O ZAŠTITI FIZIČKIH OSOBA U VEZI S OBRADOM I RAZMJENOM OSOBNIH PODATAKA U SVRHE SPRJEČAVANJA, ISTRAŽIVANJA, OTKRIVANJA ILI PROGONA KAZNENIH DJELA ILI IZVRŠAVANJA KAZNENIH SANKCIJA
I. OPĆE ODREDBE
Članak 1.
Ovim Zakonom utvrđuju se pravila zaštite fizičkih osoba u vezi s obradom i razmjenom osobnih podataka od strane nadležnih tijela u svrhu sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući i zaštitu od prijetnji javnoj sigurnosti i sprječavanje takvih prijetnji.
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprječavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119/89, od 04.05.2016.).
Članak 3.
(1) Ovaj Zakon primjenjuje se na obradu osobnih podataka od strane nadležnih tijela za svrhe utvrđene u članku 1. ovoga Zakona automatiziranu u cijelosti ili djelomično te na neautomatiziranu obradu osobnih podataka, a koja čini ili će činiti dio sustava pohrane.
(2) Odredbe ovog Zakona ne primjenjuju se na obradu i razmjenu osobnih podataka tijekom djelatnosti koje u području nacionalne sigurnosti obavljaju tijela sigurnosno-obavještajnog sustava, djelatnosti u vezi s pitanjima iz područja nacionalne sigurnosti koje obavljaju tijela obrambenog sustava, kao i na obradu i razmjenu osobnih podataka pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji.
Članak 4.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1.) osobni podatak je svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi
2.) ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno uz pomoć identifikatora kao što su ime i prezime, osobni identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet
3.) obrada osobnih podataka je postupak ili skup postupaka koji se provode nad osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim ili ne automatiziranim sredstvima, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
4.) ograničavanje obrade je označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti
5.) izrada profila je svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s ispitanikom, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem fizičke osobe
6.) pseudonimizacija je obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati ispitaniku čiji je identitet utvrđen ili se može utvrditi
7.) sustav pohrane je svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
8.) nadležno tijelo je tijelo javne vlasti nadležno za sprječavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući i zaštitu od prijetnji javnoj sigurnosti i sprječavanje takvih prijetnji
9.) voditelj obrade je nadležno tijelo koje samostalno ili zajednički s drugim tijelima određuje svrhe i sredstva obrade osobnih podataka
10.) zajednički voditelji obrade su voditelji obrade dva ili više nadležna tijela koja imaju zajednički definiranu svrhu i način obrade
11.) izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo koje obrađuje osobne podatke po zahtjevu voditelja obrade
12.) primatelj je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Tijela javne vlasti koja mogu primiti osobne podatke u okviru provođenja kriminalističkih istraživanja kaznenog djela i kaznenog postupka ne smatraju se primateljima, a obrada takvih podataka mora biti u skladu s pravilima o zaštiti podataka.
13.) povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
14.) genetski podatak podrazumijeva sve osobne podatke, osobito one dobivene analizom biološkog uzorka, a koji se odnose na naslijeđena ili stečena genetska obilježja fizičke osobe koja daju jedinstvenu informaciju o fiziologiji ili zdravlju te fizičke osobe
15.) biometrijski podatak podrazumijeva osobne podatke dobivene posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja fizičke osobe koja omogućuju ili potvrđuju jedinstvenu identifikaciju
16.) zdravstveni podatak podrazumijeva osobne podatke povezane s fizičkim ili mentalnim zdravljem fizičke osobe
17.) nadzorno tijelo je neovisno tijelo javne vlasti propisano ovim Zakonom
18.) međunarodna organizacija je organizacija i njezina tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.
(2) Odredbe ovog Zakona kojima se propisuje prijenos podataka u države članice Europske unije primjenjuju se i na Republiku Island, Kraljevinu Norvešku, Švicarsku Konfederaciju i Kneževinu Lihtenštajn.
(3) Ostali pojmovi koji se koriste u ovome Zakonu, a značenje im nije propisano u stavku 1. ovoga članka, imaju značenje kako je propisano Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Uredba (EU) 2016/679).
Članak 5.
Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.
II. NAČELA
Načela obrade osobnih podataka
Članak 6.
(1) Osobni podaci moraju se obrađivati pošteno i zakonito.
(2) Obrada se može provoditi samo ako je nužna i samo u onoj mjeri u kojoj je to potrebno radi postizanja svrhe navedene u članku 1. ovog Zakona i pod uvjetima propisanim ovim Zakonom
(3) Osobni podaci prikupljaju se i obrađuju u svrhu koja je izričito navedena i u skladu sa zakonom.
(4) Osobni podaci ne smiju se prikupljati u većem opsegu nego što je to nužno za postizanje svrhe prikupljanja.
(5) Osobni podaci moraju biti točni, potpuni i prema potrebi ažurni.
(6) Voditelj obrade ili izvršitelj obrade mora poduzeti razumne mjere da se podaci koji nisu točni, uzimajući u obzir svrhu u koju se obrađuju, bez odgode isprave ili brišu.
(7) Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika, ne duže nego je to potrebno za svrhu u koju se podaci obrađuju.
(8) Osobni podaci se obrađuju na način kojim se osigurava sigurnost osobnih podataka, primjenom odgovarajućih tehničkih ili organizacijskih mjera.
(9) Obrada osobnih podataka, različita od svrhe iz članka 1. ovog Zakona dopuštena je ako je:
- voditelj obrade posebnim propisom ovlašten za obradu takvih osobnih podataka
- obrada nužna i proporcionalna drugoj zakonitoj svrsi.
(10) Obrada osobnih podataka koju obavlja voditelj obrade može uključivati i arhiviranje podataka kada je to potrebno radi javnog interesa, znanstvenih, statističkih ili povijesnih svrha te potrebe iz članka 1. ovog Zakona, pri čemu se primjenjuju odgovarajuće mjere u cilju zaštite prava i sloboda ispitanika.
(11) Voditelj obrade odgovoran je za usklađenost svoga postupanja s odredbama iz stavaka od 1. do 10. ovog članka te je mora biti u mogućnosti dokazati.
Rokovi za pohranu i preispitivanje
Članak 7.
Nadležna tijela koja obrađuju osobne podatke u svrhu iz članka 1. ovog Zakona postupaju u skladu s posebnim propisima u primjeni odgovarajućih rokova za njihovo brisanje ili za periodično preispitivanje potrebe za pohranom osobnih podataka.
Razlika između različitih kategorija ispitanika
Članak 8.
Prilikom obrade osobnih podataka, prema potrebi i koliko je god to moguće, nadležno tijelo mora osigurati jasnu razliku između osobnih podataka različitih kategorija ispitanika, kao što su:
1.osobe za koje postoji sumnja da su počinile ili će počiniti kazneno djelo
2.osobe pravomoćno osuđene za kazneno djelo
3.žrtve kaznenog djela
4.osobe koje imaju saznanja o počinjenom kaznenom djelu.
Razlika između osobnih podataka i provjera kvalitete osobnih podataka
Članak 9.
(1) Nadležna tijela osiguravaju da se osobni podaci koji su netočni, nepotpuni ili neažurni ne prenose niti ne stavljaju na raspolaganje te da se osobni podaci utemeljeni na činjenicama razlikuju od osobnih podataka utemeljenih na osobnim procjenama ili prikupljenih tehničkim uređajima.
(2) Nadležno tijelo provjerava kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje.
(3) Pri prenošenju osobnih podataka dodaju se nužne informacije koje primatelju omogućavaju procjenu stupnja točnosti, potpunosti, pouzdanosti i ažurnosti osobnih podataka.
(4) Kada se utvrdi da su preneseni osobni podaci netočni ili da su preneseni nezakonito, primatelj mora biti obaviješten bez odgode.
(5) U slučaju iz stavka 4. ovog članka, osobni podaci moraju se ispraviti, brisati ili se obradu mora ograničiti u skladu s člankom 17. stavkom 4. ovog Zakona.
Posebni uvjeti obrade
Članak 10.
(1) Osobni podaci koje nadležna tijela prikupljaju za svrhe utvrđene u članku 1. ovoga Zakona, mogu se obrađivati i u svrhe koje nisu propisane u članku 1. ovog Zakona, ako je to propisano posebnim propisom, a na takvu obradu podataka primjenjuje se Uredba (EU) 2016/679.
(2) Ako je nadležnim tijelima povjereno obavljanje zadaća drukčijih od onih koje se obavljaju u svrhe iz članka 1. ovog Zakona, na obradu podataka za takve svrhe primjenjuje se Uredba (EU) 2016/679, uključujući i za arhiviranje u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
(3) Ako nadležno tijelo koje prenosi podatke predviđa posebne uvjete za njihovu obradu, nadležno tijelo koje prenosi takve osobne podatke će obavijestiti i upozoriti primatelja kojemu ih prenosi o tim uvjetima i zahtjevu za poštivanje tih uvjeta.
(4) Nadležno tijelo koje prenosi podatke ne primjenjuje uvjete iz stavka 3. ovoga članka na primatelje u drugim državama članicama ili na agencije, urede i tijela osnovane u skladu s glavom V. poglavljima 4. i 5. Ugovora o funkcioniranju Europske unije, različite od onih koji su primjenjivi na slične prijenose podataka drugih nadležnih tijela u smislu ovog Zakona.
Obrada posebnih kategorija osobnih podataka
Članak 11.
(1) Zabranjena je obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, politička stajališta, religijska ili filozofska uvjerenja ili sindikalno članstvo te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije ispitanika ili podataka koji se odnose na zdravlje, spolni život ili seksualnu orijentaciju ispitanika.
(2) Dopuštena je obrada podataka iz stavka 1. ovoga članka ako je:
- obrada osobnih podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj obrade na temelju ovog Zakona ili posebnih propisa
- obrada osobnih podataka nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe
- ispitanik sam objavio osobne podatke.
(3) U slučaju iz stavka 2. ovoga članka, obrada podataka mora biti posebno označena i zaštićena.
Automatizirano pojedinačno donošenje odluka
Članak 12.
(1) Odluka koja proizvodi pravni učinak za ispitanika ne može se temeljiti samo na automatiziranoj obradi.
(2) Iznimno od stavka 1. ovoga članka, donošenje odluke koja proizvodi ili utječe na pravni učinak na ispitanika, a temelji se isključivo na automatiziranoj obradi osobnih podataka i na izradi profila namijenjenih procjeni određenih osobnih aspekata ispitanika, dopuštena je samo ako je donošenje takve odluke predviđeno ovim Zakonom ili drugim propisima kojima se osigurava odgovarajuća zaštita prava ispitanika.
(3) Odluke iz stavka 1. i 2. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 11. ovog Zakona, osim ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.
(4) Zabranjuje se izrada profila koja dovodi do diskriminacije ispitanika na temelju posebnih kategorija osobnih podataka iz članka 11. ovoga Zakona.
III. PRAVA ISPITANIKA
Obavještavanje i način obavještavanja ispitanika
Članak 13.
(1) Voditelj obrade dužan je osigurati da se ispitaniku pruže sve informacije određene odredbama ovog Zakona.
(2) Informacije iz stavka 1. ovoga članka pružaju se odgovarajućim sredstvom.
(3) U pravilu, voditelj obrade pruža informacije u istom obliku u kojem je zaprimio zahtjev ispitanika.
(4) Voditelj obrade dužan je u roku od 30 dana od dana zaprimanja zahtjeva pisano obavijestiti podnositelja zahtjeva o radnjama koje su poduzete u vezi s njegovim zahtjevom.
(5) Informacije se stavljaju na raspolaganje ili daju ispitaniku bez naknade.
(6) Iznimno, kod neutemeljenih ili pretjeranih zahtjeva ispitanika, osobito zbog njihovog učestalog ponavljanja, voditelj obrade može:
1.naplatiti naknadu sukladno posebnom propisu, uzimajući u obzir administrativne troškove za pružanje informacija ili obavijesti ili za poduzimanje traženih mjera ili
2.odbiti postupiti po zahtjevu.
(7) Voditelj obrade obrazlaže neutemeljenost ili pretjeranost zahtjeva te o tome u pisanom obliku izvješćuje podnositelja zahtjeva.
(8) Kada postoji sumnja u identitet podnositelja zahtjeva voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta.
(9) Ako podnositelj zahtjeva ne dokaže svoj identitet, voditelj obrade odbit će postupiti po zahtjevu.
Informacije koje su dostupne ili se daju ispitaniku
Članak 14.
(1) Voditelj obrade učinit će dostupnim ispitaniku sljedeće informacije:
1.naziv, sjedište i kontaktne podatke voditelja obrade
2.kontaktne podatke službenika za zaštitu osobnih podataka
3.svrhu obrade za koje su ti osobni podaci namijenjeni
4.obavijest o pravu na podnošenje prigovora nadzornom tijelu i naziv, sjedište i kontaktne podatke nadzornog tijela
5.obavijest da ima pravo od voditelja obrade zatražiti pristup osobnim podacima, njihov ispravak ili brisanje, ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika.
(2) Osim informacija iz stavka 1. ovog članka, ispitaniku se, radi ostvarivanja njegovih prava, mogu učiniti dostupnim i informacije o:
1.pravnom temelju obrade podataka
2.razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja
3.kategorijama primatelja osobnih podataka, uključujući treće zemlje ili međunarodne organizacije.
(3) Ako se osobni podaci prikupljaju bez znanja ispitanika, radi ostvarivanja njegovih prava, u određenim slučajevima prema potrebi i procjeni, mogu mu se učiniti dostupnim i druge dodatne informacije.
Pravo ispitanika na pristup
Članak 15.
(1) Voditelj obrade dužan je ispitaniku najkasnije u roku od 30 dana od zaprimanja zahtjeva izdati potvrdu o tome obrađuju li se njegovi osobni podaci, a ako se obrađuju dozvoliti pristup takvim osobnim podacima i sljedećim informacijama:
1.svrhama obrade i pravnom temelju obrade
2.kategorijama osobnih podataka
3.primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama
4.predviđenom razdoblju u kojem će se osobni podaci pohranjivati ili kriterijima korištenima za utvrđivanje tog razdoblja
5.postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika
6.o pravu na podnošenje prigovora nadzornom tijelu i kontaktne podatke nadzornog tijela
7.obavješćivanju o osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.
(2) Zahtjev iz stavka 1. ovog članka mora sadržavati osobne podatke podnositelja zahtjeva, dokaz o identitetu, datum podnošenja zahtjeva i potpis.
Ograničenja prava pristupa i informacija koje se stavljaju na raspolaganje ili daju ispitaniku
Članak 16.
(1) Voditelj obrade će ispitaniku u cijelosti ili djelomično ograničiti pravo iz članka 14. stavka 2. i 3. i članka 15. ovoga Zakona u onoj mjeri i u onom trajanju u kojem takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru uz poštivanje temeljnih prava i zakonitih interesa ispitanika kako bi se:
1.izbjeglo ometanje istraživanja kaznenih djela i vođenje kaznenog postupka
2.izbjeglo ometanje istražnih i nadzornih postupaka koje provode tijela javne vlasti sukladno posebnim propisima
3.izbjeglo ometanje izvršavanja kaznenih sankcija
4.zaštitila javna sigurnost
5.zaštitila nacionalna sigurnost
6.zaštitila prava i slobode drugih.
(2) Voditelj obrade pisanim putem dostavlja obavijest ispitaniku o odbijanju ili ograničavanju pristupa i o razlozima koji su doveli do odbijanja ili ograničavanja, osim ako bi davanje takvih informacija dovelo u pitanje neku od svrha iz stavka 1. ovog članka.
