Kako biste se pripremili za nadolazeće promjene, pozivamo vas na savjetovanje za obrtnike „Modernizacija zakonodavstva o zaštiti podataka – Opća uredba (GDPR)“, u organizaciji Hrvatske obrtničke komore i Agencije za zaštitu osobnih podataka, koje će se održati 11. travnja 2018. godine, u Velikoj dvorani Hrvatske obrtničke komore, Ilica 49/II, s početkom u 10,00 sati.
Prijave s podacima (ime i prezime) zaprimaju se na e-mail adresu: filip.mance@hok.hr, do 10. travnja 2018. godine.
Program savjetovanja nalazi se na:
TEMELJNI ZAHTJEVI OPĆE UREDBE O ZAŠTITI PODATAKA
Opća uredba o zaštiti podataka (GDPR), čija primjena započinje 25. svibnja ove godine, regulira obradu osobnih podataka. Osobni podaci su oni podaci koji izravno ili u paru s drugim podacima daju informacije o točno određenoj osobi. Na primjer, osobni podaci su ime i prezime, OIB, datum rođenja, fotografije, adresa prebivališta, adresa elektroničke pošte, bankovni račun.
Da bi podaci bili osobni bitno je da se putem njih osoba može identificirati, stoga samo ime i prezime neće biti osobni podatak ako postoji više osoba istog imena i prezimena. Postoje posebne kategorije podataka čija je obrada zabranjena: podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka, podataka koji se odnose na zdravlje, spolni život ili seksualnu orijentaciju. Ovi podaci ne smiju se obrađivati, osim izuzetno, ako su ispunjeni propisani uvjeti.
Obrada osobnih podataka je svaki postupak koji se obavlja s osobnim podacima, kao što je prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba, obavljanje uvida, brisanje, uništavanje.
Da bi se osobni podaci uopće mogli obrađivati, obrada mora biti zakonita, odnosno za njihovu obradu mora postojati jedan od pravnih temelja određenih GDPR-om:
Obrada osobnih podataka mora biti poštena i transparentna, što znači da osoba mora biti informirana o samom postupku i točno određenoj svrsi obrade podataka. Obrađivati se mogu samo oni podaci koji su nužno potrebni da bi se ispunila svrha obrade, a mogu se čuvati samo onoliko dugo koliko je to potrebno u odnosu na svrhu obrade.
Pri obradi osobnih podataka potrebno je voditi računa o pravima osoba čiji se podaci obrađuju:
Osobe čiji se podaci obrađuju imaju pravo znati o kojim podacima je riječ, imaju pravo pristupiti tim podacima, znati svrhu obrade i rok pohrane podataka.
Podaci koji se obrađuju moraju biti točni i ažurni, a osobe imaju pravo na ispravak netočnih ili nepotpunih podataka.
Osoba ima pravo ishoditi brisanje osobnih podataka ako oni više nisu nužni za svrhu u koju se vode ili je ako je povukla privolu ili ako su podaci nezakonito obrađeni.
Osoba ima pravo preuzeti svoje podatke i prenijeti ih drugom voditelju zbirke podataka.
Osoba ima pravo na prigovor na obradu osobnih podataka. Ako se prigovori obradi koja se provodi u svrhu marketinga, osobni podaci ne smiju se više obrađivati.
Ako se odluka, primjerice odluka o odobrenju kredita, temelji isključivo na automatiziranoj obradi osobnih podataka bez ljudskog faktora, osoba se takvoj odluci može protiviti.
Službenika za zaštitu podataka mora se imenovati ako se redovito i sustavno obrađuju veće količine osobnih podataka, ako se obrađuju posebne kategorije podataka ili podaci o kažnjivim djelima. Službenika za zaštitu podataka moraju imenovati tijela javne vlasti i javna tijela. Službenik za zaštitu podataka ne smije biti u sukobu interesa, stoga primjerice ne može se imenovati osoba zadužena za IT sustav.
Najvažniji zahtjev GDPR-a je da obrada podataka mora biti osigurana od neovlaštene i nezakonite obrade, ali i od slučajnog gubitka ili oštećenja. U slučaju povrede osobnih podataka voditelj obrade dužan je u roku od 72 sata obavijestiti nadzorno tijelo, osim ako nije vjerojatno da će povreda prouzročiti rizik za prava i slobode ispitanika. Ako je vjerojatno da će povreda prouzročiti visok rizik za prava i slobode, voditelj obrade dužan je obavijestiti ispitanika, osim ako su podaci šifrirani ili su poduzete naknadne mjere koje smanjuju rizik za prava i slobode ispitanika.
Ako nadzorno tijelo utvrdi da postoji povreda osobnih podataka, izreći će novčanu kaznu i sankciju poput upozorenja, opomene, zabrane, ograničenja. Samo iznimno, ako je povreda manja i novčana kazna nerazmjerna, može se izreći samo upozorenje.
Novčane kazne propisane su u visini do 10 milijuna eura ili 2% ukupnog godišnjeg prometa, ovisno o tome što je veće, odnosno do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u slučaju povrede načela obrade podataka, povrede prava ispitanika i drugih izričito navedenih bitnih povreda GDPR-a.