Zatita osobnih podataka i uvoenje Ope uredbe o
Zaštita osobnih podataka i uvođenje Opće uredbe o zaštiti podataka u školskim ustanovama eng. GDPR (Uredba EU 2016/679) Ivana Žiljak
Zaštita osobnih podataka - Ustavna kategorija Zaštita osobnih podataka - čl. 37. Ustava RH: o. Svakom podataka se jamči sigurnost i tajnost osobnih o. Zabranjena je uporaba osobnih podataka suprotna utvrđenoj svrsi njihova prikupljanja
Nacionalno zakonodavstvo Do 25. svibnja 2018. • Zakon o zaštiti osobnih podataka (NN 106/12 – pročišćeni tekst) • Kao podzakonski akti u području zaštite osobnih podataka u RH u primjeni su: ü Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (NN 105/04) ü Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (NN 139/04) Nakon 25. svibnja 2018. • Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/18)
Novi propisi o zaštiti osobnih podataka • UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ - Opća uredba o zaštiti podataka • DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP
Opća uredba o zaštiti podataka - GDPR ØPrimjenjuje se od: 25. 05. 2018. ØPrimjena izravno u svim državama članicama ØU cijelosti obvezujuća
Materijalno područje primjene ØAutomatizirana i neautomatizirana obrada OP ØNe primjenjuje se na: § nacionalnu sigurnost, § zajedničku vanjsku i sigurnosnu politiku EU, § u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela, § aktivnosti fizičke osobe za vlastite potrebe
Teritorijalno područje primjene Øobrada osobnih podataka u okviru aktivnosti poslovnog nastana voditelja ili izvršitelja obrade, neovisno obavlja li se obrada u EU ili izvan nje Øodnosi se i na aktivnosti voditelja ili izvršitelj obrade bez poslovnog nastana u EU (ponuda robe ili usluga ispitanicima u EU ili praćenje njihovog ponašanja)
Definicije – članak 4. • Osobni podatak - podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi izravno ili neizravno (ime i prezime, identifikacijski broj, podaci o lokaciji i sl. ) • Obrada – svaki postupak koji se obavlja na osobnim podacima (automatiziranim/neautomatiziranim sredstvima) npr. prikupljanje, bilježenje, pohrana, obavljanje uvida, uporaba, prijenos, brisanje i sl. • Voditelj obrade – fizička ili pravna osoba koja određuje svrhe i sredstva obrade • Sustav pohrane – strukturirani skup (zbirka osobnih podataka)
Načela – članak 5. • Zakonito, pošteno i transparentno obrađivani • Prikupljeni u posebne, izričite i zakonite svrhe (“ograničavanje svrhe”) • Primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe (“smanjenje količine podataka”) • Točni i prema potrebi ažurni (“točnost”) • “Ograničenje pohrane” • “Cjelovitost i povjerljivost” Za usklađenost odgovara voditelj obrade POUZDANOST
Zakonitost obrade • Pravni temelj obrade osobnih podataka: ü Članak 6. GDPR ü Isključivo u taksativno navedenim slučajevima
Pravna osnova • privola dana za obradu osobnih podataka u jednu ili više posebnih svrha • nužna za izvršavanje ugovora u kojemu je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora • nužna radi poštivanja pravnih obveza voditelja obrade • nužna kako bi se zaštitili ključni interesi ispitanika ili druge fiz. osobe • nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade • nužna za potrebe legitimnih interesa voditelja obrade ili treće strane
Privola kao pravni temelj • Privola – dokaziva (teret dokaza na voditelju obrade) isključiva nedvosmislena dobrovoljna moguće povući u svakom trenutku
Privola kao pravni temelj • ako je privola pravni temelj za obradu osobnih podataka učenika daje ju zakonski zastupnik (roditelj, skrbnik) • roditelj/zakonski zastupnik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade podataka o svojem djetetu
Privola djeteta u odnosu na usluge informacijskog društva • Članak 8. GDPR • Usluga informacijskog društva - svaka usluga koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja (Direktiva EU 2015/1535 Europskog parlamenta i Vijeća) • Zakon o provedbi Opće uredbe o zaštiti podataka • Članak 19. • Zakonita je ako dijete ima najmanje 16 godina
Izvršavanje zadaća od javnog interesa/službene ovlasti ØPravna osnova utvrđuje se pravom Unije ili pravom države članice ØPrimjeri: • Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi • Pravilnik o zajedničkome upisniku školskih ustanova u elektroničkome obliku – e-matici
Poštivanje pravnih obveza kao pravni temelj • u smislu obveza koje voditelji obrade izvršavaju na temelju posebnih propisa • Primjeri: • Zakon o plaćama u javnim službama, • Zakon o radu, • Zakon o zaštiti na radu. . .
