Analiza Modela Zakona o zaštiti podataka o ličnosti. 30. jun godine

Analiza Modela Zakona o zaštiti podataka o ličnosti 30. jun 2014. godine Kancelarija BDK Advokati želi da analizom Poverenikovog Modela Zakona o zaštiti podataka o ličnosti pruži doprinos izradi što kvalitetnijeg teksta budućeg Zakona. Dobar zakon bi trebalo da nađe pravu meru u nastojanju da zadovolji različita prava i interese koji su povezani sa obradom podataka o ličnosti, uključujući privatnost i dostojanstvo ličnosti, slobodu obavljanja privredne delatnosti, slobodu izražavanja, i zaštitu bezbednosti. Naša analiza se fokusira na delove Modela u kojima, verujemo, postoji prostor za poboljšanje sadašnjeg teksta. To naravno ne znači da nismo svesni bitnih pozitivnih aspekata Modela. Model evidentno uvažava evropske tokove na planu regulisanja obrade podataka o ličnosti, uključujući i rešenja iz predložene Uredbe o zaštiti pojedinaca u odnosu na obradu podataka o ličnosti i slobodnom kretanju takvih podataka (Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data), od 25. januara 2012. godine ( Uredba ). U odnosu na postojeći Zakon u Srbiji, smatramo naročito važnim to što Model pojednostavljuje davanje pristanka lica na obradu podataka i olakšava iznošenje podataka iz zemlje. U analizi Modela smo se u znatnoj meri oslonili na predloženi tekst Uredbe, uključujući i amandmane Evropskog parlamenta usvojene 12. marta 2014. godine, kao i na tekst Direktive 95/46/EC, od 24. oktobra 1995. godine, o zaštiti pojedinaca u odnosu na obradu podataka o ličnosti i slobodnom kretanju takvih podataka ( Direktiva ). Isto tako, uzeli smo u obzir rešenja iz zakona o zaštiti podataka o ličnosti u Nemačkoj, Francuskoj, Italiji, i Holandiji: Nemačka Federal Data Protection Act (BDSG) (2003), http://www.bfdi.bund.de/en/dataprotectionacts/artikel/bdsg_idfv01092009.pdf? blob= publicationfile (prevod na engleski, sa vab sajta Saveznog komesara za zaštitu podataka i slobodu informisanja ) Francuska Loi n 78-17 relative à l'informatique, aux fichiers et aux libertés, http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/ Italija Personal Data Protection Code (Legislative Decree no. 196 of 30 June 2003) (prevod na engleski sa vab sajta italijanskog Poverenika za zaštitu podataka o ličnosti), http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2427932 Holandija Personal Data Protection Act (1999-2000) (nezvanični prevod na engleski, sa sajta holandskog Poverenika za zaštitu podataka o ličnosti), http://www.dutchdpa.nl/pages/en_wetten_wbp.aspx

Navedeni izvori, uzeti zajedno, izražavaju glavnu maticu razmišljanja i prakse na području zaštite podataka o ličnosti u Evropi. Izabrane države imaju standardne odredbe o uslovima i modalitetima obrade podataka o ličnosti. U analizu nismo uključili zakonodavstvo Velike Britanije, koje važi za manje rigorozno (sa tačke gledišta rukovaoca i obrađivača podataka) u odnosu na zakonodavstva Nemačke, Francuske, Italije, i Holandije. Osim toga, Velika Britanija, prema merodavnim ocenama, nije implementirala niz odredbi iz Direktive 95/46, pa i u tom pogledu u izvesnoj meri odstupa od glavnog toka u evropskom pravu o zaštiti podataka o ličnosti. 1 Sledi analiza konkretnih odredbi iz Modela, sa obrazloženjem izmena koje sugerišu BDK Advokati. Značenje izraza Član 3. 9) Pristanak lica je slobodno data, nedvosmislena izjava lica za tačno određenu obradu njegovih podataka o ličnosti koja može biti data usmeno, pismeno ili konkludentnom radnjom; BDK Advokati, komentar: Relevantna odredba (čl. 4, Definicije) u predloženoj Uredbi uključuje u sam pojam pristanka način davanja pristanka ( izjavom ili jasnim činjenjem ), i verovatno ta odredba predstavlja model kog su autori Modela sledili prilikom definisanja pristanka u članu 3, tački 9. Međutim, ne čini se logičnim da način izražavanja pristanka (usmeno, pismeno, ili konkludentnom radnjom) ulazi u pojam pristanka. Pitanja načina je odvojeno pitanje kojim se bavi operativna odredba Modela (član 25). Zakoni Nemačke, Francuske i Italije ne sadrže definiciju pristanka. Definicija u holandskom zakonu ne sadrži opis načina na koji pristanak može da biti dat, već se ograničava na to da pristanak predstavlja slobodno datu, konkretnu izjavu volje zasnovanu na upoznatosti sa pitanjem o kom je reč. 2 [Značenje izraza Član 3.] 12) Konkludentna radnja je jedna ili više radnji, odnosno odgovarajuće postupanje, koje je jasno i nedvosmisleno, na osnovu čega se sa sigurnošću može zaklјučiti da postoji pristanak lica, npr. popunjavanje formulara, ulazak u zonu video-nadzora po prethodnom informisanju, pritisak tasterom ili označavanje kvadratića davanje podataka na internetu veb sajtu, pokazivanje uobičajenih znakova i sl; BDK Advokati, komentar: Bilo bi korisno, imajući u vidu rasprostranjenu upotrebu interneta i potrebu da se uklone eventualnu nejasnoće u primeni budućeg zakona, pojasniti u definiciji da se pritisak tasterom (clicking the button) i označavanje kvadratića (ticking the box) smatraju validnim oblikom izražavanja pristanka na obradu podataka, kao oblici konkludentnih radnji. 1 Videti European Commission, Directorate-General Justicew, Freedom and Security, Comparative Study of Different Approaches to New Privacy Challegnes in Particular In the Light of Technological Developments, Country Studies (Douwe Korff, ed.), A.6 United Kingdom (jun 2010), str. 1-2, http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_country_report_ A6_united_kingdom.pdf. 2 Čl. 1(i). 2

U amandmanu Evropskog parlamenta na preambularni pasus 25 pojašnjeno je da konkludentna radnja (clear affirmative action) može imati oblik označavanja kvadratića na veb sajtu. [Značenje izraza Član 3.] [predlog za unošenje novog stava] x) Blokiranje podataka je privremeno odlaganja daljnjih aktivnosti obrade podataka o ličnosti. BDK Advokati, komentar: Svi izvori konsultovani pri radu na ovoj analizi Modela, od Direktive, 3 preko nacionalnih zakona (Nemačka, 4 Holandija, 5 Francuska, 6 Italija 7 ), do Uredbe, 8 sadrže odredbe po kojima lice ima pravo ne samo na ispravku, dopunu, ažuriranje i brisanje podataka (što su prava koja izričito pominje i sadašnji član 46 Modela), nego i pravo na blokiranje podataka. BDK Advokati smatraju da bi to pravo, pod nazivom blokiranje ili korišćenjem druge odgovarajuće reči sa istim značenjem, trebalo uneti i u tekst Modela, a u tom slučaju bilo bi korisno da član 3 (Značenje izraza) sadrži definiciju blokiranja. Predložena definicija se u najvećoj meri oslanja na onu iz italijanskog zakona, 9 a sličnu definiciju sadrži i nemački zakon. 10 Direktiva i Uredba, kao ni holandski i francuski zakon, ne sadrže definiciju ovog pojma. Načelo ograničenosti svrhe Član 5. [Stav 1] Podaci o ličnosti obrađuju se samo u svrhe koje su jasno određene u skladu sa ovim zakonom i koje su izričito navedene zakonite i legitimne. BDK Advokati, komentar: Dodavanjem reči u skladu sa ovim zakonom odredba se čini jasnijom nego što je trenutno slučaj, jer pojašnjava iz kog izvora (ovog zakona) proističe određivanje svrhe. Iako to nije eksplicite formulisano, dodatak u skladu sa ovim zakonom znači, da su svrhe određene ugovorom o međusobnim pravima i obavezama rukovaoca i obrađivača (čl. 19 Modela), odnosno obaveštenjem koje rukovalac pruži licu o kojem prikuplja podatke (čl. 23 i čl. 24 Modela). Reč zakonite bi trebalo zameniti rečima izričito navedene, ili drugim odgovarajućim prevodom za englesku reč explicit. U Direktivi (čl. 6(1)(b)) i Uredbi Regulation (čl. 5(1)(b)) stoji na ovom mestu reč explicit, a iz dokumenta Article 29 Data Protection Working Party, Opinion 03/2013 (o ograničenju svrhe), iz 2013. godine, jasno je da su kreatori Direktive smišljeno uneli koncept explicit, a ne neki drugi, u ovo mesto u Direktivi. Neki drugi koncept (kao, u Modelu, zakonit ) ne može bez uverljivog razloga koji u članu 5(1) Modela nije jasan - istisnuti pojam explicit. 11 3 Čl. 12. 4 Odeljak 20(3). 5 Čl. 36. 6 Čl. 40. 7 Odeljak 143 8 Čl. 17. 9 Odeljak 4(o). 10 Čl. 3(4)(3). 11 Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation (2 April 2013), str. 17-19, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2013/wp203_en.pdf 3

Dodatni razlog zbog kog nema osnova za prisustvo zakonitosti u članu 5 Modela je potreba da se izbegne repetitivnost, jer prethodni član (član 4) već propisuje da obrada podataka o ličnosti mora biti zakonita. [Načelo ograničenosti svrhe Član 5.] [Stav 2] Obrada podataka o ličnosti nije dozvolјena ako se vrši u svrhu različitu od nespojivu sa svrhom za one kojau je određena. BDK Advokati, komentar: Stav 2 Modela odstupa od odgovarajuće odredbe u Direktivi, u predloženoj Uredbi, i u relevantnim odredbma svih nacionalnih zakona konsultovanih za potrebe izrade ove analize. U tim izvorima, princip ograničenja svrhe je postavljen fleksibilnije nego u Modelu, utoliko što prema Modelu nije dopuštena dodatna obrada u svrhu različitu od one koja je određena, dok je prema drugim izvorima takva obrada dopuštena, pod uslovom da način naknadne obrade nije inkompatibilan sa prvobitnom svrhom (videti odgovarajuće odredbe u Direktivi, 12 Uredbi i amandmanu Evropskog parlamenta, 13 i u zakonima Francuske, 14 Holandije, 15 Italije 16, i Nemačke 17 ). [Načelo ograničenosti svrhe Član 5.] [Stav 3] U obradu podataka koja nije nespojiva u odnosu na svrhu za koju je obrada određena spadaju, naročito, obrada podataka Izuzetno od stava 2. ovog člana podaci se mogu obrađivati ako je to potrebno za preduzeta radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom, i obrada podataka u istorijske, statističke ili naučnoistraživačke svrhe ukoliko se obavlja u skladu sa uslovima propisanom članom 12. ovog zakona. BDK Advokati, komentar: Formulacija koju predlažu BDK Advokati zadržava primere dopuštene sekundarne obrade iz Modela, a uz to, dodavanjem reči naročito, ostavlja prostor i za druge oblike sekundarne obrade kompatibilne sa prvobitnom svrhom. Formulacija koju BDK Advokati predlažu tretira slučajeve dopuštene sekundarne obrade kao obradu čija svrha je spojiva sa prvobitno određenom, a ne kao obradu čija svrha nije različita u odnosu na prvobitnu. Rešenje po kom se ne radi o različitim svhama, prisutno u postojećoj odredbi u Modelu, je artificijelno, a pri tome za njim nema potrebe. 12 Čl. 6(1). 13 Čl. 5(1). 14 Čl. 6(2). 15 Čl. 9(1). 16 Odeljak 11(1). 17 Odeljak 28. 4

Rešenje po kom obrada podataka u istorijske, statističke ili naučnoistraživačke svrhe nije nespojiva sa svrhom za koju je određena prvobitna obrada identično je rešenju iz francuskog zakona, odakle preuzima i uslov da obrada mora da se obavlja u skladu sa uslovima koji inače važe za dopuštenu obradu u navedene svrhe. 18 U Nemačkoj, Zakon predviđa više situacija u kojima beleženje, izmena ili korišćenje podataka u drugu svrhu u odnosu na onu koja je određena za prvobitnu obradu mogu biti zakoniti. Kada sekundarnu obradu obavljaju kompanije ili drugi privatni akteri, sekundarna obrada je dopuštena ako su podaci o ličnosti generalno dostupni, a takođe (uz dodatni uslov da ne postoji razlog za pretpostavku da lice ima jasan i pretežući interes da spreči obradu) i ako je potrebno zaštititi legitimne interese obrađivača ili drugog lica, sprečiti pretnje državnoj ili javnoj bezbednosti, ili radi gonjenja krivičnog dela. 19 [Načelo ograničenosti svrhe Član 5.] [Stav 4] Obrada podataka u istorijske, statističke ili naučnoistraživačke svrhe ne smatra se promenom svrhe obrade podataka u smislu ovog zakona ukoliko se vrši u skladu sa uslovima propisanom članom 12. ovog zakona. BDK Advokati, komentar: Promenom koju BDK Advokati predlažu u pogledu stava 3, prestaje potreba za dosadašnjm stavom 4. U svakom slučaju, formulacija iz dosadašnjeg stava 4 nije odgovarajuća jer se zasniva na početnom gledištu koje nije u skladu sa evropskim rešenjima da obrada nije dozvolјena ako se vrši u svrhu različitu od one koja je određena (u takvoj postavci Model onda privileguje obradu u istorijske, statističke i naučnoistraživačke svrhe tako što kaže da se takva obrada ne smatra promenom svrhe). Ustvari, kako smo gore pokazali, prema evropskim rešenjima dopuštenost sekundarne obrade ne zavisi od toga da li je svrha različita u odnosu na prvobitnu, nego da li je sekundarna svrha kompatibilna sa prvom. [Načelo ograničenosti svrhe Član 5.] [Novi stav 4] Pri oceni da li je način na koji se obavlja naknadna obrada spojiv sa svrhom za koju su podaci pribavljeni, uzima se u obzir sledeće: a. odnos između svrhe nameravane naknadne obrade sa svrhom za koju su podaci pribavljeni; b. priroda podataka i posledice nameravane obrade za lice; d. način na koji su podaci pribavljeni i razumna očekivanja lica u odnosu na moguću naknadnu obradu, i e. postojanje odgovarajućih garancija kojima se štite prava i interesi lica. 18 Čl. 6(2). 19 Odeljak 28(5) i 28(2). 5

BDK Advokati, komentar: Predložena odredba bi pomogla rukovaocima i ostalim akterima da ocene da li je naknadna obrada dopuštena, ili ne. Predložena formulacija se oslanja na dva izvora: član 9(2) holandskog zakona 20 i odeljak o kriterijumima za analizu kompatibilnosti, iz dokumenta Article 29 Data Protection Working Party, Opinion 03/2013 (o ograničenju svrhe), iz 2013. godine. 21 Načelo tačnosti podataka Član 7. [Predlog za dodavanje stava 2] Rukovalac preduzima svaku razumnu meru da obezbedi da netačni podaci o ličnosti budu izbrisani ili ispravljani čim to postane moguće. BDK Advokati, komentar: Ovim dodatkom postojećem članu 7 (Modela) pojasnilo bi se da stav 1 ( Podaci o ličnosti koji se obrađuju moraju da budu tačni ) ne znači da rukovalac ima apsolutnu obavezu da obezbedi tačnost. Zahtev koji se pred rukovaoca stavlja je realističniiji: on treba da preduzme razumne mere da obezbedi da podaci koji su netačni budu izbrisani ili korigovani. Predložena formulacija postoji u predloženoj Uredbi, 22 Direktivi (uz dodatak da identična obaveza postoji i u odnosu na nepotpun podatak, a bez propisivanja roka), 23 i u Francuskoj (identična odredba onoj iz Direktive). 24 Obrada u istorijske, statističke ili naučnoistraživačke svrhe Član 12. [Stav 2] Za potrebe obrade u istorijske, statističke ili naučnoistraživačke svrhe rukovalac, odnosno obrađivač, može ustupiti podatkeci se primaocu ustupaju u anonimizovanom obliku, [...]. BDK Advokati, komentar: Predloženom izmenom doprinelo bi se većoj jasnoći odredbe, pošto bi se na taj način preciziralo ko su subjekti prava, odnosno subjekti obaveze. [Obrada u istorijske, statističke ili naučnoistraživačke svrhe Član 12.] [Stav 3] Rezultati obrade podataka objavlјuju se u anonimizovanom obliku, osim ako je posebnim zakonom drugačije propisano ili, ako je lice na koje se podaci odnose dalo pismeni pristanak za njihovo objavlјivanje, ili ako je objavljivanje u neanonimizovanom obliku potrebno radi prezentovanja nalaza istraživanja, a interesi, dostojanstvo, ili osnovna prava ili slobode lica nemaju prevagu nad tim interesom. U slučaju podataka o ličnosti umrlog lica, pismeni pristanak za neanonimizovano objavlјivanje daju bračni drug supružnik umrlog lica, vanbračni partner, njegova deca umrlog lica i njihovi potomci, kao i lica koja su po zakonu kojim se uređuje nasleđivanje ostaviočevi oglašeni naslednici. 20 For the purposes of assessing whether processing is incompatible, as referred to under (1), the responsible party shall in any case take account of the following: a. the relationship between the purpose of the intended processing and the purpose for which the data have been obtained; b. the nature of the data concerned; c. the consequences of the intended processing for the data subject; d. the manner in which the data have been obtained, and e. the extent to which appropriate guarantees have been put in place with respect to the data subject. 21 Opinion 03/2013 on purpose limitation (2 April 2013),str. 23-27. 22 Čl. 5(1). 23 Čl. 6(1)(d). 24 Čl. 6(4). 6

BDK Advokati, komentar: Forma pristanka: Nije jasno zašto bi lice na koje se odnose podaci moralo da isključivo u pismenom obliku daje pristanak na objavlјivanje rezultata obrade (u neanonimizovanom obliku). Za razliku od Modela, predložena Uredba ne sadrži ograničenje, po kom lice na koje se odnose podaci može samo u pismenom obliku da da pristanak na objavljivanje rezultata obrade podataka. 25 Isto tako, u Nemačkoj, relevantna odredba propisuje da tela koja sprovode naučno istraživanje moraju da dobiju pristanak kako bi mogla da objave podatke o ličnosti; 26 odredba ne ograničava na pismeni oblik formu zahtevanog pristanka, a analiza opštih odredbi o pristanku u nemačkom zakonu vodi zaključku da pristanak ne mora biti pismeni ako bi definisana svrha istraživanja bila ozbiljno dovedena u pitanje ako bi se pristanak davao u pisanoj formi. 27 Objavljivanje bez pristanka, a radi prezentovanja nalaza. Prezentovanje nalaza istraživanja bi trebalo da predstavlja dopušteni osnov za objavljivanje ličnih podataka u neanonimizovanom obliku, i bez saglasnosti lica. Uredba sadrži ovakvu odredbu, uz važan dodatak da takvo objavljivanje može biti dopušteno pod uslovom da interesi ili osnovna prava ili slobode lica nemaju prevagu nad interesom za prezentovanjem nalaza istraživanja. 28 Italijanski Kodeks postupanja i profesionalne prakse u odnosu na obradu podataka o ličnosti u istorijske svrhe (2001) ističe dostojanstvo osobe kao branu obelodanjivanju podataka. 29 Mada je, u tekstu čije dodavanje BDK Advokati predlažu, koncept dostojanstva posredno prisutan kroz koncept osnovnih sloboda i prava, bilo bi korisno istaći dostojanstvo i na eksplicitan način, kao dodatnu garanciju da rukovalac mora pažljivo ceniti da li bi objavljivanje podataka bilo dopušteno. U Nemačkoj, odgovarajuća odredba precizira da se nalazi koji opravdavaju objavljivanje i bez pristanka lica moraju odnositi na događaje iz savremene istorije. 30 Supružnik i vanbračni partner Porodični zakon koristi termin supružnik, umesto bračni drug. Uzimajući u obzir da vanbračni partneri imaju prava i dužnosti supružnika, nema opravdanja za rešenje u članu 12, stavu 3, da samo supružnik ima ovlašćenje da da pismeni pristanak za neanonimizovano objavlјivanje rezultata obrade podataka o umrlom licu. [Obrada u istorijske, statističke ili naučnoistraživačke svrhe Član 12.] [Stav 4] Podatke o ličnosti prikuplјene u svrhu iz ovog člana primalac će po ostvarivanju te svrhe brisati najkasnije u roku od godinu dana od dana ostvarivanja svrhe, osim ako je posebnim zakonom drugačije propisano. 25 Čl. 83(2). 26 Odeljak 40(3). 27 Videti Odeljak 4a. 28 Čl. 83(2). 29 Garante per la protezione dei dati personali, Code of conduct and professional practice Regarding the processing of personal data for historical purposes, čl. 11, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1565819. 30 Odeljak 40(3)(2). 7

BDK Advokati, komentar: Ovim dodatkom odredba bi se dovela u sklad sa članom 47, st. 4, Modela, u kom stoji da prava lica iz čl. 44, 45. i 46. ovoga zakona mogu da se ograniče posebnim zakonima ako se podaci o ličnosti obrađuju isklјučivo u istorijske, statističke ili naučnoistraživačke svrhe (čl. 46 odnosi se na, između ostalog, pravo lica na brisanje podataka) Dodatak "osim ako je posebnim zakonom drugačije propisano" je u svakom slučaju potreban kako bi se obezbedio pravni osnov za očuvanje dragocenih podataka o ličnosti, prikupljenih u istorijske, statističke ili naučnoistraživačke svrhe. Nadležnost i zamenik Poverenika Član 15 U vršenju poslova u oblasti zaštite podataka o ličnosti, Poverenik je nadležan da: [...] 9) daje prethodno mišlјenje da li određeni način obrade predstavlјa konkretan specifičan rizik za prava i slobode građanina; BDK Advokati, komentar: U odgovarajućim odredbama u Direktivi (čl. 20) i predloženoj Uredbi (čl. 34), koristi se termin specific. Odgovarajući prevod tog termina je konkretan. [Nadležnost i zamenik Poverenika Član 15] 15) organizuje i sprovodi i organizuje polaganje stručnog ispita za lica za zaštitu podataka o ličnosti, propisuje program, način i visinu troškova polaganja ispita, izdaje i oduzima licence za zaštitu podataka i vodi registar o tome; BDK Advokati, komentar: Logični redosled je da se neka aktivnost najpre organizuje a potom i sprovodi. [Pravni osnov kad obradu vrše rukovaoci koji nisu organ vlasti Član 18] [Stav 2, nastavak] [ ] kao i u slučaju kada je obrada neophodna za ostvarivanje značajnog i na zakonu zasnovanog interesa rukovaoca, a prava, slobode i legitimni interesi taj interes ima prevagu nad interesima lica na koje se odnose podaci o ličnosti nemaju prevagu nad tim interesom rukovaoca. BDK Advokati, komentar: Model postavlja viši standard nego Direktiva i predložena Uredba za rukovaoca čiji legitimni interesi mogu poslužiti kao osnov za obradu podataka bez pristanka lica. Naime, Model zahteva da, da bi obrada mogla da se obavlja bez pristanka lica, interes rukovaoca ima prevagu nad interesima lica na koje se odnose podaci o ličnosti. Nasuprot tome, Direktiva i Uredba dopuštaju obradu i ako je interes rukovaoca jednak interesu lica. Naime, obrada prema rešenju iz Direktive i Uredbe nije dopuštena ako interesi, prava ili osnovne slobode lica imaju prevagu nad interesom rukovaoca (Direktiva, čl. 7(f) i Uredba, preambularni paragraf 38). Ovakvo rešenje sadržano je i, npr., u italijanskom zakonu. 31 31 Odeljak 24)(1))g). 8

Poveravanje poslova u vezi sa obradom Član 19. [Stav 4] Ugovorom se obrađivač obavezuje da obavlјa poslove u vezi sa obradom podataka o ličnosti samo u okviru dobijenog ovlašćenja, a posebno da podatke o ličnosti ne sme da daje drugim licima bez pismene dozvole rukovaoca, niti sme da ih obrađuje u bilo koju drugu svrhu osim ugovorene, da obezbedi odgovarajuće organizacione i tehničke mere zaštite podataka, kao i da fizička lica koja će u ime obrađivača preduzimati poslove obrade postupaju u skladu sa obavezom obrađivača da drugim licima ne daje podatke o ličnosti podležu propisanim obavezama čuvanja profesionalne tajne. BDK Advokati, komentar: Koncept profesionalne tajne se standardno vezuje za advokate, lekare, i verske ispovednike. 32 Primena tog koncepta na fizička lica koja u ime obrađivača preduzimaju poslove obrade podataka o ličnosti izaziva zabunu. Adekvatnije je stoga koristiti termin obaveza neotkrivanja podataka o ličnosti drugim licima, koji ne izaziva asocijaciju na advokate, psihologe, i verske ispovednike. Zakoni drugih država uključujući Nemačku 33 i Holandiju 34 takođe ne koriste termin profesionalna tajna, već govore o obavezi čuvanja tajnosti (confidentiality). Zaštita vitalnih interesa lica Član 20. Obrada podataka o ličnosti može da se vrši i bez pravnog osnova u smislu ovog zakona, samo ako je to neophodno da se zaštite životno važni interesi nekog lica, a posebno život, zdravlјe i fizički integritet nekog lica, sve u meri koja je neophodna za zaštitu tih interesa. BDK Advokati, komentar: Radi otklanjanja nedoumica u eventualnoj primeni odredbe, uputno je ne koristiti pojam životno važni interesi. Iako i neki drugi izvori koriste koncept životno važnih interesa (engl. vital interests), britanski Information Commissioner's Office s pravom primećuje da je formulacija vitalni interesi uvek bila sporna: nije jasno da li se radi o pitanjima života i smrti, ili i o zaštiti zdravlja i opšte dobrobiti lica. 35 Francuski zakon govori samo o zaštiti života, 36 a italijanski o zaštiti života ili fizičkog integriteta lica. 37 Zakoni Nemačke i Holandije govore samo o vitalnim interesima, ali ni ti zakoni ne sugerišu da osim zaštite života, zdravlja i fizičkog integriteta postoje još neki drugi vitalni interesi. Obrada osetlјivih podataka o ličnosti Član 21 [Stav 1] Osetlјivi podaci o ličnosti mogu da se obrađuju samo ukoliko je lice na koje se podaci odnose dalo svoj pristanak, koji je isklјučivo u pismenom obliku. 32 Videti, npr., Zakon o krivičnom postupku ("Sl. glasnik RS", br. 72/2011), član 248, st. 1, tačka 3, i prethodni Zakon o krivičnom postupku ("Sl. list SRJ", br. 70/2001 i 68/2002 i "Sl. glasnik RS", br. 58/2004, 85/2005, 115/2005, 85/2005 - dr. zakon, 49/2007, 20/2009 - dr. zakon, 72/2009 i 76/2010), čl. 97, st. 1, tačka 3. 33 Odeljak 5. 34 Čl. 12(2). 35 ICO, Proposed new EU General Data Protection Regulation: Article-by-article analysis paper (2013), str. 12, http://ico.org.uk/news/~/media/documents/library/data_protection/research_and_reports/ico_proposed_dp_r egulation_analysis_paper_20130212_pdf. 36 Čl. 7(II), čl. 8 (II)(2), i čl. 69(1). 37 Odeljak 24(1))(e), odeljak 26(4)(b), i odeljak 43(1)(d). 9

BDK Advokati, komentar: Kada je reč o načinu pristanka, Uredba ne pravi razliku zavisno od toga da li je reč o osetljivim podacima ili podacima koji nemaju takav karakter. U svakom slučaju, naime, pristanak mora biti explicit., a, kako objašnjava preambularni pasus 25, zahtev eksplicitnosti je ispunjen bilo kojim odgovarajućim metodom koji omogućava slobodno dato, konkretno, i na upoznatosti sa pitanjem zasnovano izražavanje volje lica, davanjem izjave ili jasnim činjenjem lica (konkludentnom radnjom). U Francuskoj, potrebno je da lice da izričit pristanak (consentement exprès) kako bi osetljivi podaci mogli da se obrađuju. 38 Identično rešenje sadržano je u holandskom zakonu. 39 Nemačko pravo sadrži specifično rešenje, ali ni tu osetljivosti podataka ne iziskuje drugačiju formu davanja pristanka u odnosu na formu pristanka na obradu drugih podataka. Opšte pravilo za davanje pristanka za obradu podataka, prema nemačkom zakonu, je da se daje u pismenom obliku, osim ako posebne okolnosti opravdavaju drugi oblik. 40 U odnosu na obradu osetljivih podataka postoji dodatni uslov za validan pristanak, koji se odnosi na sadržinu pristanka: naime, pristanak mora izričito da se odnosi na te (osetljive) podatke. 41 [Obrada osetlјivih podataka o ličnosti Član 21] [Stav 2] Izuzetno od stava 1. ovog člana, osetlјivi podaci o ličnosti mogu da se obrađuju:... 3) kad je to neophodno radi zaštite života, zdravlјa ili drugih životno važnih interesa fizičkog integriteta lica na koje se podaci odnose ili drugog lica, a lice nije u mogućnosti da lično dâ saglasnost; BDK Advokati, komentar: Videti komentar uz član 20. [Obrada osetlјivih podataka o ličnosti Član 21] [Stav 2, dodati kao jednu od tački] x) kad se obrada sprovodi u okviru legitimnih aktivnosti od strane fondacije, udruženja, ili drugog tela sa političkim, filozofskim, verskim ili sindikalnim ciljem, ako se obrada odnosi samo na članove tog tela ili na osobe koje sa njima imaju redovnu komunikaciju povodom aktivnosti vezanih za svrhu delovanja tih tela, i pod uslovom da se podaci o licima ne mogu bez njihovog pristanka otkrivati drugim licima. BDK Advokati, komentar: Ovde predložena odredba je prisutna u svim izvorima konsultovanim za potrebe analize, s tim da u svim slučajevima postoji i dodatni zahtev da organizacije o kojima je reč moraju biti neprofitnog karaktera: u Uredbi, 42 Direktivi, 43 zakonima u Francuskoj, 44 Nemačkoj, 45 Italiji, 46 i Holandiji. U Holandiji, niz odredbi u zakonu detaljno razrađuje pravo udruženja i institucija ove vrste da obrađuju osetlјive podatke o ličnosti. 47 38 Čl. 8(II)(1). 39 Čl. 21(1). 40 Odeljak 4a(1). 41 Odeljak 4a(3). 42 Čl. 9(2)(d). 43 Čl. 8(2)(d). 44 Čl. 8(II)(3). 45 Odeljak 28(9). 46 Odeljak 26(4)(a). 47 Deo od čl. 17 do čl. 22. 10

