S 25. svibnja ove godine završava dvogodišnje prijelazno razdoblje te za sve države članice Europske unije na snagu konačno stupa General Data Protection Regulation. Kao dokument međunarodnog prava, nadjačava bilo koji državni zakon te njegovim stupanjem na snagu nacionalni zakoni u području zaštite osobnih podataka prestaju vrijediti. Samim tim, GDPR usklađivanje postaje realnost svake tvrtke u Hrvatskoj.
Tekst u nastavku informativne je prirode i podložan je promjenama. Članak nipošto ne treba biti tretiran kao izvor informacija s pravnim težištem. Prije same implementacije svakako se savjetujte s pravnom službom.
Što točno uređuje GDPR?
GDPR usklađivanje u svom fokusu ima svaku fizičku osobu (građanina Europske unije) i zaštitu njenih osobnih podataka, na način da uvodi nove obveze za sve poduzetnike i organizacije koje pri obavljanju svoje profesionalne ili zakonom propisane djelatnosti prikupljaju i obrađuju osobne podatke građana.
Ukratko, može se reći kako nova Odredba ima 2 jasna cilja: zaštititi pojedinca u procesu prikupljanja podataka te zaštititi same podatke u njihovoj daljnjoj obradi. Na samom početku Direktive navedeni su brojni razlozi koji su potakli njeno donošenje, koje možemo sažeti na potrebu za:
- točnošću podataka
- ograničavanjem svrhe njihova prikupljanja i korištenja
- smanjenjem količine podataka koji se prikupljaju
- ograničavanjem njihove pohrane
- većom transparentnošću i poštenjem u prikupljanju, obradi i pohrani osobnih podataka.
Istovremeno, ova regulativa uvodi i visoke kazne u slučaju nepridržavanja tih obveza. Krajnji cilj je postići da prava i obveze po pitanju zaštite osobnih podataka budu izjednačeni na razini čitave Europske unije, što će od tvrtki zahtijevati određenu razinu usklađivanja.
Što se sve smatra „osobnim podatkom“?
Osobnim podatkom smatra se bilo koja informacija o pojedincu, bilo da je njegov identitet utvrđen, bilo da se pomoću tih podataka može pobliže utvrditi. Primjerice, u osobne podatke ubrajaju se: ime pojedinca, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, kolačići (cookies) na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (npr. otisak prsta), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, kreditnom zaduženju ili računima u banci, podaci o zdravlju, seksualnoj orijentaciji itd.
U skladu s tim, prikuplja li vaša tvrtka u svom radu bilo koje od prethodno navedenih podataka, podložni ste ovoj Odredbi te je GDPR implementacija za vas nužna.
Ključne promjene
Do stupanja novih odredbi na snagu, primjenjuju se odredbe Direktive 95/49/EC, koja je izglasana još davne 1995. godine. Obzirom da je digitalizacija uzela maha, promjene su bile nužne. Slijedi pregled najvažnijih promjena koje nam donosi nova Direktiva.
- Povećava se teritorij nadležnosti
U ovom smislu, nove odredbe su vrlo jasne – GDPR se primjenjuje na voditelje i izvršitelje postupaka obrade osobnih podataka u Europskoj uniji, bez obzira na to da li se sam proces obrade odvija unutar Europske unije ili ne. Isto tako, odredbe se primjenjuju i na voditelje te izvršitelje koji se nalaze izvan Europske unije, ali svoje usluge nude građanima EU ili prate njihova ponašanja unutar granica EU.
Tvrtke čija se sjedišta nalaze izvan Europske unije, a koje u obradi podataka zahvaćaju njene građane, morat će imenovati predstavnika unutar EU.
- Uvode se visoke kazne
Kršenje odredbi itekako će se osjetiti u financijskom smislu, budući da maksimalne predviđene kazne iznose 4% godišnjeg prometa tvrtke na međunarodnoj razini ili 20 milijuna eura – ovisno o tome koji od ova dva iznosa bi bio veći. Kazne u toj visini izricat će se u slučajevima grubog kršenja odredbi, poput neadekvatne privole stranaka za obradu podataka.
U slučajevima „manjih“ kršenja odredbi, izricat će se pojedinačne, blaže kazne. Primjerice, kazna za neadekvatno vođenje evidencije o obradi osobnih podataka ili neobavještavanje ugroženih pojedinaca o proboju sigurnosti osobnih podataka iznosit će 2% ukupnog godišnjeg prihoda tvrtke na međunarodnoj razini.
