1364
Na temelju
članka 88. Ustava Republike Hrvatske, donosim
Proglašavam
Zakon o zaštiti osobnih podataka, koji je donio Hrvatski sabor na sjednici 12.
lipnja 2003.
Broj:
01-081-03-2253/2
Zagreb, 18. lipnja 2003.
Predsjednik
Republike Hrvatske
Stjepan Mesić, v. r.
I.
TEMELJNE ODREDBE
Članak
1.
Ovim se
Zakonom uređuje zaštita osobnih podataka o fizičkim osobama te nadzor nad
prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj.
Svrha
zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i
temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
Zaštita
osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez
obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu,
jeziku, vjeri, političkom ili drugom uvjerenju, nacionalnom ili socijalnom
podrijetlu, imovini, rođenju, naobrazbi, društvenom položaju ili drugim
osobinama.
Članak
2.
Pojedini
izrazi u ovom Zakonu imaju sljedeće značenje:
1. Osobni
podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu
ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik);
osoba koja se može identificirati je osoba čiji se identitet može utvrditi
izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih
za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni
identitet.
2. Obrada osobnih podataka je svaka radnja ili
skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne,
kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili
izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa,
objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili
kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih,
matematičkih i drugih operacija s tim podacima.
3. Zbirka osobnih podataka je svaki skup
osobnih podataka koji je dostupan prema posebnim kriterijima, bilo
centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili
zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama
osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.
4. Voditelj
zbirke osobnih podataka je fizička ili pravna osoba, državno ili drugo
tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i
način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke
osobnih podataka.
5. Korisnik
je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci
mogu dati na korištenje radi obavljanja redovitih poslova u okviru njegove
zakonom utvrđene djelatnosti.
6. Privola
ispitanika je slobodno dano i izričito očitovanje volje ispitanika kojom on
izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe.
Pojedine radnje ili skupine radnji obuhvaćene
izrazom »obrada« osobnih podataka u točki 2. ovoga članka mogu se posebno
izdvojiti i navoditi u pojedinim odredbama ovoga Zakona kada se te odredbe ne
odnose na čitavu obradu u smislu točke 2. ovoga članka već na točno određene
pojedine radnje u obradi.
Članak
3.
Odredbe
ovoga Zakona primjenjuju se na obradu osobnih podataka od strane državnih
tijela, tijela lokalne i područne (regionalne) samouprave te pravnih i fizičkih
osoba koje obrađuju osobne podatke.
Odredbe ovoga Zakona ne primjenjuju se na obradu
osobnih podataka koju provode fizičke osobe isključivo za osobnu primjenu ili
za potrebe kućanstva.
Članak 4.
Odredbe ovoga Zakona odnose se na sve zbirke osobnih
podataka bez obzira jesu li predmet automatske ili ručne obrade.
II. OBRADA OSOBNIH PODATAKA
Članak
5.
Voditelj
zbirke osobnih podataka smije obrađivati osobne podatke samo uz uvjete određene
ovim Zakonom i posebnim zakonima.
Članak
6.
Osobni
podaci mogu se prikupljati u svrhu s kojom je ispitanik upoznat, koja je
izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu
u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom
prikupljanja. Daljnja obrada osobnih podataka u povijesne, statističke ili
znanstvene svrhe neće se smatrati nepodudarnom, pod uvjetom da se poduzmu
odgovarajuće zaštitne mjere.
Osobni podaci moraju biti bitni za postizanje
utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je to nužno da
bi se postigla utvrđena svrha.
Osobni podaci moraju biti točni, potpuni i ažurni.
Osobni podaci moraju se čuvati u obliku koji dopušta
identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se
podaci prikupljaju ili dalje obrađuju. Odgovarajuće mjere zaštite za osobne
podatke koji se pohranjuju na duže razdoblje za povijesnu, statističku ili
znanstvenu uporabu propisuju se posebnim zakonima.