Obrada posebnih kategorija osobnih podataka Odnose se na - rasno ili etičko podrijetlo, - politička mišljenja, - vjerska filozofska uvjerenja - članstvo u sindikatu, - genskih podataka - biometrijskih podataka - podaci o zdravlju - spolna i seksualna orijentacija
VAŽNO prilikom obrade osobnih podataka učenika/djece • prethodno informirati roditelje • za obradu mora postojati odgovarajući pravni temelj • zakonita svrha • opseg (načelo razmjernosti)
Prava ispitanika • Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile: § sve informacije iz čl. 13. i 14. § sve komunikacije iz čl. 15. do 22. i čl. 34. § sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu • MOGU BITI OGRANIČENA
Prava ispitanika • Informacije koje treba dostaviti/pružiti ispitaniku neovisno da li su prikupljeni od samog ispitanika ili nisu dobiveni od njega (članak 13. i 14. ) • Pravo ispitanika na pristup (članak 15. ) • Pravo na ispravak (članak 16. ) • Pravo na brisanje – “pravo na zaborav” (članak 17. ) • Pravo na ograničavanje obrade (članak 18. ) • Pravo na prenosivost podataka (članak 20. ) • Pravo na prigovor (članak 21. ) • Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (članak 22. )
Pravo na pristup podacima Ako se podaci obrađuju - pristup podacima i sljedećim informacijama: • svrha obrade • kategoriji osobnih podataka • primateljima osobnih podataka • razdoblju pohrane • pravu na ispravak, brisanje, ograničenje obrade ili pravu na prigovor • pravo na pritužbu nadzornom tijelu • izvoru podataka • postojanju automatiziranog donošenja odluka
PRAVO NA ISPRAVAK • tražiti ispravak podataka • dopuniti nepotpune podatke davanjem dodatne izjave PRAVO NA BRISANJE • podaci više nisu nužni u odnosu na svrhu u koju su prikupljeni • povučena/opozvana privola na kojoj se temelji obrada • osobni podaci nezakonito obrađeni • poštivanje pravne obveze iz prava Unije ili države članice • prikupljeni u vezi s ponudom informacijskog društva
Pravo na ograničenje obrade Ispitanik ima pravo tražiti od voditelja obrade ograničenje obrade, ako: • Osporava točnost osobnih podataka (na razdoblje provjere) • Obrada je nezakonita i ispitanik se protivi brisanju – traži ograničavanje • Ispitanik traži ograničavanje radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva (voditelj više ne treba osobne podatke) • Ispitanik uložio prigovor (čl. 21. )- očekujući potvrdu nadilaze li legitimni razlozi voditelja razloge ispitanika
Pravo na prenosivost • Pravo zaprimiti podatke (koje je pružio voditelju) u strukturiranom, običajeno upotrebljavanom i strojno čitljivom obliku • Pravo prenijeti te podatke drugom voditelju bez ometanja voditelja kojemu su podaci pruženi, ako: a) ako se obrada temelji na privoli ili ugovoru i b) ako se obrada provodi automatiziranim putem • Ostvarivanje tog prava ne smije negativno utjecati na prava i slobode drugih
Pravo na prigovor • ima pravo u svakom trenutku uložiti prigovor na obradu osobnih podataka koja se na njega odnose (privola i kada se podaci obrađuju za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti) • voditelj obrade ne smije ih dalje obrađivati, osim ako: a) dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili b) radi obrane pravnih zahtjeva
Ograničenja Zakonom se mogu ograničiti prava ispitanika i obveze koje iz toga proizlaze pod uvjetom: Øpoštivanja temeljnih prava i sloboda Ø predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu MOGU BITI OGRANIČENA (nacionalna sigurnost, obrana, javna sigurnost, važni ciljevi od javnog interesa-monetarna, porezna pitanja, javno zdravstvo, neovisnost provosuđa…)
VODITELJ OBRADE • Omogućavanje ostvarivanje prava ispitanika • Obveza provođenja tehničkih i organizacijskih mjera • Izvještavanje nadzornog tijela o povredi osobnih podataka • Obavještavanje ispitanika o povredi osobnih podataka • Imenovanje službenika za zaštitu osobnih podataka • Procjena učinka na zaštitu osobnih podataka • Kodeksi ponašanja, certificiranje, obvezujuća korporativna pravila…
Povjeravanje poslova obrade (IZVRŠITELJI OBRADE) • Provođenje obrade podataka u ime voditelja obrade • Nije nužno imenovanje izvršitelja obrade, samo ako koristimo u obradi usluge vanjskih društava , npr. računovodstvo, IT podršku. . . • Odnos se uređuje ugovorom ili drugim pravnim aktom • Obrađuje osobne podatke prema danim uputama • Osigurava da ovlaštene osobe u obradi podliježu povjerljivosti • Poduzima sve potrebne mjere zaštite za sigurnost obrade • Pomaže voditelju obrade u osiguranju usklađenosti, daje potrebne informacije za dokazivanje usklađenosti i poštivanja obveza…
Evidencija aktivnosti obrade • od 25. svibnja 2018. NEMA dostave u Središnji registar • davanje na uvid nadzornom tijelu • Evidencija mora biti u pisanom obliku, uključujući elektronički oblik;
Evidencija aktivnosti obrade • ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako: • obrada koju provodi vjerojatno predstavlja visok rizik za prava i slobode ispitanika, • nije povremena obrada (stalna), • obrada uključuje posebne kategorije podataka, • ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA Obveza imenovanja – voditelj obrade ili izvršitelj obrade ØU slučajevima kada: a. Obradu provodi tijelo javne vlasti ili javno tijelo (iznimka sudovi u obavljanju njihove nadležnosti); b. Osnovna djelatnosti sastoji se od postupaka obrade koje iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri; c. Osnovna djelatnost sastoji se od opsežne obrade posebnih kategorija osobnih podataka
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA ØImenovanje temeljem stručnih kvalifikacija, osobito stručnog znanja o pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja zadaća ØMože biti angažiran na temelju ugovora o djelu ØPropisana zabrana razrješenja dužnosti ili kažnjavanja zbog izvršavanja zadaća ØSukob interesa
SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA ØZadaće (čl. 39. ): • Informiranje i savjetovanje poslodavca i drugih zaposlenika • Praćenje poštivanja odredbi Uredbe te politika zaštite voditelja ili izvršitelja obrade • Pružanje savjeta – procjena učinaka na zaštitu osobnih podataka • Suradnja sa nadzornim tijelom • Kontakt točka
Obrada osobnih podataka putem videonadzora • Članak 25. - 30. Zakona o provedbi Opće uredbe • Zakon o zaštiti na radu • Pravilnik o načinu postupanja odgojno-obrazovnih radnika školskih ustanova u poduzimanju mjera zaštite prava učenika te prijave svakog kršenja tih prava nadležnim tijelima • Samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine • Voditelj obrade dužan je informirati da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom • Obavijest treba sadržavati posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije: – da je prostor pod videonadzorom – podatke o voditelju obrade – podatke za kontakt putem kojih ispitanik može ostvariti svoja prava
Neovisna nadzorna tijela - Zadaće • Prati i provodi primjenu Opće Uredbe • Promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom • Promiče osviještenost voditelja obrade i izvršitelja obrade o njihovim obvezama • Savjetuje nacionalni parlament, vladu i druge institucije i tijela u vezi zaštite osobnih podataka • Na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava • Rješava pritužbe • Daje savjete o postupcima obrade i dr…. .
Neovisna nadzorna tijela • Ovlasti: - savjetodavne - istražne - korektivne ØIzricanje upravnih novčanih kazni
Kršenje odredbi Opće uredbe o zaštiti podataka Pravo ispitanika: - podnijeti pritužbu nadzornom tijelu - podnošenje pravnog lijeka protiv: a) obvezujuće odluke nadzornog tijela koja se odnosi na njega b) ako nadzorno tijelo ne riješi njegovu pritužbu ili ga ne obavijesti o napretku ili ishodu pritužbe c) voditelja obrade ili izvršitelja obrade ako smatra da su mu obradom osobnih podataka prekršena njegova prava iz Uredbe - pravo na naknadu materijalne ili nemarijalne štete
Izricanje upravno novčanih kazni • uz ostale korektivne mjere ili umjesto drugih korektivnih mjera ovisno o okolnostima svakog pojedinog slučaja • kriteriji za odlučivanje o izricanju i o iznosu upravnih novčanih kazni propisani člankom 83. Uredbe (11) Ovisno o vrsti prekršaja (obvezi iz Uredbe) • do 10 000 € ili 2 % ukupnog godišnjeg prometa na svjetskoj razini • do 20 000 € ili 4 % ukupnog godišnjeg prometa na svjetskoj razini
Agencija za zaštitu osobnih podataka • • web: www. azop. hr pravna pitanja: 01/4609 080 ( pon-pet 13: 30 -15: 30) • Kontakt • e-mail: azop@azop. hr • tel: 01/4609 000
- Slides: 39