GDPR, General Data Protection Regulation ili Opća Uredba o zaštiti osobnih podataka, generalno regulira zaštitu osobnih podataka građana Europske unije. Stupa na snagu u svibnju ove godine, a primjenjuje se na sve države članice Europske unije, bez uvođenja u nacionalno zakonodavstvo. Osim toga, primjenjuje se i na sve pravne subjekte koji rade s podacima građana Europske unije. Ipak, građanima, kao i vlasnicima poduzeća, mnoge su stvari u vezi ove Uredbe još uvijek vrlo nejasne, a za njezino se kršenje propisuju drakonske kazne. Da bismo vas informirali o svemu što trebate znati o GDPR-u, razgovarali smo s G. H., računalnim stručnjakom iz Zaboka, koji ističe kako se većina zagorskih tvrtki još uvijek nije počela ozbiljnije pripremati za usvajanje ove Uredbe.
Što GDPR znači za korisnike?
Za same korisnike, Opća uredba o zaštiti podataka donosi promjene koje bi trebale povećati sigurnost, privatnost i transparentnost njihovih podataka, odnosno, omogućiti jednostavnu kontrolu nad osobnim podacima. Jedan od noviteta GDPR-a odnosi se na način na koji će korisnici davati privolu za skupljanje i korištenje njihovih osobnih podataka – kompanije više neće moći, kao do sada, koristiti brojne pravne i često nerazgovijetne termine s malim slovima u dnu stranica, već ti uvjeti moraju biti napisani jednostavno i razumljivo, s jasnim objašnjenjem u koje se svrhe prikupljaju osobni podaci. Također, kao što će korisnici moći jednostavno dati pristanak na prikupljanje podataka, jednako brzo i jednostavno moći će povući taj pristanak, odnosno, imaju pravo “biti zaboravljeni” i zatražiti da se prikupljeni podaci izbrišu. U slučaju povrede osobnih podataka, a ako postoji mogućnost da će ta povreda prouzročiti rizik za prava i slobode pojedinaca, kompanija ih je dužna obavijestiti što prije. Korisnicima mora biti omogućen i pristup njihovim podacima i davanje tih podataka drugim društvima, a svim ovim novitetima korisnicima se pokušava omogućiti veća sigurnost, pristup informacijama o tome tko i u koju svrhu koristi njihove osobne podatke te jednostavno brisanje tih podataka.
Što donosi GDPR?
Zaštita osobnih podataka jedan je od osnovnih zadataka koje GDPR stavlja pred organizacije, bilo da je riječ o osobnim podacima korisnika, klijenata ili zaposlenika. Organizacije u svakom trenutku moraju znati gdje su koji podaci te u koju svrhu se smiju koristiti. Isto tako, u slučaju da netko odluči povući privolu za korištenje njegovih osobnih podataka, organizacije moraju biti u mogućnosti učiniti to u zadanom roku.
Što se sve smatra pojmom “osobni podatak”?
Ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tagova i kolačića na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (otisak prsta, snimka šarenice oka), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o računima u banci, podaci o zdravlju, seksualnoj orijentaciji, glas i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Dakle, svaka tvrtka u Hrvatskoj koja prikuplja neke od navedenih podataka podložna je ovoj Uredbi, te će se od slučaja do slučaja određivati predstavlja li podatak koji prikupljate osobni podatak pojedinca. Prema prijedlogu Zakona o provedbi opće uredbe o zaštiti podataka, koji je u procesu eSavjetovanja, od 25. svibnja Agencija za zaštitu osobnih podataka će privatnim tvrtkama naplaćivati kazne za kršenje ovog zakona.
Što to znači za tvrtke?
Tvrtke koje zapošljavaju više od 20 radnika, dužne su imenovati službenika za zaštitu osobnih podataka. Skupina poduzetnika može imenovati zajedničkog službenika za zaštitu podataka, pod uvjetom da je lako dostupan. Službenik ne mora biti zaposlenik te tvrtke te ne smije biti u sukobu interesa, primjerice, biti zadužen za nadzor IT sustava i s druge strane biti službenik za zaštitu podataka.
Može li poslodavac obavljati nadzor na društvenim medijima?
Poslodavac mora odgovoriti na dva pitanja. Upotrebljava li se račun na društvenom mediju u profesionalne svrhe i postoji li vjerojatnost da profil sadrži informacije o vještinama ili osobinama kandidata koje su iznimno važne za posao. Ako je odgovor na oba pitanja pozitivan i zaposlenici su upoznati s mogućnošću nadzora društvenih medija, nadzor se može obavljati.
A videonadzor i praćenje službenog prijevoza?
Za svaku instaliranu kameru nužno je utvrditi legitiman interes, poput osiguravanja poslovnog prostora. Ipak, uvijek je potrebno razmotriti i druge, manje mogućnosti, poput senzora za kretanje ili kamere uperene prema vratima. Stalno snimanje treba izbjegavati, a kamere postavljene za sprječavanje aktivnosti, poput krađe, ne smiju se upotrebljavati za opći nadzor rada i dolazak zaposlenika.
GPS način je praćenja lokacije u stvarnom vremenu i ponekad dobivanja dodatnih informacija o vozilu. Opravdan razlog za praćenje može biti mogućnost vraćanja vozila poslije krađe, s tim da će praćenje vozila u stvarnom vremenu konstituirati kršenje privatnosti zaposlenika.
Što je s alatima za nadzor računala?
Nije opravdano postaviti alate za nadzor računala, kako bi se pratila aktivnost zaposlenika koji radi na računalu ili mobitelu, bez obzira što je poslodavac vlasnik opreme. Ukratko, svaki poslodavac koji želi nadzirati zaposlenike, više se ne može osloniti na izričiti i implicirani pristanak samih zaposlenika, nego treba tražiti pravnu osnovu u nekom od drugih uvjeta. Pravni stručnjaci preporučuju što viši stupanj transparentnosti i obavještavanje zaposlenika o mogućnosti i obliku nadzora, a ako to iz nekog razloga ne žele učiniti, velika je vjerojatnost da nemaju pravno utemeljen razlog. Poslodavci ni u kojem slučaju nemaju pravo primjenjivati automatizirane metode nadzora za gledanje povijesti pretraživanja interneta i komunikacije na radnom mjestu zbog eventualne mogućnosti zlouporabe, a kamoli sjesti za radnu jedinicu zaposlenika i pregledavati mu računalo.
Jesu li zagorske tvrtke spremne za prihvaćanje Uredbe?
Mi organiziramo seminar na tu temu, koji će se održati 30. ožujka u Energetskom centru Bračak. Uputili smo pozive prema svim tvrtkama u našoj županiji i većinom smo dobili negativni odgovor. Naravno, imamo i 15 tvrtki koje su Uredbu shvatile ozbiljno i počele se pripremati, dok će se ostale tvrtke vjerojatno početi pripremati kad im AZOP propiše kaznu, uz mogućnost obustave poslovanja. Jer je Uredba u nadležnosti Europske unije i gotovo je nitko ne shvaća ozbiljno, gotovo se nitko ne priprema za to i ne shvaćaju da se to odnosi na sve pravne subjekte i da bi se mogli naći u velikim problemima.
Kakve su kazne pripisane za one koji se neće pridržavati Uredbe, odnosno, Zakona?
Za tvrtke, kazne se kreću do četiri posto godišnjeg prihoda ili najviše 20 milijuna eura, a za direktore od pet tisuća do pola milijuna kuna. Usto, metoda naplate je da se po isteku 15 dana radi prisilna naplata preko Ministarstva financija i sve prikupljeno uplaćuje izravno u proračun.
Nakon što utvrdi povredu Zakona o zaštiti osobnih podataka, AZOP donosi rješenje kojim se zabranjuje daljnja obrada, prikupljanje i brisanje osobnih podataka te zabrana iznošenja podataka iz RH. U slučaju nepostupanja prema njezinu nalogu, ona može pokrenuti postupak pred mjerodavnim prekršajnim sudom. Uredba, dakle, stupa na snagu ove godine u svibnju, do kad bi sve tvrtke trebale izvršiti prilagodbu. Nakon toga po prijavi kršenja Uredbe, kreću kazne.