1
Praktična primjena Opće uredbe o zaštiti podataka 2016/679 i Zakona
o provedbi Opće uredbe
doc.dr.sc. Hrvoje Lisičar Pravni fakultet u Zagrebu
Usklađivanje poslovanja i rasprava na temu dostavljenih
pitanja
2
Uvodne napomene
Zaštita osobnih podataka je KONTINUIRANI proces. Usklađivanje poslovanje je prvi korak kojim se stvaraju pretpostave za buduću usklađenu obradu osobnih podataka
Opća uredba ima retroaktivnu primjenu, -obuhvaća SVEprikupljene osobne podatke koji se obrađuju
Opća uredba se primjenjuje na SVE koji obrađuju osobne podatke (uz iznimke iz Čl. 2 t.2) pa tako i na odvjetnike, zajedničke odvjetničke urede i odvjetnička društva
NE POSTOJI univerzalni model. Svaka subjekt ima specifičnosti koje se prilikom usklađivanja poslovanja moraju uzeti u obzir
Za većinu organizacijskih zahtjeva ne postoji poredbenopravni uzor ili sudska praksa pa je stoga nužno pratiti budući razvoj prakse nadzornog tijela, smjernice i praksu
sudova.
o usklađivanju poslovanja sa Općom uredbom
3
POUZDANOST/ODGOVORNOST
• Implementacija tehničkih i organizacijskih mjera
• Pristup temeljen na RIZIKU – obveze se povećavaju razmjerno sa rizikom za prava ispitanika koje nosi obrada podataka
• Na zahtjev nadzornog tijela / ispitanika• Pružanje potpune
informacije o osobnim podacima koji se obrađuju
• Ostvarivanje prava ispitanika• Otklanjanje mogućnosti
izricanja kazni• Veća razina povjerenja
USKLAĐENOSTMOGUĆNOST DOKAZIVANJA USKLAĐENOSTI
ODGOVORNOST
SVI SUBJEKTI koji obrađuju osobne podatke moraju biti u mogućnosti dokazati odgovornost/pouzdanost u obradi osobnih podataka
Postavljeno pitanje – odnos odvjetničke tajne i Opće uredbe te provedbenog propisa?
4
POJMOVI ”DJELATNOST I VELIKA MJERA”
• Veliki broj obveza prilikom usklađivanja poslovanja ovisi o tome može li se obrada osobnih podataka promatrati kao OSNOVNA DJELATNOST i da li se vrši obrada podataka u VELIKOJ MJERI
OSNOVNA DJELATNOST
VELIKA MJERA
Ključne aktivnosti koje su nužne za ostvarivanje ciljeva voditelja obrade. Ne smiju biti isključene aktivnosti koje su isprepletene sa glavnom djelatnosti
Odvjetnik primarno pruža pravnu zaštitu, ali cilj nije u mogućnosti postići bez obrade osobnih podataka
Pri određivanju “VELIKE MJERE” POTREBNO JE uzeti u obzir:• Broj ispitanika – točno ili proporcionalno• Količinu podataka• Vrijeme trajanja i zadržavanja• Geografsko područje
Kada odvjetnik ili odvjetničko društvo obrađuje velike količine osobnih podataka za potrebe provođenja postupka ovrhe
5
Praktična primjena Opće uredbe i provedbenog propisaKoraci za usklađivanje poslovanja
Izradaevidencija
Ugovorniodnosi
Mapiranjepodataka
Utvrđivanjeuloge
Moguće i druge obveze OVISNO O OBRADI PODATAKAI ORGANIZACIJI POSLOVANJA
Ostvarivanjeprava
Obavijest o zaštiti
podataka
Obavijest o povredama
Obveze prema provedbenom
propisu
DPIA – prema potrebi
Imenovanje Službenika
6
UTVRĐIVANJE ULOGE
Utvrđivanje uloge ODVJETNIKA
– klijent angažira odvjetnika te mu prenosi osobne podatke za potrebe vođenja spora
– klijent nije upoznat s potrebnim koracima koje je potrebno poduzeti
– odvjetnik određuje svrhu i sredstva prikupljanja podataka
– odvjetnik prikuplja i obrađuje osobne podatke od klijenta i trećih strana za potrebe vođenja spora u skladu sa pravilima struke
– u navedenom slučaju ODVJETNIK ima ulogu VODITELJA OBRADE
U praksi je moguće očekivati i slučajeve gdje se Odvjetnici javljaju u ulozi Izvršitelja obrade ili Zajedničkog voditelja obrade
O ULOZI u obradi osobnih podataka ovisi i koje je mjere potrebno poduzeti da bi se poslovanje uskladilo sa zahtjevima Opće uredbe
7
Mapiranje podatakaInicijalni postupak koji se provodi PRIJE IZRADE EVIDENCIJA - najčešće se provodi u
većim organizacijskim jedinicama gdje se osobni podaci prikupljaju iz različitih izvora
Tko? Što? Zašto? Gdje Kada?
Čiji podaci se prikupljaju?
Zaposlenici, klijenti,
dobavljači....
Imena? Brojevi telefona? Adresa
elektroničke pošte? Kaznena
evidencija? OIB? Mjesto i
datum rođenja? .....
Razlog prikupljanja podataka?
Vođenje spora? Provođenje
ovrhe? Isplata plaća?
Kako se podaci
pohranjuju?
U računalu, u oblaku,
arhiviranje u papirnatom
obliku....
Kada su podaci
prikupljeni?
Da li su podaci i dalje potrebni? Da li su podaci
točni?
Primjer 1.
8
Mapiranje podataka Primjer 2.
Kategorija osobnih podataka Koji su osobni podaci u pitanju – lista svih osobnih podataka
Radi li se o posebnoj kategoriji osobnih podataka? Rasa, političko uvjerenje, članstvo u sindikatu....
Izvor osobnih podataka? Kako su podaci prikupljeni
Da li je ispitanik upoznat sa obradom? Ako jest, kako? Politika privatnosti....
Pravna osnova za obradu? Koja je pravna osnova za obradu podataka
Što se radi sa podacima? Način korištenja i svrha.
Da li se podaci dijele (prenose)? Npr. Izvršitelj obrade, treće strane...
Na koji su način podaci pohranjeni? Elektronički oblik, papirnati oblik, osobna računala...
Da li se podaci arhiviraju ili brišu? Vrijeme čuvanja podataka? Brisanje?
Da li se podaci prenose van EU? Specifične obveze ako DA.
Specifičnosti? Ima li specifičnosti u svezi sa obradom podataka?
9
Obveza za voditelje i izvršitelje obrade
• Jedan od ključnih organizacijskih zahtjeva Uredbe
• Jamče povjerljivosti, cjelovitosti, dostupnosti i otpornosti.
• Prikladne mjere implementiraju se PROPORCIONALNO u odnosu na RIZIK
• Uzeti u obzir EKONOMSKE MOGUĆNOSTI
• Svaki pojedinac obrađuje podatke u skladu sa UPUTOM
• Implicira se donošenje Odgovarajuće politike zaštite podataka
TEHNIČKE I ORGANIZACIJSKE MJERE(TOM)NAGLASAK NA INFORMACIJSKOJ SIGURNOSTI
• minimiziranje obrade osobnih podataka
• pseudonimizacija i enkripcija
• Mogućnost praćenje obrade od strane ispitanika
• unaprjeđenje informatičke sigurnosti
• mjere fizičke zaštite• obuka zaposlenika o
zaštiti podataka• Ljudska sigurnost itd. • implementacija Privacy
by Design/Default
PRIMJER
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
2.)
10
Izrada EVIDENICIJA AKTIVNOSTI OBRADEJedan od glavnih instrumenata za dokazivanje ODGOVORNOG/POUZDANOG
ponašanja
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
0.)
250 ZAPOSLENIKA
NE – osim ako
DA
VISOKI RIZIK
POSEBNE KATEGORIJE PODATAKA
OBRADA NIJE POVREMENA
KAZNENE OSUDE ILI KAŽNJIVA DJELAMikro, mali i srednji poduzetnici (godišnji prihod 50M Eur)
Bilo koji od zahtjeva
WP 29 STAJALIŠTE o obvezama prema članku 30 (5) Opće uredbe od 19.4.2018.- u evidencije uključiti SVE obrade koje nisu povremene
- ne predstavlja prevelik teret za male organizacije
Treba li odvjetnik/odvjetničko društvo/zajednički odvjetnički ured voditi evidenciju aktivnosti obrade?
11
EVIDENCIJA AKTIVNOSTI OBRADE
Za Voditelja obrade EVIDENCIJA MORA SADRŽAVATI
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
0.)
IME VODITELJAKONTAKTPREDSTAVNIKSLUŽBENIK
01
SVRHA OBRADE OSOBNIH PODATAKA
02
KATEGORIJA ISPITANIKA
KATEGORIJA OSOBNIH PODATAKA
03
KOME SE PRENOSE KOJI OSOBNI PODACI
04
VRŠI LI SE PRIJENOS PODATAKA U TREĆE ZEMLJE (VAN EU)
05
VREMENSKI ROKOVI ČUVANJA PODATAKA
06
OPIS TEHNIČKIH I ORGANIZACIJSKIH MJERA
07
12
EVIDENCIJA AKTIVNOSTI OBRADENE POSTOJI PRIJEDLOG OBRASCA AZOP-a.
DODATNI PODACI koje je moguće uključiti:
• Temelji zakonite obrade osobnih podataka sukladno Članku 6.• Temelji obrade posebnih kategorija osobnih podataka sukladno Članku 9.• Koja prava imaju ispitanici• Postojanje automatiziranog donošenja odluka, uključujući profiliranje (ako
je primjenjivo)• Izvor osobnih podataka (ako je primjenjivo)• Dokaz o privoli (ako je primjenjivo)• Lokacija osobnih podataka (program ili fizička lokacija)• Da li je potrebna procjena učinka na prava ispitanika• Je li došlo do povrede osobnih podataka
13
EVIDENCIJA AKTIVNOSTI OBRADE
Primjer 2.Primjer 1. Primjer 3.
Page 1 de 4
REF - 003
Opis aktivnosti obradeIme/Inicijali Sanja Strižić
N° / REF REF - 003Datum kreiranja 20.04.2018
Datum ažuriranja -
Dionici Ime Adresa, Grad, Poštanski broj OIB E-mail Država TelVoditelj UDRUŽENJE RADIO TAKSI
ZAGREBUlica Božidara Magovca 55,
10000 Zagreb79841995872 info@radio-taksi-
zagreb.hrREPUBLIKA HRVATSKA
01 6600 671, 01 6601 235
Službenik za zaštitu podataka Željko Lončarek Ulica Božidara Magovca 55, 10000 Zagreb
REPUBLIKA HRVATSKA
01 6600 671, 01 6601 235
Svrha(e) aktivnosti obradeGlavna svrha
Sporedna svrha obrade 1 RAD DISPEČERSKOG CENTRASporedna svrha obrade 2 UPRAVLJANJE FLOTOMSporedna svrha obrade 3Sporedna svrha obrade 4Sporedna svrha obrade 5
Sigurnosne mjereTehničke sigurnosne mjere
Organizacijske sigurnosne mjere
Kategorije ispitanika OpisKategorija 1Kategorija 2
Kategorija osobnih podataka koji se obrađuju ZA KATEGORIJU 1
ISPITANIKA (ČLANOVI UDRUŽENJA)
Opis Vrijeme zadržavanja
Identifikacijski podaci
Za vrijeme trajanje članstva u Udruženju i postojanja
Ugovora o korištenju usluga Udruženja
APLIKACIJA "INTAXI" - PRUŽANJE USLUGE TAKSI PRIJEVOZA
ČLANOVI UDRUŽENJA RADIO TAKSI ZAGREBKORISNICI USLUGA
Pravni temelj za obradu
Prezime i Ime Člana, Taksi Broj, Broj Licence, Broj Dozvole,Poštanski Broj, Mjesto, Adresa, Mjesto Rođenja, Datum Rođenja, Oib, Spol, Bračno stanje,
Članak 6. (1.) (c) Obrada nužna radi poštovanja pravnih obveza
PRUŽANJE USLUGA TAKSI PRIJEVOZA
Ime Specimen - VO Ime Specimen - DPO Ime N/AAdresa Ulica i broj, grad, poštanski broj Adresa Ulica i broj, grad, poštanski broj Adresa N/AEmail Email adresa Email Email adresa Email N/A
Telefon Telefonski broj Telefon Telefonski broj Telefon N/A
Privola Zahtjevi za pristup
Poslovna funkcija Svrha obradeIme i kontakt podaci zajedničkog voditelja
obrade (ako je primjenjivo)Kategorije ispitanika Kategorije osobnih podataka Kategorije primatelja Poveznica na ugovor s izvršiteljem obrade
Treće zemlje ili međunarodne organizacije
kojima se prenose osobni podaci (ako je
primjenjivo)
Mjere zaštite prilikom izvanrednog prijenosa
osobnih podataka prema trećim zemljama ili
međunarodnim organizacijama (ako je
primjenjivo)
Vrijeme zadržavanja (ako je primjenjivo)Opći opis tehničkih i organizacijskih
sigurnosnih mjera (ako je primjenjivo)
Temelji zakonite obrade osobnih podataka
sukladno Članku 6.
Temelji obrade posebnih kategorija osobnih
podataka sukladno Članku 9.
Legitimni interesi za obradu (ako je
primjenjivo)
Poveznica na dokaz o procjeni legitimnih
interesa (ako je primjenjivo)Prava dostupna ispitanicima
Postojanje automatiziranog donošenja
odluka, uključujući profiliranje (ako je
primjenjivo)
Izvor osobnih podataka (ako je primjenjivo) Poveznica na dokaz o privoliLokacija osobnih podataka
(IT sustav za podršku obradi)
Je li potrebno napraviti procjenu učinka na
zaštitu osobnih podataka?
Napredak u procjeni učinka na zaštitu osobnih
podataka
Poveznica na procjenu učinka na zaštitu
osobnih podatakaJe li došlo do povrede osobnih podataka?
Poveznica na dokaz o povredi osobnih
podataka
Financije Plaće N/A Zaposlenici Kontakt podaci Porezna uprava N/A N/A N/A 5 godina nakon zapošljavanja Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (c) - pravna obaveza N/A N/A N/A Pristup i ispravak Ne Ispitanik N/A Financijski platni sustav Ne N/A N/A Ne N/AFinancije Plaće N/A Zaposlenici Bankovni podaci Porezna uprava N/A N/A N/A 3 godine nakon zapošljavanja Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (c) - pravna obaveza N/A N/A N/A Pristup i ispravak Ne Ispitanik N/A Financijski platni sustav Ne N/A N/A Ne N/AFinancije Plaće N/A Zaposlenici Podaci o mirovini Porezna uprava N/A N/A N/A 75 godina nakon zapošljavanja Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (c) - pravna obaveza N/A N/A N/A Pristup i ispravak Ne Voditelj obrade N/A Financijski mirovinski sustav Ne N/A N/A Ne N/AFinancije Plaće N/A Zaposlenici Porezni podaci Porezna uprava N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (c) - pravna obaveza N/A N/A N/A Pristup i ispravak Ne Voditelj obrade N/A Financijski platni sustav Ne N/A N/A Ne N/A
Ljudski resursi Osobna kartica zaposlenika N/A Zaposlenici Kontakt podaci N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zaposlenicima Ne N/A N/A Ne N/ALjudski resursi Osobna kartica zaposlenika N/A Zaposlenici Podaci o plaći N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Ne Voditelj obrade N/A HR sustav o zaposlenicima Ne N/A N/A Ne N/ALjudski resursi Osobna kartica zaposlenika N/A Zaposlenici Podaci o godišnjem odmoru N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zaposlenicima Ne N/A N/A Ne N/ALjudski resursi Osobna kartica zaposlenika N/A Zaposlenici Podaci o bolovanju N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor Članak 9. stavak 2. točka (b) - zapošljavanje N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zaposlenicima Ne N/A N/A Ne N/ALjudski resursi Osobna kartica zaposlenika N/A Zaposlenici Podaci o radnom učinku N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Ne Voditelj obrade N/A HR sustav o zaposlenicima Ne N/A N/A Ne N/ALjudski resursi Zapošljavanje N/A Uspješni kandidati za posao Kontakt podaci Sudac N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Uspješni kandidati za posao Kvalifikacije N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Uspješni kandidati za posao Povijest zapošljavanja N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Uspješni kandidati za posao Etnička pripadnost N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor Članak 9. stavak 2. točka (b) - zapošljavanje N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zapošljavanjima Ne N/A N/A Ne N/ALjudski resursi Zapošljavanje N/A Uspješni kandidati za posao Podaci o invaliditetu N/A N/A N/A N/A 6 godina nakon zapošljavanja Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor Članak 9. stavak 2. točka (b) - zapošljavanje N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zapošljavanjima Ne N/A N/A Ne N/ALjudski resursi Zapošljavanje N/A Neuspješni kandidati za posao Kontakt podaci N/A N/A N/A N/A 6 mjeseci nakon provedbe kampanje Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Neuspješni kandidati za posao Kvalifikacije N/A N/A N/A N/A 6 mjeseci nakon provedbe kampanje Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Neuspješni kandidati za posao Povijest zapošljavanja N/A N/A N/A N/A 6 mjeseci nakon provedbe kampanje Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor N/A N/A N/A Pristup, prenosivost podataka, ispravak Da Ispitanik N/A HR sustav o zapošljavanjima Da Završeno Poveznica Ne N/ALjudski resursi Zapošljavanje N/A Neuspješni kandidati za posao Etnička pripadnost N/A N/A N/A N/A 6 mjeseci nakon provedbe kampanje Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor Članak 9. stavak 2. točka (b) - zapošljavanje N/A N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zapošljavanjima Ne N/A N/A Ne N/ALjudski resursi Zapošljavanje N/A Neuspješni kandidati za posao Podaci o invaliditetu N/A N/A N/A N/A 6 mjeseci nakon provedbe kampanje Enkriptirana pohrana, kontrole pristupa Članak 6. st. 1. točka (b) - ugovor Članak 9. stavak 2. točka (b) - zapošljavanje N/A Pristup, prenosivost podataka, ispravak Ne Ispitanik N/A HR sustav o zapošljavanjima Ne N/A N/A Ne N/A
Prodaja Direktni marketing N/A Postojeći korisnici Kontakt podaci Izvršitelj obrade - marketinška tvrtka Poveznica N/A N/A Po završetku odnosa s korisnikom Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (a) - privola N/A N/A N/APristup, prenosivost podataka, ispravak,
prigovor, brisanjeDa Ispitanik Poveznica Prodajni sustav, izvršitelj obrade Da Završeno Poveznica Ne N/A
Prodaja Direktni marketing N/A Postojeći korisnici Povijest kupovanja Izvršitelj obrade - marketinška tvrtka Poveznica N/A N/A Po završetku odnosa s korisnikom Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (a) - privola N/A N/A N/APristup, prenosivost podataka, ispravak,
prigovor, brisanjeDa Ispitanik Poveznica Prodajni sustav, izvršitelj obrade Da Završeno Poveznica Ne N/A
Prodaja Direktni marketing N/A Potencijalni korisnici Kontakt podaci Izvršitelj obrade - marketinška tvrtka Poveznica N/A N/A 1 godinu nakon provedbe kampanje Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (a) - privola N/A N/A N/APristup, prenosivost podataka, ispravak,
prigovor, brisanjeDa Data broker tvrtka Poveznica Prodajni sustav, izvršitelj obrade Da Završeno Poveznica Ne N/A
Prodaja Direktni marketing N/A Potencijalni korisnici Informacije o životnom stilu Izvršitelj obrade - marketinška tvrtka Poveznica N/A N/A 1 godinu nakon provedbe kampanje Enkriptirana pohrana i prijenos Članak 6. st. 1. točka (a) - privola N/A N/A N/APristup, prenosivost podataka, ispravak,
prigovor, brisanjeDa Data broker tvrtka Poveznica Prodajni sustav, izvršitelj obrade Da Završeno Poveznica Ne N/A
Voditelj obrade
Obavijesti o privatnosti Procjena učinka na zaštitu osobnih podataka Povrede osobnih podatakaDokazi o aktivnostima obrade sukladno Članku 30.
Podaci osobe za kontakt Službenik za zaštitu osobnih podataka (ako je primjenjivo) Predstavnik (ako je primjenjivo)
POSLOVNA AKTIVNOST SVRHA OBRADE OSOBNIH PODATAKA KATEGORIJE ISPITANIKA KATEGORIJE OSOBNIH PODATAKA PRAVNI TEMELJ ZA OBRADU OSOBNIH PODATAKAOBRAZLOŽENJE PRAVNOG
TEMELJA ZA OBRADU OSOBNIH PODATAKA
Obrađuju li se posebne kategorije osobnih podataka iz čl. 9. Uredbe. Ako da, navesti
koje
Pravni temelj za obradu posebne kategorije osobnih
podataka
Izvor iz kojeg su podaci prikupljeni (od ispitanika / od treće strane -
navesti koje)
Koliko dugo se podaci čuvaju? Kad će biti brisani?
Kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne
organizacije
Ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili
međunarodnu organizaciju, uključujući identificiranje te treće
zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49.
stavka 1. drugog podstavka, dokumentaciju o odgovarajućim
zaštitnim mjerama;
Ako je moguće navesti, opći opis tehničkih i organizacijskih sigurnosnih mjera iz
članka 32. stavka 1.GDJE SU OSOBNI PODACI POHRANJENI JE LI POTREBNA PROCJENA UČINKA
14
UGOVORNO UREDITI ODNOS VODITELJA I PRIMATELJA PODATAKA
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.2
8.)
• OBVEZNO SKLAPANJE UGOVORA ILI DRUGOG PRAVNOG AKTA koji regulira postupanje sa prenesenim osobnim podacima
• Postupanje izvršitelja obrade samo na temelju dokumentiranih uputa.
• Prije angažiranja podizvršitelja potrebno dopuštenje od voditelja.
• Nužna revizija postojećih ugovora.
15
PRIMJER SADRŽAJA UGOVORA/SPORAZUMA/ANKESA o obradi podataka
• Predmet sporazuma
• Obveze Voditelja obrade– zakonitost obrade, zabilježene upute, tehničke i organizacijske mjere
• Obveze Izvršitelja obrade– dozvoljena svrha obrade, postupanje prema zabilježenim uputama, povjerljivost obrade,
tehničke i organizacijske mjere, pružanje pomoći Voditelju obrade u osiguravanju usklađenosti, pružanje informacija i nadzor, obavijest o povredi osobnih podataka, imenovanje službenika za zaštitu podataka, vođenje evidencije aktivnosti obrade, dopuštenje za angažiranje podizvršitelja
• Prijenos podataka u treće zemlje
• Uređivanje odgovornosti za povrede
• Prestanak ugovornog odnosa
• PRILOG 1. Pojedinosti obrade osobnih podataka
– Priroda i svrha obrade osobnih podataka, Vremensko trajanje obrade, Kategorija ispitanika, Kategorije osobnih podataka, Tehničke i organizacijske mjere koje osigurava Izvršitelj obrade
• PRILOG 2. Obrazac za obavijest o povredi osobnih podataka
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.2
8.)
16
Ostvarivanje prava ispitanika
Potrebno utvrditi način na koji ispitanici mogu ostvariti zajamčena prava Uredbom.
– kontaktiranje imenovanog Službenika, ispunjavanje obrasca,
– objava informacija o Voditelju/Izvršitelju te kontakt osobe
Obavijest ispitanika o zaštiti podataka
Pružanje informacija ispitanicima o obradi osobnih podataka.
Podrazumijeva navođenje podataka koji se prikupljaju, u koju svrhu, pravnog temelja prikupljanja, izvora podataka, namjere prenošenja primateljima, i trećim osobama, poduzete tehničke i organizacijske mjere kako bi se podaci zaštitili...............
TRANSPARENTNOST
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.1
3.I Č
L.14
)
17
Obavijest o povredama
U slučaju POVREDE OSOBNIH PODATAKA u nadležnosti Voditelja/Izvršitelja predvidjeti načini i osobu zaduženu za obavještavanje nadzornog tijela
(prema potrebi ispitanika).
AZOP OBRAZAC IZVJEŠĆA O POVREDAMA DOSTUPAN NA :https://azop.hr/info-servis/detaljnije/izvjesce-o-povredi-osobnih-podataka
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
3.)
Povreda može biti uzrokovana tehničkim ili fizičkim incidentom.
Sama definicija "povrede osobnih podataka" ne zahtjeva NAMJERU ili NEPAŽNJU pa se stoga odnosi na SVE OBLIKE POVREDE - neovisno o tome kako ili zašto je do nje došlo, te uključuje i SLUČA JNE POVREDE.
Obveza obavještavanja nadzornog tijela bez odgode (rok od 72 sata).
18
Izuzeti su sudovi u okviru svoje sudske nadležnosti
Osnovna djelatnost
Tijelo javne vlasti
Redovito i sustavno praćenje u velikoj mjeri
Opsežna obradaposebnih kategorija podataka
SLUŽBENIK ZA ZAŠTITU PODATAKA
Osnovna djelatnost+kaznene osude i
kažnjiva djela
Smjernice WP 243: Obrada podataka koji su u vezi s kaznenim osudama i kažnjivim djelima od strane samostalnog odvjetnika. – NE POSTOJI OBVEZA IMENOVANJA DPO
• ZPOUZP ne utvrđuje granicu• Može biti imenovan i temeljem ugovora
o djelu• Prilikom imenovanja voditi računa o
potencijalnom sukobu interesa• ODVJETNIČKA DRUŠTVA KAO DPO? –
WP243 ANNEX – PITANJE I ODGOVOR BR. 7.
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
7.)
AZOP OBRAZAC ZA IMENOVANJE SLUŽBENIKA NA : https://azop.hr/images/dokumenti/170/izvjesce_o_imenovanju_sluzbenika_za_zastitu_podataka_predlozak_obrasca.pdf
Postavljeno pitanje pisanim putem –Slučajevi u kojima se mora imenovati Službenik u odvjetničkom društvu?
19
Obveza koja je primjenjiva na sve voditelje obradeObveza preuzeta iz postojećeg regulatornog okvira.U skladu sa načelom ODGOVORNOSTI te procjenom RIZIKA
• PRAĆENJE I DOKUMENTIRANJE SVIH POSTUPAKA• Preuzeto iz dosadašnjeg regulatornog okvira• RAZMJENOST U ODNOSU NA AKTIVNOST I SPECIFIČNOST OBRADE• Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike
različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca
ODGOVARAJUĆA POLITIKAZAŠTITE PODATAKA
IMPL
ICIR
ANI O
RGAN
IZAC
IJSKI
ZAH
TJEV
Postavljeno pitanje - Nužnost uključivanja odredbi u Pravilnik o radu i obveza donošenja novog Pravilnika o radu?
AZOP OBRAZAC IZJAVE O POVJERLJIVOSTI DOSTUPAN NA : https://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti
20
Procjena učinka na zaštitu podataka
Procjena učinka NE BI TREBALA BITI OBVEZNA za obradu podataka koju obavlja (bez obzira na opseg) ODVJETNIK (smatra se da ODVJETNIK POJEDINAC ne obrađuje podatke u VELIKOJ MJERI (t.91) Uredbe
IZRIČI
T O
RGAN
IZAC
IJSKI
ZAH
TJEV
(Čl.3
5.)
ODLUKA AZOPA o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka
• PROFILIRANJE• OBRADA POSEBNIH KATEGORIJA
PODATAKA U SVRHU PROFILIRANJA• OBRADA PODATAKA DJECE U SVRHU
PROFILIRANJA• OBRADA PODATAKA OD PRIKUPLJENIH
OD TREĆIH STRANA KOJE SE UZIMAJU U OBZIR ZA DONOŠENJE ODLUKE ZA SKLAPANJE, RASKIDANJE, ODBIJANJE ILI PRODUŽENJE UGOVORA O PRUŽANJU USLUGAMA FIZIČKIM OSOBAMA
• OBRADA POSEBNIH KATEGORIJA PODATAKA
• SUSTAVI NADZORA JAVNO DOSTUPNOG MJESTA U VELIKOJ MJERI
• IOT
• OBRADA PODATAK PRIKUPLJENIH PUTEM SENZORA
• BIOMETRIJSKI ILI GENETSKI PODACI• OBRADA OSOBNIH PODATAKA
POVEZIVANJEM, USPOREDBOM ILI PROVJEROM PODUDARNOSTI IZ VIŠE IZVORA
• PRAĆENJE LOKACIJE• UREĐAJI KOJI MOGU UGROZIRI ZDRAVLJE
POJEDINCA• OBRADA PODATAKA U DRUGE SVRHE OD
SVHE U KOJU SU PRIKUPLJENI• OBRADA PODATAKA ZAPOSLENIKA
SUSTAVIMA ZA PRAĆENJE
21
ZAKON O PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA (NN 42/2018)
– SPECIFIČNE ODREDBE U POGLEDU:
– Privola djeteta u odnosu na usluge inf. društva – 16. god
– Obrada genetskih podataka
– Obrada biometrijskih podataka
– Obrada osobnih podataka putem videonadzora
– Obrada osobnih podataka u statističke svrhe
Postavljena pitanja:1. Odnos ZV-a i Opće uredbe te provedbenog propisa u pogledu
video nadzora2. Precizno određenje tijela javne vlasti?3. Ustavna načela jednakosti svih pred zakonom?4. Naknade administrativnih troškova AZOP-a?5. Izricanje upravnih novčanih kazni?6. Povreda načela odvjetničke tajne?
TIJELA JAVNE VLASTI- definirana uže nego u Zakonu o pravu na pristup informacijama„tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave”