Sigurno ste već čuli za novost koja nam stiže iz EU zakonske regulative, pod nazivom GDPR 2018, a vezana je direktno za vaše poslovanje.  Niste?

Možda ste i čuli za ovu Uredbu, ali niste u potpunosti razumjeli na što se točno odnosi. Zvučalo vam je komplicirano i činilo se kao da je to problem onih ‘IT-jevaca’, oni uvijek tako komplicirano zvuče. 🙂

Ali, ne brinite, niste jedini. Symantec, globalno vodeća tvrtka u pogledu informatičke sigurnosti, nedavno je objavio kako 96% tvrtki u Europi još uvijek ne razumije u cijelosti odredbe koje donosi europska Opća uredba o zaštiti podataka (General Data Protection Regulation, GDPR).

GDPR (General Data Protection Regulation) je zakonski akt, točnije Uredba koja postaje aktivna u svibnju 2018., a odnosi se na sve tvrtke koje posluju na teritoriju EU, ali i na tvrtke koje raspolažu podacima europskih građana, neovisno o njihovoj lokaciji.

GDPR odnosi se na zaštitu osobnih podataka, bilo da je riječ o osobnim podacima korisnika, klijenata ili zaposlenika. Tvrtke u svakom trenutku moraju znati gdje su koji podaci te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, organizacije moraju biti u mogućnosti učiniti to u zadanom roku.

Što to znači? Znači da se sa osobnim podacima po ovoj Uredbi postupa kao prema materijalnom dobru i vi kao tvrtka ste dužni zaštititi sve te podatke. A ako netko ne želi da više raspolažete s njegovim podacima, onda ste dužni ukloniti sve njegove podatke i pružiti dokaz da ste to i učinili. Kako to stvarno provesti u praksi pitanje je koje muči i velike ‘igrače’.

Koji su to osobni podaci?

Svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Fizička osoba čiji se identitet može utvrditi jest osoba koja se može identificirati, izravno ili neizravno uz pomoć identifikatora kao što su imena, slike, email adrese, bankovnih podataka, objava na društvenim mrežama, zdravstvenih podataka ili računalne IP adrese.

I po sadašnjoj, još uvijek važećoj, zakonskoj regulativi dužni smo štititi osobne podatke, ali Nova EU Uredba broj 2016/679  zamjenjuje Direktivu o zaštiti podataka (Data Protection Directive) 95/46/EC i kreirana je tako da ujednači zakone o zaštiti podataka širom Europe, da zaštiti sve građane EU i da promijeni način na koji organizacije širom regije pristupaju zaštiti podataka.

Ovo su ključne činjenice koje trebate znati:

  • Direktiva se odnosi na sve gospodarske subjekte koji posluju u EU – uključujući mikropoduzeća, mala i srednja poduzeća, javne institucije, tijela i agencije koje prikupljaju osobne podatke.
  • Stupanjem GDPR-a na snagu, mnoge tvrtke imaju obavezu imenovanja Data Protection Officera (DPO), odnosno službenika za zaštitu osobnih podataka. Točnije, tvrtke s preko 20 zaposlenih dužne su imenovati takvu osobu.
  • Pristanak osobe na korištenje njenih osobnih podataka smatra se jasnim činom odobrenja. U slučaju „curenja“ podataka tvrtke su dužne obavijestiti nadležne službe, ali i pojedinca čiji su osobni podaci povrijeđeni i to unutar 72 sata.
  • Nepoštivanje odredbi povlači kazne i to drakonske – do 4% ukupnog godišnjeg prometa ili do 20 milijuna eura, koja god vrijednost bude viša.

Što tvrtke moraju učiniti?

Između ostalog, tvrtke moraju koristiti jednostavan, jednoznačan i svima razumljivi jezik u komuniciranju s vlasnicima osobnih podataka. Moraju dobiti jednoznačnu privolu za obradu osobnih podataka, a za podatke maloljetnika trebaju suglasnost njegova zakonskog predstavnika. Isto tako tvrtke moraju omogućiti uskraćivanje privole za slanje poruka u direktnom marketingu.

Sad će neki reći da njihovo poslovanje spada u SME segment (mikro, male i srednje poduzetnike) te se ova Uredba ne odnosi na njih. Nije točno! Regulativa se primjenjuje na SVE tvrtke koje posluju unutar EU ili koje prikupljaju i obrađuju osobne podatke europskih građana.

gdpr mitovi

Stoga pripremite se na vrijeme i uskladite svoje poslovanje sa ovom Uredbom kako bi ste izbjegli moguće drakonske kazne.