Povezani zakoni

Zakon o zaštiti osobnih podataka

pročišćeni tekst zakona

NN 103/03, 118/06, 41/08, 130/11, 106/12

Uživajte...

Baza je ažurirana 23.08.2016. zaključno sa NN 75/16

 

I. TEMELJNE ODREDBE

Članak 1.

Ovim se Zakonom uređuje zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj.

Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.

Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri, političkom ili drugom uvjerenju, nacionalnom ili socijalnom podrijetlu, imovini, rođenju, naobrazbi, društvenom položaju ili drugim osobinama.

Članak 1.a

Ovaj Zakon sadrži odredbe koje su u skladu sa sljedećim aktima Europske unije: »Direktiva 95/46/EZ Europskog Parlamenta i Vijeća, od 24. listopada 1995. godine, o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom prijenosu takvih podataka (CELEX 31995L0046).

Članak 2.

Pojedini izrazi u ovom Zakonu imaju sljedeće značenje:

1. Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

2. Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.

3. Zbirka osobnih podataka je svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.

4. Voditelj zbirke osobnih podataka je fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka.

5. Treća strana je fizička ili pravna osoba, državno ili drugo tijelo, osim ispitanika, voditelja zbirke osobnih podataka ili izvršitelja obrade osobnih podataka i osoba koje voditelj zbirke ili izvršitelj obrade izravno ovlasti na obradu osobnih podataka.

6. Primatelj je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci otkrivaju, neovisno o tome je li on ujedno i treća strana ili nije. Međutim, državna tijela koja mogu primati podatke u okviru provođenja istraga ne smatraju se primateljima.

7. Izvršitelj obrade je fizička ili pravna osoba, državno ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja zbirke osobnih podataka.

8. Privola ispitanika je slobodno dano i izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe,

9. Službenik za zaštitu osobnih podataka je osoba imenovana od strane voditelja zbirke osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.

Pojedine radnje ili skupine radnji obuhvaćene izrazom »obrada« osobnih podataka u točki 2. ovoga članka mogu se posebno izdvojiti i navoditi u pojedinim odredbama ovoga Zakona kada se te odredbe ne odnose na čitavu obradu u smislu točke 2. ovoga članka već na točno određene pojedine radnje u obradi.

Članak 3.

Odredbe ovoga Zakona primjenjuju se na obradu osobnih podataka od strane državnih tijela, tijela lokalne i područne (regionalne) samouprave te pravnih i fizičkih osoba, predstavništava i podružnica stranih pravnih osoba i predstavnika stranih pravnih i fizičkih osoba koje obrađuju osobne podatke.

Odredbe ovoga Zakona primjenjuju se i u slučaju ukoliko voditelj zbirke osobnih podataka nema prebivalište ili sjedište u jednoj od državna članica Europske unije, a za potrebe obrade osobnih podataka koristi automatiziranu i drugu opremu koja se nalazi na području Republike Hrvatske, osim ako tu opremu koristi samo za prijenos osobnih podataka preko teritorija Europske unije.

U slučaju iz stavka 2. ovoga članka, voditelj zbirke osobnih podataka dužan je imenovati zastupnika na području Republike Hrvatske tj. fizičku ili pravnu osobu koja ima prebivalište, odnosno sjedište ili je registrirana u Republici Hrvatskoj, koja će ga zastupati u svezi s obradom osobnih podataka u skladu s ovim Zakonom.

Odredbe ovoga Zakona ne primjenjuju se na obradu osobnih podataka koju provode fizičke osobe isključivo za osobnu primjenu ili za potrebe kućanstva.

Članak 4.

Odredbe ovoga Zakona odnose se na sve zbirke osobnih podataka bez obzira jesu li predmet automatske ili ručne obrade.

 

II. OBRADA OSOBNIH PODATAKA

Članak 5.

Voditelj zbirke osobnih podataka smije obrađivati osobne podatke samo uz uvjete određene ovim Zakonom i posebnim zakonima.

Članak 6.

Osobni podaci moraju se obrađivati pošteno i zakonito.

Osobni podaci mogu se prikupljati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Daljnja obrada osobnih podataka u povijesne, statističke ili znanstvene svrhe neće se smatrati nepodudarnom, pod uvjetom da se poduzmu odgovarajuće zaštitne mjere.

Osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha.

Osobni podaci moraju biti točni, potpuni i ažurni.

Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju. Odgovarajuće mjere zaštite za osobne podatke koji se pohranjuju na duže razdoblje za povijesnu, statističku ili znanstvenu uporabu propisuju se posebnim zakonima.

Za postupanje u skladu s odredbama ovoga članka odgovoran je voditelj zbirke osobnih podataka.

Članak 7.

