nova ePrivacy uredba Hydra Consulting Zagreb

Što je nova ePrivacy uredba i kako utječe na vaše poslovanje?

Tijekom posljednjih godina Europska komisija sustavno ulaže značajne napore u „modernizaciju“ pravnog okvira koji regulira zaštitu podataka na području Europske Unije. Ipak, nisu se ni slegli dojmovi oko implementacije GDPR-a, već stiže nova ePrivacy uredba. Mnogi ju smatraju strožom verzijom GDPR-a, a njeno stupanje na snagu najavljuje se već krajem ove ili početkom iduće godine.

O čemu se radi? Naime, uz donošenje Uredbe za zaštitu osobnih podataka, Europska komisija planira donijeti i ovu novu uredbu. Njen glavni cilj je zaštiti osobne podatke građana EU na području elektroničkih komunikacija. Iako je trebala stupiti na snagu u isto vrijeme kada i GDPR, to je ipak odgođeno.

Stupanjem na snagu, nova ePrivacy uredba ili ePR tako bi trebala zamijeniti postojeću Direktivu 2002/58/EZ od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija.

nova ePrivacy uredba Hydra Consulting Zagreb

Koja područja regulira nova ePrivacy uredba?

Novom ePrivacy uredbom Europska komisija želi ojačati povjerenje građana u sigurnost na digitalnom tržištu. Istovremeno, želi i povećati razinu zaštite osobnih podataka na području elektroničkih komunikacija.

Mnogi se pitaju zbog čega je to bilo nužno kada već postoji GDPR.  Objašnjenje je da će ePrivacy uredba puno detaljnije regulirati tradicionalnu elektroničku komunikaciju poput emailova i sms poruka, jednako kao i moderne oblike komunikacija poput društvenih mreža, web stranica, aplikacija, video i audio kanala itd.

Naime, od posljednje revizije ePrivacy Direktive 2009. godine, tržište elektroničkih  komunikacija se nevjerojatno razvilo. Pri tome su aplikacije poput Facebook Messengera, Vibera, Skypa ili Whatsupa značajno promijenile komunikacijske navike potrošača. Postojeća direktiva, na žalost, ne prati nove komunikacijske trendove. Europska komisija to planira promijeniti upravo  ePR-om.

Kako će to utjecati na postojeće zakonsku regulativu? Uz postojeće zakonske propise na području elektroničkih komunikacija, nova ePrivacy uredba će zapravo biti lex specialis u odnosu na GDPR. To znači da će u primjeni na području koje regulira imati prednost u odnosu na GDPR.

Na koga će se primjenjivati? Na sve tvrtke koja pružaju bilo kakav oblik mrežne komunikacijske usluge, koriste internetske tehnologije praćenja ili se bave elektroničkim izravnim marketingom, uključujući email newslettere. Obzirom na trendove i važnost interneta u poslovanju većine tvrtki, to znači da će krug obveznika primjene ePrivacy uredbe biti iznimno širok.

Ovdje je svakako važno istaknuti da će se nova ePrivacy uredba, za razliku od GDPR-a,  primjenjivat i na neosobne podatke. O kakvim podatcima je riječ?  To bi bili podatci poput operativnog sustava ili vrste internetskog preglednika kojim se služite te domena s koje pristupate stranicama. Ovi podatci se odnose i na povijest pregledanih stranica ili prosječno vrijeme koje provodite na određenim web stranicama.

nova ePrivacy uredba Hydra Consulting Zagreb

Kako će nova ePrivacy uredba utjecati na poslovanje?

„GDPR na steroidima“ jedan je čestih opisa nove e-PR uredbe, no je li to zaista tako? Činjenica je da donosi velike promjene i odgovornosti za obveznike. Naime, tvrtke koje su obveznici ePR uredbe morat će uzeti u obzir njene zahtjeve i odredbe pri analizi usklađenosti poslovanja s GDPR-om.  Ovo samo neki od najistaknutijih zahtjeva;

Stroža pravila; sve fizičke i pravne osobe na području EU će imati osiguranu jednaku razinu zaštite osobnih podataka u elektroničkim komunikacijama. Jedna od prednosti za tvrtke je što sa ePR uredbom dobivaju jedinstvenu zakonsku regulativu na području čitave EU.

Sveobuhvatan nadzor; odredbe ePR uredbe primjenjivat će se i na vrlo popularne besplatne aplikacije poput Vibera, Whatsupa, Messengera ili Skypa. To znači da će njihovi korisnici dobiti jednaku razinu povjerljivosti kao i kod tradicionalnih tele operatera.

Komunikacijski sadržaj i meta podatci; ePrivacy uredba garantira privatnost za sav komunikacijski sadržaj, uključujući podatke o lokaciji i vremenu telefonskog poziva. Meta podatci se smatraju iznimno privatnim informacijama što znači da se, bez pristanka korisnika, moraju učiniti anonimnim ili izbrisati, osim ako se koriste u svrhu obračuna potrošnje.

Jednostavnija pravila o kolačićima: nova ePrivacy uredba će donijeti i jednostavnija pravila za korisnike (ne i za vlasnike internetskih stranica) kada je riječ o korištenju kolačića. Naime, korisnici će biti u mogućnosti lakše prihvatiti ili odbiti prateće kolačiće ili druge identifikatore. Također, više neće biti potrebno tražiti suglasnost korisnika za kolačiće koji ne zadiru u njihove privatne podatke, poput onih koje web stranice koriste kako bi zabilježile broj posjetitelja.

Učinkovitija provedba: provedba ePR uredbe bit će u nadležnosti istih nadzornih tijela nadležnih i za GDPR. U Hrvatskoj je to Agencija za zaštitu osobnih podataka.

Hydra Consulting Zagreb

Sankcije za nepoštivanje odredbi ePR-a

Tvrtke moraju znati da, ovisno o vrsti prekršaja, kazne za nepoštivanje odredbi ePrivacy uredbe mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće. Dakle, jednako su rigorozne kao i one koje je donio GDPR.

Stoga je iznimno važno da na vrijeme angažirate stručnjake koji će vam pomoći u pripremi za sve promjene koje ePR donosi.

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

 

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi; Kada imenovati službenika za zaštitu osobnih podataka?

Prema odredbama Opće uredbe o zaštiti podataka (GDPR-a), voditelji i izvršitelji obrade su dužni imenovati službenika za zaštitu osobnih podataka. Dosta često od klijenata dobivamo upite koji se odnose upravo na ovo područje.

Na koga se sve odnosi ova obaveza? Kada imenovati službenika za zaštitu osobnih podataka? Ovo su samo od neka pitanja oko kojih vam mogu pomoći ovi GDPR savjeti u praksi.

Tko sve mora imenovati službenika za zaštitu osobnih podataka?

GDPR savjeti u praksi pomažu vam izbjeći propuste zbog kojih bi ste mogli biti sankcionirani. Upravo zato, jedno od vrlo važnih pitanja je definirati tko ima obavezu imenovati službenika za zaštitu osobnih podataka.

Obveza imenovanja službenika za zaštitu osobnih podataka odnosi se prije svega na javna tijela i tijela javne vlasti. Bez obzira koje podatke obrađuju.

S  druge strane, čak i kada tvrtka nije javno tijelo, službenika za zaštitu podataka je potrebno imenovati  kada se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od postupaka obrade koji, zbog svoje prirode, opsega i/ili svrha, zahtijevaju redovno i sustavno praćenje ispitanika u velikoj mjeri.

Također, tvrtka je dužna imenovati službenika i ako osnovne djelatnosti voditelja i izvršitelja obrade obuhvaćaju opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.  GDPR-a. Jedan od najboljih primjera posebnih podataka u praksi su osobni podatci pacijenata i zdravstveni podatci.

Čak i u slučaju kada GDPR ne zahtijeva izričito imenovanje službenika za zaštitu osobnih podataka, ponekad je vrlo korisno ako se organizacija ipak odluči to činiti. Zašto? Jer značajno pridonosi zaštiti osobnih podataka koju tvrtka provodi te stvaranju povjerenja klijenata, koji znaju da je njihova privatnost zaštićena.

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi: kako izgleda postupak prije imenovanja službenika

Procedura u praksi izgleda otprilike ovako. Voditelj i izvršitelj obrade moraju provesti internu analizu kako bi utvrdili treba li imenovati službenika za zaštitu osobnih podataka. Što to znači? Primijeniti gore navedene i opisane zakonske odredbe na obradu osobnih podataka koju tvrtka provodi te utvrditi postoji li razlog za imenovanje službenika za zaštitu osobnih podataka.

Takvu internu analizu potrebno je dokumentirati kako bi, ukoliko se za to ukaže potreba, mogli dokazati da ste kod donošenja odluke o imenovanju službenika na odgovarajući način uzeli u obzir sve relevantne rizike.

Ukoliko ste kao organizacija procijenili da ste obvezni imenovati službenika za zaštitu osobnih podataka, ili smatrate da je to korisno za vašu tvrtku, onda morate znati da se na njegove obaveze, imenovanje i funkciju primjenjuju zahtjevi iz članaka 37. do 39. GDPR-a. Što to znači?

Posao službenika za zaštitu osobnih podataka zahtijeva vrlo specifične kvalifikacije, posebno stručno znanje o pravu i praksama s područja zaštite podataka, neovisnost u obavljanju posla te sposobnosti izvršavanja obaveza iz članka 39.

U slučaju da unutar vaše tvrtke ne postoji osoba koja ispunjava ove kriterije, financijski je isplativije angažirati specijalistu za ovo područje. Naime, na taj način izbjegavate propuste i sankcije.

GDPR savjeti u praksi Hydra Consulting

Što službenik za zaštitu podataka znači za tvrtku?

Ovo je jedno od najčešćih pitanja naših klijenata koje, iz potpuno opravdanih razloga, zanima kakvu vrijednost službenik za zaštitu osobnih podataka donosi za njihovu tvrtku. Ovi GDPR savjeti u praksi pomoći će vam da to shvatite, no prije toga moramo objasniti što je zapravo posao službenika.

Dakle, službenik za zaštiti osobnih podataka informira i savjetuje voditelja ili izvršitelja obrade, te zaposlenike koji obavljaju obradu, o njihovim obavezama u skladu s odredbama GDPR-a ili drugih zakonskih odredbi.

Također, sustavno prati poštivanje odredbi GDPR-a te drugih zakonski propisa koji se tiču zaštite osobnih podataka u vašoj tvrtki ili organizaciji, te educira i osposobljava zaposlenike koji sudjeluju u postupku obrade podataka.

Upravo zahvaljujući stručnom znanju i vrlo specifičnim kompetencijama, službenik za zaštitu osobnih podataka će vam pružiti i stručan savjet u vezi procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. GDPR-a.

Uz to, službenik za zaštitu osobnih podataka redovno komunicira i surađuje sa Agencijom za zaštitu osobnih podataka, kao nadzornim tijelom, pruža Agenciji potrebe informacije u vezi obrade podataka. To uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi; što morate učiniti nakon imenovanja službenika za zaštitu podataka?

Nakon što ste kao voditelj ili izvršitelj obrade imenovali službenika za zaštitu podataka, morate osigurati da bude uključen u poslovne procese i dobiva potrebne informacije kako bi Vam mogao pružiti odgovarajuću uslugu i učinkovito obavljati svoj posao.  Idući korak je javno objaviti kontakt podatke kako bi bili dostupni ispitanicima.

Uz to, preporučuje se da objavljeni kontakt e-mail ne sadrži osobno ime službenika, nego probajte sa općenitijom verzijom kao npr. sluzbenik@hydraconsuling.hr. Nakon toga, dužni ste obavijestiti Agenciju za zaštitu osobnih podataka kao nadzorno tijelo o imenovanju.

Imenovanje službenika za zaštitu osobnih podataka ćete dostaviti u pisanom obliku, u izvorniku ( s potpisom i pečatom odgovorne osobe) na adresu Agencije za zaštitu osobnih podataka. Agenciji morate dostaviti ove podatke;

 

Podaci o voditelju obrade:

Naziv i adresa sjedišta voditelja obrade

OIB voditelja obrade

 

Službeni kontakt podaci o službeniku za zaštitu podataka:

Ime i prezime službenika za zaštitu podataka

Adresa i mjesto rada

Broj službenog telefona

e-mail kontakt adresa

 

Zanima Vas je li Vaša odluka o imenovanju službenika za zaštitu podataka donesena u skladu s pravilima GDPR-a? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

GDPR uredba

GDPR uredba – vodič za početnike

Prije točno godinu dana na snagu je stupila GDPR uredba – Opća uredba o zaštiti osobnih podataka koja je donijela drastične promjene u EU zakonodavstvu. Ovaj potpuno novi pravni okvir koji regulira područje zaštite osobnih podataka izazvao je pravi šok kod mnogih tvrtki na hrvatskom tržištu. Zašto?

Promjene koje je izazvala GDPR uredba zahtijevale su ozbiljan i temeljit pristup. Mnoge tvrtke čekale su posljednji tren kako bi ih provele. U nedostatku vremena za prilagodbom nastala je prava panika.

Iako je od tada prošlo godinu dana, GDPR je za mnoge i dalje ostao enigma. Zašto to kažemo? Brojne tvrtke, pogotovo one velike, angažirale su konzultante koji su proveli analizu usklađenosti poslovanja s GDPR-om. Da, napravljene su potrebne izmjene. No,  da njihove zaposlenike danas pitate što znače neki od osnovnih pojmova vezanih uz GDPR, dobar dio njih to i dalje ne bi znao odgovoriti.  

GDPR uredba Hydra consulting

Da, GDPR uredba je složena i donijela je zahtjevne promjene. Sve kako bi se zaštita osobnih podataka na području čitave EU dovela na jednu novu razinu. Je li taj cilj ostvaren? Sigurno da je.

GDPR je u samo nekoliko mjeseci od stupanja na snagu više reformirao Hrvatsku od većine zakonskih izmjena u zadnjih par godina. Bez obzira što je javnost vjerojatno i dalje nedovoljno educirana oko njenih osnovnih pojmova, GDPR uredba je ozbiljno „protresla“ i privatni i javni sektor u Hrvatskoj.

GDPR uredba- osnovni pojmovi

Obzirom da se njene odredbe odnose na apsolutno sve organizacije i tvrtke koje obrađuju ili pohranjuju osobne podatke, GDPR uredba se primjenjuje na jednom zaista širokom području. Zapravo, gotovo da i nema poslovanja u čijem se barem jednom dijelu ne primjenjuje GDPR.

Upravo zato, donosimo vam popis osnovnih pojmova vezanih uz GDPR koje trebate znati. Bez obzira jeste li osoba čiji se osobni podatci prikupljaju ili onaj tko obrađuje ove podatke. Zato krenimo redom.

Što je GDPR uredba?

Opća uredba o zaštiti podataka ili GDPR (General Data Protection Regulation) je europska uredba o zaštiti osobnih podataka i zaštiti privatnosti. Gdje se primjenjuje? U svim državama članicama Europske Unije.  Odredbe GDPR-a ujednačene su na području čitave EU. Što to znači? Da se svi pravni subjekti prilagođavaju jednom skupu propisa. U Hrvatskoj je donesen i Zakon o provedbi Opće uredbe o zaštiti podataka. Njime su dodatno regulirana pitanja vezana uz provedbu GDPR-a, nadzor u provedbi te propisane kazne.  

GDPR uredba

Zašto je donesena GDPR uredba?

GDPR ima jedan vrlo jasan cilj- osigurati korisnicima veći nadzor u procesu prikupljanja i obrade njihovih osobnih podataka. Zašto? Da se osobni podatci ne bi zloupotrebljavali na bilo koji način.

U vrijeme kada su granice privatnosti pojedinca ugroženije no ikada, Europska komisija odlučila je da je nužno postaviti čvrsta i jasna pravila koja definiraju ovo područje.

Uz to, obzirom na trend stalnog razvoja novih tehnologija, pogotovo onih vezanih uz Internet, bilo je iznimno važno stvoriti čvrst temelj za transparentnije i odgovornije upravljanje i skrb o osobnim podatcima.  Naime, danas se sve veći broj tvrtki okreće prema digitalnom svijetu. Pri tome je zaštita osobnih podataka postala važno pitanje u njihovim svakodnevnim aktivnostima.

Tko sve mora uskladiti poslovanje s GDPR-om?

Kratko i jasno – GDPR uredba se odnosi na više-manje sve poslovne subjekte koji se bave obradom podataka. Što pri tome znači obrada podataka? Ukoliko poslujete s klijentima s područja Europske Unije, na sve te podatke se primjenjuju odredbe GDPR-a.  

Na koje se poslovne subjekte se ovo odnosi? Na nevladine organizacije, udruge, javna tijela, državnu upravu, male i velike tvrtke- dakle, na sve.

GDPR uredba

Koje podatke štiti GDPR uredba?

Opća uredba o zaštiti podataka se primjenjuje na osobne podatke, tj. na one iz kojih se može otkriti identitet osobe ili pojedinca.

To su;  ime i prezime, lokacijski podatci, broj osobne iskaznice te podatci koji se nalaze na kreditnim karticama. Osobni podatci su i biometrijski te genetski podatci, zdravstveni podatci te seksualna orijentacija. Na istom popisu su i ekonomsko stanje, vjerska ili filozofska uvjerenja, osobne poruke e-pošte, IP adresa te pseudonimizirani podatci.

Prema odredbama GDPR-a, osobnim podatcima se smatraju i mrežni identifikatori ( identifikator mobitela, IP adresa). Svi ostali podatci, koji se prema odredbama GDPR-a ne smatraju osobnim podatcima, zaštićeni su nacionalnim zakonodavstvom svake države članice EU.

Voditelji obrade su tvrtke koje prikupljaju osobne podatke ispitanika tj. korisnika.

Izvršitelji obrade obavljaju obradu podataka u ime tvrtke koja prikuplja osobne podatke ( voditelja podataka).

U većini slučajeva voditelj i izvršitelj obrade podataka su ista tvrtka, no to ne mora uvijek biti tako.

Kako izgleda usklađenje s GDPR-om u praksi?

GDPR uredba zahtjeva vrlo složenu prilagodbu i donosi priličan broj novih pravila za obveznike. Evo nekih od njih:

  • Ispitanike morate pravovremeno informirati o njihovim pravima te načinu na koji ih mogu ostvariti
  • Izjava o privatnosti mora biti razumljiva, prevedena na sve jezike na kojima obavljate poslovanje, vidljiva na web-stranici te mora navoditi sva prava koja pripadaju ispitanicima
  • Ispitanike morate upoznati sa izjavom o kolačićima

Načela obrade podataka su najvažniji dio GDPR-a, a za njihovo kršenje su predviđene najviše kazne:

  • Smijete prikupljati samo one podatke koji su potrebni za ispunjavanje svrhe obrade podataka( to znači ako prikupljate podatke u svrhu izrade registra korisnika određenog sustava, te podatke ne smijete koristiti niti u jednu drugu svrhu)
  • Podatci se smiju obrađivati samo ako za to postoji opravdana zakonska osnova
  • Obavezni ste navesti svrhu prikupljanja podataka
  • Podatci moraju biti ažurirani i točni i ne smijete ih pohranjivati dulje od vremenskog razdoblja koje je potrebno za ispunjavanje svrhe obrade podataka
  • Osobne podatke ste dužni zaštititi od nedozvoljene i nezakonite obrade, uništenja ili slučajnog gubitka

Privola ispitanika

Privola je jedna od važnijih zakonskih osnova za obradu podataka. Stoga, ako je vaša obrada podataka temeljena na privoli, morate učiniti slijedeće:

  • Kod obrade podataka dužni ste pružiti ispitaniku izjavu o privoli
  • Omogućiti korisniku jednostavno povlačenje privole, ukoliko on to želi
  • Zatražiti privolu za korištenje podataka
  • zatražiti izričitu privolu ukoliko prikupljate posebne kategorije osobnih podataka

Također, više nije dovoljno samo informirati ispitanike o tome koja su njihova prava, nego im morate pomoći i da ih ostvare. Mogu vas tražiti da ih informirate posjedujete li njihove podatke,  pristup njihovih osobnim podatcima koje posjedujete ili ispravak netočnog podatka. Također, mogu zatražiti i prijenos ili brisanje podataka koji se nalaze u vašoj evidenciji.

GDPR uredba

Kako dokazati usklađenost sa GDPR-om?

Usklađivanje sa GDPR-om je jedna stvar, no dokazivanje usklađenosti nešto sasvim drugo. Naime, nadzorno tijelo može od vas zatražiti da dokažete usklađenost sa GDPR-om. Kako to učiniti?

GDPR uredba jasno je definirala korake/aktivnosti koje morate poduzeti u tu svrhu. Uz vođenje detaljne evidencije aktivnosti obrade podataka morate imenovati i službenika za zaštitu osobnih podataka. Također, morate i surađivati sa nadzornim tijelima te provoditi procjenu učinka na zaštitu podataka.

Upravo je vođenje evidencije aktivnosti obrade podataka, što moraju sve tvrtke s više od 250 zaposlenih, najvažniji dio dokazivanja usklađenosti sa GDPR-om.

Riječ je o dokumentu koji će sadržavati informacije o razlozima obrade i prikupljanja podataka i opise prikupljenih podataka. Uz to obuhvaćat će i informacije o vremenskom trajanju obrade te o mjerama koje su poduzete kako bi se prikupljeni podatci zaštitili.

Kazne i sankcije ukoliko niste usklađeni sa GDPR-om

Kazne koje propisuje GDPR uredba svojevremeno su vjerojatno bile jedan od najčešće pretraživanih pojmova. Nije ni čudno ako znate o kojim je iznosima riječ . Do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće. Ovo su naravno kazne za teška kršenja načela obrade i zaštite podataka te poštivanja prava ispitanika.

Manje propuste nadzorna tijela u državama članicama EU mogu sankcionirati i upozorenjem ili opomenom. Novčana kazna i zabrana rada dolaze na red tek nakon njih.

    Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.