GDPR i 25.svibnja 2018.

Objavio:

Kategorija: Novosti

0

Sigurno ste u zadnje vrijeme čuli da se spominje GDPR-a i bližeći rok.

U ovom dokumentu ćemo vam pokušati malo približiti temu i objasniti o čemu se radi.

Što je GDPR?

GDPR (General Data Protection Regulation) je:

„UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka”.

To je uredba, ili krovni zakon EU, kojim se regulira zaštita osobnih podataka u EU.

Uredba obavezuje sve zemlje članice EU na zakonsku implementaciju pojmova, aktivnosti i ograničenja koje su u njoj navedene.

Sažetak

GDPR je uredba europska uredba s kojom se moraju uskladiti svi nacionalni zakoni. Istovremeno, nacionalni važeći zakoni su jači od ove uredbe.

Cilj GDPR uredbe je zaštiti pojedinca od nekontroliranog korištenja i obrade njegovih osobnih podataka. Osobni podaci su osim imena i prezimena i podaci o datumu rođenja, mjestu rođenja i boravka, dob, spol, rasa, politička ili sindikalna pripadnost, pa do informatičkih identifikatora koji se mogu povezati s pojedincem i sl.

GDPR uredba se bavi osobnim podacima pojedinaca i propisuje:

Kako se osobni podaci prikupljaju, čuvaju i obrađuju, prenose i prosljeđuju
Obavezu uspostave “sustava upravljanja osobnim podacima”, što u osnovi znači da:
mora postojati pravilnik o rukovanju osobnim podacima (što, tko , kada, kako, gdje)
moraju biti identificirani osobni podaci i sva mjesta i dijelovi poslovnog procesa gdje se prikupljaju, spremaju ili obrađuju
mora biti imenovana osoba nadležna za upravljanje osobnim podacima
postoje privole davatelja osobnih podataka (pojedinaca čiji se podaci prikupljaju)
su definirani kontakti za upite i zahtjeve vezane uz osobne podatke pojedinca
postoje procedure za pseudonimizaciju (anonimizaciju) ili brisanje osobnih podataka na zahtjev pojedinca
postoje procedure za informiranje pojedinca na njegov zahtjev o sadržaju I načinu pohrane ili obrade osobnih podataka
postoje redovite i dokumentirane provjere pridržavanja propisanih pravila
postoje procedure komuniciranja s pojedincima o njihovim osobnim podacima u slučaju da se isti iznose izvan zemlje ili daju na korištenje trećoj strani
I slično…
Iz gore navedenog je vidljivo da se tu ne radi o tehničkom zahtjevu već isključivo o uspostavi interne regulative i poslovnih procesa koji se bave. Drugim riječima uspostava GDPR je do poslovnog subjekta, a ne do programa.

Kada je GDPR donesen i kada stupa na snagu?

Uredba je donešena 27.travnja 2016. godine i stupa na snagu 25.5.2018.

Znači rok je kraj svibnja 2018., i u uredbi se na više mjesta navodi da nema odgode!

Što su osobni podaci?

Citat iz uredbe:

„Osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
Od čega se štite osobni podaci?
Od neovlaštenih uvida i obrada.

Citat iz uredbe:

„Obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
Što GDPR u stvari propisuje?
Ukratko, GDPR propisuje što su osobni podaci, kako se s njima treba rukovati, kako i pod kojim uvjetima se mogu obrađivati i koja su prava „ispitanika“ ili podatkovnog subjekta vezana uz uvid, brisanje, ograničavanje korištenja podataka za obradu i „pseudonimizaciju”.

Tko je nadležan za eventualne osobne podatke koji su pohranjeni u sustavima koje vi koristite?

Isključivo vi kao pravna osoba ste nadležni i odgovorni pred zakonom.

Zar neće Remaris obaviti sve vezano uz GDPR umjesto vas?

NE!

Pravni subjekti koji stoje iza Remarisa su uspostavili sustav upravljanja osobnim podacima unutar svoje nadležnosti te priredili procedure i alate koji će se koristiti u sustavu zaštite podataka, ALI PODACI UNUTAR BILO KOJEG REMARIS SUSTAVA SU ISKLJUČIVO VAŠE VLASNIŠTVO tako da je usklađenje s GDPR-om naspram podataka u vašem vlasništvu ISKLJUČIVO VAŠA NADLEŽNOST!

Može li vam Remaris pomoći oko usklade s GDPR-om?

Remaris tim će pripremiti, održavati i objavljivati popise svih grupa osobnih podataka koji se pohranjuju u Remaris sustavima te omogućiti kontrolirane aktivnosti vezane uz zaštitu, uvid, brisanje i anonimizaciju tj. pseudonimizaciju  istih, ali VI MORATE USPOSTAVITI SUSTAV ZAŠTITE OSOBNIH PODATAKA UNUTAR SVOJE ORGANIZACIJE I REDOVITO NJIME UPRAVLJATI!

GDPR tema je kompleksna i uključuje i nacionalne zakonske akte koji su iznad uredbe. Zbog navedene kompleksnosti navedena savjetovanja i aktivnosti uspostave zaštite osobnih podataka spadaju izvan opsega onoga što Remaris tim radi.

Ima li u Remaris sustavima puno osobnih podataka?

Osobni podaci su:

RemarisMaster:
Podaci iz adresara o djelatnicima i privatnim kupcima (osobe)
Remaris Hotel:
Podaci o gostima i djelatnicima
Ukoliko koristite neki od Loyalty sustava onda su podaci o korisnicima OSOBNI PODACI.

Što ako zakon traži čuvanje nekih podataka?

Nacionalni zakoni imaju veću snagu i uvijek treba postupati u skladu s važećim zakonodavstvom. Ako zakon kaže da se neki podataka treba čuvati GDPR se onda može primijeniti samo za dio načina čuvanja i selekcije uvida u te podatke.

Što vam je činiti?

  • Proučiti regulativu (link)
  • Konzultirati se s pravnim savjetnicima oko eventualnih osobnih podataka i njihovih obrada
  • Konzultirati se s vašim strukovnim komorama, udrugama i sličnim organizacijama
  • Uspostaviti traženu organizaciju, procese i uloge.
  • Redovito pratiti objave Remaris tima.
  • Na web stranicama Remaris-a i unutar svih Remaris sustava pratiti poveznice vezane uz GDPR.

Ovo sve izgleda jako komplicirano i skupo. Zar je stvarno tako?

Ovisno o veličini vaše organizacije i o vrsti osobnih podataka koje prikupljate i obrađujete.

Treba napomenuti da se GDPR odnosi na sve poslovne subjekte, bez obzira na veličinu.

Hoće li Remaris u budućnosti nuditi uslugu uspostave i održavanja GDPR-a i koliko će koštati?

NE!

Kako je u gornjem tekstu već navedeno GDPR nije predmet tehničkog rješenja već organizacijskog. Remaris tim se bavi isključivo razvojem programskih rješenja, a s GDPR je usklađen unutar svoje organizacije i naspram pohrane i raspoloživosti podataka u programskim rješenjima.  Drugim riječima GDPR je poslovna obaveza slična uspostavi sustava zaštite na radu, a ne tehnički problem kojeg programsko rješenje može riješiti.