Nakon 4 godine priprema i debate u tijelima EU Uredba je konačno odobrena od strane EU parlamenta 14. travnja 2016. stupila je na snagu 20 dana nakon objave u službenom glasilu EU te će biti u direktnoj primjeni u svim članicama EU dvije godine nakon tog datuma, na datum pune primjene: 25. svibnja 2018. Nakon tog datuma organizacije koje nisu u potpunoj sukladnosti mogu se suočiti s teškim kaznama.
Nova EU Uredba broj 2016/679 (EU Regulation GDPR) zamjenjuje Direktivu o zaštiti podataka (Data Protection Directive) 95/46/EC i dizajnirana je tako da ujednači zakone o zaštiti podataka širom Europe, da zaštiti sve građane EU i da promijeni način na koji organizacije širom regije pristupaju zaštiti podataka. Ovdje se mogu naći ključne činjenice.
Što trebamo učiniti kako bi bili spremni za punu primjenu Uredbe 25.5.2018?
Projekt se sastoji od nekoliko faza.
Počinjemo s fazom osvještavanja, pa radimo procjenu temeljem koje izrađujemo prijedlog rješenja i implementacije. Nakon implementacije rješenja i kontrole svih GDPR zahtjeva uspostavljamo sustav za nadzor te prijelaz u operativno poslovanje kako bi novi način obrade osobnih podataka postao uobičajena poslovna praksa.
U punom opsegu 25.5.2018.
Ne samo na organizacije koje posluju unutar EU, nego i na sve ostale organizacije u svijetu koje nude svoju robu i usluge, ili na drugi način obrađuju podatke nositelja osobnih podataka iz EU. Odnosi se na sve tvrtke koje pohranjuju i obrađuju podatke nositelja podataka sa sjedištem unutar EU, bez obzira na geografsku lokaciju njihovog sjedišta.
Bilo koja informacija povezana sa stvarnom osobom, tj. vlasnikom osobnog podatka koja se može upotrijebiti za direktno ili indirektno identificiranje točno te osobe. To može biti bilo što od imena, fotografije, email adrese, bankovnih podataka, unosa na društvenim mrežama, zdravstvenih podataka ili npr računalne IP adrese.
Organizacije mogu biti kažnjene s do 4% ukupnog globalnog godišnjeg prihoda, ili 20M€. To je maksimalna kazna koja može biti zapriječena za teška kršenja Uredbe, kao npr neimanje dostatnih privola za korištenje osobnih podataka ili kršenja koncepta “Privacy by design”. Zapriječena je i umanjena kazna od 2% ili 10M€ za vođenje neurednih zapisa osobnih podataka (članak 28), neobavještavanje nadležnih institucija za curenje podataka ili neprovođenje sigurnosne procjene. Bitno je naglasiti da pravila vrijede kako za organizacije koje prikupljaju podatke, tako i za one koje ih obrađuju, tj usluge u oblaku nisu izuzete od GDPR zahtjeva.
Prvo osvijestite Upravu i obrazujte djelatnike (awareness). Ustanovite projektni tim (i podtimove) za usuglašavanje. Provjerite da li trebate imenovati Službenika za zaštitu podataka, te ga uključite u projektni tim. Krenite s procjenom usuglašenosti (assessment). Temeljem procjene ustanovite koje sve zahtjeve još trebate zadovoljiti. Kreirajte listu zahtjeva za usuglašavanje. Podijelite zadatke unutar timova, uvedite mjere po listi (implement). Na kraju testirajte sve mjere, ažurirajte procedure i osigurajte da se mjere i procedure uvedu u redovno poslovanje. Sve dokumentirajte.
Ukoliko u bilo kojem koraku zapnete, pozovite konzultante za GDPR, a bilo bi najbolje da njima povjerite vođenje cjelokupnog procesa usuglašavanja.
KOJA prava imaju građani EU, vlasnici osobnih podataka:
– Pravo na informiranje – građani EU mogu zatražiti od tvrtki informaciju koje njihove osobne podatke ima te u koju ih svrhu koriste
– Pravo na ispravak – građani EU mogu zatražiti ispravak podataka koje tvrtka ima o njima, a tvrtke moraju osobne podatke držati ažurnima
– Pravo na uskraćivanje privole – građani EU mogu u bilo kojem trenutku uskratiti privolu za prikupljanje i/ili pohranu i/ili obradu njihovih osobnih podataka. Naravno, izuzev minimalnih podataka nužnih za pružanje usluga koje su predmet ugovora
– Pravo na zaborav – građani EU mogu od tvrtke s kojom više nemaju ugovorni odnos zatražiti da obriše sve njihove osobne podatke koje posjeduje
– Pravo na preseljenje podataka – građani EU mogu zatražiti preseljenje podataka poput situacije kod promjene mobilnog operatera. Tada operater prikupljene osobne podatke predaje drugome, a kod sebe ih briše
– Pravo na tužbu u slučaju zanemarivanja ili zloupotrebe osobnih podataka od strane pojedine tvrtke
– Za sva prava Uredba definira potrebna ograničenja
– Tvrtke su dužne po zahtjevu vlasnika osobnih podataka svaku radnju odraditi u najkraćem mogućem roku, ne dužem od 30 dana te po zahtjevu dokazati da su zatražene radnje izvršene. Dokaz je potvrda o izvršenoj radnji koju izdaju građanu, ali u slučaju sumnje i zahtjeva regulatoru, dužne su direktno dokazati da su radnje izvršene
– Tvrtke moraju koristiti jednostavan, jednoznačan i svima razumljivi jezik u komuniciranju s vlasnicima osobnih odataka
– Tvrtke moraju dobiti jednoznačnu privolu za obradu osobnih podataka, a za podatke maloljetnika trebaju suglasnost njegova zakonskog predstavnika
– Tvrtke moraju informirati vlasnike osobnih podataka najkasnije 72 sata nakon curenja podataka
– Tvrtke moraju omogućiti uskraćivanje privole za slanje poruka u direktnom marketingu
– Tvrtke moraju posebno štititi osjetljive podatke
– Pri transferu osobnih podataka građana EU u zemlje za koje EU nije dala odobrenje, tvrtke moraju tražiti posebnu pravnu suglasnost
– Tvrtke u svoje sustave moraju još pri dizajnu ugraditi podršku zaštiti osobnih podataka
– Tvrtke koje obrađuju osobne podatke u ime drugih moraju s tvrtkama koje prikupljaju podatke striktno definirati uvjete obrade osobnih podataka
– Tvrtke, ovisno o intenzitetu i vrsti obrade osobnih podataka, moraju imenovati Službenika za zaštitu osobnih podataka
– Tvrtke po potrebi trebaju provesti analizu utjecaja za obrade osobnih podataka koje predstavljaju veliki rizik
– Tvrtke nisu usuglasile svoje poslovanje s Uredbom dok to nisu odradile i tvrtke koje za njih obrađuju osobne podatke. Tako će tvrtke koje prve usuglase svoje poslovanje s Uredbom bolje konkurirati ostalima koje to još nisu napravile te im mogu preuzeti klijente
– Proizvođači aplikacija koje su usuglašene s Uredbom imaju veliku prednost na tržištu u odnosu na ponuđače koji svoje aplikacije još nisu usuglasili
– Ponuđači usluga, od knjigovodstvenih servisa, konzultantskih kuća, osobnih usuga poput zubara i liječnika sve do davatelja usluga u cloudu koji su svoje poslovanje uskladili s Uredbom imaju znatnu prednost u nuđenju svojih usluga, jer korisnici će brzo prepoznati da se oni bolje brinu za njihove osobne podatke
– Smanjenje poslovnog rizika (i upravljanje rizicima) radi usklađenja, na način da proces usuglašavanja nalaže provođenje procjene rizika curenja podataka;
– Smanjenjem količine podataka i mjesta na kojima čuvamo podatke zapravo smanjujemo broj „slabih točki“ u našim sustavima, koje onda puno lakše (i jeftinije) kontroliramo i održavamo
Otkad se počelo razgovarati od ovoj tematici, neki mitovi se učestalo provlače kroz diskusiju. Ovdje je jedna takva lista.
1. Moje poslovanje spada u SME segment (mikro, male i srednje tvrtke), te stoga ne podliježem GDPR regulativi – NETOČNO
2. GDPR je pitanje IT sigurnosti – imamo robusnu IT sigurnost i enkripciju podataka i bit ćemo GDPR sukladni – NETOČNO
3. Čuli smo da su kazne značajne, ali inspekcije ipak neće kažnjavati baš svaki propust – NETOČNO
4. Imamo kupce iz EU, ali je naš biznis lociran izvan EU, pa se GDPR ne odnosi na nas – NETOČNO
5. GDPR ne stupa na snagu prije svibnja 2018. – imamo dovoljno vremena – NETOČNO
6. Mi samo obrađujemo podatke. GDPR (i velike kazne) odnose se samo na organizacije koje prikupljaju osobne podatke – NETOČNO
7. GDPR je problem IT-a i Pravne službe. NETOČNO – GDPR zahvaća sve dijelove organizacije i sve zaposlenike!
Pragmatekh Vas poziva na radionice: GDPR – što i kako?
GDPR radionice četvrtkom popodne u Pragmatekhu.
Detalji i prijave na linku:
GDPR Radionice u Pragmatekhu
INSTITUT ZA ZAŠTITU OSOBNIH PODATAKA