Poglavlja 01 Na snazi: 25. svibnja 2018.

GDPR

Opća uredba o zaštiti podataka

Pregled

Opća uredba o zaštiti podataka (GDPR) je kamen temeljac prava EU o zaštiti podataka. Zamijenila je Direktivu o zaštiti podataka 95/46/EZ i značajno ojačala prava pojedinaca nad njihovim osobnim podacima dok je nametnula sveobuhvatne obveze voditeljima i izvršiteljima obrade podataka.[1]

GDPR se primjenjuje na svaku organizaciju koja obrađuje osobne podatke pojedinaca u EU, bez obzira na to gdje je organizacija osnovana. Ovaj izvanteritorijalni opseg učinio je GDPR de facto globalnim standardom za zaštitu podataka.[2]

Tko mora poštivati

  • Voditelji obrade: Organizacije koje određuju svrhe i načine obrade osobnih podataka
  • Izvršitelji obrade: Organizacije koje obrađuju osobne podatke u ime voditelja
  • Subjekti izvan EU: Svaka organizacija koja nudi robu/usluge stanovnicima EU ili prati njihovo ponašanje
  • Svi sektori: Primjenjuje se u svim industrijama s ograničenim iznimkama za provedbu zakona i nacionalnu sigurnost

Ključni zahtjevi za programere

Pravna osnova za obradu

Svaka operacija obrade mora imati valjanu pravnu osnovu prema članku 6:[3]

  1. Privola: Dobrovoljna, specifična, informirana i nedvosmislena
  2. Ugovor: Potrebno za izvršenje ugovora s ispitanikom
  3. Pravna obveza: Propisano zakonom EU ili države članice
  4. Životni interesi: Zaštita života ispitanika ili druge osobe
  5. Javni interes: Potrebno za zadatak od javnog interesa ili službenu ovlast
  6. Legitimni interesi: Uravnoteženi s pravima ispitanika (nije dostupno javnim tijelima)

Tehnički zahtjevi

  • Minimizacija podataka: Prikupljati samo ono što je potrebno za određenu svrhu
  • Ograničenje pohrane: Čuvati osobne podatke samo onoliko dugo koliko je potrebno
  • Integritet i povjerljivost: Provesti odgovarajuće sigurnosne mjere
  • Privatnost ugrađena u dizajn i prema zadanim postavkama: Ugraditi zaštitu podataka u sustave od samog početka (članak 25)[4]

Prava ispitanika

Aplikacije moraju podržavati sljedeća prava:

PravoOpisVrijeme odgovora
Pristup (čl. 15)Omogućiti kopiju osobnih podataka i informacije o obradi1 mjesec
Ispravak (čl. 16)Ispraviti netočne osobne podatkeBez nepotrebnog odgađanja
Brisanje (čl. 17)Izbrisati podatke kada više nisu potrebniBez nepotrebnog odgađanja
Ograničenje (čl. 18)Ograničiti obradu u određenim okolnostimaBez nepotrebnog odgađanja
Prijenosivost (čl. 20)Omogućiti podatke u strojno čitljivom formatu1 mjesec
Prigovor (čl. 21)Uložiti prigovor na obradu temeljem legitimnih interesaBez nepotrebnog odgađanja

Obavijest o povredi

  • Nadzornom tijelu: Unutar 72 sata od saznanja (članak 33)[5]
  • Ispitanicima: Bez nepotrebnog odgađanja kada postoji visok rizik za prava i slobode (članak 34)
  • Dokumentacija: Voditi evidenciju svih povreda bez obzira na obvezu obavještavanja

Kazne

GDPR uspostavlja složenu strukturu kazni:

  • Niži stupanj: Do 10 milijuna € ili 2% godišnjeg globalnog prometa, ovisno što je veće
  • Viši stupanj: Do 20 milijuna € ili 4% godišnjeg globalnog prometa, ovisno što je veće[6]

Glavne izrečene novčane kazne uključuju:

  • Amazon (Luksemburg, 2021): 746 milijuna €
  • Meta/Facebook (Irska, 2023): 1,2 milijarde €
  • Google (Francuska, 2022): 90 milijuna €

Popis za provedbu

  • Identificirati sve aktivnosti obrade osobnih podataka
  • Uspostaviti pravnu osnovu za svaku operaciju obrade
  • Provesti upravljanje privolama gdje je primjenjivo
  • Izraditi obavijesti o privatnosti koje zadovoljavaju zahtjeve transparentnosti
  • Izgraditi mehanizme za obradu zahtjeva ispitanika
  • Provesti odgovarajuće sigurnosne mjere
  • Uspostaviti postupke za otkrivanje i obavještavanje o povredama
  • Provesti procjene utjecaja na zaštitu podataka za obradu visokog rizika
  • Imenovati službenika za zaštitu podataka ako je potrebno
  • Voditi evidenciju o aktivnostima obrade (RoPA)

Izvori i reference

[1]
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća. EUR-Lex: Službeni tekst GDPR-a
[2]
Teritorijalni opseg GDPR-a, članak 3. GDPR.eu: Teritorijalni opseg
[3]
Zakonitost obrade, članak 6. GDPR-Info: Članak 6
[4]
Zaštita podataka ugrađena u dizajn i prema zadanim postavkama, članak 25. GDPR-Info: Članak 25
[5]
Obavijest o povredi osobnih podataka, članak 33. GDPR-Info: Članak 33
[6]
Administrativne novčane kazne, članak 83. GDPR-Info: Članak 83