e-Privredni

FOTOGALERIJA: ZBF 2018

A+ A A-

Kreće puna primjena GDPR-a

Razdoblje prilagodbe Općoj uredbi o zaštiti podataka (General Data Protection Regulation - GDPR), jednoj od najopsežnijih promjena u europskoj politici zaštite osobnih podataka u posljednjih nekoliko desetljeća, završava 25. svibnja 2018. godine. Dakle, ovaj tjedan počinje njena puna primjena u svim državama članicama Europske unije, bez odgađanja i bez dodatnih prijelaznih rokova.

Uredba, koja je stupila na snagu 2016. godine, primjenjuje se na tvrtke, institucije, udruge, tijela državne uprave, javne vlasti... Njene odredbe moraju poštivati svi subjekti koji u sklopu svojih aktivnosti obrađuju osobne podatke fizičkih osoba u EU te u određenim slučajevima i izvan Unije. Jer, EU je drugo najveće jedinstveno tržište na svijetu s više od 500 milijuna potrošača. Stoga, neke tvrtke u SAD-u i Aziji gotovo da nemaju izbora nego prilagoditi se novim zahtjevima i promjenama koje će utjecati na globalno poslovanje.

Zanimljivo je istaknuti kako će od ovoga tjedna svih 28 zemalja članica EU-a imati (ili bi trebale imati) ujednačenu regulativu zaštite osobnih podataka koje dosad nije bilo tako. Također, GDPR uvodi nove te pojednostavljuje neke već postojeće definicije, određuje biometrijske i genetske podatke, preciznije opisuje postojeće pojmove, jača prava ispitanika te smanjuje i pojednostavljuje pojedine administrativne obveze voditelja zbirke osobnih podataka.

Osobni podaci u svjetlu Opće uredbe o zaštiti osobnih podataka predstavljaju svaki podatak ili skupinu podataka koja nekoga identificira ili može identificirati kao fizičku osobu. Dakle, radi se o golemom spektru podataka – od imena i prezimena, pa sve do nečije e-mail adrese.

Uzimajući u obzir brz tehnološki razvoj i globalizaciju, malo je za reći kako su se u zaštiti osobnih podataka pojavili mnogi novi izazovi. Sve veća online prisutnost u digitalnom svijetu čini osobne informacije dostupnijima javno i globalno, uz značajno povećanje načina i opsega prikupljanja te razmjenu takvih podataka.

Stvaranje konkurentske prednosti

Ako se organizacije ne usklade s odredbama ove uredbe koja sustav zaštite podataka konačno podiže na razinu na kojoj mu je mjesto, prijete im velike kazne. Naime, prema odredbama Uredbe svaka povreda sankcionirat će se novčanim kaznama koje će se izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja... Postoje dva seta kršenja, za neka kršenja (obveze voditelja i izvršitelja obrade te certifikacijskog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna od 10 milijuna eura ili dva posto godišnjeg prometa na svjetskoj razini poslovnog subjekta koji je prekršio odredbe Uredbe. Za druga kršenja (načela obrade, prava ispitanika, prijenosi u treće države, obveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 milijuna eura ili četiri posto godišnjeg prometa na svjetskoj razini, ovisno o tomu što je veće.

No suština uvođenja GDPR-a u konačnici nije sankcioniranje nego, među ostalim, stvaranje konkurentske prednosti usklađenja s drugačijim načinom poslovanja.

Jedan od problema s kojim se susreću sve zemlje članice EU-a jest i nedostatak kvalificiranih i educiranih ljudi koji mogu obavljati poslove službenika za zaštitu osobnih podataka (Data Protection Officer). Službenika za zaštitu osobnih podataka moraju imenovati organizacije koje imaju 250 i više zaposlenika. U Hrvatskoj je, prema podacima Državnog zavoda za statistiku, potkraj prošle godine bila 150.401 pravna osoba od kojih njih 564 imalo je više od 250 zaposlenih. Dakle, one moraju imati službenike za zaštitu osobnih podataka.

Projekt za sve

U Hrvatskoj djeluju 5864 tijela javne vlasti i svako treba imati službenika za zaštitu osobnih podataka. Neki stručnjaci ističu kako ih oni trenutačno imaju, ali više deklarativno izabrane ljude koji su dobili rješenja da obavljaju poslove službenika.

Kao i većina drugih promjena, implementacija GDPR-a za tvrtku predstavlja određeni trošak koji visi o djelatnosti tvrtke i sasvim će sigurno više sredstava za obradu podataka izdvojiti ustanova koja se bavi kliničkim ispitivanjima nego, primjerice, pekarnica.

Tehnologija, odnosno odgovarajući alati mogu pomoći u implementaciji ove uredbe. No struka smatra kako je Opća uredba o zaštiti podataka ponajprije projekt u koji moraju biti uključeni svi oni koji dolaze u kontakt s osobnim podacima i tvrtke moraju prilagoditi svoje poslovne procese kako bi bile usklađene s Uredbom, a tek onda razmišljati o tehnologiji koja će im pomoći da te procese automatiziraju.

Među ostalim, Hrvatska gospodarska komora i Agencija za zaštitu osobnih podataka radili su nekoliko mjeseci a sustavnom osvješćivanju javnog, državnog i privatnog sektora o odredbama Uredbe. Na tim savjetovanjima isticano je i to kako GDPR nije teret za tvrtku, već prilika da se uredi društveni sustav i standardizira način obrade osobnih podataka u Europskoj uniji. Naravno, i svih onih izvan EU-a koji će raditi s osobnim podacima građana na Starom kontinentu. 

Boris Odorčić

Privredni vjesnik d.o.o. Kačićeva 9 Zagreb