GDPR (General Data Protection Regulation) je uredba s direktnom primjenom u svim zemljama članicama Europske unije.
GDPR-om se moraju pozabaviti sve tvrtke i druge organizacije koje obrađuju osobne podatke fizičkih osoba.
Početak primjene uredbe je 25. svibnja 2018.
GDPR ne znači da prije svibnja 2018. godine morate odustati od skupljanja osobnih podataka osoba. Svi osobni podaci osoba i dalje će se moći koristiti, ali svaka tvrtka treba zadovoljiti zahtjeve iz GDPR uredbe: dokumentirati i nadgledati koji su izvori prikupljanja podataka, tko ima pristupa podacima te za koju svrhu će se ti podaci koristiti.
U ovom tekstu nastojali smo na jednostavan način pojasniti osnovne općenite zahtjeve GDPR-a, u narednim člancima pojasnit ćemo primjenu GDPR-a u nekim primjerima iz prakse, poput evidencije zaposlenika, evidencije radnog vremena zaposlenika ili CRM baze klijenata.
Na koje tvrtke se odnosi GDPR?
GDPR se odnosi na sve tvrtke, čak i ako u svojim evidencijama sve pratite podatke o npr. kupcima fizičkim osobama, opet imate kadrovsku evidenciju svojih sadašnjih i bivših djelatnika te takva evidencija podliježe pod GDPR.
Što je to osobni podatak?
Osobni podatak čine svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Da pojasnimo ovu općenitu definiciju, sve što se odnosi na neku određenu fizičku osobu je njegov osobni podatak: npr. ime i prezime, kontakt, OIB, fotografija osobe, geolokacija osobe itd.
Osnovni pojmovi GDPR-a
Ova četiri pojma se provlače kroz GDPR pa ih je bitno u početku odmah razjasniti:
- Ispitanik – fizička osoba čiji podaci se prikupljaju i obrađuju
- Vlasnik podataka – tvrtka koja prikuplja osobne podatka Ispitanika i koja je odgovorna za usklađenost i eventualna kršenja GDPR-u
- DPO (Data Protection Officer) – Službenik za zaštitu osobnih podatka – osoba koju imenuje Voditelj obrade koja je zadužena za kontrolu i usklađenost tvrtke prema GDPR-u (u daljnjem tekstu koristit ćemo skraćenicu DPO)
- Izvršitelj obrade – može biti isti dubjekt kao i Voditelj obrade ili druga tvrtka koja obrađuje podatke za Voditelja obrade na osnovu ugovora o takvoj usluzi (npr. softverska tvrtka koja vam održava softver u kojem se vode osobni podaci osoba).
DPO – Službenik za zaštitu osobnih podatka
Zanima vas mora li vaša tvrtka imenovati DPO-a, osobu službeno zaduženu za GDPR? Kriterij za nužnost imenovanja DPO-a nije jednoznačan, prema Uredbi morate DPO-a imati ako tvrtka:
- ima više od 20 zaposlenih
- ili u velikoj mjeri koristi i obrađuju osobne podatke
- ili radi opsežne obrade podataka ili pruža usluge smještaja podataka (hostinga) drugim tvrtkama
Kada smo razjasnili trebate li imenovati DPO-a, idemo objasniti tko sve može (odnosno ne može) biti DPO:
- DPO može biti zaposlenik, ali ne smije biti član Uprave, djelatnik HR, djelatnik financija (zaposlenik koji koristi u svakodnevnom poslovanju osobne podatke zaposlenika)
- DPO može biti ugovoreni stručnjak izvan tvrtke.
Što svaka tvrtka mora pripremiti, dokumentirati i kontrolirati vezano uz GDPR?
Ako jednog dana u vašu tvrtku dođe AZOP (Agencija za zaštitu osobnih podataka) u nadzor ili se nađete u nekom sporu vezanom za GDPR, morat ćete:
- biti u mogućnosti dokazati svoju pouzdanost i odgovornost da se obrada osobnih podataka obavlja u ograničene svrhe, s najmanjim obimom potrebnih osobnih podataka i povjerljivo
- imati evidentirano i dokumentirano koje sve osobne podatke fizičkih osoba pratite u svojim poslovnim sustavi, koja je namjena i potreba za praćenjem tih podataka (zakonska obveza ili neka druga pravna osnova)
- imati dokumentiranu privolu Ispitanika za korištenjem njegovih osobnih podataka u svrhe za koje se koriste (ako pravna osnova prikupljanja podataka zahtjeva privolu)
- imati dokumentirana i kontrolirana prava pristupa osobnim podacima fizičkih osoba
- imati omogućen postupak trajnog brisanje djela podataka (ako je moguće) ili postupak anonimizacije podataka
- definiran protokol i sljedivost postupanja kod zahtjeva Ispitanika za uvid u svoje osobne podatke i kod zahtjeva za brisanjem osobnih podataka
Potrebno je ovdje još opisati postupanje kod zaprimljenog zahtjeva Ispitanika za brisanjem njegovih podataka:
- ako pravna osnova po kojoj se čuvaju ti osobni podaci ne dozvoljava bisanje, tada je potrebno to odgovoriti Ispitaniku koji je podnio zahtjev za brisanjem
- pobrisati podatke ili ih učiniti nedostupnim za daljnju obradu, gdje je to moguće
- anonimizirati podatke gdje nije moguće brisanje zbog međuovisnosti poslovnih događaja u sustavu – nakon anonimizacije ne smije biti moguće identificirati o kojoj je osobi riječ te se mora pismeno obrazložiti zbog čega se podaci ne mogu brisati već se anonimiziraju
- dokumentirati cijeli događaj zahtjeva, izvršenih akcija i odgovora Ispitaniku
Koja su prava i uloga ispitanika?
- Ispitanik ima pravo u bilo kojem trenutku biti informiran o svojim osobnim podacima koji Vlasnik podataka pohranjuje u svom sustavu
- Može zahtijevati brisanje osobnih podataka
- Može pokrenuti postupak pred sudovima i nadležnim tijelima ako smatra da GDPR nije poštovan u njegovom slučaju
Propisane kazne kod kršenja GDPR-a
Obično se svi zainteresiraju za temu GDPR-a kad čuju za visoke kazne koje uredba propisuje.
Uz visoke kazne, ovdje je bitno naglasiti da je Vlasnik podataka (tvrtka) odgovorna kod kršenja GDPR-a, čak i ako kršenje radi Izvršitelj obrade.
Kako se uređuje međusobni odnos između Voditelja obrade (tvrtke koja je vlasnik podataka) i Izvršitelja obrade (npr. softverske tvrtka)?
Kod ugovora o pružanju usluga između dva subjekta ili u dodatku tom ugovoru treba biti navedeno koji podaci i u koju svrhu će se obrađivati, koji odjel Izvršitelja obrade ima pristup podacima te osigurano ugovorno čuvanje tajnosti podataka.
Zaključak, kako se pripremiti za GDPR i dočekati spreman svibanj 2018. godine?
Naš savjet je da krenete s ovim koracima:
- prvo provjerite trebate li imenovati DPO-a prema danim kriterijima
- nakon toga slijedi složeni posao dokumentiranja postojećeg stanja: koje osobne podatke sve imate spremljene po poslovnim sustavima, u koju svrhu se upotrebavljaju i tko sve ima pristup njima
- iza dokumentacije zatečenog stanja slijedi poslovna odluka kako bi se zadovoljio zahtjev GDPR-a da se osobni podaci prate u “najmanjem potrebnom obimu” – brisanje podataka čije praćenje nije potrebno
- zadnja faza pripreme je definicija daljnjeg procesa rada s osobnim podacima: brisanje određenih podataka nakon definiranog perioda čuvanja, procedura evidentiranja privole Ispitanika za korištenje osobnih podataka, procedure postupanja kod upita ili zahtjeva Ispitanika itd..