Adacta | Gold ERP i CRM Microsoft Partner & Qlik Certified Solution Provider
Adactine novosti

Uredba o zaštiti osobnih podataka - često postavljanja pitanja

Primjena Opće uredbe o zaštiti osobnih podataka (General Data Protection Regulation, GDPR) biti će obavezna od 25. svibnja 2018. godine. Odgovore na glavna pitanja smo pripremili u nastavku. 

Što je Uredba o zaštiti osobnih podataka?
GDPR je skraćenica za Uredbu o zaštiti osobnih podataka i novi je set propisa Europske unije koji će zamijeniti Direktivu o zaštiti podataka, a cilj mu je osnažiti i ujediniti zaštitu osobnih podataka svih rezidenata Europske unije na globalnom digitalnom tržištu.

Koji je opseg djelovanja GDPR-a?
GDPR uključuje podatke rezidenata Europske unije (globalni doseg), nadziratelje i obraditelje podataka i aktivnosti njihovog profiliranja.

Na koju vrstu informacija se GDPR odnosi?
GDPR je primjenjiv na osobne podatke i procesuiranje informacija.

Što se smatra osobnim podatkom?
Svaka informacija vezana uz fizičku osobu ili ‘Podatkovni subjekt’, a koja se može izravno ili neizravno upotrijebiti kako bi se osoba identificirala posebice u smislu identifikacijskog broja ili jednog ili više faktora koji su specifični za njezin fizički, psihološki, mentalni, ekonomski, kulturni i društveni identitet.
Postoji mnogo različitih načina kojima se pojedinac može identificirati. Neki od primjera osobnih podataka koji su definirani GDPR-om (izuzev uobičajenih kao što je ime) su: fotografija osobe, broj registarske tablice vozila, telefonski broj, broj kreditne kartice, IP adresa, otisak prsta, e-mail adresa, njene objave na društvenim mrežama, lokacija, itd.

Što je procesuiranje osobnih podataka?
Procesuiranje osobnih podataka je bilo koja aktivnost ili skupina aktivnosti provedenih za osobne podatke ili grupu osobnih podataka putem automatiziranih ili neautomatiziranih sredstava. To uključuje sljedeće aktivnosti: prikupljanje, arhiviranje, organiziranje, strukturiranje, pohranu, prilagodbu ili izmjene, ponovno pronalaženje, korištenje, otkrivanje, prijenos ili bilo koji drugi način otklanjanja, sinkronizacije ili kombiniranja, ograničavanja, brisanja ili uništavanja i čak pregleda podataka.

Što spada u kategoriju osjetljivih podataka?
U kategoriju osjetljivih osobnih podataka spadaju informacije vezane uz subjektovo rasno ili etničko porijeklo, politički stav, vjerska uvjerenja, fizičko i mentalno zdravlje, seksualnu orijentaciju ili pojedinosti o kaznenim prekršajima. Procesuiranje tih podataka dozvoljeno je samo u iznimnim slučajevima. 

Koja je razlika između uredbe i Direktive?
Direktiva je zakonski akt kojim se određuje cilj koji sve zemlje članice EU-a moraju postići. No, pojedina zemlja će odlučiti o tome na koji način. Za razliku od toga, uredba je obvezujući zakonski akt. Mora se provoditi u cijelosti u cijeloj Europskoj uniji. Važno je napomenuti da je GDPR uredba i da stupa na snagu nakon što trenutna Direktiva postane neefektivna.

Koje su propisane kazne u slučaju nepridržavanja GDPR-a?
Nadziratelji podataka (organizacije ili kompanije) mogu biti kažnjene do 4% godišnje globalne dobiti ili 20 milijuna eura. Postoji višestruki pristup kaznama, a ta pravila su primjenjiva i na nadziratelje i na obraditelje podataka.

Koje će odgovornosti kompanije imati prema ovoj novoj uredbi?
Kao prvo, kompanije moraju osigurati da je pristanak za korištenjem osobnih informacija jasan, suglasan i na uobičajenom jeziku. Kad GDPR stupi na snagu propisi za procesuiranje osobnih podataka postat će mnogo stroži. Kompanije također moraju osigurati usklađenost sa svim pravima koje pojedinci imaju prema GDPR-u. Također, kompanije bi trebale minimizirati rizik od kršenja osobnih podataka i podržavati zaštitu osobnih podataka. U stvari to znači više politika i procedura i tehničkih rješenja za hardver i softver.

Koji su zahtjevi GDPR-a?
Sve organizacije moraju razmotriti legislativu u cijelosti i provesti analizu utjecaja GDPR-a na njihove procese i aktivnosti. Za GDPR transparentnost je ključna, a organizacije su obvezne predočiti svojim klijentima, zaposlenicima i ostalima kako se njihovi podaci procesuiraju. Morat će se provesti Procjena učinka na privatnost za postojeće i nove aktivnosti procesuiranja a sa svakim se poslovnim procesom i mijenjati. Organizacije će morati osigurati sigurnost, mogućnost brisanja i prijenosa osobnih podataka. GDPR također znači održavanje ažuriranog registra aktivnosti procesuiranja podataka koji će vam pomoći dokazati da se držite propisa u slučaju kršenja sigurnosti.

Koja će prava pojedinci imati prema GDPR-u?

Postoji 8 temeljnih prava pojedinaca prema GDPR-u. Ona su:
• Pravo na informiranje - Organizacije moraju djelovati potpuno transparentno o načinu na koji koriste osobne podatke.
• Pravo pristupa - Pojedinci će imati pravo točno znati koja informacija o njima se posjeduje i kako se procesuira.
• Pravo ispravka - Pojedinci će imati pravo na ispravak osobnog podatka ako je netočan ili nepotpun.
• Pravo brisanja - Također poznato i kao 'pravo na zaborav', odnosi se na pravo pojedinca da se njegovi osobni podaci brišu ili uklanjaju bez potrebe navođenja posebnog razloga za to.
• Pravo na ograničenje procesuiranja - Odnosi se na pravo pojedinca da blokira ili zaustavi procesuiranje njegovih osobnih podataka.
• Pravo na prijenos podataka - Omogućava pojedincima da zadrže ili ponovno upotrijebe svoje osobne podatke u vlastite svrhe.
• Pravo na prigovor - Pod određenim okolnostima pojedinci imaju pravo prigovoriti zbog korištenja njihovih osobnih podataka. To znači ako kompanija koristi osobne podatke u svrhe izravnog marketinga, znanstvenih ili povijesnih istraživanja ili za provedbu zadatka u javnom interesu.
• Prava automatiziranog donošenja odluka i profiliranja - GDPR je osigurao zaštitu koja će zaštititi pojedince od rizika donošenja potencijalno štetne odluke bez ljudskog faktora. Na primjer, pojedinci mogu odabrati da ne žele biti predmetom donošenja odluke ako bi ona mogla imati zakonske posljedice na njih ili bila temeljena na automatskom procesuiranju.

Koji su rizici neusklađenosti sa GDPR-om?
Osim financijskog rizika, ostali rizici neusklađenosti sa GDPR-om su regulatorni rizici, operativni rizici, i reputacijski rizik. Ako organizacije nisu usklađene sa GDPR-om, riskiraju visoke kazne, gubitak prihoda, slabljenje brenda, gubitak klijenata i povjerenja zaposlenika.

Koje su koristi od usklađenosti sa GDPR-om?
Investirajući u usklađenost sa GDPR-om, organizacije investiraju u reputaciju tvrtke, dugotrajne uštede u procesuiranju i pohrani podataka, optimizaciju procesa i nadzor.

Kada GDPR stupa na snagu?
GDPR je odobrio Europski parlament u travnju 2016. Tranzicijsko razdoblje je dvije godine, što znači da će GDPR postati efektivan u svibnju 2018.

Zašto je ova nova uredba donesena?
Cilj GDPR-a je vratiti kontrolu i utjecaj nad osobnim podacima podatkovnom subjektu (vlasniku). Također, kad je postojeća Direktiva bila uvedena, današnje tehnologije su se tek razvijale i drastično su izmijenile informacijsko okruženje. Zbog toga je GDPR tehnički potpuno neutralan i najviše se oslanja na zdravi razum pri zaštiti i privatnosti podataka putem osmišljenih ideja.

Na koga se GDPR odnosi?
GDPR se odnosi na sve kompanije u B2C sektoru, kompanije u B2B sektoru koje procesuiraju osobne podatke zaposlenika ili drugih kompanija ili koje imaju agente u B2C sektoru. Također se odnosi i na javni sektor ako institucija nije izričito izuzeta. Može se reći da GDPR utječe na sve kompanije koje imaju ili procesuiraju osobne podatke rezidenata Europske unije bez obzira na lokaciju kompanija.

Tko je podatkovni subjekt?
Podatkovni subjekt je pojedinac koji je subjekt za osobne podatke. Drugim riječima, podatkovni subjekt je pojedinac na kojeg se odnose određeni osobni podaci. Zakonom se ne smatra podatkovnim subjektom pojedinac koji je preminuo ili koji se ne može identificirati ili razlikovati od drugih.

Tko je nadziratelj podataka?
Nadziratelj podataka je osoba koja (sama ili skupno ili zajedno sa ostalim osobama) određuje svrhe u koje i način na koji se ili će se osobni podaci procesuirati.

Tko je obraditelj podataka?
“Obraditelj podataka”, vezano uz osobne podatke, znači bilo koju osobu (izuzev zaposlenika nadziratelja podataka) koja procesuira podatke u korist nadziratelja podataka. “Procesuiranje”, vezano uz informacije i podatke znači.

Odnosi li se GDPR samo na kompanije u EU?
Ne. GDPR se primjenjuje na sve tvrtke koje procesuiraju osobne podatke rezidenata Europske unije.

Kako GDPR utječe na politiku oko kršenja zaštite podataka?
Kada se to otkrije, kršenje zaštite podataka koje bi moglo biti prijetnja za pojedinca mora se prijaviti DPA (Tijelo za zaštitu osobnih podataka) unutar 72 sata i dotičnom pojedincu bez odgađanja.

Tko bi trebao osigurati usklađenost sa GDPR-om i mogu li to osigurati samo tehničke mjere?
Osiguranje usklađenosti sa GDPR-om je obveza kompanije koja prikuplja osobne podatke kao i odgovornost za prikupljene podatke. Same tehničke mjere ne mogu osigurati usklađenost sa GDPR-om. One su samo jedan korak u osiguranju usklađenosti i mogu pomoći zaštititi podatke, poduprijeti poslovne procese ili pomoći dokazati transparentnost vezano uz obradu osobnih podataka. Ostala područja provedbe usklađenosti sa GDPR-om kao što su analiza podataka, procjena rizika i reorganizacija su ključna za uspješnu implementaciju GDPR-a.

U tekstu je navedeno da je e-mail adresa osobni podatak - što to znači u kontekstu e-mail menadžmenta?
Da, e-mail adresa je osobni podatak jer postoji mogućnost izdvajanja ili identificiranja pojedinca prema njoj. Stoga je procesuiranje i osobnih i poslovnih e-mail adresa podložno GDPR-u jer ona spada u kategoriju online identifikatora osobnih podataka. U tom slučaju, tvrtka treba pristanak od osobe čiju e-mail adresu želi prikupiti. Međutim, važno je diferencirati svrhe procesuiranja podataka e-mail adresa. Ako se njihovo prikupljanje provodi u svrhu marketinških aktivnosti, postoji mogućnost povlačenja ili je potreban pristanak, no ako je e-mail adresa nužna za provođenje ugovora u kojem je podatkovni subjekt ugovorna strana, pristanak nije nužan. Drugim riječima, prikupljanje poslovnih adresa u svrhu marketinga slobodnog B2B ne zahtijeva pristanak.

Može li osoblje ljudskih potencijala pregledavati osobne podatke i postoje li mjere koje treba poduzeti u tom slučaju?
Procesuiranje osobnih podataka zaposlenika je glavna aktivnost odjela za ljudske potencijale i njegovog osoblja. Tvrtka bi trebala voditi zapisnik o procesuiranju osobnih podataka i provođenju prava. Ta vrsta mjere daje sakupljaču i obraditelju podataka vrijedne informacije i transparentnost u smislu tko što radi i iz kojeg razloga s podacima odjela za ljudske potencijale.

Hoće li Microsoft ili Adacta pružiti neku kontrolu ili automatsko izvještavanje vezano uz GDPR?
Microsoft ima opsežnu ekspertizu u zaštiti podataka, prvenstveno privatnosti, i usklađen je sa kompleksnim regulativama, trenutno i sa EU-SAD Štitom privatnosti i EU modelom klauzula. Microsoft vjeruje da GDPR predstavlja važan korak naprijed prema razjašnjenju i omogućavanju prava na privatnost pojedinaca te želi pomoći tvrtkama da se fokusiraju na svoj glavni posao, dok se efikasno pripremaju za GDPR. Microsoft je posvećen osiguranju usklađenosti sa GDPR-om preko njegovog oblačnog računarstva kad počne primjena 25. svibnja 2018. i u svojim ugovornim obvezama pruža sigurnost povezanu sa GDPR-om. Više informacija o Microsoft GDPR programu možete pronaći na: https://www.microsoft.com/en-us/TrustCenter/Privacy/gdpr/default.aspx.

Adacta će osigurati da su njezini vlastiti proizvodi koji su povezani sa GDPR-om, poput modula za ljudske potencijale ili izračun plaća opskrbljeni standardiziranim mehanizmima (npr. zapisnik o procesuiranju podataka itd.), a koji će pomoći klijentima u podršci procesa povezanih sa GDPR-om. Ostale funkcionalnosti i poslovna područja koja sadrže osobne informacije koje bi mogle biti relevantne vezano uz GDPR ne mogu se pokriti standardnim rješenjima jer ovise o specifičnim poslovnim procesima klijenta i upravljanju tijeka informacija tako da se mogu implementirati samo kao obični projekti. Adacta će rado pomoći oko svih upita.    

Pokrenuli smo BI sustav – kako osigurati usklađenost sa GDPR-om?
Kao i sa ostalim poslovnim sustavima, prvi korak koji kompanije trebaju poduzeti je procjena BI aplikacija koje procesuiraju osobne podatke (ljudski potencijali, izračun plaća itd.). Za te aplikacije treba provesti procjenu utjecaja na privatnost, te voditi zapisnik o upravljanju korisničkim pravima i njihovom procesuiranju. Nadalje, kompanije mogu implementirati nove BI aplikacije koje će im pomoći implementirati i održavati procese vezane uz GDPR (npr., nadzor glavnih podataka iz višestrukih izvora). 

Imamo vanjski pozivni centar koji zaprima informacije o našim klijentima. Tko bi trebao osigurati usklađenost sa GDPR-om – naša tvrtka ili tvrtka koja pruža usluge pozivnog centra?
Vaša tvrtka prikuplja podatke, pa je prema GDPR-u ona definirana kao nadziratelj podataka. Nadziratelj podataka je odgovoran za osiguranje sigurnosti prikupljenih podataka i obvezan osigurati da je obraditelj podataka (pozivni centar) usklađen sa GDPR-om.

Što ako je potrebna intervencija pri izračunu plaća? Može li Adacta pristupiti modulu za izračun plaća s obzirom da on sadrži osobne podatke o zaposlenicima?
Kad GDPR stupi na snagu, Adacta ne bi smjela pristupati vašim modulima koji sadrže osjetljive (osobne) podatke osim ako ne postoji dodatni ugovor i redefinirana metodologija između vaše tvrtke i Adacta-e (koja u tom slučaju ima ulogu obraditelja podataka). Adacta trenutno radi na izradi nove metodologije za podršku i implementaciju projekta kako bi osigurala najjednostavniji način za naše klijente pri podršci njihovom poslovanju uzimajući u obzir zahtjeve GDPR-a.

Kako se uskladiti sa GDPR-om? Koji je sljedeći korak?
Postati usklađen sa GDPR-om znači investirati vrijeme, trud i novac u reorganizaciju, ponovno sastavljanje, optimizaciju i sigurnost. Na usklađenost sa GDPR-om treba gledati kao na dugoročnu obvezu, a ne kratkoročni projekt. Postoje mnogi koraci koje treba poduzeti i ne postoji formula za uspjeh, no kompanije bi trebale početi sa sljedećim:
1. Imenujte tim ili osobu za implementaciju usklađenosti sa GDPR-om
2. Educirajte osoblje i podižite svijest
3. Analizirajte poslovne procese i podatke
4. Prepoznajte osobne podatke
5. Minimizirajte, klasificirajte i kategorizirajte osobne podatke
6. Provedite procjenu rizika i procjenu utjecaja na privatnost
7. Stvorite ili sastavite poslovne politike, procedure, pravila i ugovore
8. Implementirajte tehničke mjere i mjere sigurnosti procesa
9. Provodite internu reviziju
10. Slijedite DPA smjernice i djelujte u skladu s njima

U slučaju da tvrtka nema na raspolaganju potrebne resurse ili joj nedostaje stručno znanje, može kontaktirati tvrtke koje su specijalizirane za GDPR savjetovanje i koje im mogu pomoći da postignu usklađenost.

Kontaktirajte nas

Trebate više informacija? 

Kontaktirajte nas