Bavarski upravni sud (Bayerischer Verwaltungsgerichtshof) potvrdio je odluku Bavarske nadzorne agencije za zaštitu osobnih podataka (BayLDA nadalje: Agencija) koja je odlukom zabranila korištenje usluge "Facebook Custom Audience" bez privole korisnika.
Već 2017. godine Bavarska nadzorna agencija zabranila je jednoj bavarskoj Online trgovini korištenje "Facebook Custom Audience", marketinškog alata za internetsku trgovinu. Upravni sud u Bayreuthu potvrdio je stajalište Agencije i potvrdio u žurnom sudskom postupku da je zabrana bila zakonita. Isti zaključak sada potvrđuje Bavarski upravni sud te navodi da je upotreba „Facebook Custom Audience“-a bez privole korisnika protivna zakonu o zaštiti osobnih podataka. Postupak koji se provodi u sklopu Facebook Custom Audience alata omogućuje tvrtkama ciljano reklamiranje prema svojim klijentima, koji su ujedno korisnici Facebooka, kada koriste navedenu društvenu mrežu. Kako bi se oglašavala na Facebooku, Online trgovina izrađuje popis svojih kupaca i klijenata s njihovim imenom, mjestom prebivališta, e-mail adresom i brojem telefona, te se ista lista prenosi na Facebook račun Online trgovine kako bi Facebook raspoznao koji klijeti su korisnici Facebooka. Online trgovina može pokrenuti jednu ili više reklamnih kampanja na Facebooku za svoje klijente, te može odabrati određenu publiku kojoj će namijeniti oglase (npr. žene ili muškarci u dobi od 20 do 30 godina, koji se bave sportom).
Read more: Zabrana reklamiranja bez privole / presuda Bavarskog upravnog suda
Brojne europske Uredbe koje se neposredno primjenjuju u nacionalnom pravu nalažu u pojedinim slučajevima računanje rokova na sate, dane i mjesece.
Uredbom Vijeća (EEZ, Euroatom) br. 1182/71, od 03. lipnja 1971. godine o utvrđivanju pravila koja se primjenjuju na razdoblja, datume i rokove, predviđeni su načini računanja rokova.
Ukoliko pojedinom europskom Uredbom nije drugačije propisano, ista Uredba će se primjenjivati na sve slučajeve predviđene europskim pravom, pa tako primjerice i na Opću uredbu o zaštiti podataka, koja u više članaka nalaže potrebu računanja rokova na sate i dane.
Prema članku 3. navedene Uredbe propisano je:
- Sat tijekom kojeg se zbiva događaj ili tijekom kojeg se odvija radnja ne ulazi u dotično razdoblje kada se od trenutka u kojem se zbiva događaj ili u kojem se odvija radnja treba izračunati razdoblje izraženo u satima.
- Dan tijekom kojeg se zbiva događaj ili tijekom kojeg se odvija radnja ne ulazi u dotično razdoblje kada se od trenutka u kojem se zbiva događaj ili odvija radnja treba izračunati razdoblje izraženo u danima, tjednima, mjesecima ili godinama.
Read more: Računanje rokova prema europskom pravu
GDPR na tri mjesta predviđa izričitu privolu, kao zaseban oblik privole u slučajevima kada je potrebna pojačana pažnja u svezi obrade osobnih podataka.
Navedeni slučajevi razlikuju se od ostalih u okolnostima rizika za zaštitu osobnih podataka, potrebi visoke razine individualnog nadzora, te potrebi davanja eventualnih dodatnih upozorenjima ispitanicima.
Svaka privola, pa tako i izričita, mora biti ispravno prezentirana ispitaniku, mora biti dobrovoljno dana, ne smije biti uvjetovana ili dvosmislena te ispitanik mora biti informiran o značaju davanja privole, kao i posljedicama. Definicija privole prema Uredbi glasi: svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
1. Posebne kategorije osobnih podataka:
Uvodna odredba u točki 51 navodi da su to osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode, odnosno radi se o obradi podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca (...) Pritom primjerice obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one u biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.
Ako je ispitanik dao izričitu privolu za obradu posebne kategorije osobnih podataka za jednu ili više određenih svrha neće se primjenjivati zabrana obrade posebnih kategorija osobnih podataka (članak 9.st.1. i 2. GDPR).
Read more: Izričita privola za obradu osobnih podataka
Ukoliko se određeni korisnik pretplati na primanje newslettera voditelj obrade (kao operater web stranice) dužan je provjeriti da li je vlasnik e-mail adrese upravo osoba koja je dostavila svoju e-mail adresu u svrhu primanja newslettera. U protivnom postoji velika opasnost da voditelj obrade neće moći dokazati da postoji privola korisnika i to baš vlasnika e-mail adrese. Iz navedenog razloga u praksi se stvorio postupak provjere identiteta pod nazivom double opt-in, te se u za ispravnu obradu osobnih podataka u svezi newslettera preporuča provedba takve provjere identiteta.
Double opt-in pojednostavljeno funkcionira na način da se korisnik (ispitanik) prijavi na primanje određenog newslettera, nakon čega voditelj obrade (operater web stranice) šalje korisniku e-mail u svrhu potvrde, najčešće u obliku linka koji ustvari potvrđivanjem predstavlja privolu. Privola se dokazuje unošenjem e-mail adrese na web stranici te potvrđivanjem aktivacijskog e-maila.
Slanje newslettera vrlo često se odvija preko mailing platforma, čiji pružatelji se nalaze u SAD-u. U tom slučaju potrebno je provjeriti da li su takvi pružatelji certificirani prema EU- SAD Privacy Shieldu. Također u pravilima o zaštiti osobnih podataka potrebno je u tom slučaju opisati svrhe obrade, odnosno navesti sve okolnosti prema članku 13. Uredbe. Ukoliko operater newslettera provodi praćenje korisnika isto je potrebo također detaljno objasniti, te se tom prilikom razlikuje situacija kada se utvrđuje pitanje učestalosti otvaranja newslettera od sistemskog praćenja ponašanja korisnika i stvaranja profila (Customer Journey Tracking) , u kojem slučaju je najčešće potrebno pribaviti odgovarajuću dodatnu privolu (triple opt-in).
Read more: NEWSLETTER I DOUBLE (TRIPLE) OPT -IN
GDPR definira profiliranje kao svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
Naime pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića i sl. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.
Najčešći oblik profiliranja temelji se na „tracking cookie“ tehnologiji, te se kolačić pohranjuje na terminalnu opremu korisnika. Pomoću navedenog kolačića moguće je pratiti ponašanje korisnika (ispitanika) kako i na koji način pregledava web stranice, odnosno koji sadržaj korisnik preferira, a sve kako bi mu se mogli ponuditi promidžbeni oglasi koji bi mu mogli biti interesantni. Jednim posjetom popularnoj web stranici moguće je prikupiti i preko desetak takvih kolačića koji najčešće ostaju trajno pohranjeni u opremi korisnika, odnosno sve do njihovog brisanja. Do stupanja na snagu GDPR-a pitanje privole za pohranu takve vrste kolačića različito se definiralo. Međutim danas jasno da je za pohranu takve vrste kolačića potrebna privola ispitanika (više o navedenom u objavljenom članku o kolačićima).
Read more: PROFILIRANJE I ZAŠTITA OSOBNIH PODATAKA
Razlikovanje navedenih pojmova, koji su uvedeni u zakonodavstvo Direktivom 95/46/EC (Data Protection Directive), temelji se prije svega u odnosu s voditeljem obrade, odnosno u posjedovanju ovlaštenja za pristup osobnim podacima kojima upravlja voditelj obrade.
Članak 4. GDPR definira navedene pojmove u sljedećim stavcima:
"9. „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana..."
Primateljem se neće smatrati bilo koja druga osoba ili čak povezano društvo koje pripada istoj grupaciji ako je odvojeno od voditelja obrade, već će se smatrati trećom stranom. Ipak podružnice banaka koje odgovaraju središnjici, a koje primjerice obrađuju podatke o računu svojih klijenata smatrati će se primateljima, a ne trećom stranom. (Article 29. WP (2010), Mišljenje 1/2010 o pojmu "voditelja" i "izvršitelja", WP 169, Bruxelles, 16. veljače 2010., str. 31)
Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju.
"10. „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;"
Treća strana stoga predstavlja osobu koja nije voditelj obrade niti izvršitelj obrade. Primatelj je širi pojam od treće strane, pa stoga primatelj ne treba uvijek predstavljati treću stranu.
Read more: RAZLIKA IZMEĐU TREĆE STRANE I PRIMATELJA OSOBNIH PODATAKA
GDPR became fully effective and many colleagues and consultants still argue about the qualifications of an accountant regarding the data processing. Many accounting offices provide their clients with Data processing agreements, asking their clients for conclusion of such agreement. It is recommended to read following articles before deciding on qualification of processing role / conclusion of data processing agreement.
Read more: Qualification of accountants - data processor or data controller
Opća uredba o zaštiti osobnih podataka primjenjuje na obradu osobnih podataka koja se u djelomično ili u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.
Izvorni sadržaj članka 2 st.1. na engleskom i hrvatskom jeziku glase:
- This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
- Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.
Jasno proizlazi da hrvatski prijevod nije potpun, te da da je Uredba imala cilj ukazati da automatska obrada može biti samo i djelomična. Drugi bitan uvjet je da podaci trebaju biti pohranjeni u odgovarajućem sustavu. Uvodna odredba 15 navodi da bi se zaštita pojedinaca trebala primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.
Read more: KADA SE NE PRIMJENJUJE GDPR
Usklađenje Pravila / Politika / Izjava / Pravilnika o privatnosti najčešće ima utjecaj i na reguliranje pravila o prikupljanju kolačića. Najčešće se postavljaju pitanja za koje kolačiće je potrebna privola, kojeg sadržaja treba biti privola, kako se prikuplja privola te koje su posebnosti prilikom prikupljanja kolačića.
Europska komisija objavila je na svojim stranicama vrlo sažeti tekst o kolačićima pa se ovom prilikom preskaču osnove koje se mogu pročitati putem ove poveznice:
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
Ukratko kolačići su privremeni ili trajni, te postoje i tzv. kolačići trećih strana. Privremeni se postavljaju u trenutku posjeta web stranici te se brišu napuštanjem stranice. Trajni kolačići su svi koji traju duže nakon napuštanja web stranice – odnosno imaju određeno vrijeme trajanja, bilo to jedan dan ili godinu dana.
Read more: KOLAČIĆI I PRAVILA PRIVATNOSTI
Odredbe Opće uredbe o zaštiti osobnih podataka uređuju pravila ponašanja voditelja i izvršitelja obrade, neovisno da li se sami nalaze unutar Europske unije ili samo obrađuju podatke u Europskoj uniji. U svakom slučaju ukoliko se ispitanik nalazi u Europskoj uniji odredbe Uredbe se uvijek primjenjuju na bilo kojeg voditelja ili izvršitelja obrade, te na podizvršitelje obrade.
Voditelj određuje svrhu i sredstva obrade a izvršitelj radi po uputama i nalozima Voditelja te može nastupati i raditi u ime Voditelja. Ponekad je teško razlikovati uloge, no zakon daje sljedeću definiciju uloga:
Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.
Izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Odnos voditelja i izvršitelja ponekad je složen te je teško jasno definirati i odvojiti uloge.
Read more: Voditelj obrade – izvršitelj obrade – podizvršitelj obrade – zajednički voditelji – kako se...
Trenutačno važeći Zakon o zaštiti osobnih podatka propisuje uži opseg odgovornosti od pravila koja će se temeljem Opće uredbe o zaštiti osobnih podatka početi primjenjivati od 25.05.2018. godine.
Prema Uredbi proširena je odgovornost i na Izvršitelja obrade, ali samo ako se dokaže da nije poštovao obveze propisane Uredbom koje se upravo odnose na njega ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.
Nadležnost Suda je izberiva prema poslovnom nastanu ili Voditelja ili Izvršitelja obrade – pri čemu se izbor prepušta ispitaniku – oštećeniku. Uredba propisuje i nadležnost prema mjestu uobičajenog boravišta ispitanika, pa stoga svaki ispitanik unutar Europske unije ima pravo pokrenuti postupak pred stvarno nadležnim Sudom prema mjestu svoga prebivališta.Odgovornost voditelja obrade nije ograničena te je on odgovoran za sve slučajeve uzrokovanja štete.
Postojeća zakonska regulativa glasi:
Zakon o zaštiti osobnih podataka (Narodne novine br. 103/03 (proč.tekst), 118/06, 41/08 i 130/11)
Članak 26.
Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.
Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.
Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.
Read more: Odgovornost za naknadu štete kod povrede osobnih podataka (prema GDPR)
O teritorijalnom dosegu Uredbe (GDPR) postoje brojne rasprave obzirom da Uredba koristi samo termin ispitanik (data subject), koji pojam je naravno širi od pojmova EU građanina i rezidenta. Uvodna odredba u točki 14 navodi da se zaštita treba odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.
