danas je 21.7.2024

Input:

Online razgovor: GDPR - nejasnoće primjene Uredbe u praksi Online razgovor

17.10.2018, , Izvor: Verlag Dashöfer

Pitanje 1: Jeli Trgovačko Društvo kao voditelj obrade obavezno tražiti i dobiti privolu ispitanika kada koristi osobne podatke zaposlenika, osobne podatke poslovnih partnera ili drugih fizičkih osoba sukladno pozitivnim zakonskim propisima (npr. kandidata koji se javljaju na natječaj za posao te već zaposlenih radnika a koje podatke prikuplja i koristi radi izvršenja ugovora u kojoj je ispitanik stranka zakonske obveze voditelja obrade i slično). Jeli moguće dobiti ogledni primjer sadržaja takve privole?

Odgovor 1: Jest, dužno je pribaviti privolu radnika - ispitanika za obradu njihovih osobnih podataka. To se može regulirati kroz ugovore o radu i/ili pravilnike o radu odnosno drugu dokumentaciju koju su poslodavci dužni izraditi u vezi zaštite osobnih podataka (npr. pravilnik o zaštiti osobnih podataka), s obzirom na to da postoje određene svrhe obrade koje se ne bi mogle podvući pod pravnu osnovu "ispunjavanje zakonskih obveza voditelja obrade". Primjerice, radnik vam daje osobne podatke kako biste uopće mogli sklopiti pisani ugovor o radu i tu će pravna osnova te obrade biti sklapanje ugovora s tim ispitanikom. Njegova prijava na obvezna osiguranja bit će obrada temeljem jedne druge osnove - ispunjavanje zakonskih obveza vas kao njegovog poslodavca itd. No, primjerice za video nadzor u poslovnim prostorijama mora postojati privola odnosno suglasnost radnika, odnosno potvrda da su upoznati s postojanjem video nadzora....može se dobiti ogledni primjer na portalu Verlag Dashöfera ili na poseban upit.

Pitanje 2: Jeli poslodavac koji koristi videonadzor u dvorištu objekta, a radi sigurnosti zaposlenih osoba i imovine, dužan donijeti odluku o korištenju videonadzora, i što s evidencijom obzirom da ne evidentira podatke o osobama koje npr. ulaze i izlaze iz objekta, već videonadzor koristi samo radi zaštite radnika i imovine i snimke se pregledavaju samo u slučaju nekog događaja?

Odgovor 2: Videonadzor biste trebali regulirati pravilnikom o radu ili drugim odgovarajućim općim dokumentom (Pravilnik o zaštiti osobnih podataka), te s postojanjem video nadzora prethodno upoznati radnike. Svrha u koju koristite video nadzor opravdana je Zakonom o zaštiti na radu, a

Zakon o provedbi Opće uredbe o zaštiti podataka (Narodne novine 42/2018) propisuje konkretnije uvjete za takvu obradu osobnih podataka:

Obrada osobnih podataka putem videonadzora


Članak 25.

(1) Videonadzor u smislu odredbi ovoga Zakona odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.

(2) Ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona.


Članak 26.


(1) Obrada osobnih podataka putem videonadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.

(2) Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja svrhe iz stavka 1. ovoga članka.

Članak 27.


(1) Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.

(2) Obavijest iz stavka 1. ovoga članka treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

  • da je prostor pod videonadzorom
  • podatke o voditelju obrade
  • podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.

            
Članak 28.


(1) Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

(2) Osobe iz stavka 1. ovoga članka ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona.

(3) Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba.

(4) Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.

(5) Pristup podacima iz stavka 1. ovoga članka imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.

Članak 29.


Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.

Videonadzor radnih prostorija


Članak 30.
(1) Obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora.

(2) Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.

Pitanje 3: Trgovačko smo društvo u vlasništvu jedinice lokalne samouprave. Kao izvršitelji obrade, obavljamo računovodstvene i knjigovodstvene poslove (vodimo poslovne knjige, sastavljamo financijske izvještaje te godišnje obračune poslovanja, izrađujemo obračune poreza, a izrađujemo i obračune plaća za djelatnike) za neprofitne organizacije (gradske udruge te proračunske korisnike - gradski muzej, gradsku knjižnicu te turističku zajednicu našeg grada). S obzirom na to da je npr. jedna gradska udruga voditelj obrade, molim Vas informaciju da li je ona (kao voditelj obrade) obvezna pribaviti suglasnost (privolu) svojih članova kojom članovi iste dopuštaju nama (kao izvršitelju obrade) da obrađujemo njihove osobne podatke ili smo mi dužni pribaviti takvu suglasnost? Također, upoznati smo s time da moramo sklopiti ugovor/sporazum o obradi osobnih podataka sa svakim voditeljem obrade u svrhu reguliranja prava i obveza u odnosu na obradu osobnih podataka koja se temelji na Ugovoru o obavljanju knjigovodstvenih poslova kojeg smo sklopili sa udrugama/proračunskim korisnicima. Jesu li voditelji obrade dužni sastaviti i poslati nam na potpis navedeni ugovor ili je to naša obveza?

Odgovor 3: Voditelj obrade, dakle, udruga koja prikuplja osobne podatke svojih članova, trebala bi pribaviti njihovu suglasnost da se ti podaci šaljeu vama nadaljnju obradu u knjigovodstvene itd. svrhe. Vi ne biste bili odgovorni za to što oni nemaju suglasnost svojih članova za takvu obradu. Vi sklapate ugovor s tom udrugom u kojoj se obvezujete da ćete podatke čuvati na odgovarajući način i to je vaš poslovni odnos, ali vi izravnog odnosa s članovima nemate.

Pitanje 4: Partneri nas često traže potpisni karton banke u kojem su navedena imena prezimena ljudi (ne nužno uprave ili prokurista) koji mogu potpisivati plaćanje računa. Dali se to smatra osobnim podatkom i dali bi trebali tražiti od partnera potpisivanje ugovora o obradi podataka ili neku izjavu o zaštiti dostavljenih osobnih podataka?

Odgovor 4: Trebali biste imati privolu te osobe koja je potpisala potpisni karton (na koju se osobni podaci odnose, ispitanik) - to može biti kroz njezin ugovor o radu ili zasebnu izjavu/privolu odnosno prihvat postavljenja na određenu funkciju. Smatramo da ne morate nužno imati pisani ugovor o korištenju tih podataka s poslovnim partnerom, jer iz okolnosti proizlazi da su mu ti podaci dani za točno određenu svrhu (za koju ste vi imali privolu fizičke osobe - ispitanika), a eventualna zloporaba tih podataka od strane poslovnog partnera bila bi njegov prekršaj, zbog kojeg bi se ispitanik od nje mogao izravno naplatiti u slučaju kakve štete i slično. Dakle, i taj poslovni partner bi korištenje tih i takvih podataka trebao imati regulirano kroz svoju GDPR dokumentaciju.

Pitanje 5: U situaciji gdje naša tvrtka pruža uslugu tehničke podrške svojim korisnicima, moramo li mi raditi ugovor o obradi osobnih podataka sa našim podizvođačima koji u naše ime odrađuju dio poslova kod naših korisnika i time imaju uvid u njihove osobne podatke? Kako je tu najispravnije definirati odnos između VODITELJA OBRADE (korisnika), nas kao