Na temelju članka 35. stavka 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), članka 1. i 4. Zakona o provedbi Opće uredbe o zaštiti podataka (Narodne novine br. 42/18), članka 12. Statuta Agencije za zaštitu osobnih podataka
te uzimajući u obzir Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade „vjerojatno prouzročiti visok rizik” u smislu Uredbe 2016/679 (WP 248 rev. 01) donesene 4. travnja 2017. godine, te posljednji put revidirane i donesene 4. listopada 2017. godine i Mišljenje Europskog odbora za zaštitu podataka 25/2018 na nacrt popisa Agencije za zaštitu osobnih podataka o vrstama postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka
ravnatelj Agencije za zaštitu osobnih podataka donosi
ODLUKU
o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka
I.
Pored slučajeva predviđenih člankom 35. stavkom 3. Opće uredbe o zaštiti podataka, uzimajući u obzir izuzetak predviđen u članku 35. stavku 10. Opće uredbe o zaštiti podataka, provedba procjene učinka na zaštitu osobnih podataka obvezna je kod obrade osobnih podataka u sljedećim slučajevima:
1) Obrada osobnih podataka radi sustavnog i opsežnog profiliranja ili automatiziranog odlučivanja kako bi se donijeli zaključci koji u značajnoj mjeri utječu ili mogu utjecati na pojedinca i/ili više osoba ili koji služe kao pomoć u donošenju odluka o nečijem pristupu nekoj usluzi ili servisu ili pogodnosti (npr. kao što je obrada osobnih podataka odnosnih na ekonomski ili financijski status, zdravlje, osobne preferencije, interese, pouzdanost, ponašanje, podatke o lokaciji i dr.);
2) Obrada posebnih kategorija osobnih podataka u svrhu profiliranja ili automatiziranog odlučivanja;
3) Obrada osobnih podataka djece u svrhu profiliranja ili automatiziranog odlučivanja ili za marketinške svrhe, ili za izravnu ponudu usluga namijenjenu njima;
4) Obrada osobnih podatka prikupljenih od trećih strana koji se uzimaju u obzir za donošenje odluke vezane za sklapanje, raskidanje, odbijanje ili produženje ugovora o pružanju usluga fizičkim osobama;
5) Obrada posebnih kategorija osobnih podataka ili osobnih podataka o kaznenoj ili prekršajnoj odgovornosti u velikom opsegu;
6) Obrada osobnih podataka korištenjem sustavnog nadzora javno dostupnih mjesta u velikom opsegu;
7) Uporaba novih tehnologija ili tehnoloških rješenja za obradu osobnih podatka ili sa mogućnošću obrade osobnih podataka (npr. primjena „interneta stvari“, poput pametnih televizora, pametnih kućanskih aparata, komunikacijski povezanih igračaka, sustava „pametni gradovi“, pametnih mjerača energije, itd.) koji služe za analizu ili predviđanje ekonomske situacije, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja fizičkih osoba;
8) Obrada biometrijskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
9) Obrada genetskih podataka kad je ispunjen bar još jedan kriterij iz Smjernica o procjeni učinka na zaštitu podataka (WP 248 rev. 01) koji služe za procjenu hoće li određeni postupci obrade vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
10) Obrada osobnih podataka povezivanjem, usporedbom ili provjerom podudarnosti iz više izvora;
11) Obrada osobnih podataka na način koji uključuje praćenje lokacije ili ponašanja pojedinca u slučaju sustavne obrade komunikacijskih podataka (metapodaci) nastalih uporabom telefona, interneta ili drugih komunikacijskih kanala, kao što je GSM, GPS, Wi Fi, praćenje ili obrada podataka o lokaciji;
12) Obrada osobnih podataka korištenjem uređaja i tehnologija kod kojih incidentni događaj može ugroziti zdravlje pojedinca ili više osoba;
13) Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).
II.
Dodatno, Agencija za zaštitu osobnih podataka naglašava da postojanje popisa postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka ni na koji način ne umanjuje opću obvezu voditelja obrade da provede odgovarajuću procjenu rizika i upravljanje rizikom. Također, provedba procjene učinka na zaštitu podataka ne oslobađa voditelje obrade od obveze da se pridržavaju drugih obveza Opće uredbe o zaštiti podataka ili drugih obveza sadržanih u primjenjivom zakonodavnom okviru (EU ili nacionalnom). Štoviše, navedeni popis ni u kojem slučaju nije ograničavajući ili isključiv budući da je provođenje procjene učinka na zaštitu podataka uvijek potrebno ako su ispunjeni uvjeti iz članka 35. stavka 1. Opće uredbe o zaštiti podataka.
Osim navedenog, Agencija za zaštitu osobnih podataka ukazuje i na činjenicu da je popis podložan daljnjem razvoju i može biti promijenjen sukladno dodatno uočenim ili nastalim rizicima obrade. Procjena učinka na zaštitu osobnih podataka obvezno se provodi prije obrade. Obveza prethodnog savjetovanja s nadzornim tijelom prije obrade postoji jedino ako bi se procjenom učinka za zaštitu podataka pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika.
III.
Ova Odluka stupa na snagu danom donošenja kada se i objavljuje na web stranicama Agencije za zaštitu osobnih podataka.
Stupanjem na snagu ove Odluke prestaje važiti Odluka o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka KLASA: 004-04/18-01/01, URBROJ: 567-01/01-18-01 od 25. svibnja 2018.
KLASA: 004-04/18-01/01
URBROJ: 567-01/01-18-02
Zagreb, 21.prosinca 2018.