Važne napomene za voditelje i izvršitelje obrade


Važne napomene za voditelje i izvršitelje obrade


 

VAŽNE NAPOMENE VODITELJIMA OBRADE I IZVRŠITELJIMA OBRADE VEZANO ZA PRIMJENU OPĆE UREDBE O ZAŠTITI PODATAKA BR. 2016/679

Tko je  voditelj obrade osobnih podataka?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.

Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.

Tko je izvršitelj obrade?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom.

Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;  trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.

VAŽNO!

  • voditelj obrade NIJE U OBVEZI imati izvršitelja obrade
  • Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade
  • ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade
  • izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka
  • izvršitelj obrade dužan je provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom

S obzirom na primjenu Opće uredbe o zaštiti podataka br. 2016/679 (dalje u tekstu: Opća uredba) skrećemo pozornost na sljedeće temeljne obveze voditelja obrade i izvršitelja obrade:

 

Koji koraci moraju biti ispunjeni kako bi se voditelji obrade i izvršitelji obrade uskladili sa Općom uredbom o zaštiti podataka?

  • PRUŽANJE INFORMACIJA  ISPITANICIMA U SVRHU OSTVARIVANJA  NJIHOVIH PRAVA (čl.12. -21. Opće uredbe)
  • PROVOĐENJE ODGOVARAJUĆIH TEHNIČKIH I ORGANIZACIJSKIH MJERA ZAŠTITE  OSOBNIH PODATAKA( čl. 25. i 32. Opće uredbe)
  • VOĐENJE EVIDENCIJA AKTIVNOSTI OBRADE (čl. 30. Opće uredbe)
  • IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA (čl. 37. Opće uredbe )
  • PROCJENA UČINKA NA ZAŠTITU PODATAKA (čl. 35. Opće uredbe)
  • PRUŽANJE INFORMACIJA U SVRHU OSTVARIVANJA PRAVA ISPITANIKA

Koje informacije i na koji način voditelj obrade je dužan dati ispitaniku?

Poštujući načelo transparentnosti voditelj obrade dužan je ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).

  • Voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:

- o svom identitetu (kontakt podaci voditelja obrade)

- o službeniku za zaštitu podataka (kontakt podaci službenika)

- upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka

- o primateljima ili kategorijama primatelja osobnih podataka (primjerice: HZZO, HZMO)

- o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice EU)

- o legitimnom interesu (primjerice: slanje newslettera korisnicima usluga, praćenje rada zaposlenika putem GPS sustava ukoliko se rad obavlja izvan poslovnih prostorija poslodavca)

- o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane (primjerice: evidenciju o radnicima poslodavac čuva trajno, dok je organizator nagradne igre osobne podatke sudionika dužan brisati/uništiti nakon završetka iste-PROTEK SVRHE)

- o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade

- o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena

- o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)

- je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže (primjerice: sklapanje ugovora o radu)

- o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika (primjerice: izrada profila klijenata od strane kreditnih institucija u svrhu utvrđivanje njihove kreditne sposobnosti ili praćenje navika kupaca i izrade profila u svrhu marketinških ponuda)

Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka.

VAŽNO!

  • Izrade politika privatnosti 

U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan je detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju.

  • Potrebno usklađivanje internih akata vezanih uz radno-pravne odnose s odredbama Opće uredbe o zaštiti podataka 

Potrebno je uskladiti interne akte vezane uz radno-pravne odnose, odnosno uskladiti/odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz čl. 13. i 14. Opće uredbe).

PROVOĐENJE ODGOVARAJUĆIH TEHNIČKIH I ORGANIZACIJSKIH MJERA ZAŠTITE

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

VAŽNO (preporuka Agencije)!

  • dokumentaciju u papirnatom obliku koja sadrži osobne podatke voditelj obrade dužan je istu pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade
  • pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke
  • izrada sigurnosnih kopija od strane ovlaštenih osoba
  • potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka
  • pseudonimizacija ili enkripcija osobnih podataka, osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju)
  • bilježenje pristupa podacima

 

VOĐENJE EVIDENCIJA AKTIVNOSTI OBRADE

Tko je dužan voditi evidenciju aktivnosti obrade?

Svaki voditelj obrade ili izvršitelj obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade  za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom.

VAŽNO!

Svaki međutim neovisno o broju zaposlenika voditelj obrade/izvršitelj DUŽAN JE voditi evidenciju obrade  ukoliko je ispunjen jedan od sljedećih uvjeta:

  • ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke)
  • ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca)
  • ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci)
  • ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

 

Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika  te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.

Što je evidencija aktivnosti obrade, kako ista mora izgledati i što sve ista mora sadržavati?

Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).

  • Sadržaj evidencije aktivnosti obrade (detaljno razrađeni sadržaj):

- ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt)

- svrha obrade (detaljno objašnjena)

- opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.)

- kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije)

- prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama -rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom)

- opis tehničkih i organizacijskih mjera zaštite osobnih podataka

POSEBNA NAPOMENA!

Voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih  evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka (dosadašnji Središnji registar evidencija o zbirkama osobnih podataka), već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

 

IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA

Tko je dužan imenovati službenika za zaštitu osobnih podataka?

Voditelj obrade i izvršitelj obrade dužni su imenovati službenika za zaštitu podataka u sljedećim slučajevima ako :

  1. Obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti
  2. Osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri
  3. Osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka (članak 9. Uredbe) i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe )

VAŽNO!

  • može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik)
  • voditelj obrade može imenovati jednog službenika za zaštitu podataka pod uvjetom da je isti lako dostupan iz svakog poslovnog nastana
  • prilikom imenovanja službenika voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka)
  • voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka )
  • voditelj obrade/izvršitelj obrade dužni su objaviti kontaktne podatke službenika za zaštitu podataka i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka).

Detaljnije informacije o službeniku za zaštitu osobnih podataka pronađite nahttp://azop.hr/info-servis/detaljnije/smjernice.

 

PROCJENA UČINKA NA ZAŠTITU PODATAKA

Što je procjena učinka?

Procjena učinka na zaštitu podataka je jedan od postupaka za uspostavu i dokazivanje usklađenosti s Općom uredbom, odnosno isti je osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka.

U kojim slučajevima je potrebno provesti procjenu učinka na zaštitu podataka?

Ako je vjerojatno da će neka vrsta obrade, osobito uporabom novih tehnologija, uzimajući pri tome u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade dužan je provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:

  • Sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
  • Opsežne obrade posebnih kategorija osobnih podataka (članak 9. stavak 1. Uredbe) ili podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe )
  • Sustavno praćenje javno dostupnog područja u velikoj mjeri

PRIMJERI OBRADE KADA JE PROCJENA UČINKA NUŽNA:

  • Bolnica koja obrađuje genetske i zdravstvene podatke svojih pacijenata (bolnički informacijski sustav).

PRIMJERI OBRADE KADA PROCJENA UČINKA NIJE NUŽNA:

  • Obrada osobnih podataka pacijenata pojedinih liječnika i zdravstvenih djelatnika.

VAŽNO!

Popis vrsta postupaka obrade koji podliježu zahtjevu za procjenu učinka na zaštitu podataka, možete pronaći na Internet stranici http://azop.hr/aktualno/detaljnije/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podli.

U kojem trenutku je potrebno provesti procjenu učinka za zaštitu podataka?

Procjenu učinka na zaštitu podataka treba provesti prije obrade osobnih podataka kako bi se poštivala načela tehničke i integrirane zaštite podataka. Međutim ukoliko je postupak obrade dinamičan i podložan stalnim promjenama procjena učinka na zaštitu podataka provodi se kontinuirano, a ne jednom.

ODLUKA o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka

 
  Natrag