tko može biti DPO Hydra Consulting Zagreb

Tko može biti DPO ( Data Protection Officer)?

GDPR ili Opća uredba o zaštiti osobnih podataka donijela je vrlo zahtjevne promjene za brojne tvrtke. Glavni cilj uredbe je unaprijediti zaštitu osobnih podataka na području čitave EU u skladu s aktualnim izazovima. Jedna od važnijih obveza koje je GDPR donio za organizacije i tvrtke je imenovanje službenika za zaštitu osobnih podataka ili DPO-a. (eng. – data protection officer). Imenovanje DPO-a može biti posljedica obveze ili samo racionalna poslovna odluka, no tko može biti DPO?

Iako je od stupanja GDPR-a na snagu prošlo više od godinu dana, ovo pitanje i dalje muči njegove brojne obveznike primjene. To je ujedno i jedno od najčešćih pitanja koje dobivamo od naših klijenata. Upravo zato odlučili smo pojasniti osnovne pojmove vezane uz imenovanje službenika za zaštitu osobnih podataka i kvalifikacije koje bi trebala posjedovati osoba koja će obavljati te poslove.

Na koga se odnosi obveza imenovanja DPO-a?

Obzirom da se odredbe GDPR-a odnose na sve poslovne subjekte koji pohranjuju ili obrađuju osobne podatke, obvezu imenovanja DPO-a danas ima širok spektar organizacija i tvrtki. Zato, prije nego odgovorimo na pitanje tko može biti DPO, dobro je definirati tko i kada mora imenovati DPO-a.

Prije svega, DPO-a tj. službenika za zaštitu osobnih podataka potrebno je imenovati kada se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od postupaka obrade koji, zbog svoje prirode, opsega i/ili svrha, zahtijevaju redovno i sustavno praćenje ispitanika u velikoj mjeri. Primjera radi, takve postupke obrade osobnih podataka, a time i potrebu imenovanja DPO-a, susrećemo u djelatnostima ispitivanja tržišta, turizma i internetske prodaje.

Nadalje, organizacije i tvrtke su dužne imenovati DPO-a i kada osnovne djelatnosti voditelja i izvršitelja obrade obuhvaćaju opsežne obrade posebnih kategorija podataka iz članka 9. Opće uredbe (zdravstveni podaci, vjerska pripadnost, političko opredjeljenje, članstvo u sindikatu itd.) ili, što je u praksi rjeđi slučaj, osobnih podataka vezanih uz kaznenu ili prekršajnu osuđivanost, sukladno članku 10. GDPR-a.

Obvezu imenovanja DPO-a imaju i tijela javne vlasti te javna tijela, bez obzira na to koju vrstu podataka obrađuju.

Međutim, službenika za zaštitu osobnih podataka iznimno je korisno imenovati čak i kada to GDPR izričito ne zahtijeva. Na takav način tvrtka ili organizacija značajno pridonosi zaštiti osobnih podataka koju provodi i istovremeno razvija okružje povjerenja, sigurnosti te odgovornosti za dobrobit klijenata, jer znaju da im je privatnost zaštićena. Vidljiva usklađenost s propisima za zaštitu podataka je i općeprihvaćeni standard u poslovanju te dokaz društvene odgovornosti.

tko može biti DPO Hydra Consulting Zagreb

Koje poslove obavlja službenik za zaštitu podataka- DPO?

Postupak imenovanja službenika za zaštitu osobnih podataka ili DPO-a te njegove obveze jasno su definirani odredbama GDPR-a, točnije člancima 37. do 39. Da pojasnimo, riječ je o poslovima koji zahtijevaju specifične stručne kvalifikacije, neovisnost pri obavljanju posla, sposobnost za izvršavanje svih obveza iz članka 39. GDPR-a te posebno stručno znanje o pravnom okviru i praksama iz područja zaštite osobnih podataka.

Ukoliko unutar vaše tvrtke ili organizacije postoji osoba koja ispunjava ove kriterije, svakako razmislite o njenom daljnjem usavršavanju te nadogradnji postojećeg stručnog znanja u vidu individualnog savjetovanja.

U slučaju da vaša tvrtka ili organizacija ipak ne raspolaže zaposlenicima kvalificiranim za funkciju DPO-a, financijski je isplativije angažirati stručnjaka za ovo područje. Naime, nestručno pristupanje složenim prilagodbama i zahtjevima GDPR-a često dovodi do neželjenih propusta i sankcija. Obzirom na visinu kazni koje mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, ovisno što je u konkretnom slučaju veće, takav scenarij sigurno želite izbjeći.

Tko može biti DPO?

Mnogi naši klijenti su suočeni sa izazovima koje donosi postupak odabira i imenovanja službenika za zaštitu osobnih podataka.

Ispravnim odabirom stručnjaka koji će obavljati zahtjevne poslove zaštite osobnih podataka, vi se možete posvetiti svom core businessu, znajući da ste pitanje zaštite osobnih podataka prepustili u prave ruke. Upravo zato, sastavili smo korisne smjernice koje će vam pomoći pri definiranju odgovora na pitanje tko može biti DPO unutar vaše tvrtke ili organizacije, odnosno jesu li vam ipak potrebne usluge stručnjaka za ovo područje.

U dosadašnjoj praksi se pokazalo da kvalitetan DPO može biti osoba koja istovremeno poznaje pravni okvir i recentnu praksu zaštite osobnih podataka, konkretne poslovne procese obveznika primjene GDPR-a, rad informacijskih sustava, tehničke i organizacijske mjere zaštite podataka te postupak procjene i upravljanja rizicima. Zašto je tako? Zahvaljujući stručnom znanju i iskustvu te razumijevanju konkretnih poslovnih procesa i okružja u kojemu se oni odvijaju, pravni stručnjaci za zaštitu osobnih podataka trebaju biti u mogućnosti na jednostavan način riješiti vaše praktične probleme vezane uz zaštitu osobnih podataka. Upravo stoga je preporučljivo da se za DPO-a imenuje osoba koja, pored svega navedenog, raspolaže i vještinama planiranja, implementacije i održavanja usklađenosti tvrtke ili organizacije sa odredbama GDPR-a.

Važno je istaknuti da posao službenika za zaštitu osobnih podataka ili DPO-a podrazumijeva redovno informiranje i savjetovanje menadžmenta te edukaciju zaposlenika o obvezama koje nalažu GDPR i drugi pravni propisi koji reguliraju ovo područje. Također, DPO ima ključnu ulogu u suradnji sa Agencijom za zaštitu osobnih podataka kao nadzornim tijelom, redovno komunicira i surađuje sa Agencijom te pruža potrebne informacije u vezi obrade podataka.

S obzirom na tražene kvalifikacije i opseg poslova, prethodno navedene zahtjeve najlakše ispunjavaju pravnici s prethodnim iskustvom rada na području zaštite osobnih podataka (prema ranijim propisima), kao i s barem elementarnim poznavanjem informacijske sigurnosti i upravljanja rizicima. Takve osobe će kao DPO-i, uz dodatno usavršavanje na spomenutim područjima, najprije biti u mogućnosti odgovoriti na potrebe koje GDPR postavlja pred vašu tvrtku odnosno organizaciju.

U slučaju da zapošljavate pravne stručnjake koji se do stupanja na snagu GDPR-a nisu susretali sa zaštitom osobnih podataka, preporučljivo je organizirati njihovu izobrazbu i savjetovanje od strane stručnjaka za zaštitu osobnih podataka. Uz edukaciju iz GDPR-a prilagođenu vašem poslovanju i povremenu stručnu pomoć prilikom uspostavljanja sustava zaštite osobnih podataka unutar vaše tvrtke odnosno organizacije, postojeći pravnici će biti u mogućnosti pružiti adekvatnu podršku u svim tekućim poslovima koji uključuju zaštitu osobnih podataka.

Konačno, u slučaju da vaša tvrtka odnosno organizacija nema stalnu potrebu za pravnim stručnjakom odnosno ne zapošljava pravnika, oportuno je poslove zaštite osobnih podataka povjeriti vanjskom stručnjaku, koji će svoj angažman prilagoditi vašim poslovnim potrebama.

Službenik za zaštitu podataka Hydra Consulting

Ostali korisni savjeti vezani uz poslove DPO-a

Ukoliko još uvijek niste imenovali službenika za zaštitu podataka unutar vaše tvrtke ili organizacije, evo još nekoliko savjeta koji će pomoći;

  • ukoliko je voditelj obrade ili izvršitelj obrade podataka javno tijelo ili tijelo javne vlasti, može se imenovati jedan DPO za nekoliko takvih tijela, razmjerno veličini i organizacijskoj strukturi tih tijela.
  • grupa poduzetnika (kako je ista definirana Uredbom) može imenovati jednog zajedničkog DPO-a i na taj način istovremeno ostvariti znatne uštede i pojednostaviti zaštitu osobnih podataka
  • ako vaša tvrtka ili grupa ne raspolaže kvalificiranim zaposlenicima koji mogu obavljati poslove DPO-a, Uredba dopušta korištenje vanjskih pružatelja usluga. Prednosti takvog rješenja su višestruke.

Zanima vas je li vaš izbor kako popuniti poziciju DPO-a proveden  u skladu s pravilima GDPR-a? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

GDPR za privatne iznajmljivače Hydra Consulting

GDPR vodič za privatne iznajmljivače u turizmu

Kao što smo ranije pisali, Opća uredba za zaštitu osobnih podataka ili GDPR primjenjuje se na jednom zaista širokom području. Njene odredbe se odnose na apsolutno sve tvrtke i organizacije koja obrađuju ili pohranjuju osobne podatke.

Na tom velikom popisu su, između ostalog i privatni iznajmljivači u turizmu. Za njih GDPR odredbe postaju još aktualnije u vrijeme turističke sezone. Upravo zato, donosimo ovaj kratki vodič o tome što znači GDPR za privatne iznajmljivače. Evo što trebaju znati o Uredbi za zaštitu osobnih podataka.

Što znači GDPR za privatne iznajmljivače?

Svi privatni iznajmljivači imaju zakonsku obavezu prijaviti turiste u eVisitor sustav. Upravo iz tog razloga, prema odredbama GDPR-a  imaju pravo zatražiti i obrađivati njihove osobne podatke. Obzirom da se podatci u tom slučaju prikupljaju u svrhu ispunjenja obveze iznajmljivača koja je propisana zakonom, nije potrebna privola gostiju za prikupljanje podataka.

Navedeno ne znači da iznajmljivači prema gostima s te strane nemaju nikavih obaveza. Naime, sukladno odredbama članka 13. GPDR-a, privatni iznajmljivači su dužni pružiti gostu propisane informacije prilikom prikupljanja osobnih podataka.

Dakle, goste je potrebno prethodno obavijestiti o razlozima prikupljanja njihovih osobnih podataka. Odnosno, da bez tih podataka ne mogu ispuniti svoju zakonsku obavezu prijave svakog turista, što je nužno za pružanje usluge smještaja.

Uz to, preporuča se gostima pružiti i informacije o zakonskoj osnovi temeljem koje se prikupljaju njihovi podatci, što je eVisitor sustav kao i relevantne informacije vezane uz zaštitu njihovih podataka.

Kako bi privatni iznajmljivač mogao dokazati da je gosta upoznao sa svime potrebnim informacijama, prikladno je voditi i zapisnik sa datumima kada su gostima pružene ove informacije. Pri tome je potpis gostiju u zapisniku dokaz primitka informacija.

GDPR za privatne iznajmljivače Hydra Consulting

Kada je sve iznajmljivač dužan prikupiti privolu gosta?

Osobni podatci gostiju prikupljeni s ciljem njihova upisa u sustav eVisitor mogu se koristiti isključivo u za svrhu za koju su prikupljeni. Bilo kakvo korištenje prikupljenih podataka za druge svrhe ili zadržavanje tih podataka duže nego što je potrebno za ispunjenje svrhe smatra se prekomjernom obradom i nije dopušteno. To znači da fotokopiranje ili zadržavanje osobnih iskaznica gostiju, nije dozvoljeno. Bilo koji oblik prikupljanja osobnih podataka izvan opsega potebnog za prijavu u eVistor dopušten je samo uz postojanje valjane pravne osnove. Najčešće je to prethodna privola gosta.

Kada je riječ o marketinškim aktivnostima, GDPR za privatne iznajmljivače donosi ista pravila kao i za bilo koje drugo poslovanje. Privatni iznajmljivač je dužan unaprijed obavijestiti svoje goste o tome da namjerava koristiti njihove podatke u marketinške svrhe. Pod time se misli na slanje bilo kakvih obavijesti, ponuda ili informacija o akcijskim ponudama te newslettera.

Također, obavezan je za to zatražiti njihovu privolu te ih informirati o njihovom pravu da ne moraju pristati na ovakav oblik  obrade i korištenja osobnih podataka. Jednako kao i da u bilo kojem trenutku mogu povući svoju privolu.

Hydra Consulting Zagreb

Privatni iznajmljivači i pitanje službenika za zaštitu osobnih podataka

U jednom od ranijih blogova definirali smo kada tvrtka ili organizacija ima obavezu imenovati službenika za zaštitu osobnih podataka te na koga se sve odnosi ova obaveza. No, kakve odredbe po tom pitanju donosi GDPR za privatne iznajmljivače?

