U petak 25. svibnja počinje primjena Opće uredbe o zaštiti osobnih podataka (General Data Protection Regulation, GDPR). Na snagu je stupila još u travnju 2016. godine, no ostavili su tvrtkama neko vrijeme za prilagodbu.

Osim što uvodi gotovo ista pravila zaštite osobnih podataka u cijeloj Uniji, trebala bi nam svima donijeti potpunu kontrolu nad osobnim podacima, pravo na pristup i prenosivost podataka te pravo na zaborav i transparentnu komunikaciju s tvrtkama.

Stroža pravila - koja predviđaju i poveće kazne za tvrtke koje ih se ne pridržavaju - vrijedit će ne samo za sve europske tvrtke, već i one koje posluju s EU-om. GDPR pokriva vrlo širok spektar osobnih podataka: ime i prezime, fizičku i adresu e-pošte, IP i MAC adrese, GPS lokaciju, RFID tagove i internetske kolačiće, telefonski broj, fotografije, videosnimke pojedinaca, OIB, otisak prsta, snimku šarenice oka, genetske podatke, podatke o obrazovanju i stručnoj spremi, plaći, kreditnom zaduženju, računima u banci, zdravlju, seksualnoj orijentaciji te glas i druge na temelju kojih je moguće utvrditi identitet.

>>> Od petka teže do kredita, doznali smo koje ćete sve dodatne papire morati skupljati <<<

Tvrtke i organizacije moraju, između ostalog, osigurati pristanak potrošača na korištenje podataka, držati zapise o svim obrađenim podacima, nuditi detaljne opise svrhe prikupljanja podataka... Zatraži li potrošač pristup svojim podacima, tvrtka ili organizacija morat će to osigurati u roku od 30 dana.

Pravo na brisanje podataka

GDPR također daje pravo na zahtjev za brisanje podataka ako više nisu relevantni (recimo, tvrtka koja ih pohranjuje više ih ne treba za ono za što ih je prikupila). Dozvolu za prikupljanje podataka koju ste dali možete povući u bilo kojem trenutku i ne morate objašnjavati zašto.

>>> Što stroža europska pravila o zaštiti podataka znače za Facebook i vas? <<<

Tvrtka ili organizacija je dužna obavijestiti druge tvrtke ili organizacije (recimo, Google) kako moraju obrisati sve poveznice na kopije tih podataka, kao i same kopije podataka. Što ako želite prebaciti podatke? Tvrtke i organizacije bit će dužne u pojedinim slučajevima omogućiti prebacivanje podataka novom operatoru. I to brzo - u roku od četiri tjedna - u formatu u kojem će biti dostupni idućoj tvrtki ili organizaciji koja će ih obrađivati.

Ako hakeri upadnu u računalni sustav neke tvrtke i ukradu podatke, ta je tvrtka obvezna obavijestiti Agenciju za zaštitu osobnih podataka i pojedince na koje se incident odnosi u roku od 72 sata. Dužna je navesti kakvi su podaci bili metom napada, koliko je približno ljudi pogođeno napadom, koje su moguće posljedice te koje su mjere poduzete ili će biti poduzete.

Za provedbu će biti zadužen službenik za zaštitu podataka. Osim same uredbe, morat će između ostalog poznavati poslovne procese organizacije i vrste obrade osobnih podataka, razumjeti organizacijske i tehničke mjere zaštite osobnih podataka, rad informacijskih sustava te metodologiju procjene i upravljanja rizicima. Pratit će poštivanje Uredbe i srodne regulative, kao i politiku zaštite osobnih podataka.

Tko mora imenovati službenika za zaštitu podataka? Sve organizacije što se bave postupcima obrade podataka koji zbog svoje prirode, opsega ili svrhe iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri ili opsežnih obrada posebnih kategorija osobnih podataka i podataka u vezi s kaznenim osudama i kažnjivim djelima. Također, moraju ga imenovati tijela javne vlasti ili javna tijela, osim sudova koji djeluju u okviru svoje sudske nadležnosti.

Prijete drakonske kazne

Organizacijama koje prekrše odredbe Uredbe prijete drakonske kazne koje mogu doseći i četiri posto godišnjeg prometa na svjetskoj razini ili 20 milijuna eura (odnosno oko 150 milijuna kuna), što god od navedenog bude veće u danom trenutku. Također, može im se dogoditi da dobiju potpunu zabranu obrade podataka.

Zbog početka primjene GDPR-a privremeno će biti obustavljena razmjena podataka i izdavanje kreditnih izvješća za građane u sklopu Hrvatskog registra obveza po kreditima.

HROK će, kao i do sada, razmjenjivati podatke i izdavati izvješća za pravne osobe, dok se za fizičke osobe koje obavljaju poslovnu djelatnost (obrti, OPG, slobodna zanimanja) također neće izrađivati kreditna izvješća. GDPR se počinje istovremeno primjenjivati u čitavoj Uniji.

Moguće je kako će zemlje članice Europske unije slijediti primjer Austrije i Francuske, koje su odlučile u prvim mjesecima primjene GDPR-a odgoditi kažnjavanje i usmjeriti se na dodatne provjere i edukacije.

Prije početka primjene GDPR-a s radom prestaje Sustav razmjene informacija o klijentima koji nisu ispunili svoju dospjelu obvezu u roku, organiziran pri Hrvatskoj udruzi banaka, kako bi proradio nakon završetka procesa prilagodbe novom europskom pravu.