PRVI PRILOG PRAVILNIKA O UPRAVLJANJU PODACIMA
SAOPŠTENJE O UPRAVLJANJU PODACIMA U VEZI SA PRAVIMA FIZIČKIH LICA U POGLEDU NJIHOVIH LIČNIH PODATAKA
SADRŽAJ
UVOD
I POGLAVLJE – NAZIV SUBJEKTA KOJI UPRAVLJA PODACIMA
II POGLAVLJE – NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE
- IT provajder našeg Društva
- Programer sistema karata našeg Društva
III POGLAVLJE – OBEZBEĐIVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONIMA
- Upravljanje podacima na osnovu saglasnosti lica na koje se podaci odnose
- Upravljanje podacima na osnovu zakonskih obaveza
- Promocija prava lica na koje se podaci odnose
IV POGLAVLJE – UPRAVLJANJE PODACIMA POSETILACA NA SAJTU DRUŠTVA – SAOPŠTENJE O KORIŠĆENJU KOLAČIĆA (COOKIES)
V POGLAVLJE – SAOPŠTENJE O PRAVIMA LICA NA KOJE SE PODACI ODNOSE
UVOD
U skladu sa UREDBOM 2016/679 EVROPSKOG PARLAMENTA I SAVETA (EU) (dalje u tekstu: Uredba), koja se odnosi na zaštitu i slobodan protok podataka u vezi sa upravljanjem ličnim podacima fizičkih lica, kao i na ukidanje Uredbe 95/46/EK, Rukovalac podacima je dužan da preduzme odgovarajuće mere kako bi osigurao da lica čiji se podaci prikupljaju budu obaveštena o svim bitnim informacijama u vezi sa upravljanjem njihovim ličnim podacima, na sažet, jasan, pregledan, razumljiv i pristupačan način, te da omogući ostvarivanje prava tih lica.
Obavezu da se lica unapred informišu o pravu na informaciono samoopredeljenje i slobodu informacija propisuje i zakon CXII iz 2011. godine.
Ovim tekstom ispunjavamo naše obaveze koje su propisane navedenim zakonima i uredbama.
Obaveštenje treba biti istaknuto na veb stranici društva ili poslato licu čiji se podaci prikupljaju, na njegov zahtev.
I POGLAVLJE
NAZIV SUBJEKTA KOJI UPRAVLJA PODACIMA
Izdavaoc ovog obaveštenja, ujedno i Rukovalac podacima:
Ime firme: PRIVREDNO DRUŠTVO INPUNTO DOO VELIKO GRADIŠTE
Sedište: VELIKO GRADIŠTE
Matični broj: 20908076
PIB: 107974530
Zastupnik: Aleksandar Stokić
Broj telefona: 012 / 662 - 833
E-mail adresa:
Veb stranica: inpuntokafa.com/sr
(u daljem tekstu: Društvo)
II POGLAVLJE
NAZIV SUBJEKATA KOJI OBRAĐUJU PODATKE
Subjekat, koji obrađuje podatke: fizičko ili pravno lice, državni organ, agencija ili bilo kakav drugi organ, koji upravlja podacima u ime rukovaoca podataka; (Uredba 4. član 8.)
Korišćenje subjekta, koji obrađuje podatke nije vezano za prethodan pristanak lica, ali je neophodno, da se lice obavesti. U skladu sa ovim uredbama, dajemo sledeće obaveštenje:
1. IT provajder Društva
Društvo za održavanje i upravljanje svojom veb stranicom koristi usluge subjekta, koji obrađuje podatke, koji obezbeđuje IT usluge (hosting usluge) i u okviru ovih usluga – u skladu sa sadržajem ugovora između dve strane – upravlja ličnim podacima, koji su ostavljeni na veb stranici, tako, što ih čuva na serveru.
Naziv i podaci subjekta, koji upravlja podacima:
Ime firme: ErdSoft doo
Sedište: 24000 Subotica, Somborski put 33a, Srbija
Matični broj: 21354619
PIB: 110478829
Zastupnik: Daniel Erdudac
Broj telefona: +381 60 44 60 555
Faks: nema
E-mail adresa: daniel.erdudac@erdsoft.com
Veb sajt: erdsoft.com
III POGLAVLJE
OBEZBEĐIVANJE USKLAĐENOSTI UPRAVLJANJA PODACIMA SA ZAKONIMA
1. Upravljanje podacima na osnovu pristanka lica na koje se podaci odnose
(1) Kada Društvo želi da upravlja ličnim podacima na osnovu pristanka, potrebno je da pristanak bude zatražen putem formulara čiji je sadržaj definisan u pravilniku o upravljanju podacima.
