Premda se tako možda ne čini, iza kulisa se događa dosta toga kako bi se utro put GDPR te kako bi isti što bezbolnije stupio na snagu. Tvrtke su se počele sve više pripremati za GDPR (neke su i u panici), dok stručnjaci za privatnost i zaštitu osobnih podataka imaju pune ruke posla. Ako vam se čini da je prosinac zasigurno bio mjesec bez previše događaja, prošle godine to nije bio slučaj. Uvjerite se sami!
Norveško nadzorno tijelo ustrojava registar službenika za zaštitu podataka
U pokušaju da olakša pripremu za GDPR i spriječi potencijalne probleme koji bi kasnije mogli iskrsnuti, norveško nadzorno tijelo Datatilsynet ima vrlo dobar plan. Datatilysnet će, naime, uz pomoć IT tvrtke Tieto Oyj razviti registar, odnosno bazu svih službenika za zaštitu podataka (DPO-a) u Norveškoj.
Time bi se trebalo tvrtkama omogućiti da lako i jednostavno pronađu DPO-a koji će zadovoljiti njihove potrebe. Velik broj tvrtki morat će imenovati DPO-a te se pretpostavlja da će se njihov broj značajno povećati. Do sada je Datatilysnet bio odgovoran za prijavu DPO-a, no sada će ih tvrtke same birati i imenovati.
Budući da je Norveška članica EEP-a, ali ne i EU-a, GDPR se ne ugrađuje odmah u zakonodavstvo Norveške, no uz nekoliko sitnih izmjena GDPR će se primjenjivati kroz Zakon o osobnim podacima koji stupa na snagu tijekom svibnja 2018. Za sve praktične primjene možemo dakle smatrati da je Norveška usvojila GDPR, pa stoga i taj registar može poslužiti kao uzor ostalim zemljama.
Bugarsko nadzorno tijelo prihvatilo akcijski plan za GDPR
Nekoliko stotina kilometara jugoistočno, institucije također (začudo) ne spavaju. Bugarsko nadzorno tijelo, Komisija za zaštitu osobnih podataka, izišla je s akcijskim planom u 10 koraka koji bi tvrtkama trebao biti orijentir za prilagodbu na GDPR.
Plan je vrlo jednostavan za slijediti i sadrži nekoliko vrlo važnih smjernica. Naprimjer, govori kako tvrtke moraju osigurati da svi zaposlenici razumiju nove propise i dobru praksu. To se postiže internim analizama, a za obradu se preporučuje provedba procjene učinka na zaštitu osobnih podataka. Tvrtke koje obrađuju podatke više od 10 tisuća ispitanika obvezne su, prema naputcima bugarskog nadzornog tijela, imenovati DPO-a.
Bugarska Komisija ističe važnost usvajanja smislenog akcijskog plana koji obuhvaća i organizacijske i tehničke mjere potrebne za implementaciju. Zapisi se moraju redovito ažurirati, a trenutno pohranjeni podaci redovito se moraju pregledavati kako biste bili sigurni da se obrađuju u skladu sa zahtjevima iz GDPR-a.
Preporučuje se i da tvrtke budu transparentnije i na jednostavan način korisnike obavijeste o načinju korištenja podataka, te da se potrude da uvijek poštuju njihova prava. Naglašava se i obveza da se u slučaju povrede osobnih podataka u roku od 72 sata ta činjenica mora dojaviti Komisiji.
Sve u svemu, plan je vrlo razuman i uvjereni smo da će pomoći tvrtkama da svoje poslovanje usklade s GDPR-om.
Izraelska ILITA mijenja ime
Izraelsko nadzorno tijelo preimenovalo se kako bi obilježilo strateški zaokret. Umjesto Israeli Law, Information and Technology Authority (ILITA – Izraelska agencija za informacije i tehnologiju), sad nose naziv Privacy Protection Authority (Agencija za zaštitu privatnosti).
Promjena naziva povezana je novim propisima koji u Izraelu stupaju na snagu 8. svibnja 2018., a iz temelja izmjenjuju temeljne aktivnosti agencije koja se u zadnje vrijeme ponajviše fokusirala na pitanja privatnosti podataka.
Valja napomenuti i da je Izrael jedna od malobrojnih zemalja za koje Europska komisija smatra da pružaju adekvatnu zaštitu podataka, što olakšava prijenos podataka iz EU-a u Izrael i obrnuto.
IAPP je prenio izjavu Alona Bachara, predsjetnika ILITA-e, koji je objasnio da se agencija preimenovala kako bi „se poboljšale i unaprijedile naše mogućnosti za daljnje nošenje s problemom zaštite podataka te kako bismo se osnažili za ispunjavanje svojih ciljeva u okolišu koji je izložen aktualnim i dalekosežnim promjenama u digitalnom prostoru.“
Agencija je reorganizirala odjele i postavila nove ciljeve za budućnost, a sve u cilju podizanja svijesti javnosti i bolje prilagođenosti promjenama i izazovima koji čekaju našu privatnost u budućnosti.
Nizozemska vlada predstavila Prijedlog zakona o implementaciji GDPR-a
Nizozemski Državni Savjet predstavio je 13. prosinca 2017. Prijedlog zakona o implementaciji GDPR-a (Uitvoeringswet Algemene verordening gegevensbescherming). Prijedlog je dugo očekivan i u većini slučajeva potvrđuje i dopunjava propise GDPR-a.
Zakon će se primjenjivati na sve voditelje i izvršitelje obrade u Nizozemskoj, kao i one voditelje i izvršitelje koji obrađuju podatke s porijeklom iz Nizozemske. Zakon ne mijenja ostale zakone koji su na snazi.
Djetetom se smatraju osobe mlađe od 16 godina i njihovi podaci osobito su zaštićeni, ali se to pravo odnosi i na podatke osoba s duševnim i mentalnim teškoćama.
Zanimljivo, Nizozemsko nadzorno tijelo ima pravo pretresati stanove, ali ograničene su mu snage za izricanje kazni. One se, naime, ne smatraju konačnima dok god ih tvrtka pokušava osporiti (i na kraju nikada ne platiti). Stoga će se vjerojatno koristiti administrativne naredbe koje su zapravo uvjetne kazne: kazna se neće naplatiti ako kažnjenik svoje poslovanje dovede u red. U zakonu se potvrđuje osjetljivost kaznenih dosjea, što je GDPR donekle previdio.
Također se navode i prava, tj. iznimke za pojedine voditelje obrade koje im daju pravo na obradu povjerljivih podataka u nekim okolnostima. Ta se prava zasnivaju na javnom interesu. U to spadaju i biometrijski podaci, jer se u suprotnom ne bi mogli na smislen način obrađivati. Naprimjer, poslodavci ne bi smjeli obrađivati podatke koje bi dobili uvođenjem biometrijskih sustava (npr. za autentifikaciju i sl.)
DPO-i imaju pravo na čuvanje tajne, no nije razjašnjeno primjenjuje li se to pravo i pred sudovima i pred nadzornim tijelima. Financijske organizacije i dalje ispitanicima ne moraju priopćavati povrede podataka, izvještava IAPP.
Sve u svemu bit će zanimljivo vidjeti hoće li i ostale države slijediti put Nizozemske i donijeti vlastite implementacijske propise. To bi na neki način mogao biti korak unatrag jer bismo opet mogli imati situaciju u kojoj svaka zemlja ima različite propise, a upravo to se uvođenjem GDPR-a htjelo izbjeći.
