GDPR ili opća uredba o zaštiti podataka:
Što je? Zašto služi? Kako se uskladiti s njom?
GDPR
GDPR ili uredba o zaštiti osobnih podataka
je uredba kojom se želi zaštititi ili/i ograničiti korištenje, a posebno nepotrebno korištenje osobnih podataka i njihovo dijeljenje.
Uredba pokriva one dijelove koje određeni zakon, za određenu vrstu poslovanja ne podrazumijeva.
ZOR određuje koji su podatci sastavni dio ugovora o radu čl.17.
Čl. 17 ZOR-a
1) Ugovor o radu sklopljen u pisanom obliku, odnosno potvrda o sklopljenom ugovoru o radu iz članka 16. stavka 3. ovoga Zakona, mora sadržavati uglavke o:
1. strankama te njihovom prebivalištu, odnosno sjedištu,
2. mjestu rada, a ako ne postoji stalno ili glavno mjesto rada, onda napomenu da se rad obavlja na različitim mjestima,
3. – nazivu, naravi ili vrsti rada na koji se radnik zapošljava ili
– kratak popis ili opis poslova,
4. danu otpočinjanja rada,
5. očekivanom trajanju ugovora, u slučaju ugovora o radu na određeno vrijeme,
6. trajanju plaćenoga godišnjeg odmora na koji radnik ima pravo, a u slučaju kad se takav podatak ne može dati u vrijeme sklapanja ugovora, odnosno izdavanja potvrde, načinu određivanja trajanja toga odmora,
7. otkaznim rokovima kojih se mora pridržavati radnik, odnosno poslodavac, a u slučaju kad se takav podatak ne može dati u vrijeme sklapanja ugovora, odnosno izdavanja potvrde, načinu određivanja otkaznih rokova,
8. osnovnoj plaći, dodacima na plaću te razdobljima isplate primanja na koja radnik ima pravo,
9. trajanju redovitoga radnog dana ili tjedna.
(2) Umjesto uglavaka iz točke 6., 7., 8. i 9. stavka 1. ovoga članka može se u ugovoru, odnosno potvrdi, uputiti na odgovarajuće zakone, druge propise, kolektivne ugovore ili pravilnike o radu koji uređuju ta pitanja.
Obvezni sadržaj pisanog ugovora o radu na određeno vrijeme za stalne sezonske poslove
Odredbe naših zakona prema zaštiti podataka
Člankom 27. ZOR brani traženje podataka koji nisu bitni za sklapanje ugovora.
Članak 29. je isto jasan : Osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u svezi s radnim odnosom. (čl. 29.1)
Članak 37. Ustava RH kaže: Svakom se jamči sigurnost i tajnost osobnih podataka. Bez privole ispitanika, osobni se podaci mogu prikupljati, obrađivati i koristiti samo uz uvjete određene zakonom.¸
U Hrvatskoj je na snazi od 2003 god bio zakon o zaštiti osobnih podataka (NN 103/03), tako da to sve nije novost za nas; stupanjem na snagu GDPR 2016/679 mijenja se, odnosno nestaje obaveza predavanja zbirke podataka Agenciji, određeni izrazi i mijenjaju se visine kazni-drastično.
Stoga, savjetujemo da se upoznate sa odredbom i ovdje ćemo Vas pokušati što je sažetije moguće usmjeriti na relevantne izvore. Isto tako, možete skinuti na dnu stranice Opću odredbu o zaštiti podataka 2016/679 cijelu u obliku e-knjige, ZOR – pročišćeni tekst te ostale korisne smjernice.
Upućujemo vas ba stranice agencije AZOP koja je neovisno i samostalno državno tijelo za nadzor zaštite osobnih podataka.
Osobni podatci
Ukoliko imate manje od 20 zaposlenih, i ne prikupljate nijedan podatak preko onog što je zakonom predviđeno da biste mogli osigurati prava iz radnih odnosa, moglo bi se reći da ste usklađeni s gdpr-om. Za to vam još samo treba određeni pisani trag.
Što su osobni podatci i definicije ostalih izraza bitnih za GDPR
Čl. 4 opće uredbe- definicije
Članak 4.
Definicije
Za potrebe ove Uredbe:
1. |
„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca; |
2. |
„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje; |
3. |
„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti; |
4. |
„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca; |
5. |
„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi; |
6. |
„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi; |
7. |
„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice; |
8. |
„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade; |
9. |
„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade; |
10. |
„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade; |
11. |
„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose; |
12. |
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani; |
13. |
„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca; |
14. |
„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci; |
15. |
„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu; |
16. |
„glavni poslovni nastan” znači:
|
17. |
„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe; |
18. |
„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću; |
19. |
„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici; |
20. |
„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću; |
21. |
„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.; |
22. |
„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:
|
23. |
„prekogranična obrada” znači ili:
|
24. |
„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije; |
25. |
„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19); |
26. |
„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja. |
Smjernice AZOP-a
AZOP ( https://azop.hr/smjernice-za-primjenu-opce-uredbe/) predlaže samoprocjenu analize podataka, ukratko, koje podatke točno prikupljate, u koju svrhu se koriste i tko točno može imati uvid u njih. (preuzmite smjernice na dnu stranice) To je potrebno zapisati i spremiti, te periodično provjeravati.
(ČL.30 poglavlje IV opće uredbe )Vlasnik poslovnog subjekta smatra se Voditeljem obrade podataka, te je to njegova dužnost. Voditelj obrade može imenovati nekog djelatnika da to radi umjesto njega.
Najjednostavniji način analize je da usporedite ove podatke koje osnovni zakoni koji pokrivaju vaše poslovanje određuju, te provjerite da li skupljate osobne podatke preko tih neophodnih. I ako da-zašto, gdje se nalaze, tko ima pristup, jesu li na zakonit način dobiveni, koliki im je rok čuvanja, da li imate pisanu privolu i jeste li obavijestili ispitanika o njegovim pravima prema podatcima kojima raspolažete i najvažnije: imate li zakonsku osnovu za prikupljanje tih podataka?
Imenovanje zajedničkog službenika
Više poduzetnika može dogovrno imenovati zajedničkog službenika za obradu podataka.
Imenovanja zajedničkog službenika potrebno je dostaviti Agenciji: https://azop.hr/imenovanje-sluzbenika-za-zastitu-podataka-2/
Čl. 37.2 opće uredbe- imenovanje zajedničkog službenika
2. Grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakog poslovnog nastana.
3. Ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti ili javno tijelo, za nekoliko takvih vlasti ili tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu.
4. U slučajevima osim onih iz stavka 1. voditelj obrade ili izvršitelj obrade ili udruženja i druga tijela koji predstavljaju kategoriju voditeljâ obrade ili izvršitelja obrade mogu ili, ako to nalaže pravo Unije ili pravo države članice, moraju imenovati službenika za zaštitu podataka. Službenik za zaštitu podataka može djelovati za takva udruženja i druga tijela koji predstavljaju voditelje obrade ili izvršitelje obrade.
5. Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39.
6. Službenik za zaštitu podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu.
7. Voditelj obrade ili izvršitelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu.
Privole
Ukoliko niste sigurni da li je za neki podatak koji prikupljate potrebna privola, bolje je da ju imate.
Ispitanik u svakom trenutku može povući privolu, međutim ona se neće odnositi na podatke koji su potrebni za ispunjavanje prava iz pravnih odnosa, isto tako, zahtjev za brisanje podataka neće se odnositi na podatke koji su drugim zakonima određeni kao trajna dokumentacija, ili imaju zakonom određeni rok čuvanja. (čl 10 zakona o računovodstvu)
Čl. 4.1 opće uredbe- opći podatci
. |
„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca; |
Čl.5. opće uredbe- načela obrade općih podataka
Članak 5.
Načela obrade osobnih podataka
1. Osobni podaci moraju biti:
(a) |
zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”); |
(b) |
prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”); |
(c) |
primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”); |
(d) |
točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”); |
(e) |
čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”); |
(f) |
obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”); |
2. Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati („pouzdanost”).
Čl.6. opće uredbe- zakonitost obrade
Članak 6.
Zakonitost obrade
1. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) |
ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; |
(b) |
obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; |
(c) |
obrada je nužna radi poštovanja pravnih obveza voditelja obrade; |
(d) |
obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; |
(e) |
obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; |
(f) |
obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. |
Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
2. Države članice mogu zadržati ili uvesti posebne odredbe kako bi se primjena pravila ove Uredbe s obzirom na obradu prilagodila radi usklađivanja sa stavkom 1. točkama (c) i (e) tako da se preciznije odrede posebni uvjeti za obradu te druge mjere za osiguravanje zakonite i poštene obrade, među ostalim za druge posebne situacije obrade kako je predviđeno u poglavlju IX.
3. Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:
(a) |
pravu Unije; ili |
(b) |
pravu države članice kojem voditelj obrade podliježe. |
Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.
4. Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:
(a) |
svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; |
(b) |
kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade; |
(c) |
prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.; |
(d) |
moguće posljedice namjeravanog nastavka obrade za ispitanike; |
(e) |
postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju. |
Čl.7. opće uredbe-uvjeti privole
Članak 7.
Uvjeti privole
1. Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.
2. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući.
3. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
4. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
Čl. 9. opće uredbe- obrada posebnih kategorija podataka
Članak 9.
Obrada posebnih kategorija osobnih podataka
1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:
(a) |
ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.; |
(b) |
obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika; |
(c) |
obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu; |
(d) |
obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika; |
(e) |
obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik; |
(f) |
obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu; |
(g) |
obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika; |
(h) |
obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.; |
(i) |
obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne; |
(j) |
obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika. |
3. Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.
4. Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.
Vanjski suradnici (računovodstveno - knjigovodstveni servis)
Ukoliko kao poslodavac, imate vanjske suradnike koji imaju uvid u podatke vaših zaposlenika, kao npr računovodstveni ili knjigovodstveni servis, tada je potrebno imati sklopljen ugovor između vas (voditelja obrade podataka) i Servisa (kao izvršitelja obrade podataka), te čuvati te podatke (ugovor, analizu, privolu radnika) ukoliko će ih biti potrebno predočiti Agenciji.
Isto tako potrebno je upoznati djelatnike sa činjenicom da njihove podatke, u svrhu izvršavanja prava iz radnog odnosa, obrađuje i koristi, te u skladu sa zakonom arhivira i čuva određeni, za taj posao, ovlašteni vanjski suradnik. Čl 4 zakona o računovodstvu
Poglavlje IV, Čl. 28. opće uredbe- opći podatci
Članak 28.
Izvršitelj obrade
1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.
2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.
3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
(a) |
obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa; |
(b) |
osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; |
(c) |
poduzima sve potrebne mjere u skladu s člankom 32.; |
(d) |
poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade; |
(e) |
uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.; |
(f) |
pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade; |
(g) |
po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka; |
(h) |
voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose. |
U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.
4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.
5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.
6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.
7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.
8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.
9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.
10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.
Članak 29.
Dobivanje podataka iz vanjskih izvora
Ukoliko osobni podatci nisu dobiveni od ispitanika (obratite pažnju na to)
Voditelj je dužan obavijestiti ispitanika o :
čl. 14
te omogućiti ispitaniku pravo na pristup
čl 15.
Poglavlje I. Čl 14 -informacije koje se trebaju pružiti ako podatci nisu dobiveni od ispitanika
Članak 14.
Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika
1. Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:
(a) |
identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo; |
(b) |
kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo; |
(c) |
svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu; |
(d) |
kategorije osobnih podataka o kojima je riječ; |
(e) |
primatelje ili kategorije primatelja osobnih podataka, prema potrebi; |
(f) |
ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje; |
2. Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:
(a) |
razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje; |
(b) |
ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane; |
(c) |
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka; |
(d) |
ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena; |
(e) |
pravo na podnošenje prigovora nadzornom tijelu; |
(f) |
izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora; |
(g) |
postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika. |
3. Voditelj obrade pruža informacije iz stavaka 1. i 2.:
(a) |
unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka; |
(b) |
ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili |
(c) |
ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni. |
4. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.
5. Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:
(a) |
ispitanik već posjeduje informacije; |
(b) |
pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti; |
(c) |
dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili |
(d) |
ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu. |
Poglavlje I. ČL. 15. opće uredbe-Pravo ispitanika na pristup informacijama
Članak 15.
Pravo ispitanika na pristup
1. Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
(a) |
svrsi obrade; |
(b) |
kategorijama osobnih podataka o kojima je riječ; |
(c) |
primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama; |
(d) |
ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja; |
(e) |
postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu |
(f) |
pravu na podnošenje pritužbe nadzornom tijelu; |
(g) |
ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru; |
(h) |
postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika. |
2. Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 46. koje se odnose na prijenos.
3. Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži ispitanik voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku.
4. Pravo na dobivanje kopije iz stavka 3. ne smije negativno utjecati na prava i slobode drugih.
Čl. 49 -opće uredbe-Odstupanje od odredbi
Članak 49.
Odstupanja za posebne situacije
1. Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:
(a) |
ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera; |
(b) |
prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika; |
(c) |
prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe; |
(d) |
prijenos je nužan iz važnih razloga javnog interesa; |
(e) |
prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva; |
(f) |
prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu; |
(g) |
prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju. |
Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.
2. Prijenos na temelju prvog podstavka stavka 1. točke (g) ne uključuje osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru. Kada registar služi na uvid osobama koje imaju opravdani interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.
3. Stavak 1. prvi podstavak točke (a), (b) i (c) i stavak 1. drugi podstavak ne primjenjuju se na aktivnosti koje provode tijela javne vlasti izvršavajući svoje javne ovlasti.
4. Javni interes iz prvog podstavka stavka 1. točke (d) mora biti priznat u pravu Unije ili u pravu države članice kojem podliježe voditelj obrade.
5. Ako nije donesena odluka o primjerenosti, pravo Unije ili pravo države članice mogu, iz važnih razloga javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice dužne su obavijestiti Komisiju o takvim odredbama.
6. Voditelj obrade ili izvršitelj obrade dokumentiraju procjenu kao i odgovarajuće mjere zaštite iz stavka 1. drugog podstavka ovog članka u evidencijama iz članka 30.
Obrada podataka putem videonadzora ili web stranica
Obrada podataka putem videonadzora.
Ukoliko imate videonadzor, dužni ste obavijestiti ispitanika za što se koriste ti podatci, tko ima pristup, omogućiti ispitaniku pristup tim podatcima te koliko se dugo čuvaju i u kojim situacijama se mogu predočiti trećim osobama. Dužni ste imati jasno vidljivu naljepnicu
Web stranice su jednako podložne gdpr, te sve podatke koji nisu neophodni za vaše poslovanje izbjegavajte tražiti. To se posebno odnosi na prikupljanje podataka u cilju marketinških akcija.
Smjernice u linku za preuzimanje