Opća uredba o zaštiti podataka (GDPR) za cilj pojednostaviti i ojačati prava pojedinaca koje tvrtke potom moraju poštovati. Ispitanici, kako se u GDPR-u nazivaju osobe čije osobne podatke obrađujete, danas imaju velik broj prava. Cilj toga svega jest da se nadzor nad podacima vrati u ruke njihovih stvarnih vlasnika, tj. ispitanicima. I da, to nažalost znači više posla za vas kao voditelja obrade – ali tu ne možete puno napraviti, jer su propisi isti u cijelom EU-u, a kazne za nepridržavanje prilično visoke.
Kad smijem prikupljati osobne podatke?
Kadgod voditelj obrade (vaša tvrtka) prikuplja ili obrađuje osobne podatke, o tome mora obavijestiti tog pojedinca. To se pravo naziva pravom na informiranje. Ako podatke dobivate izravno od te osobe, prilikom prikupljanja podataka morate joj pružiti sljedeće podatke:
- kontakt-podatke službenika za zaštitu podataka
- svrhu i zakonsku osnovu za obradu podataka
- sve primatelje podataka unutar i izvan EU-a, ako ih ima
- trajanje pohrane podataka
- načine i mjesto za upućivanje žalbi
- postoji li nužnost obrade podataka u svrhu ispunjenja ugovorne obveze
- vrši li se automatizirano donošenje odluka ili izrada profila zasnovana na osobnim podacima.
Ako ste podatke prikupili od trećih strana, ispitanike o tome morate obavijestiti u roku od mjesec dana, a također morate i navesti odakle ste podatke dobili.
Ispitanik želi znati na koji način koristim njegove podatke
…i ima potpuno pravo na to. Pravo pristupa osobnim podacima omogućuje im da zatraže kopiju svojih osobnih podataka u vašem posjedu kadgod žele, i to besplatno. Postoje, doduše, ograničenja: ako su zahtjevi odveć česti ili očito zlonamjerni, imate pravo naplatiti stvarne troškove nastale obradom.
Nakon što zaprimite zahtjev, imate mjesec dana da na njega odgovorite tako što ćete dostaviti ove podatke:
- obrađujete li njihove osobne podatke
- ako obrađujete, kako i zašto
- ako ih ima, dostaviti kopiju podataka
Ne zaboravite da imate pravo provjeriti identitet podnositelja zahtjeva. Preporučuje se da tražite prijavu na svoj mrežni servis, ako ga imate, ali možete i zahtijevati kopiju osobnog dokumenta i sl.
Ispitanik želi ispraviti svoje podatke
Ako podaci koje imate o ispitaniku nisu točni, imaju vas pravo kontaktirati i zatražiti ispravak podataka. Naravno, pod uvjetom da vam dostave ažurirane podatke. Zaprimanjem zahtjeva i novih podataka imate mjesec dana da to i učinite, s time da se rok može produljiti za još mjesec dana u slučaju složenih zahtjeva.
Ne zaboravite da ispitanici nemaju obavezu ispraviti te podatke čak i ako vi utvrdite da su oni netočni; radi se o njihovoj dobroj volji, osim ako je ostalim zakonima drugačije regulirano.
Ispitanik želi obrisati svoje podatke
Iako popularno pravo na zaborav nije bezgranično, u većini slučajeva ispitanici ipak imaju pravo tražiti brisanje svojih podataka.
To se pravo dijelom nadovezuje na načelo smanjenja količine podataka. Naime, osobne podatke uopće ne biste ni trebali držati pohranjenima ako više nisu potrebni za ispunjavanje svrhe u koju su prikupljeni. Kad od ispitanika prikupite podatke, vi zapravo dobivate dozvolu za njihovo korištenje; ta dozvola je uvjetna i primjenjiva samo u svrhe navedene prilikom prikupljanja podataka. Ako je ta svrha ispunjena, podatke morate izbrisati. Izlika da bi vam mogli biti potrebni u budućnosti nije dovoljna!
Ispitanici u svakom trenutku imaju pravo povući privolu za obradu osobnih podataka, a vi nakon toga obavezno morate prestati s obradom podataka i obrisati ih.
Ispitanici nemaju uvijek pravo na brisanje podataka. Ako bi njihovo uklanjanje ugrozilo slobodu izražavanja i informiranja, ili ako je u javnom interesu da podaci ostanu dostupni, npr. u svrhu javnog zdravstva ili istraživanja, onda ih ne morate nužno brisati. Isto vrijedi ako se oko podataka vodi sudski spor ili su dio dokaznog materijala, tj. ako su vlasti naredile da se ne uklanjaju.
Podaci pripadaju ispitanicima – koji ih u pravilu mogu izbrisati kad požele.
Ispitanik ima prigovor na obradu ili želi ograničiti korištenje podataka
Čak i ako imaju pravo na brisanje podataka, ispitanici mogu prigovoriti na obradu i ograničiti korištenje podataka. Za to može biti više razloga – na primjer, možda im ne smeta da pohranjujete njihove podatke, ali ne žele da ih dalje obrađujete. Ta prava služe upravo za to.
Obradu podataka može se ograničiti kad ispitanici osporavaju točnost podataka, zatim ako podatke obrađujete na nezakonit način, te naposljetku ako više nisu potrebni u svoju prvotnu svrhu, ali trebaju biti pohranjeni jer se oko njih vodi sudski spor.
Pravo na prigovor ispitanici imaju ako smatraju da se njihovi podaci neprimjereno koriste pod krinkom javnog interesa ili legitimnog interesa tvrtke. Te osnove su ‘klimave’ i često otvorene raznim tumačenjima, pa je ovo mehanizam kojim ispitanici mogu osporiti obradu ako smatraju da za nju nema stvarnog uporišta. Na vašoj tvrtki je, u tom slučaju, teret dokaza da je takva upotreba zaista legitimna.
Ako osobne podatke koristite u svrhu izravnog marketinga ili izrade profila, na pritužbu ispitanika morate odmah prestati s tom obradom, bez iznimke. Nemate pravo osporiti prigovor.
Prenosivost podataka i automatizirano donošenje odluka
Ispitanici imaju pravo promijeniti voditelja obrade, na primjer kad sele račun e-pošte i sl. na drugog davatelja usluga. GDPR im daje pravo da podatke na što jednostavniji način presele izravno drugom pružatelju usluga. Njihove podatke ne možete držati kod sebe kao ‘uvjet’ za nastavak korištenja usluge.
Automatizirano donošenje odluka odnosi se na automatsku računalnu obradu podataka bez čovjekova nadzora. Takve odluke mogu imati značajan utjecaj na nečiji život – na primjer, odbijanje kreditnog zahtijeva ili analiza učinka na poslu. Zakonodavac smatra da nije pošteno da se takve odluke mogu donijeti bez ljudske intervencije.
Zato ispitanici imaju pravo da ih se ne izlaže automatiziranom donošenju odluka, odnosno da ulože prigovor na odluku i zahtijevaju obradu od strane žive osobe. U odgovoru na prigovor morate objasniti razloge zbog kojih je donijeta baš takva odluka, a osobe je imaju pravo osporiti u svojoj žalbi. Najčešće će se ovdje raditi o automatiziranoj obradi zahtjeva za usluge, kredite, članstva itd.
Prava ispitanika u slučaju povrede
Tvrtke koje se ne pridržavaju propisa vrlo se brzo mogu naći u problemu. Iz iskustva znamo da će se nepravilnost najčešće javljati kod pohrane podataka; naime većina tvrtki ih ne briše na vrijeme, a dolazit će i do prekomjernog nedozvoljenog dijeljenja s trećim stranama.
Od korisnika se očekuje da se prvo jave izravno tvrtki u slučaju pitanja ili žalbi. Velike tvrtke već imaju sustave i osoblje koje se bavi rješavanjima pritužbi, a prema novom zakonu vjerojatno će morati imenovati i službenika za zaštitu osobnih podataka. Na zahtjeve pojedinaca treba se uvijek odgovoriti, osobito ako su razumni.
Ako tvrtke ne odgovore na pitanja korisnika, pojedinci se mogu izravno žaliti nadzornome tijelu. Osobe se žaliti mogu nadzornome tijelu u državi u kojoj žive ili nadzornome tijelu države u kojoj imate poslovni nastan.
Uz gore navedena prava, ispitanici uvijek imaju pravo tužiti tvrtku neovisno o mogućim žalbama. Postupak mogu pokrenuti ili u državi u kojoj imaju prebivalište ili u državi u kojoj imate poslovni nastan. Sudu se mogu obratiti i ako nisu zadovoljni vašim rješavanjem njihovog zahtjeva ili ako im tri mjeseca niste odgovorili na zahtjev ili pitanje. Čak i pod trenutnim zakonodavstvom ispitanici su dobivali ove sporove, pa pripazite.
Možda se opazili mogućnost da vas tuže u više zemalja i probleme koje bi to moglo predstavljati. Na primjer, korisnik iz Francuske može vas tužiti u Francuskoj, mada je sjedište vaše tvrtke u Hrvatskoj. Nejasno je kako će to točno funkcionirati i što sve tvrtke moraju napraviti u tom slučaju.
Ispitanik traži odštetu
GDPR ispitanicima daje pravo traženja odštete za štetu nastalu nezakonitom obradom ili povredama podataka. Voditelj i izvršitelji obrade odgovorni su za svu štetu koja je nastala, osim ako mogu dokazati da nije nastala njihovom krivicom. Ove se tužbe podnose na isti način kao i u slučaju povrede – u državi u kojoj ispitanici žive ili u zemlji gdje tvrtka ima glavni poslovni nastan.
Uz odštete koje vas čekaju ako izgubite sudske sporove, tu su naravno i kazne od nadzornih tijela koje mogu iznositi i do 20 milijuna eura, odnosno do 4 % vašeg ukupnog godišnjeg prometa, ovisno o tome što je veće.
Zaključak
GDPR se uglavnom smatra korakom naprijed kad govorimo o očuvanju prava pojedinaca. S druge strane, za vas to znači više administrativnih obveza i prostora za pogrešku. U svakom slučaju trebate uplanirati veće izdatke za rješavanje pritužbi i posvetiti više pažnje ovoj problematici, jer greške se skupo plaćaju.
