Život i putovanja
Posljednji put provjereno: 15/03/2019

Zaštita podataka na temelju Opće uredbe o zaštiti podataka

Odluka Ujedinjene Kraljevine o pozivanju na članak 50. UEU-a: Više informacija

Općom uredbom o zaštiti podataka utvrđuju se detaljni zahtjevi za poduzeća i organizacije u pogledu prikupljanja osobnih podataka, njihove pohrane te upravljanja osobnim podacima. Primjenjuju se na europske organizacije koje obrađuju osobne podatke pojedinaca u EU-u te organizacije izvan EU-a koje su usmjerene na ljude koji žive u EU-u.

Kada se primjenjuje Opća uredbi o zaštiti podataka (OUZP)?

Opća uredba o zaštiti podataka primjenjuje se ako:

Poduzeća s poslovnim nastanom izvan EU-akoja obrađuju osobne podatke građana EU-a moraju imenovati predstavnika u EU-u.

Kada se ne primjenjuje Opća uredbi o zaštiti podataka (OUZP)?

Opća se uredba o zaštiti podataka ne primjenjuje u sljedećim slučajevima:

Što su osobni podaci?

Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, koji se naziva ispitanik. Osobni podaci uključuju informacije kao što su:

Posebne kategorije podataka

Ne možete obrađivati osobne podatke o nečijem:

Tko obrađuje osobne podatke?

Tijekom obrade osobni podaci mogu proći kroz više različitih poduzeća ili organizacija. U tom ciklusu dvije su ključne uloge u obradi osobnih podataka:

Tko nadzire kako se osobni podaci obrađuju unutar poduzeća?

Službenik za zaštitu podataka kojeg prema potrebi imenuje poduzećeodgovoran je za nadzor kako se obrađuju osobni podaci te informiranje i savjetovanje zaposlenika koji obrađuju osobne podatke o njihovim obvezama. Taj službenik ujedno i surađuje s tijelom za zaštitu podataka te je kontaktna točka za pojedince i tijelo za zaštitu podataka.

Kada biste trebali imenovati službenika za zaštitu podataka?

Vaše poduzeće mora imenovati službenika za zaštitu ako:

Primjerice, ako obrađujete osobne podatke u svrhu oglašavanja putem tražilica na temelju ponašanja pojedinaca na internetu morate imati službenika za zaštitu podataka. Međutim, ako samo jednom godišnje klijentima šaljete promotivni materijal ne trebate imati službenika za zaštitu podataka. Isto tako, ako ste liječnik koji prikuplja podatke o zdravlju pacijenata vjerojatno ne morate imati službenika za zaštitu podataka. No ako obrađujete osobne podatke o genetici i zdravlju za potrebe bolnice, trebat će vam službenik za zaštitu podataka.

Službenik za zaštitu podataka može biti član osoblja vaše organizacije ili se s njime može sklopiti ugovor o vanjskim uslugama. Službenik za zaštitu podataka može biti pojedinac ili dio organizacije.

Obrada podataka za drugo poduzeće

Voditelj obrade podataka može se koristiti uslugama samo onih izvršitelja obrade podataka koji pružaju odgovarajuća jamstva koja moraju biti uključena u pisani ugovor između uključenih strana. Taj ugovor mora sadržavati niz obveznih odredbi, primjerice da će izvršitelj obrade podataka osobne podatke obrađivati samo po nalogu voditelja obrade podataka.

Prijenos podataka izvan EU-a

Kad se osobni podaci prenose izvan EU-a, zaštita koju pruža Opća uredba o zaštiti podataka i dalje se primjenjuje na njih. To znači da ako izvozite podatke u inozemstvo, vaše poduzeće mora osigurati da se pridržava jedne od sljedećih mjera:

Kada je dopuštena obrada podataka?

Pravila EU-a o zaštiti podataka propisuju da biste podatke trebali obrađivati na pošten i zakonit način za određenu i legitimnu svrhu te obrađivati samo podatke koji su neophodni za nju. Morate osigurati da ste ispunili jedan od sljedećih uvjeta za obradu osobnih podataka;

Pristanak na obradu podataka – privola

Općom uredbom o zaštiti podataka propisuju se stroga pravila za obradu podataka utemeljena na privoli. Cilj je tih pravila osigurati da pojedinac razumije na što pristaje. To znači da privola treba biti dobrovoljna, posebna, informirana i nedvosmislena te dana na temelju zahtjeva napisanog jasnim i jednostavnim jezikom. Privola bi se trebala dati afirmativnim činom, kao što je označavanje polja na internetu ili potpisivanje obrasca.

