GDPR, odnosno zaštita osobnih podataka

Opća uredba o zaštiti osobnih podataka (GDPR) vrijedi za sve pravne osobe EU – bilo tvrtke, dobrotvorne udruge ili javne ustanove – koje skupljaju, čuvaju ili obrađuju osobne podatke pojedinaca koji prebivaju u EU, čak i ako nisu državljani Europske unije. GDPR se odnosi i na organizacije sa sjedištem izvan EU koje nude robu ili usluge stanovnicima EU, ili obrađuju njihove osobne podatke.

 

Izvršitelji obrade (data processors) koji obrađuju podatke za neku organizaciju također imaju specifične obaveze uskladiti se s uredbom o zaštiti osobnih podataka. Primjeri izvršitelja usluga su tvrtke koje obrađuju platni spisak tvrtki ili Cloud usluge koje nude pohranu podataka.

Načela zaštite podataka

Osobni podaci moraju biti obrađivani u skladu sa šest načela zaštite podataka:

  • Obrada mora biti zakonita, pravedna i transparentna.
  • Podaci se smiju skupljati samo za određene legitimne svrhe.
  • Obrada mora biti adekvatna, relevantna i ograničena samo na potrebno.
  • Podaci trebaju biti ispravni i ažurirani.
  • Čuvaju se samo koliko je potrebno.
  • U postupku provjere treba omogućiti odgovarajuću sigurnost, integritet i povjerljivost.

Odgovornosti i upravljanje

Morate moći demonstrirati usklađenost s GDPR-om:

  • Osnujte strukture upravljanja s ulogama i obvezama.
  • Vodite detaljnu evidenciju svih postupaka obrade podataka.
  • Dokumentirajte mjere i procedure zaštite podataka.
  • Procijenite učinak na zaštitu podataka za visokorizične postupke obrade.
  • Trenirajte i podižite svijest zaposlenika.
  • Trenirajte i podižite svijest zaposlenika.

Zakonita obrada

Potrebno je identificirati i dokumentirati pravnu osnovu za bilo koju obradu osobnih podataka. Pravne osnove su:

  • Izravna suglasnost pojedinca;
  • Nužnost izvršenja ugovora;
  • Zaštita vitalnih interesa pojedinca;
  • Pravne obveze organizacije;
  • Javni interes; te
  • Legitimni interesi organizacije.

Važeća suglasnost

Stroga su pravila za dobivanje suglasnosti:

  • Suglasnost mora biti dana slobodno, izričito, obavješteno i nedvosmisleno.
  • Zahtjev za suglasnost mora biti shvatljiva i izrečena jasnim, jednostavnim jezikom.
  • Neizjašnjavanje, unaprijed označene kućice i manjak aktivnosti ispitanika više nisu dovoljna suglasnost.
  • Suglasnost može biti povučena u bilo koje vrijeme.
  • Suglasnost za online usluge koje daje dijete mlađe od 13 godina vrijedi jedino uz roditeljsku suglasnost.
  • Organizacije moraju moći dokazati suglasnost ispitanika.

    Prava pojedinaca na privatnost

    Prava pojedinaca su poboljšana i proširena u nekoliko bitnih područja:

    • Pravo na pristup osobnim podacima putem zahtjeva za pristup.
    • Pravo na ispravljanje netočnih osobnih podataka.
    • Pravo na brisanje osobnih podataka u određenim slučajevima.
    • Pravo na prigovor.
    • Pravo na prijenos osobnih podataka s jednog pružatelja usluga na drugog (prijenos podataka).

      Transparentnost i obavijesti o privatnosti

      Organizacije moraju biti jasne i transparentne oko toga kako će, tko i zašto obrađivati osobne podatke.

      • Obavijesti o privatnosti moraju biti iznesene na sažet, transparentan i lako pristupačan način, koristeći jasan i jednostavan rječnik.

        Prijenos podataka izvan EU

        Prijenos osobnih podataka izvan EU dozvoljen je jedino:

        • U zemlje koje je EU imenovala kao one koje pružaju adekvatnu razinu zaštite podataka;
        • Putem standardnog ugovora ili obvezujućih korporativnih pravila; ili
        • U skladu s odobrenim mehanizmom certificiranja, npr. EU-US Privacy Shield.

          Sigurnost podataka i izvještavanje o prekršajima

          Osobni podaci moraju biti zaštićeni od neovlaštene obrade i od slučajnog gubitka, uništenja ili štete.

          • O povredi zaštite podataka mora se obavijestiti Agencija za zaštitu osobih podataka u roku od 72 sata od otkrića proboja.
          • Pojedinci koji su ugroženi trebaju biti obaviješteni ako postoji visoki rizik povrede njihovih prava i slobode, npr. krađa identiteta, osobna sigurnost.

            Službenik za zaštitu podataka (DPO)

            Imenovanje DPO-a obavezno je za:

            • Javne ustanove;
            • Organizacije koje se bave visokorizičnim obradama; te
            • Organizacije koje obrađuju posebne kategorije podataka.

            DPO ima zadatke: informirati i savjetovati organizaciju o njezinim obvezama, nadzirati postojanje suglasnosti, uključujući podizanje svijesti, treniranje zaposlenika i revizije te surađivati s AZOP-om.

              Pravilnim korištenjem i tumačenjem podataka otvaraju nam se nove mogućnosti, bolje shvaćamo potrebe naših kupaca, dobivamo informacije koje nam pomažu u izradi strategija i određivanju ciljeva. Izazov je povezati sve podatke iz svih segmenata poslovanja online i offline te ih objedinjene analizirati i interpretirati ključnim osobama kako bi donijeli ispravne odluke.

              Napredna analiza i vizualizacija podataka unapređuju naša saznanja u Strci te pružaju bazu za izradu naših strategija i najboljih doživljaja naših korisnika. Mi pomažemo našim klijentima predvidjeti obrasce ponašanja korisnika te potičemo rast kroz personalizirani i targetirani sadržaj plasiran kroz razne kanale.

              Osim optimizacije postojećih sistema mi stvaramo i nove sustave za upravljanje odnosima s kupcima te mjerenje učinkovitosti od samog početka. Istražujemo, targetiramo, analiziramo i optimiziramo kako bi povećali vrijednost kupca, pronašli najbolji insight te povećali ROI za naše klijente.