Zaštita pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama EU-a

 

SAŽETAK DOKUMENATA:

Uredba (EU) 2018/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama EU-a i o slobodnom kretanju takvih podataka

ČEMU SLUŽI OVA UREDBA?

Uredbom se:

• utvrđuju pravila o tome kako institucije, tijela, uredi i agencije EU-a trebaju postupati s osobnim podatcima* koje čuvaju o pojedincima;
• podržavaju temeljna prava i slobode pojedinca, posebice pravo na zaštitu osobnih podataka i pravo na zaštitu privatnosti;
• usklađuju pravila za institucije, tijela, urede i agencije EU-a s pravilima Opće uredbe o zaštiti podataka (OUZP) i Direktive (EU) 2016/680, poznate kao direktiva o izvršavanju prava u području zaštite podataka (LED), koja se primjenjuje od svibnja 2018.;
• stavlja izvan snage Uredba (EZ) br. 45/2001, koja je prethodno sadržavala pravila o obradi osobnih podataka koju su provodile institucije, tijela, uredi i agencije EU-a te osigurava da su one u skladu s istim strogim standardima kao što je navedeno u OUZP-u;
• stavlja izvan snage Odluka br. 1247/2002/EZ o Europskom nadzorniku za zaštitu podataka (EDPS).

KLJUČNE TOČKE

Osobni podatci moraju biti:

• obrađivani zakonito, pošteno i transparentno;
• prikupljeni s točno utvrđenom, nedvosmislenom i zakonitom namjenom;
• primjereni, relevantni i ograničeni na ono što je nužno;
• točni i, prema potrebi, ažurni;
• čuvani u obliku koji omogućuje identifikaciju dotičnih ispitanika samo onoliko dugo koliko je potrebno;
• obrađivani uz odgovarajuću povjerljivost.

Voditelj obrade* odgovoran je za usklađenost sa svim prethodno navedenim načelima obrade podataka te je mora moći dokazati.

Dodatno, osobni podatci:

• smiju se prenijeti primatelju u EU-u koji nije institucija, tijelo, ured ili agencija EU-a samo uz uvjet da su podložni dodatnim zaštitnim mjerama;
• smiju se prenijeti izvan EU-a samo pod strogim uvjetima;
• koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji ne smiju se obrađivati, osim u posebnim okolnostima;
• podložni su odgovarajućim zaštitnim mjerama ako su arhivirani u javnom interesu ili u znanstvene, povijesne ili statističke svrhe.

Zahtjev za privolu pojedinca za uporabu njegovih podataka mora biti u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Privola se mora dati jasnom potvrdnom radnjom pojedinca.

Pojedinci (u zakonu poznati kao „ispitanici”) imaju sljedeća prava:

• u bilo kojem trenutku povući svoju privolu, što bi trebalo biti jednostavno kao i njezino davanje;
• znati obrađuju li se njihovi osobni podatci te pristup tim osobnim podatcima;
• dobiti ispravljanje svih netočnih osobnih podataka;
• ukloniti ili ograničiti sve osobne podatke iz obrade uz uvjet da su određeni uvjeti ispunjeni;
• dobiti svoje osobne podatke koji su dani voditelju obrade u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom formatu i prenijeti ih drugom voditelju obrade;
• prigovoriti na upotrebu njihovih podataka u svrhe javnog interesa, zbog njihove posebne situacije;
• na to da se na njih ne odnosi odluka, koja se isključivo temelji na automatiziranoj obradi, koja proizvodi pravne učinke za njih;
• žaliti se EDPS-u ako smatraju da se njihovi osobni podatci obrađuju na način kojim se krši Uredba;
• na naknadu za materijalnu ili nematerijalnu štetu pretrpljenu zbog radnji institucije, tijela, ureda ili agencije EU-a;
• ovlastiti neprofitnu organizaciju da podnese pritužbu EDPS-u.

Voditelji obrade moraju:

• obavijestiti ispitanike, upotrebljavajući jasan i jednostavan jezik, o činjenicama kao što su podatci za kontakt voditelja obrade i svrha obrade osobnih podataka, kada se takvi podatci prikupljaju;
• odgovoriti na sve zahtjeve ispitanika, kao što su pristup njihovim osobnim podatcima ili njihovo ispravljanje, u najkraćem mogućem roku, a najkasnije u roku od jednog mjeseca;
• primijeniti odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije*, kako bi se osiguralo da je obrada osobnih podataka u skladu s Uredbom;
• upotrebljavati samo obrađivače podataka koji ispunjavaju zahtjeve EU-a;
• voditi detaljnu evidenciju obrade podataka za koje su odgovorni;
• surađivati s EDPS-om;
• obavijestiti EDPS i, u nekim slučajevima, dotičnog pojedinca o svakoj povredi osobnih podataka što je prije moguće;
• provesti procjenu o učinku zaštite podataka za određenu visokorizičnu obradu osobnih podataka;
• jamčiti povjerljivost i sigurnost elektroničkih komunikacijskih mreža;
• obavijestiti EDPS kad pripremaju administrativne mjere ili interna pravila o obradi osobnih podataka.

Aktom se uspostavlja dužnost EDPS-a, koji se imenuje na mandat od pet godina koji se može jednom obnoviti. Smješten u Bruxellesu, nositelj radnog mjesta:

• djeluje potpuno neovisno;
• postupa s povjerljivim informacijama kao s profesionalnom tajnom;
• prati kako institucije, tijela, uredi i agencije EU-a primjenjuju zakone;
• promiče javnu svijest u vezi s obradom osobnih podataka te njihovo razumijevanje;
• rješava pritužbe i provodi istrage;
• izdaje opomene i sankcionira voditelje obrade;
• upućuje pitanja Sudu Europske unije, koji rješava sve sporove u pogledu zakona;
• podnosi godišnje izvješće Europskom parlamentu, Vijeću i Europskoj komisiji;
• surađuje s nacionalnim nadzornim tijelima za zaštitu podataka.

Poslovnik EDPS-a

Odlukom od 15. svibnja 2020. usvaja se poslovnik EDPS-a. Njime se podrobno utvrđuje sljedeće:

• zadaća, vodeća načela i organizacija EDPS-a;
• način na koji će se nadgledati i osigurati primjena Uredbe;
• postupci za zakonodavno savjetovanje, praćenje tehnološkog napretka, istraživačke projekte, sudski postupak; i
• suradnja s nacionalnim nadzornim tijelima i međunarodna suradnja.

Posebna pravila za tijela, urede i agencije EU-a

Na tijela, urede i agencije EU-a koji obrađuju operativne osobne podatke* primjenjuju se posebna pravila u svrhe izvršavanja zakonodavstva (npr. Eurojust). Ona su pokrivena posebnim poglavljem Uredbe. Pravila u ovom poglavlju usklađena su s Direktivom za provedbu zakona. Štoviše, u osnivačkim aktima tih tijela, ureda i agencija mogu se utvrditi posebna pravila koja uzimaju u obzir njihova posebna svojstva.

Obrada operativnih osobnih podataka od strane Europola i Europskog ureda za borbu protiv prijevara isključena je iz područja primjene Uredbe te je umjesto toga uređena posebnim odredbama u pravnim aktima u kojima se utvrđuju. Međutim, administrativna obrada osobnih podataka (npr. upravljanje osobljem) podložna je Uredbi.

Službenici za zaštitu podataka

Voditelj obrade podataka također imenuje službenika za zaštitu podataka na razdoblje od tri do pet godina kako bi:

• pružao neovisne savjete o obradi osobnih podataka;
• pratio usklađenost s pravilima o zaštiti podataka.

Izvješća

Europska komisija mora podnijeti svoje prvo izvješće o primjeni Uredbe do 30. travnja 2022.

OTKAD SE OVA UREDBA PRIMJENJUJE?

Primjenjuje se od 11. prosinca 2018., osim u pogledu obrade osobnih podataka koju provodi Eurojust, gdje se primjenjuje od 12. prosinca 2019.

POZADINA

Člankom 8. Povelje o temeljnim pravima navodi se da svatko ima pravo na zaštitu osobnih podataka. Člankom 16. Ugovora o funkcioniranju EU-a dodatno se razvija to pravo. Taj članak čini pravnu osnovu za sve zakone EU-a o zaštiti podataka.

Za više informacija vidjeti:

• Zaštita podataka u EU-u (Europska komisija).

KLJUČNI POJMOVI

GLAVNI DOKUMENT

Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.–98.).

VEZANI DOKUMENTI

Odluka Komisije (EU) 2020/969 оd 3. srpnja 2020. o utvrđivanju provedbenih pravila o službeniku za zaštitu podataka, ograničenjima prava ispitanika i primjeni Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća te o stavljanju izvan snage Odluke Komisije 2008/597/EZ (SL L 213, 6.7.2020., str. 12.–22.).

Odluka Europskog nadzornika za zaštitu podataka od 15. svibnja 2020. o usvajanju Poslovnika EDPS-a (SL L 204, 26.6.2020., str. 49.–59.).

Odluka Europskog nadzornika za zaštitu podataka od 2. travnja 2019. o unutarnjim pravilima u pogledu ograničenja određenih prava ispitanika u vezi s obradom osobnih podataka u okviru aktivnosti koje obavlja Europski nadzornik za zaštitu podataka (SL L 99I, 10.4.2019., str. 1.–7.).

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.–88.).

Sukcesivne izmjene i dopune Uredbe (EU) 2016/679 uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.

Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.–131.).

Vidjeti pročišćeni tekst.

Posljednje ažuriranje 14.01.2022