GDPR je pred vratima – jeste li spremni?
Uključuje li vaše poslovanje prikupljanje i obradu osobnih podataka? Ako je vaš odgovor potvrdan, možete očekivati da će se od 25. svibnja vaš model poslovanja potpuno promijeniti. Naime, tog datuma počinje se primjenjivati Opća uredba o zaštiti podataka (GDPR – General Data Protection Regulation). Znate li što vas očekuje i što je potrebno za usklađenost s Uredbom?
Što će GDPR promijeniti?
Cilj Uredbe je povećanje prava građane EU vezana uz zaštitu osobnih podataka i sprječavanje njihove zloupotrebe. U skladu s time, Uredba će vlasnicima podataka omogućiti veću kontrolu nad svim osobnim podatcima.
Istovremeno, povećat će se i obaveze tvrtki koje te osobne podatke koriste. Tvrtke koje neće poštivati odredbe iz Uredbe o zaštiti podataka mogu očekivati kazne do 20 milijuna € ili 4% godišnjeg prometa (ovisno koji je iznos veći).
Uredba se odnosi na sve tvrtke koje obrađuju osobne podatke građana EU, bez obzira nalaze li se one unutar Europske Unije ili ne.
Pod osobnim podatcima podrazumijevaju se sve informacije koje mogu identificirati određenu osobu. Osim imena, prezimena, adrese, bankovnih i sličnih podataka, ovdje se ubrajaju i fotografije, zdravstveni podatci, pa čak i objave na društvenim medijima.
Znate li što trebate napraviti?
Za prikupljanje i obradu podataka, od 25. svibnja morat ćete dobiti privolu svakog pojedinca. Uvjete o pravu raspolaganja osobnim podatcima morat ćete predstaviti jasno i transparentno. Također, bit će potrebno odvojiti ih od postojećih uvjeta poslovanja.
Sukladno GDPR-u, manjak aktivnosti ne smatra se pristankom, a ni unaprijed označeni pristanci u formularima nisu dovoljni. Stoga će biti potrebno jasno navesti na koje načine planirate koristiti osobne podatke svojih korisnika. Oni će, zatim, morati označiti svaku stavku za koju daju svoj pristanak.
Podatke koje, uz takvo odobrenje, prikupite i pohranite, nećete smjeti koristiti ni u jednu drugu svrhu osim isključivo u onu za koju su prikupljeni.
Dobra vijest je da, ako imate zakonsku osnovu, nećete morati uvijek tražiti privolu za prikupljanje podataka. No, morate znati za koje slučajeve to vrijedi. Također, morate ih transparentno objasniti vlasnicima podataka.
Nadalje, kako bi omogućili zaštitu privatnosti i pristup podatcima, morate osigurati pravo na zaborav i pravo na prijenos.
Pravo na zaborav pojedincima će omogućiti da se, na njihov zahtjev, njihovi osobni podatci obrišu iz vaše baze. Prije brisanja, pojedinci imaju pravo zatražiti na uvid sve podatke koje ste prikupili o njima. Na tvrtkama je da osiguraju jednostavan izvoz svih podataka u čitljivom formatu.
Uredba o zaštiti osobnih podataka odnosi se i na tzv. cookies koje web stranice pohranjuju na računalu svakog posjetitelja. Do sada je bilo dovoljno da se na stranici pojavi automatska obavijest o korištenju cookies-a. Također, podrazumijevalo se da se svaki posjetitelj slaže s njihovom uporabom ako nastavi pregledavati web stranice tvrtke.
Dolaskom GDPR-a to će se promijeniti. Svaka web stranica trebat će tražiti posjetitelja da u postavkama ručno omogući pohranjivanje cookies-a na svojem računalu.
Odgovornost za zaštitu podataka
Osim navedenih obaveza, tvrtke koje prikupljaju, pohranjuju i obrađuju osobne podatke, moraju odabrati službenika za zaštitu osobnih podataka (DPO – Data Protection Officer).
Konkretno, ova obveza se odnosi samo na:
- tijela javne vlasti ili javna tijela,
- tvrtke koje kod postupaka obrade redovito i sustavno prate ispitanike u velikoj mjeri ili
- tvrtke koje obavljaju opsežne obrade posebnih kategorija podataka.
Glavna odgovornost DPO-a će biti informiranje i savjetovanje svih osoba uključenih u proces obrade osobnih podataka. Od njega će se također očekivati praćenje poštivanja Uredbe i suradnja s nadzornim tijelom.
Službenik za zaštitu podataka može biti netko od vaših zaposlenih ali i vanjski konzultant. Kod odabira DPO-s morate imati na umu da on ne smije biti u sukobu interesa. To znači da odgovorna osoba ne može biti zaposlenik iz IT odjela ili marketinga.
Bez ozbira za koga se odlučite, odgovorna osoba bi, naravno, trebala poznavati GDPR, ali i pravne i sigurnosne aspekte IT-a.
Kako izbjeći novčane kazne?
Odgovor je vrlo jednostavan: poštivajući odredbe GDPR-a o zaštiti osobnih podatka.
Sljedeći savjeti će vam pomoći da zaštite osobne podatke svojih korisnika, spriječite njihovu zloupotrebu i izbjegnete drakonske kazne.
- Prikupljajte osobne podatke samo kada je to potrebno.
- Osigurajte jasnu privolu ili zakonsku osnovu za prikupljanje osobnih podataka.
- Osigurajte pravo na zaborav, pravo na prijenos i uvid u načine korištenja osobnih podataka.
- Imenujte službenika za zaštitu podataka.
- Za prikupljanje podataka o djeci mlađoj od 16 godina, osigurajte pristanak roditelja.
- Educirajte sve zaposlenike o obavezama iz Uredbe.
- Kontinuirano se informirajte o zaštiti osobnih podataka.
- Pobrinite se da su vaši poslovni programi usklađeni s GDPR-om.
Uskladite se s GDPR-om
Iako Uredba o zaštiti podataka najviše štiti pojedince i njihove osobne podatke, a tvrtkama prijeti kaznama za nepoštivanje pravila, to ne znači da na GDPR trebate gledati prijekorno. Ako je vaše poslovanje u potpunosti usklađeno s uredbom o zaštiti osobnih podataka, možete čak i profitirati. Prvenstveno, sigurno ćete bolje raspolagati podatcima. Znat ćete točno za što se koriste i gdje se nalaze. To će vam omogućiti da ih bolje zaštitite i postupate njima na odgovarajući način. U konačnici, izbjeći ćete financijsku štetu i zadržati povjerenje svojih korisnika.
Izvori
- Opća uredba o zaštiti podataka
- Key Changes with the General Data Protection Regulation – https://www.eugdpr.org/key-changes.html
- Frequently Asked Questions about the incoming GDPR – https://www.eugdpr.org/gdpr-faqs.html
- Posao službenika za zaštitu osobnih podataka prestaje biti „usputno zanimanje“ – https://gdpr2018.eu/posao-sluzbenika-za-zastitu-osobnih-podataka-prestaje-biti-usputno-zanimanje/
- GDPR na jednostavan način – II dio
- Prepare Your Business for Changes to the ePrivacy Rules – or Face Hefty Fines
- Velika škola GDPR-a ICTbusiness portala – Lekcija prva: Utjecaj na društvo i poslovanje
- Velika škola GDPR-a lekcija 5: Usklađivanje organizacijske strukture i poslovnih procesa, izvještavanje
- Velika škola GDPR-a Lekcija 10: Pravni aspekti – Kako izbjeći kaznu?
- Jeste li spremni za GDPR? Nepridržavanje ove uredbe moglo bi vas koštati i do 20 milijuna eura! – https://www.bizit.hr/jeste-li-spremni-za-gdpr-nepridrzavanje-ove-uredbe-moglo-bi-vas-kostati-i-do-20-milijuna-eura/
- GDPR i što on znači za online poslovanje – https://www.bizit.hr/gdpr-i-sto-on-znaci-za-online-poslovanje/