Ime, prezime, adresa, GPS lokacija, telefonski broj, OIB, podaci o zdravlju i podaci o računima – samo su neke od privatnih informacija građana Europske unije koje će novom uredbom, poznatijom kao GDPR (eng. General Data Protection Regulation), biti dodatno zaštićene od neprimjerenog ili neželjenog korištenja od državnih, ali ponajprije privatnih organizacija.

Pod nazivom Opća uredba o zaštiti osobnih podataka GDPR će biti implementiran i u hrvatske zakone, zbog čega će organizacije iz svih gospodarskih sektora morati prilagoditi poslovanje i u svakom trenutku znati gdje i kako podatke svojih korisnika mogu koristiti.

Kako je rok za takvu prilagodbu već opasno blizu, jer GDPR stupa na snagu 25. svibnja ove godine, razgovarali smo s Tonijem Aničićem, konzultantom iz područja online trgovine u poznatoj osječkoj IT tvrtki Inchoo, koji je već postao svojevrsni stručnjak za novu uredbu o kojoj brojni trenutno ne znaju puno. On se detaljno osvrnuo na sve posljedice koje će GDPR imati na IT sektor u Hrvatskoj, pojašnjavajući kako uz mnoge pravne i administrativne probleme velikim tvrtkama, uredba ipak najviše donosi krajnjim korisnicima, odnosno građanima.

- Na prošlotjednom sastanku članica Osijek software cityja zaključili smo kako se nitko nije do kraja uspio prilagoditi, jer za to nije ni bilo mogućnosti. Naime, članak 40. GDPR-a predviđa da strukovna udruženja donesu određene kodekse ponašanja (eng. code of conduct), specifične za određenu struku, jer izazovi čuvanja osobnih podataka nisu u svim gospodarskim sektorima isti. Prema tome članku, vrhovne udruge su trebale, iako nisu obvezne, donijeti nacrt takvog kodeksa, koji bi sve tvrtke iz pojedinih sektora mogle ugraditi u svoje poslovne procese - pojašnjava Aničić, naglašavajući kako je u njegovu, IT sektoru, taj nacrt trebalo donijeti Udruženje za informacijske tehnologije pri Hrvatskoj gospodarskoj komori.

Naposljetku, nacrte takvih kodeksa treba odobriti Agencija za zaštitu osobnih podataka (AZOP), koja će od kraja svibnja postati regulator GDPR-a za Republiku Hrvatsku, upravo zato što svaka članica EU-a mora uspostaviti službeno regulatorno tijelo. Prema pravilu bi se tada kodeksi trebali proslijediti Europskoj komisiji, koja bi ih objavila na službenim internetskim stranicama kako bi ih sve organizacije iz pojedinih struka mogle preuzeti i modificirati za svoje potrebe.

- Nažalost, ništa od toga se još nije dogodilo, a rok za prilagodbu nam se bliži. Iako mnogi članci iz GDPR-a izravno upozoravaju kako su se već mogla formirati i certifikacijska tijela koja bi odmah potvrdila usklađenost s uredbom, takva tijela još nisu uspostavljena. Što se tiče Inchooa, trenutno pokušavamo riješiti neke izazove, upravo kroz strukovne udruge, pa je samo pitanje vremena kada ćemo sve uspjeti uskladiti s GDPR-om - na osobnom primjeru objašnjava konzultant Aničić, naglašavajući kako su tvrtke s više od 250 zaposlenika u mnogo većim problemima jer su uz nužnu prilagodbu dužne uspostaviti povjerenike za zaštitu osobnih podataka.

No, postoje i dva izvanredna slučaja u kojima je tvrtka dužna uspostaviti takvog povjerenika – ako je njezina primarna djelatnost obrada osobnih podataka na nekom velikom uzorku ili ako je strateški važna za samu državu.

- GDPR donosi mnogo toga pozitivnog, pretežito za prava građana Europske unije, dok tvrtkama donosi mnoge administrativne troškove ili rigorozne kazne – od 5 posto godišnjeg prometa pa sve do 20 milijuna eura – naglašava Aničić, upozoravajući kako uredba kao takva jest dobro koncipirana, ali ima mnogo dijelova koji nisu jasno konkretizirani, pa samim time trenutno zadaju mnoge muke organizacija u svim gospodarskim granama Republike Hrvatske.