Izvještaj o povredi osobnih podataka

Niste prijavljeni. Prijavite se kako biste mogli pristupiti podacima portala InSOLVE.
Prijava

Izvještaj o povredi osobnih podataka

29.10.2021 08:05

Od dana kada je UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) stupila na snagu između ostalih obveza uvedena je i obveza prijave nadležnom nadzornom tijelu povrede osobnih podataka, a u određenim situacijama i dužnost obavješćivanja ispitanika.

U ovom tekstu dotaknuti ćemo se situacija u kojima je došlo do povrede osobnih podataka pojedinaca i dužnosti prijave iste povrede nadzornom tijelu. Naravno cilj svakog Voditelja obrade, obveznika Opće uredbe jest da do povrede osobnih podataka pojedinaca ne dođe, ali isto tako obveznici moraju uzeti u obzir da do povrede osobnih podataka može lako doći.

U tim slučajevima, postavlja se pitanje kako postupati kada dođe do povrede osobnih podataka u organizaciji? Koje su dužnosti i obveze voditelja obrade u slučaju nastanka povrede osobnih podataka pojedinaca? Koje mjere je potrebno poduzeti i u kojim rokovima? Što je bitno i na što voditelji obrade trebaju obratiti posebnu pozornost i pažnju? Koja je uloga službenika za zaštitu osobnih podataka u slučaju povrede osobnih podataka?

Prije svega valja utvrditi što je i kako se definira povreda osobnih podataka pojedinca? Opća uredba o zaštiti podataka u članku 4. stavku 1. točki 12. navodi da povreda osobnih podataka znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Smjernice o obavješćivanju o povredi osobnih podataka na temelju Uredbe 2016/679, WP250rev.01 donesene 03. listopada 2017., zadnje revidirane i donesene 6. veljače 2018. godine od Radne skupine za zaštitu pojedinca u vezi s obradom osobnih podataka (dalje u tekstu Smjernice) navode da je posljedica povrede osobnih podataka u tome da voditelj obrade ne može ispuniti obvezu poštivanja načela obrade osobnih podataka propisanih člankom 5. Opće uredbe o zaštiti podataka.

Kako se navodi u Smjernicama povrede osobnih podataka mogu se razvrstati u tri skupine prema kategorijama i to:

povredu povjerljivosti – u slučaju neovlaštenog ili slučajnog otkrivanja osobnih podataka ili pristupa tim podacima;

povredu cjelovitosti – u slučaju neovlaštene ili slučajne izmjene osobnih podataka;

povreda dostupnosti – u slučaju slučajnog ili neovlaštenog gubitka pristupa osobnim podacima.

Više je primjera što se može smatrati povredom osobnih podataka, recimo gubitak uređaja na kojem su pohranjeni osobni podaci pojedinaca, neovlašteno otkrivanje osobnih podataka pojedinaca, otkrivanja osobnih podataka neovlaštenim primateljima, raspolaganje podacima od za to neovlaštenih osoba.

Prije svega, važno je istaknuti važnost organizacijskih i tehničkih mjera uspostavljenih radi zaštite osobnih podataka pojedinaca kao i pravilno definiranih poslovnih procesa koji će omogućiti instituciji da prepozna slučajeve povrede osobnih podataka, prijavi povrede osobnih podataka kada je to potrebno te poduzme odgovarajuće mjere kako bi se upravljalo i ovladalo rizikom nastalim uslijed povrede osobnih podataka.

Ovu definiciju povrede osobnih podataka valjalo bi unijeti i u interne akte, interne procedura voditelja obrade, obveznika Opće uredbe o zaštiti podataka. Međutim, nije samo dovoljno inkorporirati definiciju povrede osobnih podataka u interni akt. Voditelj obrade bi se trebao pobrinuti da svi njegovi zaposlenici budu i upoznati s ovim odredbama Opće uredbe o zaštiti podataka kao i odredbama internog akta, ali i da shvaćaju važnost i značenje ovih odredbi. Ovo se može postići stalnim edukacijama zaposlenika, a kod nekih voditelja obrade i obvezatnim provjerama znanja iz područja zaštite osobnih podataka.

