Što je GDPR uredba i na koga se odnosi?

Opća uredba EU o zaštiti osobnih podataka iliti GDPR (General Data Protection Regime) uredba je Europske Unije kojom se regulira zaštita privatnih podataka korisnika. Njene odredbe dužne su poštivati sve tvrtke (uključujući mala i srednja poduzeća, javne institucije, tijela i agencije koje prikupljaju osobne podatke) koje posluju na području svih članica Europske Unije, a također i svi oni koji obrađuju podatke korisnika EU bez obzira na geografsku lokaciju. Prijedlog za odredbu donešen je još 25. siječnja 2012., odredba je stupila na snagu 27. svibnja 2016., međutim s prijelaznim razdobljem počinje se zakonski primijenjivati od 25. svibnja 2018.

S obzirom na to da se preko web stranice prikupljaju i čuvaju podaci klijenata potrebno je uskladiti njihovo sakupljanje sa pravilima GDPR-a. Pokušat ćemo sažeti u ključnim točkama na što se sve uredba odnosi, kako bi tvrtkama i organizacijama pomogli razumijeti ovu legalnu obvezu. Uredba služi za jačanje temeljnih prava građana u digitalnom dobu. Ukratko, glavni razlozi uredbe su smanjiti količinu prikupljenih podataka, odgovarajućim mjerama osigurati zaštitu privatnosti i omogućiti transparentnost u prikupljanju, obradi i namjeni osobnih podataka.

Osobni podaci korisnika mogu biti raznoliki:

• ime i prezime
• telefonski broj
• OIB
• fizička adresa
• email adresa
• IP adresa
• GPS lokacija
• kolačići na računalu
• medijski zapisi (fotografije, video)
• zdravstveni podaci (trenutno stanje, povijest bolesti, invalidnost)
• rasa, etnička pripadnost
• genetski podaci (DNA)
• biometrijski podaci (npr. otisak prsta, snimka šarenice oka)
• podaci o obrazovanju i stručnoj spremi
• bankovni podaci (podaci kreditnih i debitnih kartica, kreditna zaduženja)
• vjerska i politička opredjeljenja i stavovi
• seksualna orijentacija

te razni drugi podaci. Osobni podatak je zapravo svaka informacija koja se odnosi na identificiranu fizičku osobu.

Svaki korisnik ima pravo na:

• Pristup svim svojim osobnim podacima bez mogućnosti naplate
• Ispravljanje bilokojeg svojeg osobnog podatka u bilokojem trenutku
• Brisanje svih osobnih podataka u bilokojem trenutku bez odgode
• Prekid procesuiranja svojih osobnih podataka
• Ograničenje upotrebe podataka
• Prenošenje svojih podataka u drugu organizaciju
• Prigovor procesuiranja privatnih podataka

Korisnik može zatražiti potvrdu obrađuju li se njegovi osobni podaci, zatražiti informacije o svrsi obrade, roku pohrane, iznošenju u treće zemlje.

Izvor: članak 15: right to access

Korisnik ima pravo zatražiti ispravak netočnih osobnih podataka koji se odnose na njega i dopuniti nepotpune podatke.

Izvor: članak 16: right to rectification

Svaki korisnik ima pravo na brisanje njegovih podataka na zahtjev bez nepotrebnog odgađanja u slučaju:

• kada osobni podaci nisu više potrebni u svrhu za koje su prikupljeni
• kada korisnik povlači suglasnost
• kada su osobni podaci nezakonito obrađeni

Bez obzira na to što je korisnik ranije dao privolu za upotrebu njegovih podataka, na njegov zahtjev sve podatke moraju se bez odgode obrisati.

Primjerice, na newsletteru prilikom e-mail marketinga korisnici moraju imati mogućnost da se na njihov zahtjev uklone s liste u bilo kojem trenutku i njihove podatke morate obrisati. Ili ako organizirate nagradnu igru na društvenim mrežama, nakon što ona završi, svi podaci korisnika također se moraju obrisati.

Izvor: članak 17: right to erasure

Korisnik ima pravo zatražiti prekid obrade podataka i u ovom slučaju tvrtka ih može zadržati ali podaci se ne smiju dalje koristiti.

Izvor: članak 18: right to restriction of processing

Upotreba podataka je ograničena i ne može se mijenjati prema volji od onoga kako je bilo određeno. Primjerice, ako se osobni podaci ažuriraju, brišu ili na neki drugi način počinju koristiti, ako se počnu prikupljati na neki drugi način a isto i ako se uopće prestanu koristiti, korisnika se mora obavijestiti o tome.

Izvor: članak 19: right to restriction of notification

Korisnik ima pravo zatražiti svoje podatke i prenijeti ih u drugu organizaciju ukoliko to zatraži bez ikakvih smetnji.

Izvor: članak 20: right to portability

Korisnik ima pravo na prigovor i ako se dokaže da su mu razlozi za to legitimni, njegovi podaci se ne smiju dalje koristiti. Npr. za ciljanje bilo koje vrste oglašavanja, korištenje atributa za segmentiranje ili definiranje ciljane publike.

Izvor: članak 21: right to object

Tvrtka koja zapošljava više od 20 zaposlenih mora imati imenovanog službenika za zaštitu osobnih podataka (Data Protection Officer – DPO). Ako imate ikakvih problema angažirajte pravnika.

