GDPR je važna tema koja utječe na mnoge ljude i tvrtke. Ova europska uredba štiti osobne podatke građana EU-a. GDPR daje ljudima veću kontrolu nad njihovim podacima i postavlja pravila kako tvrtke smiju koristiti te podatke.
Mnogi se pitaju što točno GDPR znači za njih. Uredba donosi nova prava za pojedince, poput prava na brisanje podataka. Za tvrtke pak donosi nove obaveze oko čuvanja i obrade podataka.
Iako zvuči složeno, GDPR je tu da nas zaštiti u digitalnom dobu. Pogledajmo pobliže što ova uredba znači u praksi i kako utječe na naš svakodnevni život online.
Što je GDPR?
GDPR ili Opća uredba o zaštiti podataka je zakon Europske unije koji se bavi zaštitom osobnih podataka i privatnosti građana. Stupio je na snagu 25. svibnja 2018. godine i primjenjuje se u svim zemljama članicama EU-a.
Cilj GDPR-a je dati ljudima veću kontrolu nad njihovim osobnim podacima. To znači da tvrtke i organizacije moraju biti pažljivije s podacima koje prikupljaju i koriste. Moraju tražiti dopuštenje prije nego što uzmu nečije podatke i objasniti zašto ih trebaju.
GDPR štiti razne vrste osobnih podataka. To uključuje ime, adresu, e-mail, pa čak i fotografije i objave na društvenim mrežama. Tvrtke moraju čuvati te podatke sigurno i ne smiju ih dijeliti bez dozvole.
Ako tvrtka prekrši pravila GDPR-a, može dobiti veliku kaznu. Kazne mogu iznositi i do 20 milijuna eura ili 4% godišnjeg prometa tvrtke, ovisno o tome što je veće.
GDPR nije samo za velike tvrtke. Odnosi se na sve organizacije koje prikupljaju osobne podatke, bez obzira na veličinu. To znači da čak i male tvrtke i neprofitne organizacije moraju poštivati ova pravila.
Za građane, GDPR donosi neka nova prava. Ljudi mogu tražiti da vide koje podatke tvrtka ima o njima. Mogu tražiti da se ti podaci izbrišu ili isprave ako nisu točni. Ovo se zove “pravo na zaborav”. Istovremeno, platforme poput Instagrama ostaju popularne jer nude jednostavan način za dijeljenje sadržaja i povezivanje s drugima, ali i zbog mogućnosti praćenja trendova i kreiranja personaliziranog iskustva, unatoč izazovima koje postavlja zaštita privatnosti i sigurnost podataka.
Ključne odredbe GDPR-a
GDPR je velika promjena u zaštiti podataka u Europskoj uniji. Uvodi stroga pravila za tvrtke koje prikupljaju osobne podatke. Sada moraju jasno reći zašto uzimaju podatke i kako će ih koristiti.
Ljudi imaju više prava nad svojim podacima. Mogu tražiti da se njihovi podaci izbrišu ili isprave. Tvrtke moraju to napraviti brzo. Ako netko ne želi da se njegovi podaci koriste, tvrtka mora poštovati tu želju.
GDPR traži da tvrtke bolje čuvaju podatke. Moraju imati jake sigurnosne sustave. Ako dođe do curenja podataka, tvrtke moraju to odmah prijaviti.
Kazne za kršenje GDPR-a su ogromne. Mogu iznositi i do 20 milijuna eura ili 4% godišnjeg prometa tvrtke. To tjera tvrtke da ozbiljno shvate zaštitu podataka.
GDPR vrijedi za sve tvrtke koje rade s podacima ljudi iz EU, čak i ako same nisu u EU. To znači da utječe na tvrtke diljem svijeta.
Ova pravila štite privatnost građana, ali stvaraju izazove za tvrtke. Moraju uložiti puno truda da budu u skladu s GDPR-om. No, to pomaže izgraditi povjerenje s kupcima.
Tko je obuhvaćen GDPR-om?
GDPR se odnosi na sve organizacije koje posluju unutar Europske unije ili obrađuju podatke građana EU-a. To uključuje tvrtke, javne ustanove, neprofitne organizacije i čak pojedince koji prikupljaju osobne podatke.
Uredba štiti prava svih osoba čiji se podaci obrađuju, bez obzira na njihovo državljanstvo ili mjesto boravka. Ako ste građanin EU-a, vaši podaci su zaštićeni čak i kad putujete izvan Unije.
Za tvrtke izvan EU-a GDPR je također važan. Ako nude robu ili usluge građanima EU-a ili prate njihovo ponašanje, moraju se pridržavati ovih pravila. To znači da čak i američka ili kineska tvrtka mora poštovati GDPR ako posluje s Europljanima.
Mala poduzeća nisu izuzeta, ali imaju neke olakšice. Ne moraju voditi detaljne evidencije ako imaju manje od 250 zaposlenika, osim ako redovito obrađuju osjetljive podatke.
GDPR utječe i na pojedince koji obrađuju osobne podatke u poslovne svrhe. Recimo, freelancer koji vodi bazu klijenata mora paziti na zaštitu tih informacija.
Prava pojedinaca prema GDPR-u
GDPR je unio važne promjene u zaštitu osobnih podataka građana EU. Svaka osoba ima pravo znati kako se koriste njezini podaci.
Pojedinci mogu zatražiti pristup svojim podacima koje tvrtke imaju. Mogu tražiti da se netočni podaci isprave ili obrišu. To je poznato kao “pravo na zaborav”.
