FAQ

The General Data Protection Regulation – or the GDPR – is a new piece of privacy law that will enter into force on 25 May 2018. It will apply in the entire European Union. The GDPR aims to harmonise and modernise the privacy rules for the new digital era. It will replace the outdated Data Protection Directive, in force since 1995.

Individuals will have more rights, including the famed ‘right to be forgotten’. Businesses will enjoy a more consistent application of rules and a predictable regulatory environment with less red tape.

See more detail here: A Beginner’s Guide to the GDPR

The GDPR was adopted on 27 April 2016. The two-year grace period started on that date, and the Regulation will enter into force on 25 May 2018. By that time, all businesses and organisations must be compliant.

A Data Protection Officer (DPO) is the privacy expert in your company that helps you solve GDPR- and privacy-related issues. They will notify you if you are in breach of the GDPR, as well as provide guidance to steer you towards compliance.

DPOs provide education and promote responsible data handling practices. They will also help you make contingency plans in case of a breach, and aid you in international data transfers. A DPO must act independently, without being influenced by owners or other employees.

If your company is doing any processing of personal data on a regular basis, the answer is yes. The same goes if you process sensitive personal data. Generally, the more complex your data processing activities are, the more likely it is you need a DPO.

However, we advise you to hire a DPO even if not required. It will certainly pay off, since they provide invaluable expert advice. Find out more on whether you need a DPO here.

Data controllers are the entities responsible for managing, collecting and directing the use of data. Bulk of the responsibility for the data lies on them.

Data processors are responsible for the processing of data based on orders received from data controllers. In most cases, a single company will be both at the same time. However, if using cloud services, for example, the cloud would be considered a data processor.

A data subject is the individual whose personal data is being processed.

There are several ways businesses can benefit from the GDPR. First, the regulatory environment in the entire EU will be harmonised. This will make expanding into another EU country much easier.

Secondly, non-EU companies will also have to play by the rules if they wish to do business in the EU. The playing field will be completely level. EU businesses won’t be harmed by companies taking advantage of countries with lax privacy regulations.

Thirdly, the more stringent requirements for data storage will make data breaches a rare occurrence. This inadvertent effect will have a great impact on preventing losses stemming from data loss.

Find out more about why the GDPR is good for business here.

The individuals will benefit the most from the GDPR. You have more rights now compared to before the GDPR. It is also much easier to exercise them by contacting the company or the supervisory authority in your country. Even if the company is from another EU country, your local authority will forward your complaint.

You have the rights to be forgotten and to deny consent for the use of data. At any point, you can ask what is being done to your data and demand a copy of it. Generally, nobody can do anything with your personal data unless you clearly consent – such as when marking a check-box online or providing a physical signature.

There are a few more rights you can exercise. Find them here.

We do not recommend ignoring the provisions of the GDPR. The regulatory authorities can issue huge fines. There are two tiers of fines. One is reserved for procedural and minor mistakes, with fines ranging up to EUR 10 million or 2 percent of the company’s global turnover, whichever is higher.

The other tier pertains to severe negligence and wilful infringement of personal rights. The maximum fines for this kind of infringements is doubled to EUR 20 million or 4 percent of the company’s global turnover, whichever is higher.

But it’s not that grim. These are maximum fines, and it’s unlikely your company will get fined by that amount. Repeat transgressors will be issued high fines, but first-time offenders will likely get just a warning and a list of issues that they must get in order.

Supervisory authorities, which are responsible for issuing fines, are not policemen, and they will – and must – cooperate with companies to help them resolve any issues they might have. Therefore, despite the media claims of potential huge fines, in most cases it will be business as usual, but with a new, clearer set of requirements.

Find out more about fines here.

The DPAs – Data Protection Authorities – will continue carrying out their duties as regulators. In the GDPR, however, they will officially be called ‘supervisory authorities’. Each EU Member State will have to appoint one such authority that will oversee all businesses and organisations in its country.

Also, the regulators from each country are expected to cooperate regarding consistency and especially when dealing with multinational corporations. The aim was to have the same regulatory standard in each EU Member State, and thus prevent forum shopping which has become commonplace.

The exact figure is variable, but one thing is for certain: Plan on increasing your privacy and IT budget. The GDPR will result in increased costs, at least during the initial break-in period. This holds true whether you’re a small business-owner or a manager of a huge company.

Companies without adequate privacy and data protection measures will have to spend more to get up to par. And of course, the larger the company, the larger the cost. Half a million Euros is an oft-quoted figure for companies with hundreds of employees. Smaller companies can outsource a DPO to cut on costs, but everyone will have to invest in employee training and education. The figures will vary widely for small businesses, depending on their practices and processing activities.

Not for now. Even if the negotiations finish in the shortest possible time, the UK is still set to implement the GDPR. This means that UK companies also must comply. However, all bets are off in the longer time frame. The Brexit has the potential to affect the application of the GDPR in the UK in the future, though.

Still, even if the UK opts to change the GDPR or abolish it altogether, the privacy regulations in other countries will require a high standard of privacy in the UK. Otherwise, its companies will not be able to hold overseas data.

The GDPR requires that all companies which process personal data on a significant scale, or process sensitive personal data, keep records of their processing activities.

There are no set rules as to what the records should look like, but they must contain at least the following:

• contact details of a person within the organisation
• purpose for processing, explained in detail
• categories of personal data used
• special categories of data (sensitive data), if any
• existence of data transfers to third countries
• retention periods
• overview of security and technical data protection measures
• any additional information, if deemed necessary

Companies with less than 250 employees are exempt from most record-keeping activities. Find out more in this article.

The GDPR has much stricter consent requirements than the current legislation.

This means that implied consent doesn’t work anymore. Consent must be explicit and freely given. It’s opt-in; never opt-out.

Furthermore, you must clearly inform the individual what you will use their data for. The explanation should be given in plain language. The consent is valid only for those specified purposes. If you wish to expand the use of the data, you need additional consent.

Read more about best consent practices and other grounds for processing in this article. Find out what not to do in this handy guide.

It’s very simple. The requirements for NGOs and political parties are the same as for all other organisations. Everything that applies to businesses, also applies to other organisations as well. Pay particular attention to charitable solicitations and marketing. Read more here.

Personal data is ‘any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;’ (Article 4(1)).

In other words, anything that can be used to identify the individual is considered personal data. This includes addresses, credit card numbers, photos, salary, opinions, etc. Note that cookies, IP addresses and location data are also considered personal, which caused quite an uproar for online marketers. The protections of the GDPR are afforded only to the living persons.

Data that is not considered personal, or if it has been anonymised, does not fall under the scope of the GDPR.

Find out more information here.

This is yet another category of personal data that is considered even more protected than personal data. The conditions for processing such data are even more limited.

Sensitive personal data encompasses:

• ethnic makeup
• political stances
• religious beliefs
• trade union membership
• (mental) health condition
• sexual orientation
• criminal files and court proceedings
• biometric data
• genetic data

This data generally cannot be processed, unless you have obtained explicit consent for its use, or if there are public interests for doing so. Read more here.

Yes. Similarly to the USA’s COPPA, the GDPR requires parental permission for child users of online services. However, unlike in the US, which sets the age limit at 13 years old, the threshold is 16 in the GDPR. Member States are allowed to lower the limit, but to no less than 13. We expect most will do it to harmonise with the US regulations.

‘DPIA’ is a shorthand for ‘Data Privacy Impact Assessment’. You must perform a DPIA any time the processing operations pose a privacy or security risk for any individuals. These assessments are a good way of determining whether the operation will be GDPR-compliant. They are also used to demonstrate compliance to the authorities.

Find out more about when to perform a DPIA and how to do it.

As per Article 4 of the GDPR, profiling is any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.

Automated decision-making is the ability to make decisions by technological means without human involvement. These two often overlap.

Opća uredba o zaštiti podataka (GDPR) novi je zakon o privatnosti koji na snagu stupa 25. svibnja 2018., a primjenjivat će se u cijeloj Europskoj uniji. Cilj GDPR-a jest uskladiti i unaprijediti propise o privatnosti kako bi uhvatili korak s tehnološkim razvojem. GDPR će zamijeniti zastarjelu Direktivu 95/46/EZ, donesenu davne 1995.

Osobe će imati više prava, uključujući poznato ‘pravo na zaborav’. Tvrtke će imati koristi od dosljedne provedbe propisa i relativno nepromjenjive regulative s manje birokracije.

Saznajte više ovdje.

GDPR je prihvaćen u Europskom parlamentu 27. svibnja 2016. Nakon toga je počelo teći razdoblje prilagodbe u trajanju od 2 godine. GDPR napokon stupa na snagu 25. svibnja 2018. Do tog datuma sve organizacije i tvrtke moraju biti u potpunosti usklađene s propisima.

Službenik za zaštitu osobnih podataka (DPO – Data Protection Officer) stručnjak je u polju privatnosti koji vašoj tvrtki pomaže riješiti probleme vezane uz GDPR i očuvanje privatnosti podataka. DPO će vas obavijestiti ako smatra da kršite GDPR, ali i pružiti savjete da vas uskladi s propisima.

DPO-i su također zaduženi za obrazovanje zaposlenika i poticanju na odgovorno rukovanje osobnim podacima. Također će vam pomoći i u stvaranju planova za neželjene situacije poput povreda podataka, a bitni su i za osiguravanje sigurnog prijenosa podataka u treće zemlje. DPO u izvođenju svojih zadataka mora biti neovisan i na njega ne smiju utjecati vlasnici ili ostali zaposlenici.

Da, ako vaša tvrtka često obrađuje osobne podatke ili joj je to primarna poslovna aktivnost. Isto vrijedi ako obrađujete osjetljive osobne podatke. Općenito gledano, što je vaša obrada podataka kompleksnija, veće su šanse da Vam treba službenik za zaštitu podataka.

Vjerojatno vam DPO neće trebati na puno radno vrijeme, pa značajne uštede možete postići outsourcanjem DPO-a. Za više informacija, kliknite ovdje!

Voditelji obrade odgovorni su za upravljanje, prikupljanje i izdavanje naredbi za obradu podataka. Većina odgovornosti za sigurnost podataka je na njima.

Izvršitelji obrade zaduženi su za obradu podataka prema uputama dobivenih od voditelja obrade. U većini slučajeva tvrtka će istovremeno biti i voditelj i izvršitelj obrade. No ako koristi usluge u oblaku (cloud), naprimjer, potonja tvrtka bi se mogla smatrati izvršiteljem, ovisno o aktivnosti koje provodi.

Ispitanik je pojedinac čiji se osobni podaci pohranjuju i obrađuju.

Tvrtkama će GDPR ići na ruku iz više razloga. Prvo, regulatorni propisi bit će usklađeni u cijeloj EU, što će olakšati širenje na druge države članice.

Drugo, tvrtke izvan EU-a također će se morati uskladiti s propisima GDPR-a ako žele poslovati s tvrtkama i osobama u EU-u. Pravila igre bit će jednaka za sve, tako da tvrtke iz EU-a više neće biti u nepovoljnom položaju u odnosu na tvrtke van EU-a koje su iskorištavale zemlje sa slabijim propisima o privatnosti podataka.

Treće, stroži zahtjevi za pohranu podataka smanjit će broj povreda osobnih podataka, što će pak smanjiti gubitke tvrtki prouzročene gubitkom osobnih podataka.

Saznajte zašto je GDPR dobar za poslovanje ovdje.

Fizičke osobe najviše će dobiti GDPR-om. Imat ćete znatno više prava nego prije, a bit će ih i lakše ostvariti. Ispitanici će imati pravo obratiti se izravno vama ili nadzornom tijelu države u kojoj žive. U našem slučaju, to je AZOP – Agencija za zaštitu osobnih podataka. AZOP-u se mogu obratiti čak i ako tvrtka ima sjedište u drugoj državi članici. Oni će predstavku proslijediti stvarno nadležnim tijelima.

Ispitanici imaju pravo na zaborav i pravo na povlačenje privole za daljnje korištenje podataka. U svakom trenutku smiju znati što se događa s njihovim podacima i tražiti cjelokupnu kopiju svojih osobnih podataka od tvrtki i organizacija. Općenito rečeno, nitko s osobnim podacima ne smije raditi ništa osim ako za to ne dobije jasnu privolu, kao kad se označi kvadratić za odabir na internetskom obrascu ili pismeno potpiše izjava.

Ne preporučujemo ignoriranje propisa iz GDPR-a. Nadzorna tijela mogu izdati ogromne kazne. Dvije su razine kazni – prva, niža, odnosi se na prodecuralne i sitne pogreške, a kazne mogu iznositi do 10 milijuna eura ili 2 % ukupnog godišnjeg prometa za prethodnu godinu, štogod je veće.

Druga, viša, razina tiče se teške povrede osobnih prava. Najviše predviđene kazne za takve prekršaje iznose do 20 milijuna eura ili do 4 % ukupnog godišnjeg prometa za prethodnu godinu, štogod je veće.

No ne treba se previše brinuti oko gorespomenutih iznosa. To su najveći mogući iznosi, i nije vjerojatno da će vaša tvrtka biti kažnjena takvim iznosima ako počini prekršaj. Recidivisti će zasigurno biti kažnjeni višim kaznama, ali oni kojima je ovo prvi prekršaj vjerojatno će proći s opomenom i listom stavki koje moraju ispraviti.

Zakonodavci, a i sama nadzorna tijela, u nekoliko su navrata napomenuli da im nije cilj biti odgovornima isključivo za izdavanje kazni. Oni će – i moraju – surađivati s tvrtkama kako bi im pomogli riješiti probleme na koje ove mogu naići. Dakle, usprkos medijskim bombastičnim naslovima o visinama kazni, neće se mnogo promijeniti, osim što ćemo dobiti zakon s jasno navedenim obavezama.

Nadzorna tijela će preuzeti funkciju regulatora pod GDPR-om. Svaka država članica EU-a mora imenovati jednu agenciju kao glavno nadzorno tijelo pod čijom će ingerencijom biti sve tvrtke i organizacije u toj državi članici.

Nadzorna tijela također su obavezna surađivati jedna s drugima kako bi osigurali dosljedno provođenje propisa, osobito ako su u pitanju multinacionalne kompanije. Krajnji cilj je osigurati isto provođenje zakona u svakoj državi članici, i tako spriječiti selidbu tvrtki u države sa slabijim provođenjem propisa.

Točan iznos teško je procijeniti, ali jedno je sigurno: Povećajte svoje izdatke za IT i privatnost. GDPR će sigurno za posljedicu imati veće troškove, barem u početnom stadiju ‘uhodavanja’. Ta činjenica je nepobitna neovisno o tome jeste li mali poduzetnik ili menadžer u velikoj tvrtki.

Tvrtke bez adekvatnih mjera zaštite osobnih podataka i privatnosti trebat će potrošiti više sredstava kako bi podigli te mjere na višu razinu. Naravno, što je tvrtka veća, veći su i izdaci. Otprilike pola milijuna eura cifra je koja se često spominje za tvrtke s nekoliko stotina zaposlenika. Manje tvrtke mogu zaposliti DPO-a (službenika za zaštitu osobnih podataka) kao vanjskog suradnika čime će uštedjeti, ali svi će morati uložiti u edukacije i treninge zaposlenika. Točni iznosi za male tvrtke jako će varirati, ovisno o njihovoj dosadašnjoj praksi i samim aktivnostima obrade.

Za sada, ne. Čak i ako se pregovori za britanski izlazak iz EU-a okončaju u najkraćem mogućem roku, GDPR će za sada važiti i u Ujedinjenom Kraljevstvu. To znači da će se i njihove kompanije morati uskladiti s propisima iz GDPR-a. No što će biti kasnije nitko ne zna. Britanski izlazak iz EU-a svakako bi mogao utjecati na njihovu primjenu GDPR-a u budućnosti.

No čak i da se odluče na promjenu GDPR-a ili čak njegovo ukidanje, zakoni u državama u okolici zahtijevat će i od britanskih tvrtki visoke standarde privatnosti ako žele poslovati s vanjskim tvrtkama. U suprotnom tvrtke neće biti u mogućnosti obrađivati podatke koje dolaze izvan britanskih granica.

GDPR zahtijeva od svih tvrtki koje na značajnoj bazi obrađuju osobne podatke ili obrađuju osjetljive osobne podatke u bilo kojem obliku da o tim aktivnostima vode evidenciju.

Ne postoje fiksna pravila vezana uz sam izgled ili oblik zapisa, no propisano je da moraju sadržavati barem sljedeće:

• Kontaktne podatke predstavnika unutar tvrtke
• Svrhu obrate, temeljito objašnjenu
• Kategorije ispitanika i kategorije osobnih podataka
• Posebne kategorije osobnih podataka, ako postoje
• Podatke o prijenosu podataka u treće zemlje i dokumentaciju o zaštitnim mjerama
• Rokove za brisanje podataka
• Pregled sigurnosnih tehničkih i organizacijskih mjera
• Dodatne podatke, ako se smatraju potrebnima

Tvrtke s manje od 250 zaposlenika izuzete su od većine obveza za vođenje evidencije. Saznajte više ovdje.

GDPR donosi znatno postrožene uvjete za privolu od onih trenutno važećih.

To znači da prešutna privola više nije dovoljna. Privola mora biti izričita i dana bez prisile.

Osobe koje daju privolu morate jasno obavijestiti o svrsi korištenja njihovih osobnih podataka, i to na jasan i lako razumljiv način. Privola je važeća samo u svrhe koje ste naveli pojedincu prilikom njezina dobivanja. Ako želite podatke obrađivati u neku drugu svrhu, morate ponovno zatražiti privolu od ispitanika.

Nažalost, stanje stvari prilično je jednostavno. Nevladine organizacije i političke stranke moraju ispuniti iste zahtjeve kao i ostale organizacije. Gotovo svi propisi koji vrijede za tvrtke vrijede i za ostale. Osobito vam želimo skrenuti pozornost na stroge uvjete traženja donacija i promidžbe. Saznajte više ovdje.

Pojam osobnih podataka definiran je u članku 4. GDPR-a kako slijedi: „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Drugim riječima, svi podaci koji bi se mogli iskoristiti za identifikaciju neke osobe smatraju se osobnim podacima. U to spadaju adrese, brojevi kreditnih kartica, fotografije, iznos plaća, mišljenja itd. Napominjemo da se kolačići, IP adrese i podaci o lokaciji također smatraju osobnima, što će stvoriti velike probleme mrežnom marketingu.

GDPR štiti samo živuće fizičke osobe i ne primjenjuje se na podatke koji nisu osobni ili su anonimizirani.

To je još jedna kategorija osobnih podataka koja je još zaštićenija od osobnih podataka. Uvjeti za obradu ovakvih podataka još su stroži.

Osjetljivim podacima smatraju se podaci o:

• etničkoj pripadnosti
• političkim uvjerenjima
• vjerskoj pripadnosti
• članstvu u sindikatu
• zdravstvenom stanju (uklj.i mentalno zdravlje)
• seksualnoj orijentaciji
• spolnom životu
• sudskim postupcima i podaci iz dosjea
• biometrijski podaci
• genetski podaci

Obrada tih podataka zabranjena je osim ako nije dobivena izričita privola za njihovu obradu, ili je takva obrada od iznimnog javnog interesa.

Da. Slično ako i američki zakon COPPA, GDPR od tvrtki zahtijeva traženje privole roditelja prije nego djeci dozvole korištenje svojih usluga. No za razliku od SAD-a, gdje je postavljena dobna granica od 13 godina, GDPR istu podiže 16 godina. Države članice smiju sniziti granicu, ali ne ispod 13 godina. Očekujemo da će većina zemalja uskladiti propise s američkim i spustiti je na 13 godina, no u Hrvatskoj na snazi ostaje granica od 16 godina.

Procjene učinka na zaštitu podataka (DPIA) morate provoditi svaki put kad bi vaša obrada podataka mogla ugroziti bilo čiju privatnost ili sigurnost. Te su procjene dobar način da utvrdite hoće li obrada koju planirate biti u skladu s GDPR-om. Također, uz pomoć njih potvrđujete nadzornim tijelima da ste usklađeni s GDPR-om.

Prema čl. 4 GDPR-a, izrada je profila „svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;”

Automatizirane odluke odnose se na mogućnost donošenja odluka koje na pojedinca mogu značajno utjecati pomoću računala, bez ljudske intervencije. Ova dva pojma često se preklapaju. Imate pravo ne biti izloženi automatiziranim odlukama.