1. Upoznajte se s GDPR-om
GDPR, što je engleska skraćenica za Opću uredbu o zaštiti podataka (General Data Protection Regulation), novi je zakon koji u cijeloj Europskoj uniji stupa na snagu 25. svibnja 2018. Budući da se radi o uredbi, nije potrebno prihvaćanje od strane parlamenata u svakoj od država članica zasebno, kao što je to slučaj kod direktiva.
GDPR će zamijeniti trenutno važeći zakonodavni okvir usvojen davne 1995. (Direktiva 95/46/EZ). Ta je direktiva vrlo stara i u vremenu u kojem je donesena današnji tehnološki razvoj, osobito usluga na Internetu, nije bio u fokusu zakonodavaca. To je i jasno jer većina usluga tada nije niti postojala, ali je i sama Europska unija tada bila manja. Da nije GDPR-a, i dalje bismo imali 28 različitih zakonskih okvira za očuvanje privatnosti osobnih podataka.
Trenutni skup propisa jako otežava tvrtkama poslovanje u više zemalja članica EU-a. Kao što smo rekli, svaka država ima svoje propise koji se, jasno, moraju poštovati. Tvrtka iz Austrije bi se, naprimjer, morala temeljito upoznati s propisima u Mađarskoj ako želi tamo otvoriti podružnicu.
To je ne samo velik financijski trošak za uglavnom novootvorene tvrtke, nego se kosi i s temeljnim načelima Europske unije – načelima za slobodno kretanje roba i kapitala na jedinstvenom tržištu koje čini 28 država članica.
Kad GDPR stupi na snagu, tvrtke (i ostale organizacije, skupnim nazivom voditelji obrade) će imati samo jedan zakon s kojim se treba nositi. Jednom kad se usklade s GDPR-om, mogu biti sigurni da će njihove aktivnosti biti zakonite u svakoj državi članici. To veoma pojednostavljuje poslovanje i smanjuje troškove. Osigurava se i pošteno tržišno natjecanje jer su do sad velike tvrtke imale prednost prilikom snalaženja složenim zakonima o privatnosti zbog mogućnosti zapošljavanja čitavih pravnih timova. S GDPR-om, ta bi praksa trebala prestati.
Vi, kao korisnik ili kupac (ispitanik prema GDPR-u), možete biti prilično sigurni da ne postoje rupe u zakonu koje tvrtke mogu iskoristiti protiv vas. Ako imate prebivalište u zemlji članici EU-a, i tvrtka vam pruža usluge, ona sigurno mora biti usklađena s GDPR-om, barem prilikom obrade vaših osobnih podataka. Uopće više ne morate tragati za podacima tvrtke kako biste saznali gdje je osnovana i čiji se zakoni primjenjuju.
Nadalje, ako želite uputiti prigovor, možete ga poslati lokalnoj nadzornom tijelu države u kojoj se nalazite (kod nas je to AZOP). Potpuno je nebitno u kojoj državi članici tvrtka ima sjedište. AZOP je taj koji će se pobrinuti da prigovor stigne na odgovarajuću adresu. Zaista praktično!
GDPR bi trebao pospješiti rast gospodarstva i povećati konkurentnost.
2. Utvrdite poštuju li se vaša prava
GDPR običnim ljudima daje puno prava – i isplati se upoznati s njima. Pogledajmo koje obaveze tvrtke prema vama imaju, a koje se tiču rukovanja vašim osobnim podacima.
- Pravo na informiranje
Kadgod nekoj tvrtki date svoje osobne informacije, imate pravo znati u koju će se svrhu koristiti, razlog korištenja, dužinu pohrane i način kontaktiranja tvrtke. Te biste podatke trebali dobiti odmah prilikom davanja osobnih podataka ili u roku od najviše mjesec dana ako je vaša tvrtka podatke dobila od trećih strana (što se također ne može napraviti ako o tome niste obaviješteni).
Naravno, vaša je privola potrebna za prikupljanje osobnih podataka. Kvadratići za odabir gdje je „kvačica“ već označena nisu dovoljni. Ako se u tvrtki koja posjeduje vaše osobne podatke dogodi povreda podataka koja može značajno utjecati na vas, o tome vas moraju obavijestiti u roku od 72 sata.
- Pravo pristupa
Ako želite doznati koje sve osobne podatke tvrtka o vama posjeduje, od sad ćete to moći napraviti. Obavijestite ih o tome i u roku od mjesec dana moraju vam dati kopiju svih vaših osobnih podataka, zajedno s navođenjem svrhe obrade i postojanje trećih strana koje imaju pristup podacima.
- Pravo na ispravak
Ako nakon pristupa svojim podacima uvidite da su neki podaci netočni ili nejasni, imate pravo na ispravak netočnih informacija. Tvrtka mora ažurirati svoje zapise što je prije moguće nakon što zaprimi točne podatke.
- Pravo na brisanje
Tvrtke ne smiju pohranjivati vaše podatke na duže razdoblje od stvarno potrebnog, i možete zatražiti njihovo brisanje. Čak i ako se vaši podaci trenutno obrađuju, imate pravo narediti im da prekinu s obradom i obrišu sve vaše podatke. To je takozvano pravo na zaborav. Brisanje je također lako ako saznate da su vaši podaci nepropisno obrađivani.
No u nekim slučajevima nemate pravo na brisanje osobnih podataka, kao naprimjer kad je to u interesu javnog zdravlja, znanstvenih istraživanja, ili ako postoje zakonski (sudski) zahtjevi da se podaci ne obrišu. Možete pokušati osporiti utemeljenost ovih ograničenja, osobito ako je očito da ih tvrtke zlorabe.
- Pravo na prigovor i ograničenje obrade
Postoje slučajevi kad biste možda željeli da tvrtka ne obriše vaše podatke, ali ipak želite da ih dalje ne obrađuje. To može biti slučaj kad želite osporiti točnost podataka ili kad vam podaci mogu poslužiti kao dokazni materijal u sudskom procesu. Obrada podataka također se prekida kad uložite prigovor…
…A prigovor možete uložiti kad tvrtka procijeni da su joj podaci potrebni zbog društvenog interesa, kako je objašnjeno u odjeljku prije, a vi se s time ne slažete. Dok se vaš prigovor rješava, tvrtke ne smiju obrađivati vaše osobne podatke. Iznimka je izravni marketing. Oni se ne mogu pozivati na javni interes – odmah po zahtjevu moraju obrisati sve vaše osobne podatke.
- Pravo na prenosivost podataka
Ako se opredijelite na promjenu pružatelja usluga (bilo koje online usluge), dužni su vam osigurati da na lak način prenesete podatke na drugog pružatelja. Možete, dakle, zahtijevati da se svi vaši osobni podaci izravno premjeste kod drugog pružatelja.
Recimo da imate račun e-pošte kod jednog poslužitelja, i želite ga promijeniti. Vaši su podaci jedina stvar koja vas tamo još drži (naprimjer, kontakti) i tvrtke to znaju. Stoga se trude da vam prijenos podataka što više otežaju. Više to neće smjeti raditi – GDPR propisuje prenosivost kao obavezu. Očito je da će to pozitivno utjecati na ponudu raznovrsnih, novih usluga.
- Ručna obrada podataka
Neki voditelji obrade (ako ne i većina) vaše će podatke obrađivati računalno, što samo po sebi nije sporno. Sporno je automatizirano donošenje odluka bez ljudske intervencije, čime se mogu stvoriti i profili i odluke koje mogu utjecati na vaš život, a sve bez da je itko osim računala vaše podatke pregledao. Naprimjer, računalo često donosi odluke o zdravstvenom osiguranju, prilikom javljanja za posao ili traženja kredita. Imate pravo prigovora na takvu obradu i možete zahtijevati ljudsku intervenciju, zajedno s objašnjenjem rezultata obrade.
Sad kad ste se upoznali sa svojim pravima, saznajte što možete napraviti kad se ista prekrše!
3. Kome se obratiti?
Ako sumnjate da voditelj obrade ne postupa na ispravan način s vašim podacima ili ako sumnjate da nešto nije u redu, imate se pravo žaliti.
Općenito, najbolji je način izravno se javiti tvrtki koja je u pitanju. Većina ih brine o svojoj reputaciji i dosta će učiniti kako bi izbjegli negativan publicitet. Trebali biste im se prvo obratiti ako smatrate da imate valjanu žalbu ili pitanja, budući da to može polučiti dobar uspjeh uz najmanje muke.
Tvrtke koje često obrađuju osobne podatke moraju imenovati službenika za zaštitu osobnih podataka koji će biti zadužen za osiguravanje usklađenosti s GPDR-om. Obrazovanje ostalih zaposlenika i obrada prigovora također je jedan od njegovih zadataka. Jednostavna poruka e-pošte službi za korisnike ili odjelu za zaštitu osobnih podataka može učiniti čuda.
Možete se žaliti ili putem e-pošte ili staromodnim načinom. Oba su jednako važeća!
Ako na upit ne dobijete odgovor u roku mjesec dana ili smatrate da daljnja komunikacija ne bi polučila uspjeh, slobodno se obratite nadzornom tijelu. To možete učiniti odmah i bez prethodne komunikacije s tvrtkom, no ipak preporučujemo da se prvo obratite njima.
Kad upućujete žalbu nadzornome tijelu, uopće ne morate gledati državu u kojoj se tvrtka nalazi. Možete je poslati nadzornome tijelu u vašoj državi (AZOP-u) koji će dalje postupati prema propisima. Žalba može biti na hrvatskom jeziku.
Tu je još i opcija izravne tužbe protiv tvrtke za koju smatrate da je povrijedila vaša prava. Pravo na tužbu imate uvijek; nisu potrebne nikakve prethodne žalbe, ali u većini slučajeva to je opcija kojoj biste se trebali prikloniti tek kad ste iscrpili sve ostale mogućnost. Tužbu možete podići ili u svojoj državi članici ili u državi članici u kojoj tvrtka ima sjedište.
4. Tražite naknadu štete
Ako možete dokazati da ste pretrpjeli štetu, bilo materijalnu bilo nematerijalnu, kao posljedicu nezakonite obrade podataka na zlonamjeran način ili iz krajnje nepažnje, imate pravo na naknadu štete. Naknadu ostvarujete tužbom.
GDPR propisuje da su tvrtke zadužene za obradu podataka (voditelji odnosno izvršitelji obrade) odgovorne za svu štetu, bez ograničenja, osim ako mogu dokazati da šteta nije nastala kao posljedica njihovog kršenja GDPR-a. Očekujemo da će se većina sudskih sporova voditi zbog povrede podataka i kršenja prava na zaborav iz marketinških razloga.
Imate pravo sudski postupak pokrenuti u svojoj zemlji ili u zemlji gdje tvrtka ima sjedište. Organizacije mogu podnijeti zastupati svoje članove (sindikati, cehovi, itd.)
Tvrtke koje ne igraju po pravilima ne riskiraju samo tužbe od bijesnih klijenata, već i kazne od nadzornih tijela koje mogu iznositi do 20 milijuna eura ili do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće. Trebalo bi, dakle, svima biti u interesu paziti na sigurnost i privatnost osobnih podataka.
Kao što možete vidjeti, GDPR vam daje pregršt prava i jake mehanizme za njihovu obranu. Nije potrebno puno da biste saznali što napraviti u slučaju da ih netko povrijedi, a brza reakcija mogla bi vam uštedjeti puno vremena. Tvrtke vas više ne mogu ‘ucjenjivati’ vašim podacima. Ako ste skeptični i mislite da od novih propisa neće biti ništa, isprobajte sami. Ako ne brinu zbog želje da zadovolje klijente, onda će svakako brinuti iz straha od ogromnih kazni ako ih se uhvati s prstima u medu. GDPR zaista vraća kontrolu pravim vlasnicima osobnih podataka – a to ste upravo vi.