Osobni podaci smiju se prikupljati i dalje obrađivati isključivo:

– uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu, ili

– u slučajevima određenim zakonom, ili

– u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka, ili

– u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka, ili

– u svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u slučaju kada ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak, ili

– ako je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih podataka ili treća strana kojoj se podaci dostavljaju, ili

– ako je obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih podataka ili treće strane kojoj se podaci otkrivaju, osim kada prevladavaju interesi zaštite temeljnih prava i sloboda ispitanika iz članka 1. stavka 2. ovoga Zakona, ili

– ako je ispitanik sam objavio te podatke.

U slučaju iz stavka 1. podstavka 1. i 8. ovoga članka ispitanik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade njegovih podataka, osim ako se radi o obradi podataka u statističke svrhe kada osobni podaci više ne omogućuju identifikaciju osobe na koju se odnose.

Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje obrađivati u skladu s ovim Zakonom i uz posebne mjere zaštite propisane posebnim zakonima.

 

III. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

Članak 8.

Zabranjeno je prikupljanje i daljnja obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku.

Iznimno, podaci iz stavka 1. ovoga članka mogu se prikupljati i dalje obrađivati:

– uz privolu ispitanika, ili

– ako je obrada podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa, ili

– ako je obrada nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe kada ispitanik zbog fizičkih ili pravnih razloga nije u mogućnosti dati svoju privolu, ili

– ako se obrada provodi u okviru djelatnosti ustanove, udruženja ili bilo kojeg drugog neprofitnog tijela s političkom, filozofskom, vjerskom, sindikalnom ili drugom svrhom te pod uvjetom da se obrada isključivo odnosi na njihove članove te da podaci ne budu otkriveni trećoj strani bez pristanka ispitanika, ili

– ako je obrada podataka potrebna radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom, ili

– ako je ispitanik sam objavio te podatke, ili

– ako je obrada podataka potrebna u svrhe preventivne medicine, medicinske dijagnoze, zdravstvene skrbi ili upravljanja zdravstvenim službama, pod uvjetom da podatke obrađuje zdravstveni djelatnik na temelju propisa i pravila donesenih od strane nadležnih tijela.

U slučaju iz stavka 2. ovoga članka, obrada podataka mora biti posebno označena i zaštićena.

Uredbom Vlade, uz prethodno pribavljeno mišljenje Agencije za zaštitu osobnih podataka, propisat će se način pohranjivanja i posebne mjere tehničke zaštite podataka iz stavka 2. ovoga članka.

Ukoliko su podaci iz stavka 2. ovoga članka klasificirani, način pohranjivanja i tehnička zaštita tih podataka provode se sukladno posebnim propisima koji uređuju područje informacijske sigurnosti.

Osobni podaci koji se odnose na prekršajnu i kaznenu evidenciju smiju se obrađivati isključivo pod kontrolom nadležnih tijela.

Članak 9.

Prije prikupljanja bilo kojih osobnih podataka, voditelj zbirke osobnih podataka ili izvršitelj obrade dužan je informirati ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose, o primateljima ili kategorijama primatelja osobnih podataka te da li se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama uskrate davanja podataka. U slučaju obveznog davanja osobnih podataka navodi se i zakonska osnova za obradu osobnih podataka.

Prije davanja osobnih podataka na korištenje drugim primateljima voditelj zbirke osobnih podataka dužan je o tome informirati ispitanika.

Informacije iz stavka 1. i 2. ovoga članka daju se ispitaniku neovisno o tome prikupljaju li se osobni podaci neposredno od ispitanika ili iz drugih izvora.

Iznimno, informacije iz stavka 1. i 2. ovoga članka ne moraju se dati ispitaniku ako se za potrebe obrade u statističke svrhe ili u svrhe povijesnog ili znanstvenog istraživanja osobni podaci daju na korištenje ili se prikupljaju iz postojećih zbirki osobnih podataka ili bi davanje informacija predstavljalo nerazmjeran napor, ili ako je obrada osobnih podataka izričito određena zakonom.

 

IV. POVJERAVANJE POSLOVA OBRADE OSOBNIH PODATAKA

Članak 10.

Voditelj zbirke osobnih podataka može na temelju ugovora pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga povjeriti drugoj fizičkoj ili pravnoj osobi (u daljnjem tekstu: izvršitelj obrade).

Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.

Ugovorom iz stavka 1. ovoga članka uređuju se međusobna prava i obveze voditelja zbirke osobnih podataka i izvršitelja obrade, a osobito se obvezuje izvršitelja obrade:

– da obavlja poslove samo na temelju naloga voditelja zbirke osobnih podataka,

– da ne smije osobne podatke davati na korištenje drugim primateljima, niti ih smije obrađivati za bilo koju drugu svrhu osim ugovorene,

– da osigura provođenje odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka sukladno odredbama ovoga Zakona.

Ugovor iz stavka 1. ovoga članka mora biti sastavljen u pisanom obliku

 

V. DAVANJE PODATAKA PRIMATELJIMA

Članak 11.

Voditelj zbirke osobnih podataka ovlašten je osobne podatke dati na korištenje drugim primateljima na temelju pisanog zahtjeva primatelja ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti primatelja.

Pisani zahtjev mora sadržavati svrhu i pravni temelj za korištenje osobnih podataka te vrstu osobnih podataka koji se traže.

Zabranjeno je davanje osobnih podataka na korištenje drugim primateljima za čiju obradu, odnosno korištenje nisu ovlašteni prema odredbama članka 7. i članka 8. stavka 2. ovoga Zakona te ako je svrha za koju se osobni podaci traže na korištenje suprotna odredbi članka 6. stavka 2. i 3. ovoga Zakona.

Osobni podaci obrađeni u znanstveno-istraživačke i statističke svrhe ne smiju omogućiti identifikaciju osobe na koju se osobni podaci odnose.

U slučaju iz stavka 1. ovoga članka, voditelj zbirke osobnih podataka vodi posebnu evidenciju o osobnim podacima koji su dani na korištenje, primatelju osobnih podataka i svrsi za koju su osobni podaci dani.

Članak 12.

Osobni podaci mogu se koristiti samo u vremenu koje je nužno za ostvarenje određene svrhe, osim ako posebnim zakonom nije određeno duže razdoblje.

Protekom vremena iz stavka 1. ovoga članka osobni podaci moraju se brisati, ako se posebnim zakonom što drugo ne odredi.

Odredbe ovoga Zakona o davanju osobnih podataka na korištenje odnose se i na razmjenu osobnih podataka između dr­žav­nih tijela, osim ako je posebnim zakonom drugačije određeno.

 

VI. IZNOŠENJE OSOBNIH PODATAKA IZ REPUBLIKE HRVATSKE

Članak 13.

Zbirke osobnih podataka, odnosno osobni podaci sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se osobni podaci iznose ima odgovarajuće uređenu zaštitu osobnih podataka, odnosno osiguranu adekvatnu razinu zaštite.

Prije iznošenja osobnih podataka iz Republike Hrvatske, voditelj zbirke osobnih podataka dužan je, u slučaju kada postoji osnova za sumnju o postojanju odgovarajuće uređene zaštite osobnih podataka, pribaviti mišljenje Agencije za zaštitu osobnih podataka.

Adekvatna razina zaštite koju pruža država ili međunarodna organizacija procjenjuje se s obzirom na okolnosti u svezi s iznošenjem osobnih podataka a posebno s obzirom na vrstu podataka, svrhu i trajanje obrade, zemlju u koju se podaci iznose, zakonske odredbe koje su na snazi u toj zemlji te profesionalna pravila i sigurnosne mjere koje se primjenjuju u toj zemlji.

Iznimno od stavka 1. ovoga članka, osobni podaci sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u države ili međunarodne organizacije koje ne osiguravaju adekvatnu razinu zaštite u smislu stavka 2. ovoga članka samo u slučajevima:

– ako je ispitanik dao privolu za iznošenje podataka koji se na njega odnose samo u svrhu za koju je ispitanik dao privolu, ili

– ako je iznošenje nužno u svrhu zaštite života ili tjelesnog integriteta ispitanika, ili

– ako voditelj zbirke pruži dovoljna jamstva glede zaštite privatnosti i temeljnih prava i sloboda pojedinaca, koja mogu proizlaziti iz ugovornih odredaba, za koja Agencija za zaštitu osobnih podataka utvrdi da su odgovarajuća u skladu s važećim propisima kojima se uređuje zaštita osobnih podataka, ili

– ako je iznošenje podataka potrebno radi izvršenja ugovora između voditelja zbirke osobnih podataka i ispitanika ili provedbe predugovornih mjera poduzetih na zahtjev ispitanika, ili

– ako je iznošenje podataka potrebno za zaključivanje ili izvršenje ugovora između voditelja zbirke osobnih podataka i treće osobe a koji je u interesu ispitanika, ili

– ako je iznošenje podataka potrebno ili određeno zakonom radi zaštite javnog interesa ili radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom, ili

– ako se iznošenje podataka obavlja iz evidencije koja je sukladno zakonu ili drugom propisu namijenjena pružanju informacija javnosti i koja je javnosti ili svakoj osobi koja može dokazati pravni interes otvorena za uvid, podaci se mogu iznositi u onoj mjeri u kojoj su ispunjeni zakonom propisani uvjeti za uvid u pojedinom slučaju.

Članak 13.a

Agencija za zaštitu osobnih podataka dužna je izvijestiti Europsku komisiju i tijela nadležna za nadzor nad zaštitom osobnih podataka u državama članicama Europske unije o slučajevima u kojima smatra da treća zemlja ne osigurava adekvatnu razinu zaštite osobnih podataka u smislu članka 13. stavka 3. ovoga Zakona.

Ukoliko Europska komisija utvrdi da treća zemlja ne osigurava adekvatnu razinu zaštite osobnih podataka, Agencija za zaštitu osobnih podataka zabranit će iznošenje osobnih podataka iz Republike Hrvatske u tu zemlju.

Ukoliko Europska komisija utvrdi da treća zemlja osigurava adekvatnu razinu zaštite osobnih podataka, Agencija za zaštitu osobnih podataka postupat će u skladu s takvom odlukom Europske komisije.

Agencija za zaštitu osobnih podataka dužna je izvijestiti Europsku komisiju i tijela nadležna za nadzor nad zaštitom osobnih podataka u državama članicama Europske unije o slučajevima kada je odobrila iznošenje osobnih podataka iz Republike Hrvatske prema članku 13. stavku 4. podstavku 3. ovoga Zakona.

U vezi sa slučajevima iz stavka 4. ovoga članka Agencija za zaštitu osobnih podataka postupat će u skladu s odlukom Europske Komisije.

 

VII. ZBIRKE OSOBNIH PODATAKA, EVIDENCIJE I SREDIŠNJI REGISTAR

Članak 14.

Voditelj zbirke osobnih podataka za svaku zbirku osobnih podataka koju vodi, uspostavlja i vodi evidenciju koja sadrži temeljne informacije o zbirci, a osobito sljedeće:

1. naziv zbirke,

2. naziv, odnosno osobno ime voditelja zbirke i njegovo sjedište, odnosno adresu,

3. svrhu obrade,

4. pravni temelj uspostave zbirke podataka,

5. kategorije osoba na koje se podaci odnose,

6. vrste podataka sadržanih u zbirci podataka,

7. način prikupljanja i čuvanja podataka,

8. vremensko razdoblje čuvanja i uporabe podataka,

9. osobno ime, odnosno naziv primatelja zbirke, njegovu adresu, odnosno sjedište,

10. naznaku unošenja, odnosno iznošenja podataka iz Republike Hrvatske s naznakom države, odnosno međunarodne organizacije i inozemnog primatelja osobnih podataka te svrhe za to unošenje, odnosno iznošenje propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim pristankom osobe na koju se podaci odnose,

11. naznaku poduzetih mjera zaštite osobnih podataka.

Članak 15.

Način vođenja evidencije iz članka 14. ovoga Zakona i obrazac te evidencije propisuje se uredbom Vlade, uz prethodno mišljenje Agencije za zaštitu osobnih podataka.

Članak 16.

Voditelji zbirki osobnih podataka dužni su evidencije iz članka 14. ovoga Zakona dostaviti Agenciji za zaštitu osobnih podataka najkasnije u roku od 15 dana od dana uspostave zbirke osobnih podataka. Evidencije se objedinjavanju u središnjem registru koji vodi Agencija za zaštitu osobnih podataka.

U Središnjem registru ne moraju se objedinjavati evidencije o zbirkama osobnih podataka koje vode nadležna državna tijela u okviru aktivnosti obrade osobnih podataka radi državne sigurnosti, obrane i suzbijanja pojava koje su Strategijom nacionalne sigurnosti Republike Hrvatske određene kao sigurnosni rizik (korupcija, organizirani kriminal, terorizam).

Članak 16.a

Voditelji zbirki osobnih podataka koji zapošljavaju do pet zaposlenika i voditelji zbirki osobnih podataka koji su imenovali službenika za zaštitu osobnih podataka i o tome izvijestili Agenciju za zaštitu osobnih podataka, nisu obvezni u Središnji registar iz članka 16. stavka 1. ovoga Zakona dostaviti evidencije iz članka 14. ovoga Zakona za zbirke osobnih podataka koje vode na temelju propisa iz područja radnog prava, ako se podaci iz zbirke osobnih podataka ne iznose iz Republike Hrvatske.

Članak 17.

Voditelji zbirki osobnih podataka dužni su prije uspostave zbirke osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka obavijest o namjeravanoj uspostavi zbirke osobnih podataka zajedno s podacima iz članka 14. ovoga Zakona, a također i o svakoj daljnjoj namjeravanoj obradi tih podataka, prije poduzimanja bilo kakvih aktivnosti obrade.

Obveza dostavljanja prethodne obavijesti Agenciji za zaštitu osobnih podataka utvrđena u stavku 1. ovoga članka ne odnosi se na uspostavu zbirki osobnih podataka u slučaju kada poseban zakon određuje svrhu obrade, podatke ili kategorije podataka koji se obrađuju, kategoriju ili kategorije ispitanika, primatelje ili kategorije primatelja kojima će podaci biti otkriveni te vrijeme u kojem će podaci biti pohranjeni.

U slučaju iz stavka 2. ovoga članka, voditelji zbirki osobnih podataka dužni su podatke o uspostavi zbirki osobnih podataka, kao i promjene podataka o zbirci osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka, najkasnije u roku od 15 dana od dana uspostave ili promjene.

Evidencije iz Središnjeg registra dostupne su javnosti.

Agencija za zaštitu osobnih podataka objavit će na svojim web stranicama evidencije iz Središnjeg registra.

Članak 18.

Osobni podaci u zbirkama osobnih podataka moraju biti odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa.

Voditelj zbirke osobnih podataka i primatelj dužni su poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te utvrditi obvezu osoba koje su zaposlene u obradi podataka, na potpisivanje izjave o povjerljivosti.

Mjere zaštite moraju biti razmjerne naravi djelatnosti voditelja zbirke osobnih podataka, odnosno primatelja, i sadržaju zbirke osobnih podataka.

Članak 18.a

Voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka.

Voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.

Imenovanje iz stavka 1. i 2. ovoga članka mora biti u pisanom obliku.

Voditelj zbirke osobnih podataka dužan je o imenovanju službenika za zaštitu osobnih podataka izvijestiti Agenciju za zaštitu osobnih podataka u roku od mjesec dana od donošenja odluke o imenovanju.

Agencija za zaštitu osobnih podataka vodi Registar službenika za zaštitu osobnih podataka.

Voditelj zbirke osobnih podataka dužan je službene kontakt podatke službenika za zaštitu osobnih podataka učiniti javno dostupnim na svojim web stranicama ili na drugi odgovarajući način.

Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, protiv koje je izrečena mjera povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane poslodavca.

Službenik za zaštitu osobnih podataka obavlja sljedeće dužnosti:

– vodi brigu o zakonitosti obrade osobnih podataka u smislu poštivanja odredbi ovoga Zakona i ostalih propisa koji uređuju pitanja obrade osobnih podataka,

– upozorava voditelja zbirke osobnih podataka na nužnost primjene propisa o zaštiti osobnih podataka u slučajevima planiranja i radnji koje mogu imati utjecaj na pitanja privatnosti i zaštitu osobnih podataka,

– upoznaje sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim obvezama u svrhu zaštite osobnih podataka,

– brine o izvršavanju obveza iz članka 14. i 17. ovoga Zakona,

– omogućava ostvarivanje prava ispitanika iz članka 19. i 20. ovoga Zakona,

– surađuje s Agencijom za zaštitu osobnih podataka u vezi s provedbom nadzora nad obradom osobnih podataka.

Službenik za zaštitu osobnih podataka dužan je čuvati povjerljivost svih informacija i podataka koje sazna u obavljanju svojih dužnosti. Ova obveza traje i nakon prestanka obavljanja dužnosti službenika za zaštitu osobnih podataka.

 

VIII. PRAVA ISPITANIKA I ZAŠTITA PRAVA

Članak 19.

Voditelj zbirke osobnih podataka dužan je najkasnije u roku od 30 dana od podnošenja zahtjeva, svakom ispitaniku na njegov zahtjev, odnosno njegovih zakonskih zastupnika ili punomoćnika:

1. dostaviti potvrdu o tome da li se osobni podaci koji se odnose na njega obrađuju ili ne,

2. dati obavijest u razumljivom obliku o podacima koji se odnose na njega čija je obrada u tijeku te o izvoru tih podataka,

3. omogućiti uvid u evidenciju zbirke osobnih podataka te uvid u osobne podatke sadržane u zbirci osobnih podataka koji se odnose na njega te njihovo prepisivanje,

4. dostaviti izvatke, potvrde ili ispise osobnih podataka sadržanih u zbirci osobnih podataka koji se na njega odnose, a koji moraju sadržavati i naznaku svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,

5. dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se odnose na njega,

6. dati obavijest o logici bilo koje automatske obrade podataka koja se na njega odnosi.

Članak 20.

Voditelj zbirke osobnih podataka dužan je na zahtjev ispitanika, odnosno njegovih zakonskih zastupnika ili punomoćnika dopuniti, izmijeniti ili brisati osobne podatke ako su podaci nepotpuni, netočni ili neažurni te ako njihova obrada nije u skladu s odredbama ovoga Zakona.

Neovisno o zahtjevu ispitanika, u slučaju ako voditelj zbirke osobnih podataka utvrdi da su osobni podaci nepotpuni, netočni ili neažurni, dužan ih je sam dopuniti ili izmijeniti.

O izvršenoj dopuni, izmjeni ili brisanju osobnih podataka voditelj zbirke osobnih podataka dužan je najkasnije u roku od 30 dana izvijestiti osobu na koju se osobni podaci odnose i primatelje osobnih podataka.

Članak 21.

Ispitanik ima pravo usprotiviti se obradi osobnih podataka u svrhe marketinga i u tom se slučaju osobni podaci koji se na njega odnose ne smiju obrađivati u tu svrhu.

Voditelj zbirke osobnih podataka dužan je ispitanika unaprijed obavijestiti o namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj obradi usprotivi.

Ispitanik se iz zakonitih razloga ima pravo usprotiviti obradi osobnih podataka koji se na njega odnose, u slučajevima iz članka 7. stavka 1. podstavka 6. i 7.

U slučaju kada je protivljenje ispitanika iz stavka 3. ovoga članka opravdano, osobni podaci ne smiju se dalje obrađivati

Članak 22.

Troškove iz članka 19., 20. i 21. ovoga Zakona snosi voditelj zbirke osobnih podataka, ako posebnim zakonom nije drugačije propisano.

Članak 22.a

Donošenje odluke koja proizvodi pravni učinak na ispitanika ili bitno na njega utječe, a temelji se isključivo na automatskoj obradi osobnih podataka koja je namijenjena procjeni određenih osobnih aspekata ispitanika (kao što su uspjeh na poslu, kreditna sposobnost, pouzdanost i slično), dopuštena je samo:

a) ako je donošenje takve odluke predviđeno zakonom, kojim se ujedno osigurava odgovarajuća zaštita prava ispitanika,

b) ako je odluka donesena u svezi zaključivanja ili izvršenja ugovora u kojem je ispitanik stranka, pod uvjetom da je osigurana odgovarajuća zaštita prava ispitanika.

Članak 23.

Obveze i prava utvrđena odredbama članka 9. i 19. ovoga Zakona mogu se ograničiti na način i pod uvjetima utvrđenim posebnim zakonima ako je to potrebno radi zaštite sigurnosti države; obrane; javne sigurnosti; radi prevencije, istrage, otkrivanja i gonjenja počinitelja kaznenih djela ili povreda etičkih pravila za određene profesije; radi zaštite važnoga gospodarskog ili financijskog interesa države (uključujući novčana, proračunska i porezna pitanja) te radi zaštite ispitanika ili prava i sloboda drugih, u opsegu koji je nužan za ostvarivanje svrhe radi koje je ograničenje određeno.

Obveze i prava utvrđena odredbama članka 19. i 20. ovoga Zakona mogu se ograničiti posebnim zakonima ako se osobni podaci obrađuju isključivo u svrhu znanstvenog istraživanja ili ako su prikupljeni isključivo u svrhu utvrđivanja statistike i pohranjeni na duže razdoblje isključivo za statističku uporabu.

Članak 24.

Svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno ovim Zakonom može podnijeti zahtjev za utvrđivanje povrede prava Agenciji za zaštitu osobnih podataka.

O povredi prava Agencija za zaštitu osobnih podataka odlučuje rješenjem.

Rješenje Agencije za zaštitu osobnih podataka je upravni akt.

Protiv rješenja Agencije za zaštitu osobnih podataka žalba nije dopuštena, ali se može pokrenuti upravni spor.

Članak 25.

Agencija za zaštitu osobnih podataka može, na traženje osobe koja je podnijela zahtjev za utvrđivanje povrede prava, privremeno rješenjem zabraniti obradu podataka na koje se zahtjev odnosi do pravomoćnog okončanja postupka.

Protiv rješenja iz stavka 1. ovoga članka nije dopuštena žalba, ali se može pokrenuti upravni spor.

Članak 26.

Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.

Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.

Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.

 

IX. NADZOR NAD OBRADOM OSOBNIH PODATAKA

Članak 27.

Za obavljanje nadzora nad obradom osobnih podataka ovim se Zakonom osniva Agencija za zaštitu osobnih podataka.

Agencija ima svojstvo pravne osobe.

Sjedište Agencije je u Zagrebu.

Članak 28.

U obavljanju poslova utvrđenih ovim Zakonom Agencija je samostalna i odgovara Hrvatskom saboru.

Sredstva za rad Agencije osiguravaju se u državnom proračunu Republike Hrvatske.

Ustrojstvo i način rada Agencije uređuje se Statutom Agencije koji potvrđuje Hrvatski sabor.

Članak 29.

Radom Agencije rukovodi ravnatelj kojeg na prijedlog Vlade Republike Hrvatske imenuje i razrješava Hrvatski sabor.

Ravnatelj Agencije ima zamjenika.

Zamjenika ravnatelja imenuje i razrješava Hrvatski sabor na prijedlog Vlade Republike Hrvatske.

Ravnatelj Agencije i zamjenik ravnatelja obavljaju poslove u Agenciji profesionalno.

Za ravnatelja Agencije i zamjenika ravnatelja može biti imenovan hrvatski državljanin visoke stručne spreme, s najmanje 10 godina radnog iskustva.

Ravnatelj Agencije i zamjenik ravnatelja imenuju se na četiri godine i mogu biti ponovno imenovani.

Na ravnatelja Agencije i zamjenika ravnatelja odnose se odredbe Zakona o obvezama i pravima državnih dužnosnika.

Plaća ravnatelja Agencije i zamjenika ravnatelja određuje se kao za ravnatelja državne upravne organizacije i zamjenika ravnatelja državne upravne organizacije.

Članak 30.

Agencija ima svoju stručnu službu.

Na zaposlene u stručnoj službi Agencije primjenjuju se opći propisi o radu.

Članak 31.

Agencija je dužna podnijeti izvješće o svojem radu Hrvatskom saboru na njegov zahtjev, a najmanje jednom na godinu.

U izvješću Agencija objavljuje cjelovitu analizu stanja u području zaštite osobnih podataka te postupaka pokrenutih na temelju odredaba ovoga Zakona i naloženih mjera te podataka o stupnju poštivanja prava građana u obradi osobnih podataka.

Izvješće Agencije je javno i objavljuje se na web stranici Agencije.

Članak 32.

Agencija obavlja sljedeće poslove kao javne ovlasti:

– nadzire provođenje zaštite osobnih podataka,

– ukazuje na uočene zloupotrebe prikupljanja osobnih podataka,

– sastavlja listu država i međunarodnih organizacija koje imaju odgovarajuće uređenu zaštitu osobnih podataka,

– rješava povodom zahtjeva za utvrđivanje povrede prava zajamčenih ovim Zakonom,

– vodi središnji registar.

Pojedina važnija rješenja Agencija može objaviti u »Narodnim novinama« ili na web stranici Agencije.

Agencija nadzire provođenje zaštite osobnih podataka na zahtjev ispitanika, na prijedlog treće strane ili po službenoj dužnosti.

Agencija je dužna razmotriti sve zahtjeve koji se odnose na utvrđivanje povrede prava u obradi osobnih podataka i izvijestiti podnosioca zahtjeva o poduzetim mjerama.

Agencija ima pravo pristupa osobnim podacima sadržanim u zbirkama osobnih podataka, neovisno jesu li evidencije o tim zbirkama objedinjene u središnji registar ili nisu, ima pravo pristupa spisima i drugoj dokumentaciji koja se odnosi na obradu osobnih podataka, kao i sredstvima elektronske obrade te ima pravo prikupljati sve informacije potrebne za izvršavanje njenih nadzornih dužnosti.

Ukoliko su podaci iz stavka 5. ovoga članka klasificirani s utvrđenim stupnjem tajnosti na temelju posebnog propisa, ravnatelj Agencije, zamjenik ravnatelja te zaposlenici stručne službe Agencije imaju pravo pristupa tim podacima sukladno posebnim propisima koji uređuju zaštitu tajnosti podataka.

Voditelj zbirke osobnih podataka, primatelj ili izvršitelj obrade dužni su omogućiti Agenciji pristup spisima i drugoj dokumentaciji kao i sredstvima elektronske obrade te na pisani zahtjev Agencije dostaviti tražene spise i drugu dokumentaciju.

Članak 33.

Osim poslova iz   članka 32. ovoga Zakona, Agencija obavlja i sljedeće poslove:

– prati uređenje zaštite osobnih podataka u drugim zemljama i surađuje s tijelima nadležnim za nadzor nad zaštitom osobnih podataka u drugim zemljama,

– nadzire iznošenje osobnih podataka iz Republike Hrvatske,

– izrađuje metodološke preporuke za unapređenje zaštite osobnih podataka i dostavlja ih voditeljima zbirki osobnih podataka,

– daje savjete u svezi s uspostavom novih zbirki osobnih podataka, osobito u slučaju uvođenja nove informacijske tehnologije,

– daje mišljenja, u slučaju sumnje, smatra li se pojedini skup osobnih podataka zbirkom osobnih podataka u smislu ovoga Zakona,

– prati primjenu organizacijskih i tehničkih mjera za zaštitu podataka te predlaže poboljšanje tih mjera,

– daje prijedloge i preporuke za unapređenje zaštite osobnih podataka,

– surađuje s nadležnim državnim tijelima u izradi prijedloga propisa koji se odnose na zaštitu osobnih podataka,

– po primitku obavijesti voditelja zbirke osobnih podataka daje prethodno mišljenje o tome predstavljaju li određeni načini obrade osobnih podataka specifične rizike za prava i slobode ispitanika. U slučaju sumnje o postojanju specifičnih rizika, voditelj zbirke osobnih podataka mora zatražiti mišljenje Agencije,

– obavlja i druge poslove određene zakonom.

Članak 34.

Ukoliko prilikom obavljanja nadzora utvrdi da su povrijeđene odredbe zakona kojima se uređuje obrada osobnih podataka, Agencija ima pravo upozoriti ili opomenuti voditelja zbirke osobnih podataka, primatelja i izvršitelja obrade na nezakonitosti u obradi osobnih podataka te rješenjem:

– narediti da se nepravilnosti uklone u određenom roku,

– privremeno zabraniti prikupljanje, obradu i korištenje osobnih podataka koji se prikupljaju, obrađuju ili koriste suprotno odredbama zakona,

– narediti brisanje osobnih podataka prikupljenih bez pravne osnove,

– zabraniti iznošenje osobnih podataka iz Republike Hrvatske ili davanje na korištenje osobnih podataka drugim primateljima ako se osobni podaci iznose iz Republike Hrvatske ili se daju na korištenje drugim primateljima suprotno odredbama ovoga Zakona,

– zabraniti povjeravanje poslova prikupljanja i obrade osobnih podataka izvršiteljima obrade ako izvršitelj obrade ne ispunjava uvjete u pogledu zaštite osobnih podataka, ili je povjeravanje navedenih poslova provedeno suprotno odredbama ovoga Zakona,

Protiv rješenja Agencije iz prethodnog stavka nije dozvoljena žalba, ali se može pokrenuti upravni spor.

Osim mjera iz stavka 1. ovoga članka, Agencija može predložiti pokretanje postupka kaznene ili prekršajne odgovornosti pred nadležnim tijelom.

Članak 35.

Ravnatelj Agencije, zamjenik ravnatelja te zaposlenici stručne službe Agencije dužni su kao profesionalnu tajnu, odnosno kao drugu odgovarajuću vrstu tajne sukladno zakonu kojim se uređuje tajnost podataka, čuvati sve osobne i druge povjerljive podatke koje saznaju u obavljanju svojih dužnosti.

Obveza iz stavka 1. ovoga članka traje i po prestanku obnašanja dužnosti ravnatelja Agencije i zamjenika ravnatelja, odnosno po prestanku radnog odnosa u stručnoj službi Agencije.

 

X. KAZNENE ODREDBE

Članak 36.

Novčanom kaznom od 20.000,00 do 40.000,00 kuna kaznit će se za prekršaj:

1. izvršitelj obrade koji prekorači granice svojih ovlasti ili osobne podatke prikuplja i obrađuje za drugu namjenu osim ugovorene ili ih daje na korištenje drugim primateljima ili ne osigura provođenje ugovorenih mjera zaštite osobnih podataka (članak 10. stavak 3.),

2. voditelj zbirke osobnih podataka koji osobne podatke daje na korištenje protivno odredbi članka 11. ovoga Zakona,

3. voditelj zbirke osobnih podataka koji ne uspostavi evidenciju koja sadrži temeljne informacije o zbirci osobnih podataka ili evidenciju vodi nepotpuno (članak 14.),

4. Voditelj zbirke osobnih podataka koji ne dostavi Agenciji za zaštitu osobnih podataka evidenciju o zbirci osobnih podataka u propisanom roku (članak 16. stavak 1.),

5. Voditelj zbirke osobnih podataka koji ne dostavi prethodnu obavijest o namjeravanoj uspostavi zbirke osobnih podataka ili o svakoj daljnjoj namjeravanoj obradi tih podataka (članak 17. stavak 1.),

6. voditelj zbirke osobnih podataka ili primatelj koji nije osigurao odgovarajuću zaštitu osobnih podataka (članak 18.),

7. Voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika, a koji ne imenuje službenika za zaštitu osobnih podataka (članak 18.a stavak 2.),

8. Voditelj zbirke osobnih podataka koji na zahtjev ispitanika ne dopuni, ne izmijeni ili ne izbriše nepotpune, netočne ili neažurne podatke (članak 20.stavak 1.),

9. voditelj zbirke osobnih podataka, primatelj ili izvršitelj obrade koji onemogući Agenciju u obavljanju radnji iz članka 32. stavka 5., 6. i 7. ovoga Zakona,

10. voditelj zbirke osobnih podataka, primatelj ili izvršitelj obrade koji ne postupi po naredbi ili zabrani Agencije (članak 34. stavak 1.),

11. ravnatelj Agencije, zamjenik ravnatelja te zaposlenici stručne službe Agencije koji otkriju povjerljive podatke koje saznaju u obavljanju svojih dužnosti (članak 35.).

Za prekršaj iz stavka 1. ovoga članka kaznit će se i odgovorna osoba u pravnoj osobi odnosno u državnom tijelu te u jedinici lokalne i područne (regionalne) samouprave novčanom kaznom od 5.000,00 do 10.000,00 kuna.

 

XI. PRIJELAZNE I ZAKLJUČNE ODREDBE

Članak 37.

Vlada Republike Hrvatske će u roku od 60 dana od dana stupanja na snagu ovoga Zakona podnijeti Hrvatskom saboru prijedlog za imenovanje ravnatelja Agencije i zamjenika ravnatelja.

Agencija je dužna u roku od 30 dana od dana imenovanja ravnatelja Agencije, donijeti Statut i dostaviti ga na potvrdu Hrvatskom saboru.

Članak 38.

Vlada Republike Hrvatske donijet će uredbe iz članka 8. stavka 4. i članka 15. ovoga Zakona u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.

Članak 39.

Zbirke osobnih podataka i evidencije ustrojene do stupanja na snagu ovoga Zakona uskladit će se s njegovim odredbama u roku od godine dana od dana stupanja na snagu ovoga Zakona.

Voditelji zbirki osobnih podataka dužni su evidencije iz članka 14. ovoga Zakona dostaviti Agenciji, u roku od 18 mjeseci od dana stupanja na snagu ovoga Zakona.

Članak 40.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.

Klasa: 220-05/02-01/01
Zagreb, 12. lipnja 2003.

Copyright © Ante Borić