Dana 25.05.2018. stupa u punu primjenu EU Opća uredba o zaštiti podataka (General Data Protection Regulation – GDPR). Uredba obvezuje tvrtke na pravovremeno izvješćivanje i davanje informacija osobama čijim podacima tvrtka raspolaže i upravlja. Ukoliko se nadate nekom počeku za prilagodbu, na žalost, to se neće dogoditi jer je Uredba donesena 27.04.2016. i razdoblje prilagodbe upravo istječe.

Zaštita privatnosti osobnih podataka potpuno je odvojena od tehnologije na kojoj se podaci prikupljaju, obrađuju, pohranjuju i distribuiraju. Jedna je od najvećih zabluda da se informacijska sigurnost odnosi samo na informatičku sigurnost i da potpada pod IT ili pravnu službu tvrtke.

Pred organizacijama stoji vrlo zahtijevan zadatak prilagodbe. Globalno se očekuje da će 50% organizacija napraviti pogreške prilikom prilagodbe ili da neće biti prilagođeno u zadanom roku.

Navedeni zakonodavni okvir jamči europskim građanima ujednačeno pravo na zaštitu osobnih podataka u cijeloj Europskoj uniji te propisuje mehanizme za lakše koordiniranje aktivnosti nadzornih tijela država članica Unije. Također, novom Uredbom obveze voditelja obrade i izvršitelja utvrđuju se u odnosu na stupanj rizičnosti obrade, čime će se aktivnosti nadzornih tijela koncentrirati na najrizičnija postupanja gdje je mogućnost povrede prava pojedinaca najveća.

Što donosi GDPR Uredba

Općom uredbom o zaštiti podataka uvode se nove i pojednostavljuju neke već postojeće definicije, određuju biometrijski i genetski podaci, preciznije opisuju postojeći pojmovi. Isto tako jačaju se prava ispitanika, smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka, kao i jačaju nadzorne ovlasti te mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka. U tom smislu, sva regulatorna nacionalna tijela u EU, a time i u Republici Hrvatskoj (Agencija za zaštitu osobnih podataka), moći će kazniti prekršitelje, ovisno o karakteru prekršaja, u iznosu od 2% do 4% ukupnog globalnog prometa tvrtke.

Važno je voditi računa da organizacija nije uskladila svoje poslovanje s Uredbom dok to nisu odradile i tvrtke koje za njih obrađuju osobne podatke. Na taj će način organizacije koje prve usklade svoje poslovanje s Uredbom bolje konkurirati na tržištu pred onima koje usklađivanje nisu provele.

Ponuđači usluga, od knjigovodstvenih servisa, konzultantskih kuća, odvjetnika, privatnih zdravstvenih ordinacija, osobnih kozmetičkih usluga, turističkih iznajmljivača pa sve do davatelja usluga u oblaku (cloudu) koji su svoje poslovanje uskladili s Uredbom imaju znatnu prednost u nuđenju svojih usluga, jer korisnici će znati prepoznati da se oni bolje brinu za njihove osobne podatke i time imaju smanjen rizik od zlouporabe.

Proces prilagodbe dovodi do smanjenja poslovnih rizika (i upravljanja rizicima), na način da proces prilagodbe nalaže provođenje procjene rizika curenja podataka. Procjeni učinka na zaštitu podataka ne podliježu jedino zdravstvene ustanove i odvjetnici ali prilagodba Uredbi se svakako očekuje.

Smanjenjem količine podataka i mjesta na kojima čuvamo podatke zapravo smanjujemo broj „slabih točki“ u našim sustavima, koje onda znatno lakše (samim time i jeftinije) kontroliramo i održavamo.

Temeljna prava regulirana GDPR Uredbom

  • Pravo na informiranje – građani EU mogu zatražiti od tvrtke informaciju koje njihove osobne podatke posjeduje te u koju svrhu se isti koriste
  • Pravo na ispravak – građani EU mogu zatražiti ispravak podataka koje tvrtka posjeduje o njima, a tvrtke moraju osobne podatke držati ažurnima
  • Pravo na uskraćivanje privole – građani EU mogu u bilo kojem trenutku uskratiti privolu za prikupljanje i/ili pohranu i/ili obradu njihovih osobnih podataka. Naravno, izuzev minimalnih podataka nužnih za pružanje usluga koje su predmet ugovora
  • Pravo na zaborav – građani EU mogu od tvrtke s kojom više nemaju ugovorni odnos zatražiti da obriše sve njihove osobne podatke koje posjeduje
  • Pravo na preseljenje podataka – građani EU mogu zatražiti preseljenje podataka poput situacije kod promjene mobilnog operatera. Tada operater prikupljene osobne podatke predaje drugome, a kod sebe ih je obavezan obrisati

Jeste li za GDPR spremni?

U prilogu je popis potencijalnih pitanja koja mogu biti upućena vašoj tvrtki vezano na zaštitu podataka. Ukoliko na donjoj listi postoji pitanje na koje niste u mogućnosti pravilno odgovoriti i dati decidnu informaciju, vrlo vjerojatno GDPR implementacija u vašoj tvrtki nije adekvatno izvedena.

Molim da mi dostavite popis kategorija mojih podataka, koje obrađujete, u vašim datotekama i bazama podataka, kao i svrhu obrade za svaku od kategorija.

Molim da mi dostavite sve informacije kojim raspolažete o meni, bilo da su sadržane u bazama podataka uključujući i e-mail poštu, dokumente u oblaku (cloud) ili drugi medij na koji možete pohraniti.

Molim da mi date informaciju u kojim zemljama pohranjujete moje podatke i kojim tvrtkama su dostupni u posljednjih 12 mjeseci.

Molim da mi dostavite detaljno izvješće o obradi mojih podataka i specifičnostima razloga za obradu istih, kao i namjeri za daljnje korištenje.

Molim da mi dostavite detaljan popis svih osoba kojima ste ustupili ili namjeravate ustupiti moje osobne podatke.

Pune četiri godine stručna tijela EU kreirala su GDPR koji je stupio na snagu dvadesetog dana od dana objave u Službenom listu Europske unije a primjenjuje se od 25. svibnja 2018. godine. Pravni temelj GDPR-a je Ugovor o funkcioniranju Europske unije i Povelje Europske unije o temeljnim pravima, koji u svom sadržaju eksplicitno navode da svatko ima pravo na zaštitu svojih osobnih podataka i to pravo ovim dokumentom EU namjerava beskompromisno braniti.

Kao što je navedeno u punom nazivu uredbe, GDPR stavlja izvan snage Direktivu 95/46/EZ koja je do sada služila kao orijentir pri kreiranju zakonskih okvira za svaku pojedinu zemlju članicu EU, za razliku od GDPR-a koji 25. svibnja 2018. godine postaje krovni zakon EU koji se direktno implementira u zakonodavstvo svih zemalja članica EU, bez mogućnosti interpretacija. Isto tako zanimljivost ovog dokumenta je u tome što se ne odnosi samo na tvrtke koje imaju sjedište na području EU već i na sve one pravne subjekte koji prikupljaju osobne podatke državljana EU neovisno gdje im je sjedište.

S3 centar pruža slijedeće usluge vezane na implementaciju GDPR Uredbe:

  • podršku u prilagodbi i kreiranju poslovnih procesa i rješenja, koja će biti u skladu sa zakonskim okvirom.
  • izraditi potrebnu dokumentaciju i pružiti podršku imenovanom Službeniku za zaštitu osobnih podataka kao i educirati djelatnike koji obrađuju podatke.
  • pružiti uslugu eksternalizacije službenika za zaštitu osobnih podataka
  • organizirati tehničku podršku u kreiranju i postavljanju informatičkih rješenja.

Implementacija rješenja radi usklađivanja sa GDPR Uredbom, zahtijeva multidisciplinarni pristup. U tom je smislu i naš GDPR tim profiliran te ga čine:

  • Magistar kriminalističkih znanosti, ovlašteni privatni detektiv, dodatno educirana i certificirana na polju informacijske sigurnosti uz primjenu EU standarda u zaštiti podataka, više od 5 godina iskustva u upravljanju poduzećima, savjetnik za sigurnost, autor više radova na temu istraga i sigurnosti, održane edukacije o zaštiti novčarskih institucija, organizator i predavač na edukaciji Ljudski detektor laži.
  • IT solution arhitekt i projektni manager sa preko 15 godina međunarodnog korporativnog iskustva u planiranju i izvedbi kompleksnih tehnoloških projekata u svim industrijama.
  • Odvjetnik, sa preko 10 godina iskustva u zaštiti informacija, licenci i patenata.