25. svibnja 2018. započinje puna primjena GDPR u Hrvatskoj. Izdvojili smo neka ključna pitanja vezana uz GDPR, informacije o samoj Općoj uredbi o zaštiti osobnih podataka (GDPR), ali i podatke koji primjenu ove Opće uredbe stavljaju u kontekst kako EU, tako i Hrvatske.
Svaki element infografike razdijelili smo po segmentima te uz dodatna objašnjena nastojali pojasniti što podaci govore o trenutnom stanju. Na kraju, donosimo i integralnu infografiku.
Podatke za infografiku, kao i objašnjenja uz njih pripremila je Ana Keglović Horvat, dok je dizajn infografike napravila Maja Damjanović.
GDPR stupio je na snagu još 2016., a u puna primjena počinje 25. 5. 2018. Ovu činjenicu stalno naglašavam kako biste shvatili da smo već gotovo dvije godine u vremenu koje nam je ostavljeno za prilagodbu. To znači da dodatnih rokova ili produženja neće biti. Sva prava i obveze po GDPR za fizičke i pravne osobe nastupaju 25. 5. 2018.
Neovisno o tome kada će stupiti na snagu novi Zakon o zaštiti osobnih podataka kao naš nacionalni zakon, GDPR će se primjenjivati od 25. 5.
GDPR proširuje značajno listu podataka koji će se smatrati osobnim podacima. Svaki podatak ili skupina podataka koji fizičku osobu identificira ili može identificirati smatra se osobnim podatkom po GDPR. Tekst Opće uredbe ne navodi taksativno apsolutno sve podatke koji su predmet zaštite.
Ovakvom definicijom iz GDPR, enkriptirani ili pseudonimizirani podaci isto se smatraju osobnim podacima ako se nekom reverzibilnom metodom ili u kombinaciji s drugim podacima opet može doći do identiteta fizičke osobe.
Svih 28 zemalja članica EU na unificiran način primjenjivat će GDPR, samim time za sve je zapriječena ista maksimalna kazna za povrede Opće uredbe i iznosi 20 mil. eura ili 4% godišnjeg globalnog prometa organizacije (ovisno što je od toga veće).
GDPR predviđa 7 prava ispitanika vezanih uz zaštitu osobnih podataka, a da bi se organizacije dobro pripremile i kvalitetno provodile GDPR, mnoge će imenovati Službenika za zaštitu podataka (eng. DPO – Data Protection Officer). Procjenjuje se da trenutno nedostaje 27.000 DPO-a u EU.
Ni u Hrvatskoj situacija sa stručnjacima koji kvalitetno mogu obavljati poslove Službenika za zaštitu podataka nije bitno bolje. Nedostaje nam stručnjaka koji su spremni preuzeti poslove u GDPR režimu poslovanja.
Službenika za zaštitu osobnih podataka moraju imenovati organizacije koje zapošljavaju više od 250 radnika, tijela javne vlasti, ali i sve one organizacije koje provode opsežne obrade podataka ili se bave obradama posebnih kategorija podataka.
Čini se da će mnogim organizacijama trebati Službenik za zaštitu osobnih podataka. Naime, jedan od kriterija kada ste obavezni imenovati službenika za zaštitu osobnih podataka je da vaša organizacija prikuplja i obrađuje posebne kategorije podataka.
U posebne kategorije podataka ulaze podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život i osobni podaci o kaznenom i prekršajnom postupku. Posebno se štite osobni podaci djece.
U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja, najkasnije u roku 72 sata nakon saznanja o povredi, mora izvijestiti nadzorno tijelo (AZOP) o povredi osobnih podataka, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinca.
U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinca, voditelj obrade bez nepotrebnog odgađanja mora obavijestiti i ispitanika o povredi osobnih podataka.
Voditelj obrade ispitaniku na zahtjev pruža informacije o obradi i prikupljanju, te ostalim aktivnostima bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva.
Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.
Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako se radi o privoli u pogledu nuđenja usluga informacijskog društva izravno djetetu, prema GDPR-u, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.
Države članice mogu u te svrhe zakonom predvidjeti nižu dobnu granicu, pod uvjetom da takva niža dobna granica nije niža od 13 godina.
Prema GDPR, ako je tijelo javne vlasti ili javno tijelo voditelj ili izvršitelj obrade, dužni su imenovati službenika za zaštitu podataka. Ova obveza nije predviđena za sudove u okviru njihove sudske nadležnosti.
Prema javno dostupnim podacima na Internetskim stranicama Povjerenice za informiranje, ista je zabilježila da u Hrvatskoj na dan 1. 3. 2018. imamo 5.864 tijela javne vlasti. Na ovim stranicama moguće ih je pretražiti klasificirane prema mnogim kriterijima, a mi smo izdvojili broj TJV prema osnivaču.
Ako podatke o tijelima javne vlasti, a prema javno dostupnim informacijama Povjerenice za informiranje, gledamo prema područjima rada, izdvojili smo samo područja koja su srodna s posebnim skupinama osobnih podataka.
Nastojali smo povezati, iako za to nema precizne klasifikacije, ona tijela javne vlasti koja bi mogla baratati pravosuđem, zdravljem, odgojem i obrazovanjem (pretpostavka je da prikupljaju i obrađuju posebne kategorije podataka po GDPR), te ona koja se bave gospodarsko djelatnošću.
Prema javno dostupnim podacima Državnog zavoda za statistiku RH, sa stanjem na dan 31. 12. 2017., u Hrvatskoj aktivno (pasivne smo zanemarili) djeluje 150.401 pravna osoba, bez obzira na način osnivanja i pravni status. Od toga broja, 564 pravne osobe imaju više od 250 zaposlenih, što znači da su dužni imenovati službenika za zaštitu osobnih podataka, ako gledamo samo taj kriterij, a ne i ostale.
87.954 pravne osobe u Hrvatskoj imale su na dan 31. 12. 2017. barem jednu zaposlenu osobu, što bi dalo za pretpostaviti da vjerojatno prikupljaju i obrađuju osobne podatke barem za tu jednu fizičku osobu (radnika) i samim time su vjerojatno obveznici usklađivanja po GDPR.
Statistike Državnog zavoda za statistiku ne pružaju mogućnost dohvata podataka o vrstama poslovanja pravnih osoba koja bismo mogli uskladiti s kategorijama obrada podataka (pogotovo posebnih kategorija podataka) tako da točno možemo znati što koja pravna osoba prikuplja i obrađuje od osobnih podataka.
Stoga smo izdvojili samo tri kategorije koje su svakako bitne: obrazovanje (vjerojatno prikupljaju podatke o djeci), djelatnosti zdravstvene zaštite i socijalne skrbi (zdravstveni podaci) i djelatnosti smještaja u hotelima i ostalim smještajnim kapacitetima. Naime, kao turistička zemlja, već ove godine ugostit ćemo veliki broj građana EU koji će prema GDPR imati zaštitu osobnih podataka i kod naših iznajmljivača i turističkih usluga bilo koje vrste.
Infografike iz ovog članka možete preuzeti za daljnju objavu bez dodatnog odobrenja. Pri korištenju ili objavi, molimo vas da obavezno navedete AKH Consulting kao izvor.
Za sve eventualne prilagodbe ili izmjene naših materijala i grafika, te manipulacije njima, molimo da nam se prethodno obratite za dopuštenje.
Autorica grafike – Ana Keglović Horvat
Dizajn grafike – Maja Damjanović
AKH Consulting © 2018.