Traži
Članci

Nakon 25. svibnja sve će biti drugačije. Jeste li spremni?

29 sij 2018

Nadolazeća Opća uredba o zaštiti osobnih podataka (GDPR) predstavlja prekretnicu u području zaštite osobnih podataka, ali šire gledano, ne možemo govoriti o revoluciji, nego samo o evoluciji u području zaštite osobnih podataka. Uredba je očekivani korak s obzirom na razvoj informacijsko-komunikacijske tehnologije zbog koje smo posljednjih godina svjedocima bitnih promjena u intenzitetu i načinu korištenja osobnih podataka. Uredba tako proširuje pojam osobnog podatka i prilagođava ga modernim tehnologijama. Osobni je podatak po novome bilo koja informacija koja identificira fizičku osobu, odnosno na osnovi koje je fizičku osobu moguće identificirati. To su recimo ime i prezime, adresa, lokacija, internetski identifikator (IP, kolačići), podaci o zdravstvenom stanju i sl.

Cilj je Uredbe ponajprije zaštititi pojedinca i vratiti mu kontrolu nad vlastitim osobnim podacima. A posebnost je u tome što nastoji unificirati pravila o prikupljanju, pohrani i uporabi osobnih podataka za sve članice EU-a.

 

Za koga vrijedi Uredba?

Uredba se primjenjuje jednako za sva društva sa sjedištem u državama članicama EU-a koja na bilo koji način prikupljaju, pohranjuju ili upotrebljavaju osobne podatke.
Ali upozorenje – i poduzeća izvan EU-a koja robu ili usluge nude pojedincima u EU-u te u tu svrhu prikupljaju i pohranjuju njihove osobne podatke obvezna su poštovati Uredbu.

Pravila koja donosi Uredba složena su, zato je važno da poduzeća koja žele sačuvati povjerenje i ugled te poslovati transparentno što prije pristupe izradi plana za osiguravanje usklađivanja poslovanja s odredbama Uredbe.

 

Pet ključnih novosti GDPR-a

1. Stroži zahtjevi za dobivanje suglasnosti

Suglasnost je samo jedan od načina na čijoj je osnovi moguće zakonski obrađivati osobne podatke. Dano mora biti jasno, razumljivo, s nedvosmislenom potvrdnom radnjom (opt-in) i dokazivo. To znači da pristanak dan u općim uvjetima ili putem prethodno popunjenih obrazaca neće biti valjan. Neće biti dovoljan ni „navodni pristanak“ o kojem bi se moglo zaključivati na temelju šutnje ili nereagiranja pojedinca. Također, bit će potrebno provjeriti jesu li dosad dobiveni pristanci u skladu s Uredbom, a u slučaju da nisu, potrebno je ponovno ih dobiti. 

 

2. Ovlaštena osoba za zaštitu osobnih podataka (DPO - Data Protection Officer)

Poduzeća koja redovito i sustavno obrađuju osobne podatke u velikom broju (banke, osiguranja, klubovi vjernosti, kadrovske agencije i sl.), odnosno poduzeća koja obrađuju posebne vrste osobnih podataka (osjetljivi osobni podaci i osobni podaci koji se odnose na kaznena djela i prekršaje) morat će imenovati ovlaštenu osobu za zaštitu osobnih podataka. Za ovlaštenika moraju imenovati osobu koja ima odgovarajuće stručno znanje u području zaštite osobnih podataka i koja je neovisna o rukovodstvu organizacije. Glavni zadaci ovlaštenika bit će ponajprije edukacija zaposlenih u poduzeću, savjetovanje menadžmenta, pa i suradnja s nadzornim tijelom. Poduzeća će kontaktne podatke ovlaštenika morati objaviti na internetskim stranicama te ih javiti nadzornom tijelu.

 

3. Nova prava pojedinaca

Težnja Uredbe da se nadzor nad obradom osobnih podataka ponovo prenese na pojedince ostvaruje se i putem dvaju novih prava. Prvo je pravo na zaborav, koje pojedincu omogućuje da od poduzeća zahtijeva brisanje svojih osobnih podataka. Poduzeće će, uz uvjet da nema zakonskih razloga za njihovu daljnju pohranu, osobne podatke morati izbrisati. Drugo pravo jest pravo na prenosivost koje omogućuje pojedincu da svoje osobne podatke dobije u strukturiranom, općenito upotrebljavanom i strojno čitljivom obliku te da ih prenese drugom, konkurentskom poduzeću.

 

4. Izvještavanje o kršenjima

Važna novost za poduzeća koja je dosad bila samo nepisano pravilo jest obveza izvještavanja o kršenjima zaštite osobnih podataka. Poduzeća će morati o svakom kršenju bez nepotrebnog odgađanja, najkasnije u roku od 72 sata, obavijestiti nadzorno tijelo. Međutim, kad je kršenje tako ozbiljno da bi moglo ugroziti prava i slobodu pojedinca, i njega će trebati obavijestiti o provali. Poduzeća moraju što prije uvesti učinkovit mehanizam prepoznavanja kršenja te se dogovoriti o njihovom načinu izvještavanja.

 

5. Obvezna ocjena utjecaja na privatnost

Riječ je o proaktivnom djelovanju s kojim poduzeća mogu spriječiti kršenja zaštite osobnih podataka. Ocjena utjecaja na privatnost namijenjena je za prepoznavanje vjerojatnosti kad bi određena vrsta obrade osobnih podataka mogla uzrokovati velik rizik za prava i slobode pojedinaca i poduzeća će je morati pripremiti unaprijed.

 

Dodatna „motivacija“: visoke kazne

Visina kazni, koja će inače ovisiti o prirodi kršenja, može dosegnuti do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa kršitelja. Novčana kazna nije jedina koja će opteretiti poduzeće u slučaju kršenja zaštite osobnih podataka. Ako poduzeća neće poslovati u skladu s Uredbom, stavljaju na kocku svoj ugled, a njegov gubitak za poduzeće može imati znatno dugoročnije posljedice od same novčane kazne. Dakle, ne zatvarajte oči, nego se na GDPR pripremite već danas.  

 

 

Autor: Sandra Pjanić
General Affairs Specialist

Pretplatite se na naš newsletter

Newsletter je namijenjen svima koji su zainteresirani za članke, analize i predviđanje trendova