spajalica

Ograničavanje, suspenzija ili prekid pružanja usluga na internetu - platforme web trgovina i softverskih aplikacija.

 

Ovaj članak obrađuje zahtjeve koje propisuje UREDBA (EU) 2019/1150 o promicanju pravednosti i transparentnosti za poslovne korisnike usluga internetskog posredovanja (nadalje Uredba)  u odnosu na posredničke platforme koje nude usluge poslovnim ili korporativnim korisnicima koji imaju poslovni nastan ili boravište u Uniji te  putem usluga internetskog posredovanja nude robu ili usluge potrošačima koji se nalaze u Uniji.

Pritom je nebitno mjesto poslovnog nastana ili boravišta pružatelja posredničkih usluga kao i pravo koje bi u tom slučaju inače bilo mjerodavno.

Uredba  se u svrhu djelotvorne zaštite poslovnih korisnika primjenjuje u slučajevima kada uvjete ugovornog odnosa, neovisno o njihovu nazivu ili obliku (najčešće u obliku općih uvjeta korištenja) jednostrano određuje pružatelj usluga internetskog posredovanja.

Kako bi se osiguralo da opći uvjeti korištenja omogućuju poslovnim korisnicima utvrđivanje komercijalnih uvjeta za upotrebu, prekid i suspenziju usluga internetskog posredovanja te kako bi se postigla predvidljivost u pogledu njihova poslovnog odnosa, ti bi uvjeti upotrebe trebali biti sastavljeni na jednostavnom i razumljivom jeziku.

Primjeri usluga internetskog posredovanja:

-           internetska mjesta trgovanja za e-trgovinu

-           internetske usluge softverskih aplikacija, kao što su trgovine aplikacijama,

-           internetske usluge povezane s društvenim medijima

spajalica

Već 2018. godine objavili smo članak[1] na temu kolačića i pravila privatnosti, no protekom vremena došlo je do daljnjih usklađenja u navedenom području. Ovaj članak obrađuje objavljeni tekst skupine Cookie Banner koji predstavlja tumačenje primjenjivih odredbi ePrivacy Direktive i primjenjivih odredbi GDPR-a uzimajući u obzir postojeća tumačenja i smjernice. Naime, zaključci skupine Cookie Banner ne predstavljaju službene preporuke ili upute.  Istim tekstom također nije predviđena analiza koju će nacionalna nadzorna tijela morati provesti za svaku pritužbu i određenu web stranicu u pogledu usklađenosti s pitanjem postavljanja kolačića. Navedena stajališta moraju se kombinirati s primjenom dodatnih nacionalnih propisa koji proizlaze iz nacionalnih zakona kojima se ePrivacy Direktiva usklađuje u državama članicama (članak 100. stavak 4. Zakona o elektroničkim komunikacijama), kao i s daljnjim pojašnjenjima i smjernicama koje daju nacionalna nadležna tijela.

U tom pogledu potrebno je obratit pozornost na upute i smjernice koje su objavila naša nadzorna tijela[2]  kao i Mišljenje 5/2019 o povezanosti Direktive o e-privatnosti i Opće uredbe o zaštiti podataka, posebice u vezi s nadležnosti, zadaćama i ovlastima tijela za zaštitu podataka (doneseno 12. ožujka 2019)[3].

Zauzeta su sljedeća stajališta u pogledu nekih posebnosti postavljanja skočnog prozora (bannera) za postavljanje kolačića:

spajalica

 

Opća uredba o zaštiti podataka u uvodnoj odredbi (75)[1]  navodi da obrada osobnih podataka može prouzročiti fizičku, materijalnu ili nematerijalnu štetu i to u svim aspektima obrade podatka.

