Iako naslov, s ciljem privlačenja pozornosti, zaista zvuči pomalo brutalno, ovu uredbu uistinu treba shvatiti vrlo ozbiljno.
Prije svega važno je pojasniti razliku između Uredbe EU i Direktive EU. Uredbe u pravu Europske unije imaju opću primjenu, u potpunosti su obvezujuće i izravno primjenjive u svim državama članicama Europske unije.
Uredbe u potpunosti unificiraju pravo, tj. zamijenjuju do tada postojeće interne norme država članica jednom potpuno istovjetnom europskom normom, dok direktive (smjernice) ostavljaju prostora za donekle različita rješenja u različitim državama članicama.
Što je GDPR?
Tehnološkim razvojem i novim načinima obrade osobnih podataka, postalo je nužno donošenje novog instrumenta koji će osigurati zaštitu prava i temeljnih sloboda pojedinaca u vezi s obradom njihovih osobnih podataka.
Opća uredba o zaštiti podataka (General Data Protection Regulation – GDPR) je uredba kojom Europski parlament, Vijeće Europske unije i Europska komisija namjeravaju ojačati i objediniti zaštitu podataka za sve pojedince unutar Europske unije (EU).
Nakon 4 godine priprema i debate u tijelima EU Uredba je odobrena od strane EU parlamenta 14. travnja 2016. te će biti u direktnoj primjeni u svim članicama EU od 25. svibnja 2018. godine.
Nakon tog datuma organizacije koje nisu u potpunoj sukladnosti mogu se suočiti s teškim kaznama.
Uredba određuje koja su prava pojedinaca, a u skladu s tim i koje su obveze subjekata koji obrađuju osobne podatke poput voditelja obrade odnosno izvršitelja obrade.
Uredba također propisuje koje su zadaće i ovlasti Agencije za zaštitu osobnih podataka (AZOP) kao nadzornog tijela u RH.
Uredba se primjenjuje na sve tvrtke bez iznimaka, a također se primjenjuje i na pojedince koji obavljaju određenu profesionalnu aktivnost, udruge, bolnice, klubove, pa i na fizičke osobe kada obrađuju osobne podatke izvan okvira potreba kućanstva (npr. postavljanje video nadzora ispred ulaznih vrata kuće/stana). Uredba se primjenjuje i na sve državne institucije koje su dužne obrađivati osobne podatke u okviru njenih odredaba.
Što je sve osobni podatak u smislu opće uredbe?
Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi izravno ili neizravno, uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Dakle, jako je širok spektar što su osobni podaci, no jednostavnije rečeno to su: ime i prezime, identifikacijski broj, slika, glas, adresa, broj telefona, IP adresa, povijest bolesti, popis najdraže literature ili pjesama, ako takvi podaci mogu dovesti do izravnog ili neizravnog identificiranja pojedinca.
Pojedina prava građana/ispitanika u smislu opće uredbe
Opća uredba definira sustav utemeljen na privoli, odnosno, odobrenju za prikupljanje, pohranu i obradu osobnih podataka koju građani daju ili uskraćuju tvrtkama. Posebno je zanimljivo da, ukoliko nije nužno, davanje privole ne smije biti uvjet za pristup usluzi.
GDPR uredba definira slijedeća prava građana (ispitanika):
• transparentnost – pružanje informacija prilikom prikupljanja osobnih podatak kada voditelj obrade mora među ostalim informacijama obavijestiti ispitanika i o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primateljima, iznošenju u treće zemlje, razdoblju pohrane, mogućnosti povlačenja privole, itd.;
• pristup podacima – dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i informacije, među ostalim, o obrađenim osobnim podacima, o svrsi obrade, roku pohrane, iznošenju u treće zemlje itd.;
• pravo na ispravak – ispitanik ima pravo zahtijevati ispravak netočnih osobnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave;
• brisanje („pravo na zaborav“) – ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako, među ostalim, osobni podaci više nisu nužni u odnosu na svrhu obrade, ispitanik je povukao privolu za obradu, osobni podaci su nezakonito obrađeni itd., ovo pravo ima ograničenja pa tako na primjer političar ne može zatražiti brisanje informacija o sebi koje su dane u okviru svojega političkog djelovanja;
• pravo na ograničenje obrade – u pojedinim situacijama (na primjer kada je točnost podataka osporavana ili kada pravo na brisanju ispitanik želi da voditelj obrade zadrži njegove podatke) ispitanik ima pravo zahtijevati da se obrada ograniči uz iznimku pohrane i nekih drugih vrsta obrade;
• pravo na prenosivost – ispitanik ima pravo zaprimiti svoje osobne podatke, a koje je prethodno pružio voditelju obrade, u strukturiranom obliku te u uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako se obrada provodi automatiziranim putem i temelji na privoli ili ugovoru;
• pravo na prigovor – ispitanik ima pravo uložiti prigovor na obradu osobnih podataka ako se ista temelji na zadaće od javnog interesa, na izvršavanje službenih ovlasti voditelja obrade ili na legitimne interesa voditelja obrade (uključujući i profiliranje), tada voditelj obrade ne smoje više obrađivati osobne podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika te radi zaštite pravnih zahtjeva, također ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati;
• pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (profiliranje) – ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka, ako je dopuštena pravom EU-a ili nacionalnim pravom koji se propisuju odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika ili temeljena na izričitoj privoli ispitanika.
Važno je napomenuti da za sva prava Uredba definira i potrebna ograničenja.
Što se mijenja za subjekte koji prikupljaju osobne podatke (tvrtke, pojedinci,..)?
Subjektima koji prikupljaju osobne podatke Opća uredba o zaštiti podataka (GDPR) određuje brojne obveze od kojih posebno valja istaknuti sljedeće:
• dužni su po zahtjevu vlasnika osobnih podataka svaku radnju odraditi u najkraćem mogućem roku, ne dužem od 30 dana te dokazati da su zatražene radnje izvršene. Dokaz je potvrda o izvršenoj radnji koju izdaju građanu, ali u slučaju sumnje i zahtjeva regulatoru, dužni su direktno dokazati da su radnje izvršene
• moraju koristiti jednostavan, jednoznačan i svima razumljivi jezik u komuniciranju s vlasnicima osobnih odataka
• moraju dobiti jednoznačnu privolu za obradu osobnih podataka, a za podatke maloljetnika trebaju suglasnost njegova zakonskog predstavnika
• u slučaju „curenja“ podataka („data breach“) moraju informirati vlasnike osobnih podataka najkasnije 72 sata od saznanja
• moraju omogućiti uskraćivanje privole za slanje poruka u direktnom marketingu
• moraju posebno štititi osjetljive podatke
• pri transferu osobnih podataka građana EU u zemlje za koje EU nije dala odobrenje, tvrtke moraju tražiti posebnu pravnu suglasnost
• u svoje sustave moraju još pri dizajnu ugraditi podršku zaštiti osobnih podataka
• subjekti koji obrađuju osobne podatke u ime drugih moraju s tvrtkama koje prikupljaju podatke striktno definirati uvjete obrade osobnih podataka
• ovisno o intenzitetu i vrsti obrade osobnih podataka, moraju imenovati Službenika za zaštitu osobnih podataka
• po potrebi trebaju provesti analizu utjecaja za obrade osobnih podataka koje predstavljaju veliki rizik
Kako će se sankcionirati povrede opće uredbe o zaštiti podataka?
Način sankcioniranja jasno je naveden na službenim stranicama Agencije za zaštitu osobnih podataka AZOP kao nadzornog tijela u RH:
„Prema odredbama Opće uredbe o zaštiti podataka svaka povreda će se sankcionirati novčanim upravnim kaznama koje će se izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja, itd.
Iznimno, ako je riječ o manjoj povredi fizičke osobe i ako bi upravna novčana kazna bila nerazmjerna, ista se neće izricati nego će se izreći upozorenje.
Najprije će se utvrditi postoji li kršenje, a zatim će se odabrati sankcija uključujući novčane upravne kazne.
Postoje dva seta kršenja, za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 milijuna eura ili 2% godišnjeg prometa na svjetskoj razini, a za druga kršenja (načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili 4% godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće.
Prilikom izricanja novčanih upravnih kazni vodit će se računa da je takva sankcija učinkovita, razmjerna i odvraćajuća, a za određivanje iznosa konkretne novčane upravne kazne morat će se uzeti u obzir jedanaest kriterija poput prirode, težine i trajanje kršenja, vrstu krivnje, mjere ublažavanja štete, prijašnja kršenja, tehničke i organizacijske mjere primijenjene u obradi podataka, itd.“
Kako do sukladnosti?
Obzirom da se radi o kompleksnom multisektorskom propisu koji obuhvaća cijelu organizaciju i čije je provođenje osigurano vrlo ozbiljnim sankcijama, u Hrvatskoj je do sada održan niz stručnih i znanstvenih skupova, radionica i okruglih stolova na tu temu.
Jedan takav održan je, u suradnji sa predstavnicima AZOP-a, 18. listopada 2017. na Hrvatskom katoličkom sveučilištu u Zagrebu (op.a. bez kotizacije za polaznike).
Nije na odmet razmisliti i o korištenju usluga konzultanata jer je cijena njihovih usluga u ovom slučaju nemjerljivo povoljnija od eventualnih sankcija.
Dodatne informacije:
– azop.hr/info-servis/detaljnije/vodic-kroz-opcu-uredbu-o-zastiti-podataka
– eur-lex.europa.eu/legal-content/HR/TXT/?uri=CELEX%3A32016R0679
Tomislav Katanović/prigorski.hr