ZAŠTITA OSOBNIH PODATAKA - hgk.hr · ZAŠTITA OSOBNIH PODATAKA - USTAVNA KATEGORIJA U čl. 37....
Transcript of ZAŠTITA OSOBNIH PODATAKA - hgk.hr · ZAŠTITA OSOBNIH PODATAKA - USTAVNA KATEGORIJA U čl. 37....
ZAŠTITA OSOBNIH PODATAKA - USTAVNAKATEGORIJA
U čl. 37. Ustava RH:
Svakom se jamči sigurnost i tajnost
osobnih podataka
Zabranjena je uporaba osobnih
podataka koja je u koliziji sa svrhom
njihovoga prikupljanja
NACIONALNO ZAKONODAVSTVO
Važeći propisi:
Zakon o zaštiti osobnih podataka (NN 106/12 – pročišćeni tekst)
Kao podzakonski akti u području zaštite osobnih podataka u RH u primjeni su:
Uredba o načinu vođenja i obrascu evidencije o
zbirkama osobnih podataka (NN 105/04)
Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04)
NOVI PROPISI O ZAŠTITI
OSOBNIH PODATAKA UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA
od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ -Opća uredba o zaštiti podataka
DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP
OPĆA UREDBA O ZAŠTITI PODATAKA - GDPR
Primjenjuje se od: 25.05.2018.
Primjena izravno u svim državama
članicama EU
Uredba je u cijelosti obvezujuća
PODRUČJA PRIMJENE GDPR
MATERIJALNO
Automatizirana i neautomatizirana
obrada osobnih podataka
Ne primjenjuje se na:
nacionalnu sigurnost,
zajedničku vanjsku i sigurnosnu politiku
EU,
u svrhu sprečavanja, istrage,
otkrivanja ili progona kaznenih djela,
aktivnosti fizičke osobe za vlastite
potrebe
TERITORIJALNO
obrada osobnih podataka u okviru
aktivnosti poslovnog nastana
voditelja ili izvršitelja obrade,
neovisno obavlja li se obrada u EU ili
izvan nje,
odnosi se i na aktivnosti voditelja ili
izvršitelj obrade bez poslovnog
nastana u EU (ponuda robe ili usluga
ispitanicima u EU ili praćenje njihovog
ponašanja)
GDPR - DEFINICIJE
Voditelj zbirke osobnih podataka= voditelj obrade
Pseudonimizacija
Sustav pohrane = zbirka osobnih podataka
Genetski podaci
Biometrijski podaci
Povreda osobnih podataka - kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
NAČELA GDPR
Zakonita, poštena i transparentna obrada
Ograničavanje svrhe
Smanjenje količine podataka
Točnost
Ograničenje pohrane
Cjelovitost i povjerljivost
Za usklađenost odgovara voditelj obrade čime se jamči POUZDANOST
ZAKONITOST OBRADE
Pravni temelj obrade osobnih podataka
Isključivo u taksativno navedenim slučajevima
Svrha obrade određuje se tom pravnom osnovom
Mora biti točno određena i osobni podaci se smiju
obrađivati samo u tu svrhu ili svrhu koja je podudarna sa svrhom prikupljanja
PRAVNA OSNOVA
privola dana za obradu osobnih podataka u jednu ili više posebnih svrha
nužna za izvršavanje ugovora u kojemu je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora
nužna radi poštivanja pravnih obveza voditelja obrade
nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe
nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade
nužna za potrebe legitimnih interesa voditelja obrade ili treće strane
PRIVOLA KAO PRAVNI TEMELJ - GDPR
Privola:
dokaziva (teret dokaza
na voditelju obrade)
isključiva
nedvosmislena
dobrovoljna
moguće povući u
svakom trenutku
POŠTIVANJE PRAVNIH OBVEZA - KAO PRAVNI TEMELJ
U smislu obveza koje voditelji obrade
izvršavaju na temelju posebnih propisa
Primjeri:
