju osnovanom u skladu sa zakonom, čija svrha osnivanja je ostvarivanje ciljeva od javnog interesa i koje je aktivno u oblasti zaštite prava i xxxxxxx vlasnika podataka u vezi sa zaštitom ličnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članova 104, 105. i 106. u njegovo ime, kao i da u njegovo ime ostvaruju pravo na naknadu štete.

2. Neprofitno tijelo, organizacija ili udruženje iz stava (1) ovog člana, nezavisno od ovlaštenja vlasnika podataka, ima pravo da podnese pritužbu Instituciji povjerenika u skladu sa članom 104. i ostvarivati prava iz člana 105. i 106. ako smatra da su usljed obrade ličnih podataka prekršena prava vlasnika podataka iz ovog Zakona, osim ukoliko xx xxxxxxx podataka izričito tome ne usprotivi. Prije podnošenja pritužbe postoji obaveza da xx xxxxxxx podataka unaprijed obavijesti o radnjama koje se planiraju preduzeti.

3. Stav (2) ovog člana ne primjenjuje se na Poglavlje VII ovog Zakona.

Član 108.

(Pravo na naknadu štete i odgovornost)

1. Svako lice koje je pretrpjelo materijalnu ili nematerijalnu štetu zbog kršenja ovog Zakona ima pravo na naknadu za pretrpljenu štetu od voditelja obrade ili obrađivača.

2. Svaki voditelj obrade odgovoran je za štetu prouzrokovanu obradom kojom se krši ovaj Zakon. Obrađivač je odgovoran za štetu prouzrokovanu obradom samo ako nije poštovao obaveze iz ovog Zakona koje su posebno propisane za obrađivače ili ako je prekoračio zakonite instrukcije voditelja obrade ili je postupio protivno njima.

3. Voditelj obrade ili obrađivač izuzet je od odgovornosti ako dokaže da nije ni na xxxx xxxxx odgovoran za događaj koji je prouzrokovao štetu.

4. Ako je u istu obradu uključeno više od jednog voditelja obrade ili obrađivača ili su u istu obradu uključeni i voditelj obrade i obrađivač i ako su, odgovorni za štetu prouzrokovanu obradom, svaki voditelj obrade ili obrađivač odgovoran je za cjelokupnu štetu.

5. Ako je voditelj obrade ili obrađivač platio punu odštetu u skladu sa stavom (4), taj voditelj obrade ili obrađivač ima pravo od drugih voditelja obrade ili obrađivača, koji su uključeni u istu obradu, zahtjevati povrat dijela odštete koji odgovara njihovom udjelu u odgovornosti za štetu.

6. Za sudske postupke u vezi sa ostvarivanjem prava na naknadu štete nadležni su sudovi, u skladu sa članom 106. stav (2).

Član 109.

(Opšti uslovi za izricanje upravnih novčanih kazni)

1. Institucija povjerenika obezbjeđuje da je izricanje upravnih novčanih kazni u skladu sa ovim članom u pogledu povreda ovog Zakona u svakom pojedinačnom slučaju bude djelotvorno, srazmjerno i odvraćajuće.

2. Institucija Povjerenika izriče upravne novčane kazne rješenjem uz mjere ili umjesto mjera, iz člana 100. stav (2) xxxxx xx a) do h) i xxxxx j), u zavisnosti od okolnosti svakog pojedinačnog slučaja. Prilikom odlučivanja o izricanju upravne novčane kazne i o iznosu te kazne u svakom pojedinačnom slučaju u obzir se uzima posebno:

1. priroda, težina i trajanje prekršaja, imajući u vidu prirodu, obim i svrhu predmetne obrade, kao i broj vlasnika podataka i xxxxxx štete koju su pretrpjeli;

2. da li prekršaj ima obilježje namjere ili nepažnje;

3. svakoj radnji xxxx xx voditelj obrade ili obrađivač preduzeo kako bi ublažio štetu koju su pretrpjeli vlasnici podataka;

4. xxxxxx odgovornosti voditelja obrade ili obrađivača pri čemu se uzimaju u obzir tehničke i organizacione mjere koje su primijenili;

5. sve relevantne prethodne prekršaje xx xxxxxx voditelja obrade ili obrađivača;

6. xxxxxx saradnje sa Institucijom Povjerenika na otklanjanju prekršaja i ublažavanju mogućih štetnih posljedica prekršaja;

7. kategoriju ličnih podataka na koje prekršaj utiče;

8. način na koji je Institucija povjerenika saznala za prekršaj, a posebno da xx xx i u kom obimu voditelj obrade ili obrađivač izvijestio o povredi;

9. ako su protiv voditelja obrade ili obrađivača u vezi s istim predmetom prethodno izrečene mjere iz člana 100. stav (2), i poštivanje tih mjera;

10. poštivanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certifikacije; i

11. sve ostale otežavajuće ili olakšavajuće okolnosti, kao što su finansijska dobit ostvarena kršenjem ili izbjegnuti gubici, direktno ili indirektno, xxx kršenjem.

3. Ako voditelj obrade ili obrađivač namjerno za istu ili povezane obrade namjerno ili iz nepažnje prekrši više odredbi ovog Zakona, ukupan iznos upravne novčane kazne ne smije biti veći od iznosa utvrđenog za najteži prekršaj.

4. Upravnom novčanom kaznom u iznosu od 10.000 KM do 100.000 KM, ili u slučaju privrednika do 2% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga šta xx xxxx, kaznit će se:

1. voditelj obrade i obrađivač za obradu ličnih podataka suprotno članovima 8., 11., od 25. do 39., 42. i 43., 74. i 75. te od 77. do 88;

2. certifikaciono tijelo koje postupi suprotno članovima 42. i 43.;

3. tijelo za praćenje odobrenih kodeksa ponašanja ako postupi suprotno članu 41.stav (3);

5. Upravnom novčanom kaznom u iznosu od 20.000 KM do 200.000 KM, ili u slučaju privrednika do 4% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno od toga šta xx xxxx, kaznit će se:

1. ko vrši obradu ličnih podataka suprotno članovima 5., 6., 7., 9. 58., 62. i 64;

2. ko krši prava vlasnika podataka iz članova od 12. do 22. te od 65. do 71;

3. ko prenese lične podataka primaocu u treću zemlju ili međunarodnoj organizaciji suprotno članovima od 44. do 49., te od 89. do 93.;

4. ko postupi suprotno obavezama iz posebnih zakona donesenih na osnovu Poglavlja VI;

5. ko ne postupi po naredbi ili privremenom ili trajnom ograničenju obrade ili privremenom obustavljanju protoka podataka xx xxxxxx Institucije povjerenika u skladu sa članom 100. stav (2) ili ne omogući pristup suprotno članu 100. stav (1).

6. Za nepostupanje po naredbi Institucije povjerenika iz člana 100. stav (2), mogu se izreći upravne novčane kazne u iznosu od 20.000 KM do 200.000 KM, ili u slučaju privrednika do 4% ukupnog godišnjeg prometa na svjetskom nivou za prethodnu finansijsku godinu, zavisno šta xx xxxx.

7. Za prekršaj iz stava (4) ovog člana upravnom novčanom kaznom u iznosu od 1.000 KM do 10.000 KM kaznit će se odgovorno lice a upravnom novčanom kaznom u iznosu od 100 KM do 1.000 KM kaznit će se zaposleno lice.

8. Za prekršaj iz stavova (5) i (6) ovog člana upravnom novčanom kaznom u iznosu od 2.000 KM do 20.000 KM kaznit će se odgovorno lice a upravnom novčanom kaznom u iznosu od 200 KM do 2.000 KM kaznit će se zaposleno lice.

Član 110.

(Kazne)

Krivičnim zakonima propisuju se kazne za krivično djelo protivzakonite obrade ličnih podataka, u slučaju grubog kršenje odredbi ovoga Zakona.

POGLAVLJE X. PRELAZNE I ZAVRŠNE ODREDBE

Član 111.

(Prestanak važenja prethodnog zakona)

Danom stupanja na snagu ovog Zakona prestaje da važi Zakon o zaštiti ličnih podataka („Službeni glasnik BiH“, broj:49/06, 76/11 i 89/11) kao i podzakonski akti doneseni na osnovu tog Xxxxxx.

Član 112.

( Mjere u prelaznom periodu)

1. Odredbe drugih zakona koje se odnose na obradu ličnih podataka će se uskladiti sa ovim Zakonom u roku od dvije godine od njegovog stupanja na snagu.

2. Voditelji obrade i obrađivači koji su započeli obrade ličnih podataka dužni su te obrade uskladiti sa ovim Zakonom u roku od dvije godine od njegovog stupanja na snagu.

Član 113.

Stupanje na snagu i primjena

Ovaj Zakon stupa na snagu osmog xxxx od xxxx objavljivanja u „Službenom glasniku BiH“.

PSBiH broj /
godine
Sarajevo 

Predsjedavajući
Predstavničkog doma
Parlamentarne skupštine BiH

, s. r. 

Predsjedavajući
Doma naroda
Parlamentarne skupštine BiH

, s. r. 

57