spajalica

Ukoliko se određeni korisnik pretplati na primanje newslettera voditelj obrade (kao operater web stranice) dužan je provjeriti da li je vlasnik e-mail adrese upravo osoba koja je dostavila svoju e-mail adresu u svrhu primanja newslettera. U protivnom postoji velika opasnost da voditelj obrade neće moći dokazati da postoji privola korisnika i to baš vlasnika e-mail adrese. Iz navedenog razloga u praksi se stvorio postupak provjere identiteta pod nazivom double opt-in, te se u za ispravnu obradu osobnih podataka u svezi newslettera preporuča provedba takve provjere identiteta.

Double opt-in pojednostavljeno funkcionira na način da se korisnik (ispitanik) prijavi na primanje određenog newslettera, nakon čega voditelj obrade (operater web stranice) šalje korisniku e-mail u svrhu potvrde, najčešće u obliku linka koji ustvari potvrđivanjem predstavlja privolu. Privola se dokazuje unošenjem e-mail adrese na web stranici te potvrđivanjem aktivacijskog e-maila.

Slanje newslettera vrlo često se odvija preko mailing platforma, čiji pružatelji se nalaze u SAD-u. U tom slučaju potrebno je provjeriti da li su takvi pružatelji certificirani prema EU- SAD Privacy Shieldu. Također u pravilima o zaštiti osobnih podataka potrebno je u tom slučaju opisati svrhe obrade, odnosno navesti sve okolnosti prema članku 13. Uredbe. Ukoliko operater newslettera provodi praćenje korisnika isto je potrebo također detaljno objasniti, te se tom prilikom razlikuje situacija kada se utvrđuje pitanje učestalosti otvaranja newslettera od sistemskog praćenja ponašanja korisnika i stvaranja profila (Customer Journey Tracking) , u kojem slučaju je najčešće potrebno pribaviti odgovarajuću dodatnu privolu (triple opt-in).

spajalica

GDPR definira profiliranje kao svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

Naime pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića i sl. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

Najčešći oblik profiliranja temelji se na „tracking cookie“ tehnologiji, te se kolačić pohranjuje na terminalnu opremu korisnika. Pomoću navedenog kolačića moguće je pratiti ponašanje korisnika (ispitanika) kako i na koji način pregledava web stranice, odnosno koji sadržaj korisnik preferira, a sve kako bi mu se mogli ponuditi promidžbeni oglasi koji bi mu mogli biti interesantni. Jednim posjetom popularnoj web stranici moguće je prikupiti i preko desetak takvih kolačića koji najčešće ostaju trajno pohranjeni u opremi korisnika, odnosno sve do njihovog brisanja. Do stupanja na snagu GDPR-a pitanje privole za pohranu takve vrste kolačića različito se definiralo. Međutim danas jasno da je za pohranu takve vrste kolačića potrebna privola ispitanika (više o navedenom u objavljenom članku o kolačićima).

spajalica

Razlikovanje navedenih pojmova, koji su uvedeni u zakonodavstvo Direktivom 95/46/EC (Data Protection Directive), temelji se prije svega u odnosu s voditeljem obrade, odnosno u posjedovanju ovlaštenja za pristup osobnim podacima kojima upravlja voditelj obrade.

Članak 4. GDPR definira navedene pojmove u sljedećim stavcima:

"9.          „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana..."

Primateljem se neće smatrati bilo koja druga osoba ili čak povezano društvo koje pripada istoj grupaciji ako je odvojeno od voditelja obrade, već će se smatrati trećom stranom. Ipak podružnice banaka koje odgovaraju središnjici, a koje primjerice obrađuju podatke o računu svojih klijenata smatrati će se primateljima, a ne trećom stranom. (Article 29. WP (2010), Mišljenje 1/2010 o pojmu "voditelja" i "izvršitelja", WP 169, Bruxelles, 16. veljače 2010., str. 31)

Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju.

"10.        „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;"

Treća strana stoga predstavlja osobu koja nije voditelj obrade niti izvršitelj obrade. Primatelj je širi pojam od treće strane, pa stoga primatelj ne treba uvijek predstavljati treću stranu.

 

spajalica

GDPR became fully effective and many colleagues and consultants still argue about the qualifications of an accountant regarding the data processing. Many accounting offices provide their clients with Data processing agreements, asking their clients for conclusion of such agreement. It is recommended to read following articles before deciding on qualification of processing role / conclusion of data processing agreement.   

spajalica

Opća uredba o zaštiti osobnih podataka primjenjuje na obradu osobnih podataka koja se u djelomično ili u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Izvorni sadržaj članka 2 st.1. na engleskom i hrvatskom jeziku glase:

  1. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
  1. Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Jasno proizlazi da hrvatski prijevod nije potpun, te da da je Uredba imala cilj ukazati da automatska obrada može biti samo i djelomična. Drugi bitan uvjet je da podaci trebaju biti pohranjeni u odgovarajućem sustavu. Uvodna odredba 15 navodi da bi se zaštita pojedinaca trebala primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

spajalica

Usklađenje Pravila / Politika / Izjava / Pravilnika o privatnosti najčešće ima utjecaj i na reguliranje pravila o prikupljanju kolačića. Najčešće se postavljaju pitanja za koje kolačiće je potrebna privola, kojeg sadržaja treba biti privola, kako se prikuplja privola te koje su posebnosti prilikom prikupljanja kolačića.

Europska komisija objavila je na svojim stranicama vrlo sažeti tekst o kolačićima pa se ovom prilikom preskaču osnove koje se mogu pročitati putem ove poveznice:

http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Ukratko kolačići su privremeni ili trajni, te postoje i tzv. kolačići trećih strana. Privremeni se postavljaju u trenutku posjeta web stranici te se brišu napuštanjem stranice. Trajni kolačići su svi koji traju duže nakon napuštanja web stranice – odnosno imaju određeno vrijeme trajanja, bilo to jedan dan ili godinu dana.

spajalica

Odredbe Opće uredbe o zaštiti osobnih podataka uređuju pravila ponašanja voditelja i izvršitelja obrade, neovisno da li se sami nalaze unutar Europske unije ili samo obrađuju podatke u Europskoj uniji. U svakom slučaju ukoliko se ispitanik nalazi u Europskoj uniji odredbe Uredbe se uvijek primjenjuju na bilo kojeg voditelja ili izvršitelja obrade, te na podizvršitelje obrade.

Voditelj određuje svrhu i sredstva obrade a izvršitelj radi po uputama i nalozima Voditelja te može nastupati i raditi u ime Voditelja. Ponekad je teško razlikovati uloge, no zakon daje sljedeću definiciju uloga:

Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

Izvršitelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.

Odnos voditelja i izvršitelja ponekad je složen te je teško jasno definirati i odvojiti uloge.

spajalica

Trenutačno važeći Zakon o zaštiti osobnih podatka propisuje uži opseg odgovornosti od pravila koja će se temeljem Opće uredbe o zaštiti osobnih podatka početi primjenjivati od 25.05.2018. godine.

Prema Uredbi proširena je odgovornost i na Izvršitelja obrade, ali samo ako se dokaže da nije poštovao obveze propisane Uredbom koje se upravo odnose na njega ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

Nadležnost Suda je izberiva prema poslovnom nastanu ili Voditelja ili Izvršitelja obrade – pri čemu se izbor prepušta ispitaniku – oštećeniku. Uredba propisuje i nadležnost prema mjestu uobičajenog boravišta ispitanika, pa stoga svaki ispitanik unutar Europske unije ima pravo pokrenuti postupak pred stvarno nadležnim Sudom prema mjestu svoga prebivališta.Odgovornost voditelja obrade nije ograničena te je on odgovoran za sve slučajeve uzrokovanja štete.

Postojeća zakonska regulativa glasi:

Zakon o zaštiti osobnih podataka (Narodne novine br. 103/03 (proč.tekst), 118/06, 41/08 i 130/11)

Članak 26.

Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.

Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.

Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.

 

spajalica

O teritorijalnom dosegu Uredbe (GDPR) postoje brojne rasprave obzirom da Uredba koristi samo termin ispitanik (data subject), koji pojam je naravno širi od pojmova EU građanina i rezidenta. Uvodna odredba u točki 14 navodi da se zaštita treba odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

Teritorijalno područje primjene definirano je člankom 3. Uredbe koja načelno navodi:

  1. da se Uredba primjenjuje na obradu osobnih podataka u okviru aktivnosti voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne;
  2. Uredba primjenjuje na obradu osobnih podataka ispitanika u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji;
  3. Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava;
spajalica

U slučaju procjene ili bodovanja, te (opsežne) obrade osjetljivih podataka ili podataka vrlo osobne naravi, ili podataka koji se odnose na osjetljive ispitanike, procjenu učinka NIJE POTREBNO provoditi u sljedećim slučajevima obrade:

  1. Obrada „osobnih podataka pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika” (uvodna izjava 91.).
  2. Internetski časopis čiji se urednici koriste popisom adresa za slanje generičkih dnevnih novosti svojim pretplatnicima.
  3. Internetska stranica e-trgovine za proizvode koje koristi iznimno mali broj ispitanika, što obuhvaća i ograničenu izradu profila na temelju pregleda ili kupnji na vlastitoj internetskoj stranici.

 

Kada je vjerojatno potrebno provesti procjenu učinka na zaštitu osobnih podataka:

spajalica

Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:

" Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade."

spajalica

Člankom 38. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka „na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka”.

Uredba predviđa rano uključivanje službenika za zaštitu podataka u rad organizacije u svezi osobnih podataka te navodi da pri provedbi procjene učinka na zaštitu podataka voditelj obrade treba tražiti savjet službenika za zaštitu podataka.

spajalica

Prema članku 21. st.2. Opće uredbe o zaštiti osobnih podataka (GDPR) propisano je da “ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom.”

Riječ je o apsolutnom pravu i neovisno je o pravnoj osnovi koja opravdava takvu obradu.

spajalica

Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.

spajalica

 

 Mjerodavno pravo u elektroničkoj trgovini

U elektroničkoj trgovini se pri odlučivanju o mjerodavnom pravu primjenjuju sljedeći pravni propisi:

- Zakon o elektroničkoj trgovini

- Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini)

- UNCITRAL-ov model zakona o elektroničkoj trgovini iz 1996.

- Bečka konvencija o međunarodnoj prodaji robe iz 1980.

- Rimska konvencija

- Zakon o rješavanju sukoba zakona s propisima drugih zemalja u određenim odnosima

Zakon o elektroničkoj trgovini je usklađen s odredbama navedene Direktive. Zakon uređuje pravno područje elektroničke trgovine u RH, dok Direktiva uređuje isto pravno područje na razini unutarnjeg tržišta.

Mjerodavno je pravo države porijekla davatelja usluge informacijskog društva, neovisno o tome pruža li se usluga u tuzemstvu ili inozemstvu.

        

spajalica

Article 5 of the GDPR requires that personal data shall be:

(a) processed lawfully, fairly and in a transparent manner in relation to individuals;

(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with the initial purposes;

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed;

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes subject to implementation of the appropriate technical and organizational measures required by the GDPR in order to safeguard the rights and freedoms of individuals;

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures.

spajalica

Data portability

Article 20 of the GDPR creates a new right to data portability, which is closely related to the right of access but differs from it in many ways. It allows for data subjects to receive the personal data that they have provided to a controller, in a structured, commonly used and machine-readable format, and to transmit those data to another data controller. The purpose of this new right is to empower the data subject and give him/her more control over the personal data concerning him or her.

spajalica

Newsletter i zakonski okvir

Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09, 130/11, 30/14) propisuje osnovne podatke koje je potrebno navesti u newsletteru u svezi osobe davatelja usluga

spajalica

Prijenosi osobnih podataka u treće zemlje

Uvodno

Kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana Općom uredbom o zaštiti osobnih podataka (GDPR ili Uredba) u Uniji. Prijenos bi se mogao obavljati isključivo ako voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.