EU: Nacrt novog Zakona o zaštiti osobnih podataka

U Europskoj uniji zaštita osobnih podataka obaveza je od 1995. godine, kada je izglasan Data Protection Directive (95/46/EU). No Internet se intenzivno razvija, pa zaštitu privatnosti treba prilagoditi promjenama. Radi toga je podnesen nacrt prijedloga novog EU Zakona o zaštiti osobnih podataka, s namjerom da se izjednači zaštita u svim državama članicama, što bi tvrtkama koje posluju u EU pojednostavnilo poslovanje.

Multinacionalne tvrtke više se neće morati prilagođavati lokalnoj regulativi u svakoj državi EU u kojoj posluju, nego samo u državi u kojoj je smještena centralna podružnica za EU. To će donijeti brojne posljedice, ne samo za tvrtke, nego i za građane, koji će, na primjer, moći birati gdje će tužiti tvrtku koja ne poštuje regulativu, u svojoj državi ili u tamo gdje se nalazi sjedište za EU.

Tvrtkama se u odnosu na dosadašnju praksu znatno ograničavaju prava raspolaganja osobnim podacima. Takozvani Data controlers, što bi po terminologiji koju koristi hrvatski Zakon o zaštiti osobnih podataka bili Voditelji zbirke osobnih podataka, morat će još rigoroznije nego do sada od vlasnika podataka (osoba) tražiti pristanak ili privolu za obradu podataka.

Građani će moći zatražiti od Voditelja zbirke da njihove podatke u elektroničkom obliku prenese trećoj strani, na primjer konkurentskoj tvrtki, u obimu i obliku koji sami odrede. Vlasnik će moći od tvrtke zatražiti i da uništi sve njegove osobne podatke. To će predstavljati tehnološki izazov, jer će trebati osigurati da se podaci izbrišu na svim mjestima gdje su zabilježeni, od aktivnih baza podataka, do backupa.

Očekuje se da će novi zakon izazvati dodatno opterećenje u smislu povećanja vremena, troška i osoblja potrebnog da se održi zadovoljavajuća razina sukladnosti s regulativom. Istovremeno će biti povećane kazne za one koji se ne pridržavaju Zakona. Od Voditelja zbirki tražit će se transparentnost, izrada pravilnika za postupanje s podacima i vođenje složene dokumentacije.

Samo tvrtke s više od 250 zaposlenih morat će imenovati Data protection officera, odnosno Voditelja zaštite osobnih podataka. Dosad su to morale tvrtke s više od 10 zaposlenih. Nadalje, ukida se obaveza slanja izvještaja nezavisnom nadzornom tijelu, što bi kod nas bila Agencija za zaštitu osobnih podataka, AZOP. Za uzvrat će tvrtke imati obavezu provoditi zaštitne mjere, od procjene rizika, donošenja pravilnika i provođenja redovitih internih revizija.

Organizacije će morati prije obrade podataka provesti procjenu moguće povrede privatnosti za podatke koji otkrivaju ekonomsku situaciju, lokaciju, zdravlje, osobne preferencije i omogućuju predviđanje ponašanja osoba.

Bit će olakšan prijenos podataka u zemlje izvan EU, ali uz pridržavanje formalnih pravila koja će trebati izraditi. Time bi se olakšalo poslovanje multinacionalnim tvrtkama.

Dio novog Zakona je tzv. cookie compliance, a odnosi se na tehnologije koje omogućavaju praćenje korištenja uređaja i navika korištenja Interneta. Za tvrtke će biti velik izazov kako dobiti pristanak klijenata za korištenje kolačića, a iznimka će biti jedino usluge koje bez toga ne mogu biti pružene.

Na kraju, uvodi se obveza prijavljivanja neovlaštenog pristupa podacima, za što će tvrtke dobiti rok od 24 sata.

Sve u svemu, čini se da EU traži od tvrtki i organizacija da pokažu koliko ozbiljno shvaćaju zaštitu osobnih podataka. Kazne za nemarne mogu iznositi čak do 2% ukupnog godišnjeg prometa, što je posve dovoljno da neke tvrtke dovede na rub bankrota.

Vijesti: 
Vote: 
0
No votes yet