U skladu s Općom uredbom o zaštiti podataka za provedbu su odgovorna nacionalna tijela za zaštitu podataka. Svaka država EGP-a ima svoje neovisno tijelo za zaštitu podataka koje nadzire primjenu Opće uredbe o zaštiti podataka, uključujući rješavanje pritužbi. Kad je riječ o obradi podataka koja se odvija u više od jedne zemlje EGP-a, Općom uredbom o zaštiti podataka predviđa se sustav suradnje između nadležnih tijela za zaštitu podataka u okviru kojih surađuju radi postizanja konsenzusa. Pronađite pregled tijela za zaštitu podataka.
GDPR pruža određena prava pojedincima, uključujući pravo na podnošenje pritužbe nadležnom tijelu ako se boje da je došlo do kršenja njihovih prava na zaštitu podataka.
Zadaće i ovlasti tijela za zaštitu podataka
Zadaće tijela za zaštitu podataka
Svako tijelo za zaštitu podataka iz EGP-a odgovorno je za praćenje i provedbu primjene Opće uredbe o zaštiti podataka te promicanje javne svijesti i razumijevanja rizika, pravila, zaštitnih mjera i prava u vezi s obradom osobnih podataka. Tijela za zaštitu podataka također imaju zadaću savjetovati nacionalni parlament, vladu i druge institucije i tijela te pružati informacije svakom pojedincu o ostvarivanju njihovih prava. Tijela za zaštitu podataka također promiču svijest voditelja obrade i izvršitelja obrade o njihovim obvezama u skladu s Općom uredbom o zaštiti podataka. Tijela za zaštitu podataka obrađuju pritužbe pojedinaca, provode istrage o pravilnoj primjeni Opće uredbe o zaštiti podataka i surađuju s drugim tijelima za zaštitu podataka u pogledu primjene Opće uredbe o zaštiti podataka. Nadležna tijela odgovorna su i za:
- donošenje i odobravanje standardnih ugovornih klauzula;
- odobravanje obvezujućih korporativnih pravila;
- odobravanje kodeksa ponašanja;
- poticanje uspostave mehanizama certificiranja zaštite podataka;
- doprinos aktivnostima Europskog odbora za zaštitu podataka;
- ispunjavanje svih drugih zadaća povezanih sa zaštitom osobnih podataka.
Pročitaj više
Ovlasti tijela za zaštitu podataka
U skladu s Općom uredbom o zaštiti podataka nacionalna tijela za zaštitu podataka znatno su povećala svoje provedbene ovlasti. U članku 58. Opće uredbe o zaštiti podataka utvrđuju se ovlasti svakog od tih nacionalnih tijela tako što ih se jasno dijeli u tri glavne skupine:
- istražne ovlasti;
- korektivne ovlasti;
- savjetodavne ovlasti.
Istražne ovlasti
Tijela za zaštitu podataka izvršavaju svoje istražne ovlasti kako bi utvrdila je li došlo do kršenja Opće uredbe o zaštiti podataka, njezina točnog područja primjene i prirode. Među ostalim, tijela za zaštitu podataka mogu:
- Naložiti organizacijama da dostave sve informacije koje se odnose na istragu;
- Provoditi istrage u obliku revizija zaštite podataka i obavijestiti organizacije o navodnom kršenju Opće uredbe o zaštiti podataka.
- Dobiti pristup svim osobnim podacima koje posjeduje organizacija i svim informacijama potrebnima za obavljanje njezinih zadaća, uključujući pristup svim prostorijama organizacije, uključujući svu opremu i sredstva za obradu podataka, u skladu s postupovnim pravom EU-a i nacionalnim postupovnim pravom.
- Provesti preispitivanje certifikata izdanih na temelju članka 42. stavka 7. Opće uredbe o zaštiti podataka
Korektivne ovlasti
Ako se kao rezultat istrage utvrdi kršenje odredbi Opće uredbe o zaštiti podataka ili se smatra da postupak obrade nosi rizik ili ne ispunjava posebne zahtjeve, tijela za zaštitu podataka imaju pravo izvršavati jednu ili više svojih korektivnih ovlasti, na primjer:
- Upozorenje ili zabrana obrade: u slučaju postojećih rizika tijela za zaštitu podataka mogu organizacijama izdati upozorenja kako bi se spriječilo da njihovi postupci obrade krše odredbe Opće uredbe o zaštiti podataka. Tijela za zaštitu podataka mogu naložiti i privremeno ili konačno ograničenje, uključujući zabranu aktivnosti obrade organizacija, te im naložiti da dotične pojedince obavijeste o povredama podataka do kojih je došlo.
