Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

ZAKON

O ZAŠTITI OSOBNIH PODATAKA

(Objavljeno u "Narodnim novinama", br. 103 od 26 lipnja 2003, 118/06, 41/08, 130/11)

I. TEMELjNE ODREDBE

Članak 1.

Ovim se Zakonom uređuje zaštita osobnih podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj.
Svrha zaštite osobnih podataka je zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u prikupljanju, obradi i korištenju osobnih podataka.
Zaštita osobnih podataka u Republici Hrvatskoj osigurana je svakoj fizičkoj osobi bez obzira na državljanstvo i prebivalište te neovisno o rasi, boji kože, spolu, jeziku, vjeri, političkom ili drugom uvjerenju, nacionalnom ili socijalnom podrijetlu, imovini, rođenju, naobrazbi, društvenom položaju ili drugim osobinama.

Članak 1.a

Ovaj Zakon sadrži odredbe koje su u skladu sa sljedećim aktima Europske unije: "Direktiva 95/46/EZ Europskog Parlamenta i Vijeća, od 24. listopada 1995. godine, o zaštiti pojedinaca u vezi s obradom osobnih podataka i slobodnom prijenosu takvih podataka (CELEDž 31995L0046).".

Članak 2.

U članku 2. stavku 1. točki 3. riječi: "skup osobnih podataka" zamjenjuju se riječima: "strukturirani skup osobnih podataka".
Točka 5. mijenja se i glasi:
5. Treća strana je fizička ili pravna osoba, državno ili drugo tijelo, osim ispitanika, voditelja zbirke osobnih podataka ili izvršitelja obrade osobnih podataka i osoba koje voditelj zbirke ili izvršitelj obrade izravno ovlasti na obradu osobnih podataka.

Članak 2.

Pojedini izrazi u ovom Zakonu imaju sljedeće značenje:
1. Osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati (u daljnjem tekstu: ispitanik); osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
2. Obrada osobnih podataka je svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništavanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima.
3. Zbirka osobnih podataka je svaki skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo centraliziranim, decentraliziranim, ili raspršenim na funkcionalnom ili zemljopisnom temelju i bez obzira na to da li je sadržan u računalnim bazama osobnih podataka ili se vodi primjenom drugih tehničkih pomagala ili ručno.
4. Voditelj zbirke osobnih podataka je fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka. Kada je svrha i način obrade propisan zakonom, istim se zakonom određuje i voditelj zbirke osobnih podataka.
5. Primatelj je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci mogu dati na korištenje radi obavljanja redovitih poslova u okviru njegove zakonom utvrđene djelatnosti.
6. Privola ispitanika je slobodno dano i izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe.
7. Službenik za zaštitu osobnih podataka je osoba imenovana od strane voditelja zbirke osobnih podataka koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka.
Pojedine radnje ili skupine radnji obuhvaćene izrazom "obrada" osobnih podataka u točki 2. ovoga članka mogu se posebno izdvojiti i navoditi u pojedinim odredbama ovoga Zakona kada se te odredbe ne odnose na čitavu obradu u smislu točke 2. ovoga članka već na točno određene pojedine radnje u obradi.

Članak 3.

Odredbe ovoga Zakona primjenjuju se na obradu osobnih podataka od strane državnih tijela, tijela lokalne i područne (regionalne) samouprave te pravnih i fizičkih osoba, predstavništava i podružnica stranih pravnih osoba i predstavnika stranih pravnih i fizičkih osoba koje obrađuju osobne podatke.
Odredbe ovoga Zakona primjenjuju se i u slučaju ukoliko voditelj zbirke osobnih podataka nema prebivalište ili sjedište u jednoj od državna članica Europske unije, a za potrebe obrade osobnih podataka koristi automatiziranu i drugu opremu koja se nalazi na području Republike Hrvatske, osim ako tu opremu koristi samo za prijenos osobnih podataka preko teritorija Europske unije.
U slučaju iz stavka 2. ovoga članka, voditelj zbirke osobnih podataka dužan je imenovati zastupnika na području Republike Hrvatske tj. fizičku ili pravnu osobu koja ima prebivalište, odnosno sjedište ili je registrirana u Republici Hrvatskoj, koja će ga zastupati u svezi s obradom osobnih podataka u skladu s ovim Zakonom.
Odredbe ovoga Zakona ne primjenjuju se na obradu osobnih podataka koju provode fizičke osobe isključivo za osobnu primjenu ili za potrebe kućanstva.

Članak 4.

Odredbe ovoga Zakona odnose se na sve zbirke osobnih podataka bez obzira jesu li predmet automatske ili ručne obrade.

II. OBRADA OSOBNIH PODATAKA

Članak 5.

Voditelj zbirke osobnih podataka smije obrađivati osobne podatke samo uz uvjete određene ovim Zakonom i posebnim zakonima.
6. Primatelj je fizička ili pravna osoba, državno ili drugo tijelo kojem se osobni podaci otkrivaju, neovisno o tome je li on ujedno i treća strana ili nije. Međutim, državna tijela koja mogu primati podatke u okviru provođenja istraga ne smatraju se primateljima.
7. Izvršitelj obrade je fizička ili pravna osoba, državno ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja zbirke osobnih podataka.

Članak 8.

Osobni podaci moraju se obrađivati pošteno i zakonito.
Osobni podaci mogu se prikupljati u svrhu s kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja. Daljnja obrada osobnih podataka u povijesne, statističke ili znanstvene svrhe neće se smatrati nepodudarnom, pod uvjetom da se poduzmu odgovarajuće zaštitne mjere.
Osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha.
Osobni podaci moraju biti točni, potpuni i ažurni.
Osobni podaci moraju se čuvati u obliku koji dopušta identifikaciju ispitanika ne duže no što je to potrebno za svrhu u koju se podaci prikupljaju ili dalje obrađuju. Odgovarajuće mjere zaštite za osobne podatke koji se pohranjuju na duže razdoblje za povijesnu, statističku ili znanstvenu uporabu propisuju se posebnim zakonima.
Za postupanje u skladu s odredbama ovoga članka odgovoran je voditelj zbirke osobnih podataka.

Članak 9.

Osobni podaci smiju se prikupljati i dalje obrađivati isključivo:
- uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu, ili
- u slučajevima određenim zakonom, ili
- u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka, ili
- u svrhu sklapanja i izvršenja ugovora u kojem je ispitanik stranka, ili
- u svrhu zaštite života ili tjelesnog integriteta ispitanika ili druge osobe u slučaju kada ispitanik fizički ili pravno nije u mogućnosti dati svoj pristanak, ili
- ako je obrada podataka nužna radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u izvršavanju javnih ovlasti koje ima voditelj zbirke osobnih podataka ili treća strana kojoj se podaci dostavljaju, ili
- ako je obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih podataka ili treće strane kojoj se podaci otkrivaju, osim kada prevladavaju interesi zaštite temeljnih prava i sloboda ispitanika iz članka 1. stavka 2. ovoga Zakona, ili.
- ako je ispitanik sam objavio te podatke.
U slučaju iz stavka 1. podstavka 1. i 8. ovoga članka ispitanik ima pravo u svako doba odustati od dane privole i zatražiti prestanak daljnje obrade njegovih podataka, osim ako se radi o obradi podataka u statističke svrhe kada osobni podaci više ne omogućuju identifikaciju osobe na koju se odnose.
Osobni podaci koji se odnose na maloljetne osobe smiju se prikupljati i dalje obrađivati u skladu s ovim Zakonom i uz posebne mjere zaštite propisane posebnim zakonima.

III. OBRADA POSEBNIH KATEGORIJA OSOBNIH PODATAKA

Članak 8.

Zabranjeno je prikupljanje i daljnja obrada osobnih podataka koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobnih podataka o kaznenom i prekršajnom postupku.
Iznimno, podaci iz stavka 1. ovoga članka mogu se prikupljati i dalje obrađivati:
- uz privolu ispitanika, ili
- ako je obrada podataka potrebna u svrhu izvršavanja prava i obveza koje ima voditelj zbirke osobnih podataka na temelju posebnih propisa, ili
- ako je obrada nužna radi zaštite života ili tjelesnog integriteta ispitanika ili druge osobe kada ispitanik zbog fizičkih ili pravnih razloga nije