Svi poslovni subjekti i pojedinci koji obavljaju određenu aktivnost prikupljanja i/ili obrade osobnih podataka moraju uskladiti svoje poslovne procese s odredbama Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka, primjerice:  banke, bolnice, osiguravajuća društva, hoteli, turističke i marketinške agencije, udruge, društvene mreže.

Opća uredba primijenjuje se i na fizičke osobe kad obrađuju osobne podatke izvan okvira isključivo osobne ili kućne aktivnosti te ako je  ista povezana s profesionalnom ili komercijalnom djelatnošću (primjerice fizička osoba koja iznajmljuje apartmanski smještaj).

Tijela javne vlasti dužna su obrađivati osobne podatke u okviru odredbi Opće uredbe, osim u slučajevima kaznenopravnih aktivnosti, poput sprečavanja kaznenih djela ili progona počinitelja istih te u područjima izvan nadležnosti prava EU-a.

Svaka obrada osobnih podataka u Europskoj uniji s obzirom na djelatnosti poslovnog nastana voditelja obrade ili izvršitelja obrade (odnosno mjesto njegove središnje uprave u Europskoj uniji)  mora se obavljati u skladu s Općom uredbom o zaštiti podataka, neovisno o tome obavlja li se sama obrada u Europskoj uniji.

Opća uredba o zaštiti podataka primjenjuje na sve voditelje i izvršitelje obrade koji nude svoju robu i/ili usluge državljanima EU, pa su tako primjerice Opću uredbu o zaštiti podataka dužne poštovati i američke tehnološke kompanije koje nude usluge građanima EU i obrađuju njihove osobne podatke.

ISPITANIK je fizička osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njegov fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

OSOBNI PODACI su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Osobni podaci su primjerice:

• ime i prezime, adresa fizičke osobe, e-mail adresa, podaci o zdravlju, identifikacijska oznaka građana, podaci o plaći, ocjena đaka u školi, ponašanje, bankovni računi, porezne prijave, podaci o posudbi, mrežni identifikator (IP adresa), podaci o lokaciji, biometrički podaci (npr. otisak prsta), broj putovnice, broj osobne iskaznice i sl.

Posebne kategorije osobnih podataka:

• Osobni podaci koji se odnose na rasno ili etničko podrijetlo
• Politička stajališta
• Vjerska ili druga uvjerenja
• Sindikalno članstvo
• Osobni podaci koji se odnose na zdravlje ili spolni život
• Osobni podaci o kaznenom i prekršajnom postupku

Osobni podaci nisu:

• matični broj pravne osobe,
• naziv pravne osobe,
• poštanska adresa pravne osobe,
• e-mail pravne osobe,
• financijski podaci pravne osobe,
• podaci o umrlima i sl.

OBRADA OSOBNIH PODATAKA

Obrada obuhvaća radnje poput prikupljanja, bilježenja, uporabe, korištenja, čuvanja, obavljanja uvida, otkrivanja trećim stranama, prenošenja ili uništavanja osobnih podataka. Primjerice obradom osobnih podataka smatra se već i sama pohrana  popisa klijenata (fizičkih osoba) s njihovim imenima i prezimenima, e-mail adresama u digitalnom ili papirnatom obliku.

SUSTAV POHRANE

Svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi 

VODITELJ I IZVRŠITELJ OBRADE

Osobne podatke obrađuju voditelji i izvršitelji obrade odnosno to mogu biti fizičke ili pravne osobe, tijelo javne vlasti,  društvo, organizacija, poduzeća.

VODITELJ OBRADE je fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka.

IZVRŠITELJ OBRADE obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom s voditeljem obrade ili drugim pravnim aktom. 

Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika i/ili klijenata tj. korisnika usluga; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana. Voditelji obrade mogu biti i fizičke osobe, primjerice iznajmljivači apartmanskog smještaja. 

Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;  trgovačka društva ovlaštena za obavljanje privatne zaštite.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana.

„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade 

“pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrdit

“povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

• potrebno je regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade (ugovorom ili drugim pravnim aktom)
• u pravilu je to ugovor, koji sukladno Općoj uredbi o zaštiti podataka, mora biti sklopljen u pisanom obliku
• ugovor je bitan kako bi obje strane bile u potpunosti svjesne svojih prava, obveza i odgovornosti
• izvršitelj obrade voditelju obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka
• kako bi izvršitelj obrade mogao dokazati da obradu podataka provodi u skladu sa Općom uredbom o zaštiti podataka, dužan je provoditi odgovarajuće mjere zaštite

Napomene:

• sama činjenica da određeno društvo pruža drugom društvu uslugu ne čini ga nužno samo izvršiteljem obrade, jer to društvo može biti voditelj obrade po vlastitom pravu/obvezi, ovisno o kontroli koju ima nad postupkom obrade
• za istu obradu podataka društvo ne može biti istodobno voditelj obrade i izvršitelj obrade
• u slučaju propusta izvršitelja obrade voditelj će biti obvezan nadoknaditi štetu ispitaniku, ali u tom slučaju imat će mogućnost regresne naplate

Važno!

• voditelj obrade NIJE U OBVEZI imati izvršitelja obrade
• Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade
• ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade
• izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka
• izvršitelj obrade dužan je provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom

Pojam zajedničkih voditelja obrade odnosi se na dva ili više voditelja koja su neophodna u definiranju svrhe i načinu obrade osobnih podataka.

Ukoliko obradu nije moguće vršiti bez sudjelovanja svih “zajedničkih” voditelja, tada oni jesu zajednički voditelji, bez obzira ako i neki od njih nema pristup osobnim podacima (najvažnije je da se njihov odnos provjerava na temelju činjeničnih okolnosti njihovog odnosa).

Dakle, može se raditi o zajedničkim voditeljima obrade ukoliko dvije različite stranke određuju ili svrhu ili barem načine obrade.

Svrhe zajedničkih voditelja ne moraju uvijek biti identične, ali ako su međusobno povezane i komplementarne, tada jesu zajednički voditelji ako imaju utjecaja na donošenje odluka.

Pravne osnova za obradu bi se trebale podudarati, odnosno trebaju biti istovjetne kod zajedničkih voditelja obrade.

