European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Što trebam učiniti u slučaju povrede podataka?

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

  • Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
  • Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

Kako mogu poštovati prava pojedinaca na zaštitu podataka?

Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:

  • informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
  • odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.

Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.

Više informacija:

Želite li ostvariti prava ispitanika (brisanje, ispravak, pristup) na osobne podatke u Schengenskom informacijskom sustavu (SIS)?

Odbor za nadzor koordinacije (CSC), koji postoji u okviru EDPB-a, koordinira nadzor obrade osobnih podataka u Schengenskom informacijskom sustavu (SIS). Relevantni zakoni EU-a jesu Uredba (EU) 2018/1862 (posebno članak 71.) i Uredba (EU) 2018/1861 (posebno članak 57.).

Za osobne podatke uključene u SIS imate pravo na pristup, ispravak i brisanje. Ta prava uključuju:

  • pravo znati obrađuju li se informacije koje se odnose na vas u SIS-u;
  • pravo na pristup tim podacima;
  • pravo na ispravak netočnih podataka ili brisanje podataka koji se odnose na nezakonito pohranjene podatke; i
  • Pravo na pokretanje postupka pred sudovima, vašim tijelom za zaštitu podataka i/ili nadležnim tijelima, prema potrebi, radi ispravljanja ili brisanja podataka koji se odnose na vas ili radi dobivanja naknade.

Kako biste ostvarili svoja prava, obratite se svojem nacionalnom nadležnom tijelu u zemlji schengenskog područja po vašem izboru. Više informacija o nacionalnim nadležnim tijelima i tijelu za zaštitu podataka u svakoj zemlji schengenskog područja dostupno je u „Vodičuza ostvarivanje prava ispitanika”na našim internetskim stranicama. Tamo možete pronaći i modele pisama koji će vam pomoći u ostvarivanju vaših prava. 

Napominjemo da Europski odbor za zaštitu podataka nije nadležan za rješavanje pojedinačnih pritužbi ili zahtjeva. Osim toga, Europski odbor za zaštitu podataka nema pristup sadržaju tih informacijskih sustava i baza podataka.

Više pojedinosti o tome kako ostvariti svoja prava dostupno je na našoj internetskoj stranici https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_hr.

Kako mogu pratiti rad Europskog odbora za zaštitu podataka?

Europski odbor za zaštitu podataka redovito objavljuje priopćenja za medije, vijesti, blogove i druge sadržaje na internetskim stranicama Europskog odbora za zaštitu podataka i njegovim kanalima društvenih medija (Twitter: @EU_EDPB; LinkedIn: Europski odbor za zaštitu podataka) kako bi zajednicu za zaštitu podataka i širu javnost s upoznao s njegovim radom.

Na internetskim stranicama Europskog odbora za zaštitu podataka nalaze se i dva izvora RSS-a na koje se možete pretplatiti za automatska ažuriranja novosti Europskog odbora za zaštitu podataka i njegovih najnovijih publikacija.

Što je Opća uredba o zaštiti podataka?

Općom uredbom o zaštiti podataka uspostavlja se usklađeni skup pravila koja se primjenjuju na sve obrade osobnih podataka od strane organizacija (javnih ili privatnih, bez obzira na njihovu veličinu) s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili usmjerenih na pojedince unutar tog prostora. Glavni je cilj Opće uredbe o zaštiti podataka osigurati da osobni podaci uživaju isti visoki standard zaštite svugdje u EGP-u, čime se povećava pravna sigurnost za pojedince i organizacije koje obrađuju podatke te pruža visok stupanj zaštite pojedinaca.

Uredba je stupila na snagu 24. svibnja 2016. i primjenjuje se od 25. svibnja 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Primjenjuje li se Opća uredba o zaštiti podataka i na papirnate zapise?

Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

Više informacija:

Što je zajednički voditelj obrade?

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

  • Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

Organiziram događanje u okviru svojih poslovnih aktivnosti, mogu li snimati fotografije i videozapise događanja i posjetitelja?

Da, ali da biste to učinili, prvo ćete morati utvrditi pravnu osnovu za obradu ove vrste osobnih podataka. Na primjer, obrada se može smatrati legitimnim interesom vaše organizacije. Prilikom obrade osobnih podataka na temelju legitimnog interesa uvijek je potrebno provesti test ravnoteže kako bi se utvrdilo nadmašuju li vaši legitimni interesi prava pojedinaca, posebno ako su uključena djeca.

Druga moguća pravna osnova za takvu obradu mogla bi biti privola. U svakom slučaju, pojedince bi uvijek trebalo unaprijed obavijestiti da se događanje fotografira ili snima.

Više informacija:

Ako želim pohraniti životopise kandidata za buduće postupke zapošljavanja, trebam li zatražiti privolu kandidata?

Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.

Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.

Više informacija:

Pišete li o zemlji izvan EU-a za koju je priznato da pruža odgovarajuću razinu zaštite podataka (odluke o primjerenosti)?

Europska komisija može odlučiti nudi li zemlja izvan Europe (ili međunarodna organizacija) „odgovarajuću” razinu zaštite podataka, čime se olakšava protok podataka između Europe i te zemlje. 

Europski odbor za zaštitu podataka zadužen je za davanje mišljenja o nacrtima odluka o primjerenosti prije odluke Europske komisije. Mišljenja nisu obvezujuća za Europsku komisiju, ali su obično korisna za druge organizacije s kojima se savjetuje u tom okviru, kao što su države članice EU-a.

Nadalje, Europska komisija nadležna je za praćenje kretanja u neeuropskim zemljama koja bi mogla utjecati na odluke o primjerenosti. U nekim odlukama o primjerenosti predviđena je posebna pravilnost preispitivanja odluke i može se upućivati na mogućnost da predstavnici EDPB-a sudjeluju u postupku preispitivanja koji organizira Europska komisija.

Imajte na umu i da europska tijela za zaštitu podataka mogu zaštititi pojedince u pogledu prijenosa podataka izvršenih u kontekstu odluke o primjerenosti (popis tih podataka možete pronaći na našim internetskim stranicama: https://edpb.europa.eu/about-edpb/our-members).

Ako smatrate da postojeća odluka o primjerenosti nije u skladu s vašim temeljnim pravima pojedinca na privatnost i zaštitu podataka, možete podnijeti pritužbu svojem tijelu za zaštitu podataka koje može podnijeti te prigovore nacionalnom sudu od kojeg se može tražiti da Sudu uputi zahtjev za prethodnu odluku (vidjeti članak 58. stavak 5. Opće uredbe o zaštiti podataka i presudu Suda Europske unije u predmetu Schrems (predmet C-362/14)).

Za dodatne informacije vidjeti: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_hr

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Mogu li obrađivati osobne podatke samo ako imam privolu pojedinca?

Obrada osobnih podataka dopuštena je ako za to postoji pravna osnova. Osim dobrovoljne, specifične, informirane i nedvosmislene privole, mogu se koristiti i druge pravne osnove za obradu.

Drugim riječima, privola je potrebna ako se ne primjenjuje nijedna druga pravna osnova.

 

Više informacija:

Trebam li biti certificiran kako bih postao službenik za zaštitu podataka?

Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.

Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.

Više informacija:

Što je procjena učinka na zaštitu podataka i kada je obvezna?

Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

  • opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
  • sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
  • sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

Koje su pravne osnove za obradu u skladu Općom uredbom o zaštiti podataka?

Voditelji obrade mogu obrađivati osobne podatke samo u jednoj od sljedećih okolnosti:

  • uz privolu osoba čiji se osobni podaci obrađuju;
  • ako je obrada nužna za izvršenje ugovora (ugovor između vaše organizacije i pojedinca);
  • ispunjavanje pravne obveze na temelju zakonodavstva EU-a ili nacionalnog zakonodavstva;
  • ako je obrada nužna za izvršavanje službene ovlasti ili zadaće od javnog interesa u skladu sa zakonodavstvom EU-a ili nacionalnim zakonodavstvom;
  • zaštita životno važnih interesa pojedinca;
  • legitiman interes vaše organizacije – osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika.

Osim toga, Općom uredbom o zaštiti podataka utvrđuju se dodatni uvjeti za obradu osobnih podataka posebnih kategorija.

Više informacija:

Moraju li i izvršitelji obrade poštovati Opću uredbu o zaštiti podataka?

Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.

Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

Više informacija:

Što bi trebalo uključiti u ugovor između voditelja obrade i izvršitelja obrade?

Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:

  • obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
  • osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
  • osigurava sigurnost obrade;
  • ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
  • pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
  • pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
  • po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
  • voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
  • omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.

Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.

Više informacija:

Mogu li prenijeti osobne podatke izvan Europskog gospodarskog prostora (EGP)?

U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka u zemljukoja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince.

Više informacija:

Je li službenik za zaštitu podataka (DPO) odgovoran za usklađenost s GDPR-om?

Službenik za zaštitu podataka ne može se smatrati odgovornim za nepoštivanje Opće uredbe o zaštiti podataka. Usklađenost s Općom uredbom o zaštiti podataka odgovornost je organizacije koja je imenovala službenika za zaštitu podataka.

Više informacija: