Adacta | Gold ERP i CRM Microsoft Partner & Qlik Certified Solution Provider
Adactine novosti

Uredba o zaštiti osobnih podataka - često postavljanja pitanja

Primjena Opće uredbe o zaštiti osobnih podataka (General Data Protection Regulation, GDPR) biti će obavezna od 25. svibnja 2018. godine. Odgovore na glavna pitanja smo pripremili u nastavku. 

Što je Uredba o zaštiti osobnih podataka?
GDPR je skraćenica za Uredbu o zaštiti osobnih podataka i novi je set propisa Europske unije koji će zamijeniti Direktivu o zaštiti podataka, a cilj mu je osnažiti i ujediniti zaštitu osobnih podataka svih rezidenata Europske unije na globalnom digitalnom tržištu.

Koji je opseg djelovanja GDPR-a?
GDPR uključuje podatke rezidenata Europske unije (globalni doseg), voditelje i izvršitelje obrade podataka i aktivnosti njihovog profiliranja.

Na koju vrstu informacija se GDPR odnosi?
GDPR se primjenjuje na osobne podatke i obradu informacija vezanih uz osobne podatke.

Što se smatra osobnim podatkom?
Svaka informacija vezana uz fizičku osobu ili ‘ispitanika', a koja se može izravno ili neizravno upotrijebiti kako bi se osoba identificirala posebice u smislu identifikacijskog broja ili jednog ili više faktora koji su specifični za njezin fizički, psihološki, mentalni, ekonomski, kulturni i društveni identitet.

Postoji mnogo različitih načina kojima se pojedinac može identificirati. Neki od primjera osobnih podataka koji su definirani GDPR-om (izuzev uobičajenih kao što je ime) su: fotografija osobe, broj registarske tablice vozila, telefonski broj, broj kreditne kartice, IP adresa, otisak prsta, e-mail adresa, njene objave na društvenim mrežama, lokacija, itd.

Što je obrada osobnih podataka?

Obrada osobnih podataka je bilo koja aktivnost ili skupina aktivnosti provedenih nad osobnim podacima ili grupi osobnih podataka putem automatiziranih ili neautomatiziranih sredstava obrade. To uključuje sljedeće aktivnosti: prikupljanje, arhiviranje, organiziranje, strukturiranje, pohranu, prilagodbu ili izmjene, ponovno pronalaženje, korištenje, otkrivanje, prijenos ili bilo koji drugi način otklanjanja, sinkronizacije ili kombiniranja, ograničavanja, brisanja ili uništavanja pa i čak pregleda podataka.

Što spada u kategoriju osjetljivih podataka?
U kategoriju osjetljivih osobnih podataka spadaju informacije vezane uz rasno ili etničko porijeklo subjekta, politički stav, vjerska uvjerenja, fizičko i mentalno zdravlje, seksualnu orijentaciju ili pojedinosti o kaznenim prekršajima. Procesuiranje tih podataka dozvoljeno je samo u iznimnim slučajevima.

Koja je razlika između Uredbe i Direktive?
Direktiva je zakonski akt kojim se određuje cilj koji sve zemlje članice EU-a moraju postići. No, pojedina zemlja će odlučiti o tome na koji način. Za razliku od toga, Uredba je obvezujući zakonski akt. Mora se provoditi u cijelosti u cijeloj Europskoj uniji. Važno je napomenuti da je GDPR Uredba i da njenim stupanjem na snagu trenutna Direktiva postane nevažeća.

Koje su propisane kazne u slučaju nepridržavanja GDPR-a?
Voditelji obrade podataka (organizacije ili kompanije) mogu biti kažnjene s kaznom visine do 4% godišnje globalne dobiti ili s 20 milijuna eura. Postoji višestruki pristup kaznama, a ta pravila su primjenjiva i na voditelje i na izvršitelje obrade podataka..

Koje će odgovornosti kompanije imati prema novoj Uredbi?
Kao prvo, kompanije moraju osigurati da je privola za korištenjem osobnih podataka jasna, afirmativna i pisana 'jednostavnim' jezikom. Kad GDPR stupi na snagu, propisi za obradu osobnih podataka postat će mnogo stroži. Kompanije također moraju osigurati usklađenost sa svim pravima koje pojedinci imaju prema GDPR-u. Također, kompanije bi trebale minimizirati rizik od narušavanja sigurnosti osobnih podataka i trebale bi podržavati zaštitu osobnih podataka. U praksi, to znači više politika, procedura, uputa kao i tehničkih rješenja.

Koji su zahtjevi GDPR-a?
procese i aktivnosti. Ključ GDPR-a je transparentnost, a organizacije su obvezne svojim klijentima, zaposlenicima i ostalim uključenim stranama predočiti kako se njihovi osobni podaci obrađuju. Morat će se provesti procjena učinka na privatnost za postojeće i nove aktivnosti obrade, a sa svakim će se poslovnim procesom procjena učinka morati mijenjati. Organizacije će morati osigurati sigurnost, mogućnost brisanja i prijenosa osobnih podataka. GDPR također znači održavanje ažurnog registra aktivnosti obrade podataka koji će pomoći dokazati usklađenost s GDPR-om u slučaju narušavanja sigurnosti.

Koja će prava pojedinci imati prema GDPR-u?

Postoji 8 temeljnih prava pojedinaca prema GDPR-u. Ona su:

  • Pravo na informiranje - Organizacije moraju djelovati potpuno transparentno o načinu na koji koriste osobne podatke.
  • Pravo pristupa - Pojedinci će imati pravo točno znati koja se informacija o njima prikuplja i kako se obrađuje.
  • Pravo ispravka - Pojedinci će imati pravo na ispravak osobnog podatka ako je netočan ili nepotpun.
  • Pravo brisanja - Također poznato i kao 'pravo na zaborav', odnosi se na pravo pojedinca da se njegovi osobni podaci brišu ili uklanjaju bez potrebe navođenja posebnog razloga.
  • Pravo na ograničenje obrade - Odnosi se na pravo pojedinca da blokira ili zaustavi obradu njegovih osobnih podataka.
  • Pravo na prijenos podataka - Omogućava pojedincima da zadrže ili ponovno upotrijebe svoje osobne podatke u vlastite svrhe.
  • Pravo na prigovor - Prijedlog: Pod određenim okolnostima pojedinci imaju pravo prigovoriti zbog korištenja njihovih osobnih podataka, npr. ako kompanija koristi osobne podatke u svrhe izravnog marketinga, znanstvenih ili povijesnih istraživanja ili za provedbu zadatka u javnom interesu.
  • Prava automatiziranog donošenja odluka i profiliranja - GDPR nalaže mehanizme koji će zaštititi pojedince od rizika donošenja potencijalno štetne odluke bez ljudskog faktora. Na primjer, pojedinci mogu odabrati da ne žele biti predmetom donošenja odluke ako bi ona mogla imati zakonske posljedice na njih ili bila temeljena na automatskoj obradi podataka.

Koji su rizici neusklađenosti sa GDPR-om?
Osim financijskog rizika, ostali rizici neusklađenosti s GDPR-om su regulatorni rizici, operativni rizici, i reputacijski rizik. Ako organizacije nisu usklađene s GDPR-om, riskiraju visoke kazne, gubitak prihoda, slabljenje brenda, gubitak klijenata i povjerenja zaposlenika.

Koje su koristi od usklađenosti sa GDPR-om?
Investirajući u usklađenost s GDPR-om, organizacije investiraju u reputaciju tvrtke, dugotrajne uštede u obradi i pohrani podataka, optimizaciju procesa i nadzor.

Kada GDPR stupa na snagu?
GDPR je odobrio Europski parlament u travnju 2016. Period prilagodbe traje dvije godine, što znači da primjena GDPR-a počinje u svibnju 2018.

Zašto je nova Uredba donesena?
Cilj GDPR-a je vratiti kontrolu i utjecaj nad osobnim podacima ispitaniku (vlasniku podataka). Također, kad je postojeća Direktiva bila uvedena, današnje tehnologije su se tek razvijale i drastično su izmijenile informacijsko okruženje. Zbog toga je GDPR tehnički potpuno neutralan i najviše se oslanja na zdravi razum pri zaštiti i privatnosti, te počiva na načelima 'sigurnosti i privatnosti po dizajnu'.

Tko treba primjeniti GDPR Uredbe?
GDPR Uredbe trebaju primijeniti kompanije u B2C sektoru, kompanije u B2B sektoru koje obrađuju osobne podatke zaposlenika ili drugih kompanija ili koje imaju agente u B2C sektoru. Također se odnosi i na javni sektor ako institucija nije izričito izuzeta. Može se reći da GDPR utječe na sve kompanije koje posjeduju ili obrađuju osobne podatke rezidenata Europske unije bez obzira na lokaciju kompanija.

