15 49.0138 8.38624 arrow 0 arrow 0 4000 1 0 horizontal https://gdprinformer.com 300 0
GDPR Informer
GDPR Informer
Home / Vodič kroz GDPR za početnike

Vodič kroz GDPR za početnike

U svibnju ove godine stigla nam je korjenita promjena u zakonodavstvu Europske unije koja se tiče zakona o privatnosti – naravno, radi se o Općoj uredbi o zaštiti podataka (GDPR-u) koja donosi, među ostalim, novi pravni okvir za dobivanje privola, zaštitu podataka i prijenos podataka u treće zemlje.

GDPR će utjecati na sve tvrtke i organizacije koje pohranjuju ili obrađuju osobne podatke EU građana, čak i ako ne posluju na teritoriju Europske unije.

Tvrtke koje prikupljaju osobne podatke EU građana morat će se prilagoditi novim pravilima koja se tiču zaštite podataka korisnika, a rok za prilagodbu bio je 25. svibnja, kad je GDPR stupio na snagu u cijeloj Uniji. Uvjeti za obradu, pohranu i prijenos osobnih podataka znatno su postroženi.

Te uvjete nije lako zadovoljiti, a i sami propisi često su nedorečeni, pa očekujemo podosta problema prilikom usklađivanja kod većine tvrtki. Dodajmo tu i prijetnju od kazni koje mogu iznositi i do 20 milijuna eura, pa vrlo brzo postaje jasno zašto je GPDR uzburkao duhove.

U nekim ćete poljima poslovanja morati uvesti sveobuhvatne promjene radi usklađivanja; stoga preporučujemo da se, ako već niste, počnete pripremati što je više moguće. U tome će vam pomoći naš vodič koji će vam pružiti uvid u osnovne uvjete i obaveze koje morate izvršiti.

GDPR: što je to uopće?

Opća uredba o zaštiti podataka (na engleskom General Data Protection Regulation) novi je zakon o zaštiti privatnosti i osobnih podataka koji će se primjenjivati u svih 28 država članica EU-a.

Propisi će, dakle, biti ujednačeni diljem EU-a, što znači da će se tvrtke trebati prilagoditi samo jednom skupu propisa. Ipak, letvica je postavljena prilično visoko i standardi koje GDPR propisuje zasigurno će zahtijevati visoka novčana i vremenska ulaganja.

GDPR se primjenjuje i stupio je na snagu u svim zemljama članicama, pa tako i u Hrvatskoj. Za razliku od direktiva EU-a, uredbe se ne moraju naknadno ratificirati u parlamentu, ali je kod nas donesen Zakon o provedbi Opće uredbe o zaštiti podataka kojim se dodatno reguliraju obaveze i kazne.

Zašto GDPR?

Cilj Europske komisije bio je korisnicima dati više nadzora nad načinom na koji se njihovi podaci (zlo)upotrebljavaju.

Prema anketi Eurobarometra, 2 od 5 ispitanika strahuje od mogućnost korištenja njihovih osobnih podataka bez prethodne obavijesti.

Taj podatak potvrđuje i analiza RSA Securityja, koja je pokazala da korisnici zaista drže do svoje privatnosti. Ispitano je preko 7500 osoba iz Francuske, SAD-a, Italije, Njemačke i Ujedinjenog Kraljevstva.

Naime, 80 % ispitanika povrede financijskih i bankovnih podatka smatra iznimno zabrinjavajućom, a tri četvrtine strahuje od gubitka lozinki i podataka s osobnih dokumenata.

Tvrtkama će zanimljiv biti podatak da bi 62 % korisnika za gubitak podataka prije okrivilo tvrtku kojoj su dali podatke nego hakere koji su podatke ukrali. Kako navode autori istraživanja, „Korisnici postaju sve upućeniji i u problematiku privatnosti pa očekuju veću razinu transparentnosti i odgovornosti od skrbnika njihovih osobnih podataka“.

Ključno je, dakle, da korisnici ne opraštaju tvrtkama koje gube njihove podatke:

  • 72 % američkih ispitanika izjavilo je da bi bojkotiralo tvrtku koja nedovoljno pažnje pridaje zaštiti njihovih podataka
  • 50 % ispitanika radije bi kupovalo preko tvrtke koja može dokazati da joj je stalo do zaštite podataka.

To je dokaz da usklađivanje s GDPR-om nije samo regulatorni zahtjev, već vam donosi i konkurentske prednosti u odnosu na ostale tvrtke koje ne pridaju dovoljno pažnje zaštiti osobnih podataka.

„Tvrtke se sve više okreću digitalnom svijetu, koristeći sve više digitalnih dobara, usluga i big data analitike, ali pri tome moraju voditi računa o nadzoru i zaštiti podataka i to na dnevnoj bazi“, zaključuju u analizi.

GDPR regilators

Novi zakon za novo doba – no, naravno, račun podmiruju tvrtke.

Na koga se GDPR odnosi?

GDPR štiti podatke porijeklom iz EU-a i zahvaća tvrtke koje rukuju podacima iz EU-a, neovisno o tome gdje se nalaze.

Jednostavnim rječnikom, ako se bavite obradom podataka koji potječu iz EU-a, morate se uskladiti s GDPR-om. Kad obrađujete podatke? Pa, ako poslujete s klijentima unutar EU-a, na te se podatke primjenjuje GDPR. To vrijedi i za razne udruge, nevladine organizacije i javna tijela koja obrađuju podatke EU rezidenata. Uvjeti su isti i za male i za velike tvrtke.

U praksi, ako na primjer imate web-trgovinu s koje mogu naručiti i građani EU-a, ili ako imate korisnike iz EU-a, trebali biste započeti s pripremama. Čak su i američke tvrtke prepoznale važnost GDPR-a: prema izvješću revizorske kuće PwC, 92 % tvrtki GDPR smatra glavnim prioritetom, a 85 % se boji da će zbog GDPR-a biti u nepovoljnom položaju u odnosu na tvrtke iz EU-a.

Za tvrtke iz Hrvatske nema dileme: GDPR je tu i morate ga primjenjivati.

Smatram da se ne moram uskladiti!

Na vaše razočarenje, vrlo ste vjerojatno u krivu. Iznimke postoje, ali nisu česte. Da biste izbjegli GDPR, morate zadovoljiti oba navedena kriterija:

  • osobne podatke morate obrađivati samo povremeno, i
  • ne obrađivati posebne kategorije osobnih podataka.

Iako dobar dio tvrtki (i do 40 %, prema nekim anketama) smatra da ispunjava gore navedene kriterije, naša je procjena da taj broj ne prelazi 5 %. Većina tvrtki ipak obrađuje osobne podatke u obujmu dovoljnom da se i na njih primjenjuju propisi GDPR-a!

Koje podatke štiti GDPR?

GDPR se primjenjuje samo na osobne podatke. Ostali podaci koji se ne smatraju osobnima zaštićeni su nacionalnim zakonodavstvom država članica. GDPR se ne primjenjuje na anonimizirane podatke.

Podaci se smatraju osobnima ako se iz njih s velikom vjerojatnošću može otkriti identitet pojedinca. Sam opseg podataka koje GDPR pokriva nije se značajno promijenio, osim dodavanja mrežnih identifikatora koji se smatraju osobnim podacima.

Ukupno gledano, GDPR pokriva sljedeće kategorije podataka:

  • osnovni podaci – ime i prezime, broj osobne iskaznice, lokacijski podaci
  • podaci s kreditnih kartica
  • zdravstveni karton (invalidnost, povijest bolesti i sl.)
  • biometrijski podaci (sken rožnice, otisci prsta itd.)
  • genetski podaci (DNA i sl.)
  • vjerska i filozofska uvjerenja
  • etnička pripadnost
  • ekonomsko stanje
  • članstvo u sindikatu
  • seksualna orijentacija i spolni život
  • IP adrese
  • Osobne poruke e-pošte
  • Kolačići u pregledniku
  • Pseudonimizirani podaci.

Tvrtke koje pribavljaju osobne podatke od ispitanika (korisnika) smatraju se voditeljima obrade, a naredbe za obradu podataka daju izvršiteljima obrade, koji obradu vrše u ime voditelja obrade. U većini slučajeva ista tvrtka će biti i voditelj i izvršitelj, ali to ne vrijedi uvijek – pružatelji usluga u oblaku dobar su primjer vanjskih izvršitelja obrade.

