Novosti
UREDBA O ZAŠTITI OSOBNIH PODATAKA

Građanima veća prava, a tvrtkama novi veliki troškovi i stroge kazne
Objavljeno 16. ožujka, 2018.

Ime, prezime, adresa, GPS lokacija, telefonski broj, OIB, podaci o zdravlju i podaci o računima – samo su neke od privatnih informacija građana Europske unije koje će novom uredbom, poznatijom kao GDPR (eng. General Data Protection Regulation), biti dodatno zaštićene od neprimjerenog ili neželjenog korištenja od državnih, ali ponajprije privatnih organizacija.

Pod nazivom Opća uredba o zaštiti osobnih podataka GDPR će biti implementiran i u hrvatske zakone, zbog čega će organizacije iz svih gospodarskih sektora morati prilagoditi poslovanje i u svakom trenutku znati gdje i kako podatke svojih korisnika mogu koristiti.

Kodeksi

Kako je rok za takvu prilagodbu već opasno blizu, jer GDPR stupa na snagu 25. svibnja ove godine, razgovarali smo s Tonijem Aničićem, konzultantom iz područja online trgovine u poznatoj osječkoj IT tvrtki Inchoo, koji je već postao svojevrsni stručnjak za novu uredbu o kojoj brojni trenutno ne znaju puno. On se detaljno osvrnuo na sve posljedice koje će GDPR imati na IT sektor u Hrvatskoj, pojašnjavajući kako uz mnoge pravne i administrativne probleme velikim tvrtkama, uredba ipak najviše donosi krajnjim korisnicima, odnosno građanima.

- Na prošlotjednom sastanku članica Osijek software cityja zaključili smo kako se nitko nije do kraja uspio prilagoditi, jer za to nije ni bilo mogućnosti. Naime, članak 40. GDPR-a predviđa da strukovna udruženja donesu određene kodekse ponašanja (eng. code of conduct), specifične za određenu struku, jer izazovi čuvanja osobnih podataka nisu u svim gospodarskim sektorima isti. Prema tome članku, vrhovne udruge su trebale, iako nisu obvezne, donijeti nacrt takvog kodeksa, koji bi sve tvrtke iz pojedinih sektora mogle ugraditi u svoje poslovne procese - pojašnjava Aničić, naglašavajući kako je u njegovu, IT sektoru, taj nacrt trebalo donijeti Udruženje za informacijske tehnologije pri Hrvatskoj gospodarskoj komori.

Naposljetku, nacrte takvih kodeksa treba odobriti Agencija za zaštitu osobnih podataka (AZOP), koja će od kraja svibnja postati regulator GDPR-a za Republiku Hrvatsku, upravo zato što svaka članica EU-a mora uspostaviti službeno regulatorno tijelo. Prema pravilu bi se tada kodeksi trebali proslijediti Europskoj komisiji, koja bi ih objavila na službenim internetskim stranicama kako bi ih sve organizacije iz pojedinih struka mogle preuzeti i modificirati za svoje potrebe.

Rok se bliži

- Nažalost, ništa od toga se još nije dogodilo, a rok za prilagodbu nam se bliži. Iako mnogi članci iz GDPR-a izravno upozoravaju kako su se već mogla formirati i certifikacijska tijela koja bi odmah potvrdila usklađenost s uredbom, takva tijela još nisu uspostavljena. Što se tiče Inchooa, trenutno pokušavamo riješiti neke izazove, upravo kroz strukovne udruge, pa je samo pitanje vremena kada ćemo sve uspjeti uskladiti s GDPR-om - na osobnom primjeru objašnjava konzultant Aničić, naglašavajući kako su tvrtke s više od 250 zaposlenika u mnogo većim problemima jer su uz nužnu prilagodbu dužne uspostaviti povjerenike za zaštitu osobnih podataka.

No, postoje i dva izvanredna slučaja u kojima je tvrtka dužna uspostaviti takvog povjerenika – ako je njezina primarna djelatnost obrada osobnih podataka na nekom velikom uzorku ili ako je strateški važna za samu državu.

- GDPR donosi mnogo toga pozitivnog, pretežito za prava građana Europske unije, dok tvrtkama donosi mnoge administrativne troškove ili rigorozne kazne – od 5 posto godišnjeg prometa pa sve do 20 milijuna eura – naglašava Aničić, upozoravajući kako uredba kao takva jest dobro koncipirana, ali ima mnogo dijelova koji nisu jasno konkretizirani, pa samim time trenutno zadaju mnoge muke organizacija u svim gospodarskim granama Republike Hrvatske.

Marko MANDIĆ
Državne tvrtke zaštićene od kazni za nepoštovanje GDPR-a?!

Apsurdna situacija dogodila se protekloga tjedna, kada Vlada RH nije usvojila Nacrt prijedloga zakona o provedbi GDPR-a, u nastojanju da tvrtke u svojoj nadležnosti zaštititi od rigoroznih kazni. No, kako ističe konzultant Toni Aničić, tu se mnogo toga još može promijeniti, upravo zbog distinkcije između regulative, u koju pripada i GDPR, i obične direktive. “Regulativa se primjenjuje na sve članice EU-a, bez potrebe od implementacije u nacionalne zakone, dok direktiva samo zadaje neke ciljeve članicama koje ih tada moraju ostvariti kroz svoje zakone. Budući da će se GDPR kao regulativa od 25. svibnja primjenjivati i u Hrvatskoj, ostaje vidjeti hoće li se uspostaviti snažno nadzorno tijelo ili mehanizam na razini EU-a koji će državne organizacije moći kazniti za kršenje regulative izvan okvira nacionalnih regulatora”, objašnjava Aničić, naglašavajući kako zasigurno AZOP, kao nadzorno tijelo, neće samo sebe moći ili htjeti kazniti za kršenje propisa regulative.

POTRAŽNJA ZA POVJERENICIMA ZA ZAŠTITU OSOBNIH PODATAKA

Sve tvrtke s više od 250 zaposlenih definitivno će morati angažirati povjerenike za zaštitu osobnih podataka, ali to neće moći biti svatko. Naime, takve osobe morat će imati tehničko znanje, kao i pravnu pozadinu, odnosno moć razumijevanja, ali i mogućnost interpretacije GDPR-a. “Problem je što takvih stručnjaka trenutno nema ili ih je vrlo malo. Takva osoba ne smije biti u sukobu interesa, odnosno ne može ujedno biti netko tko obrađuje osobne podatke u toj tvrtki i netko tko bi trebao sam sebe nadzirati, jer sam GDPR jasno određuje da ta osoba mora izravno odgovarati direktoru ili nadzornom odboru tvrtke”, jednostavno objašnjava Aničić, zaključujući kako se mora raditi o stručnjaku koji razumije cjelokupnu problematiku određenog područja djelovanja. No, postoje poneki stručnjaci za sigurnost osobnih podataka, koji su u pravnom sektoru na tome radili i prije sporne regulative, pa će svoje znanje samo morati “osvježiti” propisima koje nalaže GDPR.

prilagodba

BROJNE TVRTKE JOŠ NISU SPREMNE ZA UREDBU

Možda ste propustili...

NEPLAĆENO OSIGURANJE BRIJUNA I PANTOVČAKA

Za prekovremene 112.000 kuna