novi zakon o privatnoj zaštiti i zaštita osobnih...
TRANSCRIPT
-
Novi Zakon o privatnoj zaštiti i zaštita osobnih podataka
Mario Milner, struč. spec. crim., Viši savjetnik – specijalist u Službi za nadzor i Središnji registar
Agencije za zaštitu osobnih podataka Republike Hrvatske
-
Zaštita osobnih podataka – zakonodavni okvir
2
-
Zaštita osobnih podataka – zakonodavni okvir
DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP
Zakon o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija („Narodne novine” 68/18)
-
Područje primjene
Automatizirana
/
Neautomatizirana
obrada podataka
Aktivnosti
poslovnog nastana u EU
/
ponuda robe ili usluga ispitanicima u EU ili
praćenje njihovog ponašanja
-
I z u z e ć a
(
NACIONALNA SIGURNOST
ZAJEDNIČKA VANJSKA I SIGURNOSNA POLITIKA
U SVRHU SPREČAVANJA, ISTRAGE, OTKRIVANJA ILI PROGONA KAZNENIH DJELA
AKTIVNOSTI FIZIČKE OSOBE ZA VLASTITE POTREBE
-
Definicije – Opća uredba
• „osobni podaci” - svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može
utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati
izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o
lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki,
genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
• „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na
skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su
prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje,
obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na
drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
-
• zakonitost, poštenost i transparentnost
• ograničavanje svrhe
• smanjenje količine podataka
• točnost
• ograničenje pohrane
• cjelovitost i povjerljivost
Voditelj obrade odgovoran je za usklađenost i mora biti u mogućnosti istu
dokazati (pouzdanost)
Načela obrade osobnih podataka
-
Pravni temelji obrade
• ispitanik je dao privolu za obradu svojih osobnih podataka
• izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika
prije sklapanja ugovora
• obrada je nužna radi poštovanja pravnih obveza voditelja obrade
• obrada je nužna kako bi se zaštitili vitalni interesi ispitanika ili druge fizičke osobe
• obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti
voditelja obrade
• obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od
tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih
podataka, osobito ako je ispitanik dijete (ne odnosi se na obradu koju provode tijela javne vlasti
pri izvršavanju svojih zadaća)
-
Pravo dobiti informaciju na
sažet, transparentan, razumljiv i
lako dostupan način
Pravo na prenosivost podataka
Pravo na pristup, ispravak,
brisanje i “zaborav”
Pravo na prigovorOgraničenje obrade
. Pravo usprotiviti se donošenju automatiziranih pojedinačnih
odluka
Prava ispitanika
-
(
određuje svrhe i sredstva obrade osobnih podataka
provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se obrada provodi u skladu s Općom Uredbom
obrađuje osobne podatkeu ime voditelja obrade
Opća Uredba definira izvršitelja obrade kao odgovornog i ravnopravnog sudionika procesa obrade podataka
VODITELJ OBRADE IZVRŠITELJ OBRADE
Poslovni subjekti
-
• Ovim Zakonom osigurava se provedba Opće uredbe o zaštiti podataka –„GDPR”-a, te su sve odredbe Opće uredbe izravno primjenjive
• Uređuje se predmet Zakona i osnovni pojmovi, opis Nadzornog tijela - Agencijeza zaštitu osobnih podataka, postupak u nadležnosti Agencije i pravni lijekovi,
izricanje upravne novčane kazne, prekršajne odredbe i Upravne novčane kazne te
obrada osobnih podataka u posebnim slučajevima
Zakon o provedbi Opće uredbe o zaštiti podataka
-
• Posebni uvjeti za obradu genetskih podataka
• Obrada biometrijskih podataka
• Obrada osobnih podataka putem video nadzora
- Video nadzor radnih prostorija
- Video nadzor stambenih zgrada
- Video nadzor javnih površina
Obrada osobnih podataka u posebnim slučajevima
-
• prikupljanje i daljnja obrada osobnih podataka koja obuhvaća stvaranje snimke koja
čini ili je namijenjena da čini dio sustava pohrane
• ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem
sustava videonadzora primjenjuju se odredbe ovoga Zakona
• može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine,
ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem
videonadzora
• mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i
unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja
svrhe iz stavka 1. ovoga članka
Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)
-
• Voditelj/izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu
te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije
prilikom ulaska u perimetar snimanja
• Obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće
uredbe, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju
sljedeće informacije:
– da je prostor pod videonadzorom
– podatke o voditelju obrade
– podatke za kontakt putem kojih ispitanik može ostvariti svoja prava
• Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba
voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti
• Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba
Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)
-
• Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za
evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto
pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem
videonadzora
• Pristup tim podacima imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg
zakonom utvrđenog djelokruga
• Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je
drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom,
arbitražnom ili drugom istovrijednom postupku
Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)
-
• Praćenje javnih površina putem videonadzora dozvoljeno je samo tijelima javne vlasti,
pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu
- samo ako je propisano zakonom
- ako je nužno za izvršenje poslova i zadaća tijela javne vlasti
- ili radi zaštite života i zdravlja ljudi te imovine
• Odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe na sustavno praćenje
javno dostupnog područja u velikoj mjeri (ako je vjerojatno da će neka vrsta obrade,
osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe
obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade
provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka)
Videonadzor javnih površina
-
Istražne ovlasti - Uredba
• narediti voditelju obrade i izvršitelju obrade da mu pruže sve informacije potrebne
za obavljanje svojih zadaća
• provoditi istrage u obliku revizije zaštite podataka
• provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.
• obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe
• ishoditi pristup svim osobnim podacima i svim informacijama potrebnim za
obavljanje svojih zadaća
• ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući
svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili
postupovnim pravom države članice
-
Istražne ovlasti – Zakon
• provođenje (najavljenog ili nenajavljenog) nadzora (samostalno ili uz sudjelovanje
predstavnika gostujućeg nadzornog tijela)
• napraviti preslike dostupnih dokumenata, presnimiti sve sadržaje sustava pohrane i
prikupiti druge relevantne informacije
• oduzeti potrebne sustave pohrane i opremu koja sadržava druge relevantne
informacije i zadržati je koliko je potrebno za izradu preslika te dokumentacije (do
15 dana)
• zapečatiti sustave pohrane ili opremu za vrijeme nadzora i u opsegu prijeko
potrebnom za provedbu nadzornih aktivnosti ako postoji opasnost od uništenja ili
izmjena dokaza (do 15 dana)
• obveza sastaviti službenu zabilješku sa svim relevantnim informacijama o
podacima ili opremi obuhvaćenoj radnjom i njezin primjerak predati nadziranom
subjektu
-
Pravo na naknadu štete i odgovornost
• svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu ima pravo na
naknadu za pretrpljenu štetu
• svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu
prouzročenu obradom (Izvršitelj obrade je odgovoran za štetu prouzročenu
obradom samo ako nije poštovao obveze iz ove Uredbe ili je djelovao izvan
zakonitih uputa voditelja obrade ili protivno njima)
• sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima
koji su nadležni prema pravu države članice
-
P I T A N J A / O D G O V O R I
20
1.) Automatizirani sustav zapisa
Pružatelji usluga privatne zaštite u većini slučajeva djeluju kao izvršitelji obrade kada pristupaju
snimkama video nadzora voditelja obrade te obavlja tzv. „skidanje“ snimaka za potrebe samog voditelja
obrade, odnosno nadležnog tijela. Međutim, u nekim situacijama nije moguće uspostaviti sustav logova na
sustavu video nadzora zbog tehničkih (ne)mogućnosti kamera (npr. radi se o starim tipovima kamera).
Smatra li se u tom slučaju da izvršitelj obrade krši navedenu odredbu ako nije u mogućnosti
uspostaviti automatizirani sustav zapisa, odnosno podliježe li pod odredbu čl. 51. Zakona? Potencijalno
rješenje bilo bi da izvršitelj obrade u radnom nalogu (koji potpisuje nadležna osoba i voditelja i izvršitelja
obrade) navede točno vrijeme pristupanja zapisima i osobu koja je pristupila, uz napomenu npr. da je
pristup ostvaren putem korisničkog računa administratora. Tako bi se, u slučaju spora, moglo provjeriti
kada je izvršitelj obrade pristupio snimkama.
-
21
2.) Praćenje javnih površina putem sustava videonadzora
Pružatelji usluga privatne zaštite su pružatelji usluge dobave i ugradnje sustava videonadzora na
objektima drugih pravnih i fizičkih osoba (dalje u tekstu: klijenti) te postupaju prema uputama klijenata,
pazeći pritom na zakonitost upute. Međutim, radi ostvarivanje same svrhe videonadzora - zaštita osoba i
imovine, ponekad klijenti traže da se kamera podesi na način da perimetar snimanja obuhvati dio javne
površine npr. dio površine oko bankomata koji se snima.
S obzirom da se na drugačiji način ne može ostvariti svrha videonadzora, postupaju li pružatelji
usluga privatne zaštite ispravno kada kao pružatelji usluga i potencijalni izvršitelji obrade, samo pisanim
putem upozore klijenta (primjerice, da sukladno članku 32. Zakona klijent može nadzirati javnu površinu
samo radi zaštite života i zdravlja ljudi te imovine, uz obavezno provođenje procjene učinka na zaštitu
podataka) i postave video nadzor sukladno uputi klijenta? Jesu li pružatelji usluga privatne zaštite dužni
tražiti na uvid dokaz o postupanju sukladno propisima, primjerice procjenu učinka, ili je dovoljno samo da
pisanim putem obavijeste klijenta?
P I T A N J A / O D G O V O R I
-
22
3.) Obavijest o nezakonitoj uputi
Člankom 28. Opće uredbe o zaštiti podataka (dalje: Uredba) propisano je da je izvršitelj obrade dužan
odmah obavijestiti voditelja obrade ako određena obrada krši Uredbu ili druge primjenjive propise o zaštiti
osobnih podataka.
Sukladno navedenome, a nastavno na pitanje pod rednim brojem 2., u slučaju da klijent odbije
postupiti prema obavijesti pružatelja usluga privatne zaštite, krše li time pružatelji usluga privatne zaštite
Uredbu i Zakon ako svejedno postupe po uputi klijenta (npr. postave video nadzor na javnoj površini)?
