GDPR ili Opća uredba o zaštiti podataka je uredba Europske unije kojom se reguliraju zaštita podataka i privatnost pojedinaca unutar EU. Cilj Uredbe je omogućiti korisnicima više nadzora nad korištenjem njihovih podataka. Isto tako, Uredbom se pokušava osigurati slobodno kretanje osobnih podataka unutar EU.

S obzirom na to da ste već trebali uskladiti postupke za prikupljanje, korištenje i čuvanje osobnih podataka s odredbama Uredbe, u nastavku teksta donosimo vam glavne smjernice i preporuke za postupanje.

  • Definicije i načela
  • Zakonitost obrade
  • Obaveze voditelja obrade
  • Pravo na pristup informacijama
  • Pravo na zaborav
  • Povreda osobnih podataka
  • Primjena i usklađivanje GDPR-a s ostalim djelatnostima

 

Definicije i načela

Za početak je važno definirati što su to zapravo osobni podatci. Osobni podatci su svi oni „podatci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi“.

Načela obrade osobnih podataka odnose se na:

  • zakonitost, poštenost i transparentnost obrađivanja podataka
  • ograničavanje svrhe obrađivanja podataka
  • smanjenje količine podataka
  • točnost
  • ograničenje pohrane
  • cjelovitost i povjerljivost.

U obradi osobnih podataka sudjeluju:

  1. voditelj obrade
  2. izvršitelj obrade.

Voditelj obrade može biti fizička ili pravna osoba koja u suradnji s drugim institucijama ili samostalno određuje svrhu i sredstva obrade.

Izvršitelj obrade je fizička ili pravna osoba koja u ime voditelja obrade obrađuje osobne podatke.

Zakonitost obrade

Važno je napomenuti kako obrada podataka ponekad nije zakonita. No, da bi se ista koristila prema zakonu, ne zaboravite na sljedeće stavke:

  • ispitanik mora dati privolu za korištenje i obradu vlastitih podataka za jednu ili više svrha
  • obrada je potrebna radi izvršavanja ugovora u kojem je ispitanik stranka te radi poduzimanja radnji na zahtjev ispitanika prije sklapanja ugovora
  • obrada je neophodna radi poštivanja pravnih obaveza voditelja obrade
  • obrada je potrebna kako bi se zaštitili interesi ispitanika
  • obrada je potrebna zbog izvršavanja zadaća koje su od javnog interesa
  • obrada je neophodna za potrebe legitimnih interesa voditelja obrade.

 

U slučaju da se svrha obrade podataka razlikuje od svrhe prema kojoj su podatci prikupljeni ne temelji privoli ispitanika, voditelj obrade mora uzeti u obzir nekoliko dodatnih stvari:

  • svaku vezu između svrhe prikupljanja osobnih podataka i svrhe namjeravanog nastavka obrade
  • kontekst u kojem su prikupljeni podatci
  • prirodu osobnih podataka
  • eventualne posljedice namjeravanog nastavka obrade
  • postojanje odgovarajućih zaštitnih mjera.

 

Kako se na samom vrhu ovog popisa navodi davanje privole, primorani smo objasniti što ona točno podrazumijeva i što nikako nije.

Privola je, dakle, dobrovoljni pristanak ispitanika kojim isti potvrdnom radnjom ili izjavom pristaje na obradu osobnih podataka.

Privola može biti oznaka kvačicom pri posjetu neke web stranice ili aplikacije, biranje tehničkih postavki usluga informacijskog društva ili druga izjava ili ponašanje koje daje do znanja da ispitanik prihvaća obradu vlastitih podataka.

Privola NIJE šutnja, inercija ispitanika i sl.

 

Pogledajte sve aktualne edukacije OVDJE

 

Obaveze voditelja obrade

Voditelj obrade ima nekoliko glavnih zadaća, a to su:

  1. pružiti ispitaniku sve informacije
  2. osigurati mu sva prava i redovno ga o tome obavještavati
  3. omogućiti mu zahtjeve koji su vezani za njegova prava
  4. davati mu informacije o tome zašto nije postupio prema zahtjevima ispitanika.

 

Pravo na pristup informacijama

U trenutku prikupljanja podataka voditelj obrade dužan je ispitaniku dati sve potrebne informacije kao što su:

  • informacije o razlogu i svrsi prikupljanja podataka
  • identitet i kontakt podatci voditelja obrade
  • kontakt podatci službenika za zaštitu podataka
  • kategorije osobnih podataka
  • informacije koje su vezane za prijenos podataka trećim zemljama
  • razdoblje pohrane
  • mogućnost povlačenja privole
  • pravo podnošenja prigovora nadzornom tijelu.

 

Pravo na zaborav

Pravo na zaborav odnosi se na pravo ispitanika da od voditelja obrade zatraži brisanje osobnih podataka koji se odnose na njega bez ikakvog nepotrebnog odgađanja. Voditelj je obvezan obrisati takve podatke bez odgađanja ako je ispunjen barem jedan od navedenih uvjeta:

  • ako osobno podatci više ne koriste svrsi za koju su prikupljeni
  • ako ispitanik povuče privolu na kojoj se temelji obrada
  • ako ispitanik uloži prigovor na obradu u skladu s određenim člancima ove Uredbe
  • ako su osobni podatci nezakonito obrađeni
  • ako se osobni podatci moraju brisati radi poštovanja pravne obaveze iz prava Unije.

 

Kako bi prikupljanje podataka bilo zakonito, GDPR navodi nužno vođenje evidencije aktivnosti obrade. Dakle, svaki voditelj obrade mora raditi evidenciju svojih aktivnosti obrade podataka za koje ima odgovornost. Evidencija aktivnosti obrade sadrže sljedeće podatke:

  • ime, prezime i kontakt podatci voditelja obrade
  • svrha obrade
  • opis kategorije ispitanika i kategorije osobnih podataka
  • kategorije primatelja kojima su ili će biti otkriveni podatci
  • prijenose osobnih podataka u treću zemlju.

 

Povreda osobnih podataka

Ako je došlo do povrede osobnih podataka, voditelj podataka dužan je izvijestiti nadzorno tijelo u skladu s određenim člancima Uredbe. Izvješćivanje mora biti učinjeno najkasnije unutar 72 sata.

Izvještaj o povredi osobnih podataka mora sadržavati:

  • opisanu prirodu povrede osobnih podataka, kategoriju i približan broj ispitanika
  • ime i kontakt podatke službenika zaduženih za zaštitu podataka
  • opisane posljedice povrede osobnih podataka
  • naznačene mjere koje je voditelj obrade poduzeo ili koje planira poduzeti kako bi riješio problem povrede osobnih podataka.

 

Primjena i usklađivanje GDPR-a s ostalim djelatnostima

Iako proces usklađivanja sa zahtjevima Uredbe o zaštiti osobnih podataka nije u potpunosti razriješen, upravo je nedorečenost glavni problem za turistički sektor. Iznimno je važno znati pravilno koristiti osobne podatke osobito inozemnih turista. U suprotnom, možete očekivati novčane kazne za nepoštivanje odredbi Uredbe.

Svim zaposlenim u turističkom sektoru preporučujemo pohađanje jedinstvenog seminara pod nazivom GDPR u turizmu – Što i kako dalje.

Sadržaj seminara pokriva sve ono najvažnije vezano za sigurno poslovanje u skladu s odredbama GDPR-a kao što je:

  • upoznavanje s posebnim propisima koji reguliraju turističke usluge i usluge u ugostiteljstvu (razni pravilnici i zakoni)
  • pružanje informacija iz članaka 13. i 14. GDPR-a
  • naglašavanje opreza kada je u pitanju preslikavanje osobnih ili putnih isprava
  • Vrijeme čuvanja osobnih podataka gostiju
  • usklađivanje web stranice s GDPR-om (implementiranje potrebnih elektroničkih privola, izrađivanje obrasca prava ispitanika i Politike privatnosti i sl.)
  • obrađivanje osobnih podataka u neke druge svrhe
  • postupanje primatelja osobnih podataka gostiju
  • navođenje evidencija o obradi voditelja obrade podataka
  • obavezni ugovori s izvršiteljima obrade
  • objašnjavanje i potkrjepljivanje primjerima iz potencijalno rizičnih situacija u turističkoj djelatnosti.

 

Opća uredba o zaštiti podataka ima veliki utjecaj i na gotovo sve marketinške aktivnosti, osobito na one koje se realiziraju putem weba. Neka od najvažnijih pitanja na koje GDPR utječe na marketing odnose se na upravljanje privolama i dobivanje pristanka na obradu osobnih podataka, kako pravo na zaborav utječe na marketing, kako definirati politiku privatnosti i sl.

Odgovore na ova i mnoga druga pitanja možete dobiti na seminaru Utjecaj GDPR-a na marketing. Sadržaj programa podijeljen je na nekoliko dijelova:

  1. Temeljne odredbe Uredbe koje su vezane isključivo za marketing
  2. Zakonske odredbe nužne za pravilno postupanje kada je u pitanju marketing
  3. Sadržaj elektroničkih i pisanih papirnatih privola
  4. Svrha i vrijeme obrade osobnih podataka na području marketinga
  5. Usklađivanje postojeće baze kupaca
  6. Ostali načini marketinškog oglašavanja
  7. Usklađivanje politike „kolačića“ s odredbama GDPR-a
  8. Privole u slučaju nagradnog natječaja
  9. Objašnjenja protivljenja obrade u svrhu marketinga
  10. „Pravo na zaborav“ u mrežnom okruženju.

 

Ne propustite seminar “Praktična primjena GDPR-a”

25. rujna 2019. u Zagrebu