Kad netko pristane na obradu svojih osobnih podataka, možete ih obrađivati samo u svrhe za koje je privola dana. Morate im omogućiti i povlačenje privole.

Pružanje transparentnih informacija

Pojedincima morate jasno pružiti informacije o tome tko obrađuje njihove osobne podatke i zašto. Morate obuhvatiti najmanje sljedeće:

U nekim slučajevima, morate navesti i:

Te biste informacije trebali predstaviti jasnim i jednostavnim jezikom.

Posebna pravila za djecu

Ako prikupljate osobne podatke djece na temelju privole, primjerice pri korištenju korisničkih računa na društvenim medijima ili stranicama za učitavanje sadržaja morate prvo dobiti privolu roditelja, primjerice slanjem obavijesti roditelju ili skrbniku. Dobna granica do koje se netko smatra djetetom razlikuje se ovisno o tome gdje žive, no kreće se između 13 i 16 godina.

Pravo na pristup i pravo na prenosivost podataka

Morate osigurati da pojedinci imaju pravo na pristup svojim osobnim podacima bez naknade. Ako primite takav zahtjev morate:

Kad se obrada temelji na suglasnosti ili na ugovoru, pojedinac može zatražiti da mu vratite osobne podatke ili da ih prenesete drugom poduzeću. To se naziva pravo na prenosivost podataka. Trebali biste podatke dostaviti u uobičajenom i strojno čitljivom formatu.

Pravo na ispravak i pravo na prigovor

Ako pojedinac smatra da su njegovi osobni podaci netočni, nepotpuni ili neprecizni, imaju pravo tražiti da ih se ispravi ili dopuni bez odgode.

U tom slučaju trebali biste sve primatelje podataka obavijestiti da su neki od osobnih podataka koje ste s njima podijelili izmijenjeni ili izbrisani. Ako su osobni podaci koje ste podijelili bili netočni, možda ćete morati o tome obavijestiti sve koji su ih vidjeli (osim u slučaju da bi to zahtijevalo nerazmjeran napor).

Pojedinac može u bilo kojem trenutku prigovoriti obradi svojih osobnih podataka, posebno u slučaju kad ih vaše poduzeće obrađuje na temelju vlastitog legitimnog interesa ili kao dio zadaće od javnog interesa. Ako vaš legitimni interes ne prevaguje nad interesom pojedinca morate prestati s obradom osobnih podataka.

Pojedinac može zatražiti i ograničenje obrade svojih osobnih podataka dok se utvrđuje prevaguje li vaš legitimni interes nad njegovim. Međutim, u slučaju izravnog marketinga, uvijek morate odmah prestati s obradom osobnih podataka na zahtjev pojedinca.

Pravo na brisanje („pravo na zaborav")

U nekim okolnostima pojedinac može od voditelja obrade podataka zatražiti brisanje svojih osobnih podataka, primjerice ako podaci više nisu potrebni za ispunjenje svrhe obrade. Međutim, vaše poduzeće nije obvezno to učiniti u sljedećim slučajevima:

Automatizirano donošenje odluka i izrada profila

Pojedinci imaju pravo da se na njih ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi. Međutim, postoje neke iznimke od tog pravila, primjerice kad su dali izričitu privolu za automatiziranu odluku. Osim u situacijama kad se automatizirana odluka temelji na zakonodavstvu, vaše poduzeće mora:

Primjerice, ako banka odluku o odobrenju kredita nekom pojedincu donese automatiziranim postupkom, tu bi osobu trebalo obavijestiti o automatiziranoj odluci i pružiti joj mogućnost da je ospori i traži ljudsku intervenciju.

Povreda osobnih podataka – pružanje odgovarajuće obavijesti

Do povrede osobnih podataka dolazi kad se osobni podaci za koje ste odgovorni slučajno ili nezakonito otkriju nedopuštenim primateljima ili su privremeno nedostupni ili izmijenjeni.