[Obrada osetlјivih podataka o ličnosti Član 21] [Stav 2, dodati kao jednu od tački] y) kada je obrada potrebna radi ispunjavanja obaveza i korišćenja prava rukovaoca na području radnog prava, pod uslovom da poseban zakon uređuje obradu i propisuje neophodne mere zaštite lica. BDK Advokati, komentar: Ovakva odredba, koja predviđa dodatni osnov za obradu osetljivih podataka i bez pristanka lica, postoji kako u važećoj Direktivi 48 tako i u predloženoj Uredbi 49 i amandmanima Evropskog parlamenta. 50 Obaveštavanje lica od koga se prikuplјaju podaci Član 23 [Stav 1] Ako podatke o ličnosti prikuplјa neposredno od lica na koje se odnose, rukovalac je dužan da ga prethodno, ili čim postane moguće, na odgovarajući način obavesti o: [...] 3) pravnom osnovu obrade podataka;. BDK Advokati, komentar: Direktiva na precizira kada je rukovalac dužan da pruži obaveštenje licu. Prema Uredbi, obaveza postoji u trenutku kada se podaci o ličnosti pribavljaju od lica. 51 Čim postane moguće je formulacija iz amandmana Evropskog parlamenta na tu odredbu (čl. 14(4), tačka a). 52 Brisanje reči pravnom osnovu obrade podataka predlažemo zbog toga što je malo verovatno da takva informacija ima praktičnog značaja za lice o kom se obrađuju podaci. Obaveza ne postoji u izvorima konsultovanim za potrebe izrade ove analize. Opoziv pristanka lica Član 26 [Stav 2] Punovažan opoziv svog pristanka lice može dati u pismenom obliku ili konkludentnom radnjom. BDK Advokati, komentar: Ne postoji potreba za posebnom odredbom o načinu na koji se daje opoziv. Nije logično da uslovi koji se tiču načina opozivanja budu strožiji od uslova koji važe za način davanja pristanka. U skladu s tim, Direktiva, Uredba, i nacionalni zakoni, ne sadrže strožije uslove za davanje opoziva. Amandman Evropskog parlamenta na čl. 7 predložene Uredbe, čak, izričito predviđa da davanje opoziva biće jednako jednostavno lako kao i davanje pristanka. 48 Čl. 8(2)(9b). 49 Čl. 9(2). 50 Paragraph 1 shall not apply if one of the following applies:... (b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller in the field of employment law in so far as it is authorised by Union law or Member State law or collective agreements providing for adequate safeguards for the fundamental rights and the interests of the data subject such as right to non-discrimination,.... 51 Čl. 14(4)(a). 52... at the time when the personal data are obtained from the data subject or without undue delay where the above is not feasible. 11

Dostavlјanje podataka o umrlom licu Član 29 [Stav 3] Ako nije drugačije određeno zakonom, r Rukovalac može i svakom drugom licu da dostavi podatke o umrlom licu, radi obrade isklјučivo u istorijske, statističke ili naučnoistraživačke svrhe, pod uslovom da umrlo lice za života nije u pismenoj formi zabranilo dostavlјanje tih podataka ili ako takvu zabranu nisu dali njegovi naslednici izuzev ako je verovatno da bi dostavljanjem bili povređena privatnost, prava ili legitimni interesi umrlog lica, odnosno njegovih naslednika. BDK Advokati, komentar: Odredba iz Modela privileguje umrla lica u odnosu na druga lica, bez jasnog razloga i ne uvažavajući interes slobode izražavanja. Predložena Uredba ne sadrži ovakvo ograničenje, niti na drugi način regulište obradu podataka o umrlim licima. Deo ako nije drugačije određeno zakonom bi trebalo ukloniti zato što nije jasno na koji deo odredbe se odnosi. Za takvom formulacijom u svakom slučaju nema potrebe ako se u odredbu unese formulacija izuzev ako je verovatno da bi se dostavljanjem povredili privatnost, prava ili legitimni interesi lica. Takvim rešenjem, legitimni interesi umrlog lica, odnosno njegovih naslednika, dovoljno se štite, a ne ograničava se sloboda izražavanja. Predložena formulacija odražava standard koji je, u opštem obliku (tj. ne u kontekstu neke odredbe koja bi se izričito odnosila na obradu podataka o umrlom licu), prisutan u amandmanu Evropskog parlamenta na čl. 32 Uredbe. Amandman predviđa obavezu rukovaoca i obrađivača da analiziraju potencijalne konkretne negativne efekte obrade na prava i slobode lica. Među faktorima koje rukovalac, ondnosno obrađivač, treba da uzme u obzir su privatnost, prava ili legitimni interesi lica. 53 Video-nadzor pristupa u službene i poslovne prostorije Član 34 [Stav 1] Rukovalac podataka može putem video-nadzora da vrši obradu podataka o ličnosti pristupa u službene, odnosno poslovne prostorije i prostore (u dalјem tekstu: poslovni prostor), ukoliko je to potrebno neophodno za bezbednost lica i imovine, kontrolu ulaska ili izlaska iz poslovnog prostora i ako zbog prirode posla postoji mogući rizik za zaposlene i ostale korisnike tog prostora. BDK Advokati, komentar: U čl. 34 Modela reč je o video-nadzoru pristupa u službene i poslovne prostorije, dakle o nadzoru ulaska u zgradu ili drugi objekat. Smisao takvog nadzora je evidentno zaštita bezbednosti. Ne postoji veliki rizik da bi interesi privatnosti bili povređeni takvim nadzorom, jer je lice izloženo nadzoru tokom kratkog vremenskog intervala. Stoga, nije potrebno da se pred potencijalnog rukovaoca podataka postavlja veoma visok standard ( neophodno ) koji mora da zadovolji da bi mogao da koristi video-nadzor. Ovo je različito od sledećeg člana (čl. 35), u kom postoje značajni interesi privatnosti koji bi mogli biti povređeni, pošto bi se lica unutar poslovnog prostora nalazila gotovo sve vreme u situaciji da budu nadzirana, tako da za tu vrstu nadzora rukovalac mora da zadovolji viši standard ( neophodno ). 53 Čl. 32a. 12

