NN 42/18
na snazi od 25.05.2018.
Uživajte...
Predmet Zakona
Članak 1.
(1) Ovim Zakonom osigurava se provedba Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP) (SL L 119, 4. 5. 2016.) (u daljnjem tekstu: Opća uredba o zaštiti podataka).
(2) Ovaj se Zakon ne odnosi na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja, kao ni na područje nacionalne sigurnosti i obrane.
Rodna neutralnost
Članak 2.
Izrazi koji se koriste u ovom Zakonu, a koji imaju rodno značenje, bez obzira na to jesu li korišteni u muškom ili ženskom rodu, obuhvaćaju na jednak način muški i ženski rod.
Pojmovi
Članak 3.
(1) Pojmovi u smislu ovoga Zakona imaju jednako značenje kao pojmovi korišteni u Općoj uredbi o zaštiti podataka.
(2) »Tijela javne vlasti« u smislu ovoga Zakona su: tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave.
Nadzorno tijelo
Članak 4.
(1) Nadzorno tijelo u smislu odredbe članka 51. Opće uredbe o zaštiti podataka je Agencija za zaštitu osobnih podataka (u daljnjem tekstu: Agencija).
(2) Agencija je neovisno državno tijelo. Agencija je u svom radu samostalna i neovisna i za svoj rad odgovara Hrvatskome saboru.
(3) Sjedište Agencije je u Zagrebu.
Akreditacijsko tijelo
Članak 5.
Nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 nadležno je tijelo za akreditiranje certifikacijskih tijela sukladno članku 43. stavku 1. Opće uredbe o zaštiti podataka.
Ovlasti Agencije
Članak 6.
(1) Osim ovlasti utvrđenih Općom uredbom o zaštiti podataka, Agencija obavlja sljedeće poslove:
– kada je propisano posebnim zakonom, može pokrenuti i ima pravo sudjelovati u kaznenim, prekršajnim, upravnim i drugim sudskim i izvansudskim postupcima zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona
– donosi Kriterije za određivanje visine naknade administrativnih troškova iz članka 43. stavka 2. ovoga Zakona i Kriterije za određivanje visine naknade iz članka 43. stavka 3. ovoga Zakona
– objavljuje pojedinačne odluke sukladno člancima 18. i 48. ovoga Zakona na mrežnim stranicama Agencije
– pokreće i vodi odgovarajuće postupke protiv odgovornih osoba zbog povrede Opće uredbe o zaštiti podataka i ovoga Zakona
– obavlja poslove neovisnog nadzornog tijela za praćenje primjene Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, osim ako posebnim propisima nije drugačije određeno
– obavlja druge zakonom propisane poslove.
(2) Ako Agencija posumnja u valjanost provedbene odluke Europske komisije o primjerenosti i o standardnim ugovornim klauzulama, obustavit će upravni postupak i ustupiti predmet Visokom upravnom sudu Republike Hrvatske na rješavanje upravne stvari.
(3) U postupku iz stavka 2. ovoga članka Visoki upravni sud Republike Hrvatske, ako smatra kako odluka Europske komisije nije valjana, uputit će zahtjev o ocjeni valjanosti predmetne odluke Sudu Europske unije sukladno članku 267. Ugovora o funkcioniranju Europske unije.
(4) Agencija obavlja nadzor nad provedbom ovoga Zakona.
Upravljanje Agencijom
Članak 7.
(1) Radom Agencije upravlja ravnatelj (u daljnjem tekstu: ravnatelj).
(2) Ravnatelj ima zamjenika.
(3) Ravnatelja i zamjenika ravnatelja imenuje Hrvatski sabor na prijedlog Vlade Republike Hrvatske, temeljem javnog poziva za dostavu kandidatura.
(4) Ravnatelj i zamjenik ravnatelja imenuju se na razdoblje od četiri godine i na tu dužnost mogu biti imenovani najviše dva puta.
(5) Središnje tijelo državne uprave nadležno za sustav državne uprave objavit će javni poziv za dostavu kandidatura za ravnatelja i zamjenika ravnatelja najkasnije šest mjeseci prije isteka mandata ravnatelja i zamjenika ravnatelja odnosno najkasnije 30 dana nakon prestanka dužnosti ako mu je dužnost prestala prije isteka mandata. Središnje tijelo državne uprave nadležno za sustav državne uprave dostavlja Vladi Republike Hrvatske podnesene kandidature, uz naznaku kandidata koji su podnijeli pravodobnu i potpunu kandidaturu.
(6) Vlada Republike Hrvatske utvrđuje prijedlog kandidata za ravnatelja odnosno zamjenika ravnatelja i upućuje ga Hrvatskome saboru.
(7) U slučaju prestanka mandata ravnatelja prije isteka vremena na koje je ravnatelj imenovan dužnost ravnatelja obnašat će zamjenik do imenovanja ravnatelja u postupku pokrenutom sukladno stavku 5. ovoga članka, a najduže šest mjeseci.
Uvjeti za imenovanje ravnatelja i zamjenika ravnatelja
Članak 8.
(1) Za ravnatelja i zamjenika ravnatelja može biti imenovana osoba koja ispunjava sljedeće uvjete:
– ima hrvatsko državljanstvo i prebivalište na području Republike Hrvatske
– ima završen preddiplomski i diplomski sveučilišni studij ili integrirani preddiplomski i diplomski sveučilišni studij ili specijalistički preddiplomski i diplomski stručni studij
– ima najmanje deset godina radnog iskustva u struci
– istaknuti je stručnjak s priznatim profesionalnim ugledom te stručnim znanjem i iskustvom iz područja zaštite osobnih podataka
– nije osuđivana i protiv nje se ne vodi kazneni postupak za kaznena djela za koja se postupak pokreće po službenoj dužnosti
– nije član političke stranke.
(2) Na ravnatelja i zamjenika ravnatelja primjenjuju se odredbe propisa kojima se uređuju obveze i prava državnih dužnosnika i propisa kojima se uređuje sprječavanje sukoba interesa.
(3) Koeficijent za izračun plaće ravnatelja je 5,50.
(4) Koeficijent za izračun plaće zamjenika ravnatelja je 4,26.
Razrješenje ravnatelja i zamjenika ravnatelja
Članak 9.
(1) Hrvatski sabor razriješit će dužnosti ravnatelja i zamjenika ravnatelja prije isteka vremena na koje je izabran:
– ako to sam zatraži
– ako nastupe okolnosti zbog kojih više ne ispunjava uvjete za izbor
– ako je počinio tešku povredu dužnosti. Smatra se da je ravnatelj odnosno zamjenik ravnatelja izvršio tešku povredu dužnosti ako ne obavlja dužnost u skladu sa zakonom.
(2) Postupak za razrješenje ravnatelja i zamjenika ravnatelja pokreće se na prijedlog Vlade Republike Hrvatske.
Stručna služba
Članak 10.
(1) Agencija ima stručnu službu.
(2) Na zaposlene u stručnoj službi Agencije primjenjuju se odredbe propisa kojima se uređuju prava i obveze državnih službenika.
(3) Način rada, način planiranja i obavljanja poslova, unutarnje ustrojstvo te druga pitanja važna za obavljanje poslova Agencije uređuju se Pravilnikom o radu Agencije koji donosi ravnatelj.
(4) Pravilnik o radu Agencije potvrđuje Hrvatski sabor. Pravilnik se objavljuje u »Narodnim novinama«.
(5) Na unutarnje ustrojstvo stručne službe Agencije odgovarajuće se primjenjuje uredba kojom se propisuju načela za unutarnje ustrojstvo tijela državne uprave, u dijelu koji se odnosi na državne upravne organizacije.
(6) Ravnatelj donosi Pravilnik o unutarnjem redu kojim se uređuje broj državnih službenika potrebnih za obavljanje poslova s naznakom njihovih osnovnih poslova i zadaća te stručnih uvjeta potrebnih za njihovo obavljanje, njihove ovlasti i odgovornosti te druga pitanja od važnosti za rad Agencije.
Članak 11.
Ravnatelj, zamjenik ravnatelja i službenici Agencije ne smiju obavljati poslove službenika za zaštitu podataka za drugog voditelja ili izvršitelja obrade.
Članak 12.
(1) Ravnatelj, zamjenik ravnatelja i službenici Agencije koji obavljaju poslove nadzora imaju službenu iskaznicu kojom dokazuju službeno svojstvo, identitet i ovlasti.
(2) Oblik i sadržaj službene iskaznice utvrđuju se Pravilnikom o radu iz članka 10. ovoga Zakona.
Članak 13.
(1) Ravnatelj, zamjenik ravnatelja i službenici Agencije dužni su kao profesionalnu tajnu odnosno kao drugu odgovarajuću vrstu tajne, sukladno zakonu kojim se uređuje tajnost podataka, čuvati sve osobne i druge povjerljive podatke koje saznaju u obavljanju svojih dužnosti.
(2) Obveza iz stavka 1. ovoga članka traje i nakon prestanka obnašanja dužnosti ravnatelja, zamjenika ravnatelja odnosno nakon prestanka službe u Agenciji.
Suradnja s tijelima državne uprave i drugim tijelima
Članak 14.
Središnja tijela državne uprave i druga državna tijela dužna su Agenciji dostaviti nacrte prijedloga zakona i prijedloge drugih propisa kojima se uređuju pitanja vezana uz obradu osobnih podataka radi davanja stručnih mišljenja u odnosu na područje zaštite osobnih podataka.
