Uređivanje zaštite osobnih podataka započelo je u državama kod kojih je uporaba informacijskih tehnologija u visokom stupnju primjene i koje imaju otvoren, demokratski sustav u kojem je privatno vlasništvo primarna i neotuđiva kategorija sustava (SAD, Kanada, Australija, Švedska, Njemačka i druge zemlje razvijenog svijeta).

Stoga je i temelj uređenja zaštite osobnih podataka, pitanje vlasništva osobnog podatka: vlasnik osobnog podatka je fizička osoba (informacijski subjekt) o kojoj govore osobni podaci. To određuje da je osobni podatak privatna imovina i da vlasnik podataka ima neotuđivo pravo na osobne podatke odnosno pravo na informacijsku osobnost i na zaštitu tih podataka koji se nalaze kod voditelja zbirki osobnih podataka ili drugih korisnika, odnosno pravo na zaštitu informacijske osobnosti.

Naspram pojedine osobe i njezinih osobnih podataka stoje subjekti (pravne ili fizičke osobe ili tijela državne vlasti) koji u obavljanju svoje djelatnosti ili u svezi s tom djelatnošću, temeljem općeg ili pojedinačnog interesa, ustrojavaju, održavaju i koriste zbirke podataka o osobama (voditelji zbirki podataka, očevid-nika, evidencija ili drukčije imenovanih skupova podataka o osobama), te posjeduju ili koriste informacijsku tehnologiju koja potpomaže i olakšava te postupke. Oni su u pravilu i korisnici tih podataka, stoga informacijska moć voditelja zbirke osobnih podataka izvire prvenstveno iz prikupljanja, obrade i korištenja osobnih podataka ili drukčije rečeno, iz mogućnosti raspolaganja podacima/informa-cijama o pojedinoj fizičkoj osobi.

Stalno je prisutan i sukob interesa: interesa pojedine osobe za zaštitom osobnosti i općih interesa slobodnog protoka podataka i informacija i svekolike međudržavne i međunarodne razmjene proizvoda, znanja, kapitala i radne snage. Šljedeći korak je nužnost uređenja odnosa sudjelovatelja u postupcima prikupljanja, obrade, korištenja i prenošenja osobnih podataka. Uređenje ovih odnosa i sama zaštita osobnih podataka, polazi od temeljnog prava pojedine osobe na osobne podatke (informacijsku osobnost), a pojedincu treba jamčiti i osiguravati pravo na obaviještenost o postojanju registara zbirki osobnih podataka i namjeni korištenja osobnih podataka, zakonito i pošteno prikupljanje, obradu i korištenje osobnih podataka, izuzeće određenih vrsta podataka (određivanje posebnih vrsta podataka koji se ne smiju obrađivati), uvid u sadržaj osobnih podataka sadržanih u zbirkama osobnih podataka, dopunu nepotpunih, izmjenu netočnih i brisanje nepotrebnih odnosno prekomjerno priključenih osobnih podataka, očuvanje cjelovitosti osobnih podataka (primjena organizacijskih, kadrovskih i tehničkih rješenja fizičke i logičke zaštite osobnih podataka), pravnu zaštitu u slučaju povrede osobnosti i naknadu štete nanesene zloporabom ili pogrešnim i neovlaštenim korištenjem osobnih podataka.

Ovo su izvorišne osnove područja zaštite osobnih podataka u nacionalnim zakonodavstvima zemalja zapadne Europe, koje postupno ulaze u pravne sustave europskih država koje grade demokratske sustave.

1. Prikaz nacionalnih zakonodavstava i normativne podloge regionalnih i međunarodnih organizacija

Uređivanje područja zaštite osobnih podataka započelo je u Europi 1970-ih godina. Švedska je bila prva zemlja koja je 1973. donijela zakon o zaštiti osobnih podataka (Data Act).

Potom Njemačka 1978. godine oblikuje nacionalni zakon (Data protection Act) kojim štiti svoje građane od mogućih povreda njihove osobnosti. Korištenje računalima podržanih skupina osobnih podataka neposredno umreženih kroz telekomunikacijski sustav, uz sve pozitivne efekte, pojačalo je mogućnost povreda osobnosti. Stoga Njemačka, 1990. revidira postojeći nacionalni zakon i donosi novi, kojem je prvenstveni cilj zaštita građana, a podredno osobnih podataka te zabranjuje upotrebu identifikacijskog broja. Nakon njih i ostale europske zemlje donose nacionalne zakone o zaštiti osobnih podataka, kao dijela privatnosti.

U svim nacionalnim zakonima subjekt zaštite je fizička osoba, a poneke uključuju i pravnu osobu (primjerice Bugarska, Francuska, Italija, Poljska, Rumunjska, Švicarska, dok primjerice Danska obuhvaća samo neke pravne osobe). U svim nacionalnim zakonima obuhvaćen je i javni i privatni sektor. Samo neke države u predmet zaštite ne uključuju ručno vođene zbirke osobnih podataka (primjerice: Irska, Luksemburg, San Marino). Za nadzor i normativno uređenje tog područja osnivaju neovisno tijelo ili te funkcije daju u nadležnost postojećem tijelu državne vlasti. Većina sankcionira povrede prava građana novčanim kaznama, a neke uz njih određuju i kazne zatvora.

Temeljna načela i preporuke za sadržaj nacionalnog zakona u ovom području kao i izravna određenja glede normativneg okvira, sadržavaju dokumenti nastali u okviru regionalnih i međunarodnih organizacija (OECD, EZ, UN, UNESCO, Amnesty International, Vi-deotex lndustry Association).

Najznačajniju osnovicu čine sljedeći dokumenti: Smjernice OECD-a iz 1980. (Guideli-nes on the Protection of Privacy and Tran-sborder Flows of Personal Data, Organizaton for Economic Cooperation and Development, Pariš 1980.) i Konvencija o zaštiti pojedinca glede automatske obrade osobnih podataka (Convention for the protection of Individuals with regard to Automatic processing of Personal Data, Council of Europe, Strasbourg 1981.).

Oba dokumenta sadržavaju istovjetna načela za zaštitu osobnih podataka (zakonitosti, točnosti, svrhovitosti, osobnog pristupa podacima, onemogućavanja diskriminacije, sigurnosti, postojanja izuzeća, pravno utemeljene razmjene podataka, opće primjene zaštite), te preporučaju odnosno zahtijevaju postojanje temeljenog zakona o zaštiti osobnih podataka koji obuhvaća sve sustave u privatnom i javnom sektoru, uređenje postupaka prikupljanja, obrade i korištenja osobnih podataka i regulaciju odnosa između pojedinca (eventualno i pravnih osoba - vlasnika podataka) i imatelja zbirke podataka i drugog korisnika podatka, te s obzirom na vrstu i tip podataka, postojanje zakonske (sudske) zaštite u svezi zaštite osobnih podataka, te osnivanje specijalizirane ustanove za nadzor nad tom zaštitom, osiguranje utjecaja na sadržaj vlastitih osobnih podataka (pravo uvida, dopune, izmjene, brisanje osobnih podataka), utvrđivanje obveza registracije i javnog obznanjivanja postojanja svih skupina osobnih podataka posebice kompjuteriziranih uz opis pravnog temelja uspostave, opis vrste podataka, namjene korištenja i ostvarenog korištenja.

Smjernice OECD-a su savjetodavne naravi i sadržavaju model preporuka i temeljnih načela, za razliku od Konvencije Vijeća Europe koja predstavlja normativni okvir za svaku zemlju članicu koja je ratificira.

Temeljem Konvencije Vijeća Europe od 1981., izrađena je Direktiva Vijeća EZ-a o zaštiti pojedinca u pogledu obrade osobnih podataka i slobodnom protoku takovih podataka (Council Directive on Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of such Data, European Community, 1995.).

Ovaj dokument na jednom mjestu objedinjuje dosadašnju teorijsku i iskustvenu osnovicu zaštite osobnih podataka te predstavlja normativni obrazac za zaštitu osobnih podataka u zemljama članicama EZ-a. Sadrži istovjetan pristup ručnim i automatiziranim skupinama osobnih podataka, te obuhvaća i javni i privatni sektor. Privatnom sektoru postavlja stanovita ograničenja u odnosu na javni sektor u području prikupljanja i obrade osobnih podataka. Istodobno zahtijeva donošenje odgovarajućih zakona i u zemljama izvan EZ-a kao temelj za procese razmjene osobnih podataka između zemalja članica te drugih zemalja sa zemljama članicama EZ-a. Direktiva dopušta izuzeće od njezine primjene u svezi obrade osobnih podataka u novinarske svrhe, ali za to traži donošenje propisa koji će uskladiti interese između slobode tiska i au-dio-vizualnih medija s jedne strane i prava na privatnost s druge strane.

Smjernice pravnog uređivanja računalom vođenih skupova osobnih podataka donijela je i Generalna skupština UN-a u prosincu 1990. (Guidelines forthe Regulation of Com-puterized Personal Data Files, New York 1990.).

