Zaštita podataka o ličnosti

“Podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta.

Podatak o ličnosti nije:
• matični broj pravnog lica;
• poreski identifikacioni broj pravnog lica;
• naziv pravnog lica;
• poštanski adresni broj pravnog lica;
• e-mail pravnog lica;
• finansijski podaci pravnog lica;
• podaci o umrlim licima i sl.

Posebne vrste podataka o ličnosti su:
• rasno ili etničko poreklo;
• seksualna orijentacija;
• politički stavovi;
• verska i filosofska uverenja;
• sindikalno članstvo;
• genetski, biometrijski ili zdravstveni podatak osim u posebnim slučajevima (npr. kada postoji pristanak ili kada je obrada od javnog interesa, u skladu sa pravom EU ili nacionalnim pravom);
• podaci o ličnosti u vezi sa krivičnim presudama i kažnjivim delima osim ukoliko to nije dopušteno pravom EU ili nacionalnim pravom.

Podaci o ličnosti u toku obrade mogu proći kroz više različitih faza kod pravnih lica. U tom ciklusu postoje tri ključne uloge u obradi podataka o ličnosti:
• Rukovaoc podataka odlučuje o svrsi i načinu obrade podataka;
• Primalac podataka čuva i obrađuje podatke u ime rukovaoca podataka;
• Obrađivač podataka obrađuje podatke o ličnosti u ime rukovaoca.

Osnovne aktivnosti rukovaoca ili obrađivača sastoje se u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose. Ovlašćena lica za zaštitu podataka (DPO) imenovana od strane pravnog lica (rukovaoca podataka) odgovorna su za nadzor obrade podataka o ličnosti kao i za informisanje zaposlenih koji vrše obradu podataka o ličnosti kao i o njihovim obavezama. Imenovana ovlašćena lica za zaštitu podataka (DPO) predstavnici su direktnog konktakta prema fizičkim licima i nadležnim organom za zaštitu podataka o ličnosti.

Prema odredbama člana 56. Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS” br. 87/2018) rukovalac i obrađivač podataka o ličnosti DUŽNI SU da odrede lice za zaštitu podataka o ličnosti, u sledećim situacijama:

1) ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja.
„Organ vlasti” je državni organ, organ teritorijalne autonomije i jedinice lokalne samouprave, javno preduzeće, ustanova i druga javna služba, organizacija i drugo pravno ili fizičko lice koje vrši javna ovlašćenja.

2) ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;

3) ukoliko se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti (podaci o ličnosti čijom se obradom otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica), ili u obradi podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, uz dodatni uslov, da se obrada navedena u ovoj tački – vrši u velikom obimu.
Rukovaoci i obrađivači koji su dužni da odrede lice za zaštitu podataka o ličnosti, ukoliko to ne učine, čine prekršaj za koji je zaprećena novčana kazna u rasponu od 5.000 do 2.000.000 dinara u zavisnosti od toga da li rukovalac, odnosno obrađivač; imaju svojstvo pravnog lica, preduzetnika ili fizičkog lica, pri čemu se za prekršaj kažnjava i odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, predstavništvu ili poslovnoj jedinici stranog pravnog lica.

Ako se obrada vrši u ime rukovaoca, rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, na način koji obezbeđuje da se obrada vrši u skladu sa odredbama ovog zakona i da se obezbeđuje zaštita prava lica na koje se podaci odnose.
Obrađivač može poveriti obradu drugom obrađivaču samo ako ga rukovalac za to ovlasti na osnovu opšteg ili posebnog pismenog ovlašćenja. Ako se obrada vrši na osnovu opšteg ovlašćenja, obrađivač je dužan da informiše rukovaoca o nameravanom izboru drugog obrađivača, odnosno zameni drugog obrađivača, kako bi rukovalac imao mogućnost da se suprotstavi takvoj promeni.
Obrada od strane obrađivača mora biti uređena ugovorom ili drugim pravno obavezujućim aktom, koji je zaključen, odnosno usvojen u pismenom obliku, što obuhvata i elektronski oblik, koji obavezuje obrađivača prema rukovaocu i koji uređuje predmet i trajanje obrade, prirodu i svrhu obrade, vrstu podataka o ličnosti i vrstu lica o kojima se podaci obrađuju, kao i prava i obaveze rukovaoca.

Detaljne obaveze obrađivača definisane su članom 45. Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS” br. 87/2018).

Kad se podaci o ličnosti državljana EU iznose izvan granica EU, zaštita koju pruža Opšta uredba o zaštiti podataka i dalje se primenjuje. To znači da ukoliko poslujete na tržištu EU i prenosite podatke u izvan granica EU, kao pravno lice imate obavezu da se u potpunosti pridržavate Opšte uredbe o zaštiti podataka.

Obrada podataka definisana je članom 12. Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS” br. 87/2018).

