GDPR – načela obrade osobnih podataka
Pravo na zaštitu osobnih podataka temeljno je pravo sadržano u nizu međunarodnih i nacionalnih pravnih dokumenata, zbog čega se unutar Europskog gospodarskog prostora pojavio veliki interes za podrobniju i efikasniju regulaciju prava na zaštitu osobnih podataka.
Takvu regulaciju je donijela Opća uredba o zaštiti podataka (General Data Protection Regulation ili GDPR) koja je u cijelosti obvezujuća za sve države članice Europske Unije te se izravno primjenjuje u Republici Hrvatskoj od svibnja 2018. godine.
Cilj GDPR-a je izjednačavanje pravne regulative na području cijele Unije kako bi svi Europljani „uživali“ jednaki tretman te zaštita osobnih podataka na svim razinama, od korisnika do zaposlenika, slijedom čega su propisane novčane kazne za kršenje istih, koje mogu iznositi i do 20 milijuna eura, odnosno 4% ukupnog godišnjeg prihoda tvrtke, ovisno o tome koji je iznos veći.
Predmet zaštite
Predmet zaštite GDPR-a je osobni podatak, a koji se smatra bilo koja informacija o pojedincu, bilo da je njegov identitet utvrđen, bilo da se pomoću tih podataka može pobliže utvrditi.
Stoga, osobni podatak se smatra: ime i prezime pojedinca, adresa, e-mail adresa koja sadrži osobne podatke, IP i MAC adresa pojedinca, GPS lokacija, kolačići (cookies) na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci (npr. otisak prsta), genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, kreditnom zaduženju ili računima u banci, podaci o zdravlju, itd.
Prema GDPR-u, ‘obrada‘ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim, bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
GDPR se odnosi na sve gospodarske subjekte koji imaju poslovni nastan u Europskoj uniji i sve strane tvrtke koje koriste podatke građana Europske Unije, neovisno o tome imaju li sjedište unutar Europske Unije. Slijedom navedenoga, u slučaju da prilikom poslovanja, odnosno pružanja usluga obrađujete osobne podatke (npr. vodite evidenciju radnika, imate popis emaila klijenata koji sadrže njihovo ime i prezime i sl.), na vas se primjenjuje GDPR i morate vaše poslovanje uskladiti s obvezama koje iz istog proizlaze.
Načela obrade osobnih podataka
Za razumijevanje sustava regulacije i zaštite osobnih podataka, potrebno je krenuti od općih načela zaštite osobnih podataka. GDPR propisuje načela koja se tiču obrade osobnih podataka, slijedom čega osobni podaci koji se obrađuju moraju biti:
1. Načelo zakonitosti, poštenosti i transparentnosti
Zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, takozvano načelo zakonitosti, poštenosti i transparentnosti.
Načelo zakonitosti znači kako je za zakonitu obradu potrebna privola ispitanika ili druga legitimna osnova utvrđena zakonodavstvom države članice. Nadalje uz zakonitu obradu, propisano je da se podaci obrađuju na pošten način, dok je načelom transparentnosti određeno da osobni podaci trebaju biti transparentno obrađivani s obzirom na ispitanika.
Primjer: Trgovačko društvo u djelatnosti svojeg poslovanja provodi anketu potreba za uslugama predmetnog trgovačkog društva pri čemu prikuplja određene osobne podatke trećih osoba (osobe koje nisu u ugovornom odnosu s predmetnim trgovačkim društvom), a za što mora imati privolu, odnosno suglasnost osoba čiji se osobni podaci prikupljaju.
2. Načelo ograničenja svrhe
Prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, takozvano načelo ograničenja svrhe.
Namjera potonjeg načela je da svrha obrade bude dovoljno specifična i jasna, čime se povećava transparentnost i pravna sigurnost. Ovim načelom određuje se da se svaka obrada osobnih podataka mora obavljati u određenu, jasno definiranu svrhu. Obrada osobnih podataka u nedefinirane i/ili neograničene svrhe nije zakonita.
Primjer: Trgovačko društvo je prikupilo podatke o svojim kupcima u okviru pruženih usluga, radi čega je ovlašteno dalje upotrebljavati predmetne podatke u svrhu statističke analize (npr. broj ostvarenih prodaja). S druge strane, u konkretnom slučaju je važno da je privola koju su kupci potpisali dovoljno određena kako bi kupci bili informirani na koji način će se obrađivati osobni podaci.
3. Načelo smanjenja količine podataka
Primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, takozvano načelo smanjenja količine podataka;
Prema predmetnom načelu obrađuju se samo podaci koji su „primjereni, relevantni i ne previše opsežni u odnosu na svrhu njihova prikupljanja“. Kategorije podataka odabranih za obradu moraju biti nužne za postizanje navedenog općeg cilja postupka obrade.
Primjer: Vlasnik trgovine želi zaštititi svoj objekt od razbojništva. Kamere bi stoga trebale pokrivati isključivo sam objekt jer u tu svrhu nije potrebno snimati susjedne objekte kao niti javne površine.
4. Načelo točnosti podataka
Točni i prema potrebi ažurni, takozvano načelo točnosti podataka.
Načelo točnosti podataka znači da se osobni podatci ne smiju upotrebljavati bez poduzimanja mjera kojima se može relativno jasno osigurati da su podaci točni i ažurni.
Primjer: Zdravstveni karton pacijenta se ne smije se izmijeniti, čak i ako medicinska dijagnoza spomenuta u njemu se kasnije ukaže pogrešnom, nego se jedino mogu dodati napomene iz kojih mora biti razvidno da se radi o naknadnim unosima u odnosu na prvotno naznačenu dijagnozu.
5. Načelo ograničenja pohrane
Čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju takozvano načelo ograničenja pohrane.
Potonje načelo ograničenja pohrane znači da se osobni podaci moraju izbrisati odnosno anonimizirati čim prestanu biti potrebni za svrhe za koje su prikupljeni.
Primjer: Europski sud za ljudska prava je presudio u sudskoj odluci kako zadržavanje otisaka prstiju, staničnih uzoraka itd. tužitelja na neodređeno razdoblje nije razmjerno ni nužno, obzirom na to da je kazneni postupak protiv tužitelja prekinut oslobođenjem odnosno obustavom postupka.
6. Načelo sigurnosti podataka
Obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera takozvano načelo sigurnosti podataka.
Prema načelu sigurnosti podataka, potrebno je provesti odgovarajuće tehničke ili organizacijske mjere prilikom obrade osobnih podataka kako bi se podaci zaštitili od neovlaštenog ili nezakonitog pristupa, upotrebe, izmjene, otkrivanja, uništenja ili oštećenja. Odgovarajuće mjere mogu uključivati pseudonimizaciju.
Primjer: Rečenica „Ivan Horvat rođen 4. rujna 1976., otac je troje djece, dvaju dječaka i jedne djevojčice” može se, pseudonimizirati na sljedeći način: „ I. H. 1976. otac je troje djece, dvaju dječaka i jedne djevojčica”.
Pitate se što je potrebno učiniti kako biste kao mali ili srednji poduzetnik bili u skladu s navedenom regulativom? Odgovore saznajte u vodiču Kako uskladiti svoje poslovanje s GDPR-om?.
