Što nam donosi GDPR i kako će utjecati na Vaše poslovanje? - Minimax - internet računovodstveni i poslovni program

Što nam donosi GDPR i kako će utjecati na Vaše poslovanje?

U zadnje vrijeme mnogo se priča o GDPR-u, odnosno Općoj Uredbi o zaštiti podataka. Kako se bliži stupanje Uredbe na snagu tako i raste zanimanje za tu temu. Mnoge tvrtke i organizacije zanima na koji način uskladiti svoje poslovanje s Uredbom. Sam proces usklađivanja ovisi o nekoliko parametra, poput veličine tvrtke te usklađenosti internih procesa. Osim proceduralnih, većina će tvrtki morati provesti i razne tehničke prilagodbe radi što bolje sigurnosti, ali i educirati svoje zaposlenike.
U nastavku pročitajte što je GDPR i koje promjene nam donosi u poslovanju.

Što je GDPR?

GDPR (eng. General Dana Protection Regulation) je Opća Uredba o zaštiti osobnih podataka koja regulira zaštitu osobnih podataka svih građana Europske unije. Zaštita osobnih podataka jedan je od temeljnih zadataka koje GDPR stavlja pred tvrtke i organizacije. Tvrtke će u svakom trenutku morati znati gdje su podaci te u koju svrhu se mogu koristiti. Usklađivanje poslovanja s GDPR-om tvrtke su dužne provesti do 25. svibnja, 2018. godine jer tada GDPR stupa na snagu. 

Izvor: http://gdprinstitute.eu/

Na koga se odnosi GDPR?

GDPR se odnosi na sve tvrtke i organizacije koje posluju na teritoriju Europske unije, ali i na tvrtke koje raspolažu podacima europskih građana, bez obzira na njihovu lokaciju.
Tvrtke koje su izvan Europske unije i nude svoje proizvode ili usluge unutar Europske unije također su dužne poštovati odredbe GDPR-a.
Premda se radi o europskoj Uredbi, GDPR utječe i na zaštitu podataka mnogih stranih tvrtki poput Facebooka, Googlea, Microsofta i drugih.

Što je osobni podatak?

Prema definiciji koju propisuje Zakon o zaštiti osobnih podataka, osobni podatak je svaka informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati, osoba koja se može identificirati je osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
To znači da je osobni podatak, na primjer: ime, prezime, adresa, e-mail adresa, telefonski broj, datum i godina rođenja, fotografija, OIB, biometrijski podaci popust otiska prsta ili snimka šarenice oka, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju i slično. Osim toga, osobnim podatkom smatraju se i IP adresa, GPS lokacija, RFID tagovi i kolačići na web stranicama.

Kakav pristanak za obradu osobnih podataka moraju imati tvrtke?

Tvrtke više ne smiju koristiti duge i nerazumljive uvjete pune pravnih termina, već moraju dati jasan i razumljiv zahtjev za suglasnost ili pristanak. Izjava o privoli mora biti u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, uz zabranu unošenja nepoštenih uvjeta. Podaci će se moći obrađivati isključivo za svrhu za koju je dan pristanak te je potrebno omogućiti i davanje zasebne privole za različite postupke obrade podataka.
Što se tiče online usluga, ako se radi o osobama koje su mlađe od 16 godina, potrebno je dobiti suglasnost roditelja. Države članice mogu smanjiti dob za koju je potrebna roditeljska suglasnost, ali ona ne smije biti ispod 13 godina starosti djeteta.

Pravo na pristup

Pravom na pristup imate pravo znati hoće li se Vaši osobni podaci obrađivati, gdje i u koju svrhu. Također, tvrtka ili organizacija mora osigurati kopiju osobnih podataka, bez naknade u elektroničkom obliku.

Pravo na brisanje

Ovim pravom možete tražiti od tvrtke da izbriše sve Vaše osobne podatke, prekine daljnje širenje podataka i potencijalno kod treće strane obustavi obradu podataka.