Od zemalja članica Vijeća Europe nacionalne zakone o zaštiti osobnih podataka donijele su Albanija, Austrija, Belgija, Bosna i Hercegovina, Bugarska, Cipar, Češka, Danska, Estonija, Finska, Francuska, Njemačka, Grčka, Mađarska, Island, Irska, Italija, Latvija, Litva, Luksemburg, Malta, Nizozemska, Norveška, Portugal, Rumunjska, San Marino, Slovačka, Slovenija, Španjolska, Švedska, Švicarska, Makedonija i Velika Britanija.

Od ostalih zemalja, nacionalne zakone kojima se uređuje zaštita privatnosti donijele su SAD, Kanada, Japan, Meksiko, Jugoslavija, Argentina, Australija, Brazil, Čile, Novi Zeland.

2. Zaštita osobnih podataka u Republici Hrvatskoj

U Republici Hrvatskoj zaštita osobnih podataka, sigurnosti i tajnosti osobnih podataka utemeljena je kao pravo u Ustavu Republike Hrvatske, u okviru zaštite ljudskih prava i temeljnih sloboda.

Člankom 37. Ustava Republike Hrvatske propisano je da se svakom jamči sigurnost i tajnost osobnih podataka, da se bez privole ispitanika osobni podaci mogu prikupljati, obrađivati i koristiti samo uz uvjete određene zakonom, da se zaštita podataka i nadzor nad djelovanjem informatičkih sustava u državi uređuje zakonom te da je zabranjena uporaba osobnih podataka suprotna utvrđenoj svrsi njihovoga prikupljanja.

Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih temeljnih prava koja jamče pravo na privatnost fizičkih osoba u okviru obrade osobnih podataka.

Zaštita privatnosti pojedinca u Republici Hrvatskoj samo je djelomično, u jednom uskom segmentu, uređena u pojedinim upravnim područjima posebnim zakonima kojima se osigurava tajnost pojedinih osobnih podataka kroz institute profesionalne, poslovne, odnosno službene tajne. Primjerice, Zakonom o odvjetništvu (Nar. nov., br. 9/94) uređuje se pitanje odvjetničke tajne, Zakonom o bankama (Nar. nov., br. 84/02) uređeno je pitanje bankarske tajne, Zakonom o državnoj statistici (Nar. nov., br. 52/94) uređeno je pitanje zaštite, uporabe i davanja statističkih podataka na korištenje, kroz institut službene tajne, Zakonom o zdravstvenoj zaštiti (Nar. nov., br. 1/97 - proč. tekst, 111/97, 95/00 i 129/00) određeni se podaci štite kao profesionalna tajna. Za razliku od spomenutih zakona, nešto je šire uređena zaštita podataka i privatnosti zaposlenika, Zakonom o radu (Nar. nov., br. 38/95, 54/95, 65/95, 17/01 i 82/01). Također se Kaznenim zakonom (Nar. nov., br. 110/97, 27/98, ^0/00, 129/00 i 51/01)), utvrđuje da je nedopuštena uporaba osobnih podataka kazneno djelo, za koje se zapr-ječuje novčana kazna odnosno kazna zatvora.

Međutim, rješavanje pitanja zaštite privatnosti pojedinca eTkojem govore osobni podaci, samo kroz institute profesionalne, poslovne i službene tajne, nije dostatno za sveobuh- I vatnu zaštitu osobnosti (privatnosti), koja uključuje i niz drugih, do sada nezaštićenih područja u okviru obrade osobnih podataka koje neposredno utječu na zaštitu privatnosti, a koje je potrebno urediti zakonom.

Naime, problem zaštite osobnih podataka odnosno privatnosti pojedinca o kojem govore osobni podaci prvenstveno izvire iz prikupljanja, obrade i korištenja osobnih podataka koji se odnose na identificirane fizičke osobe ili osobe čiji se identitet lako može utvrditi na osnovu raspoloživih podataka. Uporaba informacijskih tehnologija samo pojačava taj problem, jer računalom vođene zbirke podataka omogućuju združivanje pojedinačnih osobnih podataka najednom mjestu, udruženu obradu osobnih podataka, višedimenzionalno povezivanje evidencija koje se nalaze pri različitim državnim tijelima i drugim subjektima koji u svezi sa svojom djelatnošću prikupljaju i dalje obrađuju osobne podatke.

Zaštita osobnih podataka odnosi se na zaštitu privatnosti fizičke osobe u smislu njezina prava na informacijsku osobnost i u prvom je redu pravno pitanje, a zatim kao zaštita podataka razumijeva i ustrojstvene i tehničke uvjete za tu zaštitu. Objekt zaštite podataka je računalna i druga oprema i prostori u kojima se oprema nalazi, same zbirke podataka, postupci obrade i komunikacijska sredstva za prijenos podataka koji se štite odgovarajućim tehničkim sredstvima i ustroj-stvenim postupcima i mjerama.