- Nalog za sukladnost: kako bi se osigurala usklađenost s Općom uredbom o zaštiti podataka ili riješili slučajeviu kojima određeni kriteriji ili zahtjevi nisu ispunjeni, tijela za zaštitu podataka ovlaštena su naložiti organizacijama da ispune zahtjeve pojedinaca za ostvarivanje njihovih prava na temelju Opće uredbe o zaštiti podataka. Prema potrebi, organizacijama bi se moglo naložiti da svoje postupke obrade usklade s odredbama Opće uredbe o zaštiti podataka na određeni način i u određenom roku.
- Suspenzija protoka podataka ili povlačenje certifikata: osim toga, tijela za zaštitu podataka mogla bi izvršavati i svoje ovlasti za obustavu prijenosa podataka primateljima u trećim zemljama ili međunarodnim organizacijama. Nadalje, mogli bi povući certifikaciju ili naložiti certifikacijskom tijelu da povuče izdanu certifikaciju u skladu s člancima 42. i 43. Opće uredbe o zaštiti podataka. U slučajevima kada zahtjevi za certificiranje nisu ispunjeni ili više nisu ispunjeni, naložiti certifikacijskom tijelu da ne izdaje certifikat.
- Službena opomena: u slučaju utvrđenih kršenja, tijela za zaštitu podataka mogu organizacijama izreći službenu opomenu.
- Upravne novčane kazne: Tijela za zaštitu podataka mogu izreći i upravne novčane kazne utvrđene u skladu s člankom 83. Opće uredbe o zaštiti podataka, uz druge prethodno navedene mjere ili umjesto njih. Za sustav administrativnih sankcija potrebna je pojedinačna procjena okolnosti svakog pojedinačnog kršenja. U procjeni bi se trebali uzeti u obzir čimbenici kao što su priroda, težina i trajanje povrede, namjerna ili nepažnja, mogući koraci ublažavanja štete, tehničke i organizacijske (tj. sigurnosne) mjere koje su provedene te način na koji je tijelo za zaštitu podataka saznalo za to pitanje.
Najviša razina potencijalne sankcije ovisit će o vrsti kršenja:
- može iznositi najviše 10 milijuna EUR ili 2 % ukupnog godišnjeg prometa na svjetskoj razini u prethodnoj financijskoj godini (na primjer, za kršenje „integrirane i zadane privatnosti”, nepoštovanje obveze sklapanja sporazuma o obradi podataka ili neprovedbu procjene učinka na zaštitu podataka ili imenovanje službenika za zaštitu podataka) u skladu s člankom 83. stavkom 4. Opće uredbe o zaštiti podataka; ili
- može iznositi najviše 20 milijuna ili 4 % ukupnog godišnjeg prometa na svjetskoj razini u prethodnoj financijskoj godini (na primjer, za kršenje osnovnih načela povezanih s obradom, za nezakonitu obradu osobnih podataka bez pravne osnove ili za povrede prava ispitanika) u skladu s člankom 83. stavkom 5. Opće uredbe o zaštiti podataka.
Više pojedinosti o administrativnim novčanim kaznama povezanima s povredama različitih članaka Opće uredbe o zaštiti podataka možete pronaći u članku 83. Opće uredbe o zaštiti podataka i Smjernicama Europskog odbora za zaštitu podataka o izračunu administrativnih novčanih kazni u skladu s Općom uredbom o zaštiti podataka.
Savjetodavne ovlasti
Svako tijelo za zaštitu podataka ima određenu ulogu odobravanja i savjetovanja u skladu s Općom uredbom o zaštiti podataka, putem koje može pružati potporu organizacijama i ili odobravati određene aktivnosti obrade. Neki od primjera su:
- Prethodno savjetovanje: savjetovati voditelje obrade podataka u skladu s postupkom prethodnog savjetovanja u skladu s člankom 36. Opće uredbe o zaštiti podataka.
- Mišljenja o zakonodavnim aktivnostima: na vlastitu inicijativu ili na zahtjev daju svoja mišljenja nacionalnom parlamentu, vladi ili, u skladu s nacionalnim pravom, drugim institucijama i tijelima te javnosti o svim pitanjima povezanima sa zaštitom osobnih podataka.
- Kodeksi ponašanja i certificiranje: odobrava nacrte kodeksa ponašanja, akreditira certifikacijska tijela ili izdaje certifikate i odobrava kriterije certificiranja.
Izvršavanje navedenih ovlasti tijela za zaštitu podataka podliježe odgovarajućim zaštitnim mjerama, uključujući učinkovit pravni lijek i pravični postupak, kako je utvrđeno u pravu EU-a i nacionalnom pravu u skladu s Poveljom EU-a o temeljnim pravima. Svako tijelo za zaštitu podataka ovlašteno je upozoriti pravosudna tijela na kršenja Opće uredbe o zaštiti podataka i, prema potrebi, pokrenuti ili na drugi način sudjelovati u pravnim postupcima kako bi se provele odredbe Opće uredbe o zaštiti podataka. Tijelima za zaštitu podataka mogu se dodijeliti dodatne ovlasti na temelju njihova nacionalnog prava.
Pročitaj više
Suradnja i „sve na jednom mjestu”
GDPR se primjenjuje u cijelom EGP-u primjenom jednog skupa pravila o zaštiti podataka za sve zemlje. Tim se pristupom podupiru međunarodna poduzeća, ali i mala i srednja poduzeća u njihovim nastojanjima da se razviju i razviju nudeći svoje usluge u više od jedne zemlje EGP-a.
Kako bi se smanjilo administrativno opterećenje obrade osobnih podataka u dvije ili više zemalja EGP-a, Općom uredbom o zaštiti podataka predviđen je sustav suradnje među tijelima za zaštitu podataka – takozvani mehanizam „sve na jednom mjestu” kako bi se postigao konsenzus među brojnim tijelima za zaštitu podataka.
Ako organizacija obrađuje podatke u dvije ili više država EGP-a, nadležno tijelo koje se bavi pritužbom ili povredom podataka, na primjer, jest tijelo zemlje u kojoj voditelj obrade podataka ima glavno mjesto poslovanja. To olakšava voditeljima obrade podataka jer ne moraju poštovati različite zakone u svakoj zemlji u kojoj djeluju. Osim toga, oni moraju komunicirati samo s jednim DPA-om. Ovisno o vrsti poduzeća te proizvodima i uslugama koje nudite, prekogranična obrada može se primjenjivati i na vaše MSP-ove. Mnoga manja poduzeća, kao što su internetske trgovine, internetske stranice za e-trgovinu, mobilne i računalne aplikacije, nude usluge u više zemalja.
Ako vaše MSP-ove obrađuje podatke pojedinaca u različitim zemljama EGP-a, dužni ste odrediti koje je nadležno tijelo za zaštitu podataka ili vodeće tijelo. To je obično tijelo za zaštitu podataka koje se nalazi u državi EGP-a u kojoj se nalazi sjedište vaše organizacije i u kojoj se donose odluke o svrhama i načinima obrade osobnih podataka.
U praksi
- Primjerice, internetski trgovci na malo koji prodaju odjeću putem svojih internetskih trgovina kupcima u nekoliko zemalja EGP-a često obrađuju osobne podatke. U takvom prekograničnom slučaju nadležno tijelo mora biti zemlja glavnog poslovnog nastana internetskog trgovca na malo („načelno mjesto poslovanja”).
Nakon što ste utvrdili koji DPA je vodeći, morate komunicirati samo s tim vodećim tijelom . Vodeće tijelo za zaštitu podataka surađuje i sudjeluje u raspravama s drugim predmetnim tijelima za zaštitu podataka iz EGP-a.
Ako pritužbu s prekograničnim elementom treba rješavati u kontekstu suradnje s drugim tijelom za zaštitu podataka, poduzimaju se sljedeće mjere suradnje:
- Ako je drugo tijelo za zaštitu podataka zaprimilo pritužbu, dužno je obavijestiti vodeće tijelo za zaštitu podataka o predmetu;
- Dotično tijelo za zaštitu podataka može sudjelovati u izradi nacrta odluke o pritužbi;
- Tijekom pripreme odluke vodeće tijelo za zaštitu podataka mora uzeti u obzir mišljenje predmetnog tijela za zaštitu podataka.
Pročitaj više
Smjernice za povezivanje o primjeni članka 60. Opće uredbe o zaštiti podataka
EUROPSKI ODBOR ZA ZAŠTITU PODATAKA
Određivanje vodećeg tijela za zaštitu podataka
Ključni pojmovi
Prekogranična obrada osobnih podataka
U skladu s Općom uredbom o zaštiti podataka, utvrđivanje vodećeg tijela za zaštitu podataka relevantno je samo za organizacije koje provode prekograničnu obradu osobnih podataka.
U Općoj uredbi o zaštiti podataka „prekogranična obrada” definira se kao:
- obrada osobnih podataka koja se odvija u više od jedne zemlje EGP-a u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne zemlje EGP-a; ili
- obrada osobnih podataka koja se odvija u jednom poslovnom nastanu organizacije u EGP-u, ali koja znatno utječe ili je vjerojatno da će bitno utjecati na pojedince u više od jedne zemlje EGP-a.