• provjerite kakve sve osobne podatke ste do sada prikupljali te u koje svrhe ste ih koristili
• jesu li prikupljeni osobni podaci potrebni za vaše poslovanje? Ako nema razloga za čuvanje tih osobnih podataka, isti moraju biti obrisani
• jeste li dobili privolu korisnika za njihovo korištenje i imate zabilježeno gdje, kad i kako ste tu privolu zaprimili?
• imate li stranicu na kojoj je na razumljiv način i nedvosmisleno navedeno kako sakupljate osobne podatke i u koje namjene ih koristite?

Kod prikupljanja podataka posebno imajte na umu:

• jesu li podaci privatni
• gdje se čuvaju i pod kojom su kontrolom
• tko ima pristup podacima
• je li postojala privola za korištenje i gdje je zapis o postojanju privole
• kako se mogu promijeniti ili obrisati
• za što se podaci nedvosmisleno koriste
• izlaze li podaci van organizacije, dijele li se s vanjskim suradnicima i trećim stranama
• koliko dugo su podaci potrebni

Tvrtka koja zapošljava više od 250 djelatnika mora imati voditelja obrade koji će voditi evidenciju u kojoj navodi:

• navesti svrhu i kategoriju obrade podataka
• navesti tko zaprima podatke unutar tvrtke s ciljem obrade
• bilježiti sve prijenose podataka u treće zemlje
• navesti popis sigurnosnih mjera kojima se podaci štite

Nadalje, potrebno je obratiti pozornost:

• svaki podatak koji korisnik ostavi pravnoj osobi, smije se koristi samo za onu svrhu za koju je dao pristanak. Zabranjeno je korisnika zatrpavati marketinškim porukama na e-mail ako se nikad nije prijavio. Ako je kupac putem web shopa ostavio svoju e-mail adresu, ona se smije koristiti samo i isključivo za komunikaciju oko realizacije te narudžbe, a nikako ne za newsletter kampanju, ili obavijesti o akcijama. Za takve namjene korisnik je morao dati posebni pristanak. Ako korisnik nije dao privolu sve aktivnosti potrebno je odmah obustaviti a isto i ako dođe do promjene korištenja podataka potrebno je opet tražiti privolu korisnika.
• dužni ste osobne podatke zaštititi od nezakonite i nedozvoljene obrade, slučajnog gubitka ili uništenja. Ukoliko dođe do proboja sigurnosti podataka, tvrtke su bez odgađanja dužne obavijestiti nadležne službe ali i osobe čiji su podaci ugroženi moraju biti informirani ako pogođeni podaci predstavljaju rizik za njihova prava i slobodu.

• Kreirajte stranicu pravila privatnosti u kojoj lako razumljivim jezikom navodite na koji način se prikupljaju podaci korisnika, kako se obrađuju i pohranjuju, prevedite ju na sve jezike na kojima poslujete te je smjestite na vidljivo mjesto na web stranici
• Svaki obrazac (formular, forma) koji postoji na stranici mora tražiti dozvolu posjetitelja da se njegovi podaci prikupljaju isključivo u svrhu kojoj su namijenjeni a polje ne smije biti unaprijed označeno kao prihvaćeno. Takve privole trebaju se zadržati, tako da je u slučaju spora s kupcem moguće dokazati da postoji dozvola za korištenje. Djeca mlađa od 16 godina ne mogu sama dati privolu već moraju imati suglasnost roditelja ili skrbnika.
• postavite obavijest za kolačiće koja će se prikazati odmah prilikom posjete. Kolačići služe za praćenje ponašanja korisnika i na stranici pravila privatnosti potrebno je objasniti što su oni i kako ih korisnik može izbrisati.
• potrebno je zatražiti privolu korisnika za korištenje praćenja reklamnih platforma
• ako ste slali newslettere prije 5. svibnja 2018. pošaljite korisnicima upit da potvrde žele li i dalje primati a sve nepotvrđene e-mail adrese potrebno je obrisati.
• ukoliko podatke korisnika obrađuje treća strana (npr. Google Analytics) potrebno je anonimizirati IP adresu
• instalirajte SSL certifikat – nije obavezan za GDPR sam po sebi a nije ni nužan na stranicama koje ne prikupljaju podatke korisnika, no potreban je radi sigurnog prijenosa podataka između browsera korisnika i web stranice (enkripcija svim neovlaštenim osobama koji nemaju pristup ključu za dekripciju čini podatke nečitljivima)

Nepoštivanje odredbi GDPR-a donosi za sobom prekršajne kazne koje mogu biti vrlo velike, za teška kršenja kazne su do 20 milijuna eura ili do čak 4% godišnjeg ukupnog prihoda tvrtke ovisno o tome koja kazna je veća (!). Za povredu osobnih podataka koji su se prikupili bez izričitog pristanka određuje se maksimalan iznos kazne i takve kazne osim što mogu ozbiljno naštetiti poslovanju velikim svjetskim tvrtkama, manjim tvrtkama mogu biti razorne.

Kontrolu kod nas vodi Agencija za zaštitu osobnih podataka (AZOP) te im je potrebno dostaviti prijavu, ne kasnije od 72 sata od trenutka događanja.
U prijavi je potrebno navesti:

• opis i prirodu povrede
• kategorije i procjena broja oštećenika
• kontakt detalji službenika za zaštitu podataka unutar tvrtke
• opis mogućih posljedica povrede
• popis poduzetih mjera za smanjenje štetnih posljedica povrede

U članku smo obradili glavne značajke GDPR uredbe te na što sve treba obratiti pozornost prilikom izrade kvalitetne web stranice. Jesu li vaše web stranice prilagođene GDPR uredbama? Slobodno nam se javite kako bi vas savjetovali i pravilno uskladili web stranicu s njihovim odredbama.