Što zapravo GDPR znači za tvrtke, a što za pojedince?

1168

U prošlom sam članku pisala malo više o samoj Općoj uredbi koja će stupiti na snagu 25. svibnja 2018., ali što će to konkretno značiti? Pojedinci će imati pravo dati suglasnost o korištenju svojih podataka, pristupati do svih svojih osobnih podataka, pravo na zaborav (brisanje) podataka, ograničavanja obrade podataka, pravo na prijenos podataka i na obavijest u slučaju neovlaštenog pristupa osobnim podacima.

Koja su prava pojedinaca?

Suglasnost

Prema GDPR-u, svaka tvrtka koja na bilo koji način prikuplja osobne podatke o pojedincu za daljnju obradu, trebat će izričit pristanak (eng. Consent) pojedinca. Prilikom traženja pristanka, pojedincu na jasan i jednostavan način treba biti kazano koji se podaci pohranjuju, u koju svrhu i, ukoliko je moguće, na koji period.

Pravo na zaborav

Pojedinac ima pravo zatražiti brisanje osobnih podataka (eng. Right to be Forgotten) kako bi spriječio njihovu daljnju obradu. To znači povlačenje prvotno dane suglasnosti. No, ukoliko neki drugi zakon nalaže čuvanje osobnih podataka (npr. zbog ugovorne obveze 2 godine, kredita koji još nije otplaćen, …) tada se podaci ne mogu obrisati na zahtjev pojedinca sve dok se ne istekne zakonom zadan rok čuvanja. Ako pojedinac zatraži brisanje svojih podataka, osoba u vašoj tvrtki koja je zadužena za zahtjeve korisnika mora javiti ostalim organizacijama poput Google-a da obrišu sve veze do kopija podataka i same kopije istih.

Pravo na prenosivost

Ovom regulativom pojedinac dobiva pravo na prijenos (eng. Data Portability) osobnih podataka. Pojedinac može zatražiti da tvrtka koja trenutno obrađuje njegove podatke te iste podatke pošalje, u sigurnom obliku i sigurnim putem, trećoj strani. To može naći primjenu u promjeni operatera, ponuđača električne energije i slično. Zbog toga se svi podaci pojedinaca moraju pohranjivati u uobičajeno korištenim formatima (poput CSV datoteka) i moraju se poslati besplatno i u roku od mjesec dana od zahtjeva. Ukoliko dođe do curenja podataka, napada ili nedopuštenog korištenja osobnih podataka, tvrtka u roku od 72 sata mora o tome obavijestiti nadležnu službu, ali i samog pojedinca. U obavijesti mora pisati vrsta podataka koji su napadnuti, koliko je ljudi otprilike pod utjecajem napada, kakve su posljedice za njih i koje ste mjere već poduzeli. Tvrtke koje ne uspiju ispoštovati rok od 72 sata očekuje kazna u visini od 2% godišnjeg profita ili 10 milijuna eura (ovisi o tome što je veće).

Pravo na ispravak

Pojedinac ima pravo bez nepotrebnog odgađanja ishoditi ispravak netočnih osobnih podataka koji se na njega odnose. Ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

Pravo na pristup

U bilo kojem trenutku pojedinac će moći zatražiti pristup (eng. Right to Access) podacima koje tvrtka obrađuje, gdje i za koju svrhu, te tko sve ima pristup do tih podataka. Tamo gdje je to moguće, odlično bi bilo da se pojedincu omogući pristup do podataka koje firma o njemu ima. Ovim pravom se postiže transparentnost samih podataka čime se dobiva povjerenje samog pojedinca.

Pravo na obavijest u slučaju neovlaštenog pristupa osobnim podacima

Tvrtke i institucije moraju obavijestiti nacionalno nadzorno tijelo o neovlaštenim pristupima osobnim podacima koji mogu ugroziti privatnost pojedinaca te obavijestiti pojedinca o svim povredama sigurnosti podataka kako bi se mogle poduzeti odgovarajuće mjere.

Najvažnije obaveze tvrtki

Ako se tvrtka želi prilagoditi GDPR-u, morat će provesti brojne promjene. Neke od najvažnijih obaveza tvrtke su:

  • Implementirana i zadana zaštita podataka
  • Odgovorno upravljanje s podacima
  • Monitoring i kontrola
  • Imenovanje kvalificiranog službenika za zaštitu osobnih podataka (DPO – Data Protection Officer)
  • Prijava kršenja u roku od 72 sata

GDPR-mitovi
Izvor: Netokracija

Zanimljivost: Ako preko nagradnih igara sakupljate kontakte za slanje marketinške e-pošte, morate znati da kontakte koje dobijete na taj način NE SMIJETE uključivati u slanje e-pošte bez njihove izričite suglasnosti, te da polja koja nude opciju za slanje elektronskih obavijesti NE SMIJU biti unaprijed ispunjena.

Ako se do sada sami niste upitali koje sve podatke i na koji način pohranjujete tj. analizirate u svojoj firmi, imate li suglasnost pojedinaca za njihovo korištenje i imate li u analitičkim rješenjima i BI alatima potpunu kontrolu nad pristupanjem do podataka, GDPR će od vas sigurno zahtijevati odgovore.

Zanima vas više?

Pročitajte i: