Zatita osobnih podataka i usklaivanje s GDPRom u
"Zaštita osobnih podataka i usklađivanje s GDPR-om u zaštitarskoj djelatnosti” 14. 04. 2021. Agencija za zaštitu osobnih podataka Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
ZAŠTITA OSOBNIH PODATAKA – ZAKONODAVNI OKVIR
Definicije – Opća uredba • „osobni podaci” - svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni …. • „obrada” znači svaki postupak (ili skup) koji se obavlja na osobnim podacima ili na skupovima osobnih podataka (automatizirano/neautomatizirano) kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
Definicije – Opća uredba • „voditelj obrade” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice; • „izvršitelj obrade” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
Definicije – Opća uredba • „primatelj” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana (tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage ne smatraju se primateljima) • „treća strana” - fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade
Načela obrade osobnih podataka • zakonitost, poštenost i transparentnost • ograničavanje svrhe • smanjenje količine podataka • točnost • ograničenje pohrane • cjelovitost i povjerljivost Voditelj obrade odgovoran je za usklađenost i mora biti u mogućnosti istu dokazati (pouzdanost)
Pravni temelji obrade • ispitanik je dao privolu za obradu svojih osobnih podataka • izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora • obrada je nužna radi poštovanja pravnih obveza voditelja obrade • obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe • obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade • obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća)
Pravo dobiti informaciju na sažet, transparentan, razumljiv i lako dostupan način Ograničenje obrade Pravo na prenosivost podataka Pravo na pristup, ispravak, brisanje i “zaborav” Pravo na prigovor . Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka
Voditelj obrade fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; • odlučuje o određenim ključnim elementima obrade (cilj i način obrade, odnosno zašto i kako), međutim neki aspekti implementacije („ sredstva koja nisu presudna za obradu“) mogu se prepustiti izvršitelju obrade na odluku (npr. koji softver će se koristiti i sl. ) • kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice • svojstvo/uloga može biti definiran zakonom (FINA – registar dužnika i sl. ) ili može proizaći iz analize elemenata ili okolnosti svake zasebne obrade osobnih podataka (određene aktivnosti obrade mogu se smatrati prirodno povezanima s ulogom subjekta poslodavac/zaposlenici, izdavač/pretplatnicima, udruga/članovima) •
Voditelj obrade • provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom (prema potrebi se preispituju i ažuriraju) - uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca (pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika) • ako su razmjerne u odnosu na aktivnosti obrade, mjere uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade • poštovanje odobrenih kodeksa ponašanja ili odobrenih mehanizama certificiranja može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade • osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.
Izvršitelj obrade • fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade (dva osnovna uvjeta - zasebna cjelina u odnosu na voditelja obrade i da obrađuje osobne podatke u ime voditelja obrade) • ne smije obrađivati podatke drugačije od uputa voditelja obrade te krši GDPR ako nadilazi upute i počinje utvrđivati vlastite svrhe i sredstva obrade – tada se smatra voditeljem obrade te (zasebne) obrade osobnih podataka (propisano kažnjavanje za navedenu povredu)
Izvršitelj obrade voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz Uredbe i da se njome osigurava zaštita prava ispitanika • izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade (u slučaju općeg pisanog odobrenja, potreba obavještavanja voditelja obrade o svim u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade - mogućnost ulaganja prigovora na isto) • obrada se uređuje ugovorom ili drugim pravnim aktom, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade •
Izvršitelj obrade Tim se ugovorom/drugim pravnim aktom osobito određuje da izvršitelj obrade: (a) obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, (b) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; (c) poduzima sve potrebne mjere u skladu s člankom 32. (provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti); (d) poštuje uvjete za angažiranje drugog izvršitelja obrade; (e) pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika; •
Izvršitelj obrade (f) pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s dr. odredbama Uredbe ( čl. 32 – 36. ) (g) po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka, (h) voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provoditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka
Izvršitelj obrade ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru nameću se tom drugom izvršitelju obrade. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade • ugovor ili drugi pravni akt mora biti upisanom obliku, uključujući elektronički oblik (ne bi trebao samo ponavljati odredbe GDPR-a; nego bi trebao uključivati konkretne informacije o tome kako će se ispuniti zahtjevi i koja razina sigurnosti je potreban za obradu osobnih podataka koja je predmet ugovora/sporazuma o obradi - da bi voditelj mogao dokazati zakonitost obrade - preporučljivo je dokumentirati minimalne potrebne tehničke i organizacijske mjere •
MJERE ZAŠTITE ORGANIZACIJSKE MJERE ZAŠTITE TEHNIČKE MJERE ZAŠTITE ü odnose se na zaštitne mjere koje ü odnose se na dokumentirano postavljate na opremu/sredstva, uređenje unutar poslovnog odnosno prostor/prostorije koji subjekta na način da se se koriste unutar poslovnog internim aktima uredi područje subjekta za redovno obavljanje zaštite osobnih podataka 6. 10. 2020. , Hrvatska koje gospodarska komora poslovanja obrađujete Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
TEHNIČKE MJERE ZAŠTITE LOZINKA Snažna sigurnosna lozinka sadrži: • 16 ili više znakova, što više to bolje, • velika slova (ABCDEFGH…), • mala slova (abcdefgh…), PRIMJER KREIRANJA SNAŽNE LOZINKE Riba ribi grize rep %R 1 b@#r 1 b 1#griz 3#r 3 p) • brojke (123456…), • simbole (@#$%{ } [ 2020. , ] ( ) / 'Hrvatska " , ; : . < >…). 6. 10. gospodarska komora Agencija za zaštitu osobnih podataka Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
TEHNIČKE MJERE ZAŠTITE WI-FI • WPA 2 • WPS • UPn. P Poslovno Neovlašteni zaposlenici Ovlašteni zaposlenici Privatno Nadograđeni OS i programi Antivirus Lozinka Ovlasti Kriptirani podaci Agencija za zaštitu osobnih podataka Mrežna oprema Firewall Internet router Snažna admin. lozinka INTERNET Backup Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
ORGANIZACIJSKE MJERE Interni akti kojima se. ZAŠTITE uređuje područje zaštite osobnih podataka koje poslovni subjekt obrađuje: • Pravilnik o informacijskoj sigurnosti • Pravilnici kojima se uređuje obrada pojedinih zbirki podataka (npr. pravilnik o videonadzoru, pravilnik o evidenciji radnog vremena, politika sigurnog korištenja Interneta, …) • Ugovorne klauzule unutar ugovora o radu • Ugovorne klauzule unutar ugovora o poslovnoj suradnji • Izjave o povjerljivosti • … 6. 10. 2020. , Hrvatska gospodarska komora Agencija za zaštitu osobnih podataka Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
RGANIZACIJSKE MJERE ZAŠTITE PODIZANJE SVIJESTI O VAŽNOSTI ZAŠTITE PODATAKA • koje sve osobne (a i poslovne) podatke zaposlenici koriste i obrađuju u svom svakodnevnom radu • kojim kategorijama osobnih podataka ti podaci pripadaju • gdje se ti podaci nalaze • koji su potencijalni rizici od krađe, zlouporabe i gubitka tih podataka • na koji način te podatke mogu zaštititi • kako se to negativno može reflektirati na poslovni subjekt u kojem rade, a u krajnjoj mjeri i na njih same • da je potrebno pridržavati gospodarska preporučenih i propisanih mjera zaštite radi smanjenja 6. svakodnevno 10. 2020. , se. Hrvatska komora potencijalnih rizika od neovlaštenog pristupa i zlouporabe na najmanju moguću mjeru Agencija za zaštitu osobnih podataka Kampanja podizanja svijesti o zaštiti podataka za male i srednje poduzetnike
Pravo na naknadu štete i odgovornost • svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu ima pravo na naknadu za pretrpljenu štetu • svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom (Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima) • sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima koji su nadležni prema pravu države članice
Voditelj/Izvršitelj obrade Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran, koja sadržava sve sljedeće informacije: • (a) ime i kontaktne podatke voditelja obrade (zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka) • (b) svrhe obrade; • (c) opis kategorija ispitanika i kategorija osobnih podataka; • (d) kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni; • (e) dokumentaciju o odgovarajućim zaštitnim mjerama (prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju); • (f) ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka; • (g) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. • (a), (e), (g) i kategorije obrade koje se obavljaju u ime svakog voditelja obrade / izvršitelj obrade
Voditelj/Izvršitelj obrade • voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju. • ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim - - ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, - - ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili - je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Voditelj/Izvršitelj obrade • u slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo, isto mora sadržavati barem: kategorije i približan broj dotičnih evidencija osobnih podataka; navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija; …
Voditelj/Izvršitelj obrade ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. • procjena učinka na zaštitu podataka obvezna je osobito u slučaju (dodatno i Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka): - sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca; - opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. ; ili - sustavnog praćenja javno dostupnog područja u velikoj mjeri •
Voditelj/Izvršitelj obrade Procjena sadrži barem: - sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade; - procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama; - procjenu rizika za prava i slobode ispitanika; - mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka; • prema potrebi - voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, te provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka (kada postoji promjena u razini rizika) / prethodno savjetovanje s nadzornim tijelom • ako obrada ima pravnu osnovu u pravnom propisu, te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, ne primjenjuju se opisane odredbe (osim ako države članice smatraju da je potrebno provesti takvu procjenu prije aktivnosti obrade) •
Voditelj/Izvršitelj obrade • voditelj i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem: - obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, - osnovne djelatnosti voditelja ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri ili - osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. • službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća, može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu (ne može biti odgovorna osoba voditelja ili izvršitelja obrade) • voditelj obrade ili izvršitelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu
Zakon o privatnoj zaštiti • Djelatnost privatne zaštite obuhvaća: - zaštitu stambenih, poslovnih i drugih objekata i prostora te javnih i drugih površina - zaštitu novčarskih institucija - pružanje tjelesne i tehničke intervencije po dojavi - neposrednu tjelesnu zaštitu osoba - zaštitu mirnih prosvjeda, sportskih natjecanja i javnih okupljanja - zaštitu kulturnih i prirodnih dobara ili stvari od znanstvenog, umjetničkog, povijesnog ili tehničkog značenja koja se nalaze u javnoj zbirci, zaštićenoj privatnoj zbirci ili su izložena za javnost te zaštitu okoliša - osiguranje i pratnju pri distribuciji novca, vrijednosnih papira i dragocjenosti - osiguranje i pratnju pri distribuciji drugih pošiljaka te transportu osoba - izradu prosudbi ugroženosti osoba i imovine
Zakon o privatnoj zaštiti prosudba ugroženosti – dokument kojim se utvrđuje procjena vjerojatnosti događaja koji predstavlja moguću opasnost i prijetnju za osobe i imovinu • štićeni objekt – građevinski i drugi objekt, vozilo ili plovilo koji se štite tjelesnom i/ili tehničkom zaštitom • štićeni prostor – područje unutar perimetra u štićenom objektu ili/i izvan štićenog objekta te javne i druge površine koji se štite tjelesnom i/ili tehničkom zaštitom • štićena osoba – fizička osoba kojoj se pruža zaštita tjelesnom i/ili tehničkom zaštitom • tehnička zaštita – zaštita osoba i imovine koja se obavlja dominantnom uporabom tehničkih uređaja i sustava radi stvaranja tehničkih uvjeta za sprječavanje protupravnih radnji usmjerenih prema štićenoj osobi ili imovini • tjelesna zaštita – zaštita osoba i imovine koja se obavlja osobnom nazočnošću osobe koja obavlja poslove zaštite i njegovom zaštitnom aktivnošću, bez dominantne uporabe tehničkih sredstava i naprava • unutarnja služba zaštite – ustrojstvena jedinica koju pojedina pravna osoba ili obrtnik ustrojava isključivo radi zaštite objekata i prostora koji su u njihovu vlasništvu ili na korištenju i koja ne obavlja poslove privatne zaštite za druge korisnike •
Zakon o privatnoj zaštiti • pravne osobe i obrtnici obavljaju djelatnost privatne zaštite na temelju pisanog ugovora sklopljenog s fizičkim i pravnim osobama kojima pružaju zaštitu • poslove privatne zaštite može javno nuditi i ugovarati samo ona pravna osoba i obrtnik koji imaju odobrenje za obavljanje djelatnosti privatne zaštite • ugovor iz stavka 1. ovoga članka o pružanju zaštite nekretnine ili pokretne stvari može se sklopiti samo s osobom koja predmet ugovora posjeduje na temelju valjane pravne osnove
Zakon o provedbi Opće uredbe o zaštiti podataka • ovim Zakonom osigurava se provedba Opće uredbe o zaštiti podataka – „GDPR”a, te su sve odredbe Opće uredbe izravno primjenjive • uređuje se predmet Zakona i osnovni pojmovi, opis Nadzornog tijela - Agencije za zaštitu osobnih podataka, postupak u nadležnosti Agencije i pravni lijekovi, izricanje upravne novčane kazne, prekršajne odredbe i Upravne novčane kazne te obrada osobnih podataka u posebnim slučajevima
Obrada osobnih podataka u posebnim slučajevima Posebni uvjeti za obradu genetskih podataka Obrada biometrijskih podataka Obrada osobnih podataka putem video nadzora - Video nadzor radnih prostorija - Video nadzor stambenih zgrada - Video nadzor javnih površina
Obrada osobnih podataka putem videonadzora (čl. 25. - 29. ) • prikupljanje i daljnja obrada osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane • ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona • može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora • mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja svrhe iz stavka 1. ovoga članka
Obrada osobnih podataka putem videonadzora (čl. 25. - 29. ) • voditelj/izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije: – da je prostor pod videonadzorom – podatke o voditelju obrade – podatke za kontakt putem kojih ispitanik može ostvariti svoja prava • pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti • sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba •
Obrada osobnih podataka putem videonadzora (čl. 25. - 29. ) • voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora • pristup tim podacima imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga • snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku
Videonadzor radnih prostorija • obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora. • videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.
Zakon o zaštiti na radu – čl. 43 • dopušteno je korištenje nadzornih uređaja radi kontrole ulazaka i izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti radnika riziku od razbojstva, provala, nasilja, krađa i sličnih događaja na radu ili u vezi s radom • zabranjeno je postavljanje nadzornih uređaja u prostorijama za osobnu higijenu i presvlačenje radnika • ako nadzorni uređaji čitavo radno vrijeme prate sve pokrete radnika tijekom obavljanja poslova (čitavo vrijeme tijekom rada u vidnom polju nadzornih uređaja), poslodavac smije koristiti nadzorne uređaje isključivo na temelju prethodne suglasnosti radničkog vijeća (ukoliko se uskrati suglasnost, poslodavac može u roku od 15 dana od dana dostave izjave o uskrati suglasnosti tražiti da tu suglasnost nadomjesti arbitražna odluka u skladu s provedbenim propisima donesenima na temelju općeg propisa o radu). • poslodavac je obvezan prilikom zapošljavanja pisanim putem obavijestiti radnika da će biti nadziran uređajima i ne smije koristiti snimljene materijale u svrhe koje nisu propisane ovim člankom, ne smije ih emitirati u javnosti niti pred osobama koje nemaju ovlasti na nadzor opće sigurnosti i zaštite na radu te je obvezan osigurati da snimljeni materijali ne budu dostupni neovlaštenim osobama
Videonadzor stambenih zgrada • za uspostavu videonadzora u stambenim odnosno poslovno-stambenim zgradama potrebna je suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova • videonadzorom može se obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničke prostorije u stambenim zgradama • zabranjeno je korištenje videonadzora za praćenje radne učinkovitosti domara, spremačica i drugih osoba koje rade u stambenoj zgradi
Praćenje javnih površina putem sustava videonadzora • dozvoljeno je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu - samo ako je propisano zakonom - ako je nužno za izvršenje poslova i zadaća tijela javne vlasti -ili radi zaštite života i zdravlja ljudi te imovine • odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe na sustavno praćenje javno dostupnog područja u velikoj mjeri (ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka)
Praćenje javnih površina putem sustava videonadzora • Pravilnik o načinu i uvjetima obavljanja poslova privatne zaštite na javnim površinama • javna površina je svaka površina javne namjene čije je korištenje namijenjeno svima i pod jednakim uvjetima (javne zelene površine, pješačke staze, pješačke zone, otvoreni odvodni kanali, trgovi, parkovi, dječja igrališta i javne prometne površine te dijelovi javnih cesta koje prolaze kroz naselje, kad se ti dijelovi ne održavaju kao javne ceste prema posebnom zakonu). Javna površina smatra se zasebnim objektom štićenja, sukladno podzakonskom propisu koji uređuje područje provedbe tehničke zaštite. Parkirališta, groblja, tržnice i površine rekreacijskih centara ne smatraju se javnim površinama u smislu odredbi ovoga Pravilnika
Praćenje javnih površina putem sustava videonadzora • Poslovi privatne zaštite na javnim površinama jesu poslovi tjelesne i/ili tehničke zaštite koji se obavljaju sukladno važećim propisima koji uređuju djelatnost privatne zaštite, a kojima je svrha podizanje razine opće sigurnosti ljudi i imovine na javnim površinama • Djelatnost privatne zaštite na javnim površinama mogu obavljati pravne osobe, obrtnici i unutarnje čuvarske službe koje imaju odobrenje za obavljanje djelatnosti privatne (tjelesne i/ili tehničke) zaštite uz uvjet da je jedinica lokalne samouprave prethodno ishodila odobrenje za obavljanje tih poslova od strane nadležne policijske uprave. • Prijedlog podnosi jedinica lokalne samouprave podnosi ustrojstvenoj jedinici nadležne policijske uprave koja provodi nadzor nad obavljanjem zaštitarske djelatnosti, te prilaže: – sigurnosnu prosudbu ugroženih dobara na javnoj površini koja sadrži osnovne podatke o javnoj površini, skicu javne površine s jasno ucrtanim perimetrom štićenja te odgovarajuću katastarsku i drugu dokumentaciju kojom se dokazuje status javne površine; – plan štićenja javne površine sa željenim načinom štićenja (tjelesnom i/ili tehničkom zaštitom) javne površine; – naziv pravne osobe ili obrta koji bi obavljao poslove privatne zaštite na javnoj površini. • Odobrenje se može izdati ukoliko je iz prijedloga razvidno da će štićenje javne površine podići razinu opće sigurnosti ljudi i imovine na javnim površinama
Praćenje javnih površina putem sustava videonadzora • Zakon o zaštiti novčarskih institucija - Tehnička zaštita čl. 8 • uređaji za obradu, snimanje i pohranu snimljenog materijala kojima se štite novčarske institucije moraju biti minimalno one rezolucije koja će omogućiti detekciju, prepoznavanje i identifikaciju osoba u štićenom prostoru …, a kamere koje imaju funkciju identifikacije moraju imati horizontalnu rezoluciju od minimalno 330 piksela po metru. • tehničke karakteristike i zahtjevi za uređaje i sustave tehničke zaštite propisuju se posebnim propisom kojim se uređuju uvjeti i način provedbe tehničke zaštite. • sve unutarnje i vanjske kamere moraju biti postavljene tako da optimalno pokrivaju unutarnji prostor i vanjski perimetar štićenog objekta, svojim smještajem, visinom i položajem osiguravaju odgovarajući kut snimanja • snimač mora biti zaštićen od sabotaže i otuđenja na način da bude smješten u štićenom prostoru
Obrada osobnih podataka u kontekstu pandemije COVID-19 • poslodavci (odnos poslodavac/radnik/stranka) • zdravstveni sektor (obiteljski liječnik/bolničke ustanove) • državna tijela/institucije (ministarstva, HZZO…) • policija (nadzor rješenja o samoizolaciji, ulaz/izlaz iz RH, …) • tijela sustava civilne zaštite (nacionalni, županijski, općinski Stožeri…)
Obrada osobnih podataka u kontekstu pandemije COVID-19 • ostale kategorije osobnih podataka / posebne kategorije osobnih podataka • pravni temelji za obradu osobnih podataka članak 6. stavak 1. Opće uredbe - točka c) - ukoliko je obrada nužna radi poštovanja pravnih obveza voditelja obrade - točke d) - ukoliko je obrada osobnih podataka nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe, u odnosu na obradu posebnih kategorija osobnih podataka - članak 9. stavak 2. točka b) Opće uredbe - obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
Obrada osobnih podataka u kontekstu pandemije COVID-19 ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. • • Primjer - vezano za obradu osobnih podataka koju provode škole, u primjeni je Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj: 87/08 do 64/20), gdje članak 67. propisuje da je školska ustanova dužna brinuti se o zdravstvenom stanju učenika i o tome obavještavati liječnike primarne zdravstvene zaštite i roditelje.
Obrada osobnih podataka u kontekstu pandemije COVID-19 • Zakon o zaštiti pučanstva od zaraznih bolesti („Narodne novine“, broj: 79/07 do 47/20) u članku 4. propisuje da su Republika Hrvatska, županije, odnosno Grad Zagreb, općine i gradovi obvezni osigurati provođenje mjera za zaštitu pučanstva od zaraznih bolesti (propisane ovim Zakonom) te sredstva za njihovo provođenje kao i stručni nadzor nad provođenjem tih mjera. Isto tako, člankom 12. propisane su posebne mjere za sprječavanje i suzbijanje zaraznih bolesti. Jedna od posebnih mjera je rano otkrivanje izvora zaraze i putova prenošenja zaraze te je člankom 13. propisano da se radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze obavlja epidemiološko ispitivanje, uključujući anketiranje pri pojavi bolesti COVID – 19, te da radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze poslove iz stavka 1. točke 1. – 5. predmetnog članka obavljaju nadležni uredi za javno zdravstvo, koji moraju osigurati trajnu pripravnost doktora medicine, specijalista epidemiologije, kao i sredstva za materijalne rashode i naknadu za obavljanje pripravnosti.
Obrada osobnih podataka u kontekstu pandemije COVID-19 • voditelji obrade koji obavljaju uslužne djelatnosti dužni su voditi računa da se sukladno Preporuci HZJZ-a prikupljaju/obrađuju osobni podaci koji su relevantni za postizanje utvrđene svrhe u koju se obrađuju (sprečavanje širenja pandemije – ugrožavanja javnog zdravlja). • kontakt podatci (broj mobitela) korisnika usluge unutar kojeg je utemeljeno smatrati (iako nije izrijekom navedeno) i ime i prezime kako bi se znalo kome zabilježeni broj i vrijeme dolaska i odlaska pripadaju, dok za obradu drugih kategorija osobnih podataka (u navedenoj situaciji) se ne nalazi zakonita osnova iz članka 6. i 9. Opće uredbe o zaštiti podataka koja bi se primjenjivala na voditelje obrade koji se bave uslužnim djelatnostima (privola nije primjenjiva jer nije dobrovoljna/uvjetuje se korištenje usluge davanjem privole)
Obrada osobnih podataka u kontekstu pandemije COVID-19 • Zakon o radu definira obveze poslodavca u zaštiti života, zdravlja i ćudoređa radnika te je (u stavku 1. ) propisano da je poslodavac dužan pribaviti i održavati postrojenja, uređaje, opremu, alate, mjesto rada i pristup mjestu rada, te organizirati rad na način koji osigurava zaštitu života i zdravlja radnika, u skladu s posebnim zakonima i drugim propisima i naravi posla koji se obavlja • Zakon o zaštiti na radu (članak 1. stavku 2. ) propisuje da je svrha Zakona sustavno unapređivanje sigurnosti i zaštite zdravlja radnika i osoba na radu, sprječavanje ozljeda na radu, profesionalnih bolesti i bolesti u vezi s radom, dok je člankom 5. stavkom 1. istaknuto kako su život, zdravlje i očuvanje radne sposobnosti vrednote od posebnog društvenog interesa u Republici Hrvatskoj
Obrada osobnih podataka u kontekstu pandemije COVID-19 • mjerenje tjelesne temperature putem termalnih kamera - zasebni tehnički sustavi koji nisu povezani sa drugim identifikatorima (zasebno od sustava videonadzora, bez pohrane podataka / ulaz u trgovački centar, poslovne prostore voditelja obrade) – nije obrada osobnih podataka u smislu Opće uredbe o zaštiti podataka - ukoliko se predmetne snimke pohranjuju na određeno vremensko razdoblje te u mjeri u kojoj mogu, zajedno s drugim podacima (podacima iz evidencije dolazaka i odlazaka na posao) pomoći odrediti da točno određena osoba ima povišenu tjelesnu temperaturu, isti se mogu definirati kao podaci koji se odnose na „pojedinca čiji je identitet utvrđen ili se može utvrditi” i time bi predstavljale osobni podatak u okvirima primjene Opće uredbe o zaštiti podataka
