Opća uredba o zaštiti osobnih podataka na snagu stupa 25. svibnja 2018. godine. Cilj je uredbe osigurati ujednačeno i jednoobrazno postupanje nadzornih tijela za zaštitu osobnih podataka što će za posljedicu imati jednostavniju i jednaku zaštitu prava svih pojedinaca u EU.
Uredba se, bez iznimaka, primjenjuje na sve poslovne subjekte i pojedince koji obavljaju bilo kakvu poslovnu aktivnost, na udruge, bolnice, klubove, državne institucije, škole, pa čak i na fizičke osobe koje npr. postavljaju video nadzor ispred ulaznih vrata.
Kazne za nepridržavanje odredbi iz Uredbe su drakonske i iznose do 20 000 000 eura ili za pravne osobe do 4% ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Sukladno Uredbi, osobnim podacima smatraju se svi podaci koji se odnose na pojedinca (“ispitanika”) čiji je identitet utvrđen ili se može utvrditi: ime, prezime, OIB, slika, glas, adresa, broj telefona, IP adresa, povijest bolesti, podaci o zdravlju, ocjena učenika, ponašanje, podaci o plaći, pa čak i naizgled potpuno banalni podaci poput popisa najdraže literature ili pjesme ako takvi podaci mogu dovesti do individualiziranja određene osobe. Podaci o pravnim osobama nisu zaštićeni i dopušteno ih je prikupljati.
Prije prikupljanja osobnih podataka potrebno je pojedincu pružiti informacije u koju se svrhu podaci prikupljaju, kome će se otkriti te pojedinac mora moći uvijek pristupiti tim podacima te mora moći zatražiti njihov ispravak ili brisanje. Postoje i podaci čije je prikupljanje zabranjeno, poput npr. onih o vjerskoj i/ili političkoj pripadnosti, rasi, bračnom statusu, zdravstvenom stanju, itd.
Što je sa podacima koje nam netko dobrovoljno i bez našeg traženja dostavi, poput npr. obavijesti radnika o trudnoći ili dostave otvorene zamolbe za posao? Ukoliko možemo dokazati da takvi podaci nisu dostavljeni na naš zahtjev već da nam ih je pojedinac dostavio samostalno radi ostvarivanja nekakvih vlastitih koristi ili prava, takvo se postupanje ne smatra prikupljanjem osobnih podataka.
Sukladno Uredbi o zaštiti osobnih podataka, podatke prikuplja voditelj obrade, obrađuje ih izvršitelj, dok je svatko kome se podaci otkrivaju primatelj. Za obradu vlastitih osobnih podataka voditelj obrade od fizičke osobe dužan je zatražiti pristanak u obliku privole. Privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želje ispitanika (npr. radi uvrštavanja potrošača u neki program vjernosti). Ona mora biti dokaziva i od nje osoba mora na jednostavan način moći odustati.
Kod zasnivanja radnog odnosa, za prikupljanje podataka koji su, sukladno Zakonu o radu, nužni za sklapanje ugovora o radu, nije potrebna privola jer se takvi podaci ne smatraju dobrovoljnim prikupljanjem već prikupljanjem za koje postoji zakonska osnova. Međutim, kod npr. sindikalne kupnje, potrebna je privola svakog radnika ponaosob za slanje njegovih podataka trgovini u kojoj će ostvarivati mogućnost kupnje pod povoljnijim uvjetima zbog članstva u sindikatu.
Za usklađenost s načelima Uredbe odgovoran je voditelj obrade, a obrada je, dakle, zakonita samo ako i u onoj mjeri u kojoj je ispunjeno jedno od sljedećeg:
- ispitanik je dao privolu
- obrada je nužna za izvršavanje ugovora
Uredba se primjenjuje neovisno o tome u kojoj se državi podaci obrađuju i bez obzira da li se obrađuju automatizirano ili ručno. Podaci moraju biti primjereni, ograničeni i relevantni, stoga savjetujemo prikupljanje isključivo i samo onih podataka koji su nužno potrebni te čuvanje istih samo onoliko dugo koliko je potrebno u svrhe radi kojih se obrađuju.