Zavrzlama zvana GDPR unazad par mjeseci jedna je od ključnih tema medijskih natpisa – samo kada u tražilicu unesete pojam General Dana Protection Regulation, Google će vam izbaciti više od 775.000 poveznica koje se odnose na tu temu. I da, famozni „zaborav“ i Google su upravo neki od razloga zašto GDPR. No prije nego objasnimo što će se točno promijeniti krajem svibnja, kada će i Hrvatska postati jedna od država „provoditeljica“ europske direktive, potrebno je objasniti razloge implementacije i sam pojam.
GDPR ili General Dana Protection Regulation je Opća odredba o zaštiti osobnih podataka koju je Europski parlament izglasao 2016. godine. Razvoj tehnologija u posljednjih 20 godina, pojava novih medijskih platformi, posebice društvenih mreža, profiliranje podataka, unaprjeđenje algoritama pretraživača, ali i sve češći primjeri nezakonitog prikupljanja i korištenja osobnih podataka, samo su neki od razloga za donošenje ovakve regulative. Direktiva o zaštiti osobnih podataka ima za ciljeve harmonizirati europsko zakonodavstvo iz područja zaštite osobnih podataka, osnažiti aktivnosti iz područja zaštite osobnih podataka te preoblikovati načina na koji gospodarski subjekti pristupaju ovom pitanju. Praktično, direktiva treba:
- osigurati korisnicima kontrolu nad njihovim osobnim podacima te
- onemogućiti „velikim igračima“ da, kada je riječ o količini osobnih podataka korisnika kojima upravljaju, ostvare bolje tržišne pozicije u odnosu na manje gospodarske subjekte.
Na koga se GDPR odnosi?
GDPR se odnosi na sve gospodarske subjekte koji obrađuju osobne podatke građana Europske unije, bez obzira na sjedište društva i mjesto gdje se podaci obrađuju – drugim riječima, odnosi se na sve tvrtke koje obrađuju podatke građana Europske unije. Praktično to znači kako će svaka Internet trgovina, pružatelj neke usluge, prodavač nekog proizvoda koji svoja dobra nudi na tržištu Europske unije morati implementirati odredbe GDPR-a.
Što su sve smatra osobnim podacima?
Osobni podaci, kada je riječ o GDPR regulativi, odnose se na: ime, adresu, e-mail adresu, IP (jedinstvena brojčana oznaka računala na internetu), MAC adresu (jedinstven ključ koji se nalazi gotovo u svakom mrežnom uređaju), GPS lokaciju, RFID tagove i kolačiće na web stranicama, telefonski broj, fotografije, video snimke pojedinaca, OIB, biometrijske podatke (otisak prsta, snimka šarenice oka), genetske podatke, podatke o obrazovanju i stručnoj spremi, podatke o plaći, podatke o kreditnom zaduženju, podatke o računima u banci, podatke o zdravlju, seksualnoj orijentaciji i mnoge druge podatke kojima se utvrđuje ili se može utvrditi identitet pojedinca.
Kako će izgledati Internet svijet 26. svibnja?
Ako 26. svibnja odlučite, iz udobnosti vlastitog naslonjača, kupiti on-line neki proizvod/ uslugu, gospodarski subjekt bit će dužan:
- dobiti vašu jasnu privolu za prikupljanje vaših osobnih podataka (posebice stroge odredbe odnose se na prikupljanje podataka od maloljetnika – u Hrvatskoj će se ta dobna granica odnositi na sve osobe mlađe od 18 godina);
- na vaš zahtjev pravodobno dati informaciju koje sve podatke posjeduje te omogućiti da se podaci izmijene ili trajno brišu na vaš zahtjev;
- osigurati adekvatne procedure za prikupljanje osobnih podataka, svrhu njihovog prikupljanja, način na koji će se podaci koristiti, gdje i kako će biti pohranjeni, tko će biti zadužen za njihovu obradu te koje su sve sigurnosne mjere poduzete kako bi se zaštitilo njihovo čuvanje.
Što će se promijeniti?
206. svibnja svijet neće propasti, to zasigurno. Internet će i dalje postojati u ovom ili onom, malo izmijenjenom obliku, a zakonodavni okviri država članica Europske unije previdjet će određene izuzetke i odstupanja od GDPR regulative. No, bez obzira iz koje države članice Europske unije pristupate internetu i koristite usluge određenog gospodarskog subjekta, vaše će biti da date jasnu privolu:
- I korak/ kako za konkretnu uslugu/ proizvod/ kampanju/ situaciju gospodarski subjekt može koristiti dane osobne podatke – nestaje famozna „kućica“ u kojoj je već postavljena kvačica za davanje pristanka – vi ćete biti ti koji će morati, jasno, postaviti kvačicu u definirano polje;
- II korak/ kako se vaši osobni podaci mogu koristiti za informiranje o drugim proizvodima i uslugama gospodarskog subjekta – do sada je vrlo često bio slučaj da se prva razina automatski odnosila i na drugu;
- III korak/ kako gospodarski subjekt može koristiti vaše osobne podatke za automatiziranu obradu istih.
Ako, usprkos svemu, neki podaci ipak procure?
Ako kod nekog gospodarskog subjekta dođe do „proboja“ informacija i neki podaci „iscure“, subjekt je dužan sve prijaviti osobi čiji su podaci „kompromitirani“, kao i nadležnoj državnoj instituciji – u slučaju Hrvatske, riječ je o Agenciji za zaštitu osobnih podataka koja će biti zadužena za nadzor i provedbu GDPR-a u nas. Nepoštivanje odredbi GDPR-a povlači za sobom kazne do 4% godišnjeg prometa na svjetskoj razini ili 20 milijuna eura, ovisno o tome koji je iznos veći.
Autorica: Diana Antičić Managing Partner PKF Hrvatska