GDPR – prvi korak digitalne transformacije

Put do zaštite podataka

Krajem drugog svjetskog rata Ujedinjeni narodi kao svoj glavni cilj postavili su veću zaštitu ljudskih prava. Iz tog cilja, 1948. godine stvorena je Opća deklaracija o pravima čovjeka koje je prva navela

Krajem drugog svjetskog rata Ujedinjeni narodi kao svoj glavni cilj postavili su veću zaštitu ljudskih prava. Iz tog cilja, 1948. godine stvorena je Opća deklaracija o pravima čovjeka koje je prva navela pravo na privatan obiteljski život, kao jedan od temeljnih ljudskih prava. Od tada život u slobodnom svijetu znači pravo na privatan život, bez utjecaja države.

Deklaracija o ljudskim pravima dala je temelje za zaštitu osobnih informacija u modernom svijetu. S obzirom na drastične promjene u načinu životu, u samo 60 godina, pojam privatan život poprimio je šire značenje. Danas on ne uključuje samo pravo na donošenje vlastitih odluka i odabira načina života, već pravo na privatan život online. Iako se ta dva pojma čine potpuno suprotna, ona danas imaju veliku ulogu u našoj svakodnevnici. U ovom slučaju privatan online život znači pravo da pojedinac izradi profile ili korisničke račune, te objavi informacije o sebi, bez da ih netko drugi može nepravomoćno koristiti.

Konkretni zakoni i uredbe o zaštiti osobnih podataka krenuli su se pojavljivati 1995. godine. Glavni razlog tome je Internet revolucija koja je promijenila način poslovanja i onemogućila slobodno kretanje dobara, kapitala, usluga i ljudi na međunarodnom tržištu, bez slobodnog proteka informacija, koje je bilo potrebno zaštititi. Kako bi sve države članice EU imale jednake zakone o zaštiti osobnih informacija uvedena je Regulativa 95/46. Njome je također prvi puta predloženo uvođenje instrumenata za zasebni nadzor provedbe zaštite podataka.

Glavne razlozi GDPR-a

GDPR (General Data Protection Regulative) ili Opća uredba o zaštiti podataka je uredba EU, što znači da su sve zemlje članice obavezne prihvatiti njena pravila i sva poduzeća obavezna poslovati po njoj, od 25. svibnja 2018. Glavna ideja je uvesti zaštitu podataka kao temelj poslovanja svake kompanije i time od nje stvoriti inicijalni dio digitalne transformacije.

Tri glavna razloga uvođenja GDPR-a:

  • uvođenje istih zakona za svaku zemlju članicu EU, što znači i ušteda od oko 2 milijarde € za poduzeća
  • uklanjanje rizika da svako poduzeće mijenja ili postavlja vlastita pravila o zaštiti podataka, što automatski omogućava brže odvijanje međunarodnog poslovanja i transakcija
  • generalno veća prava i zaštita osobnih informacija pojedinca.

Uredba se odnosi na sve podatke izvan i unutar EU. Služi za zaštitu osobnih podataka pojedinaca i ne odnosi se na zaštitu podataka preminulih. Također, odnosi se na zaštitu podataka onih, čiji se identitet može potvrditi. Moguća je i potvrda identiteta u digitalnom obliku. To bi primjerice uključivalo provjeru podataka koju je tvrtka prikupila i usporedbu s podatcima koje korisnik koristi za log in u račun tvrtke u posjedu podatka.

Privola

Svaki pojedinac ima pravo dati privolu za korištenje njegovih/njenih podataka. Najbitniji dio za poduzeća je dobiti privolu u pravom obliku. Mora biti vidljivo da je privola dana slobodnom voljom, da je njom specificirano korištenje osobnih podataka i da je pojedinac informiran za što točno daje privolu. Pojedinac treba znati za što i koliko dugo će se koristiti podatci koje je dao. Privola može biti u obliku pisane, elektroničke ili usmene izjave.

U nekim slučajevima je teško izdvojiti za što će se točno koristiti osobni podatci. Tada je ključno svakom pojedincu dati opcije za odabir načina korištenja osobnih podataka. Također svaki pojedinac treba znati izvor iz kojeg su njegovi osobni podaci skalupljeni i tko sve u te podatke ima uvid. Ima pravo vidjeti koji će se podatci koristiti i pravo na promjenu ili korekciju podataka.

Korištenje podataka u svrhe s kojima pojedinac nije upoznata ili za koje nije dana privola je strogo zabranjeno.

Ukoliko su podatci korišteni u svrhe direktnog marketing, pojedinac treba biti obaviješten i ima pravi zabraniti korištenje podataka u navedene svrhe. Osim toga, pojedinca treba informirati o njegovim pravima na davanje, zabranu ili promjenu osobnih podataka.

Svaki pojedinac ima pravo povući danu privolu za korištenje podataka u bilo kojem trenutku, bez dodatnog objašnjenja.

Države članice EU imaju pravo odrediti sankcije za nepridržavanje pravila propisanih uredbom. Inicijalna kazna određena od strane EU iznosi 4% ukupnog godišnjeg prihoda kompanije ili 20 milijuna €, ovisno o tome što je veći iznos.

GDPR u Hrvatskoj

Zanimljivo je da je veći dio pravila koje donosi GDPR u RH već pokriven važećim Zakonom u zaštiti osobnih podataka. Zakon obuhvaća sigurnost i tajnost osobnih podataka i zabranu uporabe osobnih podataka suprotnoj utvrđenoj svrsi njihovoga prikupljanja.

GDPR ima klauzule za čije tumačenje će vam trebati pomoć dobro upućenih pravnika. Primjerice, dosta općenita formulacija „tvrtka mora primijeniti sve odgovarajuće i tehničke mjere u zaštiti osobnih podataka“ u GDPR uredbi spominje se više od dvadeset puta u raznim kontekstima.

Novosti koje dovodi GDPR je izvješćivanje o povredi (gubitku) osobnih podataka, ne samo Agencije za zaštitu osobnih podataka već i samog korisnika.  Za uspješnu provedbu GDPR-a potrebna je suradnja nadzornih tijela i uzajamna pomoć, te složno provođenje zajedničkih operacija.

Ovaj članak napisan je u svrhu upoznavanja sa GDPR-om. Mnogo detaljnije informacije moguće je pronaći na službenim stranicama EU, a uredbu je u potpunosti moguće pročitati ovdje. Ukoliko imate konkretna pitanja o GDPR-u i vašem poduzeću, slobodno nas kontaktirajte.

 

Podijelite članak: