Ključne promjene i kazne

Cilj GDPR-a je zaštititi sve građane EU od povrede njihovih podataka i privatnosti. Iako ključna načela privatnosti podataka još uvijek vrijede od prvotne Direktive 95/49/EC iz 1995., predložene su mnoge promjene.

 

Povećan teritorijalni opseg nadležnosti

 

Najveća promjena u dosadašnjoj privatnosti podataka je proširenje nadležnosti GDPR-a. Prethodno, teritorijalna primjenjivost, tada još važeće Direktive, bila je dvosmislena i odnosila se na lokaciju prikupljanja podataka. Spornost ove teme počela se sve češće pojavljivati u sudskim postupcima.

Europski sud pravde je u svojoj presudi iznio da kada se radi o zaštiti osobnih podataka primjenjuje se pravo države članice u kojoj tvrtka obavlja, čak i najmanju, efektivnu i stvarnu djelatnost u okviru koje se provodi obrada osobnih podataka, a ne gdje ima formalno sjedište.  

Primjenjivost GPDR-a je vrlo jasna – odnosi se na voditelje i izvršitelje obrade osobnih podataka u EU, bez obzira odvija li se unutar teritorija EU ili ne.

 

Uredba se također primjenjuje na obradu osobnih podataka pojedinaca koji se nalaze u Europskoj uniji od strane voditelja i izvršitelja podataka koji se ne nalaze u EU. Aktivnosti takvih voditelja i izvršitelja se odnose na: nuđenje dobara ili usluga građanima EU (bez obzira je li potrebna uplata) ili praćenje njihova ponašanja dokle god se njihovo ponašanje odvija unutar EU. Tvrtke izvan Unije koje obrađuju podatke njenih građana, uz određene iznimke, također će morati imenovati zastupnika u EU.

 

Kazne

 

Kazne za organizacije koje prekrše GDPR mogu iznositi do 4% godišnjeg globalnog prometa ili 20 milijuna eura, ovisno koji je iznos veći. To je najveća kazna koja se može izreći za najozbiljnije povrede, npr. neadekvatna suglasnost kupca za obradu podataka ili prava na ispravak, prava na brisanje, tzv. pravo na zaborav, pravo na pristup. Postoji kategorički pristup kaznama, npr. tvrtka može biti kažnjena s 2% godišnjeg globalnog prometa zbog neimanja urednih zapisa (članak 28), ne obavještenja nadležnih organa ili podatkovnih subjekata o povredi ili ne provođenja procjene učinka. Važno je napomenuti kako se ova pravila odnose i na voditelje i na izvršitelje obrade podataka, što znači da cloud neće biti izuzet od strane GDPR-a.

 

Voditelj obrade ili izvršitelj obrade odgovaraju za štetu koja se počini pojedincu obradom osobnih podataka koja nije usklađena s GDPR-om.

Ako su voditelj obrade i izvršitelj obrade uključeni u istu obradu, svaki je odgovoran za cjelokupnu štetu pojedincu. Izvršitelj ili voditelj obrade koji je platio cjelokupnu štetu može podnijeti regresni zahtjev protiv onoga tko je bio uključen u istu obradu.

 

Pristanak

 

Ojačani su uvjeti za suglasnost. Tvrtke više neće moći koristiti duge nečitke uvjete pune pravne terminologije. Voditelj obrade dokazuje da je primio privolu pojedinca za postupak obrade.  Izjavu o privoli kada je unaprijed sastavlja voditelj obrade potrebno je pojedincu ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, uz zabranu unošenja nepoštenih uvjeta. Podaci će se moći obrađivati samo u svrhu za koju je dan pristanak i potrebno je omogućiti davanje zasebne privole za različite postupke obrade podataka. Također će morati biti moguće jednako lako ju povući kao što je i dana. Davanje privole na način da voditelj obrade unaprijed označi kvačicu u kućici za privolu nije dopušteno, jer se traži aktivnost pojedinca.

 

Obavijesti o povredi

 

Obavijest o povredi osobnih podataka je obavezna u svim državama članicama ako je vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinca. Voditelj obrade mora poslati obavijest nadzornom tijelu u roku od 72 sata otkako se otkrije da je došlo do povrede. Također, obvezan je o tome obavijestiti svoje korisnike bez nepotrebnog odgađanja. Izvršitelj obrade obavještava bez nepotrebnog odgađanja voditelja obrade nakon što sazna za povredu osobnih podataka.

 

Pravo na pristup

 

Dio proširenih prava nositelja podataka su prava dobivanja potvrde voditelja obrade podataka o tome hoće li se osobni podaci o njima obrađivati, gdje i u koju svrhu. Nadalje, voditelj obrade podataka mora osigurati kopiju osobnih podataka, bez naknade, u elektroničkom formatu. Ova promjena je velik pomak po pitanju transparentnosti podataka i osnaživanje subjekta obrade podataka.

 

Pravo na brisanje (pravo na zaborav)

 

Ovo pravo nositeljima podataka osigurava da, ako to zatraže, voditelj obrade podataka mora izbrisati njihove osobne podatke, prekinuti daljnje širenje podataka i potencijalno kod treće strane obustaviti obradu podataka. Uvjeti brisanja, kao što je navedeno u članku 17, primjerice uključuju podatke koji više nisu relevantni za osnovnu svrhu obrade ili ako nositelj podataka povuče svoj pristanak ili ako izjavi prigovor na obradu osobnih podataka ili ako obrada njegovih  podataka na druge načine nije u skladu s GDPR-om. Također, treba napomenuti kako ovo pravo zahtijeva da voditelji obrade podataka usporede prava subjekta čiji se podaci obrađuju s “javnim interesom za dostupnost podataka” pri razmatranju takvih zahtjeva uz druge kriterije navedene u čl. 17.

 

Prenosivost podataka

 

Radi dodatnog jačanja nadzora nad vlastitim podacima, GDPR uvodi prenosivost podataka. Kada se obrada obavlja automatiziranim putem ili se temelji na privoli ili je obrada nužna za izvršenje ugovora odnosno kako bi se poduzele radnje prije sklapanja ugovora, ispitaniku se treba dopustiti da osobne podatke koji se odnose na njega (a koje je dao voditelju obrade) dobije u strukturiranom uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu te da ih prenese drugom voditelju obrade.

 

Privacy by Desing

 

Koncept Privacy by Design postoji već godinama, ali tek sada s GDPR-om postaje dio zakonskog zahtjeva. U svojoj srži, Privacy by Design poziva na uključivanje zaštite podataka od početka dizajniranja sustava, radije nego naknadno. Konkretnije – voditelj obrade podataka mora izvršiti odgovarajuće tehničke i organizacijske mjere (npr. pseudonimizacija, omogućavanje ispitaniku da prati obradu podataka, omogućavanje voditelju obrade da poboljšava sigurnosne značajke) na učinkovit način kako bi ispunio zahtjeve Uredbe te zaštitio prava nositelja podataka. Članak 23 zahtjeva od voditelja obrade podataka da zadrže i obrađuju samo one podatke koji su nužni za svaku posebnu svrhu obrade podataka  (smanjenje podataka), čime se zajedno s prethodno navedenim mjerama osigurava da podaci nisu, bez intervencije pojedinca, dostupni neograničenom broju ljudi.

 

Službenici za zaštitu podataka (Data Protection Officers)

 

Voditelji obrade podataka o svojim aktivnostima moraju obavijestiti lokalne službenike za zaštitu podataka. Tu nastaje velik birokratski problem za multinacionalne tvrtke. Također, zemlje članice EU imaju različite uvjete obavještavanja u slučaju proboja podataka. GDPR ne obvezuje slanje obavijesti svakom lokalnom službeniku za zaštitu podataka.

Službenici za zaštitu osobnih podataka moraju biti imenovani u slučajevima:

•     javne vlasti li javna tijela
•     organizacije koje se u velikoj mjeri bave sustavnim praćenjem velikih razmjera
•     organizacije koje se bave opsežnom obradom osjetljivih osobnih podataka u širokom razmjeru i osobnih podataka o kaznenim predmetima
•     država članica EU svojim pravnim aktima ili pravo Unije nalaže obvezu imenovanja službenika za zaštitu osobnih podataka

 

 

Službenik za zaštitu osobnih podataka (DPO):

  • ​mora biti imenovan na temelju profesionalnih kvaliteta, a osobito stručnih znanja o pravu i praksama u području zaštite podataka te sposobnosti za izvršavanje zadaća koje ima temeljem Uredbe
  • ​mora utvrditi u kojoj su mjeri svi zahtjevi zadovoljeni postojećim stanjem
  • ​može biti zaposlenik ili vanjski suradnik
  • check
    ​odgovoran je izravno najvišoj razini upravljanja unutar voditelja ili izvršitelja obrade
  • check
    ​ne smije obavljati druge poslove koji bi mogli rezultirati sukobom interesa

 

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Naše web stranice koriste kolačiće kako bi vam omogućili najbolje korisničko iskustvo. Za više detalja pročitajte naša Pravila privatnosti. Pregledavanjem web stranice slažete se s korištenjem kolačića. Postavke kolačiča Prihvaćam kolačiće