Zbirke osobnih podataka

Popunjavanje evidencija o zbirkama osobnih podataka podataka te postupanje prema zahtjevu inspektora rada

Obzirom na pitanja o zbirkama osobnih podataka koje se evidentiraju u Središnjem registru Agencije za zaštitu osobnih podataka, nastavno iznosimo slijedeće:

1) Budući da se zbirka osobnih podataka radnika vodi sukladno posebnim propisima iz područja radnih odnosa (Zakon o radu, NN, br. 149/09.), ispravno je zaključiti kako voditelj takve zbirke osobnih podataka nije obvezan dostaviti prethodnu obavijest o namjeravanoj uspostavi zbirke osobnih podataka (članak 17. stavak 2. Zakona o zaštiti osobnih podataka, NN, br. 103/03., 118/06., 41/08.), dalje: ZZOP.

Obzirom na određivanje broja evidencije o zbirci osobnih podataka prilikom prvog prijavljivanja zbirke osobnih podataka, navodimo kako se radi o broju koji se određuje u Središnjem registru Agencije.

2) Dalje, ispravno je zaključiti da radnike nije potrebno posebno informirati o obradi njegovih osobnih podataka u smislu članka 9. stavak 1. ZZOP-a, budući da se informacije u vezi obrade osobnih podataka ne moraju dati ako je obrada osobnih podataka izričito određena zakonom (članak 9. stavak 4. ZZOP-a).

3) U slučaju dostave podataka radnika inspektoru rada, radi se o obvezi poslodavca sukladno članku 4. Zakona o radu, odnosno o pravu inspektora rada da u okviru svojih zakonskih ovlasti traži dostavu predmetnih podataka. Iako se u ovom slučaju radi o davanju osobnih podataka na korištenje (odredbe članka 11. ZZOP-a), treba imati na umu kako se predmetni podaci radnika dostavljaju inspektoru rada temeljem zahtjeva i uvjeta koji su određeni navedenim posebnim propisom, što razumijeva da je poslodavac (voditelj zbirke osobnih podataka) obvezan dostaviti predmetne podatke radnika inspektoru rada temeljem njegovog zahtjeva (uvjeta) iz članka 4. Zakona o radu. Stoga nije nužno da se podaci radnika inspektoru rada dostavljaju temeljem pojedinačnog pisanog naloga (zahtjeva) u smislu odredbi članka 11. ZZOP-a.

4) Dalje, kod popunjavanja evidencije o zbirci osobnih podataka u rubrici davanje podataka na korištenje, a budući da, nije moguće unaprijed znati kojim se točno korisnicima (inspektorima rada) daju predmetni podaci, navodimo da je u takvom slučaju uputno općenito naznačiti da se podaci daju inspektoru rada.

5) Obzirom na mjere zaštite osobnih podataka iz članka 18. ZZOP-a i članka 15. Uredbe o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN, br. 105/04.), navodimo kako je voditelj zbirke osobnih podataka sam dužan odrediti (propisati) ove mjere svojim internim odlukama (aktima), poštivajući propisima utvrđene standarde zaštite osobnih podataka.

 

SREDIŠNJI REGISTAR-EVIDENCIJE

 

Obveze voditelja zbirki osobnih podatka

Obveze prema Agenciji za zaštitu osobnih podataka

- uspostava, vođenje i dostava evidencija o zbirkama osobnih podataka (upute dane u rubrici Središnji registar )
- omogućavanje Agenciji pristupa spisima i drugoj dokumentaciji te sredstvima obrade osobnih podataka
- prije iznošenja osobnih podataka iz Republike Hrvatske, voditelj zbirke osobnih podataka dužan je, u slučaju kada postoji osnova za sumnju o postojanju odgovarajuće uređene zaštite osobnih podataka, pribaviti mišljenje Agencije

Obveze prema ispitanicima/građanima od kojih se prikupljaju osobni podaci

  • davanje informacija prije prikupljanja osobnih podataka:

         1) o svom identitetu

         2) o svrsi obrade

         3) o korisnicima i/ili kategorijama korisnika osobnih podataka

         4) o tome radi li se o dobrovoljnom ili obveznom davanju osobnih podataka

  • na zahtjev ispitanika/građana, odnosno njihovih zakonskih zastupnika ili punomoćnika voditelj zbirke osobnih podataka dužan je najkasnije u roku od 30 dana od podnošenja zahtjeva omogućiti ostvarivanje prava ispitanika/građana na uvid u njihove osobne podatke, odnosno dostaviti obavijesti, izvatke, potvrde i ispise u vezi osobnih podataka koji se obrađuju
  • u slučaju da voditelj zbirke osobnih podataka utvrdi da su osobni podaci nepotpuni, netočni ili neažurni, dužan ih je dopuniti, izmijeniti ili izbrisati te o tome najkasnije u roku od 30 dana izvijestiti osobu na koju se osobni podaci odnose i korisnike osobnih podataka
  • poduzimanje tehničkih, kadrovskih i organizacijskih mjera zaštite osobnih podataka kako bi se podaci zaštitili od moguće zlouporabe i utvrđivanje obveza osoba zaposlenih u obradi osobnih podataka na čuvanje povjerljivosti osobnih podataka
 

Registar službenika za zaštitu osobnih podataka

Službenik za zaštitu osobnih podataka, prema članku 2. stavka 9. Zakona o zaštiti osobnih podataka je osoba imenovana od strane voditelja zbirke osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.

