Upload
dokhuong
View
218
Download
0
Embed Size (px)
Citation preview
OPĆA UREDBA O ZAŠTITI PODATAKA
(GDPR) I RADNO PRAVO
Predavač: Darko Graf, odvjetnik
Verlag Dashöfer d.o.o., Draškovićeva 49, Zagreb
2
ZAŠTITA OSOBNIH PODATAKA –
Temeljno ljudsko pravo
Ĉl. 37. Ustava Republike Hrvatske
Svakom se jamči sigurnost i tajnost osobnih podataka.
Bez privole ispitanika, osobni se podaci mogu
prikupljati, obraĎivati i koristiti samo uz uvjete
odreĎene zakonom.
Zakonom se ureĎuje zaštita podataka te nadzor nad
djelovanjem informatičkih sustava u državi.
Zabranjena je uporaba osobnih podataka suprotna
utvrĎenoj svrsi njihovoga prikupljanja.
3
ZAŠTITA OSOBNIH PODATAKA
Važeća regulacija – je li poslodavac voditelj zbirke?
Zakon o zaštiti osobnih podataka (Narodne novine
103/2003, 118/2006, 41/2008, 130/2011)
Voditelj zbirke osobnih podataka je fizička ili pravna osoba,
državno ili drugo tijelo koje utvrĎuje svrhu i način obrade
osobnih podataka.
Obrada osobnih podataka je svaka radnja ili skup radnji
izvršenih na osobnim podacima, bilo automatskim sredstvima
ili ne, kao što je prikupljanje, snimanje, organiziranje,
spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje,
otkrivanje putem prijenosa (...)
4
ZAŠTITA OSOBNIH PODATAKA
Voditelj zbirke osobnih podataka za svaku zbirku osobnih
podataka koju vodi, uspostavlja i vodi evidenciju koja sadrži
temeljne informacije o zbirci, a osobito sljedeće:
1. naziv zbirke,
2. naziv, odnosno osobno ime voditelja zbirke i njegovo sjedište,
odnosno adresu,
3. svrhu obrade,
4. pravni temelj uspostave zbirke podataka,
5. kategorije osoba na koje se podaci odnose,
6. vrste podataka sadržanih u zbirci podataka,
7. način prikupljanja i čuvanja podataka,
8. vremensko razdoblje čuvanja i uporabe podataka,
9. osobno ime, odnosno naziv korisnika zbirke, njegovu adresu,
odnosno sjedište,
10. uvoz/izvoz podataka
11. naznaku poduzetih mjera zaštite osobnih podataka.
5
ZAŠTITA OSOBNIH PODATAKA
Evidencije se dostavljaju Agenciji za zaštitu osobnih podataka
i objedinjavaju se u Središnjem registru kojeg vodi Agencija.
Voditelji zbirki osobnih podataka dužni su prije uspostave zbirke
osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka
obavijest o namjeravanoj uspostavi zbirke osobnih podataka
(...), a takoĎer i o svakoj daljnjoj namjeravanoj obradi tih
podataka, prije poduzimanja bilo kakvih aktivnosti obrade.
Svatko tko smatra da mu je povrijeĎeno neko pravo (...) može
podnijeti zahtjev za utvrĎivanje povrede prava Agenciji
rješenje - upravni akt.
žalba nije dopuštena, ali se može pokrenuti upravni spor.
6
ZAŠTITA OSOBNIH PODATAKA
Ĉl. 7. Zakona o zaštiti osobnih podataka:
Osobni podaci smiju se prikupljati i dalje obraĊivati:
– uz privolu ispitanika (samo u svrhu za koju je ispitanik dao
privolu)
– u sluĉajevima odreĊenim zakonom.
Bez privole ispitanika osobni podaci smiju se prikupljati i
dalje obraĊivati:
– u svrhu izvršavanja zakonskih obveza voditelja zbirke
osobnih podataka,
– u svrhu zaštite života ili tjelesnog integriteta ispitanika(...)
– ako je obrada podataka nužna radi ispunjenja zadataka koji se
izvršavaju u javnom interesu (...)
– ako je ispitanik sam objavio te podatke.
