GDPR i nacionalni propisi o zaštiti osobnih podataka

Opća uredba o zaštiti podataka (GDPR) uspostavila je jedinstven europski okvir za zaštitu osobnih podataka, ali njezina stvarna primjena nadilazi puko ispunjavanje pravnih obveza. GDPR u praksi funkcionira kao sustav upravljanja privatnošću odnosno zaštitom osobnih podataka, koji zahtijeva trajno razumijevanje tokova podataka, procjenu rizika, odgovornost uprave i sposobnost dokazivanja usklađenosti u svim fazama obrade.

Uz samu Uredbu, primjena GDPR-a dodatno se oblikuje kroz nacionalne provedbene propise država članica, kao i kroz smjernice i tumačenja europskih i nacionalnih nadzornih tijela. Na europskoj razini ključnu ulogu ima EDPB, dok se nadzor na nacionalnoj razini provodi putem nadležnih tijela, u Hrvatskoj prvenstveno Agencija za zaštitu osobnih podataka (AZOP).

GDPR kao upravljački okvir privatnosti

GDPR zahtijeva da organizacije mogu dokazati da osobne podatke obrađuju zakonito, transparentno i sigurno, ali i da razumiju utjecaj obrade na prava i slobode ispitanika. U tom smislu, usklađenost se ne mjeri brojem dokumenata, već sposobnošću organizacije da upravlja privatnošću kao trajnom funkcijom, integriranom u poslovne, organizacijske i tehnološke procese.

Naš pristup polazi od tog koncepta: GDPR promatramo kao operativni i upravljački sustav, a ne kao izolirani pravni projekt.

Što radimo u usklađivanju s GDPR-om

Usklađivanje započinjemo analizom stvarne primjenjivosti GDPR-a na organizaciju, uključujući uloge voditelja i izvršitelja obrade, tokove osobnih podataka, pravne osnove obrade i obveze koje proizlaze iz nacionalnih propisa i smjernica nadzornih tijela. Na temelju toga uspostavljamo ili unaprjeđujemo GDPR upravljački okvir, koji obuhvaća politike, procedure, raspodjelu odgovornosti i integraciju zaštite podataka u postojeće sustave upravljanja (npr. ISMS, compliance, risk management).

Poseban naglasak stavljamo na procjene rizika i učinka, jer upravo one predstavljaju središnji mehanizam GDPR-a za dokazivu usklađenost.

DPIA, PIA i procjene rizika utjecaja na privatnost

Za obrade koje mogu predstavljati visok rizik za prava i slobode ispitanika provodimo i vodimo DPIA (Data Protection Impact Assessment), u skladu s GDPR-om i relevantnim smjernicama nadzornih tijela. U širem kontekstu, koristimo i PIA (Privacy Impact Assessment) kao alat za sustavno upravljanje rizicima privatnosti, osobito u složenim ili međunarodnim obradama.

Ove procjene ne tretiramo kao formalnu obvezu, već kao operativni instrument za donošenje odluka, definiranje mjera zaštite i dokazivanje odgovornosti (accountability).

Prijenosi osobnih podataka u treće zemlje i TIA

Jedno od regulatorno najosjetljivijih područja GDPR-a odnosi se na prijenose osobnih podataka izvan EU/EEA. Nakon presuda i regulatornih tumačenja, prijenos više nije dopušten bez razumijevanja stvarnih rizika u zemlji primatelja.

U tom kontekstu provodimo TIA (Transfer Impact Assessment), kojim se:

• procjenjuje pravni i praktični okvir treće zemlje,
• analizira mogućnost pristupa podacima od strane javnih tijela,
• ocjenjuje učinkovitost ugovornih i tehničkih zaštitnih mjera,
• dokumentira odluka o dopuštenosti ili ograničenju prijenosa.

TIA provodimo u skladu s europskim smjernicama i očekivanjima nadzornih tijela, uzimajući u obzir i stvarne tehničke i organizacijske mjere zaštite.

Dobavljači, izvršitelji obrade i međunarodni kontekst

GDPR jasno propisuje da odgovornost za zaštitu osobnih podataka ne prestaje kod voditelja obrade. U tom smislu pomažemo organizacijama u upravljanju:

• izvršiteljima obrade i podizvršiteljima,
• ugovornim obvezama i sigurnosnim zahtjevima,
• međunarodnim lancima obrade podataka,
• usklađivanju GDPR-a s drugim regulatornim okvirima (npr. NIS2, DORA).

Cilj je osigurati da se privatnost upravlja konzistentno u cijelom opskrbnom i podatkovnom lancu, unutar i izvan EU/EEA.

EU predstavnik (EU Representative)

Za subjekte izvan EU/EEA koji podliježu GDPR-u zbog obrade osobnih podataka ispitanika u Uniji, nudimo i usluge EU predstavnika (Representative in the EU), u skladu s člankom 27. GDPR-a.

U toj ulozi djelujemo kao formalna kontaktna točka za nadzorna tijela i ispitanike, podržavamo regulatornu komunikaciju i dokazivanje usklađenosti i integriramo obveze EU predstavnika u širi sustav upravljanja privatnošću.

Ove usluge pružamo unutar ili izvan certifikacijskih okvira, ovisno o potrebama klijenta.

ISO/IEC 27701 i Europrivacy shema

GDPR usklađivanje organizacijskih i tehničkih mjera provodimo:

• u skladu s ISO/IEC 27701 i ISO/IEC 27001, kao proširenjem ISMS-a prema sustavu upravljanja privatnošću (PIMS),
• u okviru Europrivacy sheme, kada je cilj certifikacijska i formalno priznata usklađenost,
• ili izvan certifikacijskih shema, kada je fokus na regulatornoj i operativnoj primjenjivosti bez certifikacije.

Time omogućujemo fleksibilan pristup, prilagođen regulatornim, tržišnim i poslovnim ciljevima organizacije, uz zadržavanje pune GDPR usklađenosti.

Stručna izvrsnost i regulatorni uvid

Sve navedene aktivnosti provode naši stručnjaci s najvišim razinama međunarodno priznatih i akreditiranih certifikata iz područja zaštite osobnih podataka, informacijske sigurnosti i upravljanja privatnošću. Riječ je o certificiranim senior konzultantima i auditorima s dugogodišnjim iskustvom u primjeni GDPR-a, nacionalnih provedbenih propisa te povezanih međunarodnih okvira.

Dodatno, naši stručnjaci su aktivni članovi ekspertnih skupina pri EDPB, gdje sudjeluju u stručnim raspravama, razvoju tumačenja i oblikovanju smjernica koje izravno utječu na praktičnu primjenu GDPR-a unutar EU/EEA i u prekograničnom kontekstu.

Ova kombinacija akreditirane stručnosti, praktičnog iskustva i regulatornog uvida omogućuje nam da klijentima pružimo rješenja koja nisu samo formalno usklađena, već stvarno održiva, nadzorno prihvatljiva i dugoročno primjenjiva u dinamičnom regulatornom okruženju.