Blog @nestec.hr

Prijavite se!

EU GDPR - Osnovne značajke i načela

S obzirom na veliku broj različitih informacija koje su pritom oprečne u velikoj mjeri jedne drugima o samoj uredbi i njenom sadržaju odlučili smo pokrenuti seriju blogova u kojima ćemo proći kroz glavne značajke UREDBE (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka, time se vratiti na početak i otkloniti sve nedoumice koje se javljaju svakodnevnom procesu prilagodbe na uredbu.

 

Načela na kojim se uredba temelji su zakonito, pošteno i transparentno obrađivanje podataka (zakonitost, poštenosti transparentnost). Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca. To u praksi za Vas kao voditelja obrade ili izvršitelja obrade osobnih podataka znači da prije svega morate imati pravnu podlogu za obradu, nakon sto ste prikupili ili dobili osobne podatke trebate ih obrađivati na siguran, pošten i transparentan način.

 

Zakonitost obrade je propisana kroz članke 6. – 11. uredbe, a obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

 

  • ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha,
  • obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora,
  • obrada je nužna radi poštovanja pravnih obveza voditelja obrade,
  • obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe,
  • obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.

 

To su osnovne točke i polazište za procjenu koje trebate proći nad procesima u kojima se vrši obrada osobnih podataka unutar organizacije.

 

Načelo transparentnosti regulirano je kroz poglavlje III. člancima 12. – 23. Unutra kojeg su i definirane i prava i obveze, prava ispitanika i obveze voditelja i izvršitelja obrade. Bitno je naglasiti da je uredbom vraćeno vlasništvo nad osobnim podatcima krajnjem korisniku odnosno vlasniku osobnih podataka. Člankom 12. se postavlja transparentnost obrade, voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika. Iz osnovnih načela uredbe se može zaključiti da se postavljaju jasni okviri između voditelja obrade osobnih podataka i vlasnika osobnih podatka, što ranije nije bio slučaj. Uklanjanjem tog nedostatak od ranije se otvara prostor za reguliranje prava vlasnika osobnih podatka i obveza voditelja obrade osobnih podataka što će biti tema našeg sljedećeg bloga pod naslovom nova prava i obveze.

EU GDPR - Nova prava i obveze

EU GDPR uredba definira nova prava za vlasnike osobnih podataka. Jedno od najbitnijih je pravo na pristup i informiranje. Ispitanik može zatražiti od voditelja obrade informaciju o tome da li se vrši obrada njegovih osobnih podataka i u slučaju da se vrši, ima pravo na pristup osobnim podacima i sljedećim informacijama:

 

  • svrsi obrade,
  • kategorijama osobnih podataka o kojima je riječ,
  • primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama,
  • ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja,
  • postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu,
  • pravu na podnošenje pritužbe nadzornom tijelu,
  • ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru.

 

Pravo na ispravak

Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

 

Pravo na brisanje (pravo na zaborav)

Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:

 

  • osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni,
  • ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu,
  • ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2,
  • osobni podaci nezakonito su obrađeni.

 

Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:

 

  • ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka,
  • obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe,
  • voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

 

Iz gore navedenih prava ispitanika odnosno vlasnika osobnih podataka proizlaze obveze za voditelje i izvršitelje obrade. Dužni u suradnji sa službenikom za zaštitu podatka provesti kroz odgovarajuće tehničke mjere i usklađivanjem poslovnih procesa u kao bi omogućili ostvarenje tih prava.

EU GDPR - Nove i proširene definicije

Za potrebe ove Uredbe postojeće definicije su dodatno proširene i uvedene su neke nove. U nastavku ćemo Vam istaknuti nekoliko najvažnijih za voditelje i izvršitelje obrade podataka.

 

  • Osobni podaciOsobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”). Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
  • ObradaObrada je svaki postupak ili skup postupaka koji se vrše nad osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
  • Ograničavanje obradeOgraničavanje obrade znači označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti.
  • Izrada profilaIzrada profila je svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.
  • PseudonimizacijaPseudonimizacija je obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
  • Sustav pohraneSvaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi.
  • Voditelj obradeSvaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice. Voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
  • Izvršitelj obradeSvaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
  • PrimateljSvaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima. Obrada podataka koju obavljaju navedena tijela mora biti u skladu s primjenjivim pravilima o zaštiti podataka sukladno svrhama obrade.
  • Treća stranaSvaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade.
  • PrivolaPrivola ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
  • PredstavnikSvaka fizička ili pravna osoba s poslovnim nadstanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe.
  • PoduzećeSvaka fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću.
  • Povreda osobnih podatakaPovreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

EU GDPR - Voditelj i izvršitelj obrade - 1. dio

Bitno je istaknuti da uredba i regulatorna agencija jasno razlikuju odgovornosti voditelja obrade i izvršitelja obrade od odgovornosti službenika za zaštitu podataka. Službenik za zaštitu podataka ima odgovornost isključivo prema nadzornom odboru voditelja i izvršitelja obrade, dok uredba uz postojeći prijedlog zakona o provedbi opće uredbe o zaštiti podataka odgovornost stavlja na voditelja i izvršitelja te na odgovorne osobe unutar tih poslovnih subjekata. U novom prijedlogu za razliku od uredbe se donose i kazne za odgovorne osobe i to na sljedeći način, odgovorna osoba kaznit će se za povrede iz članka 83. stavka 4. Opće uredbe o zaštiti podataka upravnom novčanom kaznom u iznosu od 5.000,00 do 200.000,00 kuna, a za povrede iz članka 83. stavka 5. i 6. Opće uredbe o zaštiti podataka kaznit će se upravnom novčanom kaznom u iznosu od 5.000,00 do 500.000,00 kuna. Stoga je iznimno bitno da se obveze shvate ozbiljno i provedu u potpunosti.

 

Opće obveze su:

 

  • Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju,
  • Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade,
  • Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade.

 

To su osnovne točke i polazište za procjenu koje trebate proći nad procesima u kojima se vrši obrada osobnih podataka unutar organizacije.

 

Tehnička i integrirana zaštita:

 

  • Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika,
  • Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca,
  • Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.

EU GDPR - Voditelj i izvršitelj obrade - 2. dio

U nastavku ćemo istaknutu obveze izvršitelja obrade, a u sljedećem imenovanje službenika za zaštitu podataka (DPO). Obveze izvršitelja obrade su:

 

  • Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera tako da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika,
  • Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene,
  • Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade.

 

Također je bitno da se vodi adekvatna evidencija obrade. Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti svih procesa obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

 

  • Ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka,
  • Svrhu obrade,
  • Opis kategorija ispitanika i kategorija osobnih podataka,
  • Kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije,
  • Ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama,
  • Ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka,
  • Ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1,
  • Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.

 

Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

 

  • Ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka,
  • Kategorije obrade koje se obavljaju u ime svakog voditelja obrade,
  • Ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama,
  • Ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.
<< < Stranica 1 od 2 > >>