Preporučene aktivnosti pred početak primjene Opće uredbe o zaštiti podataka – (GDPR)

U skladu sa statutarnom zadaćom i ciljevima naše Udruge, želimo sve naše članove još jednom ukratko obavijestiti o osnovnim činjenicama koje su vezane za skori početak primjene Opće uredbe o zaštiti osobnih podataka, kao i o preporučenim aktivnostima koje su svim obveznicima primjene navedenog propisa na raspolaganju u cilju što bolje pripreme svojih organizacija za usklađenje s navedenom uredbom.

 

  1. OPĆENITO O UREDBI

 

1.1. Opća uredba o zaštiti podataka (punog naziva „Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ“, dalje u tekstu Uredba) pravni je akt koji je objavljen u Službenom listu Europske unije u svibnju 2016., a s primjenom počinje 25. svibnja 2018. godine, dakle za manje od dva mjeseca.

 

1.2. Uredba na sveobuhvatan način regulira sva pitanja vezana za zaštitu osobnih podataka fizičkih osoba – pojedinaca koji su državljani država članica EU. S početkom primjene Uredbe, prestaju vrijediti trenutačno primjenjiva Direktiva EU 95/46, kao i hrvatski Zakon o zaštiti osobnih podataka koji je trenutno na snazi, a Uredba se počinje primjenjivati kao direktan propis EU u svim njenim članicama.

1.3. Iako je koncept zaštite osobnih podataka koji donosi Uredba zasnovan na istim načelima koja su sastavni dio i trenutačno vrijedećeg zakonodavstva, Uredba ipak donosi određen broj veoma značajnih novosti u odnosu na postojeće zakonodavstvo.

 

  1. NEKE VAŽNIJE ODREDBE KOJE DONOSI UREDBA

 

2.1. Uredba se zasniva na načelu eksteritorijalne primjene, što znači da je za obvezujuću primjenu Uredbe kao poveznica dovoljna samo činjenica obrade osobnih podataka fizičkih osoba koje su državljani EU, bez obzira na to gdje se u svijetu obrada događa ili koja je adresa sjedišta/porezna rezidencija organizacije koja vrši obradu.

2.2. Definicija pojma osobni podatak je proširena tako da uključuje genetske, mentalne i socijalne identifikatore.

2.3. Uvodi se na jedinstveni način reguliran niz prava za ispitanike, tj. osobe čiji se osobni podaci obrađuju, kao primjerice pravo na zaborav, pravo na brisanje podataka, pravo na prenosivost podataka, pravo na ograničenje obrade i pravo na prigovor.

2.4. Za voditelje obrade se propisuje obveza ugovornog reguliranja odnosa s izvršiteljima obrade ako se radi o odvojenim osobama. Propisana je obveza izvršenja procjene rizika za određene vrste projekata obrade. Također propisani su kvalitativni kriteriji za obvezu imenovanja osoba na funkciju službenika za zaštitu podataka.

2.5. Određuje se obveza prijave regulatoru svake situacije koja se po odredbama Uredbe može podvesti pod definiciju ugroze podataka (Data breach), od primjerice gubitka ili krađe laptopa sa osobnim podacima do hakerskih napada ili slično, pri čemu je propisan rok za prijavu incidenta od 72 sata, a u određenim situacijama postoji i obveza obavještavanja svih pojedinaca ispitanika čiji su podaci ugroženi.

2.6. U Hrvatskoj će po svoj prilici, obzirom na sadržaj provedbenog propisa koji je trenutačno u fazi javne rasprave i čije se usvajanje očekuje, za nadzor i kažnjavanje biti, kao i do sada, nadležno državno regulatorno tijelo Agencija za zaštitu osobnih podataka.

2.7. Propisani su iznimno veliki limiti za kažnjavanje prekršitelja odredbi Uredbe, koji u maksimalnom iznosu mogu biti i do 20.000.000 EUR ili 4% ukupnog godišnjeg svjetskog prometa poduzetnika, ovisno o tome koji je iznos veći. Ipak, treba naglasiti da se kod propisivanja kazni regulatorno tijelo treba rukovoditi načelom razmjernosti propisane kazne, što znači da bi kazne načelno morale biti proporcionalne ekonomskoj snazi prekršitelja i ne bi smjele ugroziti njegovu osnovnu djelatnost.