7
ZAŠTITA OSOBNIH PODATAKA
Zakon o radu (Narodne novine 93/2014, 127/2017),
stupio na snagu 7.8.2014.
Ĉlanak 5.
(1) Poslodavac je dužan voditi evidenciju o radnicima koji
su kod njega zaposleni.
(2) Evidencija iz stavka 1. ovoga članka mora sadržavati
podatke o radnicima i o radnom vremenu.
(3) Poslodavac je dužan inspektoru rada na njegov zahtjev
dostaviti podatke iz stavka 2. ovoga članka.
(4) Ministar nadležan za rad pravilnikom propisuje sadržaj i
način voĎenja evidencije(...)
8
ZAŠTITA OSOBNIH PODATAKA
Pravilnik o sadržaju i naĉinu voĊenja evidencije o
radnicima (Narodne novine 73/2017), stupio na
snagu 1.9.2017.
Članak 3.
1) Evidencija o radnicima poslodavca sadrži najmanje sljedeće
podatke:
1) ime i prezime,
2) osobni identifikacijski broj,
3) spol,
4) dan, mjesec i godinu roĎenja,
5) državljanstvo,
6) prebivalište, odnosno boravište,
7) dozvolu za boravak i rad ili potvrdu o prijavi rada, ako ih je
strani radnik obvezan imati,
9
ZAŠTITA OSOBNIH PODATAKA
8) stručno obrazovanje te posebne ispite i tečajeve koji su uvjet
za obavljanje posla (uključujući licence, certifikate i slično),
9) datum početka rada,
10) naznaku radi li se o ugovoru iz članka 61. stavka 3. i članka
62. stavka 3. Zakona o radu te broj radnih sati
11) trajanje rada u inozemstvu, država i mjesto rada, u slučaju
upućivanja radnika u inozemstvo,
12) trajanje privremenog ustupanja radnika u povezano društvo,
sjedište i mjesto rada ustupljenog radnika te država poslovnog
nastana povezanog društva, u slučaju ustupanja u
inozemstvo,
13) naznaku radi li se o poslovima na kojima se staž osiguranja
računa s povećanim trajanjem i kako,
14) mjesto rada, a ako ne postoji stalno ili glavno mjesto rada,
napomenu da se rad obavlja na različitim mjestima,
10
ZAŠTITA OSOBNIH PODATAKA
15) ugovoreno tjedno radno vrijeme, odreĎeno puno radno
vrijeme, odnosno propisano skraćeno radno vrijeme u satima,
16) vrijeme mirovanja radnog odnosa, neplaćenog dopusta,
rodiljnih i roditeljskih dopusta ili korištenja drugih prava u
skladu s posebnim propisom,
17) datum prestanka radnog odnosa,
18) razlog prestanka radnog odnosa.
(2) Osim podataka iz stavka 1. ovoga članka, poslodavac je
dužan voditi i druge podatke o kojima ovisi ostvarenje
pojedinih prava iz radnog odnosa ili u vezi s radnim odnosom
11
ZAŠTITA OSOBNIH PODATAKA
Ĉl. 29. Zakona o radu (Narodne novine 93/2014, 127/2017)
(1) Osobni podaci radnika smiju se prikupljati, obraĎivati, koristiti i
dostavljati trećim osobama samo ako je to odreĊeno ovim ili
drugim zakonom ili ako je to potrebno radi ostvarivanja prava i
obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.
(2) Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati,
obraĎivati, koristiti ili dostavljati trećim osobama radi ostvarivanja
prava i obveza iz radnoga odnosa, odnosno u vezi s radnim
odnosom, poslodavac mora unaprijed pravilnikom o radu
odrediti koje će podatke u tu svrhu prikupljati, obraĎivati, koristiti ili
dostavljati trećim osobama.
(3) Osobne podatke radnika smije prikupljati, obraĎivati, koristiti i
dostavljati trećim osobama samo poslodavac ili osoba koju za to
posebno opunomoći poslodavac.
12
ZAŠTITA OSOBNIH PODATAKA
Ĉl. 29. Zakona o radu (Narodne novine 93/2014, 127/2017)
(4) Pogrešno evidentirani osobni podaci moraju se odmah ispraviti.
