GDPR je stupio na snagu 25. svibnja. Novi zakonski propisi koji imaju za cilj bolju zaštitu naših osobnih podataka uključuju mnoge promjene za većinu tvrtki. Pogotovo oni koji imaju vlastite web stranice ili online trgovine. Što je GDPR? Koje promjene uvodi? Koje radnje zahtijeva od vlasnika web stranica? O tome možete pročitati u članku ispod!
GDPR, tj. skup novih obveza
GDPR (Uredba o zaštiti osobnih podataka, ili – u engleskoj verziji GDPR – General Data Protection Regulation) je pravni akt koji na novi način uređuje pitanja zaštite i obrade osobnih podataka. U praksi predstavlja skup obveza za subjekte koji obrađuju široko shvaćene osobne podatke. Svrha GDPR-a je učinkovitija zaštita interesa fizičkih osoba koje imaju pravo na privatnost i sigurnost podataka.
Na koga se primjenjuje GDPR?
Primjenjenim propisima obuhvaćeni su svi subjekti koji prikupljaju i koriste podatke fizičkih osoba. Nove obveze predstavljaju izazov i velikim i malim tvrtkama, uredima, školama, društvenim centrima i drugim djelatnostima koje moraju obrađivati podatke u skladu s novim zakonom.
Što su osobni podaci prema GDPR-u?
Osobni podatak je svaki podatak koji omogućuje identifikaciju fizičke osobe na koju se podatak odnosi, bez uporabe nerazmjernih sredstava i sile. Identifikatori na temelju kojih se fizička osoba može identificirati uključuju osobito: ime i prezime, identifikacijski broj, podatke o lokaciji, mrežni identifikator te jedan ili više specifičnih čimbenika koji određuju fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet fizičke osobe.
GDPR – promjene prije i poslije
GDPR uvodi niz promjena u zaštiti i obradi osobnih podataka. Zadržane su neke od dosadašnjih obveza, poput potrebe davanja privole za obradu podataka. Ono što je novo je:
- potreba da se zabilježi sadržaj privole pored činjenice izražavanja,
- obveza obavijestiti tko je administrator i kontaktirati inspektora za zaštitu podataka, ako je imenovan,
- ukidanje obveze izvješćivanja u vanjski, središnji registar, obveza vođenja registra unutar organizacije,
- načelo procjene rizika – administrator odlučuje o snazi lozinke i drugim sigurnosnim mjerama,
- Administratora informacijske sigurnosti zamjenjuje Inspektor za zaštitu podataka,
- obveza informiranja o povredama osobnih podataka i profiliranju,
- pravo na provjeru, ispravak, prijenos i traženje prestanka obrade Vaših osobnih podataka,
- pooštravanje administrativnih kazni (do 4% godišnjeg prometa ili do 20 milijuna eura u slučaju nepravilnosti).
Načela u vezi s obradom osobnih podataka
Odredbe GDPR-a formuliraju 7 načela za obradu osobnih podataka. Oni su:
- načelo zakonitosti, pouzdanosti i transparentnosti – podaci moraju biti obrađeni zakonito, pouzdano i na transparentan način za nositelja podataka
- načelo ograničenja svrhe obrade podataka – podaci se moraju prikupljati za posebne, izričite i zakonski opravdane svrhe i ne smiju se dalje obrađivati na način koji nije u skladu s tim svrhama,
- načelo minimiziranja podataka – podaci moraju biti primjereni, relevantni i ograničeni na ono što je potrebno u odnosu na svrhe za koje se obrađuju,
- načelo točnosti podataka – podaci moraju biti točni i ažurirani, ako je potrebno, moraju se poduzeti svi razumni koraci kako bi se osiguralo da osobni podaci koji su netočni u svjetlu svrhe njihove obrade budu odmah izbrisani ili ispravljeni, li>
- načelo ograničenja pohrane podataka – podaci moraju biti pohranjeni u obliku koji omogućuje identifikaciju nositelja podataka u razdoblju ne duljem od potrebnog za svrhe za koje se podaci obrađuju,< /strong> li>
- načelo cjelovitosti i povjerljivosti podataka – podaci se moraju obrađivati na način koji osigurava odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade i slučajnog gubitka, uništenja ili oštećenja, korištenjem odgovarajućih sredstava tehnički ili organizacijski,
- načelo odgovornosti – upravitelj je odgovoran za poštivanje odredaba Zakona i mora biti u mogućnosti dokazati njihovo poštivanje.
GDPR i zahtjevi za vlasnike web stranica
- Pristanak – vlasnici web stranica dužni su obavijestiti korisnike o pravu na prijenos podataka, razdoblju pohrane, namjeri prijenosa i korištenju podataka za profiliranje. Sadržaj privole mora biti evidentiran u upisniku privole.
- Promjena lozinki – zadatak administratora je osigurati maksimalnu zaštitu podataka, između ostalog, primjenom sigurnosnih mjera primjerenih zaštićenim podacima i načinu njihove obrade. Administrator odlučuje o učestalosti promjena lozinki (npr. svakih 30 dana).
- Prijava kršenja podataka – novi propisi zahtijevaju od administratora da prijave sve povrede sigurnosti podataka obavještavanjem nositelja podataka i odgovarajućeg nadzornog tijela.
- Obveza informiranja – vlasnici web stranice dužni su informirati korisnike o: podacima upravitelja podataka i inspektora za zaštitu podataka, svrsi obrade podataka, pravnoj osnovi obrade podataka i namjeri prijenosa podataka. podataka drugom subjektu, trećoj zemlji ili međunarodnoj organizaciji, ako postoji.
- Privacy by Design – novi propisi pretpostavljaju da vlasnici web stranica moraju uzeti u obzir načela zaštite osobnih podataka već u fazi dizajna web stranice.
- Vanjski ugovori – GDPR obvezuje vlasnike web stranica na sklapanje ugovora kojima se povjerava obrada osobnih podataka hosting tvrtkama.