Zahvaća i obvezuje sve tvrtke globalno koje se na bilo koji način dotiču (tj. obrađuju ili koriste) osobnih podataka građana EU.
Nakon četiri godine rasprave i usuglašavanja, EU je konačno dovršila proces stavljanja na snagu najvažnije promjene na području zaštite osobnih podataka u posljednjih 20 godina. Novi EU zakon (Uredba) o zaštiti osobnih podataka, punim imenom “GDPR – General Data Protection Regulation”, naslijedit će direktivu o zaštiti osobnih podataka iz 1995. godine. GDPR je obvezujuća Uredba EU te je kao takva iznad lokalnih zakona, što znači da se direktno primjenjuje u svim EU članicama.
GDPR uredba u punu primjenu dolazi 25. svibnja 2018. godine, a donosi mnoštvo novosti u područje zaštite osobnih podataka. Mnogi se pitaju kako se kvalitetno prilagoditi GDPR zakonu i kako izbjeći velika kazne te zaštititi svoje korisnike.
Što je GDPR uredba?
O GDPRu se jako puno priča u medijima posljednjih mjeseci, ali malo tko točno zna što je GDPR uredba. Prije bilo kakve prilagodbe novom zakonu o zaštiti osobnih podataka, potrebno je shvatiti što je GDPR i kako zapravo štiti korisnike od zloupotrebe podataka.
Kada i gdje GDPR uredba stupa na snagu? Koja sve područja pokriva i da li je usklađena s našim lokalnim zakonima?
Više od sedam godina prošlo je od početne inicijative. Uz četiri godine pregovora, novi europski okvir za zaštitu osobnih podataka usvojen je u travnju 2016. godine.
GDPR (engl. General Data Protection Regulation) ili na hrvatskom jeziku Opća uredba o zaštiti osobnih podataka 2016/679 zamjenjuje trenutnu EU direktivu o zaštiti podataka. GDPR uredba se izravno primjenjuje u svim državama članicama Europske unije.
Mogućnost prilagodbe određenih dijelova ipak je ostavljena u nacionalnom zakonodavstvu. Konkretno, Zakonu o primjeni GDPR-a koji je u postupku donošenja, zaključno s 25. svibnja 2018. kada se GDPR počinje primjenjivati!
Nova EU Uredba donosi bitne promjene u pravilima kojima su definirani osobni podaci, ali i kod same obrade osobnih podataka. U Hrvatskoj je prvi zakon o zaštiti osobnih podataka donesen još tamo davne 2003. godine, a dopunjen je 2012. godine. Zanimljivo, ova nova GDPR uredba prvi je ozbiljniji pomak na razini Europske Unije još od davne 1995. godine.
Iscrpna pravna definicija osobnog podatka dana je u ZZOP-u prema kojem: ‘osobni podatak predstavlja svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati odnosno osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet’ (ZZOP, čl. 2. st. 1.).
Nova Uredba dodaje izrijekom dopunu pravne definicije prema kojem je osobni podatak svaki podatak kojim se ‘osoba može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca’ (GDPR, čl. 4. st. 1.).
Odnosno, definicija izravno uvodi pojam mrežni identifikator te se nadalje u tekstu Uredbe po prvi put definiraju (i zakonski uređuju) genetski podaci i biometrijski podaci kao osobni podaci.
Naime, genetski podaci predstavljaju osobne podatke ‘koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca’ (GDPR, čl. 4. st. 13.)
Pod pojmom biometrijski podaci podrazumijevaju se ‘osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci’ (GDPR, čl. 4. st. 14.).
Kao i ranije, ključan dio za obradu osobnih podataka jest ‘privola‘ osobe na korištenje njenih osobnih podataka koja se smatra jasnim činom odobrenja.
Naime, ‘privola’ ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose. (GDPR, čl. 4. st. 11.).
Novina je činjenica da su u slučaju proboja sigurnosti podataka tvrtke dužne obavijestiti nadležne službe, ali i pojedinca čiji su osobni podaci povrijeđeni što ranije nije bio slučaj.”
Koga sve zahvaća GDPR uredba?
Nakon što smo definirali što je to osobni podatak pojedinca i kako se identificira, vrijeme je da saznamo tko je sve obuhvaćen GDPR uredbom? Na koga se sve primjenjuje i tko se mora pridržavati novih pravila o zaštiti osobnih podataka?
“GDPR-om su obuhvaćeni svi koji obrađuju osobne podatke građana Europske unije. To znači da se GDPR uredba podjednako odnosi i na privatni i na javni sektor.
Svi oni koji u pravilu imaju zbirke osobnih podataka, u ručnom ili automatskom (digitalnom) obliku podliježu Uredbi i moraju svoje poslovanje uskladiti sukladno zahtjevima GDPR-a.
Ključna izmjena u odnosu na raniju Direktivu i nacionalne zakone jest činjenica da se Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već u mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava.
Nadalje, GDPR uredba se odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne”.
Kako se prilagoditi GDPRu?
Kako izgleda prilagodba poslovanja GDPRu? Koje je korake potrebno poduzeti kako bi se poslovanje uskladilo s GDPR uredbom? Tko treba brinuti o zaštiti podataka i kako se podaci trebaju pohranjivati?
“Kako bi se osigurala usklađenost organizacije potrebni su stručnjaci koji razumiju zahtjeve GDPR-a. Stručnjaci koji su dobro obučeni za planiranje, implementaciju i održavanje usklađenosti organizacije prema samoj GDPR uredbi.
Na tom tragu, stupanjem GDPR-a na snagu, mnoge tvrtke imaju obvezu imenovanja kvalificiranog službenika za zaštitu podataka (engl. Data Protection Officer – DPO) koji će izravno odgovarati Upravi.
Također, službenik za izvršavanje djeluje neovisno u izvršenju svojih obveza i odgovara izravno upravi kako je i izrečeno u čl. 38 GDPR-a. Nadalje, grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakoga poslovnog nastana.
Isto tako ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti ili javno tijelo, za nekoliko takvih vlasti ili tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu.
GDPR uredba propisuje oblik obveze u postupanju s osobnim podacima i poseban naglasak stavlja na posebno osjetljive podatke (maloljetne osobne, medicinski podaci, i sl.) te propisuje i potrebu procjene učinka (procjene rizika) za njih.”
Mogu li se podaci pohranjivati u inozemstvu?
Jedna od značajki koji donosi GDPR uredba je obvezno pridržavanje pravila za sve sudionike obrade podataka državljana Europske unije. Dakle, svi podaci koji idu u EU ili van EU moraju biti tretirani prema pravilima koje nalaže GDPR. Zanima nas, da li moguće i dozvoljeno osobne podatke pohranjivati kod trećih strana u inozemstvu te na koji način to kvalitetno napraviti?
“GDPR uređuje i propisuje postupak prekograničnog prijenosa podataka i ugovorne obveze u tom slučaju. Svakako podliježu zahtjevima Uredbe.
U svakom ugovoru voditelj obrade mora naglasiti da je njegovo poslovanje usklađeno prema GDPR-u koji jasno propisuje ako se obrada provodi u ime voditelja obrade da se voditelj obrade koristi jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava zaštite osobnih podataka korisnika.
Nadalje, ugovorni izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade.
U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.
Giganti kao što su Google, Facebook, Instagram ranije nisu podlijegali europskim zakonima međutim GDPR mijenja teritorijalno područje primjene na sve koji posluju na području Europske unije. Samim time moraju svoje poslovanje uskladiti s Uredbom. Web stranice, portali i apsolutno svi koji obrađuju osobne podatke građana EU moraju se uskladiti s GDPR-om”.
Koje kazne čekaju tvrtke koje se ne prilagode GDPR-u?
Vremena za prilagodbu je malo, ali još uvijek ima nade za sve koji se još nisu prilagodili GDPR-u. Takvih, neprilagođenih, još uvijek ima jako puno. No, što očekuje one koji se ni tijekom svibnja ne prilagode GDPR uredbi? Kakve su kazna za prekršitelje?
“Počevši s postroženim pravilima obrade, najvažniji je naglasak na kaznenim odredbama. Nepoštivanje odredbi Uredbe povlači kazne i to drakonske – do 4% ukupna godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, koja god vrijednost bude viša.
Za razliku od ranije, odnosit će se na sve tvrtke koje posluju na području Europske unije (a ne samo one koje su registrirane u EU).
Europska komisija je također nedavno jasno dala do znanja da za ozbiljno kršenje Uredbe neće biti milosti.
Kaznu od 110 milijuna eura, koju je poznata društvena mreža Facebook dobila početkom ove godine, propisala je izravno Europska komisija. Iako na temelju potpuno druge regulative, ova kazna je propisana upravo zbog kršenja privatnosti građana i pružanja lažnih informacija o spajanju s WhatsAppom.
Tom je prilikom predstavništvo Facebook-a izjavilo kako se osobni podaci korisničkih računa ne mogu spojiti, a dvije godine kasnije učinjeno je upravo to. Spojili su račune WhatsApp-a s računima Facebooka. Europska komisija reagirala je gotovo promptno i propisala kaznu od 110 milijuna eura; 0,5% ukupnih prihoda Facebook-a na globalnoj razini i 50% maksimalne moguće koju propisuje regulativa o spajanju kompanija.
Dakle, ako neka država članica EU-a neće sama kazniti prekršitelja, a činjenica je da Hrvatska još nije ustanovila tijelo koje bi bilo odgovorno za provjeru kršenja i naplatu kazni, očito je da će to izravno učiniti EU.
Samo nekoliko dana kasnije nakon prve presude, Italija je za isti prekršaj kaznila WhatsApp i time popunila državni proračun za tri milijuna eura”.
Da li će GDPR uredba zaista spriječiti zloupotrebu osobnih podataka?
Stupanje na snagu nekog zakona je jedna strana priče, dok je provedba tog istog zakona sasvim nešto drugo. Da li će GDPR uredba polučiti rezultate kakve Europska Unija očekuje? Hoće li se ovim novim zakonodavnim okvirom zaista zaštiti osobni podaci građana?
“Donošenje GDPR-a ključni je pravni okvir kojim je Europska unija odlučila zaštititi privatnost svojih građana. Cilj GDPR-a upravo i jest uvesti veću kontrolu obrade osobnih podataka i samim time spriječiti zloupotrebu.
Po prvi put u odredbe ulazi termin ‘profiliranje’, odnosno zabranjuje se takav postupak obrade osobnih podataka za koji izvršitelj obrade nema eksplicitnu privolu.
Svaki građanin ima pravo zatražiti uvid u podatke koji se o njemu obrađuju. Isto tako može zatražiti brisanje, ali može i povući ranije danu suglasnost. Nadalje, može prijaviti Nadzornom tijelu (u ovom trenutku AZOP – Agencija za zaštitu osobnih podatka) svaku nepravilnost i/ili zatražiti mišljenje te samim time i inspekciju. Svaki upit mora biti odgovoren u zakonskom roku.
Nadalje, Nadzorno tijelo pokreće postupak, a tužbu može podignuti i sama osoba u sudskom postupku – kao temelj može mu poslužiti i mišljenje Nadzornog tijela. Može zatražiti sudsku odštetu ukoliko se radi o povredi privatnosti i osobnih podataka, koja je temeljno ljudsko pravo i zagarantirana Ustavom Republike Hrvatske.”
Koji su koraci za prilagodbu GDPRu?
Za kraj, zanima nas što je sve potrebno napraviti do 25. svibnja? Koji su nužni koraci kako bi se na vrijeme pripremili za GDPR?
“Prvi korak u svakom slučaju je edukacija – voditelja i izvršitelja obrade.
Nadalje, u javnom sektoru postoji obveza imenovanja službenika za zaštitu podataka. Isto je i u privatnom sektoru, ukoliko se radi o posebno osjetljivim podacima. Dakako, sve prema uvjetima koje propisuje GDPR uredba. Vrijedi spomenuti da više poduzetnika može imati jednog službenika za zaštitu osobnih podataka (outsourcing – DPO as a service).
Mogu zatražiti i savjetovanje Nadzornog tijela (u ovom slučaju je to još uvijek AZOP) – naročito u situacijama procjene učinka koja ne mora izlaziti troškovno izvan mogućnosti.
Važno je posložiti pravnu dokumentaciju sukladno GDPR-u i izraditi pravilnike te kodeks ponašanja zaposlenika.
Tvrtke i institucije koje žele nastaviti poslovati u skladu sa zakonom ili će svoje poslovanje sada uskladiti sa zahtjevima GDPR-a ili će platiti visoku kaznu i nakon naučene lekcije pokrenuti usklađivanje s GDPR-om.
Bilo kako bilo GDPR uredba se od 25. svibnja 2018. počinje primjenjivati na području Europske unije.”
PDF grafika
zastitapodataka-pravila_za-_malapoduzeca
netokracija.com / finjak.net