Člankom 82. Uredbe propisano je jasno Pravo na naknadu štete u slučaju povrede odredbi Uredbe: „Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.“

Pritom je svaki voditelj obrade koji je uključen u obradu odgovoran za štetu prouzročenu obradom kojom se krši Uredba, dok je Izvršitelj obrade  odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

Izuzeće od odgovornosti moguće je ako Voditelj obrade ili Izvršitelj obrade dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu. Generalno stajalište je da izuzeća od odgovornosti trebaju biti vrlo su stroga i zahtijevaju dokaz da voditelj ili izvršitelj obrade ni na koji način nije odgovoran za događaj koji je prouzročio štetu.

Naknada mora biti „potpuna i učinkovita” s obzirom na pretrpljenu štetu. Ako je šteta uzrokovana obradom nekoliko voditelja obrade ili izvršitelja obrade, svaki voditelj obrade ili izvršitelj obrade mora snositi odgovornost za svu štetu. Tim se pravilom nastoji osigurati učinkovita naknada za ispitanike i koordinirani pristup sukladnosti voditelja obrade i izvršitelja obrade koji sudjeluju u aktivnostima obrade.

Primjer: Ispitanici ne moraju pokrenuti postupak i zatražiti naknadu štete od svih tijela odgovornih za štetu jer to može podrazumijevati visoke troškove i dugotrajne postupke. Dovoljno je pokrenuti postupak protiv jednog od zajedničkih voditelja obrade, koji će snositi odgovornost za svu štetu. U takvim slučajevima voditelj obrade ili izvršitelj obrade koji plati odštetu naknadno ima pravo na povrat dijela plaćenog iznosa od drugih tijela uklju­čenih u obradu i odgovornih za kršenje proporcionalno njihovu dijelu odgo­vornosti za štetu. Ti postupci između različitih zajedničkih voditelja obrade i izvršitelja obrade odvijaju se nakon što ispitanik primi naknadu te on u njima ne sudjeluje.

Znači ako je u istu obradu uključeno više od jednog voditelja obrade i/ili izvršitelja obrade, propisana je solidarna odgovorni za bilo kakvu štetu prouzročenu obradom, pri čemu voditelj ili izvršitelj koji je platio punu odštetu za pretrpljenu štetu ima pravo regresa od drugih sudionika u obradi.

 

spajalica

PROBLEMATIKA PRIJENOSA OSOBNIH PODATAKA U SAD (i druge zemlje bez adekvatne razine zaštite)

Odlukom Suda Europske unije od 16. srpnja 2020. godine u slučaju poznatom pod nazivom Schrems II (C-311/18 – Data Protection Commissioner vs. Facebook Ireland i Maximilian Schrems),  poništena je Odluka Komisije 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti odnosno tzv. EU-US Privacy Shield, sporazum Europske komisije i američkog Ministarstva trgovine o zaštiti osobnih podataka koji se iz EU-a prenose u SAD.

Privacy Shield postignut je 2016. godine, nakon što je Sud Europske Unije u slučaju Schrems I (C-362/14- Maximillian Schrems vs. Data Protection Commissioner) zaključio da prethodni pravni okvir iz 2000. godine – tzv. „Safe Harbour“, ne pruža primjerenu zaštitu temeljnih prava građana EU-a. Naime, Europska komisija u svojoj Odluci 2000/520 kojom je uspostavljen Safe Harbour utvrdila je da SAD osigurava „primjerenu razinu zaštite“ čime su bili ispunjeni zahtjevi tadašnje europske regulative prema kojima je prijenos osobnih podataka izvan EU u treće zemlje moguć samo ako je udovoljeno spomenutom uvjetu.

Međutim, Maximilian Schrems, potaknut poznatim slučajem Edwarda Snowdena koji je javnosti otkrio na koji način i u kojem opsegu američke službe prikupljaju osobne podatke, podnio je pritužbu irskom nadzornom tijelu (Data Protection Commissioner – DPC) kojim je zatražio da zabrani Facebooku Ireland Ltd. prijenos njegovih osobnih podataka u SAD, tvrdeći da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka u odnosu na nadzorne aktivnosti od strane američkih službi.

spajalica

Bavarski upravni sud (Bayerischer Verwaltungsgerichtshof) potvrdio je odluku Bavarske nadzorne agencije za zaštitu osobnih podataka (BayLDA nadalje: Agencija) koja je odlukom zabranila korištenje usluge "Facebook Custom Audience" bez privole korisnika.

