GDPR (General Data Protection Regulation) ili Opća Uredba o zaštiti osobnih podataka generalno regulira zaštitu osobnih podataka građana Europske unije. Nova Uredba, koja stupa na snagu u svibnju iduće godine, izravno će se primjenjivati u državama članicama Unije bez potrebe za dodatno prenošenje u nacionalno zakonodavstvo.
Kada se govori i piše o ovoj Uredbi prevladavaju priče o velikim i kompleksnim zahtjevima informacijske sigurnosti za tvrtke te ogromnim kaznama. Naime, maksimalne propisane kazne za neusuglašavanje dosežu 20 milijuna eura ili 4 posto ukupnog prihoda kompanije. To su iznosi koji ozbiljno mogu naštetiti poslovanju čak i velikih svjetskih tvrtki.
Uredba je pisana nekoliko godina i slijedi smjernice EU o stvaranju jedinstvenog digitalnog tržišta prihvaćene još 2015. godine. Donesena je u travnju prošle godine, a u punu primjenu stupa 25. svibnja 2018.
Za usuglašavanje je, dakle, preostalo manje od godinu dana pa ne čudi sve veći broj članaka i radionica na temu GDPR-a.
Sasvim sigurno riječ je o velikoj promjeni u pristupu zaštiti osobnih podataka. Tehnološke promjene koje je potrebno napraviti na području djelovanja IT-a i informacijske sigurnosti samo su dio zahtjeva koje treba ispuniti. Veliki dio zahtjeva odnosi se na promjenu pristupa korištenju osobnih podataka. A to se odnosi i na ostale poslovne jedinice unutar tvrtke.
Zaštita osobnih podataka u poslovanju
Marketing i prodaja, na primjer, moraju striktno definirati koje podatke prikupljaju te kako i zašto ih obrađuju. Odjel za ljudske resurse mora zaštititi osobne podatke vlastitih djelatnika. Odjeli financija i nabave moraju uskladiti svoje aktivnosti sa zahtjevima Uredbe.
Riječ je o opsežnom poslu i očigledno je da će velikim korisnicima osobnih podataka trebati kompleksna tehnološka rješenja, ali i promjena poslovnog modela. Takvo što traži puno vremena, a na raspolaganju je nešto manje od godinu dana.
>>10 mitova o GDPR-u koje treba raskrinkati
Stoga nije čudno da većina autora koristi strah od visokih kazni i kompleksne implementacije kao glavnu motivaciju da potaknu tvrtke na djelo. Same tvrtke svjesne su da veliki tehnološki projekti traže velike budžete i dosta vremena.
No, priče o visokim kaznama i troškovima implementacije skreću pozornost s niza drugih korisnih informacija o Uredbi i pravima koja ona donosi građanima Unije.
Preporuka je da se prilikom implementacije mjera za usuglašavanje s uredbom o zaštiti osobnih podataka ne libite zatražiti pomoć izvan organizacije. Riječ je o procesu koji svi provode prvi put i nedostaje primjer najbolje prakse koji biste slijedili. Ni u samim tvrtkama ne postoji cjelovito znanje na koje se možete osloniti – niti u pravnoj, niti u tehnološkim službama.
Pomoći vam mogu konzultanti specijalizirani za usuglašavanje, koji o vašem poslu znaju dovoljno da vam pomognu odabrati i implementirati minimalne potrebne mjere. Pravni stručnjaci specijalizirani za tumačenje Uredbe pomoći će vam s rješavanjem pravne strane.
Uredba, s jedne strane, donosi niz prava građanima Unije, vlasnicima osobnih podataka, a s druge pak strane predstavlja ogromnu poslovnu priliku za sve tvrtke koje u svom poslovanju koriste osobne podatke korisnika.
Nova prava građana – olakšanje za korisnike
Uredba širi prava građana kada je riječ o nadzoru nad njihovim osobnim podacima. Glavna novina je uvođenje privola za korištenje osobnih podataka. To je znatno više od sadašnjih informacija o korištenju web-kolačića. Osim toga, prava bi se trebala puno striktnije primjenjivati.
Prema uredbi svaki građanin Unije sam raspolaže svojim osobnim podacima. Dobiva pravo na informiranje, ispravak, uskraćivanje privole, pravo na preseljenje podataka te pravo na zaborav.
Kako će to funkcionirati? Svaka tvrtka koja želi koristiti vaše osobne podatke mora od vas dobiti privolu. Privola je jedinstveni dokument kojim dajete pravo tvrtki da prikupi, koristi i/ili obrađuje vaše osobne podatke. Mora biti napisana kratko i jednostavnim jezikom, a u njoj moraju biti navedeni podaci čije prikupljanje dopuštate, koliko dugo ti podaci smiju biti pohranjeni te za kakve obrade smiju biti korišteni. U svakom trenutku možete zatražiti informaciju o vašim osobnim podacima koje tvrtka ima te, ako nema ugovorne obaveze, privolu možete povući kad vi to želite.
>>Zaštita podataka: Što GDPR znači za malo poduzeće
>>Zašto je GDPR prilika za mala i srednja poduzeća
Ako ste, na primjer, dozvolili web trgovcu da vam šalje informacije o svojoj ponudi, nakon što mu uskratite privolu, on vam više ne smije slati ponude. Ako to ipak učini, možete ga tužiti na lokalnom sudu, u svojoj zemlji, bez obzira gdje se u svijetu nalazi njegovo sjedište. Ustanovi li se namjerno kršenje Uredbe, zakonodavac neće prezati pred najstrožom kaznom.
No, priča funkcionira i u drugom smjeru. Ako kao iznajmljivač niste dobili privolu vašeg prošlogodišnjeg gosta da ga informirate o novoj ponudi, vi to ne smijete učiniti. Slanjem poruke prekršili biste zakon.
Pravo na zaborav
Najspecifičnije je pravo na zaborav kojim možete od tvrtke tražiti da ‘zaboravi’ sve vaše osobne podatke. Naravno, nije to tako jednostavno, naročito kada je riječ o zakonom propisanim dokumentima. Ali ovo je prvi puta da takav zahtjev, uz određene uvjete, možete postaviti i da bude ispunjen.
Pravo na prijenos podataka najlakše je objasniti na primjeru davatelja usluga. U trenutku promjene možete zatražiti preseljenje vaših podataka novom davatelju usluga. To znači da prethodni davatelj usluga mora na siguran način sve vaše osobne podatke prebaciti novom davatelju i ne smije ih zadržati u svojim sustavima.
Danas smo svjedoci prakse da stari davatelj usluga odmah po prekidu ugovora šalje nove ponude ili račune. Prema novoj Uredbi to više neće smjeti činiti ili će biti suočen s kaznom.
Uredbom je posebno regulirana zaštita osobnih podataka maloljetnih osoba. Za uporabu osobnih podataka maloljetnika trebat će dozvola roditelja ili skrbnika.
U idućem nastavku pročitajte Kakve poslovne prilike pruža Uredba o zaštiti osobnih podataka.
Danko Pigac radi u tvrtki Pragmatekh. Konzultant je za digitalnu transformaciju poslovanja, management coach i poslovni trener. Iskustvo je stekao radeći u vodećim regionalnim korporacijama na pozicijama menadžera u IT-u.
Tražite li više informacija o pravima korisnika ili poslovnim prilikama, možete ih, kao i odgovore na najčešće postavljena pitanja, pronaći na www.gdprinstitute.eu.
Raspored Radionica o GDPR-u
Radionice četvetkom: GDPR – ŠTO I KAKO?
Cijena: 700,00 Kn + pdv po polazniku.
Termini u travnju 2018: 12.04., 19.04. i 26.04.
DPO TRENING – 5-dnevna edukacija za službenike za zaštitu podataka
Cijena: 8.800,00 Kn + pdv po polazniku.
Termini u travnju 2018: 9. – 13.04. ili 9. – 10.04. i 18.- 20.04.
GDPR INTENZIV – 4-dnevna edukacija za voditelje projekata usklađenja poslovanja s EU Uredbom o zaštiti podataka
Cijena: 7800,00 Kn + pdv po polazniku.
Termini u travnju 2018: 9. – 12.04. ili 9. – 10.04. i 18.- 19.04.
Organizator: Pragmatekh Zagreb, dvorana 2. kat, Kušlanova 2.
Prijava na GDPR Radionice: ispunite i pošaljite obrazac. U polje Prijava dodati naziv odabrane radionice i željeni datum polaska. Nakon prijave poslat ćemo vam potvrdu termina radionice i ponudu ili račun za plaćanje.
Više o Radionicama:
september
No Events