Vjerujemo da ste barem donekle upoznati sa novim pravilima za zaštitu osobnih podataka (GDPR) koja započinju s primjenom Opće uredbe o zaštiti osobnih podataka (EU 679/2016), 25. svibnja 2018. godine.  Donosimo mali pregled te osnovne informacije o Micronic GDPR paketu usluga.

Nova uredba zapravo proširuje i osnažuje zastarjelu direktivu iz 1995. godine (95/46/EC).

Glavne izmjene:

• Izmjenjena definicija osobnih podataka:
  Definicija se proširuje te sada eksplicitno uključuje i podatke o lokaciji, IP adresama, te online i druge tehnološke identifikatore.
• Viša razina prava pojedinaca odnosno ispitanika:
  Osnažena individualna prava: pravo na pristup, ispravak, ograničenje obrade, brisanje, prigovor na obradu, ograničavanje automatizirane obrade i izrade profila, pravo na prijenos podataka na drugu pravnu osobu.
• Privola:
  Izražena jasnije i s naglaskom na mogućnost ispitanika da daju informiranu privolu za svaku kategoriju procesuiranja. Mogućnost povlačenja privole.
• Obavijest o povredi osobnih podataka:
  Izvještavanje o povredi zaštite osobnih podataka nadzornom tijelu za zaštitu osobnih podataka u roku 72h. Nakon spoznaje o povredi, potrebno je bez „nepotrebnog kašnjenja“ izvijestiti i ispitanika.
• Proširuje se teritorijalni opseg:
  Bilo koja tvrtka koja pohranjuje ili obrađuje osobne podatke o državljanima EU unutar država EU mora biti u skladu s GDPR, čak i ako nemaju poslovnu prisutnost unutar EU.
• Pouzdanost:
  Izričita je obveza voditelja obrade i izvršitelja obrade dokazivanje usklađenost s GDPR-om.
• Provedba:
  Nadzornici za zaštitu podataka (engl. „Data Protection Authorities”) postavljeni od strane vlasti moći će naplaćivati kazne u iznosu od 2 do 4% konsolidiranog godišnjeg prometa.
• Jedinstveni mehanizam:
  AZOP je ovlašten kao krovno tijelo koje će nadgledati aktivnosti poduzeća iz Hrvatske kroz EU.
• Međunarodni prijenosi podataka:
  Kontroliranje prijenosa podataka subjekata u EU izvan EU i EEA.

Uredbu možete pogledati na eur-lex

GDPR usklađenje zahtijeva multidisciplinarni pristup i provedbu širokog spektra poslovno-tehničkih mjera, te racionalizaciju poslovanja i pospremanje kompletnog poslovnog sustava.

Spremni smo vam ponuditi paket GDPR usluga kao pomoć u planiranju, implementaciji i održavanju sukladnosti s GDPR regulativom. Micronic GDPR paket se sastoji od procjene pripremljenosti, proceduralnih prilagodbi i naprednih tehničkih rješenja.

Uzimajući u obzir da je poslovanje svakog subjekta specifično, prije izrade ponude za GDPR usklađenje potrebno je napraviti snimku postojećeg stanja.

Ukoliko ste zainteresirani za Micronic GDPR paket usluga ili trebate više informacija, molimo pošaljite nam upit sa kontakt podacima odgovorne osobe na fikret@micronic.hr
Ukoliko se želite dodatno informirati pripremili smo sažetak najvažnijih informacija vezanih za samu uredbu te isti možete pročitati u nastavku.

Što je zapravo cilj uredbe?

Cilj je uredbe modernizirati i unaprijediti područje zaštite osobnih podataka te time učinkovito zaštititi pojedince od lošeg, neprimjerenog ili nepažljivog korištenja osobnih podataka. Ključno načelo uredbe je da ispitanici imaju kontrolu nad svojim osobnim podacima koje tvrtke prikupljaju.

Na koga se uredba primjenjuje?

Uredba se primjenjuje na sve poslovne subjekte koji obrađuju i prikupljaju osobne podatke građana EU, te su se sva društva obvezna uskladiti se istom. Ovo podrazumijeva provedbu pravnih, proceduralnih te tehničkih postupaka koji se odnose na zaštitu osobnih podataka. Treba napomenuti i da na društvima leži teret dokazivanja usklađenosti sa uredbom.

Za potrebe uredbe osobni podaci su:

Svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

Koje vrste osobnih podataka zapravo uredba štiti?

Osnovne informacije o identitetu kao što su ime, adresa i identifikacijski brojevi
Internet podaci poput lokacije, IP adrese, podataka o kolačićima i RFID oznaka
Zdravstveni i genetski podaci
Biometrijski podaci
Podaci o rasnoj ili etničkoj pripadnosti
Politička opredjeljenja
Seksualna orijentacija

Više o nadzornom tijelu i kaznama...

