Zaštita osobnih podataka u Republici Hrvatskoj te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj uređuje se UREDBOM (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016.o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ i Zakonom o provedbi Opće uredbe o zaštiti podataka (NN, br. 42/18) od 25. svibnja 2018. Nadležno tijelo za zaštitu osobnih podataka u Republici Hrvatskoj je Agencija za zaštitu osobnih podataka (AZOP).
ZAŠTITA PODATAKA NA TEMELJU OPĆE UREDBE O ZAŠTITI PODATAKA
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) predstavlja bitan napredak u području zaštite osobnih podataka.
Općom uredbom o zaštiti podataka utvrđuju se detaljni zahtjevi za pravne osobe u pogledu prikupljanja osobnih podataka, njihove pohrane te upravljanja osobnim podacima. Primjenjuju se na pravne osobe u Europskoj uniji koji obrađuju osobne podatke pojedinaca u EU te pravne osobe izvan EU koje su usmjerene na ljude koji žive u EU.
PRIMJENA OPĆE UREDBE O ZAŠTITI PODATAKA
Opća uredba o zaštiti podataka primjenjuje se ako:
- pravne osobe (voditelji obrade) obrađuju osobne podatke i imaju poslovni nastan u EU, neovisno o tome gdje se odvija sama obrada podataka
- pravne osobe (voditelji obrade) imaju poslovni nastan izvan EU, no obrađuju osobne podatke u vezi s ponudom robe ili usluga pojedincima u EU ili prate ponašanje osoba unutar EU
Voditelji obrade s poslovnim nastanom izvan EU koji obrađuju osobne podatke građana EU moraju imenovati predstavnika u EU.
IZUZETAK OD PRIMJENE OPĆE UREDBE O ZAŠTITI PODATAKA
Opća se uredba o zaštiti podataka ne primjenjuje se u sljedećim slučajevima:
- ako je ispitanik mrtav
- ako je ispitanik pravna osoba
ako obradu obavlja osoba koja djeluje u svrhe koje ne ulaze u okvir njezine stručne, poslovne ili profesionalne djelatnosti
DODATNE INFORMACIJE
ŠTO SU OSOBNI PODACI?
Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, koji se naziva ispitanik. Osobni podaci uključuju informacije kao što su:
• ime i prezime
• adresa
• broj osobne iskaznice ili putovnice
• primanja
• etnički profil
• adresa internetskog protokola (IP adresa)
• podaci u posjedu bolnice ili liječnika (koji služi kao jedinstvena identifikacijska oznaka u zdravstvene svrhe)
ŠTO NISU OSOBNI PODACI?
Osobni podaci nisu:
• matični broj pravne osobe
• osobni identifikacijski broj pravne osobe
• naziv pravne osobe
• poštanska adresa pravne osobe
• e-mail pravne osobe
• financijski podaci pravne osobe
• podaci o umrlima i sl.
POSEBNE KATEGORIJE PODATAKA
Posebne kategorije osobnih podataka jesu:
• rasno ili etničko podrijetlo
• spolna orijentacija
• politički stavovi
• vjerska ili filozofska uvjerenjima
• članstvo u sindikatu
• genetski, biometrijski ili zdravstveni podaci osim u posebnim slučajevima (npr. kada postoji izričita privola ili kad je obrada u znatnom javnom interesu, na temelju prava EU ili nacionalnog prava)
• osobni podaci povezani s kaznenim osudama i djelima osim ako to nije dopušteno pravom EU ili nacionalnim pravom
OBRADA OSOBNIH PODATAKA
Tijekom obrade osobni podaci mogu proći kroz više različitih pravnih osoba. U tom ciklusu dvije su ključne uloge u obradi osobnih podataka:
• Voditelj obrade podataka odlučuje o svrsi i načinu obrade podataka
• Izvršitelj obrade podataka čuva i obrađuje podatke u ime voditelja obrade podataka
NADZOR OSOBNIH PODATAKA KOD PRAVNE OSOBE
Službenik za zaštitu podataka kojeg prema potrebi imenuje pravna osoba (voditelj obrade) odgovoran je za nadzor na koji način se obrađuju osobni podaci kao i za informiranje i savjetovanje zaposlenika koji obrađuju osobne podatke o njihovim obvezama. Imenovani službenik ujedno surađuje s nadležnim tijelom za zaštitu podataka te je kontaktna točka za pojedince i tijelo za zaštitu podataka.
KADA JE POTREBNO IMENOVATI SLUŽBENIKA ZA ZAŠTITU PODATAKA?
Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Opće uredbe
OBRADA PODATAKA ZA DRUGU PRAVNU OSOBU
Voditelj obrade podataka može se koristiti uslugama samo onih izvršitelja obrade podataka koji pružaju odgovarajuća jamstva koja moraju biti uključena u pisani dokument između uključenih strana. Dokument mora sadržavati niz obveznih odredbi, primjerice da će izvršitelj obrade podataka osobne podatke obrađivati samo po nalogu voditelja obrade podataka.
PRIJENOS PODATAKA IZVAN EU
Kad se osobni podaci prenose izvan EU, zaštita koju pruža Opća uredba o zaštiti podataka i dalje se primjenjuje na njih. To znači da ako izvozite podatke u inozemstvo, pravna osoba mora osigurati da se pridržava jedne od sljedećih mjera:
• EU smatra da su mjere treće zemlje odgovarajuće
• Pravna osobu poduzima potrebne mjere kako bi se osigurala odgovarajuća zaštita, primjerice uključivanjem posebnih odredbi u ugovor s uvoznikom osobnih podataka iz treće zemlje
• Pravna osoba oslanja na posebne razloge prijenosa (odstupanja) kao što je privola pojedinca
KADA JE DOPUŠTENA OBRADA PODATAKA?
Pravila EU o zaštiti podataka propisuju kako bi podatke trebalo obrađivati na pošten i zakonit način za određenu i legitimnu svrhu te obrađivati samo podatke koji su neophodni za nju. Potrebno je osigurati ispunjenje jednog od sljedećih uvjeta za obradu osobnih podataka:
• imati privolu predmetnog pojedinca
• osobni su podaci potrebni za ispunjavanje ugovorne obveze prema pojedincu
• osobni su podaci potrebni kako bi ispunili zakonsku obvezu
• osobni su podaci potrebni za zaštitu životnog interesa pojedinca
• obrada osobnih podataka je u okviru zadaće od javnog interesa
• djelovanje je u ime legitimnih interesa svoje pravne osobe pod uvjetom da time nisu ozbiljno narušena temeljna prava i slobode pojedinca čiji se podaci obrađuju. Ne mogu se obrađivati osobni podaci ako prava osobe imaju prevagu nad interesima pravne osobe (voditelja obrade)
PRISTANAK NA OBRADU PODATAKA – PRIVOLA
Općom uredbom o zaštiti podataka propisuju se stroga pravila za obradu podataka utemeljena na privoli. Cilj je tih pravila osigurati da pojedinac razumije na što pristaje. To znači da privola treba biti dobrovoljna, posebna, informirana i nedvosmislena te dana na temelju zahtjeva napisanog jasnim i jednostavnim jezikom. Privola bi se trebala dati afirmativnim činom, kao što je označavanje polja na Internetu ili potpisivanje obrasca.
Kada netko pristane na obradu svojih osobnih podataka, mogu se obrađivati samo u svrhe za koje je privola dana. Ispitaniku mora biti omogućeno povlačenje privole osim u slučaju kada za to ne prostoji nadležan propis.
PRUŽANJE TRANSPARENTNIH INFORMACIJA
Ispitanicima moraju biti jasno pružene informacije o tome tko obrađuje njihove osobne podatke i zašto.
Mora biti obuhvaćeno najmanje sljedeće:
• naziv pravne osobe – voditelja obrade
• razlog obrade osobnih podataka
• koja je pravna osnova obrade
• tko će primiti podatke (ako je primjenjivo)
• kontaktni podatak službenika za zaštitu podataka, ako je primjenjivo
• na kojem se legitimnom interesu temelji obrada ako je to pravna osnova za obradu mjere koje se primjenjuju za prijenos podataka u zemlje izvan EU
• koliko dugo će podaci biti pohranjeni
• podatak o pravima pojedinca na zaštitu podataka (tj. pravo na pristup, ispravak, brisanje, ograničenje, prigovor, prenosivost itd.)
• kako se privola može povući (kad je pravna osnova za obradu privola)
• postoji li zakonska ili ugovorna obveza pružanja podataka u slučaju automatiziranog donošenja odluka, informacije o pozadini, važnosti i posljedicama odluke.
Informacije trebaju biti predstavljene jasnim i jednostavnim jezikom.
POSEBNA PRAVILA ZA DJECU
Ukoliko se prikupljaju osobni podaci djece na temelju privole, primjerice pri korištenju korisničkih računa na društvenim medijima ili stranicama za učitavanje sadržaja prvo je potrebno dobiti privolu roditelja, primjerice slanjem obavijesti roditelju ili skrbniku. Dobna granica u Republici Hrvatskoj iz zaštite podataka ostaje pri propisanoj dobi od 16 godina.
PRAVO NA PRISTUP I PRAVO NA PRENOSIVOST PODATAKA
Pravne osobe (voditelji obrade) ispitanicima moraju osigurati pravo na pristup svojim osobnim podacima bez naknade.
Ukoliko je takav zahtjev zaprimljen potrebno je:
• ispitanike informirati o obradi njihovih osobnih podataka
• ispitanike informirati o obradi (svrha obrade, vrste osobnih podataka koje se upotrebljavaju, primatelji podataka itd.)
• ispitanicima dati presliku njihovih osobnih podataka koji se obrađuju (u pristupačnom formatu)
Kad se obrada temelji na suglasnosti ili na ugovoru, pojedinac može zatražiti povrat osobnih podataka ili ih prenijeti drugoj pravnoj osobi (voditelju obrade). To se naziva pravo na prenosivost podataka. Podatke bi trebalo moći dostaviti u uobičajenom i strojno čitljivom formatu.
PRAVO NA ISPRAVAK I PRAVO NA PRIGOVOR
Ukoliko ispitanik smatra kako su njegovi osobni podaci netočni, nepotpuni ili neprecizni, ostvaruju pravo tražiti ispravak ili dopunu bez odgode. U navedenom slučaju trebalo bi sve primatelje podataka obavijestiti da su neki od osobnih podataka koji su s njima podijeljeni, izmijenjeni ili izbrisani.
Ukoliko su osobni podaci koji su podijeljeni bili netočni, potrebno je o tome obavijestiti sve koji su ih vidjeli (osim u slučaju da bi to zahtijevalo nerazmjeran napor).
Pojedinac može u bilo kojem trenutku prigovoriti obradi svojih osobnih podataka, posebno u slučaju kad ih pravna osoba obrađuje na temelju vlastitog legitimnog interesa ili kao dio zadaće od javnog interesa. Ukoliko legitimni interes pravne osobe (voditelja obrade) ne prevaguje nad interesom pojedinca treba prestati s obradom osobnih podataka.
Pojedinac može zatražiti i ograničenje obrade svojih osobnih podataka dok se utvrđuje prevaga ili legitimni interes nad njegovim. Međutim, u slučaju izravnog marketinga, uvijek je potrebno odmah prestati s obradom osobnih podataka na zahtjev pojedinca.
PRAVO NA BRISANJE („PRAVO NA ZABORAV")
PRAVO NA BRISANJE („PRAVO NA ZABORAV”)
U nekim okolnostima ispitanik može od pravne osobe (voditelja obrade podataka) zatražiti brisanje svojih osobnih podataka, primjerice ako podaci više nisu potrebni za ispunjenje svrhe obrade.
Međutim, pravna osoba (voditelj obrade) nije obvezan to učiniti u sljedećim slučajevima:
• obrada je nužna za poštovanje slobode izražavanja i informiranja
• potrebno je čuvati osobne podatke za usklađivanje s pravnom obvezom
• postoje drugi razlozi od javnog interesa za pohranu podataka, primjerice u svrhe javnog zdravlja ili u svrhe znanstvenih i povijesnih istraživanja
• moraju se pohraniti podaci radi uspostave pravnog zahtjeva
AUTOMATIZIRANO DONOŠENJE ODLUKA I IZRADA PROFILA
Ispitanici imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi. Međutim, postoje neke iznimke od tog pravila, primjerice kada su dali izričitu privolu za automatiziranu odluku. Osim u situacijama kad se automatizirana odluka temelji na zakonodavstvu, pravna osoba (voditelj obrade) mora:
• obavijestiti pojedinca o automatiziranom donošenju odluka
• dati pojedincu priliku da automatiziranu odluku provjeri osoba
• dati pojedincu mogućnost osporavanja automatizirane odluke
Primjerice, ako banka odluku o odobrenju kredita nekom pojedincu donese automatiziranim postupkom, tu bi osobu trebalo obavijestiti o automatiziranoj odluci i pružiti joj mogućnost da je ospori i traži ljudsku intervenciju.
POVREDA OSOBNIH PODATAKA – PRUŽANJE ODGOVARAJUĆE OBAVIJESTI
Do povrede osobnih podataka dolazi kad se osobni podaci za koje je pravna osoba (voditelj obrade) odgovoran slučajno ili nezakonito otkriju nedopuštenim primateljima ili su privremeno nedostupni ili izmijenjeni.
Ukoliko dođe do povrede osobnih podataka koji predstavlja rizik za osobna prava i slobode, potrebno je u roku od 72 sata nakon što je otkrivena povreda obavijestiti svoje nadležno tijelo za zaštitu podataka.
Ovisno o tome je li povreda visoko rizična za one na koje se odnosi, pravna osoba (voditelj obrade) ima obvezu obavijestiti sve pogođene osobe.
ODGOVARANJE NA ZAHTJEVE
Ukoliko pravna osoba (voditelji obrade) zaprimi zahtjev pojedinca koji želi ostvariti svoja prava, potrebno je na zahtjev odgovoriti bez nepotrebnog odgađanja i u svakom slučaju u roku od 1 mjeseca od primitka zahtjeva. Vrijeme za odgovor može se produljiti za 2 mjeseca za složene ili višestruke zahtjeve pod uvjetom da se pojedinca obavijestiti o produljenju roka. Za obradu zahtjeva ne bi trebalo naplaćivati naknade.
Ako je zahtjev odbijen, potrebno je pojedinca obavijestiti o razlozima te o pravu da podnesu pritužbu nadležnom tijelu za zaštitu podataka.
PROCJENA UČINKA
Procjena učinka na zaštitu podataka obvezna je kad planirana obrada može prouzročiti visok rizik za prava i slobode pojedinaca, primjerice pri uporabi novih tehnologija.
Visok rizik postoji u sljedećim situacijama:
• automatizirana obrada i mehanizmi izrade profila upotrebljavaju se za ocjenjivanje pojedinaca
• provodi se opsežan nadzor javno dostupnog područja (primjerice nadzornim kamerama)
• provodi se opsežna obrada osobnih podataka u vezi s kaznenim osudama i djelima (primjerice medicinski podaci)
Napomena: Tijelo za zaštitu podataka može i druge kategorije podataka smatrati visokorizičnima.
Ako se mjerama utvrđenima u procjeni učinka na zaštitu podataka ne mogu ukloniti svi utvrđeni visoki rizici, prije planirane obrade podataka treba se savjetovati s nadležnim tijelom za zaštitu podataka.
VOĐENJE EVIDENCIJE
Potrebno je moći dokazati kako pravna osoba (voditelji obrade) djeluje u skladu s Općom uredbom o zaštiti podataka i ispunjava sve primjenjive obveze, posebno na zahtjev ili prilikom inspekcije iz tijela za zaštitu podataka.
To se može postići vođenjem detaljne evidencije o:
• nazivima i podacima za kontakt pravne osobe (voditelji obrade) koja sudjeluje u obradi podataka
• razlozima za obradu osobnih podataka
• opisu kategorija osoba koje pružaju osobne podatke
• kategorijama pravnih osoba (voditelja obrade) koje primaju osobne podatke
• prijenosu osobnih podataka drugim pravnim osobama (voditeljima obrade) ili u druge zemlje
• razdoblju pohrane osobnih podataka
• opisu sigurnosnih mjera koje se upotrebljavaju pri obradi osobnih podataka
Pravna osoba (voditelji obrade) trebala bi i voditi te redovno ažurirati pisane postupke i smjernice te upoznati s njima svoje zaposlene.
Ukoliko pravna osoba (voditelji obrade) spada u SME kategoriju mikro, malog i srednjeg poduzetništva koji čine subjekti koji zapošljavaju manje od 250 radnika, nije potrebno voditi evidenciju svojih aktivnosti obrade pod sljedećim uvjetom:
• obrada se ne provodi redovito
• njome se ne utječe na prava i slobode uključenih pojedinaca
• obrada ne sadržava osjetljive podatke ili podatke iz kaznene evidencije
TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA
Tehnička zaštita podataka znači da pravna osoba (voditelji obrade) treba uzeti zaštitu podataka u obzir u ranim stadijima planiranja novih načina obrade osobnih podataka. U skladu s tim načelom, moraju se poduzeti sve potrebne tehničke i organizacijske mjere za provedbu načela zaštite podataka i zaštititi prava pojedinaca.
Integrirana zaštita podataka znači da bi osnovna postavka pravne osobe trebala biti ona kojom se najviše štiti privatnost. Primjerice, ako su moguće dvije postavke privatnosti i jedna od postavki onemogućava da osobnim podacima pristupe druge osobe, ta postavka mora biti postavljena kao osnovna.
KRŠENJE PRAVILA I KAZNE
Neusklađenost s Općom uredbom o zaštiti podataka može za određene povrede dovesti do znatnih novčanih kazni u iznosu do 20 milijuna eura ili 4 % globalnog prometa pravne osobe. Tijelo nadležno za zaštitu podataka može odrediti dodatne korektivne mjere, primjerice narediti prekid obrade osobnih podataka.
PODNOŠENJE PRITUŽBE
Ukoliko ispitanik smatra kako su mu prava na zaštitu podataka ugrožena može izravno podnijeti pritužbu nacionalnom nadležnom tijelu za zaštitu podataka – Agenciji za zaštitu podataka (AZOP) koja će istražiti pritužbu i odgovoriti u roku od tri mjeseca ili se može obratiti direktno nadležnoj pravnoj osobi (voditelju obrade) kod koje je sumnja na ugroženost.
KOLAČIĆI
Kolačići su male tekstualne datoteke koje internetska stranica putem internetskog preglednika pohranjuje na računalu ili mobilnom uređaju. Kolačići se posvuda upotrebljavaju za spremanje preferencija kako bi internetske stranice radile učinkovitije. Upotrebljavaju se i za praćenje uporabe Interneta i izradu korisničkih profila, a potom za prikaz prilagođenih internetskih oglasa na temelju preferencija korisnika.
Svaka internetska stranica koja želi upotrebljavati kolačiće mora dobiti privolu prije postavljanja kolačića na računalu ili mobilnom uređaju. Ispitanike ne smiju jednostavno obavijestiti o uporabi kolačića ili samo objasniti kako ih se može isključiti.
Internetske stranice trebale bi posjetiteljima objasniti kako će se upotrebljavati podaci iz kolačića. Moraju dati mogućnost povući svoju privolu. Ukoliko se posjetitelj odluči na to, internetska stranica i dalje mora pružiti najmanju moguću uslugu, primjerice pružiti pristup dijelu stranice.
Privola nije nužna za sve kolačiće. Za kolačiće koji se upotrebljavaju isključivo u svrhu prijenosa poruke nije potrebna privola. To na primjer uključuje kolačiće koji se koriste za „uravnoteženje opterećenja” (tj. omogućuju da se zahtjevi upućeni poslužitelju dijele na više uređaja, a ne samo jedan). Privola također nije potrebna za kolačiće koji su neophodni za pružanje usluge koju se izričito traži. To uključuje primjerice kolačiće koji se upotrebljavaju kada se ispuni internetski obrazac ili kada se koristi košaricom pri kupnji na Internetu.