Važne stvari koje morate znati o Zakonu o zaštiti osobnih podataka (General Data Privacy Regulation – GDPR)

Autor: Mladen Kovaček

GDPR je jedna od važnijih tema u EU. Zbog toga čudi da još uvijek nema dovoljno jasnih informacija i postupanja u vezi s tim.

Europski parlament je ovom regulativom htio unificirati zakonodavstvo vezano za zaštitu podataka na nivou cijele EU. Sadašnja regulativa je iz 1995. Svi znamo koliko se svijet (naročito digitalni) promijenio od tada. Pojavile su se društvene mreže, internet bankarstvo, online shopping te digitalno zdravstvo.

Važne činjenice

Značajno je napomenuti da je ova nova regulativa danom stupanja na snagu obvezujuća za sve zemlje članice. Što znači da će se u svim zemljama članicama primjenjivati jednako od 25. svibnja 2018.

Regulativa tretira isključivo osobne podatke, dakle ostali podaci nisu pod utjecajem ovog zakona.

U doba opće digitalizacije, pitanje osobnog podatka je također potrebno ponovo definirati.

Budući da je prije 10 godina u kući bilo jedno računalo koje su koristili svi ukućani, recimo IP adresa (brojčana oznaka uređaja koji se spaja na internet) nije bila osobni podatak. Danas kada je lako moguće povezati IP adresu tj. svaki uređaj koji je spojen na internet s konkretnom osobom i njegovim aktivnostima, IP adresa je definitivno osobni podatak.

Regulativa se odnosi i na sve zemlje izvan EU koje koriste podatke europskih građana ili im prodaju robu ili usluge. Poruka je jasna – ako imaš koristi od EU tržišta, moraš poštovati njezina pravila. Pravilo se odnosi na sve tvrtke koje čuvaju i obrađuju podatke.

Photo: druva.com

Što se mijenja, a što ostaje isto?

Ovisno o veličini kompanije i količine podataka koje kompanije posjeduju, potrebno je imenovati nadležnu osobu (DPO-data protection officer). DPO će moći djelovati isključivo po instrukcijama kompanije koje je za podatke odgovorna te će morati imati odgovarajuća (najčešće procesna i IT) rješenja koja garantiraju provedbu regulative. DPO mora imati osiguranu komunikaciju s najvišim nivoima managementa. Cilj je osigurati da je zaštita podataka na dnevnom redu upravnog odbora kompanija.

Bit će potrebno poduzeti odgovarajuće mjere da se dokaže poštivanje propisa.

Te mjere obuhvaćaju:

  1. usvajanje detaljne obrade zapisa podataka
  2. provedbu odgovarajućih sigurnosnih mjera
  3. zaštitu privatnosti
  4. obvezu imenovanja službenika za zaštitu podataka (DPO)

Po sadašnjem zakonu EU, pojedinci imaju pravo na pristup, ispravljanje, brisanje i blokiranje svojih podataka. To pravo još uvijek postoji u novom zakonu. Pravo na obustavljanje direktnog marketinga također ostaje u novom zakonu. Novi zakon međutim uvodi i nove pojmove, postupanja i povećava prava.

Poboljšava individualni pristup i prigovor prava.

Prava potrošača u GDPR uključuju:

  • Pravo na informaciju
  • Pravo pristupa
  • Pravo na ispravak
  • Pravo na brisanje
  • Pravo ograničavanja obrada
  • Prava na prenosivost podataka
  • Pravo na prigovor

Pokušat ćemo objasniti neke od ovih pojmova:

Pravo na brisanje je također poznato kao “pravo na zaborav“. To pravo omogućava pojedincu da zatraži brisanje ili uklanjanje osobnih podataka.

Pravo na prenosivost podataka omogućuje pojedincima da dobiju i ponovno korištenje njihovih osobnih podataka za vlastite potrebe preko različitih usluga. To im omogućuje da premještaju, kopiraju ili prenose osobne podatke lako od jednog IT okruženja na drugo, na siguran i jednostavan način.

Kompanije će same morati obavijestiti nadležno nadzorno tijelo ako postoji opasnost povrede prava i slobode pojedinaca. Govorimo o slučajevima opasnosti za značajno štetan učinak na pojedince – na primjer, diskriminacija, šteta za ugled, financijski gubitak, gubitak povjerljivosti ili bilo koji drugi značajan nedostatak – ekonomski ili socijalni. Povreda mora biti prijavljena relevantnom nadzornom tijelu u roku od 72 sata od kada se u organizaciji postane svjestan toga.

Photo: trendmicro.com

Posljedice

Konačno, iznimno su velike novčane kazne za prekršaj zakona. Postoje različiti pragovi za novčane kazne, što može biti do 4% globalnog godišnjeg prometa za najteže povrede podataka. To znači da regulatori imaju obvezno pravo ući u privatne organizacije i nadzirati ih.

Kao što smo iz dosadašnjeg teksta mogli pročitati, usklađivanje s EU direktivom je vrlo zahtjevno. Za postizanje sukladnosti, prije svega je bitno napraviti sveobuhvatan popis i kategorizaciju podataka i niz kvalifikacijskih oznaka koje se odnose na vrijeme, zakonitosti, svrhu i sl. prema kojima se podaci mogu  lako pretraživati i kontinuirano nadzirati.

GDPR Zakon stupa na snagu u svibnju 2018. i potpuno će promijeniti način  rada organizacija diljem Europe u pogledu tretiranja internetske sigurnosti i odgovornosti za zaštitu podataka.

Ukoliko imate dodatnih pitanja i želite saznati više informacija o ovoj temi, slobodno nas kontaktirajte putem sljedećeg linka ili putem komentara.

2 thoughts on “Važne stvari koje morate znati o Zakonu o zaštiti osobnih podataka (General Data Privacy Regulation – GDPR)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s