Mehanizmi ugrađeni u Opću EU Uredbu o zaštiti osobnih podataka koji garantiraju njeno provođenje
April 2, 2018Vijesti
Kako se približava 25.5.2018. dan stupanja Uredbe o zaštiti osobnih podataka u punu primjenu, sve je interesantnije pratiti reakcije javnosti. One su u proteklih godinu dana prošle put od potpune neupućenosti, nevjerice i odbijanja prihvaćanja do straha i na kraju pragmatičnog pristupa na hrvatski način – ma ni taj se zakon ne bude provodio! Zakonodavac je u tekst Uredbe ugradio niz mehanizama kako bi se osiguralo njeno provođenje, a ovdje donosimo njihov pregled:
- Obaveza prijave povrede osobnih podataka u 72 sata
Ovo je najrestriktivnija odredba o prijavi povrede osobnih podataka do sada i definitivno predstavlja jedan od najvećih izazova koje usklađenje s Uredbom donosi. Naime, riječ je ne samo o obavezi da organizacija sama sebe prijavi Nacionalnom nadzornom tijelu, koje će svakako potom izaći u istragu, već je potrebno uz prijavu dostaviti i detaljne informacije o prirodi povrede uključujući kategorije i broj ispitanika čiji su podaci povrijeđeni, opisati vjerojatne posljedice povrede, opisati mjere koje su poduzete za rješavanje problema te priložiti podatke Službenika za zaštitu podataka ili druge osobe koja može pružiti više informacija. Valja napomenuti i obavezu informiranja svih ispitanika čiji su podaci kompromitirani, u slučaju velikog rizika za njihove slobode i prava. A u tom slučaju opravdano je očekivati i dojavu te informacije medijima što će definitivno dovesti do velike reputacijske štete. Stoga je vrlo važno, pored Protokola za informiranje Nadzornog tijela odmah imati spreman i protokol za informiranje javnosti kako bi se reputacijska šteta barem ograničila. Naravno, ako je moguće dokazati da povreda neće prouzročiti rizik za prava i slobode ispitanika, nije ju potrebno prijavljivati. - Nezadovoljni korisnici
Nezadovoljni korisnici, čija prava nisu poštovana imaju na raspolaganju mehanizam prijave Nacionalnom nadzornom tijelu. Po prijavi, Nadzorno će tijelo izaći i istražiti stanje po prijavi. Naročito je interesantno pravo ispitanika da prijavi kršenje svojih prava u zemlji svog uobičajenog boravišta. Tada će , ovisno o situaciji, istragu provesti Nacionalno nadzorno tijelo iz druge zemlje članice EU, samostalno ili uz predstavnika lokalnog nacionalnog nadzornog tijela. - Nezadovoljni zaposlenici
Nezadovoljni zaposlenici koji su svjesni neusklađenosti poslovanja organizacije, a naročito nezadovoljni bivši zaposlenici rado će prijaviti neusklađenosti i/ili kršenja prava ispitanika, što će opet za posljedicu imati istragu nadzornog tijela. Specifična je situacija s korporacijama, gdje bi prijava neusklađenosti ili kršenja prava u jednoj od organizacija mogla imati za posljedicu istragu u svim organizacijama u zemlji ili čak u svim zemljama EU. - Konkurencija
Za očekivati je da će se vaša poslovna konkurencija pobrinuti da sve nepravilnosti u poslovanju prijavi nadzornom tijelu i tako iskoristi moguću reputacijsku štetu za pridobivanje vaših korisnika. Poslovanje organizacija, naročito u području poslovanja koje je pokriveno privolom, počiva isključivo na povjerenju ispitanika, jer ispitanici koji ne vjeruju da su njihovi podaci sigurni, neće ih željeti podijeliti s vama. Tako je Uredba u stvari poziv na pridobivanje povjerenja ispitanika koje nikako nećete željeti ugroziti! - Poslovni partneri
Već danas vidimo da organizacije koje su krenule s projektima usklađivanja poslovanja traže da to isto učine i organizacije kojima su eksternalizirali poslovne funkcije – od knjigovodstvenih servisa, zaštitara pa čak i do servisa za čišćenje. Razlog je taj što poslovanje organizacije nije usklađeno s Uredbom sve dok i svi njihovi izvršitelji obrade nisu uskladili svoje poslovanje. Pored toga, zanimljiva je i situacija da organizacije koje prodaju i implementiraju sustave koji upravljaju osobnim podacima razmišljaju hoće li prihvatiti posao s obzirom na to da implementacija sustava u organizaciji koja ne planira uskladiti poslovanje predstavlja veliki rizik za njihovu reputaciju, dođe li do procesa istrage ili čak sudskog procesa za traženje obeštećenja. I na kraju, isti mehanizam primjenjuju i velike, naročito međunarodne organizacije koje kao uvjet nastavka ili početka suradnje postavljaju pitanje usklađivanja poslovanja s Uredbom. - Mogućnost naknade štete
Uredba po prvi puta predviđa mogućnost naknade štete ispitanicima koju mogu pretrpjeti zbog obrade kojom se krši Uredba, bilo da se radi o materijalnoj ili nematerijalnoj šteti. Naknada za pretrpljenu štetu bi trebala biti potpuna i učinkovita. Sudski postupci za naknadu štete vodit će se pred nadležnim sudom, a ispitanici su prvi puta u mogućnosti ovlastiti posebno neprofitno tijelo za zastupanje te ćemo tako imati jednostavan mehanizam za podizanje skupnih tužbi. - Ovlasti Nacionalnog nadzornog tijela
Ako sve ranije navedeno nije bilo dovoljno da vas navede na usklađivanje poslovanja s Uredbom, ovlasti Nacionalnog nadzornog tijela bi to svakako trebale učiniti. Pored izdavanja upozorenja i službenih opomena voditeljima i izvršiteljima obrade, tu je i mogućnost naredbe za usklađenje postupaka obrade s Uredbom u točno naznačenom roku te privremeno ili konačno ograničenje pa i zabrana obrade, suspenzija ili zabrana izvoza podataka u treće zemlje. Naravno, tu su i upravne novčane kazne.