Više
Navigacija
POGLAVLJE I. Opće odredbe (1-4)
Članak 1.. Predmet i ciljeviČlanak 2.. Glavno područje primjeneČlanak 3.. Teritorijalno područje primjeneČlanak 4.. Definicije
POGLAVLJE II. Načela (5-11)
Članak 5.. Načela obrade osobnih podatakaČlanak 6.. Zakonitost obradeČlanak 7.. Uvjeti privoleČlanak 8.. Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društvaČlanak 9.. Obrada posebnih kategorija osobnih podatakaČlanak 10.. Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djelaČlanak 11.. Obrada koja ne zahtijeva identifikaciju
POGLAVLJE III. Prava ispitanika (12-23)
Članak 12.. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanikaČlanak 13.. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanikaČlanak 14.. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanikaČlanak 15.. Pravo ispitanika na pristupČlanak 16.. Pravo na ispravakČlanak 17.. Pravo na brisanje („pravo na zaborav”)Članak 18.. Pravo na ograničenje obradeČlanak 19.. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obradeČlanak 20.. Pravo na prenosivost podatakaČlanak 21.. Pravo na prigovorČlanak 22.. Automatizirano pojedinačno donošenje odluka, uključujući izradu profilaČlanak 23.. Ograničenja
POGLAVLJE IV. Voditelj obrade i izvršitelj obrade (24-43)
Članak 24.. Predmet i ciljeviČlanak 25.. Tehnička i integrirana zaštita podatakaČlanak 26.. Zajednički voditelji obradeČlanak 27.. Predstavnici voditeljâ obrade ili izvršitelja obrade koji nemaju poslovni nastan u UnijiČlanak 28.. Izvršitelj obradeČlanak 29.. Obrada pod vodstvom voditelja obrade ili izvršitelja obradeČlanak 30.. Evidencija aktivnosti obradeČlanak 31.. Suradnja s nadzornim tijelomČlanak 32.. Sigurnost obradeČlanak 33.. Izvješćivanje nadzornog tijela o povredi osobnih podataka
Članak 34.. Obavješćivanje ispitanika o povredi osobnih podataka
Članak 35.. Procjena učinka na zaštitu podatakaČlanak 36.. Prethodno savjetovanjeČlanak 37.. Imenovanje službenika za zaštitu podatakaČlanak 38.. Radno mjesto službenika za zaštitu podatakaČlanak 39.. Zadaće službenika za zaštitu podatakaČlanak 40.. Kodeksi ponašanjaČlanak 41.. Praćenje odobrenih kodeksa ponašanjaČlanak 42.. CertificiranjeČlanak 43.. Certifikacijska tijela
POGLAVLJE V. Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama (44-50)
Članak 44.. Opća načela prijenosaČlanak 45.. Prijenosi na temelju odluke o primjerenostiČlanak 46.. Prijenosi koji podliježu odgovarajućim zaštitnim mjeramaČlanak 47.. Obvezujuća korporativna pravilaČlanak 48.. Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu UnijeČlanak 49.. Odstupanja za posebne situacijeČlanak 50.. Međunarodna suradnja s ciljem zaštite osobnih podataka
POGLAVLJE VI. Neovisna nadzorna tijela (51-59)
Članak 51.. Nadzorno tijeloČlanak 52.. NeovisnostČlanak 53.. Opći uvjeti za članove nadzornog tijelaČlanak 54.. Pravila za osnivanje nadzornog tijelaČlanak 55.. NadležnostČlanak 56.. Nadležnost vodećeg nadzornog tijelaČlanak 57.. ZadaćeČlanak 58.. OvlastiČlanak 59.. Izvješća o aktivnostima
POGLAVLJE VII. Suradnja i konzistentnost (60-70)
Članak 60.. Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijelaČlanak 61.. Uzajamna pomoćČlanak 62.. Zajedničke operacije nadzornih tijelaČlanak 63.. Mehanizam konzistentnostiČlanak 64.. Mišljenje OdboraČlanak 65.. Rješavanje sporova pri OdboruČlanak 66.. Hitni postupakČlanak 67.. Razmjena informacijaČlanak 68.. Europski odbor za zaštitu podatakaČlanak 69.. NeovisnostČlanak 70.. Zadaće OdboraČlanak 71.. IzvješćaČlanak 72.. PostupakČlanak 73.. PredsjednikČlanak 74.. Zadaće predsjednikaČlanak 75.. TajništvoČlanak 76.. Povjerljivost
POGLAVLJE VIII. Pravna sredstva, odgovornost i sankcije (77-84)
Članak 77.. Pravo na pritužbu nadzornom tijeluČlanak 78.. Pravo na učinkoviti pravni lijek protiv nadzornog tijelaČlanak 79.. Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obradeČlanak 80.. Zastupanje ispitanikaČlanak 81.. Suspenzija postupkaČlanak 82.. Pravo na naknadu štete i odgovornostČlanak 83.. Opći uvjeti za izricanje upravnih novčanih kazniČlanak 84.. Sankcije
POGLAVLJE IX. Odredbe u vezi s posebnim situacijama obrade (85-91)
Članak 85.. Obrada i sloboda izražavanja i informiranjaČlanak 86.. Obrada i javni pristup službenim dokumentimaČlanak 87.. Obrada nacionalnog identifikacijskog brojaČlanak 88.. Obrada u kontekstu zaposlenjaČlanak 89.. Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrheČlanak 90.. Obveze tajnostiČlanak 91.. Postojeća pravila o zaštiti podataka crkava i vjerskih udruženja
POGLAVLJE X. Delegirani akti i provedbeni akti (92-93)
Članak 92.. Izvršavanje delegiranja ovlastiČlanak 93.. Postupak odbora
POGLAVLJE XI. Završne odredbe (94-95)
Članak 94.. Stavljanje izvan snage Direktive 95/46/EZČlanak 95.. Odnos s Direktivom 2002/58/EZČlanak 96.. Odnos s prethodno sklopljenim sporazumimaČlanak 97.. Izvješća KomisijeČlanak 98.. Preispitivanje drugih akata Unije o zaštiti podatakaČlanak 99.. Stupanje na snagu i primjena
GDPR > Članak 34.. Obavješćivanje ispitanika o povredi osobnih podataka
Preuzmite PDF

Članak 34. GDPR. Obavješćivanje ispitanika o povredi osobnih podataka

1. U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.

2. Obavješćivanjem ispitanika iz stavka 1. ovog članka opisuje se priroda povrede osobnih podataka uporabom jasnog i jednostavnog jezika te ono sadržava barem informacije i mjere iz članka 33. stavka 3. točaka (b), (c) i (d).

Vezani tekstovi
Vezani tekstovi

3. Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a) voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b) voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;

(c) time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

4. Ako voditelj obrade nije do tog trenutka obavijestio ispitanika o povredi osobnih podataka, nakon razmatranja razine vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik, nadzorno tijelo može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta navedenih u stavku 3.

Opća uredba o zaštiti podataka (GDPR)

ISO 27701 Uvodne izjave Smjernice i sudska praksa Ostavite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Uvodne izjave

(75) Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(86) Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest.

(87) Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika. Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika. Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.

(88) Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe. Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.

Smjernice i sudska praksa Ostavite komentar
[js-disqus]