Uredba o GDPR-u

UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA

od 27. travnja 2016.

o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

USLUGA IZRADE GDPR-a, TE MIŠLJENJE I REVIZIJA VAŠEG POSTOJEĆEG GDPR-a SA PREPORUKAMA ZA IMPLEMENTACIJU

Općom Uredbom (EU) broj 2016/679 i Zakonom o provedbi Opće uredbe o  zaštiti podataka („Narodne novine“ broj 42/18) propisana je obveza svih subjekta (voditelja obrade) koji raspolažu s osobnim podacima (ispitanika) za usklađivanjem s odredbama Uredbe i Zakona.

Osim zapriječenim kaznama od Agencije za zaštitu osobnih podataka (AZOP) svaki subjekt je izložen i visokom riziku tužbi i sudskih postupaka od strane svih onih čije osobne podatke prikuplja, obrađuje i čuva, što predstavlja puno veću realnu opasnost za nastanak štete.

Nadalje, svima vrlo važna informacija:

Agencija za zaštitu osobnih podataka (AZOP) je proteklih dana uputila dopise i zahtjeve za dostavom svim onim subjektima koji su bili u obvezi, a očito nisu imenovali, tj. dostavili odluku o imenovanju Službenika za zaštitu osobnih podataka Agenciji.

Slijedom Uredbe, svaki subjekt mora utvrditi te Nadzornom tijelu-AZOP-u (Agenciji za zaštitu osobnih podataka), na zahtjev,  biti u mogućnosti u pisanom obliku predočiti:

  1. koje sve kategorije osobnih podataka svojih ispitanika (stranaka, klijenta, korisnika, obveznika), ali i zaposlenika i/ili vanjskih suradnika  prikuplja, obrađuje i čuva
  2. u koju svrhu obrade podatke prikuplja/obrađuje/čuva
  3. ima li u tome  i koje zakonsko uporište ili mu je potrebna privola
  4. kojim točno primateljima prikupljene osobne podatke šalje,
  5. u kojem obliku podatke vodi i čuva ,
  6. koji je rok čuvanja/brisanja podataka propisao
  7. koje  je konkretne tehničke i organizacijske mjere za zaštitu podataka poduzeo
  8. kojim je  dokumentima definirao  prava svojih ispitanika
  9. kojim dokumentima je regulirao obveze i postupanja zaposlenih i osoba uključenih u proces zaštite osobnih podataka

Projekt zaštite osobnih podataka je opsežan i složen proces i uključuje:

Fazu I
-Snimku stanja
-Izradu pojedinačnih evidencija o aktivnostima obrade
-Izradu svih potrebnih akata (procedura, politika, pravilnika, protokola, mjera zaštite i   uputa)
-Edukciju  zaposlenih (na svim nivoima unutar subjekta)

Faza II
-Izrada procesa po evidencijama
-Registar rizika

Faza III
-Usklađenje sa Zakonom o pravu na pristup informacijama i test razmjernosti

Faza IV
-Revidiranje te prilagodbu svih postojećih dokumenata odredbama GDPR-a   implementacija u poslovanje

Ukoliko želite provjeriti i biti sigurni da ste projektu  zaštite osobnih podataka pristupili na pravilan te ga izradili na potpun način, u skladu s Uredbom i Zakonom, obratite nam se i zatražite naše mišljenje.

Od ovoga se izuzimaju 164 subjekta kojima je SEVOI GRUPA izradila GDPR zato što su izrađeni po zahtjevu Norme i Zakonu o provedbi Opće uredbe o zaštiti podataka.

Predmet ponude:

  1. Izrada GDPR-a
  2. Mišljenje o postojećem GDPR-u (izradili sami, izradila Vam konzultantska kuća)
  3. Revizija i nadopune Vašeg postojećeg, eventualno nepotpunog GDPR-a
  4. Prilagodba postojećih obrazaca sa implementacijom i edukacijom djelatnika
  5. Softverska aplikacija i unos GDPR-a u aplikaciju

U slučaju potrebe za bilo kojom od gore navedenih usluga obratite nam se putem e-mail adresa:

jbiki@sevoi.eu
aprsa@sevoi.eu

Na raspolaganju Vam je tim stručnih savjetnika s opsežnim iskustvom stečenim tijekom 164 implementirana projekta GDPR-a.

Zakon o provedbi Opće uredbe o zaštiti podataka

ZAKON O PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA

I. OPĆE ODREDBE

Predmet Zakona

Članak 1.

(1) Ovim Zakonom osigurava se provedba Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP) (SL L 119, 4. 5. 2016.) (u daljnjem tekstu: Opća uredba o zaštiti podataka).

(2) Ovaj se Zakon ne odnosi na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprječavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja, kao ni na područje nacionalne sigurnosti i obrane.

Rodna neutralnost
Članak 2.

Izrazi koji se koriste u ovom Zakonu, a koji imaju rodno značenje, bez obzira na to jesu li korišteni u muškom ili ženskom rodu, obuhvaćaju na jednak način muški i ženski rod.

Pojmovi
Članak 3.

(1) Pojmovi u smislu ovoga Zakona imaju jednako značenje kao pojmovi korišteni u Općoj uredbi o zaštiti podataka.

(2) »Tijela javne vlasti« u smislu ovoga Zakona su: tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave.

II. NADLEŽNA TIJELA
Nadzorno tijelo
Članak 4.

(1) Nadzorno tijelo u smislu odredbe članka 51. Opće uredbe o zaštiti podataka je Agencija za zaštitu osobnih podataka (u daljnjem tekstu: Agencija).

(2) Agencija je neovisno državno tijelo. Agencija je u svom radu samostalna i neovisna i za svoj rad odgovara Hrvatskome saboru.

(3) Sjedište Agencije je u Zagrebu.

Akreditacijsko tijelo
Članak 5.

Nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 nadležno je tijelo za akreditiranje certifikacijskih tijela sukladno članku 43. stavku 1. Opće uredbe o zaštiti podataka.

Ovlasti Agencije
Članak 6.

(1) Osim ovlasti utvrđenih Općom uredbom o zaštiti podataka, Agencija obavlja sljedeće poslove:

– kada je propisano posebnim zakonom, može pokrenuti i ima pravo sudjelovati u kaznenim, prekršajnim, upravnim i drugim sudskim i izvansudskim postupcima zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona

– donosi Kriterije za određivanje visine naknade administrativnih troškova iz članka 43. stavka 2. ovoga Zakona i Kriterije za određivanje visine naknade iz članka 43. stavka 3. ovoga Zakona

– objavljuje pojedinačne odluke sukladno člancima 18. i 48. ovoga Zakona na mrežnim stranicama Agencije

– pokreće i vodi odgovarajuće postupke protiv odgovornih osoba zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona

– obavlja poslove neovisnog nadzornog tijela za praćenje primjene Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, osim ako posebnim propisima nije drugačije određeno

– obavlja druge zakonom propisane poslove.