Obrada je zakonita samo ako je ispunjen jedan od sledećih uslova:

1) lice na koje se podaci o ličnosti odnose je pristalo na obradu svojih podataka o ličnosti za jednu ili više posebno određenih svrha;
2) obrada je neophodna za izvršenje ugovora zaključenog sa licem na koje se podaci odnose ili za preduzimanje radnji, na zahtev lica na koje se podaci odnose, pre zaključenja ugovora;
3) obrada je neophodna u cilju poštovanja pravnih obaveza rukovaoca;
4) obrada je neophodna u cilju zaštite životno važnih interesa lica na koje se podaci odnose ili drugog fizičkog lica;
5) obrada je neophodna u cilju obavljanja poslova u javnom interesu ili izvršenja zakonom propisanih ovlašćenja rukovaoca;
6) obrada je neophodna u cilju ostvarivanja legitimnih interesa rukovaoca ili treće strane, osim ako su nad tim interesima pretežniji interesi ili osnovna prava i slobode lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, a posebno ako je lice na koje se podaci odnose maloletno lice.
Stav 1. tačka 6) ovog člana ne primenjuje se na obradu koju vrši organ vlasti u okviru svoje nadležnosti.
Odredbe st. 1. i 2. ovog člana ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.

“Pristanak” lica na koje se podaci odnose je svako dobrovoljno, određeno, informisano i nedvosmisleno izražavanje volje tog lica, kojim to lice, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu podataka o ličnosti koji se na njega odnose.
Ako se obrada zasniva na pristanku, rukovalac mora biti u mogućnosti da predoči da je lice pristalo na obradu svojih podataka o ličnosti.
Ako se pristanak lica na koje se podaci odnose daje u okviru pismene izjave koja se odnosi i na druga pitanja, zahtev za davanje pristanka mora biti predstavljen na način kojim se izdvaja od tih drugih pitanja, u razumljivom i lako dostupnom obliku, kao i uz upotrebu jasnih i jednostavnih reči. Deo pismene izjave koji je u suprotnosti sa ovim zakonom ne proizvodi pravno dejstvo.
Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
Prilikom ocenjivanja da li je pristanak za obradu podataka o ličnosti slobodno dat, posebno se mora voditi računa o tome da li se izvršenje ugovora, uključujući i pružanje usluga, uslovljava davanjem pristanka koji nije neophodan za njegovo izvršenje.

Transparentnost je definisana članom 15. i članom 21. Zakonom o zaštiti podataka o ličnosti (“Sl. glasnik RS” br. 87/2018).
Član 15. glasi:
Podaci o ličnosti moraju:
1) se obrađivati zakonito, pošteno i transparentno u odnosu na lice na koje se podaci odnose (“zakonitost, poštenje i transparentnost”). Zakonita obrada je obrada koja se vrši u skladu sa ovim zakonom, odnosno drugim zakonom kojim se uređuje obrada;
2) se prikupljati u svrhe koje su konkretno određene, izričite, opravdane i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama (“ograničenje u odnosu na svrhu obrade”);
3) biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade (“minimizacija podataka”);
4) biti tačni i, ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve razumne mere kojima se obezbeđuje da se netačni podaci o ličnosti bez odlaganja izbrišu ili isprave (“tačnost”);
5) se čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade (“ograničenje čuvanja”);
6) se obrađivati na način koji obezbeđuje odgovarajuću zaštitu podataka o ličnosti, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih, organizacionih i kadrovskih mera (“integritet i poverljivost”).
Rukovalac je odgovoran za primenu odredaba stava 1. ovog člana i mora biti u mogućnosti da predoči njihovu primenu (“odgovornost za postupanje”).
Rukovalac je dužan da preduzme odgovarajuće mere da bi licu na koje se podaci odnose pružio sve informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona, na sažet, transparentan, razumljiv i lako dostupan način, korišćenjem jasnih i jednostavnih reči, a posebno ako se radi o informaciji koja je namenjena maloletnom licu. Te informacije pružaju se u pismenom ili drugom obliku, uključujući i elektronski oblik, ako je to pogodno. Ako lice na koje se podaci odnose to zahteva, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica nesumnjivo utvrđen.
Rukovalac je dužan da pruži pomoć licu na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona. U slučajevima iz člana 20. st. 2. i 3. ovog zakona, rukovalac ne može odbiti da postupi po zahtevu lica na koje se podaci odnose u ostvarivanju njegovih prava iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, osim ako rukovalac predoči da nije u mogućnosti da identifikuje lice.
Član 21. glasi:
Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.
Rukovalac pruža informacije iz čl. 23. i 24. ovog zakona, odnosno informacije u vezi sa ostvarivanjem prava iz člana 26, čl. 29. do 31, člana 33, čl. 36. do 38. i člana 53. ovog zakona bez naknade. Ako je zahtev lica na koje se podaci odnose očigledno neosnovan ili preteran, a posebno ako se isti zahtev učestalo ponavlja, rukovalac može da:
1) naplati nužne administrativne troškove pružanja informacije, odnosno postupanja po zahtevu;
2) odbije da postupi po zahtevu.
Teret dokazivanja da je zahtev očigledno neosnovan ili preteran leži na rukovaocu.
Ako rukovalac opravdano sumnja u identitet lica koje je podnelo zahtev iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. ovog zakona, rukovalac može da zahteva dostavljanje dodatnih informacija neophodnih za potvrdu identiteta lica, što ne isključuje primenu člana 20. ovog zakona.
Informacije koje se pružaju licima na koje se podaci odnose u skladu sa čl. 23. i 24. ovog zakona mogu se pružiti u kombinaciji sa standardizovanim ikonama prikazanim u elektronskom obliku kako bi se, na lako vidljiv, razumljiv i jasno uočljiv način, obezbedio svrsishodan uvid u nameravanu obradu. Mora se obezbediti da standardizovane ikone prikazane u elektronskom obliku budu čitljive na elektronskom uređaju.
Poverenik određuje informacije koje se predstavljaju standardizovanim ikonama prikazanim u elektronskom obliku i uređuje postupak za njihovo utvrđivanje.
Odredbe st. 1. do 9. ovog člana ne primenjuju se na obradu podataka koju vrše nadležni organi u posebne svrhe.

