Novosti, savjeti, primjeri iz prakse

Blog

gdpr-q&a
29. svibnja 2019. | Piše: Karolina Maslać

Što je obilježilo prvu godinu primjene GDPR-a?

Prvi rođendan

Bez sumnje možemo reći da je 2018. bila godina GDPR-a. Osobni podaci, privole, prava ispitanika, drakonske kazne, službenik za zaštitu podataka – samo su neki pojmovi kojih smo se načitali i naslušali tijekom proteklih godinu dana.

Uredba nas je pratila na svakom koraku.

Podizali ste stambeni kredit u banci? Jedan od (mnooogih) papira koji ste potpisali, bila je i GDPR izjava – suglasnost, da banka može koristiti vaše osobne podatke u svrhu upravljanja procedurom podizanja kredita.

Otišli ste na sat aerobica. Popularni sportski brend imao je promotivnu akciju i mogli ste besplatno isprobati novu liniju njihovih tenisica. Super, ali oni su htjeli informaciju o akciji podijeliti na svojim društvenim mrežama – zajedno s fotografijama sudionika. Naravno, ako ste željeli da se fotografija s vašim likom koristi na njihovim online kanalima, trebali ste dati privolu.

Možda se niste susreli upravo s ovim situacijama, ali vjerujemo da ste se tijekom posljednjih 12 mjeseci zatekli u brojnim sličnim.

Ako ništa drugo, svima nam je bilo zajedničko iskustvo 24. svibnja 2018. godine e-mailovima zatrpanih inboxa u kojima su brojni brendovi, trgovine, tvrtke tražili dopuštenje za zadržavanje naših osobnih podataka u svojoj newsletter bazi.

Zaštititi osobne podatke građana

Pri tom ste se vjerojatno i iznenadili koliko različitih tvrtki s kojima niste stupili u kontakt, niti ikad koristili njihove usluge ili kupili njihove proizvode posjeduje vaše osobne podatke.

Zaštita osobnih podataka građana Europske unije jedna je od glavnih zadaća Opće uredbe o zaštiti podataka. Ubrzana digitalizacija društva, opasnost od curenja podataka i njihove netransparentne upotrebe samo su neki razlozi koji su potaknuli Europsku uniju da u travnju 2016. godine usvoji General Data Protection Regulation.

Iako su imale gotovo dvije godine za prilagodbu poslovanja GDPR-u, brojne organizacije primile su se u koštac s usklađivanje tek „5 do 12“.

Trendovi pretraživanja GDPR-a

Trendovi pretraživanja na najpoznatijoj svjetskoj tražilici – Googleu, govore nam kako je pretraživanje GDPR problematike dostiglo svoj vrhunac tek u prvoj polovici 2018. godine. Od travnja 2016. kada je Uredba usvojena do siječnja 2018. godine gotovo se nitko nije zamarao GDPR-om.

Izvor: Google trends – podaci za Hrvatsku u periodu od travnja 2016. do svibnja 2019. godine
Izvor: Google trends – podaci za svijet u periodu od travnja 2016. do svibnja 2019.

Iako je GDPR u potpunosti obvezujuća i izravno primjenjiv u svim državama članicama Europske unije, trendovi pretraživanja pokazuju da su mnogi očekivali da će doći do odgode datuma primjene. Stoga su tek u zadnji tren „ozbiljno“ shvatili Uredbu.

No, odgoda se nije dogodila i 25. svibnja 2018. godine GDPR stupa na snagu.

Kazne u prvoj godini primjene

Osim što nam je pokazao koji su trendovi GDPR pretraživanja, Google nam je dočarao i koje su posljedice kršenja odredbi GDPR-a.

  • GOOGLE – 50 MILIJUNA EURA

U siječnju 2019. godine, Francusko Državno povjerenstvo za informatiku i slobode (CNIL) kaznilo je Google s 50 milijuna eura, zbog nedovoljne informiranosti korisnika, netransparentnog korištenja osobnih podataka i nevažećeg pristanka korisnika za personalizaciju oglasa.

Kao glavni argument naveli su kako korisnik ponekad mora učiniti i do 5 klikova da bi došao do tražene informacije te da su informacije često raštrkane u različitim dokumentima. Optužili su Google da njihova politika dobivanja pristanaka za prikupljanje osobnih podataka nije dovoljno transparentna niti pristupačna.

  • PORTUGALSKA BOLNICA – 400.000 EURA

Prva bolnica koje je dobila kaznu zbog kršenja GDPR-a je „Centro Hospitalar do Barreiro Montijo“ u Lisabonu. Zdravstvenim podacima pacijenata moglo je pristupiti 985 zaposlenika, a u bolnici je  radilo samo 296 doktora ovlaštenih za takav pristup. Nisu postajali razdvojeni sustavi pristupa podacima, što znači da je bilo koji od 985 zaposlenika mogao doći do osjetljivih podataka svih pacijenata.

Portugalsko nadzorno tijelo za zaštitu podataka kaznilo je lisabonsku bolnicu s ukupno 400.000 eura.

  • NJEMAČKA DRUŠTVENA PLATFORMA – 20.000 EURA

U rujnu 2018. godine, najveća njemačka chat platforma – Knuddels.de, obavijestila je nadležna tijela kako je došlo do proboja podataka. U opasnost je dovedeno 1.87 milijuna korisnički računa te preko 800.000 e-mail adresa.

S obzirom da je Knuddels.de o proboju odmah obavijestio njemačko nadzorno tijelo i svoje korisnike te unutar nekoliko tjedana dodatno osigurao IT sustav, izrečena im je „simbolična“ kazna od 20.000 eura.

Naravno, kazna zbog nepoštivanja odredbi GDPR-a nije zaobišla ni najpopularniju društvenu mrežu Facebook, koja je u Velikoj Britaniji kažnjena s maksimalnih 500.000 funti zbog Cambridge Analytica skandala, kao ni Twitter zbog kršenja prava na pristup podacima.

Prvi rođendan GDPR-a

Kako otkriti i definirati poslovne procese koji obrađuju osobne podatke, gdje se sve spremaju osobni podaci, što radi službenik za zaštitu podataka, kakva prava ispitanici imaju – samo su neka pitanja s kojima se suočila većina organizacija u prvoj godini primjene GDPR-a.

Osim s brojnim pitanjima, organizacije su se nosile i s velikom količinom stresa kako bi na što učinkovitiji način, za što manje novaca i u što kraćem periodu uskladile poslovanje s GDPR-om.

No, vjerujemo da će prvi rođendan GDPR-a biti ipak sretan kako za organizacije tako i za građane Europske unije.

Brojne organizacije iskoristile su proces usklađivanja s GDPR-om i kvalitetno posložile poslovne procese, ustanovile svrhu prikupljanja osobnih podataka, uhvatile se u koštac s bazama i sustavim pohrane te ih pročistile od nepotrebnih podataka.

Organizacije su usklađivanjem dovele svoje poslovanje u održiv red, dok građani Europske unije sada znaju tko koristi njihove osobne podatke, s kojom svrhom i da imaju pravo u bilo kojem trenutku tražiti ispravak, brisanje ili pristup svojim podacima.

I zato svim organizacijama i građanima Europske unije želimo sretan prvi rođendan GDPR-a. Neka osobni podaci svih nas budu uvijek zaštićeni i u sigurnim rukama s pravim razlogom.