Zaštita podataka

25. svibnja 2018. stupila je na snagu Opća Uredba o zaštiti podataka (General Data Protection Regulation – GDPR).

Za uvodni pregled ovoga područja preporučamo Vodič kroz opću uredbu o zaštiti podataka Agencije za zaštitu osobnih podataka.

Propisi

Regulacija zaštite podataka primjenjuje se na „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (obradu) osobnih podataka pojedinaca čiji je identitet utvrđen ili se može utvrditi (ispitanici).

Uredba se primjenjuje na organizacije u svim sektorima, na elektroničke informacije i mnoge papirnate informacije.

 

Načela

  Osobni podaci moraju biti:

a)     zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);

b)     prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. GDPR-a ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

c)     primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

d)     točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

e)     čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. GDPR-a, što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

f)      obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

 

Obavijesti o privatnosti (eng. privacy notices)

Važan aspekt usklađenosti s regulacijom zaštite podataka je otvorenost i transparentnost prema pojedincima o tome kako će se njihovi osobni podatci koristiti. Informacije o navedenome daju se putem „obavijesti o privatnosti“, „ izjava o zaštiti podataka“, „obavijesti o prikupljanju podataka“, „politika privatnosti“ i na druge načine ovisno o kontekstu interakcije s pojedincima. Ključne obavijesti o privatnosti PBF-a, od kojih svaka nosi naziv „Kako koristimo vaše osobne informacije (za…)“ dostupne su putem izbornika na ovoj stranici.

 

Prava ispitanika

Prema GDPR-u, ispitanici imaju različita prava:

  1. pravo na informiranost o načinima korištenja njihovih osobnih podataka – ta se prava obično ispunjavaju davanjem „obavijesti o privatnosti“ na gore pisani način
  2. pravo na pristup vlastitim osobnim podatcima – pristup osobnim podatcima na ovakav način nazivamo Zahtjevom za pristup
  3. pravo na ispravak netočnih osobnih podataka
  4. pravo na brisanje („zaborav“), gdje je to moguće
  5. pravo na ograničenje obrade osobnih podataka
  6. pravo na prenosivost podataka – dobivanje kopija osobnih podataka u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu
  7. pravo na prigovor: na obradu osobnih podataka, izravni marketing i obradu osobnih podataka za istraživačke svrhe kada takvo istraživanje nije u javnom interesu
  8. Pravo na izuzimanje od automatiziranog pojedinačnog donošenja odluka, uključujući izradu profila

Odgovor na zahtjev za ostvarivanjem prava dostavit će se u roku od jednog mjeseca.

 

Obveze vezane za odgovornost

Regulacija zaštite podataka definira određene obveze za voditelje obrade. Prema GDPR-u, osnovne obveze za velike voditelje obrade uključuju:

  • implementaciju politika, procedura, procesa i edukacije za promociju tehničkih i organizacijskih mjera za omogućavanje učinkovite primjene načela zaštite podataka
  • kada je to potrebno (kada postoji visoki rizik za prava i slobode pojedinca), provodi sustavnu procjenu učinka na zaštitu podataka
  • ugovorno definira dijeljenje osobnih podataka – posebice pri izdvajanju funkcija (eng. Outsourcing) koje uključuju obradu osobnih podataka i/ili prijenos osobnih podataka izvan Europskog ekonomskog područja
  • održavanje zapisa o obradi podataka koje se provodi u cijeloj organizaciji
  • dokumentiranje i izvješćivanje o povredama osobnih podataka Agenciji za zaštiti osobnih podataka (AZOP-u) i ispitanicima
  • imenovanje službenika za zaštitu osobnih podataka za savjetovanje i praćenje usklađenosti

 

Povrede osobnih podataka

Jedna od najvažnijih odgovornosti odnosi se na povrede osobnih podataka, što znači gubitak, krađu, objavljivanje trećima ili slučajno objavljivanje. Ako se povreda osobnih podataka dogodi, navedeno se mora odmah prijaviti zaposlenicima PBF-a koji će informirati

PBF će tada poduzeti radnje za ograničenje povrede. U slučaju da je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca, PBF će bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvijestiti AZOP o navedenome.

 

Politika

Politika zaštite podataka PBF-a odobrena je na 8. sjednici Fakultetskog vijeća održanoj 22. svibnja 2018.

 

Savjetovanje i edukacija

Detaljnije savjetovanje za zaposlenike PBF-a obavlja se