Privatni iznajmljivači nisu obavezni angažirati službenika za zaštitu informacija. Ipak, ukoliko se njihov posao s vremenom bude razvijao i rastao, primjerice u mali obiteljski hotel, to može postati korisna opcija u budućnosti.  U tom slučaju je eksternalizirani službenik za zaštitu podataka komercijalno najisplativija opcija, jer garantira stručnu uslugu bez nesrazmjernih troškova.

U ovom trenutku, i iznajmljivači mogu kontaktirati stručnjaka za zaštitu osobnih podataka i potražiti savjete glede obrade osobnih podataka gostiju i zaposlenika.

GDPR za privatne iznajmljivače Hydra Consulting

GDPR za privatne iznajmljivače– kako to izgleda u praksi?

Dakle, svaki privatni iznajmljivač trebao bi na vidljivo mjesto staviti pisanu obavijest za sve goste i turiste  u kojem pojašnjava zakonsku osnovu prikupljanja njihovih osobnih podataka. Jednako tako, treba istaknuti kako će prikupljene podatke koristiti isključivo u svrhu ispunjavanja zakonske obveze. U ovom slučaju, to je upis njihovih podataka u eVisitor sustav.

Evo još nekih savjeta u praksi u vezi toga što privatni iznajmljivači ne smiju činiti sukladno odredbama GDPR-a;

  • Nije dozvoljeno korištenje i objavljivanje fotografija gostiju i turista na web stranicama privatnih iznajmljivača bez izričite dozvole gostiju. Riječ je o materijalima uz pomoću kojih se može identificirati pojedinca. U skladu s tim, nije ih dozvoljeno koristiti niti u bilo kakve marketinške svrhe bez prethodne privole
  • Nije dozvoljeno kontaktirati goste kako bi ih se informiralo o novim sadržajima, posebnim popustima ili promotivnim ponudama. Osim ako su gosti na to dali privolu
  • Bez prethodne privole, nije dozvoljeno ni dijeliti podatke gostiju s turističkim agencijama i organizatorima izleta

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

Razlika između GDPR-a i ePrivacy-Hydra Consulting Zagreb

Hydra Consulting savjeti: Razlika između GDPR-a i ePrivacy uredbe

Europska Unija oduvijek je radila na stvaranju jedinstvenih pravnih propisa koji se jednako primjenjuju u svim zemljama članicama.  Kada je riječ o elektroničkim komunikacijama i online tržištu, tijekom posljednjih godina na ovom je području došlo do značajnih izmjena. Upravo su napredak i razvoj tehnologija ukazali na snažnu potrebu za proširenjem pravnog okvira koji regulira elektroničke komunikacije na području čitave Europske Unije.

Generalno gledano, zaštita osobnih podataka u EU regulirana je GDPR-om. Ipak, Europska komisija je shvatila da će za učinkovitiju zaštitu osobnih podataka na području elektroničkih komunikacija biti nužno donijeti lex specialis. Tako je nastala ePrivacy uredba i trebala bi stupiti na snagu već krajem ove ili početkom iduće godine.

Eprivacy uredba će biti lex specialis u odnosu na GDPR. To znači da će imati prednost u odnosu na GDPR na području elektroničkih komunikacija. Njeni obveznici su sve tvrtke koje koriste internetske tehnologije praćenja, pružaju bilo kakav oblik komunikacijske usluge ili se bave izravnim marketingom.

Dakle, ePR ima jedan vrlo široki krug obveznika. Stoga je vrlo važno da tvrtke ali i njihovi korisnici shvate koja je razlika između GDPR-a i ePrivacy uredbe.

Razlika između GDPR-a i ePrivacy-Hydra Consulting Zagreb

Zašto ePrivacy uredba?

Jedna od ključnih razlika između GDPR-a i ePrivacy uredbe tiče se razloga njihova donošenja. GDPR je donesen kako bi korisnicima osigurao veći nadzor u procesu prikupljanja i obrade njihovih osobnih podataka. Istovremeno, on štiti korisnike od zloupotrebe osobnih podataka. Odnosi se na sve poslovne subjekte na području EU koji se bave obradom osobnih podataka. To mogu biti i udruge i nevladine organizacije, državna uprava i javna tijela, male i velike tvrtke.

S druge strane, ePrivacy uredba preciznije pojašnjava te unaprijeđuje pojedine odredbe GDPR-a koje se tiču elektroničkih komunikacija. Njenom primjenom pitanja komunikacijskog sadržaja, tajnosti podataka i meta podataka u elektroničkim komunikacijama te pravila o kolačićima postaju jasnije definirana.

Također, njen cilj je proširiti područje primjene postojeće Direktive o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija. Istovremeno, ePR-om će se uskladiti i različiti propisi s područja elektorničkih komunikacija koji postoje u zemljama članicama EU.

Jednostavnija pravila o kolačićima

Razlika između GDPR-a i ePrivacy uredbe je i u tome što nova uredba detaljno definira područje primjene kolačića na web stranicama. Istovremeno, donosi jednostavnija pravila o kolačićima za korisnike.  Primjenom ePrivacy uredbe korisnici će moću puno lakše odbiti ili prihvatiti prateće kolačiće ili druge identifikatore. Točnije, više neće trebati na svakoj web stranici davati pristanak na korištenje kolačića, nego će to unaprijed odrediti u postavkama svog pretraživača.

Dakle, s jedne strane ePR olakšava samim korisnicima zaštitu njihove privatnosti. No, jednako tako, pružateljima usluga olakšava korištenje podataka koji ne zadiru u privatnost korisnika, a važni su za pružanje usluge. Primjerice, više neće biti potrebno zatražiti suglasnost korisnika kada je riječ o kolačićima pomoću kojih web stranice bilježe broj posjetitelja.

ePrivacy uredba Hydra Consulting Zagreb

Tajnost podataka; komunikacijski sadržaj i meta podatci

Tržište elektroničkih komunikacija se nevjerojatno razvilo tijekom posljednjih deset godina. Upravo zato, postojeća ePrivacy Direktiva, čija je posljednja revizija učinjena 2009. godine, nije usklađena sa novim komunikacijskim trendovima. EPrivacy uredba to će promijeniti.

Što to znači? Prije svege, da kompanije koje stoje iza komunikacijskih alata poput Gmaila, Skypa, Facebooka, Vibera ili Whatsapa dobivaju obvezu osigurati svojim korisnicima jednaku razinu povjerljivosti kao i tradicionalni tele operateri. Dakle, pružatelji usluga u elektroničkim komunikacijama dužni su osigurati tajnost komunikacijskog sadržaja njihovih korisnika u skladu sa najvišim standardima na tržištu.

Jednako tako, ePrivacy uredba garantira privatnost cjelokupnog komunikacijskog sadržaja. To se odnosi i na podatke o vremenu i lokaciji telefonskog poziva. Također, meta podatci su definirani kao iznimno privatne informacije. Bez pristanka korisnika, pružatelji usluga su dužni izbrisati meta podatke ili ih učiniti anonimnima. Osim kada ih koriste s ciljem obračuna potrošnje.

Glavna razlika između GDPR-a i ePrivacy uredbe

Obje uredbe, i GDPR i ePrivacy,  odraz su snažne potrebe za jasnijim propisima na područje zaštite osobnih podataka EU građana. Ipak, glavna razlika među njima je slijedeća.

GDPR je donesen kao svojevrsna razrada članka 8. Povelje Europske Unije o temeljnim pravima koji definira pravo na zaštitu osobnih podataka te na zakonitost njihove obrade i prikupljanja. S druge strane, ePrivacy uredba razrađuje članak 7. iste Povelje koji definira da svatko ima pravo na poštivanje njegova privatnog i obiteljskog života te privatnost komunikacije.

Eprivacy uredba regulira upravo područje privatnosti krajnjeg korisnika u svim fazama i oblicima elektroničke komunikacije. To se odnosi na tradicionalne oblike elektroničke komunikacije poput sms poruka i emailova. No, jednako tako i na danas češće korištene oblike komunikacija na web stranicama, društvenim mrežama, ili putem aplikacija, video i audio kanala. Pri tome se ne smije zaboraviti da ePR i nadopunjuje pojedine dijelove GDPR-a, zbog čega su njegove odredbe uvijek relevatne u primjeni nove uredbe.

Definiranjem svake pojedinačne situacije u kojoj se krajnji korisnici mogu zateći, uredbe zapravo imaju sinergijski učinak u zaštititi osobnih podataka online korisnika. Također, njihove međusobno nadopunjujuće odredbe obvezuju pružatelje usluga elekektroničke komunikacije da prikupljaju i obrađuju podatke korisnika na način koji garantira zaštitu osobnih podataka.

Kao i u slučaju GDPR-a, za nepoštivanje odredbi ePrivacy uredbe (ovisno o vrsti prekršaja) kazne mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa pravne osobe u prethodnoj godini, odnosno što god je veće. Upravo iz tog razloga ključno je da na vrijeme angažirate stručnjake koji će vam pomoći u pripremi za sve promjene koje ePR donosi.

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

 

GDPR izazovi Hydra Consulting

GDPR izazovi – implementacija GDPR-a u praksi

Europska komisija i Europski parlament donijeli su Uredbu o zaštiti osobnih podataka kako bi sustavno i temeljito riješili problem neujednačene prakse zaštite osobnih podataka na području Europske Unije. GDPR izazovi tako su postali stvarnost za brojne tvrtke, organizacije i druge poslovne subjekte koji se bave obradom podataka EU građana.

GDPR je donio velike izazove za menadžemnt brojnih tvrtki, a evo i zašto. Prije svega, GDPR izazovi obuhvaćaju vrlo zahtjevne te opsežne radnje u smislu usklađivanja sa odredbama Uredbe. Usklađivanje sa GDPR-om često zahtjeva i organizacijske promjene unutar tvrtki, jednako kao i promjene u tehničkom segmentu njihova poslovanja.

Uz to, za nepridržavanje odredbi GDPR-a predviđene su i iznimno visoke kazne. One iznose do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće.

GDPR Hydra Consulting Zagreb

Da, GDPR je donio značajne izmjene za njegove obveznike, a nove odredbe čine sedam osnovnih načela zaštite osobnih podataka;

  • Zakonitost i transparentnost prikupljanja osobnih podataka
  • Ograničavanje svrhe obrade osobnih podataka
  • Točnost podataka koji se obrađuju
  • Smanjenje količine podataka
  • Cjelovitost i povjerljivost podatka
  • Ograničavanje trajanja pohrane osobnih podataka
  • Pouzdanost, odnosno, dokazivost ispunjenja prethodnih načela

Stupanjem na snagu GDPR-a, tvrtke su dobile nove, velike odgovornosti u smislu zaštite osobnih podataka. Upravo zato, kako bi ispoštovale njegove odredbe te izbjegle predviđene kazne, mnoge od njih zatražile su GDPR konzultantske usluge.

GDPR izazovi u praksi –  ustrojavanje novih sustava kontrole

GDPR se u mnogočemu razlikuje od Zakona o zaštiti osobnih podataka. Osim ranije spomenutih kaznenih odredbi, Uredba je donijela i čitav niz novosti vezanih uz samu definiciju osobnog podatka ali i zahtjeve vezane uz njihovu obradu. Uvedeni su i novi pojmovi poput pseudonimizacije.

Također, poseban naglasak stavljen je na prava ispitanika. Ovdje se ističu obrada podataka na temelju privole, pravo ispitanika da bude informiran te pravo na zaborav. Glavni zadatak GDPR-a je onemogućiti i spriječiti narušavanje integriteta i povjerljivosti osobnih podataka te spriječiti njihovu neovlaštenu upotrebu i obradu.

U tom smislu, GDPR se ne razlikuje puno od općih zahtjeva vezanih uz pojam sigurnosti informacijskih sustava. Ipak, za usklađivanje sa GDPR odredbama, tvrtke jednostavno moraju uskladiti postojeće ili ustrojiti nove upravljačke, fizičke i logičke kontrole.

Takvi novi sustavi kontrole zahtijevaju se i od izvršitelja obrade osobnih podataka. Naime,  preuzimanjem poslova od voditelja obrade preuzimaju i sve obveze koje je definirao GDPR.  Isto tako, važno je naglasiti da odgovornost za zaštitu osobnih podataka obuhvaća sve segmente poslovanja neke organizacije ili tvrtke – od uprave do korisničke podrške.

GDPR izazovi Hydra Consulting Zagreb

GDPR izazovi u praksi- što je osobni podatak i kako se obrađuje?

GDPR uzima u obzir daleko veći broj identifikatora koji u međusobnoj kombinaciji čine osobni podatak pojedinca. Identifikatori su ime pojedinca, čimbenici svojstveni za njegov fizički, genetski, fiziološki, kulturni, ekonomski ili socijalni identitet. Zatim to su podatci o lokaciji, identifikacijski broj te mrežni identifikatori ( identifikator mobitela, IP adresa).

Zasebno gledano, neki od ovih identifikatora nisu osobni podatci. Ipak, često je kombiniranjem dva ili više identifikatora moguće neizravno ili izravno utvrditi identitet određenog pojednica. Upravo na taj način identifikatori mogu postati osobnim podatkom.

GDPR izazovi u praksi velikim dijelom su vezani i uz postupak obrade osobnih podataka. Prema definiciji Uredbe, obradu podataka predstavlja „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. „

Također, neka od ključnih pitanja, zbog kojih tvrtke vrlo često zatraže GDPR konzultantske usluge, su kako definirati tko i pod kojim uvjetima koristi osobne podatke te na koji način se osobni podatci štite u svakoj fazi njihove obrade.

Naime, sukladno odredbama GDPR-a jasno je da se one ne odnose samo na obradu podataka korisnika usluga neke tvrtke ili organizacije. One se odnose i na obradu svih ostalih osobnih podataka kojima tvrtka raspolaže. Dakle, riječ je i o osobnim podatcima zaposlenika tvrtke te osobnim podatcima vanjskih suradnika ili dobavljača.

Upravo zbog velike količine osobnih podataka koje obuhvaćaju različiti poslovni procesi, usklađivanje sa odredbama GDPR-a je zaista velik izazov za čitavu tvrtku. To se ponajviše odnosi na Upravu i menadžment tvrtke koji su dužni osigurati potrebne resurse.

GDPR izazovi Hydra Consulting Zagreb

GDPR izazovi za menadžment

Ranije smo spomenuli drakonske kazne za nepoštivanje odredbi GDPR-a. No, kada su ispitaniku narušena prava definirana Uredbom, on ima i druge opcije na raspolaganju. Naime, može pokrenuti i postupak protiv voditelja ili izvršitelja obrade podataka pred nadležnim sudom.

Ipak, tvrke se ne izlažu samo financijskom riziku zbog nepoštivanja odredbi GDPR-a. Tu je i operativni rizik te jednako važan reputacijski rizik kod nezakonite obrade osobnih podataka.

Operativni rizici ovdje se odnose na uspostavu odgovarajućih internih kontrola te definiranje odgovornosti i nadležnosti svih sudionika u procesu obrade osobnih podataka. Službenik za zaštitu osobnih podataka ovdje ima jednu od ključnih uloga.

Zbog svega navedenog, uprave tvrtki moraju pravovremeno donijeti nužne odluke te osigurati potrebna sredstva. Jednako je važno da pruže maksimalnu podršku pri implementaciji odredbi GDPR-a u poslovanje te zatraže GDPR konzultanstske usluge kada je to potrebno.

Operativni procesi i GDPR

GDPR izazovi s kojima su tvrtke suočene u njihovom svakodnevnom poslovanju velikim dijelom su vezani uz široko područje koje on obuhvaća. Naime, gotovo da nema segmenta poslovanja u kojem se u nekom obliku ne obrađuju osobni podatci.

Primjerice, kada je riječ o procesu obrade osobnih podataka zaposlenika tvrtke, on započinje već prijavom kandidata na oglas te distribucijom životopisa u natječajnom postupku. Nakon toga slijedi potpisivanje ugovora o radu te registri koje su poslodavci dužni voditi prema zakonskim propisima,. Također, učlinkovitost zaposlenika se ocjenjuje kroz različite analitičke postupke, a tu su i programi za obračun plaća zaposlenika.

Upravo zato, procesu usklađivanja i implementaciji GDPR-a u poslovanje te kasnijoj primjeni nužnih internih kontrola, treba pristupiti sistematično i detaljno. Neizostavan dio analize procesa obrade osobnih podataka u tvrtki je i analiza informacijskog sustava koje ona koristi. Potrebno je uključiti i zaposlenike ili organizacijske jedinice koje su odgovorne za IT infrastrukturu te sve ostale službe ili zaposlenike koji rade na poslovima pohrane i arhiviranja podataka. Ovo se odnosi i na vanjske suradnike uključene u pojedine dijelove postupka obrade podataka.

U čitavom ovom procesu iznimno je važno kooridirano djelovanje službenika za zaštitu osobnih podataka te uprave tvrtke. Jedino na takav način mogu se pravovremeno procijeniti rizici, utvrditi sve obveze čuvanja osobnih podataka te ispuniti svi zahtjevi koje je GDPR-a donio.

Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

 

nova ePrivacy uredba Hydra Consulting Zagreb

Što je nova ePrivacy uredba i kako utječe na vaše poslovanje?

Tijekom posljednjih godina Europska komisija sustavno ulaže značajne napore u „modernizaciju“ pravnog okvira koji regulira zaštitu podataka na području Europske Unije. Ipak, nisu se ni slegli dojmovi oko implementacije GDPR-a, već stiže nova ePrivacy uredba. Mnogi ju smatraju strožom verzijom GDPR-a, a njeno stupanje na snagu najavljuje se već krajem ove ili početkom iduće godine.

O čemu se radi? Naime, uz donošenje Uredbe za zaštitu osobnih podataka, Europska komisija planira donijeti i ovu novu uredbu. Njen glavni cilj je zaštiti osobne podatke građana EU na području elektroničkih komunikacija. Iako je trebala stupiti na snagu u isto vrijeme kada i GDPR, to je ipak odgođeno.

Stupanjem na snagu, nova ePrivacy uredba ili ePR tako bi trebala zamijeniti postojeću Direktivu 2002/58/EZ od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija.

nova ePrivacy uredba Hydra Consulting Zagreb

Koja područja regulira nova ePrivacy uredba?

Novom ePrivacy uredbom Europska komisija želi ojačati povjerenje građana u sigurnost na digitalnom tržištu. Istovremeno, želi i povećati razinu zaštite osobnih podataka na području elektroničkih komunikacija.

Mnogi se pitaju zbog čega je to bilo nužno kada već postoji GDPR.  Objašnjenje je da će ePrivacy uredba puno detaljnije regulirati tradicionalnu elektroničku komunikaciju poput emailova i sms poruka, jednako kao i moderne oblike komunikacija poput društvenih mreža, web stranica, aplikacija, video i audio kanala itd.

Naime, od posljednje revizije ePrivacy Direktive 2009. godine, tržište elektroničkih  komunikacija se nevjerojatno razvilo. Pri tome su aplikacije poput Facebook Messengera, Vibera, Skypa ili Whatsupa značajno promijenile komunikacijske navike potrošača. Postojeća direktiva, na žalost, ne prati nove komunikacijske trendove. Europska komisija to planira promijeniti upravo  ePR-om.

Kako će to utjecati na postojeće zakonsku regulativu? Uz postojeće zakonske propise na području elektroničkih komunikacija, nova ePrivacy uredba će zapravo biti lex specialis u odnosu na GDPR. To znači da će u primjeni na području koje regulira imati prednost u odnosu na GDPR.