Teritorijalno područje primjene definirano je člankom 3. Uredbe koja načelno navodi:
- da se Uredba primjenjuje na obradu osobnih podataka u okviru aktivnosti voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne;
- Uredba primjenjuje na obradu osobnih podataka ispitanika u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji;
- Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava;
(Sastavljeno i objavljeno 17.12.2017.)
U slučaju procjene ili bodovanja, te (opsežne) obrade osjetljivih podataka ili podataka vrlo osobne naravi, ili podataka koji se odnose na osjetljive ispitanike, procjenu učinka NIJE POTREBNO provoditi u sljedećim slučajevima obrade:
- Obrada „osobnih podataka pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika” (uvodna izjava 91.).
- Internetski časopis čiji se urednici koriste popisom adresa za slanje generičkih dnevnih novosti svojim pretplatnicima.
- Internetska stranica e-trgovine za proizvode koje koristi iznimno mali broj ispitanika, što obuhvaća i ograničenu izradu profila na temelju pregleda ili kupnji na vlastitoj internetskoj stranici.
Kada je vjerojatno potrebno provesti procjenu učinka na zaštitu osobnih podataka:
Read more: PRIMJERI KADA (NE) TREBA PROVODITI PROCJENU UČINKA NA OBRADU OSOBNIH PODATAKA (#DPIA)
Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:
" Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade."
Read more: NEOVISNOST SLUŽBENIKA ZA ZAŠTITU OSOBNIH PODATAKA
Člankom 38. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka „na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka”.
Uredba predviđa rano uključivanje službenika za zaštitu podataka u rad organizacije u svezi osobnih podataka te navodi da pri provedbi procjene učinka na zaštitu podataka voditelj obrade treba tražiti savjet službenika za zaštitu podataka.
Read more: RAD SLUŽBENIKA ZA ZAŠTITU OSOBNIH PODATAKA
Prema članku 21. st.2. Opće uredbe o zaštiti osobnih podataka (GDPR) propisano je da “ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.”
Riječ je o apsolutnom pravu i neovisno je o pravnoj osnovi koja opravdava takvu obradu.
Read more: PRIGOVOR PROTIV IZRAVNOG MARKETINGA
Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.
Read more: KADA JE POTREBNO IMENOVATI SLUŽBENIKA ZA ZAŠTITU OSOBNIH PODATAKA (PREMA NOVOJ UREDBI - #GDPR)
Mjerodavno pravo u elektroničkoj trgovini
U elektroničkoj trgovini se pri odlučivanju o mjerodavnom pravu primjenjuju sljedeći pravni propisi:
- Zakon o elektroničkoj trgovini
- Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini)
- UNCITRAL-ov model zakona o elektroničkoj trgovini iz 1996.
- Bečka konvencija o međunarodnoj prodaji robe iz 1980.
- Rimska konvencija
- Zakon o rješavanju sukoba zakona s propisima drugih zemalja u određenim odnosima
Zakon o elektroničkoj trgovini je usklađen s odredbama navedene Direktive. Zakon uređuje pravno područje elektroničke trgovine u RH, dok Direktiva uređuje isto pravno područje na razini unutarnjeg tržišta.
Mjerodavno je pravo države porijekla davatelja usluge informacijskog društva, neovisno o tome pruža li se usluga u tuzemstvu ili inozemstvu.
Read more: Mjerodavno pravo u elektroničkoj trgovini
Article 5 of the GDPR requires that personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to individuals;
(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with the initial purposes;
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed;
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes subject to implementation of the appropriate technical and organizational measures required by the GDPR in order to safeguard the rights and freedoms of individuals;
(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures.
Read more: 8 DATA PROTECTION PRINCIPLES
U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Read more: POSTUPANJE U SLUČAJU POVREDE OSOBNIH PODATAKA
Data portability
Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.
Read more: DATA PORTABILITY
Newsletter i zakonski okvir
Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09, 130/11, 30/14) propisuje osnovne podatke koje je potrebno navesti u newsletteru u svezi osobe davatelja usluga
Read more: NEWSLETTER I ZAKONSKI OKVIR
Prijenosi osobnih podataka u treće zemlje
Uvodno
Kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana Općom uredbom o zaštiti osobnih podataka (GDPR ili Uredba) u Uniji. Prijenos bi se mogao obavljati isključivo ako voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.
Read more: PRIJENOSI OSOBNIH PODATAKA U TREĆE ZEMLJE