Važne prilagodbe sa GDPR Uredbom

                    Važne prilagodbe sa GDPR Uredbom

Koje promjene GDPR donosi i na koga utječe?

Uredba o zaštiti osobnih podataka GDPR stupa u punu primjenu 25.05.2018. godine.

Opća uredba o zaštiti osobnih podataka (GDPR)

Cilj Uredbe je štititi sve rezidente EU od kršenja postupka zaštite njihovih osobnih podataka.

GDPR predstavlja izazov svim tvrtkama čija djelatnost obuhvaća prikupljanje, obradu i pohranu podataka pojedinaca, radilo se o vlastitim kadrovskim resursima ili o potencijalnim i postojećim kupcima čiji se podatci koriste za identifikaciju, marketinšku komunikaciju i isporuku roba i usluga.


1) ­Primjena GDPR-a i izvan teritorija Unije 

Predstavlja možda najveću promjenu čime se nadležnost GDPR-a primjenjuje na sve tvrtke koje obrađuju osobne podatke rezidenata Unije, bez obzira je li sjedište tvrtke u Uniji ili izvan. Aktualna Uredba svoju primjenjivost čini vrlo jasnom - primjenjivat će se na obradu osobnih podataka svih državljana Europske Unije koja se provodi od strane poslovnih subjekata i organizacija u ulozi voditelja i/ili izvršitelja obrade, bez obzira na to je li njihovo sjedište u EU ili ne.


2) Temelj za obradu podataka

Privola ispitanika, sklapanje ugovora, poštovanje pravne obveze voditelja obrade i legitimni interes voditelja obrade najčešći su temelj zakonitosti obrade u poslovnim sustavima. Uredba u posebnoj mjeri ističe zaštitu prava ispitanika – fizičke osobe u pogledu korištenja privole kao zakonite osnove obrade osobnih podataka, pri čemu će se privola davatelja podataka morati zatražiti na vrlo jasan način, za svaku svrhu obrade posebno, uz pružanje transparentnih informacija o mogućnostima odustanka. Zahtjev za suglasnost više neće biti omogućen u nepreglednom formatu – mora biti komuniciran jasnim i lako razumljivim jezikom. Mogućnost povlačenja suglasnosti mora biti jednako jednostavna kao i davanje suglasnosti.


3) Pravo na pristup podatcima, prijenos i brisanje podataka

Pojedinac ima pravo zatražiti uvid u vlastitu privolu o ustupanju podataka, tražiti obrazloženje o svrsi obrade, kao i kopiju podataka kojima voditelj ili izvršitelj obrade podataka raspolaže. Pojedinac ima pravo u svako vrijeme povući svoju privolu, te o tom pravu mora biti jasno obaviješten već prilikom davanja privole. Pored povlačenja privole pojedinac može zatražiti i brisanje podataka, prekinuti njihovo daljnje širenje i ustupanje trećim stranama. Na zahtjev pojedinca vlasnik i izvršitelj obrade dužan je pojedincu raspoložive podatake ustupiti u digitalnom i čitljivom obliku kako bi pojedinac iste jednostavno transferirao drugom voditelju na obradu.


4) Razvoj i dizajn sustava i procesa temelji se na zaštiti podataka

GDPR Uredba nalaže da voditelji i izvršitelji obrade već tijekom razvoja i dizjaniranja srži sustava i procesa u obzir uzimaju smjernice Uredbe kao preduvjeta potpune sukladnosti. Voditelj ili izvršitelj obrade propisat će interne politike kontrole prikupljanja, obrade, pohrane i sigurnosti podataka, te osigurati transparentnost komunikacije i prava pojedinaca u pogledu uvida i raspolaganja vlastitim podatcima. O primjenjenim mjerama sigurnosti i privatnosti obrade saznajte više pod Sigurnost i privatnost


5) Službenik za zaštitu podataka

U ovisnosti o količini, duljini trajanja i osljetljivosti osobnih podataka kojima tvrtka raspolaže, voditelj ili izvršitelj obrade osobnih podataka trebat će angažirati službenika za zaštitu podataka unutar vlastite organizacije ili izvan.


6) Samoinicijativna prijava propusta i kršenja pravila obrade podataka

Ukoliko uslijed obrade i pohrane podataka vlasnik obrade i izvršitelj obrade utvrde propuste koji bi mogli ugroziti prava pojedinca, dužni su o tome u roku od najviše 72 sata obavijestiti nadzorna tijela i pojedince čiji su podatci predmet propusta.


7) Kaznene odredbe

Ljestvica novčanih kazni za nepoštivanje propisa Uredbe zaštite osobnih podataka visoko je postavljena. Naime, prema Uredbi organizacija, tj. svaki poslovni subjekt, koji krši GDPR, može biti novčano kažnjen do 4% godišnjeg globalnog prometa ili s 20 milijuna EUR, što god predstavlja viši iznos.


Tvrtke Login d.o.o. i Login sustavi d.o.o. i interne politike sigurnosti

Tvrtka Login d.o.o. se proteklih 20 godina kroz svoju osnovnu djelatnost bavi razvojem, implementacijom i održavanjem poslovnih aplikativnih rješenja, te administracijom baza podataka poslovnih korisnika u Hrvatskoj i regiji.

Implementacija programskih rješenja za poslovnog korisnika tako obuhvaća pripremu serverske infrastrukture i uspostavljanje sigurnosnih uvjeta za pohranu vlasnikovih poslovnih podataka, uvažavajući dostupne sigurnosne mehanizme zaštite pristupa, obrade i pohrane, te definiranja pravila korištenja istih od strane ovlaštenih operatera i administratora poslovnog korisnika i tvrtke Login d.o.o. kao isporučitelja integralnog programskog rješenja.

Već 2013. godine tvrtka Login d.o.o. je osvijestila potrebu za tehnološkim iskorakom s ciljem isporuke stabilnog i pouzdanog programskog rješenja kroz realizaciju „LoginCloud“ projekta koji je uspješno kandidiran na javnom natječaju "Potpora jačanju konkurentnosti hrvatskog malog i srednjeg poduzetništva" u okviru IPA programa Europske unije za Hrvatsku - Operativni program za regionalnu konkurentnost 2007-2013.

Bespovratno financiranje iz IPA EU fonda omogućilo je obnovu računalnih kapaciteta u okviru data-centra tvrtke i implementaciju kvalitetnog „disaster-recovery“ rješenja kao i uvođenje interne politike sigurnosti na razini svih procesa poslovanja tvrtke implementacijom ISO sustava informacijske sigurnosti - ISO/IEC 27001:2005.

Projektom je tada osigurana potrebna sklopovska i mrežna infrastruktura na lokaciji sjedišta tvrtke Login d.o.o. koja poslovnim korisnicima pruža mogućnost zakupa serverske opreme za rad Loginovih poslovnih programa, kao i siguran prostor pohrane podataka. Zaštita podataka od gubitka osigurana je kroz back-up, mirroring HD, „disaster-recovery“ sustav na udaljenoj lokaciji u Zagrebu, tape backup, dizelski agregat uz UPS-ove za neprekidno napajanje, redundantne mrežne linkove visoke propusnosti.


U skladu s novim mjerama zaštite osobnih podataka fizičkih osoba koji se obrađuju kroz programsku aplikaciju, te pohranjuju i pozivaju iz pripadajuće baze podataka tvrtke Login d.o.o. i Login sustavi d.o.o. je u zadanom roku i u skladu s pozitivnim praksama zapadnih zemalja Europe dodatno prilagodila vlastite organizacijske procese, proizvode i usluge za nesmetan rad vlastite organizacije i njezinih klijenata.

Aktivnosti i mjere rezultirale su:

  • Zakonskom usklađenošću s Uredbom GDPR za sva aplikativna rješenja isporučitelja  - tvrtki Login d.o.o. i Login sustavi d.o.o., smještenih na njihovoj infrastrukturi, mehanizmima pohrane i pristupa podatcima: za integralni ERP VIRGA sustav, program nagrađivanja vjernosti kupaca VIRGA Loyalty i sva buduća aplikativna rješenja
  • Uvođenjem jače hijerarhije prava pristupa operatera koji rade s podatcima u skladu s razinom njihove osjetljivosti
  • Upravljanjem privolama prikupljenima digitalnim putem
  • Razdvajanjem različitih svrha prikupljanja podataka i njihovo posebno tretiranje
  • Transparentnošću za ispitanika u pogledu vlasnika obrade pohrane podataka, izvršitelja obrade, svrhe obrade i mogućnosti odustajanja i poništavanja privole, te brisanja podataka
  • Vremenskim ograničenjem roka u kojem se osobni podaci pohranjuju uz obnovu prilove
  • Zakonski propisanim načinom prijenosa podataka i ustupanja trećim osobama ili zemljama
  • Procedurama utvrđivanja identiteta ispitanika na njegov zahtjev za pristupom svojim podatcima
  • Procedurama utvrđivanja neovlaštenog pristupa podatcima te mjere sprječavanja i obavješćivanja vlasnika podataka.