15 49.0138 8.38624 arrow 0 arrow 0 4000 1 0 horizontal https://gdprinformer.com/hr 300 0
GDPR Informer
GDPR Informer
Početna / Često postavljana pitanja

Često postavljana pitanja

Što je GDPR?

Opća uredba o zaštiti podataka (GDPR) novi je zakon o privatnosti koji na snagu stupa 25. svibnja 2018., a primjenjivat će se u cijeloj Europskoj uniji. Cilj GDPR-a jest uskladiti i unaprijediti propise o privatnosti kako bi uhvatili korak s tehnološkim razvojem. GDPR će zamijeniti zastarjelu Direktivu 95/46/EZ, donesenu davne 1995.

Osobe će imati više prava, uključujući poznato ‘pravo na zaborav’. Tvrtke će imati koristi od dosljedne provedbe propisa i relativno nepromjenjive regulative s manje birokracije.

Saznajte više ovdje.

Kada GDPR stupa na snagu?

GDPR je prihvaćen u Europskom parlamentu 27. svibnja 2016. Nakon toga je počelo teći razdoblje prilagodbe u trajanju od 2 godine. GDPR napokon stupa na snagu 25. svibnja 2018. Do tog datuma sve organizacije i tvrtke moraju biti u potpunosti usklađene s propisima.

Tko je DPO?

Službenik za zaštitu osobnih podataka (DPO – Data Protection Officer) stručnjak je u polju privatnosti koji vašoj tvrtki pomaže riješiti probleme vezane uz GDPR i očuvanje privatnosti podataka. DPO će vas obavijestiti ako smatra da kršite GDPR, ali i pružiti savjete da vas uskladi s propisima.

DPO-i su također zaduženi za obrazovanje zaposlenika i poticanju na odgovorno rukovanje osobnim podacima. Također će vam pomoći i u stvaranju planova za neželjene situacije poput povreda podataka, a bitni su i za osiguravanje sigurnog prijenosa podataka u treće zemlje. DPO u izvođenju svojih zadataka mora biti neovisan i na njega ne smiju utjecati vlasnici ili ostali zaposlenici.

Moram li imenovati DPO-a?

Da, ako vaša tvrtka često obrađuje osobne podatke ili joj je to primarna poslovna aktivnost. Isto vrijedi ako obrađujete osjetljive osobne podatke. Općenito gledano, što je vaša obrada podataka kompleksnija, veće su šanse da Vam treba službenik za zaštitu podataka.

Vjerojatno vam DPO neće trebati na puno radno vrijeme, pa značajne uštede možete postići outsourcanjem DPO-a. Za više informacija, kliknite ovdje!

Tko su voditelji obrade, izvršitelji obrade i ispitanici?

Voditelji obrade odgovorni su za upravljanje, prikupljanje i izdavanje naredbi za obradu podataka. Većina odgovornosti za sigurnost podataka je na njima.

Izvršitelji obrade zaduženi su za obradu podataka prema uputama dobivenih od voditelja obrade. U većini slučajeva tvrtka će istovremeno biti i voditelj i izvršitelj obrade. No ako koristi usluge u oblaku (cloud), naprimjer, potonja tvrtka bi se mogla smatrati izvršiteljem, ovisno o aktivnosti koje provodi.

Ispitanik je pojedinac čiji se osobni podaci pohranjuju i obrađuju.

Koja je korist od GDPR-a za tvrtke?

Tvrtkama će GDPR ići na ruku iz više razloga. Prvo, regulatorni propisi bit će usklađeni u cijeloj EU, što će olakšati širenje na druge države članice.

Drugo, tvrtke izvan EU-a također će se morati uskladiti s propisima GDPR-a ako žele poslovati s tvrtkama i osobama u EU-u. Pravila igre bit će jednaka za sve, tako da tvrtke iz EU-a više neće biti u nepovoljnom položaju u odnosu na tvrtke van EU-a koje su iskorištavale zemlje sa slabijim propisima o privatnosti podataka.

Treće, stroži zahtjevi za pohranu podataka smanjit će broj povreda osobnih podataka, što će pak smanjiti gubitke tvrtki prouzročene gubitkom osobnih podataka.

Saznajte zašto je GDPR dobar za poslovanje ovdje.

Koje su prednosti za fizičke osobe?

Fizičke osobe najviše će dobiti GDPR-om. Imat ćete znatno više prava nego prije, a bit će ih i lakše ostvariti. Ispitanici će imati pravo obratiti se izravno vama ili nadzornom tijelu države u kojoj žive. U našem slučaju, to je AZOP – Agencija za zaštitu osobnih podataka. AZOP-u se mogu obratiti čak i ako tvrtka ima sjedište u drugoj državi članici. Oni će predstavku proslijediti stvarno nadležnim tijelima.

