GDPR (eng. General Data Protection Regulation) ili Opća uredba o zaštiti podataka odnosi se na zaštitu pojedinaca u vezi s obradom osobnih podataka i slobodu kretanja podataka. Iako je odredba stupila na snagu 24. svibnja 2016., njena primjena kreće u svim državama članicama Europske unije od 25. ovog mjeseca. Time su Vijeće EU i Europski parlament omogućili poslovnim subjektima i svima koji prikupljaju podatke da u periodu od čak dvije godine svoje poslovanje prilagode odredbama nove Opće uredbe.

Tehnološke promjene su jedan od razloga za donošenje nove uredbe

Regulative o zaštitih osobnih podataka postoje od ranije, no tehnološkim razvojem i novim načinima obrade osobnih podataka postalo je nužno donošenje novog instrumenta zaštite. Od ranije postoji Direktiva 95/46/EZ donesena 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, a koja je sada stavljena izvan snage. Novom Uredbom EU želi se osigurati bolja zaštita prava i temeljnih sloboda pojedinaca i to u vezi s obradom njihovih osobnih podataka. Isto tako, Opća uredba će omogućiti jednostavniju i jednaku zaštitu prava svih pojedinaca U Europskoj uniji. Osim što GDPR definira prava pojedinaca, pojašnjava i koje su obveze subjekata koji obrađuju osobne podatke. U današnje vrijeme riječ je o gotovo svakom poslovnom subjektu, organizaciji ili instituciji.

Što je osobni podatak?

Svi podaci pojedinca čiji je identitet utvrđen ili se može utvrditi smatraju se osobnim podacima. Pri tom se misli na izravno ili neizravno utvrđivanje identiteta na temelju imena i prezimena, identifikacijskog broja, podataka o lokaciji, mrežnog identifikatora ili uz pomoć jednog ili više čimbenika fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog ili socijalnog identiteta pojedinca. Dakle, jako je teško točno popisati što su sve osobni podaci. No, ono što svakako spada u njih je sljedeće: ime i prezime, identifikacijski broj (pr. OIB), slika, adresa, mail adresa, broj telefona, IP adresa, povijest bolesti, glas, popis najdraže literature ili pjesama te svi podaci koji mogu dovesti do izravnog ili neizravnog identificiranja pojedinca.

Što kada se osobni podaci ne mogu pripisati određenom ispitaniku?

U Općoj uredbi o zaštiti podataka je pojašnjen niz pojmova, a jedan od ključnih je i ‘pseudonimizacija’. Ona se odnosi na obradu osobnih podataka tako da se oni više ne mogu pripisati određenom ispitaniku bez upotrebe dodatnih informacija. Uvjet je da se takve dodatne informacije drže odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.

Traženje privole za obradu osobnih podataka

Privola ili pristanak je osnovni element zakonite obrade osobnih podataka. Riječ je o svakoj dobrovoljno i nedvosmisleno izraženoj želji ispitanika koji svojom izjavom ili jasnom potvrdom daje pristanak za obradu osobnih podatak koji se na njega odnose. Stoga privolu moramo tražiti u svakoj situaciji kada želimo obrađivati osobne podatke, a sadržaj same privole je također definiran kroz GDPR.

Privola treba biti jednoznačna, jasna i sažeta i svakako se treba čuvati. Može ju se revidirati i ažurirati ako je to potrebno. Ako smo kupca tražili adresu za isporuku računala koje je naručio u web shopu, taj podatak ćemo bez privole moći koristiti samo kako bi isporučili proizvod, ali ne i za daljnju obradu. Drugim riječima, dobijete li privolu za neku informaciju, ne možete je koristiti ni za što drugo osim u svrhu za koju ste je zatražili. Ono što treba napomenuti je da osim što privolu treba tražiti za obradu podataka korisnika usluge/kupaca, građana i treće pravne osobe, ona je potrebna i za obradu podataka poslovnih partnera i zaposlenika.

Značenje GDPR-a za pojedince i tvrtke

Uredbom o zaštiti osobnih podataka, pojedinci će imati veća prava i slobode vezano uz njihove osobne podatke. Osim što će svaka tvrtka koja na bilo koji način prikuplja osobne podatke o pojedincu za daljnju obradu, trebati tražiti izričit pristanak, svakoj osobi će na jasan i jednostavan način prije samog prikupljanja trebati biti rečeno koji se podaci pohranjuju, u koju svrhu i, ukoliko je moguće, na koji period. Ujedno, osoba ima pravo zatražiti brisanje osobnih kako bi spriječila njihovu daljnju obradu. To znači povlačenje prvotno dane suglasnosti. Iznimka su samo slučajevi u kojima zakon nalaže čuvanje osobnih podataka.

Isto tako, pojedinac može zatražiti da tvrtka koja trenutno obrađuje njegove podatke te iste podatke pošalje, u sigurnom obliku i sigurnim putem, trećoj strani. Riječ je u situacijama u kojima građani žele primjerice promijeniti telefonskog operatera i slično.

Dok se za pojedince ovom Općom uredbom definiraju prava, za tvrtke je najčešće riječ o obvezama koje moraju ispuniti kako bi se omogućila zaštita osobnih podataka pojedinaca. Stoga su tvrtke dužne preuzeti sljedeće obveze:

Implementirati zadanu zaštitu podataka

Odgovorno upravljati s podacima

Omogućiti monitoring i kontrolu

Imenovati kvalificiranog službenika za zaštitu osobnih podataka

Prijaviti moguća kršenja u roku od 72 sata

Osim što će primjena Opće uredbe ograničiti pravo na obradu podataka samo za neposredne svrhe prema njoj važi načelo smanjenja količine podataka, a prema kojemu podatke trebate držati samo dok su vam oni korisni i potrebni. Stoga bi se osobni podaci koji se više ne koriste trebali brisati što će ujedno olakšati upravljanje podacima.

24Sata.hr