Više
Navigacija
POGLAVLJE I. Opće odredbe (1-4)
Članak 1.. Predmet i ciljeviČlanak 2.. Glavno područje primjeneČlanak 3.. Teritorijalno područje primjeneČlanak 4.. Definicije
POGLAVLJE II. Načela (5-11)
Članak 5.. Načela obrade osobnih podatakaČlanak 6.. Zakonitost obradeČlanak 7.. Uvjeti privoleČlanak 8.. Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društvaČlanak 9.. Obrada posebnih kategorija osobnih podatakaČlanak 10.. Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djelaČlanak 11.. Obrada koja ne zahtijeva identifikaciju
POGLAVLJE III. Prava ispitanika (12-23)
Članak 12.. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanikaČlanak 13.. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanikaČlanak 14.. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanikaČlanak 15.. Pravo ispitanika na pristupČlanak 16.. Pravo na ispravakČlanak 17.. Pravo na brisanje („pravo na zaborav”)Članak 18.. Pravo na ograničenje obradeČlanak 19.. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obradeČlanak 20.. Pravo na prenosivost podatakaČlanak 21.. Pravo na prigovorČlanak 22.. Automatizirano pojedinačno donošenje odluka, uključujući izradu profilaČlanak 23.. Ograničenja
POGLAVLJE IV. Voditelj obrade i izvršitelj obrade (24-43)
Članak 24.. Predmet i ciljeviČlanak 25.. Tehnička i integrirana zaštita podatakaČlanak 26.. Zajednički voditelji obradeČlanak 27.. Predstavnici voditeljâ obrade ili izvršitelja obrade koji nemaju poslovni nastan u UnijiČlanak 28.. Izvršitelj obradeČlanak 29.. Obrada pod vodstvom voditelja obrade ili izvršitelja obradeČlanak 30.. Evidencija aktivnosti obradeČlanak 31.. Suradnja s nadzornim tijelomČlanak 32.. Sigurnost obrade
Članak 33.. Izvješćivanje nadzornog tijela o povredi osobnih podataka
Članak 34.. Obavješćivanje ispitanika o povredi osobnih podatakaČlanak 35.. Procjena učinka na zaštitu podatakaČlanak 36.. Prethodno savjetovanjeČlanak 37.. Imenovanje službenika za zaštitu podatakaČlanak 38.. Radno mjesto službenika za zaštitu podatakaČlanak 39.. Zadaće službenika za zaštitu podatakaČlanak 40.. Kodeksi ponašanjaČlanak 41.. Praćenje odobrenih kodeksa ponašanjaČlanak 42.. CertificiranjeČlanak 43.. Certifikacijska tijela
POGLAVLJE V. Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama (44-50)
Članak 44.. Opća načela prijenosaČlanak 45.. Prijenosi na temelju odluke o primjerenostiČlanak 46.. Prijenosi koji podliježu odgovarajućim zaštitnim mjeramaČlanak 47.. Obvezujuća korporativna pravilaČlanak 48.. Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu UnijeČlanak 49.. Odstupanja za posebne situacijeČlanak 50.. Međunarodna suradnja s ciljem zaštite osobnih podataka
POGLAVLJE VI. Neovisna nadzorna tijela (51-59)
Članak 51.. Nadzorno tijeloČlanak 52.. NeovisnostČlanak 53.. Opći uvjeti za članove nadzornog tijelaČlanak 54.. Pravila za osnivanje nadzornog tijelaČlanak 55.. NadležnostČlanak 56.. Nadležnost vodećeg nadzornog tijelaČlanak 57.. ZadaćeČlanak 58.. OvlastiČlanak 59.. Izvješća o aktivnostima
POGLAVLJE VII. Suradnja i konzistentnost (60-70)
Članak 60.. Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijelaČlanak 61.. Uzajamna pomoćČlanak 62.. Zajedničke operacije nadzornih tijelaČlanak 63.. Mehanizam konzistentnostiČlanak 64.. Mišljenje OdboraČlanak 65.. Rješavanje sporova pri OdboruČlanak 66.. Hitni postupakČlanak 67.. Razmjena informacijaČlanak 68.. Europski odbor za zaštitu podatakaČlanak 69.. NeovisnostČlanak 70.. Zadaće OdboraČlanak 71.. IzvješćaČlanak 72.. PostupakČlanak 73.. PredsjednikČlanak 74.. Zadaće predsjednikaČlanak 75.. TajništvoČlanak 76.. Povjerljivost
POGLAVLJE VIII. Pravna sredstva, odgovornost i sankcije (77-84)
Članak 77.. Pravo na pritužbu nadzornom tijeluČlanak 78.. Pravo na učinkoviti pravni lijek protiv nadzornog tijelaČlanak 79.. Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obradeČlanak 80.. Zastupanje ispitanikaČlanak 81.. Suspenzija postupkaČlanak 82.. Pravo na naknadu štete i odgovornostČlanak 83.. Opći uvjeti za izricanje upravnih novčanih kazniČlanak 84.. Sankcije
POGLAVLJE IX. Odredbe u vezi s posebnim situacijama obrade (85-91)
Članak 85.. Obrada i sloboda izražavanja i informiranjaČlanak 86.. Obrada i javni pristup službenim dokumentimaČlanak 87.. Obrada nacionalnog identifikacijskog brojaČlanak 88.. Obrada u kontekstu zaposlenjaČlanak 89.. Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrheČlanak 90.. Obveze tajnostiČlanak 91.. Postojeća pravila o zaštiti podataka crkava i vjerskih udruženja
POGLAVLJE X. Delegirani akti i provedbeni akti (92-93)
Članak 92.. Izvršavanje delegiranja ovlastiČlanak 93.. Postupak odbora
POGLAVLJE XI. Završne odredbe (94-95)
Članak 94.. Stavljanje izvan snage Direktive 95/46/EZČlanak 95.. Odnos s Direktivom 2002/58/EZČlanak 96.. Odnos s prethodno sklopljenim sporazumimaČlanak 97.. Izvješća KomisijeČlanak 98.. Preispitivanje drugih akata Unije o zaštiti podatakaČlanak 99.. Stupanje na snagu i primjena
GDPR > Članak 33.. Izvješćivanje nadzornog tijela o povredi osobnih podataka
Preuzmite PDF

Članak 33. GDPR. Izvješćivanje nadzornog tijela o povredi osobnih podataka

Article 33 GDPR. Notification of a personal data breach to the supervisory authority

1. U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

Vezani tekstovi
Vezani tekstovi

2. Izvršitelj obrade bez nepotrebnog odgađanja izvješćuje voditelja obrade nakon što sazna za povredu osobnih podataka.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

3. U izvješćivanju iz stavka 1. mora se barem:

3. The notification referred to in paragraph 1 shall at least:

(a) opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;

(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

(b) navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;

(c) opisati vjerojatne posljedice povrede osobnih podataka;

(c) describe the likely consequences of the personal data breach;

(d) opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

4. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, informacije je moguće postupno pružati bez nepotrebnog daljnjeg odgađanja.

4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

5. Voditelj obrade dokumentira sve povrede osobnih podataka, uključujući činjenice vezane zapovredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete. Ta dokumentacija nadzornom tijelu omogućuje provjeru poštovanja ovog članka.

5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.

Opća uredba o zaštiti podataka (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Uvodne izjave Smjernice i sudska praksa Ostavite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 33 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Uvodne izjave

(75) Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(85) Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.

(87) Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika. Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika. Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.

(87) It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation.

(88) Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe. Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.

(88) In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach.

Smjernice i sudska praksa Ostavite komentar
[js-disqus]