(5) Osobni podaci za čije čuvanje više ne postoje pravni ili stvarni razlozi
moraju se brisati ili na drugi način ukloniti.
(6) Poslodavac koji zapošljava najmanje dvadeset radnika, dužan je
imenovati osobu koja mora uživati povjerenje radnika i koja je osim
njega ovlaštena nadzirati prikupljaju li se, obraĎuju, koriste i
dostavljaju trećim osobama osobni podaci u skladu sa zakonom.
(7) Poslodavac, osoba iz stavka 6. ovoga članka ili druga osoba koja u
obavljanju svojih poslova sazna osobne podatke radnika, te podatke
trajno mora čuvati kao povjerljive.
13
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I
VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s
obradom osobnih podataka i o slobodnom kretanju takvih
podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća
uredba o zaštiti podataka)
-radi ujednaĉavanja zaštite osobnih podataka na razini EU
-u primjeni od 25.5.2018. godine
-ostavlja odreĊena pitanja na regulaciju državama ĉlanicama
14
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (Konačni
prijedlog zakona je u saborskoj proceduri, po hitnom postupku,
još nije donesen niti je stupio na snagu – stanje na dan
27.4.2018.)
-stupit će na snagu 25.5.2018.
-stupanjem na snagu Zakona o provedbi Opće uredbe o zaštiti
podataka prestat će važiti Zakon o zaštiti osobnih podataka
(Narodne novine 103/2003, 118/2006, 41/2008, 130/2011)
-postupci koji su zapoĉeti po "starim" propisima (Zakonu o
zaštiti osobnih podataka), nastavit će se i dovršiti prema
odredbama toga zakona
15
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-"tijela javne vlasti" - tijela državne uprave i druga državna tijela,
te jedinice lokalne i područne (regionalne) samouprave
-propisano je unutarnje ustrojstvo Agencije za zaštitu osobnih
podataka
-državno tijelo koje nastavlja s radom pod istim nazivom, dok će
njezini zaposlenici postati državni službenici ili namještenici
-nadležna za kontrolu provedbe Opće uredbe o zaštiti
podataka i Zakona o prvedbi Opće uredbe (...)
16
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-ograniĉava se obrada biometrijskih podataka na:
-slučajeve propisane zakonom ili
-slučajeve u kojima je takva obrada nužna radi zaštite
osoba, imovine, klasificiranih podataka ili poslovnih tajni,
ali uvijek: uzimajući u obzir da ne prevladavaju interesi ispitanika
koji su u suprotnosti s obradom biometrijskih podataka!
(srazmjernost i svrhovitost obrade podataka)
17
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-obrada biometrijskih podataka:
-u svrhu evidentiranja radnog vremena,
-ulaska ili izlaska iz službenih prostorija,
moguća je samo
-ako je propisana zakonom ili
-provodi se alternativno drugom rješenju za evidentiranje
radnog vremena ili ulaska i izlaska iz službenih prostorija i
(kumulativno) ako je zaposlenik dao izriĉitu privolu za
takvu obradu;
18
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-obrada osobnih podataka putem video nadzora:
-vidljiva oznaka (slika, naljepnica) da je prostor pod
video nadzorom vidljiva najkasnije prilikom ulaska u perimetar
snimanja ("posebno jednostavna i lako razumljiva uz tekst kojim
se ispitanicima pružaju informacije da je prostor pod video
nadzorom, podaci o voditelju obrade i kontakt podaci putem kojih
ispitanik može ostariti svoja prava"), te
-pisana obavijest koja treba sadržavati sve relevantne
informacije sukladno odredbi čl. 13. Opće uredbe.
19
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-obrada osobnih podataka putem video nadzora:
čl. 13. Opće uredbe:
-identitet i kontaktne podatke voditelja obrade
-kontaktni podatci službenika za zaštitu osobnih podataka
-svrha obrade i pravna osnova te obrade
-legitimni interesi voditelja obrade
-primatelji ili kategorije primatelja osobnih podataka;
-razdoblje pohrane podataka;
-uputa o pravu na pristup, ispravak, brisanje, ograničavanje
obrade
-pravo na prigovor nadležnom tijelu (Agenciji)
-itd.