Maloletno lice koje je navršilo 15 godina može samostalno da daje pristanak za obradu podataka o svojoj ličnosti u korišćenju usluga informacionog društva.
Ako se radi o maloletnom licu koje nije navršilo 15 godina, za obradu podataka iz stava 1. ovog člana pristanak mora dati roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica.
Rukovalac mora preduzeti razumne mere u cilju utvrđivanja da li je pristanak dao roditelj koji vrši roditeljsko pravo, odnosno drugi zakonski zastupnik maloletnog lica, uzimajući u obzir dostupne tehnologije.

FIZIČKO LICE ima pravo da od strane RUKOVAOCA PODATAKA dobije potvrdu o tome da li se obrađuju podaci o ličnosti koji se odnose na fizičko lice i, ukoliko se takvi podaci o ličnosti obrađuju, pristup podacima o ličnosti i sledećim informacijama:
• svrsi obrade,
• vrstama podataka o ličnosti koji se obrađuju,
• primaocu ili vrstama primalaca kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno primaocima u drugim državama ili međunarodnim organizacijama,
• predviđenom roku čuvanja podataka o ličnosti ili, ako to nije moguće, o kriterijumima za određivanje tog roka,
• pravu da se podnese pritužba Povereniku,
• dostupne informacije o izvoru podataka o ličnosti, ako podaci o ličnosti nisu prikupljeni od lica na koje se odnose,
• postojanju postupka automatizovanog donošenja odluke, uključujući profilisanje iz člana 38. st. 1. i 4. Zakona o zaštiti podataka o ličnosti i, najmanje u tim slučajevima, svrsishodne informacije o logici koja se pri tome koristi, kao i o značaju i očekivanim posledicama te obrade po lice na koje se podaci odnose.

Lice na koje se podaci odnose ima pravo da se njegovi netačni podaci o ličnosti bez nepotrebnog odlaganja isprave. U zavisnosti od svrhe obrade, lice na koje se podaci odnose ima pravo da svoje nepotpune podatke o ličnosti dopuni, što uključuje i davanje dodatne izjave.

Lice na koje se podaci odnose ima pravo da opozove pristanak u svakom trenutku. Opoziv pristanka ne utiče na dopuštenost obrade koja je vršena na osnovu pristanka pre opoziva. Pre davanja pristanka lice na koje se podaci odnose mora biti obavešteno o pravu na opoziv, kao i dejstvu opoziva. Opozivanje pristanka mora biti jednostavno, kao i davanje pristanka.
O postojanju prava na opoziv pristanka u bilo koje vreme, kao i o tome da opoziv pristanka ne utiče na dopuštenost obrade na osnovu pristanka pre opoziva, ako se obrada vrši na osnovu člana 12. stav 1. tačka 1) ili člana 17. stav 2. tačka 1) Zakona o zaštiti podataka o ličnosti (“Sl. glasnik RS” br. 87/2018).

FIZIČKO LICE ima pravo da od strane RUKOVAOCA PODATAKA zatraži brisanje podataka o ličnosti koji se odnose na fizičko lice – bez nepotrebnog odlaganja, dok RUKOVALAC PODATAKA ima obavezu obrisati podatke o ličnosti bez nepotrebnog odlaganja u sledećim slučajevima:
• podaci o ličnosti više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani;
• lice na koje se podaci odnose je opozvalo pristanak na osnovu kojeg se obrada vršila, u skladu sa čl. 12. st. 1. tač. 1) ili čl. 17. st. 2. tač. 1) Zakona o zaštiti podataka o ličnosti, a nema drugog pravnog osnova za obradu;
• lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa čl. 37. st. 1. Zakona o zaštiti podataka o ličnosti;
• lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa čl. 37. st. 2. Zakona o zaštiti podataka o ličnosti;
• podaci o ličnosti su nezakonito obrađivani;
• podaci o ličnosti moraju biti izbrisani u cilju izvršenja zakonskih obveza rukovaoca;
• podaci o ličnosti su prikupljeni u vezi sa korišćenjem usluga informacionog društva iz čl. 16. st. 1. Zakona o zaštiti podataka o ličnosti.

FIZIČKO LICE ima pravo da od RUKOVAOCA PODATAKA zatraži da se obrada podataka o ličnosti od strane RUKOVAOCA PODATAKA ograniči, ako je ispunjen jedan od sledećih uslova:
• lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji omogućava rukovaocu proveru tačnosti podataka o ličnosti;
• obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto brisanja zahteva ograničenje upotrebe podataka;
• rukovaocu više nisu potrebni podaci o ličnosti za ostvarivanje svrhe obrade, ali ih je lice na koje se podaci odnose zatražilo u cilju podnošenja, ostvarivanja ili odbrane pravnog zahteva;
• lice na koje se podaci odnose je podnelo prigovor na obradu u skladu sa čl. 37. st. 1. Zakona o zaštiti podataka o ličnosti, a u toku je procenjivanje da li pravni osnov za obradu od strane rukovaoca preteže nad interesima tog lica.

Ako smatra da je to opravdano u odnosu na posebnu situaciju u kojoj se nalazi, FIZIČKO LICE na koje se podaci odnose ima pravo da u svakom trenutku podnese RUKOVAOCU PODATAKA prigovor na obradu podataka, uključujući i profilisanje koje se zasniva na tim odredbama i to u sledećim slučajevima:
• U skladu s čl. 12. st. 1. tač. 5) i 6) Zakona o zaštiti podataka o ličnosti, uključujući i profilisanje koje se zasniva na tim odredbama, rukovalac je dužan da prekine sa obradom podataka o licu koje je podnelo prigovor, osim ako je predočio da postoje zakonski razlozi za obradu koji pretežu nad interesima, pravima ili slobodama lica na koji se podaci odnose ili su u vezi sa podnošenjem, ostvarivanjem ili odbranom pravnog zahteva.
• Lice na koje se podaci odnose ima pravo da u svakom trenutku podnese prigovor na obradu svojih podataka o ličnosti koji se obrađuju za potrebe digitalnog oglašavanja, uključujući i profilisanje, u meri u kojoj je ono povezano sa direktnim oglašavanjem.
• Ako lice na koje se podaci odnose podnese prigovor na obradu za potrebe direktnog oglašavanja, podaci o ličnosti ne mogu se dalje obrađivati u takve svrhe.
• U korišćenju usluga informacionog društva, lice na koje se podaci odnose ima pravo da podnese prigovor automatizovanim putem, u skladu sa tehničkim specifikacijama korišćenja usluga.
• Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa čl. 92. Zakona o zaštiti podataka o ličnosti, lice na koje se podaci odnose na osnovu svoje posebne situacije ima pravo da podnese prigovor na obradu svojih podataka o ličnosti, osim ako je obrada neophodna za obavljanje poslova u javnom interesu.

FIZIČKO LICE na koje se podaci odnose ima pravo da podatke o ličnosti koje je prethodno dostavilo RUKOVAOCU PODATAKA primi od njega u strukturisanom, uobičajeno korišćenom i elektronski čitljivom obliku i ima pravo da ove podatke prenese drugom RUKOVAOCU PODATAKA bez ometanja od strane rukovaoca kojem su ti podaci bili dostavljeni, ako su zajedno ispunjeni sledeći uslovi:
• Obrada je zasnovana na pristanku u skladu sa čl. 12. st. 1. tač. 1) ili čl. 17. st. 2. tač. 1) ili na osnovu ugovora, u skladu sa čl. 12. st. 1. tač. 2) Zakona o zaštiti podataka o ličnosti.
• Obrada se vrši automatizovano.
• Pravo obuhvata i pravo lica da njegovi podaci o ličnosti budu neposredno preneti drugom rukovaocu od strane rukovaoca kojem su ovi podaci prethodno dostavljeni ako je to tehnički izvodljivo.
• Ostvarivanje prava nema uticaja na primenu čl. 30. Zakona o zaštiti podataka o ličnosti. Pravo se ne može ostvariti ako je obrada nužna za izvršenje poslova od javnog interesa ili za vršenje službenih ovlašćenja rukovaoca.
• Ostvarivanje prava ne može štetno uticati na ostvarivanje prava i sloboda drugih lica.
• Odredbe čl. 36. Zakona o zaštiti podataka o ličnosti ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.

Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.
Ovo nije primenjivo ako je odluka:
1) neophodna za zaključenje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
2) zasnovana na zakonu, ako su tim zakonom propisane odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose;
3) zasnovana na izričitom pristanku lica na koje se podaci odnose.
U slučaju tačke 1) i 3) ovog rukovalac je dužan da primeni odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose, a najmanje pravo da se obezbedi učešće fizičkog lica pod kontrolom rukovaoca u donošenju odluke, pravo lica na koje se podaci odnose da izrazi svoj stav u vezi sa odlukom, kao i pravo lica na koje se podaci odnose da ospori odluku pred ovlašćenim licem rukovaoca.
Odluke se ne mogu zasnivati na posebnim vrstama podataka o ličnosti iz člana 17. stav 1. Zakona o zaštiti podataka o ličnosti, osim ako se primenjuje član 17. stav 2. tač. 1) i 5) istog Zakona i ako su obezbeđene odgovarajuće mere zaštite prava, sloboda i legitimnih interesa lica na koje se podaci odnose.
Odredbe se ne primenjuju na obradu podataka koju vrše nadležni organi u posebne svrhe.

Ako povreda podataka o ličnosti može da proizvede visok rizik po prava i slobode fizičkih lica, rukovalac je dužan da bez nepotrebnog odlaganja o povredi obavesti lice na koje se podaci odnose.
U obaveštenju fizičkih lica, rukovalac je dužan da na jasan i razumljiv način opiše prirodu povrede podataka i navede najmanje informacije iz člana 52. stav 4. tač. 2) do 4) Zakona o zaštiti podataka o ličnosti.
Rukovalac nije dužan da obavesti lice ako:
1) je preduzeo odgovarajuće tehničke, organizacione i kadrovske mere zaštite u odnosu na podatke o ličnosti čija je bezbednost povređena, a posebno ako je kriptozaštitom ili drugim merama onemogućio razumljivost podataka svim licima koja nisu ovlašćena za pristup ovim podacima;
2) je naknadno preduzeo mere kojima je obezbedio da povreda podataka o ličnosti sa visokim rizikom za prava i slobode lica na koje se podaci odnose više ne može da proizvede posledice za to lice;
3) bi obaveštavanje lica na koje se podaci odnose predstavljalo nesrazmeran utrošak vremena i sredstava. U tom slučaju, rukovalac je dužan da putem javnog obaveštavanja ili na drugi delotvoran način obezbedi pružanje obaveštenja licu na koje se podaci odnose.
Ako rukovalac nije obavestio lice na koje se podaci odnose o povredi podataka o ličnosti, Poverenik može, uzimajući u obzir mogućnost da povreda podataka proizvede visok rizik, da naloži rukovaocu da to učini ili može da utvrdi da su ispunjeni uslovi.
Ako se radi o povredi podataka o ličnosti koje obrađuju nadležni organi u posebne svrhe, rukovalac može odložiti ili ograničiti obaveštavanje lica na koje se podaci odnose, u skladu sa uslovima i na osnovu razloga iz člana 25. stav 3. ovog ) Zakona o zaštiti podataka o ličnosti.

Rukovalac je dužan da licu na koje se podaci odnose pruži informacije o postupanju na osnovu zahteva iz člana 26, čl. 29. do 31, člana 33. i čl. 36. do 38. Zakona o zaštiti podataka o ličnosti bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva. Taj rok može biti produžen za još 60 dana ako je to neophodno, uzimajući u obzir složenost i broj zahteva. O produženju roka i razlozima za to produženje rukovalac je dužan da obavesti lice na koje se podaci odnose u roku od 30 dana od dana prijema zahteva. Ako je lice na koje se podaci odnose podnelo zahtev elektronskim putem, informacija se mora pružiti elektronskim putem ako je to moguće, osim ako je to lice zahtevalo da se informacija pruži na drugi način.
Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose dužan je da o razlozima za nepostupanje obavesti to lice bez odlaganja, a najkasnije u roku od 30 dana od dana prijema zahteva, kao i o pravu na podnošenje pritužbe Povereniku, odnosno tužbe sudu.

Ako je verovatno da će neka vrsta obrade, posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade, prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac je dužan da pre nego što započne sa obradom izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti.
Ako više sličnih radnji obrade mogu prouzrokovati slične visoke rizike za zaštitu podataka o ličnosti, može se izvršiti zajednička procena.
Prilikom procene uticaja rukovalac je dužan da zatraži mišljenje lica za zaštitu podataka o ličnosti, ako je ono određeno.
Procena uticaja obavezno se vrši u slučaju:
1) sistematske i sveobuhvatne procene stanja i osobina fizičkog lica koja se vrši pomoću automatizovane obrade podataka o ličnosti, uključujući i profilisanje, na osnovu koje se donose odluke od značaja za pravni položaj pojedinca ili na sličan način značajno utiču na njega;
2) obrade posebnih vrsta podataka o ličnosti iz člana 17. stav 1. i člana 18. stav 1. ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima iz člana 19. Zakona o zaštiti podataka o ličnosti, u velikom obimu;
3) sistematskog nadzora nad javno dostupnim površinama u velikoj meri.
Poverenik je dužan da sačini i javno objavi na svojoj internet stranici listu vrsta radnji obrade za koje se mora izvršiti procena uticaja, a može da sačini i objavi i listu vrsta radnji obrade za koje procena nije potrebna.
Procena uticaja najmanje mora da sadrži:
1) sveobuhvatan opis predviđenih radnji obrade i svrhu obrade, uključujući i opis legitimnog interesa rukovaoca, ako on postoji;
2) procenu neophodnosti i srazmernosti vršenja radnji obrade u odnosu na svrhe obrade;
3) procenu rizika za prava i slobode lica na koje se podaci odnose;
4) opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi Zakona o zaštiti podataka o ličnosti, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Stav 6. ovog člana ne primenjuje se na procenu uticaja obrade koju vrše nadležni organi u posebne svrhe.
Procena uticaja obrade koju vrše nadležni organi u posebne svrhe najmanje mora da sadrži sveobuhvatan opis predviđenih radnji obrade, procenu rizika po prava i slobode lica na koje se podaci odnose, opis mera koje se nameravaju preduzeti u odnosu na postojanje rizika, uključujući mehanizme zaštite, kao i tehničke, organizacione i kadrovske mere u cilju zaštite podatka o ličnosti i obezbeđivanja dokaza o poštovanju odredbi ovog zakona, uzimajući u obzir prava i legitimne interese lica na koje se podaci odnose i drugih lica.
Primena odobrenog kodeksa postupanja iz člana 59. ovog zakona od strane rukovaoca ili obrađivača mora se uzeti u obzir prilikom procene uticaja radnji obrade na zaštitu podataka o ličnosti.
Stav 9. ovog člana ne primenjuje se na obradu koju vrše nadležni organi u posebne svrhe.
Prema potrebi, rukovalac od lica na koje se podaci odnose ili njihovih predstavnika traži mišljenje o radnjama obrade koje namerava da vrši, ne dovodeći u pitanje zaštitu poslovnih ili javnih interesa ili bezbednost radnji obrade.