[Video-nadzor pristupa u službene i poslovne prostorije Član 34] [Stav 4] Zaposleni koji rade u poslovnom prostoru pod video-nadzorom iz stava 1. ovog člana, moraju u pismenom obliku biti obavešteni o vršenju video-nadzora u skladu sa članom 23. ovog zakona. BDK Advokati, komentar: Bilo bi korisno da se precizira da li svaki od zaposlenih mora biti lično obavešten o vršenju video-nadzora, ili rukovalac može ispuniti obavezu obaveštavanja oglašavanjem unutaru službenih, odnosno poslovnih prostorija, odnosno prostora.. Video-nadzor u poslovnom prostoru Član 35 [Stav 4] Rukovalac podataka dužan je da pre donošenja odluke o uvođenju video-nadzora iz stava 1. ovog člana, pribavi mišlјenje reprezentativnog sindikata kod rukovaoca, ako takav sindikat postoji. BDK Advokati, komentar: Predloženim dodatkom bi se pojasnilo da se ne radi o obavezi da se mišljenje pribavlja od sindikata sa svojstvom reprezentativnosti na nekom drugom nivou (kao što je reprezentativni granski sindikat). [Video-nadzor u poslovnom prostoru Član 35] [Stav 5] Zaposleni moraju biti obavešteni o uvođenju video-nadzora u pismenom obliku pre početka vršenja video-nadzora, u skladu sa članom 23. stav. 1. ovog zakona. BDK Advokati, komentar: Bilo bi korisno da se precizira da li svaki od zaposlenih mora biti lično obavešten o vršenju video-nadzora, ili rukovalac može ispuniti obavezu obaveštavanja oglašavanjem unutaru službenih, odnosno poslovnih prostorija, odnosno prostora. Video-nadzor u stambenim zgradama Član 37 [Stav 4] Nije dozvolјeno vršiti Video-nadzor ulaza u privatne stanove je dopušten ako se obavlja u skladu sa članom 38 i ne postoje dokazi o suprotnim legitimnim interesima lica, koji bi imali prevagu. BDK Advokati, komentar: Ovakvom formulacijom bitno se smanjuje prostor za eventualne zloupotrebe video-nadzora ulaza u privatne stanove, no sama dopuštenost se ne dovodi u pitanje. Upućivanjem na garancije iz člana 38, obezbeđuje se da video-nadzor može da se obavlja radi zaštite sopstvene bezbednosti i imovine, da video-nadzor nije postavlјen tako da snima spolјašnjost ili unutrašnjost drugih stanova i kuća, i da vlasnici na vidnom mestu istaknu obaveštenje o videonadzoru. Predložena odredba sadržava i dodatak, i ne postoje dokazi o suprotnim legitimnim interesima lica, koji bi imali prevagu, baziran na opštoj odredbi u nemačkom zakonu (odeljak 6b) o uslovima za dopuštenost video-nadzora. 13

Neposredno oglašavanje Član 40. [Stav 5] Ukoliko rukovalac podataka namerava da u svrhu neposrednog oglašavanja dostavi podatke o ličnosti iz stava 2. ovog člana i drugim licima ili obrađivačima podataka, u obavezi je da o tome prethodno informiše lice na koje se podaci odnose i pribavi pristanak saglasnost tog lica u pismenom obliku. BDK Advokati, komentar: Zakonski termin je pristanak (ne saglasnost ). Nije jasno zbog čega način na koji lice daje pristanak na dostavljanje podataka o ličnosti (u svrhu neposrednog oglašavanja) treba da zahtevom za pismenim oblikom pristanka bude naročito onerozan za rukovaoca. Takva odredba ne postoji u predloženoj Uredbi. U praksi, ovakvo rešenje bi moglo da vodi tome da korisnici cookies ne bi mogli pritikom tastera (clicking the button) ili označavanjem kvadratića (ticking the box) da daju validan pristanak rukovaocu da može da dostavi podatke do kojih je došao korišćenjem cookies drugim obrađivačima. Prava lica na ispravku, dopunu, ažuriranje, blokiranje i brisanje podataka Član 46. [Stav 1] Lice ima pravo da zahteva od rukovaoca da ispravi, dopuni, ažurira, blokira ili briše podatke o njemu koji su predmet obrade ako dokaže da su podaci netačni, nepotpuni, neažurni ili ako njihova obrada nije u skladu sa odredbama ovog zakona. BDK Advokati, komentar: O potrebi za unošenje prava lica da zahteva blokiranje podataka, videti kratko objašnjenje člana 3 (Značenje izraza). Situacije u kojima bi blokiranje predstavljalo odgovarajuću meru navedene su u čl. 17(4) predložene Uredbe: (a) lice dovodi u pitanje tačnost podataka, i podaci se blokiraju za period tokom kog rukovalac proverava njihovu tačnost; (b) podaci o ličnosti više nisu potrebni rukovaocu radi ostvarenja svojih zadataka, ali no potrebno ih je zadržati u svrhu dokazivanja; (c) obrada je nezakonita a lice se protivi brisanju podataka i umesto toga zahteva njihovo blokiranje; (d) lice zahteva da se lični podaci prenesu u drugi sistem automatizovane obrade. Trebalo bi razmotriti mogućnost da se, povodom bilo koje od mera koje lice zahteva, teret dokazivanja rasporedi zavisno od porekla informacije. Ako je podatak dobijen od lica ili uz njegov pristanak, na tom licu bi bio teret dokazivanja da su podaci netačni, nepotpuni, neažurni ili se obrađuju surprotno odredbama ovog zakona; međutim, ako su podaci pribavljeni od trećih lica, teret dokazivanja bi bio na rukovaocu. Ovakvo rešenje postoji u francuskom zakonu. 54 Zahtev za ostvarivanje prava Član 49. [Stav 6] Naredni zahtev za ostvarivanje prava u odnosu na iste podatke o ličnosti sadržane u istoj zbirci podataka istog rukovaoca, lice može da podnese po isteku roka od tri meseca od dana podnošenja prethodnog zahteva, a ako se radi o naročito osetlјivim podacima, po isteku roka od mesec dana od dana podnošenja prvog zahteva, pod uslovom da je rukovalac postupio po prvom zahtevu. 54 Čl. 40(3). 14

BDK Advokati, komentar: Kategorija naročito osetlijv podatak ne postoji u Modelu. Način ostvarivanje prava na uvid Član 53. [Stav 7] Ako rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev, dužan je da podnosiocu zahteva stavi na uvid podatak i izda kopiju na tom jeziku, osim ako podnosilac zahteva ne odredi drukčije, a rukovalac ima mogućnosti da udovolјi zahtevu. BDK Advokati, komentar: Ovaj stav se odnosi na situaciju u kojoj rukovalac raspolaže podatkom na jeziku na kome je podnet zahtev. Prema tome, nejasno je kako rukovalac ne bi mogao da bude u mogućnosti da udovolji zahtevu. Poslovi lica za zaštitu podataka Član 65. [Stav 1] Lice za zaštitu podataka obavlјa poslove u skladu sa ovim zakonom, a naročito: 3) predlaže i preduzima mere za posebno obeležavanje, zaštitu i sprečavanje neovlašćenog pristupa podacima o ličnosti, a naročito osetlјivim podacima; BDK Advokati, komentar: U tekstu u Modelu je, očigledno greškom, izostavljana reč sprečavanje. Evidencija o obradi i obaveza dostavlјanja Povereniku Član 72. [Stav 1] Rukovalac je dužan da Povereniku, na propisanom obrascu, najkasnije 30 dana pre uspostavlјanja zbirke podataka, dostavi evidenciju o obradi za svaku zbirku podataka koju vodi, radi upisa u Centralni registar Poverenika. BDK Advokati, komentar: Odredba bi trebalo da bude jasnije formulisana. Sadašnji tekst, tj. formulacija o obavezi rukovaoca da unapred dostavi evidenciju o obradi, implicira da rukovalac već (dakle pre uspostavljanja zbirke podataka) raspolaže podacima (o licu) koje su do tada obrađene u njegovo ime. To bi značilo da je obrada dopuštena i pre nego što rukovalac obavesti Poverenika o nameri obrađivanja. Ovakvo rešenje bi se razlikovalo od onog iz sada važećeg Zakonu (čl. 49). Ako odredba ustvari i dalje predviđa obavezu rukovaca da obavesti Poverenika o nameri obrađivanja podataka, onda bi stav 1 trebalo preformulisati tako da glasi: Rukovalac je dužan da Povereniku, na propisanom obrascu, najkasnije 30 dana pre uspostavlјanja zbirke podataka, dostavi evidenciju o obradi obaveštenje o nameri obrađivanja za svaku zbirku podataka koju vodi namerava da uspostavi, radi upisa u Centralni registar Poverenika Zbirke podataka o kojima se ne vodi evidencija 15