Ako dođe do povrede osobnih podataka koja predstavlja rizik za osobna prava i slobode, morate u roku od 72 sata nakon što se otkrili povredu obavijestiti svoje nadležno tijelo za zaštitu podataka.

Ovisno o tome je li povreda visoko rizična za one na koje se odnosi, vaše poduzeće može biti dužno obavijestiti sve pogođene osobe.

Odgovaranje na zahtjeve

Ako vaše poduzeće primi zahtjev pojedinca koji želi ostvariti svoja prava, morate na zahtjev odgovoriti bez nepotrebnog odgađanja i u svakom slučaju u roku od 1 mjeseca od primitka zahtjeva. Vrijeme za odgovor može se produljiti za 2 mjeseca za složene ili višestruke zahtjeve pod uvjetom da se pojedinca obavijestiti o produljenju roka. Za obradu zahtjeva ne bi trebalo naplaćivati naknade.

Ako je zahtjev odbijen, morate pojedinca obavijestiti o razlozima te o pravu da podnesu pritužbu tijelu za zaštitu podataka.

Procjena učinka

Procjena učinka na zaštitu podataka obvezna je kad planirana obrada može prouzročiti visok rizik za prava i slobode pojedinaca, primjerice pri upotrebi novih tehnologija.

Visok rizik postoji u sljedećim situacijama:

Napomena: Tijelo za zaštitu podataka može i druge kategorije podataka smatrati visokorizičnima.

Ako se mjerama utvrđenima u procjeni učinka na zaštitu podataka ne mogu ukloniti svi utvrđeni visoki rizici, prije planirane obrade podataka treba se savjetovati s tijelom za zaštitu podataka.

Vođenje evidencije

Morate moći dokazati da vaše poduzeće djeluje u skladu s Općom uredbom o zaštiti podataka i ispunjava sve primjenjive obveze, posebno na zahtjev ili prilikom inspekcije iz tijela za zaštitu podataka.

To možete postići vođenjem detaljne evidencije o:

Vaše poduzeće trebalo bi i voditi te redovno ažurirati pisane postupke i smjernice te upoznati s njima svoje zaposlenike.

Ako je vaše poduzeće MSPen ili manje, ne morate voditi evidenciju svojih aktivnosti obrade pod uvjetom da se:

  • obrada ne provodi redovito
  • njome ne utječe na prava i slobode uključenih pojedinaca
  • obrada ne sadržava osjetljive podatke ili podatke iz kaznene evidencije.

Tehnička i integrirana zaštita podataka

Tehnička zaštita podataka znači da poduzeće treba uzeti zaštitu podataka u obzir u ranim stadijima planiranja novih načina obrade osobnih podataka. U skladu s tim načelom, voditelj obrade podataka mora poduzeti sve potrebne tehničke i organizacijske mjere za provedbu načela zaštite podataka i zaštititi prava pojedinaca. To se može postići primjerice upotrebom pseudonima.

Integrirana zaštita podatakaznači da bi osnovna postavka poduzeća trebala biti ona kojom se najviše štiti privatnost. Primjerice, ako su moguće dvije postavke privatnosti i jedna od postavki onemogućava da osobnim podacima pristupe druge osobe, ta postavka mora biti postavljena kao osnovna.

Kršenje pravila i kazne

Neusklađenost s Općom uredbom o zaštiti podataka može za određene povrede dovesti do znatnih novčanih kazni u iznosu do 20 milijuna eura ili 4 % globalnog prometa vašeg poduzeća. Tijelo za zaštitu podataka može odrediti dodatne korektivne mjere, primjerice narediti vam da prekinete obradu osobnih podataka.

Pitanja i odgovori - Zaštita podataka i privatnost na internetu

Povezane teme

Zakonodavstvo EU

Trebate li podršku službi za pomoć korisnicima?

Obratite se specijaliziranim službama za pomoć

Potpora lokalnim poduzećima - Imate li pitanja o poslovanju preko granica, primjerice o izvozu ili širenju u drugu državu EU-a? Ako imate, Europska poduzetnička mreža može vam dati besplatan savjet.

Podijeli: