Ključni koraci za usklađivanje s GDPR-om
Svi poslovni subjekti i pojedinci koji obavljaju određenu aktivnost prikupljanja i/ili obrade osobnih podataka građana Republike Hrvatske moraju uskladiti svoje poslovne procese s odredbama Opće uredbe o zaštiti podataka (eng. General Data Protection Regulation-GDPR) i Zakona o provedbi Opće uredbe o zaštiti podataka. To su primjerice: banke, bolnice, osiguravajuća društva, hoteli, turističke i marketinške agencije, zaštitarske tvrtke, tijela javne vlasti, tijela državne uprave, udruge, društvene mreže i drugi.
Opća uredba primijenjuje se i na fizičke osobe kad obrađuju osobne podatke izvan okvira isključivo osobne ili kućne aktivnosti te ako je ista povezana s profesionalnom ili komercijalnom djelatnošću (primjerice fizička osoba koja iznajmljuje apartmanski smještaj).
Tijela javne vlasti dužna su obrađivati osobne podatke u okviru odredbi Opće uredbe, osim u slučajevima kaznenopravnih aktivnosti, poput sprečavanja kaznenih djela ili progona počinitelja istih te u područjima izvan nadležnosti prava EU-a.
1. Napravite analizu poslovnih procesa u vašoj organizaciji kako biste utvrdili u kojim se sve procesima prikupljaju i obrađuju osobni podaci.
Važno je utvrditi koje vrste osobnih podataka obrađujete, čije osobne podatke obrađujete i u koje svrhe se isti obrađuju.
Locirajte gdje se nalaze osobni podaci odnosno gdje se sve osobni podaci spremaju i čuvaju (u digitalnom i papirnatom obliku). Osnovna pitanja na koja trebate odgovoriti su: je li doista nužno prikupljati osobne podatke, koji je izvor osobnih podataka (direktno od osobe čije osobne podatke obrađujete ili iz nekog drugog izvora), koji je pravni temelj za prikupljanje osobnih podataka, koliko se dugo čuvaju, tko od zaposlenika ima pristup osobnim podacima, kome se osobni podaci prosljeđuju, prenose li se podaci u treće zemlje, jesu li poduzete odgovarajuće tehničke i organizacijske mjere kako bi se zaštitili osobni podaci.
2. Odredite pravnu osnove na temelju koje prikupljate osobne podatke
Obrada je zakonita samo ako i u onoj mjeri u kojoj ispunjavate najmanje jedno od sljedećega:
Saznajte više o pravim osnovama za obradu osobnih podataka (čl. 6. Opće Uredbe o zaštiti podataka)
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr. privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe npr. davanje podatka o lokaciji nestale osobe od strane teleooperatera Hrvatskoj gorskoj službi spašavanja.
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora u svrhu zaštite svoje imovine).
!!! NAPOMENA: često voditelji i izvršitelji obrade smatraju da za svaku obradu osobnih podataka trebaju privolu osobe čije podatke prikupljaju i obrađuju. No, ako obradu temeljite na nekoj od gore navedenih pravnih osnova, nije potrebno tražiti osobu (ispitanika) privolu za obradu. Primjerice, za sklapanje ugovora s teleoperaterom potrebni su Vaši osobni podaci kako biste mogli sklopiti ugovor kao što su primjerice: ime i prezime, adresa, OIB i za takvu obradu osobnih podataka nije potrebno tražiti privolu. Liječnik dentalne medicine ne treba tražiti privolu svog pacijenta za obradu podataka koji su nužni u svrhu obavljanja pregleda i liječenja jer svoju obradu temelji na zakonskom propisu.
Privola je jedan od 6 pravnih osnova za obradu i nije potrebna ako obradu temeljite na nekoj drugoj pravnoj osnovi.
3. Poštujte načela obrade osobnih podataka (čl. 5. Opće uredbe o zaštiti podataka)
Saznajte više o načelima obrade osobnih podataka (čl.5. Opće uredbe o zaštiti podataka)
- zakonitost, poštenost i transparentnost obrade: to znači da obrada treba biti u skladu s određenim pravnim temeljem, a načelima poštene i transparentne obrade zahtijeva se da je pojedinac informiran o postupku obrade i njegovim svrhama, te voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka, a osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila;
- ograničavanje svrhe: to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
- smanjenje količine podataka: to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
- točnost: to znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
- ograničenje pohrane: to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; na dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom. Osobne podatke potrebno je pohranjivati što je kraće moguće (samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju ili prema pravnim obvezama odnosnim na čuvanje/pohranu). Pri određivanju razdoblja pohrane potrebno je uzeti u obzir svrhu u koju ste kao voditelj obrade prikupili i obrađivali osobne podatke kao i sve pravne obveze čuvanja tih podataka (primjenjive na konkretnu obradu osobnih podataka). Iznimno!!! Osobni podaci mogu se čuvati duže vrijeme u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja, pod uvjetom da su uspostavljene odgovarajuće tehničke i organizacijske mjere;
- cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
- pouzdanost: to znači da je voditelj/izvršitelj obrade odgovoran za poštovanje načela i da je mora biti u mogućnosti dokazati usklađenost s odredbama Opće uredbe o zaštiti podataka.
4. Poštujte prava ispitanika (osoba čije osobne podatke obrađujete) i upoznajte ispitanike s njihovim pravima (čl. 12. – 21. Opće uredbe o zaštiti podataka)
U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija ispitanicima vezano za obradu osobnih podataka, a time i ostvarivanja prava ispitanika, svako poduzeće (voditelj obrade osobnih podataka) koje u svome poslovanju obrađuje osobne podatke ispitanika (građanina/klijenta) je obvezno izraditi politiku privatnosti koja bi trebala biti javno dostupna svim ispitanicima (npr. na mrežnim stranicama). Politika privatnosti mora biti napisana na jednostavan i lako razumljiv način.
U rubrici Organizacije – Obrasci/predlošci edukativni materijali možete pronaći upute za izradu politike privatnosti.
Više o pravima ispitanika saznajte u rubrici GRAĐANI.
5. Izradite interne akte i po potrebi ažurirajte postojeću dokumentaciju kojom možete dokazati usklađenost s odredbama Opće uredbe o zaštiti podataka – načelo pouzdanosti
Opća uredba o zaštiti podataka ne propisuje koju točno dokumentaciju je potrebno imati kako bi se dokazala usklađenost s Općom uredbom o zaštiti podataka niti propisuje standardizirane predloške za izradu interne dokumentacije u svrhu dokazivanja usklađenosti poslovanja sa odredbama Opće uredbe o zaštiti podataka.
U rubrici Organizacije-Obrasci/predlošci/edukativni materijali možete pronaći predloške koji vam mogu poslužiti za izradu nekih od internih akata.
Agencija za zaštitu osobnih podataka nadzor nad provedbom Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka provodi po službenoj dužnosti, pritužbi ispitanika (građana, pojedinca) i na prijedlog treće strane.
Prilikom provedbe nadzornih aktivnosti, ovlašteni službenici Agencije zatražiti će vas dokumentaciju kojom dokazujete usklađenost s Općom uredbom o zaštiti podataka:
- Dokument iz kojeg je vidljivo da je fizička osoba ovlaštena od strane društva za zastupanje istog pred nadzornim tijelom (primjerice: punomoć za zastupanje ili punomoć odvjetnika ,Odluka o imenovanju službenika)
- Interni akti kojima je regulirana zaštita osobnih podataka (primjerice: Pravilnik o zaštiti osobnih podataka, Politika privatnosti, Obavijest/informacije koje se pružaju ispitanicima o njihovim pravima)
- Akti iz kojih su vidljive ovlasti zaposlenika ili vanjskih suradnika (primjerice: Ugovor u radu, ako je primjenjivo ili drugi akt koji propisuje razine ovlasti kao npr. Pravilnik o ovlaštenjima)
- Izjave o povjerljivosti
- Evidencije aktivnosti obrade
- Dokumentacija odnosna na predmetni slučaj i ispitanika/e, odnosno na koji način su prikupljeni određeni podaci, temeljem koje pravne osnove i u koju točno svrhu ( primjerice: korespondencija između društva i ispitanika, dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, preslike osobnih dokumenata ukoliko su prikupljeni, dokumentacija odnosna na videonadzorni sustav (ako je isti predmet nadzora) te uvid u videozapise, logove i sl., također je potrebno omogućiti uvid u baze podataka i dr.)
- Ugovor sa Izvršiteljem obrade
- Dokumentacija odnosna na mjere zaštite (organizacijske i tehničke)
Uputno je razraditi proceduru za učinkovito prepoznavanje, prijavljivanje, upravljanje i rješavanje povreda osobnih podataka
U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo (Agenciju za zaštitu osobnih podataka) nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.
Obrazac Izvješća o povredi osobnih podataka možete pronaći u rubrici Organizacije-Obrasci/predlošci/edukativni materijali.
Uputno je voditi evidenciju povreda osobnih podataka
Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava ispitanika na pristup podacima (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinca te uvjete pod kojim se ta prava ostvaruju, jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično)
Uputno jer razraditi procedure: za rješavanje zahtjeva pojedinaca za ispravljanje njihovih osobnih podataka, brisanje osobnih podataka, ograničenje obrade osobnih podataka, proceduru za rješavanje zahtjeva pojedinaca za prenosivost njihovih osobnih podataka drugom pružatelju usluga (pravo na prenosivost podataka), proceduru za odgovaranje na prigovor pojedinca (ako je primjenjivo) i proceduru za pravo na prigovor na automatizirano pojedinačno donošenje odluka (ako je primjenjivo)
6. Provodite odgovarajuće tehničke i organizacijske mjere zaštite osobnih podataka (čl. 25.i 32.Opće uredbe)
Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade.
Opća uredba o zaštiti podataka ne propisuje koje točno mjere su voditelji/izvršitelji obrade dužni primijeniti, već je dužnost svakog voditelja/izvršitelja obrade da uspostavi mjere koje će osigurati adekvatnu razinu zaštite osobnih podataka pojedinaca.
Provođenjem odgovarajućih mjera zaštite osigurava se da osobni podaci nisu automatski dostupni neograničenom broju osoba koje nisu ovlaštene za njihovu obradu.
U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja da odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.).
Važno! Preporuka Agencije vezano za organizacijske i tehničke mjere
- dokumentaciju u papirnatom obliku koja sadrži osobne podatke voditelj obrade dužan je istu pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba voditelja obrade
- pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke
- izrada sigurnosnih kopija od strane ovlaštenih osoba
- potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka
- pseudonimizacija ili enkripcija osobnih podataka, osobito ako se radi o posebnim kategorijama (primjerice: podataka o zdravlju)
- bilježenje pristupa podacima
U rubrici Organizacije možete pronaći upitnik o tehničkim i organizacijskim mjerama zaštite osobnih podataka.
Saznajte više o tehničkim mjerama zaštite osobnih podataka
Tehničke mjere odnose se na zaštitne mjere koje postavljate na opremu/sredstva, odnosno prostor/prostorije koji se koriste unutar poslovnog subjekta za redovno obavljanje poslovanjau okviru kojeg obrađujete osobne podatke.
Najčešća mjera tehničke zaštite je lozinka. Lozinka se koristi kao mjera zaštite od neovlaštenog pristupa:
- na radnoj opremi (računala, pametni telefoni, tablet računala, kopirke i pisači, Internet usmjerivači …)
- u računalnim programima (Programi koje koristite u poslovne svrhe, a koji obrađuju osobne podatke)
- u elektroničkoj pošti
- u datotekama s podacima (baze podataka, Excel tablice, Word dokumenti i drugi dokumenti u kojima su sadržani osobni podaci)
Za kreiranje snažnih lozinki na Internetu postoje generatori lozinki koji ih kreiraju na temelju zadanih postavki od čega se sve treba sastojati lozinka.
Tako generirane lozinke koje su nasumičan niz slova, brojki i simbola je teško upamtiti. Stoga možete pribjeći triku da za generiranje lozinke odaberete nekakvu Vama poznatu frazu ili citat.
Nemojte koristiti istu lozinku za sve prijave već za svaki uređaj, program, uslugu ili datoteku koristite različite lozinke. Kako ne bi morali pamtiti sve te lozinke postoje programi koji na siguran način pamte lozinke za Vas (tzv. Password Manageri).
Mjere tehničke zaštite su:
- Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici s poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.
- Redovna nadogradnja operativnog sustava i računalnih programa
- Postavljanje antivirusnog programa na uređaje
- Sigurnosne kopije podataka (Backup)
- Postavljanje vatrozida (Firewalla)
- Zaštita pristupa mrežnoj infrastrukturi
- Kriptiranje podataka i prijenosnih uređaja na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
- Zaštita podataka pohranjenih u papirnatom obliku
- Fizička zaštita od nedozvoljenog pristupa
- Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
- Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
- Pristup opremi i programima putem kartica s čipom.
Organizacijske mjere zaštite se odnose na interne akte odnosno dokumente kojima se propisuju mjere, odnosno uređuje područje zaštite osobnih podataka koje obrađujete.
Neki od takvih internih akata su:
- Pravilnikom o informacijskoj sigurnosti se propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu
- Pravilnicima kojima se određuje obrada osobnih podataka se propisuje tko obrađuje osobne podatke, u koju svrhu, koja je zakonitost za obradu, koji je opseg osobnih podataka koji se obrađuju, tko ima pravo pristupa i obrade osobnih podataka , koliko dugo se podaci čuvaju, tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka…)
- U ugovornim klauzulama unutar ugovora o radu mogu biti definirane zbirke osobnih podataka koje će uposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
- U ugovornim klauzulama unutar ugovora o poslovnoj suradnji definiraju se zbirke osobnih podataka koje su predmet ugovora, prava i obveze svake od ugovornih strana vezano za obradu osobnih podataka, koje tehničke mjere zaštite svaka od strana poduzima kako bi se zaštitili sustavi pohrane (baze) podataka.
- Izjavom o povjerljivosti regulira se da zaposlenik poslovnog subjekta ili vanjski suradnik daje pismenu izjavu da će osobne podatkeobrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih zlorabiti i davati neovlaštenim trećim stranama.
- Nova zakonska regulativa iz područja zaštite osobnih podataka taksativno ne propisuje obvezu osoba koje su zaposlene u obradi osobnih podataka na potpisivanje Izjave o povjerljivosti. No povjerljivost kao i odgovornost onih koji imaju pristup osobnim podacima je definirana u članku 32. stavak 4. Opće uredbe o zaštiti podataka
Preporuka Agencije je da se izjava o povjerljivosti koristi kao jedna od organizacijskih mjera zaštite voditelja/izvršitelja obrade uzimajući u obzir odredbe Opće uredbe o zaštiti podataka o sigurnosti obrade (članak 25. i 32.).
U rubrici Organizacije – Obrasci/Predlošci/Edukativni materijali možete pronaći Obrazac izjave o povjerljivosti.
7. Vodite evidencije aktivnosti obrade (ako je primjenjivo) (čl. 30.Opće uredbe o zaštiti podataka)
Evidencija aktivnosti obrade je obrazac koji služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik.
Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
VAŽNO! Voditelji i izvršitelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka (već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).
PREPORUKA AGENCIJE! Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi niste u obvezi istu voditi jer je Evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom!
Saznajte više:
Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:
- ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
- ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
- ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
- ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima
Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.
Primjer: Evidencija aktivnosti obrade zaposlenika
Svrha obrade: obračun plaće i drugih dohodaka
Kategorija ispitanika: Zaposlenici
Kategorija osobnih podataka: ime, prezime, adresa, OIB, spol, dan, mjesec, godina rođenja, prebivalište/boravište, broj tekućeg računa, stručno obrazovanje, datum početka rada, naznaku radi li se o punom radnom vremenu ili nepunom radnom vremenu, mjesto rada, datum prestanka radnog odnosa, razlog prestanka radnog odnosa, podaci za potrebu interne komunikacije unutar tvrtke (poslovni kontakt e-mail, tel.)
Kategorije primatelja: HZZO, HZMO, Porezna uprava, Knjigovodstveni servis (ukoliko je primjenjivo)
Razdoblje pohrane: trajno – sukladno pravnoj obvezi
Prava ispitanika: Pravo na pristup i pravo na ispravak/pravo na brisanje, ograničenje obrade, pravo da se na njih ne odnosi automatizirano donošenje odluka.
Opis tehničkih i organizacijskih sigurnosnih mjera: računalo zaštićeno lozinkom, arhivski ormar kojem pristup ima samo ovlaštena osoba, Pravilnik o pristupu podacima i dr.
Zakonitost obrade: pravne obveze temeljem Zakona o radu, Zakona o mirovinskom osiguranju, Zakona o računovodstvu.
8. Imenujte službenika za zaštitu podataka (ako je primjenjivo) (čl. 37. Opće uredbe o zaštiti podataka)
Voditelj obrade ili izvršitelj obrade dužni su objaviti kontaktne podatke službenika za zaštitu podataka i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka).
Imenovanje službenika za zaštitu podataka mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovorne osobe na sjedište Agencije: Selska cesta 136, 10000 Zagreb.
U rubrici Organizacije- Obrasci/predlošci/edukativni materijali možete pronaći obrazac izvjeća o imenovanju službenika za zaštitu podataka. Ako želite saznati više o zadaćama i obvezama službenika za zaštitu podataka u istoj rubrici možete pronaći brošuru Zašto je važno imenovati službenika za zaštitu podataka i priručnik za službenike za zaštitu podataka.
Saznajte više
Sukladno članku 37. Opće uredbe o zaštiti podataka, voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
(a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
(b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
(c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju se uskladiti s Uredbom.
9. Provedite procjenu učinka na zaštitu podataka (ako je primjenjivo) (čl. 35.Opće uredbe o zaštiti podataka)
Opća uredba o zaštiti podataka ima pristup kojim se želi poboljšati efektivnost zaštite podataka na način da se posebno nadziru rizične obrade.
VAŽNO!
Popis vrsta postupaka obrade koji podliježu zahtjevu za procjenu učinka na zaštitu podataka, možete pronaći na
Procjena učinka na zaštitu podataka je jedan od postupaka za uspostavu i dokazivanje usklađenosti s Općom uredbom, odnosno isti je osmišljen za opisivanje obrade, procjenu njezine nužnosti i proporcionalnosti te pružanje pomoći u upravljanju rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka.
U kojem trenutku je potrebno provesti procjenu učinka za zaštitu podataka?
Procjenu učinka na zaštitu podataka treba provesti prije obrade osobnih podataka kako bi se poštivala načela tehničke i integrirane zaštite podataka. Međutim ukoliko je postupak obrade dinamičan i podložan stalnim promjenama procjena učinka na zaštitu podataka provodi se kontinuirano, a ne jednom.
Saznajte više
Ako je vjerojatno da će neka vrsta obrade, osobito uporabom novih tehnologija, uzimajući pri tome u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade dužan je provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.
Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:
- sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
- opsežne obrade posebnih kategorija osobnih podataka (članak 9. stavak 1. Uredbe) ili podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe)
- sustavno praćenje javno dostupnog područja u velikoj mjeri
PRIMJERI OBRADE KADA JE PROCJENA UČINKA NUŽNA:
bolnica koja obrađuje genetske i zdravstvene podatke svojih pacijenata (bolnički informacijski sustav), autobusni prijevoznik koji će upotrebljavati videokamere u autobusu kako bi nadzirao ponašanje vozača i putnika, institucija koja uspostavlja bazu podataka kreditnog rejtinga ili prijevara na nacionalnoj razini, prikupljanje podataka s javnih društvenih medija za izradu profila.
PRIMJERI OBRADE KADA PROCJENA UČINKA NIJE NUŽNA:
liječnik obiteljske medicine obrađuje osobne podatke svojih pacijenata. U tom slučaju nema potrebe za procjenom učinka na zaštitu podataka jer liječnik ima ograničen broj pacijenata i ne provodi opsežne obrade osobnih podataka, internetska stranica e-trgovine koja se koristi popisom adresa klijenata u svrhu slanja newslettera svojim pretplatnicima
U rubrici Organizacije-Obrasci/predlošci/edukativni materijali možete pronaći obrazac za provođenje procjene učinka za na zaštitu podataka.
Više o procjeni učinka na zaštitu podataka možete saznati na poveznici.
10. Educirajte zaposlenike o važnosti zaštite osobnih podataka ( o njihovim pravima i obvezama koje proizlaze iz propisa o zaštiti osobnih podataka)
Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka i ako kod svih zaposlenika nije svjesti važnosti informacijske sigurnosti i odgovornosti svakog pojedinca o zaštiti podataka sve ostale preporuke i propisane mjere zaštite neće imati puno značaja.
Do velikog broja povreda osobnih podataka dolazi zbog ljudskog faktora, stoga je od iznimne važnosti je da svi zaposlenici organizacije budu svjesni:
- koje sve osobne (a i poslovne) podatke koriste i obrađuju u svom svakodnevnom radu
- kojim kategorijama osobnih podataka ti podaci pripadaju,
- gdje se nalaze,
- koji su potencijalni rizici od krađe, zlouporabe i gubitka tih podataka,
- pomoću kojih zaštitnih mjera ih mogu zaštititi,
- koje su posljedice krađe, zlouporabe i gubitka tih podataka,
- da je potrebno svakodnevno se pridržavati propisanih i preporučenih mjera zaštite,
- koje su sankcije za prekršitelje Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka
Službenik za informiranje
Pravo na pristup informacijama i ponovnu uporabu informacija ostvaruje se u skladu sa Zakonom o pravu na pristup informacijama („Narodne novine“, broj: 25/13, 85/15 i 69/22).
Cilj Zakona je omogućiti i osigurati ostvarivanje Ustavom Republike Hrvatske zajamčenog prava na pristup informacijama, kao i na ponovnu uporabu informacija fizičkim i pravnim osobama putem otvorenosti i javnosti djelovanja tijela javne vlasti.
Pravo na pristup informacijama temelji se na načelima javnosti i slobodnog pristupa, pravodobnosti, potpunosti i točnosti informacija, načelu jednakosti, načelu raspolaganja informacijom, načelu međusobnog poštivanja i suradnje te, sukladno članku 5. stavku 1. točki 5. Zakona „obuhvaća pravo korisnika na traženje i dobivanje informacije, kao i obvezu tijela javne vlasti da omogući pristup zatraženoj informaciji, odnosno da objavljuje informacije neovisno o postavljenom zahtjevu kada takvo objavljivanje proizlazi iz obveze određene zakonom ili drugim propisom“.
Informacija, u smislu navedenog Zakona (članak 5. stavak 1. točka 3.), predstavlja „svaki podatak koji posjeduje tijelo javne vlasti u obliku dokumenta, zapisa, dosjea, registra, neovisno o načinu na koji je prikazan (napisani, nacrtani, tiskani, snimljeni, magnetni, optički, elektronički ili neki drugi zapis), koji je tijelo izradilo samo ili u suradnji s drugim tijelima ili dobilo od druge osobe, a nastao je u okviru djelokruga ili u vezi s organizacijom i radom tijela javne vlasti“.
Ponovna uporaba informacija, u skladu s člankom 5. stavkom 1. točkom 6. Zakona „znači uporabu informacija tijela javne vlasti od strane fizičkih ili pravnih osoba, u komercijalnu ili nekomercijalnu svrhu različitu od izvorne svrhe za koju su informacije nastale, a koja se ostvaruje u okviru zakonom ili drugim propisom određenog djelokruga ili posla koji se uobičajeno smatra javnim poslom. Razmjena informacija između tijela javne vlasti radi obavljanja poslova iz njihova djelokruga ne predstavlja ponovnu uporabu“.
Pravilnikom o vrstama i sadržaju dozvola kojima se utvrđuju uvjeti ponovne uporabe informacija se uređuju vrste i sadržaj dozvola kojima se utvrđuju uvjeti za ponovnu uporabu informacija tijela javne vlasti.
Zahtjev za pravo na pristup informacijama i ponovnu uporabu informacija možete podnijeti Agenciji za zaštitu osobnih podataka:
- pisanim putem na adresu:
Agencija za zaštitu osobnih podataka
Selska cesta 136
10000 Zagreb
- putem elektroničke pošte:
Službenica za informiranje: Iva Kratzl
Agencija za zaštitu osobnih podataka ima pravo na naknadu stvarnih materijalnih troškova koji nastanu pružanjem informacije korisniku prava na pristup informacijama i ponovnu uporabu informacija, kao i na naknadu troškova dostave tražene informacije.
Visina naknade za pristup informacijama i ponovnu uporabu informacija, određena je sukladno kriterijima iz članka 19. stavka 3. Zakona o pravu na pristup informacijama:
Uredba o troškovima ponovne uporabe informacija
Odluka – službenik za informiranje
Zahtjev za pristup informacijama