Bitno je da kada dođe do povrede osobnih podataka voditelj obrade postupa u skladu s Općom uredbom o zaštiti podataka i internim procedurama ukoliko su iste donesene i usklađene s Općom Uredbom o zaštiti podataka.

Sama Opća uredba o zaštiti podataka propisala je određene obveze za voditelje obrade. U članku 33. stavku 1. Opće uredbe o zaštiti podataka propisano je da u slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

Nadzorno tijelo u Republici Hrvatskoj je Agencija za zaštitu osobnih podataka sa sjedištem na adresi Selska cesta 136, Zagreb.

Tekst Uredbe je postavio strogu obvezu svim Voditeljima obrade da odmah odnosno najkasnije u roku od 72 sata od saznanja za povredu obavijeste nadzorno tijelo odnosno Agenciju o povredi osobnih podataka. Postavlja se pitanje od kada se računa vrijeme od 72 sata odnosno od kada možemo smatrati da je Voditelj obrade postao svjestan povrede osobnih podataka. Prema Smjernicama može se smatrati da je Voditelj obrade saznao za povredu osobnih podataka kada se s razumnim stupnjem sigurnosti može smatrati da je došlo do sigurnosnog incidenta kojim su ugroženi osobni podaci odnosno Voditelj obrade bi trebao moći uz pomoć uspostavljenih tehničkih i organizacijskih mjera utvrditi da li je došlo do povrede osobnih podataka i ukoliko je došlo do povrede Voditelj obrade mora na istu pravovremeno reagirati.

Svakako, a tako proizlazi i iz teksta Opće uredbe potrebno je brzo postupanje Voditelja obrade kako bi saznao da li je došlo do povrede osobnih podataka i kako bi saznao što više okolnosti vezanih uz povredu. Radi toga Voditelj obrade u svakom slučaju treba istražiti sve okolnosti koje upućuju na povredu kako bi utvrdio da li je do povrede osobnih podataka doista i došlo. Ukoliko Voditelj obrade zakasni s ovim izvještajem dužan je uz izvještaj o povredi osobnih podataka objasniti radi kojih razloga nije mogao obavijestiti nadzorno tijelo u roku od 72 sata.

Nakon što Voditelj obrade utvrdi povredu osobnih podataka isti je dužan procijeniti hoće li povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ovo iz razloga što se prijava povrede osobnih podataka pojedinaca nadzornom tijelu zahtijeva samo u slučaju kada će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Prema Smjernicama primjer slučaja u kojem ne bi trebalo izvršiti prijavu povrede osobnih podataka jest slučaj kada se radi o osobnim podacima koji su ujedno i javno dostupni, pa ne postoji rizik za prava i slobode pojedinca. Naravno, ovu procjenu rizika za prava i slobode pojedinca najbolje je raditi za svaki pojedinačni slučaj povrede. Sukladno ovoj procjeni rizika za prava i slobode pojedinaca podnijeti će se ili neće izvještaj nadzornom tijelu o povredi osobnih podataka. Tako obavljena procjena rizika za slobode i prava pojedinca može poslužiti Voditelju obrade i kod poduzimanja daljnjih radnji i mjera radi prevladavanja odnosno umanjenja rizika.

Sadržaj izvještaja o povredi osobnih podataka propisuje Opća uredba o zaštiti podataka u članku 33. stavku 3. koja propisuje da je u izvještaju potrebno:

- opisati prirodu povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;

- navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

- opisati vjerojatne posljedice povrede osobnih podataka;

- opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica

Bitno je naglasiti da Opća uredba o zaštiti podataka dozvoljava postupno pružanje ovih informacija, ako nije moguće istodobno pružiti informacije bez nepotrebnog daljnjeg odgađanja (članak 33. stavak 4.). Ovo je dobro rješenje iz razloga što sve okolnosti vezane uz povredu osobnih podataka ne moraju Voditelju obrade biti odmah poznate, već ih Voditelj obrade može saznati naknadno, uz obvezu da o istima bez odgađanja obavijesti nadzorno tijelo.

Još jedna obveza za Voditelja obrade proizlazi iz članka 33. stavka 5. Opće uredbe o zaštiti podataka, a to je da voditelj dokumentira sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete. Ta dokumentacija nadzornom tijelu omogućuje provjeru poštovanja ovog članka.

Na ovom mjestu treba spomenuti i članak 33. stavak 2. Opće uredbe o zaštiti podataka koji kaže da izvršitelj obrade bez nepotrebnog odgađanja izvješćuje voditelja obrade nakon što sazna za povredu osobnih podataka. Ta obveza izvršitelja obrade prema voditelju obrade mora biti uvrštena i u sam ugovor iz članka 28. Opće uredbe o zaštiti podataka koji potpisuju izvršitelj obrade i voditelj obrade. U tom ugovoru korisno je izričito ugovoriti odgovornost izvršitelja obrade za svu štetu nastalu voditelju obrade u slučaju povrede obveze izvršitelja obrade da obavijesti voditelja obrade o povredi osobnih podataka. Ovo i radi toga što je za izvještavanje o povredi osobnih podataka prema nadzornom tijelu odgovornost na Voditelju obrade.

Smatramo da bi ključnu ulogu kod postupanja s povredama osobnih podataka trebao imati službenik za zaštitu osobnih podataka kod Voditelja obrade. U slučaju povrede osobnih podataka upravo bi službenik za zaštitu osobnih podataka trebao biti ključna osoba čije bi dužnosti trebale biti provjera okolnosti i poduzimanje istrage vezane uz povredu osobnih podataka, komunikacija s najvišim rukovodstvom vezano uz povredu osobnih podataka, procjena rizika za slobode i prava pojedinca, izvještaj o povredi nadzornom tijelu i ispitaniku u slučaju potrebe, predlaganje mjera za ovladavanje, umanjenje rizika, dokumentiranje povreda osobnih podataka kao i druge odgovarajuće zadaće. Naravno da uključeni i nadležni odjeli, a posebno IT odjeli trebaju surađivati i dati potrebnu podršku službeniku za zaštitu osobnih podataka kod postupanja s povredama osobnih podataka.

Važno je da kada dođe do povrede osobnih podataka o istoj bude obaviješteno najviše rukovodstvo Voditelja obrade, primjerice kod trgovačkih društava da to bude uprava društva, direktori i/ili druge osobe ovlaštene za vođenje poslova i zastupanje društva. U izravnoj komunikaciji s najvišim rukovodstvom treba poduzimati i sve daljnje radnje i mjere koje se tiču povrede osobnih podataka. Također, nakon prijave povrede osobnih podataka moguće je da će nadzorno tijelo tražiti daljnje podatke i dokumentaciju. Bitno je da osoba određena kao kontakt, a najbolje je da to bude, službenik za zaštitu osobnih podataka bude na raspolaganju nadzornom tijelu i ove podatke pruži odmah bez nepotrebne odgode.

Prema članku 34. Opće uredbe o zaštiti podataka u određenim slučajevima treba obavijestiti i ispitanika o povredi osobnih podataka, a to samo u slučajevima povreda osobnih podataka za koje je vjerojatno da će prouzročiti visok rizik za prava i slobode pojedinaca.

Potrebno je navesti da je člankom 83. Opće uredbe o zaštiti podataka propisana sankcija za nepoštivanje obveza izvještavanja nadzornog tijela o povredi osobnih podataka u skladu s člankom 33. Opće uredbe o zaštiti podataka.

Tako je za kršenje odredbi članka 33. Opće uredbe o zaštiti podataka, prema članku 83. stavku 4. točke a. Opće uredbe moguće izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

Obzirom na gore navedeno važno je da voditelji obrade postupaju u skladu s odredbama Uredbe koje uređuju izvještavanje o povredi osobnih podataka. Radi učinkovitog postupanja bilo bi korisno da Voditelji obrade i internim procedurama propišu redoslijed i pravila postupanja u slučajevima povrede osobnih podataka, dužnosti i odgovornosti zaposlenika u slučaju povrede osobnih podataka, komunikaciju unutar tvrtke kao i drugi odgovarajući sadržaj.

Ivan Jakić, dipl. iur.

Izvori:

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

U središtu

stanovi Kada građanin otuđuje svoje nekretnine postoji mogućnost da postane obveznik plaćanja poreza na dohodak od imovine po osnovi otuđenja. Sukladno propisima o porezu na dohodak otuđenje nekretnina oporezuje se u dva slučaja: ako je nekretnina prodana ili na drugi način otuđena prije proteka dvije godine od dana njezine nabave i/ili ako je otuđeno više od tri nekretnine iste vrste ili više od tri imovinska prava iste vrste u razdoblju od pet godina od dana nabave nekretnine. U oba se slučaja ne oporezuje ukupni primitak, već samo ostvarena zarada odnosno razlika između primitka utvrđenog prema tržišnoj vrijednosti nekretnine koje se otuđuje i nabavne vrijednosti.

Izmijenjenim propisima o doprinosima od 1. siječnja 2025. redefinirana je mjera kojom se poslodavci oslobađaju od plaćanja doprinosa za zdravstveno osiguranje, a koja se odnosila samo na mlade osobe s kojom je ugovor o radu na neodređeno potpisan do 30 godine njegova života, na način da poslodavci mogu koristiti oslobođenje za svakog radnika koji prvi put sklapa ugovor o radu na neodređeno vrijeme, bez obzira na prethodni staž u mirovinskom osiguranju. Dakle, mjera se odnosi na osobu koja se prvi put zapošljava po osnovi ugovora o radu neodređeno vrijeme, a do dana sklapanja ugovora o radu nije imala prethodno sklopljen ugovor o radu na neodređeno vrijeme bez obzira na starost. Dokaz o tome poslodavac može osigurati ispisom podataka Hrvatskog zavoda za mirovinsko osiguranje o statusu osiguranika iz kojega je vidljivo da je riječ o osobi koja do početka osiguranja po prijavi tog poslodavca, nije imala prethodno sklopljen ugovor o radu na neodređeno vrijeme.

Prognoze uspjeha turističke sezone gotovo uvijek se daju oprezno, pogotovo u vremenima s puno gospodarskih oscilacija u kratkom periodu. Trenutačno, pod okruženjem općeg povećanja cijena roba i usluga, cjenovna konkurentnost je jedan od bitnijih elemenata koji mogu utjecati na uspjeh sezone. Usto, uspjeh turističke sezone može ovisiti i o dobroj pripremi i predradnjama, kao što je pronalaženje i zapošljavanje sezonskih radnika. O tome, ali i o drugim pojedinostima vezanima uz rad sezonskih radnika, donosimo više u nastavku.

U tijeku je modernizacija i digitalizacija procesa oporezivanja te poboljšanje učinkovitosti nadzora i administrativnih postupaka. U tom smislu očekuju se značajne promjene u postupcima rada poreznih obveznika i njihovih knjigovodstava. U ovom tekstu donosimo pregled izmjena na području oporezivanja porezom na dodanu vrijednost (u nastavku teksta: PDV) te informacije vezano uz propisivanje obveze izdavanja eRačuna.

Porezni propis omogućava poslodavcima da nagrade svoje zaposlenike bez dodatnog poreznog opterećenja do 700,00 eura godišnje. U ovom kratkom članku donosimo ključne informacije o poreznom okviru i praktičnim smjernicama vezanim uz isplatu prigodnih nagrada, uključujući podatke vezane uz JOPPD obrazac i načine isplate.