(3) Voditelj obrade upućuje ispitanika o pravu na podnošenje prigovora nadzornom tijelu ili ostvarivanje prava pristupa podnošenjem pravnog lijeka.
(4) Voditelj obrade dužan je na primjeren način zabilježiti činjenične ili pravne razloge na kojima se temelji njegova odluka.
(5) Podaci iz stavka 4. ovog članka se na zahtjev stavljaju nadzornom tijelu na raspolaganje.
(6) U slučaju podnošenja prigovora iz stavka 3. ovog članka, na zahtjev nadzornog tijela Ured Vijeća za nacionalnu sigurnost dat će ocjenu osnovanosti razloga ograničenja ako je odluka voditelja obrade o ograničenju prava ispitanika donesena iz razloga navedenog u stavku 1. točki 4. ovog članka te će u tu svrhu Uredu Vijeća za nacionalnu sigurnost dostaviti odluku voditelja obrade i zabilježene činjenične ili pravne razloge na kojima se ona temelji.
(7) Ured Vijeća za nacionalnu sigurnost će osnovanost ograničenja prava ispitanika utvrditi u suradnji s nadležnom sigurnosno-obavještajnom agencijom.
Pravo na ispravak ili brisanje osobnih podataka i ograničenje obrade
Članak 17.
(1) Ispitanik može od voditelja obrade ishoditi ispravak netočnih odnosno nadopunu nepotpunih osobnih podatka na temelju pisanog zahtjeva, između ostaloga i davanjem dodatne izjave.
(2) Zahtjev iz stavka 1. ovog članka, osim podataka iz članka 16. stavka 2. ovog Zakona, mora sadržavati i obrazloženje zahtjeva i dodatna pojašnjenja vezano uz zahtjev.
(3) Voditelj obrade će izbrisati osobne podatke bez odgode ako se krše odredbe članka 6. ili članka 11. ovoga Zakona ili kada se osobni podaci moraju brisati radi poštivanja pravne obveze kojoj podliježe voditelj obrade.
(4) Voditelj obrade će umjesto brisanja ograničiti obradu ako:
1.ispitanik osporava točnost osobnih podataka, a njihovu točnost nije moguće utvrditi
2.osobni podaci moraju biti sačuvani u obliku u kojem su prikupljeni i pohranjeni radi korištenja u kaznenom postupku.
(5) Ako je obrada ograničena na temelju stavka 4. točke 1. ovog članka, voditelj obrade pisanim putem obavještava ispitanika prije uklanjanja ograničenja obrade te o svakom odbijanju ispravka ili brisanja osobnih podataka ili ograničavanja obrade kao i razlozima odbijanja.
(6) Voditelj obrade može primijeniti razloge iz članka 16. stavka 1. točke 1. do 5. ovog Zakona kojima se u cijelosti ili djelomično ograničava obveza pružanja takvih informacija u onoj mjeri u kojoj takvo ograničavanje čini nužnu i proporcionalnu mjeru uz dužno poštovanje temeljnih prava i legitimnih interesa ispitanika.
(7) Voditelj obrade dužan je obavijestiti ispitanika o mogućnosti podnošenja prigovora nadzornom tijelu ili o pravu na podnošenje pravnog lijeka.
(8) Voditelj obrade o ispravku netočnih osobnih podataka dostavlja obavijest nadležnom tijelu od kojeg je zaprimio netočne podatke.
(9) Ako su osobni podaci bili ispravljeni ili brisani ili je obrada bila ograničena na temelju stavka 4. ovog članka, voditelj obrade dužan je obavijestiti primatelje kojima su podaci preneseni da isprave ili brišu osobne podatke ili ograniče obradu osobnih podataka u okviru svoje nadležnosti i odgovornosti.
Ostvarivanje prava ispitanika i provjera nadzornog tijela
Članak 18.
(1) U slučajevima iz članka 16. stavka 3. i članka 17. stavka 7. ovog Zakona prava ispitanika mogu se ostvariti i putem nadzornog tijela.
(2) Voditelj obrade dužan je obavijestiti i uputiti ispitanika o mogućnosti ostvarivanja njegovih prava putem nadzornog tijela.
(3) Kada ispitanik ostvaruje pravo iz stavka 1. ovog članka, nadzorno tijelo obavještava ispitanika o tome da je provelo sve potrebne provjere ili preispitivanje te o pravu ispitanika na pravni lijek.
Prava ispitanika u kaznenim istragama, istraživanjima i postupcima
Članak 19.
Ako su osobni podaci sadržani u odluci suda ili drugog neovisnog pravosudnog tijela, evidenciji ili spisu predmeta obrađenom tijekom istraživanja, istrage i postupka, ispitanik prava iz članka 14., 15. i 17. ovoga Zakona ostvaruje u skladu s posebnim propisima.
IV. VODITELJ OBRADE I IZVRŠITELJ OBRADE
Obveze voditelja obrade
Članak 20.
(1) Voditelj obrade, uzimajući u obzir sadržaj, opseg i svrhu obrade, kao i mogućnost nastupanja ugroza za prava i slobode ispitanika, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s odredbama ovog Zakona.
(2) Mjere iz stavka 1. ovog članka se prema potrebi preispituju i ažuriraju.
(3) Mjere iz stavka 1. ovog članka podrazumijevaju i provedbu odgovarajućih postupaka koje imaju za cilj zaštitu podataka od strane voditelja obrade.
Tehnička i integrirana zaštita podataka
Članak 21.
(1) Voditelj obrade u vrijeme određivanja sredstava obrade i u vrijeme same obrade provodi odgovarajuće tehničke i organizacijske mjere za omogućivanje učinkovite primjene načela zaštite podataka kako bi se ispunili zahtjevi iz ovog Zakona i zaštitila prava ispitanika te kako bi se osiguralo da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade.
(2) Mjere iz stavka 1. ovog članka odnose se na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost čime se osigurava da osobni podaci bez intervencije fizičke osobe ne mogu biti dostupni neograničenom broju osoba.
Zajednički voditelji obrade
Članak 22.
(1) Zajednički voditelji obrade sporazumno određuju svoje odgovornosti i obveze tijekom obrade osobnih podataka, osobito u pogledu ostvarivanja prava ispitanika i svojih dužnosti pružanja informacija ispitaniku iz članka 14. ovoga Zakona.
(2) U slučaju zajedničkog voditelja obrade određuje se jedan voditelj obrade kao jedinstvena kontaktna točka za ostvarivanje prava ispitanika.
Izvršitelj obrade
Članak 23.
(1) Voditelj obrade koristi usluge samo onog izvršitelja obrade koji može u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera propisanih odredbama ovog Zakona.
(2) Korištenje usluga izvršitelja obrade od strane voditelja obrade uređuje se ugovorom ili drugim pravnim aktom kojim se uređuje predmet i trajanje obrade, opseg, sadržaj i svrha obrade, vrsta osobnih podataka, kategorije ispitanika te obveze i prava voditelja obrade kao i da izvršitelj obrade:
1.djeluje samo prema uputama voditelja obrade
2.osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti
3.bilo kojim odgovarajućim sredstvom pomaže voditelju obrade osigurati usklađenost s odredbama o pravima ispitanika
4.prema izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluge obrade podataka te briše postojeće kopije osim ako prema nekoj zakonskoj odredbi ne postoji obveza pohrane osobnih podataka
5.voditelju obrade stavlja na raspolaganje sve informacije potrebne za pridržavanje odredbi ovog članka
6.poštuje odredbe stavka 3. ovog članka za angažiranje drugog izvršitelja obrade.
(3) Izvršitelj obrade ne može koristiti usluge drugog izvršitelja obrade bez prethodnog pisanog odobrenja voditelja obrade.
(4) Po zaprimanju odobrenja izvršitelj obrade dužan je obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s korištenjem drugih izvršitelja obrade.
(5) Voditelj obrade može uskratiti suglasnost izvršitelju obrade na korištenje usluga drugog izvršitelja obrade.
(6) Ako izvršitelj obrade, utvrđuje svrhe i načine obrade, kršeći odredbe ovog Zakona, taj se izvršitelj obrade smatra voditeljem obrade u pogledu obrade koja mu je povjerena.
Obrada pod vodstvom voditelja obrade ili izvršitelja obrade
Članak 24.
Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade, a koja ima pristup osobnim podacima, obrađuje samo one podatke koje od nje zatraži voditelj obrade, osim ako je to drugačije određeno posebnim propisom.
Evidencija aktivnosti obrade
Članak 25.
(1) Voditelj obrade u okviru svoje odgovornosti vodi evidenciju svih kategorija aktivnosti obrade koja sadržava sljedeće informacije:
1.naziv zbirke
2.ime i kontaktne podatke voditelja obrade i bilo kojeg zajedničkog voditelja obrade te službenika za zaštitu osobnih podataka
3.svrhe obrade
4.kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodnim organizacijama
5.opis kategorija ispitanika i kategorija osobnih podataka
6.upotreba izrade profila kada je to moguće s obzirom na svrhu obrade
7.kategorije prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju kada se podaci prenose
8.pravni temelj za postupak obrade, uključujući prijenose, kojem su osobni podaci namijenjeni
9.predviđene rokove za brisanje različitih kategorija osobnih podataka
10. opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 30. stavka 1. ovog Zakona.
(2) Svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju u ime voditelja obrade, a koja sadržava:
1.ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te službenika za zaštitu osobnih podataka
2.kategorije obrade koje se provode za svakog voditelja obrade
3.podatke o trećoj zemlji ili međunarodnoj organizaciji kojoj su prenijeti osobni podaci kada je za to postojala izričita uputa voditelja obrade
4.opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 30. stavka 1. ovog Zakona.
(3) Evidencije iz stavaka 1. i 2. ovoga članka moraju biti u pisanom obliku, što uključuje i elektronički oblik.
(4) Voditelj obrade i izvršitelj obrade stavljaju evidenciju na raspolaganje nadzornom tijelu na njegov zahtjev.
Zapisivanje
Članak 26.
(1) U automatiziranim sustavima obrade podataka voditelj i izvršitelj obrade osiguravaju bilježenje postupaka obrade osobnih podataka.
(2) Bilježenje postupaka obrade odnosi se i na datum i vrijeme obrade podataka te, ako je moguće, identitet osobe koja je obavila uvid ili otkrila osobne podatke kao i identitet primatelja takvih osobnih podataka.
(3) Zapisi se upotrebljavaju samo u svrhe provjere zakonitosti obrade, nadzora procesa i osiguravanja cjelovitosti i sigurnosti osobnih podataka.
(4) Voditelj obrade i izvršitelj obrade na zahtjev stavljaju zapise na raspolaganje nadzornom tijelu.
Suradnja s nadzornim tijelom
Članak 27.
Voditelj obrade i izvršitelj obrade pružaju i daju na uvid sve potrebne informacije nadzornom tijelu radi obavljanja poslova iz njegove nadležnosti propisanih ovim Zakonom.
Procjena učinka na zaštitu podataka
Članak 28.
(1) Voditelj obrade je prije poduzimanja obrade dužan provesti procjenu učinka planirane obrade na zaštitu osobnih podataka kada je vjerojatno da će neka obrada prouzročiti visoki rizik za prava i slobode fizičke osobe.
(2) Procjena iz stavka 1. ovoga članka sadržava općeniti opis predviđenih postupaka obrade, procjenu rizika za prava i slobode ispitanika, predviđene mjere za rizike, zaštitne i sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka ispitanika i drugih uključenih osoba.
Prethodno savjetovanje s nadzornim tijelom
Članak 29.
(1) Voditelj obrade ili izvršitelj obrade dužan je provesti savjetovanje s nadzornim tijelom prije nove obrade osobnih podataka koji će biti uključeni u novi sustav pohrane koji se treba uspostaviti, ako:
1.procjena učinka na zaštitu podataka iz članka 28. ovoga Zakona upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik
2.vrsta obrade predstavlja visok rizik za prava i slobode ispitanika.
(2) Savjetovanje s nadzornim tijelom provodi se tijekom izrade prijedloga zakona ili prijedloga drugih propisa koji se odnose na obradu osobnih podataka.
(3) Nadzorno tijelo donosi popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 1. ovog članka.
(4) Voditelj obrade nadzornom tijelu dostavlja procjenu učinka na zaštitu podataka na temelju članka 28. ovoga Zakona samostalno ili na temelju zahtjeva te pruža sve ostale informacije na temelju kojih će nadzorno tijelo moći procijeniti usklađenost obrade, a posebno rizike za zaštitu osobnih podataka ispitanika i povezane zaštitne mjere.
(5) Kada nadzorno tijelo smatra da bi se obradom iz stavka 1. ovog članka kršile odredbe ovog Zakona, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše 45 dana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 44. ovoga Zakona.
(6) Rok iz stavka 5. ovog članka može se prema potrebi produljiti za 30 dana, uzimajući u obzir složenost planirane obrade.
(7) Nadzorno tijelo u roku od 30 dana od zaprimanja zahtjeva obavještava voditelja obrade i, prema potrebi, izvršitelja obrade o svakom takvom produljenju te o razlozima odgode.
Sigurnost obrade
Članak 30.
(1) Voditelj obrade i izvršitelj obrade, uzimajući u obzir najnovija dostignuća i troškove provedbe te opseg, sadržaj i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, osobito u pogledu obrade posebnih kategorija osobnih podataka iz članka 11. ovog Zakona.
(2) U pogledu automatizirane obrade voditelj obrade ili izvršitelj obrade nakon procjene rizika provode mjere čija je svrha sljedeće:
1.neovlaštenim osobama onemogućiti pristup opremi za obradu koja se upotrebljava za obradu
2.spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka
3.spriječiti neovlašteno unošenje osobnih podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka
4.spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama koje se koriste opremom za podatkovnu komunikaciju
5.osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo osobnim podacima koji su predviđeni njihovim odobrenjem za pristup
6.osigurati mogućnost provjere i utvrđivanja tijela kojima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje upotrebom opreme za podatkovnu komunikaciju
7.osigurati mogućnost naknadne provjere i utvrđivanja osobnih podataka koji su uneseni u sustave automatizirane obrade te vremena unosa i osoba koje su ih unijeli
8.spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka
9.osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida
10.osigurati pouzdanost funkcioniranja sustava i prijave grešaka u funkcioniranju sustava te onemogućavanje ugroze cjelovitosti osobnih podataka zbog nedostataka u funkcioniranju sustava.
ZAKON
O ZAŠTITI FIZIČKIH OSOBA U VEZI S OBRADOM I RAZMJENOM OSOBNIH PODATAKA U SVRHE SPRJEČAVANJA, ISTRAŽIVANJA, OTKRIVANJA ILI PROGONA KAZNENIH DJELA ILI IZVRŠAVANJA KAZNENIH SANKCIJA
Komentirate u ime: Ministarstvo unutarnjih poslova
I. OPĆE ODREDBE
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 1.
Ovim Zakonom utvrđuju se pravila zaštite fizičkih osoba u vezi s obradom i razmjenom osobnih podataka od strane nadležnih tijela u svrhu sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući i zaštitu od prijetnji javnoj sigurnosti i sprječavanje takvih prijetnji.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 2.
Ovim Zakonom u hrvatsko zakonodavstvo preuzima se Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprječavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119/89, od 04.05.2016.).
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 3.