Obrada osobnih podataka u kontekstu pandemije COVID-19 • Uvodna odredba - 46. Opće uredbe o zaštiti podataka (u odnosu čl. 6 st. 1 t. (d) Opće uredbe) • „Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem. “
Obrada biometrijskih podataka • „biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci • zabranjuje se obrada osobnih podataka koji otkrivaju (čl. 9 Opće uredbe - Obrada posebnih kategorija osobnih podataka) - rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
Obrada biometrijskih podataka (čl. 21. – 24. Zakona) • u tijelima javne vlasti obrada biometrijskih podataka može se provoditi samo ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka • smatrat će se da je obrada biometrijskih podataka u skladu sa zakonom ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice • u privatnom sektoru može se provoditi samo ako je propisana zakonom ili ako je nužna za zaštitu osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka. • pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga izričita je privola takvog ispitanika dana u skladu s odredbama Opće uredbe o zaštiti podataka.
Obrada biometrijskih podataka • dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka. • odredbe ovoga Zakona o obradi biometrijskih podataka ne utječu na obvezu provođenja procjene učinka sukladno članku 35. Opće uredbe o zaštiti podataka (upotreba takve tehnologije može obuhvaćati inovativne oblike prikupljanja i upotrebe podataka s mogućim visokim rizikom za prava i slobode pojedinaca, a kako osobne i društvene posljedice implementacije nove tehnologije još nisu posve poznate procjena učinka na zaštitu podataka pomoći će voditelju obrade podataka u razumijevanju takvih rizika i postupanju s njima) • odredbe ovoga Zakona o obradi biometrijskih podataka ne primjenjuju se na područje obrane, nacionalne sigurnosti i sigurnosno-obavještajnog sustava
Zakon o obradi biometrijskih podataka • uređuje se obrada biometrijskih podataka radi učinkovitog utvrđivanja identiteta i zaštite fizičkih osoba od zlouporabe njihovih osobnih podataka • ovaj Zakon primjenjuje se na obradu biometrijskih podataka koje prikupljaju nadležna tijela u skladu s posebnim propisima, a u svrhe utvrđene člancima 7. do 18. ovoga Zakona. • obrada biometrijskih podataka na temelju odredbi ovoga Zakona obavlja se sukladno odredbama zakona kojim se propisuje zaštita fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka / SL L 119, 4. 5. 2016. ) i zakona kojim se osigurava provedba Opće uredbe o zaštiti podataka.
Zakon o obradi biometrijskih podataka • biometrijski podaci su osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim ili fiziološkim obilježjima pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su otisci papilarnih linija prstiju, dlanova i stopala, fotografije, prikazi lica, profil DNK-a i šarenica oka • prikaz lica je digitalni prikaz lica čija su rezolucija i kvaliteta dostatni za automatizirano biometrijsko traženje podudarnosti • profil DNK-a je slovni ili brojčani kôd koji predstavlja niz identifikacijskih obilježja nekodirajućeg dijela analiziranog uzorka ljudskog DNK-a, to jest posebnu molekularnu strukturu različitih područja DNK-a (lokusa) • nadležna tijela ovlaštena za prikupljanje i obradu biometrijskih podataka te ustrojavanje odgovarajućih zbirki podataka iz članka 6. ovoga Zakona su ministarstva nadležna za unutarnje poslove, vanjske poslove, poslove pravosuđa te ministarstvo nadležno za poslove obrane u dijelu koji se odnosi na obavljanje vojnopolicijskih poslova sukladno posebnim propisima
HVALA NA PAŽNJI! Agencija za zaštitu osobnih podataka www. azop. hr www. arc-rec-project. eu/ info@arc-rec-project. eu
- Slides: 56