GDPR često postavljana pitanja

 

GDPR se primjenjuje od 25. svibnja 2018. EU parlament je u travnju 2016. odobrio i usvojio Uredbu koja nakon dvogodišnjeg prijelaznog razdoblja stupa na snagu.

 

Na koga utječe GDPR?

 

GDPR se odnosi na sve tvrtke koje posluju na teritoriju EU, ali i na tvrtke koje raspolažu podacima europskih građana, neovisno o njihovoj lokaciji. Tvrtke izvan EU koje svoju robu ili usluge nude unutar EU dužne su poštovati odredbe GDPR-a, a čimbenici kao što su korištenje jezikom ili valutom koji su u uporabi unutar EU s mogućnošću naručivanja robe i usluga na tom drugom jeziku ili spominjanje klijenata koji se nalaze u EU, mogu jasno ukazivati na činjenicu da tvrtka namjerava nuditi robu ili usluge unutar EU.

 

Koje su kazne za nepridržavanje?

 

Za nepoštivanje GDPR-a kazne iznose do 4% ukupnog godišnjeg prometa na svjetskoj razini ili do 20 milijuna eura, ovisno koji je iznos veći. Ovakve maksimalne kazne izricat će se za teške povrede – na primjer u slučaju da tvrtka nema suglasnost za obradu podataka.

 

Što se smatra osobnim podatkom?

 

Svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Fizička osoba čiji se identitet može utvrditi jest osoba koja se može identificirati, izravno ili neizravno uz pomoć identifikatora kao što su imena, slike, email adrese, bankovnih podataka, objava na društvenim mrežama, zdravstvenih podataka ili računalne IP adrese.

 

Koja je razlika između izvršitelja i voditelja obrade podataka?

 

Voditelj obrade podataka je subjekt koji određuje svrhu, uvjete i način obrade osobnih podataka, dok je izvršitelj subjekt koji obrađuje osobne podatke u ime voditelja.

 

Kakav pristanak na obradu osobnih podataka moraju imati tvrtke?

 

Tvrtke više ne smiju koristiti duge i nerazgovjetne uvjete pune pravnih termina. Zahtjev za suglasnost kao i pristanak moraju biti jasni i dani u razumljivom i lako dostupnom obliku. Pristanak je potrebno moći povući jednako lako kao što je i dan. Izričit pristanak je potreban samo u svrhu obrade osjetljivih osobnih podataka (npr. genetski i biometrijski podaci). Međutim, za ostale osobne podatke biti će dovoljan nedvosmislen pristanak.

 

Što je s osobama mlađim od 16 godina?

 

Kada su u pitanju online usluge, za obradu osobnih podataka djece mlađe od 16 godina potrebno je dobiti suglasnost roditelja. Države članice mogu smanjiti dob za koju je potrebna roditeljska suglasnost, ali ona ne smije biti ispod 13 godina starosti djeteta.

Djeca zaslužuju posebnu zaštitu radi čega je potrebno svaku informaciju i komunikaciju usmjerenu prema djetetu pružati na jasnom i jednostavnom jeziku koje dijete lako može razumjeti.

Privola roditelja ne bi trebala biti neophodna kada se radi o preventivnim uslugama ili uslugama savjetovanja koje se nude izravno djetetu.

 

Koja je razlika između uredbe i direktive?

 

Uredba je obvezujući pravni akt te se primjenjuje u cijelosti izravno diljem EU. Direktiva je pravni akt kojim se utvrđuje cilj koji sve države EU moraju postići, međutim na pojedinim državama je da odluče kako će taj cilj postići. Važno je napomenuti kako je GDPR uredba, za razliku od prethodnih pravnih akata na području zaštite osobnih podataka koji su direktive. Mnogi članci iz GDPR-a govore o mogućnosti da određena područja iz Uredbe svaka država članica može urediti drugačije od onoga što je navedeno u samom tekstu Uredbe, radi čega će naše zakonodavstvo očekivano doživjeti promijene do 2018. g Važno je znati da osim vlastitih zakona unutar države članice, sada imamo i izravnu primjenu Uredbe tzv. GDPR, ali pored svega je potrebno pratiti presude Europskog suda pravde (CJEU) čija stajališta su obvezujuća za sve članice EU.

 

Treba li moja tvrtka imenovati službenika za zaštitu podataka (DPO)?

 

GDPR propisuje da DPO (Data Protection Officer), odnosno Službenik za zaštitu osobnih podataka mora biti imenovan u slučajevima:

 

(a) javne vlasti ili javnog tijela,

(b) organizacija koje se bave u velikoj mjeri sustavnim praćenjem  

(c) organizacija koje se bave opsežnom obradom osobnih podataka osjetljive prirode i osobnih podataka o kaznenim predmetima

(d) država članica EU svojim pravnim aktima ili pravo Unije nalaže obvezu imenovanja službenika za zaštitu osobnih podataka (čl. 37).

 

Ako vaša organizacija ne spada u jednu od tih kategorija, ne morate imenovati DPO-a, no ako želite možete ga imenovati.

 

S druge strane, trenutno važeći Zakon o zaštiti osobnih podataka propisuje:

 

Kako proizlazi iz odredbi članka 18. Zakona o zaštiti osobnih podataka (Narodne novine, br. 103/03., 118/06., 41/08., 130/11.), voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati službenika za zaštitu osobnih podataka, a voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati službenika za zaštitu osobnih podataka.

 

Pošto se GDPR primjenjuje od svibnja 2018. g. sve tvrtke koje posluju u Republici Hrvatskoj su dužne poštovati Zakon o zaštiti osobnih podataka, što znači da su sve tvrtke koje imaju više od 20 zaposlenih dužne imenovati službenika za zaštitu osobnih podataka.

 

Kako GDPR utječe na pravila u slučaju proboja podataka?

 

Predloženi propisi koji se tiču proboja sigurnosti podataka prvenstveno se usklađuju s procedurama tvrtke u kojoj se proboj dogodio prema pravilima iz GDPR-a. Nadzorno tijelo Službenik za zaštitu podataka (DPO) mora biti obavješteno unutar 72 sata o probojima podataka, a pogođene osobe čiji su podaci ugroženi moraju biti obavještene bez nepotrebnog odgađanja u slučajevima kada postoji vjerojatnost da će takav proboj podataka prouzročiti visok rizik za prava i slobode pojedinaca. U određenim slučajevima nije potrebno obavještavati osobe čiji su podaci povrijeđeni, npr. provedena je enkripcija, tvrtka je poduzela naknadne mjere i nema vjerojatnosti nastanka rizika za prava i slobode pojedinca ili obavljeno je javno obavješćivanje, a pojedinačno obavješćivanje svakog pojedinca bi predstavljalo za tvrtku nesrazmjeran napor.

Ako tvrtka propusti postupiti na gore opisani način izlaže se kaznama do 10.000,00 EUR ili do 2% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome koji je iznos veći.

 

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Naše web stranice koriste kolačiće kako bi vam omogućili najbolje korisničko iskustvo. Za više detalja pročitajte naša Pravila privatnosti. Pregledavanjem web stranice slažete se s korištenjem kolačića. Postavke kolačiča Prihvaćam kolačiće