ICT i PRAVNA PRAKSA

Standardi zaštite

Zaštita osobnih podataka i dalje je tema pravne rubrike. Konkretno, u ovom broju govorimo o mogućnosti i regulaciji povjeravanja poslova obrade osobnih podataka trećim osobama i organizacijama.

PRIPREMIO:
TIHOMIR KATULIĆ

 

Otvaranjem prema globalizacijskim procesima i pridruživanjem Europskoj uniji očekivano raste i broj slučajeva kad je potrebno prekogranično povezivanje informacijskih sustava i prijenos poslovnih podataka najrazličitijih vrsta, prikupljenih u okviru svakodnevnog rada informacijskih sustava u poslovne svrhe. Lako je zamisliva situacija u kojoj bi domaće trgovačko društvo kao partner ili tvrtka kćer stranog poduzeća prikupljalo podatke koji prema odredbama Zakona o zaštiti osobnih podataka predstavljaju osobne podatke i zatim ih prosljeđivalo na daljnju obradu i skladištenje u neku drugu zemlju koja može biti u neposrednom okružju i koja može (Austrija) ili ne mora (Švicarska, SAD, Srbija) imati iste standarde zaštite osobnih podataka kao i Hrvatska.
Kod nas je dozvoljeno prikupljanje i obrađivanje osobnih podataka ako je ispunjen neki od uvjeta iz čl. 7. st. 1 ZZOP-a koji kaže da se osobni podaci smiju prikupljati i obrađivati: isključivo uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu, u slučajevima određenim zakonom, u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka, zbog sklapanja i izvršenja ugovora u kojem je ispitanik stranka, zbog zaštite života ili tjelesnog integriteta ispitanika i druge osobe u slučaju kada ispitanik fizički ili pravno ne može dati  svoj pristanak. 
Zatim, ako je obrada podataka nužna zbog ispunjenja zadataka koji se obavljaju u javnom interesu ili pri izvršavanju javnih ovlasti koje ima voditelj zbirke ili treća strana kojoj se podaci dostavljaju, ako je obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih podataka ili treće strane kojoj se podaci otkrivaju osim kad prevladavaju interesi zaštite temeljnih prava i sloboda, odnosno zaštite privatnog života i ostalih ljudskih prava i sloboda (čl. 1. st. 2 ZZOP) te konačno - ako je ispitanik sam objavio osobne podatke. 
Kao što smo već spomenuli u jednom od prošlih brojeva, načelno je zabranjeno prikupljanje i daljnja obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, na politička stajališta, vjerska ili druga uvjerenja, na sindikalno članstvo, zdravlje ili spolni život te osobnih podataka o kaznenom i prekršajnom postupku. 
Ti podaci se mogu iznimno prikupljati (čl. 8. st. 2 ZZOP) ako je ispitanik sam dao privolu, ako je njihova obrada potrebna za izvršavanje prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa, ako je nužna zbog zaštite života ili tjelesnog integriteta ili druge osobe kad ispitanik zbog fizičkih ili pravnih razloga ne može dati svoju privolu, ako se obrada provodi u okviru djelatnosti ustanove, udruženja ili bilo kojeg drugog neprofitnog tijela s političkom, vjerskom, sindikalnom i drugom svrhom pod uvjetom da se obrada isključivo odnosi na njihove članove te da podaci ne budu otkriveni trećoj strani bez pristanka ispitanika. Zatim, ako je obrada potrebna radi uspostave, ostvarenja ili zaštite potraživanja propisanih zakonom, ako je ispitanik sam objavio te podatke, ako je obrada podataka potrebna u svrhu preventivne medicine, medicinske dijagnoze, zdravstvene skrbi ili upravljanja zdravstvenim službama pod uvjetom da podatke obrađuje zdravstveni djelatnik na temelju propisa i pravila donesenih od nadležnih tijela.
Ranije opisani hipotetski slučaj predstavlja zakonom predviđenu situaciju – povjeravanje poslova obrade osobnih podataka koja je regulirana člankom 10. ZZOP-a. Voditelj zbirke osobnih podataka, u tom slučaju domaće trgovačko društvo, a zapravo podružnica stranog poduzeća ili njegov poslovni partner, može na temelju ugovora povjeriti pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga nekoj drugoj fizičkoj ili pravnoj osobi, tzv. izvršitelju obrade.