Zaštita podataka na temelju Opće uredbe o zaštiti podataka
Općom uredbom o zaštiti podataka utvrđuju se detaljni zahtjevi za poduzeća i organizacije u pogledu prikupljanja osobnih podataka, njihove pohrane te upravljanja osobnim podacima. Primjenjuju se na europske organizacije koje obrađuju osobne podatke pojedinaca u EU-u (U ovom slučaju 27 država članica EU-a) te organizacije izvan EU-a koje su usmjerene na ljude koji žive u EU-u.
Kada se primjenjuje Opća uredbi o zaštiti podataka (OUZP)?
Opća uredba o zaštiti podataka primjenjuje se ako:
- vaše poduzeće obrađuje osobne podatke i ima poslovni nastan u EU-u, neovisno o tome gdje se odvija sama obrada podataka
- vaše poduzeće ima poslovni nastan izvan EU-a, no obrađuje osobne podatke u vezi s ponudom robe ili usluga pojedincima u EU-u ili prati ponašanje osoba unutar EU-a.
Poduzeća s poslovnim nastanom izvan EU-akoja obrađuju osobne podatke građana EU-a moraju imenovati predstavnika u EU-u.
Kada se ne primjenjuje Opća uredbi o zaštiti podataka (OUZP)?
Opća se uredba o zaštiti podataka ne primjenjuje u sljedećim slučajevima:
- ako je ispitanik mrtav
- ako je ispitanik pravna osoba
- ako obradu obavlja osoba koja djeluje u svrhe koje ne ulaze u okvir njezine stručne, poslovne ili profesionalne djelatnosti
Što su osobni podaci?
Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, koji se naziva ispitanik. Osobni podaci uključuju informacije kao što su:
- ime i prezime
- adresa
- broj osobne iskaznice ili putovnice
- primanja
- kulturni profil
- adresa internetskog protokola (IP adresa)
- podaci u posjedu bolnice ili liječnika (koji služi kao jedinstvena identifikacijska oznaka u zdravstvene svrhe).
Posebne kategorije podataka
Ne možete obrađivati osobne podatke o nečijem:
- rasnom ili etničkom podrijetlu
- spolnoj orijentaciji
- političkim stavovima
- vjerskim ili filozofskim uvjerenjima
- članstvu u sindikatu
- genetskim, biometrijskim ili zdravstvenim podacima osim u posebnim slučajevima (npr. kad imate izričitu privolu ili kad je obrada u znatnom javnom interesu, na temelju prava EU-a ili nacionalnog prava)
- osobne podatke povezane s kaznenim osudama i djelima osim ako to nije dopušteno pravom EU-a ili nacionalnim pravom.
Tko obrađuje osobne podatke?
Tijekom obrade osobni podaci mogu proći kroz više različitih poduzeća ili organizacija. U tom ciklusu dvije su ključne uloge u obradi osobnih podataka:
- Voditelj obrade podataka odlučuje o svrsi i načinu obrade podataka.
- Izvršitelj obrade podatakačuva i obrađuje podatke u ime voditelja obrade podataka.
Tko nadzire kako se osobni podaci obrađuju unutar poduzeća?
Službenik za zaštitu podataka kojeg prema potrebi imenuje poduzećeodgovoran je za nadzor kako se obrađuju osobni podaci te informiranje i savjetovanje zaposlenika koji obrađuju osobne podatke o njihovim obvezama. Taj službenik ujedno i surađuje s tijelom za zaštitu podataka te je kontaktna točka za pojedince i tijelo za zaštitu podataka.
Kada biste trebali imenovati službenika za zaštitu podataka?
Vaše poduzeće mora imenovati službenika za zaštitu ako:
- redovito ili sustavno prati pojedince ili obrađuje posebne kategorije podataka
- je ta obrada podataka vaša temeljna poslovna aktivnost
- obrađujete velik broj podataka.
Primjerice, ako obrađujete osobne podatke u svrhu oglašavanja putem tražilica na temelju ponašanja pojedinaca na internetu morate imati službenika za zaštitu podataka. Međutim, ako samo jednom godišnje klijentima šaljete promotivni materijal ne trebate imati službenika za zaštitu podataka. Isto tako, ako ste liječnik koji prikuplja podatke o zdravlju pacijenata vjerojatno ne morate imati službenika za zaštitu podataka. No ako obrađujete osobne podatke o genetici i zdravlju za potrebe bolnice, trebat će vam službenik za zaštitu podataka.
Službenik za zaštitu podataka može biti član osoblja vaše organizacije ili se s njime može sklopiti ugovor o vanjskim uslugama. Službenik za zaštitu podataka može biti pojedinac ili dio organizacije.
Obrada podataka za drugo poduzeće
Voditelj obrade podataka može se koristiti uslugama samo onih izvršitelja obrade podataka koji pružaju odgovarajuća jamstva koja moraju biti uključena u pisani ugovor između uključenih strana. Taj ugovor mora sadržavati niz obveznih odredbi, primjerice da će izvršitelj obrade podataka osobne podatke obrađivati samo po nalogu voditelja obrade podataka.
Prijenos podataka izvan EU-a
Kad se osobni podaci prenose izvan EU-a, zaštita koju pruža Opća uredba o zaštiti podataka i dalje se primjenjuje na njih. To znači da ako izvozite podatke u inozemstvo, vaše poduzeće mora osigurati da se pridržava jedne od sljedećih mjera:
- EU smatra da su mjere treće zemlje odgovarajuće.
- Vaše poduzeće poduzima potrebne mjere kako bi se osigurala odgovarajuća zaštita, primjerice uključivanjem posebnih odredbi u ugovor s uvoznikom osobnih podataka iz treće zemlje.
- Vaše se poduzeće oslanja na posebne razloge prijenosa (odstupanja) kao što je privola pojedinca.
Kada je dopuštena obrada podataka?
Pravila EU-a o zaštiti podataka propisuju da biste podatke trebali obrađivati na pošten i zakonit način za određenu i legitimnu svrhu te obrađivati samo podatke koji su neophodni za nju. Morate osigurati da ste ispunili jedan od sljedećih uvjeta za obradu osobnih podataka;
- imate privolu predmetnog pojedinca
- osobni su vam podaci potrebni za ispunjavanje ugovorne obvezeprema pojedincu
- osobni su vam podaci potrebni kako biste ispunili zakonsku obvezu
- osobni su vam podaci potrebni za zaštitu životnog interesapojedinca
- obrađujete osobne podatke u okviru zadaće od javnog interesa
- djelujete u ime legitimnih interesa svojeg poduzeća pod uvjetom da time nisu ozbiljno narušena temeljna prava i slobode pojedinca čije podatke obrađujete. Ne možete obrađivati osobne podatke ako prava osobe imaju prevagu nad interesima vašeg poduzeća.
Pristanak na obradu podataka – privola
Općom uredbom o zaštiti podataka propisuju se stroga pravila za obradu podataka utemeljena na privoli. Cilj je tih pravila osigurati da pojedinac razumije na što pristaje. To znači da privola treba biti dobrovoljna, posebna, informirana i nedvosmislena te dana na temelju zahtjeva napisanog jasnim i jednostavnim jezikom. Privola bi se trebala dati afirmativnim činom, kao što je označavanje polja na internetu ili potpisivanje obrasca.
Kad netko pristane na obradu svojih osobnih podataka, možete ih obrađivati samo u svrhe za koje je privola dana. Morate im omogućiti i povlačenje privole.
Pružanje transparentnih informacija
Pojedincima morate jasno pružiti informacije o tome tko obrađuje njihove osobne podatke i zašto. Morate obuhvatiti najmanje sljedeće:
- tko ste
- zašto obrađujete osobne podatke
- koja je pravna osnova obrade
- tko će primiti podatke (ako je primjenjivo).
U nekim slučajevima, morate navesti i:
- kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo
- na kojem se legitimnom interesu temelji vaša obrada ako je to pravna osnova za obradu
- mjere koje se primjenjuju za prijenos podataka u zemlje izvan EU-a
- koliko dugo će podaci biti pohranjeni
- podatke o pravima pojedinca na zaštitu podataka (tj. pravo na pristup, ispravak, brisanje, ograničenje, prigovor, prenosivost itd.)
- kako se privola može povući (kad je pravna osnova za obradu privola)
- postoji li zakonska ili ugovorna obveza pružanja podataka
- u slučaju automatiziranog donošenja odluka, informacije o pozadini, važnosti i posljedicama odluke.
Te biste informacije trebali predstaviti jasnim i jednostavnim jezikom.
