Opća uredba o zaštiti podataka (eng. GDPR) (Uredba EU 2016/679) Pripremile: Ivana Žiljak, Petra Papić,AZOP
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Opća uredba o zaštitipodataka (eng. GDPR)
(Uredba EU 2016/679)
Pripremile: Ivana Žiljak, Petra Papić,AZOP
Zaštita osobnih podataka - Ustavna kategorija
Zaštita osobnih podataka - čl. 37. Ustava RH:
oSvakom se jamči sigurnost i tajnost osobnihpodataka
oZabranjena je uporaba osobnih podataka suprotnautvrđenoj svrsi njihova prikupljanja
Nacionalno zakonodavstvo
Do 25. svibnja 2018.
• Zakon o zaštiti osobnih podataka (NN 106/12 – pročišćeni tekst)• Kao podzakonski akti u području zaštite osobnih podataka u RH u primjeni su:
Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN 105/04)
Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04)
Nakon 25. svibnja 2018.
• Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18)
Novi propisi o zaštiti osobnih podataka
• UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆAod 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ - Opća uredba o zaštiti podataka
• DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP
Opća uredba o zaštiti podataka - GDPR
Primjenjuje se od: 25.05.2018.
Primjena izravno u svim državama članicama
U cijelosti obvezujuća
Materijalno područje primjene
Automatizirana i neautomatizirana obrada OP
Ne primjenjuje se na:
nacionalnu sigurnost, zajedničku vanjsku i sigurnosnu politiku EU, u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih
djela, aktivnosti fizičke osobe za vlastite potrebe
Teritorijalno područje primjene
obrada osobnih podataka u okviru aktivnosti poslovnog nastana voditelja ili izvršitelja obrade, neovisno obavlja li se obrada u EU ili izvan nje
odnosi se i na aktivnosti voditelja ili izvršitelj obrade bez poslovnog nastana u EU (ponuda robe ili usluga ispitanicima u EU ili praćenje njihovog ponašanja)
Definicije – članak 4.
• Osobni podatak - podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi izravno ili neizravno (ime i prezime, identifikacijski broj, podaci o lokaciji i sl.)
• Obrada – svaki postupak koji se obavlja na osobnim podacima (automatiziranim/neautomatiziranim sredstvima) npr. prikupljanje, bilježenje, pohrana, obavljanje uvida, uporaba, prijenos, brisanje i sl.
• Voditelj obrade – fizička ili pravna osoba koja određuje svrhe i sredstva obrade
• Sustav pohrane – strukturirani skup (zbirka osobnih podataka)
Načela – članak 5.
• Zakonito, pošteno i transparentno obrađivani
• Prikupljeni u posebne, izričite i zakonite svrhe (“ograničavanjesvrhe”)
• Primjereni, relevantni i ograničeni na ono što je nužno u odnosu nasvrhe (“smanjenje količine podataka”)
• Točni i prema potrebi ažurni (“točnost”)
• “Ograničenje pohrane”
• “Cjelovitost i povjerljivost”
Za usklađenost odgovara voditelj obrade POUZDANOST
Zakonitost obrade
• Pravni temelj obrade osobnih podataka:
Članak 6. GDPR
Isključivo u taksativno navedenim slučajevima
Pravna osnova
• privola dana za obradu osobnih podataka u jednu ili više posebnihsvrha
• nužna za izvršavanje ugovora u kojemu je ispitanik stranka ili kako bi sepoduzele radnje na zahtjev ispitanika prije sklapanja ugovora
• nužna radi poštivanja pravnih obveza voditelja obrade
• nužna kako bi se zaštitili ključni interesi ispitanika ili druge fiz. osobe
• nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanjuslužbene ovlasti voditelja obrade
• nužna za potrebe legitimnih interesa voditelja obrade ili treće strane
Privola kao pravni temelj
• Privola – dokaziva (teret dokaza na voditelju obrade)
isključiva
nedvosmislena
dobrovoljna
moguće povući u svakom trenutku
Poštivanje pravnih obvezakao pravni temelj
• u smislu obveza koje voditelji obrade izvršavaju na temelju posebnih propisa
• Primjeri:
Zakon o radu, Zakon o zaštiti na radu, Zakon o elektroničkim komunikacijama, Zakon o sprječavanju pranja novca i financiranja terorizma….
LEGITIMNI INTERESkao pravni temelj
• ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća
• mogao bi postojati u slučaju relevantnoh i odgovarajućih odnosa ispitanika i voditelja obrade
• primjerice kada je ispitanik klijent voditelja obrade
• zahtijeva se pažljiva procjena, među ostalim i toga može li ispitanik u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu
• može se smatrati da postoji kod obrade provedene za potrebe izravnog marketinga
Obrada posebnih kategorija osobnih podataka
Odnose se na - rasno ili etičko podrijetlo,
- politička mišljenja,
- vjerska filozofska uvjerenja
- članstvo u sindikatu,
- genskih podataka
- biometrijskih podataka
- podaci o zdravlju
- spolna i seksualna orijentacija
• mogućnost da države članice dodatno reguliraju uvjete za obradu genetskih,biometrijskih podataka ili podataka koji se odnose na zdravlje
Prava ispitanika
• Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile:
sve informacije iz čl.13. i 14.
sve komunikacije iz čl. 15. do 22. i čl. 34.
sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu
• MOGU BITI OGRANIČENA
Prava ispitanika
• Informacije koje treba dostaviti/pružiti ispitaniku neovisno da li suprikupljeni od samog ispitanika ili nisu dobiveni od njega (članak 13. i14.)
• Pravo ispitanika na pristup (članak 15.) • Pravo na ispravak (članak 16.)• Pravo na brisanje – “pravo na zaborav” (članak 17.)• Pravo na ograničavanje obrade (članak 18.)• Pravo na prenosivost podataka (članak 20.)• Pravo na prigovor (članak 21.)• Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka
(članak 22.)
Pravo na pristup podacima
Ako se podaci obrađuju - pristup podacima i sljedećim informacijama:
• svrha obrade
• kategoriji osobnih podataka
• primateljima osobnih podataka
• razdoblju pohrane
• pravu na ispravak, brisanje, ograničenje obrade ili pravu na prigovor
• pravo na pritužbu nadzornom tijelu
• izvoru podataka
• postojanju automatiziranog donošenja odluka
PRAVO NA ISPRAVAK
• tražiti ispravak podataka
• dopuniti nepotpune podatke davanjem dodatne izjav
PRAVO NA BRISANJE• podaci više nisu nužni u odnosu na svrhu u koju su prikupljeni
• povučena/opozvana privola na kojoj se temelji obrada
• osobni podaci nezakonito obrađeni
• poštivanje pravne obveze iz prava Unije ili države članice
• prikupljeni u vezi s ponudom informacijskog društva
Pravo na ograničenje obrade
Ispitanik ima pravo tražiti od voditelja obrade ograničenjeobrade, ako:
• Osporava točnost osobnih podataka (na razdoblje provjere)
• Obrada je nezakonita i ispitanik se protivi brisanju – traži ograničavanje
• Ispitanik traži ograničavanje radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva (voditelj više ne treba osobne podatke)
• Ispitanik uložio prigovor (čl.21.)- očekujući potvrdu nadilaze li legitimni razlozi voditelja razloge ispitanika
Pravo na prenosivost
• Pravo zaprimiti podatke (koje je pružio voditelju) ustrukturiranom, običajeno upotrebljavanom i strojno čitljivomobliku
• Pravo prenijeti te podatke drugom voditelju bez ometanjavoditelja kojemu su podaci pruženi, ako:
a) ako se obrada temelji na privoli ili ugovoru i
b) ako se obrada provodi automatiziranim putem
• Ostvarivanje tog prava ne smije negativno utjecati na prava i slobode drugih
Pravo na prigovor
• ima pravo u svakom trenutku uložiti prigovor na obradu osobnih podataka koja se na njega odnose (privola i kada se podaci obrađuju za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti)
• voditelj obrade ne smije ih dalje obrađivati, osim ako:a) dokaže da postoje uvjerljivi legitimni razlozi za obradu koji
nadilaze interese, prava i slobode ispitanika ilib) radi obrane pravnih zahtjeva
Ograničenja
Zakonom se mogu ograničiti prava ispitanika i obveze koje iz toga proizlaze pod uvjetom:poštivanja temeljnih prava i sloboda predstavlja nužnu i razmjernu mjeru u demokratskom društvu
za zaštitu
MOGU BITI OGRANIČENA (nacionalna sigurnost, obrana, javnasigurnost, važni ciljevi od javnog interesa-monetarna, poreznapitanja, javno zdravstvo, neovisnost provosuđa…)
VODITELJ OBRADE
• Omogućavanje ostvarivanje prava ispitanika
• Obveza provođenja tehničkih i organizacijskih mjera
• Izvještavanje nadzornog tijela o povredi osobnih podataka
• Obavještavanje ispitanika o povredi osobnih podataka
• Imenovanje službenika za zaštitu osobnih podataka
• Procjena učinka na zaštitu osobnih podataka
• Kodeksi ponašanja, certificiranje, obvezujuća korporativna pravila…
Povjeravanje poslova obrade(IZVRŠITELJI OBRADE)
• Provođenje obrade podataka u ime voditelja obrade jedino korištenjem izvršitelja obrade koji u dovoljnoj mjeri jamči provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu s Uredbom i da se njome osigurava zaštita prava ispitanika
• Odnos se uređuje ugovorom ili drugim pravnim aktom
• Obrađuje osobne podatke prema danim uputama
• Osigurava da ovlaštene osobe u obradi podliježu povjerljivosti
• Poduzima sve potrebne mjere zaštite za sigurnost obrade
• Pomaže voditelju obrade u osiguranju usklađenosti, daje potrebneinformacije za dokazivanje usklađenosti i poštivanja obveza…
Procjena učinka na zaštitu osobnih podataka
• Ako je vjerojatno da će neke vrste obrade prouzročiti visokirizik na prava i slobode pojedinaca
• Obvezna u sljedećim slučajevima:
• sustavne i opsežne procjene osobnih aspekta pojedinaca koji se temelji na automatiziranoj obradi, uključujući izradu profila, a odluke proizvode pravne učinke ili na sličan način značajnoutječu na njega
• opsežne obrade posebnih kategorija osobnih podataka
• sustavnog praćenja javno dostupnog područja u velikoj mjeri
Procjena učinka na zaštitu osobnih podataka
• GDPR-om utvrđeno da sadrži barem:
1. Sustavan opis predviđenih postupaka obrade i svrha obrade
2. Procjenu nužnosti i proporcionalnosti
3. Mjere predviđene za rješavanje problema rizika te
za dokazivanje sukladnosti s GDPR
4. Procjena rizika za prava i slobode ispitanika
• Alat za upravljanje rizicima promatrajući situaciju iz perspektiveispitanika
• Metodologije, kriteriji za prihvatljivu procjenu učinka – Smjernice o procjeni učinka za zaštitu podataka…
Procjena učinka na zaštitu osobnih podataka
• ODLUKA o uspostavi i javnoj objavi popisa vrsta postupakaobrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka
• Donesena u skladu s člankom 35. stavkom 4. Opće uredbe o zaštiti podataka
• Dostupna na:
• http://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli
Evidencija aktivnosti obrade• voditelj obrade i izvršitelj obrade
• od 25.svibnja 2018. NEMA dostave u središnji registar
• davanje na uvid nadzornom tijelu
Poduzeće ili organizacija koja ima manje od 250 zaposlenika NE osim
• ako se radi o obradi koja će prouzročiti visok rizik za prava i slobode ispitanika
• obrada nije povremena
• obrađuju se posebne kategorije osobnih podataka
• obrađuju se osobni podaci u vezi s kaznenim djelima i osudama
Službenik za zaštitu osobnih podataka
• moraju ga imenovati voditelj obrade i izvršitelj obrade ako:1. osnovna djelatnost voditelja obrade ili izvršitelja obrade sastoji se od
opsežne obrade posebnih kategorija osobnih podataka ili osobnih podatakau vezi s kaznenim osudama i kažnjivim djelima
2. obradu provodi tijelo javne vlasti ili javno tijelo3. postupak obrade iziskuje redovito i sustavno praćenje ispitanika u velikoj
mjeri4. nalaže pravo Unije ili države članice• ne mora biti zaposlen kod voditelja zbirke osobnih podataka –ugovor o
djelu• raspolagati znanjem o pravu i zaštiti osobnih podataka sukob interesa
Službenik za zaštitu osobnih podataka
ne smije primati upute u pogledu izvršavanja zadaća
propisana zabrana razrješenja dužnosti ili kažnjavanja zbog izvršavanja zadaća
izravno odgovara najvišoj rukovodećoj razini
Obvezan tajnošću i povjerljivošću u vezi s obavljanjem svojih zadaća
Zadaće službenika za zaštitu osobnih podataka
• informiranje i savjetovanje
• praćenje poštivanja Uredbe
• podizanje svijesti i osposobljanje osoblja o zaštiti osobnih podataka
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka
• suradnja i savjetovanje s nadzornim tijelom
• vodi računa o riziku povezanom s postupcima obrade
Obveze voditelja obrade i izvršitelja obrade
• provoditi organizacijske i tehničke mjere zaštite osobnih podataka
• omogućiti ostvarivanje prava ispitanika
• izvješćivati o povredi osobnih podataka nadzorno tijelo i ispitanika
• provoditi procjenu učinka predviđenih postupka obrade na zaštitu osobnih podataka pod određenim uvjetima
• prethodno se savjetovati sa nadzornim tijelom ako je procjena učinka na zaštitu podataka pokazalada bi obrada dovela do visokog rizika
• voditi evidencije aktivnosti obrade i imenovati službenika za zaštitu osobnih podataka
• mogućnost donošenja kodeksa ponašanja i uspostava mehanizma certificiranja
Izvješćivanje nadzornog tijela o povredi osobnih podataka
• Čl.33.
• Voditelj obrade bez nepotrebnog odgađanja i najkasnije 72 sata nakon saznanja o povredi
• Osim ako nije vjerojatno da će povreda prouzročiti rizik u odnosu na prava i sloboda pojedinca
• Izvješćivanje mora sadržavati:1. opis povrede osobnih podataka
2. ime i kontakt podatke službenika ili druge kontaktne točke
3. opis vjerojatne posljedice povrede osobnih podataka
4. opis mjere koje su poduzete ili koje se namjeravaju poduzeti (uključujući mjere za umanjenje mogućih štetnih posljedica)
Izvješćivanje ispitanika o povredi osobnih podataka
• Članak 34.
• U slučaju povrede koje će vjerojatno prouzročiti visok rizik za njihova prava
• Obavješćivanje sadrži:
1. opis povrede osobnih podataka
2. ime i kontakt podatke službenika ili druge kontaktne točke
3. opis vjerojatne posljedice povrede osobnih podataka
4. opis mjere koje su poduzete ili koje se namjeravaju poduzeti
Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama - GDPR
• Prijenosi na temelju odluke o primjerenosti - može se dogoditi kada Komisija odluči da treća zemlja ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje;
• Prijenosi koji podliježu odgovarajućim zaštitnim mjerama - mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo;
• Obvezujuća korporativna pravila
Nadzorno tijelo
• nadležno za obavljanje zadaće na državnom području države članice
• zadaće nadzornog tijela- čl.57.Uredbe
• obavljanje zadaće nadzornog tijela besplatno je za ispitanika, službenike za zaštitu osobnih podataka, novinare i tijela javne vlasti (Zakon o provedbi Opće uredbe o zaštiti podataka)
Nadzorno tijelo
Ovlasti nadzornog tijela:
• istražne,korektivne, savjetodavne-čl.58. Uredbe
• upravne novčane kazne-uz ostale korektivne mjere ili umjesto drugih korektivnih mjera ovisno o okolnostima svakog pojedinog slučaja
• kriteriji za odlučivanje o izricanju i o iznosu upravnih novčanih kazni propisani čl.83.Uredbe
Prava ispitanika-kršenje odredbi Opće uredbe za zaštitu osobnih podataka
• Prava ispitanika:
-podnijeti pritužbu nadzornom tijelu
-podnošenje pravnog lijeka protiv:
1. obvezujuće odluke nadzornog tiijela koja se odnosi na njega
2. ako nadzorno tijelo ne riješi njegovu pritužbu ili ga ne obavijesti o napretku ili ishodu pritužbe
3. voditelja obrade ili izvršitelja obrade ako smatra da su mu obradom njegovih osobnih podataka protivno Uredbi prekršena njegova prava iz Uredbe
- pravo na naknadu matrijalne ili nemarijalne štete od voditelja obrade ili izvršitelja obrade
Povreda osobnih podataka
Kršenje sigurnosti koje dovodi do slučajnog ili
nezakonitog :
• uništenja,
• gubitka,
• izmjene,
• neovlaštenog otkrivanja ili
• pristupa osobnim podacima koji su preneseni,
pohranjeni ili na drugi način obrađivani
Kazne
Ovisno o vrsti prekršaja(obvezi iz Uredbe)
• do 10 000 000 € ili 2 % ukupnog godišnjeg prometa na svjetskoj razini
• do 20 000 000 € ili 4 % ukupnog godišnjeg prometa na svjetskoj razini
Agencija za zaštitu osobnih podataka
Kontakti:
poštanska adresa:Martićeva 14, Zagreb
e-mail adresa:[email protected]
pravna pitanja:014609080 (svakim radnim danom od 13.30 do 15.30)
web:www.azop.hr
Related Documents
