Nova EU regulativa – Opća uredba o zaštiti osobnih podataka, popularno zvana GDPR usmjerena je na snažno zauzimanje za malog čovjeka kojem vraća kontrolu nad njegovim osobnim podacima.
Od kraja svibnja vrijedit će za sve države članice Europske unije.
Što to znači za građane? Primjerice, građani bi trebali postati sigurniji kada se treće osobe koriste njihovim podacima.
Prilikom sklapanja ugovora, tijekom kupnje online, kada u bilo kojoj prilici ostavljaju svoje podatke, bit će sigurni da tvrtke neće njihove podatke rabiti u druge svrhe. Takvo što bit će moguće samo uz izričito dopuštenje pojedinca odnosno kupca, ispitanika, korisnika. Ako građani ne žele da se njihovi podaci koriste, primjerice u e-mailu s newsletterima, morat će odmah biti izbrisani iz baza.
Dakle svi oni koji u online svijetu ostavljaju osobne podatke dobit će ovom uredbom kontrolu nad svojim osobnim podacima. Otvorite li korisnički račun na nekom internetskom servisu, morat ćete imati i mogućnost zatvaranja tog računa.
Osobne podatke koje je o vama servis prikupio moći ćete dobiti u razumljivom elektroničkom formatu, a servis će sve vaše osobne podatke morati obrisati ako mu izričito ne dopustite da ih zadrži. To vrijedi za svaku organizaciju kojoj ste dali svoje osobne podatke, naravno, osim ako nekim drugim, konkretnijim zakonom to nije drukčije regulirano. Podaci koje ustupite mogu se obrađivati isključivo u svrhu za koju su ustupljeni.
Potpisivanja ugovora o pružanju usluga ne smije biti uvjetovano davanjem podataka ili dopuštenja za njihovu obradu ako to nije neophodno za uslugu koja se ugovara. Europska unija je odlučila biti stroga i dati građanima u online svijetu veća i jednaka prava u cijeloj Uniji.
Jasan pristanak
A što to znači za tvrtke i javnu upravu koje te podatke prikupljaju? Ne samo da će se za prikupljanje i obradu osobnih podataka morati dobiti jasan pristanak nego će podaci morati biti i kvalitetno zaštićeni, pa će tako pristup osobnim podacima imati samo oni djelatnici čiji posao to zahtjeva, i to u skladu s dopuštenjem. A svi oni koji na bilo koji način skupljaju podatke morat će se toga držati i poštovati niz smjernica radi zaštite i sigurnosti građana. GDPR s punom primjenom kreće u svibnju sljedeće godine. Za usklađenje naoko ima vremena, no uzmemo li u obzir kompleksnost prilagodbe i radnji, da bi se svi procesi i tehnološki zahtjevi uskladili i ostvarili, vremena ipak nema tako mnogo. Zašto? Mnogi još uvijek nisu svjesni da takvo što treba učiniti. Europska unija je odlučna, nema dodatnog vremena, a kazne koje su predviđene Uredbom o zaštiti osobnih podataka drakonske su. Riječ je o kaznama koje mogu iznositi i do 20 milijuna eura ili 4 posto ukupnih godišnjih prihoda, ovisno o tome koji je iznos veći, a zbog nezakonitog postupanja s osobnim podacima odštetu može tražiti i osoba kojoj ste nanijeli štetu.
Oni koji znaju što i kako, uglavnom su u IT sektoru jer upravo je njihov posao odraditi tehnološki proces i čini se da su jedini koji upozoravaju da vrijeme curi te da je zadnji čas da oni kojih se to tiče, a riječ je o svima koji na bilo koji način prikupljaju podatke, prionu na posao
Dakle, većina hrvatskih tvrtki mora se suočiti s ovim izazovom, a za to će im trebati multidisciplinarni timovi sa specifičnim znanjima – od dubokog razumijevanja informacijskih tehnologija i upravljanja informacijskim sustavima, preko analize poslovnih procesa i upravljanja informacijama, sve do upravljanja poslovnim strategijama i specifične pravne ekspertize. U tvrtkama koje svoje poslovne modele grade na intenzivnoj obradi osobnih podataka usklađivanje sa zahtjevima GDPR-a moglo bi imati veliki učinak na poslovne rezultate, dok bi zanemarivanje ove obaveze moglo rezultirati izuzetno visokim kaznama, čiji će se iznos samo dodati na trošak usklađivanja. Većina tvrtki (tu ubrajamo i državnu upravu) nema izbora, a vrijeme za implementaciju istječe. Dakle telekomi, osiguravajuća društva, banke, turističke agencije i mnogi drugi već sada kasne ako do sada još ništa nisu poduzeli.
Bez milosti
Europska komisija jasno je dala do znanja da za prekršitelje neće biti milosti. Ako žele nastaviti poslovati, izbor za tvrtke vrlo je jednostavan. Ili će svoje poslovanje uskladiti sa zahtjevima GDPR-a ili će platiti pozamašnu kaznu i svejedno će poslovanje morati uskladiti s tim zahtjevima.
Koji su proračunski korisnici i javna poduzeća posebno izloženi? S obzirom na strukturu hrvatskog BDP-a, turističke zajednice koje prikupljaju osobne podatke građana EU sasvim sigurno u samom su vrhu s cijelom ovom gospodarskom granom. Tu su komunalna poduzeća, HŽ, jedinice lokalne uprave i drugi.
Usklađivanje s GDPR-om počinje znanjem, poručuju iz Ostenda. Prvi je korak upoznati se sa zahtjevima i obučiti interni tim. Tko će u njemu biti? Naravno, osoba odgovorna za zaštitu osobnih podataka koju imenuje uprava ili član uprave koji će obavljati tu funkciju, direktor informatike, pravnik i menadžer, no prije svih njih, tu će biti menadžeri svih poslovnih procesa u kojima tvrtka pristupa osobnim podacima ili ih obrađuje. Prodaja? Business intelligence? Ovisi o prirodi posla tvrtke.
Da li to znači da ću postoji krivična odgovornost kada leasing kuća proslijedi moje podatke Hanžekoviću? I to bez suglasnosti, pa mi onda Hanžeković lupi tužbu da nisam plaćao pretplatu na radioprijemnik u vozilu?