Prilog 1 Priručnika za zaštitu podataka
OBAVEŠTENJE O PRAVIMA INDIVIDUA U VEZI SA OBRADOM LIČNIH PODATAKA
UVOD
I GLAVA – NAZIV ORGANIZACIJE KOJA OBRAĐUJE PODATKE
II GLAVA – NAZIV ORGANIZACIJA KOJE OBRAĐUJU PODATKE
1. Naš IT servis
2. Razvijač našeg sistematskog mapa
GLAVA – OBEZBEĐIVANJE USKLAĐENOSTI SA ZAKONIMA O OBRADI PODATAKA
1. Obrada podataka na osnovu pristanka osobe na koju se podaci odnose
2. Obrada podataka u cilju ispunjenja zakonskih obaveza
3. Promocija prava osoba na koje se podaci odnose
IV GLAVA – OBRAĐIVANJE PODATAKA POSETILACA NA WEB SAJTU KOMPANIJE – OBAVEŠTENJE O KORIŠĆENJU KOLAČIĆA
V GLAVA – OBAVEŠTENJE O PRAVIMA OSOBA NA KOJE SE PODACI ODNOSE
UVOD
Prema UREDBI (EU) 2016/679 EVROPSKOG PARLAMENTA I SAVETA (u daljem tekstu: Uredba), koja se odnosi na zaštitu ličnih podataka prirodnih lica i slobodan protok tih podataka, i ukidanje Direktive 95/46/EZ, Upravnik podataka je dužan da preduzme odgovarajuće mere kako bi osigurao da osoba čiji se podaci prikupljaju primi sve potrebne informacije o obradi ličnih podataka na koncizan, jasan, transparentan, razumljiv i pristupačan način, kao i da obezbedi uslove za ostvarivanje prava te osobe.
Obaveza prethodnog obaveštavanja o pravu na samostalno odlučivanje o informacijama i slobodi pristupa informacijama takođe je preneta iz Zakona o zaštiti podataka, članu 112 iz 2011. godine.
Sledeći tekst ispunjava naše obaveze prema gore pomenutim zakonima i uredbama.
Obaveštenje treba biti postavljeno na veb sajtu kompanije, a na zahtev treba biti poslato osobi čiji se podaci prikupljaju.
I GLAVA
NAZIV ORGANIZACIJE KOJA OBRAĐUJE PODATKE
Izvor obaveštenja, ujedno i Upravnik podataka:
Naziv kompanije: PROIZVODNO PREDUZEĆE PLASTEKS DOO, KORENITA
Sedište: Korenita
Matični broj: 17043706
PIB: 101923161
Zastupnik: Zlatan Tejić
Telefon: 063 / 7796 391
E-mail: zlatantejic@gmail.com
Veb sajt: plasteks-gajbice.rs/sr
(u daljem tekstu: Kompanija)
II GLAVA
NAZIV ORGANIZACIJE KOJA OBRAĐUJE PODATKE
Lice koje obrađuje podatke: fizičko ili pravno lice, državni organ, agencija ili bilo koji drugi organ koji obrađuje podatke u ime upravnika podataka; (Pravilo 4, član 8)
Korišćenje usluga obraditelja podataka nije povezano sa prethodnim pristankom lica na koje se podaci odnose, ali je potrebno obavestiti to lice. Prema ovoj politici, dajemo sledeće obaveštenje:
- IT servis kompanije
Za održavanje i upravljanje veb sajtom kompanije, upravnik podataka koristi usluge obraditelja podataka, koji pruža IT usluge (usluga hostinga) i u okviru tih usluga - u skladu sa ugovorom između dve strane - obrađuje lične podatke koji ostaju na veb sajtu, tj. koji se čuvaju na serveru.
Naziv i podaci obraditelja podataka:
Naziv kompanije: ErdSoft doo
Sedište: 24000 Subotica, Somborski put 33a, Srbija
Matični broj: 21354619
PIB: 110478829
Zastupnik: Daniel Erdudac
Telefon: +381 60 44 60 555
Faks: nema
E-mail: daniel.erdudac@erdsoft.com
Veb sajt: erdsoft.com
III GLAVA: OBEZBEĐIVANJE USAGLAŠENOSTI OBRADE PODATAKA SA ZAKONOM
1. Obrada Podataka Na Osnovu Pristanka
1. Ako Kompanija namerava da vrši obradu podataka na osnovu pristanka, obavezna je da od subjekta podataka prikupi pristanak za obradu ličnih podataka prilikom popunjavanja obrasca, čiji sadržaj određuje politika obrade podataka.
2. Pristanak se takođe smatra kada korisnik označi polje za pristanak na obradu podataka na veb sajtu Kompanije, kada izvrši potrebne tehničke postavke prilikom korišćenja usluga informatičkog društva, ili bilo kojom drugom izjavom ili radnjom koja jasno pokazuje pristanak subjekta podataka za planiranu obradu ličnih podataka. Ćutanje, unapred označeno polje ili nedostatak radnje ne smatraju se pristankom.
3. Pristanak se odnosi na sve aktivnosti obrade podataka koje se vrše za iste svrhe. Ako obrada podataka služi različitim svrhama, za svaku svrhu treba prikupiti poseban pristanak.
4. Ako subjekt podataka daje pristanak u pisanoj izjavi koja se odnosi i na druge svrhe (na primer, zaključivanje ugovora o kupovini ili uslugama), pristanak treba tražiti jasno, jednostavno, razumljivo, pristupačno i jasno odvojeno od drugih svrha. Izjave koje ne ispunjavaju ove zahteve nisu pravno obavezujuće.
5. Kompanija ne može usloviti zaključivanje ili izvršenje ugovora sa pristanak za obradu ličnih podataka koji nisu neophodni za ispunjenje ugovora.
6. Povlačenje pristanka treba biti isto tako jednostavno kao i davanje pristanka.
7. Ako je lični podatak zabeležen uz pristanak subjekta, upravnik podataka može koristiti zabeležene podatke bez dodatnog pristanka radi ispunjenja zakonskih obaveza, kao i nakon povlačenja pristanka, ako to zakon omogućava.
8. Veb sajt ne prikuplja podatke od maloletnika (osoba mlađih od 16 godina). Ako se podaci maloletnika sačuvaju, oni će se odmah izbrisati nakon otkrivanja.
2. Obrada Podataka Na Osnovu Zakonskih Obaveza
1. Ako se obrada podataka vrši na osnovu zakonskih obaveza, krug podataka, svrha obrade, vreme čuvanja podataka i korisnici podataka određeni su zakonom.
2. Ova obrada podataka nije zavisna od pristanka subjekta, jer je određena zakonom. Pre prikupljanja podataka, subjekt treba biti obavešten da je prikupljanje podataka obavezno, i treba detaljno i jasno komunicirati svrhu obrade, pravni osnov, ovlašćenog za obradu, trajanje obrade, krug obrađivanih ličnih podataka i krug lica koja imaju pristup tim podacima. Obaveštenje treba da sadrži i prava subjekta i mogućnosti za ostvarivanje tih prava. U slučaju obavezne obrade, obaveštenje takođe uključuje i iznošenje zakonskih odredbi.
3. Podrška Prava Subjekata
Kompanija je obavezna da obezbedi da subjekt podataka može ostvarivati svoja prava tokom svih aktivnosti obrade podataka.
IV GLAVA: UPRAVLJANJE PODACIMA POSETILACA NA WEB SAJTU KOMPANIJE – OBAVEŠTENJE O KORIŠĆENJU KOLAČIĆA
1. Posetilac web sajta treba da bude obavešten o primeni kolačića, i osim tehnički neophodnih sesijskih kolačića, u svim drugim slučajevima treba tražiti dozvolu posetioca.
2. Opšte Informacije O Kolačićima
2.1. Kolačić je podatak koji posetiocima web sajt šalje web stranica koju poseti, radi skladištenja, i kasnije ista ta web stranica može da pročita sadržaj kolačića. Kolačići mogu biti važeći do zatvaranja pretraživača ili neograničeno vreme. Kasnije, pri svakom HTTP(S) zahtevu, pretraživač šalje te informacije serveru.
2.2. Suština kolačića je označavanje i identifikacija korisnika (npr. prijavljivanje na stranici), kao i odgovarajuće rukovanje svakom budućem slučaju za tog korisnika. Rizik leži u tome što korisnik ne zna uvek da ga kolačići identifikuju, što omogućava vlasniku stranice ili drugim pružateljima usluga da prate korisnika i kreiraju profil o njemu. U takvim slučajevima sadržaj kolačića tretiramo kao lične podatke.
2.3. Vrste kolačića:
2.3.1. Tehnički neophodni sesijski kolačići: bez njih web sajtovi ne funkcionišu, pomažu u identifikaciji korisnika kada uđe na stranicu, šta je stavio u korpu itd. Sa bezbednosnog aspekta, važno je da ovi podaci budu ispravno generisani.
2.3.2. Kolačići koji olakšavaju upotrebu: ovi kolačići pamte korisnikove izbore, kao što je kako želi da prikazuje stranicu.
2.3.3. Kolačići za performanse: ovi kolačići prikupljaju informacije o korisničkom ponašanju, klikovima i vremenu provedenom na posetjenoj stranici, i obično potiču od trećih lica (npr. Google Analytics, AdWords).
2.4. Prihvatanje ili dozvoljavanje kolačića nije obavezno. U podešavanjima pretraživača može se postaviti da automatski odbija sve kolačiće ili obaveštava korisnika kada se kolačići šalju. Većina pretraživača po difoltu prihvata kolačiće, ali podešavanja se mogu promeniti kako bi se sprečilo automatsko prihvatanje i omogućilo korisniku da izabere između prihvatanja ili odbacivanja kolačića.
Pogledajte sledeće linkove za podešavanja kolačića u najpopularnijim pretraživačima:
• Google Chrome: Chrome support
• Firefox: Firefox support
• Microsoft Internet Explorer 11: Microsoft support
• Microsoft Internet Explorer 10: Microsoft support
• Microsoft Internet Explorer 9: Microsoft support
• Microsoft Internet Explorer 8: Microsoft support
• Microsoft Edge: Microsoft support
• Safari: Apple support
3. Informacije o kolačićima korišćenim na web sajtu kompanije i podacima prikupljenim tokom posete
3.1. Podaci koji se obrađuju tokom posete
Naša web stranica može da zabeleži i obradi sledeće informacije o posetiocu ili uređaju koji koristi:
• IP adresa posetioca,
• vrsta pretraživača,
• karakteristike operativnog sistema uređaja koji posetilac koristi (konfigurisani jezik),
• vreme posete,
• (pod)stranice, funkcije ili usluge koje je posetilac pregledao,
• klikovi.
Ove podatke čuvamo najduže 90 dana i koriste se prvenstveno za testiranje bezbednosnih incidenata.
3.2. Kolačići korišćeni na web sajtu
3.2.1. Tehnički neophodni sesijski kolačići
Cilj obrade podataka je obezbeđivanje ispravnog funkcionisanja web sajta. Ovi kolačići su potrebni kako bi posetioci mogli bez problema da pretražuju web sajt i potpuno koriste sve funkcije i usluge dostupne preko sajta, uključujući – posebno – beleženje komentara posetilaca na određenoj stranici ili identifikaciju prijavljenih korisnika tokom posete. Trajanje kolačića je ograničeno na trenutnu posetu posetioca; ovi kolačići se automatski brišu sa računara korisnika na kraju sesije ili kada se pretraživač zatvori.
Osnova za obrada ovih podataka je član 13/A stav 3 Zakona o elektronskoj trgovini i uslugama informacijskog društva iz 2001. godine, koji omogućava pružaocu usluga da obrađuje lične podatke koji su tehnički neophodni za pružanje usluge. Pod pretpostavkom da se ostali uslovi ne menjaju, pružaoci usluga moraju odabrati i koristiti alate za pružanje usluga informacijskog društva na način da obrađuju lične podatke samo ako je to apsolutno neophodno za pružanje usluge ili za ostvarivanje drugih zakonom definisanih neophodnih ciljeva, i to samo u neophodnom obimu i trajanju.
3.2.2. Kolačići koji olakšavaju upotrebu
Ovi kolačići pamte korisnikove izbore, na primer, kako želi da vidi stranicu. Ovi kolačići su u osnovi podešavanja koja kolačići čuvaju.
Osnova za obrada ovih podataka je saglasnost posetilaca.
Cilj obrade je poboljšanje efikasnosti usluga, unapređenje korisničkog iskustva i obezbeđivanje lakšeg korišćenja sajta.
Ovi podaci se čuvaju na računaru korisnika, a web stranica ima pristup samo tim podacima i na osnovu njih prepoznaje posetioca.
3.2.3. Kolačići za performanse
Ovi kolačići prikupljaju informacije o ponašanju korisnika, vremenu provedenom na stranici i klikovima na stranici koju je korisnik pregledao. Ove kolačiće obično prate aplikacije trećih lica (npr. Google Analytics, AdWords).
Osnova za obrada ovih podataka je saglasnost posetilaca.
Cilj obrade je analiza web sajta i slanje promotivnih ponuda.
V. Poglavlje OBAVEŠTENJE O PRAVIMA SUBJEKATA PODATAKA
I. Sažetak prava subjekata podataka:
- Transparentno obaveštavanje, komunikacija i načini ostvarivanja prava za subjekte podataka.
- Pravo na prethodno obaveštavanje prilikom prikupljanja ličnih podataka od subjekta podataka.
- Obaveštavanje ako lični podaci nisu prikupljeni od subjekta podataka.
- Pravo na pristup.
- Pravo na ispravku.
- Pravo na brisanje („pravo na zaborav“).
- Pravo na ograničenje obrade.
- Obaveza obaveštavanja o ispravci, brisanju ili ograničenju obrade.
- Pravo na prenosivost podataka.
- Pravo na prigovor.
- Automatizovano donošenje odluka i profilisanje.
- Ograničenja.
- Obaveštavanje subjekta podataka o povredi bezbednosti podataka.
- Pravo na podnošenje prigovora nadležnom organu.
- Pravo na efikasnu pravnu zaštitu prema nadležnom organu.
- Pravo na efikasnu pravnu zaštitu prema rukovaocu podacima ili obradniku podataka.
II. Detalji prava subjekata podataka:
1. Transparentno obaveštavanje, komunikacija i načini ostvarivanja prava za subjekte podataka:
1.1. Rukovalac podacima preduzima odgovarajuće mere kako bi obezbedio da sve informacije u vezi sa obradom podataka budu sažete, transparentne, razumljive i lako dostupne za subjekta podataka. Informacije se mogu pružiti pismenim ili drugim sredstvima, kao što je elektronski. Na zahtev subjekta podataka, obaveštenje može biti dato i usmeno, pod uslovom da identitet subjekta bude potvrđen na drugi način.
1.2. Operater pomaže subjektu podataka u ostvarivanju njegovih prava.
1.3. Rukovalac podacima, na zahtev, daje obaveštenje o preduzetim merama bez neopravdanog odlaganja, ali najkasnije u roku od mesec dana od prijema zahteva. Ovaj rok može biti produžen za dodatna dva meseca, ako je potrebno, uz obaveštenje subjektu podataka o produženju.
1.4. Ako rukovalac podacima ne postupi po zahtevu subjekta podataka, on će ga obavestiti o mogućnosti žalbe i pravima na pravnu zaštitu pred nadležnim organom u roku od mesec dana, uz obrazloženje.
1.5. Obaveštavanje, komunikacija i mere su besplatni, ali u određenim slučajevima mogu se naplatiti takse.
2. Pravo na prethodno obaveštavanje prilikom prikupljanja ličnih podataka od subjekta podataka:
2.1. Kada se lični podaci prikupljaju od subjekta podataka, rukovalac podacima pruža sledeće informacije prilikom prikupljanja: a) Kontakt podaci rukovaoca podacima i njegovih predstavnika. b) Kontakt podaci službenika za zaštitu podataka, ako postoji. c) Svrha i pravni osnov obrade podataka. d) Legitimni interesi rukovaoca podacima ili treće strane. e) Kategorije korisnika podataka ili korisnika. f) Ako se lični podaci prenose u treću zemlju ili međunarodnu organizaciju, informacije o tome.