Primjer zajedničkih voditelja obrade

Putnička agencija šalje osobne podatke svojih klijenata aviokompaniji i hotelskom lancu radi rezervacije. Avio kompanija i hotelski lanac potvrđuju slobodna mjesta, a putnička agencija izdaje vouchere. Svaka strana radi svoje aktivnosti i obrade i svaka je samostalni voditelj obrade. No, ako se sve tri strane dogovore da će zajedno uspostaviti web stranicu za prodaju putničkih aranžmana, a pritom svi zajedno određuju skupove osobnih podataka, kako će se rezervacije odrađivati, tko će ih moći vidjeti i međusobno dijele informacije za zajedničke marketinške aktivnosti, u navedenom slučaju su zajednički voditelji obrade.

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr.  privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe npr. davanje podatka o lokaciji nestale osobe od strane teleooperatera Hrvatskoj gorskoj službi spašavanja.

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora u svrhu zaštite svoje imovine).

!!! NAPOMENA: često voditelji i izvršitelji obrade smatraju da za svaku obradu osobnih podataka trebaju privolu osobe čije podatke prikupljaju i obrađuju. No, ako obradu temeljite na nekoj od gore navedenih pravnih osnova, nije potrebno tražiti osobu (ispitanika) privolu za obradu. Primjerice, za sklapanje ugovora s teleoperaterom potrebni su Vaši osobni podaci kako biste mogli sklopiti ugovor kao što su primjerice: ime i prezime, adresa, OIB i za takvu obradu osobnih podataka nije potrebno tražiti privolu. Liječnik dentalne medicine ne treba tražiti privolu svog pacijenta za obradu podataka koji su nužni u svrhu obavljanja pregleda i liječenja jer svoju obradu temelji na zakonskom propisu.

Privola je jedan od 6 pravnih osnova za obradu i nije potrebna ako obradu temeljite na nekoj drugoj pravnoj osnovi.

Ako obrađujete posebnu kategoriju osobnih podataka , tada je osim pravnog temelja iz članka 6. Opće uredbe potrebno postojanje i iznimke od načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. Opće uredbe.

Privola mora biti dobrovoljna, posebna, informirana i nedvosmislena. „Informirana privola” znači da ispitanika morate informirati na jasan i razumljiv način, barem o sljedećem:

• identitet organizacije koja obrađuje podatke;
• svrhe u koje se obrađuju podaci;
• vrstu podataka koji se obrađuju;
• mogućnost povlačenja privole (primjer: slanjem poruke elektroničke pošte da biste povukli privolu);
• ako je primjenjivo, činjenicu da će se podaci upotrebljavati isključivo za automatizirano odlučivanje, uključujući izradu profila;
• informaciju je li privola povezana s međunarodnim prijenosom vaših podatka, mogućim rizicima prijenosa podataka u zemlje izvan EU-a ako te zemlje ne podliježu odluci Komisije o primjerenosti i ako nema odgovarajućih zaštitnih mjera.

Prema Općoj uredbi o zaštiti podataka, privola ispitanika znači svako:

• dobrovoljno,
• posebno,
• informirano
• nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Primjer: Mobilna aplikacija za uređivanje fotografija traži od korisnika aktivaciju GPS lociranja za korištenje njezinim uslugama. Aplikacija isto tako obavješćuje svoje korisnike da će se prikupljeni podaci koristiti u promidžbene svrhe. Za pružanje usluge uređivanja fotografija nije nužno ni geolociranje ni internetsko oglašavanje, te se time prelaze okviri pružanja osnovne usluge. S obzirom na to da korisnici ne mogu upotrebljavati aplikaciju bez davanja privole u te svrhe, privola se ne može smatrati dobrovoljnom.

Privola kao pravna osnova za obradu osobnih podataka radnika:

S obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te je  malo vjerojatno da će privola biti dobrovoljna. Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Zakon o zaštiti na radu, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.)

Privola radnika može biti  pravni temelj za obradu osobnih podataka koje poslodavac nije obvezan prikupljati i obrađivati sukladno posebnim propisima (primjerice: osobna fotografija radnika ili prikupljanje biometrijskih podataka kao što je otiskak prsta u svrhu evidentiranja radnog vremena).

*Više možete saznati u Smjernicama o privoli!

Vaš legitimni interes može predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade.

 Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili njegov zaposlenik.

Interesi i temeljna prava ispitanika osobito bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.

Kako bi dokazao svoj legitiman interes, prije početka same obrade, voditelj obrade bi trebao provesti test razmjernosti.

Navedeni test razmjernosti (ravnoteže) sastoji se od sedam koraka koje provodi voditelj obrade:

1. procijeniti koja bi se pravna osnova iz članka 6. Opće uredbe mogla primijeniti
2. odrediti je li interes voditelja obrade zakonit ili nezakonit
3. utvrditi je li obrada nužna za ostvarivanje interesa
4. uspostaviti privremenu ravnotežu procjenjivanjem je li interes voditelja obrade podređen temeljnim pravima ili interesima osoba čiji se podaci obrađuju (ispitanika)
5. uspostaviti konačnu ravnotežu uzimanjem u obzir dodatnih zaštitnih mjera
6. dokazati usklađenost i osigurati transparentnost
7. što učiniti ako osoba čiji se podaci obrađuju (ispitanik) ostvaruje svoje pravo na prigovor

• zakonitost, poštenost i transparentnost obrade: to znači da obrada treba biti u skladu s određenim pravnim temeljem, a načelima poštene i transparentne obrade zahtijeva se da je pojedinac informiran o postupku obrade i njegovim svrhama, te voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka, a osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila;
• ograničavanje svrhe: to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
• smanjenje količine podataka: to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost: to znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave; 
• ograničenje pohrane: to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; na dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom;
• cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost: to znači da je voditelj/izvršitelj obrade odgovoran za poštovanje načela i da je mora biti u mogućnosti dokazati usklađenost s odredbama Opće uredbe.

Osnovni koraci koje je potrebno poduzeti za usklađivanje s odredbama Opće uredbe o zaštiti podataka:

1. Pružiti informaciju ispitanicima u svrhu ostvarivanja prava ispitanika (čl 12.-21. Opće uredbe) i poštovanja načela transparetnosti i zakonite obrade (čl. 5 Opće Uredbe).

