Sa mjesecom martom ove godine završava dvogodišnje prijelazno razdoblje te za sve države članice Europske unije na snagu konačno stupa General Data Protection Regulation. Kao dokument međunarodnog prava, nadjačava bilo koji državni zakon te njegovim stupanjem na snagu nacionalni zakoni u području zaštite ličnih podataka prestaju vrijediti. Samim tim, GDPR usklađivanje postaje realnost svake kompanije.

Tekst u nastavku informativne je prirode i podložan je promjenama. Članak nipošto ne treba biti tretiran kao izvor informacija s pravnim težištem. Prije same implementacije svakako se savjetujte s pravnom službom.

Šta tačno uređuje GDPR?

GDPR usklađivanje u svom fokusu ima svaku fizičku osobu (građanina Europske unije) i zaštitu njenih ličnih podataka, tako da uvodi nove obveze za sve poduzetnike i organizacije koje pri obavljanju svoje profesionalne ili zakonom propisane djelatnosti prikupljaju i obrađuju privatne podatke građana.

Ukratko, može se reći kako nova odredba ima 2 jasna cilja: zaštititi pojedinca u procesu prikupljanja podataka te zaštititi same podatke u njihovoj daljnjoj obradi. Na samom početku direktive navedeni su brojni razlozi koji su potakli njeno donošenje, koje možemo sažeti na potrebu za:

  • tačnošću podataka
  • ograničavanjem svrhe njihova prikupljanja i korištenja
  • smanjenjem količine podataka koji se prikupljaju
  • ograničavanjem njihove pohrane
  • većom transparentnošću i poštenjem u prikupljanju, obradi i pohrani ličnih podataka

Istovremeno, ova regulativa uvodi i visoke kazne u slučaju nepridržavanja tih obveza. Krajnji cilj je postići da prava i obveze po pitanju zaštite ličnih podataka budu izjednačeni na razini čitave Europske unije, što će od tvrtki zahtijevati određenu razinu usklađivanja.

Što se sve smatra „ličnim podatkom“?

Ličnim podatkom smatra se bilo koja informacija o pojedincu, bilo da je njegov identitet utvrđen, bilo da se pomoću tih podataka može pobliže utvrditi. Primjerice, u lične podatke ubrajaju se: ime pojedinca, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, kolačići (cookies) na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (npr. otisak prsta), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, kreditnom zaduženju ili računima u banci, podaci o zdravlju, seksualnoj orijentaciji itd.

U skladu s tim, prikuplja li vaša kompanija u svom radu bilo koje od prethodno navedenih podataka, podložni ste ovoj Odredbi te je GDPR implementacija za vas nužna.

Ključne promjene

Do stupanja novih odredbi na snagu, primjenjuju se odredbe Direktive 95/49/EC, koja je izglasana još davne 1995. godine. S obzirom na to da je digitalizacija uzela maha, promjene su bile nužne. Slijedi pregled najvažnijih promjena koje nam donosi nova Direktiva.

Povećava se teritorij nadležnosti

U ovom smislu, nove odredbe su vrlo jasne – GDPR se primjenjuje na voditelje i izvršitelje postupaka obrade ličnih podataka u Europskoj uniji, bez obzira na to da li se sam proces obrade odvija unutar Europske unije ili ne. Isto tako, odredbe se primjenjuju i na voditelje te izvršitelje koji se nalaze izvan Europske unije, ali svoje usluge nude građanima EU ili prate njihova ponašanja unutar granica EU.

Kompanije čija se sjedišta nalaze izvan Europske unije, a koje u obradi podataka zahvaćaju njene građane, morat će imenovati predstavnika unutar EU.

Uvode se visoke kazne

Kršenje odredbi itekako će se osjetiti u financijskom smislu, budući da maksimalne predviđene kazne iznose 4% godišnjeg prometa kompanije na međunarodnoj razini ili 20 milijuna eura – ovisno o tome koji od ova dva iznosa bi bio veći. Kazne u toj visini izricat će se u slučajevima grubog kršenja odredbi, poput neadekvatne privole stranaka za obradu podataka.

