Opća uredba o zaštiti osobnih podataka 216/679 (GDPR – General Data Protection Regulation) je nova uredba Europske unije koja je stupila na snagu 25. svibnja 2018. Ovom uredbom ujedno se stavlja izvan snage Direktiva 95/46/EZ koja je ranije uređivala zaštitu osobnih podataka (s njom je usklađen i hrvatski Zakon o zaštiti osobnih podataka. Najveća novost je činjenica da se radi o uredbi, što znači da se jednako primjenjuje u svim državama članicama Europske unije tako da će olakšati prekogranično poslovanje i pravnu sigurnost unutar EU. Zanimljivo, ova nova GDPR uredba prvi je ozbiljniji pomak na razini Europske unije još od davne 1995. godine.
Opća uredba o zaštiti podataka ili GDPR
Uredba je rezultat dugogodišnjeg rada na usklađivanju zaštite osobnih podataka pojedinaca, a sve radi zaštite privatnosti i drugih interesa pojedinaca. Uredba uređuje pravila povezana sa zaštitom pojedinca u pogledu obrade osobnih podataka i pravila povezana sa slobodom kretanja osobnih podataka. Uredba prije svega štiti temeljna prava i slobode pojedinca – fizičke osobe. Sama Uredba predstavlja značajan pomak u zaštiti osobnih podataka na razini cijele Europske unije- ona je ujedno i odgovor na eksponencijalan razvoj tehnologije, globalizacije, povećanja prekograničnog protoka osobnih podataka i dr. Cilj joj je uspostaviti jedinstveni okvir za sve države članice EU a sve u svrhu veće sigurnosti osobnih podataka. Njen ratio je da svaki građanin Unije može računati na jednaku sigurnost osobnih podataka bez obzira na mjesto, vrijeme i način prikupljanja podataka.
Nova Uredba dodaje izrijekom dopunu pravne definicije prema kojem je osobni podatak svaki podatak kojim se 'osoba može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca' (GDPR, čl. 4. st. 1.).
Osobni podatak
Osobni je svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi ('ispitanik'); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Pojam osobnog podatka prelazi okvire laičkog, uobičajenog shvaćanja tog pojma te obuhvaća i one podatke koji mogu izravno ili neizravno dovesti odnosno omogućiti identifikaciju osobe (primjerice, pojam osobnog podatka može obuhvatiti i povijest bolesti ili popis najdraže literature ili glazbe ako može dovesti do identifikacije ispitanika).
Usklađivanje i postupanje s odredbama GDPR-a
Uredba ne daje popis osoba ili institucija na koje se primjenjuje. Uredba razlikuje voditelja obrade i izvršitelja obrade kao obveznike usklađivanja s odredbama Uredbe:
- Voditelj obrade je svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
- Izvršitelj obrade je svaka fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Voditelj obrade prikuplja podatke (npr. banka, osiguravajuća kuća, marketinška agencija) dok izvršitelj obrade tako prikupljene podatke obrađuje, pohranjuje, prilagođava i slično ( primjerice, konzultantska kuća i sl ; izvršitelj obrade može biti npr. društvo koje se bavi statistikom ili pohranjivanjem podataka). Uredba definira obveze voditelja i izvršitelja obrade. Kako voditelji obrade i izvršitelji obrade mogu biti razne osobe i tijela u literaturi se koristi jedinstveni naziv Organizacije. Uredba sadrži određena odstupanja za organizacije u kojima je zaposleno manje od 250 osoba i to po pitanju vođenja evidencije iz čl. 30. Uredbe.
Područja primjene Uredbe
Uredba se primjenjuje na automatiziranu ili neautomatiziranu obradu podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. Uredba se ne odnosi na obradu osobnih podataka koje provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti i koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršenja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja (npr. kazneni progon u slučaju sumnje za terorizam).
Jedna od najznačajnijih novina koju ova Uredba donosi je proširenje njezine teritorijalne primjene. Uredba se odnosi i na obradu podataka koja se događa izvan granica Europske unije, ako se radi o podacima ispitanika u Uniji. Odredbe Uredbe se primjenjuju, dakle, i na kompanije sa sjedištem u Sjedinjenim Američkim Državama jednako kao na kompanije iz Hrvatske ili Švedske (npr. E-bay, Google, Youtube, Facebook i dr.).
Kaznu od 110 milijuna eura, koju je poznata društvena mreža Facebook dobila početkom ove godine, propisala je izravno Europska komisija. Iako na temelju potpuno druge regulative, ova kazna je propisana upravo zbog kršenja privatnosti građana i pružanja lažnih informacija o spajanju s WhatsAppom. Tom je prilikom predstavništvo Facebook-a izjavilo kako se osobni podaci korisničkih računa ne mogu spojiti, a dvije godine kasnije učinjeno je upravo to. Spojili su račune WhatsApp-a s računima Facebooka. Europska komisija reagirala je gotovo promptno i propisala kaznu od 110 milijuna eura; 0,5% ukupnih prihoda Facebook-a na globalnoj razini i 50% maksimalne moguće koju propisuje regulativa o spajanju kompanija.
Privola ispitanika
Osobni podaci se moraju prikupljati u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Obrada mora biti zakonita. Smatra se da je zakonita ako je ispitanik dao privolu za obradu svojih osobnih podataka. Svatko tko takve osobne podatke prikuplja morat će unaprijed pripremiti obrasce privole ili ugraditi takvu privolu u svoje opće uvjete poslovanja i ugovorne odnose s trećima. Zakonita je i ona obrada koja je nužna radi poštivanja pravnih obveza i zaštite interesa ispitanika, javnog interesa ili legitimnih interesa voditelja obrade.
Kada ispitanik daje privolu za obradu svojih osobnih podataka ona mora biti dobrovoljna, posebna i nedvosmislena. Može biti u pisanom obliku ili dana jasnom potvrdnom radnjom. Kad se takva obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu. Dakle, svaka privola mora ostati zabilježena. Ispitanik ima pravo u svakom trenutku povući privolu, ali takvo povlačenje ne utječe na podatke koji su obrađeni prije povlačenja.
Privola djeteta
Prava djeteta posebno se štite ovom uredbom. Obrada podataka djeteta koje ima najmanje 16 godina je zakonita, s tim da države članice mogu predvidjeti nižu dobnu granicu, ali ne nižu od 13 godina. Ako je dijete ispod dopuštene dobne granice takva obrada je zakonita samo u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom. Od voditelja obrade se traži da uloži razumne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.
Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To može obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. U slučaju da ste proteklih dana ili mjeseci bili 'bombardirani' raznim obavijestima bilo na mobitelu ili elektronskoj pošti, to vam je prvenstveno iz gore navedenih razloga.
Pravo ispitanika na pristup, ispravak i brisanje ('pravo na zaborav')
Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju ima pravo zahtijevati od voditelja obrade da mu omogući pristup tim podacima, svrhu obrade, razdoblje obrade i sl. Voditelj obrade je na takav zahtjev dužan osigurati kopiju osobnih podataka koji se obrađuju- ergo, svaka organizacija na koju se Uredba primjenjuje mora imati spreman odgovor na zahtjev ispitanika za pristupom osobnim podacima. Za takav pristup i kopiju osobnih podataka voditelj obrade ne smije ispitaniku naplatiti naknadu.
Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Također, ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose, te voditelj obrade ima obvezu obrisati osobne podatke ako je ispunjen jedan od uvjeta navedenih u Uredbi. Drugim riječima, ako npr. trgovački centar ili društvo ima 'program vjernosti' uz pomoć kojega prikuplja podatke o svojim kupcima (npr. što, koliko i kada kupuju), kupac ima pravo zahtijevati od trgovačkog centra ili društva da mu omogući pristup tim podacima te da mu omogući kopiju tih podataka.
Poštovani, za čitanje cijelog ovog teksta morate biti pretplatnik.