Ako se posebnim zakonom propisuju pojedine radnje obrade, odnosno grupe radnji obrade, a obrada se vrši u skladu sa članom 12. stav 1. tačka 3) ili tačka 5) Zakona o zaštiti podataka o ličnosti, pa je procena uticaja na zaštitu podataka o ličnosti već izvršena u okviru opšte procene uticaja prilikom donošenja Zakona o zaštiti podataka o ličnosti i tada se čl. 54. st. 1. do 9. ne primenjuje, osim ako se utvrdi da je neophodno izvršiti novu procenu.
Prema potrebi, a najmanje u slučaju kad je došlo do promene nivoa rizika u vezi sa radnjama obrade, rukovalac je dužan da preispita da li se radnje obrada vrše u skladu sa izvršenom procenom uticaja na zaštitu podataka o ličnosti.

Rukovalac i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o radnjama obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. Zakona o zaštiti podataka o ličnosti, ako se takav prenos podataka o ličnosti vrši;
6) roku posle čijeg isteka se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
7) opštem opisu mera zaštite iz člana 50. stav 1. Zakona o zaštiti podataka o ličnosti, ako je to moguće.
Odredbe se ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, rukovalac je dužan da vodi evidenciju o svim vrstama radnji obrade za koje je odgovoran, a koja sadrži informacije o:
1) imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) svrsi obrade;
3) vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti;
4) vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
5) korišćenju profilisanja, ako se profilisanje koristi;
6) vrstama prenosa podataka o ličnosti u druge države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
7) pravnom osnovu za postupak obrade, uključujući i prenos podataka o ličnosti;
8) roku čijim istekom se brišu određene vrste podataka o ličnosti, ako je takav rok određen;
9) opštem opisu mera zaštite iz člana 50. stav 1. ovog zakona, ako je to moguće.
Obrađivač i njegov predstavnik, ako je određen, dužan je da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, uključujući i naziv druge države ili međunarodne organizacije, kao i dokumente o primeni mera zaštite ako se podaci prenose u skladu sa članom 69. stav 2. ovog zakona, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. Zakona o zaštiti podataka o ličnosti, ako je to moguće.
Odredbe se ne primenjuju se ako obradu vrše nadležni organi u posebne svrhe.
Ako obradu vrše nadležni organi u posebne svrhe, svaki obrađivač je dužan da vodi evidenciju o svim vrstama radnji obrade koje se vrše u ime rukovaoca, a koja sadrži informacije o:
1) imenu i kontakt podacima svakog obrađivača i svakog rukovaoca u čije ime se obrada vrši, odnosno lica za zaštitu podataka o ličnosti, ako je ono određeno;
2) vrsti obrada koje se vrše u ime svakog rukovaoca;
3) prenosu podataka o ličnosti u druge države ili međunarodne organizacije, pod uslovom da rukovalac to izričito zahteva, uključujući i nazive države ili međunarodne organizacije, ako se takav prenos podataka o ličnosti vrši;
4) opštem opisu mera zaštite iz člana 50. stav 1. Zakona o zaštiti podataka o ličnosti, ako je to moguće.
Evidencije iz st. 1, 3, 4. i 6. člana 47. Zakona o zaštiti podataka o ličnosti, vode se u pismenom obliku, što obuhvata i elektronski oblik i čuvaju se trajno.
Rukovalac ili obrađivač, kao i njihovi predstavnici, ako su određeni, dužni su da evidencije iz čl. 47. st. 1, 3, 4. i 6. Zakona o zaštiti podataka o ličnosti učine dostupnim Povereniku, na njegov zahtev.

Odredbe se ne primenjuju na privredne subjekte i organizacije u kojima je zaposleno manje od 250 lica, osim ako:
1) obrada koju vrše može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose;
2) obrada nije povremena;
3) obrada obuhvata posebne vrste podataka o ličnosti iz člana 17. stav 1. Zakona o zaštiti podataka o ličnosti ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti iz člana 19. Zakona o zaštiti podataka o ličnosti.

U skladu sa nivoom tehnoloških dostignuća i troškovima njihove primene, prirodom, obimom, okolnostima i svrhom obrade, kao i verovatnoćom nastupanja rizika i nivoom rizika za prava i slobode fizičkih lica, rukovalac i obrađivač sprovode odgovarajuće tehničke, organizacione i kadrovske mere kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik.
Prema potrebi, mere naročito obuhvataju:
1) pseudonimizaciju i kriptozaštitu podataka o ličnosti;
2) sposobnost obezbeđivanja trajne poverljivosti, integriteta, raspoloživosti i otpornosti sistema i usluga obrade;
3) obezbeđivanje uspostavljanja ponovne raspoloživosti i pristupa podacima o ličnosti u slučaju fizičkih ili tehničkih incidenata u najkraćem roku;
4) postupak redovnog testiranja, ocenjivanja i procenjivanja delotvornosti tehničkih, organizacionih i kadrovskih mera bezbednosti obrade.
Prilikom procenjivanja odgovarajućeg nivoa bezbednosti posebno se uzimaju u obzir rizici obrade, a naročito rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneseni, pohranjeni ili obrađivani na drugi način.
Primena odobrenog kodeksa postupanja iz člana 59. Zakona o zaštiti podataka o ličnosti, odnosno izdat sertifikat iz člana 61. Zakona o zaštiti podataka o ličnosti, može se koristiti u cilju predočavanja ispunjenosti obaveza.
Rukovalac i obrađivač dužni su da preduzmu mere u cilju obezbeđivanja da svako fizičko lice koje je ovlašćeno za pristup podacima o ličnosti od strane rukovaoca ili obrađivača, obrađuje ove podatke samo po nalogu rukovaoca ili ako je na to obavezano zakonom.
Odredbe čl. 50. st. 1. do 5. ne primenjuju se na obradu koju vrše nadležni organi u posebne svrhe.

Novčanom kaznom od 50.000 do 2.000.000 dinara kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako:
1) obrađuje podatke o ličnosti suprotno načelima obrade iz člana 5. stav 1. Zakona o zaštiti podataka o ličnosti;
2) obrađuje podatke o ličnosti u druge svrhe, suprotno čl. 6. i 7. Zakona o zaštiti podataka o ličnosti;
3) jasno ne izdvoji podatke o ličnosti koji su zasnovani na činjeničnom stanju od podataka o ličnosti koji su zasnovani na ličnoj oceni (član 10 Zakona o zaštiti podataka o ličnosti);
4) ako korišćenjem razumnih mera ne obezbedi da se netačni, nepotpuni i neažurni podaci o ličnosti ne prenose, odnosno da ne budu dostupni (član 11. stav 1. Zakona o zaštiti podataka o ličnosti);
5) obrađuje podatke o ličnosti bez saglasnosti lica na koje se podaci odnose, a nije u mogućnosti da predoči da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka (član 15. stav 1. Zakona o zaštiti podataka o ličnosti);
6) obrađuje posebne vrste podataka o ličnosti suprotno čl. 17. i 18. Zakona o zaštiti podataka o ličnosti;
7) obrađuje podatke o ličnosti u vezi sa krivičnim presudama, kažnjivim delima i merama bezbednosti suprotno članu 19. stav 1. Zakona o zaštiti podataka o ličnosti;
8) licu na koje se podaci odnose ne pruži informacije iz člana 23. st. 1. do 3. i člana 24. st. 1. do 4. Zakona o zaštiti podataka o ličnosti;
9) licu na koje se podaci odnose ne stavi na raspolaganje ili ne pruži informacije iz člana 25. st. 1. i 2. Zakona o zaštiti podataka o ličnosti;
10) ne pruži tražene informacije, ne omogući pristup podacima, odnosno ako ne dostavi kopiju podataka koje obrađuje (član 26. st. 1. i 2. i član 27. Zakona o zaštiti podataka o ličnosti);
11) ograniči delimično ili u celini pravo na pristup podacima licu na koje se podaci odnose suprotno članu 28. stav 1. Zakona o zaštiti podataka o ličnosti;
12) ne ispravi netačne podatke ili ne dopuni nepotpune podatke, suprotno članu 29. Zakona o zaštiti podataka o ličnosti;
13) ne izbriše podatke lica na koje se podaci odnose bez odlaganja u slučajevima iz člana 30. stav 2. Zakona o zaštiti podataka o ličnosti;
14) ne ograniči obradu podataka o ličnosti u slučajevima iz člana 31. Zakona o zaštiti podataka o ličnosti;
15) ne izbriše podatke o ličnosti (član 32. Zakona o zaštiti podataka o ličnosti);
16) ne obavesti primaoca u vezi sa ispravkom, brisanjem i ograničenjem obrade (član 33. stav 1. Zakona o zaštiti podataka o ličnosti);
17) ne informiše lice na koje se podaci odnose o odluci o odbijanju ispravljanja, brisanja, odnosno ograničavanja obrade, kao i o razlogu za odbijanje (član 34. stav 1. Zakona o zaštiti podataka o ličnosti);
18) ne prekine sa obradom podataka nakon što je lice podnelo prigovor (član 37. stav 1. Zakona o zaštiti podataka o ličnosti);
19) se donese odluka koja proizvodi pravne posledice po lice na koje se podaci odnose isključivo na osnovu automatizovane obrade, suprotno čl. 38. i 39. Zakona o zaštiti podataka o ličnosti;
20) prilikom određivanja načina obrade, kao i u toku obrade ne preduzme odgovarajuće tehničke, organizacione i kadrovske mere, suprotno članu 42. Zakona o zaštiti podataka o ličnosti;
21) se odnos između zajedničkih rukovaoca ne uredi na način propisan članom 43. st. do 2. do 4. Zakona o zaštiti podataka o ličnosti;
22) poveri obradu podataka o ličnosti obrađivaču, suprotno članu 45. Zakona o zaštiti podataka o ličnosti;
23) se podaci obrađuju bez naloga ili suprotno nalogu rukovaoca (član 46. Zakona o zaštiti podataka o ličnosti);
24) ne obavesti Poverenika o povredi bezbednosti podataka, suprotno članu 52. Zakona o zaštiti podataka o ličnosti;
25) ne obavesti lice na koje se podaci odnose o povredi bezbednosti podataka, suprotno članu 53. Zakona o zaštiti podataka o ličnosti;
26) ne izvrši procenu uticaja na zaštitu bezbednosti podataka na način predviđen članom 54. Zakona o zaštiti podataka o ličnosti;
27) ne obavesti Poverenika, odnosno ne zatraži mišljenje Poverenika pre započinjanja radnje obrade (član 55. st. 1. i 3. Zakona o zaštiti podataka o ličnosti);
28) ne odredi lice za zaštitu podataka o ličnosti u slučajevima iz člana 56. stav 2. Zakona o zaštiti podataka o ličnosti;
29) ne izvrši svoje obaveze prema licu za zaštitu podataka o ličnosti iz člana 57. st. 1. do 3. Zakona o zaštiti podataka o ličnosti;
30) se prenos podataka o ličnosti u druge zemlje i međunarodne organizacije vrši suprotno čl. 63. do 71. Zakona o zaštiti podataka o ličnosti;
31) ne obezbedi primenu efektivnih mehanizama poverljivog prijavljivanja slučajeva povrede ovog zakona (član 80. Zakona o zaštiti podataka o ličnosti);
32) obrađuje podatke o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe suprotno članu 92. Zakona o zaštiti podataka o ličnosti.
Novčanom kaznom u iznosu od 100.000 dinara kazniće se za prekršaj rukovalac, odnosno obrađivač koji ima svojstvo pravnog lica ako:
1) ne upozna primaoca sa posebnim uslovima za obradu podataka o ličnosti propisnim zakonom i njegovom obavezom ispunjenja tih uslova (član 11. stav 5. Zakona o zaštiti podataka o ličnosti);

