U današnjem svijetu, gdje se gotovo svaka naša aktivnost bilježi u digitalnom obliku, pitanje privatnosti postalo je jedno od najvažnijih pitanja ljudskih prava. Svaki klik, pretraga na internetu, kupnja karticom ili objava na društvenim mrežama ostavlja digitalni trag. Kako bi se osiguralo da ti podaci ne budu zloupotrijebljeni i kako bi se građanima vratila kontrola nad njihovim osobnim informacijama, Europska unija uvela je Opću uredbu o zaštiti podataka, poznatiju pod kraticom GDPR (General Data Protection Regulation).
GDPR nije samo skup birokratskih pravila; to je sveobuhvatan pravni okvir koji iz temelja mijenja način na koji organizacije prikupljaju, obrađuju i pohranjuju osobne podatke. Cilj ovog vodiča je detaljno objasniti što GDPR donosi pojedincima, koje su obveze tvrtki te kako možete zaštititi svoja prava u digitalnom okruženju.
Povijest i razlozi uvođenja GDPR-a
Prije nego što je GDPR stupio na snagu, pravila o zaštiti podataka u Europskoj uniji bila su zastarjela, temeljena na direktivi iz 1995. godine – vremenu kada internet kakav danas poznajemo praktički nije postojao. Razvoj tehnologije, pojava pametnih telefona, društvenih mreža i cloud usluga stvorili su goleme količine podataka koji su kružili svijetom bez adekvatnog nadzora.
Nakon gotovo četiri godine intenzivnih pregovora između Europskog parlamenta i Vijeća EU, postignut je dogovor o novim pravilima. Uredba je službeno stupila na snagu 24. svibnja 2016. godine, no njezina je puna primjena u svim državama članicama EU, uključujući Hrvatsku, započela 25. svibnja 2018. godine. Ključna razlika u odnosu na prijašnje direktive jest to što se Uredba primjenjuje izravno, što znači da su pravila ista u Zagrebu, Berlinu ili Parizu, osiguravajući ujednačenu razinu zaštite za sve građane Unije.
Vaša prava prema GDPR-u: Što se zapravo mijenja?
Jedan od glavnih ciljeva GDPR-a je osnaživanje pojedinca (u tekstu Uredbe nazvanog “ispitanik”). Uredba vam daje niz konkretnih prava koja možete ostvariti u bilo kojem trenutku prema bilo kojoj organizaciji koja obrađuje vaše podatke.
- Pravo na pristup: Imate pravo znati obrađuju li se vaši podaci, u koju svrhu, tko im ima pristup i koliko će se dugo čuvati. Organizacije su dužne pružiti vam kopiju vaših podataka na zahtjev.
- Pravo na zaborav (brisanje): Ako više ne želite da neka tvrtka posjeduje vaše podatke, a ne postoji zakonita osnova za njihovo daljnje čuvanje (poput zakonske obveze čuvanja računa), možete zatražiti njihovo trajno brisanje.
- Pravo na ispravak: Ako primijetite da su vaši podaci netočni ili nepotpuni, imate pravo zahtijevati njihovu hitnu nadopunu ili ispravak.
- Pravo na prijenos podataka (data portability): Ovo pravo omogućuje vam da svoje podatke prenesete od jednog pružatelja usluga drugome na jednostavan način, u strojno čitljivom formatu. Primjerice, ako želite promijeniti telekom operatera ili banku, možete tražiti prijenos svojih podataka.
- Zaštita od profiliranja: GDPR propisuje da pojedinac ne smije biti predmet odluka koje se temelje isključivo na automatiziranoj obradi, uključujući profiliranje (npr. automatsko odbijanje kredita na temelju algoritma), ako to na njega ostavlja značajne pravne ili slične posljedice.
Transparentnost i uloga privole
Jedna od najvidljivijih promjena koju je GDPR donio jest način na koji dajemo pristanak za obradu podataka. Više nema skrivenih kvačica u dugačkim uvjetima korištenja koje nitko ne čita. Privola ili pristanak mora biti:
1. Dobrovoljan: Ne smijete biti prisiljeni dati podatke koji nisu nužni za samu uslugu.
2. Specifičan: Točno se mora znati za što se podaci koriste (npr. posebno za dostavu paketa, a posebno za marketinški newsletter).
3. Informiran: Morate biti obaviješteni o identitetu voditelja obrade i svrsi prikupljanja.
4. Nedvosmislen: Potrebna je jasna potvrdna radnja (tzv. opt-in), poput klikanja na gumb ili označavanja polja.
Također, važno je napomenuti da se pristanak može povući u bilo kojem trenutku jednako lako kao što je i dan. Ako se pretplatite na neki newsletter, tvrtka vam mora omogućiti jednostavnu odjavu jednim klikom.
Obveze tvrtki i visoke kazne za nepoštivanje
Za poslovne subjekte, GDPR je donio strožu odgovornost. Tvrtke moraju implementirati tehničke i organizacijske mjere zaštite kako bi osigurale sigurnost podataka. To uključuje enkripciju, redovito testiranje sustava i, u određenim slučajevima, imenovanje Službenika za zaštitu podataka (DPO).
U slučaju da dođe do povrede podataka (npr. hakerski napad ili gubitak baze podataka), organizacije su dužne o tome obavijestiti nadležno nadzorno tijelo u roku od 72 sata, a u slučaju visokog rizika, moraju obavijestiti i same korisnike čiji su podaci ugroženi.
Kako bi se osiguralo provođenje ovih pravila, uvedene su drakonske kazne. Za najteže prekršaje, kazne mogu doseći do 20 milijuna eura ili 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće. Ovakav pristup prisilio je i najveće tehnološke divove da ozbiljno pristupe zaštiti privatnosti europskih građana.
Posebna zaštita za najmlađe
Djeca su u digitalnom svijetu prepoznata kao posebno ranjiva skupina. Često nisu svjesna rizika kojima se izlažu prilikom dijeljenja osobnih informacija na internetu ili društvenim mrežama. GDPR propisuje da je za korištenje usluga informacijskog društva (poput otvaranja profila na Instagramu ili TikToku) potrebna privola roditelja ili zakonskog skrbnika za djecu mlađu od 16 godina. Države članice mogu tu granicu spustiti, ali ne ispod 13 godina.
Kome se obratiti u Hrvatskoj?
Ako smatrate da je neka tvrtka ili institucija zloupotrijebila vaše podatke, uskratila vam pravo na pristup ili brisanje, ili ako sumnjate na neovlaštenu obradu, imate se pravo obratiti nacionalnom nadzornom tijelu. U Republici Hrvatskoj to je Agencija za zaštitu osobnih podataka (AZOP).
Kontakt podaci AZOP-a:
Adresa: Selska cesta 136, 10 000 Zagreb
Telefon: 01/4609-000
E-mail: [email protected]
Web: www.azop.hr
Zaključak
GDPR predstavlja prekretnicu u digitalnoj povijesti. Iako se ponekad čini kompliciranim zbog brojnih pravila i obavijesti o kolačićima koje viđamo na svakoj web stranici, njegova je suština jednostavna: vaši podaci pripadaju vama. Razumijevanjem svojih prava i obveza onih koji podatke prikupljaju, postajemo osvješteniji sudionici digitalnog društva, sposobni bolje zaštititi svoju privatnost i integritet u virtualnom svijetu.
Često postavljana pitanja (FAQ)
Što se sve smatra osobnim podatkom?
Osobni podatak je svaka informacija koja se odnosi na identificiranu osobu ili osobu koja se može identificirati. To uključuje ime, prezime, adresu, e-mail adresu, broj osobne iskaznice, IP adresu, podatke o lokaciji, pa čak i povijest pregledavanja interneta ako se može povezati s vama.
Vrijedi li GDPR i za tvrtke izvan Europske unije?
Da. GDPR ima tzv. ekstrateritorijalni učinak. To znači da se pravila primjenjuju na svaku tvrtku u svijetu (npr. Google, Facebook, Amazon) ako ona nudi robe ili usluge građanima unutar EU ili prati njihovo ponašanje unutar Unije.
Moram li platiti za pristup svojim podacima?
U pravilu, ostvarivanje prava na pristup podacima je besplatno. Tvrtka vam ne smije naplatiti uvid u vaše podatke, osim ako su zahtjevi očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja.