Što je to GDPR?

GENERAL DANA PROTECTION REGULATION

{HR: Uredba (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)}[1]

 

U travnju 2016. godine Europska Unija donijela je Uredbu kojom želi osnažiti i objediniti zaštitu osobnih podataka. Ona također uključuje i izvoz osobnih podataka[2] van područja Europske Unije. Glavni ciljevi Uredbe su vratiti nadzor građana nad njihovim osobnim podacima te objedinjavanjem regulacije unutar EU pojednostaviti regulativu za međunarodno poslovanje.

Ova direktiva je jedan od pravno obvezujućih akata EU što znači da je njena primjena izravna i u potpunosti obvezujuća. Ona također u potpunosti unificira te zamjenjuje postojeće interne norme jednom, potpuno istovjetnom europskom normom. Prema tome zamjenjuje i dosadašnju direktivu Data Protection Directive 95/46/EC.

Ova Uredba će započeti s primjenom nakon prijelaznog razdoblja od dvije godine što je 25. svibnja 2018. godine.

Neke od ključnih promjena su:

 1. Opseg

Uredba se primjenjuje na sve one subjekte se nalaze u Europskoj Uniji, ali i na one koji su izvan područja EU ali posjeduju podatke stanovnika Unije. Ne primjenjuje se ukoliko se radi o osobnim podacima vezanim za nacionalnu sigurnost ili provedbu zakona.

 1. Singe set of rules i One Stop Shop

Jednaka pravila primjenjivat će se na cijelu Europsku Uniju. Svaka država članica imat će neovisnu osobu ovlaštenu za nadzor. Ta osoba za nadzor surađivat će s ostalim nadzornicima iz drugih država članica. Njima će upravljati Odbor za europsku zaštitu podataka.

 1. Odgovornosti i obveze

Individualno automatizirano donošenje odluka, uključujući profiliranje, postalo je sporno. Građani imaju pravo preispitivati i suprotstaviti se odlukama koje na njih utječu, a koje su rezultat isključivo algoritma.

Postavke privatnosti moraju biti visoke.

Procjena utjecaja zaštite podataka će inicirati reakciju kada se pojavi određeni rizik od narušavanja ljudski prava i sloboda.

Procjena rizika i njegova smanjenja zahtijeva odobrenje Uprave za nadzor podataka za visoke rizike. Službenici za zaštitu podataka osiguravaju usklađenost unutar organizacije. Oni moraju biti imenovani za sve tvrtke u javnom sektoru i tvrtke (tzv. voditelji zbirke tj. obrade) koje obrađuju više od 5000 podatkovnih subjekta unutar godine dana. Također, svaki voditelj zbirke koji zapošljava više od 20 radnika mora imenovati službenika za zaštitu osobnih podataka.

 1. Pristanak

Osoba mora dati suglasnost za svako prikupljanje podataka te njihovu upotrebu. Suglasnost umjesto djece mogu dati roditelji ili skrbnici. Svaki voditelj zbirke (npr. tvrtka) mora biti u mogućnosti dokazati suglasnost, a svaka suglasnost može biti i povučena.

 1. Privacy by Design

To znači da se zaštita podataka uključuje od početka projektiranja nekog sustava, umjesto da se naknadno dodaje. Pri tome voditelj zbirke mora slijediti organizacijske i tehničke mjere kako bi se udovoljilo zahtjevima Uredbe i zaštitilo prava i privatnost subjekata podataka.

 1. Službenik za zaštitu podataka

U privatnom ili javnom sektoru gdje se odvija prikupljanje podataka, osobi koja vrši prikupljanje treba pomagati osoba upoznata sa zakonom i praksom prikupljanja podataka kako bi proces bio u skladu s Uredbom, a to je službenik za zaštitu podataka. Službenici moraju biti imenovani u: (a) tijelima javne uprave, (b) organizacijama koje sudjeluju u sustavnom monitoringu, ili (c) organizacijama koje sudjeluju u obradi osjetljivih osobnih podataka. Ako vaša organizacija ne spada u jednu od tih kategorija, onda ne morate imenovati službenika za zaštitu podataka.

 1. Povrede podataka

Službenik za zaštitu podataka pod pravnom je obvezom obavijestiti Upravu za nadzor podataka bez odgode za svaku prijavu povrede podataka uz napomenu da ne postoji de minimis pravilo.

 1. Sankcije (ovisno o dijelu odredbe koja se prekrši)
 2. Upozorenje u pisanom obliku u slučaju prve i nenamjerne povrede
 3. Redovne periodične provjere zaštite podataka
 4. Novčanom kaznom do 10.000.000 eura, odnosno do 2% od ukupnog godišnjeg prihoda iz prethodne financijske godine u slučaju tvrtki, ovisno o tome koji iznos je veći
 5. Novčanom kaznom do 20.000.000 EUR, odnosno do 4% godišnjeg prometa od prethodne financijske godine u slučaju tvrtki, ovisno o tome koji iznos je veći

Bitno je napomenuti da kaznu snose i voditelji zbirke (obrade) osobnih podataka i izvršitelji obrade, što znači da nema iznimaka od provedbe Uredbe.[3]

 

 1. Pravo na brisanje

Dosadašnje right to be forgotten bit će zamijenjeno s right to erasure. To znači da će osoba moći zatražiti brisanje svih podataka koje se uz njega/nju vežu, a ne samo da se podaci više ne koriste kao što je do sada bio slučaj.

 1. Prenosivost podataka

Osoba će biti u mogućnosti prenijeti svoje osobne podatke iz jednog elektronskog sustava obrade u drugi bez sprječavanja kontrolora podataka. Osim toga, podaci moraju biti osigurani od strane kontrolora na strukturiran način i obično se koriste u elektronskom obliku.

 1. Smanjenje administrativnih obveza prema nadzornom tijelu

Voditelji obrade i izvršitelji obrade bit će dužni voditi evidenciju aktivnosti obrade tj. evidenciju čuvanja dokumentacije koja se daje na uvid nadzornom tijelu. Propisuju se drukčiji kriteriji za obvezu vođenja evidencije pa tako obveza evidencije ne postoji za voditelje zbirki tvrtki u kojima je zaposleno manje od 250 osoba. Izuzeće se ne primjenjuje u slučaju obrade posebnih kategorija osobnih podataka (primjerice: na podatke o zdravlju).

 1. Detaljno reguliran rad tijela za zaštitu osobnih podataka

Uredba detaljno regulira način funkcioniranja tijela novog sustava zaštite na razini EU (funkcioniranje Europskog odbora za zaštitu osobnih podataka, rad i suradnju nacionalnih nadzornih tijela i dr.).

 1. Prethodno mišljenje nadzornog tijela o stupnju zaštite podataka

Uredba propisuje obvezu voditelja zbirki da prije obrade podataka koja predstavlja veći rizik pribavi stručno mišljenje AZOP-a o zadovoljavajućem stupnju zaštite podataka.

 1. Certifikacija procesa

Uredba propisuje uvođenje mehanizama certificiranja pojedinih procesa u svrhu procjene razine sigurnosti zaštite podataka.

 

 

[1] http://eur-lex.europa.eu/legal-content/hr/TXT/PDF/?uri=CELEX:32016R0679&from=EN

[2] Prema Europskoj Komisiji osobni podatak je bilo koja informacija vezana uz pojedinca.

[3] Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s