Pravni okvir
Agencija za zaštitu osobnih podataka osnovana je temeljem Zakona o zaštiti osobnih podataka koji je donesen 2003. godine i kojim je po prvi puta uređeno pitanje zaštite osobnih podataka u Republici Hrvatskoj, a započela je s radom 2004. godine.
Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119. Početkom primjene Opće uredbe o zaštiti podataka i stupanjem na snagu Zakona o provedbi Opće uredbe o zaštiti podataka, 25. svibnja 2018. godine prestaje važiti Zakon o zaštiti osobnih podataka („Narodne novine“, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst).
Agencija za zaštitu osobnih podataka je samostalno i neovisno državno tijelo koje nadzire provedbu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. 04. 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (Opće uredbe o zaštiti podataka) i obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, br. 42/18) kojim se osigurava provedba Opće uredbe o zaštiti podataka.
Agencija je neovisno nadzorno tijelo i glede obrade osobnih podataka od strane nadležnih tijela u svrhu sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući i zaštitu od prijetnji javnoj sigurnosti i sprječavanje takvih prijetnji, prema odredbama Zakona o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija (NN 68/18), a kojim je u hrvatsko zakonodavstvo preuzeta Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprječavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119/89, od 4. 5. 2016).
Također, Agencija za zaštitu osobnih podataka nadzire zakonitost obrade osobnih podataka iz članka 15. Zakona o prijenosu i obradi podataka o putnicima u zračnom prometu u svrhu sprječavanja, otkrivanja, istraživanja i vođenja kaznenog postupka za kaznena djela terorizma i druga teška kaznena djela te zakonitost obrade iz članka 4. Uredbe o Hrvatskom viznom informacijskom sustavu.
Neovisnost tijela za zaštitu osobnih podataka propisuje i Konvencija za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija 108 Vijeća Europe) i Dodatni protokol uz Konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka u vezi nadzornih tijela i međunarodne razmjene podataka. Hrvatski sabor je zakonom potvrdio Konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka i Dodatni protokol uz Konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka u vezi nadzornih tijela i međunarodne razmjene podataka.
Glavni zadaci Agencije za zaštitu osobnih podataka
Učinkovito djelovanje na ispunjavanje svih prava i obaveza iz područja zaštite osobnih podataka koje se Republici Hrvatskoj nameću kao punopravnoj članici Europske unije i Vijeća Europe, povećanje odgovornosti svih sudionika u procesu obrade osobnih podataka vezano za primjenu propisa koji su obuhvaćeni zakonskim okvirom zaštite osobnih podataka u Republici Hrvatskoj uz odgovarajuću primjenu mjera informacijske sigurnosti.
Trajna zadaća Agencije
Podizanje razine svijesti dionika i svih ciljanih javnosti, o važnosti zaštite osobnih podataka i o njihovim pravima i obvezama, predlaganje mjera za stručno osposobljavanje i usavršavanje službenika za zaštitu osobnih podataka kao i ukupna provedba svih upravnih i stručnih poslova koji proizlaze iz Opće uredbe i Zakona o provedbi Opće uredbe o zaštiti podataka.
Misija
Misija Agencije za zaštitu osobnih podataka je uspješno izvršavanje nadzora nad provođenjem propisa o zaštiti osobnih podataka, te omogućavanje ostvarivanja tog prava svakom pojedincu u Republici Hrvatskoj, praćenje razvoja na tom području, te predlaganje mjera za unaprjeđenje zaštite osobnih podataka
Vizija
Agencija za zaštitu osobnih podataka ulaže napore da zaštita privatnosti (zaštita osobnih podataka) kao jedno od temeljnih ljudskih prava postane opće prihvaćeno načelo rada svih koji prikupljaju, obrađuju i prenose osobne podatke.
Nadležnost, zadaće i ovlasti Agencije
Agencija za zaštitu osobnih podataka nadležna je za obavljanje zadaća koje su joj povjerene i izvršavanje ovlasti koje su joj dodijeljene u skladu s Općom uredbom o zaštiti podataka na području Republike Hrvatske.
Zadaće Agencije sukladno članku 57. Opće uredbe o zaštiti podataka:
- prati i provodi primjenu ove Uredbe;
- promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;
- savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;
- promiče osviještenost voditelja obrade i izvršitelja obrade o njihovim obvezama iz ove Uredbe;
- na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;
- rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;
- surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;
- provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;
- prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;
- donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);
- utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;
- daje savjete o postupcima obrade iz članka 36. stavka 2.;
- potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;
- potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;
- prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;
- sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;
- provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;
- odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;
- odobrava obvezujuća korporativna pravila u skladu s člankom 43.;
- doprinosi aktivnostima Odbora;
- vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i
- ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.
Ovlasti Agencije sukladno članku 58. Opće uredbe o zaštiti podataka:
Istražne ovlasti
(a) narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;
(b) provoditi istrage u obliku revizije zaštite podataka;
(c) provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;
(d) obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;
(e) ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;
(f) ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom Republike Hrvatske.
Korektivne ovlasti
(a) izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;
(b) izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;
(c) narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;
(d) narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;
(e) narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;
(f) privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;
(g) narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;
(h) povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;
(i) izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;
(j) narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.
Ovlasti u vezi s odobravanjem te savjetodavne ovlasti:
(a) savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,
(b) na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;
(c) odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;
(d) izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;
(e) akreditirati certifikacijska tijela u skladu s člankom 43.;
(f) izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;
(g) donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);
(h) odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);
(i) odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);
(j)odobriti obvezujuća korporativna pravila u skladu s člankom 47.
Osim ovlasti utvrđenih Općom uredbom o zaštiti podataka, sukladno Zakonu o provedbi Opće uredbe, Agencija obavlja sljedeće poslove:
- kada je propisano posebnim zakonom, može pokrenuti i ima pravo sudjelovati u kaznenim, prekršajnim, upravnim i drugim sudskim i izvansudskim postupcima zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona
- donosi Kriterije za određivanje visine naknade administrativnih troškova iz članka 43. stavka 2. ovoga Zakona i Kriterije za određivanje visine naknade iz članka 43. stavka 3. ovoga Zakona
- objavljuje pojedinačne odluke sukladno člancima 18. i 48. ovoga Zakona na mrežnim stranicama Agencije
- pokreće i vodi odgovarajuće postupke protiv odgovornih osoba zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona
- obavlja poslove neovisnog nadzornog tijela za praćenje primjene Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, osim ako posebnim propisima nije drugačije određeno
- obavlja druge zakonom propisane poslove.