GDPR uredba

GDPR uredba – vodič za početnike

Prije točno godinu dana na snagu je stupila GDPR uredba – Opća uredba o zaštiti osobnih podataka koja je donijela drastične promjene u EU zakonodavstvu. Ovaj potpuno novi pravni okvir koji regulira područje zaštite osobnih podataka izazvao je pravi šok kod mnogih tvrtki na hrvatskom tržištu. Zašto?

Promjene koje je izazvala GDPR uredba zahtijevale su ozbiljan i temeljit pristup. Mnoge tvrtke čekale su posljednji tren kako bi ih provele. U nedostatku vremena za prilagodbom nastala je prava panika.

Iako je od tada prošlo godinu dana, GDPR je za mnoge i dalje ostao enigma. Zašto to kažemo? Brojne tvrtke, pogotovo one velike, angažirale su konzultante koji su proveli analizu usklađenosti poslovanja s GDPR-om. Da, napravljene su potrebne izmjene. No,  da njihove zaposlenike danas pitate što znače neki od osnovnih pojmova vezanih uz GDPR, dobar dio njih to i dalje ne bi znao odgovoriti.  

GDPR uredba Hydra consulting

Da, GDPR uredba je složena i donijela je zahtjevne promjene. Sve kako bi se zaštita osobnih podataka na području čitave EU dovela na jednu novu razinu. Je li taj cilj ostvaren? Sigurno da je.

GDPR je u samo nekoliko mjeseci od stupanja na snagu više reformirao Hrvatsku od većine zakonskih izmjena u zadnjih par godina. Bez obzira što je javnost vjerojatno i dalje nedovoljno educirana oko njenih osnovnih pojmova, GDPR uredba je ozbiljno „protresla“ i privatni i javni sektor u Hrvatskoj.

GDPR uredba- osnovni pojmovi

Obzirom da se njene odredbe odnose na apsolutno sve organizacije i tvrtke koje obrađuju ili pohranjuju osobne podatke, GDPR uredba se primjenjuje na jednom zaista širokom području. Zapravo, gotovo da i nema poslovanja u čijem se barem jednom dijelu ne primjenjuje GDPR.

Upravo zato, donosimo vam popis osnovnih pojmova vezanih uz GDPR koje trebate znati. Bez obzira jeste li osoba čiji se osobni podatci prikupljaju ili onaj tko obrađuje ove podatke. Zato krenimo redom.

Što je GDPR uredba?

Opća uredba o zaštiti podataka ili GDPR (General Data Protection Regulation) je europska uredba o zaštiti osobnih podataka i zaštiti privatnosti. Gdje se primjenjuje? U svim državama članicama Europske Unije.  Odredbe GDPR-a ujednačene su na području čitave EU. Što to znači? Da se svi pravni subjekti prilagođavaju jednom skupu propisa. U Hrvatskoj je donesen i Zakon o provedbi Opće uredbe o zaštiti podataka. Njime su dodatno regulirana pitanja vezana uz provedbu GDPR-a, nadzor u provedbi te propisane kazne.  

GDPR uredba

Zašto je donesena GDPR uredba?

GDPR ima jedan vrlo jasan cilj- osigurati korisnicima veći nadzor u procesu prikupljanja i obrade njihovih osobnih podataka. Zašto? Da se osobni podatci ne bi zloupotrebljavali na bilo koji način.

U vrijeme kada su granice privatnosti pojedinca ugroženije no ikada, Europska komisija odlučila je da je nužno postaviti čvrsta i jasna pravila koja definiraju ovo područje.

Uz to, obzirom na trend stalnog razvoja novih tehnologija, pogotovo onih vezanih uz Internet, bilo je iznimno važno stvoriti čvrst temelj za transparentnije i odgovornije upravljanje i skrb o osobnim podatcima.  Naime, danas se sve veći broj tvrtki okreće prema digitalnom svijetu. Pri tome je zaštita osobnih podataka postala važno pitanje u njihovim svakodnevnim aktivnostima.

Tko sve mora uskladiti poslovanje s GDPR-om?

Kratko i jasno – GDPR uredba se odnosi na više-manje sve poslovne subjekte koji se bave obradom podataka. Što pri tome znači obrada podataka? Ukoliko poslujete s klijentima s područja Europske Unije, na sve te podatke se primjenjuju odredbe GDPR-a.  

Na koje se poslovne subjekte se ovo odnosi? Na nevladine organizacije, udruge, javna tijela, državnu upravu, male i velike tvrtke- dakle, na sve.

GDPR uredba

Koje podatke štiti GDPR uredba?

Opća uredba o zaštiti podataka se primjenjuje na osobne podatke, tj. na one iz kojih se može otkriti identitet osobe ili pojedinca.

To su;  ime i prezime, lokacijski podatci, broj osobne iskaznice te podatci koji se nalaze na kreditnim karticama. Osobni podatci su i biometrijski te genetski podatci, zdravstveni podatci te seksualna orijentacija. Na istom popisu su i ekonomsko stanje, vjerska ili filozofska uvjerenja, osobne poruke e-pošte, IP adresa te pseudonimizirani podatci.

Prema odredbama GDPR-a, osobnim podatcima se smatraju i mrežni identifikatori ( identifikator mobitela, IP adresa). Svi ostali podatci, koji se prema odredbama GDPR-a ne smatraju osobnim podatcima, zaštićeni su nacionalnim zakonodavstvom svake države članice EU.

Voditelji obrade su tvrtke koje prikupljaju osobne podatke ispitanika tj. korisnika.

Izvršitelji obrade obavljaju obradu podataka u ime tvrtke koja prikuplja osobne podatke ( voditelja podataka).

U većini slučajeva voditelj i izvršitelj obrade podataka su ista tvrtka, no to ne mora uvijek biti tako.

Kako izgleda usklađenje s GDPR-om u praksi?

GDPR uredba zahtjeva vrlo složenu prilagodbu i donosi priličan broj novih pravila za obveznike. Evo nekih od njih:

  • Ispitanike morate pravovremeno informirati o njihovim pravima te načinu na koji ih mogu ostvariti
  • Izjava o privatnosti mora biti razumljiva, prevedena na sve jezike na kojima obavljate poslovanje, vidljiva na web-stranici te mora navoditi sva prava koja pripadaju ispitanicima
  • Ispitanike morate upoznati sa izjavom o kolačićima

Načela obrade podataka su najvažniji dio GDPR-a, a za njihovo kršenje su predviđene najviše kazne:

  • Smijete prikupljati samo one podatke koji su potrebni za ispunjavanje svrhe obrade podataka( to znači ako prikupljate podatke u svrhu izrade registra korisnika određenog sustava, te podatke ne smijete koristiti niti u jednu drugu svrhu)
  • Podatci se smiju obrađivati samo ako za to postoji opravdana zakonska osnova
  • Obavezni ste navesti svrhu prikupljanja podataka
  • Podatci moraju biti ažurirani i točni i ne smijete ih pohranjivati dulje od vremenskog razdoblja koje je potrebno za ispunjavanje svrhe obrade podataka
  • Osobne podatke ste dužni zaštititi od nedozvoljene i nezakonite obrade, uništenja ili slučajnog gubitka

Privola ispitanika

Privola je jedna od važnijih zakonskih osnova za obradu podataka. Stoga, ako je vaša obrada podataka temeljena na privoli, morate učiniti slijedeće:

  • Kod obrade podataka dužni ste pružiti ispitaniku izjavu o privoli
  • Omogućiti korisniku jednostavno povlačenje privole, ukoliko on to želi
  • Zatražiti privolu za korištenje podataka
  • zatražiti izričitu privolu ukoliko prikupljate posebne kategorije osobnih podataka

Također, više nije dovoljno samo informirati ispitanike o tome koja su njihova prava, nego im morate pomoći i da ih ostvare. Mogu vas tražiti da ih informirate posjedujete li njihove podatke,  pristup njihovih osobnim podatcima koje posjedujete ili ispravak netočnog podatka. Također, mogu zatražiti i prijenos ili brisanje podataka koji se nalaze u vašoj evidenciji.

GDPR uredba

Kako dokazati usklađenost sa GDPR-om?

Usklađivanje sa GDPR-om je jedna stvar, no dokazivanje usklađenosti nešto sasvim drugo. Naime, nadzorno tijelo može od vas zatražiti da dokažete usklađenost sa GDPR-om. Kako to učiniti?

GDPR uredba jasno je definirala korake/aktivnosti koje morate poduzeti u tu svrhu. Uz vođenje detaljne evidencije aktivnosti obrade podataka morate imenovati i službenika za zaštitu osobnih podataka. Također, morate i surađivati sa nadzornim tijelima te provoditi procjenu učinka na zaštitu podataka.

Upravo je vođenje evidencije aktivnosti obrade podataka, što moraju sve tvrtke s više od 250 zaposlenih, najvažniji dio dokazivanja usklađenosti sa GDPR-om.

Riječ je o dokumentu koji će sadržavati informacije o razlozima obrade i prikupljanja podataka i opise prikupljenih podataka. Uz to obuhvaćat će i informacije o vremenskom trajanju obrade te o mjerama koje su poduzete kako bi se prikupljeni podatci zaštitili.

Kazne i sankcije ukoliko niste usklađeni sa GDPR-om

Kazne koje propisuje GDPR uredba svojevremeno su vjerojatno bile jedan od najčešće pretraživanih pojmova. Nije ni čudno ako znate o kojim je iznosima riječ . Do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće. Ovo su naravno kazne za teška kršenja načela obrade i zaštite podataka te poštivanja prava ispitanika.

Manje propuste nadzorna tijela u državama članicama EU mogu sankcionirati i upozorenjem ili opomenom. Novčana kazna i zabrana rada dolaze na red tek nakon njih.

    Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.