(2) Pristanak se smatra validnim i kada korisnik označi polje koje se odnosi na davanje pristanka za obradu podataka na veb stranici Društva, kada izvrši odgovarajuća tehnička podešavanja u vezi sa korišćenjem usluga informacionog društva, ili bilo kojom drugom izjavom ili radnjom koja jasno ukazuje na pristanak lica na planirano upravljanje njegovim ličnim podacima. Ćutanje, unapred označeno polje ili nepreduzimanje nikakvih radnji ne smatra se pristankom.
(3) Pristanak se odnosi na sve aktivnosti upravljanja podacima koje se sprovode sa istim ciljem ili ciljevima. Ako upravljanje podacima ima više različitih ciljeva, pristanak mora biti zatražen za svaki od tih ciljeva.
(4) Ako lice daje pristanak u okviru pisane izjave koja se odnosi i na druge svrhe – npr. prodaju, zaključenje ugovora o uslugama – pristanak mora biti zatražen na način koji je jasan, jednostavno izražen, razumljiv i pristupačan, i koji je jasno odvojen od ostalih svrha. Delovi takvih izjava koji sadrže pristanak lica, a nisu u skladu sa Uredbom, nisu pravno valjani.
(5) Društvo ne može uslovljavati zaključenje ili izvršenje ugovora pristankom na obradu ličnih podataka koji nisu potrebni za izvršenje tog ugovora.
(6) Povlačenje pristanka treba da bude jednostavno kao i njegovo davanje.
(7) Ako je lični podatak zabeležen na osnovu pristanka lica, rukovalac podacima može te podatke koristiti u skladu sa zakonom, bez dodatnog pristanka, čak i nakon što je pristanak povučen.
(8) Stranica namerno ne prikuplja podatke maloletnika (mlađih od 16 godina). Ako se podaci maloletnog lica zabeleže, oni će biti obrisani bez odlaganja nakon što se sazna za tu činjenicu.
2. Upravljanje podacima na osnovu zakonskih obaveza
(1) Kada se podaci upravljaju na osnovu zakonskih obaveza, obim podataka, svrha upravljanja, vreme čuvanja i korisnici podataka određuju se zakonskim odredbama.
(2) Upravljanje podacima na osnovu zakonskih obaveza ne zavisi od pristanka lica, jer je takvo upravljanje regulisano zakonom. U ovom slučaju, lice mora biti obavešteno pre prikupljanja podataka da je prikupljanje podataka obavezno, i mora biti detaljno informisano o svim činjenicama u vezi sa upravljanjem njegovim podacima, s posebnim osvrtom na svrhu i zakonski osnov obrade podataka, subjekt koji ima pravo na upravljanje podacima, trajanje obrade podataka, kao i ko sve može imati pristup tim podacima. Obaveštenje treba da obuhvati i prava lica i mogućnosti korišćenja tih prava u vezi sa upravljanjem ličnim podacima. U slučaju obaveznog upravljanja podacima, objavljivanje pozivanja na sve relevantne zakonske odredbe koje sadrže navedene informacije može se smatrati dovoljnim obaveštenjem.
3. Promocija prava lica na koje se podaci odnose
Društvo je obavezno da osigura da lice može ostvariti svoja prava u vezi sa svim aktivnostima upravljanja podacima.
IV POGLAVLJE
UPRAVLJANJE PODACIMA POSETILACA NA STRANICI DRUŠTVA – SAOPŠTENJE O KORIŠĆENJU KOLAČIĆA (COOKIES)
1. Posetilac veb stranice mora biti obavešten o korišćenju kolačića, i za sve osim tehnički neophodnih sesija (kolačića), mora se zatražiti dozvola posetioca.
2. Opšte informacije o kolačićima
2.1. Kolačić (cookie) je podatak koji veb stranica šalje pretraživaču posetioca (u obliku promenljive vrednosti) za čuvanje, a kasnije ista veb stranica može popuniti sadržaj kolačića. Kolačići mogu biti validni dok se pretraživač ne zatvori, ali i u neograničenom vremenskom periodu. Kod svakog HTTP(S) zahteva, pretraživač šalje ove informacije serveru, čime se menjaju podaci na korisničkom uređaju.
