gdpr

GDPR: Uvod

Zaštita osobnih podataka je temeljno ljudsko pravo

Pravo na zaštitu osobnih podataka je temeljno ljudsko pravo zajamčeno Poveljom Europske unije o temeljnim pravima i Ugovorom o funkcioniranju Europske unije.

Međutim, ovo pravo nije apsolutno jer bi njegova apsolutna primjena onemogućila objavljivanje informacija važnih za javnost. Premda svatko ima pravo na privatnost u određenim situacijama je nužno osigurati transparentnost i javnu dostupnost informacija. Posebice kada je u pitanju zlouporabe položaja, korupcija ili drugo nezakonito ili neetično ponašanje. Pravo na zaštitu osobnih podataka treba biti uravnoteženo s drugim pravima, poput prava na slobodu izražavanja i informiranja.

Opća uredba o zaštiti podataka (GDPR)

Opća uredba o zaštiti podataka - Uredba (EU) 2016/679, ili na engleskom General Data Protection Regulation (GDPR), ključna je za zaštitu osobnih podataka i osnaživanje prava pojedinaca nad vlastitim osobnim podacima.

Uredba nameće obvezu zakonite i transparentne obrade osobnih podataka organizacijama, kao i svim pojedincima koji obrađuju osobne podatke građana EU u profesionalne ili komercijalne svrhe.

Uredba ujedno pruža usklađen i snažan okvir za zaštitu podataka i uklanja prepreke slobodnom protoku osobnih podataka unutar Europskog gospodarskog prostora.

Zaštita koju pruža Opća uredba o zaštiti podataka (GDPR) odnosi se samo na fizičke osobe (pojedince) i ne odnosi se na pravne osobe ili preminule. Pritom je važno napomenuti da su pojedinci koji djeluju u poslovnom svojstvu, poput obrtnika ili odvjetnika, također obuhvaćeni zaštitom GDPR-a.

Primjena GDPR-a

Svi poslovni subjekti, kao i pojedinci koji obrađuju osobne podatke u profesionalne ili komercijalne svrhe, moraju se pridržavati Opće uredbe o zaštiti podataka - Uredba (EU) 2016/679 ali i Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18).

To znači da osim privatnog sektora, obvezi usklađivanja podliježu i sve institucije javnog sektora. Nadalje, ova obveza se proširuje i na organizacije izvan granica Europske unije koje nude proizvode ili usluge građanima unutar Europskog gospodarskog prostora ili prate njihovo ponašanje, čime su i one dužne poštivati GDPR

Opća uredba o zaštiti podataka i Zakon o provedbi Opće uredbe o zaštiti podataka primjenjuju se na svaku automatiziranu i neautomatiziranu obradu osobnih podataka koja je dio sustava za pohranu ili je namijenjena da bude dio sustava za pohranu.

Opća uredba o zaštiti podataka i Zakon o provedbi Opće uredbe o zaštiti podataka primjenjuju se na:

  • Automatiziranu obradu osobnih podataka kao što je obrada osobnih podataka putem računala i drugih elektroničkih sredstava
  • Neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane

Primjerice, pregled osobne iskaznice radi identifikacije ne podliježe odredbama Uredbe, budući da ne uključuje proces pohrane podataka. No, čim se podaci s osobne iskaznice zabilježe ili pohrane, takva radnja postaje predmetom Uredbe.

Kada govorimo o postupanju s osobnim podacima od strane nadležnih tijela u cilju sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela, izvršenja kaznenih sankcija ili zaštite od prijetnji javnoj sigurnosti, primjenjuje se Zakon o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija (NN 68/18)

Kazne povezane s GDPR-om

U slučaju kršenja Opće uredbe o zaštiti podataka, organizacije mogu biti kažnjene novčanim kaznama koje mogu doseći do 4% njihovog globalnog godišnjeg prihoda ili do 20 milijuna eura, ovisno o tome što je veće. Stoga je vrlo važno da organizacije ozbiljno shvate svoje obveze prilagodbe i poduzimaju mjere zaštite osobnih podataka.

U Hrvatskoj su do trenutka pisanja ovog teksta izrečene kazne u rasponu od nekoliko tisuća eura do 5,47 milijuna eura. Kažnjeno je ukupno 26 poslovnih subjekata. Detaljan popis i statistiku izrečenih novčanih kazni za svaku zemlju možete redovito pratiti na: https://www.enforcementtracker.com/

Broj kazni (sve članice EU):

  • siječanj 2019 broj kazni sveukupno 12
  • siječanj 2020 broj kazni sveukupno 168
  • siječanj 2021 broj kazni sveukupno 526
  • siječanj 2022 broj kazni sveukupno 992
  • siječanj 2023 broj kazni sveukupno 1531
  • siječanj 2024 broj kazni sveukupno 1978

Iznos kazni (sve članice EU):

  • siječanj 2019 iznos kazni sveukupno 50.437.276,00 €
  • siječanj 2020 iznos kazni sveukupno 100.366.612,00 €
  • siječanj 2021 iznos kazni sveukupno 261.373.144,00 €
  • siječanj 2022 iznos kazni sveukupno 1.541.551.507,00 €
  • siječanj 2023 iznos kazni sveukupno 2.760.135.482,00 €
  • siječanj 2024 iznos kazni sveukupno 4.463.654.484,00 €

Osnovni pojmovi

A

Anonimizacija: Postupak obrade osobnih podataka na način da se osobni podaci ne mogu više povezati s određenim pojedincem, čak ni uz korištenje dodatnih informacija. Anonimizacija se smatra najvišim stupnjem zaštite privatnosti podataka jer osigurava da osobni podaci postanu nepovratno nepovezani s pojedincem.

I

Ispitanik: Fizička osoba (pojedinac) čije osobne podatke obrađujemo.

Izvršitelj obrade: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Primjeri izvršitelja obrade su knjigovodstveni servisi, društva ovlaštena za obavljanje privatne zaštite, itd.

K

Kriptografija (šifriranje, enkripcija): Postupak obrade osobnih podataka koji se koristi za zaštitu privatnosti podataka. Šifriranje podataka podrazumijeva pretvaranje ili kodiranje osobnih podataka u oblik koji je nečitljiv ili nerazumljiv osobama koje nemaju odgovarajući ključ ili autorizaciju za dešifriranje tih podataka. Kriptografija se koristi kao sigurnosna mjera kako bi se osiguralo da osobni podaci ostanu zaštićeni od neovlaštenog pristupa ili zlouporabe.

N

Nadzorno tijelo: Neovisno javno tijelo odgovorno za nadzor primjene GDPR-a. U svakoj državi članici EU-a postoji nadzorno tijelo za zaštitu podataka. U Hrvatskoj je nadzorno tijelo Agencija za zaštitu osobnih podataka - AZOP

O

Obrada: Bilo koja operacija ili skup operacija koje se provode na osobnim podacima, kao što su prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, pretraživanje, obavljanje uvida, korištenje, otkrivanje prijenosom, širenje ili stavljanje na raspolaganje, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.

Osobni podaci: Informacije koje se odnose na pojedinca. To može uključivati ime, prezime, datum rođenja, adresu, e-mail adresu, broj telefona, IP adresu, otisak prsta, etničku pripadnost, vjeroispovijest i druge informacije.

P

Povreda podataka (Data Breach): Kršenje sigurnosti koji dovodi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađeni. Povreda podataka može uključivati incidente kao što su hakiranje, gubitak ili krađa uređaja koji sadrže osobne podatke, ili neovlašten pristup osobnim podacima.

Prijenos podataka: U Općoj uredbi o zaštiti podataka (GDPR) prijenos podataka definiran je kao prijenos osobnih podataka ili skupa osobnih podataka iz jednog mjesta na drugo, bilo unutar Europskog gospodarskog prostora (EGP) ili izvan njega. Može se odnositi na prijenos podataka između tvrtki, organizacija ili država, kao i na prijenos podataka unutar iste organizacije ili tvrtke.

Primatelj: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo kojem su osobni podaci otkriveni, neovisno o tome je li riječ o trećoj strani.

Pseudonimizacija: Postupak obrade osobnih podataka na način da se osobni podaci ne mogu više povezati s određenim pojedincem bez korištenja dodatnih informacija. Uvjet je da se te dodatne informacije štite i čuvaju odvojeno kako bi se zadržala nepovezanost osobnih podataka s određenim pojedincem).

S

Službenik za zaštitu podataka (DPO): Osoba koju organizacija imenuje za nadzor i savjetovanje o pitanjima zaštite osobnih podataka te za suradnju s nadzornim tijelom.

Sustav pohrane: U Općoj uredbi o zaštiti podataka (GDPR), sustav pohrane se odnosi na svaki strukturirani skup osobnih podataka dostupnih prema određenim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi. Sustav pohrane podataka obuhvaća baze podataka, datoteke, registre, aplikacije i druge oblike organizirane pohrane osobnih podataka.

V

Voditelj obrade: Fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo koje samostalno ili zajedno s drugima određuje svrhu i način obrade osobnih podataka. Primjeri voditelja obrade su trgovačka društva, dionička društva, obrti, udruge, škole, bolnice, tijela jedinica lokalne ili regionalne samouprave, itd. 

Osobni podaci i posebne kategorije osobnih podataka

Osobni podatak je svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može izravno ili neizravno utvrditi, poput:

  • Informacije koje izravno identificiraju osobu, poput imena i prezimena, korisničkog imena, OIB-a, osobne iskaznice, fotografije, itd.
  • Informacije koje opisuju podrijetlo, obiteljsko stablo, rasu, nacionalnu ili etničku pripadnost, dijalekte i naglaske
  • Informacije koje opisuju spol, seksualnu orijentaciju i sklonosti
  • Informacije koje opisuju ponašanje ili aktivnosti pojedinca
  • Informacije koje opisuju osobine i status pojedinca koje dijeli s drugima, poput starosti, visine prihoda, životnog standarda i mjesta stanovanja
  • Informacije o zdravlju pojedinca i medicinskim nalazima
  • Informacije koje opisuju fizičke osobine pojedinca
  • Informacije o događajima iz života ili okoline koji su utjecali na osobu, kao što su rat i tragedije.
  • Religijska vjerovanja, filozofska uvjerenja, ideje, misli i znanje
  • Informacije o osobnim željama, interesima, mišljenjima, i namjerama
  • Informacije koje služe za autentikaciju osobe (npr. PIN, lozinka, otisak prsta)
  • Informacije o uređajima i servisima koje pojedinac koristi.
  • Informacije koje služe za kontakt.
  • Informacije o lokaciji pojedinca.
  • Informacije o obrazovanju i poslovnoj karijeri
  • Informacije o obitelji i odnosima u obitelji
  • Informacije o javnom životu, društvenom statusu i političkom opredjeljenju
  • Informacije koje se prenose komunikacijskim mrežama
  • Informacije o prijateljima ili društvenim vezama
  • Informacije o prekršajnoj, kaznenoj i kriminalnoj aktivnosti.
  • Informacije o pokretnoj i nepokretnoj imovini
  • Informacije o bankovnim računima i karticama
  • Informacije o potrošnji ili prihodu
  • Informacije o kreditima i kreditnoj sposobnosti.

Podaci koji mogu uzrokovati visok rizik za pojedinca

GDPR štiti sve vrste osobnih podataka, ali neke vrste podataka zahtijevaju veću zaštitu zbog većih rizika za pojedince. Na primjer, podaci o imenu i prezimenu su manje osjetljivi od biometrijskih podataka. Stoga je važno biti oprezan prilikom obrade podataka koji mogu uzrokovati visok rizik za pojedinca čiji se podaci obrađuju.

GDPR uvodi termin Posebne kategorije osobnih podataka. Radi se o osjetljivim informacijama koje se odnose na:

  • rasnu ili etničku pripadnost
  • politička mišljenja
  • vjerska ili filozofska uvjerenja
  • članstvo u sindikatu
  • genetske podatke
  • biometrijske podatke
  • zdravstvene podatke
  • podatke o seksualnom životu ili seksualnoj orijentaciji

Ovi podaci smatraju se posebno osjetljivima i zahtijevaju dodatnu razinu zaštite prema Općoj uredbi o zaštiti podataka (GDPR). Pored toga, Uredba zabranjuje obradu posebnih kategorija osobnih podataka osim ako je zadovoljen neki od uvjeta propisanih u Uredbi. Za većinu organizacija to znači da bez izričitog pristanka pojedinca (privole) takve osobne podatke ne smiju obrađivati.

Osim posebnih kategorija osobnih podataka GDPR također zabranjuje obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane sigurnosne mjere. Ista se smije provoditi samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode pojedinca

Postoje i osobni podaci koji nisu izrijekom spomenuti u Uredbi, ali po svojoj prirodi ipak predstavljaju osjetljive podatke. Na primjer, obrada osobnih podataka ranjivih skupina poput tražitelja azila, starijih osoba ili djece. Potom imamo financijske podatke, lozinke, pinove i dr. Radi se o podacima čije neovlašteno otkrivanje ili obrada može nanijeti veliku materijalnu ili nematerijalnu štetu pojedincima i zato s takvim podacima treba iznimno pažljivo postupati.

Voditelj obrade

Voditelj obrade je pravna ili fizička osoba koja samostalno ili zajedno s drugima određuje svrhu obrade i način obrade osobnih podataka. Voditelj obrade je taj koji donosi ključne odluke o obradi i odgovoran je za pravilno slijeđenje Uredbe.

Primjeri voditelja obrade su trgovačka društva, dionička društva, obrti, udruge, škole, bolnice, tijela jedinica lokalne ili regionalne samouprave, financijske institucije, itd. Voditelji obrade su i fizičke osobe koje obrađuju osobne podatke u profesionalne ili komercijalne svrhe poput iznajmljivača apartmanskog smještaja.

Kad govorimo o pravnim osobama, važno je razumjeti da voditelj obrade nije direktor društva, voditelj odjela ili neki drugi pojedinac u društvu, već da je voditelj obrade društvo/organizacija (pravna osoba).