Za svaku štetu počinjenu pojedincu neadekvatnom obradom osobnih podataka, odgovaraju voditelj i izvršitelj obrade osobnih podataka.
- Privole mijenjaju svoju formu
Situacija u kojoj se korisniku pri potrebi davanja online privole (primjerice za prikupljanje kolačića) otvara podulji tekst pun nejasnih izraza više neće biti prihvatljiva. Nove odredbe izričito nalažu da tekst privole mora biti jasan i nedvosmislen, uz izričito naglašenu svrhu u koju korisnik daje svoju privolu.
Kako zadovoljiti GDPR?
Nove odredbe primjenjuju se kako na automatizirano prikupljanje i obradu osobnih podataka, tako i na neautomatizirane podatke koji se pohranjuju u nekoj tvrtci.
Ključni članci odredbe, na kojima se temelji samo GDPR usklađivanje su:
- Članak 25 (zaštita podataka – tehnička i integrirana)
- Članak 30 (evidencija svih aktivnosti obrade podataka)
- Članak 32 (sigurnost obrade podataka)
- Članak 33 (izvještavanje nadzornih tijela u slučaju povrede osobnih podataka)
- Članak 34 (obavještavanje ugroženog pojedinca u slučaju povrede osobnih podataka)
- Članak 35 (procjene sigurnosti i zaštite prikupljanih osobnih podataka)
- Članak 37 (postavljanje službenika za zaštitu osobnih podataka).
Promatramo li ove nove odredbe iz perspektive pojedinca, odnosno građanina kojeg bi one trebale štititi, tvrtke će biti dužne osigurati:
- transparentnost u prikupljanju i korištenju podataka
- pravo na pristup pojedinca njegovim podacima koji su prikupljeni
- pravo na ispravak podataka (kada je potreban)
- pravo na brisanje prikupljenih podataka (tzv. pravo na zaborav)
- pravo na ograničenje upotrebe podataka
- pravo na prenosivost podataka
- pravo na prigovor.
Službenik za zaštitu osobnih podataka
Nova Direktiva predvidjela je i novo radno mjesto – službenika za zaštitu osobnih podataka (eng. Data protection officer). Osoba koja vrši ovu funkciju smatra se najodgovornijom za sustav zaštite osobnih podataka prilikom njihove obrade unutar poslovnog subjekta koji ga je na tu poziciju imenovao.
Odgovor na pitanje: „Treba li moja tvrtka službenika za zaštitu osobnih podataka?“, možete pronaći u 37. članku Direktive, koji propisuje kako je službenik potreban:
- ako je subjekt koji provodi obradu podataka tijelo javne vlasti ili javno tijelo (izuzeti su sudovi)
- ako subjekt obrađuje velike količine podataka (svrha ili priroda obrade podataka zahtijevaju redovno/sustavno praćenje korisnika)
- ako subjekt obrađuje podatke iz posebne kategorije podataka (rasa, vjeroispovijest, zdravlje…) ili podatke koji su povezani s kaznenim djelima pojedinca.
Nadaje, kroz 37., 38., i 39. članak Direktive propisuje sa tko može obnašati ovu funkciju. Službenik za zaštitu osobnih podataka može dolaziti iz tima izvršitelja ili voditelja obrade podataka, ali može i ovu funkciju obnašati temeljem ugovora o djelu. Pored ove, može obnašati i druge dužnosti unutar subjekta (tvrtke), dok god ga to ne dovodi do sukoba interesa. Tvrtka u ovom smislu može angažirati i neku konzultantsku tvrtku.
Službenik bi se trebao imenovati prema svojim kvalifikacijama, dakle radnom iskustvu, stručnom znanju te odgovarajućim certifikatima koje bi trebao posjedovati. O izabranom službeniku dužni ste obavijestiti AZOP, a njegovi podaci moraju biti objavljeni i na web stranici vaše tvrtke.
GDPR usklađivanje
Vrlo važan aspekt Direktive odnosi se na informiranje i traženje specifične dozvole za dobivanje i korištenje osobnih podataka. U prijevodu, tvrtke će morati biti transparentije u svojem poslovanju i aktivno se truditi da osobni podaci koje posjeduju budu sigurni i da je svaki osobni podatak stečen uz jasnu dozvolu.
Da bi bila dozvola bila valjana, pristanak mora biti u potpunosti informiran i nedvosmislen. Pristanak za dijeljenje osobnih podataka mora biti popraćen potvrdnom akcijom – npr. potvrdnim označavanjem kvačice (tzv. check box) ili otvaranjem neke poveznice. Situacije u kojima je obavijest o sakupljanju osobnih podataka skrivena iza nerazumljive, komplicirane terminologije ili je kvačica za prihvaćanje obavijesti automatski pozitivno označna, protivne su novim odredbama.
Osim toga, ukoliko pojedinac zatraži uvid u svoje osobne podatke, isti mu mora biti omogućen u jasnom i razumljivom formatu. Korisnik u svakom trenutku ima pravo zatražiti informaciju o tome koje njegove podatke neka tvrtka ima te što s njima radi. Ako nema valjanog razloga za čuvanje tih osobnih podataka, isti moraju biti obrisani.
Implementacija GDPR odredbi
Za kvalitetnu implementaciju novih odredbi, potrebno je provesti analizu postojećeg stanja u tvrtci. Provedbu možemo okarakterizirati kao multidisciplinarnu, budući da zahvaća u pravne, organizacijske i tehničke aspekte vašeg poslovanja.
Proces implementacije započnite utvrđivanjem postojećeg stanja. Osnovno pitanje na koje sami sebi morate odgovoriti jest – koliko smo trenutno usklađeni s GDPR-om? Kako biste odgovorili na to pitanje, potrebno je pristupiti sistemskoj reviziji svih poslovnih procesa koji na bilo koji način uključuju osobne podatke obuhvaćene ovom Direktivom.
Pravni aspekt prilagodbe je u ovom slučaju itekako važan. Kad je u pitanju zaštita osobnih podataka, imate odgovornost prema brojnim akterima: regulatornom tijelu (Agencija za zaštitu osobnih podataka), poslovnim partnerima, klijentima i zaposlenicima. Biti će vam potrebni određeni interni pravni akti kojima će se osigurati provedba Uredbe, stoga je savjetovanje s pravnom službom ne samo preporučljivo, već nužno.
GDPR za web stranicu
Posljednji, ali nikako najmanje važan saveznik u procesu prilagodbe biti će vam informatički stručnjaci, koji će na adekvatan način provesti odgovarajuće prilagodbe vaše web stranice. U pravilu, to se odnosi na same privole za prikupljanje osobnih podataka koje se nalaze na vašoj web stranici, kolačiće (poznatije kao „cookies“) te slanje newslettera.
Forme privole
U pogledu vaše web stranice, područje koje će svakako biti zahvaćeno potrebom prilagodbe su privole. Pojam „privola“ odnosi se na svaku formu kojom tražite pristanak korisnika stranice na prikupljanje ili obradu njegovih podataka, bilo da se radi o prikupljanju „cookiesa“, pristanku na primanje vašeg newslettera ili nečem trećem.
Forma samih privola do sada nije bila strogo kontrolirana, zbog čega se iza složenih izraza i velike količine teksta moglo skriti štošta. Zahvaljujući novoj Direktivi, stvari se mijenjaju.
Od 25. svibnja privola mora biti dana jasno i nedvosmisleno, u obliku opt-in forme. Polje označavanja pristanka (tzv. check box) ne smije biti unaprijed označeno. Sama izjava o privoli također mora biti jasna, tekst nedvosmislen i pisan jednostavnim jezikom. Svrha u koju se privola daje mora biti jasno naznačena i eksplicitno objašnjena. Upotrebljavanje podataka u bilo koju svrhu na koju korisnik nije izrijekom pristao je zabranjena.
Samo davanje privole treba zbilja biti opcionalno – pružnje usluge kojom se bavite ne smije biti uvjetovano pristankom na prikupljanje i obradu podataka ili primanje newslettera. Korisnik uvijek mora imati mogućnost odbiti dati privolu ili svoju privolu povući.
Podaci koji spadaju u posebnu kategoriju podataka, poput rase, vjeroispovijesti, zdravstvenog stanja, seksualne orijentacije i biometrijskih podataka, zahtijevaju posebnu privolu i izričiti pristanak korisnika na njihovo prikupljanje.
Privolu za obradu osobnih podataka mogu dati osobe s navršenih 16 godina ili više, dok za osobe mlađe od 16 privolu može dati roditelj ili skrbnik. Svaka država članica Europsk unije zadržava pravo određivanja dobne granice proizvoljno pa tako i Republika Hrvatska, no ona ne može biti niža od 13 godina.
Cookies
Cookies ili HTTP kolačići su podaci koji se spremaju korištenjem web preglednika. Web stranice pomoću kolačića pamte aktivnosti ili postavke korisnika kako bi sljedeći puta kada isti korisnik posjeti istu stranicu mogle automatski primijeniti zapamćene podatke. Na taj način, web stranica “zna” da je korisnik već bio na njoj i, u nekim slučajevima, prilagođava ono što korisnik vidi na ekranu. Primjerice, kolačići se mogu koristiti kako bi zapamtili sadržaj korisnikove košarice u web shopu.
Standardna obavijest o tome da Vaša web stranica skuplja Cookies ili takozvane kolačiće, neće biti dovoljna nakon što Direktiva stupi na snagu.
Prema odredbama Direktive, posjetitelji će morati aktivno potvrditi da dozvoljavaju internetskoj stranici da spremi njihov „cookie“. Isto tako, kućica ili polje koje daje dopuštenje za spremanje osobnih podataka ne smije automatski biti označeno potvrdno – korisnik će morati dati jasnu potvrdu.
Newsletter
Budući da se e-mail adresa prema odredbama također tretira kao osobni podatak, trebate dobiti zaseban pristanak korisnika za njeno korištenje.
Ukoliko Vam korisnik da dopuštenje za korištenje e-mail adrese u neku drugu svrhu (primjerice za slanje mjesečnog bankovnog izvještaja), ne smijete mu temeljem te privole slati newsletter.
Tek nakon što je korisnik ostavio svoj e-mail u svrhu primanja newslettera, možete ga uvrstiti na svoju newsletter listu, ali potrebno je prethodno još jednom potvrditi njegovu privolu. To možete učiniti na način da mu pošaljete obavijesni e-mail u kojem ga podsjećate da se prijavio na vašu newsletter listu i tražite da još jednom da svoju privolu. Baze primatelja newslettera trebaju biti prijavljene Agenciji za zaštitu osobnih podataka.
Pregled i brisanje osobnih podataka
Već smo spomenuli svrhovitost prikupljanja, obrade i čuvanja osobnih podataka, koje propisuje GDPR. Svrhovitost nije trajno stanje – u nekom trenutku određeni osobni podaci korisnika bit će vam potrebni, no već u idućem možda neće ako on, primjerice, otkaže primanje vašeg newslettera.
Vrlo važna odredba odnosi se i na pravo korisnika da zatraži brisanje svojih podataka. Građani imaju pravo zatražiti uvid u to kako se njihovi podaci koriste i gdje su spremljeni, ali imaju pravo tražiti i da se ti podaci obrišu ako nema potrebe da budu i dalje pohranjeni. GDPR usklađivanje podrazumijeva da nakon što prestane potreba za čuvanjem određenih osobnih podataka, ti podaci trebaju biti obrisani.
Sigurnost osobnih podataka
Ukoliko dođe do proboja podataka, prema pravilima GDPR-a, osobe čiji su podaci ugroženi moraju bez odgađanja biti informirane ako pogođeni podaci predstavljaju rizik za njihova prava i slobodu.
Izvršitelj obrade osobnih podataka bez nepotrebnog je odgađanja dužan obavijestiti svog voditelja o nastaloj povredi sigurnosti osobnih podataka. Voditelj obrade podataka dužan je poslati obavijest nadzornom tijelu u roku od 72 sata od saznanja kako je došlo do povrede sigurnosti podataka. Korisnike čiji podaci su ugroženi potrebno je obavijestiti bez nepotrebnog odgađanja.
Ukoliko pogođeni podaci ne predstavljaju rizik za prava i slobodu pojedinca ili su podaci zaštićeni enkripcijom, dovoljno je provesti javno obavještavanje. U pravilu, pojedinačno obavještavanje pogođenog pojedinca nije nužno kada ugroženi podaci ne predstavljaju velik rizik, a sam proces obavještavanja pojedinca bi predstavljao velik napor za tvrtku.