Za postupanje u skladu s odredbama ovoga članka
odgovoran je voditelj zbirke osobnih podataka.
Članak
7.
Osobni
podaci smiju se prikupljati i dalje obrađivati:
– uz
privolu ispitanika ili
– u
slučajevima određenim zakonom.
U
slučaju prikupljanja i obrade osobnih podataka uz privolu ispitanika, osobni se
podaci smiju prikupljati i dalje obrađivati samo u svrhu za koju je ispitanik
dao privolu.
Bez
privole ispitanika osobni podaci smiju se prikupljati i dalje obrađivati:
– u svrhu izvršavanja zakonskih obveza
voditelja zbirke osobnih podataka, ili
– u
svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u
slučaju kada ispitanik fizički ili pravno nije u mogućnosti dati svoj
pristanak, ili
– ako
je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom
interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih
podataka, ili
– ako
je ispitanik sam objavio te podatke.
U
slučaju iz stavka 1. podstavka 1. i stavka 3. podstavka 4. ovoga članka ispitanik
ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje
obrade njegovih podataka, osim ako se radi o obradi podataka u statističke
svrhe kada osobni podaci više ne omogućuju identifikaciju osobe na koju se
odnose.
Osobni
podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje
obrađivati u skladu s ovim Zakonom i uz posebne mjere zaštite propisane
posebnim zakonima.
III.
OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA
Članak
8.
Zabranjeno
je prikupljanje i daljnja obrada osobnih podataka koji se odnose na rasno ili
etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja,
sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i
prekršajnom postupku.
Iznimno,
podaci iz stavka 1. ovoga članka mogu se prikupljati i dalje obrađivati:
– u
slučajevima iz članka 7. stavka 1. podstavka 1. i stavka 3. podstavka 1., 2. i
4. ovoga Zakona, ili
– ako
se obrada provodi u okviru djelatnosti ustanove, udruženja ili bilo kojeg
drugog neprofitnog tijela s političkom, vjerskom ili drugom svrhom te pod
uvjetom da se obrada isključivo odnosi na njihove članove te da podaci ne budu
otkriveni trećoj strani bez pristanka ispitanika.
U
slučaju iz stavka 2. ovoga članka, obrada podataka mora biti posebno označena i
zaštićena.
Uredbom
Vlade, uz prethodno pribavljeno mišljenje Agencije za zaštitu osobnih podataka,
propisat će se način pohranjivanja i posebne mjere tehničke zaštite podataka iz
stavka 2. ovoga članka.
Članak 9.
Prije
prikupljanja bilo kojih osobnih podataka, voditelj zbirke osobnih podataka ili
izvršitelj obrade dužan je informirati ispitanika čiji se podaci prikupljaju o
identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci
namijenjeni, o korisnicima ili kategorijama korisnika osobnih podataka te da li
se radi o dobrovoljnom ili obveznom davanju podataka i o mogućim posljedicama
uskrate davanja podataka. U slučaju obveznog davanja osobnih podataka navodi se
i zakonska osnova za obradu osobnih podataka.
Prije
davanja osobnih podataka na korištenje drugim korisnicima voditelj zbirke
osobnih podataka dužan je o tome informirati ispitanika.
Informacije
iz stavka 1. i 2. ovoga članka daju se ispitaniku neovisno o tome prikupljaju
li se osobni podaci neposredno od ispitanika ili iz drugih izvora.
Iznimno,
informacije iz stavka 1. i 2. ovoga članka ne moraju se dati ispitaniku ako se
za potrebe obrade u statističke svrhe ili u svrhe povijesnog ili znanstvenog
istraživanja osobni podaci daju na korištenje ili se prikupljaju iz postojećih
zbirki osobnih podataka, ili ako je obrada osobnih podataka izričito određena
zakonom.
IV.
POVJERAVANJE POSLOVA OBRADE OSOBNIH PODATAKA
Članak
10.
Voditelj
zbirke osobnih podataka može na temelju ugovora pojedine poslove u svezi s
obradom osobnih podataka u okvirima svojeg djelokruga povjeriti drugoj fizičkoj
ili pravnoj osobi (u daljnjem tekstu: izvršitelj obrade).
Poslovi u svezi s obradom osobnih podataka mogu se
povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve
djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja
odgovarajućih mjera zaštite osobnih podataka.
Ugovorom iz stavka 1. ovoga članka uređuju se
međusobna prava i obveze voditelja zbirke osobnih podataka i izvršitelja
obrade, a osobito se obvezuje izvršitelja obrade:
– da obavlja poslove samo na temelju naloga voditelja
zbirke osobnih podataka,
– da ne smije osobne podatke davati na korištenje
drugim korisnicima, niti ih smije obrađivati za bilo koju drugu svrhu osim
ugovorene,
– da osigura provođenje odgovarajućih tehničkih,
organizacijskih i kadrovskih mjera zaštite osobnih podataka sukladno odredbama
ovoga Zakona.
V.
DAVANJE PODATAKA KORISNICIMA
Članak
11.
Voditelj
zbirke osobnih podataka ovlašten je osobne podatke dati na korištenje drugim
korisnicima na temelju pisanog zahtjeva korisnika ako je to potrebno radi
obavljanja poslova u okviru zakonom utvrđene djelatnosti korisnika.
Pisani zahtjev mora sadržavati svrhu i pravni temelj
za korištenje osobnih podataka te vrstu osobnih podataka koji se traže.
Zabranjeno je davanje osobnih podataka na korištenje
drugim korisnicima za čiju obradu, odnosno korištenje nisu ovlašteni prema
odredbama članka 7. i članka 8. stavka 2. ovoga Zakona te ako je svrha za koju
se osobni podaci traže na korištenje suprotna odredbi članka 6. stavka 1. i 2.
ovoga Zakona.
Osobni podaci obrađeni u znanstveno-istraživačke i
statističke svrhe ne smiju omogućiti identifikaciju osobe na koju se osobni
podaci odnose.
U slučaju iz stavka 1. ovoga članka, voditelj zbirke
osobnih podataka vodi posebnu evidenciju o osobnim podacima koji su dani na
korištenje, korisniku osobnih podataka i svrsi za koju su osobni podaci dani.
Članak 12.
Osobni
podaci mogu se koristiti samo u vremenu koje je nužno za ostvarenje određene
svrhe, osim ako posebnim zakonom nije određeno duže razdoblje.
Protekom
vremena iz stavka 1. ovoga članka osobni podaci moraju se brisati, ako se
posebnim zakonom što drugo ne odredi.
Odredbe
ovoga Zakona o davanju osobnih podataka na korištenje odnose se i na razmjenu
osobnih podataka između državnih tijela, osim ako je posebnim zakonom
drugačije određeno.
VI.
IZNOŠENJE OSOBNIH PODATAKA IZ REPUBLIKE HRVATSKE
Članak
13.
Zbirke
osobnih podataka, odnosno osobni podaci sadržani u zbirkama osobnih podataka
smiju se iznositi iz Republike Hrvatske u svrhu daljnje obrade samo ako država
ili međunarodna organizacija u koju se osobni podaci iznose ima odgovarajuće
uređenu zaštitu osobnih podataka, odnosno osiguranu adekvatnu razinu zaštite.
Prije
iznošenja osobnih podataka iz Republike Hrvatske, voditelj zbirke osobnih
podataka dužan je, u slučaju kada postoji osnova za sumnju o postojanju
odgovarajuće uređene zaštite osobnih podataka, pribaviti mišljenje Agencije za
zaštitu osobnih podataka.
VII.
ZBIRKE OSOBNIH PODATAKA, EVIDENCIJE I SREDIŠNJI REGISTAR
Članak
14.