Suradnja s nadzornim tijelima za zaštitu podataka drugih država
Članak 15.
(1) Predstavnici gostujućeg nadzornog tijela imaju ovlasti za provođenje zajedničkih operacija, uključujući istrage i zajedničke mjere provedbe, u skladu s odredbama ovoga Zakona i Opće uredbe o zaštiti podataka.
(2) Sporazumom između Agencije i gostujućeg nadzornog tijela Agencija daje ovlast predstavnicima gostujućeg nadzornog tijela da prate i sudjeluju u provođenju nadzornih aktivnosti sukladno članku 62. Opće uredbe o zaštiti podataka.
(3) Sporazumom iz stavka 2. ovoga članka utvrdit će se istražne ovlasti iz članka 58. stavka 1. Opće uredbe o zaštiti podataka koje će se dodijeliti gostujućem nadzornom tijelu te osobno ime i radno mjesto predstavnika gostujućeg nadzornog tijela koji će sudjelovati u zajedničkoj operaciji.
(4) Kada predstavnici gostujućeg nadzornog tijela sudjeluju u zajedničkim operacijama na području Republike Hrvatske, voditelj obrade, izvršitelj obrade i ispitanik te sve druge stranke koje su neposredno uključene u konkretnu radnju moraju prije početka zajedničke operacije biti upoznate da u operaciji sudjeluju i predstavnici gostujućeg nadzornog tijela.
Sredstva za rad Agencije
Članak 16.
Sredstva za rad Agencije osiguravaju se u državnom proračunu Republike Hrvatske.
Godišnje izvješće o radu
Članak 17.
(1) Agencija je dužna podnijeti godišnje izvješće o svojem radu Hrvatskome saboru, najkasnije do 31. ožujka tekuće godine za prethodnu godinu. Godišnje izvješće obvezno sadrži:
– broj upita ispitanika i broj pritužbi
– broj rješenja donesenih po pritužbi ispitanika i po službenoj dužnosti, uključujući broj provedenih nadzornih aktivnosti
– broj zaprimljenih izvješća voditelja obrade o povredi osobnih podataka iz članka 33. Opće uredbe o zaštiti podataka i o nadzornim aktivnostima provedenima povodom takvih izvješća
– broj provedenih prethodnih savjetovanja sukladno članku 36. Opće uredbe o zaštiti podataka
– broj postupanja u vezi s kodeksom ponašanja i certificiranjem sukladno člancima 40. ‒ 43. Opće uredbe o zaštiti podataka
– broj odobrenih ugovornih klauzula i odredaba administrativnih dogovora sukladno članku 46. stavku 3. Opće uredbe o zaštiti podataka
– broj i vrstu utvrđenih povreda, izdanih upozorenja, službenih opomena i izrečenih upravnih novčanih kazni i drugih vrsta mjera poduzetih sukladno članku 58. stavku 2. Opće uredbe o zaštiti podataka
– broj i opis međunarodnih ugovora, zakonskih i podzakonskih akata na koje je dao mišljenje u vezi s područjem zaštite osobnih podataka, uz naznaku kada je mišljenje dano na zahtjev nadležnog tijela, a kada po službenoj dužnosti
– opis aktivnosti u okviru Europskog odbora za zaštitu podataka i drugih krovnih organizacija iz područja zaštite osobnih podataka
– opis aktivnosti suradnje s državnim i drugim tijelima u Republici Hrvatskoj
– opis aktivnosti osvješćivanja pojedinaca, voditelja obrade, izvršitelja obrade i drugih ciljanih skupina
– analizu i ocjenu ostvarivanja prava na zaštitu osobnih podataka.
(2) Godišnje izvješće obvezno sadrži i podatke o ostvarenim prihodima i rashodima za izvještajno razdoblje za koje se izvješće podnosi te podatke o broju zaposlenih i strukturi zaposlenih prema stručnoj spremi.
(3) Godišnje izvješće objavljuje se na mrežnim stranicama Agencije.
Objava mišljenja i rješenja Agencije
Članak 18.
(1) Rješenja i mišljenja Agencije koja se odnose na vrste obrada koje, uzimajući u obzir prirodu, opseg, kontekst i svrhu obrade, mogu prouzročiti visoki rizik za prava i slobode pojedinaca objavljuju se na mrežnim stranicama Agencije.
(2) Mišljenja i rješenja iz stavka 1. ovoga članka anonimiziraju se ili pseudonimiziraju.
(3) Iznimno od stavka 2. ovoga članka, kada se mišljenja i rješenja Agencije iz stavka 1. ovoga članka odnose na maloljetne osobe, primjenjuje se tehnika anonimizacije informacija koje se na njih odnose radi osiguranja visoke razine zaštite njihove privatnosti.
Privola djeteta u odnosu na usluge informacijskog društva
Članak 19.
(1) Kod primjene članka 6. stavka 1. točke (a) Opće uredbe o zaštiti podataka, u vezi s nuđenjem usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina.
(2) Odredba stavka 1. ovoga članka primjenjuje se na dijete čije je prebivalište u Republici Hrvatskoj.
(3) Postupanje suprotno odredbama ovoga članka smatra se kršenjem članka 8. Opće uredbe o zaštiti podataka i podliježe sankcioniranju sukladno članku 83. Opće Uredbe o zaštiti podataka.
Obrada genetskih podataka
Članak 20.
(1) Zabranjena je obrada genetskih podataka radi izračuna izgleda bolesti i drugih zdravstvenih aspekata ispitanika u okviru radnji za sklapanje ili izvršavanje ugovora o životnom osiguranju i ugovora s klauzulama o doživljenju.
(2) Privolom ispitanika ne može se ukinuti zabrana iz stavka 1. ovoga članka.
(3) Odredba stavka 1. ovoga članka primjenjuje se na ispitanike koji u Republici Hrvatskoj sklapaju ugovore o životnom osiguranju i ugovore s klauzulama o doživljenju ako obradu provodi voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj.
(4) Postupanje suprotno odredbama ovoga članka smatra se kršenjem članka 9. Opće uredbe o zaštiti podataka i podliježe sankcioniranju sukladno članku 83. stavku 5. Opće uredbe o zaštiti podataka.
Obrada biometrijskih podataka
Članak 21.
(1) U tijelima javne vlasti obrada biometrijskih podataka može se provoditi samo ako je određena zakonom i ako je nužna za zaštitu osoba, imovine, klasificiranih podataka ili poslovnih tajni, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka.
(2) Smatrat će se da je obrada biometrijskih podataka u skladu sa zakonom ako je ona potrebna za ispunjenje obveza iz međunarodnih ugovora u vezi s identificiranjem pojedinca u prelasku državne granice.
Članak 22.
(1) Obrada biometrijskih podataka u privatnom sektoru može se provoditi samo ako je propisana zakonom ili ako je nužna za zaštitu osoba, imovine, klasificiranih podataka, poslovnih tajni ili za pojedinačno i sigurno identificiranje korisnika usluga, uzimajući u obzir da ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom biometrijskih podataka iz ovoga članka.
(2) Pravni temelj za obradu biometrijskih podataka ispitanika radi sigurnog identificiranja korisnika usluga izričita je privola takvog ispitanika dana u skladu s odredbama Opće uredbe o zaštiti podataka.
Članak 23.
Dopuštena je obrada biometrijskih podataka zaposlenika u svrhu evidentiranja radnog vremena i radi ulaska i izlaska iz službenih prostorija, ako je propisano zakonom ili ako se takva obrada provodi kao alternativa drugom rješenju za evidentiranje radnog vremena ili ulaska i izlaska iz službenih prostorija, uz uvjet da je zaposlenik dao izričitu privolu za takvu obradu biometrijskih podataka u skladu s odredbama Opće uredbe o zaštiti podataka.
Članak 24.
(1) Odredbe ovoga Zakona o obradi biometrijskih podataka primjenjuju se na ispitanike u Republici Hrvatskoj ako obradu provodi:
– voditelj obrade s poslovnim nastanom u Republici Hrvatskoj ili koji pruža usluge u Republici Hrvatskoj
– tijelo javne vlasti.
(2) Odredbe ovoga Zakona o obradi biometrijskih podataka ne utječu na obvezu provođenja procjene učinka sukladno članku 35. Opće uredbe o zaštiti podataka.
(3) Odredbe ovoga Zakona o obradi biometrijskih podataka ne primjenjuju se na područje obrane, nacionalne sigurnosti i sigurnosno-obavještajnog sustava.
Obrada osobnih podataka putem videonadzora
Članak 25.
(1) Videonadzor u smislu odredbi ovoga Zakona odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.
(2) Ako drugim zakonom nije drugačije određeno, na obradu osobnih podataka putem sustava videonadzora primjenjuju se odredbe ovoga Zakona.
Članak 26.
(1) Obrada osobnih podataka putem videonadzora može se provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.
(2) Videonadzorom mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja svrhe iz stavka 1. ovoga članka.
Članak 27.
(1) Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.
(2) Obavijest iz stavka 1. ovoga članka treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:
– da je prostor pod videonadzorom
– podatke o voditelju obrade
– podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.
Članak 28.
(1) Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.
(2) Osobe iz stavka 1. ovoga članka ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona.
(3) Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba.
(4) Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.
(5) Pristup podacima iz stavka 1. ovoga članka imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.
Članak 29.
Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.
Videonadzor radnih prostorija
Članak 30.
(1) Obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora.
(2) Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.
Videonadzor stambenih zgrada
Članak 31.
(1) Za uspostavu videonadzora u stambenim odnosno poslovno-stambenim zgradama potrebna je suglasnost suvlasnika koji čine najmanje 2/3 suvlasničkih dijelova.
(2) Videonadzorom može se obuhvatiti samo pristup ulascima i izlascima iz stambenih zgrada te zajedničke prostorije u stambenim zgradama.
(3) Zabranjeno je korištenje videonadzora za praćenje radne učinkovitosti domara, spremačica i drugih osoba koje rade u stambenoj zgradi.
Videonadzor javnih površina
Članak 32.
(1) Praćenje javnih površina putem videonadzora dozvoljeno je samo tijelima javne vlasti, pravnim osobama s javnim ovlastima i pravnim osobama koje obavljaju javnu službu, samo ako je propisano zakonom, ako je nužno za izvršenje poslova i zadaća tijela javne vlasti ili radi zaštite života i zdravlja ljudi te imovine.
(2) Odredbe ovoga članka ne isključuju primjenu članka 35. Opće uredbe o zaštiti podataka na sustavno praćenje javno dostupnog područja u velikoj mjeri.
Obrada osobnih podataka u statističke svrhe
Članak 33.
(1) U okviru obrade osobnih podataka u svrhu proizvodnje službene statistike u skladu s posebnim propisima iz područja službene statistike, tijela koja proizvode službenu statistiku nisu dužna osigurati ispitanicima pravo pristupa osobnim podacima, pravo na ispravak osobnih podataka, pravo na ograničenje obrade osobnih podataka niti pravo na prigovor na obradu osobnih podataka, i to radi osiguravanja uvjeta nužnih za ostvarivanje svrhe službene statistike u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih svrha te kada su takva odstupanja od prava prijeko potrebna za postizanje tih svrha.
(2) Tijela nadležna za proizvodnju službene statistike dužna su primjenjivati tehničke i organizacijske mjere zaštite podataka prikupljenih za potrebe službene statistike.
(3) Voditelji obrade osobnih podataka prilikom prijenosa osobnih podataka tijelima nadležnima za službenu statistiku nisu dužni obavještavati ispitanike o prijenosu osobnih podataka u statističke svrhe.
(4) Obrada osobnih podataka u statističke svrhe smatra se podudarnom svrsi za koju su podaci prikupljeni, pod uvjetom da se poduzmu odgovarajuće zaštitne mjere.
(5) Osobni podaci obrađeni u statističke svrhe ne smiju omogućiti identifikaciju osobe na koju se podaci odnose.
Članak 34.
(1) Svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno ovim Zakonom i Općom uredbom o zaštiti podataka, može Agenciji podnijeti zahtjev za utvrđivanje povrede prava.
(2) O povredi prava Agencija odlučuje rješenjem.
(3) Rješenje Agencije je upravni akt.
(4) Protiv rješenja Agencije žalba nije dopuštena, ali se tužbom može pokrenuti upravni spor pred nadležnim upravnim sudom.
Članak 35.
(1) Ako je rješenjem naloženo brisanje ili drugo nepovratno uklanjanje osobnih podataka, nezadovoljna stranka može zatražiti od nadležnog upravnog suda odgodu izvršenja brisanja ili drugog nepovratnog uklanjanja osobnih podataka ako dokaže da bi nerazmjernim naporima ponovno prikupila osobne podatke čije se brisanje odnosno nepovratno uklanjanje traži.
(2) Ako nadležni upravni sud prihvati zahtjev iz stavka 1. ovoga članka, stranka kojoj je naloženo brisanje ili drugo nepovratno uklanjanje osobnih podataka dužna je blokirati svaku obradu spornih osobnih podataka, osim njihova čuvanja, do donošenja pravomoćne sudske odluke.
Provedba nadzora
Članak 36.
(1) Ovlašteni službenici Agencije samostalno, a u određenim slučajevima i uz sudjelovanje predstavnika gostujućeg nadzornog tijela (u daljnjem tekstu: ovlaštene osobe), mogu provesti najavljeni ili nenajavljeni nadzor. O provedbi nenajavljenog nadzora nadzirana osoba odnosno voditelj obrade ili izvršitelj obrade bit će obaviješteni na mjestu i u trenutku provedbe nadzora.
(2) Prije početka obavljanja nadzora iz stavka 1. ovoga članka ovlaštene osobe dužne su predstaviti se predočenjem službene iskaznice i naloga za nadzor.
(3) Ako se kod provođenja nadzora očekuje njegovo ometanje pružanjem otpora, Agencija će uputiti pisani zahtjev ministarstvu nadležnom za unutarnje poslove za pružanje pomoći pri provođenju tih nadzornih aktivnosti.
