(GDPR) I RADNO PRAVO - gdpr-2018.hr i evidencija o... · 15) ugovoreno tjedno radno vrijeme, odreĎeno puno radno vrijeme, odnosno propisano skraćeno radno vrijeme u satima, 16)

OPĆA UREDBA O ZAŠTITI PODATAKA

(GDPR) I RADNO PRAVO

Predavač: Darko Graf, odvjetnik

Verlag Dashöfer d.o.o., Draškovićeva 49, Zagreb

2

ZAŠTITA OSOBNIH PODATAKA –

Temeljno ljudsko pravo

Ĉl. 37. Ustava Republike Hrvatske

Svakom se jamči sigurnost i tajnost osobnih podataka.

Bez privole ispitanika, osobni se podaci mogu

prikupljati, obraĎivati i koristiti samo uz uvjete

odreĎene zakonom.

Zakonom se ureĎuje zaštita podataka te nadzor nad

djelovanjem informatičkih sustava u državi.

Zabranjena je uporaba osobnih podataka suprotna

utvrĎenoj svrsi njihovoga prikupljanja.

3

ZAŠTITA OSOBNIH PODATAKA

Važeća regulacija – je li poslodavac voditelj zbirke?

Zakon o zaštiti osobnih podataka (Narodne novine

103/2003, 118/2006, 41/2008, 130/2011)

Voditelj zbirke osobnih podataka je fizička ili pravna osoba,

državno ili drugo tijelo koje utvrĎuje svrhu i način obrade

osobnih podataka.

Obrada osobnih podataka je svaka radnja ili skup radnji

izvršenih na osobnim podacima, bilo automatskim sredstvima

ili ne, kao što je prikupljanje, snimanje, organiziranje,

spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje,

otkrivanje putem prijenosa (...)

4


Voditelj zbirke osobnih podataka za svaku zbirku osobnih

podataka koju vodi, uspostavlja i vodi evidenciju koja sadrži

temeljne informacije o zbirci, a osobito sljedeće:

1. naziv zbirke,

2. naziv, odnosno osobno ime voditelja zbirke i njegovo sjedište,

odnosno adresu,

3. svrhu obrade,

4. pravni temelj uspostave zbirke podataka,

5. kategorije osoba na koje se podaci odnose,

6. vrste podataka sadržanih u zbirci podataka,

7. način prikupljanja i čuvanja podataka,

8. vremensko razdoblje čuvanja i uporabe podataka,

9. osobno ime, odnosno naziv korisnika zbirke, njegovu adresu,

odnosno sjedište,

10. uvoz/izvoz podataka

11. naznaku poduzetih mjera zaštite osobnih podataka.

5


Evidencije se dostavljaju Agenciji za zaštitu osobnih podataka

i objedinjavaju se u Središnjem registru kojeg vodi Agencija.

Voditelji zbirki osobnih podataka dužni su prije uspostave zbirke

osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka

obavijest o namjeravanoj uspostavi zbirke osobnih podataka

(...), a takoĎer i o svakoj daljnjoj namjeravanoj obradi tih

podataka, prije poduzimanja bilo kakvih aktivnosti obrade.

Svatko tko smatra da mu je povrijeĎeno neko pravo (...) može

podnijeti zahtjev za utvrĎivanje povrede prava Agenciji

rješenje - upravni akt.

žalba nije dopuštena, ali se može pokrenuti upravni spor.

6


Ĉl. 7. Zakona o zaštiti osobnih podataka:

Osobni podaci smiju se prikupljati i dalje obraĊivati:

– uz privolu ispitanika (samo u svrhu za koju je ispitanik dao

privolu)

– u sluĉajevima odreĊenim zakonom.

Bez privole ispitanika osobni podaci smiju se prikupljati i

dalje obraĊivati:

– u svrhu izvršavanja zakonskih obveza voditelja zbirke

osobnih podataka,

– u svrhu zaštite života ili tjelesnog integriteta ispitanika(...)

– ako je obrada podataka nužna radi ispunjenja zadataka koji se

izvršavaju u javnom interesu (...)

– ako je ispitanik sam objavio te podatke.

7


Zakon o radu (Narodne novine 93/2014, 127/2017),

stupio na snagu 7.8.2014.

Ĉlanak 5.

(1) Poslodavac je dužan voditi evidenciju o radnicima koji

su kod njega zaposleni.

(2) Evidencija iz stavka 1. ovoga članka mora sadržavati

podatke o radnicima i o radnom vremenu.

(3) Poslodavac je dužan inspektoru rada na njegov zahtjev

dostaviti podatke iz stavka 2. ovoga članka.

(4) Ministar nadležan za rad pravilnikom propisuje sadržaj i

način voĎenja evidencije(...)

8


Pravilnik o sadržaju i naĉinu voĊenja evidencije o

radnicima (Narodne novine 73/2017), stupio na

snagu 1.9.2017.

Članak 3.

1) Evidencija o radnicima poslodavca sadrži najmanje sljedeće

podatke:

1) ime i prezime,

2) osobni identifikacijski broj,

3) spol,

4) dan, mjesec i godinu roĎenja,

5) državljanstvo,

6) prebivalište, odnosno boravište,

7) dozvolu za boravak i rad ili potvrdu o prijavi rada, ako ih je

strani radnik obvezan imati,

9


8) stručno obrazovanje te posebne ispite i tečajeve koji su uvjet

za obavljanje posla (uključujući licence, certifikate i slično),

9) datum početka rada,

10) naznaku radi li se o ugovoru iz članka 61. stavka 3. i članka

62. stavka 3. Zakona o radu te broj radnih sati

11) trajanje rada u inozemstvu, država i mjesto rada, u slučaju

upućivanja radnika u inozemstvo,

12) trajanje privremenog ustupanja radnika u povezano društvo,

sjedište i mjesto rada ustupljenog radnika te država poslovnog

nastana povezanog društva, u slučaju ustupanja u

inozemstvo,

13) naznaku radi li se o poslovima na kojima se staž osiguranja

računa s povećanim trajanjem i kako,

14) mjesto rada, a ako ne postoji stalno ili glavno mjesto rada,

napomenu da se rad obavlja na različitim mjestima,

10


15) ugovoreno tjedno radno vrijeme, odreĎeno puno radno

vrijeme, odnosno propisano skraćeno radno vrijeme u satima,

16) vrijeme mirovanja radnog odnosa, neplaćenog dopusta,

rodiljnih i roditeljskih dopusta ili korištenja drugih prava u

skladu s posebnim propisom,

17) datum prestanka radnog odnosa,

18) razlog prestanka radnog odnosa.

(2) Osim podataka iz stavka 1. ovoga članka, poslodavac je

dužan voditi i druge podatke o kojima ovisi ostvarenje

pojedinih prava iz radnog odnosa ili u vezi s radnim odnosom

11


Ĉl. 29. Zakona o radu (Narodne novine 93/2014, 127/2017)

(1) Osobni podaci radnika smiju se prikupljati, obraĎivati, koristiti i

dostavljati trećim osobama samo ako je to odreĊeno ovim ili

drugim zakonom ili ako je to potrebno radi ostvarivanja prava i

obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.

(2) Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati,

obraĎivati, koristiti ili dostavljati trećim osobama radi ostvarivanja

prava i obveza iz radnoga odnosa, odnosno u vezi s radnim

odnosom, poslodavac mora unaprijed pravilnikom o radu

odrediti koje će podatke u tu svrhu prikupljati, obraĎivati, koristiti ili

dostavljati trećim osobama.

(3) Osobne podatke radnika smije prikupljati, obraĎivati, koristiti i

dostavljati trećim osobama samo poslodavac ili osoba koju za to

posebno opunomoći poslodavac.

12


Ĉl. 29. Zakona o radu (Narodne novine 93/2014, 127/2017)

(4) Pogrešno evidentirani osobni podaci moraju se odmah ispraviti.

(5) Osobni podaci za čije čuvanje više ne postoje pravni ili stvarni razlozi

moraju se brisati ili na drugi način ukloniti.

(6) Poslodavac koji zapošljava najmanje dvadeset radnika, dužan je

imenovati osobu koja mora uživati povjerenje radnika i koja je osim

njega ovlaštena nadzirati prikupljaju li se, obraĎuju, koriste i

dostavljaju trećim osobama osobni podaci u skladu sa zakonom.

(7) Poslodavac, osoba iz stavka 6. ovoga članka ili druga osoba koja u

obavljanju svojih poslova sazna osobne podatke radnika, te podatke

trajno mora čuvati kao povjerljive.

13


Promjena zakonodavnog okvira

UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I

VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s

obradom osobnih podataka i o slobodnom kretanju takvih

podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća

uredba o zaštiti podataka)

-radi ujednaĉavanja zaštite osobnih podataka na razini EU

-u primjeni od 25.5.2018. godine

-ostavlja odreĊena pitanja na regulaciju državama ĉlanicama

14



Zakon o provedbi Opće uredbe o zaštiti podataka (Konačni

prijedlog zakona je u saborskoj proceduri, po hitnom postupku,

još nije donesen niti je stupio na snagu – stanje na dan

27.4.2018.)

-stupit će na snagu 25.5.2018.

-stupanjem na snagu Zakona o provedbi Opće uredbe o zaštiti

podataka prestat će važiti Zakon o zaštiti osobnih podataka

(Narodne novine 103/2003, 118/2006, 41/2008, 130/2011)

-postupci koji su zapoĉeti po "starim" propisima (Zakonu o

zaštiti osobnih podataka), nastavit će se i dovršiti prema

odredbama toga zakona

15



Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će

na snagu 25.5.2018.)

-"tijela javne vlasti" - tijela državne uprave i druga državna tijela,

te jedinice lokalne i područne (regionalne) samouprave

-propisano je unutarnje ustrojstvo Agencije za zaštitu osobnih

podataka

-državno tijelo koje nastavlja s radom pod istim nazivom, dok će

njezini zaposlenici postati državni službenici ili namještenici

-nadležna za kontrolu provedbe Opće uredbe o zaštiti

podataka i Zakona o prvedbi Opće uredbe (...)

16




na snagu 25.5.2018.)

-ograniĉava se obrada biometrijskih podataka na:

-slučajeve propisane zakonom ili

-slučajeve u kojima je takva obrada nužna radi zaštite

osoba, imovine, klasificiranih podataka ili poslovnih tajni,

ali uvijek: uzimajući u obzir da ne prevladavaju interesi ispitanika

koji su u suprotnosti s obradom biometrijskih podataka!

(srazmjernost i svrhovitost obrade podataka)

17




na snagu 25.5.2018.)

-obrada biometrijskih podataka:

-u svrhu evidentiranja radnog vremena,

-ulaska ili izlaska iz službenih prostorija,

moguća je samo

-ako je propisana zakonom ili

-provodi se alternativno drugom rješenju za evidentiranje

radnog vremena ili ulaska i izlaska iz službenih prostorija i

(kumulativno) ako je zaposlenik dao izriĉitu privolu za

takvu obradu;

18




na snagu 25.5.2018.)

-obrada osobnih podataka putem video nadzora:

-vidljiva oznaka (slika, naljepnica) da je prostor pod

video nadzorom vidljiva najkasnije prilikom ulaska u perimetar

snimanja ("posebno jednostavna i lako razumljiva uz tekst kojim

se ispitanicima pružaju informacije da je prostor pod video

nadzorom, podaci o voditelju obrade i kontakt podaci putem kojih

ispitanik može ostariti svoja prava"), te

-pisana obavijest koja treba sadržavati sve relevantne

informacije sukladno odredbi čl. 13. Opće uredbe.

19




na snagu 25.5.2018.)


čl. 13. Opće uredbe:

-identitet i kontaktne podatke voditelja obrade

-kontaktni podatci službenika za zaštitu osobnih podataka

-svrha obrade i pravna osnova te obrade

-legitimni interesi voditelja obrade

-primatelji ili kategorije primatelja osobnih podataka;

-razdoblje pohrane podataka;

-uputa o pravu na pristup, ispravak, brisanje, ograničavanje

obrade

-pravo na prigovor nadležnom tijelu (Agenciji)

-itd.

20




na snagu 25.5.2018.)


-pristup podacima prikupljenim putem video nadzora ima

odgovorna osoba voditelja/izvršitelja obrade ili osoba koju on

odredi

-prikupljeni podaci ne smiju se koristiti suprotno svrsi

-sustav video nadzora mora biti zaštićen od pristupa neovlaštenih

osoba

-obveza uspostavljanja automatiziranog sustava zapisa za

evidentiranje pristupa snimkama video nadzora koji sadrži

vrijeme i mjesto pristupa, te oznaku osoba koje su izvršile pristup

podacima

21




na snagu 25.5.2018.)


-kršenje pravila o obradi osobnih podataka putem video nadzora

podložno je izricanju upravne novčane kazne u iznosu od

50.000,00 kuna

-podaci prikupljeni video nadzorom mogu se ĉuvati najdulje 6

(šest) mjeseci;

-radnike se mora prethodno obavijestiti o takvoj mjeri i

informirati ih prije donošenja odluke o postavljanju sustava

video nadzora, s tim da video nadzor ne smije obuhvaćati

prostorije za odmor, osobnu higijenu i presvlaĉenje

22



ĉl. 43. Zakona o zaštiti na radu (Narodne novine broj 71/2014,

118/2014, 154/2014),

(1) Poslodavac smije koristiti nadzorne ureĊaje kao sredstvo zaštite

na radu pod uvjetima propisanima ovim Zakonom.

(2) Dopušteno je korištenje nadzornih ureĎaja radi kontrole ulazaka i

izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti

radnika riziku od razbojstva, provala, nasilja, kraĊa i sličnih dogaĎaja

na radu ili u vezi s radom.

(3) Zabranjeno je postavljanje nadzornih ureĎaja u prostorijama za

osobnu higijenu i presvlačenje radnika.

23



ĉl. 43. Zakona o zaštiti na radu (Narodne novine broj 71/2014,

118/2014, 154/2014),

4) Ako nadzorni ureĎaji čitavo radno vrijeme prate sve pokrete radnika

tijekom obavljanja poslova (...) – potrebna je prethodna suglasnost

radniĉkog vijeća.

(...)

(6) Poslodavac je obvezan prilikom zapošljavanja pisanim putem

obavijestiti radnika da će biti nadziran nadzornim audio, odnosno video

ureĎajima.

(7) Poslodavac ne smije koristiti snimljene materijale u svrhe koje nisu

propisane ovim člankom, ne smije ih emitirati u javnosti niti pred

osobama koje nemaju ovlasti na nadzor opće sigurnosti i zaštite na radu

te je obvezan osigurati da snimljeni materijali ne budu dostupni

neovlaštenim osobama.

24



Važnije iz Opće uredbe o zaštiti podataka:

-primjenjuje se na svaku obradu podataka u EU

- poduzetnici s poslovnim nastanom u EU

-poduzetnici s poslovnim nastanom izvan EU, tzv. "treće države"-

(ali s imenovanim predstavnikom u EU)

- privola ispitanika mora biti dana jasnom potvrdnom radnjom kojim se

izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak

ispitanika (nije privola: šutnja, pasivnost ispitanika i sl.)

- pisana izjava;

-usmena izjava

-elektroniĉka poruka

-oznaĉavanje polja kvaĉicom

Voditelj obrade mora moći dokazati da je ispitanik dao privolu!

25




-obrada podataka mora biti zakonita, poštena i transparentna

Moguće pravne osnove obrade podataka (zakonitost obrade):

-ispitanik je dao privolu;

-obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili

kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja

ugovora;

-obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

-obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge

fizičke osobe;

-obrada je nužna za izvršavanje zadaće od javnog interesa ili pri

izvršavanju službene ovlasti voditelja obrade;

-obrada je nužna za potrebe legitimnog interesa voditelja obrade ili treće

strane, osim kada su od tih interesa jači interesi ili temeljna prava i

slobodne ispitanika koji zahtijevaju zaštitu osobnih podataka,

osobito ako je ispitanik dijete.

26




-obveza voĊenja evidencije o aktivnostima obrade pod svojom

odgovornošću radi dokazivanja sukladnosti s Općom uredbom o zaštiti

podataka

Sadržaj evidencije o aktivnostima obrade:

-ime i kontaktni podaci voditelja obrade

-svrha obrade

-opis kategorija ispitanika i kategorija osobnih podataka

-kategorija primatelja kojima su osobni podaci otkriveni

-prijenos osobnih podataka u treću zemlju ili meĎ. organizaciju

-predviĎeni rokovi za brisanje različitih kategorija podataka

-opis tehničkih i organizacijskih sigurnosnih mjera

27




-službenik za zaštitu osobnih podataka obvezan u sluĉajevima:

a) obradu provodi tijelo javne vlasti ili javno tijelo;

b) osnovna djelatnost voditelja/izvršitelja obrade sastoji se od

postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju

redovito i sustavno praćenje ispitanika u velikoj mjeri;

c) osnovne djelatnosti voditelja/izvršitelja obrade sastoje se od

opsežne obrade posebnih kategorija podataka iz čl. 9. Uredbe i osobnih

podataka u vezi s kaznenim osudama i kažnjivim djelima iz čl. 10.

Preporuka Europske komisije u vezi provedbe Opće uredbe jest da

svaki voditelj obrade imenuje službenika za zaštitu osobnih podataka.

28




-službenik za zaštitu osobnih podataka:

-više voditelja obrade može imati jednog službenika;

-može biti radnik voditelja, ali i ne mora (ugovor o djelu);

-stručne kvalifikacije (stručno znanje o pravu i praksama u

području zaštite podataka, sposobnost izvršavanja zadaća službenika

propisanih Uredbom);

-odgovoran izravno najvišoj razini upravljanja kod voditelja;

-obvezan čuvati kao tajnu sve što sazna, na neograničeno

vrijeme;

-informira i savjetuje voditelja o obvezama iz Uredbe i propisa;

-prati poštivanje i provedbu Uredbe i propisa;

-pruža savjete o procjeni učinka na zaštitu podataka;

-suraĎuje s nadzornim tijelom (u RH: Agencijom)

-djeluje kao kontaktna točka za nadzorno tijelo o pitanjima

obrade

29



Zakljuĉno pred poĉetak primjene Uredbe, poslodavci bi trebali:

-kroz ugovore o radu sa svakim radnikom ili kroz odgovarajuću izmjenu

pravilnika o radu, predvidjeti koje će toĉno podatke uzimati kod

zasnivanja radnog odnosa i za njegovog trajanja, temeljem kojeg će

točno propisa to činiti (pravni temelj obrade), u koje će svrhe koristiti te

podatke, tko su sve korisnici tih podataka itd.;

-sve radnike obvezati ugovornom klauzulom ili odgovarajućom

odredbom Pravilnika na ĉuvanje strogom tajnom svih osobnih

podataka drugih koje saznaju tijekom radnog odnosa

-imenovati službenika za zaštitu osobnih podataka i o tome

obavijestiti Agenciju

-donijeti Pravilnik o zaštiti osobnih podataka koji će sadržavati

elemente propisane za evidenciju aktivnosti obrade (v. slajd br. 26 ove

prezentacije; primjerice: broj i naziv zbirki koje se vode, koje podatke

sadrži svaka pojedina zbirka, mjere zaštite podataka itd.)

30

Hvala na pažnji!

Verlag Dashöfer, Draškovićeva 49, Zagreb

Documents

(GDPR) I RADNO PRAVO - gdpr-2018.hr i evidencija o... · 15) ugovoreno tjedno radno vrijeme, odreĎeno puno radno vrijeme, odnosno propisano skraćeno radno vrijeme u satima, 16)