Opća uredba o zaštiti podataka (GDPR) primjenjuje se jednako i na multinacionalne tvrtke i na manje tvrtke izvan EU-a koje se žele proširiti na tržište Europske unije. To uglavnom nije problem, zato jer je problematika zaštite podataka i privatnosti u suštini ista neovisno o veličini tvrtke.
Kako bi se izjednačila pravila igre za sve tvrtke i organizacije, svaka obrada podataka iz Europske unije podliježe istim propisima, neovisno o tome tko obrađuje te podatke. Drugim riječima, GDPR je „bezgraničan“. Bitno je porijeklo podataka, a ne sjedište voditelja obrade. Jedini način za izbjegavanje GDPR-a jest da uopće ne poslujete s klijentima iz EU-a – često nemoguća misija, osobito ako vam je tvrtka u blizini država Europske unije.
Većinu tvrtki ovo je jako zabrinulo, no mali broj se priprema. Krajnje je vrijeme, jer do 25. svibnja sve treba biti posloženo kako treba. Iako u nekim pogledima promjene nisu drastične u odnosu na postojeće zakonodavstvo diljem EU-a, to ne vrijedi za sve tvrtke u svim državama. Pogledajmo na što trebate obratiti pozornost kako biste uspješno započeli s postupkom usklađivanja.
1. Odredite primjenjivost
Prije nego započnete s implementacijom GDPR-a, valja provjeriti spada li važe poslovanje zaista pod pasku GDPR-a. No ako morate pitati, vjerojatno je odgovor potvrdan.
Naime, kao što smo naveli, GDPR nije zasnovan na teritorijalnoj bazi, već se bavi izvorom podataka. Ako obrađujete podatke koji potječu iz EU-a, neovisno o tome gdje se u svijetu nalazili, GDPR se na vas primjenjuje. Dakle, ako imate korisnike, klijente ili ugovore s osobama unutar EU-a, na te biste podatke trebali primjenjivati mjere koje propisuje GDPR. Jasno, ako imate podružnicu u EU-u, trebali biste se uskladiti.
Ali, to nije sve. Ako i nemate klijente iz EU-a, ali je očito da im nudite usluge – na primjer, na web trgovini cijene navodite u eurima ili dostavljate u EU države, smatra se da poslujete s EU-om i trebate se uskladiti kad obrađujete podatke EU korisnika.
To ne znači da ćete morati blokirati pristup vašoj web stranici i svaku komunikaciju s osobama iz EU-a ako se ne planirate uskladiti. Važno je samo da se iz stranice ne očituje namjera poslovanja s EU-om.
Pazite se ako je većina vašeg poslovanja digitalna: alati za analitiku i nadzor, kao oni koji se nalaze na web-stranicama, prikupljaju osobne podatke EU građana i kao takve ih se mora zbrinjavati.
Naravno, u kojoj će mjeri nadzorna tijela i EU moći kazniti prekršitelje izvan EU-a vrlo je zanimljivo i otvoreno pitanje, a odgovor će se vjerojatno razlikovati od države do države i utjecaja koji EU ima na istu.
S druge strane, čak i ako obrađujete podatke iz EU-a, ako je takva obrada izrazito povremena i ograničenog opsega, ne morate se usklađivati – ipak, bilo bi dobro korisniku jasno dati to do znanja kako ne bi došlo do nesuglasica.
2. Izolacija ili uklapanje
Budući da se GDPR primjenjuje samo na podatke iz EU-a, s ostalim podacima ne morate postupati prema propisima iz GDPR-a. Tako biste, recimo, mogli izolirati podatke iz EU-a njihovim kompletnim izdvajanjem od ostalih podatka. Podatke iz EU-a obrađivali biste na način sukladan GDPR-om, sa svim zahtjevima koje to nosi. Uštedu biste mogli imati na ostalim podacima jer mjere zaštite i evidencije koštaju, ali pod cijenu sigurnosti i kompleksnijeg poslovanja.
Valja razmotriti i drugu mogućnost, a to je uklapanje svih podataka, neovisno o izvoru, i podizanje razine zaštite tako da na sve podatke primjenjujete propise GDPR-a. To bi čak moglo biti jednostavnije rješenje jer je teže napraviti pogrešku – odmah znate kako s podacima treba postupati i ne trebate razbijati glavu što se samog porijekla podataka tiče.
K tome dobivate prednosti u vidu bolje zaštite podataka, a i vjerojatno ćete zadovoljiti većinu propisa diljem svijeta jer je GDPR izrazito restriktivan. Uz minimalne promjene mogli biste poslovati diljem svijeta bez većih briga.
3. Pregledajte privole
Čak i ako su do sad vaši zahtjevi za pribavljanje privole bili u skladu s europskim standardima, GDPR donosi loše vijesti. Standard za valjanu privolu značajno se podiže i postrožava, pa će trenutne privole uglavnom biti nevaljane.
GDPR propisuje da pojedince morate obavijestiti o svrsi, opsegu obrade i eventualnom prijenosu podataka u treće zemlje, i to prilikom pribavljanja privole. Obavijest morate pružiti jednostavnim, lako razumljivim jezikom koji većina razumije. Korisnik sam mora moći potvrditi svoje slaganje s uvjetima (klikom na kvadratić za odabir i sl.). Ne postoji pojam prešutne privole koji se dosad zlorabio.
Što se tiče obrade podataka djece, kao standard može vam poslužiti američki zakon COPPA, koji postavlja granicu na 13 godina. Ipak, pripazite: GDPR određuje granicu na 16 godina. Očekuje se da će dosta zemalja istu spustiti na 13, ali neće sve – u Hrvatskoj, na primjer, ostaje na 16 godina. To znači da je za obradu podataka osoba mlađih od 16 godina potrebna privola roditelja.
4. Ispitajte izvršitelje obrade
GDPR pravi razliku između voditelja i izvršitelja obrade. Uglavnom će se ista tvrtka baviti objema poslovima, ali ne nužno. Razne usluge u oblaku i sl. preuzimaju ulogu izvršitelja, uglavnom zbog niže cijene poslovanja.
Na voditelju obrade, tj. entitetu koje skuplja podatke, jest da odabere kvalitetnog izvršitelja obrade od povjerenja, jer vi snosite krajnju odgovornost za postupke obrade. Izvršitelj samo postupa po vašim naredbama, kakve god one bile. S voditeljima obrade najbolje je sklopiti ugovore prema kojima imate pravo na naknadu štete u slučaju nemarne obrade od njihove strane.
Morate se držati svih smjernica za prijenos podataka, a osobito ako podatke šaljete voditeljima obrade u trećim zemljama (vidjeti točku 7).
5. Oprezno s zakonom
Ako svoju obradu podataka namjeravate temeljiti na zakonskim obavezama u svojoj državi, morate pripaziti. U načelu GDPR dozvoljava pravdanje obrade zakonskim obavezama samo ako su ti zakoni zakoni Europske unije ili države članice.
Dakle, ako vam je sjedište u, npr. Crnoj gori, crnogorski zakoni koji vas prisiljavaju na obradu u načelu nisu dostatan razlog da zadržite te podatke, a da ne prekršite GDPR. Isto vrijedi i za sudske odluke i sl.
No opet, svatko imalo pametan postupit će prema zakonima svoje matične zemlje jer su rizici za kažnjavanje neizmjerno veći. O ovome škakljivom problemu najbolje se posavjetovati sa stručnjakom za zaštitu podataka.
6. Vodite evidenciju
Vođenje evidencije postaje obavezno, i to ne samo zbog propisa nego i zbog vas samih. Bez ispravne evidencije ne možete ni znati u kojoj ste mjeri usklađeni i koje podatke obrađujete na koji način. To je osobito bitno ako GDPR primjenjujete samo na dio svog poslovanja.
Ako imate tvrtke podružnice, svaka promjena u praksi i politici obrade trebala bi se ogledati i u podružnicama. Kod svih tvrtki kćeri i sestrinskih tvrtki koje bi mogle rukovati s osobnim podacima potrebno je uvesti jednak standard zaštite.
Imajte na umu da usklađivanje s GDPR-om nije postupak koji se jednom odradi i potom zaboravi. To je zapravo proces koji se stalno treba ispitivati. To, nažalost, iziskuje i veće troškove.
7. Prijenos u treće zemlje
Prekogranični prijenos podataka bit će, po samoj definiciji, nužda za tvrtke izvan Europske unije. Podaci koje prikuplja vaša podružnica u EU-u u suštini se ne smiju slati izvan EU-a.
Ipak, za ovu „zabranu“ postoji pregršt iznimki. Obvezujuća korporativna pravila koja možete usvojiti mogu vam poslužiti kao adekvatne mjere zaštite podataka, što vam omogućuje prijenose i izvan države članice u svoju matičnu zemlju. Dodatni certifikati nisu potrebni ako se vaša zemlja nalazi na popisu adekvatnih zemalja, prema odluci Europske komisije (dok god je vaše poslovanje usklađeno s propisima u tim zemljama).
8. Pripremite se za povrede
Prijava povreda podataka obavezna je prema GDPR-u. Primijenite sve odgovarajuće sigurnosne i administrativne mjere koje smanjuju rizik od povreda, čime ćete si značajno poboljšati situaciju ako i do povreda dođe (smanjit ćete svoju odgovornost).
Korisnike i nadzorna tijela treba o povredi, ako je ozbiljna, obavijestiti najkasnije u roku 72 sata, ali po mogućnosti prije. Prijava povreda nije potrebna ako je dovoljno bezazlena da nije došlo do rizika po pojedince čiji su podaci izgubljeni.
Tvrtke izvan EU-a trebaju se pobrinuti da njihove EU podružnice razumiju zahtjeve GDPR-a u slučaju povreda i bez odlaganja stupe u komunikaciju s nadzornim tijelima. U dosta EU zemalja takva prijava povreda do sad ili nije bila obavezna ili se nije kontrolirala, pa možda ni domaći zaposlenici za sada nisu svjesni novih propisa.
9. Imenujte predstavnika u EU
Tvrtke koje se trebaju uskladiti s GDPR-om trebale bi unutar Europske unije imenovati službenog predstavnika. Taj bi predstavnik predstavljao kontaktnu točku između vaše tvrtke i europskih regulatora. Dakle, ako na redovnoj bazi obrađujete EU podatke, trebat ćete uložiti u imenovanje predstavnika.
Predstavnik bi također bio odgovoran za rješavanje korisničkih upita i zahtjeva. Nema određenih propisa vezanih uz državu u kojoj zemlji imenovati predstavnika, no preporučuje se da to bude zemlja s kojom najviše poslujete.
Predstavniku vi dajete naredbe za postupanje, ali oni ne smiju biti samo figure (što bi se moglo događati). Od dobrog biste predstavnika trebali dobivati upozorenja, savjete i s istim surađivati kako biste osigurali usklađenost s GDPR-om.
Nepoznato je u kojoj bi mjeri predstavnik trebao odgovarati za prekršaje tvrtke, jer se na njega ne primjenjuju izuzeci kao na službenike za zaštitu podataka. Izgledno je da bi se predstavnik, kao jedina osoba dostupna pravosuđu EU-a u slučaju povreda, mogao naći „na tapeti“.
Općenito gledano, usklađivanje s GDPR-om bit će osobito teško za tvrtke izvan EU-a, no kazne su ipak previsoke da biste ih mogli bezbrižno ignorirati. Na vama je da utvrdite koliko se bojite EU pravosuđa i koliko ste sigurni da vam nitko ništa ne može. Neusklađenost s GDPR-om mogla bi drastično utjecati na mogućnost poslovanja s EU tvrtkama, koje neće na sebe preuzimati rizik kazni u slučaju povreda.
