Važne stvari koje morate znati o Zakonu o zaštiti osobnih podataka (General Data Privacy Regulation – GDPR)

GDPR je jedna od važnijih tema u EU. Zbog toga cudi da još uvijek nema dovoljno jasnih informacija i postupanja u vezi s tim. Europski parlament je ovom regulativom htio unificirati zakonodavstvo vezano za zaštitu podataka na nivou cijele EU. Sadašnja regulativa je iz 1995. Svi znamo koliko se svijet (narocito digitalni) promijenio od tada. Pojavile su se društvene mreže, internet bankarstvo, online shopping te digitalno zdravstvo.

VAŽNE CINJENICE

Znacajno je napomenuti da je ova nova regulativa danom stupanja na snagu obvezujuca za sve zemlje clanice. Što znaci da ce se u svim zemljama clanicama primjenjivati jednako od 25. svibnja 2018.

Regulativa tretira iskljucivo osobne podatke, dakle ostali podaci nisu pod utjecajem ovog zakona. U doba opce digitalizacije, pitanje osobnog podatka je takoder potrebno ponovo definirati.

Buduci da je prije 10 godina u kuci bilo jedno racunalo koje su koristili svi ukucani, recimo IP adresa (brojcana oznaka uredaja koji se spaja na internet) nije bila osobni podatak. Danas kada je lako moguce povezati IP adresu tj. svaki uredaj koji je spojen na internet s konkretnom osobom i njegovim aktivnostima, IP adresa je definitivno osobni podatak.

Regulativa se odnosi i na sve zemlje izvan EU koje koriste podatke europskih gradana ili im prodaju robu ili usluge. Poruka je jasna – ako imaš koristi od EU tržišta, moraš poštovati njezina pravila. Pravilo se odnosi na sve tvrtke koje cuvaju i obraduju podatke.

Što se mijenja, a što ostaje isto?

Ovisno o velicini kompanije i kolicine podataka koje kompanije posjeduju, potrebno je imenovati nadležnu osobu (DPO-data protection officer). DPO ce moci djelovati iskljucivo po instrukcijama kompanije koje je za podatke odgovorna te ce morati imati odgovarajuca (najcešce procesna i IT) rješenja koja garantiraju provedbu regulative. DPO mora imati osiguranu komunikaciju s najvišim nivoima managementa. Cilj je osigurati da je zaštita podataka na dnevnom redu upravnog odbora kompanija.

Bit ce potrebno poduzeti odgovarajuce mjere da se dokaže poštivanje propisa.

Te mjere obuhvacaju:
  • usvajanje detaljne obrade zapisa podataka
  • provedbu odgovarajucih sigurnosnih mjera
  • zaštitu privatnosti
  • obvezu imenovanja službenika za zaštitu podataka (DPO)

Po sadašnjem zakonu EU, pojedinci imaju pravo na pristup, ispravljanje, brisanje i blokiranje svojih podataka. To pravo još uvijek postoji u novom zakonu. Pravo na obustavljanje direktnog marketinga takoder ostaje u novom zakonu. Novi zakon medutim uvodi i nove pojmove, postupanja i povecava prava. Poboljšava individualni pristup i prigovor prava.

Prava potrošaca u GDPR ukljucuju:
  • Pravo na informaciju
  • Pravo pristupa
  • Pravo na ispravak
  • Pravo na brisanje
  • Pravo ogranicavanja obrada
  • Pravo na prenosivost podataka
  • Pravo na prigovor

Pravo na brisanje je takoder poznato kao “pravo na zaborav“. To pravo omogucava pojedincu da zatraži brisanje ili uklanjanje osobnih podataka.

Pravo na prenosivost podataka omogucuje pojedincima da dobiju i ponovno korištenje njihovih osobnih podataka za vlastite potrebe preko razlicitih usluga. To im omogucuje da premještaju, kopiraju ili prenose osobne podatke lako od jednog IT okruženja na drugo, na siguran i jednostavan nacin.

Kompanije ce same morati obavijestiti nadležno nadzorno tijelo ako postoji opasnost povrede prava i slobode pojedinaca. Govorimo o slucajevima opasnosti za znacajno štetan ucinak na pojedince – na primjer, diskriminacija, šteta za ugled, financijski gubitak, gubitak povjerljivosti ili bilo koji drugi znacajan nedostatak – ekonomski ili socijalni. Povreda mora biti prijavljena relevantnom nadzornom tijelu u roku od 72 sata od kada se u organizaciji postane svjestan toga.

Posljedice

Konacno, iznimno su velike novcane kazne za prekršaj zakona. Postoje razliciti pragovi za novcane kazne, što može biti do 4% globalnog godišnjeg prometa za najteže povrede podataka. To znaci da regulatori imaju obvezno pravo uci u privatne organizacije i nadzirati ih. Kao što smo iz dosadašnjeg teksta mogli procitati, uskladivanje s EU direktivom je vrlo zahtjevno. Za postizanje sukladnosti, prije svega je bitno napraviti sveobuhvatan popis i kategorizaciju podataka i niz kvalifikacijskih oznaka koje se odnose na vrijeme, zakonitosti, svrhu i sl. prema kojima se podaci mogu lako pretraživati i kontinuirano nadzirati.

GDPR Zakon stupa na snagu u svibnju 2018. i potpuno ce promijeniti nacin rada organizacija diljem Europe u pogledu tretiranja internetske sigurnosti i odgovornosti za zaštitu podataka.