Posljednjih su se mjeseci i tjedana svi raspisali o GDPR-u, užurbano šalju e-mailove u kojima traže privolu i općenito nas sve nerviraju. Pogledajmo što će se uistinu od danas promijeniti

Europski parlament i Vijeće Europe donijeli su još u travnju 2016. godine uredbu naziva "Opća uredba o zaštiti podataka", odnosno na engleskom jeziku "General Data Protection Regulation" (GDPR). Kako je riječ o pravnom aktu EU, on se automatski primjenjuje na sve njezine države članice, bez potrebe za donošenjem posebnih zakona u svakoj od njih. Isto tako, kako se GDPR odnosi na podatke o građanima i tvrtkama iz EU, on se mora provoditi i na svim drugim teritorijima na kojima se takvi podaci čuvaju i obrađuju.

GDPR je stupio na snagu danas, 25. svibnja 2018.

Zasigurno su vam posljednjih tjedana, a posebice u nekoliko proteklih dana raznorazni webshopovi, kompanije, udruge, i ostali znani i neznani zatrpali inboxe porukama naslovljenima "ostanimo u kontaktu", "potvrdite svoje podatke", ili sličnima, a u kojima se od vas traži da klikom na "slažem se" pošiljatelju i službeno date privolu da vas i ubuduće kontaktira putem e-maila. Svim onima koji na brojne adrese šalju cirkularne e-mailove (newslettere), a to rade bez eksplicitne privole primatelja, prijete, naime ogromne kazne nastave li s istom praksom i dalje – pa vas stoga pokušavaju pridobiti na svoje mailing liste na ovaj način. Oni koji su već ranije takvu privolu od vas dobili, vrlo vjerojatno je nisu ponovno tražili jer to nisu niti morali.

Malena, ali bitna razlika između "opt-in" i "opt-out" davanja privole: kvačica ne smije biti uključena "po defaultu"

Manje beskorisnih e-mailova

Sve ovo trebalo bi za posljedicu imati manji broj neželjenih cirkularnih mailova od pošiljatelja s kojima ne želite biti u kontaktu, te lakše biranje od koga želite, a od koga ne, primati promotivne i druge sadržaje izravno u e-mail pretinac. Bitno je napomenuti da nitko više neće smjeti cirkularne mailove slati bez da dobije izravnu privolu (opt-in). Do sada su, znamo, mnogi kupovali baze e-mail adresa i na njih slali newslettere bez ograničenja, nudeći tek naknadno opciju odjave (opt-out), što je od danas strogo zabranjeno.

Iako je u svakodnevici najvidljivija, ovo nije jedina stvar koja će se od danas promijeniti. Smisao GDPR-a jest zaštititi sve vaše privatne podatke tako što će se prilikom njihove (automatizirane ili ne) obrade morati primjenjivati stroži standardi. Dodatno, svaki će građanin morati imati veću kontrolu nad svojim podacima i moći će odlučiti koje će podatke, kada i s kime dijeliti. Moći će i zatražiti od bilo koje pravne osobe ispravak netočnih podataka, njihovo brisanje te mogućnost besplatnog preuzimanja vlastitih podataka pohranjenih kod trećih strana, ili pak njihovo prenošenje drugdje.

Što se po GDPR-u smatra osobnim podacima? Ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, RFID tag, kolačići na web stranicama, telefonski broj, fotografija, video snimke pojedinaca, OIB, biometrijski podaci, genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, računima u banci, zdravlju, seksualnoj orijentaciji, i mnogi drugi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Kazne za kompanije koje prekrše pravila

Kompanije koje zapošljavaju više od 20 zaposlenika ili se aktivno bave prikupljanjem i obradom podataka morat će imenovati i posebne službenike (Data Protection Officer) koji će se brinuti o njihovoj zaštiti.

Kompanijama i organizacijama koje propuste propisno čuvati podatke prijete drakonske kazne. Više o načinu vođenja brige o podacima, što je posebno bitno za poduzetnike, već smo nedavno objavili na ovom mjestu. Posebnu pozornost oko uvođenja procedura i mehanizama koji će osigurati da se podacima barata u skladu s GDPR-om morat će u kompanijama obratiti IT odjeli koji za to na raspolaganju već imaju brojna tehnološka rješenja raznih proizvođača.

Onima koji budu uhvaćeni u prekršajima protiv GDPR-a može se odrediti kazna u visini do 4% godišnjeg globalnog prometa ili 20 milijuna eura, ovisno koji je iznos veći.

Naša se država, prigodno, izuzela od plaćanja kazni za povredu GDPR pravila, pa njihovi inspektori, Agencija za zaštitu osobnih podataka i ostali neće moći državnim službenicima ispisati kazne. Dođe li, pak, do proboja privatnosti i oni će, kao i svi ostali pravni subjekti, moći odgovarati za načinjenu štetu.

Pravovremeno izvještavanje

Osim što će podaci svih Europljana od sada morati biti nešto bolje zaštićeni i transparentno prikupljani i obrađivani, u slučaju spomenutog proboja svi će nadležni morati promptno reagirati. U slučaju da sigurnost podataka na bilo koji način bude kompromitirana tvrtke su dužne obavijestiti nadležne službe i osobe zadužene za zaštitu podataka u roku od 72 sata, ali bez odgode i pojedinca čiji su osobni podaci povrijeđeni. U suprotnom – ponovno kazne. Ovoga puta do 10 milijuna eura ili 2% godišnjeg prometa.