2. Voditi evidenciju aktivnosti obrade (ako je primjenjivo) (čl. 30. Opće uredbe)

3. Uskladiti interne akte vezane uz radno-pravne odnose s odredbama opće uredbe o zaštiti podataka

4. Izraditi i po potrebi ažurirati odgovarajuću dokumentaciju kojom možete dokazati usklađenost s odredbama opće uredbe-načelo pouzdanosti

5. Provoditi odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka (čl. 25. i 32. Opće uredbe)

6. Imenovati službenika za zaštitu podataka (ako je primjenjivo) (čl. 37. Opće uredbe)

7. Provesti procjenu učinka na zaštitu podataka (ako je primjenjivo) (čl. 35. Opće uredbe)

Poštujući načelo transparentnosti dužni ste ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup osobnim podacima, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i pravo na prigovor u vezi automatiziranog pojedinačnog donošenja odluka). 

Saznajte više!

• o svom identitetu (kontakt podaci voditelja obrade)
• o službeniku za zaštitu podataka (kontakt podaci službenika)
• upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka
• o primateljima ili kategorijama primatelja osobnih podataka (primjerice: HZZO, HZMO)
• o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice EU)
• o legitimnom interesu (primjerice: slanje newslettera korisnicima usluga, praćenje rada zaposlenika putem GPS sustava ukoliko se rad obavlja izvan poslovnih prostorija poslodavca)
• o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane (primjerice: evidenciju o radnicima poslodavac čuva trajno, dok je organizator nagradne igre osobne podatke sudionika dužan brisati/uništiti nakon završetka iste – PROTEK SVRHE)
• o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade
• o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena
• o pravu na podnošenje zahtjeva za utvrđivanje povrede prava nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
• je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže (primjerice: sklapanje ugovora o radu)
• o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika (primjerice: izrada profila klijenata od strane kreditnih institucija u svrhu utvrđivanje njihove kreditne sposobnosti ili praćenje navika kupaca i izrade profila u svrhu marketinških ponuda)

Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka.

Ako Vam se obrati ispitanik s prigovorom ili zahtjevom za ostvarivanje svojih prava, dužni ste na njegov upit/zahtjev odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od 30 dana. Ako ne možete  udovoljiti zahtjevu ispitanika ili ne možete to učiniti u zakonski propisanom roku od 30 dana, morate navesti valjani razlog.

Prilikom pripreme i rada na Općoj uredbi o zaštiti podataka, europski je zakonodavac zaključio kako bi, kao što je moguće prilikom promjene operatera
mobilne ili fiksne komunikacijske usluge prenijeti broj iz jedne u drugu mrežu, tako bi trebalo biti barem u nekoj mjeri moguće prenositi osobne
podatke i u drugim sektorima, a ne samo u telekomunikacijama. Tako bi korisnici trebali moći prenositi podatke među davateljima bankarskih, osiguravateljskih, zdravstvenih i drugih usluga, primjerice podatke poput liste klijenata i njihovih kontakata i podataka za plaćanje.

Primjerice, klijent osiguravajućeg društva želi prenijeti svoje podatke drugom osiguravajućem društvu i dobio personaliziranu ponudu temeljem
podataka koje je imalo prvo osiguravajuće društvo. Slično bi trebalo biti moguće i među društvenim mrežama, glazbenim i video streaming uslugama,primjerice prijenos osobne playliste ili podataka koji utječu na odabir sadržaja koji nam se nudi i
slično. Voditelji obrade, osobito velike internetske platforme, ne bi smjele biti u poziciji da korisnike vezuju za svoje usluge njihovim vlastitim osobnim podacima.

Prema čl. 20. Opće uredbe o zaštiti podataka, pravo ispitanika na prijenos podataka od jednog do drugog voditelja obrade odnosno davatelja usluge vezano je za slučajeve obrade osobnih podataka na temelju privole ili ugovora. Dodatni uvjet koji treba biti ispunjen je da je riječ o automatskoj obradi podataka. Oba uvjeta trebaju biti ispunjena kako bi ispitanik imao pravo na prenosivost osobnih podataka.

Naravno, ispitanik bi i dalje imao pravo dobiti kopiju svojih osobnih podataka, no pravo na prenosivost podataka zahtijeva da se kopija podataka dostavi u elektroničkom, strojno-čitljivom obliku kakav je u ustaljenoj, uobičajenoj upotrebi (zahtjev interoperabilnosti) te da se kopija dostavi ili samom ispitaniku ili, što je pogodnije i jednostavnije za ispitanika

Strojno čitljivi formati: 

PDF, CSV, XLS, JSON, XML

U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka a time i ostvarivanja  prava ispitanika, svako poduzeće (voditelj obrade osobnih podataka) koje u svome poslovanju obrađuje osobne podatke ispitanika (građanina/klijenta) je obvezno izraditi politiku privatnosti koja bi trebala biti javno dostupna svim ispitanicima (npr. na mrežnim stranicama). Politika privatnosti mora biti napisana na jednostavan i lako razumljiv način.

Politika privatnosti treba sadržavati

1. identitet i kontaktne podatke voditelja obrade/predstavnika voditelja obrade
2. SAMO kontakt službenika za zaštitu podataka (e-mail adresa i telefonski broj)
3. svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu
4. legitimne interese voditelja obrade ili treće strane;
5. primatelje ili kategorije primatelja osobnih podataka
6. činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji + postojanje ili nepostojanje odluke Komisije o primjerenosti, prikladne ili odgovarajuće zaštitne mjere
7. razdoblje pohrane ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
8. prava ispitanika
9. informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže
10. postojanje automatiziranog donošenja odluka/izradu te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanik

Više saznajte u Smjernicama o transparetnosti!

Ako u svom poslovanju koristite internetsku stranicu, dužni ste u politici privatnosti navesti informacije o obradi osobnih podataka putem kolačića i na stranicu implementirati obavijest o kolačićima kako bi posjetitelji Vaše stranice imali mogućnost odbiti ili prihvatiti kolačiće.

Kolačići (cookies) su male datoteke koje Internet preglednik (eng. web browser) pohranjuje na računalo, mobilni uređaj ili neki drugi uređaj kojim je korisnik posjetio neko Internet mjesto.

• Postavljanje kolačića na terminalnu opremu pojedinca i čitanje već pohranjenih informacija o pojedincu na terminalnoj opremi pojedinca smije se raditi samo uz njegovu privolu te prethodnu jasnu informaciju koji će se podaci prikupljati i u koju svrhu, a u skladu sa propisima o zaštiti osobnih podataka. Od privole su izuzeti samo kolačići koji su tehnički neophodni za odvijanje komunikacije između korisnikove terminalne opreme i Internet mjesta koje posjećuje ili pružanje usluge na Internet mjestu na zahtjev korisnika.
• Terminalna oprema predstavlja bilo koji elektronički uređaj kao što su stolno računalo, prijenosno računalo, mobilni telefon, tablet računalo ili bilo koji drugi uređaj koji se može spojiti na Internet, a ima mogućnost pohrane kolačića ili bilo koje druge metode ili tehnologije za pohranu podataka o korisniku.

Kolačići se dijele prema trajanju, prema izvoru kolačića i prema funkciji. 

Prema trajanju kolačići mogu biti:

• Stalni kolačići (spremljeni) (eng Persistent Cookies)
• Privremeni kolačići ili kolačići sesije (eng. Session Cookies

Prema izvoru kolačići mogu biti:

• Kolačići prve strane (first party cookie)
• Kolačići treće strane (third party cookie) 

Prema funkciji postoji više vrsta kolačića, a najčešće su:

• Tehnički/neophodni kolačići
• Funkcionalni kolačići
• Statistički kolačići
• Marketinški kolačići

• Postavljanje kolačića na terminalnu opremu pojedinca i čitanje već pohranjenih informacija o pojedincu na terminalnoj opremi pojedinca smije se raditi samo uz njegovu privolu te prethodnu jasnu informaciju koji će se podaci prikupljati i u koju svrhu, a u skladu sa propisima o zaštiti osobnih podataka. Od privole su izuzeti samo kolačići koji su tehnički neophodni za odvijanje komunikacije između korisnikove terminalne opreme i Internet mjesta koje posjećuje ili pružanje usluge na Internet mjestu na zahtjev korisnika.
• Na razini Europske unije, kako za kolačiće tako i za sve ostale načine prikupljanja osobnih podataka na terminalnoj opremi vrijede odredbe Direktive 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) tzv. E-privacy direktiva.
• E-privacy direktiva prenesena je u hrvatsko zakonodavstvo putem Zakona o elektroničkim komunikacijama. Nadzor nad provedbom Zakona o elektroničkim komunikacijama je u nadležnosti Hrvatske regulatorne agencije za mrežne djelatnosti. Predmetni zakon regulira, između ostalog, i pitanje pohrane podataka u terminalnoj opremi korisnika (kolačića), ali pod uvjetom pribavljanja privole i davanja jasnih obavijesti u skladu s propisima o zaštiti osobnih podataka, a privola koju korisnik daje za pohranu kolačića mora zadovoljavati uvjete koje propisuje Opća uredba o zaštiti podataka .

1. tzv. kolačići “Unos od strane korisnika” – to su sesijski kolačići prve strane koji se obično koriste za npr. praćenje korisnikovog unosa kod popunjavanja Internetskih obrazaca na nekoliko Internet stranica ili proizvoda/predmeta koje je korisnik odabrao prilikom kupovine putem Interneta, odabira jezika u kojem će biti prikazane stranice Internet mjesta, itd.
2. kolačići za autentifikaciju – to su obično sesijski kolačići koji se koriste za identificiranje korisnika nakon što se prijavi npr. na Internet mjesto za internetsko bankarstvo. Ti su kolačići potrebni kako bi se korisnicima omogućio pristup autoriziranom sadržaju, poput pregledavanja stanja njihovog računa, transakcije itd., bez potrebe autorizacije za svaku od autoriziranih opcija,
3. sigurnosni kolačići usmjereni na korisnika – kolačići koji se koriste npr. za otkrivanje ponovljenih neuspjelih pokušaja korisničke prijave na Internet mjestu ili drugi slični mehanizmi dizajnirani za zaštitu sustava za prijavu od zlouporaba,
4. kolačići sesije multimedijskog playera – kolačići koji se koriste se za pohranu tehničkih podataka potrebnih za reprodukciju videozapisa ili audio sadržaja, kao što su npr. kvaliteta slike, brzina mrežne veze i parametri međuspremnika (eng. buffer),
5. sesijski kolačići za uravnotežavanje učitavanja (eng Load balancing session cookies) – to su sesijski kolačići koji omogućuju da se ovisno o opterećenosti pojedinog Internet servera na kojima su pohranjeni sadržaji Internet mjesta kojeg korisnik posjećuje komunikacija preusmjeri na manje opterećeni server,
6. kolačići za dijeljenje korisničkog sadržaja u socijalnim mrežama putem dodataka za društvene mreže (eng. Social plug-in content sharing cookies) – to su sesijski kolačići koji omogućuju korisnicima koji su aktivno prijavljeni (eng. logged in) na neku društvenu mrežu prilikom posjete nekom Internet mjestu putem dodatka (eng. plug-in) za tu društvenu mrežu podjele sadržaj Internet mjesta s drugim korisnicima na društvenoj mreži (npr. objava članka na Facebooku).

Ovdje je bitno napomenuti da kolačići mogu biti multifunkcionalni (npr. kolačići “Unos od strane korisnika” se mogu koristiti i za praćenje proizvoda/predmeta koje je korisnik odabrao prilikom kupovine putem Interneta i za praćenje navika korisnika radi personaliziranog oglašavanja). Kako bi kolačići ostali kolačići za koje nije potrebna privola moraju imati samo jednu funkciju iz navedenih skupina kolačića. U suprotnom je i za njih potrebna privola, ako se koriste i za tu drugu funkciju za koju je potrebna privola.

Ovo su najčešći primjeri privole za kolačiće u kojima korisniku:

• nije jasnim i jednostavnim jezikom objašnjeno koji opsezi osobnih podataka će se prikupljati putem kolačića i u koju svrhu
• Korisniku nije omogućeno da sam odluči daje li pristanak na obradu svakog opsega podataka posebno već je objedinjena privola za sve opsege podataka
• privola je uvjetovana

U ovom primjeru korisniku:

• je jasnim i jednostavnim jezikom objašnjeno koji opsezi osobnih podataka će se prikupljati putem kolačića i u koju svrhu u novoj stranici na poveznici (Politika privatnosti)
• korisniku nije omogućeno da sam odluči daje li pristanak na obradu svakog opsega podataka posebno već je objedinjena privola za sve opsege podataka
• korisnika se upućuje da postavke kolačića može regulirati kroz Internet preglednik, a ne kao opcije unutar Internet mjesta
• privola je uvjetovana

U ovom primjeru korisniku:

• je jasnim i jednostavnim jezikom objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu,
• korisnik ima mogućnost dobiti detaljnije informacije kako se obrađuju osobni podaci putem kolačića na stranici Pravila o zaštiti privatnosti
• omogućeno mu je da sam odluči kroz Internet mjesto daje li pristanak na obradu svakog pojedinog opsega podataka,
• ali su unaprijed predefinirane opcije da korisnik pristaje na obradu

U ovom primjeru korisniku:

• je jasnim i jednostavnim jezikom objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu,
• korisnik ima mogućnost dobiti detaljnije informacije kako se obrađuju osobni podaci putem kolačića na stranici Pravila o zaštiti privatnosti
• omogućeno mu je da sam odluči kroz Internet mjesto daje li pristanak na obradu svakog pojedinog opsega podataka
• i nisu unaprijed predefinirane opcije da korisnik pristaje na obradu već on mora za svaki opseg osobnih podataka odabrati da daje pristanak

U ovom primjeru korisniku:

• je jasnim i jednostavnim jezikom objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu,
• korisnik ima mogućnost dobiti detaljnije informacije kako se obrađuju osobni podaci putem kolačića na stranici Pravila o zaštiti privatnosti
• omogućeno mu je da sam odluči kroz Internet mjesto daje li pristanak na obradu svakog pojedinog opsega podataka
• i nisu unaprijed predefinirane opcije da korisnik pristaje na obradu osobnih podataka putem kolačića već mora za svaki opseg osobnih podataka odabrati da daje pristanak

U ovom primjeru korisniku:

• je jasnim i jednostavnim jezikom objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu,
• korisnik ima mogućnost dobiti detaljnije informacije kako se obrađuju osobni podaci putem kolačića na stranici Pravila o zaštiti privatnosti
• omogućeno mu je da sam odluči kroz Internet mjesto daje li pristanak na obradu svakog pojedinog opsega podataka
• unaprijed su predefinirane opcije da korisnik ne pristaje na obradu osobnih podataka putem kolačića te ukoliko želi mora za svaki opseg osobnih podataka odabrati da daje pristanak

Potrebno je uskladiti interne akte vezane uz radno-pravne odnose, odnosno uskladiti/odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz čl. 13. i 14. Opće uredbe).

Agencija za zaštitu osobnih podataka  nadzor nad provedbom Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka provodi po službenoj dužnosti i pritužbi ispitanika (građana, pojedinca). 

Dokumentacija koju će ovlašteni službenici Agencije zatražiti prilikom provedbe nadzornih aktivnosti: 

• Dokument iz kojeg je vidljivo da je fizička osoba ovlaštena od strane društva za zastupanje istog pred nadzornim tijelom (primjerice: punomoć za zastupanje ili punomoć odvjetnika ,Odluka o imenovanju službenika)
• Interni akti kojima je regulirana zaštita osobnih podataka (primjerice: Pravilnik o zaštiti osobnih podataka, Politika privatnosti, Obavijest/informacije koje se pružaju ispitanicima o njihovim pravima)
• Akti iz kojih su vidljive ovlasti zaposlenika ili vanjskih suradnika (primjerice: Ugovor u radu, ako je primjenjivo ili drugi akt koji propisuje razine ovlasti kao npr. Pravilnik o ovlaštenjima)
• Izjave o povjerljivosti
• Evidencije aktivnosti obrade
• Dokumentacija odnosna na predmetni slučaj i ispitanika/e, odnosno na koji način su prikupljeni određeni podaci, temeljem koje pravne osnove i u koju točno svrhu ( primjerice: korespondencija između društva i ispitanika, dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, preslike osobnih dokumenata ukoliko su prikupljeni, dokumentacija odnosna na videonadzorni sustav (ako je isti predmet nadzora) te uvid u videozapise, logove i sl., također je potrebno omogućiti uvid u baze podataka i dr.)
• Ugovor sa Izvršiteljem obrade
• Dokumentacija odnosna na mjere zaštite (organizacijske i tehničke)

Evidencija aktivnosti obrade je obrazac koji služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).

Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je  odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom o zaštiti podataka, dok svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade.

PREPORUKA AGENCIJE! Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi niste u obvezi istu voditi jer je Evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom!

VAŽNO! Voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih  evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka (već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

• ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
• ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
• ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
• ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje  od 250 zaposlenika  te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.

Primjer: Evidencija aktivnosti obrade zaposlenika

Evidencija aktivnosti obrade služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora biti u pisanom obliku, uključujući elektronički oblik.

Svrha obrade: obračun plaće i drugih dohodaka

Kategorija ispitanika: Zaposlenici

Kategorija osobnih podataka: ime, prezime, adresa, OIB, spol, dan, mjesec, godina rođenja, prebivalište/boravište, broj tekućeg računa, stručno obrazovanje,  datum početka rada,  naznaku radi li se o  punom radnom vremenu ili nepunom radnom vremenu,  mjesto rada,  datum prestanka radnog odnosa, razlog prestanka radnog odnosa, podaci za potrebu interne komunikacije unutar tvrtke (poslovni kontakt e-mail, tel.) 

Kategorije primatelja: HZZO, HZMO, Porezna uprava, Knjigovodstveni servis (ukoliko je primjenjivo)

Razdoblje pohrane: trajno – sukladno pravnoj obvezi

Prava ispitanika: Pravo na pristup i pravo na ispravak/pravo na brisanje, ograničenje obrade, pravo da se na njih ne odnosi automatizirano donošenje odluka.

Opis tehničkih i organizacijskih sigurnosnih mjera: računalo zaštićeno lozinkom, arhivski ormar kojem pristup ima samo ovlaštena osoba, Pravilnik o pristupu podacima i dr.

Zakonitost obrade: pravne obveze temeljem Zakona o radu, Zakona o mirovinskom osiguranju, Zakona o računovodstvu

Obrazac Evidencije aktivnosti obrade za voditelje obrade
Obrazac Evidencije aktivnosti obrade za izvršitelje obrade

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade.

Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu.

 U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja da odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

Obrazac za samoprocjenu

Organizacijske mjere zaštite se odnose na interne akte odnosno dokumente kojima se propisuju mjere, odnosno uređuje područje zaštite osobnih podataka koje obrađujete.