GDPR daje ljudima veću kontrolu nad njihovim informacijama. Mogu zabraniti tvrtkama da koriste njihove podatke za marketing. Također mogu tražiti da se podaci prenesu drugom pružatelju usluga.
Tvrtke moraju jasno objasniti kako koriste osobne podatke. Moraju tražiti izričiti pristanak prije prikupljanja osjetljivih informacija. To uključuje zdravstvene podatke ili političke stavove.
Ako dođe do curenja podataka, tvrtke moraju obavijestiti pogođene osobe. To se mora učiniti u roku od 72 sata od otkrivanja povrede.
GDPR štiti i djecu na internetu. Roditelji moraju dati pristanak za prikupljanje podataka o djeci mlađoj od 16 godina.
Ova prava daju građanima veću moć nad njihovim digitalnim identitetom. Tvrtke koje ih ne poštuju mogu dobiti velike novčane kazne.
Obveze organizacija prema GDPR-u
GDPR je uredba koja je unijela velike promjene u način na koji organizacije postupaju s osobnim podacima. Svaka tvrtka koja prikuplja ili obrađuje podatke o građanima EU mora poštivati stroga pravila.
Organizacije moraju dobiti jasnu privolu od pojedinaca za prikupljanje njihovih podataka. To znači da više nije dovoljno imati sitno otisnutu izjavu o privatnosti. Umjesto toga, tvrtke moraju jasno objasniti kako će koristiti podatke i dobiti aktivni pristanak.
Još jedna važna obveza je sigurnost podataka. Tvrtke moraju poduzeti tehničke i organizacijske mjere kako bi zaštitile osobne podatke od curenja ili zlouporabe. To može uključivati enkripciju, redovite sigurnosne provjere i obuku zaposlenika.
GDPR također zahtijeva da organizacije imenuju službenika za zaštitu podataka ako obrađuju osjetljive podatke u velikom opsegu. Ova osoba nadgleda usklađenost s GDPR-om i djeluje kao kontakt točka za nadzorna tijela.
U slučaju curenja podataka, tvrtke moraju obavijestiti nadležna tijela u roku od 72 sata. Moraju također obavijestiti pojedince čiji su podaci ugroženi ako postoji visok rizik za njihova prava i slobode.
GDPR daje pojedincima pravo na pristup svojim podacima i pravo na brisanje (“pravo na zaborav”). Organizacije moraju biti spremne udovoljiti tim zahtjevima u razumnom roku.
Imenovanje službenika za zaštitu podataka (DPO)
Mnoge tvrtke i organizacije pitaju se trebaju li imenovati službenika za zaštitu podataka (DPO). To nije uvijek obvezno, čak i ako obrađujete osobne podatke.
Postoje tri ključna slučaja kada morate imenovati DPO-a:
- Ako ste tijelo javne vlasti ili javno tijelo
- Ako vaše osnovne djelatnosti uključuju redovito i sustavno praćenje pojedinaca u velikoj mjeri
- Ako vaše osnovne djelatnosti uključuju opsežnu obradu posebnih kategorija podataka
Zanimljivo je da broj zaposlenika nije presudan faktor. Mala tvrtka s 5 ljudi može trebati DPO-a, dok velika s 1000 možda ne treba.
DPO može biti zaposlenik vaše organizacije ili vanjski suradnik. Važno je da nema sukoba interesa s drugim zadacima.
Za javna tijela, jedan DPO može pokrivati više ustanova. To štedi novac i resurse.
Uloga DPO-a je ključna. On savjetuje o GDPR-u, nadzire usklađenost i surađuje s nadzornim tijelom. Dobar DPO može vam uštedjeti puno glavobolja i eura.
Ako niste sigurni trebate li DPO-a, savjetujte se sa stručnjakom. Bolje spriječiti nego liječiti kad su u pitanju osobni podaci građana!
Kazne za kršenje GDPR-a
GDPR je ozbiljna stvar. Tvrtke koje ga krše mogu dobiti debele novčane kazne. U Hrvatskoj je Agencija za zaštitu osobnih podataka (AZOP) zadužena za provedbu GDPR-a. Od 2020. godine AZOP je izdao čak 32 kazne za kršenje GDPR-a.
Ukupan iznos tih kazni je vrtoglav – čak 3,1 milijun eura! Samo u 2024. godini izdano je 13 kazni u vrijednosti od 2,3 milijuna eura. Izgleda da tvrtke i dalje ne shvaćaju GDPR dovoljno ozbiljno.
Kazne za kršenje GDPR-a mogu biti prilično visoke. Za lakše prekršaje mogu iznositi do 10 milijuna eura ili 2% godišnjeg prihoda tvrtke. Za teže prekršaje kazne sežu do čak 20 milijuna eura ili 4% godišnjeg prihoda.
Neki od najtežih prekršaja su curenje i gubitak podataka. AZOP posebno strogo kažnjava takve slučajeve. Tvrtke bi trebale dobro paziti na sigurnost podataka svojih korisnika ako žele izbjeći skupu kaznu.
Zanimljivo je da je AZOP nedavno izdao novih 12 kazni u ukupnom iznosu od 270.700 eura. Čini se da tvrtke i dalje griješe kad je u pitanju zaštita osobnih podataka. Možda će im ove visoke kazne biti dobra lekcija da se uozbiljnje oko GDPR-a.
