GDPR- B.L.CONSULTING

Nova uredba GDPR zamjenjuje Direktivu o zaštiti podataka i kreirana je na način da ujednači zakone o zaštiti podataka diljem Europe, pruži zaštitu svim građanima EU i promijeni način na koji organizacije pristupaju zaštiti podataka.

Uredba će stupiti na snagu 25.5.2018. godine, a pored organizacije unutar EU, uredba se odnosi i na:

• Sve ostale organizacije u EU koje nude robu i usluge, ili na drugi način obrađuju podatke nositelja osobnih podataka iz EU.

• Tvrtke koje pohranjuju i obrađuju podatke nositelja podataka sa sjedištem unutar EU, neovisno o geografskoj lokaciji njihovog sjedišta.

GDPR donosi sljedeće promjene za tvrtke:

• Po zahtjevu vlasnika osobnih podataka, svaku radnju potrebno je odraditi u najkraćem roku (ne dužem od 30 dana), te dokazati da su tražene radnje izvršene
• U komunikaciji s vlasnicima osobnih podataka, važno je koristiti jednostavan, jednoznačan i svima razumljiv jezik
• Potrebno je dobiti jednoznačnu privolu za obradu osobnih podataka, a za maloljetnike – suglasnost njihovog zakonskog predstavnika
• Informiranje vlasnika osobnih podataka najkasnije 72 sata nakon curenja podataka
• Uskraćivanje privole za slanje poruka u direktnom marketingu
• Traženje posebne pravne suglasnosti pri transferu osobnih podataka građana EU u zemlje za koje EU nije dala odobrenje
• U dizajnu je potrebno ugraditi podršku zaštiti osobnih podataka
• Definiranje uvjeta obrade podataka s drugim tvrtkama, ukoliko se podaci prikupljaju u ime drugih
• Prema intezitetu i vrsti obrade osobnih podataka, trebalo bi imenovati Službu za zaštitu osobnih podataka
• Potrebno je provesti analizu utjecaja za obradu osobnih podataka koje predstavljaju veliki rizik (po potrebi)
• Smanjene količine podataka što dovodi do lakšeg i jeftinijeg kontroliranja i održavanja

Kazne za nepridržavanje GDPR pravila iznose oko 4% ukupnog globalnog godišnjeg prihoda, ili 20 milijuna eura. To je maksimalna kazna koja se odnosi na teška kršenja Uredbe, kao primjerice manjak dostatnih privola za korištenje osobnih podataka ili kršenja koncepta “Privacy by design”. Umanjena kazna od 2% ili 10M€ odnosi se za vođenje neurednih zapisa osobnih podataka, neobavještavanje nadležnih institucija za curenje podataka ili neprovođenje sigurnosne procjene. Pravila vrijede za organizacije koje prikupljaju podatke, i za one koji ih obrađuju.