Izvješće o povredi osobnih podataka ⇒

U slučaju povrede osobnih podataka, voditelj obrade (poslodavac) bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo (Agenciju za zaštitu osobnih podataka) nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.

Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

U izvješćivanju se mora barem:

• opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;
• navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
• opisati vjerojatne posljedice povrede osobnih podataka;
• opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

Voditelj obrade je dužan bez nepotrebnog odgađanja obavijestiti ispitanika o povredi osobnih podataka ako će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca.

Najnovije objave u našim NOVOSTIMA pratite »OVDJE!«

Vrste povreda osobnih podataka

„Povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Povrede se mogu razvrstati u kategorije na temelju sljedećih triju dobro poznatih načela informacijske sigurnosti:

• „povreda povjerljivosti” – u slučaju neovlaštenog ili slučajnog otkrivanja osobnih podataka ili pristupa tim podacima
• „povreda cjelovitosti” – u slučaju neovlaštene ili slučajne izmjene osobnih podataka
• „povreda dostupnosti” – u slučaju slučajnog ili neovlaštenog gubitka pristupa osobnim podacima ili uništenja tih podataka.

Izvor: Agencija za zaštitu osobnih podataka (azop.hr)

IZVJEŠĆE

o povredi osobnih podataka 

Sigurnost obrade osobnih podataka ⇒

Člankom 25. Opće uredbe o zaštiti podataka (Opća Uredba) uređena je tehnička i integrirana zaštita podataka.

Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz Opće Uredbe i zaštitila prava ispitanika.

Tehničke i organizacijske mjere

Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade.

Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost.

Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

Opća Uredba u članku 32. propisuje sigurnost obrade.

U istome je članku navedeno da voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi, pseudonimizaciju i enkripciju osobnih podataka.

Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade.

Interne politike

U uvodnoj odredbi 78 navedeno je da zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta Opće Uredbe.

Radi dokazivanja sukladnosti s Općom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.

Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke.

Najnovije objave u našim NOVOSTIMA pratite »OVDJE!«

Procjena rizika za sigurnost podataka

Nadalje, uvodnom odredbom 83 navedeno je da bi, kako bi se očuvala sigurnost i spriječila obrada kojom se krši Opća Uredba, voditelj obrade ili izvršitelj obrade trebali procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija.

Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi.

Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

Organizacijske mjere

Iz svega navedenog proizlazi da Opća Uredba ne propisuje obvezu pseudonimizacije osobnih podataka, već istu sugerira kao jednu od tehničkih i organizacijskih mjera kojima se postiže odgovarajuća razina sigurnosti obrade.

Glede sustava pohrane osobnih podataka, obveza je voditelja obrade poduzeti odgovarajuće organizacijske, kadrovske i tehničke mjere.

U tom smislu, pristup osobnim podacima ispitanika trebali bi imati samo zaposlene osobe određenog društva i to onih odjela kojima je taj pristup nužan u ispunjenje svrhe za koju su isti prikupljeni.

Izvor: Mišljenje Agencije za zaštitu osobnih podataka (www.azop.hr)

Posebne kategorije osobnih podataka ⇒

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) državama članicama pruža prostor za djelovanje kako bi bolje odredile njezina pravila uključujući obradu posebnih kategorija osobnih podataka.

Posebne kategorije osobnih podataka

Posebne kategorije osobnih podataka (tzv. „osjetljivi podaci“) jesu podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja (pripadnost ili podupiranje političke stranke), vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obradu genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca (poput otiska prsta ili snimke šarenice oka), podataka koji se odnose na zdravlje, ili podataka o spolnom životu ili o seksualnoj orijentaciji pojedinca.

Najnovije objave u našim NOVOSTIMA pratite »OVDJE!«

Veći stupanj zaštite

U Općoj uredbi o zaštiti podataka (tzv. GDPR Uredba) navodi se kako bi se posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrha u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi.

Opća uredbi o zaštiti podataka također navodi kako obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja.

Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca.

Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela prouzročiti obradu osobnih podataka u druge svrhe koju obavljaju treće strane, kao što su poslodavci ili osiguravajuća društva i banke.

„Podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu. 

Obrada posebnih kategorija osobnih podataka

Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

Međutim, i pri navedenom postoje iznimke – zabrana se ne primjenjuje ako je ispunjeno jedno od sljedećeg:

• ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu;
• obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
• obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
• obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
• obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
• obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;
• obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
• obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom (kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne u skladu s pravom Unije ili pravom države članice ili pravilima koja su utvrdila nadležna nacionalna tijela);
• obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;
• obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

Osim toga, obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti, a za koju je ispitanik dao privolu, provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanika.

Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.

Za zaštitu svojih prava ispitanik se može obratiti voditelju obrade koji obrađuje njegove podatke.