(4) Na temelju zahtjeva Agencije ministarstvo nadležno za unutarnje poslove dužno je, u skladu s posebnim propisima, pružiti pomoć pri provedbi nadzora iz stavka 2. ovoga članka.
(5) Nalog za provedbu nadzora iz stavka 1. ovoga članka izdaje ravnatelj Agencije.
Preslike, pečaćenje i privremeno uzimanje sustava pohrane i opreme
Članak 37.
(1) Ovlaštene osobe, prema potrebi, mogu napraviti preslike dostupnih dokumenata, presnimiti sve sadržaje sustava pohrane i prikupiti druge relevantne informacije.
(2) Ako iz tehničkih razloga nije moguće tijekom nadzora napraviti preslike potrebne dokumentacije, ovlaštene osobe će, prema potrebi, oduzeti potrebne sustave pohrane i opremu koja sadržava druge relevantne informacije i zadržati je koliko je potrebno za izradu preslika te dokumentacije, a najduže do 15 dana od dana oduzimanja sustava pohrane i opreme.
(3) Ovlaštene osobe mogu zapečatiti sustave pohrane ili opremu za vrijeme nadzora i u opsegu prijeko potrebnom za provedbu nadzornih aktivnosti ako postoji opasnost od uništenja ili izmjena dokaza, a najduže 15 dana od dana pečaćenja sustava pohrane ili opreme.
(4) O kopiranju, pečaćenju i privremenom uzimanju sustava pohrane i opreme ovlaštena osoba dužna je sastaviti službenu zabilješku sa svim relevantnim informacijama o podacima ili opremi obuhvaćenoj radnjom i njezin primjerak predati nadziranom subjektu.
Sumnja na kazneno djelo
Članak 38.
Ako se pri provedbi nadzora dođe do saznanja ili pronađu predmeti koji upućuju na počinjenje kaznenog djela za koje se progoni po službenoj dužnosti, ovlaštene osobe u najkraćem će roku izvijestiti nadležnu policijsku postaju ili državnog odvjetnika.
Klasificirani podaci
Članak 39.
(1) Svaki pristup, kopiranje i bilo kakva druga obrada podataka koji su klasificirani s utvrđenim stupnjem tajnosti na temelju posebnog propisa provest će se sukladno propisima kojima se uređuje zaštita tajnosti podataka.
(2) Svaki pristup, kopiranje i bilo kakvu drugu obradu podataka koja je klasificirana s utvrđenim stupnjem tajnosti na temelju posebnog propisa provest će službenici koji imaju valjani certifikat za pristup klasificiranim podacima sukladno propisima kojima se uređuje zaštita tajnosti podataka.
Zapisnik o provedenom nadzoru
Članak 40.
(1) O provedenom nadzoru sastavlja se zapisnik. Zapisnik sadrži osobito:
1. mjesto i datum provedbe nadzora
2. naznaku je li nadzor bio najavljen ili nenajavljen
3. osobna imena i potpise ovlaštenih osoba koje su sudjelovale u nadzoru i predstavnika nadzirane osobe
4. opis tijeka i sadržaja svake provedene radnje tijekom nadzora i danih izjava
5. popis dokumenata i ostalih predmeta korištenih, kopiranih, zapečaćenih i/ili privremeno oduzetih tijekom nadzorne aktivnosti
6. pouku o pravu na ulaganje primjedbi na zapisnik.
(2) Ako je zapisnik iz stavka 1. ovoga članka sastavljen neposredno na mjestu provedbe nadzora, nadzirana osoba može uložiti primjedbe na zapisnik koje će ovlaštena osoba unijeti u njega.
(3) Ako je zapisnik iz stavka 1. ovoga članka sastavljen nakon provedbe nadzora, on će se dostaviti nadziranoj osobi.
(4) Nadzirana osoba na zapisnik iz stavaka 2. i 3. ovoga članka ima pravo u roku od 15 dana od dana njegova primitka uložiti primjedbe u pisanom obliku. U roku od 15 dana od dana primitka primjedbi nadziranoj osobi dostavit će se pisani odgovor o prihvaćanju odnosno neprihvaćanju primjedbi.
(5) Ako nadzirana osoba u roku iz stavka 4. ovoga članka ne dostavi primjedbe na zapisnik, smatrat će se da na njega nema primjedbi.
Zastupanje ispitanika
Članak 41.
Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje koje je osnovano u skladu sa zakonom, a u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnese pritužbu u njegovo ime i da u njegovo ime ostvaruje prava iz članka 77., 78. i 79. Opće uredbe o zaštiti podataka i pravo na naknadu iz članka 82. Opće uredbe o zaštiti podataka.
