Opća uredba (EU) 2016/679 stupila je na snagu 24. svibnja 2016. i primjenjivat će se u Republici Hrvatskoj od 25. svibnja 2018., za što se provode odgovarajuće pripremne aktivnosti u smislu donošenja nacionalnog zakona o provedbi Uredbe. GDPR je jedinstveni skup pravila vezanih uz zaštitu osobnih podataka koji će se primjenjivati u svim zemljama Europske unije i koji će građanima EU osigurati jednaku raznu zaštite podataka, a poduzetnicima jamčiti pravnu sigurnost. Uredbom se uvode nove i pojednostavljuju neke već postojeće definicije (Zakon o zaštiti osobnih podataka), određuju biometrijski i genetski podaci, preciznije opisuju postojeći pojmovi, jačaju prava ispitanika te se smanjuju i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih podataka, jačaju nadzorne ovlasti te propisuje mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka.
Osobni podatak
Osobni podatak je svaka informacija koja se odnosi na fizičku osobu (ispitanika) koja je identificirana ili se pomoću tog podatka može identificirati na osnovi jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca (članak 4. Uredbe). Svaka fizička osoba u Hrvatskoj, bez obzira na državljanstvo ili prebivalište, ima pravo na zaštitu osobnih podataka, a Opća uredba o zaštiti osobnih podataka donosi promjene koje bi trebale povećati sigurnost, privatnost i transparentnost osobnih podataka.
Prikupljanje i obrada
Uredba u članku 4. definira obradu kao svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim ili neautomatiziranim sredstvima (prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje, brisanje ili uništavanje).
Uredba uspostavlja osnovne principe koji se odnose na osobne podatke u smislu da podaci moraju biti obrađeni u skladu sa zakonom, te ih je moguće prikupljati samo za određene, izričite i zakonite svrhe. U članku 6. Uredbe definira se zakonita obrada podataka ako je ispitanik dao privolu za obradu svojih podataka, ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka, ako se njome štite ključni interesi ispitanika, te ako je obrada od javnog interesa ili opravdava legitimni interes voditelja obrade, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika.
Jedan od važnih principa prikupljanja i obrade je i minimiziranje podataka. Minimiziranje podataka znači da obrađeni podaci moraju biti odgovarajući, bitni i ograničeni na ono što je potrebno u odnosu na svrhu za koju se obrađuju. Podaci moraju biti precizni i redovno ažurirani te se ne smiju čuvati dulje nego što je potrebno ili propisanom posebnim propisom.
Kako bi udovoljili ovim zahtjevima, voditelji obrade morat će prilagoditi baze podataka u poduzećima, te imenovati nadležnu osobu (DPO, Data Protection Officer) koja će voditi brigu o tome da je zaštita podataka usklađena s odredbama Uredbe.
Posebne kategorije osobnih podataka
Posebne kategorije osobnih podataka (tzv. osjetljivi podaci) koje moraju biti posebno označene i zaštićene jesu podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, sindikalno članstvo, zdravlje ili spolni život. U posebnu kategoriju osobnih podataka spadaju i osobni podaci o kaznenom i prekršajnom postupku. Uredba (članak 9. stavak 1.) zabranjuje obradu posebnih kategorija osobnih podataka osim u slučajevima koji su izričito propisani Uredbom.
Prava i zaštita
Prema Uredbi svaki građanin Unije sam raspolaže svojim osobnim podacima na način da ima pravo na informiranje, pristup, ispravak, uskraćivanje privole, pravo na prenosivost podataka te pravo na brisanje, tzv. „pravo na zaborav“.
Poduzetnici će sami morati obavijestiti nadzorno tijelo ako postoji povreda prava i slobode pojedinaca i to u roku od 72 sata od saznanja za povredu (članak 33. Uredbe). Uredbom su propisane visoke kazne za organizacije koje neće biti usklađene s njezinim odredbama. Prekršajne kazne mogu ići do maksimalnog iznosa od 20 milijuna EUR ili 4% ukupnog godišnjeg prometa poduzetnika, ovisno o tome što je veće.
Za očekivati je da će nova Uredba prouzročiti povećanje vremena i troška potrebnog da se održi zadovoljavajuća razina usklađenosti s tom regulativom. No, EU šalje jasnu poruku kako pravnim tako i fizičkim osobama da moraju ozbiljno shvatiti zaštitu osobnih podataka kao jedno od temeljnih ljudskih prava koje je suočeno s ozbiljnom prijetnjom u tehnološki sve naprednijem globalnom okruženju.
Ana Paštrović, mag. iur.