iskustva agencije u primjeni zakona o zaštiti osobnih podataka
TRANSCRIPT
Agencija za zaštitu osobnih podataka
Pripremila: Branka Bet-Radelić, dipl. iur. načelnica Odjela za zaštitu osobnih podataka
svibanj, 2014.
Iskustva Agencije u primjeni Zakona o zaštiti osobnih podataka
Agencija za zaštitu osobnih podataka
Zaštita osobnih podataka
Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati izravno ili neizravno (primjerice: ime i prezime, adresa, e-mail adresa, OIB, podaci o računima u banci, podaci o kreditnom zaduženju, biometrijski podaci i sl.)
Zaštita osobnih podataka u RH osigurana je svakoj fizičkoj osobi bez obzira na državljanstvo i prebivalište, rasu, boju kože, spol, jezik, vjeru, političko ili drugo uvjerenje, nacionalno ili socijalno podrijetlo, imovinu, rođenje, naobrazbu, društveni položaj ili druge osobine
Agencija za zaštitu osobnih podataka
Osnovna načela zaštite osobnih podataka
Zakonitost obrade osobnih podataka
Povjerljivost osobnih podataka
Svrhovitost obrade osobnih podataka
Točnost, potpunost,ažurnost osobnih podataka, obrada podataka na pošten način
Opseg obrade osobnih podataka
Agencija za zaštitu osobnih podataka
Pravni okvir
Međunarodno zakonodavstvo: Konvencija Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podatka (Konvencija 108)
Dodatni protokol uz Konvenciju u vezi nadzornih tijela i međunarodne razmjene podataka
Direktiva 95/46 EZ o zaštiti osoba s obzirom na postupanje s osobnim podacima te slobodnom protoku takvih podataka
Povelja o temeljnim pravima Europske unije
Agencija za zaštitu osobnih podataka
Pravni okvir (II)
Nacionalno zakonodavstvo:
Ustav Republike Hrvatske (“Narodne novine” br. 85/10) Konvencija Vijeća Europe za zaštitu osoba glede
automatizirane obrade osobnih podataka i Dodatni Protokol uz Konvenciju
Zakon o zaštiti osobnih podataka ("Narodne novine" br. 103/03, 118/06, 41/08 , 130/11, te 106/12-pročišćeni tekst)
Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka ("Narodne novine" br. 105/04)
Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka ("Narodne novine" br. 139/04)
Agencija za zaštitu osobnih podataka
Pravne pretpostavke za obradu
osobnih podataka
Postojanje pravnog temelja i zakonita svrha
obrade: Privola osobe čiji se podaci obrađuju
Slučajevi određeni zakonom
Izvršavanje zakonskih obveza voditelja zbirke osobnih podataka
Sklapanje i izvršenje ugovora u kojem je osoba čiji se podaci obrađuju
ugovorna strana
Obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom
interesu ili u izvršavanju javnih ovlasti
Obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih
podataka ili treće strane
Zaštita života ili tjelesnog integriteta kada osoba nije u mogućnosti fizički ili
pravno dati svoj pristanak
Osoba sama objavila podatke
Agencija za zaštitu osobnih podataka
Pravne pretpostavke za davanje
podataka primateljima
Slučajevi odnosni na korištenje osobnih
podataka iz javnih registara:
Pisani zahtjev (sporazum o razmjeni podataka, protokol o
načinu razmjene podataka) radi obavljanja poslova u okviru
djelatnosti primatelja
Zakonita svrha (izvršavanje zakonskih obveza voditelja
zbirke, ispunjenje zadataka koji se izvršavaju u javnom
interesu ili izvršavanju javnih ovlasti, zakoniti interes voditelja
zbirke ili treće strane kojoj se podaci otkrivaju)
Pravni temelj (određen ZZOP-om ili drugim zakon)
Opseg podataka
Agencija za zaštitu osobnih podataka
Pravne pretpostavke daljnje obrade
osobnih podataka
Stav Agencije:
U području zaštite osobnih podataka potrebno je uspostaviti pravila daljnje obrade osobnih podataka sa svrhom da se zna tko, na koji način i pod kojim uvjetima može biti korisnik nekog konkretnog podatka.
U slučaju ispunjavanja zakonom propisanih uvjeta isto mu treba biti omogućeno.