(1) Ovaj Zakon primjenjuje se na obradu osobnih podataka od strane nadležnih tijela za svrhe utvrđene u članku 1. ovoga Zakona automatiziranu u cijelosti ili djelomično te na neautomatiziranu obradu osobnih podataka, a koja čini ili će činiti dio sustava pohrane.
(2) Odredbe ovog Zakona ne primjenjuju se na obradu i razmjenu osobnih podataka tijekom djelatnosti koje u području nacionalne sigurnosti obavljaju tijela sigurnosno-obavještajnog sustava, djelatnosti u vezi s pitanjima iz područja nacionalne sigurnosti koje obavljaju tijela obrambenog sustava, kao i na obradu i razmjenu osobnih podataka pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji.
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 4.
(1) Pojedini pojmovi u smislu ovoga Zakona imaju sljedeće značenje:
1.) osobni podatak je svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi
2.) ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno uz pomoć identifikatora kao što su ime i prezime, osobni identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet
3.) obrada osobnih podataka je postupak ili skup postupaka koji se provode nad osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim ili ne automatiziranim sredstvima, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje
4.) ograničavanje obrade je označavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti
5.) izrada profila je svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s ispitanikom, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem fizičke osobe
6.) pseudonimizacija je obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati ispitaniku čiji je identitet utvrđen ili se može utvrditi
7.) sustav pohrane je svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi
8.) nadležno tijelo je tijelo javne vlasti nadležno za sprječavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući i zaštitu od prijetnji javnoj sigurnosti i sprječavanje takvih prijetnji
9.) voditelj obrade je nadležno tijelo koje samostalno ili zajednički s drugim tijelima određuje svrhe i sredstva obrade osobnih podataka
10.) zajednički voditelji obrade su voditelji obrade dva ili više nadležna tijela koja imaju zajednički definiranu svrhu i način obrade
11.) izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo koje obrađuje osobne podatke po zahtjevu voditelja obrade
12.) primatelj je fizička ili pravna osoba, tijelo javne vlasti ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Tijela javne vlasti koja mogu primiti osobne podatke u okviru provođenja kriminalističkih istraživanja kaznenog djela i kaznenog postupka ne smatraju se primateljima, a obrada takvih podataka mora biti u skladu s pravilima o zaštiti podataka.
13.) povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani
14.) genetski podatak podrazumijeva sve osobne podatke, osobito one dobivene analizom biološkog uzorka, a koji se odnose na naslijeđena ili stečena genetska obilježja fizičke osobe koja daju jedinstvenu informaciju o fiziologiji ili zdravlju te fizičke osobe
15.) biometrijski pod atak podrazumijeva osobne podatke dobivene posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja fizičke osobe koja omogućuju ili potvrđuju jedinstvenu identifikaciju
16.) zdravstveni podatak podrazumijeva osobne podatke povezane s fizičkim ili mentalnim zdravljem fizičke osobe
17.) nadzorno tijelo je neovisno tijelo javne vlasti propisano ovim Zakonom
18.) međunarodna organizacija je organizacija i njezina tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.
(2) Odredbe ovog Zakona kojima se propisuje prijenos podataka u države članice Europske unije primjenjuju se i na Republiku Island, Kraljevinu Norvešku, Švicarsku Konfederaciju i Kneževinu Lihtenštajn.
(3) Ostali pojmovi koji se koriste u ovome Zakonu, a značenje im nije propisano u stavku 1. ovoga članka, imaju značenje kako je propisano Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Uredba (EU) 2016/679).
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 5.
Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje odnose se jednako na muški i ženski rod.
Komentirate u ime: Ministarstvo unutarnjih poslova
II. NAČELA
Komentirate u ime: Ministarstvo unutarnjih poslova
Načela obrade osobnih podataka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 6.
(1) Osobni podaci moraju se obrađivati pošteno i zakonito.
(2) Obrada se može provoditi samo ako je nužna i samo u onoj mjeri u kojoj je to potrebno radi postizanja svrhe navedene u članku 1. ovog Zakona i pod uvjetima propisanim ovim Zakonom
(3) Osobni podaci prikupljaju se i obrađuju u svrhu koja je izričito navedena i u skladu sa zakonom.
(4) Osobni podaci ne smiju se prikupljati u većem opsegu nego što je to nužno za postizanje svrhe prikupljanja.
(5) Osobni podaci moraju biti točni, potpuni i prema potrebi ažurni.
(6) Voditelj obrade ili izvršitelj obrade mora poduzeti razumne mjere da se podaci koji nisu točni, uzimajući u obzir svrhu u koju se obrađuju, bez odgode isprave ili brišu.
(7) Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika, ne duže nego je to potrebno za svrhu u koju se podaci obrađuju.
(8) Osobni podaci se obrađuju na način kojim se osigurava sigurnost osobnih podataka, primjenom odgovarajućih tehničkih ili organizacijskih mjera.
(9) Obrada osobnih podataka, različita od svrhe iz članka 1. ovog Zakona dopuštena je ako je:
- voditelj obrade posebnim propisom ovlašten za obradu takvih osobnih podataka
- obrada nužna i proporcionalna drugoj zakonitoj svrsi.
(10) Obrada osobnih podataka koju obavlja voditelj obrade može uključivati i arhiviranje podataka kada je to potrebno radi javnog interesa, znanstvenih, statističkih ili povijesnih svrha te potrebe iz članka 1. ovog Zakona, pri čemu se primjenjuju odgovarajuće mjere u cilju zaštite prava i sloboda ispitanika.
(11) Voditelj obrade odgovoran je za usklađenost svoga postupanja s odredbama iz stavaka od 1. do 10. ovog članka te je mora biti u mogućnosti dokazati.
Komentirate u ime: Ministarstvo unutarnjih poslova
Rokovi za pohranu i preispitivanje
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 7.
Nadležna tijela koja obrađuju osobne podatke u svrhu iz članka 1. ovog Zakona postupaju u skladu s posebnim propisima u primjeni odgovarajućih rokova za njihovo brisanje ili za periodično preispitivanje potrebe za pohranom osobnih podataka.
Komentirate u ime: Ministarstvo unutarnjih poslova
Razlika između različitih kategorija ispitanika
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 8.
Prilikom obrade osobnih podataka, prema potrebi i koliko je god to moguće, nadležno tijelo mora osigurati jasnu razliku između osobnih podataka različitih kategorija ispitanika, kao što su:
1.osobe za koje postoji sumnja da su počinile ili će počiniti kazneno djelo
2.osobe pravomoćno osuđene za kazneno djelo
3.žrtve kaznenog djela
4.osobe koje imaju saznanja o počinjenom kaznenom djelu.
Komentirate u ime: Ministarstvo unutarnjih poslova
Razlika između osobnih podataka i provjera kvalitete osobnih podataka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 9.
(1) Nadležna tijela osiguravaju da se osobni podaci koji su netočni, nepotpuni ili neažurni ne prenose niti ne stavljaju na raspolaganje te da se osobni podaci utemeljeni na činjenicama razlikuju od osobnih podataka utemeljenih na osobnim procjenama ili prikupljenih tehničkim uređajima.
(2) Nadležno tijelo provjerava kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje.
(3) Pri prenošenju osobnih podataka dodaju se nužne informacije koje primatelju omogućavaju procjenu stupnja točnosti, potpunosti, pouzdanosti i ažurnosti osobnih podataka.
(4) Kada se utvrdi da su preneseni osobni podaci netočni ili da su preneseni nezakonito, primatelj mora biti obaviješten bez odgode.
(5) U slučaju iz stavka 4. ovog članka, osobni podaci moraju se ispraviti, brisati ili se obradu mora ograničiti u skladu s člankom 17. stavkom 4. ovog Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Posebni uvjeti obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 10.
(1) Osobni podaci koje nadležna tijela prikupljaju za svrhe utvrđene u članku 1. ovoga Zakona, mogu se obrađivati i u svrhe koje nisu propisane u članku 1. ovog Zakona, ako je to propisano posebnim propisom, a na takvu obradu podataka primjenjuje se Uredba (EU) 2016/679.
(2) Ako je nadležnim tijelima povjereno obavljanje zadaća drukčijih od onih koje se obavljaju u svrhe iz članka 1. ovog Zakona, na obradu podataka za takve svrhe primjenjuje se Uredba (EU) 2016/679, uključujući i za arhiviranje u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
(3) Ako nadležno tijelo koje prenosi podatke predviđa posebne uvjete za njihovu obradu, nadležno tijelo koje prenosi takve osobne podatke će obavijestiti i upozoriti primatelja kojemu ih prenosi o tim uvjetima i zahtjevu za poštivanje tih uvjeta.
(4) Nadležno tijelo koje prenosi podatke ne primjenjuje uvjete iz stavka 3. ovoga članka na primatelje u drugim državama članicama ili na agencije, urede i tijela osnovane u skladu s glavom V. poglavljima 4. i 5. Ugovora o funkcioniranju Europske unije, različite od onih koji su primjenjivi na slične prijenose podataka drugih nadležnih tijela u smislu ovog Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
Obrada posebnih kategorija osobnih podataka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 11.
(1) Zabranjena je obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, politička stajališta, religijska ili filozofska uvjerenja ili sindikalno članstvo te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije ispitanika ili podataka koji se odnose na zdravlje, spolni život ili seksualnu orijentaciju ispitanika.
(2) Dopuštena je obrada podataka iz stavka 1. ovoga članka ako je:
- obrada osobnih podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj obrade na temelju ovog Zakona ili posebnih propisa
- obrada osobnih podataka nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe
- ispitanik sam objavio osobne podatke.
(3) U slučaju iz stavka 2. ovoga članka, obrada podataka mora biti posebno označena i zaštićena.
Komentirate u ime: Ministarstvo unutarnjih poslova
Automatizirano pojedinačno donošenje odluka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 12.
(1) Odluka koja proizvodi pravni učinak za ispitanika ne može se temeljiti samo na automatiziranoj obradi.
(2) Iznimno od stavka 1. ovoga članka, donošenje odluke koja proizvodi ili utječe na pravni učinak na ispitanika, a temelji se isključivo na automatiziranoj obradi osobnih podataka i na izradi profila namijenjenih procjeni određenih osobnih aspekata ispitanika, dopuštena je samo ako je donošenje takve odluke predviđeno ovim Zakonom ili drugim propisima kojima se osigurava odgovarajuća zaštita prava ispitanika.
(3) Odluke iz stavka 1. i 2. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 11. ovog Zakona, osim ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.
(4) Zabranjuje se izrada profila koja dovodi do diskriminacije ispitanika na temelju posebnih kategorija osobnih podataka iz članka 11. ovoga Zakona.
Komentirate u ime: Ministarstvo unutarnjih poslova
III. PRAVA ISPITANIKA
Komentirate u ime: Ministarstvo unutarnjih poslova
Obavještavanje i način obavještavanja ispitanika
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 13.
(1) Voditelj obrade dužan je osigurati da se ispitaniku pruže sve informacije određene odredbama ovog Zakona.
(2) Informacije iz stavka 1. ovoga članka pružaju se odgovarajućim sredstvom.
(3) U pravilu, voditelj obrade pruža informacije u istom obliku u kojem je zaprimio zahtjev ispitanika.
(4) Voditelj obrade dužan je u roku od 30 dana od dana zaprimanja zahtjeva pisano obavijestiti podnositelja zahtjeva o radnjama koje su poduzete u vezi s njegovim zahtjevom.
(5) Informacije se stavljaju na raspolaganje ili daju ispitaniku bez naknade.
(6) Iznimno, kod neutemeljenih ili pretjeranih zahtjeva ispitanika, osobito zbog njihovog učestalog ponavljanja, voditelj obrade može:
1.naplatiti naknadu sukladno posebnom propisu, uzimajući u obzir administrativne troškove za pružanje informacija ili obavijesti ili za poduzimanje traženih mjera ili
2.odbiti postupiti po zahtjevu.
(7) Voditelj obrade obrazlaže neutemeljenost ili pretjeranost zahtjeva te o tome u pisanom obliku izvješćuje podnositelja zahtjeva.
(8) Kada postoji sumnja u identitet podnositelja zahtjeva voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta.
(9) Ako podnositelj zahtjeva ne dokaže svoj identitet, voditelj obrade odbit će postupiti po zahtjevu.
Komentirate u ime: Ministarstvo unutarnjih poslova
Informacije koje su dostupne ili se daju ispitaniku
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 14.
(1) Voditelj obrade učinit će dostupnim ispitaniku sljedeće informacije:
1.naziv, sjedište i kontaktne podatke voditelja obrade
2.kontaktne podatke službenika za zaštitu osobnih podataka
3.svrhu obrade za koje su ti osobni podaci namijenjeni
4.obavijest o pravu na podnošenje prigovora nadzornom tijelu i naziv, sjedište i kontaktne podatke nadzornog tijela
5.obavijest da ima pravo od voditelja obrade zatražiti pristup osobnim podacima, njihov ispravak ili brisanje, ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika.
(2) Osim informacija iz stavka 1. ovog članka, ispitaniku se, radi ostvarivanja njegovih prava, mogu učiniti dostupnim i informacije o:
1.pravnom temelju obrade podataka
2.razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja
3.kategorijama primatelja osobnih podataka, uključujući treće zemlje ili međunarodne organizacije.
(3) Ako se osobni podaci prikupljaju bez znanja ispitanika, radi ostvarivanja njegovih prava, u određenim slučajevima prema potrebi i procjeni, mogu mu se učiniti dostupnim i druge dodatne informacije.
Komentirate u ime: Ministarstvo unutarnjih poslova
Pravo ispitanika na pristup
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 15.
(1) Voditelj obrade dužan je ispitaniku najkasnije u roku od 30 dana od zaprimanja zahtjeva izdati potvrdu o tome obrađuju li se njegovi osobni podaci, a ako se obrađuju dozvoliti pristup takvim osobnim podacima i sljedećim informacijama:
1.svrhama obrade i pravnom temelju obrade
2.kategorijama osobnih podataka
3.primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama
4.predviđenom razdoblju u kojem će se osobni podaci pohranjivati ili kriterijima korištenima za utvrđivanje tog razdoblja
5.postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika
6.o pravu na podnošenje prigovora nadzornom tijelu i kontaktne podatke nadzornog tijela
7.obavješćivanju o osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.
(2) Zahtjev iz stavka 1. ovog članka mora sadržavati osobne podatke podnositelja zahtjeva, dokaz o identitetu, datum podnošenja zahtjeva i potpis.
Komentirate u ime: Ministarstvo unutarnjih poslova
Ograničenja prava pristupa i informacija koje se stavljaju na raspolaganje ili daju ispitaniku
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 16.
(1) Voditelj obrade će ispitaniku u cijelosti ili djelomično ograničiti pravo iz članka 14. stavka 2. i 3. i članka 15. ovoga Zakona u onoj mjeri i u onom trajanju u kojem takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru uz poštivanje temeljnih prava i zakonitih interesa ispitanika kako bi se:
1.izbjeglo ometanje istraživanja kaznenih djela i vođenje kaznenog postupka
2.izbjeglo ometanje istražnih i nadzornih postupaka koje provode tijela javne vlasti sukladno posebnim propisima
3.izbjeglo ometanje izvršavanja kaznenih sankcija
4.zaštitila javna sigurnost
5.zaštitila nacionalna sigurnost
6.zaštitila prava i slobode drugih.