20
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-obrada osobnih podataka putem video nadzora:
-pristup podacima prikupljenim putem video nadzora ima
odgovorna osoba voditelja/izvršitelja obrade ili osoba koju on
odredi
-prikupljeni podaci ne smiju se koristiti suprotno svrsi
-sustav video nadzora mora biti zaštićen od pristupa neovlaštenih
osoba
-obveza uspostavljanja automatiziranog sustava zapisa za
evidentiranje pristupa snimkama video nadzora koji sadrži
vrijeme i mjesto pristupa, te oznaku osoba koje su izvršile pristup
podacima
21
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakon o provedbi Opće uredbe o zaštiti podataka (stupit će
na snagu 25.5.2018.)
-obrada osobnih podataka putem video nadzora:
-kršenje pravila o obradi osobnih podataka putem video nadzora
podložno je izricanju upravne novčane kazne u iznosu od
50.000,00 kuna
-podaci prikupljeni video nadzorom mogu se ĉuvati najdulje 6
(šest) mjeseci;
-radnike se mora prethodno obavijestiti o takvoj mjeri i
informirati ih prije donošenja odluke o postavljanju sustava
video nadzora, s tim da video nadzor ne smije obuhvaćati
prostorije za odmor, osobnu higijenu i presvlaĉenje
22
ZAŠTITA OSOBNIH PODATAKA
-obrada osobnih podataka putem video nadzora:
ĉl. 43. Zakona o zaštiti na radu (Narodne novine broj 71/2014,
118/2014, 154/2014),
(1) Poslodavac smije koristiti nadzorne ureĊaje kao sredstvo zaštite
na radu pod uvjetima propisanima ovim Zakonom.
(2) Dopušteno je korištenje nadzornih ureĎaja radi kontrole ulazaka i
izlazaka iz radnih prostorija i prostora te radi smanjenja izloženosti
radnika riziku od razbojstva, provala, nasilja, kraĊa i sličnih dogaĎaja
na radu ili u vezi s radom.
(3) Zabranjeno je postavljanje nadzornih ureĎaja u prostorijama za
osobnu higijenu i presvlačenje radnika.
23
ZAŠTITA OSOBNIH PODATAKA
-obrada osobnih podataka putem video nadzora:
ĉl. 43. Zakona o zaštiti na radu (Narodne novine broj 71/2014,
118/2014, 154/2014),
4) Ako nadzorni ureĎaji čitavo radno vrijeme prate sve pokrete radnika
tijekom obavljanja poslova (...) – potrebna je prethodna suglasnost
radniĉkog vijeća.
(...)
(6) Poslodavac je obvezan prilikom zapošljavanja pisanim putem
obavijestiti radnika da će biti nadziran nadzornim audio, odnosno video
ureĎajima.
(7) Poslodavac ne smije koristiti snimljene materijale u svrhe koje nisu
propisane ovim člankom, ne smije ih emitirati u javnosti niti pred
osobama koje nemaju ovlasti na nadzor opće sigurnosti i zaštite na radu
te je obvezan osigurati da snimljeni materijali ne budu dostupni
neovlaštenim osobama.
24
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Važnije iz Opće uredbe o zaštiti podataka:
-primjenjuje se na svaku obradu podataka u EU
- poduzetnici s poslovnim nastanom u EU
-poduzetnici s poslovnim nastanom izvan EU, tzv. "treće države"-
(ali s imenovanim predstavnikom u EU)
- privola ispitanika mora biti dana jasnom potvrdnom radnjom kojim se
izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak
ispitanika (nije privola: šutnja, pasivnost ispitanika i sl.)
- pisana izjava;
-usmena izjava
-elektroniĉka poruka
-oznaĉavanje polja kvaĉicom
Voditelj obrade mora moći dokazati da je ispitanik dao privolu!
25
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Važnije iz Opće uredbe o zaštiti podataka:
-obrada podataka mora biti zakonita, poštena i transparentna
Moguće pravne osnove obrade podataka (zakonitost obrade):
-ispitanik je dao privolu;
-obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili
kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja
ugovora;
-obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
-obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge
fizičke osobe;
-obrada je nužna za izvršavanje zadaće od javnog interesa ili pri
izvršavanju službene ovlasti voditelja obrade;
-obrada je nužna za potrebe legitimnog interesa voditelja obrade ili treće
strane, osim kada su od tih interesa jači interesi ili temeljna prava i
slobodne ispitanika koji zahtijevaju zaštitu osobnih podataka,
osobito ako je ispitanik dijete.
26
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Važnije iz Opće uredbe o zaštiti podataka:
-obveza voĊenja evidencije o aktivnostima obrade pod svojom
odgovornošću radi dokazivanja sukladnosti s Općom uredbom o zaštiti
podataka
Sadržaj evidencije o aktivnostima obrade:
-ime i kontaktni podaci voditelja obrade
-svrha obrade
-opis kategorija ispitanika i kategorija osobnih podataka
-kategorija primatelja kojima su osobni podaci otkriveni
-prijenos osobnih podataka u treću zemlju ili meĎ. organizaciju
-predviĎeni rokovi za brisanje različitih kategorija podataka
-opis tehničkih i organizacijskih sigurnosnih mjera
27
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Važnije iz Opće uredbe o zaštiti podataka:
-službenik za zaštitu osobnih podataka obvezan u sluĉajevima:
a) obradu provodi tijelo javne vlasti ili javno tijelo;
b) osnovna djelatnost voditelja/izvršitelja obrade sastoji se od
postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju
redovito i sustavno praćenje ispitanika u velikoj mjeri;
c) osnovne djelatnosti voditelja/izvršitelja obrade sastoje se od
opsežne obrade posebnih kategorija podataka iz čl. 9. Uredbe i osobnih
podataka u vezi s kaznenim osudama i kažnjivim djelima iz čl. 10.
Preporuka Europske komisije u vezi provedbe Opće uredbe jest da
svaki voditelj obrade imenuje službenika za zaštitu osobnih podataka.
28
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Važnije iz Opće uredbe o zaštiti podataka:
-službenik za zaštitu osobnih podataka:
-više voditelja obrade može imati jednog službenika;
-može biti radnik voditelja, ali i ne mora (ugovor o djelu);
-stručne kvalifikacije (stručno znanje o pravu i praksama u
području zaštite podataka, sposobnost izvršavanja zadaća službenika
propisanih Uredbom);
-odgovoran izravno najvišoj razini upravljanja kod voditelja;
-obvezan čuvati kao tajnu sve što sazna, na neograničeno
vrijeme;
-informira i savjetuje voditelja o obvezama iz Uredbe i propisa;
-prati poštivanje i provedbu Uredbe i propisa;
-pruža savjete o procjeni učinka na zaštitu podataka;
-suraĎuje s nadzornim tijelom (u RH: Agencijom)
-djeluje kao kontaktna točka za nadzorno tijelo o pitanjima
obrade
29
ZAŠTITA OSOBNIH PODATAKA
Promjena zakonodavnog okvira
Zakljuĉno pred poĉetak primjene Uredbe, poslodavci bi trebali:
-kroz ugovore o radu sa svakim radnikom ili kroz odgovarajuću izmjenu
pravilnika o radu, predvidjeti koje će toĉno podatke uzimati kod
zasnivanja radnog odnosa i za njegovog trajanja, temeljem kojeg će
točno propisa to činiti (pravni temelj obrade), u koje će svrhe koristiti te
podatke, tko su sve korisnici tih podataka itd.;
-sve radnike obvezati ugovornom klauzulom ili odgovarajućom
odredbom Pravilnika na ĉuvanje strogom tajnom svih osobnih
podataka drugih koje saznaju tijekom radnog odnosa
-imenovati službenika za zaštitu osobnih podataka i o tome
obavijestiti Agenciju
-donijeti Pravilnik o zaštiti osobnih podataka koji će sadržavati
elemente propisane za evidenciju aktivnosti obrade (v. slajd br. 26 ove
prezentacije; primjerice: broj i naziv zbirki koje se vode, koje podatke
sadrži svaka pojedina zbirka, mjere zaštite podataka itd.)
30
Hvala na pažnji!
Verlag Dashöfer, Draškovićeva 49, Zagreb