Data Advocacy für Kroatien

Das Gesetz ist der wichtigste Rechtsakt, der sich mit dem Datenschutz und dem Schutz der Privatsphäre in Kroatien befasst. Die englische Übersetzung des Gesetzes finden Sie unter: http://azop.hr/page.aspx?PageID=79.

Neben dem Gesetz sind spezifische Aspekte des Datenschutzes in sektorspezifischen Gesetzen geregelt, wie dem Arbeitsgesetz (beschäftigungsbezogene Aspekte des Datenschutzes und der Datenverarbeitung), dem Gesetz zum Schutz der Patientenrechte (Schutz von Patientendaten) oder dem Gesetz über elektronische Kommunikation (Verwendung von Cookies).

Da das kroatische Datenschutzrecht vollständig mit den EU-Datenschutzvorschriften harmonisiert ist, werden Mitteilungen, Arbeitspapiere und die Rechtsprechung der EU-Datenschutzgremien regelmäßig als Auslegungshilfe in allen Fällen herangezogen, in denen die lokalen Vorschriften zu bestimmten Fragen schweigen.

Die nationale Datenschutzbehörde ist die kroatische Agentur für den Schutz personenbezogener Daten (AZOP'). AZOP hat seinen Sitz in

Fra Grge Martica 14

Zagreb

www.azop.hr

Wenn ein Unternehmen mehr als 20 Mitarbeiter beschäftigt, muss es einen Datenschutzbeauftragten benennen und dessen Kontaktdaten auf der Website des Unternehmens veröffentlichen. Diese Ernennung muss dem AZOP innerhalb eines (1) Monats mitgeteilt werden. Der Datenschutzbeauftragte darf nicht eine Person sein, der ein Verstoß gegen den Ethikkodex des Unternehmens vorgeworfen wird oder gegen die ein Disziplinarverfahren wegen Verletzung ihrer Pflichten läuft.

Die Verpflichtung zur Bestellung von Datenschutzbeauftragten in Kroatien ist sowohl im Gesetz als auch im kroatischen Arbeitsgesetz verankert.

Nach beiden Gesetzen sind Arbeitgeber, die 20 oder mehr Arbeitnehmer beschäftigen, verpflichtet, einen Datenschutzbeauftragten zu bestellen, der für die Überwachung der Erhebung, Verarbeitung, Nutzung und Übermittlung der personenbezogenen Daten der Arbeitnehmer zuständig ist. Insbesondere muss der Datenschutzbeauftragte:

  • sicherzustellen, dass die Datenverarbeitung im Einklang mit den geltenden Rechtsvorschriften erfolgt;
  • alle mit dem Schutz personenbezogener Daten befassten Personen über ihre gesetzliche Verpflichtung zum Schutz personenbezogener Daten zu informieren;
  • die Ausübung der im Gesetz vorgesehenen Rechte des Einzelnen zu gewährleisten; und
  • mit der Datenschutzbehörde bei der Umsetzung der Überwachung der Verarbeitung personenbezogener Daten zusammenarbeiten.

Datenschutzbeauftragte werden durch eine schriftliche Entscheidung des Arbeitgebers ernannt, die innerhalb eines Monats nach der Ernennung bei der Datenschutzbehörde eingereicht werden muss. Die Datenschutzbehörde führt das Register der Datenschutzbeauftragten.

Die Arbeitgeber müssen sicherstellen, dass sie zwei Entscheidungen über die Ernennung der Datenschutzbeauftragten treffen, eine zur Erfüllung ihrer Verpflichtungen nach dem Arbeitsgesetz und eine weitere zur Erfüllung der im Gesetz festgelegten Verpflichtung.

Das Datenschutzgesetz sieht keine ausdrückliche Meldepflicht für Datenschutzverletzungen vor.

Benachrichtigungs-/Registrierungsanforderungen:

Gemäß dem Gesetz müssen Datensammler jede Erhebung und Verarbeitung personenbezogener Daten an die Datenschutzbehörde melden. Die Meldung erfolgt durch Eintragung einer Datenbank in das von der Datenschutzbehörde verwaltete Datenschutzregister ("Register"). Dieser Prozess besteht aus zwei Schritten.

Vor der tatsächlichen Registrierung einer Datenbank oder der Änderung einer bestehenden Registrierung (z. B. durch die Registrierung der Tatsache, dass die Daten in der Datenbank aus Kroatien heraus übertragen oder anderweitig weiterverarbeitet werden) sind die Datensammler verpflichtet, die Datenschutzbehörde über die Absicht einer solchen Registrierung zu informieren. Die Meldung sollte erfolgen, bevor mit der Erhebung personenbezogener Daten oder der eigentlichen Verarbeitung begonnen wird. In der Praxis wird dieser Schritt jedoch häufig übersehen.

Sobald die personenbezogenen Daten erhoben und eine Datenbank erstellt wurde oder die Verarbeitung durchgeführt wurde, ist der Datenerheber auch verpflichtet, diese Datenbank oder die Tatsache der Verarbeitung in einer bestehenden Datenbank in das Register einzutragen. Diese Eintragungen sollten innerhalb von 15 Tagen nach der Einrichtung der neuen Datenbank oder der Durchführung der Verarbeitung erfolgen.

Opt-in-Regelung: Ohne die ausdrückliche Zustimmung des Empfängers darf keine elektronische Direktwerbung verschickt werden, es sei denn, es besteht bereits eine Geschäfts- oder Handelsbeziehung. (Für Marketing an juristische Personen ist die Zustimmung jedoch nicht vorgeschrieben).

Außerdem muss mit jeder Nachricht eine spezielle Abmeldung angeboten werden. Getarnte Absenderidentitäten sind verboten, und es muss eine gültige Rücksendeadresse angegeben werden.

Der Begriff "Opt-Out-Regel" bedeutet, dass der Versand von E-Marketing an den Empfänger auf Opt-Out-Basis erlaubt ist, wenn:

die Daten des Empfängers wurden ursprünglich "im Zusammenhang mit einem Verkauf" erhoben.

die Einrichtung, die die Werbung versendet, ist dieselbe juristische Person, die ursprünglich die Daten des Empfängers erfasst hat.

die Vermarktung bezieht sich auf "ähnliche" Produkte und/oder Dienstleistungen, für die die Daten des Empfängers ursprünglich erhoben wurden.

der Empfänger erhält die Möglichkeit, dem E-Marketing kostenlos zu widersprechen, und zwar sowohl zum Zeitpunkt der Erfassung seiner Daten als auch bei jeder nachfolgenden Kommunikation.

Anwendbare Gesetzgebung:

Gesetz über elektronische Kommunikation (Staatsanzeiger Nr. 73/2008, 90/2011, 133/2012, 80/2013, 71/2014)

E-Marketing für Erstanbieter

(die Einrichtung, die die Daten sammelt, wird das E-Marketing selbst versenden)

B2C: Abmeldung

B2B: Opt-out

E-Marketing durch Dritte

(das Unternehmen, das die Daten sammelt, gibt sie an einen dritten Partner für E-Marketing weiter)

B2C: Opt-in

B2B: Opt-in.