Zakonom o zaštiti osobnih podataka uređuje se zaštita podataka o fizičkim osobama te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka. Svrha zaštite osobnih podataka je zaštita privatnoga života.
Voditelj zbirke osobnih podataka dužan je evidencije o zbirkama osobnih podataka dostaviti Agenciji za zaštitu osobnih podataka u roku od 15 dana od dana uspostave zbirke osobnih podataka. Voditelji zbirki koji zapošljavaju do pet radnika i voditelji zbirki koji su imenovali službenika za zaštitu osobnih podataka i o tome izvijestili Agenciju, nisu obvezni dostaviti evidenciju (ako se podaci iz zbirke osobnih podataka ne iznose iz Republike Hrvatske).
Europska unija je prošle godine donijela Opću uredbu o zaštiti podataka (General Data Protection Regulation – GDPR) koja će stupiti na snagu 25. svibnja 2018. godine i bit će direktno primjenjiva u državama članicama bez potrebe za implementacijom u nacionalno zakonodavstvo. Ova Uredba predstavlja bitan napredak u području zaštite osobnih podataka.
Iako na snagu stupa tek sljedeće godine, novi pravni okvir donosi brojne nove obveze za poduzeća, državne organizacije i sve ostale koji sudjeluju u prikupljanju i obradi osobnih podataka.
Što novi zakonodavni okvir znači za tvrtke i ostale subjekte?
Privatne tvrtke, državne organizacije, udruge i svi ostali subjekti koji sudjeluju u prikupljanju i obradi osobnih podataka vezanih uz pojedince koji se nalaze u Europskoj uniji, morat će se pridržavati ovog zakona i bit će pod strogom obvezom da razmotre i po potrebi značajno promijene svoj postupak upravljanja podacima u poslovnim procesima.
U slučaju napada ili krađe osobnih podataka, voditelji zbirki će biti dužni smjesta prijaviti neovlašteni pristup podacima regulatornom tijelu (kod nas Agenciji za zaštitu osobnih podataka) unutar prvih 72 sata od trenutka kad se saznalo za krađu podataka.
Kako bi bili spremni za primjenu novih pravila, poduzeća i druge organizacije će morati usvojiti jasnu politiku zaštite osobnih podataka, uključujući postupak u slučaju zlouporabe podataka, kao i jasan okvir odgovornosti na svim razinama (nadzor, prikupljanje, pohrana, obrada, izvoz podataka).
Ovo je osobito važno u slučaju izvoza podataka izvan EU. Voditelji zbirki trebaju imati čvrst pravni temelj (ugovor i pristanak ispitanika, odredbu zakona…) na temelju kojeg izvoze podatke, kako se ne bi našli na udaru visokih kazni.
Što novi zakonodavni okvir znači za fizičke osobe?
Zaštita osobnih podataka i privatnoga života važna su temeljna prava. Europski parlament oduvijek ustraje u uspostavi ravnoteže između jačanja sigurnosti i zaštite ljudskih prava, uključujući zaštitu podataka i privatnosti. Reformom zaštite podataka građani će imati bolju kontrolu nad svojim podacima i njihova privatnost u ovom digitalnom dobu će biti zajamčena.
Uredba definira nova prava ispitanika poput prava na zaborav i brisanje koje uključuje obvezu voditelja zbirke koji je inicijalno učinio podatke javno dostupnim da informira sve treće strane te izbriše sve poveznice ili kopije osobnih podataka, pravo na prenosivost podataka koje predviđa prava ispitanika na dobivanje kopije osobnih podataka od voditelja zbirke te pravo na prijenos podataka (npr. drugom davatelju usluge).
Uredba potvrđuje jasan i afirmativan pristanak (opt in) kao preduvjet prikupljanja i obrade osobnih podataka pojedinca te od voditelja zbirki i drugih sudionika traži da jednostavnim i nedvosmislenim rječnikom objasne svoje postupke i politiku zaštite privatnosti i osobnih podataka. Isto tako, znači da ako ste dali privolu za jednu svrhu isti podatci ne mogu biti iskorišteni za drugu svrhu.
Za primjenu Uredbe i osiguranje sukladnosti s njenim odredbama bit će ovlaštena regulatorna tijela poput AZOP-a.
Što Vam je činiti?
Obzirom da su za kršenje Uredbe propisane visoke kazne koje sežu do 4 % godišnjega prihoda ili 20 milijuna eura, preporučamo da se na vrijeme pripremite i usvojiti jasnu politiku zaštite osobnih podataka.