Tko je Ispitanik?
Ispitanik je pojedinac koji je vlasnik osobnih podataka. Drugim riječima, ispitanik je pojedinac na kojeg se odnose određeni osobni podaci. Zakonom se ne smatra ispitanikom pojedinac koji je preminuo ili koji se ne može identificirati ili razlikovati od drugih.

Tko je voditelj obrade?
Voditelj obrade je pravna osoba koja određuje svrhe u koje i način na koji se ili će se osobni podaci obrađivati. Voditelj obrade je subjekt koji prikuplja osobne podatke od ispitanika.

Tko je izvršitelj obrade?
Izvršitelj obrade predstavlja bilo koju osobu (izuzev zaposlenika voditelja obrade podataka) koja obrađuje podatke u korist voditelja obrade podataka.

Odnosi li se GDPR samo na kompanije u EU?

Ne. GDPR se primjenjuje na sve kompanije koje obrađuju osobne podatke rezidenata Europske unije.

Kako GDPR utječe na politiku oko kršenja zaštite podataka?
Kada se to otkrije, narušavanje sigurnosti zaštite podataka koje bi moglo biti prijetnja za pojedinca mora se prijaviti DPA (Tijelo za zaštitu osobnih podataka) unutar 72 sata i dotičnom pojedincu bez odgađanja.

Tko bi trebao osigurati usklađenost sa GDPR-om i mogu li to osigurati samo tehničke mjere?
Osiguranje usklađenosti s GDPR-om je obveza kompanije koja prikuplja osobne podatke kao i odgovornost za prikupljene podatke. Same tehničke mjere ne mogu osigurati usklađenost s GDPR-om. One su samo jedan korak u osiguranju usklađenosti i mogu pomoći zaštititi podatke, poduprijeti poslovne procese ili pomoći dokazati transparentnost vezano uz obradu osobnih podataka. Ostala područja provedbe usklađenosti s GDPR-om kao što su analiza podataka, procjena rizika i reorganizacija ključna su za uspješnu implementaciju GDPR-a.

U tekstu je navedeno da je e-mail adresa osobni podatak - što to znači u kontekstu upravljanja e-poštom?

Da, e-mail adresa je osobni podatak jer postoji mogućnost izdvajanja ili identificiranja pojedinca prema njoj. Stoga je obrada i osobnih i poslovnih e-mail adresa podložna GDPR-u jer e-mail adresa spada u kategoriju online identifikatora osobnih podataka. U tom slučaju, kompanija treba pristanak od osobe čiju e-mail adresu želi prikupiti. Međutim, važno je diferencirati svrhe procesuiranja podataka e-mail adresa. Ako se njihovo prikupljanje provodi u svrhu marketinških aktivnosti privola je obavezna, a istovremeno mora postojati mogućnost poništavanja privole, no ako je e-mail adresa nužna za provođenje ugovora u kojem je ispitanik ugovorna strana, pristanak odnosno privola nije nužna. Drugim riječima, prikupljanje poslovnih adresa u svrhu besplatnih B2B marketinških aktivnosti ne zahtijeva privolu ispitanika.

Može li osoblje ljudskih potencijala pregledavati osobne podatke i postoje li mjere koje treba poduzeti u tom slučaju?
Obrada osobnih podataka zaposlenika ključna je aktivnost odjela za ljudske potencijale i njegovog osoblja. Kompanija bi trebala voditi zapisnik o obradi osobnih podataka i regulirati prava pristupa. Ta vrsta mjere daje voditelju i izvršitelju obrade vrijedne informacije i transparentnost u smislu tko što radi i iz kojeg razloga.

Hoće li Microsoft ili Adacta pružiti kontrolu ili automatsko izvještavanje vezano uz GDPR?

Microsoft ima opsežnu ekspertizu u zaštiti podataka, prvenstveno privatnosti, i usklađen je s kompleksnim regulativama, trenutno i sa EU-SAD Štitom privatnosti i EU modelom klauzula. Microsoft vjeruje da GDPR predstavlja važan korak naprijed prema omogućavanju prava na privatnost pojedinaca te želi pomoći tvrtkama da se fokusiraju na svoj posao, dok se istovremeno pripremaju za GDPR. Microsoft je posvećen osiguranju usklađenosti s GDPR-om preko njegovog 'računarstva u oblaku' i u svojim ugovornim obvezama podržava sigurnosne elemente vezane uz GDPR. Više informacija o Microsoft GDPR programu možete pronaći na: https://www.microsoft.com/en-us/TrustCenter/Privacy/gdpr/default.aspx.

Adacta će osigurati da su njezini vlastiti proizvodi koji pohranjuju i obrađuju osobne podatke, poput modula za ljudske potencijale ili obračun plaća obuhvaćaju standardizirane mehanizme (npr. zapisnik o obradi podataka itd.), a koji će pomoći klijentima u podršci procesa povezanih s GDPR-om. Ostale funkcionalnosti i poslovna područja koja sadrže osobne podatke koje bi mogle biti relevantne vezano uz GDPR ne mogu se obuhvatiti standardnim rješenjima jer ovise o specifičnim poslovnim procesima klijenta i upravljanju tijeka informacija tako da se mogu implementirati jedino individualnim pristupom pojedinom klijentu. Adacta će rado pomoći oko svih upita.    

Pokrenuli smo BI sustav – kako osigurati usklađenost sa GDPR-om?
Kao i s ostalim poslovnim sustavima, prvi korak koji kompanije trebaju poduzeti je procjena BI aplikacija koje procesuiraju osobne podatke (ljudski potencijali, obračun plaća itd.). Za te aplikacije treba provesti procjenu utjecaja na privatnost te voditi zapisnik o upravljanju korisničkim pravima i obradi podataka. Nadalje, kompanije mogu implementirati nove BI aplikacije koje će im pomoći u uspostavi i nadzoru procesa vezanih uz GDPR (npr. nadzor matičnih podataka iz višestrukih izvora).

Imamo vanjski pozivni centar koji zaprima informacije o našim klijentima. Tko bi trebao osigurati usklađenost sa GDPR-om – naša tvrtka ili tvrtka koja pruža usluge pozivnog centra?
Vaša tvrtka prikuplja podatke pa je prema GDPR-u ona definirana kao voditelj obrade podataka. Voditelj obrade podataka je odgovoran za osiguranje sigurnosti prikupljenih podataka i obvezan uvjeriti se da izvršitelj podataka (pozivni centar) postupa u skladu s GDPR-om.

Što ako je potrebna intervencija pri obračunu plaća? Može li Adacta pristupiti modulu za obračun plaća s obzirom da on sadrži osobne podatke o zaposlenicima?

Kad GDPR stupi na snagu, Adacta ne bi smjela pristupati vašim modulima koji sadrže osjetljive (osobne) podatke osim ako ne postoji dodatni ugovor i redefinirana metodologija između vaše tvrtke i Adacte (koja u tom slučaju ima ulogu izvršitelja podataka). Adacta trenutno radi na izradi nove metodologije za podršku i implementaciju projekata kako bi osigurala najjednostavniji način za klijente pri podršci njihovom poslovanju uzimajući u obzir zahtjeve GDPR-a.

Kako se uskladiti sa GDPR-om? Koji je sljedeći korak?
Osigurati usklađenost s GDPR-om znači investirati vrijeme, trud i novac u reorganizaciju, optimizaciju i sigurnost. Na usklađenost s GDPR-om treba gledati kao na dugoročnu obvezu, a ne kratkoročni projekt. Postoje mnogi koraci koje treba poduzeti, no kompanije bi trebale početi sa sljedećim:

  1. Imenovati tim ili osobu za implementaciju usklađenosti s GDPR-om
  2. Educirati osoblje i podići svijest među djelatnicima
  3. Analizirati poslovne procese i podatke
  4. Prepoznati osobne podatke
  5. Minimizirati, klasificirati i kategorizirati osobne podatke
  6. Provesti procjenu rizika i procjenu utjecaja na privatnost
  7. Kreirati poslovne politike, procedure, pravila i ugovore
  8. Implementirati tehničke mjere i mjere sigurnosti procesa
  9. Provoditi internu reviziju
  10. Slijediti DPA smjernice i djelovati u skladu s njima

U slučaju da tvrtka nema na raspolaganju potrebne resurse ili joj nedostaje stručno znanje, može kontaktirati tvrtke koje su specijalizirane za GDPR savjetovanje i koje im mogu pomoći da postignu usklađenost s GDPR-om.

Kontaktirajte nas

Trebate više informacija? 

Kontaktirajte nas