Hakiraju li vam Kinezi tvrtku, a vi to u roku od 72 sata ne dojavite nadležnim institucijama, slijedi kazna. Netko od vaših zaposlenika izgubi laptop s mailovima ili drugim osobnim podacima, ili vam se poplavi arhiva ili bilo što slično, a vi to niste javili unutar 72 sata, isto slijedi kazna.

Novčana kazna ide uvijek, a povrh toga moguće su i druge mjere, nabrajao je moguće najcrnje scenarije na Oracleovoj konferenciji o GDPR-u u Zagrebu pravni savjetnik Agencije za zaštitu osobnih podataka (AZOP) Patricio Marcos Petrić, kako će od 25. svibnja iduće godine izgledati primjena te europske regulative.

Dodao je da usto korisnike morate obavijestiti o tome da im je netko ukrao osobne podatke. I to ne samo vaše poslovne partnere već i potrošače.

“Pitate li se kako ćete 5000 korisnika svojeg loyalty programa obavijestiti o tome, e pa nećete to moći napraviti preko svoje web stranice, jer je možda nitko ne čita, nego ste obvezni to napraviti preko novina, radija ili televizije”, kaže Marcos Petrić.

Osobni podaci kao imovina

GDPR regulativa vruća je tema posljednjih mjeseci u poslovnim krugovima, jer će je morati primijeniti i sve tvrtke u Hrvatskoj. Marcos Petrić pojašnjava da sve tvrtke, ako ništa drugo, obrađuju plaće i time barataju barem tim osobnim podacima. EU je, naime, zbog napretka big data tehnologija i umjetne inteligencije, a u čemu tržišno vode tvrtke iz SAD-a, odlučila zaštititi svoje građane, ali i poboljšati si tržišnu poziciju. Svakom građaninu Unije dala je za pravo da su njegovi osobni podaci njegova osobna imovina. Umjesto 28 zakona u svakoj od članica EU od iduće godine tako će ta pitanja biti regulirana samo jednom, GDPR regulativom. Kazne su do 4 posto prihoda na globalnoj razini, odnosno najviše 20 milijuna eura.

Marcos Petrić ističe da postoje iznimke. Jedino mjesto gdje građani neće imati pravo na zaštitu osobnih podataka je u tijeku sudskih procesa. No, čak će i sud u svom radu o tome morati voditi računa. AZOP-ov stručnjak navodi da će, primjerice, Porezna uprava smjeti zadirati u privatnost građana, poput stanja imovine, samo u omjeru proporcionalnom očekivanom ishodu.

Zabranjeno slanje izvan EU

Svako procjenjivanje zaposlenika u tvrtkama, praćenje javnog prostora, poput videonadzora, te profiliranje morat će prethodno odobriti AZOP. Dodaje da ima i finesa. “Tvrtke ne moraju ići u medije s objavom da su ih hakirali, ako će podatke enkriptirati”, kaže Marcos Petrić.

Od sredine iduće godine tvrtke koje posluju u regiji neće smjeti podatke o EU građanima, pa tako ni Hrvatima, iznositi u Srbiju, BiH te druge susjedne zemlje koje nisu članice Unije, jer ne osiguravaju adekvatnu zaštitu osobnih podataka. Iznimka je ako se poduzmu dodatne zaštitne mjere poput sklapanja standardnih ugovornih klauzula ili ako postoje obvezujuća korporativna pravila. Marcos Petrić pojašnjava da to neće moći raditi ni u Indiju, Japan, Rusiju, Tursku pa čak ni u SAD, osim ako nije u okviru “privacy shielda”.

“Zasad AZOP još može dati dozvolu za to, ali od iduće godine to više nećemo moći, osim ako neće postojati dodatne zaštitne mjere, jer će ista pravila vrijediti u cijeloj Uniji”, zaključuje Marcos Petrić.