Davanje stručnih mišljenja
Članak 42.
(1) Na pisani zahtjev fizičke ili pravne osobe Agencija daje stručno mišljenje iz područja zaštite osobnih podataka, najkasnije u roku od 30 dana od dana podnošenja zahtjeva, ovisno o složenosti zahtjeva.
(2) Ako je pri davanju stručnog mišljenja potrebno uključiti i druga tijela u tuzemstvu ili u inozemstvu u svrhu dobivanja podataka ili informacija bitnih za stručno mišljenje, rok za davanje mišljenja iz stavka 1. ovoga članka može se produžiti za još 30 dana.
Naknada za postupanje po zahtjevu
Članak 43.
(1) Obavljanje zadaća Agencije provodi se bez naplate u odnosu na ispitanike, službenike za zaštitu osobnih podataka, novinare i tijela javne vlasti.
(2) Agencija će naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, a osobito zbog njihove učestalosti.
(3) Agencija će naplatiti naknadu za davanje mišljenja poslovnim subjektima (odvjetničkim društvima, konzultantima i dr.) koja su poslovni subjekti zatražili u svrhu obavljanja svoje redovite djelatnosti odnosno pružanja usluga.
(4) Kriterije za određivanje visine naknade iz stavaka 2. i 3. ovoga članka utvrđuje Agencija. Kriteriji se objavljuju u »Narodnim novinama« te na mrežnim stranicama Agencije.
(5) Iznos naknade iz stavaka 2. i 3. ovoga članka uplaćuje se u korist državnog proračuna.
Članak 44.
(1) Agencija izriče upravne novčane kazne za povrede odredaba ovoga Zakona i Opće uredbe o zaštiti podataka, sukladno članku 83. Opće uredbe o zaštiti podataka.
(2) Ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koja obavlja javnu službu, izrečena upravna novčana kazna ne smije ugroziti obavljanje takve javne ovlasti ili javne službe.
Članak 45.
(1) Upravne novčane kazne izriču se odlukom.
(2) Odlukom iz stavka 1. ovoga članka utvrdit će se iznos i način uplate upravne novčane kazne. Odlukom se može utvrditi da se upravna novčana kazna plaća u obrocima.
(3) Kada se, sukladno članku 83. Opće Uredbe, upravne novčane kazne izriču uz mjere iz članka 58. stavka 2. točaka od (a) do (h) i točke (j) Opće uredbe, odluka o upravnoj novčanoj kazni donosi se po pravomoćnosti rješenja kojom je izrečena mjera.
(4) Protiv odluke iz stavka 1. ovoga članka nije dopuštena žalba, ali se može pokrenuti upravni spor pred nadležnim upravnim sudom.
(5) Kriterije za obročnu otplatu i uvjete za raskid obročne otplate upravne novčane kazne utvrđuje Agencija prema visini upravne novčane kazne. Kriteriji se objavljuju u »Narodnim novinama« i na mrežnim stranicama Agencije.
Članak 46.
(1) Upravna novčana kazna uplaćuje se u roku od 15 dana od dana pravomoćnosti odluke kojom je izrečena.
(2) Ako stranka u propisanom roku ne uplati upravnu novčanu kaznu odnosno po dospijeću zadnjeg obroka ako je odobreno obročno plaćanje, Agencija će obavijestiti Područni ured Porezne uprave Ministarstva financija na čijem je području prebivalište odnosno sjedište stranke kojoj je izrečena upravna novčana kazna, radi naplate upravne novčane kazne prisilnim putem prema propisima o prisilnoj naplati poreza.
(3) Upravne novčane kazne uplaćuju se u korist državnog proračuna.
(4) Iznimno od stavka 2. ovoga članka, na dospjelu, a neplaćenu upravnu novčanu kaznu ne obračunava se kamata.
Isključenje primjene upravnih novčanih kazni na tijela javne vlasti
Članak 47.
Ne dovodeći u pitanje izvršavanje ovlasti Agencije utvrđenih odredbom članka 58. Opće uredbe o zaštiti podataka, u postupcima koji se provode protiv tijela javne vlasti, tijelu javne vlasti ne može se izreći upravna novčana kazna za povrede ovoga Zakona ili Opće uredbe o zaštiti podataka.
Članak 48.
Pravomoćno rješenje objavljuje se na mrežnim stranicama Agencije bez anonimiziranja podataka o počinitelju, ako je tim rješenjem utvrđena povreda ovoga Zakona ili Opće uredbe o zaštiti podataka u vezi s obradom osobnih podataka maloljetnika, posebnih kategorija osobnih podataka, automatiziranog pojedinačnog donošenja odluke, profiliranja, ako je povredu počinio voditelj obrade ili izvršitelj obrade koji je već bio prekršio odredbe ovoga Zakona ili Opće uredbe o zaštiti podataka ili ako je u vezi s rješenjem donesena odluka o upravnoj novčanoj kazni u iznosu od najmanje 100.000,00 kuna koja je postala pravomoćna.
Zastara izvršenja upravne novčane kazne
Članak 49.
(1) Na zastaru prava na naplatu upravne novčane kazne primjenjuju se odredbe općeg zakona kojim se propisuje porezni postupak.
(2) Zastara počinje teći od dana pravomoćnosti odluke.
(3) Za vrijeme trajanja obročne otplate upravne novčane kazne zastara ne teče.
Članak 50.
(1) Novčanom kaznom za prekršaj u iznosu od 5000,00 do 50.000,00 kuna kaznit će se:
– osoba koja obnaša dužnost ravnatelja i zamjenika ravnatelja Agencije ako neovlaštenoj osobi otkrije povjerljive podatke koje je saznala u obavljanju svoje dužnosti, sukladno članku 13. ovoga Zakona
– službenik Agencije koji neovlaštenoj osobi otkrije povjerljive podatke koje je saznao u obavljanju poslova radnog mjesta, sukladno članku 13. ovoga Zakona.
(2) Ovlašteni tužitelj za prekršaj iz ovoga članka je državni odvjetnik.
Članak 51.
Upravnom novčanom kaznom u iznosu do 50.000,00 kuna kaznit će se:
– voditelj obrade i izvršitelj obrade koji ne označe objekt, prostorije, dijelove prostorije te vanjsku površinu objekta na način propisan člankom 27. ovoga Zakona
– voditelj obrade i izvršitelj obrade koji ne uspostave automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora, sukladno članku 28. stavku 4. ovoga Zakona
– osobe iz članka 28. stavka 1. ovoga Zakona koje snimke iz sustava videonadzora koriste suprotno članku 28. stavku 2. ovoga Zakona.
Članak 52.
(1) Danom stupanja na snagu ovoga Zakona:
– Agencija za zaštitu osobnih podataka osnovana Zakonom o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. ‒ pročišćeni tekst; u daljnjem tekstu: Agencija za zaštitu osobnih podataka) kao pravna osoba s javnim ovlastima, postaje državno tijelo i nastavlja s radom pod istim nazivom
– Agencija kao pravni sljednik Agencije za zaštitu osobnih podataka preuzima njezine poslove, pismohranu i drugu dokumentaciju, sredstva za rad, financijska sredstva, prava i obveze, kao i zaposlenike
– zaposlenici Agencije za zaštitu osobnih podataka postaju državni službenici ili namještenici.
(2) Do donošenja pravilnika o unutarnjem redu iz članka 54. ovoga Zakona i rasporeda na radna mjesta sukladno propisima o državnim službenicima zaposlenici Agencije za zaštitu osobnih podataka nastavljaju obavljati poslove na kojima su zatečeni na dan stupanja na snagu ovoga Zakona i zadržavaju sva prava iz radnog odnosa.
Članak 53.
(1) U roku od osam dana od dana stupanja na snagu ovoga Zakona središnje tijelo državne uprave nadležno za sustav državne uprave pokrenut će postupak imenovanja ravnatelja i zamjenika ravnatelja.
(2) Osoba zatečena na dužnosti ravnatelja Agencije za zaštitu osobnih podataka na dan stupanja na snagu ovoga Zakona nastavlja obavljati dužnost ravnatelja do imenovanja ravnatelja Agencije sukladno ovom Zakonu.
Članak 54.
(1) Ravnatelj je dužan u roku od 60 dana od dana imenovanja podnijeti na potvrdu Hrvatskome saboru Pravilnik o radu Agencije.
(2) Ravnatelj je dužan u roku od 30 dana od dana stupanja na snagu Pravilnika iz stavka 1. ovoga članka donijeti Pravilnik o unutarnjem redu.
(3) Do stupanja na snagu Pravilnika o radu Agencije primjenjuje se Statut Agencije za zaštitu osobnih podataka.
Članak 55.
Postupci započeti do stupanja na snagu ovoga Zakona nastavit će se i dovršiti prema odredbama Zakona o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst).
Prestanak važenja propisa
Članak 56.
Stupanjem na snagu ovoga Zakona prestaje važiti Zakon o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06., 41/08., 130/11. i 106/12. – pročišćeni tekst), Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka (»Narodne novine«, br. 105/04.) i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka (»Narodne novine«, br. 139/04.).
Stupanje na snagu
Članak 57.
Ovaj Zakon objavit će se u »Narodnim novinama«, a stupa na snagu 25. svibnja 2018.
Klasa: 022-03/18-01/55
Zagreb, 27. travnja 2018.
HRVATSKI SABOR
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)