Iskustva HR
Back to all articles

GDPR – Sve što trebate znati o općoj uredbi o zaštiti podataka

GDPR – Sve što trebate znati o općoj uredbi o zaštiti podataka

U današnjem digitalnom okruženju podaci su nova nafta. Svaki klik, svaki komentar, svaka lokacija koju dijelite na društvenim mrežama čuva se u bazama podataka tvrtki i organizacija. Kako bismo osigurali da se takvi podaci obrađuju na pošten i transparentan način, Europska unija usvojila je Opću uredbu o zaštiti podataka, poznatu kao GDPR. U ovom članku razložiti ćemo koji je cilj Uredbe, koje su njene ključne odredbe, prava pojedinaca i obaveze tvrtki, te kako organizacije i građani mogu pratiti zakonske propise.

Uvod u GDPR

GDPR je zakonski okvir koji je stupio na snagu 24. svibnja 2016. godine te je počeo primjenjivati u svim državama članicama EU od 25. svibnja 2018. godine. Njegova svrha je pružiti građanima veću kontrolu nad vlastitim osobnim podacima, osigurati ujednačenu razinu zaštite podataka diljem EU i potaknuti odgovorno poslovanje organizacija koje obrađuju te podatke.

Zašto je GDPR nastao?

Dva desetljeća brzog tehnološkog napretka, izgradnja društvenih mreža i mobilnih aplikacija, doveli su do izobrazbe giganticnog broja podataka u beskom pokazu. U takvom okruženju pojavljivali su se novi izazovi: anonimizacija podataka, profiliranje, algoritamske odluke i nejasne prakse prikupljanja podataka. Uredba je osmislena kako bi se stvorio jednostavan, jednoobrazni pravni okvir te osigurala zaštita osnovnih prava pojedinaca na privatnost, osobnosti i slobodu informacija.

Glavne odredbe GDPR-a

Uredba se sastoji od nekoliko ključnih komponenti koje menjaju način na koji se podaci prikupljaju, obrađuju i pohranjuju:

  • Jedinstveno pravilo za pristajanje – opt-in treba biti jasan i pozitivan, a ne implicitno prihvaćanje.
  • Obaveza IoC – Organizacije moraju čuvati podatke na sigurnom mjestu te se nositi profesionalno u slučaju curenja informacija.
  • Prava pojedinaca – uključuju pravo na identifikaciju, pristup informacijama, ispravljanje, brisanje, ograničavanje obrade i prijenos podataka.
  • Pravila o profiliranju – osoba ne smije biti predmet automatske obrade koja obavlja profiling, harassing ili determinističke odluke.
  • Zaštita djece – uz dozvolu roditelja ili zakoniti skrbnik, djeca do 13 godina ne smiju se podavati na prikupljanje podataka bez nadzora.

Prava pojedinaca

GDPR donosi osam osnovnih prava koja pojedincima pruža maksimalnu kontrolu nad svojim podacima:

  1. Pravo na informiranje – Organizacija mora jasno objasniti u kojoj svrsi se prikupljaju podaci i tko je odgovoran za njihovu obradu.
  2. Pravo na pristup – Građan ima pravo dobiti kopiju svojih podataka i uvidi u njihovu upotrebu.
  3. Pravo na ispravljanje – Pojedinac može zatražiti korekciju netočnih podataka.
  4. Pravo na brisanje (zaborav) – U slučaju određenih uvjeta, podaci moraju biti izbrisani.
  5. Pravo na ograničenje obrade – Prilikom sporne ili nelegalne obrade podataka, njihovo ograničavanje je autorizirano.
  6. Pravo na prenos podataka – Uređenje omogućuje prenos podataka između organizacija u formatu koji je lako korišten.
  7. Pravo na odbijanje – U svakoj fazi obrade, imate mogućnost odbiti daljnju obradu ili korištenje podataka za marketinške svrhe.
  8. Pravo na pouzdanost – Utvrditi lojalnost podataka, dobroprezentirane pojedince i organizacije u ekosistemu prepoznavanja.

Obaveze organizacija

Organizacije koje obrađuju hrvatske podatke moraju pridržavati se stroge procedura, koje uključuju:

  • Definiranje jasne svrhe i zakonsko oslonjena pravila za prikupljanje podataka.
  • Osigurati da svi podaci budu automatski sigurni i da ne ostaju porušeni na duže vrijeme.
  • Izgraditi centralizirani sistem upravljanja davanjima i pristanima.
  • Obavijestiti korisnike u slučaju neovlaštenog pristupa, curenja, promet, neograničenog podataka ili drugih kršenja.
  • Implementirati poslovne procedure za pohranu podataka, uz specifičnu i primjerenu sigurnosnu politiku.

Izvještavanje i kazne

Agencija za zaštitu osobnih podataka (AZOP) u Hrvatskoj, kao i Data Protection Authorities (DPAs) diljem EU, nadziru primjenu GDPR-a. Za nepoštivanje propisa predviđene su kazne koje se kreću od 20 milijuna eura ili do 4% globalnog prometa, što čini GDPR pitanjem poslovne propusnosti.

Zaštita djece i mlađih korisnika

Djece je posebno ranjiva skupina kada je riječ o online podacima. GDPR odredio je da poboljšane mjere obuhvataju djecu do 13 godina, a davatelji usluga moraju dobiti privatno dopuštenje roditelja ili sunutežnik, osim ako je korisnik stariji od 16 godina. Autoritet napominje da se pravila AMLU dobjel u različitim državama mogu postepeno razlikovati.

Kako se pridržavati GDPR-a?

Po prvi plan, organizacije trebaju:

  1. Izraditi Privacy Policy – jasno definiran dokument koji opisuje primjenu GDPR-a i pojedinačna prava korisnika.
  2. Razviti mehanizme za dobivanje jednogclanjih pristanaka – unutar web formulara i mobilnih aplikacija mora se javno tražiti aktivni pristojan odgovor korisnika.
  3. Postaviti data retention policy – opisati trajanje pohrane podataka i ne čuvati ih dulje nego što je nužno.
  4. Instalirati SLA protection – ugovore s dobavljačima infrastrukture i SaaS platformi koji zahtijevaju usklađenost s GDPR-om.
  5. Organizirati regularna obuka zaposlenika – edukativne programe na temu zaštite podataka, prepoznavanja phishinga i adekvatnih sigurnosnih protokola.
  6. Uvijek i direktno obavijestiti korisnike u slučaju curenja

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)