Voditelj
zbirke osobnih podataka za svaku zbirku osobnih podataka koju vodi, uspostavlja
i vodi evidenciju koja sadrži temeljne informacije o zbirci, a osobito
sljedeće:
1. naziv zbirke,
2. naziv, odnosno osobno ime voditelja zbirke i
njegovo sjedište, odnosno adresu,
3. svrhu obrade,
4. pravni temelj uspostave zbirke podataka,
5. kategorije osoba na koje se podaci odnose,
6. vrste podataka sadržanih u zbirci podataka,
7. način prikupljanja i čuvanja podataka,
8. vremensko razdoblje čuvanja i uporabe podataka,
9. osobno ime, odnosno naziv korisnika zbirke,
njegovu adresu, odnosno sjedište,
10. naznaku unošenja, odnosno iznošenja podataka iz
Republike Hrvatske s naznakom države, odnosno međunarodne organizacije i
inozemnog korisnika osobnih podataka te svrhe za to unošenje, odnosno iznošenje
propisano međunarodnim ugovorom, zakonom ili drugim propisom, odnosno pisanim
pristankom osobe na koju se podaci odnose,
11.
naznaku poduzetih mjera zaštite osobnih podataka.
Članak
15.
Način
vođenja evidencije iz članka 14. ovoga Zakona i obrazac te evidencije propisuje
se uredbom Vlade, uz prethodno mišljenje Agencije za zaštitu osobnih podataka.
Članak
16.
Evidencije iz članka 14. ovoga Zakona dostavljaju se
Agenciji za zaštitu osobnih podataka i objedinjavaju se u Središnjem registru
kojeg vodi Agencija za zaštitu osobnih podataka.
U Središnjem registru ne moraju se objedinjavati
evidencije o zbirkama osobnih podataka koje vode nadležna državna tijela u
okviru aktivnosti obrade osobnih podataka radi državne sigurnosti, obrane i
suzbijanja pojava koje su Strategijom nacionalne sigurnosti Republike Hrvatske
određene kao sigurnosni rizik (korupcija, organizirani kriminal, terorizam).
Članak 17.
Voditelji zbirki osobnih podataka dužni su prije
uspostave zbirke osobnih podataka dostaviti Agenciji za zaštitu osobnih
podataka obavijest o namjeravanoj uspostavi zbirke osobnih podataka zajedno s
podacima iz članka 14. ovoga Zakona, a također i o svakoj daljnjoj namjeravanoj
obradi tih podataka, prije poduzimanja bilo kakvih aktivnosti obrade.
Obveza dostavljanja prethodne obavijesti Agenciji za
zaštitu osobnih podataka utvrđena u stavku 1. ovoga članka ne odnosi se na
uspostavu zbirki osobnih podataka u slučaju kada poseban zakon određuje svrhu
obrade, podatke ili kategorije podataka koji se obrađuju, kategoriju ili
kategorije ispitanika, korisnike ili kategorije korisnika kojima će podaci biti
otkriveni te vrijeme u kojem će podaci biti pohranjeni.
U slučaju iz stavka 2. ovoga članka, voditelji zbirki
osobnih podataka dužni su podatke o uspostavi zbirki osobnih podataka, kao i
promjene podataka o zbirci osobnih podataka dostaviti Agenciji za zaštitu
osobnih podataka, najkasnije u roku od 15 dana od dana uspostave ili promjene.
Evidencije iz Središnjeg registra dostupne su
javnosti.
Agencija za zaštitu osobnih podataka objavit će u
»Narodnim novinama« ili na drugi prikladan način evidencije iz Središnjeg
registra.
Članak 18.
Osobni
podaci u zbirkama osobnih podataka moraju biti odgovarajuće zaštićeni od
slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena
ili dostupa.
Voditelj
zbirke osobnih podataka i korisnik dužni su poduzeti tehničke, kadrovske i
organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni
podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa,
nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te
utvrditi obvezu osoba koje su zaposlene u obradi podataka, na čuvanje tajnosti
podataka.
VIII.
PRAVA ISPITANIKA I ZAŠTITA PRAVA
Članak
19.
Voditelj
zbirke osobnih podataka dužan je najkasnije u roku od 30 dana od podnošenja
zahtjeva, svakom ispitaniku na njegov zahtjev, odnosno njegovih zakonskih
zastupnika ili punomoćnika:
1.
dostaviti potvrdu o tome da li se osobni podaci koji se odnose na njega
obrađuju ili ne,
2. dati
obavijest u razumljivom obliku o podacima koji se odnose na njega čija je
obrada u tijeku te o izvoru tih podataka,
3.
omogućiti uvid u evidenciju zbirke osobnih podataka te uvid u osobne podatke
sadržane u zbirci osobnih podataka koji se odnose na njega te njihovo
prepisivanje,
4.
dostaviti izvatke, potvrde ili ispise osobnih podataka sadržanih u zbirci
osobnih podataka koji se na njega odnose, a koji moraju sadržavati i naznaku
svrhe i pravnog temelja prikupljanja, obrade i korištenja tih podataka,
5.
dostaviti ispis podataka o tome tko je i za koje svrhe i po kojem pravnom
temelju dobio na korištenje osobne podatke koji se odnose na njega,
6. dati
obavijest o logici bilo koje automatske obrade podataka koja se na njega
odnosi.
Članak
20.
Voditelj
zbirke osobnih podataka dužan je na zahtjev ispitanika, odnosno njegovih
zakonskih zastupnika ili punomoćnika dopuniti, izmijeniti ili brisati osobne
podatke ako su podaci nepotpuni, netočni ili neažurni te ako njihova obrada
nije u skladu s odredbama ovoga Zakona.
Neovisno
o zahtjevu ispitanika, u slučaju ako voditelj zbirke osobnih podataka utvrdi da
su osobni podaci nepotpuni, netočni ili neažurni, dužan ih je sam dopuniti ili
izmijeniti.
O
izvršenoj dopuni, izmjeni ili brisanju osobnih podataka voditelj zbirke osobnih
podataka dužan je najkasnije u roku od 30 dana izvijestiti osobu na koju se
osobni podaci odnose i korisnike osobnih podataka.
Članak
21.
Ispitanik
ima pravo usprotiviti se obradi osobnih podataka u svrhe marketinga i u tom se
slučaju osobni podaci koji se na njega odnose ne smiju obrađivati u tu svrhu.
Voditelj
zbirke osobnih podataka dužan je ispitanika unaprijed obavijestiti o
namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj
obradi usprotivi.
Članak
22.
Troškove
iz članka 19., 20. i 21. ovoga Zakona snosi voditelj zbirke osobnih podataka,
ako posebnim zakonom nije drugačije propisano.
Članak
23.
Obveze
i prava utvrđena odredbama članka 9. i 19. ovoga Zakona mogu se ograničiti na
način i pod uvjetima utvrđenim posebnim zakonima ako je to potrebno radi
zaštite sigurnosti države; obrane; javne sigurnosti; radi prevencije, istrage,
otkrivanja i gonjenja počinitelja kaznenih djela ili povreda etičkih pravila za
određene profesije; radi zaštite važnoga gospodarskog ili financijskog interesa
države, kulturnih dobara te radi zaštite ispitanika ili prava i sloboda drugih,
u opsegu koji je nužan za ostvarivanje svrhe radi koje je ograničenje određeno.
Obveze i prava utvrđena odredbama članka 19. i 20. ovoga
Zakona mogu se ograničiti posebnim zakonima ako se osobni podaci obrađuju
isključivo u svrhu znanstvenog istraživanja ili ako su prikupljeni isključivo u
svrhu utvrđivanja statistike i pohranjeni na duže razdoblje isključivo za
statističku uporabu.
Članak 24.
Svatko tko smatra da mu je povrijeđeno neko pravo
zajamčeno ovim Zakonom može podnijeti zahtjev za utvrđivanje povrede prava
Agenciji za zaštitu osobnih podataka.
O povredi prava Agencija za zaštitu osobnih podataka
odlučuje rješenjem.