2) ne dostavi licu na koje se podaci odnose obrazloženu odluku, odnosno ne obavesti lice u roku iz člana 28. st. 3. i 5. Zakona o zaštiti podataka o ličnosti;
3) nastavi sa obradom u cilju direktnog oglašavanja, a lice na koje se podaci odnose je podnelo prigovor na takvu obradu (član 37. stav 3. Zakona o zaštiti podataka o ličnosti);
4) ne odredi svog predstavnika u Republici Srbiji, suprotno članu 44. Zakona o zaštiti podataka o ličnosti;
5) ne vodi propisane evidencije o obradi (član 47), ili ne beleži radnje obrade (član 48. Zakona o zaštiti podataka o ličnosti);
6) ne objavi kontakt podatke lica za zaštitu podataka o ličnosti i ne dostavi ih Povereniku (član 56. stav 11. Zakona o zaštiti podataka o ličnosti).
Novčanom kaznom od 5.000 do 150.000 dinara kazniće se za prekršaj fizičko lice koje ne čuva kao profesionalnu tajnu podatke o ličnosti koje je saznalo tokom obavljanja poslova (član 57. stav 7. i član 76. Zakona o zaštiti podataka o ličnosti).
Za prekršaj iz stava 1. ovog člana kazniće se preduzetnik novčanom kaznom od 20.000 do 500.000 dinara.
Za prekršaj kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom od 5.000 do 150.000 dinara.
Za prekršaj kazniće se preduzetnik novčanom kaznom od u iznosu od 50.000 dinara.
Za prekršaj kazniće se fizičko lice, odnosno odgovorno lice u pravnom licu, državnom organu, odnosno organu teritorijalne autonomije i jedinici lokalne samouprave, kao i odgovorno lice u predstavništvu ili poslovnoj jedinici stranog pravnog lica novčanom kaznom u iznosu od 20.000 dinara.

Kolačići su male tekstualne datoteke koje internet stranica putem internetskog pretraživača čuva na računaru ili mobilnom uređaju. Kolačići se upotrebljavaju za spremanje preferencija da bi internetske stranice efikasno radile. Koriste se i za praćenje korišćenja interneta i za izradu korisničkih profila, a zatm za prikaz prilagođenih Internet oglasa na osnovu preferencija korisnika.
Posetioce Internet stranice nije dovoljno samo informisati o upotrebi kolačića ili im samo objasniti kako ih se može isključiti, zato svaka internet stranica koja želi koristiti kolačiće, mora dobiti pristanak pre postavljanja kolačića na računaru ili mobilnom uređaju.
Internet stranice trebale bi posetiocima objasniti na koji način će se upotrebljavati podaci iz kolačića. Internet stranice moraju dati mogućnost povući svoj pristanak ukoliko se posetilac odluči na to. Internet stranica i dalje mora pružiti najmanju moguću uslugu, kao na primer omogućiti pristup delu stranice.
Pristanak nije nužan za sve kolačiće. Za kolačiće koji se koriste isključivo u svrhu prenosa poruke, nije potreban pristanak. Na primer, to uključuje kolačiće koji se koriste za „uravnoteženje opterećenja” (tj. omoguće da se zahtevi upućeni serveru dele na više uređaja, a ne samo jedan). Pristanak takođe nije potreban za kolačiće koji su neophodni za pružanje usluge koja se izričito traži. Na primer, to podrazumeva kolačiće koji se koriste kada se ispuni internet obrazac ili kada se koristi korpa prilikom kupovine na putem interneta.