Već 2017. godine Bavarska nadzorna agencija zabranila je jednoj bavarskoj Online trgovini korištenje "Facebook Custom Audience", marketinškog alata za internetsku trgovinu. Upravni sud u Bayreuthu potvrdio je stajalište Agencije i potvrdio u žurnom sudskom postupku da je zabrana bila zakonita. Isti zaključak sada potvrđuje Bavarski upravni sud te navodi da je upotreba „Facebook Custom Audience“-a bez privole korisnika protivna zakonu o zaštiti osobnih podataka. Postupak koji se provodi u sklopu Facebook Custom Audience alata omogućuje tvrtkama ciljano reklamiranje prema svojim klijentima, koji su ujedno korisnici Facebooka, kada koriste navedenu društvenu mrežu. Kako bi se oglašavala na Facebooku, Online trgovina izrađuje popis svojih kupaca i klijenata s njihovim imenom, mjestom prebivališta, e-mail adresom i brojem telefona, te se ista lista prenosi na Facebook račun Online trgovine kako bi Facebook raspoznao koji klijeti su korisnici Facebooka. Online trgovina može pokrenuti jednu ili više reklamnih kampanja na Facebooku za svoje klijente, te može odabrati određenu publiku kojoj će namijeniti oglase (npr. žene ili muškarci u dobi od 20 do 30 godina, koji se bave sportom).

spajalica

Brojne europske Uredbe koje se neposredno primjenjuju u nacionalnom pravu nalažu u pojedinim slučajevima računanje rokova na sate, dane i mjesece. 

Uredbom Vijeća (EEZ, Euroatom) br. 1182/71, od 03. lipnja 1971. godine  o utvrđivanju pravila koja se primjenjuju na razdoblja, datume i rokove, predviđeni su načini računanja rokova.

Ukoliko pojedinom europskom Uredbom nije drugačije propisano, ista Uredba će se primjenjivati na sve slučajeve predviđene europskim pravom, pa tako primjerice i na Opću uredbu o zaštiti podataka, koja u više članaka nalaže potrebu računanja rokova na sate i dane.

Prema članku 3. navedene Uredbe propisano je:

  •  Sat tijekom kojeg se zbiva događaj ili tijekom kojeg se odvija radnja ne ulazi u dotično razdoblje kada se od trenutka u kojem se zbiva događaj ili u kojem se odvija radnja treba izračunati razdoblje izraženo u satima.
  • Dan tijekom kojeg se zbiva događaj ili tijekom kojeg se odvija radnja ne ulazi u dotično razdoblje kada se od trenutka u kojem se zbiva događaj ili odvija radnja treba izračunati razdoblje izraženo u danima, tjednima, mjesecima ili godinama.

spajalica

GDPR na tri mjesta predviđa izričitu privolu, kao zaseban oblik privole u slučajevima kada je potrebna pojačana pažnja u svezi obrade osobnih podataka.

Navedeni slučajevi razlikuju se od ostalih u okolnostima rizika za zaštitu osobnih podataka, potrebi visoke razine individualnog nadzora, te potrebi davanja eventualnih dodatnih upozorenjima ispitanicima. 

Svaka privola, pa tako i izričita, mora biti ispravno prezentirana ispitaniku, mora biti dobrovoljno dana, ne smije biti uvjetovana ili dvosmislena te ispitanik mora biti informiran o značaju davanja privole, kao i posljedicama. Definicija privole prema Uredbi glasi: svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

1. Posebne kategorije osobnih podataka:

Uvodna odredba u točki 51 navodi da su to osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode, odnosno radi se o obradi podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca (...) Pritom primjerice obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one u biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.