Rješenje
Agencije za zaštitu osobnih podataka je upravni akt.
Protiv
rješenja Agencije za zaštitu osobnih podataka žalba nije dopuštena, ali se može
pokrenuti upravni spor.
Članak
25.
Agencija
za zaštitu osobnih podataka može, na traženje osobe koja je podnijela zahtjev
za utvrđivanje povrede prava, privremeno rješenjem zabraniti obradu podataka na
koje se zahtjev odnosi do pravomoćnog okončanja postupka.
Protiv
rješenja iz stavka 1. ovoga članka nije dopuštena žalba, ali se može pokrenuti
upravni spor.
Članak
26.
Za
štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno
odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno
općim propisima o naknadi štete.
Pravo
na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i
u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje
njegovih osobnih podataka drugim korisnicima ili fizičkim i pravnim osobama.
Pravo
na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće
nadležnosti.
IX. NADZOR NAD OBRADOM OSOBNIH PODATAKA
Članak 27.
Za
obavljanje nadzora nad obradom osobnih podataka ovim se Zakonom osniva Agencija
za zaštitu osobnih podataka.
Agencija
ima svojstvo pravne osobe.
Sjedište
Agencije je u Zagrebu.
Članak 28.
U
obavljanju poslova utvrđenih ovim Zakonom Agencija je samostalna i odgovara
Hrvatskom saboru.
Sredstva
za rad Agencije osiguravaju se u državnom proračunu Republike Hrvatske.
Ustrojstvo
i način rada Agencije uređuje se Statutom Agencije koji potvrđuje Hrvatski sabor.
Članak 29.
Radom
Agencije rukovodi ravnatelj kojeg na prijedlog Vlade Republike Hrvatske imenuje
i razrješava Hrvatski sabor.
Ravnatelj
Agencije ima zamjenika.
Zamjenika
ravnatelja imenuje i razrješava Hrvatski sabor na prijedlog Vlade Republike Hrvatske.
Ravnatelj
Agencije i zamjenik ravnatelja obavljaju poslove u Agenciji profesionalno.
Za
ravnatelja Agencije i zamjenika ravnatelja može biti imenovan hrvatski državljanin
visoke stručne spreme, s najmanje 10 godina radnog iskustva.
Ravnatelj
Agencije i zamjenik ravnatelja imenuju se na četiri godine i mogu biti ponovno
imenovani.
Na
ravnatelja Agencije i zamjenika ravnatelja odnose se odredbe Zakona o obvezama
i pravima državnih dužnosnika.
Plaća
ravnatelja Agencije i zamjenika ravnatelja određuje se kao za ravnatelja državne
upravne organizacije i zamjenika ravnatelja državne upravne organizacije.
Članak
30.
Agencija
ima svoju stručnu službu.
Na
zaposlene u stručnoj službi Agencije primjenjuju se opći propisi o radu.
Članak 31.
Agencija
je dužna podnijeti izvješće o svojem radu Hrvatskom saboru na njegov zahtjev,
a najmanje jednom na godinu.
U
izvješću Agencija objavljuje cjelovitu analizu stanja u području zaštite
osobnih podataka te postupaka pokrenutih na temelju odredaba ovoga Zakona i
naloženih mjera te podataka o stupnju poštivanja prava građana u obradi osobnih
podataka.
Članak
32.
Agencija
obavlja sljedeće poslove kao javne ovlasti:
–
nadzire provođenje zaštite osobnih podataka,
–
ukazuje na uočene zloupotrebe prikupljanja osobnih podataka,
– sastavlja
listu država i međunarodnih organizacija koje imaju odgovarajuće uređenu
zaštitu osobnih podataka,
–
rješava povodom zahtjeva za utvrđivanje povrede prava zajamčenih ovim Zakonom,
– vodi
središnji registar.
Pojedina
važnija rješenja Agencija može objaviti u »Narodnim novinama«.
Agencija
nadzire provođenje zaštite osobnih podataka na zahtjev ispitanika, na prijedlog
treće strane ili po službenoj dužnosti.
Agencija
je dužna razmotriti sve zahtjeve koji se odnose na utvrđivanje povrede prava u
obradi osobnih podataka i izvijestiti podnosioca zahtjeva o poduzetim mjerama.
Agencija ima pravo pristupa osobnim podacima sadržanim
u zbirkama osobnih podataka, neovisno jesu li evidencije o tim zbirkama
objedinjene u središnji registar ili nisu, ima pravo pristupa spisima i drugoj
dokumentaciji koja se odnosi na obradu osobnih podataka, kao i sredstvima
elektronske obrade te ima pravo prikupljati sve informacije potrebne za
izvršavanje njenih nadzornih dužnosti, bez obzira na stupanj njihove tajnosti.
Voditelj
zbirke osobnih podataka, korisnik ili izvršitelj obrade dužni su omogućiti
Agenciji pristup spisima i drugoj dokumentaciji kao i sredstvima elektronske
obrade te na pisani zahtjev Agencije dostaviti tražene spise i drugu
dokumentaciju.
Članak
33.
Osim poslova
iz članka 32. ovoga Zakona, Agencija obavlja i sljedeće poslove:
– prati
uređenje zaštite osobnih podataka u drugim zemljama i surađuje s tijelima nadležnim
za nadzor nad zaštitom osobnih podataka u drugim zemljama,
–
nadzire iznošenje osobnih podataka iz Republike Hrvatske,
–
izrađuje metodološke preporuke za unapređenje zaštite osobnih podataka i
dostavlja ih voditeljima zbirki osobnih podataka,
– daje
savjete u svezi s uspostavom novih zbirki osobnih podataka, osobito u slučaju
uvođenja nove informacijske tehnologije,
– daje
mišljenja, u slučaju sumnje, smatra li se pojedini skup osobnih podataka
zbirkom osobnih podataka u smislu ovoga Zakona,
– prati
primjenu organizacijskih i tehničkih mjera za zaštitu podataka te predlaže
poboljšanje tih mjera,
– daje prijedloge i preporuke za unapređenje zaštite
osobnih podataka,
– surađuje s nadležnim državnim tijelima u izradi
prijedloga propisa koji se odnose na zaštitu osobnih podataka,
– po primitku obavijesti voditelja zbirke osobnih
podataka daje prethodno mišljenje o tome predstavljaju li određeni načini
obrade osobnih podataka specifične rizike za prava i slobode ispitanika. U
slučaju sumnje o postojanju specifičnih rizika, voditelj zbirke osobnih
podataka mora zatražiti mišljenje Agencije,
– obavlja i druge poslove određene zakonom.
Članak 34.
Ukoliko prilikom obavljanja nadzora utvrdi da su
povrijeđene odredbe zakona kojima se uređuje obrada osobnih podataka, Agencija
ima pravo upozoriti ili opomenuti voditelja zbirke osobnih podataka na
nezakonitosti u obradi osobnih podataka te rješenjem:
– narediti da se nepravilnosti uklone u određenom
roku,
– privremeno zabraniti prikupljanje, obradu i
korištenje osobnih podataka koji se prikupljaju, obrađuju ili koriste suprotno
odredbama zakona,
– narediti brisanje osobnih podataka prikupljenih bez
pravne osnove,
– zabraniti iznošenje osobnih podataka iz Republike
Hrvatske ili davanje na korištenje osobnih podataka drugim korisnicima ako se
osobni podaci iznose iz Republike Hrvatske ili se daju na korištenje drugim
korisnicima suprotno odredbama ovoga Zakona,
– zabraniti povjeravanje poslova prikupljanja i
obrade osobnih podataka izvršiteljima obrade ako izvršitelj obrade ne ispunjava
uvjete u pogledu zaštite osobnih podataka, ili je povjeravanje navedenih
poslova provedeno suprotno odredbama ovoga Zakona,
Protiv rješenja Agencije iz prethodnog stavka nije
dozvoljena žalba, ali se može pokrenuti upravni spor.
Osim mjera iz
stavka 1. ovoga članka, Agencija može predložiti pokretanje postupka kaznene
ili prekršajne odgovornosti pred nadležnim tijelom.
Članak 35.
Ravnatelj Agencije, zamjenik ravnatelja te
zaposlenici stručne službe Agencije dužni su kao profesionalnu
tajnu, odnosno kao drugu odgovarajuću vrstu tajne sukladno zakonu kojim se
uređuje tajnost podataka, čuvati sve osobne i druge povjerljive podatke koje
saznaju u obavljanju svojih dužnosti.
Obveza iz stavka 1. ovoga članka traje i po prestanku
obnašanja dužnosti ravnatelja Agencije i zamjenika ravnatelja, odnosno po
prestanku radnog odnosa u stručnoj službi Agencije.
X. KAZNENE ODREDBE
Članak
36.
Novčanom
kaznom od 20.000,00 do 40.000,00 kuna kaznit će se za prekršaj:
1.
izvršitelj obrade koji prekorači granice svojih ovlasti ili osobne podatke
prikuplja i obrađuje za drugu namjenu osim ugovorene ili ih daje na korištenje
drugim korisnicima ili ne osigura provođenje ugovorenih mjera zaštite osobnih
podataka (članak 10. stavak 3.),
2.
voditelj zbirke osobnih podataka koji ne uspostavi evidenciju koja sadrži
temeljne informacije o zbirci osobnih podataka ili evidenciju vodi nepotpuno
(članak 14.),
3.
voditelj zbirke osobnih podataka ili korisnik koji nije osigurao odgovarajuću
zaštitu osobnih podataka (članak 18.),
4.
voditelj zbirke osobnih podataka, korisnik ili izvršitelj obrade koji onemogući
Agenciju u obavljanju radnji iz članka 32. stavka 5. i 6. ovoga Zakona,
5.
voditelj zbirke osobnih podataka ili izvršitelj obrade koji ne postupi po
naredbi ili zabrani Agencije (članak 34. stavak 1.),
6.
ravnatelj Agencije, zamjenik ravnatelja te zaposlenici stručne službe Agencije
koji otkriju povjerljive podatke koje saznaju u obavljanju svojih dužnosti
(članak 35.).
Za
prekršaj iz stavka 1. ovoga članka kaznit će se i odgovorna osoba u pravnoj
osobi novčanom kaznom od 5.000,00 do 10.000,00 kuna.
XI.
PRIJELAZNE I ZAKLJUČNE ODREDBE
Članak
37.
Vlada Republike Hrvatske će u roku od 60 dana
od dana stupanja na snagu ovoga Zakona podnijeti Hrvatskom saboru prijedlog za
imenovanje ravnatelja Agencije i zamjenika ravnatelja.
Agencija
je dužna u roku od 30 dana od dana imenovanja ravnatelja Agencije, donijeti
Statut i dostaviti ga na potvrdu Hrvatskom saboru.
Članak
38.
Vlada
Republike Hrvatske donijet će uredbe iz članka 8. stavka 4. i članka 15. ovoga
Zakona u roku od šest mjeseci od dana stupanja na snagu ovoga Zakona.
Članak
39.
Zbirke
osobnih podataka i evidencije ustrojene do stupanja na snagu ovoga Zakona
uskladit će se s njegovim odredbama u roku od godine dana od dana stupanja na
snagu ovoga Zakona.
Voditelji
zbirki osobnih podataka dužni su evidencije iz članka 14. ovoga Zakona
dostaviti Agenciji, u roku od 18 mjeseci od dana stupanja na snagu ovoga
Zakona.
Članak
40.
Ovaj
Zakon stupa na snagu osmoga dana od dana objave u »Narodnim novinama«.
Klasa:
220-05/02-01/01
Zagreb, 12. lipnja 2003.
HRVATSKI SABOR
Predsjednik
Hrvatskoga sabora
Zlatko Tomčić, v. r.