GDPR – Opća uredba o zaštiti podataka je obvezna za primjenu u svim poslovnim subjektima koji na bilo kakav način koriste evidentirane osobne podatke. Primjena je u osnovi vrlo složen sustav koji zahtjeva dodatne napore i resurse. Jedan od prvih elemenata iz Uredbe je prihvaćanje terminologije koja je dijelom specifična za GDPR, a dijelom je u skladu s terminologijom ostalih sustava upravljanja. U okviru poglavlja 4 Uredbe GDPR navedene su definicije koje treba znati da se mogu razumjeti do tančina svi aspekti primjene iste. GPDR definicije pojmova prema Uredbi su prikazani u tablici niže.

Osobni podaci i osjetljivi osobni podaci

 

Kad se pokuša implementirati, odnosno uskladiti s Uredbom jedan o prvih problema je prepoznavanje što je to osobni podatak, pa i osjetljivi osobni podatak, kao i što to nije. Tek nakon razumijevanja značenja i smisla ovih pojmova može se pristupiti njihovoj identifikaciji.

GDPR ima širu definiciju onoga što čini osobne podatke od DPA (Data Protection Act), uključivanjem reference na identifikatore kao što su ime, identifikacijski brojevi, IP adresa i lokacija. Svaka osoba na koju se odnose osobni podaci poznata je kao subjekt podataka.

Definicija GDPR-a osjetljivih osobnih podataka također nešto je šira nego u DPA. Glavni dodatak je biometrijski podatak, u svrhu jedinstvene identifikacije osobe. Zapravo, GDPR govori o posebnoj kategoriji osobnih podataka, a ne osjetljivim osobnim podacima, ali je definicija gotovo jednaka. Tablica u nastavku ilustrira ono što je osjetljivo i što nije, kao i što nije osobni podatak.

 

Gornja tablica može poslužiti kao mali putokaz kako prepoznavati što je osobni podatak ili nije, pa i što je osjetljivi osobni podatak.

 

GDPR definicije pojmova

osobni podaci (personal data) znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca

obrada (processing) znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje

ograničavanje obrade (restriction of processing) znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti

izrada profila (profiling) znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca

pseudonimizacija (pseudonymisation) znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi

sustav pohrane (filing system) znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi

voditelj obrade (controller) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice

izvršitelj obrade (processor) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade

primatelj (recipient) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade

treća strana (third party) znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade

privola (consent) ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose

povreda osobnih podataka (personal data breach) znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

genetski podaci (genetic data) znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca

biometrijski podaci (biometric data) znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci

podaci koji se odnose na zdravlje (data concerning health) znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu

glavni poslovni nastan (main establishment) (a) što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem seslučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom; (b) što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obradenema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;

predstavnik (representative) znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe

poduzeće (enterprise) znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću

grupa poduzetnika (group of undertakings) znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici

obvezujuća korporativna pravila (binding corporate rules) znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću

nadzorno tijelo (supervisory authority) znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.

predmetno nadzorno tijelo (supervisory authority concerned) znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što: (a) voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela; (b) obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili (c) podnesena je pritužba tom nadzornom tijelu.

prekogranična obrada (cross-border processing) znači ili: (a) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili (b) obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.

relevantni i obrazloženi prigovor (relevant and reasoned objection) znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije

usluga informacijskog društva (information society service) znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća

međunarodna organizacija(international organisation) znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

Izvor: UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA

Zdenko Adelsberger

Savjetnik, predavač i auditor za sustave upravljanja prema ISO i drugim normama (ERM, BCMS, ISMS, ITSMS, ITIL, QMS, EMS, OHSAS, BPM), programer, WordPress i DIVI fanatik, zaljubljenik u putovanja, muziku, fotografiju, slikarstvo, poeziju, i mnogo, mnogo još toga...

Povezani tekstovi


Pin It on Pinterest