novine u području zaštite osobnih podataka, implementacija...
TRANSCRIPT
Novine u području zaštite osobnih podataka, implementacija Opće uredbe o zaštiti podataka (2016/679)
Pripremila:
Branka Bet-Radelić, dipl.iur. Zagreb, ožujak 2018.
Zaštita osobnih podataka
Uvod u područje zaštite osobnih podataka po postojećim propisima (ZZOP, Direktiva 95/46)
Novine u zakonodavnom okviru, osvrt na Opću uredbu o zaštiti podataka (2016/679) engl. GDPR
Obveze voditelja obrade i izvršitelja obrade osobnih podataka prema Uredbi
Obrada osobnih podataka primjenom novih tehnologija (recentni primjeri iz prakse Agencije za zaštitu osobnih podataka)
Pravni okvir
Nacionalno zakonodavstvo:
Ustav Republike Hrvatske (“Narodne novine” br. 56/90 - 05/14 ) - čl.37. Ustava
Konvencija Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka(Konvencija 108) i Dodatni Protokol uz Konvenciju (donesena od strane Vijeća Europe 28. siječnja 1981.g. , a u RH raticifirana 2005. g.)
Zakon o zaštiti osobnih podataka ("NN" br. 103/03, 118/06, 41/08 , 130/11, 106/12-pročišćeni tekst)
Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka ("NN”br. 105/04)
Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka ("NN" br. 139/04)
Međunarodno zakonodavstvo
Međunarodno zakonodavstvo
Konvencija Vijeća Europe za zaštitu osoba
glede automatizirane obrade osobnih podatka
(Konvencija 108) i Dodatni protokol uz
Konvenciju u vezi nadzornih tijela i
međunarodne razmjene podataka
Direktiva 95/46 EZ o zaštiti osoba s obzirom na
postupanje s osobnim podacima te slobodnom
protoku takvih podataka
Povelja o temeljnim pravima Europske unije
Uredba o zaštiti pojedinca u vezi s obradom
osobnih podataka i slobodnom kretanju takvih
podataka te o stavljanju izvan snage Direktive
95/46 (Opća uredba o zaštiti podataka
2016/679)
Opća Uredba o zaštiti podataka 2016/679
Opća Uredba na snazi od 24.05.2016.g. s
punom primjenom od 25.05.2018.g.
Po pravnoj snazi predstavlja krovni propis EU o
zaštiti osobnih podataka koji se izravno
implementira u zakonodavstvo svih zemalja
članica EU bez dodatnih interpretacija
Uredbom se osigurava homogena primjena
pravila za zaštitu temeljnih prava i sloboda
svakog pojedinca u vezi s obradom osobnih
podataka na području cijele EU, jačaju prava
ispitanika i nalažu veće odgovornosti i obveze
voditeljima obrade
Uredba stavlja izvan snage Direktivu 95/46 EZ
Zaštita osobnih podataka
Zaštita privatnosti i ostalih ljudskih prava i temeljnih
sloboda u prikupljanju, obradi i korištenju osobnih
podataka (poštivanje privatnog i obiteljskog života,doma
i komuniciranja, sloboda mišljenja i izražavanja, sloboda
poduzetništva te pravo na kulturnu, vjersku i jezičnu
raznolikost i sl.)
Osigurana je svakoj fizičkoj osobi bez obzira na
državljanstvo i prebivalište, rasu, boju kože, spol, jezik,
vjeru, politička ili druga uvjerenja, nacionalno ili socijalno
podrijetlo, imovinu, rođenje, naobrazbu
Povreda osobnih podataka svako kršenje sigurnosti koje
dovodi do slučajnog ili nezakonitog uništenja, gubitka,
izmjene, neovlaštenog otkrivanja ili pristupa koji su
pohranjeni, preneseni ili obrađeni na drugi način
Osobni podatak
• Svi podaci koji se odnose na pojedinca čiji
je identitet utvrđen ili se može utvrditi
izravno ili neizravno, osobito uz pomoć
identifikatora (ime i prezime, identifikacijski
broj, podaci o lokaciji, mrežni identifikatori
koje pružaju uređaji, aplikacije, alati i
protokoli) ili uz pomoć drugih čimbenika
specifičnih za fizički, fiziološki, genetski,
mentalni, ekonomski, kulturni ili socijalni
identitet određenog pojedinca
Obrada osobnih podataka
Svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka: prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje, brisanje ili uništavanje bez obzira radi li se o automatiziranoj ili neautomatiziranoj obradi ako čini dio sustava pohrane
Područje primjene Uredbe
Materijalno područje primjene:
Automatizirana obrada osobnih podataka
Neautomatizirana obrada osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio tog sustava
Ne primjenjuje se na obradu podataka u svrhu: Nacionalne sigurnosti
Zajedničke vanjske i sigurnosne politike EU
Na obradu podataka u svrhu sprječavanja istrage, otkrivanja ili progona kaznenih djela
Aktivnosti fizičke osobe za vlastite potrebe
Na obradu podataka preminulih osoba
Na obradu podataka pravne osobe
Područje primjene Uredbe
Teritorijalno područje primjene:
Na voditelje obrade ili izvršitelje obrade koji imaju poslovni nastan u EU
Na voditelje ili izvršitelje obrade koji nemaju poslovni nastan u EU, ako nude proizvode i usluge građanima EU
Na voditelje ili izvršitelje obrade koji nemaju poslovni nastan u EU ako obrađuju podatke praćenjem ponašanja ispitanika dok god se njihovo ponašanje odvija unutar EU
Načela obrade osobnih podataka
• Zakonita, poštena i transparentna obrada osobnih podataka
Podaci prikupljeni u izričite i zakonite svrhe
Opseg obrade: primjereni, relevantni i ograničeni podaci u odnosu na svrhu
Točni i ažurni podaci (ispravak i brisanje netočnih podataka)
Ograničena pohrana podataka (čuvanje u obliku koji dopušta identifikaciju ispitanika samo onoliko dugo koliko je nužno za postizanje svrhe)
Sigurnost i povjerljivost obrade (odgovarajuće tehničke i organizacijske mjere zaštite koje osiguravaju neovlašteni pristup, neovlaštenu uporabu podataka)
Voditelj obrade odgovara za usklađenost s načelima obrade/ obveza dokazivanja poštene obrade
Pravni temelji za obradu podataka
Privola ispitanika dana u jednu ili više određenih svrha
Obrada nužna za izvršenje ugovora ili poduzimanje radnji prije sklapanja ugovora
Obrada nužna radi poštivanja pravnih obveza voditelja obrade
Obrada nužna radi zaštite ključnih interesa ispitanika ili druge fizičke osobe
Obrada nužna za izvršavanje zadaća od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade
Obrada nužna za potrebe legitmnih interesa voditelja obrade ili treće strane
Privola
• Bitne karakteristike privole:
• Dobrovoljna
• Nedvosmislena
• Isključiva
• Dokaziva
• Opoziva u svakom trenutku
• Privola djeteta:
• GDPR -dobna granica za davanje privole na usluge informacijskog društva: 13-16 godina
• Za djecu mlađu od 16 g. privolu mora dati zakonski zastupnik djeteta (roditelj/ staratelj)
• Voditelj obrade mora izvršiti provjeru je li privolu dao/ odobrio zakonski zastupnik djeteta
Obrada osobnih podataka djece uz privolu
Privola valjana ako ju daju zakonski zastupnici djece
Prethodno informirati roditelje o svrsi obrade uz privolu
Zakonita svrha
Opseg obrade podataka (načelo razmjernosti)
Poštivanje pravnih obveza
Obveze koje voditelji obrade izvršavaju na temelju posebnih propisa:
Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi (vođenje e-matice učenika i nastavnika, provođenje godišnjeg plana i programa rada škole)
Zakon o socijalnoj skrbi
Zakon o lokalnoj i područnoj (regionalnoj) samoupravi
Zakon o udrugama (vođenje podataka o članovima udruge)
Zakon o radu
Legitimni interes voditelja obrade kao pravni temelj
Najopćenitiji pravni temelj prema Uredbi
Bitno: dokazati da legitimni interes voditelja preteže nad temeljnim pravima i interesima ispitanika
Ispitanik u konkretnom slučaju može očekivati obradu obradu podataka u određenu svrhu (ispitanik zaposlenik voditelja obrade)
Teret dokaza je na voditelju obrade (nadziranje poslovnih procesa od strane poslodavca)
Ocjenjuje se od slučaja do slučaja ovisno o prethodnom odnosu voditelja obrade i ispitanika
Nije primjenjiv: na obradu osobnih podataka od strane tijela javne vlasti (zakonski odrediti pravnu osnovu i svrhu obrade)
Zaštita privatnosti radnika po ZOR-u (čl.29. ZOR-a)
• Osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ZOR-om ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom
Poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama
Pogrešno evidentirani osobni podaci moraju se odmah ispraviti
Osobni podaci za čije čuvanje više ne postoje pravni ili stvarni razlozi moraju se brisati ili na drugi način ukloniti.
Poslodavac koji zapošljava najmanje dvadeset radnika, dužan je imenovati osobu koja je osim njega ovlaštena nadzirati prikupljaju li se, obrađuju, koriste i dostavljaju trećim osobama osobni podaci u skladu sa zakonom.
Poslodavac, ili druga osoba koja u obavljanju svojih poslova sazna osobne podatke radnika, te podatke trajno mora čuvati kao povjerljive.
Obrada posebnih kategorija osobnih podataka
Posebne kategorije (osjetljivi podaci) su:
rasno ili etničko podrijetlo,
politička mišljenja,
vjerska ili filozofska uvjerenja,
sindikalno članstvo,
podaci o zdravlju
podaci o spolnom životu ili seksualnoj orijentaciji,
biometrijski i genetski podaci
Stroži režim i kontrola procesa obrade u odnosu na druge osobne podatke (poduzimanje odgovarajućih mjera zaštite: ekripcija, izjava o povjerljivosti)
Podaci o kaznenoj odgovornosti
• Podaci koji se odnose na kaznene osude i kažnjiva djela ili mjere sigurnosti u odnosu na ta djela provode se samo pod nadzorom ovlaštenog tijela
• Izuzeci : • Zakonom o odgoju i obrazovanju u osnovnoj i
srednjoj školi propisane su zapreke za zasnivanje radnog odnosa u školskoj ustanovi
• Osoba koja je već osuđena za neko od kaznenih djela protiv života i tijela, slobode i prava čovjeka i građanina, protiv spolne slobode, protiv braka, protiv imovine, protivobitelji i djece
• Osoba protiv koje se vodi postupak za neko od kaznenih djela
Obrada posebnih kategorija osobnih podataka
Obrada dopuštena:
• Uz privolu
• Za potrebe izvršavanja obveza i ostvarivanja posebnih prava u području radnog prava te prava o socijalnoj sigurnosti te socijalnoj zaštiti
• Za zaštitu životno važnih interesa ispitanika ili drugih pojedinaca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu
• U sklopu legitimnih aktivnosti zaklada, udruženja ili drugih neprofitnih tijela pod uvjetom da se odnosi samo na članove ili bivše članove
• Ako se odnosi na osobne podatke za koje je očito da ih je objavio sam ispitanik
• Nužna za potrebe značajnog javnog interesa (područje javnog zdravlja)
• Nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti, medicinske dijagnoze, zdravstvene skrbi
• Nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili djelovanja sudova u sudbenom svojstvu
• Nužna u svrhu znanstvenog ili povijesnog istraživanja ili u statističke svrhe
Obrada osobnih podataka mlt. osoba
ZZOP - osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje obrađivati u skladu s Zakonom o zaštiti osobnih podataka i uz posebne mjere zaštite propisane posebnim zakonima (Obiteljski zakon, Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi)
GDPR - djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka
Ako je privola pravni temelj za obradu osobnih podataka učenika-roditelj ili zakonski zastupnik
Roditelj/ zakonski zastupnik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade podataka o svojem djetetu
Voditelj obrade i izvršitelj obrade
Voditelj obrade: fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade sobnih podataka
Tijela javne vlasti svrhu obrade moraju propisati zakonom
Zajednički voditelji obrade: dvoje ili više voditelja obrade koji zajednički određuju svrhe i načine obrade
Izvršitelj obrade: fizička ili pravna osoba, tijelo javne vlasti , agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja
Obrada regulirana ugovorom ili drugim pravnim aktom
Obradu provodi samo prema zadanim uputama voditelja obrade
Dužan osigurati odgovarajuću provedbu organizacijskih i tehničkih mjera zaštite
Obveze voditelja i izvršitelja obrade
• Sigurnosne mjere za zaštitu podataka:
• Tehničke mjere (pseudonimizacija, enkripcija, unapređenje informatičke sigurnosti)
• Organizacijske mjere (donošenje odgovarajućih politika, edukacija zaposlenika)
• Primjena načela razmjernosti u obradi podataka u odnosu na aktivnost i specifičnost obrade
• Cilj provođenja mjera:
• Povjerljivost, cjelovitost i dostupnost podataka
• Osiguranje obrade podataka u opsegu koji su nužni za svaku posebnu svrhu
• Sposobnost pravodobne uspostave dostupnosti podataka u slučaju fizičkog ili tehničkog incidenta
• Donošenje kodeksa ponašanja ili odobrenog mehanizma certificiranja (nije obvezno)
Obveze voditelja obrade i izvršitelja obrade
Obveze izvješćivanja u slučaju povrede prava na zaštitu podataka:
Ako se radi o povredi koja ima za posljedicu slučajno ili nezakonito uništenje, gubitak, neovlašteno otkrivanje i pristup osobnim podacima
Ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i obveze ispitanika
Odnosi se na sve oblike povrede neovisno tome kako je do njih došlo (ne zahtjeva namjeru ili nepažnju)
Obveza izvješćivanja nadzornog tijela (rok: odmah/ najkasnije 72 h)
Izvršitelj obrade dužan je bez odgađanja obavijestiti voditelja obrade
Obveze voditelja obrade podataka
Procjena učinka na zaštitu podataka (procjena rizika obrade podataka)
Odgovornosti voditelja obrade se povećavaju razmjeno sa rizikom obrade ovisno o vrsti obrade (uporaba novih tehnologija)
Nizak rizik obrade (ako se radi o povremenoj obradi, ako se radi o anonimiziranim podacima)
Rizik (kod obrade osjetljivih osobnih podataka, obrade osobnih podataka ranjivih skupina- djece)
Visoki rizik obrade (opsežna obrada posebnih kategorija osobnih podataka, opsežno profiliranje, opsežan i sustavan nadzor javnih površina)
Prethodno savjetovanje s nadzornim tijelom o rizicima obrade
Savjetovati se sa službenikom za zaštitu podataka
Vođenje evidencije aktivnosti obrade
Voditelj obrade i izvršitelj obrade u pisanom i elektroničkom obliku
Primjenom Uredbe prestaje obveza dostave u središnji registar
Davanje na uvid nadzornom tijelu
Na koga se odnosi:
Voditelje obrade i izvršitelje obrade koji imaju više od 250 zaposlenika
Manje od 250 zaposlenika: • Ako se radi o obradi koja će prouzročiti visok
rizik za prava i slobode ispitanika (kontinuirano praćenje ispitanika)
• Ako obrada nije povremena
• Ako obrađuju se posebne kategorije osobnih podataka
• Ako se obrađuju osobni podaci u vezi s kaznenim djelima i osudama
Imenovanje službenika za zaštitu osobnih podataka
Obveza imenovanja odnosi se na voditelja obrade i izvršitelja obrade ako:
Obrađuje osjetljive podatke ili podatke u vezi s kaznenim osudama i kažnjivim djelima
Obradu provodi tijelo javne vlasti ili javno tijelo
Postupak obrade iziskuje sustavno praćenje ispitanika
Nalaže pravo Unije ili države članice
• Novine:
• Ne mora biti zaposlen kod voditelja zbirke osobnih podataka – ugovor o djelu
• Raspolagati znanjem o pravu i zaštiti osobnih podataka
• Sukob interesa
Samostalnost i neovisnost službenika
• Ne smije primati upute u pogledu izvršavanja zadaća
• Propisana zabrana razrješenja dužnosti ili kažnjavanja zbog izvršavanja zadaća
• Izravno odgovara najvišoj rukovodećoj razini
• Obvezan tajnošću i povjerljivošću u vezi s obavljanjem svojih zadaća
Obveze službenika za zaštitu osobnih podataka
Informiranje i savjetovanje
Praćenje poštivanja Uredbe
Podizanje svijesti i osposobljanje osoblja o zaštiti osobnih podataka
Pružanje savjeta u pogledu procjene učinka na zaštitu podataka
Suradnja i savjetovanje s nadzornim tijelom
• Vodi računa o riziku povezanom s postupcima obrade
Obveze voditelja obrade i izvršitelja obrade
• Informiranje ispitanika o njegovim pravima u sažetom, razumljivom i transparentnom obliku:
• o svrsi obrade podataka
• o primateljima podataka
• o izvoru prikupljenih podataka
Dobiti informacije o obradi svojih osobnih podataka neovisno prikupljaju li se izravno od ispitanika ili ne
Pružanje informacija na jasan i razumljiv način
Prava ispitanika
Pravo na ispravak:
Tražiti ispravak podataka
Dopuniti nepotpune podatke davanjem dodatne izjave
Pravo na brisanje:
Podaci više nisu nužni u odnosu na svrhu u koju su prikupljeni
Povučena/ opozvana privola na kojoj se temelji obrada podataka
Osobni podaci nezakonito obrađeni
Poštivanje pravne obveze iz prava Unije ili države članice
Osobni podaci prikupljeni u vezi s ponudom informacijskog društva
Prava ispitanika
Pravo na pristup podacima
Dobiti potvrdu voditelja o obradi podataka
Pristup informacijama o: Svrsi obrade
Izvoru prikupljanja podataka
Kategoriji osobnih podataka
Primateljima osobnih podataka
Razdoblju pohrane
Pravu na ispravak, brisanje ili ograničenje obrade
Pravu na pritužbu nadzornom tijelu
Postojanju automatiziranog donošenja odluka
Korištenje novih tehnologija u obradi podataka radnika/ iskustva iz prakse
Videonadzor u funkciji poslodavca
Obrada otiska prsta/ fingerscan, biometrija lica u svrhu evidentiranja radnog vremena
Obrada podataka GPS sustavom
Video nadzor u funkciji nadziranja poslovnih procesa
Zakon o zaštiti na radu (čl. 43. Zakona)
Poslodavac smije koristiti suvremene informacijske
tehnologije za obradu osobnih podataka radnika ako
su ispunjeni sljedeći uvjeti:
ako postoji opravdana/zakonita svrha
ako postoji pravni temelj za obradu podataka
propisan ZZOP-om (drugi zakon, privola
radnika)
ako su radnici prethodno informirani o obradi
njihovih osobnih podataka (regulirano internim
aktima)
Zakonska ograničenja korištenja video nadzornog sustava
Zabranjeno je postavljanje video nadzornih uređaja:
ako su radnici čitavo vrijeme tijekom rada u vidnom
polju takvih uređaja (cjelodnevno snimanje)
Iznimno samo ako priroda radnog procesa ili naročito
opravdani uvjeti rada zahtijevaju cjelodnevno
nadziranje poslodavac smije koristiti nadzorne uređaje
isključivo na temelju prethodne suglasnosti:
radničkog vijeća
sindikalnog povjerenika s pravima i
obvezama radničkog vijeća
rok 15 dana
Zabranjeno je postavljanje video-nadzornih uređaja u
prostorije za osobnu higijenu i za presvlačenje radnika
Zakonska ograničenja u obradi osobnih podataka video nadzornim sustavom
Poslodavac je dužan slikom i tekstom vidno označiti da se prostor nalazi pod video nadzorom
Poslodavac ne smije koristiti snimljene materijale u svrhe koje nisu propisane zakonom
Poslodavac ne smije snimljene materijale javno objavljivati
Poslodavac je dužan imenovati osobe koje imaju pristup takvim podacima i poduzimati odgovarajuće tehničke mjere zaštite od neovlaštenog pristupa i drugih mogućih zlouporaba takvih podataka
Poslodavac je dužan je odrediti vremensko razdoblje čuvanja podataka
Protekom vremena/ ispunjenjem svrhe poslodavac je dužan brisati osobne podatke
Obrada biometrijskih podataka (otisak prsta)
Obrada biometrijskih osobnih podataka (otisak prsta,
biometrija lica) u svrhu evidencije radnog vremena
Nije propisan posebnim zakonom (Zakon o radu,
Pravilnik o sadržaju i načinu vođenja evidencije o
radnicima)
Obrada je dopuštena isključivo uz privolu radnika
U slučaju izostanka privole radnika poslodavac je
dužan omogućiti i druge alternativne načine
evindencije radnog vremena i koristiti manje invazivne
metode za obradu podataka (magnetska kartica,
pisane evidencije i sl.)
Upravno mandatne kazne
• Propisane su Općom uredbom
• Ovisno o vrsti prekršaja:
• Do 10 000 000 € ili 2 % ukupnog godišnjeg prometa na svjetskoj razini
• Do 20 000 000 € ili 4 % ukupnog godišnjeg prometa na svjetskoj razini
• Odluka o kažnjavanju tijela javne vlasti bit će uređena nacionalnim zakonodavstvom
Kontakt podaci
AGENCIJA ZA ZAŠTITU OSOBNIH PODATAKA
Fra. Grge Martića 14
10000 Zagreb
e-mail: [email protected]
Info telefon : za pravna pitanja: 01/4609 080 01/46-090-80
za tehnička pitanja :01/4609 046 01/46-090-46
Web: www.azop.hr
Hvala na pažnji!