Javite nam se na telefon +385 1 777 5335

Login

Pregled značajnijih mišljenja AZOP u 2019. godini - pripremio tim tvrtke PRESIDO!

Tekst pripremila Ana Bačić, mag.iur., iz tima PRESIDO


Misija Agencije za zaštitu osobnih podataka je uspješno izvršavanje nadzora nad provođenjem propisa o zaštiti osobnih podataka, praćenje razvoja tog područja te predlaganje mjera za njegovo unaprijeđenje.

Sukladno navedenim ciljevima, AZOP je u 2019. godini donio niz mišljenja i preporuka, a neke od njih izdvajamo u nastavku.


RAZGRANIČENJE ULOGE VODITELJA I IZVRŠITELJA

˝Člankom 4. stavkom 7. Opće uredbe voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka te je naznačeno da u situaciji kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice.

S druge strane, člankom 4. točkom 8. propisano je da je izvršitelj obrade fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade dok je člankom 28. te uvodnim recitalima broj 80-83 propisana uloga te obveze izvršitelja obrade. Naime, izvršitelj obrade obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade te po izboru voditelja obrade briše, čuva ili vraća navedene osobne podatke nakon dovršetka pružanja usluge vezanih za obradu.

Uzimajući u obzir navedene odredbe Agencija smatra kako bi se prilikom određivanja određenog subjekta kao voditelja ili izvršitelja obrade prvenstveno trebao uzeti u obzir kriterij utvrđivanja svrhe predmetne obrade osobnih podataka. Kako bi se pravilno determinirala svrha obrade odnosno subjekt koji istu određuje potrebno je utvrditi iz kojeg se razloga obrađuju pojedini osobni podaci, tko ima pristup podacima, kada će podaci biti izbrisani, koja je uloga povezanih subjekata obrade te u svakom slučaju postoji li zakonska osnova za obradu sukladno članku 6. Opće uredbe. Tek nakon utvrđenja svrhe prikupljanja i obrade osobnih podataka moguće je razmotriti drugi kriterij definiranja subjekta kao voditelja u smislu određivanja sredstva obrade.

U tom kontekstu potrebno je napomenuti kako sama činjenica da određeni subjekt određuje pojedine segmente sredstva obrade ne znači nužno da se isti ima smatrati voditeljem, osobito u slučajevima kada je svrha obrade toliko jasno naznačena da ona sama može predstavljati jasnu uputu te sadrži bitne elemente putem kojih je moguće odrediti sredstva obrade.˝


PRIKUPLJANJE I OBRADA OSOBNIH PODATAKA ZAPOSLENIKA

˝Prikupljanje i obrada javno dostupnih osobnih podataka potencijalnih zaposlenika, primjerice, podaci dostupni putem društvenih mreža mogu biti predmetom obrade samo ako postoji pravna osnova, kao što je legitiman interes. Poslodavac prije pregleda profila društvenih medija  treba utvrditi je li isti vezan uz poslovne ili privatne svrhe jer to može biti važan pokazatelj pravne dopustivosti obrade. Također, dopušteno je prikupljati i obrađivati podatke  samo u onoj mjeri u kojoj je to potrebno i relevantno za oabavljanje posla koji se traže. Nema pravnog temelja da poslodavac zahtijeva od potencijalnih zaposlenika da "postanu prijatelji" potencijalnog poslodavca ili na drugi način omoguće pristup sadržaju njihovih profila.˝


OBJAVA IMENA RADNIKA KOJI SU NA BOLOVANJU NA OGLASNOJ PLOČI DRUŠTVA/POSLODAVCA

˝Ne postoji pravni temelj ni zakonita/opravdana svrha u smislu Opće uredbe o zaštiti osobnih podataka za objavu imena radnika koji su na bolovanju na oglasnoj ploči društva/poslodavca koja je dostupna, ne samo radnicima, već i svim drugim posjetiteljima društva. Takvim postupanjem narušila bi se privatnost ispitanika te povrijedile odredbe propisa iz područja zaštite osobnih podataka.˝


 OBJAVA OSOBNIH PODATAKA KANDIDATA U NATJEČAJNOM POSTUPKU

˝Temelj pritužbe kandidata natječajnog postupka kako je na internetskoj stranici društva objavljen poziv na razgovor s imenima i prezimenima kandidata čije su prijave pravovremene i uredne ( sadrže sve podatke i isprave ) te ispunjavaju sve uvjete iz natječaja.

Agencija sukladno svojim zakonskim ovlastima daje preporuku voditelju obrade da kod poziva kandidata na testiranje u svrhu provedbe natječaja koji su zadovoljili uvjete iz natječaja uputi putem pošte (primjerice: u zatvorenim kuvertama dovoljno je obavijestiti kandidata o ispunjavanju uvjeta iz natječaja te navesti točno vrijeme održavanja testiranje, osobno putem elektroničke pošte) ili na način da se raspored testiranja provodi uz poduzimanje odgovarajućih mjera zaštite, primjerice: navodeći prvo slovo prezimena kandidata po abecednom redoslijedu i sl. 

Voditelj obrade dužan je  voditi računa u smislu članka 5. i 17. Opće uredbe o zaštiti podataka da se predmetni osobni podaci mogu koristiti samo u svrhu zbog koje su isti prikupljeni i dalje obrađivani te se protekom vremena i ostvarivanja svrhe zbog koje su isti obrađivani trebaju ukloniti sa mrežne (web) stranice.˝

 

OBRADA OSOBNIH PODATAKA U SVRHU MARKETINGA

 ˝Komunikacija sa ispitanicima se ostvaruje na različite načine, primjerice slanjem personaliziranih pisama poštom, kontaktiranjem putem telefona, a osobito koristeći razvoj tehnologije (putem elektroničke pošte, SMS-om, MMS-om, skočni prozori tzv. Pop-up i sl.). Općenito govoreći za svaku obradu osobnih podataka u točno određenu svrhu mora postojati relevantna pravna osnova, pa tako i za marketing.

Službeni (poslovni) e-mail i službeni (poslovni) broj mobitela smatraju se službenim podacima, međutim ukoliko se pomoću strukture (adrese internetskog protokola) službenog e-maila može direktno ili indirektno identificirati određena fizička osoba, on se ujedno smatra i njenim osobnim podatkom, a ne samo službenim te se u tom slučaju primjenjuju odredbe Opće uredbe o zaštiti podataka. Također, važno je naglasiti da se poslovni e-mail i poslovni broj mobitela koriste u svrhu službenog (poslovnog) kontaktiranja vezanog uz djelatnost pravne osobe te se u druge svrhe ne smiju koristiti.

Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. Ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe. Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na navedeno pravo te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.

Ukoliko između voditelja obrade i ispitanika postoji relevantan i odgovarajući odnos te ukoliko ispitanik može u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu, temelj za slanje newsletter-a je legitiman interes voditelja obrade. Budući da je obrada zakonita ako postoji najmanje jedan pravni temelj iz članka 6. stavak 1. Opće uredbe o zaštiti podataka, za slanje newsletter-a u opisanim okolnostima nije potrebno pribaviti i privolu ispitanika, već je sukladno citiranom članku 21. Opće uredbe o zaštiti podataka potrebno ispitaniku ostaviti mogućnost odjave odnosno da se usprotivi navedenoj obradi osobnih podataka.


Original tekst presesen je u newsletteru tvrtke Presido u prosincu 2019. a objavljen na ovoj stranici uz njihovu suglasnost. Želite li primati daljnje novosti ili stupiti u kontakt s tvrtkom PRESIDO molimo posjetite https://gdprkonferencija.hr/blog/


Još 2 dana ranih prijava na edukaciju  "Primjena Opće uredbe o zaštiti osobnih podataka - GDPR - za HR stručnjake i psihologe" koja će se održati 20. i 21.2.2020. u Zagrebu! Pošaljite prijavu za 1 + 1 sudionika iz vaše tvrtke i ostvarite dodatnih -20% popusta!



"Primjena Opće uredbe o zaštiti osobnih podataka - GDPR - za HR stručnjake i psihologe" intenzivna je i vrlo praktična edukacija koja odgovara na pitanja u vezi zaštite osobnih podataka s kojima se susreću odijeli ljudskih resursa u tvrtkama.

Prvi dan, 20.2.2020. od 9-16h fokusirani smo na primjenu GDPRa za poslove HR odijela i HR konzultanata, a drugi dan 21.2.2020. specifično na poslove psihologa u HR odijelima, s fokusom na selekciju i psihološko testiranje. Nakon edukacije, polaznici će moći samostalno uspostaviti nužne procedure vezano za poštivanje Uredbe o zaštiti osobnih podataka, te pripremiti se za niz praktičnih zahtjeva koji zahtjeva ispunjenje GDPR-a.

Prijave su otvorene po principu 1 + 1, odnosno za 2 polaznike iz iste organizacije za jednu kotizaciju.

Saznajte više informacija u Pozivnom pismu i prijavite se  putem online obrasca.