U praksi
- To znači da ako organizacija ima poslovne nastane u Njemačkoj i Hrvatskoj, na primjer, a obrada osobnih podataka odvija se u kontekstu njihovih aktivnosti, to će predstavljati prekograničnu obradu.
- Alternativno, organizacija može imati samo poslovni nastan u Njemačkoj. Međutim, ako njegova aktivnost obrade znatno utječe ili će vjerojatno znatno utjecati na pojedince u Njemačkoj i Hrvatskoj, to će također predstavljati prekograničnu obradu.
Razumijevanje „značajnog utjecaja”
Činjenica da organizacija obrađuje količinu – čak i veliku količinu – osobnih podataka pojedinaca u nekoliko zemalja EGP-a ne znači nužno da obrada ima ili je vjerojatno da će imati bitan učinak. Obrada s malim ili nikakvim učinkom ne predstavlja prekograničnu obradu, bez obzira na to koliko pojedinaca utječe.
Tijela za zaštitu podataka tumačit će „znatno utječe” na pojedinačnoj osnovi. U njima će se uzeti u obzir kontekst obrade, vrsta podataka, svrha obrade i čimbenici kao što su:
- uzrokuje ili je vjerojatno da će uzrokovati štetu, gubitak ili nelagodu pojedincima;
- ima, ili je vjerojatno da će imati, stvaran učinak u smislu ograničavanja prava pojedinaca ili uskraćivanja mogućnosti;
- utječe ili je vjerojatno da će utjecati na zdravlje, dobrobit ili mir pojedinaca;
- utječe ili je vjerojatno da će utjecati na financijski ili gospodarski status ili okolnosti pojedinaca;
- pojedincima ostavlja mogućnost diskriminacije ili nepoštenog postupanja;
- uključuje analizu posebnih kategorija osobnih ili drugih nametljivih podataka, posebno osobnih podataka djece;
- uzrokuje ili je vjerojatno da će navesti pojedince da znatno promijene svoje ponašanje;
- malo vjerojatne, neočekivane ili neželjene posljedice za pojedince;
- stvara sramotu ili druge negativne ishode, uključujući štetu za ugled; ili uključuje obradu širokog raspona osobnih podataka.
Vodeće tijelo za zaštitu podataka
Jednostavno rečeno, „vodeće tijelo za zaštitu podataka” ili vodeće tijelo za zaštitu podataka tijelo je za zaštitu podataka s primarnom odgovornošću za postupanje s prekograničnom obradom podataka, na primjer kada pojedinac podnese pritužbu na obradu svojih osobnih podataka. Vodeće tijelo za zaštitu podataka koordinirat će sve istrage i surađivati s „zainteresiranim” tijelima za zaštitu podataka. Utvrđivanje vodećeg tijela za zaštitu podataka ovisi o određivanju lokacije „glavnog poslovnog nastana” voditelja obrade ili „jedinstvenog poslovnog nastana” u EU-u.
Ako organizacija ima poslovni nastan u samo jednoj zemlji EGP-a, ima jedinstveni poslovni nastan u EGP-u, tijelo za zaštitu podataka te zemlje bit će vodeće tijelo za zaštitu podataka.
Ako organizacija ima poslovni nastan u više od jedne zemlje EGP-a, potrebno je utvrditi njezin glavni poslovni nastan kako bi se moglo utvrditi vodeće tijelo za zaštitu podataka.
Pročitaj više
Glavni poslovni nastan
Kako bi se utvrdilo gdje je glavni poslovni nastan, najprije je potrebno utvrditi lokaciju središnje uprave organizacije u EGP-u („mjesto središnje uprave; sjedište), ako postoji. To je mjesto na kojem se donose odluke o svrsi i sredstvima obrade osobnih podataka.
U slučajevima kada se odluke koje se odnose na različite prekogranične aktivnosti obrade donose unutar središnje uprave, u EGP-u će postojati jedinstveno vodeće tijelo za zaštitu podataka za različite aktivnosti obrade podataka koje provodi multinacionalno poduzeće. Međutim, mogu postojati slučajevi u kojima poslovni nastan koji nije mjesto središnje uprave donosi autonomne odluke o svrsi i sredstvima određene aktivnosti obrade. U tim će situacijama biti ključno da trgovačka društva točno utvrde gdje se donose odluke o namjeni i načinima obrade. Točna identifikacija glavnog poslovnog nastana u interesu je voditelja obrade podataka i izvršitelja obrade jer pruža jasnoću u pogledu toga s kojim se tijelom za zaštitu podataka moraju baviti u pogledu svojih različitih obveza usklađenosti u skladu s Općom uredbom o zaštiti podataka.
