Temeljne obveze voditelja obrade i izvršitelja obrade prema Općoj uredbi o zaštiti podataka br. 2016/679


Temeljne obveze voditelja obrade i izvršitelja obrade prema Općoj uredbi o zaštiti podataka br. 2016/679


19.04.2019.

Nastavno na Vaš općenit upit koji je zaprimila ova Agencija vezan za temeljne obveze voditelja i izvršitelja obrade osobnih podataka sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:

Prije svega ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Opća uredba o zaštiti podataka – Uredba (EU) 2016/679 Europskog parlamenta i Vijeća, engl. GDPR (u daljnjem tekstu: Opća uredba) kojom se prije svega utvrđuju pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka.
Naime, Općom uredbom štite se temeljna prava i slobode pojedinca (fizičkih osoba), a posebice njihovo pravo na zaštitu podataka. Ističemo kako se ovom Uredbom ne obuhvaća obrada podataka  koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući naziv i oblik pravne osobe i kontakt podatke.
Članak 4. Opće uredbe definira osobne podatke kao sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Obrada osobnih podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (članak 4. Opće uredbe).
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe).
Primjeri voditelja obrade: trgovačka društva ili obrti koji obrađuju podatke svojih radnika; financijske institucije koje obrađuju osobne podatke svojih stranaka/klijenata; udruge koje obrađuju podatke svojih članova; škole ili fakulteti koji obrađuju osobne podatke učenika, studenata ili nastavnika/svojih radnika; bolnice koje obrađuju osobne podatke svojih pacijenata; državna tijela ili tijela jedinica lokalne/regionalne samouprave koja obrađuju osobne podatke građana.
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. Opće uredbe).
Primjeri izvršitelja obrade: knjigovodstveni servis koji obrađuje podatke o plaćama radnika za poslodavca;  trgovačka društva ovlaštena za obavljanje privatne zaštite; agencije za naplatu potraživanja temeljem sklopljenog ugovora o poslovnoj suradnji.

Navodimo kako voditelj obrade nije u obvezi imati izvršitelja obrade. Naime Opća uredba daje mogućnost voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade i izvršitelja obrade (članak 28. Opće uredbe).
Ističemo kako izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom.

Nadalje, člankom 6., stavkom 1. Opće Uredbe propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ponuda);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka kreditnih institucija sukladno Zakonu o sprječavanju pranja novca i financiranju terorizma, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (primjerice: obrada osobnih podataka od strane Porezne uprave, HZZO, HZMO, obrazovne ustanove, Državni zavod za statistiku i dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: praćenje rada zaposlenika putem GPS sustava ukoliko se rad obavlja izvan poslovnih prostorija poslodavca).

S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze voditelja obrade i izvršitelja obrade: pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava (članci 12. -21. Opće uredbe), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka ( članci  25. i 32. Opće uredbe), vođenje evidencija aktivnosti obrade (članci 30. Opće uredbe), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe), procjena učinka na zaštitu podataka (članak 35. Opće uredbe).

• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe)
Vezano za pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava navodimo kako je poštujući načelo transparentnosti voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
- o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice
EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
- o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti). 

Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe).


• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka ( članci 25. i 32. Opće uredbe)

Nadalje, svaki voditelj i izvršitelj obrade dužan je poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).

Pa je tako preporuka Agencije u svezi navedenog da se dokumentacija u papirnatom obliku koja sadrži osobne podatke pohrani, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade, da pristup osobnim podacima pohranjenim u elektroničkom obliku bude omogućen uporabom korisničkog imena i lozinke. Također, preporuka ove Agencije je  izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima, potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka, te pseudonimizacija ili enkripcija osobnih podataka- osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju). Ujedno ukazujemo kako obrazac Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije http://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti.

• Evidencija aktivnosti obrade (članak 30. Opće uredbe)
Sukladno članku 30. Opće uredbe svaki voditelj obrade ili izvršitelj obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade  za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom.
Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
Sadržaj evidencije aktivnosti obrade mora biti detaljno razrađen te mora sadržavati  ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt), svrhu obrade (detaljno objašnjena), opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.), kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije), prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom) te opis tehničkih i organizacijskih mjera zaštite osobnih podataka.
Bitno je navesti kako je međutim svaki neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan je voditi evidenciju obrade  ukoliko je ispunjen jedan od sljedećih uvjeta:
-ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke)
-ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca), ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci)
-ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Međutim, navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.
Ističemo kako voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija aktivnosti obrade Agenciji za zaštitu osobnih podataka (dosadašnji Središnji registar evidencija o zbirkama osobnih podataka), već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe )
Voditelj obrade i izvršitelj obrade sukladno članku 37. Opće uredbe dužni su imenovati službenika za zaštitu podataka u sljedećim slučajevima:
-ako obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti
-ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri 
- ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka (članak 9. Opće uredbe) i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Opće uredbe ).

Dakle, proizlazi kako je neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan imenovati službenika za zaštitu podataka ukoliko je ispunjen jedan od gore navedenih uvjeta iz članka 37. Opće uredbe.

Prilikom imenovanja službenika potrebno je voditi  računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik). Također, voditelj obrade može imenovati jednog službenika za zaštitu podataka pod uvjetom da je isti lako dostupan iz svakog poslovnog nastana.
Voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te su dužni objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka uz navođenje imena i prezimena). Također, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom.
U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći na Internet stranici ove Agencije http://azop.hr/zbirke-osobnih-podataka/detaljnije/registar-sluzbenika-za-zastitu-osobnih-podataka.

 
 
  Natrag