Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation, GDPR) stupila je na snagu u travnju 2016. godine, a u primjenu kreće od 25. svibnja ove godine. 

Cilj Uredbe je zaštita osobnih podataka na svim razinama, od korisnika do zaposlenika, pa stoga organizacije na koje se GDPR odnosi moraju u svakom trenutku znati gdje su podaci kojima upravljaju te u koju svrhu se smiju koristiti. Ako netko povuče dozvolu za korištenje osobnih podataka, organizacije moraju tome udovoljiti u predviđenom roku.

Nama kao korisnicima GDPR bi trebao donijeti potpunu kontrolu nad osobnim podacima, pravo na pristup i prenosivost podataka, pravo na zaborav i transparentnu komunikaciju s tvrtkama.

U slučaju povrede ili zlorabe podataka tvrtka je obvezna obavijestiti Agenciju za zaštitu osobnih podataka i pojedince na koje se incident odnosi u roku od 72 sata.

Organizacijama koje prekrše odredbe Uredbe prijete kazne koje mogu dostići i do četiri posto godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura (odnosno oko 150 milijuna kuna), što god od navedenog će biti veće u danom trenutku. 

Na koga se odnosi Uredba?

Uredba se odnosi na sve gospodarske subjekte koji posluju u Europskoj uniji, bez obzira na veličinu, vrstu te jesu li javni ili u privatnom vlasništvu. 

O kakvim je organizacijama riječ?

'U pitanju su organizacije koje se bave postupcima obrade koji zbog svoje prirode, opsega ili svrhe iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili opsežnih obrada posebnih kategorija osobnih podataka i podataka u vezi s kaznenim osudama i kažnjivim djelima. Također, moraju ga imenovati ako su tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti', rekla je tportalu Biljana Cerin, direktorica tvrtke za računalnu sigurnost Ostendo Consulting.

Mnoge tvrtke morat će odustati od dosadašnjih načina prikupljanja dozvola za korištenje podataka (obično se od korisnika pristanak na uvjete korištenja tražio označavanjem kućice kvačicom). 

Umjesto toga morat će se prilagoditi uvjetima u kojima korisnici mogu - a vjerojatno i hoće - aktivno mijenjati uvjete pod kojima dozvoljavaju korištenje svojih podataka.

Tko može biti službenik za zaštitu podataka?

Za provedbu Uredbe bit će zadužen službenik za zaštitu podataka, imenovan na temelju stručnih kvalifikacija. Što će sve morati i trebati znati?

Osim što će morati dobro poznavati samu Uredbu, trebat će biti upoznat i s poslovnim procesima organizacije i vrstama obrade osobnih podataka, razumjeti organizacijske i tehničke mjere zaštite osobnih podataka, rad informacijskih sustava te metodologiju procjene i upravljanja rizicima.

'Službenik za zaštitu podataka treba biti upućen u pravo i prakse u području zaštite podataka. Informirat će i savjetovati o obvezama koje nalaže GDPR te druge odredbe Unije ili države članice o zaštiti podataka. Pratit će poštivanje Uredbe i srodne regulative, kao i politiku organizacije u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije. Bit će obvezan surađivati s nadzornim tijelom i biti osoba za kontakt u slučaju potrebe, a i morat će voditi računa o riziku povezanom s postupcima obrade i uzimati u obzir prirodu, opseg, kontekst i svrhe obrade', pojasnila je Cerin.