Europska Uredba o zaštiti osobnih podataka (GDPR) od jučer je postala jak alat zaštite u rukama građana.
1. Što je točno GDPR?
Engleska kratica GDPR označava Opću uredbu o zaštiti osobnih podataka (General data protection regulation) koja je s prvim minutama jučerašnjeg dana, 25. svibnja, stupila na snagu. Cilj Uredbe je zaštita pojedinaca vezana uz prikupljanje, obradu, korištenje i pohranjivanje osobnih podataka.
2. Gdje je sve na snazi GDPR?
Uredba o zaštiti osobnih podataka primjenjuje se u svim zemljama Europske unije, što znači i u Hrvatskoj.
3. Na koga se sve Uredba odnosi?
Uredba se zapravo odnosi na – sve. Izuzetaka nema. To znači da njena pravila obvezuju tvrtke (velike, srednje i male, čak i one sa samo jednim zaposlenikom), pojedince (građane, ispitanike, potrošače), pojedince koji obavljaju neku profesionalnu aktivnost, udruge, bolnice, klubove i fizičke osobe kada obrađuju osobne podatke izvan potreba kućanstva (npr. postavljanje videonadzora ispred ulaznih vrata), djelatnosti koje se bave obradom osobnih podataka visokog rizika, djelatnosti u zdravstvenom, turističkom i odgojno-obrazovnom sektoru te djelatnosti koje se bave obradom podataka dobivenih videonadzorom, biometrijom, kao i bankarski sustav. Uredba se odnosi i na sve državne institucije. To znači da svi oni koji u poslovne svrhe prikupljaju, pohranjuju i obrađuju osobne podatke moraju “vlasnicima” tih osobnih podataka jasno objasniti zašto prikupljaju njihove podatke, za što ih točno namjeravaju koristiti, kako će ih i koliko dugo čuvati.
4. Što sve spada u osobne podatke?
Osobni podatak svaka je informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati na temelju obilježja i informacija koja su specifična za njezin identitet. Primjerice, osobni podatak je ime, prezime, adresa, broj telefona, e-mail adresa, osobna fotografija, OIB, podaci o računima u banci i kreditnom zaduženju, genski podaci, biometrijski podaci (otisak prsta ili snimka šarenice oka). Također, osobni su podaci i podaci o zdravlju, vjerskoj i nacionalnoj pripadnosti, članstvu u sindikatu, spolnoj orijentaciji...
5. Treba li i kako uzvraćati na silne e-mail poruke kojima smo ovih dana zatrpani?
Tko god ubuduće želi koristiti vaše osobne podatke, morat će za to zatražiti i dobiti vaš izričiti pristanak. Primjerice, dobijete li e-mail poruku neke turističke agencije u kojoj stoji da je agencija obvezna dobiti vašu suglasnost za upotrebu vaše elektroničke pošte isključivo u svrhu slanja obavijesti o ponudama turističkih aranžmana, vi odlučujete hoćete li im tu suglasnost dati ili ne. Suglasnost se obično daje klikom na link naveden u poruci. Ako pak na takav zahtjev ne odgovorite, to se mora smatrati nedavanjem suglasnosti za korištenje vaših osobnih podataka i ta je turistička agencija vaše podatke obvezna trajno obrisati iz svoje baze podataka.
6. Ako se obratite, recimo, nekoj trgovini s konkretnim upitom, što je obveza te trgovine?
Obratite li se, primjerice, nekoj trgovini s upitom koje sve modele televizora ima i po kojim cijenama, ta trgovina nakon što vam pošalje odgovor mora obrisati podatke o onome tko je taj upit uputio, tj. o vama. Pohranjivanje i korištenje vaših podataka nakon završetka svrhe zbog koje ste se toj trgovini i obratili – kršenje je Uredbe. Trgovina mora zaboraviti da je vaše podatke ikada imala. Jedino ako vas iz trgovine pitaju smiju li sačuvati vaše podatke, uz navođenje točne svrhe njihova eventualnog budućeg korištenja, i vi im taj pristanak date, trgovina može sačuvati vaše podatke i koristiti ih u točno tu svrhu.
7. Mogu li umjesto imena na raznim popisima od sada osvanuti šifre?
Mogu. Recimo, ako roditelji prvotno ne daju izričitu suglasnost za objavu imena i prezimena njihove djece, pri objavljivanju popisa djece upisane u vrtić ili školu, te će odgojno-obrazovne ustanove morati objavljivati popise s ranije dodijeljenim šiframa.
8. Kako reagirati na pozive iz raznih pozivnih centara?
Zazvoni li vam telefon, a s druge strane bude netko iz bilo kojeg pozivnog centra s nekim pitanjem ili ponudom, odmah možete uzvratiti protupitanjem – od kuda vam moji podaci.
9. Kome se možemo obratiti u slučaju kršenja Uredbe?
Nadzorom i provedbom Uredbe o zaštiti osobnih podataka u Hrvatskoj bavi se Agencija za zaštitu osobnih podataka i njoj se možemo obratiti ako uočimo ili doživimo kršenje prava na zaštitu osobnih podataka.
10. Postoje li kazne, i kolike, za nepoštovanje i kršenje Uredbe?
Sankcije postoje. I to od upozorenja, opomena, zabrana i ograničenja do novčanih kazni (maksimalne i od 20 milijuna eura).
GDPR svojom nedorečenošću i mogućnošću širokog tumačenja odvaja Europu od ostatka svijeta i uzrokovat će nazadovanje EU-a u IT sektoru. WEB trgovine, startupovi i sl. sada imaju žestoku birokratsku prepreku. Već ovako EU zaostaje u tom segmentu za ostatkom svijeta, još kada UK izađe, razlika će biti ogromna... Šteta, EU nije iznjedrila već godinama neku svjetsku tehnološku firmu, već desetljećima nema nekog tehnološkog proboja. Ovo je još jedan zakon ili uredba koja će osigurati da takvog proboja ne bude i ubuduće... Već ima hrpa viceva na temu GDPR-a, imaj jedan koji dobro oslikava što je to GDPR; "Ej, imam jednog super savjetnika za GDPR, sve zna, fenomenalan je" - "Joj, baš mi treba, daj mi kontakt" - "Ne smijem, GDPR..."