HR | EN

logo
header pozadina-min
1. U kojim slučajevima je obavezno imenovanje službenika za zaštitu podataka?

Imenovanje službenika za zaštitu podataka obvezno je u 3 slučaja:

  • ako obradu provodi tijelo javne vlasti ili javno tijelo (bez obzira na to koji se podaci obrađuju),
  • ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri,
  • ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.
2. Koja tijela svrstavamo u kategoriju tijelo javne vlasti ili javna tijela?

Tijela javne vlasti su u konkretnom slučaju sva tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave.

3. Što označava pojam „osnovne djelatnosti“?

„Osnovne djelatnosti” obuhvaćaju sve one djelatnosti u kojima je obrada podataka neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade.

PRIMJER: obrada podataka u području zdravstva kao što su zdravstveni kartoni pacijenata, trebala bi se smatrati jednom od osnovnih djelatnosti svake bolnice te su stoga bolnice dužne imenovati službenike za zaštitu podataka

4. Što označava pojam „opsežna obrada”?

Pri utvrđivanju provodi li se opsežna obrada preporučuje razmatranje sljedećih čimbenika:

  • broj predmetnih ispitanika, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,
  • obujam podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju,
  • trajanje ili trajnost aktivnosti obrade podataka,
  • zemljopisni razmjer aktivnosti obrade

PRIMJERI:

  • obrade podataka o pacijentu u okviru redovnog poslovanja bolnice,
  • obradu podataka o putovanjima pojedinaca koji se koriste u sustavu javnog gradskog prijevoza (npr. praćenje s pomoću putnih kartica),
  • obradu podataka o zemljopisnoj lokaciji klijenata međunarodnog lanca brze hrane u stvarnom vremenu u statističke svrhe koju provodi izvršitelj obrade specijaliziran za te aktivnosti
  • obradu podataka o klijentima u okviru redovnog poslovanja osiguravajućeg društva ili banke,
  • obradu osobnih podataka u okviru internetske tražilice radi bihevioralnog oglašavanja,
  • obradu podataka (sadržaj, promet, lokacija) koju provode pružatelji telefonskih ili internetskih usluga.

 

PRIMJERI OBRADE KOJA NIJE OPSEŽNA OBUHVAĆAJU: obradu podataka o pacijentu koju obavlja liječnik pojedinac, obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela koju obavlja odvjetnik pojedinac.

5. Što znači pojam „redovito i sustavno praćenje”?

Pojam redovito i sustavno praćenje obuhvaća sve oblike praćenja i izrade profila na internetu, uključujući i radi bihevioralnog oglašavanja. Međutim, pojam praćenja nije ograničen samo na internetsko okruženje. 

„Redovito praćenje” tumači se na najmanje jedan od sljedećih načina:

  • praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,
  • praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme,
  • praćenje koje se provodi stalno ili periodično.

„Sustavno praćenje” tumači se na najmanje jedan od sljedećih načina:

  • praćenje koje se provodi u skladu s određenim sustavom,
  • praćenje koje je prethodno dogovoreno, organizirano ili metodično,
  • praćenje koje je dio općeg plana za prikupljanje podataka,
  • praćenje koje se provodi kao dio strategije

 

PRIMJERI:

  • upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga
  • preusmjeravanje elektroničke pošte
  • marketinške aktivnosti temeljene na podacima
  • izrada profila i ocjena radi procjene rizika (npr. radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprečavanja prijevara, otkrivanja pranja novca)
  • praćenje lokacije, na primjer s pomoću mobilnih aplikacija,
  • programi vjernosti
  • bihevioralno oglašavanje
  • praćenje podataka o općem stanju organizma, tjelesnoj kondiciji i zdravlju s pomoću uređaja koji se nose na tijelu
  • televizija zatvorenog kruga
  • povezani uređaji, npr. pametna brojila, pametni automobili, automatizacija doma itd.
6. Što u slučajevima kada imenovanje službenika za zaštitu podataka nije obavezno? Može li se dobrovoljno imenovati službenik za zaštitu podataka?

U slučajevima kada imenovanje službenika za zaštitu podataka nije obvezno, za organizacije ponekad može biti korisno dobrovoljno imenovati službenika za zaštitu podataka te se čak i potiču takva dobrovoljna imenovanja.

7. Koji zahtjevi se odnose na službenike koji su dobrovoljno imenovani?

Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju isti zahtjevi kao da je imenovanje bilo obvezno.

8. Što kada se voditelj ili izvršitelj obrade ipak odluče ne imenovati službenika?

Ukoliko voditelj ili izvršitelj obrade odluče ne imenovati službenika bitno je imati obrazloženu odluku u vidu internog dokumenta.

9. Koja je procedura imenovanja službenika sukladno Općoj uredbi o zaštiti podataka?

Imenovanje službenika mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovore osobe na sjedište Agencije za zaštitu osobnih podataka: Selska cesta 136, 10 000 Zagreb.

Preuzmite obrazac

10. Vrijede li Odluke o imenovanju službenika koje su donesene prije pune primjene Opće uredbe o zaštiti podataka?

Ne. Sve odluke o imenovanju službenika donesena na temelju Zakona o zaštiti osobnih podataka trebaju se uskladiti sa Općom uredbom o zaštiti podataka.

11. Mogu li organizacije zajednički imenovati službenika za zaštitu podataka? Ako mogu, pod kojim uvjetima?

Da. SKUPINA PODUZETNIKA može imenovati jednog službenika za zaštitu podataka.

Uvjeti su slijedeći:

  • da je službenik za zaštitu podataka „lako dostupan iz svakog poslovnog nastana” odnosno da je kontakt za ispitanike i nadzorno tijelo, ali i sve zaposlene unutar organizacije

UVJETI:

  1. osigurati da su njegovi podaci za kontakt lako dostupni (objava na web stranici)
  2. komunikacija se mora odvijati na jeziku koji upotrebljavaju predmetna nadzorna tijela i ispitanici
  3. dostupnost službenika za zaštitu podataka (putem telefonskog poziva, elektroničke pošte, osobno u poslovnim prostorijama ili s pomoću drugog sigurnog sredstva komunikacije).

TIJELA JAVNE VLASTI

Za nekoliko tijela javne vlasti ili javnih tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu. Ista načela vrijede i u pogledu sredstava i komunikacije.

NAPOMENA ZA VODITELJE ILI IZVRŠITELJE OBRADE: voditelj ili izvršitelj obrade mora samostalno procijeniti da li jedan službenik može obavljati učinkovito unatoč tomu što je zadužen za više poslovnih subjekata.

12. Može li službenik biti smješten izvan EU?

Kako bi se osigurala dostupnost službenika za zaštitu podataka preporuka je da on bude smješten u Europskoj uniji, bez obzira na to ima li voditelj obrade ili izvršitelj obrade poslovni nastan u Europskoj uniji.

IZNIMKA – u određenim situacijama kad voditelj ili izvršitelj obrade nema poslovni nastan u EU, a nudi svoje proizvode na prostoru EU-a, službenik bi svoju djelatnost mogao djelotvornije obavljati ako se nalazi izvan EU-a.

NAPOMENA: na voditelju ili izvršitelju obrade je da samostalno procijeni koga će imenovati službenikom kao i gdje će on biti smješten 

PREPORUKA: da svakako jedan službenik bude imenovan i na području EU (u tvrtki kćeri)

13. Što kada se unutar organizacije ne može pronaći adekvatna osoba za službenika? Je li moguće imenovati vanjskog službenika za zaštitu podataka?

Da. Funkcija službenika za zaštitu podataka može se obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja ili izvršitelja obrade.

VAŽNO  da svaki član vanjske organizacije koji izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se tiču imenovanja, radnog mjesta te zadaća službenika iz Opće uredbe

da nitko od zaposlenika ne bude u sukobu interesa

da svaki član bude zaštićen odredbama Opće uredbe (npr. da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu  podataka)

 da se unutar jedinice imenuje glavna osoba za kontakt kao osobe odgovorne za klijenta

 da se ugovorom o djelu jasno definiraju prava i obveze službenika

 

DUŽNOST VODITELJA ILI IZVRŠITELJA OBRADE:

  1. objaviti podatke za kontakt službenika za zaštitu podataka i
  2. o podacima za kontakt službenika za zaštitu podataka obavijestiti AZO
14. Temeljem čega se procjenjuje koga imenovati službenikom?

Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja njegovih zadaća. (vidi pitanje 13.)

15. Koje bi stručne kvalifikacije trebao imati službenik za zaštitu podataka?

Općom uredbom nije propisana stručna sprema niti struka koju bi službenik trebao imati. Dakle, razina stručnosti nije strogo definirana, no ona mora biti razmjerna osjetljivosti, složenosti i količini podataka koju organizacija obrađuje. Nužna razina stručnog znanja trebala bi se utvrditi u odnosu na količinu osobnih podataka koju neka organizacija obrađuje, vrste obrade podataka te na potrebnu zaštitu kako bi se osigurala sigurna obrada.

PRIMJER: ako u nekoj organizaciji provode postupke obrade podataka koji su osobito složeni ili ako obuhvaća veliku količinu osjetljivih podataka (banka, bolnica i sl.), službenik bi trebao imati i viši stupanj stručnosti i podrške.

NAPOMENA: procjena koga će se imenovati službenikom je na voditelju ili izvršitelju obrade.

16. Koje su potrebne vještine i stručnost koju službenik treba posjedovati?

Neke od potrebne vještina i stručnost podrazumijevaju:

  • stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Opće odredbe o zaštiti podataka,
  • razumijevanje provedenih postupaka obrade,
  • razumijevanje informacijskih tehnologija i sigurnosti podataka,
  • poznavanje poslovnog sektora i organizacije,
  • sposobnost promicanja kulture zaštite podataka unutar organizacije
17. Koje su zadaće službenika?

Službenik za zaštitu osobnih podataka ima slijedeća zaduženja:

  • informirati i savjetovati voditelja obrade/izvršitelja obrade o njihovoj obvezi sukladno Općoj uredbi kao i ostalim propisima odnosnima na zaštitu osobnih podataka u EU ili državi članici;
  • nadzirati sukladnost postupanja sa osobnim podacima sa propisima i odredbama i politikama društva;
  • podizati razinu svijesti o značaju zaštite osobnih podataka i podučavati osoblje koje je uključeno u obradu osobnih podataka;
  • izrada i usklađivanje internih akata (npr. Evidencije aktivnosti obrade, Politika privatnosti, Izjava o povjerljivosti, Pravilnik o zaštiti osobnih podataka itd)
  • surađivati sa nadzornim tijelom za zaštitu osobnih podataka (Agencijom za zaštitu osobnih podataka),
  • biti kontakt točka za ispitanike vezano za ostvarivanje njihovih prava
  • pružati savjete o tome gdje je potrebno vezano uz procjenu učinka rizika na zaštitu osobnih podataka
18. Koja je uloga voditelja ili izvršitelja obrade u pogledu uvjeta za izvršavanje zadaća službenika za zaštitu podataka?

Ovisno o prirodi postupaka obrade te djelatnosti i veličini organizacije službeniku za zaštitu podataka potrebno je pružiti sljedeće:

  • aktivnu potporu višeg rukovodstva funkciji službenika za zaštitu podataka,
  • dostatno vrijeme kako bi službenik za zaštitu podataka ispunio svoje dužnosti,
  • primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti, oprema) i, prema potrebi, osoblja,
  • osigurati da se svom osoblju dostavi službena obavijest o imenovanom službeniku,
  • omogućiti nužan pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,
  • omogućiti kontinuirano osposobljavanje

Dodatne preporuke za voditelje i izvršitelje obrade

Organizacija koja imenuje službenika za zaštitu podataka trebala bi se pobrinuti:

  • da je službenik za zaštitu podataka pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva,
  • da se preporuči nazočnost službenika za zaštitu podataka kad se donose odluke koje se mogu odraziti na zaštitu podataka. Sve se relevantne informacije službeniku za zaštitu podataka moraju proslijediti pravodobno kako bi mogao pružiti odgovarajući savjet,
  • da se mišljenje službenika za zaštitu podataka uvijek uzme u obzir. U slučaju neslaganja, smatra se dobrom praksom i preporučuje da se zabilježe razlozi zbog kojih se nije slijedio savjet službenika za zaštitu podataka,
  • da se savjetovanje sa službenikom za zaštitu podataka provede odmah nakon što je došlo do povrede podataka ili do nekog drugog incidenta
19. Kojim se zaštitnim mjerama službeniku za zaštitu podataka omogućuje neovisno obavljanje zadataka?

Nekoliko je zaštitnih mjera kako bi se službeniku za zaštitu podataka omogućilo obavljanje zadaća na neovisan način:

  • ne smiju im se davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti i načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela
  • ne smije ih se upućivati da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, (npr. na određeno tumačenje zakona)
  • ne smije se službenika za zaštitu podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
  • ne smije postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti
20. Može li službenik obavljati i druge zadaće i dužnosti?

Službenik može ispunjavati i druge zadaće i dužnosti, međutim bitno je da takve zadaće i dužnosti ne dovedu do sukoba interesa

21. Može li službenik za informiranje biti i službenik za zaštitu osobnih podataka?

Može, ne postoji prepreka da jedna osoba obavlja dvije funkcije, ako voditelj iili izvršitelj procijene da ne postoje neke druge zapreke (primjerice sukob interesa).

22. Zašto je bitna neovisna uloga službenika i što znači izraz „sukob interesa”?

To ponajprije znači da službenik za zaštitu podataka ne može biti onaj djelatnik unutar organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi

  • službenicima se ne smiju davati upute o načinu rješavanja predmeta (npr. o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela.)
  • ako voditelj/izvršitelj obrade donese odluke nespojive s Općom uredbom i savjetom službenika, trebalo bi omogućiti službeniku da svoje suprotno mišljenje jasno da do znanja najvišoj rukovodećoj razini te onima koji donose odluke

 Zbog posebne organizacijske strukture svakog poslovnog nastana o tome ko će biti službenik mora se odlučivati na pojedinačnoj osnovi.

23. Koja radna mjesta mogu biti u sukobu interesa?

Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:

  1. POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i
  2. NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.

DODATNO: sukob interesa može nastati, na primjer, ako se od vanjskog službenika za zaštitu podataka zatraži da pred sudovima predstavlja voditelja ili izvršitelja obrade u slučajevima koji uključuju pitanja zaštite podataka

24. Što znači izraz „praćenje poštovanja”?

Konkretno, u okviru dužnosti praćenja poštovanja službenik ima dužnost:

  • prikupljati informacije radi utvrđivanja aktivnosti obrade,
  • analizirati i provjeravati usklađenost aktivnosti obrade i
  • obavješćivati voditelja obrade ili izvršitelja obrade te mu pružati savjete i izdavati preporuke
25. Je li službenik za zaštitu podataka osobno odgovoran za nepoštovanje zahtjeva za zaštitu podataka iz Opće uredbe?

Ne. Službenici za zaštitu podataka nisu osobno odgovorni za nepoštovanje zahtjeva za zaštitu podataka. Voditelj ili izvršitelj obrade mora osigurati i moći dokazati da se obrada provodi u skladu s Uredbom te je on odgovoran za neusklađenost poslovanja s njezinim odredbama.

X
Skip to content