Navedeno je bitno zbog održivog poslovanja pružatelja usluga privatne zaštite koji mogu, zbog
nepostupanja po zahtjevu klijenta, potencijalno pretrpjeti određene financijske gubitke i raskid ugovora o
poslovnoj suradnji te „gubitak“ klijenta kao poslovnog partnera, čime se ugrožava i sama opstojnost
društva.
P I T A N J A / O D G O V O R I
-
23
4) Videonadzor privatnih kuća
U uvodu Uredbe (točka 18.) navodi se kako se Uredba ne primjenjuje na obradu osobnih podataka koju
fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s
profesionalnom ili komercijalnom djelatnošću. Također, navodi se kako se Uredba primjenjuje na voditelje
obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne
aktivnosti.
Slijedom navedenog, molimo Vas za mišljenje primjenjuje li se sve gore navedeno i na obveze prema
fizičkim osobama, odnosno privatnim kućama, na kojima je ugrađen sustav videonadzora radi zaštite
imovine i osoba? Ako je odgovor potvrdan, je li s takvim fizičkim osobama potrebno sklapati ugovore o
obradi osobnih podataka između voditelja (fizičke osobe) i izvršitelja obrade (zaštitarskih društava) u
slučaju kada zaštitarska društva pružaju uslugu presnimavanja snimaka, s obzirom da se na kućne
aktivnosti ne primjenjuje Uredba?
P I T A N J A / O D G O V O R I
-
24
5) Postupanje po zahtjevu policije
Pružatelji usluga privatne zaštite redovito zaprimaju zahtjeve nadležnih policijskih postaja radi
presnimavanja snimaka s postavljenog sustava videonadzora zbog kriminalističke istrage u slučaju sumnje na
počinjenje kaznenih djela.
S obzirom da pružatelji usluga privatne zaštite u takvim situacijama djeluju potencijalno kao
izvršitelj obrade (a često više niti nisu u ugovornom odnosu s klijentom), jesi li isti dužni postupiti po
zahtjevu policije ili uputiti na voditelja obrade? Napominjemo da su, u većini slučajeva, i ovlaštene osobe
voditelja obrade educirane o načinu izuzimanju snimaka sa sustava videonadzora te izvršitelj obrade samo
održava sustav video nadzora.
P I T A N J A / O D G O V O R I
-
25
6. Centralni dojavni sustav (CDS)
CDS je sustav kojim se tijekom 24-satnog dežurstva zaprimaju dojave putem signala s uređaja i sustava
tehničke zaštite ili na drugi način u organiziranom prostoru pravne osobe ili obrtnika s odobrenjem za
privatnu zaštitu, radi pružanja intervencije na štićenom objektu, javnoj ili drugoj površini te pri zaštiti
osobnog integriteta. Primjera radi, alarmni sustav određenog objekta spojen na CDS, a svaki korisnik ima
svoju šifru.
Kako bi se ostvarila svrha zaštite, djelatnici CDS-a u mogućnosti su vidjeti kada određena osoba uđe
u objekt koristeći svoju šifru, dakle obrađuju se sljedeći osobni podaci: šifra korisnika, vrijeme ulaska i
izlaska te ime i prezime osobe (osim u slučaju kada više osoba koristi istu šifru, što je najčešće slučaj kod
privatnih kuća). Smatraju li se prilikom navedene obrade pružatelji usluga privatne zaštite voditeljima ili
izvršiteljima obrade, s obzirom da sami određuju svrhu i način obrade?
P I T A N J A / O D G O V O R I
-
26
• Smjernice 3/2019 o obradi osobnih podataka putem videouređaja
https://azop.hr/images/dokumenti/217/edpb_guidelines_3-
2019_on_processing_of_personal_data_through_video_devices_hr_.pdf
• Priručnik o europskom zakonodavstvu o zaštiti podataka
https://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-
01aa75ed71a1/language-hr/format-PDF
• ARC projekt (pomoć malim i srednjim poduzetnicima) – Azop i partneri
https://vub.fra1.qualtrics.com/jfe/form/SV_etyCPkI1C1dtfZr
https://azop.hr/aktualno/detaljnije/projekt-arc-provedba-anekete-medu-srednjim-i-
malim-poduzetnicima
D O D A T N I P R O P I S I
https://azop.hr/images/dokumenti/217/edpb_guidelines_3-2019_on_processing_of_personal_data_through_video_devices_hr_.pdfhttps://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-hr/format-PDFhttps://vub.fra1.qualtrics.com/jfe/form/SV_etyCPkI1C1dtfZrhttps://azop.hr/aktualno/detaljnije/projekt-arc-provedba-anekete-medu-srednjim-i-malim-poduzetnicima
-
PITANJA
Mario Milner, struč. spec. crim.,
Viši savjetnik – specijalist u Službi za nadzor i Središnji registar
Agencije za zaštitu osobnih podataka Republike Hrvatske
01/4609-029 – [email protected]
P I T A N J A
-
• .
HVALA NA POZORNOSTI