Propisi o zaštiti osobnih podataka u Republici Hrvatskoj imaju za cilj osigurati zaštitu privatnosti i temeljnih ljudskih prava i sloboda u prikupljanju, obradi i korištenju osobnih podataka fizičkih osoba. Zakon o zaštiti osobnih podataka propisuje pravila koja se odnose na prikupljanje, obradu, korištenje i zaštitu osobnih podataka, kao i na prava ispitanika u vezi s njihovim osobnim podacima.
Osim toga, u skladu s Općom uredbom o zaštiti podataka (GDPR), koja je stupila na snagu u svibnju 2018. godine, postoji obveza zaštite osobnih podataka na razini Europske unije. GDPR je usklađen s hrvatskim Zakonom o zaštiti osobnih podataka, a njegova primjena od strane tvrtki i organizacija u Hrvatskoj ključna je za zaštitu osobnih podataka građana.
U članku smo detaljno objasnili što su osobni podaci, koja su prava ispitanika u vezi s njihovim osobnim podacima, kako se prikupljaju i obrađuju, te koje su obveze tvrtki i organizacija u vezi s njihovom zaštitom.
Propisi o zaštiti osobnih podataka
Propisi o zaštiti osobnih podataka u Hrvatskoj uređuju prikupljanje, obradu i korištenje osobnih podataka o fizičkim osobama. Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
U Hrvatskoj, zaštita osobnih podataka uređena je Zakonom o zaštiti osobnih podataka (NN 106/12) i Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/18). Osim toga, Hrvatska je uskladila svoje zakonodavstvo s Općom uredbom o zaštiti podataka (GDPR) koja se primjenjuje u cijeloj Europskoj uniji.
Osobni podaci su bilo koje informacije koje se odnose na idenifikaciju fizičke osobe. To mogu biti ime i prezime, adresa, broj telefona, e-mail adresa, OIB, fotografija, zdravstveni podaci, podaci o obrazovanju, podaci o zaposlenju i drugi podaci koji se mogu koristiti za identifikaciju osobe.
U Hrvatskoj, prikupljanje, obrada i korištenje osobnih podataka dopušteni su samo u određenim slučajevima i uvjetima. Propisi o zaštiti osobnih podataka nalažu da se osobni podaci mogu prikupljati samo uz pristanak osobe koja daje te podatke ili ako postoji zakonska obveza da se podaci prikupe. Obrada i korištenje osobnih podataka moraju biti u skladu s propisima o zaštiti osobnih podataka i moraju biti utemeljeni na zakonskoj osnovi.
Pravni okvir
Pravni okvir za zaštitu osobnih podataka u Hrvatskoj temelji se na Općoj uredbi o zaštiti podataka (GDPR) koju je donijela Europska unija 2016. godine, a koja je na snagu stupila u svim državama članicama od 25. svibnja 2018. godine. Ova uredba zamijenila je Direktivu 95/46/EZ, koja je bila na snazi u Hrvatskoj od 2003. godine.
Opća uredba o zaštiti podataka (GDPR) sadrži pravila koja se odnose na prikupljanje, obradu i korištenje osobnih podataka, a primjenjuju se na sve subjekte koji obrađuju osobne podatke u Europskoj uniji, bez obzira na to jesu li sjedište subjekta u EU-u ili ne. Uz to, uredba propisuje i prava ispitanika kojima se omogućuje veća kontrola nad njihovim osobnim podacima.
Uz Opću uredbu o zaštiti podataka, pravni okvir za zaštitu osobnih podataka u Hrvatskoj čine i drugi propisi, kao što su Zakon o zaštiti osobnih podataka, Zakon o elektroničkoj trgovini, Zakon o elektroničkim komunikacijama, te Zakon o tajnosti podataka. Ovi propisi propisuju obveze subjekata koji obrađuju osobne podatke, kao i prava ispitanika.
Uz to, Agencija za zaštitu osobnih podataka je tijelo koje nadzire provedbu pravila o zaštiti osobnih podataka u Hrvatskoj. Agencija ima ovlasti da izriče novčane kazne i druge mjere u slučaju kršenja pravila o zaštiti osobnih podataka.
Prava subjekata podataka
Osobni podaci su osjetljivi podaci koji se odnose na pojedinca. Stoga, propisi o zaštiti osobnih podataka osiguravaju da pojedinci imaju prava koja se odnose na njihove podatke. Izdvojili smo prava subjekata.
Pravo na pristup
Prema Općoj uredbi o zaštiti podataka, subjekti podataka imaju pravo na pristup svojim osobnim podacima. To znači da pojedinac ima pravo zatražiti informacije o tome koje podatke se obrađuju, zašto se obrađuju, tko ih obrađuje i koliko dugo će se čuvati. Pravo na pristup također uključuje pravo na kopiju osobnih podataka koji se obrađuju.
Pravo na ispravak
Propisi o zaštiti osobnih podataka nalažu da pojedinci imaju pravo zatražiti ispravak svojih osobnih podataka ako su netočni ili nepotpuni. Ako subjekt podataka utvrdi da su njegovi osobni podaci netočni ili nepotpuni, može zatražiti da se ti podaci isprave. Voditelj obrade mora provjeriti ispravnost podataka i, ako su netočni ili nepotpuni, ispraviti ih u što kraćem roku.
Pravo na brisanje
Propisi o zaštiti osobnih podataka omogućavaju pojedincima da imaju pravo zatražiti brisanje svojih osobnih podataka ako više nisu potrebni ili ako je obrada nezakonita. Ovo pravo se ponekad naziva “pravo na zaborav”. Međutim, postoji nekoliko iznimaka od ovog prava, kao što su slučajevi kada se osobni podaci obrađuju u svrhu javnog interesa, pravne obveze ili za ostvarivanje prava na slobodu izražavanja.
Pravo na ograničenje obrade
Pojedinci imaju pravo zatražiti ograničenje obrade svojih osobnih podataka u određenim situacijama. To uključuje situacije kada subjekt podataka osporava točnost osobnih podataka, kada je obrada nezakonita ili kada su osobni podaci više nisu potrebni za obradu, ali se subjekt podataka žali na njihovu obradu. Kada se obrada ograniči, osobni podaci se mogu čuvati, ali se ne mogu dalje obrađivati te se na taj način radi na zaštiti osobnih podataka.
Obveze kontrolora podataka
Kontrolor podataka je osoba koja određuje svrhu i način obrade osobnih podataka. Prema Općoj uredbi o zaštiti osobnih podataka (GDPR), kontrolor podataka ima određene obveze koje mora ispuniti kako bi osigurao zakonitu i transparentnu obradu osobnih podataka.
Jedna od glavnih obveza kontrolora podataka je osiguravanje da se osobni podaci obrađuju na zakonit, pošten i transparentan način. To znači da kontrolor podataka mora osigurati da se osobni podaci obrađuju u skladu s GDPR-om i drugim relevantnim zakonima i propisima.
Kontrolor podataka također mora osigurati da se osobni podaci obrađuju samo u svrhu za koju su prikupljeni. Ako se osobni podaci obrađuju u druge svrhe, kontrolor podataka mora osigurati da se osigura zakonita osnova za takvu obradu.
Kontrolor podataka također mora osigurati da se osobni podaci obrađuju samo u mjeri u kojoj je to nužno za svrhu obrade. To znači da kontrolor podataka mora osigurati da se osobni podaci ne obrađuju više nego što je potrebno.
Kontrolor podataka također mora osigurati da se osobni podaci obrađuju na način koji osigurava sigurnost i povjerljivost osobnih podataka. To znači da kontrolor podataka mora osigurati da se osobni podaci obrađuju na način koji minimizira rizik od neovlaštenog pristupa, gubitka ili oštećenja osobnih podataka.
Odgovornost obrade podataka
Podatke obrađuje osoba ili organizacija koja obrađuje osobne podatke u ime voditelja obrade. U skladu s Općom uredbom o zaštiti podataka (GDPR), takva osoba ima određene uloge i odgovornosti u zaštiti osobnih podataka.
Jedna od glavnih uloga je osigurati da se osobni podaci obrađuju na način koji je u skladu s GDPR-om. To uključuje osiguravanje da se osobni podaci obrađuju samo u svrhu za koju su prikupljeni, da su točni i ažurirani, te da se ne čuvaju dulje nego što je potrebno. Osoba koja obrađuje podatke također mora osigurati da su osobni podaci zaštićeni od neovlaštene ili nezakonite obrade, gubitka, uništenja ili oštećenja.
Osim toga, ima odgovornost da nadležne obavijesti o bilo kakvim kršenjima sigurnosti podataka u roku od 72 sata od saznanja za kršenje. Osoba koja obrađuje podatke također mora surađivati s voditeljem obrade u slučaju zahtjeva za ostvarivanje prava ispitanika u vezi s njihovim osobnim podacima, kao što su pravo na pristup, ispravak, brisanje, ograničenje obrade ili pravo na prenosivost podataka.
U slučaju da osoba koja obrađuje podatke ne ispuni svoje obveze u skladu s GDPR-om, može biti podložan kaznama i drugim sankcijama.
Prijenos podataka
Postoje različite situacije u kojima se osobni podaci prenose iz jedne organizacije u drugu. To može uključivati prijenos podataka unutar Europske unije (EU) ili prijenos podataka izvan EU.
Prijenos unutar EU
Kada se osobni podaci prenose unutar EU, primjenjuju se ista pravila i propisi za zaštitu osobnih podataka kao i u zemlji iz koje se podaci šalju. To znači da se podaci mogu prenositi bez dodatnih odobrenja ili zahtjeva ako se prenose između država članica EU.
Prijenos izvan EU
Kada se osobni podaci prenose izvan EU, primjenjuju se stroža pravila i propisi za zaštitu osobnih podataka kako bi se osiguralo da se podaci štite na odgovarajući način. Prije prijenosa osobnih podataka izvan EU, organizacija koja prenosi podatke mora provjeriti da li zemlja u koju se podaci prenose ima adekvatnu razinu zaštite podataka.
Ako zemlja nema adekvatnu razinu zaštite podataka, organizacija koja prenosi podatke mora poduzeti određene mjere kako bi osigurala da se podaci štite na odgovarajući način. Ove mjere mogu uključivati upotrebu standardnih ugovornih klauzula ili mehanizama za zaštitu podataka koje je odobrila Europska komisija.
U slučaju prijenosa osobnih podataka u Sjedinjene Američke Države, organizacija koja prenosi podatke mora se pridržavati Okvira zaštite privatnosti EU-SAD-a ili Okvira zaštite privatnosti Švicarska-SAD kako bi se osigurala adekvatna razina zaštite podataka.
U svakom slučaju, organizacija koja prenosi podatke mora biti svjesna rizika koje takav prijenos može predstavljati te poduzeti odgovarajuće mjere kako bi se osigurala zaštita podataka.
Sigurnost podataka
Sigurnost podataka je ključni aspekt zaštite osobnih podataka. Osobni podaci trebaju se obrađivati na način koji osigurava sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka i uništenja, primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Zakon o zaštiti osobnih podataka propisuje da se osobni podaci moraju obrađivati na način koji osigurava njihovu sigurnost. To znači da se moraju poduzeti sve potrebne tehničke i organizacijske mjere kako bi se spriječila neovlaštena ili nezakonita obrada, slučajni gubitak, uništenje, oštećenje, neovlašteni prijenos ili pristup, kao i svaka druga nezakonita obrada osobnih podataka.
Tehničke i organizacijske mjere uključuju, ali nisu ograničene na, sljedeće:
- Kriptiranje osobnih podataka
- Redovita sigurnosna ažuriranja softvera
- Fizička zaštita računala i drugih uređaja koji sadrže osobne podatke
- Kontrola pristupa osobnim podacima
- Redovita provjera sigurnosti sustava
Sve organizacije koje obrađuju osobne podatke moraju imati odgovarajuće sigurnosne mjere kako bi zaštitile te podatke. Ove mjere moraju biti prilagođene vrsti podataka koji se obrađuju i opsegu obrade. Također, organizacije moraju imati planove za upravljanje incidentima u slučaju neovlaštene obrade ili gubitka osobnih podataka.
Kršenje podataka
Kada se podaci nepravilno obrađuju, to se smatra kršenjem podataka. Kršenje podataka može se dogoditi na različite načine, kao što su:
- Neovlašteni pristup podacima
- Neovlašteno otkrivanje podataka
- Gubitak podataka
- Krađa podataka
- Neovlašteno mijenjanje podataka
- Neovlašteno uništavanje podataka
Svaki od ovih slučajeva kršenja podataka može dovesti do ozbiljnih posljedica za pojedinca čiji su podaci nepravilno obrađeni.
U slučaju kršenja podataka, voditelj obrade dužan je poduzeti odgovarajuće mjere kako bi se smanjila šteta nastala po pojedinca čiji su podaci nepravilno obrađeni. To može uključivati obavještavanje nadležnih tijela, kao i obavještavanje samog pojedinca o kršenju podataka.
Kako bi se izbjegla kršenja podataka, važno je da se voditelji obrade pridržavaju propisanih pravila i mjera zaštite podataka. Osim toga, pojedinci bi trebali biti oprezni kada dijele svoje osobne podatke i provjeriti kako će se ti podaci koristiti prije nego što ih podijele s drugima.
Sankcije i kazne
Opća uredba o zaštiti podataka – Uredba (EU) 2016/679 propisuje kazne za kršenje odredbi o zaštiti osobnih podataka. U slučaju kršenja odredbi o zaštiti osobnih podataka, Agencija za zaštitu osobnih podataka može izreći novčane kazne u iznosu do 20 milijuna eura ili do 4% ukupnog godišnjeg globalnog prihoda prethodne godine, ovisno o tome koji je iznos veći.
Kazne se mogu izreći za razne prekršaje, uključujući neovlaštenu obradu osobnih podataka, neispunjavanje zahtjeva ispitanika za pristup osobnim podacima, nepravilno prikupljanje i obradu osobnih podataka, neispunjavanje zahtjeva za brisanje osobnih podataka i nepravilno obavještavanje ispitanika o obradi njihovih osobnih podataka.
Kazne se mogu izreći i za kršenje drugih odredbi Uredbe, kao što su kršenje odredbi o privolu ispitanika, nepravilno obavještavanje ispitanika o obradi njihovih osobnih podataka, neispunjavanje zahtjeva za prijenos osobnih podataka i nepravilno postupanje s osobnim podacima.
Uz novčane kazne, Agencija za zaštitu osobnih podataka može izreći i druge sankcije, kao što su privremeno ili trajno ograničavanje obrade osobnih podataka, obveza izvješćivanja o kršenju osobnih podataka, obveza ispravka i brisanja osobnih podataka i zabrana daljnje obrade osobnih podataka.
Stoga je važno da tvrtke i organizacije koje obrađuju osobne podatke budu svjesne obveza propisanih Uredbom i da poduzmu sve potrebne mjere kako bi osigurale usklađenost s Uredbom i izbjegle moguće sankcije i kazne.