2.2. Rukovalac podacima takođe pruža sledeće dodatne informacije: a) Trajanje čuvanja podataka ili kriterijumi korišćeni za određivanje trajanja. b) Prava subjekta podataka na pristup, ispravku, brisanje, ograničenje, prigovor i prenosivost podataka. c) Ako je obrada zasnovana na saglasnosti, pravo na povlačenje saglasnosti. d) Pravo na podnošenje prigovora nadležnom organu. e) Zakonske ili ugovorne obaveze pružanja podataka i posledice neobaveštavanja. f) Ako se koristi automatizovano donošenje odluka i profilisanje, logika koja se koristi, kao i značaj i posledice obrade za subjekt podataka.
2.3. Ako rukovalac podacima želi da koristi lične podatke u druge svrhe, prethodno obaveštava subjekt podataka o novoj svrsi i svim relevantnim informacijama.
3. Obaveštavanje ako lični podaci nisu prikupljeni od subjekta podataka:
3.1. Rukovalac podacima obaveštava subjekta podataka o kategorijama ličnih podataka, izvoru podataka, kao i da li su podaci dobijeni iz javno dostupnih izvora. Takođe daje obaveštenje ako su podaci prikupljeni prilikom prvog kontakta sa subjektom ili tokom prenosa trećim korisnicima.
3.2. Dodatna pravila u vezi sa pravom na prethodno obaveštavanje nalaze se u članu 14. Uredbe.
4. Pravo na pristup:
4.1. Subjekt podataka ima pravo da zatraži od rukovaoca podacima potvrdu da li se njegovi lični podaci obrađuju i ima pravo da pristupi tim podacima i povezanim informacijama (prema članu 15. Uredbe).
4.2. Ako se podaci prenose u treću zemlju ili međunarodnu organizaciju, subjekt podataka će biti obavešten o odgovarajućim merama zaštite u skladu sa članom 46.
4.3. Rukovalac podacima pruža kopiju obrađenih ličnih podataka; za dodatne kopije može naplatiti razumnu taksu.
5. Pravo na ispravku:
5.1. Subjekt podataka ima pravo da zahteva ispravku netačnih ličnih podataka bez nepotrebnog odlaganja.
5.2. Subjekt podataka ima pravo na dopunu nepotpunih ličnih podataka, na primer, dodatnom izjavom.
6. Pravo na brisanje („pravo na zaborav”):
6.1. Subjekt podataka ima pravo da zahteva brisanje svojih ličnih podataka bez nepotrebnog odlaganja, ako se ispuni jedan od sledećih uslova: a) Podaci više nisu potrebni za svrhe za koje su prikupljeni. b) Subjekt podataka povlači svoju saglasnost, a obrada podataka nema drugi pravni osnov. c) Subjekt podataka se protivi obradi, i ne postoji pravni osnov za obradu. d) Podaci su nezakonito obrađivani. e) Brisanje podataka je potrebno za ispunjavanje pravne obaveze. f) Podaci su prikupljeni u vezi sa uslugama informacionog društva namenjenim deci.
6.2. Pravo na brisanje se ne primenjuje ako je obrada podataka potrebna: a) Za ostvarivanje slobode izražavanja i prava na informacije. b) Za ispunjavanje pravnih obaveza ili iz razloga od opšteg interesa. c) Iz razloga od opšteg interesa u oblasti javnog zdravlja. d) Za ciljeve arhiviranja u javnom interesu, naučne ili istorijske istraživačke svrhe, ili statističke svrhe. e) Za ostvarivanje, ostvarivanje ili zaštitu pravnih zahteva.
7. Pravo na ograničenje obrade:
7.1. Subjekt podataka može zahtevati ograničenje obrade ako: a) Subjekt podataka osporava tačnost podataka (tokom trajanja ograničenja, rukovalac podacima proverava tačnost podataka). b) Obrada je nezakonita, i subjekt podataka zahteva ograničenje umesto brisanja podataka. c) Rukovalac podacima više nema potrebu za podacima, ali subjekt podataka zahteva njihovu obradu za ostvarivanje, ostvarivanje ili zaštitu pravnih zahteva. d) Subjekt podataka se protivi obradi (tokom trajanja ograničenja, proverava se da li razlozi rukovaoca podacima imaju prednost u odnosu na interese, prava i slobode subjekta podataka).
