HRVATSKI SABOR

2608

Na temelju članka 89. Ustava Republike Hrvatske, donosim

ODLUKU

O PROGLAŠENJU ZAKONA O IZMJENAMA I DOPUNAMA ZAKONA O ZAŠTITI OSOBNIH PODATAKA

Proglašavam Zakon o izmjenama i dopunama Zakona o zaštiti osobnih podataka, koji je Hrvatski sabor donio na sjednici 28. listopada 2011. godine.

Klasa: 011-01/11-01/215

Urbroj: 71-05-03/1-11-2

Zagreb, 4. studenoga 2011.

Predsjednik
Republike Hrvatske
prof. dr. sc. Ivo Josipović, v. r.

ZAKON

O IZMJENAMA I DOPUNAMA ZAKONA O ZAŠTITI OSOBNIH PODATAKA

Članak 1.

U Zakonu o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06. i 41/08.) iza članka 1. dodaje se članak 1.a koji glasi:

»Članak 1.a

Ovaj Zakon sadrži odredbe koje su u skladu sa sljedećim aktima Europske unije: »Direktiva 95/46/EZ Europskog Parlamenta i Vijeća, od 24. listopada 1995. godine, o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom prijenosu takvih podataka (CELEX 31995L0046).«.

Članak 2.

U članku 2. stavku 1. točki 3. riječi: »skup osobnih podataka« zamjenjuju se riječima: »strukturirani skup osobnih podataka«.

Točka 5. mijenja se i glasi:

»5. Treća strana je fizička ili pravna osoba, državno ili drugo tijelo, osim ispitanika, voditelja zbirke osobnih podataka ili izvršitelja obrade osobnih podataka i osoba koje voditelj zbirke ili izvršitelj obrade izravno ovlasti na obradu osobnih podataka.«.

Iza točke 5. dodaju se nove točke 6. i 7. koje glase:

»6. Primatelj je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci otkrivaju, neovisno o tome je li on ujedno i treća strana ili nije. Međutim, državna tijela koja mogu primati podatke u okviru provođenja istraga ne smatraju se primateljima.

7. Izvršitelj obrade je fizička ili pravna osoba, državno ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja zbirke osobnih podataka.«.

Dosadašnje točke 6. i 7. postaju točke 8. i 9.

Članak 3.

U članku 3. iza stavka 1. dodaju se novi stavci 2. i 3. koji glase:

»Odredbe ovoga Zakona primjenjuju se i u slučaju ukoliko voditelj zbirke osobnih podataka nema prebivalište ili sjedište u jednoj od državna članica Europske unije, a za potrebe obrade osobnih podataka koristi automatiziranu i drugu opremu koja se nalazi na području Republike Hrvatske, osim ako tu opremu koristi samo za prijenos osobnih podataka preko teritorija Europske unije.

U slučaju iz stavka 2. ovoga članka, voditelj zbirke osobnih podataka dužan je imenovati zastupnika na području Republike Hrvatske tj. fizičku ili pravnu osobu koja ima prebivalište, odnosno sjedište ili je registrirana u Republici Hrvatskoj, koja će ga zastupati u svezi s obradom osobnih podataka u skladu s ovim Zakonom.«.

Dosadašnji stavak 2. postaje stavak 4.

Članak 4.

U članku 6. dodaje se novi stavak 1. koji glasi:

»Osobni podaci moraju se obrađivati pošteno i zakonito.«.

Dosadašnji stavci 1., 2., 3., 4. i 5. postaju stavci 2., 3., 4., 5. i 6.

Članak 5.

U članku 7. stavku 1. iza riječi: »obrađivati« dodaje se riječ: »isključivo«.

U podstavku 6. iza riječi: »voditelj zbirke osobnih podataka« briše se zarez i dodaju se riječi: »ili treća strana kojoj se podaci dostavljaju,«.

Iza podstavka 6. dodaje se novi podstavak 7. koji glasi:

» – ako je obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih podataka ili treće strane kojoj se podaci otkrivaju, osim kada prevladavaju interesi zaštite temeljnih prava i sloboda ispitanika iz članka 1. stavka 2. ovoga Zakona, ili«.

Dosadašnji podstavak 7. postaje podstavak 8.

U stavku 2. riječi: »podstavka 1. i 7.« zamjenjuju se riječima: »podstavka 1. i 8.«

Članak 6.

U članku 8. stavak 2. mijenja se i glasi:

»Iznimno, podaci iz stavka 1. ovoga članka mogu se prikupljati i dalje obrađivati:

– uz privolu ispitanika, ili

– ako je obrada podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa, ili

– ako je obrada nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe kada ispitanik zbog fizičkih ili pravnih razloga nije u mogućnosti dati svoju privolu, ili

– ako se obrada provodi u okviru djelatnosti ustanove, udruženja ili bilo kojeg drugog neprofitnog tijela s političkom, filozofskom, vjerskom, sindikalnom ili drugom svrhom te pod uvjetom da se obrada isključivo odnosi na njihove članove te da podaci ne budu otkriveni trećoj strani bez pristanka ispitanika, ili

– ako je obrada podataka potrebna radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom, ili

– ako je ispitanik sam objavio te podatke, ili

– ako je obrada podataka potrebna u svrhe preventivne medicine, medicinske dijagnoze, zdravstvene skrbi ili upravljanja zdravstvenim službama, pod uvjetom da podatke obrađuje zdravstveni djelatnik na temelju propisa i pravila donesenih od strane nadležnih tijela.«.

Iza stavka 4. dodaju se stavci 5. i 6. koji glase:

»Ukoliko su podaci iz stavka 2. ovoga članka klasificirani, način pohranjivanja i tehnička zaštita tih podataka provode se sukladno posebnim propisima koji uređuju područje informacijske sigurnosti.

Osobni podaci koji se odnose na prekršajnu i kaznenu evidenciju smiju se obrađivati isključivo pod kontrolom nadležnih tijela.".

Članak 7.

U članku 9. stavku 1. iza riječi: »o svrsi obrade u koju su podaci namijenjeni,« dodaju se riječi: »o postojanju prava na pristup podacima i prava na ispravak podataka koji se na njega odnose,«.

U stavku 4. iza riječi: »osobnih podataka" briše se zarez i dodaju se riječi: »ili bi davanje informacija predstavljalo nerazmjeran napor,«.

Članak 8.

U članku 10. stavku 2. iza riječi: »osobnih podataka« umjesto točke stavlja se zarez i dodaju se riječi: »odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.«.

Iza stavka 3. dodaje se stavak 4. koji glasi:

»Ugovor iz stavka 1. ovoga članka mora biti sastavljen u pisanom obliku.«.

Članak 9.

U članku 11. stavku 3. riječi: »članka 6. stavka 1. i 2.« zamjenjuju se riječima: »članka 6. stavka 2. i 3.«.

Članak 10.

Iza članka 13. dodaje se članak 13.a koji glasi:

»Članak 13.a

Agencija za zaštitu osobnih podataka dužna je izvijestiti Europsku komisiju i tijela nadležna za nadzor nad zaštitom osobnih podataka u državama članicama Europske unije o slučajevima u kojima smatra da treća zemlja ne osigurava adekvatnu razinu zaštite osobnih podataka u smislu članka 13. stavka 3. ovoga Zakona.

Ukoliko Europska komisija utvrdi da treća zemlja ne osigurava adekvatnu razinu zaštite osobnih podataka, Agencija za zaštitu osobnih podataka zabranit će iznošenje osobnih podataka iz Republike Hrvatske u tu zemlju.

Ukoliko Europska komisija utvrdi da treća zemlja osigurava adekvatnu razinu zaštite osobnih podataka, Agencija za zaštitu osobnih podataka postupat će u skladu s takvom odlukom Europske komisije.

Agencija za zaštitu osobnih podataka dužna je izvijestiti Europsku komisiju i tijela nadležna za nadzor nad zaštitom osobnih podataka u državama članicama Europske unije o slučajevima kada je odobrila iznošenje osobnih podataka iz Republike Hrvatske prema članku 13. stavku 4. podstavku 3. ovoga Zakona.