(2) Ako Agencija posumnja u valjanost provedbene odluke Europske komisije o primjerenosti i o standardnim ugovornim klauzulama, obustavit će upravni postupak i ustupiti predmet Visokom upravnom sudu Republike Hrvatske na rješavanje upravne stvari.

(3) U postupku iz stavka 2. ovoga članka Visoki upravni sud Republike Hrvatske, ako smatra kako odluka Europske komisije nije valjana, uputiti će zahtjev o ocjeni valjanosti predmetne odluke Sudu Europske unije sukladno članku 267. Ugovora o funkcioniranju Europske unije.

(4) Agencija obavlja nadzor nad provedbom ovoga Zakona.

III. AGENCIJA ZA ZAŠTITU OSOBNIH PODATAKA
Upravljanje Agencijom
Članak 7.

(1) Radom Agencije upravlja ravnatelj (u daljnjem tekstu: ravnatelj).

(2) Ravnatelj ima zamjenika.

(3) Ravnatelja i zamjenika ravnatelja imenuje Hrvatski sabor na prijedlog Vlade Republike Hrvatske, temeljem javnog poziva za dostavu kandidatura.

(4) Ravnatelj i zamjenik ravnatelja imenuju se na razdoblje od četiri godine i na tu dužnost mogu biti imenovani najviše dva puta.

(5) Središnje tijelo državne uprave nadležno za sustav državne uprave objavit će javni poziv za dostavu kandidatura za ravnatelja i zamjenika ravnatelja najkasnije šest mjeseci prije isteka mandata ravnatelja i zamjenika ravnatelja odnosno najkasnije 30 dana nakon prestanka dužnosti ako mu je dužnost prestala prije isteka mandata. Središnje tijelo državne uprave nadležno za sustav državne uprave dostavlja Vladi Republike Hrvatske podnesene kandidature, uz naznaku kandidata koji su podnijeli pravodobnu i potpunu kandidaturu.

(6) Vlada Republike Hrvatske utvrđuje prijedlog kandidata za ravnatelja odnosno zamjenika ravnatelja i upućuje ga Hrvatskome saboru.

(7) U slučaju prestanka mandata ravnatelja prije isteka vremena na koje je ravnatelj imenovan dužnost ravnatelja obnašati će zamjenik do imenovanja ravnatelja u postupku pokrenutom sukladno stavku 5. ovoga članka, a najduže šest mjeseci.

Uvjeti za imenovanje ravnatelja i zamjenika ravnatelja
Članak 8.

(1) Za ravnatelja i zamjenika ravnatelja može biti imenovana osoba koja ispunjava sljedeće uvjete:

– ima hrvatsko državljanstvo i prebivalište na području Republike Hrvatske

– ima završen preddiplomski i diplomski sveučilišni studij ili integrirani preddiplomski i diplomski sveučilišni studij ili specijalistički preddiplomski i diplomski stručni studij

– ima najmanje deset godina radnog iskustva u struci

– istaknuti je stručnjak s priznatim profesionalnim ugledom te stručnim znanjem i iskustvom iz područja zaštite osobnih podataka

– nije osuđivana i protiv nje se ne vodi kazneni postupak za kaznena djela za koja se postupak pokreće po službenoj dužnosti

– nije član političke stranke.

(2) Na ravnatelja i zamjenika ravnatelja primjenjuju se odredbe propisa kojima se uređuju obveze i prava državnih dužnosnika i propisa kojima se uređuje sprječavanje sukoba interesa.

(3) Koeficijent za izračun plaće ravnatelja je 5,50.

(4) Koeficijent za izračun plaće zamjenika ravnatelja je 4,26.

Razrješenje ravnatelja i zamjenika ravnatelja
Članak 9.

(1) Hrvatski sabor razriješit će dužnosti ravnatelja i zamjenika ravnatelja prije isteka vremena na koje je izabran:

– ako to sam zatraži

– ako nastupe okolnosti zbog kojih više ne ispunjava uvjete za izbor

– ako je počinio tešku povredu dužnosti. Smatra se da je ravnatelj odnosno zamjenik ravnatelja izvršio tešku povredu dužnosti ako ne obavlja dužnost u skladu sa zakonom.

(2) Postupak za razrješenje ravnatelja i zamjenika ravnatelja pokreće se na prijedlog Vlade Republike Hrvatske.

Stručna služba
Članak 10.

(1) Agencija ima stručnu službu.

(2) Na zaposlene u stručnoj službi Agencije primjenjuju se odredbe propisa kojima se uređuju prava i obveze državnih službenika.

(3) Način rada, način planiranja i obavljanja poslova, unutarnje ustrojstvo te druga pitanja važna za obavljanje poslova Agencije uređuju se Pravilnikom o radu Agencije koji donosi ravnatelj.

(4) Pravilnik o radu Agencije potvrđuje Hrvatski sabor. Pravilnik se objavljuje u »Narodnim novinama«.

(5) Na unutarnje ustrojstvo stručne službe Agencije odgovarajuće se primjenjuje uredba kojom se propisuju načela za unutarnje ustrojstvo tijela državne uprave, u dijelu koji se odnosi na državne upravne organizacije.

(6) Ravnatelj donosi Pravilnik o unutarnjem redu kojim se uređuje broj državnih službenika potrebnih za obavljanje poslova s naznakom njihovih osnovnih poslova i zadaća te stručnih uvjeta potrebnih za njihovo obavljanje, njihove ovlasti i odgovornosti te druga pitanja od važnosti za rad Agencije.

Članak 11.

Ravnatelj, zamjenik ravnatelja i službenici Agencije ne smiju obavljati poslove službenika za zaštitu podataka za drugog voditelja ili izvršitelja obrade.

Članak 12.

(1) Ravnatelj, zamjenik ravnatelja i službenici Agencije koji obavljaju poslove nadzora imaju službenu iskaznicu kojom dokazuju službeno svojstvo, identitet i ovlasti.

(2) Oblik i sadržaj službene iskaznice utvrđuju se Pravilnikom o radu iz članka 10. ovoga Zakona.

Članak 13.

(1) Ravnatelj, zamjenik ravnatelja i službenici Agencije dužni su kao profesionalnu tajnu odnosno kao drugu odgovarajuću vrstu tajne, sukladno zakonu kojim se uređuje tajnost podataka, čuvati sve osobne i druge povjerljive podatke koje saznaju u obavljanju svojih dužnosti.

(2) Obveza iz stavka 1. ovoga članka traje i nakon prestanka obnašanja dužnosti ravnatelja, zamjenika ravnatelja odnosno nakon prestanka službe u Agenciji.

Suradnja s tijelima državne uprave i drugim tijelima

Članak 14.