Pravilno identificiranje voditelja obrade važno je kako bi se osiguralo da se osobni podaci obrađuju u skladu s propisima o zaštiti podataka i da se voditelj obrade može odgovorno postaviti prema zahtjevima zaštite privatnosti i sigurnosti podataka.

Voditelj obrade može se prepoznati preispitivanjem razloga i načina na koji se osobni podaci obrađuju. Ponekad je to već određeno pravnim propisima, a ponekad će to biti jasno iz stvarnog stanja u kojemu se vidi tko i zašto obrađuje podatke. U nekim slučajevima, uloge se mogu odrediti ugovorom, ali one moraju odgovarati stvarnom stanju.

Kad se radi o odluci zašto se osobni podaci obrađuju, uvijek je voditelj obrade taj koji donosi odluku o tome. Samo kod odluke kako će se osobni podaci obrađivati voditelj obrade može prepustiti neke manje i praktične detalje izvršitelju obrade. Na primjer, voditelj obrade angažira vanjsku IT tvrtku kako bi omogućio i osigurao siguran prijenos podataka između svojih poslovnica i sjedišta tvrtke. Vanjskoj IT tvrtki prepušta da odabere i implementira najbolje rješenje za njihove potrebe.

Zajednički voditelji obrade

Zajednički voditelji obrade su dva voditelja obrade ili više njih koji zajednički odlučuju kako i zašto provode obradu osobnih podataka. Odluka može biti zajednička, ali dva ili više voditelja obrade također mogu donositi i pojedinačne odluke koje se međusobno nadopunjuju.

Primjeri zajedničkih voditelja obrade:

  • Zdravstvena ustanova i laboratorij koji zajedno obrađuju zdravstvene podatke pacijenata radi dijagnostike i liječenja.
  • Dva ili više istraživačkih instituta koji zajedno obrađuju podatke sudionika istraživanja za analizu rezultata i objavljivanje studija.
  • Dvije tvrtke koje zajedno upravljaju osobnim podacima svojih korisnika za svrhe pružanja usluga.
  • Dvije tvrtke imaju zajednički program vjernosti u kojem dijele podatke o potrošačima radi nagrađivanja lojalnosti.
  • Više tvrtki kombinira svoje podatke o potrošačima radi analize tržišta i trendova, te dijele te podatke radi zajedničke obrade.
  • Više tvrtki zajedno radi na istraživanju i razvoju novih proizvoda te dijeli podatke o tehnološkim inovacijama i potrebama tržišta radi unapređenja proizvoda.
  • Više tvrtki zajedno pregovara s dobavljačima o uvjetima nabave, cijenama i kvaliteti proizvoda te dijeli određene podatke o svojim potrebama i zahtjevima.
  • itd.

Izvršitelj obrade

Izvršitelj obrade obrađuje osobne podatke u ime voditelja obrade. Primjeri izvršitelja obrade su knjigovodstveni servisi, društva ovlaštena za obavljanje privatne zaštite, IT društva koja pružaju usluge, itd.

Obrada koju provodi izvršitelj obrade mora se urediti ugovorom s voditeljem obrade ili drugim pravnim aktom (npr. Sporazumom o obradi osobnih podataka). Pravni akt mora sadržavati sve elemente navedene u odredbi članka 28. Opće uredbe o zaštiti podataka.

Osim toga voditelj obrade trebao bi se koristi uslugama jedino onih izvršitelja obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz Uredbe i da se njome osigurava zaštita prava ispitanika. (Članak 28, točka 1).

Nadzorno tijelo

Agencija za zaštitu osobnih podataka (AZOP) je samostalno i neovisno državno tijelo koje nadzire provedbu Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka na području Republike Hrvatske, a za svoj rad odgovara Hrvatskom saboru.

Agencija za zaštitu osobnih podataka

  • provodi nadzor i istrage
  • nalaže zabrane daljnje obrade osobnih podataka
  • izdaje opomene i upozorenja
  • izriče upravne novčane kazne
  • savjetuje i educira (organizira edukacije i radionice, izrađuje brošure, vodiče, smjernice i daje stručna mišljenja iz područja zaštite osobnih podataka)

Provjera znanja

Ako želite provjeriti jeste li usvojili gradivo iz ove edukacije možete pristupiti online provjeri znanja na poveznici Provjera znanja: GDPR osnove. Provjera znanja je besplatna i možete je ponavljati više puta. Prag za prolaznost je 80% i po uspješnom prolasku na vašu e-mail adresu doći će certifikat o uspješnom prolasku. Ostale edukacije i provjere znanja iz područja GDPR-a dostupne su našim klijentima u sklopu programa osvješćivanja zaposlenika.

Napisao: Dragan Podvorec
Datum: 26.02.2024
DPA - vaši podaci zaslužuju najbolju zaštitu