GDPR

Tijekom rada na projektima, susreta na predavanjima i drugih stručnih druženja, često se pojavljuju ista pitanja na koja odgovori ne mogu uvijek biti jednoznačni. Na ovoj stranici pokušat ćemo objediniti ona najčešća, te objaviti mišljenja našeg stručnog tima. Želja nam je pomoći čitateljima u boljem shvaćanju GDPR-a i odabiru najboljeg pristupa usklađivanju i zaštiti osobnih podataka. Ovdje iznesene informacije koristite prvenstveno kao smjernice za donošenje vlastitih zaključaka. Ostendo Consulting ne preuzima nikakvu odgovornost za njihovu primjenu u vašim organizacijama.

Hoće li kazne uništiti male tvrtke?

Uredba jasno ističe potrebu za uočavanjem specifičnosti malih i srednjih tvrtki te lokalnom zakonodavstvu ostavlja mogućnost definiranja posebno prilagođenog pristupa. Na koji način koja članica rješava ovaj problem, stoga treba tražiti u lokalnoj primjeni Uredbe.

To nikako ne znači da male i srednje tvrtke ne moraju štititi osobne podatke. Lokalno bi se zakonodavstvo trebalo  posebno zauzeti za kategoriju poduzetnika koji u svom radu ne zloupotrebljavaju osobne podatke, no prema onima koji to čine, pristup bi trebao biti drugačiji. Maksimalna propisana kazna od 20 milijuna eura predviđena je upravo kako bi onemogućila pojavu novih tvrtki koje svoj poslovni model temelje na kršenju prava na privatnost.

Hoće li se kazne stvarno naplaćivati?

Uredba se automatski primjenjuje na teritoriju cijele EU, no bez prilagodbe lokalnog zakonodavstva, njena će puna primjena sigurno biti otežana. Postojeća direktiva iz 1995 godine prestaje važiti, pa bi članice trebale povući i zakone temeljne na njoj, a istovremeno izglasati i nove koji bi dodatno regulirali primjenu Uredbe. Članice nemaju izbora, te ove postupke moraju provesti na vrijeme zbog čega je za očekivati da će sve  25.5.2018. biti spremne za punu primjenu Uredbe, pa tako i naplatu kazni. Uredba za prekršitelje predviđa kazne koje  ”moraju biti odvraćajućeg karaktera”. Smjernice za određivanje kazne možete preuzeti ovdje.

Kako dobiti potporu uprave?

Uprave su rijetko svjesne promjena koje donosi GDPR. Često netočne i redovito bombastične vijesti i informacije koje šire brojni mediji i prodavači “IT rješenja za GDPR sukladnost”  stvaraju krivu sliku o obavezama iz Uredbe, a upravo su njima naše uprave često izložene. Nitko ne želi vjerovati prodavaču koji nudi tehničko rješenje bez kojega ste sasvim lijepo radili do sada, ali sada “više ne možete bez njega ili ćete platiti 20 milijuna eura”.

Želite li svoju upravu ispravno informirati, napišite im sažeto na jednu stranicu o čemu se tu zapravo radi, napravite samoprocjenu i prezentirajte upravi rezultate. Zatražite da se rasprava o GDPR-u uvrsti na dnevni red redovnog sastanka uprave.

Ako ste mala ili srednja tvrtka, prvi korak u informiranju direktora može biti i dopis koji smo pripremili posebno za tu svrhu. Ako ste velika tvrtka, isti dopis može vam poslužiti kao smjernica za izradu sažetog informiranja vaše uprave.

Koje informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika?

Članak 14.

Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

1. Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:
(a)
identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo;
(b)
kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
(c)
svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;
(d)
kategorije osobnih podataka o kojima je riječ;
(e)
primatelje ili kategorije primatelja osobnih podataka, prema potrebi;
(f)
ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje;
2. Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:
(a)
razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
(b)
ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;
(c)
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;
(d)
ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
(e)
pravo na podnošenje prigovora nadzornom tijelu;
(f)
izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;
(g)
postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
3. Voditelj obrade pruža informacije iz stavaka 1. i 2.:
(a)
unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;
(b)
ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili
(c)
ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.
4. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.
5. Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:
(a)
ispitanik već posjeduje informacije;
(b)
pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti;
(c)
dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili
(d)
ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu.

Koje informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika?

Članak 13.

Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:
(a)
identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
(b)
kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
(c)
svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
(d)
ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;
(e)
primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
(f)
ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.
2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
(a)
razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
(b)
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;
(c)
ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
(d)
pravo na podnošenje prigovora nadzornom tijelu;
(e)
informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
(f)
postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
3. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.
4. Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Koje su GDPR tehničke kontrole obavezne?

Usklađivanje sa GDPR zahtjevima ne inzistira direktno na primjeni određenih tehničkih kontrola, ali ova se uredba prvenstveno odnosi na učinkovitu zaštitu osobnih podataka, što i njeno ime jasno govori (DP za Data Protection). Princip zaštite osobnih podataka koji promovira Uredba temelji se na minimizaciji količine osobnih podataka u smislu prikupljanja, te u smislu čuvanja. Organizacije ne bi trebale prikupljati osobne podatke koji im nisu stvarno potrebni da obavljanje poslova, a podatke koje je prikupila trebala bi čuvati na što je moguće manje mjesta (imajući na umu da uvijek ima sigurnosne kopije). Manja količina podataka u pravilu znači i manje troškove njihove zaštite.

Ne postoji ni jedan jedini uređaj, kao ni računalna aplikacija ili alat koje je neophodno kupiti radi usklađivanja sa GDPR-om. Ipak, ovisno o konkretnom informacijskom sustavu i praksama upravljanja njime, poslovnoj kulturi i procesima, neka tehnička rješenja u pravilu mogu olakšati primjenu zahtjeva iz GDPR-a na organizaciju. To su prvenstveno rješenja za:

  • Pseudonimizaciju i enkripciju
  • Upravljanje pravnim osnovama za prikupljanje i obradu podataka
  • Identifikaciju osobnih podataka i sprječavanje curenja podataka
  • Upravljanje logovima i identifikaciju neobičnih događaja na sustavima
Moramo li kriptirati osobne podatke?

Enkripcija osobnih podataka često se u tekstu uredbe spominje kao jedno od rješenja pomoću kojih je moguće umanjiti rizik, no ona nije obavezna.

Osobni se podaci moraju štititi sukladno rezultatima procjene rizika. Za razliku od uobičajenog pristupa operativnom riziku gdje se promatra mogući utjecaj negativnog događaja na organizaciju, ovdje se promatra njegov utjecaj na ispitanika, odnosno vlasnika osobnog podatka.

Tamo gdje su količine osobnih podataka posebno velike, a njihova vrsta posebno osjetljiva, enkripcija će u pravilu biti jedno od potencijalno najučinkovitijih rješenja za umanjivanje rizika. Zaštita podataka u postojećim informacijskim sustavima enkripcijom, u pravilu je vrlo kompleksan projekt. Prije  donošenja odluke o ovakvom pristupu, obavezno se savjetujte sa autorima poslovnog informacijskog sustava čije podatke želite kriptirati.

Moramo li podatke pseudonimizirati?

Pseudonimizacija podrazumijeva razdvajanje skupa podataka o konkretnoj osobi od skupa podataka potrebnog za njenu identifikaciju. Osobnim podacima se umjesto pravog identifikatora (npr. OIB-a) dodjeljuje zamjenska vrijednost (pseudonim) čija se poveznica sa pravim identifikatorom strogo čuva. Jedan je od najčešće spominjanih načina zaštite osobnih podataka u Uredbi. U pravilu, curenje čak i najosjetljivijih setova podataka poput onih o zdravstvenom stanju, političkoj i seksualnoj orijentaciji, pa čak i zaporki korisničkih računa i pinova kreditnih kartica neće nanijeti nikakvu štetu ispitaniku ukoliko ih je nemoguće povezati s njihovim vlasnikom.

Pseudonimizacija nije obavezna, ali je svakako odlična praksa u dizajnu informacijskih sustava.

Smatra li se IP adresa osobnim podatkom?

Osobnim podacima se smatraju setovi podataka koji se odnose na točno određenu osobu čiji identitet je utvrđen ili se može utvrditi izravnim ili neizravnim putem.

Kada je voditelj obrade uz razumni napor legalnim putem može nedvojbeno povezati sa konkretnom osobom, IP adresu bi trebalo smatrati osobnim podatkom. U suprotnom, IP adresa nije osobni podatak. O tome svjedoči i odluka Europskog suda pravde od 19.10.2016.

Primjer 1: IP adresa posjetitelja web stranice

Internetski poslužitelji raspolažu IP adresama posjetitelja, ali u pravilu ne i podacima potrebnim za njihovo jednoznačno povezivanje sa vlasnicima tih IP adresa. Njih dodjeljuje pružatelj usluge povezivanja na Internet (Internet service provider – ISP). Mogu biti fiksne ili promjenjive, s tim da se fiksne IP adrese u pravilu koriste za spajanje na Internet cijelih računalnih mreža čime se vlasniku internetskog poslužitelja identifikacija konkretnog računala koje je posjetilo web stranicu i njegovog korisnika čine nemogućima. Promjenjive IP adrese u pravilu se koriste za spajanje na Internet kućanstava ili pojedinačnih korisnika. Kome je u kojem trenutku pripadala koja promjenjiva IP adresa poznato je samo ISP-u koji ove informacije čuva tajnima, pa vlasnik web poslužitelja ne može identificirati vlasnika IP adrese. Iznimka ovom pravilu je vlasnik web stranica koji je ujedno i ISP svom posjetitelju, a u kojem slučaju bi se IP adresa mogla smatrati osobnim podatkom.

Primjer 2: IP adresa računala na lokalnoj mreži (LAN)

Ove IP adrese dodjeljuje tvrtka, odnosno vlasnik LAN-a iz čega proizlazi da postoji mogućnost identifikacije konkretnog računala koje je vlasnik IP adrese. Štoviše, obzirom da tvrtka upravlja i korisničkim računima u računalnoj mreži, dostupan joj je i točan podatak o tome koji je korisnik u koje vrijeme s kojeg računala koristio koju IP adresu. U ovakvom slučaju, bez sumnje se radi o IP adresi koja predstavlja osobni podatak.

Primjer 3: IP adresa prijavljenog korisnika web aplikacije

Pruža li web aplikacija mogućnost autentikacije korisnika nekim drugim putem (primjerice u slučajevima internetskog bankarstva), IP adresa korisnika mora se smatrati osobnim podatkom obzirom da vlasnik internetskog poslužitelja može jednoznačno identificirati njenog vlasnika. U ovakvom bi se slučaju osobnim podatkom mogli smatrati i ”kolačići“ koji se zapisuju na korisnikovo računalo i mogu služiti za praćenje njegovog ponašanja.

Što je registar povreda osobnih podataka i kako se vodi?

Sukladno članku 33. Uredbe, organizacija je dužna u roku od 72 sata po saznanju o povredi osobnih podataka o tome obavijestiti nadzorno tijelo. Podaci koje je potrebno dostaviti propisani su istim člankom, koji u stavku 5. definira i potrebu vođenja dokumentacije o povredama. Izgled takvog registra možete vidjeti ovdje.