Europska komisija je osmislila kratku i slikovitu brošuru – infografiku o zaštiti osobnih podataka pod nazivom: „Zaštita podataka - Bolja pravila za mala poduzeća“.
Riječ je o brošuri koji tvrtkama, posebno malim poduzetnicima, treba pomoći u bržoj primjeni nove, GDPR (General Data Protection Regulative) regulative, koja postaje zakon za manje od godinu dana (sasvim precizno: 24. svibnja 2018.). Prema toj regulativi svaka će tvrtka, ogriješi li se o taj zakon Europske unije, morati platiti globu od 20 milijuna eura ili četiri posto od svog ukupnog godišnjeg prihoda. Stoga, svaka tvrtka će s podacima svojih korisnika morati pristupati vrlo ozbiljno i sustavno – ili će plaćati globe i nepovratno naštetiti svojoj reputaciji.
Tri važne informacije
Najupečatljivija informacija iz te regulative je da će svaka tvrtka, ogriješi li se o taj zakon Europske unije, morati platiti globu od 20 milijuna eura ili četiri posto od svog ukupnog godišnjeg prihoda, već prema tome što je veći iznos.
Druga informacija po važnosti je da će tvrtke morati o gubitku podataka odmah obavijesti i korisnika čiji su podatak izgubili, a ne samo Agenciju o zaštiti osobnih podataka.
Treće i ne manje važno, kad je u pitanju Europska unija, njene uredbe automatski vrijede kao zakoni u svim zemljama članicama, za razliku od direktiva EU koje su (tek) smjernice na temelju kojih države definiraju svoje vlastito zakonodavstvo. Dakle, s uredbama EU nema „zezanja“ - sankcija za to je vrlo skupa i ne mjeri se samo novcem već i (često nenadoknadivo) izgubljenom reputacijom. Primjenom GDPR regulative pitanje informatičke sigurnosti postaje ozbiljno pitanje za svaku tvrtku, ne samo za velike tvrtke, banke, telekome i maloprodajne lance – to je pitanje za sve koji u svom poslu barataju podacima svojih korisnika.
Što je osobni podatak
Tu se sad postavlja pitanje što je sve osobni podatak? GDPR uredba Europske unije to definira vrlo široko – to je ime, prezime, OIB, broj kreditne kartice, GPS lokacija, IP adresa, kolačići u web preglednicima, MAC adresa računala, i da sad ne duljimo – sve što se izravno i neizravno u nekom scenariju može točno povezati s nekim korisnikom je podatak koji svakako treba zaštititi.
Svaka tvrtka u svijetu koja rukuje s podacima građana EU podliježe ovoj Uredbi (to znači i Google, Facebook, Amazon, Yahoo, itd.). To znači da će, nakon što GDPR uredba stupi na snagu, svaki posjet AZOP-a (Agencije za zaštitu podataka u Hrvatskoj) nekoj tvrtki moći (i vrlo vjerojatno će) rezultirati nekom sankcijom.
Veća prava korisnika
Prema GDPR uredbi, korisnik, svaki građanin EU, od svake tvrtke može zatražiti da izbriše njegove osobne podatke, svaka tvrtka mora korisniku reći koje podatke o njemu prikuplja, za što ih koristi i koliko dugo ih čuva. Prema GDPR uredbi podaci o korisnicima moraju se čuvati što kraće „i ne duže nego što je to poslovno potrebno.“ Međutim, prilično je nejasno što to znači za pojedine industrije i pojedine tvrtke. Primjerice, u nas, prema Zakonu o obveznim odnosima, korisnik može u roku od pet godina podnijeti tužbu protiv tvrtke, ako smatra da se ona nije pridržavala propisa o zaštiti njegovih podataka.
Kao i u svakom drugom zakonu i u GDPR uredbi postoje klauzule za čije tumačenje će vam trebati pomoć dobro upućenih pravnika. Primjerice, dosta općenita formulacija „tvrtka mora primijeniti sve odgovarajuće i tehničke mjere u zaštiti osobnih podataka“ u GDPR uredbi spominje se više od dvadeset puta u raznim kontekstima.
Stoga, svaka tvrtka će s podacima svojih korisnika morati pristupati vrlo ozbiljno i sustavno – ili će plaćati globe i nepovratno naštetiti svojoj reputaciji.