|
Zakon o
izmjenama i dopunama Zakona o zaštiti osobnih podataka objavljen je u Narodnim
novinama br. 41/08 od 9. travnja 2008., a stupio je na snagu osmog dana od
objave. Iako je u pitanju opsegom vrlo kratka izmjena i dopuna, zbog važnosti
materije, zakonom uređene mogućnosti imenovanja službenika za zaštitu osobnih
podataka i činjenice da se odnosi na sve subjekte koji raspolažu osobnim
podacima, zaslužuje odgovarajući osvrt.
1. Novi pojmovi
Zakon
o izmjenama i dopunama Zakona o zaštiti osobnih podataka
(dalje: Zakon o izmjenama i dopunama ZZOP-a) je u svom čl. 1. nadopunio
definiciju osobnog podatka, dodavši u nju identifikacijski broj. Nova
definicija iz čl. 2. st.
1. t. 1. Zakona o zaštiti osobnih podataka (dalje ZZOP) glasi (dopune masnim
slovima): „Osobni podatak je svaka informacija koja se odnosi na identificiranu
fizičku osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu:
ispitanik); osoba koja se može identificirati je osoba čiji se identitet može
utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih
za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni
identitet.“ Iako je na prvi pogled dopuna mala, ona bitno proširuje opseg pojma
osobnog podatka, uključujući u njega izričito sve identifikacijske brojeve
osobe: od matičnog broja građana (MBG), preko broja kreditne ili debitne
kartice do primjerice serijskog broja članke iskaznice nekog sportskog društva.
Nadalje, čl. 2. st. 1. ZZOP-a nadopunjen je točkom 7., kojom
se uvodi pojam službenika za zaštitu osobnih podataka: „Službenik za zaštitu
osobnih podataka je osoba imenovana od strane voditelja zbirke osobnih podataka
koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na
zaštitu osobnih podataka.“
2. Prikupljanje i obrada osobnih podataka
Zakonom o izmjenama o dopunama ZZOP-a u potpunosti je
izmijenjen čl. 7. ZZOP-a, koji govori o prikupljanju i obradi osobnih podatka.
Prema novom tekstu, osobni podaci smiju se prikupljati i dalje obrađivati: uz
privolu ispitanika samo u svrhu za koju je ispitanik dao privolu; ili u
slučajevima određenim zakonom; ili u svrhu izvršavanja zakonskih obveza
voditelja zbirke osobnih podataka; ili u svrhu sklapanja i izvršenja ugovora u
kojem je ispitanik stranka; ili u svrhu zaštite života ili tjelesnog
integriteta ispitanika ili druge osobe u slučaju kada ispitanik fizički ili
pravno nije u mogućnosti dati svoj pristanak; ili ako je obrada podataka nužna
radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u izvršavanju
javnih ovlasti koje ima voditelj zbirke osobnih podataka; ili ako je ispitanik
sam objavio te podatke (novi čl. 7.
st. 1.).
Prema novom čl. 7. st. 2. u slučaju iz stavka 1. podstavka 1. i
7. istog članka (to su slučajevi kada je ispitanik dao privolu i kada se sam
objavio podatke) ispitanik ima pravo u svako doba odustati od dane privole i
zatražiti prestanak daljnje obrade njegovih podataka, osim ako se radi o obradi
podataka u statističke svrhe kada osobni podaci više ne omogućuju
identifikaciju osobe na koju se odnose.
Nadalje se propisuje (novi čl. 7. st. 3.) kako se osobni
podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje
obrađivati u skladu s ovim Zakonom i uz posebne mjere zaštite propisane
posebnim zakonima.
3. Iznošenje osobnih podataka iz Republike Hrvatske
Zakonom o izmjenama o dopunama ZZOP-a izmijenjen je i
dopunjen čl. 13. ZZOP-a, koji govori o iznošenju osobnih podataka iz Republike
Hrvatske. Prema tom članku zbirke osobnih podataka, odnosno osobni podaci
sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u
svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se
osobni podaci iznose ima odgovarajuće uređenu zaštitu osobnih podataka, odnosno
osiguranu adekvatnu razinu zaštite (čl. 13. st. 1.).
Dopuna ZZOP-a se odnosi na izuzetke od odredbe čl. 13. st. 1. navedene u čl. 13. st. 4. U novom tekstu se
navodi kako se iznimno od stavka 1. osobni podaci sadržani u zbirkama osobnih
podataka smiju se iznositi iz Republike Hrvatske u države ili međunarodne
organizacije koje ne osiguravaju adekvatnu razinu zaštite u smislu stavka 2.
ovoga članka samo u slučajevima (dopune masnim slovima): ako je ispitanik dao
privolu za iznošenje podataka koji se na njega odnose samo u svrhu za koju je ispitanik dao privolu; ili ako je iznošenje nužno u svrhu zaštite
života ili tjelesnog integriteta ispitanika; ili ako voditelj zbirke pruži
dovoljna jamstva glede zaštite privatnosti i temeljnih prava i sloboda
pojedinaca, koja mogu proizlaziti iz ugovornih odredaba, za koja Agencija za
zaštitu osobnih podataka utvrdi da su odgovarajuća u skladu s važećim propisima
kojima se uređuje zaštita osobnih podataka; ili ako je iznošenje podataka potrebno radi izvršenja ugovora između
voditelja zbirke osobnih podataka i ispitanika ili provedbe predugovornih mjera
poduzetih na zahtjev ispitanika; ili ako je iznošenje podataka potrebno za
zaključivanje ili izvršenje ugovora između voditelja zbirke osobnih podataka i
treće osobe a koji je u interesu ispitanika; ili ako je iznošenje podataka
potrebno ili određeno zakonom radi zaštite javnog interesa ili radi uspostave,
ostvarenja ili zaštite potraživanja propisanih zakonom; ili ako se iznošenje
podataka obavlja iz evidencije koja je sukladno zakonu ili drugom propisu
namijenjena pružanju informacija javnosti i koja je javnosti ili svakoj osobi
koja može dokazati pravni interes otvorena za uvid, podaci se mogu iznositi u
onoj mjeri u kojoj su ispunjeni zakonom propisani uvjeti za uvid u pojedinom
slučaju.
Novi izuzeci su uvedeni:
a) Radi izvršenja ugovora između voditelja zbirke osobnih
podataka i ispitanika (npr. ugovor o radu koji radnik sklapa sa poslodavcem
(multinacionalnom tvrtkom) koja kao voditelj zbirke osobnih podataka radnika
prosljeđuje podatke o radnicima središnjici i/ili drugim tvrtkama unutar
kompanije koje se nalaze izvan teritorija Republike Hrvatske.
b) U svrhu zaključivanja ili izvršenja ugovora između
voditelja zbirke osobnih podataka i treće osobe a koji je u interesu
ispitanika, npr. poslodavac (voditelj zbirke osobnih podataka radnika)
prosljeđuje podatke radnika trećoj osobi koja se nalazi izvan teritorija
Republike Hrvatske u svrhu procjene i razvoja ljudskih potencijala (human resources) što je u interesu
ispitanika/radnika.
c) Radi zaštite važnog javnog interesa, npr. međunarodna
razmjena podataka između poreznih, carinskih ili službi socijalnog osiguranja.
d) ako se iznošenje podataka obavlja iz javno dostupnih
evidencija koje se vode temeljem zakona ili drugog propisa (to mogu biti
različite evidencije, kao i popisi, liste, registri i sl. koje vode nadležna
državna tijela, udruge i sl., npr. podaci o obveznicima, članovima udruga
itd.).
4. Izuzeće od obveze dostave evidencija
Zakon o izmjenama o dopunama ZZOP-a uvodi novi članak
16.a prema kojem voditelji zbirki osobnih podataka koji zapošljavaju do pet
zaposlenika i voditelji zbirki osobnih podataka koji su imenovali službenika za
zaštitu osobnih podataka i o tome izvijestili Agenciju za zaštitu osobnih
podataka, nisu obvezni u Središnji registar iz članka 16. stavka 1. Zakona
dostaviti evidencije iz članka 14. Zakona za zbirke osobnih podataka koje vode
na temelju propisa iz područja radnog prava, ako se podaci iz zbirke osobnih
podataka ne iznose iz Republike Hrvatske.
Podsjetimo se. Prema ZZOP-u, voditelj zbirke osobnih podataka je fizička ili pravna osoba,
državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Zbirka osobnih podataka je svaki skup
osobnih podataka koji je dostupan prema posebnim kriterijima, bilo
centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili
zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama
osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.
Dakle, novim izmjenama se od obveze dostave evidencije o
zbirkama koje se vode temeljem propisa iz područja radnog prava oslobađaju
uvjetno rečeno „mali“ poslodavci te svi oni koji su propisno imenovali službenika
za zaštitu osobnih podataka (vidi naredno poglavlje) i o tome izvijestili Agenciju.
Naravno, takvi poslodavci i dalje mogu dostaviti evidenciju o zbirkama („nisu
obvezni“), ukoliko to smatraju potrebnim.
5. Službenik za zaštitu osobnih podataka
Sa stanovišta informacijske sigurnosti (koja je po
mišljenju autora neraskidivo vezana uz zaštitu osobnih podataka i treba ih
rješavati „u paketu“) vrlo je zanimljivo uvođenje službenika za zaštitu osobnih
podataka. Naime, u ZZOP je člankom 18.a je unijeta fakultativna odredba prema
kojoj voditelj zbirke osobnih podataka može (ne mora!) imenovati službenika za
zaštitu osobnih podataka. Službenik za zaštitu osobnih podataka vodi brigu o
zakonitosti obrade osobnih podatka i ostvarivanju prava na zaštitu osobnih
podataka te surađuje s Agencijom za zaštitu osobnih podataka u vezi s provedbom
nadzora nad obradom osobnih podataka.
Za očekivati će da će daljnjim usavršavanjem propisa o
zaštiti osobnih podataka ova funkcija kojom se odvaja upravljačka i nadzorna
funkcija nad osobnim podacima postati obvezna, barem za obveznike koje imaju velike
evidencije osobnih podataka. U svakom slučaju, može se preporučiti svim
obveznicima ZZOP-a imenovanje službenika za zaštitu osobnih podataka, što im
posebno može biti korisno ukoliko planiraju uvođenje standarda informacijske
sigurnosti ISO 27001:2005.
6. Nova kaznena odredba
Kaznene odredbe ZZOP-a su relativno blage: iznose 20.000
do 40.000 kuna, a za odgovornu osobu pravne osobe 5.000 do 10.000 kuna.
Zakonodavac ih ovom zadnjim izmjenama i dopunama nije povisivao – čime
očigledno želi staviti naglasak na prevenciju i edukaciju, a ne na kažnjavanje.
No, treba navesti kako su Zakonom o
izmjenama i dopunama ZZOP-a kaznene odredbe dopunjene odredbom kojom se
prekršajno kažnjava i voditelj zbirke osobnih podataka koji osobne podatke daje
na korištenje protivno odredbama samog Zakona.
Trackback(0)
 |
TrackBack URI for this entry
