Opća uredba o zaštiti podataka (GDPR), čija primjena započinje 25. svibnja ove godine, regulira obradu osobnih podataka. Osobni podaci su oni podaci koji izravno ili u paru s drugim podacima daju informacije o točno određenoj osobi. Na primjer, osobni podaci su ime i prezime, OIB, datum rođenja, fotografije, adresa prebivališta, adresa elektroničke pošte, bankovni račun.
Da bi podaci bili osobni bitno je da se putem njih osoba može identificirati, stoga samo ime i prezime neće biti osobni podatak ako postoji više osoba istog imena i prezimena. Postoje posebne kategorije podataka čija je obrada zabranjena: podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka, podataka koji se odnose na zdravlje, spolni život ili seksualnu orijentaciju. Ovi podaci ne smiju se obrađivati, osim izuzetno, ako su ispunjeni propisani uvjeti.
Obrada osobnih podataka je svaki postupak koji se obavlja s osobnim podacima, kao što je prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, obavljanje uvida, brisanje, uništavanje.
Da bi se osobni podaci uopće mogli obrađivati, obrada mora biti zakonita, odnosno za njihovu obradu mora postojati jedan od pravnih temelja određenih GDPR-om:
1. Osoba je dala privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika kojim daje pristanak za obradu. Iako je privola u GDPR-u navedena na prvom mjestu, treba voditi računa da voditelj obrade podataka mora moći dokazati da je osoba dala privolu, što tehnički može biti vrlo zahtjevno. Stoga se preporuča koristiti privolu samo kada ne postoji neki drugi pravni temelj obrade podataka.
2. Obrada je zakonita ako je nužna za izvršavanje ugovora u kojem je osoba čiji se osobni podaci obrađuju stranka, primjerice kod ugovora o prodaji putem interneta obrtnik može obraditi podatke kao što su ime, adresa dostave, broj kreditne kartice. Također se mogu obraditi podaci potrebni za sklapanje ugovora, primjerice osobni podaci tražitelja zaposlenja radi pozivanja na razgovor za posao.
3. Obrada je zakonita i kada voditelj obrade ima pravnu obvezu obrađivati podatke, kao što poslodavac ima pravnu obvezu voditi evidencije o radnicima, prijaviti ih na Hrvatski zavod za mirovinsko osiguranje, isplaćivati plaće.
4. Zakonita je i obrada koja je nužna da bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, na primjer otkrivanje podataka unesrećene osobe.
5. Obrada je zakonita kada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, primjerice prikupljanje osobnih podataka radi provedbe majstorskih ispita.
6. Zakonita je i obrada koja je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode osobe koji zahtijevaju zaštitu osobnih podataka, primjerice postavljanje video nadzora u radi sprječavanja rizika po imovini, ali ne i postavljanje video nadzora u prostorijama za osobnu higijenu.
Obrada osobnih podataka mora biti poštena i transparentna, što znači da osoba mora biti informirana o samom postupku i točno određenoj svrsi obrade podataka. Obrađivati se mogu samo oni podaci koji su nužno potrebni da bi se ispunila svrha obrade, a mogu se čuvati samo onoliko dugo koliko je to potrebno u odnosu na svrhu obrade.
Pri obradi osobnih podataka potrebno je voditi računa o pravima osoba čiji se podaci obrađuju:
· Pravo na pristup podacima
Osobe čiji se podaci obrađuju imaju pravo znati o kojim podacima je riječ, imaju pravo pristupiti tim podacima, znati svrhu obrade i rok pohrane podataka.
· Pravo na ispravak
Podaci koji se obrađuju moraju biti točni i ažurni, a osobe imaju pravo na ispravak netočnih ili nepotpunih podataka.
· Pravo na zaborav
Osoba ima pravo ishoditi brisanje osobnih podataka ako oni više nisu nužni za svrhu u koju se vode ili je ako je povukla privolu ili ako su podaci nezakonito obrađeni.
· Pravo na prenosivost
Osoba ima pravo preuzeti svoje podatke i prenijeti ih drugom voditelju zbirke podataka.
· Pravo na prigovor
Osoba ima pravo na prigovor na obradu osobnih podataka. Ako se prigovori obradi koja se provodi u svrhu marketinga, osobni podaci ne smiju se više obrađivati.
· Protivljenje automatiziranim odlukama
Ako se odluka, primjerice odluka o odobrenju kredita, temelji isključivo na automatiziranoj obradi osobnih podataka bez ljudskog faktora, osoba se takvoj odluci može protiviti.
Službenika za zaštitu podataka mora se imenovati ako se redovito i sustavno obrađuju veće količine osobnih podataka, ako se obrađuju posebne kategorije podataka ili podaci o kažnjivim djelima. Službenika za zaštitu podataka moraju imenovati tijela javne vlasti i javna tijela. Službenik za zaštitu podataka ne smije biti u sukobu interesa, stoga primjerice ne može se imenovati osoba zadužena za IT sustav.
Najvažniji zahtjev GDPR-a je da obrada podataka mora biti osigurana od neovlaštene i nezakonite obrade, ali i od slučajnog gubitka ili oštećenja. U slučaju povrede osobnih podataka voditelj obrade dužan je u roku od 72 sata obavijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode ispitanika. Ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode, voditelj obrade dužan je obavijestiti ispitanika, osim ako su podaci šifrirani ili su poduzete naknadne mjere koje smanjuju rizik za prava i slobode ispitanika.
Ako nadzorno tijelo utvrdi da postoji povreda osobnih podataka, izreći će novčanu kaznu i sankciju poput upozorenja, opomene, zabrane, ograničenja. Samo iznimno, ako je povreda manja i novčana kazna nerazmjerna, može se izreći samo upozorenje.
Novčane kazne propisane su u visini do 10 milijuna eura ili 2% ukupnog godišnjeg prometa, ovisno o tome što je veće, odnosno do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u slučaju povrede načela obrade podataka, povrede prava ispitanika i drugih izričito navedenih bitnih povreda GDPR-a.