 

Personal Data GDPR

Kako izgleda usklađenost? Pa, recimo, ovako… samo u modernijem izdanju.

Kako se uskladiti?

GDPR donosi pregršt novih obaveza i zahtjeva, ali ovo su neki od ključnih koje morate usvojiti:

Transparentnost

Ispitanike morate na vrijeme informirati o njihovim pravima i načinu na koji ih mogu ostvariti. U tu je svrhu potrebno:

  • U izjavi o privatnosti temeljito navesti sva prava koja ispitanicima pripadaju
  • izjavu o privatnosti smjestiti na vidljivo mjesto na web-stranici
  • izjavu napisati jednostavnim i lako razumljivim jezikom
  • prevesti izjavu na sve jezike na kojima poslujete
  • upoznati ispitanike s izjavom o kolačićima.

Načela obrade

GDPR navodi nekolicinu načela koja se tiču obrade osobnih podataka. Njih trebate imati na umu prilikom svake obrade podataka jer predstavljaju najključniji dio GDPR-a, čije se kršenje kažnjava najvećim mogućim kaznama. Ta načela su:

  • podaci se smiju obrađivati samo na valjanoj zakonskoj osnovi, na pošten i prema ispitaniku transparentan način
  • obavezno navođenje svih svrha obrade u koje se podaci prikupljaju
  • prikupljati smijete samo podatke koji su relevantni i potrebni za ispunjavanje svrhe u koju se obrađuju
  • podaci trebaju biti točni i ažurirani
  • podatke ne smijete pohranjivati duže od razdoblja potrebnog za ispunjavanje svrhe u koju su prikupljeni
  • dužni se osobne podatke zaštititi od nezakonite i nedozvoljene obrade, slučajnog gubitka ili uništenja
  • morate biti u stanju dokazati usklađenost s gore navedenim načelima

Privola je važna

Premda je privola samo jedna od nekoliko zakonskih osnova za obradu podataka, jedna je od važnijih. Ako obradu temeljite na privoli, dužni ste učiniti sljedeće:

  • ispitaniku pružiti izjavu o privoli prilikom prikupljanja podataka
  • zahtijevati privolu za korištenje podataka (potpis, označavanje potvrdnog okvira i sl.)
  • omogućiti povlačenje privole na jednostavan način
  • tražiti izričitu privolu ako prikupljate posebne kategorije osobnih podataka

Rješavanje zahtjeva ispitanika

Nije dovoljno samo informirati ispitanike o njihovim pravima. Morate se i potruditi pomoći im u njihovu ostvarivanju. Stoga njihove zahtjeve morate rješavati na blagovremen način. Od vas mogu zahtijevati sljedeće:

  • informiranje o tome posjedujete li njihove podatke
  • pravo pristupa svojim osobnim podacima koje posjedujete
  • tražiti kopiju osobnih podataka u vašem posjedu, u interoperabilnom formatu
  • ispravak netočnih podataka u vašem posjedu (uz prilaganje točnih informacija)
  • prijenos osobnih podataka drugom voditelju obrade
  • prestanak obrade podataka u svrhu izravnog marketinga
  • uputiti prigovor na automatizirano donošenje odluka
  • brisanje svih podataka u vašem posjedu koji ih se tiču

Imajte na umu da svaki zahtjev za brisanjem, ispravkom ili prestankom obrade podataka morate proslijediti trećim stranama s kojima ste podijelili te podatke, kako bi i oni mogli postupiti prema zahtjevu.

Interne politike i ugovori s trećim stranama

Obavezni ste temeljito provjeriti postojeće dokumente i ugovore koji se tiču upotrebe i dijeljenja osobnih podataka:

  • pregledajte i prema potrebi revidirajte ugovore s izvršiteljima obrade i trećim stranama
  • ako je potrebno, u pisanom dokumentu odredite zastupnika unutar EU-a
  • donesite ili revidirajte unutarnje politike i izjave o privatnosti (npr. tehničke, organizacijske i fizičke mjere sigurnosti)
  • dokumentirajte procedure za rješavanje zahtjeva ispitanika
  • revidirajte procedure za postupanje u slučaju povreda podataka

Mjere zaštite podataka

Kako bi se očuvala prava i slobode ispitanika, a koje se tiču obrade osobnih podataka, GDPR propisuje korištenje odgovarajućih organizacijskih i tehničkih mjera. To znači da ste dužni:

  • implementirati mjere zaštite podataka (kao što su enkripcija i pseudonimizacija)
  • uvesti stroge mjere kontrole pristupa podacima
  • redovito brisati osobne podatke koji više nisu potrebni ili relevantni
  • držati se načela integrirane zaštite privatnosti (privacy by design)

Dokazivanje usklađenosti

Nije dovoljno samo uskladiti se s GDPR-om; morate, naime, na zahtjev nadzornog tijela moći i dokazati svoju usklađenost. To se postiže na sljedeće načine:

  • vodite detaljnu evidenciju svojih aktivnosti obrade
  • surađujte s nadzornim tijelima
  • imenujte službenika za zaštitu osobnih podataka (DPO-a)
  • pod određenim okolnostima, provodite procjene učinka na zaštitu podataka

Vođenje evidencije najvažniji je element dokazivanja usklađenosti. Sve tvrtke s više od 250 zaposlenika dužne su voditi evidenciju obrade, koja treba sadržavati podatke o razlogu prikupljanja i obrade podataka, opise podataka koji se obrađuje, trajanju obrade i mjerama zaštite podataka.

A što ako se ne uskladim?

Nadzorna tijela imaju izbor od nekoliko mjera kojima mogu sankcionirati tvrtke koje se ne pridržavaju novih propisa. To su:

  • upozorenja
  • opomene
  • zabrane obrade
  • novčane kazne

Niži stupanj kazni odnosi se na administrativne propuste poput pogrešaka u vođenju evidencije, obavještavanja ispitanika o povredama podataka ili komunikacije s nadzornim tijelom. Kazne za takvu vrstu prekršaja mogu iznositi najviše 10 milijuna eura ili 2% ukupnog godišnjeg prometa za prethodnu godinu, štogod je veće.

Kazne od 20 milijuna eura ili 4 % ukupnog godišnjeg prometa za prethodnu godinu previđene su za teška kršenja načela obrade, zaštite podataka i prava pojedinaca.

Money bags euros business

You’ll have to comply – or your hard-earned money will pad your government’s budget.

 

Kako započeti?

Uvijek imajte na umu potrebu za većom transparentnosti i odgovornosti ispitanicima koju GDPR donosi; svaki korak naprijed u tom pogledu ne može biti pogrešan. Svjesni smo da je vrlo teško započeti s postupkom usklađivanja, osobito ako imate mnogo propusta, no ovdje ćemo ipak navesti neke od najvažnijih koraka:

  • Razumijevanje novih obaveza – Potrebno je upoznati se s promjenama koje vas čekaju i fokusirati se na one koje će utjecati na vaše poslovanje. Budući da je proučavanje zakona prilično složeno, a mogućnosti za previd goleme, preporučujemo da se obratite stručnjacima koji će vam pružiti daljnje savjete. Bitno je da uprava ima na umu da će do promjena doći. Ako je obrada podataka jedna od glavnih aktivnosti vaše tvrtke, bit će vam potreban i DPO, koji vam može pomoći u rješavanju svakodnevnih poteškoća i problema sa zaštitom podataka, a služi i kao spona između vaše tvrtke i nadzornog tijela.
  • Analiza rizika – „Pristup zaštiti podataka se u GDPR-u zasniva na procjeni rizika. Tehničke i organizacijske metode zaštite podataka trebaju biti razmjerne riziku koji obrada podataka predstavlja po prava i slobode pojedinaca. Tvrtke bi trebale procijeniti rizike i prema tome primijeniti adekvatne mjere otklanjanja tog rizika“, objašnjava Ozren Ćuk, glavni stručnjak za privatnost u Crionisu. Ključno je provesti analizu poslovnih aktivnosti kojim ćete utvrditi postojanje eventualnih problema koje treba riješiti. To uključuje analizu protoka podataka, prava pristupa, ugovora, procedura o privatnosti, sigurnosnih protokola i sl. Analiza bi trebala dati konkretan skup smjernica za buduće djelovanje.
  • Implementirajte promjene – Započnite s kategorizacijom podataka tako što ćete odrediti na koje se podatke uopće primjenjuje GDPR. Nakon toga, odredite podatke koji pripadaju posebnim kategorijama i analizirajte tko im sve ima pristup. Potom je potrebno primijeniti tehničke i organizacijske mjere za njihovu zaštitu. Podatke treba enkriptirati kadgod je moguće, a uređaje s posebnim kategorijama podataka najsigurnije je ne spajati na Internet. Sigurnosne propuste „zakrpajte“ na vrijeme i konstantno imajte na oku eventualne promjene na polju računalne sigurnosti.
  • Dokumentirajte sve procedure – Morate uspostaviti cjelovitu zbirku osobnih podataka i voditi evidenciju o načinu korištenja podataka kako biste u svakom trenutku mogli odgovoriti na upite i zahtjeve nadzornih tijela i ispitanika. To će vam također olakšati brisanje, prijenos i pristup podacima jer ćete u svakom trenutku znati gdje su točno smješteni. Također, povremeno pregledajte postojeće izjave i politike te ih prema potrebi dopunite.

Tko su nadzorna tijela?

Svaka država članica obvezna je imenovati agenciju koja će u toj državi biti glavno tijelo zaduženo za nadzor provedbe GDPR-a. Tvrtke će komunicirati samo s jednim nadzornim tijelom, neovisno o broju ostalih država članica u kojima posluje. To vodeće nadzorno tijelo odredit će se prema glavnom poslovnom nastanu tvrtke. Naravno, to ne znači da se ostala nadzorna tijela ne mogu „uplesti“, ali će vodeće tijelo biti zaduženo za koordinaciju.

„Mehanizam konzistentnosti“ pod vodstvom Europskog odbora za zaštitu podataka trebao bi osigurati ravnomjeran i dosljedan tretman za sve tvrtke, neovisno o državi u kojoj posluju. Jasno je da je teorija jedno, a praksa drugo pa nam preostaje jedino da čekamo i vidimo kako će to izgledati.

Što pojedinci imaju od toga?

Pojedinci će imati više prava koja će im omogućiti više kontrole nad korištenjem njihovih osobnih podataka.

Ako više ne žele da njihovi osobni podaci budu u posjedu trećih strana, imaju pravo tražiti njihovo brisanje. To je tzv. „pravo na zaborav“.

Također im je lakše ostvariti pristup svojim podacima – na primjer, u Ujedinjenom Kraljevstvu tvrtke su imale pravo naplatiti obradu zahtjeva za pristup podacima, dok će sada to biti besplatno. Tvrtke, nadalje, imaju obavezu obavijestiti korisnike o povredama podataka, ali činjenica je i da bi nove mjere trebale smanjiti broj takvih povreda (zahvaljujući već spomenutim načelima „integrirane zaštite privatnosti“).

GDPR bi trebao i povratiti povjerenje korisnika u europske tvrtke, jer će standardi zaštite podataka porasti. Nedavno istraživanje kojeg je proveo Tresorit pokazalo je da bi 60 % njemačkih stručnjaka radije koristilo europske usluge za pohranu podatka od američkih, a 10 puta više ispitanika izjavilo je kako se osjećaju sigurnije dok koriste usluge europskih nego američkih pružatelja.

Zaključak

Jasno je da će se pravila igre drastično promijeniti kad GDPR stupi na snagu. Doći će do korjenitih promjena u načinu na koji shvaćamo i rukujemo s osobnim podacima, no to je možda i dobra stvar uzmemo li u obzir nedavne povrede podataka i postupke koji su naštetili uzajamnom povjerenju tvrtki i korisnika.

Također napominjemo da ovo ni u kojem slučaju nije iscrpan pregled svega što vas čeka. GDPR je izuzetno složen i u praksi postoji mnogo nijansi koje nije moguće obraditi u osnovnom vodiču – zato vam ovdje pružamo dodatne resurse pomoću kojih ćete se moći pobliže zagledati u GDPR i steći bolje razumijevanje novih propisa.

GDPR Informer
Get in touch with us now!
Email address is required.
Email address you have entered is inccorect.
You should probably write something down.
Your email will be used only for communication regarding your request. We do not send any marketing and promotional emails. For more details, read our Privacy policy.
Crionis
Close
Success
Thank you for your interest, we will answer you shortly!
Success
We apologize, there seems to be a problem.