(2) Voditelj obrade pisanim putem dostavlja obavijest ispitaniku o odbijanju ili ograničavanju pristupa i o razlozima koji su doveli do odbijanja ili ograničavanja, osim ako bi davanje takvih informacija dovelo u pitanje neku od svrha iz stavka 1. ovog članka.
(3) Voditelj obrade upućuje ispitanika o pravu na podnošenje prigovora nadzornom tijelu ili ostvarivanje prava pristupa podnošenjem pravnog lijeka.
(4) Voditelj obrade dužan je na primjeren način zabilježiti činjenične ili pravne razloge na kojima se temelji njegova odluka.
(5) Podaci iz stavka 4. ovog članka se na zahtjev stavljaju nadzornom tijelu na raspolaganje.
(6) U slučaju podnošenja prigovora iz stavka 3. ovog članka, na zahtjev nadzornog tijela Ured Vijeća za nacionalnu sigurnost dat će ocjenu osnovanosti razloga ograničenja ako je odluka voditelja obrade o ograničenju prava ispitanika donesena iz razloga navedenog u stavku 1. točki 4. ovog članka te će u tu svrhu Uredu Vijeća za nacionalnu sigurnost dostaviti odluku voditelja obrade i zabilježene činjenične ili pravne razloge na kojima se ona temelji.
(7) Ured Vijeća za nacionalnu sigurnost će osnovanost ograničenja prava ispitanika utvrditi u suradnji s nadležnom sigurnosno-obavještajnom agencijom.
Komentirate u ime: Ministarstvo unutarnjih poslova
Pravo na ispravak ili brisanje osobnih podataka i ograničenje obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 17.
(1) Ispitanik može od voditelja obrade ishoditi ispravak netočnih odnosno nadopunu nepotpunih osobnih podatka na temelju pisanog zahtjeva, između ostaloga i davanjem dodatne izjave.
(2) Zahtjev iz stavka 1. ovog članka, osim podataka iz članka 16. stavka 2. ovog Zakona, mora sadržavati i obrazloženje zahtjeva i dodatna pojašnjenja vezano uz zahtjev.
(3) Voditelj obrade će izbrisati osobne podatke bez odgode ako se krše odredbe članka 6. ili članka 11. ovoga Zakona ili kada se osobni podaci moraju brisati radi poštivanja pravne obveze kojoj podliježe voditelj obrade.
(4) Voditelj obrade će umjesto brisanja ograničiti obradu ako:
1.ispitanik osporava točnost osobnih podataka, a njihovu točnost nije moguće utvrditi
2.osobni podaci moraju biti sačuvani u obliku u kojem su prikupljeni i pohranjeni radi korištenja u kaznenom postupku.
(5) Ako je obrada ograničena na temelju stavka 4. točke 1. ovog članka, voditelj obrade pisanim putem obavještava ispitanika prije uklanjanja ograničenja obrade te o svakom odbijanju ispravka ili brisanja osobnih podataka ili ograničavanja obrade kao i razlozima odbijanja.
(6) Voditelj obrade može primijeniti razloge iz članka 16. stavka 1. točke 1. do 5. ovog Zakona kojima se u cijelosti ili djelomično ograničava obveza pružanja takvih informacija u onoj mjeri u kojoj takvo ograničavanje čini nužnu i proporcionalnu mjeru uz dužno poštovanje temeljnih prava i legitimnih interesa ispitanika.
(7) Voditelj obrade dužan je obavijestiti ispitanika o mogućnosti podnošenja prigovora nadzornom tijelu ili o pravu na podnošenje pravnog lijeka.
(8) Voditelj obrade o ispravku netočnih osobnih podataka dostavlja obavijest nadležnom tijelu od kojeg je zaprimio netočne podatke.
(9) Ako su osobni podaci bili ispravljeni ili brisani ili je obrada bila ograničena na temelju stavka 4. ovog članka, voditelj obrade dužan je obavijestiti primatelje kojima su podaci preneseni da isprave ili brišu osobne podatke ili ograniče obradu osobnih podataka u okviru svoje nadležnosti i odgovornosti.
Komentirate u ime: Ministarstvo unutarnjih poslova
Ostvarivanje prava ispitanika i provjera nadzornog tijela
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 18.
(1) U slučajevima iz članka 16. stavka 3. i članka 17. stavka 7. ovog Zakona prava ispitanika mogu se ostvariti i putem nadzornog tijela.
(2) Voditelj obrade dužan je obavijestiti i uputiti ispitanika o mogućnosti ostvarivanja njegovih prava putem nadzornog tijela.
(3) Kada ispitanik ostvaruje pravo iz stavka 1. ovog članka, nadzorno tijelo obavještava ispitanika o tome da je provelo sve potrebne provjere ili preispitivanje te o pravu ispitanika na pravni lijek.
Komentirate u ime: Ministarstvo unutarnjih poslova
Prava ispitanika u kaznenim istragama, istraživanjima i postupcima
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 19.
Ako su osobni podaci sadržani u odluci suda ili drugog neovisnog pravosudnog tijela, evidenciji ili spisu predmeta obrađenom tijekom istraživanja, istrage i postupka, ispitanik prava iz članka 14., 15. i 17. ovoga Zakona ostvaruje u skladu s posebnim propisima.
Komentirate u ime: Ministarstvo unutarnjih poslova
IV. VODITELJ OBRADE I IZVRŠITELJ OBRADE
Komentirate u ime: Ministarstvo unutarnjih poslova
Obveze voditelja obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 20.
(1) Voditelj obrade, uzimajući u obzir sadržaj, opseg i svrhu obrade, kao i mogućnost nastupanja ugroza za prava i slobode ispitanika, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s odredbama ovog Zakona.
(2) Mjere iz stavka 1. ovog članka se prema potrebi preispituju i ažuriraju.
(3) Mjere iz stavka 1. ovog članka podrazumijevaju i provedbu odgovarajućih postupaka koje imaju za cilj zaštitu podataka od strane voditelja obrade.
Komentirate u ime: Ministarstvo unutarnjih poslova
Tehnička i integrirana zaštita podataka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 21.
(1) Voditelj obrade u vrijeme određivanja sredstava obrade i u vrijeme same obrade provodi odgovarajuće tehničke i organizacijske mjere za omogućivanje učinkovite primjene načela zaštite podataka kako bi se ispunili zahtjevi iz ovog Zakona i zaštitila prava ispitanika te kako bi se osiguralo da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade.
(2) Mjere iz stavka 1. ovog članka odnose se na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost čime se osigurava da osobni podaci bez intervencije fizičke osobe ne mogu biti dostupni neograničenom broju osoba.
Komentirate u ime: Ministarstvo unutarnjih poslova
Zajednički voditelji obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 22.
(1) Zajednički voditelji obrade sporazumno određuju svoje odgovornosti i obveze tijekom obrade osobnih podataka, osobito u pogledu ostvarivanja prava ispitanika i svojih dužnosti pružanja informacija ispitaniku iz članka 14. ovoga Zakona.
(2) U slučaju zajedničkog voditelja obrade određuje se jedan voditelj obrade kao jedinstvena kontaktna točka za ostvarivanje prava ispitanika.
Komentirate u ime: Ministarstvo unutarnjih poslova
Izvršitelj obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 23.
(1) Voditelj obrade koristi usluge samo onog izvršitelja obrade koji može u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera propisanih odredbama ovog Zakona.
(2) Korištenje usluga izvršitelja obrade od strane voditelja obrade uređuje se ugovorom ili drugim pravnim aktom kojim se uređuje predmet i trajanje obrade, opseg, sadržaj i svrha obrade, vrsta osobnih podataka, kategorije ispitanika te obveze i prava voditelja obrade kao i da izvršitelj obrade:
1.djeluje samo prema uputama voditelja obrade
2.osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti
3.bilo kojim odgovarajućim sredstvom pomaže voditelju obrade osigurati usklađenost s odredbama o pravima ispitanika
4.prema izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluge obrade podataka te briše postojeće kopije osim ako prema nekoj zakonskoj odredbi ne postoji obveza pohrane osobnih podataka
5.voditelju obrade stavlja na raspolaganje sve informacije potrebne za pridržavanje odredbi ovog članka
6.poštuje odredbe stavka 3. ovog članka za angažiranje drugog izvršitelja obrade.