Prenosivost podataka

Jedno od prava koje nam donosi GDPR je i prenosivost podataka. To znači da ako želite prenijeti podatke drugim pružateljima usluga, tvrtka mora odgovoriti na vaš zahtjev i prenijeti podatke drugim pružateljima usluga ili osobno Vama.

Koje su kazne za nepridržavanje?

Za tvrtke i organizacije koje prekrše Uredbu propisane su velike kazne. Kazne dosežu 20 milijuna eura ili 4% ukupnog godišnjeg prihoda tvrtke, ovisno o tome koji je iznos veći. Tako veliki iznosi mogu ozbiljno našteti poslovanju svake tvrtke. Kazna se na primjer može izreći za neimanje suglasnosti odnosno privole za korištenje osobnih podataka.

Tko treba imenovati službenika za zaštitu podataka (DPO)?

Stupanjem Uredbe na snagu službenik za zaštitu podataka – DPO (eng. Data Protection Officer) imat će ključnu ulogu unutar tvrtke. Glavna zadaća službenika za zaštitu podataka bit će usklađivanje poslovanja tvrtke s Uredbom. Uredba propisuje da službenik za zaštitu podataka mora biti imenovan u sljedećim slučajevima:

  • javne vlasti ili javnog tijela
  • organizacija koje se bave u velikoj mjeri sustavnim praćenjem
  • organizacija koje se bave opsežnom obradom osobnih podataka osjetljive prirode i osobnih podataka o kaznenim predmetima
  • država članica EU svojim pravnim aktima ili pravo Unije nalaže obvezu imenovanja službenika za zaštitu osobnih podataka

Ako Vaša tvrtka ili organizacija ne spada niti u jednu kategoriju, tada ne morate imenovati službenika za zaštitu podataka no ako želite možete. 

Prema Zakonu o zaštiti podataka, voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu podataka, a ako zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka. To znači da će od dana stupanja Uredbe na snagu sve tvrtke koje posluju u Hrvatskoj i imaju više od 20 zaposlenih morati imenovati službenika za zaštitu podataka.
Imenovanjem službenika za zaštitu podataka svojoj organizaciji olakšavate kontrolu nad obradom osobnih podataka i smanjujete rizike koji mogu nastati uslijed zanemarivanja važnosti osobnih podataka. Službenik za zaštitu podataka trebao bi poznavati poslovne procese unutar poduzeća, praksu u području zaštite podataka i pravo.

Što ako dođe do proboja podataka?

U slučaju da dođe do proboja podataka, nadzorno tijelo Službenik za zaštitu podataka (DPO) mora biti obaviješteno unutar 72 sata o probojima podataka, a pogođene osobe čiji su podaci ugroženi moraju biti obaviješteni bez nepotrebnog odgađanja u slučajevima kada postoji vjerojatnost da će takav proboj podataka prouzročiti visok rizik za prava i slobode pojedinaca.
Ako tvrtka ne postupi na navedeni način, izlaže se kaznama do 10 milijuna eura ili do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

Iz svega ovoga vidimo da ne postoji jedinstveno tehničko rješenje koje će poslovanje tvrtke učiniti potpuno sukladnim s GDPR-om. Mnogo toga ovisi o dobro posloženim procesima i zakonskim sukladnostima poslovanja tvrtke. Za mnoge GDPR predstavlja određeni strah i zabrinutost posebice zbog velikih kazni koje se najavljuju u slučaju nesukladnosti s Uredbom. Zbog tako velikih kazni neki smatraju da bi moglo doći do otpuštanja zaposlenika i prekida poslovanja tvrtke.
U drugu ruku, usklađivanje poslovanja s Uredbom donosi i niz prednosti: zakonito i transparentno upravljanje osobnim podacima, jasno posložene procese, educirane i osviještene zaposlenike, znanje postupanja s podacima, smanjenje sigurnosnih rizika i smanjenje cijene pohrane podataka, jednostavna interakcija s ispitanicima u kratkom vremenu, standardizacija procesa u cijeloj Europskoj uniji te manja vjerojatnost regulatorne intervencije.