Члан 1.

Правилник за спровођење заштите података о личности (даље: Правилник) представља општи акт Олимпијског комитета Србије (даље: ОКС). Сврха Правилника је успостављање заштите података о личности у складу са Законом о заштити података о личности (даље: Закон) и другим подзаконским актима из области заштите података о личности.

Члан 2.

Правилником се уређују правила заштите права физичког лица у погледу прикупљања и обраде података о личности, као и даљег управљања и кретања ових података. Сви запослени у ОКС морају да се придржавају и спроводе одредбе овог правилника и Закона.

Члан 3.

Дефиниције и значења појединих израза из овог правилника, као што су: податак о личности, обрада података о личности, лице на које се подаци односе, руковалац, обрађивач, прималац, Повереник, повреда података о личности, профилисање, псеудонимизација и пристанак, дефинисани су у Закону („Значење израза”, члан 4. Закона).

Члан 4.

Правилник има циљ да се преко његових одредби спроводи заштита основних права и слобода физичких лица, посебно у домену права на заштиту података о личности.

Правилником се успостављају и усклађују процеси и мере заштите, управљање подацима о личностима запослених, пословних партнера и других лица, чије податке ОКС обрађује у оквиру обављања пословних активности на територији Републике Србије.

Члан 5.

ОКС има обавезу да своје пословање усклади са Законом, што се посебно односи на обраду података о личности у складу са начелима обраде дефинисаним чланом 5. Закона, као што следи:

1. Начело законитости, поштења и транспарентности
   ОКС у свом пословању треба да обрађује податке о личности на законит начин. Да би обрада била законита, неопходно је да руковалац има ваљан правни основ за обраду. Понашање ОКС као руковаоца мора бити законито, поштено и транспарентно према лицу чији се подаци обрађују.
2. Начело ограничења у односу на сврху обраде
   Подаци о личности могу да се прикупљају у сврхе које су конкретно одређене, изричите, оправдане и законите и даље не могу да се обрађују на начин који није у складу са тим сврхама.
3. Начело минимизације података
   Подаци о личности који се прикупљају и обрађују морају да буду примерени, битни и ограничени на оно што је неопходно у односу на сврху обраде.
4. Начело тачности
   Подаци које ОКС прикупља морају да буду тачни и, ако је то неопходно, ажурирани. Морају да се предузму све разумне мере којима се обезбеђује да се нетачни подаци о личности без одлагања избришу или исправе.
5. Начело ограничења чувања
   Подаци који се прикупљају и обрађују могу да се чувају у облику који омогућава идентификацију лица само у року који је неопходан за остваривање сврхе обраде.
6. Начело интегритета и поверљивости
   Подаци о личности могу да се обрађују на начин који обезбеђује одговарајућу заштиту података о личности, укључујући заштиту од неовлашћене или незаконите обраде, као и од случајног губитка, уништења или оштећења применом одговарајућих техничких, организационих и кадровских мера.

Члан 6.

Сврху и начине обраде личних података може да одреди ОКС или који од партнера ОКС са којим има склопљен уговор у вези са обрадом личних података.

ОКС може да обрађује податке о личности по следећим основима:

1. Обрада на основу пристанка
   Лице на које се подаци о личности односе пристало је на обраду својих података о личности за једну или више посебно одређених сврха. Лице мора бити обавештено о праву на опозив, као и дејству опозива.
2. Неопходност за извршење уговора
   Обрада је неопходна за извршење уговора закљученог са лицем на које се подаци односе или за предузимање радњи, на захтев тог лица, пре закључења уговора.
3. Обрада на основу закона и других прописа
   Обрада је неопходна ради поштовања правних обавеза руковаоца.
4. Заштита важних интереса
   Обрада је неопходна у циљу заштите важних интереса лица на које се подаци односе или другог лица.
5. Јавни интерес или законска овлашћења
   Обрада је неопходна у циљу обављања послова у јавном интересу или извршења законом прописаних овлашћења руковаоца.
6. Легитимни интерес
   Обрада је неопходна у циљу остваривања легитимних интереса руковаоца или треће стране, осим ако над тим интересима претежу интереси или основна права и слободе лица на које се подаци односе.

Члан 7.

ОКС може да прикупља податке о личности физичких лица на различите начине. Најчешће се подаци о личности узимају од лица на која се ти подаци односе.

ОКС може да користи информације о физичким лицима које су доступне у јавним базама података, интернет апликацијама, социјалним мрежама и другим јавним изворима података.

Прикупљени подаци и информације могу да се обрађују од стране лица запослених у ОКС у оквиру својих радних активности и у складу са Законом.

У току прикупљања и обраде података о личности обавеза ОКС као руковаоца јесте да лицу на које се подаци односе саопшти информацију о року чувања података о личности или, ако то није могуће, критеријуме за његово одређивање.

Након испуњења сврхе обраде, осим ако не постоји други основ за обраду, подаци о личности се бришу, уништавају, блокирају или анонимизују.

Када ОКС има обавезу да податке чува и након окончања пословне сарадње, обрада се врши до истека рока предвиђеног законом или док траје легитимни интерес.

Члан 8.

Лица на која се подаци односе имају одређена права гарантована Законом, а ОКС, као руковалац у обради података, дужан је да омогући поменутим лицима уживање тих права у потпуности.

Руковалац је дужан да лицу на које се подаци односе пружи информације о поступању на основу захтева по Закону, без одлагања, а најкасније у року од тридесет дана од дана пријема захтева.

Тај рок може да буде продужен за још шездесет дана ако је то неопходно, узимајући у обзир сложеност и број захтева.

Право на информисање

Члан 9.

ОКС, као руковалац, има обавезу да лицима чији се подаци обрађују обезбеди све расположиве информације које се тичу њихових права.

Уколико се подаци о личности не прикупљају од лица на које се односе, потребно је доставити и информацију о извору из којег потичу подаци о личности и, према потреби, да ли подаци потичу из јавно доступних извора.

Право на ажурирање и брисање података

Члан 10.

Лице на које се подаци односе има право да од руковаоца захтева информацију о томе да ли обрађује његове податке о личности, приступ тим подацима, односно има право да му по захтеву ОКС достави све информације у вези са подацима које обрађује.

Руковалац је дужан да лицу на које се подаци односе на његов захтев достави копију података које обрађује.

Лице на које се подаци односе има право да се његови нетачни подаци о личности без непотребног одлагања исправе.

Лице на које се подаци односе има право да захтева да се његови подаци о личности избришу од стране руковаоца у следећим случајевима:

1. подаци више нису неопходни за остваривање сврхе за коју су прикупљани
2. лице је опозвало пристанак на основу којег се вршила обрада
3. подаци морају да буду обрисани у циљу извршавања законских обавеза руковаоца
4. лице на које се подаци односе поднело је приговор на обраду, у одређеним случајевима

Право на ограничење обраде

Члан 11.

Лице на које се подаци односе има право да се обрада његових података о личности ограничи од стране руковаоца ако је испуњен један од следећих случајева:

1. лице оспорава тачност података о личности
2. обрада је незаконита, а лице се противи брисању и тражи ограничење употребе података
3. руковаоцу више нису потребни подаци, али су потребни лицу ради правног захтева
4. лице је поднело приговор на обраду, а у току је процена правног основа
5. ако је обрада ограничена, ти подаци даље могу да се обрађују само на основу пристанка лица

Право на преносивост података

Члан 12.

Лице на које се подаци односе има право да добије од руковаоца своје податке о личности које му је претходно доставио у уобичајено коришћеном облику и има право да ове податке пренесе другом руковаоцу без ометања.

Право на приговор

Члан 13.

Руковалац је дужан да најкасније приликом успостављања прве комуникације са лицем на које се подаци односе упозори то лице на постојање права на приговор и да га упозна са тим правима на изричит и јасан начин.

Лице на које се подаци односе има право да руковаоцу поднесе приговор на обраду његових података о личности уколико сматра да има оправданих разлога за то.

Лице на које се подаци односе има право да у сваком тренутку поднесе приговор на обраду својих података о личности који се обрађују за потребе директног оглашавања, укључујући и профилисање.

Права везана за аутоматизовано доношење одлука и профилисање

Члан 14.

ОКС у обради података користи и методе аутоматизоване обраде, укључујући профилисање, и на основу тако обрађених података доноси одлуке.

Лица чији се подаци обрађују имају право да траже да се тако донесена одлука не примењује на њих уколико наведена одлука значајно утиче на њихов положај или производи правне последице.

Члан 15.

Руковалац је дужан да приликом одређивања начина обраде и у самом поступку обраде примени мере које имају за циљ обезбеђивање примене начела заштите података о личности.

Уколико два или више руковалаца заједнички одређују сврху и начин обраде, сматрају се заједничким руковаоцима.

Уколико обраду података врши обрађивач у име руковаоца, руковалац може да одреди као обрађивача само оно лице или орган власти који у потпуности гарантује примену одговарајућих мера.

Обрада од стране обрађивача мора да буде уређена уговором или другим правно обавезујућим актом.

Обрађивач приликом обраде података има следеће дужности:

1. да обрађује податке о личности само на основу писмених упутстава
2. да обезбеди чување поверљивости података
3. да по завршетку обраде избрише или врати руковаоцу податке и избрише копије, осим ако закон налаже чување
4. да помаже руковаоцу у испуњавању обавеза према лицима на која се подаци односе
5. да поштује услове за поверавање обраде другом обрађивачу
6. да учини доступним руковаоцу све информације потребне за доказивање испуњености обавеза

Члан 16.

Руковалац и његов представник, уколико је одређен, имају обавезу да воде евиденцију о радњама обраде.

Та евиденција садржи информације о:

1. имену и контакт подацима руковаоца, заједничких руковалаца, представника и лица за заштиту података
2. сврси обраде
3. врсти лица и врсти података који се обрађују
4. врсти прималаца којима ће подаци бити откривени
5. преносу података у друге државе или међународне организације
6. року чувања података, уколико је одређен
7. општем опису мера заштите података, ако је то могуће

Евиденције се воде у писаном облику, укључујући електронски облик, и чувају се трајно.

Члан 17.

ОКС све податке чува и обрађује уз примену свих расположивих техничких и организационих мера заштите података у складу са Законом.

Безбедност обраде

Члан 18.

ОКС, као руковалац у обради података, користи мере како би обезбедио безбедност обраде, а те мере обухватају нарочито:

1. псеудонимизацију и криптозаштиту података о личности
2. способност обезбеђивања трајне поверљивости, интегритета, расположивости и отпорности система и услуга обраде
3. обезбеђивање поновне расположивости и приступа подацима у случају физичких или техничких инцидената
4. поступак редовног тестирања, оцењивања и процењивања делотворности мера безбедности обраде

Члан 19.

Уколико дође до повреде података о личности која може да произведе ризик по права и слободе физичких лица, ОКС је дужан да обавести Повереника без непотребног одлагања, а најкасније у року од 72 часа од сазнања за повреду.

Обавештење мора да садржи најмање следеће информације:

1. опис природе повреде података
2. име и контакт податке лица за заштиту података или други начин контакта
3. опис могућих последица повреде
4. опис мера које је руковалац предузео или предложио

Обавештавање лица о повреди података о личности

Члан 20.

Ако повреда података о личности може да произведе висок ризик по права и слободе физичких лица, ОКС има обавезу да без одлагања о повреди обавести лице на које се подаци односе.

Члан 21.

Уколико постоји вероватноћа да ће нека врста обраде проузроковати висок ризик за права и слободе физичких лица, ОКС има обавезу да, пре него што започне са обрадом, изврши процену утицаја предвиђених радњи обраде на заштиту података о личности.

Процена утицаја обавезно се врши у случају:

1. систематске и свеобухватне процене стања и особина физичког лица уз аутоматизовану обраду
2. обраде посебних врста података о личности или података у вези са кривичним пресудама и кажњивим делима
3. систематског надзора над јавно доступним површинама у великој мери

Претходно мишљење Повереника

Члан 22.

Уколико процена утицаја указује на то да ће намераване радње обраде произвести висок ризик ако се не предузму мере за умањење ризика, ОКС је дужан да затражи мишљење Повереника пре започињања радње обраде.

Члан 23.

Пренос података о личности у друге државе и међународне организације могуће је извршити уколико ОКС поступа у складу са условима прописаним овим правилником.

Пренос на основу примереног нивоа заштите

Члан 24.

Пренос података о личности може да се изврши без претходног одобрења ако је утврђено да друга држава или међународна организација обезбеђује примерени ниво заштите.

Пренос уз примену одговарајућих мера заштите

Члан 25.

Руковалац или обрађивач могу да пренесу податке о личности у другу државу или међународну организацију за коју није утврђено постојање примереног нивоа заштите, само ако су обезбеђене одговарајуће мере заштите и ако је лицу на које се подаци односе обезбеђена остваривост његових права и делотворна правна заштита.

Члан 26.

ОКС, као руковалац или обрађивач, својом одлуком може да одреди лице за заштиту података о личности.

Уколико ОКС именује лице за заштиту података о личности, дужно је да објави његове контакт податке и достави их Поверенику.

Однос руковаоца или обрађивача и лица за заштиту података о личности

Члан 27.

Извршни одбор ОКС одређује лице за заштиту података о личности из редова запослених у ОКС.

ОКС има обавезу да благовремено и на одговарајући начин укључи лице за заштиту података о личности у све послове који се односе на заштиту података о личности.

ОКС мора да обезбеди независност лицу за заштиту података о личности у извршавању његових обавеза.

Обавезе лица за заштиту података о личности

Члан 28.

Уколико је именовано, лице за заштиту података о личности има обавезу да:

1. информише и даје мишљење ОКС и запосленима о законским обавезама
2. прати примену Закона, других закона и интерних прописа који се односе на заштиту података
3. даје мишљење о процени утицаја обраде и прати поступање по тој процени
4. сарађује са Повереником и представља контакт тачку за сарадњу са њим

Члан 29.

Овај правилник ступа на снагу осмог дана од дана објављивања на интернет страни ОКС.