(3) Izvršitelj obrade ne može koristiti usluge drugog izvršitelja obrade bez prethodnog pisanog odobrenja voditelja obrade.
(4) Po zaprimanju odobrenja izvršitelj obrade dužan je obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s korištenjem drugih izvršitelja obrade.
(5) Voditelj obrade može uskratiti suglasnost izvršitelju obrade na korištenje usluga drugog izvršitelja obrade.
(6) Ako izvršitelj obrade, utvrđuje svrhe i načine obrade, kršeći odredbe ovog Zakona, taj se izvršitelj obrade smatra voditeljem obrade u pogledu obrade koja mu je povjerena.
Komentirate u ime: Ministarstvo unutarnjih poslova
Obrada pod vodstvom voditelja obrade ili izvršitelja obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 24.
Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade, a koja ima pristup osobnim podacima, obrađuje samo one podatke koje od nje zatraži voditelj obrade, osim ako je to drugačije određeno posebnim propisom.
Komentirate u ime: Ministarstvo unutarnjih poslova
Evidencija aktivnosti obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 25.
(1) Voditelj obrade u okviru svoje odgovornosti vodi evidenciju svih kategorija aktivnosti obrade koja sadržava sljedeće informacije:
1.naziv zbirke
2.ime i kontaktne podatke voditelja obrade i bilo kojeg zajedničkog voditelja obrade te službenika za zaštitu osobnih podataka
3.svrhe obrade
4.kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodnim organizacijama
5.opis kategorija ispitanika i kategorija osobnih podataka
6.upotreba izrade profila kada je to moguće s obzirom na svrhu obrade
7.kategorije prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju kada se podaci prenose
8.pravni temelj za postupak obrade, uključujući prijenose, kojem su osobni podaci namijenjeni
9.predviđene rokove za brisanje različitih kategorija osobnih podataka
10. opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 30. stavka 1. ovog Zakona.
(2) Svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju u ime voditelja obrade, a koja sadržava:
1.ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te službenika za zaštitu osobnih podataka
2.kategorije obrade koje se provode za svakog voditelja obrade
3.podatke o trećoj zemlji ili međunarodnoj organizaciji kojoj su prenijeti osobni podaci kada je za to postojala izričita uputa voditelja obrade
4.opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 30. stavka 1. ovog Zakona.
(3) Evidencije iz stavaka 1. i 2. ovoga članka moraju biti u pisanom obliku, što uključuje i elektronički oblik.
(4) Voditelj obrade i izvršitelj obrade stavljaju evidenciju na raspolaganje nadzornom tijelu na njegov zahtjev.
Komentirate u ime: Ministarstvo unutarnjih poslova
Zapisivanje
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 26.
(1) U automatiziranim sustavima obrade podataka voditelj i izvršitelj obrade osiguravaju bilježenje postupaka obrade osobnih podataka.
(2) Bilježenje postupaka obrade odnosi se i na datum i vrijeme obrade podataka te, ako je moguće, identitet osobe koja je obavila uvid ili otkrila osobne podatke kao i identitet primatelja takvih osobnih podataka.
(3) Zapisi se upotrebljavaju samo u svrhe provjere zakonitosti obrade, nadzora procesa i osiguravanja cjelovitosti i sigurnosti osobnih podataka.
(4) Voditelj obrade i izvršitelj obrade na zahtjev stavljaju zapise na raspolaganje nadzornom tijelu.
Suradnja s nadzornim tijelom
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 27.
Voditelj obrade i izvršitelj obrade pružaju i daju na uvid sve potrebne informacije nadzornom tijelu radi obavljanja poslova iz njegove nadležnosti propisanih ovim Zakonom.
Komentirate u ime: Ministarstvo unutarnjih poslova
Procjena učinka na zaštitu podataka
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 28.
(1) Voditelj obrade je prije poduzimanja obrade dužan provesti procjenu učinka planirane obrade na zaštitu osobnih podataka kada je vjerojatno da će neka obrada prouzročiti visoki rizik za prava i slobode fizičke osobe.
(2) Procjena iz stavka 1. ovoga članka sadržava općeniti opis predviđenih postupaka obrade, procjenu rizika za prava i slobode ispitanika, predviđene mjere za rizike, zaštitne i sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka ispitanika i drugih uključenih osoba.
Komentirate u ime: Ministarstvo unutarnjih poslova
Prethodno savjetovanje s nadzornim tijelom
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 29.
(1) Voditelj obrade ili izvršitelj obrade dužan je provesti savjetovanje s nadzornim tijelom prije nove obrade osobnih podataka koji će biti uključeni u novi sustav pohrane koji se treba uspostaviti, ako:
1.procjena učinka na zaštitu podataka iz članka 28. ovoga Zakona upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik
2.vrsta obrade predstavlja visok rizik za prava i slobode ispitanika.
(2) Savjetovanje s nadzornim tijelom provodi se tijekom izrade prijedloga zakona ili prijedloga drugih propisa koji se odnose na obradu osobnih podataka.
(3) Nadzorno tijelo donosi popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 1. ovog članka.
(4) Voditelj obrade nadzornom tijelu dostavlja procjenu učinka na zaštitu podataka na temelju članka 28. ovoga Zakona samostalno ili na temelju zahtjeva te pruža sve ostale informacije na temelju kojih će nadzorno tijelo moći procijeniti usklađenost obrade, a posebno rizike za zaštitu osobnih podataka ispitanika i povezane zaštitne mjere.
(5) Kada nadzorno tijelo smatra da bi se obradom iz stavka 1. ovog članka kršile odredbe ovog Zakona, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše 45 dana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 44. ovoga Zakona.
(6) Rok iz stavka 5. ovog članka može se prema potrebi produljiti za 30 dana, uzimajući u obzir složenost planirane obrade.
(7) Nadzorno tijelo u roku od 30 dana od zaprimanja zahtjeva obavještava voditelja obrade i, prema potrebi, izvršitelja obrade o svakom takvom produljenju te o razlozima odgode.
Komentirate u ime: Ministarstvo unutarnjih poslova
Sigurnost obrade
Komentirate u ime: Ministarstvo unutarnjih poslova
Članak 30.
(1) Voditelj obrade i izvršitelj obrade, uzimajući u obzir najnovija dostignuća i troškove provedbe te opseg, sadržaj i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, osobito u pogledu obrade posebnih kategorija osobnih podataka iz članka 11. ovog Zakona.
(2) U pogledu automatizirane obrade voditelj obrade ili izvršitelj obrade nakon procjene rizika provode mjere čija je svrha sljedeće:
1.neovlaštenim osobama onemogućiti pristup opremi za obradu koja se upotrebljava za obradu
2.spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka
3.spriječiti neovlašteno unošenje osobnih podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka
4.spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama koje se koriste opremom za podatkovnu komunikaciju
5.osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo osobnim podacima koji su predviđeni njihovim odobrenjem za pristup
6.osigurati mogućnost provjere i utvrđivanja tijela kojima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje upotrebom opreme za podatkovnu komunikaciju
7.osigurati mogućnost naknadne provjere i utvrđivanja osobnih podataka koji su uneseni u sustave automatizirane obrade te vremena unosa i osoba koje su ih unijeli
8.spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka
9.osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida
10.osigurati pouzdanost funkcioniranja sustava i prijave grešaka u funkcioniranju sustava te onemogućavanje ugroze cjelovitosti osobnih podataka zbog nedostataka u funkcioniranju sustava.
Komentirate u ime: Ministarstvo unutarnjih poslova