Opća uredba o zaštiti podataka na prvi pogled djeluje kao prilično velik dokument, dok ne shvatimo da je dobar dio teksta preambula, tj. ciljevi nove regulative, a od normativnog dijela – jedno četvrtina se tiče regulatornih tijela i postupaka u slučaju spora, a tu su i posebni izuzeci za države, recimo prilikom obrade OIB-a.

Prije analize Uredbe krenemo odmah u ono što mnoge zanima: je li toliko drugačija i nova da se treba plašiti te kako treba ići na skupe tečajeve i organizirati skupe profesionalne konzultante. Da odmah kažemo – ako imate neki sustav informacijske sigurnosti i, možda najvažnije, razvijenu kulturu zaštite podataka, ako u tvrtki imate pravnika kojega zanimaju nove stvari, i nekoga tko ima znanja iz sustava informacijske sigurnosti (ISO 27001), većinu ili svu pripremu odradit ćete i sami, ako ljudima zaduženim za to date dovoljno vremena. Jer, nema tu ništa revolucionarno, ali sve je prilično opsežno i traži mnogo vremena.

No, ako nemate znanja, a posebno zainteresiranog vlastitog osoblja, ili im ne možete dodijeliti dovoljno vremena za pripremu i prilagodbu – onda je bolje da se oslonite na vanjske partnere.

Predviđa li nova Uredba i nove, drakonske kazne? Da, ako radite zaista velike gluposti, no te drakonske kazne predviđene su ipak za najveća kršenja propisa, tipa kada bi vlasnik društvene mreže nezakonito trgovao podacima. Ili ako netko tipa telekoma ili banke, koji imaju stotine tisuća korisnika, ne poštuje okvir koji nalaže Opća uredba.

Dolazi li u obzir “mi smo mali i nismo se stigli pripremiti”? Ne, Uredba se odnosi na sve, čak i mikropoduzetnike. To što nećete dobiti kaznu u milijunima, već možda “samo” nekoliko desetaka tisuća kuna, za vaše poslovanje može biti i gore nego kada multinacionalka dobije kaznu od milijun kuna.

Osobni podatak

Definicija osobnog podatka nešto je šira nego u prošlim propisima: “osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (“ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Idemo odmah na primjer iz medicine: ako pišemo znanstveni rad o gripi, onda opis dijagnoza nije kršenje osobnih podataka, jer svake godine deseci tisuća ljudi dobiju gripu i ne može se znati bez dodatnih podataka kojih petero ste opisivali. Ako je neka bolest koju ima troje ljudi u Hrvatskoj – pisanje o tome znači da se identitet te osobe može utvrditi – stoga ćete osobu uredno pitati za privolu. Ili još jednostavnije: pojam “vlasnik Bentleyja u Otočcu” je osobni podatak – jer ako ga ima, samo je jedan ili možda dvojica, ali “vlasnik Bentleyja u Hrvatskoj” nije jer bez dodatne informacije ne možemo doći do konkretne osobe. Dakle, što je sve osobni podatak u praksi – razmišljajmo!

Ono novo što Opća uredba sadrži je zaštita genetskih i biometrijskih podataka. Prema pojmovniku, “genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca, koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca. Prema istome, “biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci.

Zašto posebna zaštita te dvije kategorije? Prvo, ne biste voljeli da vam osiguravajuća kuća pošalje skuplju policu jer, eto, genetski imate određene predispozicije prema nekoj bolesti, a oni su do toga došli. Što se izričitog navođenja biometrijskih podataka tiče, stvari su još jednostavnije – špijuni su već davno znali za rukavice s lažnim otiscima prstiju, a danas je dosta da u Google utipkate “fake fingerprint”, i bit će vam jasno kako ne želite da itko neovlašten ikada ima vaše otiske prstiju. Doslovno – nitko i nikada, jer tim otiskom otključavate mobitel ili računalo. Ili se prijavljujete u uredu.

Načela

Prema Općoj uredbi, osobni podaci moraju biti: zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika; prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, ne smatra se neusklađenom s prvotnim svrhama. Dalje, osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju; točni i prema potrebi, ažurni. Moraju se čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.

Također, osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

Za sve ovo gore odgovara voditelj obrade. Voditelj obrade znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo, ili s drugima, određuje svrhe i sredstva obrade osobnih podataka.

Primijetimo kako se određuje i sigurnost osobnih podatka, tj. zaštitu od neovlaštene obrade ili gubitka ili oštećenja podataka. U ovom dijelu Uredba, dakle, okvirno regulira i način čuvanja takvih podatka.

Zakonitost obrade

Obrada osobnih podataka zakonita je samo ako je, i u mjeri u kojoj je, ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; i na kraju, obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

E, sada, ovdje Opća uredba navodi i sljedeće: “države članice mogu zadržati ili uvesti posebne odredbe (…)”, dakle Hrvatska može neke stvari dodatno ili posebno propisati – zato ćemo morati čekati i naš nacrt Zakona o zaštiti osobnih podataka, jer će neke stvari gotovo sigurno biti drugačije riješene od općih pravila Uredbe. To vrijedi za sve izuzetke (kojih Uredba i nema baš malo).

Uvjeti privole

Područje privole (dozvole da se koriste vaši osobni podaci) bitno je preciznije riješeno nego što je bilo do sada. Zašto? Ovdje je bilo najviše zloporaba. Jasno je da ako imate automobil i jamstvo od 7 godina, da će vaš distributer u cilju izvršavanja ugovorne obveze čuvati vaše osobne podatke, jasno je i da ako negdje završite fakultet da će on trajno čuvati dio vaših osobnih podataka kako bi se diploma mogla provjeriti (štoviše, ti će podaci jednom u Državni arhiv na trajno čuvanje!), no što i kako ako ste sami dali privolu?

Uredba navodi da kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ako ispitanik da privolu u obliku pisane izjave, koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen tako da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući.

Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

Najkraće – morate dokazati da je ispitanik izričito dao privolu za obradu njegovih podataka i da, uvijek je može povući.

I još nešto što nije postojalo – prilikom nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina, takva je obrada zakonita samo ako je, i u mjeri u kojoj je, privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.

Obrada posebnih kategorija osobnih podataka

Prema izričitoj odredbi, zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje, ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

No, ta odredba ima niz izuzetaka, od toga kada je ispitanik dao izričitu privolu za obradu tih osobnih podataka, preko toga da je obrada nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava, do toga da se obrada provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem.

U praksi – nemojte misliti da ne obrađujete ove podatke. Kao prvo, svaka tvrtka obrađuje dio podataka o zdravlju: djelatnici odlaze na bolovanje, čuvanje trudnoće, a netko možda ima i smanjenu radnu sposobnost. Ne zaboravite i da pripadnici nekih vjerskih zajednica imaju pravo ne raditi na svoje vjerske blagdane, ako sami to zatraže, tako da kadrovska služba može imati i podatke o vjerskoj pripadnosti.

Prava ispitanika

Voditelj obrade osobnih podataka mora biti spreman ispitaniku pružiti cijeli niz informacija o osobnim podacima koje prikuplja.

Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije: identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade; kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo; svrhe obrade radi kojih se upotrebljavaju osobni podaci, kao i pravnu osnovu za obradu; legitimne interese voditelja obrade ili treće strane; primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji. Pazite, sve to treba biti navedeno u trenutku prikupljanja osobnih podatka!

Osim spomenutih informacija, voditelj obrade ispitaniku pruža sljedeće informacije nužne za osiguravanje poštene i transparentne obrade, s obzirom na ispitanika: razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje; legitimne interese voditelja obrade ili treće strane; postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima, i ispravak ili brisanje osobnih podataka ili ograničavanje obrade podataka koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka; postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena; pravo na podnošenje prigovora nadzornom tijelu; izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora; te postojanje automatiziranog donošenja odluka te smislene informacije o tome o kakvoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Nadalje, izričito se navodi kako ispitanik od voditelja obrade ima pravo dobiti potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima.

Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

Pravo na brisanje

Pravo na brisanje (“pravo na zaborav”) već se godinama razvija u praksi Europske unije, no sada se podiže na višu razinu. Izričito je uređeno Uredbom.

Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose, bez nepotrebnog odgađanja, te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta: osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; ispitanik povuče privolu na kojoj se obrada zasniva, i ako ne postoji druga pravna osnova za obradu; ispitanik uloži prigovor na obradu te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu; osobni podaci nezakonito su obrađeni; osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade; osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva.

Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka, ili ograničenje obrade svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.

Automatizirano pojedinačno donošenje odluka

Poznato je da mnoge tvrtke, posebno veliki sustavi i banke, koriste već softvere za automatsku izradu profila, kojim vam nude nove usluge, omogućuju minus na računu i slično. Kako kaže Opća uredba: “izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca.

Ovome se možete usprotiviti. Uz nekoliko izuzetaka, ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

Službenik za zaštitu podataka

Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem: obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti; osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri; ili osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka.

Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća. Voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka.

Ispitanici mogu kontaktirati službenika za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Uredbe.

U ovom tekstu naveli smo samo najvažnije odredbe novog pravnog okvira, nismo, primjerice, obrazložili pitanja međugraničnog prijenosa podataka te nadzornog tijela za zaštitu osobnih podataka. Za analizu cijele Opće uredbe, članak po članak, trebala bi najmanje cijela Mreža.

Što napraviti u praksi? Kao prvo, iskreno pogledajte koliko osobnih podataka prikupljate. Jesu li to samo podaci kako bi se osiguralo jamstvo na robu, ili su, primjerice, tisuće i tisuće osobnih podataka koji uključuju i posebne kategorije osobnih podatka, recimo ako ste banka, telekom, distributer električne energije ili trgovački lanac koji ima svoje “kartice lojalnosti”. Sastavite tim i provjerite jesu li dovoljno ekipirani i imaju li dovoljno vremena – ako imate to sve, možete i sami. Ako ne, pogledajte na koga i koliko se morate osloniti.

Ako spadate u one koji prikupljaju velike baze osobnih podataka – krenite odmah, ako već niste, jer vremena je dosta malo.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.