GDPR – kako se zaštititi od mogućih kazni.
GDPR (General Data Protection Regulation) ili Opća Uredba o zaštiti osobnih podataka generalno regulira zaštitu osobnih podataka građana Europske unije. Nova Uredba, koja stupa na snagu 25.5.2018, izravno će se primjenjivati u državama članicama Unije bez potrebe za dodatno prenošenje u nacionalno zakonodavstvo.
Kada se govori i piše o ovoj Uredbi prevladavaju priče o velikim i kompleksnim zahtjevima informacijske sigurnosti za tvrtke te ogromnim kaznama. Naime, maksimalne propisane kazne za neusuglašavanje dosežu 20 milijuna eura ili 4 posto ukupnog prihoda kompanije. To su iznosi koji ozbiljno mogu naštetiti poslovanju čak i velikih svjetskih tvrtki.
Uredba je pisana nekoliko godina i slijedi smjernice EU o stvaranju jedinstvenog digitalnog tržišta prihvaćene još 2015. godine. Donesena je u travnju prošle godine, a u punu primjenu stupa 25. svibnja 2018.
Međutim to ne znači također da će Vas nadležne agencije sankcionirati odmah sljedeći dan. GDPR je obveza svih ali u različitoj mjeri i opsegu i budite pažljivi jer ovih dana svakakve obmane pokušavaju iz Vas izvući Vaš teško zarađeni novac.
ŠTO UREĐUJE GDPR?
GDPR usklađivanje u svom fokusu ima svaku fizičku osobu (građanina Europske unije) i zaštitu njenih osobnih podataka, na način da uvodi nove obveze za sve poduzetnike i organizacije koje pri obavljanju svoje profesionalne ili zakonom propisane djelatnosti prikupljaju i obrađuju osobne podatke građana.
Osnovna dva razloga koja se tiču internet stranica mogu se sažeti u tri točke:
1. Smanjivanje količine prikupljenih podataka
2. Ograničavanje pohrane podataka
3. Transparentnost u prikupljanju, obradi i pohrani osobnih podataka.
ŠTO JE OSOBNI PODATAK?
Osobnim podatkom smatra se bilo koja informacija o pojedincu, bilo da je njegov identitet utvrđen, bilo da se pomoću tih podataka može pobliže utvrditi. Primjerice, u osobne podatke ubrajaju se: ime pojedinca, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, kolačići (cookies) na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (npr. otisak prsta), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, kreditnom zaduženju ili računima u banci, podaci o zdravlju, seksualnoj orijentaciji itd.
U skladu s tim, prikuplja li vaša tvrtka u svom radu bilo koje od prethodno navedenih podataka, podložni ste ovoj Odredbi te je GDPR implementacija za vas nužna.
Promatramo li ove odredbe iz perspektive pojedinca, tvrtke će biti dužne osigurati:
- transparentnost u prikupljanju i korištenju podataka
- pravo na pristup pojedinca njegovim podacima koji su prikupljeni
- pravo na ispravak podataka (kada je potreban)
- pravo na brisanje prikupljenih podataka (tzv. pravo na zaborav)
- pravo na ograničenje upotrebe podataka
- pravo na prenosivost podataka
- pravo na prigovor.
GDPR naravno ima i brojne druge odredbe koje se odnose na druge sektore poslovanja poduzeća ali mi ćemo se ovdje orijentirati isključivo na digitalne tehnologije.
Vrlo važan aspekt Direktive odnosi se na traženje specifične dozvole za dobivanje i korištenje osobnih podataka. Drugim riječima podaci koji se pohranjuju i primjenjuju moraju biti stečeni uz jasnu dozvolu.
Da bi bila dozvola bila valjana, pristanak mora biti u potpunosti informiran i nedvosmislen. Pristanak za dijeljenje osobnih podataka mora biti popraćen potvrdnom akcijom – npr. potvrdnim označavanjem kvačice (tzv. check box) ili otvaranjem neke poveznice. Situacije u kojima je obavijest o sakupljanju osobnih podataka skrivena iza nerazumljive, komplicirane terminologije ili je kvačica za prihvaćanje obavijesti automatski pozitivno označna, protivne su novim odredbama.
Osim toga, ukoliko pojedinac zatraži uvid u svoje osobne podatke, isti mu mora biti omogućen u jasnom i razumljivom formatu. Korisnik u svakom trenutku ima pravo zatražiti informaciju o tome koje njegove podatke neka tvrtka ima te što s njima radi. Ako nema valjanog razloga za čuvanje tih osobnih podataka, isti moraju biti obrisani.
Od 25. svibnja privola mora biti dana jasno i nedvosmisleno, u obliku opt-in forme. Polje označavanja pristanka (tzv. check box) ne smije biti unaprijed označeno. Sama izjava o privoli također mora biti jasna, tekst nedvosmislen i pisan jednostavnim jezikom. Svrha u koju se privola daje mora biti jasno naznačena i eksplicitno objašnjena. Upotrebljavanje podataka u bilo koju svrhu na koju korisnik nije izrijekom pristao je zabranjena.
Standardna obavijest o tome da Vaša web stranica skuplja Cookies ili takozvane kolačiće, neće biti dovoljna nakon što Direktiva stupi na snagu.
Prema odredbama Direktive, posjetitelji će morati aktivno potvrditi da dozvoljavaju internetskoj stranici da spremi njihov „cookie“. Isto tako, kućica ili polje koje daje dopuštenje za spremanje osobnih podataka ne smije automatski biti označeno potvrdno – korisnik će morati dati jasnu potvrdu.
Ukoliko dođe do proboja podataka, prema pravilima GDPR-a, osobe čiji su podaci ugroženi moraju bez odgađanja biti informirane ako pogođeni podaci predstavljaju rizik za njihova prava i slobodu.
KAKO ŠTITMO INTERESE NAŠIH KORISNIKA
ULTRA Studio Split je u suradnji sa austrijskim parterom tijekom posljednih nekoliko mjeseci razvijao rješenje koje će naše poslovne korisnike i klijente zaštititi od potencijalnih sankcija koje proistiću iz odredbi GDPR-a, ali i jednako tako zaštititi osobne i druge podatke svih korsnika web stranica koje smo izradili.
Ovaj trošak razvoja naravno nismo prebacili na naše korisnike, već je to investicija koju je naša tvrtka preuzela na sebe.
Ukoliko i Vi ili Vaša tvrtka, udruga imate potrebu za fer i korektnim savjetovanjem i implementacijom rješenja za GDPR, slobodno nam se obratite putem našeg maila:
ili putem linka