Obveza voditelja zbirke osobnih podataka o imenovanju službenika za zaštitu osobnih podataka:

  • Voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka.
  • Voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.

Imenovanje službenika za zaštitu osobnih podataka mora biti u pisanom obliku.

Obveza izvješćivanja Agencije za zaštitu osobnih podataka o imenovanju službenika za zaštitu osobnih podataka

Voditelj zbirke osobnih podataka dužan je o imenovanju službenika za zaštitu osobnih podataka izvijestiti Agenciju za zaštitu osobnih podataka u roku od mjesec dana od donošenja odluke o imenovanju.

Podaci koji su potrebni za uvrštenje u Registar službenika za zaštitu osobnih podataka su:

  • Podaci o voditelju zbirke osobnih podataka:
  • Naziv i adresu sjedišta voditelja zbirke osobnih podataka
  • OIB voditelja zbirke osobnih podataka
  • Službeni kontakt podaci o službeniku za zaštitu osobnih podataka:
  • Ime i prezime službenika za zaštitu osobnih podataka,
  • Adresa i mjesto rada.
  • Broj službenog telefona
  • e-adresa službenog e-pretinca.

Obveza voditelja zbirki osobnih podataka na objavu podataka o službeniku za zaštitu osobnih podataka

Također, preporuka Agencije je da se kao službeni kontakt podaci službenika za zaštitu osobnih podataka navedu slijedeći podaci: adresa i mjesto rada službenika za zaštitu osobnih podataka, te službeni telefon i službeni e-pretinac ako postoje. Preporuka je izbjegavati navođenje osobnih podataka službenika: ime i prezime, osobni telefon, osobni e-pretinac ili druge osobne podatke.

Tko može biti imenovan službenikom za zaštitu osobnih podataka

Zakon nije propisao koje posebne uvjete u pogledu stručne spreme ili radnog mjesta treba ispunjavati službenik za zaštitu osobnih podataka, no navedene su okolnosti pod kojima osoba ne može biti imenovana službenikom za zaštitu osobnih podataka:

Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane poslodavca.

Koje su dužnosti službenika za zaštitu osobnih podataka

Dužnosti službenika za zaštitu osobnih podataka propisane su člankom 18a. stavka 8 Zakona, prema kojem službenik za zaštitu osobnih podataka:

  • vodi brigu o zakonitosti obrade osobnih podataka u smislu poštivanja odredbi ovoga Zakona i ostalih propisa koji uređuju pitanja obrade osobnih podataka,
  • upozorava voditelja zbirke osobnih podataka na nužnost primjene propisa o zaštiti osobnih podataka u slučajevima planiranja i radnji koje mogu imati utjecaj na pitanja privatnosti i zaštitu osobnih podataka,
  • upoznaje sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim obvezama u svrhu zaštite osobnih podataka,
  • brine o izvršavanju obveza iz članka 14. i 17. Zakona,
  • omogućava ostvarivanje prava ispitanika iz članka 19. i 20. Zakona,
  • surađuje s Agencijom za zaštitu osobnih podataka u vezi s provedbom nadzora nad obradom osobnih podataka.

Obrazac izvješća o imenovanju službenika za zaštitu osobnih podataka

Zakon nije propisao poseban obrazac izvješća o imenovanju službenika za zaštitu osobnih podataka. Voditelj zbirki osobnih podataka može Agenciji dostaviti Odluku o imenovanju u izvorniku, potpisanu od odgovorne osobe i potvrđenu pečatom voditelja., ako su u Odluci navedeni svi obvezni podaci o imenovanju služebnika za zaštitu osobnih podatka radi uvrštenja u registar službenika za zaštitu osobnih podataka.

Radi jednostavnijeg izvještavanja Agencije o imenovanju službenika za zaštitu osobnih podataka Agencija je sačinila obrazac koji se može preuzeti ovdje:

IZVJEŠĆE o imenovanju službenika za zaštitu osobnih podataka.pdf

Potrebno je u obrascu popuniti sve obavezne podatke (obavezni podaci označeni su zvjezdicom) i izvješće s potpisom odgovorne osobe i pečatom voditelja, u izvorniku, dostaviti na adresu sjedišta Agencije.

U slučaju pitanja ili prijedloga obratite se pisanim upitom na registar@azop.hr ili na sjedište Agencije:

Agencija za zaštitu osobnih podataka
Martićeva 14
10 000 Zagreb

 

Imenovanje službenika za zaštitu osobnih podataka

Ova Agencija zaprimila je dopis u kojem je postavljen upit da li je imenovanje jedinstvenog službenika za zaštitu osobnih podataka dostatno na razini čitave grupacije ukoliko se radi o voditeljima zbirki osobnih podataka kao pravnim osobama koje su povezana društva u smislu Zakona o trgovačkim društvima.

Obzirom na postavljeni upit, nastavno iznosimo slijedeće:

Kako proizlazi iz odredbi članka 18. Zakona o zaštiti osobnih podataka (Narodne novine, br. 103/03., 118/06., 41/08., 130/11.), dalje ZZOP, voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka, a voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.

Budući da je voditelj zbirke osobnih podataka u smislu članka 2. stavak 1. točka 4. ZZOP-a među ostalim i pravna osoba, to je svaka pravna osoba koja zapošljava više od 20 radnika dužna imenovati službenika za zaštitu osobnih podataka, što u konkretnom slučaju razumijeva da je svaka pravna osoba unutar grupacije dužna imenovati službenika za zaštitu osobnih podataka i o tome, kako proizlazi iz odredbi članka 18. a ZZOP-a obavijestiti Agenciju za zaštitu osobnih podataka.

Navodimo i kako se iz odredbi članka 18. ZZOP-a razumijeva da je službenik za zaštitu osobnih podataka zaposlenik voditelja zbirke, koji ne može biti imenovan ukoliko se protiv njega vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, ukoliko je protiv njega izrečena mjera povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane poslodavca.

Naposljetku navodimo kako je uputno da se kao službenik za zaštitu osobnih podatka imenuje osoba koja poznaje odredbe propisa kojima se uređuje područje zaštite osobnih podataka i koja će biti u stanju brinuti se o izvršavanju obveza voditelja zbirki osobnih podatka kao i omogućavanju ostvarivanja prava ispitanika na zaštitu osobnih podataka koje prikuplja i obrađuje voditelj zbirke.

 

Središnji registar

Agencija za zaštitu osobnih podataka uspostavila je Središnji registar evidencija zbirki osobnih podataka sukladno odredbama članka 16. Zakona o zaštiti osobnih podataka i Uredbi o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN 105/2004).

POZIVAMO SVE VODITELJE ZBIRKI OSOBNIH PODATAKA IZ ČLANKA 3. STAVAK 1. ZAKONA, DA DOSTAVE EVIDENCIJE O ZBIRKAMA OSOBNIH PODATAKA KOJE VODE.

Voditeljima zbirki omogućen je direktan unos podataka u Središnji registar o uspostavi, izmjenama i dopunama evidencija o zbirkama osobnih podataka koje vode.

Za direktan unos podataka u Središnji registar voditelji zbirki osobnih podataka moraju se registrirati u Agenciji za zaštitu osobnih podataka. Za registraciju je potrebno na adresi http://registar.azop.hr popuniti tražene podatke, ispisati ih u dva primjerka, te jedan primjerak ovjeren pečatom i potpisom odgovorne osobe dostaviti u izvorniku Agenciji. Odmah po primitku ovjerenih podataka u Agenciji, voditelju zbirke bit će omogućen unos podataka o zbirkama osobnih podataka koje vodi. Ako je voditelj zbirke naveo e-mail adresu, obavijest o aktivaciji pristupa bit će automatski dostavljena e-mailom.

U slučaju pitanja, prijedloga ili problema u radu sa Središnjim registrom evidencija zbirki osobnih podataka obratite se pismenim upitom na registar@azop.hr ili na sjedište Agencije:

Agencija za zaštitu osobnih podataka

Martićeva 14

10000 Zagreb

Za pomoć pri radu s aplikacijom Središnjeg registra voditelji zbirki mogu se obratiti dežurnim operaterima na help-desku, radnim danom od 10 do 12 sati na broju telefona +385 1 46 090 46.

U članku 16.a Zakona o zaštiti osobnih podataka propisani su izuzeci od obvezne dostave evidencija o zbirkama osobnih podataka u Središnji registar Agencije za zbirke osobnih podataka koje se vode temeljem propisa iz područja radnog prava.

Za voditelje koji žele evidencije o zbirkama osobnih podataka dostaviti u pisanom obliku - obrazac evidencije i upute za popunjavanje obrasca preuzmite ovdje:

  Preuzmite dokumente: