Opća uredba o zaštiti podataka

Uredba Europske unije broj 2016/679 o zaštiti osobnih podataka, poznata i kao GDPR (eng. General Data Protection Regulation, hrv. Opća uredba o zaštiti podataka)  će se u čitavoj Europskoj uniji, pa tako i Hrvatskoj, početi primjenjivati od 25. svibnja 2018., do kada bi se svi voditelji obrade osobnih podataka trebali uskladiti s obvezama koje propisuje.  Općom uredbom o zaštiti podataka nastoji se modernizirati i pružiti zaštita pri korištenju osobnih podataka koje područje se unatoč razvoju tehnologije i pojačanom protoku osobnih podataka duži niz godina nije značajnije mijenjalo.

Intencija je nove Uredbe da se ograniči svrha i pohrana te smanji količina podataka pa osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe i to samo oni podaci koji su nužni u odnosu na svrhu.  Osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani na način na koji im se osigurava odgovarajuća sigurnost odnosno zaštita od neovlaštene ili nezakonite obrade te od gubitka, uništenja ili oštećenja. Osobni podaci mogu se čuvati samo onoliko dugo koliko je potrebno radi svrhe u koju su prikupljeni.

Važno je napomenuti da u Hrvatskoj još nije stupio na snagu Zakon o provedbi Opće uredbe o zaštiti podataka koji je tek u fazi javne rasprave. No, neovisno o tome uredba kao pravni akt Europske unije ima izravnu primjenu u svim državama članicama, a za nepoštivanje odredaba o zaštiti podataka propisane su kazne u visini do 20.000.000 EUR ili u slučaju poduzetnika do 4% ukupnog godišnjeg prometa za prethodnu financijsku godinu, ovisno o tome što je veće.

U nastavku navodimo osnovne obveze voditelja obrade, koje bi trebale poslužiti kao polazna točka za usklađenje s GDPR-om i pritom napominjemo kako je predmet Uredbe obrada osobnih podataka odnosno svih onih podataka koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik“).

Radnje koje bi poslovni subjekti trebali obaviti su sljedeće:

  • Detaljna revizija postojećih sustava pohrane osobnih podataka
  • Ažuriranje i pribavljanje privola ispitanika
  • Informiranje ispitanika i osiguravanje prava ispitanika sukladno GDPR-u
  • Sastavljanje evidencija aktivnosti obrade – čl.30. Uredbe
  • Imenovanje i edukacija službenika za zaštitu podataka
  • Sastavljanje procjene učinaka na zaštitu podataka
  • Revizija ugovora koji uključuju razmjenu osobnih podataka
  • Usvajanje Pravilnika o zaštiti osobnih podataka