Zaštita osobnih podataka
Download
Report
Transcript Zaštita osobnih podataka
Zaštita osobnih podataka
u Republici Hrvatskoj
Pripremila:
Branka Bet-Radelić,
Načelnica Odjela za nadzor i pritužbe
Zagreb, travanj 2013.
Zaštita osobnih podataka
Zaštita privatnosti i ostalih ljudskih prava i temeljnih
sloboda u prikupljanju, obradi i korištenju osobnih
podataka
Osigurana je svakoj fizičkoj osobi bez obzira na
državljanstvo i prebivalište,neovisno o rasi, boji
kože, spolu, jeziku, vjeri, političkom ili drugom
uvjerenju, nacionalnom ili socijalnom podrijetlu,
imovini, rođenju, naobrazbi, društvenom položaju ili
drugim osobinama
Pravni okvir (I)
Međunarodno zakonodavstvo:
Konvencija za zaštitu osoba glede automatizirane
obrade osobnih podatka i Dodatni protokol Dodatni
Protokol uz Konvenciju 108
Direktiva 95/46 EZ o zaštiti osoba s obzirom na
postupanje s osobnim podacima te slobodnom
prometu tih podataka
Povelja temeljnih ljudskih prava Europske Unije
Pravni okvir (II)
Nacionalno zakonodavstvo:
Ustav Republike Hrvatske (“Narodne novine” br.
85/10.)
Konvencija za zaštitu osoba glede automatizirane
obrade osobnih podataka i Dodatni Protokol uz
Konvenciju
Zakon o zaštiti osobnih podataka ("Narodne novine"
br. 103/03., 118/06., 41/08. i 130/11.i 106/12.))
Uredba o načinu vođenja i obrascu evidencije o
zbirkama osobnih podataka ("Narodne novine" br.
105/04.)
Uredba o načinu pohranjivanja i posebnim mjerama
tehničke zaštite posebnih kategorija osobnih
podataka ("Narodne novine" br. 139/04.)
Značenje pojmova
Osobni podatak
Obrada osobnih podataka
Zbirka osobnih podataka
Voditelj zbirke osobnih podataka
Službenik za zaštitu osobnih podataka
Izvršitelj obrade osobnih podataka
Primatelj osobnih podataka
Osobni podatak
Svaka informacija koja se odnosi na
identificiranu fizičku osobu ili fizičku osobu
koja se može identificirati
Osoba koja se može identificirati je osoba
čiji se identitet može utvrditi izravno ili
neizravno, na osnovi identifikacijskog broja
ili jednog ili više obilježja specifičnih za
njezin fizički, psihološki, mentalni,
gospodarski, kulturni ili socijalni identitet
ime i prezime, adresa, datum rođenja, OIB,
MBG, osobna fotografija, stupanj
obrazovanja i dr.
Obrada osobnih podataka
Svaka radnja ili skup radnji izvršenih na
osobnim podacima, bilo automatskim
sredstvima ili ne, kao što su :
prikupljanje, snimanje, organiziranje,
spremanje, prilagodba ili izmjena, povlačenje,
uvid, korištenje, otkrivanje putem prijenosa,
objavljivanje ili na drugi način činjenje
dostupnim, svrstavanje ili kombiniranje,
blokiranje, brisanje ili uništavanje, te provedba
logičkih, matematičkih i drugih operacija s tim
podacima
Zbirka osobnih podataka
Svaki strukturirani skup osobnih podataka
koji je dostupan prema posebnim
kriterijima, bilo centraliziranim,
decentraliziranim, ili raspršenim na
funkcionalnom ili zemljopisnom temelju i
bez obzira na to da li je sadržan u
računalnim bazama osobnih podataka ili se
vodi primjenom drugih tehničkih pomagala
ili ručno
zbirka osobnih podataka o:
radnicima, plaćama, učenicima, dnevnik
rada, vanjskim suradnicima,
Voditelj zbirke osobnih
podataka
fizička ili pravna osoba, državno ili drugo
tijelo koje utvrđuje svrhu i način obrade
osobnih podataka
ministarstva, škole, agencije, općine,
županije, gradovi, trgovačka društva,,obrti
Primatelj(korisnik) osobnih
podataka
Fizička ili pravna osoba, državno ili drugo
tijelo kome se dostavljaju podaci na
korištenje na temelju pisanog zahtjeva
Pisani zahtjev treba sadržavati:
- svrhu obrade,
- Pravni temelj za dostavu
- Opseg podataka koji se traže
Izvršitelj obrade osobnih
podataka
Fizička ili pravna osoba, državno ili drugo
tijelo, koje obrađuje osobne podatke u ime i
po nalogu voditelja zbirke osobnih
podataka.
Pisani ugovor između voditelja zbirke i
izvršitelja obrade
Registriran za obavljanje djelatnosti
Osigurava adekvatnu zaštitu
knjigovodstveni servis za obračun plaća
Službenik za zaštitu
osobnih podataka
Osoba imenovana od strane voditelja zbirke
osobnih podataka koja vodi brigu o zakonitosti
obrade osobnih podataka i ostvarivanju prava
na zaštitu osobnih podataka
Voditelj zbirke osobnih podataka koji
zapošljava manje od 20 radnika može
imenovati službenika za zaštitu osobnih
podataka
Voditelj zbirke osobnih podataka koji
zapošljava više od 20 radnika dužan je
imenovati službenika za zaštitu osobnih
podataka
Dužnosti službenika za zaštitu
osobnih podataka
vodi brigu o zakonitosti obrade osobnih podataka
upozorava voditelja zbirke osobnih podataka na
nužnost primjene propisa o zaštiti osobnih
podataka
upoznaje sve osobe zaposlene u obradi osobnih
podataka s njihovim zakonskim obvezama u
svrhu zaštite osobnih podataka,
brine o izvršavanju obveza iz članka 14. i 17.
ovoga Zakona, te omogućava ostvarivanje prava
ispitanika iz članka 19. i 20. ovoga Zakona,
surađuje s AZOP-om
Pravni temelji za prikupljanje i
obradu osobnih podataka (I)
privola ispitanika
drugi zakon (poseban zakon)
izvršavanje zakonskih obveza voditelja
zbirke osobnih podataka
sklapanje i izvršenje ugovora u kojem je
ispitanik stranka
zaštita života ili tjelesnog integriteta
ispitanika ili druge osobe u slučaju kada
ispitanik fizički ili pravno nije mogućnosti dati
svoj pristanak na obradu osobnih podataka
Pravni temelji za prikupljanje i
obradu osobnih podataka (II)
obrada podataka nužna radi ispunjenja
zadataka koji se izvršavaju u javnom
interesu ili u izvršavanju javnih ovlasti koje
ima voditelj zbirke osobnih podataka
obrada podataka nužna u svrhu zakonitog
interesa voditelja zbirke ili treće strane,
osim kada prevladavaju interesi zaštite
temeljnih prava i sloboda ispitanika
ispitanik sam objavio te podatke
Posebne kategorije osobnih
podataka
Podaci koji se odnose na:
rasno ili etničko podrijetlo,
politička stajališta,
vjerska ili druga uvjerenja,
sindikalno članstvo,
zdravlje ili spolni život
osobnih podataka o kaznenom i
prekršajnom postupku
Obrada posebnih kategorija
osobnih podataka
Zabrana prikupljanja i daljnje obrade
Izuzeci:
Privola ispitanika
Izvršavanje prava i obveza na obveza voditelja
zbirke osobnih podataka na temelju propisa
Zaštita života ispitanika kada ispitanik ne može
dati privolu
Ako se obrada provodi u okviru djelatnosti
ustanove s političkom, vjerskom i ili drugom
svrhom ako se obrada odnosi na njihove članove
Ispitanik sam objavio te podatke
Obrada potrebna u svrhu preventivne medicine,
medicinske dijagnostike, zdravstvene skrbi,
upravljanje zdravstvenim službama
Prava ispitanika
Pravo na informaciju obrađuju li se njegovi
osobni podaci, u koju svrhu, tko su korisnici
Pravo pristupa podacima koji se obrađuju
Pravo na ispravak, izmjenu ili dopunu netočnih,
nepotpunih ili neažurnih podataka
Pravo odustati od privole dane za obradu
osobnih podataka i pravo zatražiti prestanak
daljnje obrade
Pravo usprotiviti se obradi osobnih podataka u
svrhe marketinga
Obveze voditelja zbirki
osobnih podataka (I)
informirati ispitanika:
- o identitetu voditelja zbirke, o svrsi
obrade,
- o primateljima ili kategorijama
primatelja osobnih podataka,
- radi li se o dobrovoljnom ili obveznom
davanju podataka,
- o postojanju prava na pristup podacima
te o pravu na ispravak podataka
obveza osiguravanja prava ispitanika
– rok od 30 dana
Obveze voditelja zbirki
osobnih podataka (II)
Poduzimanje: kadrovskih, organizacijskih i
tehničkih mjera zaštite osobnih podataka
razmjerno djelatnosti voditelja, primatelja i
sadržaju zbirke
Potpisivanje izjave o povjerljivosti
Poduzimanje mjera zaštite posebnih kategorija
osobnih podataka
Imenovanje službenika za zaštitu osobnih
podataka
Obveze voditelja zbirki
osobnih podataka (III)
Vođenje evidencija o zbirkama osobnih
podataka- čl. 14. Zakona o zaštiti osobnih
podataka i čl. 4. Uredbe o načinu vođenja i
obrascu evidencija o zbirkama osobnih
podataka
Dostava evidencija Agenciji radi objedinjavanja
u Središnji registar :
- elektroničkim putem
http://registar.azop.hr
- pismonosnom pošiljkom
Rok za dostavu 15 dana
Obveza dostave prethodne obavijesti o
namjeravanoj uspostavi zbirke osobnih
podataka
Glavne zadaće Agencije (I)
Nadzire provođenje zaštite osobnih podataka:
- na zahtjev ispitanika,
- na prijedlog treće osobe
- po službenoj dužnosti
Ukazuje na uočene zlouporabe prikupljanja
osobnih podataka
Sastavlja listu država i međunarodnih
organizacija koje imaju odgovarajuće uređenu
zaštitu osobnih podataka
Rješava povodom zahtjeva za utvrđivanje
povrede prava zajamčenih Zakonom o zaštiti
osobnih podataka
Glavne zadaće Agencije (II)
Vodi Središnji registar – dostupan javnosti
Daje mišljenja
Daje preporuke i prijedloge za unapređenje
zaštite osobnih podataka
Surađuje s nadležnim državnim tijelima u izradi
prijedloga propisa koji se odnosi na zaštitu
osobnih podataka
Nadzorne ovlasti Agencije
Ukoliko utvrdi da su povrijeđene odredbe Zakona
kojima se uređuje obrada osobnih podataka, Agencija
ima pravo upozoriti ili opomenuti voditelja zbirke
osobnih podataka, korisnika i izvršitelja obrade na
nezakonitosti u obradi osobnih podataka
te rješenjem:
- narediti uklanjanje nepravilnosti,
- privremeno zabraniti prikupljanje, obradu i
korištenje osobnih podataka,
- narediti brisanje osobnih podataka
prikupljenih bez pravne osnove,
- zabraniti iznošenje osobnih podataka iz
RH
Agencija ima pravo pokrenuti postupak kaznene ili
prekršajne odgovornosti
Povrede Zakona - iskustva
iz prakse (1)
NEOVLAŠTENI PRISTUP PODACIMA U E-MATICI:
Sukladno Zakonu o odgoju i obrazovanju u osnovnoj i
srednjoj školi postoji obveza školskih ustanova na vođenje
evidencijau pisanom i elektroničkom obliku (e- matica):
- upisnik učenika
- upisnik radnika (škole) E- matica za sve školske ustanove
vodi se u Ministarstvu znanosti, obrazovanja i sporta
- školske ustanove dostavljaju podatke o učenicima i
radnicima
Ministarstvo vodi zajednički upisnik
Osobni podaci u e-matici moraju biti odgovarajuće zaštićeni
od zlouporabe, neovlaštenog pristupa ili promjena podataka
( kadrovske mjere zaštite, organizacijske i tehničke mjere
zaštite)
Povrede Zakona - iskustva
iz prakse (1)
Pristup podacima i unos podataka treba
biti omogućen samo osobama koje su
za to ovlaštene od strane ministarstva
Pristup e- matici omogućen je putem
dodijeljenih lozinki i korisničkog imena
U jednoj školi nastavnici su svoje
lozinke dali učenicima koji su umjesto
njih nevlašteno unosili podatke u ematicu
nekolicini učenika na taj način bio je
omogućen uvid i imali uvid u podatke
drugih učenika iz razreda
Povrede Zakona - iskustva
iz prakse (1)
Odluka Agencije:
Agencija je utvrdila da podaci nisu
odgovarajuće zaštićeni odnosno
da je pristup podacima bio
omogućen neovlaštenim osobama
Agencija zabranila da učenici
unose podatke u e- maticu
Povrede Zakona - iskustva
iz prakse(2)
Testiranje učenika
U jednoj školi se provodilo ispitivanje učenika iz
hrvatskog i engleskog jezika u sklopu Nacionalnog
centra za vanjsko vrednovanje obrazovanja
testovi su dostavljeni u zatvorenim kuvertama
Svaki učenik je pristupao testu uz šifru, a nakon
testiranja testovi su se vraćali u Nacionalni centar
Nakon ispita koordinatorice testiranja pregledale su
testove prije slanja u Nacionalni centar, identificirale
učenike i osobno komentirale pred učenicima
postotak riješenosti testova za svakog učenika
Povrede Zakona - iskustva
iz prakse (2)
Odluka Agencije još u tijeku:
Radi se o neovlaštenom pristupu
zaštićenim podacima od strane
djelatnika škole zaduženih za
provođenje testiranja učenika koji su
bili označeni kao tajni podaci
Podaci o postignutim rezultatima
testiranja učenika su obznanjeni
unaprijed učenicima bez pravne
osnove
Povrede Zakona - iskustva
iz prakse (3)
Isticanje osobnih fotografija učenika
na web stranicama škole
Agencija postupala po pritužbama
vezanim za javno objavljivanje
osobnih fotografija djece na
internetskim stranicama škole
Za isticanje fotografija potrebna je
privola zakonskih zastupnika djece
( roditelja/staratelja)
Povrede Zakona - iskustva
iz prakse (3)
Odluka Agencije:
Bez privole zakonskih
zastupnika(roditelja/staratelja)
osobne fotografije učenika ne mogu
se objavljivati na Internetu
Naloženo uklanjanje fotografija
Povrede Zakona - iskustva
iz prakse (4)
Obrada osobnih podataka video nadzorom
postavljene video kamere koje snimaju
vanjski dio zgrade, ulaz u školu i
unutrašnjost škole
svrha video nadzora: zaštita imovine i
osoba
Prostor pod video nadzorom mora biti
propisno označen ( istaknute naljepnice da
je prostor pod video nadzorom)
Zabranjeno je snimanje prostorija u kojima
se narušava privatnost učenika i
nastavnika (učionice, prostorije u kojima se
služi hrana, sanitarne prostorije)
Povrede Zakona - iskustva
iz prakse (4)
Odrediti osobu/osobe koja ima pristup
snimljenom materijalu (video zapis)
Definirati vremensko razdoblje čuvanja
video zapisa
Nakon proteka određenog svrhe u koju
su prikupljeni video zapisi potrebno je
brisati zapise
U slučaju potrebe pojedini video zapisi
se mogu izuzeti i dati na korištenje
ovlaštenim osobama
Povrede Zakona - iskustva
iz prakse (5)
Objava natječaja – pravo uvida u
natječajnu dokumentaciju
Nakon provedenog natječaja kandidati
moraju biti obaviješteni o rezultatima
natječaja
Pravo uvida u dokumentaciju izabranog
kandidata, a samim time i pravo uvida u
njegove osobne podatke
Nije dopušten uvid u osobne podatke
drugih sudionika natječaja- zaštita njihovih
osobnih podataka i privatnosti
Povrede Zakona - iskustva
iz prakse (6)
Dostava evidencija o zbirkama
osobnih podataka u Središnji registar
Evidencije o zbici osobnih podataka
o radnicima
Evidencija o zbirci osobnih podataka
o plaćama
Evidencija o zbirci osobnih podataka
o vanjskim suradnicima
Evidencija o zbirci osobnih podataka
članova Školskog odbora
Povrede Zakona - iskustva
iz prakse (6)
Dostava evidencija o zbirkama
osobnih podataka u Središnji registar
Evidencija o zbirci osobnih podataka
o učenicima škole
Imenik učenika
Dnevnik rada
Zapisnik o razrednom, razlikovnom
ili dopunskom ispitu
Kaznene odredbe
Zapriječene novčane kazne za prekršaj za pravne
osobe :
- 20.000,00 do 40.000,00 kuna,
- 5.000,00 do 10.000,00 kuna, za odgovornu osobu u
pravnoj osobi, državnom tijelu i jedinicama lokalne
samouprave
prekoračenje ovlasti izvršitelja obrade,
davanje osobnih podataka na korištenje protivno
Zakonu
ne uspostava evidencije, dostava nepotpune evidencije
voditelja zbirke, i ne dostava evidencije AZOP-u
ne uspostavljanje odgovarajuće zaštite,
ne imenovanje službenika za zaštitu osobnih podataka
onemogućavanje Agencije u provođenju nadzora
ne postupanje po naredbi ili zabrani Agencije.
O Agenciji
Osnovana zakonom 2004. godine
pravna osoba s javnim ovlastima, koja
samostalno i neovisno obavlja poslove u
okviru djelokruga i nadležnosti utvrđenih
Zakonom o zaštiti osobnih podataka.
Nadzorno i savjetodavno tijelo koje
osigurava provedbu zaštite osobnih
podataka
Izvješće o radu podnosi Hrvatskom saboru
AGENCIJA
ZA ZAŠTITU OSOBNIH PODATAKA
Martićeva 14
10000 Zagreb
e-mail:
za pravna pitanja: [email protected]
za tehnička pitanja: [email protected]
Info telefon : (radnim danom od 10.00 -12.00)
za pravna pitanja: 01/46-090-80
za tehnička pitanja : 01/46-090-46
Web: www.azop.hr
Pitanja?