Ispitanici imaju pravo na zaborav i pravo na povlačenje privole za daljnje korištenje podataka. U svakom trenutku smiju znati što se događa s njihovim podacima i tražiti cjelokupnu kopiju svojih osobnih podataka od tvrtki i organizacija. Općenito rečeno, nitko s osobnim podacima ne smije raditi ništa osim ako za to ne dobije jasnu privolu, kao kad se označi kvadratić za odabir na internetskom obrascu ili pismeno potpiše izjava.

 

Što će se dogoditi ako se ne uskladim s GDPR-om?

Ne preporučujemo ignoriranje propisa iz GDPR-a. Nadzorna tijela mogu izdati ogromne kazne. Dvije su razine kazni – prva, niža, odnosi se na prodecuralne i sitne pogreške, a kazne mogu iznositi do 10 milijuna eura ili 2 % ukupnog godišnjeg prometa za prethodnu godinu, štogod je veće.

Druga, viša, razina tiče se teške povrede osobnih prava. Najviše predviđene kazne za takve prekršaje iznose do 20 milijuna eura ili do 4 % ukupnog godišnjeg prometa za prethodnu godinu, štogod je veće.

No ne treba se previše brinuti oko gorespomenutih iznosa. To su najveći mogući iznosi, i nije vjerojatno da će vaša tvrtka biti kažnjena takvim iznosima ako počini prekršaj. Recidivisti će zasigurno biti kažnjeni višim kaznama, ali oni kojima je ovo prvi prekršaj vjerojatno će proći s opomenom i listom stavki koje moraju ispraviti.

Zakonodavci, a i sama nadzorna tijela, u nekoliko su navrata napomenuli da im nije cilj biti odgovornima isključivo za izdavanje kazni. Oni će – i moraju – surađivati s tvrtkama kako bi im pomogli riješiti probleme na koje ove mogu naići. Dakle, usprkos medijskim bombastičnim naslovima o visinama kazni, neće se mnogo promijeniti, osim što ćemo dobiti zakon s jasno navedenim obavezama.

Tko nadzire primjenu GDPR-a?

Nadzorna tijela će preuzeti funkciju regulatora pod GDPR-om. Svaka država članica EU-a mora imenovati jednu agenciju kao glavno nadzorno tijelo pod čijom će ingerencijom biti sve tvrtke i organizacije u toj državi članici.

Nadzorna tijela također su obavezna surađivati jedna s drugima kako bi osigurali dosljedno provođenje propisa, osobito ako su u pitanju multinacionalne kompanije. Krajnji cilj je osigurati isto provođenje zakona u svakoj državi članici, i tako spriječiti selidbu tvrtki u države sa slabijim provođenjem propisa.

Koliko će me usklađivanje koštati?

Točan iznos teško je procijeniti, ali jedno je sigurno: Povećajte svoje izdatke za IT i privatnost. GDPR će sigurno za posljedicu imati veće troškove, barem u početnom stadiju ‘uhodavanja’. Ta činjenica je nepobitna neovisno o tome jeste li mali poduzetnik ili menadžer u velikoj tvrtki.

Tvrtke bez adekvatnih mjera zaštite osobnih podataka i privatnosti trebat će potrošiti više sredstava kako bi podigli te mjere na višu razinu. Naravno, što je tvrtka veća, veći su i izdaci. Otprilike pola milijuna eura cifra je koja se često spominje za tvrtke s nekoliko stotina zaposlenika. Manje tvrtke mogu zaposliti DPO-a (službenika za zaštitu osobnih podataka) kao vanjskog suradnika čime će uštedjeti, ali svi će morati uložiti u edukacije i treninge zaposlenika. Točni iznosi za male tvrtke jako će varirati, ovisno o njihovoj dosadašnjoj praksi i samim aktivnostima obrade.

Hoće li se išta promijeniti nakon Brexita?

Za sada, ne. Čak i ako se pregovori za britanski izlazak iz EU-a okončaju u najkraćem mogućem roku, GDPR će za sada važiti i u Ujedinjenom Kraljevstvu. To znači da će se i njihove kompanije morati uskladiti s propisima iz GDPR-a. No što će biti kasnije nitko ne zna. Britanski izlazak iz EU-a svakako bi mogao utjecati na njihovu primjenu GDPR-a u budućnosti.

No čak i da se odluče na promjenu GDPR-a ili čak njegovo ukidanje, zakoni u državama u okolici zahtijevat će i od britanskih tvrtki visoke standarde privatnosti ako žele poslovati s vanjskim tvrtkama. U suprotnom tvrtke neće biti u mogućnosti obrađivati podatke koje dolaze izvan britanskih granica.

Koji su uvjeti za vođenje evidencije?

GDPR zahtijeva od svih tvrtki koje na značajnoj bazi obrađuju osobne podatke ili obrađuju osjetljive osobne podatke u bilo kojem obliku da o tim aktivnostima vode evidenciju.

Ne postoje fiksna pravila vezana uz sam izgled ili oblik zapisa, no propisano je da moraju sadržavati barem sljedeće:

  • Kontaktne podatke predstavnika unutar tvrtke
  • Svrhu obrate, temeljito objašnjenu
  • Kategorije ispitanika i kategorije osobnih podataka
  • Posebne kategorije osobnih podataka, ako postoje
  • Podatke o prijenosu podataka u treće zemlje i dokumentaciju o zaštitnim mjerama
  • Rokove za brisanje podataka
  • Pregled sigurnosnih tehničkih i organizacijskih mjera
  • Dodatne podatke, ako se smatraju potrebnima

Tvrtke s manje od 250 zaposlenika izuzete su od većine obveza za vođenje evidencije. Saznajte više ovdje.

Koji su uvjeti za dobivanje privole?

GDPR donosi znatno postrožene uvjete za privolu od onih trenutno važećih.

To znači da prešutna privola više nije dovoljna. Privola mora biti izričita i dana bez prisile.

Osobe koje daju privolu morate jasno obavijestiti o svrsi korištenja njihovih osobnih podataka, i to na jasan i lako razumljiv način. Privola je važeća samo u svrhe koje ste naveli pojedincu prilikom njezina dobivanja. Ako želite podatke obrađivati u neku drugu svrhu, morate ponovno zatražiti privolu od ispitanika.

Upravljam nevladinom organizacijom ili udrugom. Što trebam činiti?

Nažalost, stanje stvari prilično je jednostavno. Nevladine organizacije i političke stranke moraju ispuniti iste zahtjeve kao i ostale organizacije. Gotovo svi propisi koji vrijede za tvrtke vrijede i za ostale. Osobito vam želimo skrenuti pozornost na stroge uvjete traženja donacija i promidžbe. Saznajte više ovdje.

Što se smatra ‘osobnim podacima’ u smislu GDPR-a?

Pojam osobnih podataka definiran je u članku 4. GDPR-a kako slijedi: „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Drugim riječima, svi podaci koji bi se mogli iskoristiti za identifikaciju neke osobe smatraju se osobnim podacima. U to spadaju adrese, brojevi kreditnih kartica, fotografije, iznos plaća, mišljenja itd. Napominjemo da se kolačići, IP adrese i podaci o lokaciji također smatraju osobnima, što će stvoriti velike probleme mrežnom marketingu.

GDPR štiti samo živuće fizičke osobe i ne primjenjuje se na podatke koji nisu osobni ili su anonimizirani.

Što su ‘osjetljivi podaci’?

To je još jedna kategorija osobnih podataka koja je još zaštićenija od osobnih podataka. Uvjeti za obradu ovakvih podataka još su stroži.

Osjetljivim podacima smatraju se podaci o:

  • etničkoj pripadnosti
  • političkim uvjerenjima
  • vjerskoj pripadnosti
  • članstvu u sindikatu
  • zdravstvenom stanju (uklj.i mentalno zdravlje)
  • seksualnoj orijentaciji
  • spolnom životu
  • sudskim postupcima i podaci iz dosjea
  • biometrijski podaci
  • genetski podaci

Obrada tih podataka zabranjena je osim ako nije dobivena izričita privola za njihovu obradu, ili je takva obrada od iznimnog javnog interesa.

Postoje li ograničenja za podatke djece?

Da. Slično ako i američki zakon COPPA, GDPR od tvrtki zahtijeva traženje privole roditelja prije nego djeci dozvole korištenje svojih usluga. No za razliku od SAD-a, gdje je postavljena dobna granica od 13 godina, GDPR istu podiže 16 godina. Države članice smiju sniziti granicu, ali ne ispod 13 godina. Očekujemo da će većina zemalja uskladiti propise s američkim i spustiti je na 13 godina, no u Hrvatskoj na snazi ostaje granica od 16 godina.

Što su procjene učinka na zaštitu podataka?

Procjene učinka na zaštitu podataka (DPIA) morate provoditi svaki put kad bi vaša obrada podataka mogla ugroziti bilo čiju privatnost ili sigurnost. Te su procjene dobar način da utvrdite hoće li obrada koju planirate biti u skladu s GDPR-om. Također, uz pomoć njih potvrđujete nadzornim tijelima da ste usklađeni s GDPR-om.

Što su ‘izrada profila’ i ‘automatizirane odluke’?

Prema čl. 4 GDPR-a, izrada je profila „svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;”

Automatizirane odluke odnose se na mogućnost donošenja odluka koje na pojedinca mogu značajno utjecati pomoću računala, bez ljudske intervencije. Ova dva pojma često se preklapaju. Imate pravo ne biti izloženi automatiziranim odlukama.

GDPR Informer
Javite nam se odmah!
Email adresa je obvezna.
Email adresa koju ste unijeli nije valjana.
Vjerojatno biste trebali napisati neku poruku.
Vaš email ćemo koristiti samo u svrhu komunikacije u vezi Vašeg zahtjeva. Ne šaljemo marketinške mailove i neželjenu poštu. Za više detalja pročitajte našu Izjavu o privatnosti.
Crionis
Close
Success
Hvala Vam na interesu, odgovorit ćemo Vam uskoro!
Success
Ispričavamo se, došlo je do problema.