2.2. Svrha kolačića je identifikacija korisnika (npr. njegov ulazak na stranicu) i njegovo odgovarajuće tretiranje u narednim interakcijama. Rizik leži u tome što korisnik nije uvek svestan da ga kolačići identifikuju, što omogućava praćenje korisnika od strane vlasnika stranice ili drugog provajdera čiji je sadržaj ugrađen na stranicu (npr. Facebook, Google Analytics). Prilikom praćenja se kreira profil korisnika, a u ovim slučajevima se sadržaj kolačića tretira kao lični podatak.
2.3. Tipovi kolačića:
2.3.1. Tehnički neophodni kolačići sesije: bez njih veb stranice ne bi bile funkcionalne; oni se koriste za identifikaciju korisnika, kao što je njegov ulazak na stranicu, dodavanje u korpu itd. U ovom slučaju obično se čuva ID sesije, dok se drugi podaci čuvaju na serveru, čineći ih sigurnijim. Sa aspekta sigurnosti, kada vrednost kolačića sesije nije dobro generisana, postoji rizik od preotimanja sesije, pa je važno da se ove vrednosti generišu pravilno. U nekim terminologijama, svaki kolačić koji se obriše prilikom zatvaranja pretraživača naziva se sesijskim kolačićem.
2.3.2. Kolačići koji olakšavaju upotrebu: uključuju kolačiće koji pamte odabire korisnika – npr. u kojem formatu želi da gleda stranicu. Ovi kolačići u osnovi pamte podešavanja korisnika.
2.3.3. Kolačići performansi: Iako nemaju mnogo veze sa stvarnim "performansama", ovaj naziv odnosi se na kolačiće koji prikupljaju informacije o ponašanju korisnika, klikovima i vremenu provedenom na stranici. Obično su to aplikacije trećih strana (kao što su kolačići Google Analytics, AdWords ili Yandex.ru). Pogodni su za profilisanje posetilaca.
Saznajte više o kolačićima Google Analytics-a ovde: Analytics-cookies
Saznajte više o Google AdWords kolačićima ovde: Google support
2.4. Prihvatanje ili omogućavanje kolačića nije obavezno. U podešavanjima pretraživača možete podesiti da se svi kolačići automatski odbiju, ili da pretraživač javi kada sistem šalje kolačiće. Većina pretraživača automatski prihvata kolačiće kao podrazumevane, ali se podešavanja obično mogu promeniti kako bi se sprečilo automatsko prihvatanje i omogućilo korisniku da svaki put bira između prihvatanja i odbijanja kolačića.
Pogledajte linkove ispod za podešavanja kolačića u najpopularnijim pretraživačima:
• Google Chrome: Chrome support
• Firefox: Firefox support
• Microsoft Internet Explorer 11: Microsoft support
• Microsoft Internet Explorer 10: Microsoft support
• Microsoft Internet Explorer 9: Microsoft support
• Microsoft Internet Explorer 8: Microsoft support
• Microsoft Edge: Microsoft support
• Safari: Apple support
Međutim, mora se napomenuti, da određene funkcije sajta ili usluge možda ne funkcionišu ispravno bez kolačića.
3. Informacije o kolačićima korišćenim na veb lokaciji Društva i o podacima prikupljenim tokom posete
3.1. Podaci koji se obrađuju prilikom posete
Veb lokacija našeg Društva može beležiti i upravljati sledećim informacijama o posetiocu ili uređaju koji koristi veb stranicu:
- IP adresa posetioca,
- tip pretraživača,
- karakteristike operativnog sistema uređaja koji posetilac koristi (uključujući podešeni jezik),
- vreme posete,
- (pod)stranice, funkcije ili usluge koje posećujete,
- klikovi.
Ovi podaci se čuvaju do 90 dana i primarno se koriste za testiranje bezbednosnih incidenata.
3.2. Kolačići korišćeni na veb stranici
3.2.1. Tehnički neophodni kolačići sesije
Svrha obrade ovih podataka je da se obezbedi pravilno funkcionisanje veb stranice. Ovi kolačići su neophodni kako bi posetioci mogli nesmetano da pretražuju veb stranicu i u potpunosti koriste sve funkcije i usluge dostupne putem veb stranice, uključujući - posebno - komentarisanje sadržaja na sajtu ili očuvanje identiteta prijavljenog korisnika tokom posete. Trajanje ovakvih kolačića ograničeno je na vreme trenutne posete, a kolačići se automatski brišu sa korisnikovog računara po završetku sesije ili zatvaranju pretraživača.