Pročitaj više
U praksi
- Sjedište trgovca na malo odjećom (tj. njegovo „mjesto središnje uprave”) u Sofiji u Bugarskoj. Ima poslovne nastane u raznim drugim zemljama EGP-a, koje su u kontaktu s pojedincima. Svi objekti koriste isti softver za obradu osobnih podataka klijenata u marketinške svrhe. Sve odluke o svrsi i sredstvima obrade osobnih podataka klijenata u marketinške svrhe donose se unutar sjedišta Sofije. To znači da je vodeće tijelo za zaštitu podataka društva za tu prekograničnu obradu bugarsko tijelo za zaštitu podataka.
Organizacije koje nemaju poslovni nastan u EGP-u
Ako vaša organizacija nema poslovni nastan u EGP-u, ali podliježe Općoj uredbi o zaštiti podataka jer je obuhvaćena teritorijalnim područjem primjene Opće uredbe o zaštiti podataka, možda će morati imenovati predstavnika u jednoj od zemalja EGP-a.
Međutim, ako organizacija nema poslovni nastan u EGP-u, sama prisutnost predstavnika u jednoj od zemalja EGP-a ne aktivira mehanizam „sve na jednom mjestu”. To znači da se organizacije koje nemaju poslovni nastan u EGP-u moraju obratiti lokalnim tijelima za zaštitu podataka u svakoj zemlji EGP-a u kojoj djeluju preko svojih lokalnih predstavnika.
Pročitaj više
Uloga Europskog odbora za zaštitu podataka
Europski odbor za zaštitu podataka neovisno je europsko tijelo s pravnom osobnošću koje doprinosi dosljednoj primjeni pravila o zaštiti podataka u cijelom EGP-u i promiče suradnju među tijelima EGP-a za zaštitu podataka. Europski odbor za zaštitu podataka sastoji se od voditelja tijela za zaštitu podataka i Europskog nadzornika za zaštitu podataka (EDPS) ili njihovih predstavnika.
Saznajte više o Europskom odboru za zaštitu podataka
U Europskom odboru za zaštitu podataka tijela za zaštitu podataka surađuju kako bi:
- pružiti opće smjernice (uključujući smjernice, mišljenja, preporuke i najbolje prakse) o pravu o zaštiti podataka, posebno Općoj uredbi o zaštiti podataka;
- savjetuje Europsku komisiju o svim pitanjima povezanima sa zaštitom osobnih podataka i novim predloženim zakonodavstvom u EU-u;
- donosi odluke o dosljednosti i mišljenja u prekograničnim slučajevima zaštite podataka.
Umjesto da odgovara na posebne, pojedinačne zahtjeve, Europski odbor za zaštitu podataka izdaje opće smjernice.
Europski odbor za zaštitu podataka donio je nekoliko dokumenata sa smjernicama koji su izravno relevantni za poduzeća, uključujući MSP-ove. Ovim se smjernicama pojašnjavaju različiti pojmovi Opće uredbe o zaštiti podataka, kao što su osnovna načela obrade, tehnička i zadana zaštita podataka, međunarodni prijenosi podataka i prava ispitanika. Pregled tih dokumenata možete pronaći ovdje.
Mehanizam konzistentnosti
Mehanizam konzistentnosti može izravno utjecati na MSP-ove. U prvom slučaju mehanizam konzistentnosti može se aktivirati ako vodeće tijelo za zaštitu podataka i predmetna tijela za zaštitu podataka ne mogu postići konsenzus o određenom prekograničnom predmetu. U takvim slučajevima predmet će se uputiti Europskom odboru za zaštitu podataka, koji će donijeti obvezujuću odluku za rješavanje spora.
Osim toga, Europski odbor za zaštitu podataka izdaje mišljenja o dosljednosti u pogledu nekih nacrta odluka koje su pripremila tijela za zaštitu podataka EGP-a, a koji imaju prekogranične učinke (npr. na novi skup standardnih ugovora ili kodekse ponašanja).
Europski odbor za zaštitu podataka može izdati i mišljenja o dosljednosti o bilo kojem pitanju opće primjene Opće uredbe o zaštiti podataka ili o svakom pitanju koje ima učinak u više od jedne zemlje EGP-a. Cilj je tog rada osigurati da se Opća uredba o zaštiti podataka dosljedno tumači i primjenjuje u različitim zemljama EGP-a.
Pročitaj više
Infografika o postupcima konzistentnosti u skladu s Općom uredbom o zaštiti podataka
EUROPSKI ODBOR ZA ZAŠTITU PODATAKA