U slučajevima „manjih“ kršenja odredbi, izricat će se pojedinačne, blaže kazne. Primjerice, kazna za neadekvatno vođenje evidencije o obradi osobnih podataka ili neobavještavanje ugroženih pojedinaca o proboju sigurnosti ličnih podataka iznosit će 2% ukupnog godišnjeg prihoda kompanije na međunarodnoj razini.

Za svaku štetu počinjenu pojedincu neadekvatnom obradom ličnih podataka, odgovaraju voditelj i izvršitelj obrade istih.

Privole mijenjaju svoju formu

Situacija u kojoj se korisniku pri potrebi davanja online privole (primjerice za prikupljanje kolačića) otvara podulji tekst pun nejasnih izraza više neće biti prihvatljiva. Nove odredbe izričito nalažu da tekst privole mora biti jasan i nedvosmislen, uz izričito naglašenu svrhu u koju korisnik daje svoju privolu.

Kako zadovoljiti GDPR?

Nove odredbe primjenjuju se kako na automatizirano prikupljanje i obradu ličnih podataka, tako i na neautomatizirane podatke koji se pohranjuju u nekoj kompaniji.

Ključni članci odredbe, na kojima se temelji samo GDPR usklađivanje su:

  • Članak 25 (zaštita podataka – tehnička i integrirana)
  • Članak 30 (evidencija svih aktivnosti obrade podataka)
  • Članak 32 (sigurnost obrade podataka)
  • Članak 33 (izvještavanje nadzornih tijela u slučaju povrede ličnih podataka)
  • Članak 34 (obavještavanje ugroženog pojedinca u slučaju povrede ličnih podataka)
  • Članak 35 (procjene sigurnosti i zaštite prikupljanih ličnih podataka)
  • Članak 37 (postavljanje službenika za zaštitu ličnih podataka).

Promatramo li ove nove odredbe iz perspektive pojedinca, odnosno građanina kojeg bi one trebale štititi, kompanije će biti dužne osigurati:

  • transparentnost u prikupljanju i korištenju podataka
  • pravo na pristup pojedinca njegovim podacima koji su prikupljeni
  • pravo na ispravak podataka (kada je potreban)
  • pravo na brisanje prikupljenih podataka (tzv. pravo na zaborav)
  • pravo na ograničenje upotrebe podataka
  • pravo na prenosivost podataka
  • pravo na prigovor

Službenik za zaštitu ličnih podataka

Nova Direktiva predvidjela je i novo radno mjesto – službenika za zaštitu ličnih podataka (eng. Data protection officer). Osoba koja vrši ovu funkciju smatra se najodgovornijom za sustav zaštite ličnih podataka prilikom njihove obrade unutar poslovnog subjekta koji ga je na tu poziciju imenovao.

GDPR usklađivanje

Vrlo važan aspekt Direktive odnosi se na informiranje i traženje specifične dozvole za dobivanje i korištenje ličnih podataka. U prijevodu, tvrtke će morati biti transparentnije u svojem poslovanju i aktivno se truditi da lični podaci koje posjeduju budu sigurni i da je svaki lični podatak stečen uz jasnu dozvolu.

Da bi bila dozvola bila valjana, pristanak mora biti u potpunosti informiran i nedvosmislen. Pristanak za dijeljenje ličnih podataka mora biti popraćen potvrdnom akcijom – npr. potvrdnim označavanjem kvačice (tzv. check box) ili otvaranjem neke poveznice. Situacije u kojima je obavijest o sakupljanju ličnih podataka skrivena iza nerazumljive, komplicirane terminologije ili je kvačica za prihvaćanje obavijesti automatski pozitivno označna, protivne su novim odredbama.

Osim toga, ako pojedinac zatraži uvid u svoje osobne podatke, isti mu mora biti omogućen u jasnom i razumljivom formatu. Korisnik u svakom trenutku ima pravo zatražiti informaciju o tome koje njegove podatke neka tvrtka ima te što s njima radi. Ako nema valjanog razloga za čuvanje tih ličnih podataka, isti moraju biti obrisani.

Implementacija GDPR odredbi

Za kvalitetnu implementaciju novih odredbi, potrebno je provesti analizu postojećeg stanja u kompaniji. Provedbu možemo okarakterizirati kao multidisciplinarnu, budući da zahvaća u pravne, organizacijske i tehničke aspekte vašeg poslovanja.

Proces implementacije započnite utvrđivanjem postojećeg stanja. Osnovno pitanje na koje sami sebi morate odgovoriti jest – koliko smo trenutno usklađeni s GDPR-om? Kako biste odgovorili na to pitanje, potrebno je pristupiti sistemskoj reviziji svih poslovnih procesa koji na bilo koji način uključuju osobne podatke obuhvaćene ovom Direktivom.

Pravni aspekt prilagodbe je u ovom slučaju itekako važan. Kad je u pitanju zaštita ličnih podataka, imate odgovornost prema brojnim akterima: regulatornom tijelu (Agencija za zaštitu ličnih podataka), poslovnim partnerima, klijentima i zaposlenicima. Bit će vam potrebni određeni interni pravni akti kojima će se osigurati provedba Uredbe, stoga je savjetovanje s pravnom službom ne samo preporučljivo, već nužno.

GDPR za web stranicu

Posljednji, ali nikako najmanje važan saveznik u procesu prilagodbe bit će vam informatički stručnjaci, koji će na adekvatan način provesti odgovarajuće prilagodbe vaše web stranice. U pravilu, to se odnosi na same privole za prikupljanje ličnih podataka koje se nalaze na vašoj web stranici, kolačiće (poznatije kao „cookies“) te slanje newslettera.

Forme privole

U pogledu vaše web stranice, područje koje će svakako biti zahvaćeno potrebom prilagodbe su privole. Pojam „privola“ odnosi se na svaku formu kojom tražite pristanak korisnika stranice na prikupljanje ili obradu njegovih podataka, bilo da se radi o prikupljanju „cookiesa“, pristanku na primanje vašeg newslettera ili nečem trećem.

Forma samih privola do sada nije bila strogo kontrolirana, zbog čega se iza složenih izraza i velike količine teksta moglo skriti štošta. Zahvaljujući novoj Direktivi, stvari se mijenjaju.

Od 25. svibnja privola mora biti dana jasno i nedvosmisleno, u obliku opt-in forme. Polje označavanja pristanka (tzv. check box) ne smije biti unaprijed označeno. Sama izjava o privoli također mora biti jasna, tekst nedvosmislen i pisan jednostavnim jezikom. Svrha u koju se privola daje mora biti jasno naznačena i eksplicitno objašnjena. Upotrebljavanje podataka u bilo koju svrhu na koju korisnik nije izrijekom pristao je zabranjena.

Samo davanje privole treba zbilja biti opcionalno – pružanje usluge kojom se bavite ne smije biti uvjetovano pristankom na prikupljanje i obradu podataka ili primanje newslettera. Korisnik uvijek mora imati mogućnost odbiti dati privolu ili svoju privolu povući.

Podaci koji spadaju u posebnu kategoriju podataka, poput rase, vjeroispovijesti, zdravstvenog stanja, seksualne orijentacije i biometrijskih podataka, zahtijevaju posebnu privolu i izričiti pristanak korisnika na njihovo prikupljanje.

Privolu za obradu ličnih podataka mogu dati osobe s navršenih 16 godina ili više, dok za osobe mlađe od 16 privolu može dati roditelj ili skrbnik. Svaka država članica Europske unije zadržava pravo određivanja dobne granice proizvoljno pa tako i Republika Hrvatska, no ona ne može biti niža od 13 godina.