Na koga će se primjenjivati? Na sve tvrtke koja pružaju bilo kakav oblik mrežne komunikacijske usluge, koriste internetske tehnologije praćenja ili se bave elektroničkim izravnim marketingom, uključujući email newslettere. Obzirom na trendove i važnost interneta u poslovanju većine tvrtki, to znači da će krug obveznika primjene ePrivacy uredbe biti iznimno širok.

Ovdje je svakako važno istaknuti da će se nova ePrivacy uredba, za razliku od GDPR-a,  primjenjivat i na neosobne podatke. O kakvim podatcima je riječ?  To bi bili podatci poput operativnog sustava ili vrste internetskog preglednika kojim se služite te domena s koje pristupate stranicama. Ovi podatci se odnose i na povijest pregledanih stranica ili prosječno vrijeme koje provodite na određenim web stranicama.

nova ePrivacy uredba Hydra Consulting Zagreb

Kako će nova ePrivacy uredba utjecati na poslovanje?

„GDPR na steroidima“ jedan je čestih opisa nove e-PR uredbe, no je li to zaista tako? Činjenica je da donosi velike promjene i odgovornosti za obveznike. Naime, tvrtke koje su obveznici ePR uredbe morat će uzeti u obzir njene zahtjeve i odredbe pri analizi usklađenosti poslovanja s GDPR-om.  Ovo samo neki od najistaknutijih zahtjeva;

Stroža pravila; sve fizičke i pravne osobe na području EU će imati osiguranu jednaku razinu zaštite osobnih podataka u elektroničkim komunikacijama. Jedna od prednosti za tvrtke je što sa ePR uredbom dobivaju jedinstvenu zakonsku regulativu na području čitave EU.

Sveobuhvatan nadzor; odredbe ePR uredbe primjenjivat će se i na vrlo popularne besplatne aplikacije poput Vibera, Whatsupa, Messengera ili Skypa. To znači da će njihovi korisnici dobiti jednaku razinu povjerljivosti kao i kod tradicionalnih tele operatera.

Komunikacijski sadržaj i meta podatci; ePrivacy uredba garantira privatnost za sav komunikacijski sadržaj, uključujući podatke o lokaciji i vremenu telefonskog poziva. Meta podatci se smatraju iznimno privatnim informacijama što znači da se, bez pristanka korisnika, moraju učiniti anonimnim ili izbrisati, osim ako se koriste u svrhu obračuna potrošnje.

Jednostavnija pravila o kolačićima: nova ePrivacy uredba će donijeti i jednostavnija pravila za korisnike (ne i za vlasnike internetskih stranica) kada je riječ o korištenju kolačića. Naime, korisnici će biti u mogućnosti lakše prihvatiti ili odbiti prateće kolačiće ili druge identifikatore. Također, više neće biti potrebno tražiti suglasnost korisnika za kolačiće koji ne zadiru u njihove privatne podatke, poput onih koje web stranice koriste kako bi zabilježile broj posjetitelja.

Učinkovitija provedba: provedba ePR uredbe bit će u nadležnosti istih nadzornih tijela nadležnih i za GDPR. U Hrvatskoj je to Agencija za zaštitu osobnih podataka.

Hydra Consulting Zagreb

Sankcije za nepoštivanje odredbi ePR-a

Tvrtke moraju znati da, ovisno o vrsti prekršaja, kazne za nepoštivanje odredbi ePrivacy uredbe mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće. Dakle, jednako su rigorozne kao i one koje je donio GDPR.

Stoga je iznimno važno da na vrijeme angažirate stručnjake koji će vam pomoći u pripremi za sve promjene koje ePR donosi.

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

 

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi; Kada imenovati službenika za zaštitu osobnih podataka?

Prema odredbama Opće uredbe o zaštiti podataka (GDPR-a), voditelji i izvršitelji obrade su dužni imenovati službenika za zaštitu osobnih podataka. Dosta često od klijenata dobivamo upite koji se odnose upravo na ovo područje.

Na koga se sve odnosi ova obaveza? Kada imenovati službenika za zaštitu osobnih podataka? Ovo su samo od neka pitanja oko kojih vam mogu pomoći ovi GDPR savjeti u praksi.

Tko sve mora imenovati službenika za zaštitu osobnih podataka?

GDPR savjeti u praksi pomažu vam izbjeći propuste zbog kojih bi ste mogli biti sankcionirani. Upravo zato, jedno od vrlo važnih pitanja je definirati tko ima obavezu imenovati službenika za zaštitu osobnih podataka.

Obveza imenovanja službenika za zaštitu osobnih podataka odnosi se prije svega na javna tijela i tijela javne vlasti. Bez obzira koje podatke obrađuju.

S  druge strane, čak i kada tvrtka nije javno tijelo, službenika za zaštitu podataka je potrebno imenovati  kada se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od postupaka obrade koji, zbog svoje prirode, opsega i/ili svrha, zahtijevaju redovno i sustavno praćenje ispitanika u velikoj mjeri.

Također, tvrtka je dužna imenovati službenika i ako osnovne djelatnosti voditelja i izvršitelja obrade obuhvaćaju opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.  GDPR-a. Jedan od najboljih primjera posebnih podataka u praksi su osobni podatci pacijenata i zdravstveni podatci.

Čak i u slučaju kada GDPR ne zahtijeva izričito imenovanje službenika za zaštitu osobnih podataka, ponekad je vrlo korisno ako se organizacija ipak odluči to činiti. Zašto? Jer značajno pridonosi zaštiti osobnih podataka koju tvrtka provodi te stvaranju povjerenja klijenata, koji znaju da je njihova privatnost zaštićena.

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi: kako izgleda postupak prije imenovanja službenika

Procedura u praksi izgleda otprilike ovako. Voditelj i izvršitelj obrade moraju provesti internu analizu kako bi utvrdili treba li imenovati službenika za zaštitu osobnih podataka. Što to znači? Primijeniti gore navedene i opisane zakonske odredbe na obradu osobnih podataka koju tvrtka provodi te utvrditi postoji li razlog za imenovanje službenika za zaštitu osobnih podataka.

Takvu internu analizu potrebno je dokumentirati kako bi, ukoliko se za to ukaže potreba, mogli dokazati da ste kod donošenja odluke o imenovanju službenika na odgovarajući način uzeli u obzir sve relevantne rizike.

Ukoliko ste kao organizacija procijenili da ste obvezni imenovati službenika za zaštitu osobnih podataka, ili smatrate da je to korisno za vašu tvrtku, onda morate znati da se na njegove obaveze, imenovanje i funkciju primjenjuju zahtjevi iz članaka 37. do 39. GDPR-a. Što to znači?

Posao službenika za zaštitu osobnih podataka zahtijeva vrlo specifične kvalifikacije, posebno stručno znanje o pravu i praksama s područja zaštite podataka, neovisnost u obavljanju posla te sposobnosti izvršavanja obaveza iz članka 39.

U slučaju da unutar vaše tvrtke ne postoji osoba koja ispunjava ove kriterije, financijski je isplativije angažirati specijalistu za ovo područje. Naime, na taj način izbjegavate propuste i sankcije.

GDPR savjeti u praksi Hydra Consulting

Što službenik za zaštitu podataka znači za tvrtku?

Ovo je jedno od najčešćih pitanja naših klijenata koje, iz potpuno opravdanih razloga, zanima kakvu vrijednost službenik za zaštitu osobnih podataka donosi za njihovu tvrtku. Ovi GDPR savjeti u praksi pomoći će vam da to shvatite, no prije toga moramo objasniti što je zapravo posao službenika.

Dakle, službenik za zaštiti osobnih podataka informira i savjetuje voditelja ili izvršitelja obrade, te zaposlenike koji obavljaju obradu, o njihovim obavezama u skladu s odredbama GDPR-a ili drugih zakonskih odredbi.

Također, sustavno prati poštivanje odredbi GDPR-a te drugih zakonski propisa koji se tiču zaštite osobnih podataka u vašoj tvrtki ili organizaciji, te educira i osposobljava zaposlenike koji sudjeluju u postupku obrade podataka.

Upravo zahvaljujući stručnom znanju i vrlo specifičnim kompetencijama, službenik za zaštitu osobnih podataka će vam pružiti i stručan savjet u vezi procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35. GDPR-a.

Uz to, službenik za zaštitu osobnih podataka redovno komunicira i surađuje sa Agencijom za zaštitu osobnih podataka, kao nadzornim tijelom, pruža Agenciji potrebe informacije u vezi obrade podataka. To uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.

GDPR savjeti u praksi Hydra Consulting

GDPR savjeti u praksi; što morate učiniti nakon imenovanja službenika za zaštitu podataka?

Nakon što ste kao voditelj ili izvršitelj obrade imenovali službenika za zaštitu podataka, morate osigurati da bude uključen u poslovne procese i dobiva potrebne informacije kako bi Vam mogao pružiti odgovarajuću uslugu i učinkovito obavljati svoj posao.  Idući korak je javno objaviti kontakt podatke kako bi bili dostupni ispitanicima.

Uz to, preporučuje se da objavljeni kontakt e-mail ne sadrži osobno ime službenika, nego probajte sa općenitijom verzijom kao npr. sluzbenik@hydraconsuling.hr. Nakon toga, dužni ste obavijestiti Agenciju za zaštitu osobnih podataka kao nadzorno tijelo o imenovanju.

Imenovanje službenika za zaštitu osobnih podataka ćete dostaviti u pisanom obliku, u izvorniku ( s potpisom i pečatom odgovorne osobe) na adresu Agencije za zaštitu osobnih podataka. Agenciji morate dostaviti ove podatke;

 

Podaci o voditelju obrade:

Naziv i adresa sjedišta voditelja obrade

OIB voditelja obrade

 

Službeni kontakt podaci o službeniku za zaštitu podataka:

Ime i prezime službenika za zaštitu podataka

Adresa i mjesto rada

Broj službenog telefona

e-mail kontakt adresa

 

Zanima Vas je li Vaša odluka o imenovanju službenika za zaštitu podataka donesena u skladu s pravilima GDPR-a? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

GDPR uredba

GDPR uredba – vodič za početnike

Prije točno godinu dana na snagu je stupila GDPR uredba – Opća uredba o zaštiti osobnih podataka koja je donijela drastične promjene u EU zakonodavstvu. Ovaj potpuno novi pravni okvir koji regulira područje zaštite osobnih podataka izazvao je pravi šok kod mnogih tvrtki na hrvatskom tržištu. Zašto?

Promjene koje je izazvala GDPR uredba zahtijevale su ozbiljan i temeljit pristup. Mnoge tvrtke čekale su posljednji tren kako bi ih provele. U nedostatku vremena za prilagodbom nastala je prava panika.

Iako je od tada prošlo godinu dana, GDPR je za mnoge i dalje ostao enigma. Zašto to kažemo? Brojne tvrtke, pogotovo one velike, angažirale su konzultante koji su proveli analizu usklađenosti poslovanja s GDPR-om. Da, napravljene su potrebne izmjene. No,  da njihove zaposlenike danas pitate što znače neki od osnovnih pojmova vezanih uz GDPR, dobar dio njih to i dalje ne bi znao odgovoriti.  

GDPR uredba Hydra consulting

Da, GDPR uredba je složena i donijela je zahtjevne promjene. Sve kako bi se zaštita osobnih podataka na području čitave EU dovela na jednu novu razinu. Je li taj cilj ostvaren? Sigurno da je.

GDPR je u samo nekoliko mjeseci od stupanja na snagu više reformirao Hrvatsku od većine zakonskih izmjena u zadnjih par godina. Bez obzira što je javnost vjerojatno i dalje nedovoljno educirana oko njenih osnovnih pojmova, GDPR uredba je ozbiljno „protresla“ i privatni i javni sektor u Hrvatskoj.

GDPR uredba- osnovni pojmovi

Obzirom da se njene odredbe odnose na apsolutno sve organizacije i tvrtke koje obrađuju ili pohranjuju osobne podatke, GDPR uredba se primjenjuje na jednom zaista širokom području. Zapravo, gotovo da i nema poslovanja u čijem se barem jednom dijelu ne primjenjuje GDPR.

Upravo zato, donosimo vam popis osnovnih pojmova vezanih uz GDPR koje trebate znati. Bez obzira jeste li osoba čiji se osobni podatci prikupljaju ili onaj tko obrađuje ove podatke. Zato krenimo redom.

Što je GDPR uredba?

Opća uredba o zaštiti podataka ili GDPR (General Data Protection Regulation) je europska uredba o zaštiti osobnih podataka i zaštiti privatnosti. Gdje se primjenjuje? U svim državama članicama Europske Unije.  Odredbe GDPR-a ujednačene su na području čitave EU. Što to znači? Da se svi pravni subjekti prilagođavaju jednom skupu propisa. U Hrvatskoj je donesen i Zakon o provedbi Opće uredbe o zaštiti podataka. Njime su dodatno regulirana pitanja vezana uz provedbu GDPR-a, nadzor u provedbi te propisane kazne.  

GDPR uredba

Zašto je donesena GDPR uredba?

GDPR ima jedan vrlo jasan cilj- osigurati korisnicima veći nadzor u procesu prikupljanja i obrade njihovih osobnih podataka. Zašto? Da se osobni podatci ne bi zloupotrebljavali na bilo koji način.

U vrijeme kada su granice privatnosti pojedinca ugroženije no ikada, Europska komisija odlučila je da je nužno postaviti čvrsta i jasna pravila koja definiraju ovo područje.

Uz to, obzirom na trend stalnog razvoja novih tehnologija, pogotovo onih vezanih uz Internet, bilo je iznimno važno stvoriti čvrst temelj za transparentnije i odgovornije upravljanje i skrb o osobnim podatcima.  Naime, danas se sve veći broj tvrtki okreće prema digitalnom svijetu. Pri tome je zaštita osobnih podataka postala važno pitanje u njihovim svakodnevnim aktivnostima.

Tko sve mora uskladiti poslovanje s GDPR-om?

Kratko i jasno – GDPR uredba se odnosi na više-manje sve poslovne subjekte koji se bave obradom podataka. Što pri tome znači obrada podataka? Ukoliko poslujete s klijentima s područja Europske Unije, na sve te podatke se primjenjuju odredbe GDPR-a.  

Na koje se poslovne subjekte se ovo odnosi? Na nevladine organizacije, udruge, javna tijela, državnu upravu, male i velike tvrtke- dakle, na sve.

GDPR uredba

Koje podatke štiti GDPR uredba?

Opća uredba o zaštiti podataka se primjenjuje na osobne podatke, tj. na one iz kojih se može otkriti identitet osobe ili pojedinca.

To su;  ime i prezime, lokacijski podatci, broj osobne iskaznice te podatci koji se nalaze na kreditnim karticama. Osobni podatci su i biometrijski te genetski podatci, zdravstveni podatci te seksualna orijentacija. Na istom popisu su i ekonomsko stanje, vjerska ili filozofska uvjerenja, osobne poruke e-pošte, IP adresa te pseudonimizirani podatci.

Prema odredbama GDPR-a, osobnim podatcima se smatraju i mrežni identifikatori ( identifikator mobitela, IP adresa). Svi ostali podatci, koji se prema odredbama GDPR-a ne smatraju osobnim podatcima, zaštićeni su nacionalnim zakonodavstvom svake države članice EU.

Voditelji obrade su tvrtke koje prikupljaju osobne podatke ispitanika tj. korisnika.

Izvršitelji obrade obavljaju obradu podataka u ime tvrtke koja prikuplja osobne podatke ( voditelja podataka).

U većini slučajeva voditelj i izvršitelj obrade podataka su ista tvrtka, no to ne mora uvijek biti tako.

Kako izgleda usklađenje s GDPR-om u praksi?

GDPR uredba zahtjeva vrlo složenu prilagodbu i donosi priličan broj novih pravila za obveznike. Evo nekih od njih:

  • Ispitanike morate pravovremeno informirati o njihovim pravima te načinu na koji ih mogu ostvariti
  • Izjava o privatnosti mora biti razumljiva, prevedena na sve jezike na kojima obavljate poslovanje, vidljiva na web-stranici te mora navoditi sva prava koja pripadaju ispitanicima
  • Ispitanike morate upoznati sa izjavom o kolačićima

Načela obrade podataka su najvažniji dio GDPR-a, a za njihovo kršenje su predviđene najviše kazne:

  • Smijete prikupljati samo one podatke koji su potrebni za ispunjavanje svrhe obrade podataka( to znači ako prikupljate podatke u svrhu izrade registra korisnika određenog sustava, te podatke ne smijete koristiti niti u jednu drugu svrhu)
  • Podatci se smiju obrađivati samo ako za to postoji opravdana zakonska osnova
  • Obavezni ste navesti svrhu prikupljanja podataka
  • Podatci moraju biti ažurirani i točni i ne smijete ih pohranjivati dulje od vremenskog razdoblja koje je potrebno za ispunjavanje svrhe obrade podataka
  • Osobne podatke ste dužni zaštititi od nedozvoljene i nezakonite obrade, uništenja ili slučajnog gubitka

Privola ispitanika

Privola je jedna od važnijih zakonskih osnova za obradu podataka. Stoga, ako je vaša obrada podataka temeljena na privoli, morate učiniti slijedeće:

  • Kod obrade podataka dužni ste pružiti ispitaniku izjavu o privoli
  • Omogućiti korisniku jednostavno povlačenje privole, ukoliko on to želi
  • Zatražiti privolu za korištenje podataka
  • zatražiti izričitu privolu ukoliko prikupljate posebne kategorije osobnih podataka

Također, više nije dovoljno samo informirati ispitanike o tome koja su njihova prava, nego im morate pomoći i da ih ostvare. Mogu vas tražiti da ih informirate posjedujete li njihove podatke,  pristup njihovih osobnim podatcima koje posjedujete ili ispravak netočnog podatka. Također, mogu zatražiti i prijenos ili brisanje podataka koji se nalaze u vašoj evidenciji.

GDPR uredba

Kako dokazati usklađenost sa GDPR-om?

Usklađivanje sa GDPR-om je jedna stvar, no dokazivanje usklađenosti nešto sasvim drugo. Naime, nadzorno tijelo može od vas zatražiti da dokažete usklađenost sa GDPR-om. Kako to učiniti?

GDPR uredba jasno je definirala korake/aktivnosti koje morate poduzeti u tu svrhu. Uz vođenje detaljne evidencije aktivnosti obrade podataka morate imenovati i službenika za zaštitu osobnih podataka. Također, morate i surađivati sa nadzornim tijelima te provoditi procjenu učinka na zaštitu podataka.

Upravo je vođenje evidencije aktivnosti obrade podataka, što moraju sve tvrtke s više od 250 zaposlenih, najvažniji dio dokazivanja usklađenosti sa GDPR-om.

Riječ je o dokumentu koji će sadržavati informacije o razlozima obrade i prikupljanja podataka i opise prikupljenih podataka. Uz to obuhvaćat će i informacije o vremenskom trajanju obrade te o mjerama koje su poduzete kako bi se prikupljeni podatci zaštitili.

Kazne i sankcije ukoliko niste usklađeni sa GDPR-om

Kazne koje propisuje GDPR uredba svojevremeno su vjerojatno bile jedan od najčešće pretraživanih pojmova. Nije ni čudno ako znate o kojim je iznosima riječ . Do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće. Ovo su naravno kazne za teška kršenja načela obrade i zaštite podataka te poštivanja prava ispitanika.

Manje propuste nadzorna tijela u državama članicama EU mogu sankcionirati i upozorenjem ili opomenom. Novčana kazna i zabrana rada dolaze na red tek nakon njih.

    Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.