• Zakon o kreditnim institucijama
• Zakon o sprječavanju pranja novca i financiranja terorizma
• Zakon o administrativnoj suradnji u području poreza
LEGITIMNI INTERES - KAO PRAVNI
TEMELJ
ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća
mogao bi postojati u slučaju relevantnog i odgovarajućih odnosa ispitanika i voditelja obrade
primjerice kada je ispitanik klijent voditelja obrade
zahtijeva se pažljiva procjena, među ostalim i toga može li ispitanik u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu
može se smatrati da postoji kod obrade provedene za potrebe izravnog marketinga
OBRADA POSEBNIH KATEGORIJA OSOBNIHPODATAKA
Odnose se na
rasno ili etičko podrijetlo,
politička mišljenja,
vjerska filozofska uvjerenja
članstvo u sindikatu,
genskih podataka
biometrijskih podataka
podaci o zdravlju
spolna i seksualna orijentacija
mogućnost da države članice dodatno reguliraju uvjete za obradu genetskih, biometrijskih podataka ili podataka koji se odnose na zdravlje
PRAVNA OSNOVA – POSEBNA KATEGORIJA OSOBNIH PODATAKA
dana izričita privola
nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava u
području radnog prava te prava o socijalnoj sigurnosti
nužna za zaštitu životno važnih interesa ispitanika ili drugih pojedinaca ako ispitanik nije u mogućnosti dati privolu
obrada se provodi u sklopu legitimnih aktivnosti zaklada udruženja ili drugog neprofitnog tijela pod uvjetom da se obrada odnosi samo na članove, bivše članove
odnosi na osobne podatke za koje je očito da ih je objavio ispitanik
nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kada sudovi djeluju u sudbenom svojstvu
obrada nužna za potrebe javnog interesa (2)
obrada je nužna u svrhu preventivne medicine ili medicine rada, pružanja zdravstvene ili socijalne skrbi i upravljanje tim sustavima i uslugama
Obrada nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe
INFORMIRANJE ISPITANIKA - GDPR
Voditelj obrade poduzima
odgovarajuće mjere kako bi se
ispitaniku pružile sve informacije iz čl.
13. i 14. i sve komunikacije iz čl. 15 do
22. i čl. 34. u vezi s obradom u
sažetom, transparentnom,
razumljivom i lako dostupnom obliku,
uz uporabu jasnog i jednostavnog
jezika, osobito za svaku informaciju
koja je posebno namijenjena djetetu
MODALITETI OSTVARIVANJA PRAVA ISPITANIKA - GDPR
Pravo dobiti informaciju na sažet, transparentan, razumljiv i lako dostupan način
Pravo na pristup, ispravak, brisanje i “zaborav”
Ograničenje obrade
Pravo na prenosivost podataka
Pravo na prigovor
Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka
(Mogu biti ograničena)
AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA, UKLJUČUJUĆI PROFILIRANJE
Izrada profila – definirana u članku 4. Uredbe
•tri elementa: mora biti automatizirani oblik obrade, mora se provoditi na osobnim podacima i cilj profiliranja mora biti procjena osobnih aspekata o fizičkoj osobi
Automatizirano odlučivanje
•sposobnost donošenja odluka tehnološkim sredstvima bez ljudske uključenosti
Izrada profila podliježe pravilima ove Uredbe kojima se uređuje obrada osobnih podataka, kao što su pravna osnova obrade ili načela zaštite podataka
AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA, UKLJUČUJUĆI PROFILIRANJE - ČL. 22.