Posebna pravila za djecu
Ako prikupljate osobne podatke djece na temelju privole, primjerice pri korištenju korisničkih računa na društvenim medijima ili stranicama za učitavanje sadržaja morate prvo dobiti privolu roditelja, primjerice slanjem obavijesti roditelju ili skrbniku. Dobna granica do koje se netko smatra djetetom razlikuje se ovisno o tome gdje žive, no kreće se između 13 i 16 godina.
Pravo na pristup i pravo na prenosivost podataka
Morate osigurati da pojedinci imaju pravo na pristup svojim osobnim podacima bez naknade. Ako primite takav zahtjev morate:
- reći im obrađujete li njihove osobne podatke
- informirati ih o obradi (svrha obrade, vrste osobnih podataka koje se upotrebljavaju, primatelji podataka itd.)
- dati im presliku njihovih osobnih podataka koji se obrađuju (u pristupačnom formatu).
Kad se obrada temelji na suglasnosti ili na ugovoru, pojedinac može zatražiti da mu vratite osobne podatke ili da ih prenesete drugom poduzeću. To se naziva pravo na prenosivost podataka. Trebali biste podatke dostaviti u uobičajenom i strojno čitljivom formatu.
Pravo na ispravak i pravo na prigovor
Ako pojedinac smatra da su njegovi osobni podaci netočni, nepotpuni ili neprecizni, imaju pravo tražiti da ih se ispravi ili dopuni bez odgode.
U tom slučaju trebali biste sve primatelje podataka obavijestiti da su neki od osobnih podataka koje ste s njima podijelili izmijenjeni ili izbrisani. Ako su osobni podaci koje ste podijelili bili netočni, možda ćete morati o tome obavijestiti sve koji su ih vidjeli (osim u slučaju da bi to zahtijevalo nerazmjeran napor).
Pojedinac može u bilo kojem trenutku prigovoriti obradi svojih osobnih podataka, posebno u slučaju kad ih vaše poduzeće obrađuje na temelju vlastitog legitimnog interesa ili kao dio zadaće od javnog interesa. Ako vaš legitimni interes ne prevaguje nad interesom pojedinca morate prestati s obradom osobnih podataka.
Pojedinac može zatražiti i ograničenje obrade svojih osobnih podataka dok se utvrđuje prevaguje li vaš legitimni interes nad njegovim. Međutim, u slučaju izravnog marketinga, uvijek morate odmah prestati s obradom osobnih podataka na zahtjev pojedinca.
Pravo na brisanje („pravo na zaborav")
U nekim okolnostima pojedinac može od voditelja obrade podataka zatražiti brisanje svojih osobnih podataka, primjerice ako podaci više nisu potrebni za ispunjenje svrhe obrade. Međutim, vaše poduzeće nije obvezno to učiniti u sljedećim slučajevima:
- obrada je nužna za poštovanje slobode izražavanja i informiranja
- morate čuvati osobne podatke za usklađivanje s pravnom obvezom
- postoje drugi razlozi od javnog interesa za pohranu podataka, primjerice u svrhe javnog zdravlja ili u svrhe znanstvenih i povijesnih istraživanja
- morate pohraniti podataka radi uspostavljanja pravnog zahtjeva.
Automatizirano donošenje odluka i izrada profila
Pojedinci imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi. Međutim, postoje neke iznimke od tog pravila, primjerice kad su dali izričitu privolu za automatiziranu odluku. Osim u situacijama kad se automatizirana odluka temelji na zakonodavstvu, vaše poduzeće mora:
- obavijestiti pojedinca o automatiziranom donošenju odluka
- dati pojedincu priliku da automatiziranu odluku provjeri osoba
- dati pojedincu mogućnost osporavanja automatizirane odluke.
Primjerice, ako banka odluku o odobrenju kredita nekom pojedincu donese automatiziranim postupkom, tu bi osobu trebalo obavijestiti o automatiziranoj odluci i pružiti joj mogućnost da je ospori i traži ljudsku intervenciju.
Povreda osobnih podataka – pružanje odgovarajuće obavijesti
Do povrede osobnih podataka dolazi kad se osobni podaci za koje ste odgovorni slučajno ili nezakonito otkriju nedopuštenim primateljima ili su privremeno nedostupni ili izmijenjeni.