2.8. U prijedlogu teskta provedbenog propisa u Hrvatskoj, čije se usvajanje očekuje, predviđeni su veoma visoki limiti prekršajnih kazni za odgovorne osobe u organizacijama (ravnatelje, članove uprava i slično), sve do iznosa od 500.000 HRK za pojedine prekršaje.

 

  1. UTJECAJ UREDBE NA ZDRAVSTVENI SEKTOR

3.1. U pogledu utjecaja Uredbe na poslovanje zdravstvenog sektora i članica naše Udruge  važno je naglasiti da se posebna pažnja u Uredbi pridaje zaštiti podataka vezanih za zdravlje, koji spadaju u kategoriju posebno osjetljivih podataka.

3.2. Sljedeće su činjenice veoma bitne:

  • podaci vezani za zdravlje mogu se obrađivati samo iznimno, to jest mora postojati jasna zakonska osnova za obradu takvih podataka ili takozvana „eksplicitna privola“ ispitanika;
  • kada se obrada podataka vrši na bazi privole, dana privola mora biti dana potpuno dobrovoljno, mora biti bazirana na potpunoj informiranosti ispitanika, kao primjerice o svrsi obrade podataka, trajanju obrade, načinima obrade, mogućim izvršiteljima obrade, mora biti dana za točno određene svrhe obrade, i mora biti nedvosmislena to jest eksplicitna;
  • Uredba jasno određuje individualnu odgovornost svake organizacije koja obrađuje osobne podatke što u praktičnom smislu znači da je dužnost svake organizacije, pa tako i svake pojedine članice naše Udruge da se samostalno pripremi za primjenu Uredbe i uskladi svoje interne procese obrade podataka zahtjevima Uredbe;
  • Uredba određuje obvezu izvršenja takozvane „Procjene učinka obrade podataka“ („Data Processing Impact Assesment“) u situacijama kada se podaci vezani za zdravlje obrađuju u „velikom opsegu“, a i inače se Uredbom potiče izvršenje takve procjene i onda kada ona nije zakonski obvezna;
  • propisuje se obveza ugovornog reguliranja odnosa i odgovornosti u vezi zaštite osobnih podataka između organizacija koje su voditelji obrade i njihovih vanjskih pružatelja usluga koji su u tom slučaju izvršitelji obrade podataka (npr. između klinike i dijagnostičkog laboratorija koji za kliniku vrši uslugu);
  • svaka će organizacija morati sama za sebe procijeniti koliki je opseg posla potreban za usklađenje s Uredbom, a obzirom na puno različitih faktora kao što su primjerice  kompleksnost obrade podataka kojom se organizacija bavi, broj individualnih korisnika usluga, veličina organizacije i slično.

3.3. Iz svega navedenog proizlazi jasna potreba da se sve naše članice u skladu sa svojim potrebama i mogućnostima samostalno pripreme za početak primjene Uredbe na najbolji mogući način.

3.4. Činjenica jest da će se u velikom broju slučajeva obrada podataka u zdravstvenom sektoru i kod članica naše Udruge moći obrazlagati postojanjem zakonske osnove za obradu, međutim ozakonjenje obrade je samo osnovni, ali ne i jedini uvjet usklađenja, jer će biti neophodno u svim organizacijama izvršiti internu provjeru i analizu te odgovoriti na sljedeća pitanja:

  • Na koji se način u stvarnosti obrada podataka izvršava, radi li se o obradi koja je u potpunosti usklađena sa zakonskom normom koja propisuje obradu i svrhu obrade?
  • Postoji li višak osobnih podataka koji se obrađuju, a koji nisu pokriveni odgovarajućom zakonskom normom koja opravdava obradu i propisuje svrhu obrade?
  • Je li potrebno izvršiti preinake postojećih internih akata organizacije ili donijeti nove akte (Pravilnik o zaštiti osobnih podataka) koji će biti potpuno usklađeni sa Uredbom?
  • Je li potrebno kreirati tekst Privole ukoliko se organizacija odluči vršiti obradu određenih vrsta osobnih podataka temeljem Privole?
  • Je li organizacija usklađena sa zahtjevima Uredbe s aspekta internih procedura u vezi sigurnosti obrade podataka i informatičke sigurnosti (postavljene lozinke, interne administrativne zabrane pristupa i odobrenja pristupa za određene kategorije korisnika i slično)?
  • Postoji li odgovarajuća razina informatičke i tehničke sigurnosti sustava obrade podataka koji se primjenjuje?
  • Vrše li se redovite edukacije svih suradnika organizacije u vezi sa zaštitom osobnih podataka?

 

3.5. Odgovori na sva ova kao i mnoga druga pitanja su neophodni radi procjene trenutnog stanja svake pojedine organizacije u pogledu usklađenosti s Uredbom, kao i radi procjene što je sve potrebno učiniti u procesu pripreme.

 

  1. ŠTO UČINITI I KAKO SE PRIPREMITI

 

4.1. Iz svega navedenog je jasno da je stvarna situacija u vezi sa standardima zaštite osobnih podataka u našem društvu u cijelosti, pa tako i u našim članicama daleko od idealne i da je pred nama dug put do postizanja zadovoljavajućih standarda u ovom području koje propisuje Uredba.

4.2. Sa sigurnošću se može reći da nema gotovih i jednostavnih rješenja kako postići usklađenje, niti rješenja koja bi bila primjenjiva jednako za sve.

4.3. Isto tako, Uredba ne predviđa niti omogućava bilo kakve izuzetke u primjeni i obvezi usklađenja za bilo koji segment društva, nitko nije izuzet od obveze usklađenja, bilo da se radi o državnim ili privatnim organizacijama.

4.4. Izuzeće od plaćanja kazni, ali ne i od obveze usklađenja sa Uredbom, je predloženo u prijedlogu teksta hrvatskog provedbenog propisa čije se usvajanje očekuje, i to samo i isključivo za tijela javne uprave (dakle prema prihvaćenom shvaćanju i praksi u EU to su ministarstva, upravne organizacije, gradovi, županije i općine). To također znači da će svaki ispitanik koji se smatra oštećenim u obradi svojih podataka moći zahtijevati ispunjenje prava koja mu Uredba omogućuje kao i prava na naknadu štete od svakog tijela koje je izvršilo povredu, bez obzira je li to tijelo izuzeto od kažnjavanja ili nije.

4.5. Zbog činjenice da je svaka organizacija individualno odgovorna za usklađenje kao i zbog činjenice da postoje velike razlike između pojedinih organizacija u razini spremnosti, načinu djelovanja, raspoloživim sredstvima za provođenje aktvnosti u vezi s usklađenjem i slično, preporuka je Udruge da se svaka naša članica samostalno odluči o tome koje će mjere i kada poduzeti, a Udruga se svakako zalaže da se sukladno mogućnostima sve članice odluče na pokretanje postupka usklađenja bez odlaganja, jer vremena je ostalo još vrlo malo do početka primjene Uredbe.

4.6. Jedan od mogućih prijedloga aktivnosti usklađenja jest:

  • da se najprije izvrši analiza trenutnog stanja u vezi sa obradom podataka u organizaciji, takozvana GAP analiza;
  • da se na osnovu takve analize izvrši procjena rizika u vezi sa obradom, ovisno o rezultatima GAP analize;
  • da se temeljem prethodna dva koraka izvrši usklađenje internih akata organizacije (Pravilnik o zaštiti osobnih podataka) i procesa obrade podataka koje će nakon toga biti u skladu sa zahtjevima Uredbe;
  • da se izvršava redovna godišnja edukacija svih djelatnika i suradnika organizacije u vezi s primjenom Uredbe i njenim pravilima.

Naravno, postoje i drugi načini, i sigurno je da je bilo kakva metoda bolja od potpunog nečinjenja, jer, ne zaboravimo, rizik od neusklađenja će na kraju uvijek snositi pojedine organizacije i njihove odgovorne osobe, a štetu zbog neusklađenja će sigurno uvijek pretrpjeti i naši korisnici, pacijenti.

4.7. Zaključno, Udruga će u skladu sa svojim statutarnim obvezama i dalje aktivno sudjelovati u edukaciji naših članica i podržavati sve napore naših članica da se u svom radu samostalno što bolje usklade sa ovim veoma značajnim propisom, te se nadamo da će i ova komunikacija pomoći da se shvati ogromna važnost ove teme kao i potreba da se u aktivnosti usklađenja što prije uključi svaka naša članica, sukladno svojim potrebama i mogućnostima.

 

U svakom slučaju ostajemo na raspolaganju za sva pitanja u vezi sa naslovnom temom. Za bilo kakva dodatna pitanja javite se na broj telefona 099/608-6956 ili na ivan.kristijan.baricevic@upuz.hr.

03.04.2018