Kako uskladiti svoje poslovanje s GDPR-om?
Pravo na zaštitu osobnih podataka temeljno je pravo sadržano u nizu međunarodnih i nacionalnih pravnih dokumenata, zbog čega se unutar Europskog gospodarskog prostora pojavio veliki interes za podrobniju i efikasniju regulaciju prava na zaštitu osobnih podataka.
Takvu regulaciju je donijela Opća uredba o zaštiti podataka (General Data Protection Regulation ili GDPR) koja je u cijelosti obvezujuća za sve države članice Europske Unije te se izravno primjenjuje u Republici Hrvatskoj od svibnja 2018. godine.
Predmet zaštite GDPR-a je osobni podatak, a koji se smatra bilo koja informacija o pojedincu. O načelima GDPR-a više saznajte u vodiču GDPR – načela obrade osobnih podataka, a u nastavku donosimo savjete kako uskladiti poslovanje s ovom regulativom.
Kada se mogu obrađivati osobni podaci?
Obrada osobnih podataka je zakonita, odnosno osobni podaci se mogu obrađivati ukoliko je ispunjena jedna od sljedećih pretpostavki:
- ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (npr. za svrhu izravnog marketinga potrebna je privola ispitanika);
- obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. sa strankom – fizičkom osobom ste sklopili Ugovor o pružanju usluge i da bi izvršili obveze iz ugovora morate obrađivati osobne podatke te stranke);
- obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. vođenje evidencije o svojim radnicima kojim je propisano koji se osobni podaci moraju voditi od strane poslodavca);
- obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe (npr. u slučajevima prirodne katastrofe i sl.);
- obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. prikupljanje podataka od strane Državnog zavoda za statistiku);
- obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (npr. obrada osobnih podataka da bi se osigurala mrežna sigurnost).
Što moram učiniti kako bih uskladio svoje poslovanje s GDPR-om?
Na navedeno pitanje se ne može odgovoriti jednoznačno, jer usklađenje s Uredbom u prvom redu ovisi o konkretnom poslovanju, odnosno načinu na koji određeni obrtnik ili pravna osoba (voditelj obrade) obrađuje osobne podatke i na koji način s osobnim podacima postupa.
Kako bi bili usklađeni s Uredbom, u praksi se pokazalo kako je potrebno obratiti pozornost na sljedeće:
1. Primjena mjera zaštite
Prilikom postupanja s osobnim podacima potrebno je osigurati pristup osobnim podacima samo ovlaštenim osobama, odnosno zaposlenicima koji u obavljanju poslova svojeg radnog mjesta obrađuju osobne podatke.
Uobičajene tehničke mjere zaštite su: lozinka za pristup računalu kojim se pristupa osobnim podacima, zaštita poslovnog prostora, odnosno prostora u kojem se čuvaju osobni podaci (npr. dokumentacija s osobnim podacima se zaključava u ormar), lozinka za otvaranje osobnih podataka koji se nalaze na USB-u, sigurnosne kopije i slično.
2. Pravila privatnosti
Pravilima privatnosti koja moraju biti javno dostupna je potrebno informirati osobe čiji se osobni podaci obrađuju o:
- voditelju obrade osobnih podataka, odnosno odgovornoj osobi za obradu osobnih podataka;
- primateljima osobnih podataka, odnosno osobama kojima se sukladno ugovoru i zakonskim odredbama prosljeđuju osobni podaci;
- osobnim podacima koje u poslovanju obrađujete, odnosno u koje svrhe ih obrađujete i koliko ih dugo čuvate.
Pored toga, potrebno je informirati ispitanika o njihovim pravima i načinu na koji ih mogu ostvariti (npr. pravo na ispravak, pravo na prigovor, itd.). U slučaju da koristite internetsku stranicu dužni ste navesti informacije o obradi osobnih podataka putem kolačića (eng. cookies).
3. Evidencija aktivnosti obrade
Evidencija aktivnosti obrade je pisani obrazac koji služi kao dokaz da je obrada osobnih podataka zakonita. U pravilu većina voditelja obrade mora imati evidenciju aktivnosti obrade, kao korak usklađenja svojeg poslovanja s GDPR-om.
GDPR propisuje kako obvezu voditi evidencije aktivnosti obrade nema voditelj obrade koji ima manje od 250 zaposlenika (mikropoduzeća, mala i srednja poduzeća), osim u sljedećim slučajevima:
- ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači)
- ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca), ako obrada uključuje posebne kategorije podataka
- ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima
4. Privola ispitanika
Ako se obrada osobnih podataka temelji na privoli ispitanika morat će se ishoditi izričiti pristanak odnosno privola ispitanika i takva privola se mora čuvati, odnosno evidentirati radi dokazivanja iste. Prema GDPR-u, privola znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Stoga bi se privola trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka.
Privola je dobrovoljna kada ispitanik može slobodno odabrati želi li ili ne želi dati privolu i pri tome ne trpi nikakvu štetu te ukoliko danu privolu može povući u bilo kojem trenutku. Prilikom traženja pristanka, pojedincu na jasan i jednostavan način treba biti kazano koji se podaci pohranjuju i u koju svrhu.
5. Ugovorne odredbe
U slučaju da osobne podatke dijelite s trećima (izvršitelj obrade), potrebno je ugovornim odredbama osigurati da je obrada osobnih podataka, odnosno postupanje tih trećih osoba u skladu s odredbama GDPR-a (npr. knjigovodstvo vašeg poduzeća obrađuje osobne podatke vaših zaposlenika).
Ugovornim odredbama je potrebno, između ostaloga, propisati da izvršitelj obrade voditelju obrade jamči zaštitu i povjerljivost obrade osobnih podataka.
6. Ažuriranje i brisanje
Potrebno je voditi računa da se osobni podaci vode točno i ažurno, odnosno da se brišu osobni podaci koji nisu potrebni, odnosno za obradu kojih je protekao rok čuvanja.
7. Edukacija ovlaštenih osoba ili zaposlenika
Određene ovlaštene osobe ili zaposlenici koji postupaju s osobnim podacima moraju biti svjesni barem osnovnih obveza i odgovornosti koje proizlaze iz GDPR-a. Organizirajte sastanak ili edukaciju i upoznajte ih s pravima i obvezama.
8. Rješavanje zahtjeva ispitanika
Ako vam se ispitanici obrate sa zahtjevom koji se tiče njihovih osobnih podataka, po takvim je zahtjevima nužno pravovremeno postupati sukladno odredbama Uredbe o GDPR-u (npr. ako ispitanik traži ispravak netočnih podataka, prestanak obrade osobnih podataka i sl.).
9. Službenik za zaštitu osobnih podataka
Potrebno je provjeriti imate li obvezu imenovanja službenika za zaštitu osobnih podataka (npr. ako je osnovna djelatnost pravne osobe obrada osobnih podataka). U pravilu takve obveze nema za većinu voditelja obrade osobnih podataka.
Zaključno, važno je istaknuti da je teret dokazivanja na vama, odnosno vi kao voditelj obrade u pravilu morate dokazati da osobne podatke obrađujete u skladu s odredbama Uredbe.
Povreda osobnih podataka
Povrede podataka nastaju kada se osobni podatci slučajno ili nezakonito otkriju neovlaštenim primateljima ili kada postanu privremeno nedostupni ili izmijenjeni. Ključno je da pravna osoba provodi odgovarajuće tehničke i organizacijske mjere kako bi se izbjegle povrede podataka. Međutim, ako dođe do povrede podataka i ta povreda predstavlja rizik za prava i slobode pojedinca, o tome je potrebno obavijestiti nadzorno tijelo u roku od 72 sata nakon što se dogodi povreda, kao i pogođene osobe.
Dominik Musulin
Dominik Musulin prakticira pravo tako da kao odvjetnik pruža pravne savjete i zastupa strane i domaće klijete, sve s fokusom na područje radnog prava, trgovačkog prava, prava u vezi nekretnina, rješavanja sporova i naplate potraživanja. Oduvijek je znao da se želi baviti pravom, u njemu se pronašao i uživa, a kaže da mu je poseban gušt vidjeti zadovoljnog klijenta.