Ako dođe do povrede osobnih podataka koja predstavlja rizik za osobna prava i slobode, morate u roku od 72 sata nakon što se otkrili povredu obavijestiti svoje nadležno tijelo za zaštitu podataka.
Ovisno o tome je li povreda visoko rizična za one na koje se odnosi, vaše poduzeće može biti dužno obavijestiti sve pogođene osobe.
Odgovaranje na zahtjeve
Ako vaše poduzeće primi zahtjev pojedinca koji želi ostvariti svoja prava, morate na zahtjev odgovoriti bez nepotrebnog odgađanja i u svakom slučaju u roku od 1 mjeseca od primitka zahtjeva. Vrijeme za odgovor može se produljiti za 2 mjeseca za složene ili višestruke zahtjeve pod uvjetom da se pojedinca obavijestiti o produljenju roka. Za obradu zahtjeva ne bi trebalo naplaćivati naknade.
Ako je zahtjev odbijen, morate pojedinca obavijestiti o razlozima te o pravu da podnesu pritužbu tijelu za zaštitu podataka.
Procjena učinka
Procjena učinka na zaštitu podataka obvezna je kad planirana obrada može prouzročiti visok rizik za prava i slobode pojedinaca, primjerice pri upotrebi novih tehnologija.
Visok rizik postoji u sljedećim situacijama:
- automatizirana obrada i mehanizmi izrade profila upotrebljavaju se za ocjenjivanje pojedinaca
- provodi se opsežan nadzor javno dostupnog područja (primjerice nadzornim kamerama)
- provodi se opsežna obrada osobnih podataka u vezi s kaznenim osudama i djelima (primjerice medicinski podaci).
Napomena: Tijelo za zaštitu podataka može i druge kategorije podataka smatrati visokorizičnima.
Ako se mjerama utvrđenima u procjeni učinka na zaštitu podataka ne mogu ukloniti svi utvrđeni visoki rizici, prije planirane obrade podataka treba se savjetovati s tijelom za zaštitu podataka.
Vođenje evidencije
Morate moći dokazati da vaše poduzeće djeluje u skladu s Općom uredbom o zaštiti podataka i ispunjava sve primjenjive obveze, posebno na zahtjev ili prilikom inspekcije iz tijela za zaštitu podataka.
To možete postići vođenjem detaljne evidencije o:
- nazivima i podacima za kontakt vašeg poduzeća koje sudjeluje u obradi podataka
- razlozima za obradu osobnih podataka
- opisu kategorija osoba koje pružaju osobne podatke
- kategorijama organizacija koje primaju osobne podatke
- prijenosu osobnih podataka drugim organizacijama ili u druge zemlje
- razdoblju pohrane osobnih podataka
- opisu sigurnosnih mjera koje se upotrebljavaju pri obradi osobnih podataka.
Vaše poduzeće trebalo bi i voditi te redovno ažurirati pisane postupke i smjernice te upoznati s njima svoje zaposlenike.
Napomena
Ako je vaše poduzeće MSP en ili manje, ne morate voditi evidenciju svojih aktivnosti obrade pod uvjetom da se:
- obrada ne provodi redovito
- njome ne utječe na prava i slobode uključenih pojedinaca
- obrada ne sadržava osjetljive podatke ili podatke iz kaznene evidencije.
Tehnička i integrirana zaštita podataka
Tehnička zaštita podataka znači da poduzeće treba uzeti zaštitu podataka u obzir u ranim stadijima planiranja novih načina obrade osobnih podataka. U skladu s tim načelom, voditelj obrade podataka mora poduzeti sve potrebne tehničke i organizacijske mjere za provedbu načela zaštite podataka i zaštititi prava pojedinaca. To se može postići primjerice upotrebom pseudonima.
Integrirana zaštita podatakaznači da bi osnovna postavka poduzeća trebala biti ona kojom se najviše štiti privatnost. Primjerice, ako su moguće dvije postavke privatnosti i jedna od postavki onemogućava da osobnim podacima pristupe druge osobe, ta postavka mora biti postavljena kao osnovna.
Kršenje pravila i kazne
Neusklađenost s Općom uredbom o zaštiti podataka može za određene povrede dovesti do znatnih novčanih kazni u iznosu do 20 milijuna eura ili 4 % globalnog prometa vašeg poduzeća. Tijelo za zaštitu podataka može odrediti dodatne korektivne mjere, primjerice narediti vam da prekinete obradu osobnih podataka.
