spajalica

Odredbe Opće uredbe o zaštiti osobnih podataka uređuju pravila ponašanja voditelja i izvršitelja obrade, neovisno da li se sami nalaze unutar Europske unije ili samo obrađuju podatke u Europskoj uniji. U svakom slučaju ukoliko se ispitanik nalazi u Europskoj uniji odredbe Uredbe se uvijek primjenjuju na bilo kojeg voditelja ili izvršitelja obrade, te na podizvršitelje obrade.

Voditelj određuje svrhu i sredstva obrade a izvršitelj radi po uputama i nalozima Voditelja te može nastupati i raditi u ime Voditelja. Ponekad je teško razlikovati uloge, no zakon daje sljedeću definiciju uloga:

Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Odnos voditelja i izvršitelja ponekad je složen te je teško jasno definirati i odvojiti uloge.

Uredba precizira i pojam zajedničkih voditelja obrade, koji postoje ako zajednički odrede svrhe i načine obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija ispitanicima te to čine međusobnim dogovorom. Dogovorom između zajedničkih voditelja se može odrediti kontaktna točka za ispitanike, ali odgovornost prema ispitanicima je solidarna.

Obrada koju provodi izvršitelj obrade u ime voditelja obrade uređuje se ugovorom ili drugim pravnim aktom, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade (tzv. podizvršitelj) bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. Ukoliko određena osoba nema u posjedu potpisan ugovor o obradi osobnih podataka (iako bi ugovor trebao postojati) isto ne znači da je ta osoba nužno voditelj obrade, već je moguće da radi i postupka prema nalozima druge osobe, te se time nalazi u ulozi izvršitelja obrade, sa specifičnim zakonskim obvezama.  

Odgovornost voditelja obrade šira je od odgovornosti izvršitelja, a što je vidljivo među ostalim i iz pravila o naknadi štete. Razlikovanje je također bitno za slučajeve povrede osobnih podataka, način postupanja i radi utvrđivanja odgovornosti u svezi s povredom osobnih podataka. Voditelj obrade mora moći vršiti kontrolu glede svrhe i načina obrade osobnih podataka, izvršitelj u pravilu nema takvu kontrolu.

Ukoliko osoba A isporučuje usluge osobi B, koja daje upute i naloge osobi A za postupanje, to automatski ne znači da je osoba A izvršitelj obrade. Najbolji primjer za to su odvjetnici, liječnici, specijalisti, savjetnici, računovođe i sl. , koji redovno predstavljaju Voditelje, a ne Izvršitelje obrade. Naime, te osobe odlučuju samostalno zašto i kako se određeni podaci obrađuju, među ostalim samostalno odlučuju koje podatke trebaju obrađivati, koje podatke mogu otkrivati, koliko ih dugo moraju čuvati i sl. Nadalje, dobar primjer tipičnog izvršitelja obrade je pružatelj usluga u oblaku (cloud services). Takvi pružatelji usluge podatke svojih stranaka u oblaku ne smiju koristiti u vlastite svrhe.

S druge strane Izvršitelji obrade najčešće se istodobno nalaze i u ulozi Voditelja obrade, kada ne obrađuju podatke u ime drugog Voditelja obrade, već obrađuju osobne podatke u svoje svrhe – npr. svojih radnika, svojih projekta i sl. Pritom je posebno važno utvrditi kako se prikupljaju odnosno od koga se dobivaju osobni podaci. Ponekad to radi voditelj obrade, a ponekad to radi Izvršitelj obrade, a ponekad se podaci dobivaju od nekog drugog ugovornog partnera – npr. drugog zajedničkog voditelja obrade, a ne direktno od ispitanika. (vidi članke 13 i 14 Uredbe)

spajalica

Trenutačno važeći Zakon o zaštiti osobnih podatka propisuje uži opseg odgovornosti od pravila koja će se temeljem Opće uredbe o zaštiti osobnih podatka početi primjenjivati od 25.05.2018. godine.

Prema Uredbi proširena je odgovornost i na Izvršitelja obrade, ali samo ako se dokaže da nije poštovao obveze propisane Uredbom koje se upravo odnose na njega ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

Nadležnost Suda je izberiva prema poslovnom nastanu ili Voditelja ili Izvršitelja obrade – pri čemu se izbor prepušta ispitaniku – oštećeniku. Uredba propisuje i nadležnost prema mjestu uobičajenog boravišta ispitanika, pa stoga svaki ispitanik unutar Europske unije ima pravo pokrenuti postupak pred stvarno nadležnim Sudom prema mjestu svoga prebivališta.Odgovornost voditelja obrade nije ograničena te je on odgovoran za sve slučajeve uzrokovanja štete.

Postojeća zakonska regulativa glasi:

Zakon o zaštiti osobnih podataka (Narodne novine br. 103/03 (proč.tekst), 118/06, 41/08 i 130/11)

Članak 26.

Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.

Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.

Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.

 

UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (nadalje kao Uredba)

Članak 82.

Pravo na naknadu štete i odgovornost

1.   Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2.   Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

3.   Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

4.   Ako je u istu obradu uključeno više od jednog voditelja obrade ili izvršitelja obrade ili su u istu obradu uključeni i voditelj obrade i izvršitelj obrade i ako su, u skladu sa stavcima 2. i 3., odgovorni za bilo kakvu štetu prouzročenu obradom, svaki voditelj obrade ili izvršitelj obrade smatra se odgovornim za cjelokupnu štetu kako bi se osigurala učinkovita naknada ispitaniku.

5.   Ako je voditelj obrade ili izvršitelj obrade, u skladu sa stavkom 4., platio punu odštetu za pretrpljenu štetu, taj voditelj obrade ili izvršitelj obrade ima pravo zatražiti od drugih voditelja obrade ili izvršitelja obrade koji su uključeni u istu obradu dio odštete koji odgovara njihovu udjelu u odgovornosti za štetu u skladu s uvjetima iz stavka 2.

6.   Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima koji su nadležni prema pravu države članice iz članka 79. stavka 2.

(čl, 79.st.2. : Postupci protiv voditelja obrade ili izvršitelja obrade vode se pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan. Osim toga, takvi se postupci mogu voditi pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište, osim ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti neke države članice koje djeluje izvršavajući svoje javne ovlasti.

 

spajalica

O teritorijalnom dosegu Uredbe (GDPR) postoje brojne rasprave obzirom da Uredba koristi samo termin ispitanik (data subject), koji pojam je naravno širi od pojmova EU građanina i rezidenta. Uvodna odredba u točki 14 navodi da se zaštita treba odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

Teritorijalno područje primjene definirano je člankom 3. Uredbe koja načelno navodi:

  1. da se Uredba primjenjuje na obradu osobnih podataka u okviru aktivnosti voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne;
  2. Uredba primjenjuje na obradu osobnih podataka ispitanika u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji;
  3. Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava;
spajalica

U slučaju procjene ili bodovanja, te (opsežne) obrade osjetljivih podataka ili podataka vrlo osobne naravi, ili podataka koji se odnose na osjetljive ispitanike, procjenu učinka NIJE POTREBNO provoditi u sljedećim slučajevima obrade:

  1. Obrada „osobnih podataka pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika” (uvodna izjava 91.).
  2. Internetski časopis čiji se urednici koriste popisom adresa za slanje generičkih dnevnih novosti svojim pretplatnicima.
  3. Internetska stranica e-trgovine za proizvode koje koristi iznimno mali broj ispitanika, što obuhvaća i ograničenu izradu profila na temelju pregleda ili kupnji na vlastitoj internetskoj stranici.

 

Kada je vjerojatno potrebno provesti procjenu učinka na zaštitu osobnih podataka:

spajalica

Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:

" Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade."

spajalica

Člankom 38. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka „na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka”.

Uredba predviđa rano uključivanje službenika za zaštitu podataka u rad organizacije u svezi osobnih podataka te navodi da pri provedbi procjene učinka na zaštitu podataka voditelj obrade treba tražiti savjet službenika za zaštitu podataka.

spajalica

Prema članku 21. st.2. Opće uredbe o zaštiti osobnih podataka (GDPR) propisano je da “ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.”

Riječ je o apsolutnom pravu i neovisno je o pravnoj osnovi koja opravdava takvu obradu.

spajalica

Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.

spajalica

Data portability

Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.

spajalica

Newsletter i zakonski okvir

Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09, 130/11, 30/14) propisuje osnovne podatke koje je potrebno navesti u newsletteru u svezi osobe davatelja usluga

spajalica

Prijenosi osobnih podataka u treće zemlje

Uvodno

Kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana Općom uredbom o zaštiti osobnih podataka (GDPR ili Uredba) u Uniji. Prijenos bi se mogao obavljati isključivo ako voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.