ODLUKA o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka


ODLUKA o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka


Na temelju članka 35. stavka 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), članka 1. i 4. Zakona o provedbi Opće uredbe o zaštiti podataka (Narodne novine  br. 42/2018 od  09.05.2018. godine), članka 12. Statuta Agencije za zaštitu osobnih podataka ravnatelj Agencije za zaštitu osobnih podataka donosi

ODLUKU
o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka

I.

Pored slučajeva predviđenih člankom 35. stavkom 3. Opće uredbe o zaštiti podataka, uzimajući u obzir izuzetak predviđen u članku 35. stavku 10. Opće uredbe o zaštiti podataka, provedba procjene učinka na zaštitu osobnih podataka obvezna je kod obrade osobnih podataka u sljedećim slučajevima:

1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnijoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
2) Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;
3) Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu  usluga namijenjenu njima;
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama;  
5) Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;
6) Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa  mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;
8) Obrada osobnih podataka generiranih pomoću uređaja sa senzorima koji šalju podatke putem interneta ili drugim tehnologijama za prijenos informacija;
9) Obrada biometrijskih ili genetskih podataka;
10) Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora;
11) Obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja pojedinca, u slučaju sustavne obrade komunikacijskih podataka (metapodaci) nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je  GSM, GPS, Wi Fi,  praćenje ili obrada podataka o lokaciji;
12) Obrada osobnih podataka korištenjem uređaja i tehnologija kod kojih incidentni događaj može ugroziti zdravlje pojedinca ili više osoba;
13) Obrada osobnih podataka u drugu/e svrhu/e od one za koju su prvobitno prikupljeni;
14) Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).

       II.

Dodatno Agencija za zaštitu osobnih podataka naglašava da postojanje popisa postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka ni na koji način ne umanjuje opću obvezu voditelja obrade da provede odgovarajuću procjenu rizika i upravljanje rizikom. Također provedba procjene učinka na zaštitu podataka ne oslobađa voditelje obrade od obveze da se pridržavaju drugih obveza Opće uredbe o zaštiti podataka ili drugih obveza sadržanih u primjenjivom zakonodavnom okviru (EU ili nacionalnom). Štoviše, navedeni popis ni u kojem slučaju nije ograničavajući ili isključiv budući da je provođenje procjene učinka na zaštitu podataka uvijek potrebno ako su ispunjeni uvjeti iz članka 35. stavka 1. Opće uredbe o zaštiti podataka.

Osim navedenog, Agencija za zaštitu osobnih podataka ukazuje i na činjenicu da je popis podložan daljnjem razvoju i može biti promijenjen sukladno dodatno uočenim ili nastalim rizicima obrade. Stoga, voditelj obrade koji predviđa jednu od gore navedenih vrsta obrade dužan je izvršiti procjenu učinka na zaštitu podataka prije obrade. Međutim, to ne mora nužno značiti i obvezu provedbe prethodnog savjetovanja. Ukoliko se rizik može adekvatno smanjiti odgovarajućim tehničkim i organizacijskim mjerama, tada nije nužno provođenje prethodnog savjetovanja.

KLASA: 004-04/18-01/01
URBROJ: 567-01/01-18-01
Zagreb, 25. svibnja 2018.
 

 
  Natrag