3. Temeljna načela Konačnog prijedloga zakona o zaštiti podataka

Temeljna načela na kojima se temelji Konačni prijedlog zakona o zaštiti osobnih podataka, a koja su sadržana u Konvenciji Vijeća Europe o zaštiti pojedinaca glede automatske obrade osobnih podataka iz 1981. godine i Direktivi Vijeća EZ-a o zaštiti pojedinca u pogledu obrade osobnih podataka i slobodnom protoku takvih podataka iz 1995. su načelo zakonitosti (prema kojem se osobni podaci mogu prikupljati, obrađivati i koristiti samo na temelju zakona ili uz privolu osobe); načelo svrhovitosti (prema kojem svako prikupljanje, obrada i korištenje osobnih podataka mora imati poznatu, izričitu i zakonitu svrhu), načelo javne obavijesti (sukladno kojem svaki sustav obrade osobnih podataka mora biti poznat javnosti); načelo točnosti (prema kojem prikupljeni osobni podaci moraju biti točni, potpuni, ažurni i bitni za postizanje utvrđene svrhe. Također, osoba na koju se podaci odnose ima pravo uvida u te podatke te pravo zahtijevati ispravak, brisanje ili ažuriranje osobnih podataka); načelo sigurnosti (sukladno kojem je potrebno provesti odgovarajuće organizacijske, tehničke, kadrovske i druge sigurnosne mjere zaštite osobnih podataka, radi onemogućavanja neovlaštenog pristupa, uništenja, neovlaštene uporabe ili otkrivanja podataka); načelo zabrane prikupljanja, obrade i korištenja osjetljivih podataka (osim u slučajevima predviđenim zakonom), te načelo nezavisnog nadzora (sukladno kojem se predviđa osnivanje nezavisnog tijela za nadzor nad radom voditelja zbirki osobnih podataka, promicanje i zaštitu prava osoba, te poticanje uvođenja kvalitetnijih mjera sigurnosti i zaštite osobnih podataka).

3.1. Definicija osobnog podatka

Konačni prijedlog zakona odnosi se na zaštitu osobnih podataka o fizičkim osobama. (Ne predlaže se uključivanje i pravnih osoba kao subjekata zaštite). Predlaže se obuhvatiti i javni i privatni sektor, a u predmet zaštite osim računalnih baza osobnih podataka predlažu se uključiti i ručno vođene zbirke osobnih podataka. Za nadzor nad djelovanjem sustava obrade osobnih podataka, predlaže se osnivanje neovisnog tijela - Vijeća za zaštitu osobnih podataka, a za povrede odredaba Zakona predlažu se novčane kazne.

Prema Konačnom prijedlogu zakona osobni podatak definira se vrlo široko. Obuhvaća svaku informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati bilo izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.

Predlaže se da se zaštita osobnih podataka odnosi na osobne podatke koji su sadržani u zbirkama osobnih podataka. Zbirkom osobnih podataka smatra se svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim ili raspršenim na funkcionalnom ili geografskom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.

Dakle, osobni podaci ili različiti skupovi osobnih podataka koji nisu strukturirani pa prema tome niti dostupni prema navedenim kriterijima, ne smatraju se zbirkom podataka u smislu ovog Konačnog prijedloga zakona i ne podliježu njegovim odredbama.

3.2. Obrada osobnih podataka

Obradom osobnih podataka smatra se svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.

Voditeljem zbirke osobnih podataka smatra se fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i način obrade propisana zakonom, istim zakonom određuje se i voditelj zbirke osobnih podataka.

Kako se Konačnim prijedlogom zakona predlaže obuhvatiti i javni i privatni sektor, predlaže se da se odredbe ovoga Zakona primjenjuju na obradu osobnih podataka od strane državnih tijela, tijela lokalne i područne (regionalne) samouprave te pravnih i fizičkih osoba koje obrađuju osobne podatke.

Od primjene Zakona predlažu se isključiti one obrade osobnih podataka koje provode fizičke osobe isključivo za osobnu primjenu ili za potrebe kućanstva (primjerice, različiti osobni adresari i sl.).

Na području prikupljanja, obrade i korištenja osobnih podataka, Konačnim prijedlogom zakona se predlaže, sukladno ustavnom određenju o zabrani uporabe osobnih podataka suprotno utvrđenoj svrsi njihova prikupljanja, prvenstveno urediti pitanje u koje je svrhe uopće dopušteno prikupljati, obrađivati i koristiti osobne podatke te na koji se način, odnosno od koga smiju prikupljati osobni podaci koji govore o osobinama, stanju i prilikama pojedine osobe.

Prema konačnom prijedlogu zakona osobni podaci smiju se prikupljati i dalje obrađivati uz privolu ispitanika (dakle osobe na koju se osobni podaci odnose) i to samo u svrhu za koju je ispitanik dao privolu. Također, ispitanik ima pravo u svako doba odustati od date privole i zatražiti prestanak daljnje obrade njegovih osobnih podataka.

3.2.1. Podaci koji se smiju prikupljati bez privole ispitanika

Bez privole ispitanika osobni podaci smiju se prikupljati i dalje obrađivati samo u slučajevima određenim zakonom i to:

• u svrhu izvršavanja zakonom propisane djelatnosti ili zakonskih obveza voditelja zbirke osobnih podataka, ili
• ako je obrada podataka nužna za ostvarivanje svrhe ugovora u kojem je jedna od ugovornih strana ispitanik, ili ako su ti podaci prikupljeni na zahtjev ispitanika prije pristupanja samom ugovoru, ili
• u svrhu zaštite vitalnih interesa ispitanika, ili
• ako je obrada podataka nužna radi zaštite javnog interesa o čemu prethodnu suglasnost daje Vijeće za zaštitu osobnih podataka ili u izvršavanju javnih ovlasti povjerenih voditelju zbirke osobnih podataka, ili
• ako je obrada osobnih podataka nužna u svrhu ostvarivanja zakonitih interesa voditelja zbirke osobnih podataka, osim gdje pretežu interesi temeljnih prava i sloboda ispitanika.

3.2.2. Zaštita podataka koji se odnose na maloljetne osobe

Posebna pažnja posvećuje se zaštiti podataka koji se odnose na maloljetne osobe. Konačnim se prijedlogom zakona predlaže da se osobni podaci koji se odnose na maloljetne osobe smiju prikupljati i dalje obrađivati u skladu s ovim Zakonom i uz posebne mjere zaštite propisane posebnim zakonima kojima se uređuje pojedino upravno područje.

U odnosu na opseg osobnih podataka koji se prikupljaju, Konačnim prijedlogom zakona se predlažu stanovita ograničenja. Dozvoljava se prikupljanje samo onih osobnih podataka koji su bitni za postizanje utvrđene svrhe. Dakle, ne smiju se prikupljati oni osobni podaci koji nisu nužni za postizanje utvrđene svrhe. Time se ujedno daje i pravo osobni da uskrati davanje prekomjernih i nepotrebnih podataka.

3.2.3. Dopuna, izmjena ili brisanje podataka

Također, osobni podaci moraju biti točni, potpuni i ažurni. Konačnim prijedlogom zakona predlaže se utvrditi dužnost voditelja zbirke osobnih podataka da na zahtjev ispitanika odnosno njegovih zakonskih zastupnika ili punomoćnika dopuni, izmijeni ili izbriše osobne podatke ako su podaci nepotpuni, netočni ili neažurni te ako njihova obrada nije u skladu sa zakonom.

3.2.4. Prikupljanje »osjetljivih« podataka

Posebno se predlaže urediti pitanje prikupljanja i daljnje obrade posebnih kategorija podataka, koji su u konvenciji Vijeća Europe označeni kao »osjetljivi podaci« , a odnose se na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom postupku, presudama i prekršajima.

Prikupljanje i daljnja obrada osjetljivih podataka dopušta se samo u iznimnim slučajevima određenim ovim Zakonom i to: ako je ispitanik dao izričitu privolu na obradu tih podataka, ili ako je ispitanik sam objavio te podatke, ili ako obradu tih podataka provodi voditelj zbirke osobnih podataka u obavljanju redovitih poslova u okviru zakonom propisane djelatnosti, ili ako je obrada potrebna za izvršavanje obveze iii prava voditelja zbirke osobnih podataka iz područja radnog prava u onoj mjeri u kojoj je ovlašten posebnim zakonom, ili ako je obrada potrebna za zaštitu životnih interesa ispitanika ili druge osobe u slučaju da ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak, ili ako se obrada provodi u okviru zakonitih aktivnosti ustanove, udruženja ili bilo kojeg drugog neprofitnog tijela s političkom, vjerskom ili drugom svrhom te pod uvjetom da se obrada isključivo odnosi na članove tijela ili osobe koje s njima imaju redovni kontakt u svezi s njihovim ciljevima te da podaci ne budu otkriveni trećoj strani bez pristanka ispitanika, ili ako je obrada tih podataka potrebna radi zaštite važnih javnih interesa ili prava i sloboda trećih o čemu prethodnu suglasnost daje Vijeće za zaštitu osobnih podataka.

Također se predviđaju i posebne mjere zaštite tih podataka - od posebnog označavanja do posebnih mjera tehničke zaštite.

3.3. Ugovor o povjeravanju o izvršenju obrade između voditelja zbirke i izvršitelja obrade

Pojedine poslove u svezi obrade osobnih podataka, prema Konačnom prijedlogu zakona, voditelj zbirke osobnih podataka može temeljem ugovora povjeriti izvršitelju obrade - fizičkoj ili pravnoj osobi registriranoj za obavljanje takve djelatnosti i koja osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka. (Izvršitelj obrade nije zaposlenik voditelja zbirke osobnih podataka koji u okviru svog radnog mjesta obavlja poslove unosa osobnih podataka ili obrade.)

Ugovorom između voditelja zbirke osobnih podataka i izvršitelja obrade uređuju se njihova međusobna prava i obveze, a osobito se obvezuje izvršitelja obrade da djeluje samo na temelju naloga voditelja zbirke osobnih podataka u okvirima danih ovlasti, da ne smije osobne podatke davati na korištenje drugim korisnicima, niti ih smije prikupljati i obrađivati za bilo koju drugu svrhu osim ugovorene te da osigura provođenje odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka.

3.4. Korištenje i davanje na korištenje osobnih podataka

Daljnje pitanje koje se predlaže urediti Konačnim prijedlogom zakona odnosi se na područje korištenja i davanja na korištenje osobnih podataka, koja također ne smije prelaziti zakonom utvrđenu svrhu, a pri čemu valja osigurati interes pojedine osobe na zaštitu privatnosti i s druge strane omogućiti opći interes slobodnog protoka podataka i informacija.

Voditelj zbirke osobnih podataka ovlašten je dati osobne podatke na korištenje drugim korisnicima ako je to potrebno radi obavljanja poslova u okviru zakonom utvrđene djelatnosti korisnika. S obzirom na to da se radi o prikupljanju osobnih podataka (ovaj puta iz postojećih zbirki osobnih podataka) osobni se podaci mogu dati na korištenje (dakle prikupljati iz drugih zbirki) samo u slučajevima koji su zakonom predviđeni za prikupljanje osobnih podatak bez privole ispitanika.

Pritom se predlažu i stanovita ograničenja u pogledu svrhe radi koje se osobni podaci traže na korištenje.

Naime, zabranjuje se davanje na korištenje osobnih podataka drugim korisnicima za čiju obradu odnosno korištenje nisu ovlašteni prema zakonu te ako svrha u koju se osobni podaci traže na korištenje, nije podudarna sa svrhom u koju su osobni podaci prikupljeni u postojeću zbirku.

Obrada osobnih podataka u povijesne, statističke i znanstvene svrhe neće se smatrati ne podudarnom pod uvjetom da se poduzmu odgovarajuće zaštitne mjere. Što znači da se osobni podaci u povijesne, statističke i znanstvene svrhe mogu prikupljati iz postojećih zbirki osobnih podataka neovisno o svrsi u koju su osobni podaci prikupljeni u postojeće zbirke.

O davanju na korištenje osobnih podataka voditelj zbirke obvezan je voditi posebnu evidenciju, a osoba na koju se podaci odnose, ima pravo tražiti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom temelju dobio na korištenje osobne podatke koji se na njega odnose.

Što se tiče vremena korištenja osobnih podataka, isti se mogu koristiti samo u vremenu koje je nužno za ostvarenje određene svrhe osim ako posebnim zakonom nije određeno duže razdoblje. Istekom roka, osobni se podaci moraju brisati ako posebnim zakonom nije što drugo određeno.

3.5. Iznošenje osobnih podataka iz Republike Hrvatske

U odnosu na iznošenje osobnih podataka iz Republike Hrvatske, Konačnim prijedlogom zakona se predviđa mogućnost iznošenja zbirki osobnih podataka odnosno osobnih podataka sadržanih u zbirkama osobnih podataka u svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se osobni podaci iznose, ima odgovarajuće uređenu zaštitu osobnih podataka odnosno osiguranu adekvatnu razinu zaštite.

3.6. Zbirke osobnih podataka

Prema Konačnom prijedlogu zakona voditelj zbirke osobnih podataka za svaku zbirku osobnih podataka koju vodi, uspostavlja i vodi evidenciju koja sadržava temeljne informacije o zbirci, a osobito sljedeće: naziv odnosno osobno ime voditelja zbirke i njegovo sjedište odnosno adresu, svrhu obrade, pravni temelj uspostave zbirke podataka, kategorije osoba na koje se podaci odnose, vrste podataka sadržanih u zbirci podataka, način prikupljanja i čuvanja podataka, vremensko razdoblje čuvanja i uporabe podataka, osobno ime odnosno naziv korisnika zbirke, njegovu adresu odnosno sjedište, naznaku unošenja odnosno iznošenja podataka iz Republike Hrvatske s naznakom države odnosno međunarodne organizacije i inozemnog korisnika osobnih podataka te razlog za to unošenje odnosno iznošenje propisan međunarodnim ugovorom, zakonom ili drugim propisom odnosno pisanim pristankom osobe na koju se podaci odnose te naznaku poduzetih mjera zaštite osobnih podataka.

Evidencije o zbirkama osobnih podataka objedinjavaju se u središnji registar kojeg vodi Vijeće za zaštitu osobnih podataka, a evidencije iz središnjeg registra dostupne su javnosti.

U središnjem registru ne moraju se objedinjavati evidencije o zbirkama osobnih podataka koje vode nadležna državna tijela u okviru aktivnosti obrade osobnih podataka radi državne sigurnosti, obrane i suzbijanja pojava koje su Strategijom nacionalne sigurnosti Republike Hrvatske određene kao sigurnosni rizici.

3.6.1. Obveza prethodne obavijesti prije uspostave zbirke

O namjeravanoj uspostavi zbirke osobnih podataka, Konačnim prijedlogom zakona se predlaže obveza prethodne obavijesti Vijeću za zaštitu osobnih podataka. Dakle, fizičke ili pravne osobe koje namjeravaju prikupljati osobne podatke, dužne su prije uspostave zbirke osobnih podataka dostaviti Vijeću za zaštitu osobnih podataka obavijest o namjeravanoj uspostavi zbirke osobnih podataka zajedno s temeljnim informacijama o zbirci.

Dužnost prethodne obavijesti ne odnosi se na slučajeve kada je samim zakonom utvrđena obveza uspostave određene evidencije u kojem slučaju je zakonom određena svrha obrade, podaci i kategorije podataka koji se obrađuju, kategorije ispitanika, kategorije korisnika te vrijeme u kojem će podaci biti pohranjeni, a ujedno se samim zakonom određuje i voditelj zbirke osobnih podataka.

3.7. Uređenje i čuvanje osobnih podataka

Konačnim prijedlogom zakona predlaže se urediti i pitanje čuvanja osobnih podataka, a koje razumijeva provedbu odgovarajućih organizacijskih, kadrovskih i tehničkih mjera zaštite od strane voditelja zbirke osobnih podataka i korisnika, kako bi se osobni podaci sadržani u zbirkama podataka, odgovarajuće zaštitili od slučajne ili namjerne zloporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa, a također utvrditi i obvezu osoba koje su zaposlene u obradi podataka, na čuvanje tajnosti podataka.

3.7.1. Obveza informiranja

Konačnim prijedlogom zakona također se predviđa i obveza informiranja ispitanika te se utvrđuje dužnost voditelja zbirke osobnih podataka ili izvršitelja obrade da prilikom prikupljanja osobnih podataka informira ispitanika čiji se podaci prikupljaju o identitetu voditelja zbirke osobnih podataka- i o svrsi obrade u koju su osobni podaci namijenjeni.

Daljnje informacije kao što su primjerice korisnici ili kategorije korisnika osobnih podataka, kategorije osobnih podataka koje se prikupljaju, da li je davanje podataka obvezno ili dobrovoljno kao i moguće posljedice uskrate davanja podataka te pravo na pristup i ispravak podataka, voditelj zbirke ili izvršitelj obrade dat će ispitaniku u onoj mjeri u kojoj je to potrebno imajući u vidu specifične okolnosti u kojima se podaci prikupljaju, da bi se jamčila pravična obrada u pogledu ispitanika.

3.7.2. Pravo osobe na obaviještenost o postojanju registra

Uređenje zaštite osobnih podataka također obuhvaća i utvrđivanje prava osoba na obaviještenost o postojanju registara zbirki osobnih podataka i pravo uvida u vlastite osobne podatke sadržane u zbirkama osobnih podataka, pravo na traženje dopune nepotpunih, izmjenu netočnih i brisanje nepotrebnih odnosno prekomjerno priključenih osobnih podataka, pravo suprotstavljanja obradi osobnih podataka u svrhe marketinga kao i pravnu zaštitu u slučaju povrede osobnosti ili pogrešne i neovlaštene uporabe osobnih podataka.

3.8. Ograničenja glede pojedinih prava osoba u određenim slučajevima

Konačnim prijedlogom zakona predlažu se i stanovita ograničenja u pogledu pojedinih prava osoba u određenim slučajevima.

Obveza informiranja ispitanika kao i pravo ispitanika na uvid u vlastite osobne podatke može se ograničiti u slučaju ako je to potrebno radi zaštite sigurnosti države, obrane, javne sigurnosti, radi prevencije, istrage, otkrivanja i gonjenja počinitelja kaznenih djela ili povreda etičkih pravila za određene profesije, radi zaštite važnog gospodarskog ili financijskog interesa države ili kulturnih dobara te radi zaštite ispitanika ili prava i sloboda drugih, u onom opsegu koji je nužan za ostvarivanje svrhe radi koje je ograničenje određeno.

3.9. Pravo na naknadu štete

Konačnim prijedlogom zakona također se predlaže pravo na naknadu štete ispitaniku u slučaju povrede odredaba zakona, u slučaju neovlaštenog korištenja odnosno davanja na korištenje njegovih osobnih podataka, pravo na podnošenje zahtjeva za zaštitu prava Vijeću za zaštitu osobnih podataka u slučaju povrede prava zajamčenih zakonom te pravo na sudsku zaštitu.

3.10. Nadzor

Radi učinkovite zaštite osobnih podataka zakonom je također potrebno urediti i pitanje nadzora nad djelovanjem sustava koji obrađuju osobne podatke. Budući da osobne podatke u najvećoj mjeri temeljem posebnih propisa obrađuju državna tijela, Konačnim prijedlogom zakona predlaže se ustrojavanje neovisnog i samostalnog tijela, koje će provoditi nadzor nad djelovanjem sustava obrade osobnih podataka u Republici Hrvatskoj i nadzirati provođenje zaštite osobnih podataka.

U svrhu nadzora nad provođenjem zaštite osobnih podataka i razmatranja pojedinačnih slučajeva ugroženosti prava pojedinca u okviru aktivnosti obrade osobnih podataka, Vijeće ima pravo pristupa osobnim podacima sadržanim u zbirkama osobnih podataka, oravo pristupa spisima i drugoj dokumentaciji koja se odnosi na obradu osobnih podataka kao i sredstvima elektronske obrade te pravo prikupljati sve informacije potrebne za izvršavanje njegovih nadzornih dužnosti.

U slučaju povrede odredaba zakona Vijeće ima pravo upozoriti ili opomenuti voditelja zbirke osobnih podataka na nezakonitosti u okviru aktivnosti obrade osobnih podataka, narediti da se nepravilnosti uklone u određenom roku, zabraniti prikupljanje, obradu i korištenje osobnih podataka koji se prikupljaju, obrađuju ili koriste suprotno odredbama zakona, narediti brisanje osobnih podatak prikupljenih bez pravne osnove, zabraniti iznošenje osobnih podataka iz Republike Hrvatske ili davanje na korištenje osobnih podataka drugim korisnicima ako se osobni podaci iznose iz Republike Hrvatske ili se daju na korištenje drugim korisnicima suprotno odredbama ovoga Zakona, zabraniti povjeravanje poslova prikupljanja i obrade osobnih podataka izvršiteljima obrade ako izvršitelj obrade ne ispunjava uvjete u pogledu zaštite osobnih podataka, ili je povjeravanje navedenih poslova provedeno suprotno odredbama ovoga Zakona, predložiti pokretanje postupka kaznene ili prekršajne odgovornosti pred nadležnim tijelom.

Osim nadzorne ovlasti i ovlasti intervencije Vijeće ima i savjetodavnu ulogu u unapređenju zaštite osobnih podataka. Primjerice, izrađuje metodološke preporuke za unapređenje zaštite osobnih podataka, daje savjete u svezi uspostave novih zbirki osobnih podataka, prati primjenu organizacijskih i tehničkih mjera za zaštitu osobnih podataka te predlaže poboljšanje tih mjera, surađuje s nadležnim državnim tijelima u izradi prijedloga propisa koji se odnose na zaštitu osobnih podataka.

Za povrede odredaba zakona, Konačnim prijedlogom zakona predlažu se novčane kazne.

Kako se radi o reguliranju odnosa koji se u Republici Hrvatskoj po prvi puta uređuju zakonom, za implementaciju zakona predviđa se rok od godine dana, a tijekom primjene zakona i stvaranjem prakse, moći će se uočiti i potrebe za daljnjim reguliranjem tih odnosa odnosno za izmjenu zakona.