Cookies

Cookies ili HTTP kolačići su podaci koji se spremaju korištenjem web preglednika. Web stranice pomoću kolačića pamte aktivnosti ili postavke korisnika kako bi sljedeći puta kada isti korisnik posjeti istu stranicu mogle automatski primijeniti zapamćene podatke. Na taj način, web stranica “zna” da je korisnik već bio na njoj i, u nekim slučajevima, prilagođava ono što korisnik vidi na ekranu. Primjerice, kolačići se mogu koristiti kako bi zapamtili sadržaj korisnikove košarice u web shopu.

Standardna obavijest o tome da Vaša web stranica skuplja Cookies ili takozvane kolačiće, neće biti dovoljna nakon što Direktiva stupi na snagu.

Prema odredbama Direktive, posjetitelji će morati aktivno potvrditi da dozvoljavaju internetskoj stranici da spremi njihov „cookie“. Isto tako, kućica ili polje koje daje dopuštenje za spremanje ličnih podataka ne smije automatski biti označeno potvrdno – korisnik će morati dati jasnu potvrdu.

Newsletter

Budući da se e-mail adresa prema odredbama također tretira kao lični podatak, trebate dobiti zaseban pristanak korisnika za njeno korištenje.

Ako Vam korisnik da dopuštenje za korištenje e-mail adrese u neku drugu svrhu (primjerice za slanje mjesečnog bankovnog izvještaja), ne smijete mu temeljem te privole slati newsletter.

Tek nakon što je korisnik ostavio svoj e-mail u svrhu primanja newslettera, možete ga uvrstiti na svoju newsletter listu, ali potrebno je prethodno još jednom potvrditi njegovu privolu. To možete učiniti tako da mu pošaljete obavijesni e-mail u kojem ga podsjećate da se prijavio na vašu newsletter listu i tražite da još jednom da svoju privolu. Baze primatelja newslettera trebaju biti prijavljene Agenciji za zaštitu ličnih podataka.

Pregled i brisanje ličnih podataka

Već smo spomenuli svrhovitost prikupljanja, obrade i čuvanja ličnih podataka, koje propisuje GDPR. Svrhovitost nije trajno stanje – u nekom trenutku određeni lični podaci korisnika bit će vam potrebni, no već u idućem možda neće ako on, primjerice, otkaže primanje vašeg newslettera.

Vrlo važna odredba odnosi se i na pravo korisnika da zatraži brisanje svojih podataka. Građani imaju pravo zatražiti uvid u to kako se njihovi podaci koriste i gdje su spremljeni, ali imaju pravo tražiti i da se ti podaci obrišu ako nema potrebe da budu i dalje pohranjeni. GDPR usklađivanje podrazumijeva da nakon što prestane potreba za čuvanjem određenih ličnih podataka, ti podaci trebaju biti obrisani.

Sigurnost ličnih podataka

Ako dođe do proboja podataka, prema pravilima GDPR-a, osobe čiji su podaci ugroženi moraju bez odgađanja biti informirane ako pogođeni podaci predstavljaju rizik za njihova prava i slobodu.

Izvršitelj obrade ličnih podataka bez nepotrebnog je odgađanja dužan obavijestiti svog voditelja o nastaloj povredi sigurnosti ličnih podataka. Voditelj obrade podataka dužan je poslati obavijest nadzornom tijelu u roku od 72 sata od saznanja kako je došlo do povrede sigurnosti podataka. Korisnike čiji podaci su ugroženi potrebno je obavijestiti bez nepotrebnog odgađanja.

Ako pogođeni podaci ne predstavljaju rizik za prava i slobodu pojedinca ili su podaci zaštićeni enkripcijom, dovoljno je provesti javno obavještavanje. U pravilu, pojedinačno obavještavanje pogođenog pojedinca nije nužno kada ugroženi podaci ne predstavljaju velik rizik, a sam proces obavještavanja pojedinca bi predstavljao velik napor