Ako je ispitanik dao izričitu privolu za obradu posebne kategorije osobnih podataka za jednu ili više određenih svrha neće se primjenjivati zabrana obrade posebnih kategorija osobnih podataka (članak 9.st.1. i 2. GDPR).

spajalica

Ukoliko se određeni korisnik pretplati na primanje newslettera voditelj obrade (kao operater web stranice) dužan je provjeriti da li je vlasnik e-mail adrese upravo osoba koja je dostavila svoju e-mail adresu u svrhu primanja newslettera. U protivnom postoji velika opasnost da voditelj obrade neće moći dokazati da postoji privola korisnika i to baš vlasnika e-mail adrese. Iz navedenog razloga u praksi se stvorio postupak provjere identiteta pod nazivom double opt-in, te se u za ispravnu obradu osobnih podataka u svezi newslettera preporuča provedba takve provjere identiteta.

Double opt-in pojednostavljeno funkcionira na način da se korisnik (ispitanik) prijavi na primanje određenog newslettera, nakon čega voditelj obrade (operater web stranice) šalje korisniku e-mail u svrhu potvrde, najčešće u obliku linka koji ustvari potvrđivanjem predstavlja privolu. Privola se dokazuje unošenjem e-mail adrese na web stranici te potvrđivanjem aktivacijskog e-maila.

Slanje newslettera vrlo često se odvija preko mailing platforma, čiji pružatelji se nalaze u SAD-u. U tom slučaju potrebno je provjeriti da li su takvi pružatelji certificirani prema EU- SAD Privacy Shieldu. Također u pravilima o zaštiti osobnih podataka potrebno je u tom slučaju opisati svrhe obrade, odnosno navesti sve okolnosti prema članku 13. Uredbe. Ukoliko operater newslettera provodi praćenje korisnika isto je potrebo također detaljno objasniti, te se tom prilikom razlikuje situacija kada se utvrđuje pitanje učestalosti otvaranja newslettera od sistemskog praćenja ponašanja korisnika i stvaranja profila (Customer Journey Tracking) , u kojem slučaju je najčešće potrebno pribaviti odgovarajuću dodatnu privolu (triple opt-in).

spajalica

GDPR definira profiliranje kao svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

Naime pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića i sl. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

Najčešći oblik profiliranja temelji se na „tracking cookie“ tehnologiji, te se kolačić pohranjuje na terminalnu opremu korisnika. Pomoću navedenog kolačića moguće je pratiti ponašanje korisnika (ispitanika) kako i na koji način pregledava web stranice, odnosno koji sadržaj korisnik preferira, a sve kako bi mu se mogli ponuditi promidžbeni oglasi koji bi mu mogli biti interesantni. Jednim posjetom popularnoj web stranici moguće je prikupiti i preko desetak takvih kolačića koji najčešće ostaju trajno pohranjeni u opremi korisnika, odnosno sve do njihovog brisanja. Do stupanja na snagu GDPR-a pitanje privole za pohranu takve vrste kolačića različito se definiralo. Međutim danas jasno da je za pohranu takve vrste kolačića potrebna privola ispitanika (više o navedenom u objavljenom članku o kolačićima).

spajalica

Razlikovanje navedenih pojmova, koji su uvedeni u zakonodavstvo Direktivom 95/46/EC (Data Protection Directive), temelji se prije svega u odnosu s voditeljem obrade, odnosno u posjedovanju ovlaštenja za pristup osobnim podacima kojima upravlja voditelj obrade.

Članak 4. GDPR definira navedene pojmove u sljedećim stavcima:

"9.          „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana..."

Primateljem se neće smatrati bilo koja druga osoba ili čak povezano društvo koje pripada istoj grupaciji ako je odvojeno od voditelja obrade, već će se smatrati trećom stranom. Ipak podružnice banaka koje odgovaraju središnjici, a koje primjerice obrađuju podatke o računu svojih klijenata smatrati će se primateljima, a ne trećom stranom. (Article 29. WP (2010), Mišljenje 1/2010 o pojmu "voditelja" i "izvršitelja", WP 169, Bruxelles, 16. veljače 2010., str. 31)

Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju.

"10.        „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;"

Treća strana stoga predstavlja osobu koja nije voditelj obrade niti izvršitelj obrade. Primatelj je širi pojam od treće strane, pa stoga primatelj ne treba uvijek predstavljati treću stranu.

 

spajalica

GDPR became fully effective and many colleagues and consultants still argue about the qualifications of an accountant regarding the data processing. Many accounting offices provide their clients with Data processing agreements, asking their clients for conclusion of such agreement. It is recommended to read following articles before deciding on qualification of processing role / conclusion of data processing agreement.   

spajalica

Opća uredba o zaštiti osobnih podataka primjenjuje na obradu osobnih podataka koja se u djelomično ili u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Izvorni sadržaj članka 2 st.1. na engleskom i hrvatskom jeziku glase:

  1. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
  1. Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Jasno proizlazi da hrvatski prijevod nije potpun, te da da je Uredba imala cilj ukazati da automatska obrada može biti samo i djelomična. Drugi bitan uvjet je da podaci trebaju biti pohranjeni u odgovarajućem sustavu. Uvodna odredba 15 navodi da bi se zaštita pojedinaca trebala primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

spajalica

Usklađenje Pravila / Politika / Izjava / Pravilnika o privatnosti najčešće ima utjecaj i na reguliranje pravila o prikupljanju kolačića. Najčešće se postavljaju pitanja za koje kolačiće je potrebna privola, kojeg sadržaja treba biti privola, kako se prikuplja privola te koje su posebnosti prilikom prikupljanja kolačića.

Europska komisija objavila je na svojim stranicama vrlo sažeti tekst o kolačićima pa se ovom prilikom preskaču osnove koje se mogu pročitati putem ove poveznice:

http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Ukratko kolačići su privremeni ili trajni, te postoje i tzv. kolačići trećih strana. Privremeni se postavljaju u trenutku posjeta web stranici te se brišu napuštanjem stranice. Trajni kolačići su svi koji traju duže nakon napuštanja web stranice – odnosno imaju određeno vrijeme trajanja, bilo to jedan dan ili godinu dana.

spajalica

Odredbe Opće uredbe o zaštiti osobnih podataka uređuju pravila ponašanja voditelja i izvršitelja obrade, neovisno da li se sami nalaze unutar Europske unije ili samo obrađuju podatke u Europskoj uniji. U svakom slučaju ukoliko se ispitanik nalazi u Europskoj uniji odredbe Uredbe se uvijek primjenjuju na bilo kojeg voditelja ili izvršitelja obrade, te na podizvršitelje obrade.

Voditelj određuje svrhu i sredstva obrade a izvršitelj radi po uputama i nalozima Voditelja te može nastupati i raditi u ime Voditelja. Ponekad je teško razlikovati uloge, no zakon daje sljedeću definiciju uloga:

Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Odnos voditelja i izvršitelja ponekad je složen te je teško jasno definirati i odvojiti uloge.

spajalica

Trenutačno važeći Zakon o zaštiti osobnih podatka propisuje uži opseg odgovornosti od pravila koja će se temeljem Opće uredbe o zaštiti osobnih podatka početi primjenjivati od 25.05.2018. godine.

Prema Uredbi proširena je odgovornost i na Izvršitelja obrade, ali samo ako se dokaže da nije poštovao obveze propisane Uredbom koje se upravo odnose na njega ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

Nadležnost Suda je izberiva prema poslovnom nastanu ili Voditelja ili Izvršitelja obrade – pri čemu se izbor prepušta ispitaniku – oštećeniku. Uredba propisuje i nadležnost prema mjestu uobičajenog boravišta ispitanika, pa stoga svaki ispitanik unutar Europske unije ima pravo pokrenuti postupak pred stvarno nadležnim Sudom prema mjestu svoga prebivališta.Odgovornost voditelja obrade nije ograničena te je on odgovoran za sve slučajeve uzrokovanja štete.

Postojeća zakonska regulativa glasi:

Zakon o zaštiti osobnih podataka (Narodne novine br. 103/03 (proč.tekst), 118/06, 41/08 i 130/11)

Članak 26.

Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.

Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.

Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.

 

spajalica

O teritorijalnom dosegu Uredbe (GDPR) postoje brojne rasprave obzirom da Uredba koristi samo termin ispitanik (data subject), koji pojam je naravno širi od pojmova EU građanina i rezidenta. Uvodna odredba u točki 14 navodi da se zaštita treba odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

Teritorijalno područje primjene definirano je člankom 3. Uredbe koja načelno navodi:

  1. da se Uredba primjenjuje na obradu osobnih podataka u okviru aktivnosti voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne;
  2. Uredba primjenjuje na obradu osobnih podataka ispitanika u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji;
  3. Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava;

(Sastavljeno i objavljeno 17.12.2017.)  

spajalica

U slučaju procjene ili bodovanja, te (opsežne) obrade osjetljivih podataka ili podataka vrlo osobne naravi, ili podataka koji se odnose na osjetljive ispitanike, procjenu učinka NIJE POTREBNO provoditi u sljedećim slučajevima obrade:

  1. Obrada „osobnih podataka pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika” (uvodna izjava 91.).
  2. Internetski časopis čiji se urednici koriste popisom adresa za slanje generičkih dnevnih novosti svojim pretplatnicima.
  3. Internetska stranica e-trgovine za proizvode koje koristi iznimno mali broj ispitanika, što obuhvaća i ograničenu izradu profila na temelju pregleda ili kupnji na vlastitoj internetskoj stranici.

 

Kada je vjerojatno potrebno provesti procjenu učinka na zaštitu osobnih podataka:

spajalica

Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:

" Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade."

spajalica

Člankom 38. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka „na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka”.

Uredba predviđa rano uključivanje službenika za zaštitu podataka u rad organizacije u svezi osobnih podataka te navodi da pri provedbi procjene učinka na zaštitu podataka voditelj obrade treba tražiti savjet službenika za zaštitu podataka.

spajalica

Prema članku 21. st.2. Opće uredbe o zaštiti osobnih podataka (GDPR) propisano je da “ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.”

Riječ je o apsolutnom pravu i neovisno je o pravnoj osnovi koja opravdava takvu obradu.

spajalica

Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.

spajalica

 

 Mjerodavno pravo u elektroničkoj trgovini

U elektroničkoj trgovini se pri odlučivanju o mjerodavnom pravu primjenjuju sljedeći pravni propisi:

- Zakon o elektroničkoj trgovini

- Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini)

- UNCITRAL-ov model zakona o elektroničkoj trgovini iz 1996.

- Bečka konvencija o međunarodnoj prodaji robe iz 1980.

- Rimska konvencija

- Zakon o rješavanju sukoba zakona s propisima drugih zemalja u određenim odnosima

Zakon o elektroničkoj trgovini je usklađen s odredbama navedene Direktive. Zakon uređuje pravno područje elektroničke trgovine u RH, dok Direktiva uređuje isto pravno područje na razini unutarnjeg tržišta.

Mjerodavno je pravo države porijekla davatelja usluge informacijskog društva, neovisno o tome pruža li se usluga u tuzemstvu ili inozemstvu.

        

spajalica

Article 5 of the GDPR requires that personal data shall be:

(a) processed lawfully, fairly and in a transparent manner in relation to individuals;

(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with the initial purposes;

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed;

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes subject to implementation of the appropriate technical and organizational measures required by the GDPR in order to safeguard the rights and freedoms of individuals;

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures.

spajalica

Data portability

Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.

spajalica

Newsletter i zakonski okvir

Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09, 130/11, 30/14) propisuje osnovne podatke koje je potrebno navesti u newsletteru u svezi osobe davatelja usluga

spajalica

Prijenosi osobnih podataka u treće zemlje

Uvodno

Kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana Općom uredbom o zaštiti osobnih podataka (GDPR ili Uredba) u Uniji. Prijenos bi se mogao obavljati isključivo ako voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.