7.2. U slučaju ograničenja, lični podaci se mogu čuvati, ali se mogu obrađivati samo uz saglasnost subjekta podataka, radi ostvarivanja pravnih zahteva, ili iz razloga od opšteg interesa.
7.3. Rukovalac podacima obaveštava subjekt podataka ako se ograničenje ukida.
Detaljna pravila se nalaze u članu 18. Uredbe.
8. Obaveza obaveštavanja o ispravci, brisanju i ograničenju obrade podataka
Operator je dužan da obavesti sve korisnike sa kojima je podelio lične podatke ako dođe do ispravke, brisanja ili ograničenja obrade podataka, osim ako je to nemoguće ili izuzetno zahtevno. Operator obaveštava subjekt podataka o tim korisnicima ako subjekt to zahteva.
Detaljna pravila se nalaze u članu 19. Uredbe.
9. Pravo na prenosivost podataka
9.1. Subjekt podataka ima pravo da primi svoje lične podatke u strukturiranom, uobičajenom i mašinski čitljivom formatu, kao i da ih prenese drugom rukovaocu podacima, ako: a) Obrada se zasniva na saglasnosti ili ugovoru; i b) Obrada se vrši automatski.
9.2. Subjekt podataka ima pravo da direktno prenese svoje podatke od jednog pružaoca usluga do drugog.
9.3. Vežbanje prava na prenosivost podataka ne utiče na pravo na brisanje iz člana 17. („pravo na zaborav”). Ovo pravo se ne odnosi na obrade koje su potrebne za ispunjavanje zadataka od javnog interesa ili za vršenje ovlašćenja od strane rukovaoca podacima, i ne može ugroziti prava i slobode drugih.
Detaljna pravila se nalaze u članu 20. Uredbe.
10. Pravo na prigovor
10.1. Subjekt podataka ima pravo da se protivi obradi svojih ličnih podataka, u skladu sa članom 6. stav 1. tačke e) ili f), ako je prigovor vezan za njegovu specifičnu situaciju, uključujući profilisanje. Rukovalac podacima više ne može obrađivati lične podatke osim ako pruži uverljive razloge koji imaju prednost nad interesima, pravima i slobodama subjekta podataka, ili ako je potrebno za ostvarivanje, ostvarivanje ili zaštitu pravnih zahteva.
10.2. Ako se lični podaci obrađuju za potrebe direktnog marketinga, subjekt podataka ima pravo da se protivi takvoj obradi, uključujući profilisanje. Nakon prigovora, dalja obrada podataka u te svrhe nije dozvoljena.
10.3. Subjekt podataka mora biti obavešten o svom pravu na prigovor najkasnije tokom prve komunikacije, a ovo pravo mora biti jasno istaknuto i odvojeno od drugih informacija.
10.4. Subjekt podataka može automatski ostvariti svoje pravo na prigovor na osnovu tehničkih specifikacija.
10.5. Ako se lični podaci obrađuju u svrhe naučnih, istorijskih istraživanja ili statističkih svrha, subjekt podataka ima pravo da se protivi obradi na osnovu svoje specifične situacije, osim ako je obrada neophodna za obavljanje zadatka od javnog interesa.
Detaljna pravila se nalaze u članu 21. Uredbe.
11. Automatizovane odluke, uključujući profilisanje
11.1. Subjekt podataka ima pravo da ne bude podložan odluci koja se donosi isključivo na osnovu automatizovane obrade podataka, uključujući profilisanje, i koja ima značajne pravne posledice za njega.
11.2. Stav 1. se ne primenjuje ako je odluka: a) Neophodna za sklapanje ili izvršenje ugovora između subjekta podataka i rukovaoca podacima; b) Dozvoljena zakonodavstvom EU ili države članice, uz odgovarajuće zaštitne mere za zaštitu prava i sloboda subjekta podataka; ili c) Doneta na osnovu eksplicitne saglasnosti subjekta podataka.
11.3. U slučajevima iz tačaka a) i c), rukovalac podacima obezbeđuje zaštitu prava subjekta podataka, uključujući ljudsku intervenciju, izražavanje mišljenja i pravo na osporavanje odluke.
Detaljna pravila se nalaze u članu 22. Uredbe.
12. Ograničenja
Zakonodavstvo EU ili nacionalno zakonodavstvo koje se primenjuje na rukovaoca podacima ili obrađivača podataka može ograničiti obaveze i prava navedena u članovima 12-22 i članu 34, kao i u članu 5. Takva ograničenja moraju poštovati suštinu osnovnih prava i sloboda.
Uslove ograničenja možete pronaći u članu 23. Uredbe.
13. Obaveštavanje o povredi sigurnosti ličnih podataka
13.1. Ako povreda sigurnosti ličnih podataka predstavlja visok rizik za prava i slobode subjekta podataka, rukovalac podacima će bez nepotrebnog odlaganja obavestiti subjekte podataka. Obaveštenje treba da bude jasno i jednostavno napisano i da sadrži sledeće informacije: a) Ime i kontakt podaci službenika za zaštitu podataka; b) Opis verovatnih posledica povrede; c) Mere koje je rukovalac podacima preduzeo za otklanjanje povrede i ublažavanje štete.
13.2. Obaveštavanje subjekta podataka nije obavezno ako: a) Rukovalac podacima je primenio odgovarajuće zaštitne mere, kao što je enkripcija, koja sprečava da podaci postanu razumljivi neovlašćenim stranama; b) Rukovalac podacima je preduzeo naknadne mere za sprečavanje daljih rizika; c) Ako je obaveštavanje neproporcionalno teško. U takvim slučajevima, mora se objaviti obaveštenje kako bi se obavestili subjekti podataka.
Detaljna pravila se nalaze u članu 34. Uredbe.
14. Pravo na žalbu nadležnom organu
Svaki subjekt podataka može podneti žalbu nadležnom organu, posebno u državi članici gde se nalazi njegovo uobičajeno prebivalište, radno mesto ili mesto navodnog kršenja, ako veruje da obrada podataka krši Uredbu. Nadležni organ će obavestiti podnosioca žalbe o napretku i ishodu žalbe, uključujući dostupne pravne lekove.
Detaljna pravila se nalaze u članu 77. Uredbe.
15. Pravo na efikasnu pravnu zaštitu protiv nadležnog organa
15.1. Bez prejudiciranja drugih administrativnih ili vanpravnih pravnih lekova, svaka fizička ili pravna lica imaju pravo na efikasnu pravnu zaštitu protiv obavezujuće odluke nadležnog organa.
15.2. Bez prejudiciranja drugih administrativnih ili vanpravnih pravnih lekova, svaki subjekt podataka ima pravo na efikasnu pravnu zaštitu ako nadležni organ ne reši žalbu ili ne obavesti subjekta podataka o napretku ili ishodu žalbe u roku od tri meseca.
15.3. U postupcima protiv nadležnog organa, nadležni su sudovi u državi članici u kojoj se nalazi sedište nadležnog organa.
15.4. Ako je protiv odluke nadležnog organa pokrenut postupak, organ će proslediti mišljenje ili odluku sudu.
Detaljna pravila se nalaze u članu 78. Uredbe.
16. Pravo na efikasnu pravnu zaštitu protiv rukovaoca podacima ili obrađivača podataka
16.1. Subjekt podataka, bez prejudiciranja drugih administrativnih ili vanpravnih pravnih lekova, ima pravo na efikasnu pravnu zaštitu ako veruje da rukovalac podacima ili obrađivač podataka krši njegova prava usled obrade podataka koja je u suprotnosti sa Uredbom.
16.2. U postupcima protiv rukovaoca podacima ili obrađivača podataka, nadležni su sudovi u državi članici u kojoj se nalazi sedište rukovaoca podacima ili obrađivača podataka, ili u državi članici u kojoj se nalazi uobičajeno prebivalište subjekta podataka, osim ako rukovalac podacima vrši javnu vlast u toj državi članici.
Detaljna pravila se nalaze u članu 79. Uredbe.