iskustva agencije u primjeni zakona o zaštiti osobnih podataka

Agencija za zaštitu osobnih podataka

Pripremila: Branka Bet-Radelić, dipl. iur. načelnica Odjela za zaštitu osobnih podataka

svibanj, 2014.

Iskustva Agencije u primjeni Zakona o zaštiti osobnih podataka


Zaštita osobnih podataka

Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati izravno ili neizravno (primjerice: ime i prezime, adresa, e-mail adresa, OIB, podaci o računima u banci, podaci o kreditnom zaduženju, biometrijski podaci i sl.)

Zaštita osobnih podataka u RH osigurana je svakoj fizičkoj osobi bez obzira na državljanstvo i prebivalište, rasu, boju kože, spol, jezik, vjeru, političko ili drugo uvjerenje, nacionalno ili socijalno podrijetlo, imovinu, rođenje, naobrazbu, društveni položaj ili druge osobine


Osnovna načela zaštite osobnih podataka

Zakonitost obrade osobnih podataka

Povjerljivost osobnih podataka

Svrhovitost obrade osobnih podataka

Točnost, potpunost,ažurnost osobnih podataka, obrada podataka na pošten način

Opseg obrade osobnih podataka


Pravni okvir

Međunarodno zakonodavstvo: Konvencija Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podatka (Konvencija 108)

Dodatni protokol uz Konvenciju u vezi nadzornih tijela i međunarodne razmjene podataka

Direktiva 95/46 EZ o zaštiti osoba s obzirom na postupanje s osobnim podacima te slobodnom protoku takvih podataka

Povelja o temeljnim pravima Europske unije


Pravni okvir (II)

Nacionalno zakonodavstvo:

Ustav Republike Hrvatske (“Narodne novine” br. 85/10) Konvencija Vijeća Europe za zaštitu osoba glede

automatizirane obrade osobnih podataka i Dodatni Protokol uz Konvenciju

Zakon o zaštiti osobnih podataka ("Narodne novine" br. 103/03, 118/06, 41/08 , 130/11, te 106/12-pročišćeni tekst)

Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka ("Narodne novine" br. 105/04)

Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka ("Narodne novine" br. 139/04)

http://www.nn.hr/clanci/sluzbeno/2001/0705.htm





Pravne pretpostavke za obradu

osobnih podataka

Postojanje pravnog temelja i zakonita svrha

obrade: Privola osobe čiji se podaci obrađuju

Slučajevi određeni zakonom

Izvršavanje zakonskih obveza voditelja zbirke osobnih podataka

Sklapanje i izvršenje ugovora u kojem je osoba čiji se podaci obrađuju

ugovorna strana

Obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom

interesu ili u izvršavanju javnih ovlasti

Obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih

podataka ili treće strane

Zaštita života ili tjelesnog integriteta kada osoba nije u mogućnosti fizički ili

pravno dati svoj pristanak

Osoba sama objavila podatke


Pravne pretpostavke za davanje

podataka primateljima

Slučajevi odnosni na korištenje osobnih

podataka iz javnih registara:

Pisani zahtjev (sporazum o razmjeni podataka, protokol o

načinu razmjene podataka) radi obavljanja poslova u okviru

djelatnosti primatelja

Zakonita svrha (izvršavanje zakonskih obveza voditelja

zbirke, ispunjenje zadataka koji se izvršavaju u javnom

interesu ili izvršavanju javnih ovlasti, zakoniti interes voditelja

zbirke ili treće strane kojoj se podaci otkrivaju)

Pravni temelj (određen ZZOP-om ili drugim zakon)

Opseg podataka


Pravne pretpostavke daljnje obrade

osobnih podataka

Stav Agencije:

U području zaštite osobnih podataka potrebno je uspostaviti pravila daljnje obrade osobnih podataka sa svrhom da se zna tko, na koji način i pod kojim uvjetima može biti korisnik nekog konkretnog podatka.

U slučaju ispunjavanja zakonom propisanih uvjeta isto mu treba biti omogućeno.


Mjere zaštite osobnih podataka

Osobni podaci moraju biti odgovarajuće zaštićeni od

zlouporabe, gubitka, neovlaštenih promjena ili dostupa

Tehničke mjere zaštite:

- pristup podacima pohranjenim u zbirkama dozvoljen je uporabom korisničkog imena i lozinke, pristup podacima

bilježi se putem logova

Kadrovske mjere zaštite:

- razina pristupa podacima dozvoljena je ovlaštenim osobama zaposlenim kod voditelja zbirke ovisno o vrsti poslova koji obavljaju (izjava o povjerljivosti)

Organizacijske mjere zaštite:

- propisane internim aktima voditelja zbirke


Prava osoba čiji se podaci obrađuju

Pravo na informaciju o : - Identitetu voditelja zbirke osobnih podataka

- Svrsi obrade u koju su podaci namijenjeni

- Radi li se o dobrovoljnom ili obveznom davanju podataka

- Posljedicama uskrate davanja podataka

- Primateljima osobnih podataka

Pravo na pristup podacima ( neposredan uvid u podatke, ispis podataka, potvrda o obradi)

Pravo na ispravak netočnih podataka


Svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno Zakonom o zaštiti osobnih podataka može podnijeti zahtjev za zaštitu prava Agenciji

O povredi prava Agencija odlučuje rješenjem

Rješenje je upravni akt

Protiv rješenja Agencije žalba nije dopuštena, ali se može pokrenuti upravni spor pred mjesno nadležnim upravnim sudom

Zaštita prava


Nadziranje provođenja zaštite osobnih podataka:

- na zahtjev ispitanika,

- na prijedlog treće strane

- po službenoj dužnosti

Ukazuje na uočene zlouporabe prikupljanja osobnih podataka

Rješava povodom zahtjeva za utvrđivanje povrede prava zajamčenih Zakonom o zaštiti osobnih podataka

Glavne zadaće Agencije


Glavne zadaće Agencije (II)

Vodi središnji registar – dostupan javnosti

Daje pravna mišljenja u vezi zaštite osobnih podataka Daje preporuke i prijedloge za unapređenje zaštite osobnih

podataka Surađuje s nadležnim državnim tijelima u izradi prijedloga

zakona i drugih propisa koji se odnose na zaštitu osobnih podataka

O svom radu podnosi izvješće Hrvatskom saboru


Ukoliko utvrdi da su povrijeđene odredbe ZZOP-a Agencija ima pravo upozoriti ili opomenuti voditelja zbirke osobnih podataka, korisnika i izvršitelja obrade na nezakonitosti u obradi osobnih podataka te rješenjem:

- narediti uklanjanje nepravilnosti, - privremeno zabraniti prikupljanje, obradu i korištenje osobnih podataka, - narediti brisanje osobnih podataka prikupljenih bez pravne osnove, - zabraniti iznošenje osobnih podataka iz RH

Agencija ima pravo pokrenuti postupak prekršajne ili kaznene odgovornosti

Nadzorne ovlasti Agencije


Novčane kazne

Zapriječene novčane kazne za prekršaje

propisane Zakonom o zaštiti osobnih podataka:

- za voditelja zbirke, izvršitelja obrade ili primatelja

osobnih podataka u rasponu od:

20.000,00 do 40.000,00 kuna

- za odgovornu osobu kod voditelja zbirke,

izvršitelja obrade ili primatelja u rasponu od:

5.000,00 do 10.000,00 kuna


Iskustva iz prakse(I)

Video nadzor u poslovnim prostorima Stav Agencije:

Video zapis dobiven video nadzornom kamerom u smislu članka 2. st. 1. t. 1. ZZOP-a predstavlja osobni podatak radnika.

Poslodavac je pravilnikom o radu dužan urediti sva pitanja odnosna na prikupljanje, korištenje, čuvanje i zaštitu osobnih podataka svojih radnika, među inim i osobnih podataka prikupljenih video nadzornom kamerom, kako bi radnici bili informirani o obradi njihovih osobnih podataka na navedeni način.


Iskustva iz prakse:

Potrebno je odrediti osobe ovlaštene za pristup podacima, te poduzeti mjere zaštite osobnih podataka (tehničke,kadrovske i organizacijske).

Svrha poduzimanja mjera:

- osiguranje povjerljivosti i vremenskog razdoblja čuvanja osobnih podataka

Označavanje prostora: - uočljivo i nedvosmisleno označiti (slikom i

tekstom) da se prostor snima video nadzornom kamerom


Iskustva iz prakse(II)

Obrada otiska prsta u svrhu evidencije radnog vremena

Stav Agencije:

- Otisak prsta u smislu članka 2. st. 1. t. 1. ZZOP-a predstavlja osobni podatak radnika budući da otisak prsta uzet metodom biometrije nedvojbeno identificira osobu.

- Pravni temelj :privola radnika, kao slobodno i izričito očitovanje njegove volje.


Iskustva iz prakse

Uvažavajući specifičnost radnog odnosa između zaposlenika i poslodavca izostanak pristanka mogao bi zaposlenike dovesti u neravnopravan položaj

U slučaju izostanka privole potrebno je osigurati alternativne načine evidencije radnog vremena (primjerice:el. kartica, ručno upisivanje u evidenciju)


Iskustva iz prakse (III)

Uvid u natječajnu dokumentaciju: obaveza poslodavca da obavijesti sve kandidate o

rezultatima natječaja

Stav Agencije:

- davanje na uvid osobnih podataka za provođenje natječajne procedure izabranog kandidata drugim sudionicima natječaja u vremenu do proteka roka za izjavljivanje prigovora je podudarno sa svrhom prikupljanja predmetnih podataka - provođenje natječajne procedure,(odredba čl. 6.st. 2. ZZOP-a).


Iskustva iz prakse

Načelo razmjernosti:

- voditi brigu da se ne otkriju drugim

kandidatima natječaja prekomjerni podaci

(privatna adresa, datum i mjesto rođenja)

kao i podaci koji temeljem posebnih propisa

predstavljaju profesionalnu tajnu

( primjerice; podaci psiholoških testiranja).


Iskustva iz prakse (III)

Obrada osobnih podataka u marketinške

svrhe

Stav Agencije:

Prilikom obrade osobnih podataka u svrhu

marketinga svaka osoba ima pravo usprotiviti se

takvoj obradi na način da se najprije izravno obrati

voditelju zbirke osobnih podataka koji obrađuje

njezine podatke u tu svrhu i zatraži prestanak obrade

osobnih podataka.

U slučaju da voditelj zbirke i dalje nastavi s takvom

obradom osoba može podnijeti zahtjev za zaštitu prava

Agenciji


Iskustva iz prakse (IV)

Pristupanje elektroničkoj pošti zaposlenika od

strane poslodavca:

Stav Agencije:

- Pristup elektroničkoj pošti zaposlenika bez prethodnog

informiranja radnika i bez opravdane svrhe nije

dopušten

- Internim aktom o informacijskoj sigurnosti potrebno je

propisati procedure postupanja sa elektroničkom poštom

te na taj način informirati zaposlenike


Iskustva iz prakse

- Samo iznimne okolnosti ( primjerice sumnja na moguće počinjenje kaznenog djela iii odavanje poslovnih informacija) mogu opravdati uvođenje nadzora sadržaja el. komunikacije zaposlenika.

- Nije dovoljno da se mogućnost nadzora elektroničke komunikacije zaposlenika predvidi Pravilnikom o radu već zaposlenici u vezi istoga daju i privolu, te su na taj način upoznati s obradom. Na taj način formalno pravno bio zadovoljen uvjet legitimnosti (postojanja pravnog temelja) za obradu osobnih podataka.

- Uvažavajući specifičnost radnog odnosa između zaposlenika i poslodavca traženje pristanka zaposlenika u takvom slučaju bilo bi samo forma, a izostanak pristanka mogao bi zaposlenike dovesti u neravnopravan položaj u odnosu na poslodavca.


Iskustva iz prakse (V)

Obrada osobnih podataka na Facebook

profile:

- Primjena ZZOP-a po teritorijalnom principu

- Uslijed mnogobrojnih upita vezanih za zlouporabu osobnih podataka na Facebooku ( kreiranje lažnih profila, govor mržnje) Agencija je stupila u kontakt s ispostavom društvene mreže u Europi, konkretno u Republici Irskoj, te je s istima dogovoren način postupanja prilikom zlouporabe osobnih podataka na Facebook-u.

- U tu svrhu Agencija je dobila upute koje sadrže linkove putem kojih im se mogu izravno obratiti sve osobe suočene s problemima na stranici www.facebook.com.

http://www.facebook.com/


Iskustva iz prakse (VI)

Obrada osobnih podataka u medijima:

Stav Agencije: - Postoje ograničenja za obradu osobnih podataka regulirana

posebnim Zakonom

- Prema Zakona o medijima (NN 59/04., 84/11., 81/13.) mediji su dužni poštovati pravo na zaštitu identiteta svjedoka i oštećenika kaznenih djela i bez njihovog znanja i pristanka ne smiju otkriti njihov identitet odnosno ne smiju javno objavljivati osobne podatke

- Prema Zakonu o elektroničkim medijima nije dopušteno

objavljivanje informacije kojom se otkriva identitet djeteta do 18 života uključenog u bilo kakav oblik nasilja bez obzira je li svjedok, žrtva ili počinitelj

- Pravila o anonimizaciji osobnih podataka


Iskustva iz prakse (VII)

Obrada osobnih podataka na mrežnim

stranicama (webportalima) na način da su

unošenjem imena i prezimena u Google tražilicu

dostupni svi tekstovi objavljeni na internetskim

portalima

Stav Agencije:

- u primjeni je načelo „right to be forgotten“

Potrebno je obratiti se zahtjevom uredniku portala za brisanje

osobnih podataka kako isti ne bi bili dostupni putem tražilice Google


Pitanja


Kontakt podaci

AGENCIJA ZAŠTITU OSOBNIH PODATAKA Fra. Grge Martića 14

10 000 Zagreb e-mail: [email protected]

Info telefon : (radnim danom od 13,30 h -15.30 h)

– za pravna pitanja: 01/46-090-80 – za tehnička pitanja : 01/46-090-46

Web: www.azop.hr

mailto:[email protected]

http://www.azop.hr/

iskustva agencije u primjeni zakona o zaštiti osobnih podataka

Documents