Pravna osnova za obradu ovih podataka je član 13/A. stav (3) Zakona CVIII iz 2001. godine o uslugama elektronske trgovine i uslugama informacionog društva, prema kojem pružalac usluga može upravljati ličnim podacima koji su tehnički neophodni za pružanje usluge. Pod uslovom da ostali uslovi ostanu nepromenjeni, pružaoci usluga moraju birati i koristiti alate za pružanje usluga informacionog društva na način koji omogućava obradu ličnih podataka samo kada je to strogo neophodno za pružanje usluge i ispunjavanje drugih neophodnih namena navedenih u ovom zakonu, i to samo u meri i vremenu koje je neophodno.
3.2.2. Kolačići koji olakšavaju upotrebu
Ovi kolačići pamte korisničke izbore, na primer, u kom obliku korisnik želi da prikazuje stranicu. Ove vrste kolačića čuvaju podešavanja u kolačiću.
Pravna osnova za obradu ovih podataka je pristanak posetilaca.
Svrha obrade ovih podataka je povećanje efikasnosti usluga, unapređenje korisničkog iskustva i obezbeđivanje pogodnijeg korišćenja sajta.
Ovi podaci se nalaze na korisničkom računaru, a veb stranica im pristupa i na osnovu njih prepoznaje posetioca.
3.2.3. Kolačići performansi
Ovi kolačići prikupljaju informacije o ponašanju korisnika, vremenu provedenom na stranici i klikovima na njoj. Ovi kolačići obično prate aplikacije trećih strana (npr. Google Analytics, AdWords).
Pravna osnova za obradu podataka: pristanak lica na koje se podaci odnose.
Svrha obrade podataka je analiza veb stranice i slanje promotivnih ponuda.
V POGLAVLJE
SAOPŠTENJE O PRAVIMA LICA NA KOJE SE PODACI ODNOSE
I Prava lica na koje se podaci odnose, sažeto:
- Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose
- Pravo na prethodne informacije koje se pružaju – ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose
- Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose
- Pravo lica na koje se podaci odnose na pristup
- Pravo na ispravku
- Pravo na brisanje ("pravo na zaborav")
- Pravo na ograničavanje obrade
- Obaveza obaveštavanja o ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade
- Pravo na prenosivost podataka
- Pravo na prigovor
- Donošenje automatizovanih pojedinačnih odluka, uključujući i profilisanje
- Ograničenja
- Obaveštavanje lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti
- Pravo na pritužbu nadzornom organu
- Pravo na delotvorno pravno sredstvo protiv nadzornog organa
- Pravo na delotvorno pravno sredstvo protiv rukovaoca ili obrađivača
II Prava lica na koje se podaci odnose, detaljno:
1. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose
1.1. Rukovalac preduzima odgovarajuće mere kako bi licu na koje se podaci odnose pružio sve informacije u vezi sa obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, koristeći jasan i jednostavan jezik, posebno kada su informacije namenjene detetu. Informacije se pružaju u pisanom obliku ili na druge načine, uključujući elektronski oblik kada je to primereno. Na zahtev lica na koje se podaci odnose, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica na koje se podaci odnose potvrđen na drugi način.
1.2. Rukovalac olakšava ostvarivanje prava lica na koje se podaci odnose.
1.3. Rukovalac na zahtev pruža licu na koje se podaci odnose informacije o preduzetim radnjama bez nepotrebnog odlaganja, a najkasnije u roku od mesec dana od prijema zahteva. Taj rok može biti produžen za dodatna dva meseca ako je potrebno, a rukovalac mora obavestiti lice na koje se podaci odnose o svakom takvom produženju u roku.
1.4. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose, rukovalac je dužan da obavesti lice na koje se podaci odnose odmah ili najkasnije mesec dana od prijema zahteva o razlozima zbog kojih nije postupio po zahtevu i o mogućnosti podnošenja pritužbe nadzornom organu i traženju pravnog leka.
1.5. Informacije koje se pružaju, sva komunikacija i preduzete mere su besplatne, ali u određenim slučajevima, koje propisuje Uredba, može se naplatiti naknada.
Detaljna pravila se nalaze u članu 12. Uredbe.
2. Pravo na prethodne informacije koje se pružaju – ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose
2.1. Ako su podaci o ličnosti prikupljeni direktno od lica na koje se podaci odnose, rukovalac prilikom prikupljanja tih podataka pruža licu sve sledeće informacije:
a) identitet i kontakt podatke rukovaoca i, ako je primenljivo, predstavnika rukovaoca;
b) kontakt podatke ovlašćenog lica za zaštitu podataka, ako je primenljivo;
c) svrhe obrade za koje su podaci o ličnosti namenjeni, kao i pravni osnov za obradu;
d) ako je obrada zasnovana na ostvarivanju zakonskih prava, legitimne interese rukovaoca ili trećeg lica;
e) korisnike ili kategorije korisnika podataka o ličnosti, ako postoje;
f) ako je primenljivo, činjenicu da rukovalac namerava da prenese podatke o ličnosti trećoj zemlji ili međunarodnoj organizaciji.
2.2. Rukovalac prilikom prikupljanja podataka o ličnosti pruža licu na koje se podaci odnose dodatne informacije potrebne za obezbeđivanje pravične i transparentne obrade:
a) rok čuvanja podataka o ličnosti ili, ako to nije moguće, kriterijume koji se koriste za određivanje tog roka;
b) postojanje prava da se od rukovaoca zatraži pristup, ispravka ili brisanje podataka o ličnosti, ili ograničavanje obrade podataka, kao i pravo na prigovor na obradu i pravo na prenosivost podataka;
c) ako je obrada zasnovana na pristanku korisnika, postojanje prava da se pristanak povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade zasnovane na pristanku pre njegovog povlačenja;
d) pravo na podnošenje pritužbe nadzornom organu;
e) informaciju o tome da li je pružanje podataka o ličnosti zakonska ili ugovorna obaveza, ili uslov za zaključenje ugovora, kao i da li je lice na koje se podaci odnose u obavezi da pruži podatke o ličnosti, te o mogućim posledicama neispunjavanja te obaveze;
f) postojanje automatizovanog donošenja odluka, uključujući profilisanje, i, barem u tim slučajevima, informacije o logici koja se koristi, kao i značaju i predviđenim posledicama takve obrade za lice na koje se podaci odnose.
2.3. Ako rukovalac namerava dalje da obrađuje podatke o ličnosti u svrhu koja se razlikuje od prvobitne, rukovalac pre te dalje obrade pruža licu na koje se podaci odnose informacije o toj novoj svrsi i sve dodatne relevantne informacije.
Sva dodatna pravila u vezi sa pravom na prethodnu informisanost nalaze se u članu 13. Uredbe.
3. Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose
3.1. Ako rukovalac nije pribavio lične podatke direktno od lica na koje se podaci odnose, dužan je da u roku od mesec dana od pribavljanja podataka obavesti lice o informacijama i činjenicama navedenim u tački 2, kao i o kategorijama ličnih podataka, izvoru podataka ili, u određenim slučajevima, da li podaci potiču iz javno dostupnih izvora; ako se lični podaci koriste za kontaktiranje lica na koje se podaci odnose, obaveštenje treba pružiti prilikom prvog kontakta; ili ako se podaci prenose drugim korisnicima, najkasnije pre prvog prenosa.
3.2. Ostala pravila se primenjuju prema odredbama tačke 2 (Pravo na prethodnu informisanost).
Detaljna pravila ovog obaveštenja nalaze se u članu 14. Uredbe.
4. Pravo lica na koje se podaci odnose na pristup
4.1. Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se obrađuju njegovi podaci o ličnosti, i ako se takvi podaci obrađuju, ima pravo na pristup tim podacima i informacijama navedenim u tačkama 2 i 3 (član 15. Uredbe).
4.2. Ako se podaci o ličnosti prenose u treću zemlju ili međunarodnu organizaciju, lice na koje se podaci odnose ima pravo da bude informisano o odgovarajućim merama zaštite u skladu sa članom 46. koje se odnose na prenos.
4.3. Rukovalac je dužan da obezbedi kopiju podataka o ličnosti koji se obrađuju. Za svaku dodatnu kopiju koju zatraži lice na koje se podaci odnose, rukovalac može naplatiti razumnu naknadu na osnovu administrativnih troškova.
Detaljna pravila u vezi sa pravom lica na pristup nalaze se u članu 15. Uredbe.
5. Pravo na ispravku
5.1. Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva ispravku netačnih podataka o ličnosti koji se odnose na njega, bez nepotrebnog odlaganja.
5.2. Uzimajući u obzir svrhu obrade, lice na koje se podaci odnose ima pravo da dopuni nepotpune podatke o ličnosti, uključujući i davanjem dodatne izjave.
Ova pravila su sadržana u članu 16. Uredbe.
6. Pravo na brisanje ("pravo na zaborav")
6.1. Lice na koje se podaci odnose ima pravo da od rukovaoca zahteva brisanje podataka o ličnosti koji se odnose na njega, bez nepotrebnog odlaganja, a rukovalac je obavezan da obriše podatke o ličnosti bez nepotrebnog odlaganja ako je ispunjen jedan od sledećih uslova:
a) Podaci o ličnosti više nisu potrebni za svrhe u koje su prikupljeni ili na drugi način obrađeni;
b) Lice na koje se podaci odnose povuklo je pristanak na kojem se obrada zasnivala, i ne postoji druga pravna osnova za obradu;
c) Lice na koje se podaci odnose uložilo je prigovor na obradu, a ne postoje preovlađujući zakonski razlozi za obradu;
d) Podaci o ličnosti su nezakonito obrađeni;
e) Podaci o ličnosti moraju biti obrisani kako bi se ispoštovala zakonska obaveza prema pravu Unije ili pravu države članice koje se primenjuje na rukovaoca;
f) Podaci o ličnosti su prikupljeni u vezi s ponudom usluga informacionog društva neposredno detetu.
6.2. Pravo na brisanje ne primenjuje se ako je obrada podataka neophodna:
a) Za ostvarivanje prava na slobodu izražavanja i informisanja;
b) Za poštovanje zakonske obaveze koja zahteva obradu podataka u skladu sa pravom Unije ili države članice koje se primenjuje na rukovaoca, ili za izvršenje zadatka u javnom interesu ili u okviru službenih ovlašćenja dodeljenih rukovaocu;
c) Iz razloga javnog interesa u oblasti javnog zdravlja;
d) Za potrebe arhiviranja u javnom interesu, naučna ili istorijska istraživanja ili u statističke svrhe, ako bi pravo na brisanje verovatno onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade; ili
e) Za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.
Detaljna pravila o pravu na brisanje podataka nalaze se u članu 17. Uredbe.
7. Pravo na ograničavanje obrade
7.1. Ako je obrada ograničena, podaci o ličnosti mogu se obrađivati samo uz pristanak lica na koje se podaci odnose, osim ako je reč o čuvanju podataka, uspostavljanju, ostvarivanju ili odbrani pravnih zahteva, zaštiti prava drugog fizičkog ili pravnog lica, ili zbog važnog javnog interesa Unije ili države članice.
7.2. Lice na koje se podaci odnose ima pravo da zahteva ograničavanje obrade od strane rukovaoca ako je ispunjen jedan od sledećih uslova:
a) Lice osporava tačnost podataka o ličnosti, na period koji omogućava rukovaocu da proveri tačnost podataka;
b) Obrada je nezakonita, a lice se protivi brisanju podataka i umesto toga zahteva ograničenje njihove upotrebe;
c) Rukovaocu podaci više nisu potrebni za svrhu obrade, ali ih lice na koje se podaci odnose zahteva radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva; ili
d) Lice je uložilo prigovor na obradu, i još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad razlozima lica.
7.3. Lice na koje se podaci odnose, koje je dobilo ograničenje obrade, mora biti obavešteno pre ukidanja tog ograničenja.
Detaljna pravila o ograničavanju obrade nalaze se u članu 18. Uredbe.
8. Obaveza obaveštavanja o ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade
Rukovalac je dužan da obavesti svakog korisnika kojem su podaci o ličnosti otkriveni o svakoj ispravci, brisanju ili ograničenju obrade podataka o ličnosti, osim ako se pokaže da je to nemoguće ili zahteva nesrazmeran napor. Rukovalac takođe obaveštava lice na koje se podaci odnose o korisnicima podataka ako lice to zahteva.
Detaljna pravila o ovoj obavezi nalaze se u članu 19. Uredbe.
9. Pravo na prenosivost podataka
9.1. Lice na koje se podaci odnose ima pravo da primi podatke o ličnosti koji se odnose na njega, a koje je dostavilo rukovaocu, u strukturiranom, uobičajenom i mašinski čitljivom formatu, kao i pravo da te podatke prenese drugom rukovaocu bez ometanja od strane rukovaoca kojem su podaci prvobitno dostavljeni, pod uslovom da:
a) Obrada se zasniva na pristanku ili ugovoru; i
b) Obrada se vrši automatski.
9.2. Prilikom ostvarivanja prava na prenosivost podataka, lice ima pravo na neposredni prenos podataka od jednog rukovaoca do drugog, gde je tehnički izvodljivo.
9.3. Ostvarivanje prava na prenosivost podataka ne dovodi u pitanje član 17 (Pravo na brisanje, odnosno "pravo na zaborav"). Ovo pravo se ne primenjuje na obradu koja je neophodna za izvršenje zadatka u javnom interesu ili u okviru službenih ovlašćenja dodeljenih rukovaocu. Pravo na prenosivost ne sme negativno uticati na prava i slobode drugih.
Detaljna pravila o prenosivosti podataka nalaze se u članu 20. Uredbe.
10. Pravo na prigovor
10.1. Lice na koje se podaci odnose ima pravo da, iz razloga koji se odnose na njegovu specifičnu situaciju, u bilo kom trenutku uloži prigovor na obradu podataka o ličnosti koji se odnose na njega, u skladu sa članom 6, stav 1, tačke e) ili f), uključujući profilisanje zasnovano na tim odredbama. Rukovalac više ne sme obrađivati podatke, osim ako dokaže postojanje uverljivih legitimnih razloga za obradu koji preovlađuju nad interesima, pravima i slobodama lica, ili ako je obrada neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.
10.2. Ako se podaci o ličnosti obrađuju za potrebe direktnog marketinga, lice ima pravo da u bilo kom trenutku uloži prigovor na obradu podataka za te svrhe, uključujući profilisanje u meri u kojoj je povezano sa takvim marketingom. Ako lice uloži prigovor na obradu u svrhe direktnog marketinga, podaci o ličnosti više ne smeju biti obrađivani za te svrhe.
10.3. Najkasnije prilikom prve komunikacije sa licem, ono mora biti izričito obavešteno o ovom pravu, koje mora biti jasno prikazano i odvojeno od ostalih informacija.
10.4. Lice može ostvariti pravo na prigovor automatskim putem koristeći tehničke specifikacije.
10.5. Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, lice ima pravo da, iz razloga koji se odnose na njegovu specifičnu situaciju, uloži prigovor na obradu podataka, osim ako je obrada neophodna za izvršenje zadatka u javnom interesu.
Detaljna pravila o pravu na prigovor nalaze se u članu 21. Uredbe.
11. Donošenje automatizovanih pojedinačnih odluka, uključujući profilisanje
11.1. Lice na koje se podaci odnose ima pravo da ne bude predmet odluke zasnovane isključivo na automatizovanoj obradi, uključujući profilisanje, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno utiče na njega.
11.2. Stav 1. ne primenjuje se ako je odluka:
a) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
b) dozvoljena pravom Unije ili pravom države članice koje se primenjuje na rukovaoca i koje propisuje odgovarajuće zaštitne mere za prava i slobode i legitimne interese lica na koje se podaci odnose; ili
c) zasnovana na izričitom pristanku lica na koje se podaci odnose.
11.3. U slučajevima iz stava 2, tačke a) i c), rukovalac je obavezan da preduzme odgovarajuće mere za zaštitu prava i sloboda i legitimnih interesa lica na koje se podaci odnose, uključujući pravo na ljudsku intervenciju rukovaoca, pravo izražavanja sopstvenog stava i pravo na osporavanje odluke.
Dodatna pravila su sadržana u članu 22. Uredbe.
12. Ograničenja
Na osnovu prava Unije ili prava države članice koje se primenjuje na rukovaoca ili obrađivača, zakonskom merom može da se ograniči obim obaveza i prava iz članova 12. do 22. i člana 34, kao i člana 5, ukoliko se takvim ograničenjem poštuje suština osnovnih prava i sloboda.
Uslovi za ova ograničenja navedeni su u članu 23. Uredbe.
13. Obaveštavanje lica na koja se podaci odnose o povredi bezbednosti podataka o ličnosti
13.1. Kada postoji verovatnoća da će povreda bezbednosti podataka o ličnosti prouzrokovati veliki rizik za prava i slobode fizičkih lica, rukovalac bez odlaganja obaveštava lica na koja se podaci odnose o povredi bezbednosti podataka. U obaveštenju licu na koje se podaci odnose se jasno i jednostavno opisuje priroda povrede i uključuju se najmanje sledeće informacije i mere:
a) Ime i kontakt podaci ovlašćenog lica za zaštitu podataka ili druge kontaktne tačke od koje se mogu dobiti dodatne informacije;
b) Opis verovatnih posledica povrede bezbednosti podataka;
c) Opis mera koje je rukovalac preduzeo ili planira da preduzme radi otklanjanja povrede, uključujući mere za ublažavanje njenih štetnih posledica.
13.2. Obaveštavanje lica na koje se podaci odnose nije obavezno ako je ispunjen bilo koji od sledećih uslova:
a) Ako je rukovalac preduzeo odgovarajuće tehničke i organizacione zaštitne mere koje su primenjene na podatke o ličnosti, posebno mere koje čine podatke nerazumljivima neovlašćenim licima, poput enkripcije;
b) Ako je rukovalac preduzeo naknadne mere koje obezbeđuju da više ne postoji verovatnoća visokog rizika za prava i slobode lica na koje se podaci odnose;
c) Ako bi obaveštavanje zahtevalo nesrazmeran napor. U takvom slučaju se može objaviti javno obaveštenje ili preduzeti slična mera kojom se lica obaveštavaju na jednako delotvoran način.
Dodatna pravila su navedena u članu 34. Uredbe.
14. Pravo na pritužbu nadzornom organu
Svako lice na koje se podaci odnose ima pravo da podnese pritužbu nadzornom organu, posebno u državi članici gde ima uobičajeno boravište, gde mu je radno mesto ili gde je došlo do navodnog kršenja, ako smatra da obrada podataka o ličnosti krši ovu uredbu. Nadzorni organ kojem je podneta pritužba obaveštava pritužioca o napretku i ishodu pritužbe, uključujući mogućnost korišćenja pravnog sredstva.
Ova pravila su navedena u članu 77. Uredbe.
15. Pravo na delotvorno pravno sredstvo protiv nadzornog organa
15.1. Ne dovodeći u pitanje bilo koje drugo upravno ili vansudsko pravno sredstvo, svako fizičko ili pravno lice ima pravo na delotvorno pravno sredstvo protiv pravno obavezujuće odluke nadzornog organa koja se na njega odnosi.
15.2. Ne dovodeći u pitanje bilo koje drugo upravno ili vansudsko pravno sredstvo, svako lice na koje se podaci odnose ima pravo na delotvorno pravno sredstvo ako nadzorni organ nadležan na osnovu članova 55. i 56. ne reši pritužbu ili ne obavesti lice u roku od tri meseca o napretku ili ishodu pritužbe.
15.3. Za postupke protiv nadzornog organa nadležni su sudovi države članice u kojoj nadzorni organ ima sedište.
15.4. Ako je pokrenut postupak protiv odluke nadzornog organa kojoj je prethodilo mišljenje ili odluka Odbora u okviru mehanizma konzistentnosti, nadzorni organ prosleđuje sudu to mišljenje ili odluku.
Ova pravila su navedena u članu 78. Uredbe.
16. Pravo na delotvorno pravno sredstvo protiv rukovaoca ili obrađivača
16.1. Ne dovodeći u pitanje bilo koje drugo upravno ili vansudsko pravno sredstvo, uključujući pravo na podnošenje pritužbe nadzornom organu, lice na koje se podaci odnose ima pravo na delotvorno pravno sredstvo ako smatra da su njegova prava iz ove uredbe prekršena obradom njegovih podataka suprotno ovoj uredbi.
16.2. Za postupke protiv rukovaoca ili obrađivača nadležni su sudovi države članice u kojoj rukovalac ili obrađivač ima sedište. Alternativno, za te postupke nadležni su sudovi države članice u kojoj lice na koje se podaci odnose ima uobičajeno boravište, osim kada je rukovalac ili obrađivač organ javne vlasti države članice koji vrši svoja javna ovlašćenja.
Ova pravila su navedena u članu 79. Uredbe.