Član 73. Rukovalac nije dužan da Povereniku dostavi evidenciju: 1) za podatke koje obrađuju isklјučivo u svrhu vođenja registra propisanog zakonom ustanovlјenog radi pružanja informacija javnosti i dostupnog tako da podatke iz njega može dobiti kako javnost, tako i svako lice koje za to ima interes zasnovan na zakonu, kao i za podatke o ličnosti o kojima poslodavac vodi evidenciju po osnovu zakona; 2) ako ima opšti akt iz člana 63. ovog zakona, ili 3) ako ima lice za zaštitu podataka. BDK Advokati, komentar: Odredba bi trebalo da bude jasnije formulisana, odnosno trebalo bi iz teksta da bude jasno da li odredba propisuje izuzetak samo od obaveze dostavljanja evidencije (kao u prvoj rečenici) ili takođe i izuzetak od obaveze vođenja evidencije (kao u naslovu člana 73). Smatramo da obaveza dostavljanja evidencije predstavlja nepotreban teret za rukovaoca, kada po zakonu već postoji obaveza vođenja registra. Opšte odredbe o iznošenju podataka iz zemlјe Član 74. [Stav 1] Zbirke podataka o ličnosti, odnosno podaci o ličnosti sadržani u zbirkama podataka o ličnosti mogu se iznositi iz Republike Srbije ukoliko je država ili međunarodna organizacija u koju se podaci iznose strana ugovornica međunarodnih ugovora koje je potvrdila Republika Srbija, a ti ugovori sadrže odredbe o razmeni podataka između strana ugovornica, ili ukoliko je iznošenje podataka iz Republike Srbije propisano posebnim zakonom. [Stav 2] Pored slučajeva iz stava 1. ovog člana, zzbirke podataka o ličnosti, odnosno podaci o ličnosti sadržani u zbirkama podataka o ličnosti mogu se iznositi iz Republike Srbije u države ili međunarodne organizacije ukoliko ta država ili međunarodna organizacija ima odgovarajuće uređenu zaštitu podataka o ličnosti. BDK Advokati, komentar: Struktura predloženog člana 74 i način na koji je odredba trenutno formulisana čine ovaj član teško razumljivim. Prema našem razumevanju, stavovi 2-5 se odnose na države ili međunarodne organizacije sa kojima Srbija nema ratifikovan sporazum sa odredbom o razmeni podataka. Među tim državama, postoji daljnja distinkcija (na one u odnosu na koje postoji neoboriva pretpostavka da na odgovarajući način uređuju zaštitu podataka o ličnosti, i one za koje takva pretpostavka ne važi), no u svakom slučaju sve one se suštinski razlikuju u odnosu na države i međunarodne organizacije iz stava 1, koji se odnosi na države ili međunarodne organizacije sa kojima Srbija ima ratifikovane sporazume sa odredbom o razmeni podataka. Ovu suštinsku razliku bi trebalo naglasiti unošenjem reči Pored slučajeva iz stava 1. ovog člana, na početak stava 2, kako bi se podvukla ključna razlika između stava 1 i potonjih stavova. Zahtev za iznošenje podataka Član 75. [Stav 1] Pre iznošenja podataka o ličnosti iz Republike Srbije u državu ili međunarodnu organizaciju, rukovalac je dužan da Povereniku podnese zahtev za iznošenje ili više iznošenja podataka o ličnosti, na obrascu koji propiše Poverenik. 16

BDK Advokati, komentar: Ovakva formulacija postoji u Direktivi 55 i u predloženoj Uredbi, 56 kao i u zakonima Holandije 57 i Nemačke. 58 Prava i obaveze subjekta nadzora Član 80. [Stav 2] Subjekt nadzora je dužan da ovlašćenom licu za vreme vršenja nadzora, na njegov zahtev, obezbedi odgovarajući radni prostor i druge neophodne pretpostavke za rad, da odredi jednog ili više predstavnika koji će učestvovati u utvrđivanju činjenica i da obezbedi sveu potrebnue dokumente, evidencijeu i drugu dokumentaciju. BDK Advokati, komentar: Nelogična je formulacija dokumente i drugu dokumentaciju. Obrazloženje [ ] Odelјak o biometriji (čl. 30. 32.) Obrada biometrijskih podataka je obrada osetlјivih podataka s obzirom na to da se biometrijski podaci ne menjaju tokom života jednog lica, i stoga je važno da se obradi ovih podataka pristupa sa dužnom pažnjom i u izuzetnim slučajevima, što je i u skladu sa Direktivom 95/46/EZ i Predlogom opšte uredbe o zaštiti podataka o ličnosti EU. BDK Advokati, komentar: Pogrešno u obrazloženju piše da se ne menjaju Karakteristike ponašanja lica se svakako menjaju, a menjaju se i neke fizičke, fiziološke karakteristike. Videti o tome, npr., tekst Els Kindt, "Biometric applications and the data protection legislation", Datenschutz und Datensicherheit (2007), str. 168. 59 55 Čl. 26(2). 56 Čl. 42(5). 57 Čl. 77(2). 58 Odeljak 4b(3) i čl. 4c(2). 59 Specific forms of biometric data which relate to a human characteristic that changes over time, for example, if the individual grows older. The reference biometric data relating to hand geometry or face of younger persons, for example pupils of a school, may at a certain point not be of any good quality anymore, as the characteristics change and these changes are not reflected in the reference data. Tekst može da se pročita na http://www.fidis.net/fileadmin/fidis/publications/2007/dud3_2007_166.pdf. 17