Ukratko, članak 22. propisuje:
•u pravilu postoji zabrana potpuno automatiziranog individualnog donošenja odluka, uključujući profiliranje koje ima pravni ili slično značajan učinak;
•postoje izuzeci od pravila;
•treba postojati mjere za zaštitu prava i sloboda i
• legitimnih interesa predmeta subjekta
Poduzimanje odgovarajućih mjera, uključujući kao minimum ljudsku intervenciju, izražavanje stajališta ispitanika i osporavanje odluke
AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA, UKLJUČUJUĆI PROFILIRANJE - ČL. 22
potrebno za sklapanje ili izvršavanje ugovora
(efikasnost, poboljšavanje učinkovitosti procesa, veća dosljednost ili pravednost pri donošenju odluka)
dopušteno pravom Unije ili pravom države članice (kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje)
temeljeno na izričitoj privoli
IZVRŠITELJI OBRADE
Provođenje obrade podataka u ime voditelja obrade jedino korištenjem izvršitelja obrade koji u dovoljnoj mjeri jamči provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu s Uredbom i da se njome osigurava zaštita prava ispitanika
Odnos se uređuje ugovorom ili drugim pravnim aktom
Obrađuje osobne podatke prema danim uputama
Osigurava da ovlaštene osobe u obradi podliježu povjerljivosti
Poduzima sve potrebne mjere zaštite za sigurnost obrade
Pomaže voditelju u osiguranju usklađenosti, daje potrebne informacije za dokazivanje usklađenosti i poštivanja obveza…
EVIDENCIJA AKTIVNOSTI OBRADE
Svaki voditelj obrade i predstavnik voditelja obrade vodi evidenciju aktivnosti obrade za koje je odgovoran;
Svaki izvršitelj obrade i predstavnik izvršitelja obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade;
Evidencija mora biti u pisanom obliku, uključujući elektronički oblik;
na zahtjev nadzornog tijela uvid u evidenciju;
ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako:
obrada koju provodi vjerojatno predstavlja visok rizik za prava i slobode ispitanika,
stalna obrada,
obrada uključuje posebne kategorije podataka,
ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima
POSLOVNI SUBJEKTI
Omogućavanje ostvarivanje prava ispitanika
Izvještavanje nadzornog tijela o povredi osobnih podataka
Obavještavanje ispitanika o povredi osobnih podataka
Obveza provođenja tehničkih i organizacijskih mjera
Imenovanje službenika za zaštitu osobnih podataka
Kodeksi ponašanja i certificiranje
IZVJEŠĆIVANJE NADZORNOG TIJELA O POVREDI OSOBNIH PODATAKA
Članak 33. Uredbe
Voditelj obrade bez nepotrebnog odgađanja i najkasnije 72 sata nakon saznanja o povredi
Osim ako nije vjerojatno da će povreda prouzročiti rizik u odnosu na prava i sloboda pojedinca
Izvješćivanje mora sadržavati:
1. opis povrede osobnih podataka
2. ime i kontakt podatke službenika ili druge kontaktne točke
3. opis vjerojatne posljedice povrede osobnih podataka
4. opis mjere koje su poduzete ili koje se namjeravaju poduzeti (uključujući mjere za umanjenje mogućih štetnih posljedica)
IZVJEŠĆIVANJE ISPITANIKA - O POVREDI OSOBNIH PODATAKA
Članak 34. Uredbe
U slučaju povrede koje će vjerojatno prouzročiti visok rizik za njihova prava
Obavješćivanje sadrži:
1. opis povrede osobnih podataka
2. ime i kontakt podatke službenika ili druge kontaktne točke
3. opis vjerojatne posljedice povrede osobnih podataka
4. opis mjere koje su poduzete ili koje se namjeravaju poduzeti
PROCJENA UČINKA NA ZAŠTITU
OSOBNIH PODATAKA
Ako je vjerojatno da će neke vrste obrade prouzročiti visoki rizik na
prava i slobode pojedinaca
Obvezna u sljedećim slučajevima:
1. sustavne i opsežne procjene osobnih aspekta pojedinaca koji se
temelji na automatiziranoj obradi, uključujući izradu profila, a odluke
proizvode pravne učinke ili na sličan način značajno utječu na njega
2. opsežne obrade posebnih kategorija osobnih podataka
3. sustavnog praćenja javno dostupnog područja u velikoj mjeri
PROCJENA UČINKA NA ZAŠTITU OSOBNIH PODATAKA
Uredbom utvrđeno da sadrži barem:
1. Sustavan opis predviđenih postupaka obrade i svrha obrade
2. Procjenu nužnosti i proporcionalnosti
3. Mjere predviđene za rješavanje problema rizika te za dokazivanje sukladnosti s Uredbom
4. Procjena rizika za prava i slobode ispitanika
Alat za upravljanje rizicima promatrajući situaciju iz perspektive ispitanika
Metodologije, kriteriji za prihvatljivu procjenu učinka – Smjernice o procjeni učinka za zaštitu podataka
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA
Obveza imenovanja – voditelj obrade ili
izvršitelj obrade
U slučajevima kada:
Obradu provodi tijelo javne vlasti ili javno
tijelo (iznimka sudovi u obavljanju njihove
nadležnosti)
Osnovna djelatnosti sastoji se od postupaka
obrade koje iziskuju redovito i sustavno
praćenje ispitanika u velikoj mjeri
Osnovna djelatnost sastoji se od opsežne
obrade posebnih kategorija osobnih
podataka
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA
Grupa poduzetnika može
imenovati zajedničkog službenika pod uvjetom da je lako dostupan iz
svakog poslovnog nastana
Imenovanje temeljem stručnih
kvalifikacija, osobito stručnog
znanja o pravu i praksama u
području zaštite osobnih podataka
te sposobnosti izvršavanja zadaća
SLUŽBENIK ZA ZAŠTITU OSOBNIH
PODATAKA
Može biti angažiran na temelju ugovora o djelu
Izravno odgovara najvišoj rukovodećoj razini
Ne smije primati upute u pogledu izvršavanja zadaća
Propisana zabrana razrješenja dužnosti ili kažnjavanja zbog izvršavanja
zadaća
Sukob interesa
Obvezan tajnošću i povjerljivošću u vezi s obavljanjem svojih zadaća
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA
Zadaće iz čl. 39. Uredbe:
Informiranje i savjetovanje poslodavca i drugih zaposlenika
Praćenje poštivanja odredbi Uredbe te politika
zaštite voditelja ili izvršitelja obrade
Pružanje savjeta – procjena učinaka na zaštitu osobnih podataka
Suradnja sa nadzornim tijelom
Kontakt točka
IZNOŠENJE OSOBNIH PODATAKA IZ RH – ZZOP
PRAVILA I IZNIMKE
Zbirke osobnih podataka smiju se iznositi iz RH
samo u države ili međunarodne organizacije
koje imaju odgovarajuće uređenu zaštitu
osobnih podataka
Listu zemalja objavljuje EK – sve zemlje
europskog gospodarskog prostora
Iznimke taksativno navedene u zakonu
(privola, iznošenje nužno u svrhu zaštite života
ili tjelesnog integriteta ispitanika, ako voditelj pruži dovoljna jamstva zaštite koja proizlaze iz
ugovornih odredbi...)
PRIJENOSI OSOBNIH PODATAKA TREĆIM ZEMLJAMA ILI MEĐUNARODNIM ORGANIZACIJAMA
Prijenosi na temelju odluke o primjerenosti - može se dogoditi kada Komisija odluči da treća zemlja ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje;
Prijenosi koji podliježu odgovarajućim zaštitnim mjerama - mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo;
Obvezujuća korporativna pravila
NEOVISNA NADZORNA TIJELA - zadaće
Prati i provodi primjenu Opće Uredbe
Promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom
Promiče osviještenost voditelja obrade i izvršitelja obrade o njihovim obvezama
Savjetuje nacionalni parlament, vladu i druge institucije i tijela u vezi zaštite osobnih podataka
NEOVISNA NADZORNA TIJELA
Ovlasti:
savjetodavne
istražne
Korektivne
Izricanje upravnih novčanih kazni