Neki od takvih internih akata su:

• Pravilnikom o informacijskoj sigurnosti se propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu
• Pravilnicima kojima se određuje obrada osobnih podataka se propisuje tko obrađuje osobne podatke, u koju svrhu, koja je zakonitost za obradu, koji je opseg osobnih podataka koji se obrađuju, tko ima pravo pristupa i obrade osobnih podataka , koliko dugo se podaci čuvaju, tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka…)
• U ugovornim klauzulama unutar ugovora o radu mogu biti definirane zbirke osobnih podataka koje će uposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
• U ugovornim klauzulama unutar ugovora o poslovnoj suradnji definiraju se zbirke osobnih podataka koje su predmet ugovora, prava i obveze svake od ugovornih strana vezano za obradu osobnih podataka, koje tehničke mjere zaštite svaka od strana poduzima kako bi se zaštitili sustavi pohrane (baze) podataka.
• Izjavom o povjerljivosti regulira se da zaposlenik poslovnog subjekta ili vanjski suradnik daje pismenu izjavu da će osobne podatkeobrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih zlorabiti i davati neovlaštenim trećim stranama.
• Nova zakonska regulativa iz područja zaštite osobnih podataka taksativno ne propisuje obvezu osoba koje su zaposlene u obradi osobnih podataka na potpisivanje Izjave o povjerljivosti. No povjerljivost kao i odgovornost onih koji imaju pristup osobnim podacima je definirana u članku 32. stavak 4. Opće uredbe o zaštiti podataka.

Stoga je preporuka Agencije da se ista koristi kao jedna od organizacijskih mjera zaštite voditelja/izvršitelja obrade uzimajući u obzir odredbe Opće uredbe o zaštiti podataka o sigurnosti obrade (članak 25. i 32.).

• Agencija je pripremila primjer sadržaja Izjave o povjerljivosti koju voditelji/izvršitelji obrade mogu koristiti u svom svakodnevnom radu.

Obrazac izjave o povjerljivosti

VAŽNO!

Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka i ako kod svih zaposlenika nije postignuta svijest o važnosti informacijske sigurnosti i odgovornosti svakog pojedinca o zaštiti podataka sve ostale preporuke i propisane mjere zaštite neće imati puno značaja.

Stoga je od iznimne važnosti je da svi zaposlenici, bez obzira na kojoj se poslovnoj razni nalaze (“od direktora do pomoćno-tehničkog osoblja”), budu svjesni:

• koje sve osobne (a i poslovne) podatke koriste i obrađuju u svom svakodnevnom radu
• kojim kategorijama osobnih podataka ti podaci pripadaju,
• gdje se nalaze,
• koji su potencijalni rizici od krađe, zlouporabe i gubitka tih podataka,
• pomoću kojih zaštitnih mjera ih mogu zaštititi,
• koje su posljedice krađe, zlouporabe i gubitka tih podataka
• da je potrebno svakodnevno se pridržavati propisanih i preporučenih mjera zaštite

• odnose se na zaštitne mjere koje postavljate na opremu/sredstva, odnosno prostor/prostorije koji se koriste unutar poslovnog subjekta za redovno obavljanje poslovanja

Najčešća mjera tehničke zaštite je lozinka. Lozinka se koristi kao mjera zaštite od neovlaštenog pristupa:

• na radnoj opremi (računala, pametni telefoni, tablet računala, kopirke i pisači, Internet usmjerivači …)
• u računalnim programima (Programi koje koristite u poslovne svrhe, a koji obrađuju osobne podatke)
• u elektroničkoj pošti
• u datotekama s podacima (baze podataka, Excel tablice, Word dokumenti i drugi dokumenti u kojima su sadržani osobni podaci)

Za kreiranje snažnih lozinki na Internetu postoje generatori lozinki koji ih kreiraju na temelju zadanih postavki od čega se sve treba sastojati lozinka.

Tako generirane lozinke koje su nasumičan niz slova, brojki i simbola je teško upamtiti. Stoga možete pribjeći triku da za generiranje lozinke odaberete nekakvu Vama poznatu frazu ili citat. Zatim svojom logikom dodate simbole, a neka slova zamijenite brojkama ili simbolima (npr. iz fraze “Voćka poslije kiše” može nastati lozinka %V0ćk@=p0sl1j3=k1š3). Takvu lozinku je puno lakše zapamtiti nego nasumični niz slova, brojki i simbola.

Nemojte koristi istu lozinku za sve prijave već za svaki uređaj, program, uslugu ili datoteku koristite različite lozinke. Kako ne bi morali pamtiti sve te lozinke postoje programi koji na siguran način pamte lozinke za Vas (tzv. Password Manageri).

Mjere tehničke zaštite su:

1. Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici s poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.
2. Redovna nadogradnja operativnog sustava i računalnih programa
3. Postavljanje antivirusnog programa na uređaje
4. Sigurnosne kopije podataka (Backup)
5. Postavljanje vatrozida (firewalla)
6. Zaštita pristupa mrežnoj infrastrukturi
7.  Kriptiranje podataka i prijenosnih uređaja  na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
8.  Zaštita podataka pohranjenih u papirnatom obliku
9.  Fizička zaštita od nedozvoljenog pristupa
10.  Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
11.  Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
12. Pristup opremi i programima putem kartica s čipom.

• dokumentaciju u papirnatom obliku koja sadrži osobne podatke voditelj obrade dužan je istu pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade
• pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke
• izrada sigurnosnih kopija od strane ovlaštenih osoba
• potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka
• pseudonimizacija ili enkripcija osobnih podataka, osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju)
• bilježenje pristupa podacima

Kako bi svoj odnos s potrošačima/klijentima/korisnicima (ispitanicima) bazirali na povjerenju i pouzdanosti, već tijekom dizajniranja tehnologija koje će  koristiti ili nuditi korisnicima, poduzeća moraju imati na umu imati zaštitu osobnih podataka. Mjere za zaštitu privatnosti moraju se ugraditi i prije nego se sustav, proizvod ili usluga ponudi na korisnicima. Pritom primjena mjera zaštite podataka ne smije imati za posljedicu smanjenje funkcionalnosti za krajnje korisnike.

Poduzeća bi trebala provoditi tehničke i organizacijske mjere zaštite podataka u najranijim fazama osmišljavanja postupaka obrade na način da štite načela zašite privatnosti i podataka i od samog početka integrirano osiguravati da se osobni podaci obrađuju uz najviši stupanj zaštite privatnosti.

Tehnička zaštita podataka

Upotreba pseudonimizacije (zamjena osobnih podataka kojim se može utvrditi identitet osobe s umjetnim identifikatorima) i enkripcija (kodiranje osobnih podataka kako bi ih samo ovlaštene osobe mogle čitati).

Integrirana zaštita podataka

Primjer:  Društvena mreža na kojoj su postavke profila korisnika po defaultu postavljene tako da omogućavaju dostupnost korisničkog profila samo ograničenom broju ljudi.

Opća uredba o zaštiti podataka ima pristup kojim se želi poboljšati efektivnost zaštite podataka na način da se posebno nadziru rizične obrade.

Procjena učinka na zaštitu podataka je jedan od postupaka za uspostavu i dokazivanje usklađenosti s Općom uredbom, odnosno isti je osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka.

U kojim slučajevima je potrebno provesti procjenu učinka na zaštitu podataka?

Ako je vjerojatno da će neka vrsta obrade, osobito uporabom novih tehnologija, uzimajući pri tome u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade dužan je provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:

• sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
• opsežne obrade posebnih kategorija osobnih podataka (članak 9. stavak 1. Uredbe) ili podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe )
• sustavno praćenje javno dostupnog područja u velikoj mjeri

PRIMJERI OBRADE KADA JE PROCJENA UČINKA NUŽNA:

• bolnica koja obrađuje genetske i zdravstvene podatke svojih pacijenata (bolnički informacijski sustav).

PRIMJERI OBRADE KADA PROCJENA UČINKA NIJE NUŽNA:

• obrada osobnih podataka pacijenata liječnika pojedinaca i zdravstvenih djelatnika.

VAŽNO!

Popis vrsta postupaka obrade koji podliježu zahtjevu za procjenu učinka na zaštitu podataka, možete pronaći na

https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/. 

U kojem trenutku je potrebno provesti procjenu učinka za zaštitu podataka?

Procjenu učinka na zaštitu podataka treba provesti prije obrade osobnih podataka kako bi se poštivala načela tehničke i integrirane zaštite podataka. Međutim ukoliko je postupak obrade dinamičan i podložan stalnim promjenama procjena učinka na zaštitu podataka provodi se kontinuirano, a ne jednom.

Sazjnate više u Smjernicama o procjeni učinka

Obrazac/predložak za procjenu učinka

Ključnu ulogu u novom sustavu zaštite osobnih podataka ima službenik za zaštitu podataka koji će voditelj obrade i izvršitelj obrade morati imenovati kada

 (1) obradu provodi tijelo javne vlasti ili javno tijelo,

 (2) osnovna djelatnost se sastoji od postupaka obrade koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri te

(3) osnovna djelatnost sastoji se od opsežne obrade posebnih kategorija osobnih podataka ili podataka o kažnjivim djelima.

• grupa poduzetnika može imenovati zajedničkog službenika pod uvjetom da je lako dostupan iz svakog poslovnog nastana, a to uključuje i službenika za zaštitu podataka iz druge države članice EU-a uz posebne uvjete kao što su poznavanje jezika ispitanika. 
• imenovanje mora biti temeljeno na stručnim kvalifikacijama, osobito stručnog znanja o pravu i praksi iz područja zaštite osobnih podataka te sposobnostima izvršavanja zadaća.
• službenik ne mora biti zaposlenik voditelja ili izvršitelja obrade, dovoljno je da bude angažiran na temelju ugovora o djelu. Službenik za zaštitu podataka ne smije biti u sukobu interesa (npr. biti zadužen za nadzor IT sustava i s druge strane biti službenik za zaštitu podataka)
• službenik za zaštitu podataka među ostalim mora informirati i savjetovati voditelja ili izvršitelja obrade o obvezama iz područja zaštite podataka, pratiti poštivanje propisa o zaštiti podataka, sudjelovati u procjeni učinka i prethodnom savjetovanju te surađivati s nadzornim tijelom. 

Saznajte više na Službenik za zaštitu podataka

Izvješće o imenovanju službenika za zaštitu podataka – obrazac

• udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja radi preciziranja primjene Opće uredbe o zaštiti podataka, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća. U tom smislu kodeksima ponašanja može se precizirati primjena Opće uredbe o zaštiti podataka po pitanju poštenosti i transparentnosti obrade, legitimnih interesa voditelj obrade u posebnim kontekstima, prikupljanja osobnih podataka, pseudonimizacije osobnih podataka, informiranja javnosti i ispitanika, ostvarivanja prava ispitanika itd.
• sko su zadovoljeni posebni uvjeti kodeksi ponašanja mogu se koristiti i kao instrument za iznošenje osobnih podataka u treće zemlje.
• postupak odobravanja kodeksa ponašanja provodi se pred nadzornim tijelom.
• postupanje prema kodeksu ponašanja podliježe posebnom nadzoru

Sukladno članku 44. Opće uredbe o zaštiti podataka, svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju, može se odvijati jedino ako voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz poglavlja V. koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom.

Osobni podaci  mogu se prenositi u treće zemlje za koje je izdana odluka o primjerenosti (prijenosi na temelju odluke o primjerenosti). Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se odvijati kad Europska komisija donese odluku da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

Europska komisija sastavlja i javno objavljuje popis trećih koje pružaju primjerenu razinu zaštite osobnih podataka i u koje se osobni podaci mogu iznositi bez daljnjih ograničenja.: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

Pravni instrumenti na temelju kojih je moguće iznositi osobne podatke u treće zemlje taksativno su navedeni u Općoj uredbi o zaštiti podataka, a ti instrumenti su pravno obvezujući  instrumenti između javnih tijela, obvezujuća korporativna pravila, standardne ugovorne klauzule, kodeksi ponašanja, odobreni mehanizam certificiranja, ugovorne klauzule te odredbe iz administrativnih dogovora.

Iznimno, u posebnim situacijama i ako prijenosi podataka nisu redovitog tipa, moguće je prenositi osobne podatke u treće države uz privolu ispitanika ako je bio prethodno obaviješten o rizicima prijenosa, ako je prijenos nužan za sklapanje ili izvršenje ugovora sklopljenog s ispitanikom ili u njegovom interesu, ako je prijenos nužan iz važnih razloga javnog interesa ili za pravne zahtjeve, ako je nužan za zaštitu ključnih interesa ispitanika a on ne može dati svoju privolu, te ako se prijenos obavlja iz registra javnih tijela sukladno posebnim propisima.  

Vodič za obradu osobnih podataka putem videonadzora 

Obrada osobnih podataka putem videonadzora dodatno je uređena Zakonom o provedbi Opće uredbe, a može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.

Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba, a odgovorne osobe koje imaju pravo pristupa osobnim podacima ne smiju koristiti snimke suprotno svrsi u koju je postavljen videonadzor.

Kod videonadzora u stambenim zgradama suvlasnici stambene zgrade predstavljaju voditelje obrade u smislu odredbi Opće uredbe o zaštiti podataka, dok društvo s kojim je potpisan ugovor o ugradnji sustava videonadzora predstavlja izvršitelja obrade te stoga ugovor potpisan s navedenim društvom kao izvršiteljem obrade mora sadržavati sve podatke iz članka 28. stavka 3. Opće uredbe o zaštiti podataka.

U tom smislu također je važno naglasiti kako je za uspostavu videonadzora u stambenim odnosno poslovno-stambenim zgradama potrebna suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova. Videonadzor može obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničke prostorije u stambenoj zgradi.

Kontinuirano praćenje javnih površina dozvoljeno je isključivo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine. 

Dakle, fizičke osobe ne smiju kontinuirano pratiti/snimati javnu površinu (npr. putem fiksnih kamera).

Voditelj obrade ili izvršitelj obrade su dužni označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja te sadržavati jednostavnu i razumljivu sliku uz tekst kojim se ispitanicima pružaju najmanje sljedeće informacije:

• da je prostor pod videonadzorom
• podatke o voditelju obrade
• te podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.

Sukladno članku 33. Opće uredbe o zaštiti podataka, ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode ispitanika, voditelj obrade mora izvijestiti bez odgađanja nadzorno tijelo o povredi osobnih podataka (najkasnije u roku od 72 sata od saznanja o povredi). Navedeno izvješćivanje treba sadržati opis povrede uz informacije o ispitanicima i osobnim podacima, opis vjerojatnih posljedica povrede, opis mjera koje su poduzete ili predložene za rješavanje povrede te kontakt točku voditelja.

Sukladno članku 34. Opće uredbe o zaštiti podataka, ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode ispitanika, voditelj obrade je dužan informirati ispitanike o povredi osobnih podataka koristeći se jasnim i jednostavnim jezikom. Iznimno, neće biti potrebno ako je voditelj obrade primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje povrijeđenih osobnih podataka, poduzeo naknadne mjere zaštite zbog kojih nije vjerojatan visok rizik ili ako je kontaktiranje svakog ispitanika predstavljalo nerazmjeran napor, pri čemu je onda nužno ispitanike obavijestiti sredstvima javnog priopćavanja ili na drugi djelotvoran način.:

Primjeri kad nije potrebno obavijestiti Agenciju o povredi osobnih podataka:

Primjer: Dokument koji sadrži osobne podatke slučajno je proslijeđen zaposleniku koji nije ovlašten za uvid, no isti nije izašao iz posjeda društva, obzirom da je zaposlenik upoznat s obvezom čuvanja poslovne tajne, nije vjerojatno da će isto prouzročiti rizik za ispitanike te nije potrebno obavijestiti Agenciju za zaštitu osobnih podataka.

Primjer: Voditelj obrade pohranio je sigurnosnu kopiju s arhivom osobnih podataka koji su šifrirani na USB ključu. Ključ je ukraden tijekom provale. Sve dok su podaci šifrirani s pomoću najnaprednijeg algoritma, dok postoje sigurnosne kopije podataka i jedinstveni ključ nije ugrožen, a podaci se mogu pravodobno oporaviti, to nije povreda koju treba prijaviti.

Primjeri kad je potrebno obavijestiti Agenciju o povredi osobnih podataka:

Primjer: Ukradeno je prijenosno računalo na kojem se nalaze poslovni podaci koji uključuju osobne podatke zaposlenika, klijenata i poslovnih partnera. Prijenosno računalo zaštićeno je lozinkom, ali nije šifrirano (kriptirano) te su osobni podaci dostupni i trećim osobama. Obzirom da se radi o velikom broju osobnih podataka može se zaključiti da isto može prouzročiti rizik za ispitanike te je potrebno obavijestiti Agenciju za zaštitu osobnih podataka.

Primjer: Voditelj obrade pretrpio je napad ucjenjivačkim softverom kojim su svi podaci šifrirani. Nema dostupnih sigurnosnih kopija, a podaci se ne mogu oporaviti. Nakon istrage postalo je jasno da je jedina funkcija ucjenjivačkog softvera bila šifriranje podataka te je utvrđeno da u sustavu nije prisutan nikakav drugi zlonamjerni softver. Povredu osobnih podataka potrebno je  prijaviti nadzornom tijelu ako je vjerojatno da su nastale posljedice za pojedince jer se tu radi o gubitku dostupnosti.

Prema odredbama Opće uredbe o zaštiti podataka svaka povreda će se sankcionirati novčanim upravnim kaznama koje će se izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja, itd. Iznimno, ako je riječ o manjoj povredi fizičke osobe i ako bi upravna novčana kazna bila nerazmjerna, ista se neće izricati nego će se izreći upozorenje.

Najprije će se utvrditi postoji li kršenje, a zatim će se izreći sankcija koja može uključivati novčanu upravnu kaznu.

Postoje dva seta kršenja; za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 milijuna eura ili 2% godišnjeg prometa na svjetskoj razini, a za druga kršenja (načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili 4% godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće.

Prilikom izricanja novčanih upravnih kazni vodit će se računa da je takva sankcija učinkovita, razmjerna i odvraćajuća, a za određivanje iznosa konkretne novčane upravne kazne morat će se uzeti u obzir jedanaest kriterija poput prirode, težine i trajanje kršenja, vrste krivnje, mjere ublažavanja štete, prijašnja kršenja, tehničke i organizacijske mjere primijenjene u obradi podataka itd. 

Sukladno članku 51. Zakona o provedbi Opće uredbe o zaštiti podataka, upravnom novčanom kaznom u iznosu do 50.000,00 kuna kaznit će se:

– voditelj obrade i izvršitelj obrade koji ne označe objekt, prostorije, dijelove prostorije te vanjsku površinu objekta na način propisan člankom 27. ovoga Zakona

– voditelj obrade i izvršitelj obrade koji ne uspostave automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora, sukladno članku 28. stavku 4. ovoga Zakona

– osobe iz članka 28. stavka 1. ovoga Zakona koje snimke iz sustava videonadzora koriste suprotno članku 28. stavku 2. ovoga Zakona.