Novi Zakon o privatnoj zaštiti i zaštita osobnih podataka

Mario Milner, struč. spec. crim., Viši savjetnik – specijalist u Službi za nadzor i Središnji registar

Agencije za zaštitu osobnih podataka Republike Hrvatske

Zaštita osobnih podataka – zakonodavni okvir

2

Zaštita osobnih podataka – zakonodavni okvir

DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP

Zakon o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija („Narodne novine” 68/18)

Područje primjene

Automatizirana

/

Neautomatizirana

obrada podataka

Aktivnosti

poslovnog nastana u EU

/

ponuda robe ili usluga ispitanicima u EU ili

praćenje njihovog ponašanja

I z u z e ć a

(

NACIONALNA SIGURNOST

ZAJEDNIČKA VANJSKA I SIGURNOSNA POLITIKA

U SVRHU SPREČAVANJA, ISTRAGE, OTKRIVANJA ILI PROGONA KAZNENIH DJELA

AKTIVNOSTI FIZIČKE OSOBE ZA VLASTITE POTREBE

Definicije – Opća uredba

• „osobni podaci” - svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može

utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati

izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o

lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki,

genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

• „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na

skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su

prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje,

obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na

drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

• zakonitost, poštenost i transparentnost

• ograničavanje svrhe

• smanjenje količine podataka

• točnost

• ograničenje pohrane

• cjelovitost i povjerljivost

Voditelj obrade odgovoran je za usklađenost i mora biti u mogućnosti istu

dokazati (pouzdanost)

Načela obrade osobnih podataka

Pravni temelji obrade

• ispitanik je dao privolu za obradu svojih osobnih podataka

• izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika

prije sklapanja ugovora

• obrada je nužna radi poštovanja pravnih obveza voditelja obrade

• obrada je nužna kako bi se zaštitili vitalni interesi ispitanika ili druge fizičke osobe

• obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti

voditelja obrade

• obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od

tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih

podataka, osobito ako je ispitanik dijete (ne odnosi se na obradu koju provode tijela javne vlasti

pri izvršavanju svojih zadaća)

Pravo dobiti informaciju na

sažet, transparentan, razumljiv i

lako dostupan način

Pravo na prenosivost podataka

Pravo na pristup, ispravak,

brisanje i “zaborav”

Pravo na prigovorOgraničenje obrade

. Pravo usprotiviti se donošenju automatiziranih pojedinačnih

odluka

Prava ispitanika

(

određuje svrhe i sredstva obrade osobnih podataka

provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se obrada provodi u skladu s Općom Uredbom

obrađuje osobne podatkeu ime voditelja obrade

Opća Uredba definira izvršitelja obrade kao odgovornog i ravnopravnog sudionika procesa obrade podataka

VODITELJ OBRADE IZVRŠITELJ OBRADE

Poslovni subjekti

• Ovim Zakonom osigurava se provedba Opće uredbe o zaštiti podataka –„GDPR”-a, te su sve odredbe Opće uredbe izravno primjenjive

• Uređuje se predmet Zakona i osnovni pojmovi, opis Nadzornog tijela - Agencijeza zaštitu osobnih podataka, postupak u nadležnosti Agencije i pravni lijekovi,

izricanje upravne novčane kazne, prekršajne odredbe i Upravne novčane kazne te

obrada osobnih podataka u posebnim slučajevima

Zakon o provedbi Opće uredbe o zaštiti podataka

• Posebni uvjeti za obradu genetskih podataka

• Obrada biometrijskih podataka

• Obrada osobnih podataka putem video nadzora

- Video nadzor radnih prostorija

- Video nadzor stambenih zgrada

- Video nadzor javnih površina

Obrada osobnih podataka u posebnim slučajevima

• prikupljanje i daljnja obrada osobnih podataka koja obuhvaća stvaranje snimke koja

čini ili je namijenjena da čini dio sustava pohrane

• ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem

sustava videonadzora primjenjuju se odredbe ovoga Zakona

• može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine,

ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem

videonadzora

• mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i

unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja

svrhe iz stavka 1. ovoga članka

Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)

• Voditelj/izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu

te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije

prilikom ulaska u perimetar snimanja

• Obavijest treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće

uredbe, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju

sljedeće informacije:

– da je prostor pod videonadzorom

– podatke o voditelju obrade

– podatke za kontakt putem kojih ispitanik može ostvariti svoja prava

• Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba

voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti

• Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba

Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)

• Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za

evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto

pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem

videonadzora

• Pristup tim podacima imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg

zakonom utvrđenog djelokruga

• Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je

drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom,

arbitražnom ili drugom istovrijednom postupku

Obrada osobnih podataka putem videonadzora (čl. 25 . - 29.)

• Praćenje javnih površina putem videonadzora dozvoljeno je samo tijelima javne vlasti,

pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu

- samo ako je propisano zakonom

- ako je nužno za izvršenje poslova i zadaća tijela javne vlasti

- ili radi zaštite života i zdravlja ljudi te imovine

• Odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe na sustavno praćenje

javno dostupnog područja u velikoj mjeri (ako je vjerojatno da će neka vrsta obrade,

osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe

obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade

provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka)

Videonadzor javnih površina

Istražne ovlasti - Uredba

• narediti voditelju obrade i izvršitelju obrade da mu pruže sve informacije potrebne

za obavljanje svojih zadaća

• provoditi istrage u obliku revizije zaštite podataka

• provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.

• obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe

• ishoditi pristup svim osobnim podacima i svim informacijama potrebnim za

obavljanje svojih zadaća

• ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući

svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili

postupovnim pravom države članice

Istražne ovlasti – Zakon

• provođenje (najavljenog ili nenajavljenog) nadzora (samostalno ili uz sudjelovanje

predstavnika gostujućeg nadzornog tijela)

• napraviti preslike dostupnih dokumenata, presnimiti sve sadržaje sustava pohrane i

prikupiti druge relevantne informacije

• oduzeti potrebne sustave pohrane i opremu koja sadržava druge relevantne

informacije i zadržati je koliko je potrebno za izradu preslika te dokumentacije (do

15 dana)

• zapečatiti sustave pohrane ili opremu za vrijeme nadzora i u opsegu prijeko

potrebnom za provedbu nadzornih aktivnosti ako postoji opasnost od uništenja ili

izmjena dokaza (do 15 dana)

• obveza sastaviti službenu zabilješku sa svim relevantnim informacijama o

podacima ili opremi obuhvaćenoj radnjom i njezin primjerak predati nadziranom

subjektu

Pravo na naknadu štete i odgovornost

• svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu ima pravo na

naknadu za pretrpljenu štetu

• svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu

prouzročenu obradom (Izvršitelj obrade je odgovoran za štetu prouzročenu

obradom samo ako nije poštovao obveze iz ove Uredbe ili je djelovao izvan

zakonitih uputa voditelja obrade ili protivno njima)

• sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima

koji su nadležni prema pravu države članice

P I T A N J A / O D G O V O R I

20

1.) Automatizirani sustav zapisa

Pružatelji usluga privatne zaštite u većini slučajeva djeluju kao izvršitelji obrade kada pristupaju

snimkama video nadzora voditelja obrade te obavlja tzv. „skidanje“ snimaka za potrebe samog voditelja

obrade, odnosno nadležnog tijela. Međutim, u nekim situacijama nije moguće uspostaviti sustav logova na

sustavu video nadzora zbog tehničkih (ne)mogućnosti kamera (npr. radi se o starim tipovima kamera).

Smatra li se u tom slučaju da izvršitelj obrade krši navedenu odredbu ako nije u mogućnosti

uspostaviti automatizirani sustav zapisa, odnosno podliježe li pod odredbu čl. 51. Zakona? Potencijalno

rješenje bilo bi da izvršitelj obrade u radnom nalogu (koji potpisuje nadležna osoba i voditelja i izvršitelja

obrade) navede točno vrijeme pristupanja zapisima i osobu koja je pristupila, uz napomenu npr. da je

pristup ostvaren putem korisničkog računa administratora. Tako bi se, u slučaju spora, moglo provjeriti

kada je izvršitelj obrade pristupio snimkama.

21

2.) Praćenje javnih površina putem sustava videonadzora

Pružatelji usluga privatne zaštite su pružatelji usluge dobave i ugradnje sustava videonadzora na

objektima drugih pravnih i fizičkih osoba (dalje u tekstu: klijenti) te postupaju prema uputama klijenata,

pazeći pritom na zakonitost upute. Međutim, radi ostvarivanje same svrhe videonadzora - zaštita osoba i

imovine, ponekad klijenti traže da se kamera podesi na način da perimetar snimanja obuhvati dio javne

površine npr. dio površine oko bankomata koji se snima.

S obzirom da se na drugačiji način ne može ostvariti svrha videonadzora, postupaju li pružatelji

usluga privatne zaštite ispravno kada kao pružatelji usluga i potencijalni izvršitelji obrade, samo pisanim

putem upozore klijenta (primjerice, da sukladno članku 32. Zakona klijent može nadzirati javnu površinu

samo radi zaštite života i zdravlja ljudi te imovine, uz obavezno provođenje procjene učinka na zaštitu

podataka) i postave video nadzor sukladno uputi klijenta? Jesu li pružatelji usluga privatne zaštite dužni

tražiti na uvid dokaz o postupanju sukladno propisima, primjerice procjenu učinka, ili je dovoljno samo da

pisanim putem obavijeste klijenta?

P I T A N J A / O D G O V O R I

22

3.) Obavijest o nezakonitoj uputi

Člankom 28. Opće uredbe o zaštiti podataka (dalje: Uredba) propisano je da je izvršitelj obrade dužan

odmah obavijestiti voditelja obrade ako određena obrada krši Uredbu ili druge primjenjive propise o zaštiti

osobnih podataka.

Sukladno navedenome, a nastavno na pitanje pod rednim brojem 2., u slučaju da klijent odbije

postupiti prema obavijesti pružatelja usluga privatne zaštite, krše li time pružatelji usluga privatne zaštite

Uredbu i Zakon ako svejedno postupe po uputi klijenta (npr. postave video nadzor na javnoj površini)?

Navedeno je bitno zbog održivog poslovanja pružatelja usluga privatne zaštite koji mogu, zbog

nepostupanja po zahtjevu klijenta, potencijalno pretrpjeti određene financijske gubitke i raskid ugovora o

poslovnoj suradnji te „gubitak“ klijenta kao poslovnog partnera, čime se ugrožava i sama opstojnost

društva.

P I T A N J A / O D G O V O R I

23

4) Videonadzor privatnih kuća

U uvodu Uredbe (točka 18.) navodi se kako se Uredba ne primjenjuje na obradu osobnih podataka koju

fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s

profesionalnom ili komercijalnom djelatnošću. Također, navodi se kako se Uredba primjenjuje na voditelje

obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne

aktivnosti.

Slijedom navedenog, molimo Vas za mišljenje primjenjuje li se sve gore navedeno i na obveze prema

fizičkim osobama, odnosno privatnim kućama, na kojima je ugrađen sustav videonadzora radi zaštite

imovine i osoba? Ako je odgovor potvrdan, je li s takvim fizičkim osobama potrebno sklapati ugovore o

obradi osobnih podataka između voditelja (fizičke osobe) i izvršitelja obrade (zaštitarskih društava) u

slučaju kada zaštitarska društva pružaju uslugu presnimavanja snimaka, s obzirom da se na kućne

aktivnosti ne primjenjuje Uredba?

P I T A N J A / O D G O V O R I

24

5) Postupanje po zahtjevu policije

Pružatelji usluga privatne zaštite redovito zaprimaju zahtjeve nadležnih policijskih postaja radi

presnimavanja snimaka s postavljenog sustava videonadzora zbog kriminalističke istrage u slučaju sumnje na

počinjenje kaznenih djela.

S obzirom da pružatelji usluga privatne zaštite u takvim situacijama djeluju potencijalno kao

izvršitelj obrade (a često više niti nisu u ugovornom odnosu s klijentom), jesi li isti dužni postupiti po

zahtjevu policije ili uputiti na voditelja obrade? Napominjemo da su, u većini slučajeva, i ovlaštene osobe

voditelja obrade educirane o načinu izuzimanju snimaka sa sustava videonadzora te izvršitelj obrade samo

održava sustav video nadzora.

P I T A N J A / O D G O V O R I

25

6. Centralni dojavni sustav (CDS)

CDS je sustav kojim se tijekom 24-satnog dežurstva zaprimaju dojave putem signala s uređaja i sustava

tehničke zaštite ili na drugi način u organiziranom prostoru pravne osobe ili obrtnika s odobrenjem za

privatnu zaštitu, radi pružanja intervencije na štićenom objektu, javnoj ili drugoj površini te pri zaštiti

osobnog integriteta. Primjera radi, alarmni sustav određenog objekta spojen na CDS, a svaki korisnik ima

svoju šifru.

Kako bi se ostvarila svrha zaštite, djelatnici CDS-a u mogućnosti su vidjeti kada određena osoba uđe

u objekt koristeći svoju šifru, dakle obrađuju se sljedeći osobni podaci: šifra korisnika, vrijeme ulaska i

izlaska te ime i prezime osobe (osim u slučaju kada više osoba koristi istu šifru, što je najčešće slučaj kod

privatnih kuća). Smatraju li se prilikom navedene obrade pružatelji usluga privatne zaštite voditeljima ili

izvršiteljima obrade, s obzirom da sami određuju svrhu i način obrade?

P I T A N J A / O D G O V O R I

26

• Smjernice 3/2019 o obradi osobnih podataka putem videouređaja

https://azop.hr/images/dokumenti/217/edpb_guidelines_3-

2019_on_processing_of_personal_data_through_video_devices_hr_.pdf

• Priručnik o europskom zakonodavstvu o zaštiti podataka

https://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-

01aa75ed71a1/language-hr/format-PDF

• ARC projekt (pomoć malim i srednjim poduzetnicima) – Azop i partneri

https://vub.fra1.qualtrics.com/jfe/form/SV_etyCPkI1C1dtfZr

https://azop.hr/aktualno/detaljnije/projekt-arc-provedba-anekete-medu-srednjim-i-

malim-poduzetnicima

D O D A T N I P R O P I S I

https://azop.hr/images/dokumenti/217/edpb_guidelines_3-2019_on_processing_of_personal_data_through_video_devices_hr_.pdfhttps://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-hr/format-PDFhttps://vub.fra1.qualtrics.com/jfe/form/SV_etyCPkI1C1dtfZrhttps://azop.hr/aktualno/detaljnije/projekt-arc-provedba-anekete-medu-srednjim-i-malim-poduzetnicima

PITANJA

Mario Milner, struč. spec. crim.,

Viši savjetnik – specijalist u Službi za nadzor i Središnji registar

Agencije za zaštitu osobnih podataka Republike Hrvatske

01/4609-029 – mario.milner@azop.hr

P I T A N J A

• .

HVALA NA POZORNOSTI