Opća uredba o zaštiti podataka (GDPR)

 

SAŽETAK DOKUMENTA:

Uredba (EU) 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka

ČEMU SLUŽI OVA UREDBA?

• Opća uredba o zaštiti podataka (GDPR) štiti pojedince kada njihove podatke obrađuje privatni sektor i veći dio javnog sektora. Za razliku od toga, obrada podataka koju vrše relevantna tijela u svrhe izvršavanja zakonodavstva podliježe direktivi o zaštiti podataka pri izvršavanju zakonodavstva (vidjeti sažetak).
• Uredbom se pojedincima omogućava bolja kontrola nad njihovim osobnim podacima. Uredbom se jednako tako moderniziraju i objedinjuju pravila zahvaljujući kojima poduzeća mogu smanjiti formalnosti i birokracije te iskoristiti prednosti snažnijeg povjerenja potrošača.
• Njome se uspostavlja sustav potpuno neovisnih nadzornih tijela zaduženih za praćenje i provođenje poštovanja pravila o zaštiti podataka.
• Dio je reforme Europske unije u području zaštite podataka koja obuhvaća još i direktivu o zaštiti podataka pri izvršavanju zakonodavstva i Uredbu (EU) 2018/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama EU-a (vidjeti sažetak).

KLJUČNE TOČKE

Prava pojedinaca

GDPR-om se ojačavaju postojeća prava, omogućuju nova prava i pojedincima omogućava bolja kontrola nad osobnim podatcima. Uključuje sljedeće:

• lakši pristup vlastitim podacima. To uključuje pružanje više informacija o tome kako se ti podaci obrađuju i jamčenje da su te informacije dostupne na jasan i razumljiv način;
• novo pravo na prenosivost podataka. Time se olakšava prijenos osobnih podataka između davatelja usluga;
• jasnije pravo na brisanje (pravo na zaborav). Kada pojedinac više ne želi da se njegovi/njezini podaci obrađuju i ne postoji zakonski razlog za zadržavanje podataka, podaci se brišu;
• pravo pojedinca da zna kad dođe do povrede njegovih osobnih podataka. Društva i organizacije moraju obavijestiti relevantno nadzorno tijelo za zaštitu podataka te zahvaćene pojedince kada dođe do ozbiljnih povreda podataka.

pravila za poduzeća

GDPR-om se sva društva koja posluju na unutarnjem tržištu EU-a stavljaju u ravnopravan položaj, stvara se tehnološki neutralan pristup i potiče se inovativnost kroz niz koraka, uključujući sljedeće:

• jedinstven skup pravila na razini EU-a. Jedinstveno pravo o zaštiti podataka na razini EU-a povećava pravnu sigurnost i smanjuje administrativno opterećenje;
• službenika za zaštitu podataka. Osobu odgovornu za zaštitu podataka dužna su imenovati tijela javne vlasti i poduzeća koja opsežno obrađuju podatke ili čija je osnovna djelatnost obrada posebnih kategorija podataka kao što su podaci o zdravlju;
• objedinjenost. Poduzeća trebaju komunicirati samo s jednim nadzornim tijelom (u državi članici EU-a u kojoj imaju glavni poslovni nastan); relevantna nadzorna tijela surađuju u okviru Europskog odbora za zaštitu podataka kad je riječ o prekograničnim slučajevima;
• pravila EU-a za društva koja nisu u državama članicama EU-a. Društva koja imaju poslovni nastan izvan EU-a moraju primjenjivati ista pravila pri nuđenju usluga ili dobara ili pri nadzoru ponašanja pojedinaca na području EU-a;
• pravila koja pogoduju inovacijama. Jamstvo da su u proizvode i usluge ugrađene zaštitne mjere od najranije faze razvoja (tehnička i integrirana zaštita podataka);
• tehnike koje štite privatnost. Na primjer, potiču se pseudonimizacija (kada se polja za identifikaciju u evidenciji osobnih podataka zamijene jednim ili više umjetnih identifikatora) i enkripcija (kada se podaci šifriraju na način da ih mogu pročitati samo ovlaštene osobe) kako bi se ograničila nametljivost obrade;
• uklanjanje obavijesti. GDPR-om je odbačena većina obaveza u vezi s obavještavanjem te s time povezani troškovi. Jedan od njegovih ciljeva jest ukloniti prepreke koje utječu na slobodan protok osobnih podataka u EU-u. To poduzećima olakšava proširenje njihova poslovanja na jedinstvenom digitalnom tržištu;
• procjene učinka zaštite podataka. Organizacije će morati provoditi procjene učinka u slučajevima kada obrada podataka može dovesti do visokog rizika za prava i slobode pojedinaca;
• vođenje evidencije. Mala i srednja poduzeća ne trebaju voditi evidenciju o aktivnostima obrade, osim ako je obrada redovna ili je vjerojatno da će dovesti do rizika za prava i slobode osobe čiji se podaci obrađuju ili ako uključuje osjetljive kategorije podataka;
• Moderan skup alata za međunarodne prijenose podataka. GDPR nudi različite instrumente za prijenos podataka izvan EU-a, uključujući odluke o primjerenosti koje donosi Europska komisija kada zemlja izvan EU-a nudi odgovarajuću razinu zaštite, prethodno odobrene (standardne) ugovorne klauzule, obvezujuća korporativna pravila, kodekse ponašanja i certificiranje.

Preispitivanje

Europska komisija podnijela je izvješće o ocjeni i preispitivanju Uredbe u lipnju 2020. Sljedeću evaluaciju potrebno je dostaviti 2024.

OTKAD SE OVA UREDBA PRIMJENJUJE?

GDPR se primjenjuje od 25. svibnja 2018.

POZADINA

Za više informacije vidjeti:

• Reforma pravila EU-a o zaštiti podataka (Europska komisija);
• Pravila EU-a o zaštiti podataka (Europska komisija);
• Izvješće Komisije: pravila EU-a za zaštitu osobnih podataka osnažuju građane te su primjerena za digitalno doba – priopćenje za tisak (Europska komisija);
• Reforma zaštite podataka – priopćenje za tisak (Europska komisija);
• Zaštita osobnih podataka (Europska komisija).

Nakon epidemije bolesti COVID-19 i uvođenja mjera za suočavanje s krizom Europska komisija donijela je:

• Preporuku Komisije (EU) 2020/518 od 8. travnja 2020. o zajedničkom Unijinu paketu mjera za primjenu tehnologije i podataka radi suzbijanja i prevladavanja krize prouzročene bolešću COVID-19, posebno u vezi s mobilnim aplikacijama i upotrebom anonimiziranih podataka o mobilnosti.

GLAVNI DOKUMENT

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.–88.).

Sukcesivne izmjene i dopune Uredbe (EU) 2016/679 uključene su u izvorni tekst. Ovaj pročišćeni tekst namijenjen je isključivo dokumentiranju.

VEZANI DOKUMENTI

Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.–131.).

Vidjeti pročišćeni tekst.

Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.–98.).

Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.–47.).

Vidjeti pročišćeni tekst.

Posljednje ažuriranje 07.01.2022