Za nadzor će biti zadužena Agencija za zaštitu osobnih podataka (AZOP). Predviđene Kazne za organizacije koje prekrše GDPR mogu iznositi od 2 do 4% godišnjeg globalnog prometa ili 20 milijuna eura, ovisno koji je iznos veći.

Vodić kroz uredbu: GDPR - Opća uredba o zaštiti podataka

Sadržaj u nastavku prenesen je sa web stranice Vodič kroz Opću uredbu o zaštiti podataka - Agencije za zaštitu osobnih podataka: AZOP (azop.hr)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka - Opća uredba o zaštiti podataka - GDPR izravno će se primjenjivati u Republici Hrvatskoj od 25. svibnja 2018. godine. Ista predstavlja bitan napredak u području zaštite osobnih podataka.

Tehnološkim razvojem i novim načinima obrade osobnih podataka, postalo je nužno donošenje novog instrumenta koji će osigurati zaštitu prava i temeljnih sloboda pojedinaca u vezi s obradom njihovih osobnih podataka. Također, Općom uredbom se osigurava ujednačeno i jednoobrazno postupanje nadzornih tijela za zaštitu osobnih podataka, što će imati za posljedicu jednostavniju i jednaku zaštitu prava svih pojedinaca u Europskoj uniji.

Općom uredbom o zaštiti podataka uvode se nove i pojednostavljuju se neke već postojeće definicije, određuju biometrijski i genetski podaci, preciznije opisuju postojeći pojmovi, jačaju prava ispitanika te se smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka, jačaju nadzorne ovlasti te mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka.

Uz navedenu Opću uredbu, sastavni dio usvojenog zakonodavnog paketa je i Direktiva o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka. Tom će se Direktivom ujednačiti zaštita osobnih podataka koje obrađuju pravosudna i policijska tijela u državama članicama Europske unije. Ista jasno definira mogućnosti obrade osobnih podataka ispitanika, uključujući njihovo iznošenje u treće zemlje, pri čemu se osiguravaju visoki standardi zaštite pojedinaca razmjerno s potrebama provedbe odgovarajućih policijskih i pravosudnih postupaka. Ovom Direktivom jasno se određuje nadzor neovisnog tijela za zaštitu osobnih podataka nad obradom istih.

Uredba određuje koja su prava pojedinaca, a u skladu s tim i koje su obveze subjekata koji obrađuju osobne podatke poput voditelja obrade odnosno izvršitelja obrade. Uredba također propisuje koje su zadaće i ovlasti Agencije, a možemo reći da su to savjetodavne, istražne i korektivne ovlasti. Kada govorimo o tvrtkama može se reći da se Uredba primjenjuje na sve tvrtke i da tu nema iznimaka, a također se primjenjuje i na pojedince koji obavljaju određenu profesionalnu aktivnost, udruge, bolnice, klubove, pa i na fizičke osobe kada obrađuju osobne podatke izvan okvira potreba kućanstva (npr. postavljanje video nadzora ispred ulaznih vrata kuće/stana). Uredba se primjenjuje na sve državne institucije koje su dužne obrađivati osobne podatke u okviru njenih odredaba, osim u slučajevima kaznenopravnih aktivnosti, poput sprečavanja kaznenih djela ili progona počinitelja istih te u područjima izvan nadležnosti prava EU-a.

Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Dakle, jako je širok spektar što su osobni podaci, no jednostavnije rečeno to su: ime i prezime, identifikacijski broj, slika, glas, adresa, broj telefona, IP adresa, povijest bolesti, popis najdraže literature ili pjesama, ako takvi podaci mogu dovesti do izravnog ili neizravnog identificiranja pojedinca. Ističemo da i prije prikupljanja osobnih podataka subjekt koji ih prikuplja ima obvezu pružanja informacija u koju svrhu se podaci prikupljaju, na temelju koje pravne osnove, komu se podaci otkrivaju te o pravu pojedinca da svojim podacima pristupi, da zahtijeva njihov ispravak ili eventualno brisanje.

"pseudonimizacija" znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrdit

"sustav pohrane" znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi

"privola" ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose

"povreda osobnih podataka" znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani

Obrada obuhvaća radnje poput prikupljanja, bilježenja, čuvanja, uvida, otkrivanja, prenošenja ili uništavanja. Tako primjerice možemo navesti da će Opća uredba o zaštiti podataka obuhvatiti obradu podataka zaposlenika, potrošača i klijenata, građana od strane državne administracije, pacijenata, učenika, studenata, članova udruga, korisnika društvenih mreža i svaku drugu obradu osobnih podataka koja nije u okviru gore navedenih iznimki. Također, novim ili jačim pravilima bit će obuhvaćene one djelatnosti koje se bave obradom osobnih podataka visokog rizika za koje će biti potrebno provesti procjenu učinka. To su obrade koje se odnose na sustavnu i opsežnu procjenu osobnih aspekata pojedinaca automatiziranim putem, opsežnu obradu posebnih kategorija podataka ili podataka o kaznenim osudama ili kažnjivim djelima te sustavno praćenje javno dostupnog područja u velikoj mjeri.

• zakonitost, poštenost i transparentnost obrade:to znači da obrada treba biti u skladu s određenim pravnim temeljem, a načelima poštene i transparentne obrade zahtijeva se da je pojedinac informiran o postupku obrade i njegovim svrhama, te voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka, a osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila;
• ograničavanje svrhe:to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
• smanjenje količine podataka:to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost:to znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
• ograničenje pohrane:to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; na dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom;
• cjelovitost i povjerljivost:to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost:to znači da je voditelj obrade odgovoran za poštivanje načela i da je teret dokaza na njemu.

Za zakonitu obradu osobnih podataka potrebno je ispuniti barem jedno od narednih pravnih temelja:

1. (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha - privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr. privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);
2. (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);
3. (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);
4. (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe (npr. otkrivanje od strane nadležnih tijela podataka jednog roditelja drugomu radi uzdržavanja djeteta);
5. (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);
6. (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav video nazora da bi spriječio realan rizik po njegovoj imovini).

Opća Uredba o zaštiti podataka pojašnjava i uvodi određena nova prava za ispitanike te osigurava, osim u iznimnim situacijama, jednaku razinu zaštite svakom pojedincu iz Europske unije, bez obzira na državu članicu nadležnu za postupanje u konkretnom slučaju.

Voditelj obrade dužan je poduzeti odgovarajuće mjere kako bi se ispitaniku pružile sve informacije o aspektima obrade osobnih podataka te o pravima ispitanika na pristup svojim podacima, brisanje podataka, ograničenje obrade, prenosivost podataka, upućivanje prigovora te u vezi s automatiziranim pojedinačnim donošenjem odluka (što uključuje profiliranje).

Navedene informacije trebaju se pružiti u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Također, ako ispitanik uputi određeni zahtjev voditelju obrade za ostvarivanje svojih prava iz Opće uredbe o zaštiti podataka, a voditelj obrade ne postupi po tom zahtjevu, tada voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka.

• transparentnost (12 - 14): pružanje informacija prilikom prikupljanja osobnih podatak kada voditelj obrade mora među ostalim informacijama obavijestiti ispitanika i o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primateljima, iznošenju u treće zemlje, razdoblju pohrane, mogućnosti povlačenja privole, itd.;
• pristup podacima (15): dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i informacije, među ostalim, o obrađenim osobnim podacima, o svrsi obrade, roku pohrane, iznošenju u treće zemlje itd.;
• pravo na ispravak (16): ispitanik ima pravo zahtijevati ispravak netočnih osobnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave;
• brisanje („pravo na zaborav“) (17): ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako, među ostalim, osobni podaci više nisu nužni u odnosu na svrhu obrade, ispitanik je povukao privolu za obradu, osobni podaci su nezakonito obrađeni itd., ovo pravo ima ograničenja pa tako na primjer političar ne može zatražiti brisanje informacija o sebi koje su dane u okviru svojega političkog djelovanja;
• pravo na ograničenje obrade (18): u pojedinim situacijama (na primjer kada je točnost podataka osporavana ili kada pravo na brisanju ispitanik želi da voditelj obrade zadrži njegove podatke) ispitanik ima pravo zahtijevati da se obrada ograniči uz iznimku pohrane i nekih drugih vrsta obrade;
• pravo na prenosivost (20): ispitanik ima pravo zaprimiti svoje osobne podatke, a koje je prethodno pružio voditelju obrade, u strukturiranom obliku te u uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako se obrada provodi automatiziranim putem i temelji na privoli ili ugovoru;
• pravo na prigovor (21): ispitanik ima pravo uložiti prigovor na obradu osobnih podataka ako se ista temelji na zadaće od javnog interesa, na izvršavanje službenih ovlasti voditelja obrade ili na legitimne interesa voditelja obrade (uključujući i profiliranje), tada voditelj obrade ne smoje više obrađivati osobne podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika te radi zaštite pravnih zahtjeva, također ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati;

pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (profiliranje) (22): ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka, ako je dopuštena pravom EU-a ili nacionalnim pravom koji se propisuju odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika ili temeljena na izričitoj privoli ispitanika.