GDPR sa sobom donosi i ogromne kazne, ali je regulatorni okvir mnogo jednostavniji za usvojiti. Istovremeno, tu je bolja zaštita prava fizičkih osoba tako da obje stane mogu imati koristi od novih propisa.
Trenutno stanje
Trenutno svaka od 28 zemalja članica EU-a ima svoj skup zakona o privatnosti i osobnim podacima. To je ogromna prepreka tvrtkama jer su se do sada morale prilagoditi novom skupu zakona u svakoj novoj državi na koju se odluče proširiti.
Takva se situacija protivi načelu slobodnog kretanja dobara, usluga i kapitala unutar tržišta EU-a, i upravo taj problem GDPR pokušava riješiti. U svim će se državama primjenjivati isti propisi. Jednom kad se tvrtka uskladi s GDPR-om, u načelu može bez straha poslovati u cijeloj EU znajući da se primjenjuju isti zakoni, barem u teoriji. U praksi je lako moguće da to ipak neće ići tako glatko. Jasno, i samo usklađivanje je drugi par rukava koji će iziskivati i troškove i velike napore…
Velike tvrtke i mala poduzeća
Do sada je situacija bila prilično loša za manje tvrtke, a osobito za start-upove. Morali su trošiti nerazmjerno mnogo sredstava na pravne savjete i birokraciju kako bi se uskladili s raznovrsnim zakonima, pri tome gubeći sredstva koja su mogli uložiti u razvoj novih usluga.
Velike tvrtke, kao što su recimo mutinacionalke, nisu imale takvih problema jer im ti troškovi predstavljaju minoran dio prometa. No za manje tvrtke to je omča oko vrata.
MSP-ovi (small and medium enterprises; SME – mala i srednja poduzeća) često nemaju dovoljno iskustva da procjene rizik pohrane osobnih podataka i često ne uspijevaju na vrijeme primijeniti aktualne sigurnosne mjere. GDPR je napravljen tako da prati sustav analize rizika: što su podaci više osjetljivi, to su jače sigurnosne mjere potrebne. Malim tvrtkama može biti teško procijeniti osjetljivost podataka ili zaposliti stručnjake koji su to u mogućnosti.
Što su uopće MSP-ovi?
Definicija MSP-ova nalazi se u Prilogu II. Preporuke Komisije iz 6. svibnja 2003. o definiranju mikro, malih i srednjih poduzeća (2003/361/EC). MSP-ovi su poduzeća s manje od 250 zaposlenika i godišnjim prihodima ne većim od 50 milijuna eura. Bilanca ne smije prelaziti 43 milijuna eura.
Postoje i dodatne podjele. Malim poduzećima smatraju se tvrtke s manje od 10 milijuna eura prihoda i godišnje bilance. Mikro poduzeća imaju manje od 10 zaposlenika i manje od 2 milijuna eura prihoda i bilance.
Izuzeća za MSP-ove
U GDPR-u se nalaze posebni propisi koji olakšavaju život malim i srednjim poduzećima. Točnije rečeno, MSP-ovi su izuzeti od određenih radno intenzivnih radnji zbog kojih bi se mogli naći u podređenom položaju u odnosu na veće tvrtke.
Nadzorna tijela trebala bi uvažiti potrebe MSP-ova tijekom provođenja i ustrojavanja mehanizama za zaštitu podataka i kodekse ponašanja. Mehanizmi certificiranja mogli bi biti od osobite koristi za MSP-ove jer služe kao pouzdan indikator usvajanja dobre prakse. Razvijanje svijesti o zaštiti podataka također bi se trebalo usmjeriti ka MSP-ovima.
Jedna od najvažnijih promjena navedena je u čl. 30. GDPR-a. Članak propisuje da poduzeća ne moraju imenovati službenika za zaštitu podataka ako aktivnosti obrade nisu značajnog obima i ako im se glavna poslovna aktivnost ne zasniva na obradi podataka. Izuzeće ne vrijedi ako obrađuju osjetljive podatke (navedene u odjeljku ispod). Čak i ako se ispostavi da je imenovanje službenika obavezno, oni se ne moraju zaposliti na puno radno vrijeme, već prema potrebi. I to će smanjiti potencijalne troškove.
Nadalje, MSP-ovi ne moraju voditi evidenciju o aktivnostima obrade osim ako bi takve aktivnosti mogle dovesti „do visokog rizika za prava i slobode pojedinaca“. Takva bi obrada trebala biti povremena i ne smije uključivati povjerljive (osjetljive) podatke, kao naprimjer podatke o dosjeima, političkoj pripadnosti i sl.
U slučaju lakše povrede podataka, nije potrebno obavijestiti ispitanike čiji su podaci pogođeni povredom ako je potencijalni rizik za štetu nepostojeći ili beznačajan. To se naravno ne odnosi na osjetljive podatke (posebne kategorije podataka).
Posebne kategorije osobnih podataka
Kategorije podataka za čiju je obradu i dalje potrebno voditi evidenciju navedene su u čl. 9. st. 1. GDPR-a. Te kategorije su podaci o rasi i etničkoj pripadnosti, političkim i religijskim mišljenjima, statusu članstva u sindikatima, biometrijski i genetski podaci, te zdravstveni kartoni i podaci o spolnom životu i orijentaciji.
Pripazite – pravila vrijede za sve
Te iznimke ne znače da se na MSP-ove GDPR ne primjenjuje u potpunosti. U GDPR-u se to prilično jasno ističe: sve tvrtke su obavezne postupati po pravilima za zaštitu podataka i njihovu sigurnu obradu. Nepoznavanje propisa nije izlika koju će nadzorna tijela uvažiti, a kazne mogu biti ogromne. Zato je od velike važnosti da MSP-ovi na vrijeme počnu uvoditi promjene kako bi se uskladili sa svim propisima što je prije moguće. Promjene se mogu uvoditi postupno, ali do 25. svibnja 2018., kad GDPR stupa na snagu. Savjetovanje od strane vanjskih stručnjaka može im u tome pomoći tako što će smanjiti troškove i lišiti ih potencijalnih rizika koje loše odrađeno usklađivanje sa sobom nosi.