Agencija za zaštitu osobnih podataka
Mjere zaštite osobnih podataka
Osobni podaci moraju biti odgovarajuće zaštićeni od
zlouporabe, gubitka, neovlaštenih promjena ili dostupa
Tehničke mjere zaštite:
- pristup podacima pohranjenim u zbirkama dozvoljen je uporabom korisničkog imena i lozinke, pristup podacima
bilježi se putem logova
Kadrovske mjere zaštite:
- razina pristupa podacima dozvoljena je ovlaštenim osobama zaposlenim kod voditelja zbirke ovisno o vrsti poslova koji obavljaju (izjava o povjerljivosti)
Organizacijske mjere zaštite:
- propisane internim aktima voditelja zbirke
Agencija za zaštitu osobnih podataka
Prava osoba čiji se podaci obrađuju
Pravo na informaciju o : - Identitetu voditelja zbirke osobnih podataka
- Svrsi obrade u koju su podaci namijenjeni
- Radi li se o dobrovoljnom ili obveznom davanju podataka
- Posljedicama uskrate davanja podataka
- Primateljima osobnih podataka
Pravo na pristup podacima ( neposredan uvid u podatke, ispis podataka, potvrda o obradi)
Pravo na ispravak netočnih podataka
Agencija za zaštitu osobnih podataka
Svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno Zakonom o zaštiti osobnih podataka može podnijeti zahtjev za zaštitu prava Agenciji
O povredi prava Agencija odlučuje rješenjem
Rješenje je upravni akt
Protiv rješenja Agencije žalba nije dopuštena, ali se može pokrenuti upravni spor pred mjesno nadležnim upravnim sudom
Zaštita prava
Agencija za zaštitu osobnih podataka
Nadziranje provođenja zaštite osobnih podataka:
- na zahtjev ispitanika,
- na prijedlog treće strane
- po službenoj dužnosti
Ukazuje na uočene zlouporabe prikupljanja osobnih podataka
Rješava povodom zahtjeva za utvrđivanje povrede prava zajamčenih Zakonom o zaštiti osobnih podataka
Glavne zadaće Agencije
Agencija za zaštitu osobnih podataka
Glavne zadaće Agencije (II)
Vodi središnji registar – dostupan javnosti
Daje pravna mišljenja u vezi zaštite osobnih podataka Daje preporuke i prijedloge za unapređenje zaštite osobnih
podataka Surađuje s nadležnim državnim tijelima u izradi prijedloga
zakona i drugih propisa koji se odnose na zaštitu osobnih podataka
O svom radu podnosi izvješće Hrvatskom saboru
Agencija za zaštitu osobnih podataka
Ukoliko utvrdi da su povrijeđene odredbe ZZOP-a Agencija ima pravo upozoriti ili opomenuti voditelja zbirke osobnih podataka, korisnika i izvršitelja obrade na nezakonitosti u obradi osobnih podataka te rješenjem:
- narediti uklanjanje nepravilnosti, - privremeno zabraniti prikupljanje, obradu i korištenje osobnih podataka, - narediti brisanje osobnih podataka prikupljenih bez pravne osnove, - zabraniti iznošenje osobnih podataka iz RH
Agencija ima pravo pokrenuti postupak prekršajne ili kaznene odgovornosti
Nadzorne ovlasti Agencije
Agencija za zaštitu osobnih podataka
Novčane kazne
Zapriječene novčane kazne za prekršaje
propisane Zakonom o zaštiti osobnih podataka:
- za voditelja zbirke, izvršitelja obrade ili primatelja
osobnih podataka u rasponu od:
20.000,00 do 40.000,00 kuna
- za odgovornu osobu kod voditelja zbirke,
izvršitelja obrade ili primatelja u rasponu od:
5.000,00 do 10.000,00 kuna
Agencija za zaštitu osobnih podataka
Iskustva iz prakse(I)
Video nadzor u poslovnim prostorima Stav Agencije:
Video zapis dobiven video nadzornom kamerom u smislu članka 2. st. 1. t. 1. ZZOP-a predstavlja osobni podatak radnika.
Poslodavac je pravilnikom o radu dužan urediti sva pitanja odnosna na prikupljanje, korištenje, čuvanje i zaštitu osobnih podataka svojih radnika, među inim i osobnih podataka prikupljenih video nadzornom kamerom, kako bi radnici bili informirani o obradi njihovih osobnih podataka na navedeni način.
Agencija za zaštitu osobnih podataka
Iskustva iz prakse:
Potrebno je odrediti osobe ovlaštene za pristup podacima, te poduzeti mjere zaštite osobnih podataka (tehničke,kadrovske i organizacijske).
Svrha poduzimanja mjera:
- osiguranje povjerljivosti i vremenskog razdoblja čuvanja osobnih podataka
Označavanje prostora: - uočljivo i nedvosmisleno označiti (slikom i
tekstom) da se prostor snima video nadzornom kamerom
Agencija za zaštitu osobnih podataka
Iskustva iz prakse(II)
Obrada otiska prsta u svrhu evidencije radnog vremena
Stav Agencije:
- Otisak prsta u smislu članka 2. st. 1. t. 1. ZZOP-a predstavlja osobni podatak radnika budući da otisak prsta uzet metodom biometrije nedvojbeno identificira osobu.
- Pravni temelj :privola radnika, kao slobodno i izričito očitovanje njegove volje.
Agencija za zaštitu osobnih podataka
Iskustva iz prakse
Uvažavajući specifičnost radnog odnosa između zaposlenika i poslodavca izostanak pristanka mogao bi zaposlenike dovesti u neravnopravan položaj
U slučaju izostanka privole potrebno je osigurati alternativne načine evidencije radnog vremena (primjerice:el. kartica, ručno upisivanje u evidenciju)
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (III)
Uvid u natječajnu dokumentaciju: obaveza poslodavca da obavijesti sve kandidate o
rezultatima natječaja
Stav Agencije:
- davanje na uvid osobnih podataka za provođenje natječajne procedure izabranog kandidata drugim sudionicima natječaja u vremenu do proteka roka za izjavljivanje prigovora je podudarno sa svrhom prikupljanja predmetnih podataka - provođenje natječajne procedure,(odredba čl. 6.st. 2. ZZOP-a).
Agencija za zaštitu osobnih podataka
Iskustva iz prakse
Načelo razmjernosti:
- voditi brigu da se ne otkriju drugim
kandidatima natječaja prekomjerni podaci
(privatna adresa, datum i mjesto rođenja)
kao i podaci koji temeljem posebnih propisa
predstavljaju profesionalnu tajnu
( primjerice; podaci psiholoških testiranja).
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (III)
Obrada osobnih podataka u marketinške
svrhe
Stav Agencije:
Prilikom obrade osobnih podataka u svrhu
marketinga svaka osoba ima pravo usprotiviti se
takvoj obradi na način da se najprije izravno obrati
voditelju zbirke osobnih podataka koji obrađuje
njezine podatke u tu svrhu i zatraži prestanak obrade
osobnih podataka.
U slučaju da voditelj zbirke i dalje nastavi s takvom
obradom osoba može podnijeti zahtjev za zaštitu prava
Agenciji
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (IV)
Pristupanje elektroničkoj pošti zaposlenika od
strane poslodavca:
Stav Agencije:
- Pristup elektroničkoj pošti zaposlenika bez prethodnog
informiranja radnika i bez opravdane svrhe nije
dopušten
- Internim aktom o informacijskoj sigurnosti potrebno je
propisati procedure postupanja sa elektroničkom poštom
te na taj način informirati zaposlenike
Agencija za zaštitu osobnih podataka
Iskustva iz prakse
- Samo iznimne okolnosti ( primjerice sumnja na moguće počinjenje kaznenog djela iii odavanje poslovnih informacija) mogu opravdati uvođenje nadzora sadržaja el. komunikacije zaposlenika.
- Nije dovoljno da se mogućnost nadzora elektroničke komunikacije zaposlenika predvidi Pravilnikom o radu već zaposlenici u vezi istoga daju i privolu, te su na taj način upoznati s obradom. Na taj način formalno pravno bio zadovoljen uvjet legitimnosti (postojanja pravnog temelja) za obradu osobnih podataka.
- Uvažavajući specifičnost radnog odnosa između zaposlenika i poslodavca traženje pristanka zaposlenika u takvom slučaju bilo bi samo forma, a izostanak pristanka mogao bi zaposlenike dovesti u neravnopravan položaj u odnosu na poslodavca.
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (V)
Obrada osobnih podataka na Facebook
profile:
- Primjena ZZOP-a po teritorijalnom principu
- Uslijed mnogobrojnih upita vezanih za zlouporabu osobnih podataka na Facebooku ( kreiranje lažnih profila, govor mržnje) Agencija je stupila u kontakt s ispostavom društvene mreže u Europi, konkretno u Republici Irskoj, te je s istima dogovoren način postupanja prilikom zlouporabe osobnih podataka na Facebook-u.
- U tu svrhu Agencija je dobila upute koje sadrže linkove putem kojih im se mogu izravno obratiti sve osobe suočene s problemima na stranici www.facebook.com.
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (VI)
Obrada osobnih podataka u medijima:
Stav Agencije: - Postoje ograničenja za obradu osobnih podataka regulirana
posebnim Zakonom
- Prema Zakona o medijima (NN 59/04., 84/11., 81/13.) mediji su dužni poštovati pravo na zaštitu identiteta svjedoka i oštećenika kaznenih djela i bez njihovog znanja i pristanka ne smiju otkriti njihov identitet odnosno ne smiju javno objavljivati osobne podatke
- Prema Zakonu o elektroničkim medijima nije dopušteno
objavljivanje informacije kojom se otkriva identitet djeteta do 18 života uključenog u bilo kakav oblik nasilja bez obzira je li svjedok, žrtva ili počinitelj
- Pravila o anonimizaciji osobnih podataka
Agencija za zaštitu osobnih podataka
Iskustva iz prakse (VII)
Obrada osobnih podataka na mrežnim
stranicama (webportalima) na način da su
unošenjem imena i prezimena u Google tražilicu
dostupni svi tekstovi objavljeni na internetskim
portalima
Stav Agencije:
- u primjeni je načelo „right to be forgotten“
Potrebno je obratiti se zahtjevom uredniku portala za brisanje
osobnih podataka kako isti ne bi bili dostupni putem tražilice Google
Agencija za zaštitu osobnih podataka
Pitanja
Agencija za zaštitu osobnih podataka
Kontakt podaci
AGENCIJA ZAŠTITU OSOBNIH PODATAKA Fra. Grge Martića 14
10 000 Zagreb e-mail: [email protected]
Info telefon : (radnim danom od 13,30 h -15.30 h)
– za pravna pitanja: 01/46-090-80 – za tehnička pitanja : 01/46-090-46
Web: www.azop.hr