GDPR u Hrvatskoj – što sada?

Znate li onaj osjećaj koji vam se javlja kada trebate održati odličnu prezentaciju pred investitorom, kada idete na ispit ili kada trebate priopćiti nekome neugodnu vijest? Sigurno ste barem jednom bili u takvoj situaciji ili barem sličnoj. E, pa meni se čini da će taj osjećaj sve češće biti prisutan kako se bliži 25. svibanj kada će se na području Europske unije, a to znači i Republike Hrvatske, početi izravno primjenjivati Opća uredba o zaštiti podataka - GDPR.

GDPR nije ništa novo: i prije smo imali Direktivu 95/46/EZ od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka koja je sada stavljena izvan snage.

Zašto se uopće nešto mijenjalo i zašto nova uredba o zaštiti osobnih podataka?

Odgovor je jasan i logičan - svijet prije 100 godina, prije 50, čak i prije 20 nije isti. Tehnološki razvoj, noviji načini obrade osobnih podataka potaknuli su ideju o nužnosti donošenja novog propisa koji će prije svega zaštiti prava i temeljnu slobodu pojedinca vezano uz obradu njegovih osobnih podataka.

Ciljevi ove Uredbe su itekako jasni:

• Uskladiti zakone o zaštiti osobnih podataka u cijeloj Europi,
• Zaštita i podizanje samosvijesti kod svih građana EU o korištenjuosobnih podataka
• Podizanje samosvijesti i promjena načina pristupa i korištenja osobnih podataka u organizacijama (kako zaposlenika tako i klijenata).

Razlika odnosa GDPR-a i tvrtke i GDPR-a i privatne osobe

Privatne osobe će moći „ganjati“ svakoga tko zloupotrebi njegove podatke, šalje spamove i sl. Također, moći ćemo se izbrisati iz bilo koje baze podataka ako to želimo. Ukoliko tu našu želju netko ne poštuje, tada je tu Uredba i nadležno tijelo koje će sukladno reagirati. Tu treba posebno paziti na najugroženiju populaciju, a to su djeca, na čiju će se zaštitu obratiti velika pozornost.

Tvrtke će prije svega, ako još nisu, morati educirati sebe i svoje zaposlenike te se uskladiti: identificirati tijek osobnih podataka, sadržaja i svrhu obrade, identificirati pravnu osnovu za obradu i pohranu podataka, procijeniti spremnost IT sustava, procijeniti rizik zaštite osobnih podataka…Osvijestiti se od glave do pete! Sve ono što je suvišno i što nije nužno bit će nužno obrisati, a ono što se čuva kriptirati kako bi, u slučaju da netko dođe do baze podataka,podaci bili nevidljivi bez ključa za dekriptiranje. Naravno, morat će obavijestiti korisnike prije upisa osobnih podataka što će i na koji način s tim podacima raditi i zašto će ih koristiti. Za svaku će određenu akciju koju pokreće, a koristi osobne podatke klijenata, trebati zatražiti i njihovu privolu.

Primjer – poslovanje salona

Nije važno koristi li salon u svom poslovanju bilježnicu i olovku, Excel tablicu ili aplikaciju za vođenje svog poslovanja - važno je da se odgovorno odnosi prema osobnim podacima svojih klijenata. Radnici salona kao i liječnici, odvjetnici i dr. imaju profesionalnu obavezu čuvati sve osobne podatke svojih klijenata, ma kako oni bezazleni bili. Povjerenje je ono na čemu se temelji odnos klijenta i pružatelja usluga. No, ukoliko bilo tko želi koristiti osobne podatke svojih klijenata, bilo u svrhu marketinga, istraživanja ili nečeg trećeg, svakako treba zatražiti privolu od klijenta. Privola treba biti jednoznačna, jasna i sažeta i svakako se treba čuvati. Može ju se revidirati i ažurirati ukoliko je potrebno.

Iako Zakon još nije donesen (tek dvije države su to učinile u EU), iako svi pričaju o tome a nemamo nikakve prakse, ipak je krajnje vrijeme da krenete u tu priču jer vas neće mimoići. Napomena: nemojte podlegnuti panici i strahu, već se za početak osvijestite o značenju Uredbe i o tome što donosi vama osobno i vašem poslovanju.

Za vrijeme pisanja ovog teksta Ministarstvo uprave, kao institucija nositelj je objavilo Prijedlog zakona o provedbi Opće uredbe o zaštiti podataka. Preporučam svima da odu na e-Savjetovanja i pročitaju Prijedlog.