Središnja tijela državne uprave i druga državna tijela dužna su Agenciji dostaviti nacrte prijedloga zakona i prijedloge drugih propisa kojima se uređuju pitanja vezana uz obradu osobnih podataka radi davanja stručnih mišljenja u odnosu na područje zaštite osobnih podataka.

Suradnja s nadzornim tijelima za zaštitu podataka drugih država
Članak 15.

(1) Predstavnici gostujućeg nadzornog tijela imaju ovlasti za provođenje zajedničkih operacija, uključujući istrage i zajedničke mjere provedbe, u skladu s odredbama ovoga Zakona i Opće uredbe o zaštiti podataka.

(2) Sporazumom između Agencije i gostujućeg nadzornog tijela Agencija daje ovlast predstavnicima gostujućeg nadzornog tijela da prate i sudjeluju u provođenju nadzornih aktivnosti sukladno članku 62. Opće uredbe o zaštiti podataka.

(3) Sporazumom iz stavka 2. ovoga članka utvrdit će se istražne ovlasti iz članka 58. stavka 1. Opće uredbe o zaštiti podataka koje će se dodijeliti gostujućem nadzornom tijelu te osobno ime i radno mjesto predstavnika gostujućeg nadzornog tijela koji će sudjelovati u zajedničkoj operaciji.

(4) Kada predstavnici gostujućeg nadzornog tijela sudjeluju u zajedničkim operacijama na području Republike Hrvatske, voditelj obrade, izvršitelj obrade i ispitanik te sve druge stranke koje su neposredno uključene u konkretnu radnju moraju prije početka zajedničke operacije biti upoznate da u operaciji sudjeluju i predstavnici gostujućeg nadzornog tijela.

Sredstva za rad Agencije
Članak 16.

Sredstva za rad Agencije osiguravaju se u državnom proračunu Republike Hrvatske.

Godišnje izvješće o radu
Članak 17.

(1) Agencija je dužna podnijeti godišnje izvješće o svojem radu Hrvatskome saboru, najkasnije do 31. ožujka tekuće godine za prethodnu godinu. Godišnje izvješće obvezno sadrži:

– broj upita ispitanika i broj pritužbi

– broj rješenja donesenih po pritužbi ispitanika i po službenoj dužnosti, uključujući broj provedenih nadzornih aktivnosti

– broj zaprimljenih izvješća voditelja obrade o povredi osobnih podataka iz članka 33. Opće uredbe o zaštiti podataka i o nadzornim aktivnostima provedenima povodom takvih izvješća

– broj provedenih prethodnih savjetovanja sukladno članku 36. Opće uredbe o zaštiti podataka

– broj postupanja u vezi s kodeksom ponašanja i certificiranjem sukladno člancima 40. ‒ 43. Opće uredbe o zaštiti podataka

– broj odobrenih ugovornih klauzula i odredaba administrativnih dogovora sukladno članku 46. stavku 3. Opće uredbe o zaštiti podataka

– broj i vrstu utvrđenih povreda, izdanih upozorenja, službenih opomena i izrečenih upravnih novčanih kazni i drugih vrsta mjera poduzetih sukladno članku 58. stavku 2. Opće uredbe o zaštiti podataka

– broj i opis međunarodnih ugovora, zakonskih i podzakonskih akata na koje je dao mišljenje u vezi s područjem zaštite osobnih podataka, uz naznaku kada je mišljenje dano na zahtjev nadležnog tijela, a kada po službenoj dužnosti

– opis aktivnosti u okviru Europskog odbora za zaštitu podataka i drugih krovnih organizacija iz područja zaštite osobnih podataka

– opis aktivnosti suradnje s državnim i drugim tijelima u Republici Hrvatskoj

– opis aktivnosti osvješćivanja pojedinaca, voditelja obrade, izvršitelja obrade i drugih ciljanih skupina

– analizu i ocjenu ostvarivanja prava na zaštitu osobnih podataka.

(2) Godišnje izvješće obvezno sadrži i podatke o ostvarenim prihodima i rashodima za izvještajno razdoblje za koje se izvješće podnosi te podatke o broju zaposlenih i strukturi zaposlenih prema stručnoj spremi.

(3) Godišnje izvješće objavljuje se na mrežnim stranicama Agencije.

Objava mišljenja i rješenja Agencije
Članak 18.

(1) Rješenja i mišljenja Agencije koja se odnose na vrste obrada koje, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade, mogu prouzročiti visoki rizik za prava i slobode pojedinaca objavljuju se na mrežnim stranicama Agencije.

(2) Mišljenja i rješenja iz stavka 1. ovoga članka anonimiziraju se ili pseudonimiziraju.

(3) Iznimno od stavka 2. ovoga članka, kada se mišljenja i rješenja Agencije iz stavka 1. ovoga članka odnose na maloljetne osobe, primjenjuje se tehnika anonimizacije informacija koje se na njih odnose radi osiguranja visoke razine zaštite njihove privatnosti.

IV. OBRADA OSOBNIH PODATAKA U POSEBNIM SLUČAJEVIMA
Privola djeteta u odnosu na usluge informacijskog društva
Članak 19.

(1) Kod primjene članka 6. stavka 1. točke (a) Opće uredbe o zaštiti podataka, u vezi s nuđenjem usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina.

(2) Odredba stavka 1. ovoga članka primjenjuje se na dijete čije je prebivalište u Republici Hrvatskoj.

(3) Postupanje suprotno odredbama ovoga članka smatra se kršenjem članka 8. Opće uredbe o zaštiti podataka i podliježe sankcioniranju sukladno članku 83. Opće Uredbe o zaštiti podataka.

Obrada genetskih podataka
Članak 20.

(1) Zabranjena je obrada genetskih podataka radi izračuna izgleda bolesti i drugih zdravstvenih aspekata ispitanika u okviru radnji za sklapanje ili izvršavanje ugovora o životnom osiguranju i ugovora s klauzulama o doživljenju.

(2) Privolom ispitanika ne može se ukinuti zabrana iz stavka 1. ovoga članka.

(3) Odredba stavka 1. ovoga članka primjenjuje se na ispitanike koji u Republici Hrvatskoj sklapaju ugovore o životnom osiguranju i ugovore s klauzulama o doživljenju ako obradu provodi voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj.

(4) Postupanje suprotno odredbama ovoga članka smatra se kršenjem članka 9. Opće uredbe o zaštiti podataka i podliježe sankcioniranju sukladno članku 83. stavku 5. Opće uredbe o zaštiti podataka.

Obrada biometrijskih podataka
Članak 21.

(1) U tijelima javne vlasti obrada biometrijskih podataka može se provoditi samo ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka.

(2) Smatrati će se da je obrada biometrijskih podataka u skladu sa zakonom ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice.

Članak 22.

(1) Obrada biometrijskih podataka u privatnom sektoru može se provoditi samo ako je propisana zakonom ili ako je nužna za zaštitu osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka.

(2) Pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga izričita je privola takvog ispitanika dana u skladu s odredbama Opće uredbe o zaštiti podataka.

Članak 23.

Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka.

Članak 24.

(1) Odredbe ovoga Zakona o obradi biometrijskih podataka primjenjuju se na ispitanike u Republici Hrvatskoj ako obradu provodi:

– voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj

– tijelo javne vlasti.

(2) Odredbe ovoga Zakona o obradi biometrijskih podataka ne utječu na obvezu provođenja procjene učinka sukladno članku 35. Opće uredbe o zaštiti podataka.

(3) Odredbe ovoga Zakona o obradi biometrijskih podataka ne primjenjuju se na područje obrane, nacionalne sigurnosti i sigurnosno-obavještajnog sustava.

Obrada osobnih podataka putem videonadzora
Članak 25.

(1) Videonadzor u smislu odredbi ovoga Zakona odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.

(2) Ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona.

Članak 26.

(1) Obrada osobnih podataka putem videonadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.

(2) Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja svrhe iz stavka 1. ovoga članka.

Članak 27.

(1) Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.

(2) Obavijest iz stavka 1. ovoga članka treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

– da je prostor pod videonadzorom

– podatke o voditelju obrade

– podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.

Članak 28.

(1) Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

(2) Osobe iz stavka 1. ovoga članka ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona.

(3) Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba.

(4) Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.

(5) Pristup podacima iz stavka 1. ovoga članka imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.

Članak 29.

Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.

Videonadzor radnih prostorija
Članak 30.

(1) Obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora.

(2) Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.

Videonadzor stambenih zgrada
Članak 31.

(1) Za uspostavu videonadzora u stambenim odnosno poslovno-stambenim zgradama potrebna je suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova.

(2) Videonadzorom može se obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničke prostorije u stambenim zgradama.

(3) Zabranjeno je korištenje videonadzora za praćenje radne učinkovitosti domara, spremačica i drugih osoba koje rade u stambenoj zgradi.

Videonadzor javnih površina
Članak 32.

(1) Praćenje javnih površina putem videonadzora dozvoljeno je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.

(2) Odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe o zaštiti podataka na sustavno praćenje javno dostupnog područja u velikoj mjeri.

Obrada osobnih podataka u statističke svrhe
Članak 33.

(1) U okviru obrade osobnih podataka u svrhu proizvodnje službene statistike u skladu s posebnim propisima iz područja službene statistike, tijela koja proizvode službenu statistiku nisu dužna osigurati ispitanicima pravo pristupa osobnim podacima, pravo na ispravak osobnih podataka, pravo na ograničenje obrade osobnih podataka niti pravo na prigovor na obradu osobnih podataka, i to radi osiguravanja uvjeta nužnih za ostvarivanje svrhe službene statistike u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih svrha te kada su takva odstupanja od prava prijeko potrebna za postizanje tih svrha.

(2) Tijela nadležna za proizvodnju službene statistike dužna su primjenjivati tehničke i organizacijske mjere zaštite podataka prikupljenih za potrebe službene statistike.

(3) Voditelji obrade osobnih podataka prilikom prijenosa osobnih podataka tijelima nadležnima za službenu statistiku nisu dužni obavještavati ispitanike o prijenosu osobnih podataka u statističke svrhe.

(4) Obrada osobnih podataka u statističke svrhe smatra se podudarnom svrsi za koju su podaci prikupljeni, pod uvjetom da se poduzmu odgovarajuće zaštitne mjere.

(5) Osobni podaci obrađeni u statističke svrhe ne smiju omogućiti identifikaciju osobe na koju se podaci odnose.

V. POSTUPAK U NADLEŽNOSTI AGENCIJE I PRAVNI LIJEKOVI
Članak 34.

(1) Svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno ovim Zakonom i Općom uredbom o zaštiti podataka, može Agenciji podnijeti zahtjev za utvrđivanje povrede prava.

(2) O povredi prava Agencija odlučuje rješenjem.

(3) Rješenje Agencije je upravni akt.

(4) Protiv rješenja Agencije žalba nije dopuštena, ali se tužbom može pokrenuti upravni spor pred nadležnim upravnim sudom.

Članak 35.

(1) Ako je rješenjem naloženo brisanje ili drugo nepovratno uklanjanje osobnih podataka, nezadovoljna stranka može zatražiti od nadležnog upravnog suda odgodu izvršenja brisanja ili drugog nepovratnog uklanjanja osobnih podataka ako dokaže da bi nerazmjernim naporima ponovno prikupila osobne podatke čije se brisanje odnosno nepovratno uklanjanje traži.

(2) Ako nadležni upravni sud prihvati zahtjev iz stavka 1. ovoga članka, stranka kojoj je naloženo brisanje ili drugo nepovratno uklanjanje osobnih podataka dužna je blokirati svaku obradu spornih osobnih podataka, osim njihova čuvanja, do donošenja pravomoćne sudske odluke.

Provedba nadzora
Članak 36.

(1) Ovlašteni službenici Agencije samostalno, a u određenim slučajevima i uz sudjelovanje predstavnika gostujućeg nadzornog tijela (u daljnjem tekstu: ovlaštene osobe), mogu provesti najavljeni ili nenajavljeni nadzor. O provedbi nenajavljenog nadzora nadzirana osoba odnosno voditelj obrade ili izvršitelj obrade bit će obaviješteni na mjestu i u trenutku provedbe nadzora.

(2) Prije početka obavljanja nadzora iz stavka 1. ovoga članka ovlaštene osobe dužne su predstaviti se predočenjem službene iskaznice i naloga za nadzor.

(3) Ako se kod provođenja nadzora očekuje njegovo ometanje pružanjem otpora, Agencija će uputiti pisani zahtjev ministarstvu nadležnom za unutarnje poslove za pružanje pomoći pri provođenju tih nadzornih aktivnosti.

(4) Na temelju zahtjeva Agencije ministarstvo nadležno za unutarnje poslove dužno je, u skladu s posebnim propisima, pružiti pomoć pri provedbi nadzora iz stavka 2. ovoga članka.

(5) Nalog za provedbu nadzora iz stavka 1. ovoga članka izdaje ravnatelj Agencije.

Preslike, pečaćenje i privremeno uzimanje sustava pohrane i opreme
Članak 37.

(1) Ovlaštene osobe, prema potrebi, mogu napraviti preslike dostupnih dokumenata, presnimiti sve sadržaje sustava pohrane i prikupiti druge relevantne informacije.

(2) Ako iz tehničkih razloga nije moguće tijekom nadzora napraviti preslike potrebne dokumentacije, ovlaštene osobe će, prema potrebi, oduzeti potrebne sustave pohrane i opremu koja sadržava druge relevantne informacije i zadržati je koliko je potrebno za izradu preslika te dokumentacije, a najduže do 15 dana od dana oduzimanja sustava pohrane i opreme.

(3) Ovlaštene osobe mogu zapečatiti sustave pohrane ili opremu za vrijeme nadzora i u opsegu prijeko potrebnom za provedbu nadzornih aktivnosti ako postoji opasnost od uništenja ili izmjena dokaza, a najduže 15 dana od dana pečaćenja sustava pohrane ili opreme.

(4) O kopiranju, pečaćenju i privremenom uzimanju sustava pohrane i opreme ovlaštena osoba dužna je sastaviti službenu zabilješku sa svim relevantnim informacijama o podacima ili opremi obuhvaćenoj radnjom i njezin primjerak predati nadziranom subjektu.

Sumnja na kazneno djelo
Članak 38.

Ako se pri provedbi nadzora dođe do saznanja ili pronađu predmeti koji upućuju na počinjenje kaznenog djela za koje se progoni po službenoj dužnosti, ovlaštene osobe u najkraćem će roku izvijestiti nadležnu policijsku postaju ili državnog odvjetnika.

Klasificirani podaci
Članak 39.

(1) Svaki pristup, kopiranje i bilo kakva druga obrada podataka koji su klasificirani s utvrđenim stupnjem tajnosti na temelju posebnog propisa provest će se sukladno propisima kojima se uređuje zaštita tajnosti podataka.

(2) Svaki pristup, kopiranje i bilo kakvu drugu obradu podataka koja je klasificirana s utvrđenim stupnjem tajnosti na temelju posebnog propisa provest će službenici koji imaju valjani certifikat za pristup klasificiranim podacima sukladno propisima kojima se uređuje zaštita tajnosti podataka.

Zapisnik o provedenom nadzoru
Članak 40.

(1) O provedenom nadzoru sastavlja se zapisnik. Zapisnik sadrži osobito:

1. mjesto i datum provedbe nadzora

2. naznaku je li nadzor bio najavljen ili nenajavljen

3. osobna imena i potpise ovlaštenih osoba koje su sudjelovale u nadzoru i predstavnika nadzirane osobe

4. opis tijeka i sadržaja svake provedene radnje tijekom nadzora i danih izjava

5. popis dokumenata i ostalih predmeta korištenih, kopiranih, zapečaćenih i/ili privremeno oduzetih tijekom nadzorne aktivnosti

6. pouku o pravu na ulaganje primjedbi na zapisnik.

(2) Ako je zapisnik iz stavka 1. ovoga članka sastavljen neposredno na mjestu provedbe nadzora, nadzirana osoba može uložiti primjedbe na zapisnik koje će ovlaštena osoba unijeti u njega.

(3) Ako je zapisnik iz stavka 1. ovoga članka sastavljen nakon provedbe nadzora, on će se dostaviti nadziranoj osobi.

(4) Nadzirana osoba na zapisnik iz stavaka 2. i 3. ovoga članka ima pravo u roku od 15 dana od dana njegova primitka uložiti primjedbe u pisanom obliku. U roku od 15 dana od dana primitka primjedbi nadziranoj osobi dostavit će se pisani odgovor o prihvaćanju odnosno neprihvaćanju primjedbi.

(5) Ako nadzirana osoba u roku iz stavka 4. ovoga članka ne dostavi primjedbe na zapisnik, smatrati će se da na njega nema primjedbi.

uženje koje je osnovano u skladu sa zakonom, a u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnese pritužbu u njegovo ime i da u njegovo ime ostvaruje prava iz članka 77., 78. i 79. Opće uredbe o zaštiti podataka i pravo na naknadu iz članka 82. Opće uredbe o zaštiti podataka.

Davanje stručnih mišljenja
Članak 42.

(1) Na pisani zahtjev fizičke ili pravne osobe Agencija daje stručno mišljenje iz područja zaštite osobnih podataka, najkasnije u roku od 30 dana od dana podnošenja zahtjeva, ovisno o složenosti zahtjeva.

(2) Ako je pri davanju stručnog mišljenja potrebno uključiti i druga tijela u tuzemstvu ili u inozemstvu u svrhu dobivanja podataka ili informacija bitnih za stručno mišljenje, rok za davanje mišljenja iz stavka 1. ovoga članka može se produžiti za još 30 dana.

Naknada za postupanje po zahtjevu
Članak 43.

(1) Obavljanje zadaća Agencije provodi se bez naplate u odnosu na ispitanike, službenike za zaštitu osobnih podataka, novinare i tijela javne vlasti.

(2) Agencija će naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihove učestalosti.

(3) Agencija će naplatiti naknadu za davanje mišljenja poslovnim subjektima (odvjetničkim društvima, konzultantima i dr.) koja su poslovni subjekti zatražili u svrhu obavljanja svoje redovite djelatnosti odnosno pružanja usluga.

(4) Kriterije za određivanje visine naknade iz stavaka 2. i 3. ovoga članka utvrđuje Agencija. Kriteriji se objavljuju u »Narodnim novinama« te na mrežnim stranicama Agencije.

(5) Iznos naknade iz stavaka 2. i 3. ovoga članka uplaćuje se u korist državnog proračuna.

VI. IZRICANJE UPRAVNE NOVČANE KAZNE
Članak 44.

(1) Agencija izriče upravne novčane kazne za povrede odredaba ovoga Zakona i Opće uredbe o zaštiti podataka, sukladno članku 83. Opće uredbe o zaštiti podataka.

(2) Ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe.

Članak 45.

(1) Upravne novčane kazne izriču se odlukom.

(2) Odlukom iz stavka 1. ovoga članka utvrdit će se iznos i način uplate upravne novčane kazne. Odlukom se može utvrditi da se upravna novčana kazna plaća u obrocima.

(3) Kada se, sukladno članku 83. Opće Uredbe, upravne novčane kazne izriču uz mjere iz članka 58. stavka 2. točaka od (a) do (h) i točke (j) Opće uredbe, odluka o upravnoj novčanoj kazni donosi se po pravomoćnosti rješenja kojom je izrečena mjera.

(4) Protiv odluke iz stavka 1. ovoga članka nije dopuštena žalba, ali se može pokrenuti upravni spor pred nadležnim upravnim sudom.

(5) Kriterije za obročnu otplatu i uvjete za raskid obročne otplate upravne novčane kazne utvrđuje Agencija prema visini upravne novčane kazne. Kriteriji se objavljuju u »Narodnim novinama« i na mrežnim stranicama Agencije.

Članak 46.

(1) Upravna novčana kazna uplaćuje se u roku od 15 dana od dana pravomoćnosti odluke kojom je izrečena.

(2) Ako stranka u propisanom roku ne uplati upravnu novčanu kaznu odnosno po dospijeću zadnjeg obroka ako je odobreno obročno plaćanje, Agencija će obavijestiti Područni ured Porezne uprave Ministarstva financija na čijem je području prebivalište odnosno sjedište stranke kojoj je izrečena upravna novčana kazna, radi naplate upravne novčane kazne prisilnim putem prema propisima o prisilnoj naplati poreza.

(3) Upravne novčane kazne uplaćuju se u korist državnog proračuna.

(4) Iznimno od stavka 2. ovoga članka, na dospjelu, a neplaćenu upravnu novčanu kaznu ne obračunava se kamata.

Isključenje primjene upravnih novčanih kazni na tijela javne vlasti
Članak 47.

Ne dovodeći u pitanje izvršavanje ovlasti Agencije utvrđenih odredbom članka 58. Opće uredbe o zaštiti podataka, u postupcima koji se provode protiv tijela javne vlasti, tijelu javne vlasti ne može se izreći upravna novčana kazna za povrede ovoga Zakona ili Opće uredbe o zaštiti podataka.

Članak 48.

Pravomoćno rješenje objavljuje se na mrežnim stranicama Agencije bez anonimiziranja podataka o počinitelju, ako je tim rješenjem utvrđena povreda ovoga Zakona ili Opće uredbe o zaštiti podataka u vezi s obradom osobnih podataka maloljetnika, posebnih kategorija osobnih podataka, automatiziranog pojedinačnog donošenja odluke, profiliranja, ako je povredu počinio voditelj obrade ili izvršitelj obrade koji je već bio prekršio odredbe ovoga Zakona ili Opće uredbe o zaštiti podataka ili ako je u vezi s rješenjem donesena odluka o upravnoj novčanoj kazni u iznosu od najmanje 100.000,00 kuna koja je postala pravomoćna.

Zastara izvršenja upravne novčane kazne
Članak 49.

(1) Na zastaru prava na naplatu upravne novčane kazne primjenjuju se odredbe općeg zakona kojim se propisuje porezni postupak.

(2) Zastara počinje teći od dana pravomoćnosti odluke.

(3) Za vrijeme trajanja obročne otplate upravne novčane kazne zastara ne teče.

VII. PREKRŠAJNE ODREDBE
Članak 50.

(1) Novčanom kaznom za prekršaj u iznosu od 5000,00 do 50.000,00 kuna kaznit će se:

– osoba koja obnaša dužnost ravnatelja i zamjenika ravnatelja Agencije ako neovlaštenoj osobi otkrije povjerljive podatke koje je saznala u obavljanju svoje dužnosti, sukladno članku 13. ovoga Zakona

– službenik Agencije koji neovlaštenoj osobi otkrije povjerljive podatke koje je saznao u obavljanju poslova radnog mjesta, sukladno članku 13. ovoga Zakona.

(2) Ovlašteni tužitelj za prekršaj iz ovoga članka je državni odvjetnik.

VIII. UPRAVNE NOVČANE KAZNE
Članak 51.

Upravnom novčanom kaznom u iznosu do 50.000,00 kuna kaznit će se:

– voditelj obrade i izvršitelj obrade koji ne označe objekt, prostorije, dijelove prostorije te vanjsku površinu objekta na način propisan člankom 27. ovoga Zakona

– voditelj obrade i izvršitelj obrade koji ne uspostave automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora, sukladno članku 28. stavku 4. ovoga Zakona

– osobe iz članka 28. stavka 1. ovoga Zakona koje snimke iz sustava videonadzora koriste suprotno članku 28. stavku 2. ovoga Zakona.

IX. PRIJELAZNE I ZAVRŠNE ODREDBE
Članak 52.

(1) Danom stupanja na snagu ovoga Zakona:

– Agencija za zaštitu osobnih podataka osnovana Zakonom o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. ‒ pročišćeni tekst; u daljnjem tekstu: Agencija za zaštitu osobnih podataka) kao pravna osoba s javnim ovlastima, postaje državno tijelo i nastavlja s radom pod istim nazivom

– Agencija kao pravni slijednik Agencije za zaštitu osobnih podataka preuzima njezine poslove, pismohranu i drugu dokumentaciju, sredstva za rad, financijska sredstva, prava i obveze, kao i zaposlenike

– zaposlenici Agencije za zaštitu osobnih podataka postaju državni službenici ili namještenici.

(2) Do donošenja pravilnika o unutarnjem redu iz članka 54. ovoga Zakona i rasporeda na radna mjesta sukladno propisima o državnim službenicima zaposlenici Agencije za zaštitu osobnih podataka nastavljaju obavljati poslove na kojima su zatečeni na dan stupanja na snagu ovoga Zakona i zadržavaju sva prava iz radnog odnosa.

Članak 53.

(1) U roku od osam dana od dana stupanja na snagu ovoga Zakona središnje tijelo državne uprave nadležno za sustav državne uprave pokrenut će postupak imenovanja ravnatelja i zamjenika ravnatelja.

(2) Osoba zatečena na dužnosti ravnatelja Agencije za zaštitu osobnih podataka na dan stupanja na snagu ovoga Zakona nastavlja obavljati dužnost ravnatelja do imenovanja ravnatelja Agencije sukladno ovom Zakonu.

Članak 54.

(1) Ravnatelj je dužan u roku od 60 dana od dana imenovanja podnijeti na potvrdu Hrvatskome saboru Pravilnik o radu Agencije.

(2) Ravnatelj je dužan u roku od 30 dana od dana stupanja na snagu Pravilnika iz stavka 1. ovoga članka donijeti Pravilnik o unutarnjem redu.

(3) Do stupanja na snagu Pravilnika o radu Agencije primjenjuje se Statut Agencije za zaštitu osobnih podataka.

Članak 55.

Postupci započeti do stupanja na snagu ovoga Zakona nastavit će se i dovršiti prema odredbama Zakona o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst).

Prestanak važenja propisa
Članak 56.

Stupanjem na snagu ovoga Zakona prestaje važiti Zakon o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst), Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (»Narodne novine«, br. 105/04.) i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (»Narodne novine«, br. 139/04.).

Stupanje na snagu
Članak 57.

Ovaj Zakon objavit će se u »Narodnim novinama«, a stupa na snagu 25. svibnja 2018.

Klasa: 022-03/18-01/55

Zagreb, 27. travnja 2018.

Pojmovi vezani uz Uredbu o GDPR-u

EU Opća uredba o zaštiti podataka

Definicije

GDPR (General Data Protection Regulation)

Opća uredba o zaštiti podataka

DPO (Data Protection Officer)

Službenik za zaštitu podataka

OSOBNI PODACI

Svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (“ispitanik”); pojedinac čiji se identitet može utvrditi je osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

OBRADA

Svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

OGRANIČAVANJE OBRADE

Znači označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti.

IZRADA PROFILA

Svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.

PSEUDONIMIZACIJA

Obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.

SUSTAV POHRANE

Svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi.

VODITELJ OBRADE

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

IZVRŠITELJ OBRADE

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

PRIMATELJ

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade.

TREĆA STRANA

Znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.

PRIVOLA ISPITANIKA

Svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

POVREDA OSOBNIH PODATAKA

Kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

GENETSKI PODACI

Osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca.

BIOMETRIJSKI PODACI

Osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci.

PODACI KOJI SE ODNOSE NA ZDRAVLJE

Osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu.

GLAVNI POSLOVNI NASTAN

(a) Što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem se slučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;

(b) Što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obrade nema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom.

PREDSTAVNIK

Fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s Članak 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe.

PODUZEĆE

Fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću.

GRUPA PODUZETNIKA

Poduzetnik u vladajućem položaju te njemu podređeni poduzetnici.

OBVEZUJUĆA KORPORATIVNA PRAVILA

Politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću.

NADZORNO TIJELO

Neovisno tijelo javne vlasti koje je osnovala država članica u skladu s Članak 51.

PREDMETNO NADZORNO TIJELO

Nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:

(a) voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela;

(b) obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela;

(c) podnesena je pritužba tom nadzornom tijelu.

PREKOGRANIČNA OBRADA

(a) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice;

(b) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.

RELEVANTNI I OBRAZLOŽENI PRIGOVOR

Prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije.

USLUGA INFORMACIJSKOG DRUŠTVA

Usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19).

MEĐUNARODNA ORGANIZACIJA

Organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

GDPR- Zablude

25. svibnja 2018. postao je datum koji ćemo svi, bez obzira na branšu, zapamtiti kao dan kada se promijenio način poslovanja u skoro pa svim segmentima. Koliko puno se promijenio? Jedno 15 milijuna puta. Ako ste razvili svijest o značajno velikim promjenama koje donosi nova Uredba o zaštiti osobnih podataka, onda znate da vam već gori pod nogama. Ako tu svijest nemate, onda vjerojatno koristite (i s tim samo tješite sami sebe)  jednu od ovih niže navedenih metoda kvazi zaštite od GDPR-a. I u velikoj  ste zabludi, pa je krajnje vrijeme da vam ih razbijemo.

Vrhunska zabluda po principu :

“Meni to ne treba!”

Ako ste trgovačko društvo, udruga, obrt, škola, poliklinika, tijelo lokalne uprave, ma čak i samostalni umjetnik… nastavite sami niz poslovnih djelatnosti koje rade s fizičkim, ali čak i pravnim osobama, sigurno je da ste obavezni svoje poslovanje uskladiti s GDPR.

Dovoljno puta, čak i previše smo čuli da nam poduzetnici ili gradonačelnici kažu:

“To nama ne treba, mi ne prodajemo ništa na Internetu.”

Ajmo razbiti zabludu

Toliko je mala šansa da vam GDPR neće utjecati na rad i poslovanje, te da se niste obvezni uskladiti s odredbama GDPR, da smo voljni dati vam 4 sata besplatnog konzaltinga sa primjerima i savjetima  iz područja našeg rada ako nam uspijete dokazati da u svom poslovanju niste obveznici GDPR–a na bilo koji način.

Imam još vremena

Nema. Vremena nema. Ustvari, točnije rečeno, ne da nemate vremena, nego već kasnite i u prekršaju ste ako se niste uskladili s GDPR.

Sve ono što je potrebno napraviti kako biste svoje poslovanje uskladili s GDPR je opsežan, velik i zahtjevan posao ne samo vama samima, već i vašim zaposlenicima koji dobivaju određenu odgovornost pa čak i konzultantima koji će vas voditi kroz proces. Svi su uključeni u procese i svima zajedno je potrebno dosta vremena. Usklađivanje uključuje suradnju stručnjaka raznih grana i područja rada.

U jednom momentu ljudi će shvatiti da im je potrebno usklađivanje jer je u ovom trenutku u Hrvatskoj poprilično niska razina svijesti o GDPR. Ne samo što je već sada 12 i 05 sati da se uskladite, i još k tome, u kritičnom trenutku kada se dobar dio obveznika sjeti da im treba usklađivanje, vrlo vjerojatno će se dogoditi situacija da na tržištu neće biti dovoljno raspoloživih kvalitetnih stručnjaka koji će vas moći momentalno preuzeti da vam naprave usklađivanje. I konzultanti su ljudi, ponekada spavaju.

To će riješiti knjigovođa i pravnik, ne želim se zamarati i baš me briga

Taj stav bi vas mogao koštati. Zaštita osobnih podataka nije posao knjigovođe. Oni  trebaju znati o čemu se radi samo u vlastitom području, kako bi vam eventualno mogli pomoći, a ne u kompletnom vašem poslovanju. Knjigovodstvo je dužno svoje poslovanje uskladiti s GDPR. I samo svoje. Ne i vaše.

Pravnici, s druge strane, ne moraju uopće znati nešto o zaštiti osobnih podataka. Nisu sveznadari, nisu svemoćni, niti su roboti. Pravo je ogromno i ne postoji pravnik koji sve zna o pravu, on se specijalizira za određenu granu ili grane. Ako imate u vlastitoj tvrtci zaposlenog pravnika, vjerojatnost je vrlo velika da ta osoba prati sve silne propise iz područja radnog, poreznog, trgovačkog i sličnih grana prava. Da li je baš u svakoj od tih grana prava vrhunski ekspert? Teško, ne bi rekli. Vjerojatno je u nekima bolji, u nekima lošiji, a neke prati površno.

GDPR unosi novosti koje se naslanjaju na već postojeći zakonski okvir zaštite osobnih podataka u Hrvatskoj, jedino što je dosta širi i zahtjevniji i ako se vaš pravnik tim okvirom nije bavio, ovo će mu sada biti kao da je „zviznuo“ iz svemira .

Uostalom, ako do sada niste pratili i poštovali zaštitu osobnih podataka, a velika većina nije, onda vaš pravnik najvjerojatnije nikada nije ni čuo za ovo što vas slijedi.

Ako ste vlasnici trgovačkog društva, čelnici ustanova, direktori ili jedinica lokalne uprave vi jednostavno morate biti upoznati i imati bar minimalno znanje s osnovama GDPR i osigurati da usklađivanje bude provedeno. Da, to je vaša briga i prijeko potrebna je. Morate o tome brinuti.

GDPR propisuje da se do 25. 5. 2018. trebalo uskladiti s ovim pravnim okvirom zaštite osobnih podataka.

“Ma to je tek sad izašlo.

GDPR je stupio na snagu i to u travnju 2016., a njegova primjena do 25. 5. 2018. Period između ta dva datuma JE BIO rok za prilagodbu u kojem se primjena propisa odgađa, ali je sam propis stupio na snagu. Tko je studirao pravo dobro zna što znači vacatio legis i da osnove prava nisu bezvezno znanje koje im neće koristiti.

Vacatio legis (lat.), pravo, rok koji mora proteći između objavljivanja zakona ili pravnih propisa i njihova stupanja na snagu.

Da ponovimo, GDPR je stupio na snagu, rok prilagodbe  je završio 25. 5. 2018. i GDPR je tu da ostane zasigurno na duže vrijeme.

“Ja ne prikupljam baš nikakve podatke”

Jeste li 100% sigurni da ne prikupljate apsolutno nikakve osobne podatke?

Razmislite dva puta.

Recimo da ste vlasnica kozmetičkog salona i nazove vas gospođa za dogovor termina. Pitate ju ime i prezime i broj telefona. Upravo ste prikupili njene osobne podatke.

Mi smo mali, nas neće.

Hoće, i vas će. Taman da ste mali kafić, trgovinica ili kiosk na uglu ulice, ako prikupljate osobne podatke, obveznici ste GDPR. Ako je u tom kafiću, trgovinici ili kiosku zaposlena makar jedna osoba, uzeli ste joj sigurno osobne podatke, a vjerojatno i nešto više nego što je minimalno potrebno. Npr. imate njen životopis ili IBAN broj za isplatu plaće. Čak mikropoduzetnik s jednim zaposlenikom koji je ujedno i vlasnik,  obvezan je uskladiti se.

Naravno da jedna banka ima daleko osjetljivije podatke i veću količinu podataka od jednog frizerskog salona ili cvjećarnice. Ni odgovornost banke i cvjećarnice nije ista. No, kazne koje GDPR predviđa, pa čak i izrečene sukladno toj vrsti, količini i protoku podataka, mogle bi tu istu cvjećarnicu ili frizerski salon dokrajčiti puno prije nego banku, čak da im se izrekne neka minimalna kazna jer su predviđene jako visoke kazne.

Samo dižu paniku, tako je bilo i sa zaštitom na radu.

Ma ne samo sa zaštitom na radu, prisjetite se i fiskalizacije. I na kraju, većina se s vremenom uskladi novim propisima, samo što neki plate masne kazne jer su ili prekasno krenuli, ili još ga uopće nemaju, ili posao nisu dobro napravili ili su mislili da će guranje glave u pijesak odnosno vika i galama pomoći da problem nestane. GDPR neće nestati.

Razlika između npr. uvođenja fiskalizacije i GDPR su dosta različito predviđene kazne za neusklađivanje. GDPR predviđa drakonske kazne, čak i da nikada ne dođete u nezgodnu situaciju da dobijete maksimalnu kaznu, koja može biti 20 mil. eura ili 4% globalnog vašeg prihoda (što je od toga veće) i na toj ljestvici čak i jako mala kazna može za vas biti toliko visoka da vam osigura bankrot.

Niti jedna fiskalizacija ili zaštita na radu nije predviđala baš tako visoke kazne, a uz dobrog i snalažljivog odvjetnika i te kazne ste kroz prekršajne postupke mogli lijepo odvesti u zastaru. Ne nadajte se da je GDPR ista priča.

Od susjede mali radi u AZOP-u pa će to riješiti.

Nacionalno regulatorno tijelo koje se bavi zaštitom osobnih podataka je AZOP (Agencija za zaštitu osobnih podataka). Ako vas ispitanik (bilo koja osoba čije osobne podatke ste prikupili) prijavi za kršenje odredaba GDPR, nemojte se iznenaditi ako vam na vrata pokuca ne samo inspekcija, AZOP ili neko tijelo koje je ili će osnovati Republika Hrvatska. Možete čak očekivati nadzor direktno iz EU. Ne znamo kako kod njih stoje stvari sa susjedinim malim, ali znamo sigurno da će vam profesionalno i bezosjećajno oderati kaznu.

Čim taj GDPR projekt riješim, na konju sam!

Ne postoji “projekt” GDPR, ne postoji nešto što ćete vi jednokratno napraviti organizacijski, tehnički, pravno, ili na neki četvrti način pa te neke papire pospremiti kod tajnice u ormar u dva ili tri registratora i onda reći – evo, završili smo GDPR projekt.

Zaštita osobnih podataka je PROCES I TRAJE dok god vi poslujete ili dok se pravni okvir zaštite osobnih podataka ne promijeni.

GDPR morate odmah napraviti, ako već do sada niste ili ako u ranijem poslovanju niste poštovali postojeći zakonski okvir uz jedan dobar tim i voditelja, a sama primjena GDPR je od sada pa dok ga ne promijene ili zamijene nekim drugim.

Nema tu…ja ću malo zastati pa ćemo „nagodinu“. Ovo je proces i to važan.

 Bit će sigurno neki formular.

I na kaju ultimativni izraz poricanja cijele ove situacije je izjava koju smo nedavno čuli: “Ma ima sigurno negdje neki formular za skinuti koji samo popuniš i pošalješ AZOP-u”. Sigurno je samo da formulara nema. Hoće li ga biti, ne znam, a nekako sumnjam da će se to dogoditi. Ako nađete formular ili se pojavi, javite nam. Čak i da se nekakvi obrasci pojave, imati ćete dosta težak zadatak popuniti ga ako ne poznajete odredbe GDPR-a i proces usklađivanja.

Važno je reći: samim usklađivanjem, posao vam nije gotov jer ćete osobne podatke na zakonom propisane načine morati čuvati u kontinuitetu. E, tu vam formular slabo pomaže.

I još jednom kao šećer na kraju: kazne za nepoštivanje odredaba GDPR su izuzetno visoke i idu do 20 mil. eura ili 4% globalnog prometa, ovisno što je veće. Shvatite ozbiljno GDPR i hitno krenite u prilagodbu jer vam je vrijeme za to već isteklo, a posao je opsežan.

Provedbena dokumentacija u GDPR-u

Da bi GDPR bio pravilno implementiran u organizaciju potrebno je izraditi i detaljno opisati sljedeću dokumentaciju:

  1. Pojmovi i definicije iz Uredbe kako bi se lakše razumjela terminologija
  2. Politika zaštite osobnih podataka
  3. Politika privatnosti
  4. Kodeks ponašanja zaposlenika prema Uredbi
  5. Procedure vezano za zahtjeve ispitanika i u slučaju povrede osobnih podataka
  6. Opisane odgovornosti Službenika za zaštitu osobnih podataka sa imenovanjem
  7. Izjave o povjerljivosti zaposlenika
  8. Evidencije izjava o povjerljivosti
  9. Izjava o privoli ispitanika
  10. Uputa koju trebate dati ispitanicima prije potpisa privole
  11. Privole za automatizirano profiliranje
  12. Privole prilagođene web stranici
  13. Informacije za ispitanika
  14. Izvješćivanje ispitanika o povredi osobnih podataka
  15. Izvješćivanje nadzornom tijelu kad dođe do povrede
  16. Procjena učinka na zaštitu osobnih podataka
  17. Protokol zaštite osobnih podataka