Evropska uredba o zaštiti podataka stupila na snagu

Opća uredba o zaštiti podataka (GDPR), koja je stupila na snagu, novi je evropski zakon koji bi trebao bitno otežati zloupotrebu ličnih podataka koje kompanije prikupljaju o svojim korisnicima i na osnovu njih im nude svoje proizvode i usluge.

GDPR je donesen u aprilu 2016. i stupa na snagu nakon dvogodišnjeg prelaznog razdoblja, prenosi Hina.

Uredba se odnosi na sve kompanije koje posluju na teritoriji Evropske unije, ali i na kompanije koje raspolažu podacima evropskih građana, nezavisno o njihovoj lokaciji. Kompanije izvan EU-a koje svoju robu ili usluge nude unutar EU dužne su poštovati odredbe GDPR-a.

Riječ je  o najvećoj promjeni zakonodavstva u području zaštite ličnih podataka od postanka weba.

U posljednjih 25 godina internet je omogućio nove poslovne modele i radikalno promijenio svakodnevni život, a sada je nastupilo vrijeme za regulaciju toga nepreglednog područja nakon što je postalo jasno da, uz to što donosi mnogo dobrog i korisnog, postoje i realne mogućnosti zloupotrebe ličnih podataka.

Zaštita podataka

Zaštita podataka ovih dana izaziva puno pozornosti nakon otkrića da su osobni podaci više 87 miliona korisnika Facebooka završili u rukama Cambridge Analytice, konsultantske kompanije koja je bila angažirana u predsjedničkoj kampanji Donalda Trumpa.

Mnogima se još samo prije nekoliko mjeseci akronim GDPR (General data protection regulation) činio još jednom nerazumljivom kraticom koja ih se ni na koji način neće ticati, ali posljednjih sedmica ne mogu od toga pobjeći jer su im pretinci elektronske pošte zatrpani zahtjevima da daju izričiti pristanak na daljnje korištenje svojih podataka.

Društvene mreže poput Facebooka, Twittera, zatim AirBnba, internetske trgovine, razne institucije koje svoje publikacije šalju elektronskom poštom traže ovih dana od svojih korisnika pristanak za korištenje podataka kako bi ispoštovali novi evropski zakon.

Mnoge odredbe koje sadrži GDPR i ranije su postojale na nacionalnom nivou, ali su sada objedinjene i pojačane i predstavljaju jedinstven okvir koji se primjenjuje u svim zemljama članicama.

GDPR zamjenjuje direktivu o zaštiti podataka, koja je donesena 1995. godine.

Prava građana

Uredba znatno pojačava prava građana, između ostalog, garantira pravo na informiranost, što znači da svaki korisnik interneta koji je stavio na raspolaganje dio svojih ličnih podataka, od sada ima pravo znati čemu oni služe, koliko će vremena biti pohranjeni…

Uredba predviđa i pravo na pristup svojim podacima, pravo da ih se korigira i izbriše. Svaki korisnik neke usluge ima pravo zatražiti kopiju svojih podataka. Moguće je tražiti i brisanje podataka povlačenjem pristanka na njihovu upotrebu.

GDPR predviđa i “pravo na zaborav”, odnosno mogućnost brisanja podataka. Primjerice, moći će se tražiti brisanje s mreže nekog grijeha ili gluposti počinjene u mladosti za koju nema pravnih razloga ili javnog interesa da ih se čuva.

Omogućava se i pravo na transfer svojih podataka, što znači da će se moći promijeniti pružatelj usluga elektronske pošte, a da se pri tom ne izgubi ranije prepiska na prethodnoj elektronskoj adresi.

Novi zakon ne odnosi se na sve kompanije u istoj mjeri, što ovisi o njihovoj veličini i tipu podataka koje prikupljaju i načina kako ih koriste. Manje kompanije morat će samo štititi svoje podatke o klijentima u skladu “sa zdravim razumom”, dok će se GDPR u potpunosti odnositi na one kompanije koje posluju u jednoj ili više evropskih zemalja.

Prikupljanje informacija

Uredba se najviše odnosi na kompanije koje prikupljaju velike količine podataka poput tehnoloških kompanija, maloprodajnih kompanija, pružatelje zdravstvenih usluga, banke, osiguravajuća društva itd.

Jedan od ciljeva GDRP-a jest i smanjenje količine podataka koji se koriste, pa će tako kompanije trebati tačno odrediti koji im podaci doista trebaju i kako će ih zaštititi.

Za kršenje odredbi GDPR-a poduzeća mogu platiti ogromne kazne, koje mogu dosegnuti do 20 miliona eura ili do četiri posto njihova prometa (bira se onaj iznos koji je veći). 

Ličnim podatkom smatra se svaka informacija koja se odnosi na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Fizička osoba čiji se identitet može utvrditi jest osoba koja se može identificirati, direktno ili indirektno uz pomoć identifikatora kao što su ime, slike, email adrese, bankovni podaci, objava na društvenim mrežama, zdravstveni podaci, računarske IP adrese, zvučni zapis, broj socijalnog osiguranja, kućna adresa itd.

Neki se podaci poput političkog uvjerenja, vjerske pripadnosti, seksualne orijentacije, zdravstvenog stanja… smatraju osjetljivima. Zabranjeno je prikupljati takve podatke bez prethodnog pisanog, jasnog i eksplicitnog pristanka korisnika i bez jasno navedene svrhe.

Provedbu nove uredbe neće nadgledati jedno sveevropsko tijelo nego mreža nacionalnih i regionalnih tijela u zemljama članicama.

Izvor: Al Jazeera i agencije