U vezi sa slučajevima iz stavka 4. ovoga članka Agencija za zaštitu osobnih podataka postupat će u skladu s odlukom Europske Komisije.«.

Članak 11.

U članku 16. stavak 1. mijenja se i glasi:

»Voditelji zbirki osobnih podataka dužni su evidencije iz članka 14. ovoga Zakona dostaviti Agenciji za zaštitu osobnih podataka najkasnije u roku od 15 dana od dana uspostave zbirke osobnih podataka. Evidencije se objedinjavanju u središnjem registru koji vodi Agencija za zaštitu osobnih podataka.«.

Članak 12.

U članku 17. stavku 5. riječi: »u »Narodnim novinama« ili na drugi prikladan način« zamjenjuju se riječima: »na svojim web stranicama«.

Članak 13.

U članku 18. stavku 2. riječi: »na čuvanje tajnosti podataka« zamjenjuju se riječima: »na potpisivanje izjave o povjerljivosti«.

Iza stavka 2. dodaje se stavak 3. koji glasi:

»Mjere zaštite moraju biti razmjerne naravi djelatnosti voditelja zbirke osobnih podataka, odnosno primatelja, i sadržaju zbirke osobnih podataka.«.

Članak 14.

Članak 18.a mijenja se i glasi:

»Voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka.

Voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.

Imenovanje iz stavka 1. i 2. ovoga članka mora biti u pisanom obliku.

Voditelj zbirke osobnih podataka dužan je o imenovanju službenika za zaštitu osobnih podataka izvijestiti Agenciju za zaštitu osobnih podataka u roku od mjesec dana od donošenja odluke o imenovanju.

Agencija za zaštitu osobnih podataka vodi Registar službenika za zaštitu osobnih podataka.

Voditelj zbirke osobnih podataka dužan je službene kontakt podatke službenika za zaštitu osobnih podataka učiniti javno dostupnim na svojim web stranicama ili na drugi odgovarajući način.

Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, protiv koje je izrečena mjera povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane poslodavca.

Službenik za zaštitu osobnih podataka obavlja sljedeće dužnosti:

– vodi brigu o zakonitosti obrade osobnih podataka u smislu poštivanja odredbi ovoga Zakona i ostalih propisa koji uređuju pitanja obrade osobnih podataka,

– upozorava voditelja zbirke osobnih podataka na nužnost primjene propisa o zaštiti osobnih podataka u slučajevima planiranja i radnji koje mogu imati utjecaj na pitanja privatnosti i zaštitu osobnih podataka,

– upoznaje sve osobe zaposlene u obradi osobnih podataka s njihovim zakonskim obvezama u svrhu zaštite osobnih podataka,

– brine o izvršavanju obveza iz članka 14. i 17. ovoga Zakona,

– omogućava ostvarivanje prava ispitanika iz članka 19. i 20. ovoga Zakona,

– surađuje s Agencijom za zaštitu osobnih podataka u vezi s provedbom nadzora nad obradom osobnih podataka.

Službenik za zaštitu osobnih podataka dužan je čuvati povjerljivost svih informacija i podataka koje sazna u obavljanju svojih dužnosti. Ova obveza traje i nakon prestanka obavljanja dužnosti službenika za zaštitu osobnih podataka.«.

Članak 15.

U članku 21. iza stavka 2. dodaju se stavci 3. i 4. koji glase:

»Ispitanik se iz zakonitih razloga ima pravo usprotiviti obradi osobnih podataka koji se na njega odnose, u slučajevima iz članka 7. stavka 1. podstavka 6. i 7.

U slučaju kada je protivljenje ispitanika iz stavka 3. ovoga članka opravdano, osobni podaci ne smiju se dalje obrađivati.«.

Članak 16.

Iza članka 22. dodaje se članak 22.a koji glasi:

»Članak 22.a

»Donošenje odluke koja proizvodi pravni učinak na ispitanika ili bitno na njega utječe, a temelji se isključivo na automatskoj obradi osobnih podataka koja je namijenjena procjeni određenih osobnih aspekata ispitanika (kao što su uspjeh na poslu, kreditna sposobnost, pouzdanost i slično), dopuštena je samo:

a) ako je donošenje takve odluke predviđeno zakonom, kojim se ujedno osigurava odgovarajuća zaštita prava ispitanika,

b) ako je odluka donesena u svezi zaključivanja ili izvršenja ugovora u kojem je ispitanik stranka, pod uvjetom da je osigurana odgovarajuća zaštita prava ispitanika.«.

Članak 17.

U članku 23. stavku 1. iza riječi: »financijskog interesa države« briše se zarez i dodaju riječi: »(uključujući novčana, proračunska i porezna pitanja)«, a riječi: »kulturnih dobara« brišu se.

Članak 18.

U članku 31. iza stavka 2. dodaje se stavak 3. koji glasi:

»Izvješće Agencije je javno i objavljuje se na web stranici Agencije.«.

Članak 19.

U članku 32. stavku 2. iza riječi: »Narodnim novinama« briše se točka i dodaju se riječi: » ili na web stranici Agencije.«.

U stavku 5. iza riječi: »nadzornih dužnosti« briše se zarez i stavlja točka, a riječi: »bez obzira na stupanj njihove tajnosti.« brišu se.

Iza stavka 5. dodaje se novi stavak 6. koji glasi:

»Ukoliko su podaci iz stavka 5. ovoga članka klasificirani s utvrđenim stupnjem tajnosti na temelju posebnog propisa, ravnatelj Agencije, zamjenik ravnatelja te zaposlenici stručne službe Agencije imaju pravo pristupa tim podacima sukladno posebnim propisima koji uređuju zaštitu tajnosti podataka.«.

Dosadašnji stavak 6. postaje stavak 7.

Članak 20.

U članku 36. stavku 1. iza točke 3. dodaju se nove točke 4. i 5. koje glase:

»4. Voditelj zbirke osobnih podataka koji ne dostavi Agenciji za zaštitu osobnih podataka evidenciju o zbirci osobnih podataka u propisanom roku (članak 16. stavak 1.),

5. Voditelj zbirke osobnih podataka koji ne dostavi prethodnu obavijest o namjeravanoj uspostavi zbirke osobnih podataka ili o svakoj daljnjoj namjeravanoj obradi tih podataka (članak 17. stavak 1.),«.

Iza dosadašnje točke 4., koja postaje točka 6., dodaju se nove točke 7. i 8. koje glase:

»7. Voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika, a koji ne imenuje službenika za zaštitu osobnih podataka (članak 18.a stavak 2.),

8. Voditelj zbirke osobnih podataka koji na zahtjev ispitanika ne dopuni, ne izmijeni ili ne izbriše nepotpune, netočne ili neažurne podatke (članak 20.stavak 1.),«.

U dosadašnjoj točki 5., koja postaje točka 9., riječi: »stavka 5. i 6.« zamjenjuju se riječima: »stavka 5., 6. i 7.«.

Dosadašnje točke 6. i 7. postaju točke 10. i 11.

U stavku 2. iza riječi: »u pravnoj osobi« stavlja se zarez i dodaju riječi: »odnosno u državnom tijelu te u jedinici lokalne i područne (regionalne) samouprave«.

Članak 21.

U cijelom tekstu Zakona o zaštiti osobnih podataka (»Narodne novine«, br. 103/03., 118/06. i 41/08.) riječ: »korisnik« zamjenjuje se riječju: »primatelj« u odgovarajućem broju i padežu.

Članak 22.

Ovaj Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«, osim odredbe članka 10. koja stupa na snagu danom pristupanja Republike Hrvatske Europskoj uniji.

Klasa: 220-05/11-01/01

Zagreb, 28. listopada 2011.

HRVATSKI SABOR

Predsjednik
Hrvatskoga sabora
Luka Bebić, v. r.