Razumjeti GDPR

Opća uredba o zaštiti podataka (General Data Protection Regulation – GDPR) novi je zakon o privatnosti na razini EU-a koji su 2016. godine odobrili Europski parlament, Vijeće EU-a i Europska komisija.

GDPR je zamijenio Europsku direktivu o zaštiti podatka iz 1995. godine, koja je bila na snazi do 25. svibnja 2018. Nakon tog datuma stupio je na snagu GDPR i svi zakoni vezani za zaštitu podataka slijede smjernice GDPR-a.

GDPR se primjenjuje na sve organizacije registrirane u Europskoj uniji ili koje imaju sjedište ili podružnicu u Europskoj uniji. Također se odnosi na organizacije koje prodaju robu ili usluge građanima EU-a i obrađuju ili nadziru osobne podatke građana EU-a.

Jednostavno rečeno, ako je vaša tvrtka osnovana u Europskoj uniji ili se dio vaše baze korisnika ili klijenata nalazi u EU-u, morate postupati u skladu s GDPR-om. Slijedom nove Uredbe, hrvatske su tvrtke pristupile prevođenju dokumentacije s engleskog ili na engleski jezik. U nastavku Vam donosimo nešto od uvriježene terminologije.

GDPR razlikuje tri glavna dionika:

  1. Voditelji obrade (Controllers) odlučuju o svrhama i metodama obrade osobnih podataka – oni koordiniraju obradu.
  2. Izvršitelji obrade (Processors) su zaduženi za izravnu obradu osobnih podataka na temelju uputa voditelja obrade. To bi, na primjer, uključivalo podizvođače.
  3. Ispitanici (Data subjects) su građani EU-a koji koriste robu i usluge koji pružaju voditelji obrade.

Recimo, ako ste tvrtka koja prodaje neki proizvod građanima EU-a (Ispitanicima) i angažirali ste treću stranu X da analizira navike potrošača na vašoj platformi, vi ste Voditelj obrade, a X Izvršitelj obrade.

Koje su najvažnije promjene u GDPR-u?

GDPR usklađuje kako se osobni podaci obrađuju, koriste, pohranjuju i prenose na siguran način u svim zemljama članicama EU-a.

Organizacije će morati dokazati zaštitu i sigurnost podataka koje obrađuju. Također će morati provoditi značajne tehničke i organizacijske mjere kako bi dokazale da kontinuirano postupaju u skladu s odredbama GDPR-a.

Tehnička zaštita podataka znači da tvrtke i organizacije trebaju uzeti u obzir privatnost pri osmišljavanju, provođenju i korištenju bilo kakve tehnologije koja obrađuje osobne podatke. Prije GDPR-a, teret je bio na korisniku da poduzme mjere zaštite privatnosti u okviru određenog proizvoda ili usluge; mijenjanjem zadanih postavki, uključivanjem ili isključivanjem kontrole pristupa, na primjer, za podatke o lokaciji itd. Načelo tehničke i integrirane zaštite privatnosti u sklopu GDPR-a zahtijeva da se standardi privatnosti ugrade u tehnologiju i ponude korisniku kao zadani. GDPR prebacuje teret provedbe mjera zaštite privatnosti s korisnika na tvrtku ili organizaciju.

Voditelj obrade dužan je provesti odgovarajuće tehničke i organizacijske mjere kako bi udovoljio zahtjevima privatnosti i zaštitio prava ispitanika. Čuvaju se i obrađuju samo oni podaci koji su krajnje nužni za obavljanje poslova.

U skladu s važećim zakonodavstvom Europske unije svaka država članica mora uspostaviti neovisno nadzorno tijelo zaduženo za praćenje provedbe propisa o zaštititi podataka, a istu takvu obvezu propisuje i Opća uredba o zaštiti podataka. U Republici Hrvatskoj kao nadzorno tijelo uspostavljena je Agencija za zaštitu osobnih podataka.

Neovisno nadzorno tijelo između ostalog ima ovlasti izricanja upravnih novčanih kazni.

Nužne sigurnosne mjere

GDPR sadrži posebne upute za vrste sigurnosnih mjera koje mogu biti nužne:

  • Enkripcija (encryption) i pseudonimizacija (pseudonymization) osobnih podataka.
  • Organizacije trebaju osigurati redovito ispitivanje, procjenu i vrednovanje tehničkih i organizacijskih pravila za osiguravanje sigurnosti podataka.
  • Trebaju osigurati povjerljivost, integritet, raspoloživost i pouzdanost sustava i usluga obrade.

Službenici za zaštitu podataka (Data security officer)

Službenika za zaštitu podataka potrebno je imenovati za osiguravanje odgovarajuće razine zaštite podataka u određenim organizacijama. Te organizacije uključuju Voditelje i Izvršitelje obrade čije osnovne djelatnosti uključuju postupke obrade podataka koji zahtijevaju redovito i sustavno praćenje ispitanika širokih razmjera ili posebnih kategorija podataka ili podataka vezanih za kaznena djela i presude.

Službenici za zaštitu podataka moraju se imenovati u slučaju:

  1. tijela s javnim ovlastima
  2. organizacija koje provode opsežno sustavno praćenje ispitanika
  3. organizacije koje provode opsežnu obradu osjetljivih osobnih podataka

Osobni podaci (Personal data)

Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Podaci koji se smatraju osobnima uključuju:

  1. Osnovne informacije o identitetu poput imena i prezimena, e-pošte, adrese i identifikacijskih brojeva
  2. Internetski podaci poput lokacije, IP adrese, podaci o kolačićima i RFID oznake
  3. Zdravstveni, genetički i biometrički podaci
  4. Podaci o rasi i etničkoj pripadnosti
  5. Politička uvjerenja
  6. Spolno opredjeljenje

Objašnjenje drugih važnih pojmova:

  • “pseudonimizacija” (pseudonymization) znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi
  • “privola” (consent) ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose
  • “povreda osobnih podataka” (personal data breach) znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

Koja su prava Ispitanika?

Obavještavanje o povredi osobnih podataka (Notification obligation)

U slučaju bilo kakve povrede podataka koja može dovesti do neovlaštenog korištenja i distribucije podataka, Voditelji obrade dužni su obavijestiti Ispitanike o povredi u roku od 72 sati od saznanja o povredi. Izvršitelji podataka također su dužni obavijestiti Voditelje obrade o povredi.

Pravo pristupa (Right of Access)

GDPR uvodi pravo Ispitanika da dobiju informaciju o tome kako, gdje i za koju svrhu se njihovi osobi podaci obrađuju.

Pravo na zaborav (Right to be forgotten)

Pravo na zaborav ili brisanje podataka je pravo da se osobni podaci Ispitanika izbrišu iz evidencije Voditelja obrade. Pravo na zaborav također im omogućuje da zaustave ili obustave daljnju distribuciju podataka trećim stranama.

Prenosivost podataka (Right to data transfer)

GDPR uvodi prenosivost podataka – pravo Ispitanika da mu se dostave osobni podaci koji se odnose na njih, koje su prethodno pružili u uobičajeno korištenom i strojno čitljivom obliku i imaju pravo prenijeti te podatke drugom Voditelju obrade. To zapravo znači da, ako želite promijeniti davatelja usluge, bivši davatelj usluga trebao bi vam dati sve podatke u strojno čitljivom obliku koji može koristiti novi davatelj usluga.

gdpr

2018-11-06T08:45:34+00:00November 6th, 2018|