Već mjesecima svi govore o tom famoznom GDPR-u, kako će to promijeniti sve, kako će naši osobni podaci napokon biti zaštićeni. No što je zapravo taj GDPR?
GDPR ili Opća uredba o zaštiti podataka skup je pravila koja su donijeli Europski parlament i Vijeće EU-a, a kojima je cilj zaštiti pojedinca u vezi s obradom osobnih podataka i regulirati slobodno kretanje takvih podataka.
Naime, u proteklih 20-ak godina mnogo se stvari promijenilo, a tehnološki razvoj promijenio je naš pogled na privatnost i osobne podatke.
Razvojem društvenih mreža i mobilnih aplikacija osobni podaci postali su tražena roba. Dijelom jer omogućavaju korisnicima da od tvrtki dobivaju personalizirane ponude, ali dijelom i jer se ti isti podaci mogu iskoristiti za krađu identiteta i brojne ilegalne radnje.
Uredbom se svim građanima Europske unije, pa tako i onima u Hrvatskoj, želi pružiti kontrola nad njihovim osobnim podacima i stvoriti visoka i ujednačena razina zaštite podataka u Europskoj uniji.
Iako primjena GDPR-a počinje 25. svibnja 2018. godine, Uredba je zapravo stupila na snagu još 24. svibnja 2016. godine.
Što GDPR zapravo znači za mene?
U Hrvatskoj već godinama postoji Zakon o zaštiti osobnih podataka, koji uređuje zaštitu osobnih podataka fizičkih osoba i nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka.
Za njegovo je provođenje (kao i za provođenje GDPR-a) zadužena Agencija za zaštitu osobnih podataka.
No što to u praksi znači?
Od 25. svibnja svi građani EU-a imat će:
• Veći nadzor i stvarnu kontrolu nad osobnim podacima
Naime, u Uredbi se uspostavlja novo pravo na prenosivost podataka koje građanima omogućuje da od poduzeća ili organizacije zatraže da im vrati podatke koje su dali tom poduzeću ili organizaciji na temelju privole (pristanka) ili ugovora. Također, u okviru tog prava propisano je i da se takvi osobni podaci mogu izravno prenijeti drugom poduzeću ili organizaciji ako je to tehnički izvedivo. Budući da se tim pravom dopušta izravan prijenos osobnih podataka iz jednog poduzeća ili organizacije u drugo poduzeće ili organizaciju, njime se podupire i slobodan protok osobnih podataka u EU-u, izbjegava blokiranje osobnih podataka te potiče tržišno natjecanje među poduzećima.
• Jača zaštita u slučaju povrede podataka.
U Uredbi se propisuje što točno znači povreda podataka i kako se treba ponašati u slučaju da do nje dođe. Uvodi se obveza prema kojoj tvrtka ili tijelo u kojoj je došlo do povrede podataka mora u roku od najviše 72 sata o tome izvijestiti nadzorno tijelo (AZOP), ako je vjerojatno da bi povreda podataka mogla predstavljati rizik za prava i slobode pojedinaca. U određenim okolnostima postoji obveza da se o tome obavijesti i osoba čiji su podaci bili povrijeđeni.
• Lakši pristup svojim podacima
Svi građani moći će se informirati na jasan i razumljiv način o tome kako se i u koju svrhu obrađuju njihovi podaci. Društvene mreže, na kojima ostavljamo gomile osobnih podataka, već usklađuju svoje postavke s GDPR-om i svakog će korisnika (ako to već nisu) obavijestiti o tome kako se i u koju svrhu obrađuju njihovi podaci. Isto će tako svaka tvrtka ili državno tijelo koje od građana zahtijeva osobne podatke morati moći informirati građane za što će koristiti njihove podatke.
• "Pravo na zaborav"
Ovo pravo u Europskoj uniji postoji već dulje, a dosad se prvenstveno odnosilo na podatke objavljene na internetu. No sad se to pravo širi te kad građanin više ne želi da se njegovi osobni podaci obrađuju, uz uvjet da ne postoje zakoniti razlozi za njihovo zadržavanje, moći će zatražiti od tvrtki i tijela njihovo brisanje.
• Pravo znati koliko se dugo osobni podaci čuvaju
Bez obzira na to u koju svrhu građani daju osobne podatke, u svakom trenutku imaju pravo saznati koliko će se u bazi podataka neke tvrtke ili tijela ti osobni podaci čuvati. Primjerice, tvrtke koje organiziraju nagradne igre moći će čuvati podatke do okončanja nagradne igre, nakon čega bi ih trebale obrisati, osim ako im sudionici nagradne igre nisu dali pristanak za nešto drugo.
• Pravo na ispravljanje, brisanje ili podnošenje pritužbe
• Pravo na prijenos osobnih podataka (eng. data portability)
Ovo se pravo odnosi prije svega na osobne podatke kod davatelja različitih usluga. Tim se pravom želi postići lakši prijenos osobnih podataka ako korisnik želi promijeniti davatelja usluge.
• Djeca ne mogu koristiti iste usluge kao i odrasli
Djeca brže i lakše prihvaćaju nove tehnologije od odraslih, no istovremeno ne štite svoju privatnost jer nisu svjesna opasnosti koja prijeti odavanjem osobnih podataka. Upravo zato u GDPR-u djeca su prepoznata kao osobito ranjiva skupina te su im nametnuta određena ograničenja. Tako će djeca moći koristiti određene internetske usluge i servise za koje je potrebno dati osobne podatke isključivo uz roditeljski pristanak. Ovisno o zemlji članici, dobna će granica biti između 13 i 16 godina.
• Građani moraju dati "jasan i pozitivan pristanak"
Prije no što daju svoje osobne podatke nekoj tvrtki ili tijelu, građani moraju eksplicitno dati svoj pristanak za prikupljanje i obradu svojih osobnih podataka. Primjena ovog pravila najvidljivija je u brojnim newsletterima koje građani neće više primati, osim ako jasno ne izraze tu želju.
• Građani se imaju pravo usprotiviti daljnjoj obradi podataka, osobito kada se radi o direktnom marketingu
Građani će od tvrtki moći tražiti da im prestanu slati bilo kakve obavijesti, ponude ili newslettere te da u potpunosti izbrišu njihove kontaktne podatke iz svojih baza.
Tvrtke koje se ne budu pridržavale europskih propisa koji proizlaze iz GDPR-a riskiraju novčane kazne u visini do čak 20 milijuna eura ili 4 % globalnog prometa.
Stoga od 25. svibnja posebno obratite pozornost na svoje osobne podatke, gdje ih i kome ostavljate, za što se oni koriste i pitajte ako vam nešto nije jasno.
A ako smatrate da vam je povrijeđeno pravo na zaštitu osobnih podataka, možete se obratiti nacionalnom tijelu za zaštitu osobnih podatka, neovisno o tome u kojoj se zemlji nalazi organizacija koja obrađuje vaše podatke. U Hrvatskoj je to Agencija za zaštitu osobnih podataka.