Najčešća pitanja o GDPR-u

Da bismo vama i vašoj tvrtki ili ustanovi pomogli u usklađivanju s GDPR-om, sastavili smo popis najčešćih pitanja te, što je još važnije, odgovora na njih.


|

Da. GDPR od voditelja obrade (kao što su tvrtke ili ustanove koje koriste Microsoftove poslovne mrežne servise) zahtijeva da koriste one izvršitelje obrade (kao što je Microsoft) koji daju dovoljna jamstva za ispunjavanje ključnih preduvjeta GDPR-a. Microsoft je preuzeo proaktivan korak pružanja tih obveza svim klijentima za količinsko licenciranje u sklopu njihovih ugovora.

 

Microsoftove ugovorne obveze u vezi s GDPR-om pronaći ćete u odjeljcima s korisničkim ugovorima na stranici Stranica s pregledom GDPR-a.

 

Microsoft daje alate i dokumentaciju koja podržava odgovornost za propise iz GDPR-a. Time su obuhvaćene podrška za autorska prava na podatke, obavljanje vlastitih procjena učinka zaštite podataka te zajednički rad na rješavanju kršenja osobnih podataka. Posjetite stranicu Stranica s pregledom GDPR-a.

 

Microsoftovi uvjeti za GDPR odražavaju obaveze koje se zahtijevaju od izvršitelja obrade u Članku 28. Prema članku 28 izvršitelji obrade obvezuju se na sljedeće:

  • Podizvršitelji obrade koriste se samo uz pristanak voditelja obrade, a izvršitelj obrade odgovoran je za podizvršitelje.
  • Osobni podaci obrađuju se samo prema uputama voditelja obrade, uključujući njihov prijenos.
  • Jamči se da su osobe koje obrađuju osobne podatke obvezane na povjerljivost.
  • Implementiraju se odgovarajuće tehničke i organizacijske mjere kojima se osigurava razina zaštite osobnih podataka u skladu s rizikom.
  • Voditeljima obrade pomaže se u njihovim obvezama da odgovore na zahtjeve subjekata podataka za ostvarenjem prava iz GDPR-a.
  • Zadovoljavaju se preduvjeti povezani s obavijestima o kršenju zaštite podataka i s pomoći.
  • Voditeljima obrade pomaže se u procjeni učinka zaštite podataka te pri savjetovanju s nadzornim tijelima.
  • Osobni podaci brišu se ili vraćaju nakon završetka pružanja usluge.
  • Voditeljima obrade predočavaju se dokazi o usklađenosti s GDPR-om.

 

 

Microsoft se dugo ravnao prema standardnim ugovornim klauzulama (koje se još nazivaju i klauzule modela) kao osnovom za prijenos podataka za svoje poslovne mrežne servise. Standardne ugovorne klauzule standardni su uvjeti koje određuje Europska komisija, a prema njima se podaci mogu prenositi izvan Europskog gospodarskog prostora na sukladan način. Microsoft je obuhvatio standardne ugovorne klauzule u svoje ugovore o količinskom licenciranju putem Uvjeti pružanja mrežnih servisa. Neovisno europsko nadzorno tijelo Article 29 Working Party posebno je procijenilo Microsoftovu implementaciju standardnih ugovornih klauzula i proglasilo ih usklađenima.

 

Kada je postao dostupan štit privatnosti EU-SAD, Microsoft je bio prva tvrtka koja ga je cetificirano primijenila. Pogledajte Microsoftov certifikat za štit privatnosti, a pročitajte iUvjeti pružanja mrežnih servisa. Štit privatnosti EU-SAD korisnicima koji žele prenijeti svoje podatke u SAD omogućuje da to učine u skladu sa svojim obavezama u vezi sa zaštitom podataka.

 

Kao globalna tvrtka s klijentima u gotovo svim državama u svijetu, Microsoft ima širok portfelj ponuda za korisnike koji se nastoje uskladiti s tim propisima. Da biste pogledali čitav popis naših ponuda povezanih s usklađivanjem s propisima, uključujući i FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud i mnoge druge, posjetite  popis ponuda povezanih s usklađivanjem s propisima.

|

 

Da biste se informirali o mogućnostima Microsoftovih servisa koji se upotrebljavaju da bi se zadovoljilo uvjete GDPR-a, posjetite www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR propisuje širok spektar obveza tvrtkama ili ustanovama koje prikupljaju ili obrađuju osobne podatke, uključujući obvezu pridržavanja šest ključnih načela:

  • Transparentnost, poštena i zakonita primjena pri rukovanju osobnim podacima i njihovoj upotrebi. Morate jasno korisnicima objasniti način na koji ćete se koristiti njihovim osobnim podacima, a potrebna vam je „zakonita osnova” za obradu tih podataka.
  • Ograničavanje obrade osobnih podataka na točno određene, jasno naznačene i legitimne svrhe. Nećete smjeti ponovno koristiti ili otkrivati osobne podatke u svrhe koje nisu „kompatibilne” sa svrhom u koju su podaci izvorno prikupljeni.
  • Svođenje prikupljanja i pohrane osobnih podataka na najmanju moguću mjeru koja odgovara i relevantna je za namjenu.
  • Osiguravanje točnosti osobnih podataka i omogućivanje njihova brisanja ili ispravljanja. Morat ćete poduzeti korake da osigurate točnost osobnih podataka koje koristite, kao i mogućnost ispravljanja u slučaju pogreške.
  • Ograničavanje prostora za pohranu osobnih podataka. Osobne podatke smjet ćete čuvati samo onoliko koliko je potrebno da biste ispunili svrhu za koju su podaci prikupljeni.
  • Zaštita, očuvanje cjelovitosti i povjerljivosti osobnih podataka. Vaša tvrtka ili ustanova mora poduzeti korake da bi osobne podatke osigurala pomoću tehničkih i organizacijskih sigurnosnih mjera.

Morate sami utvrditi koje su konkretne obaveze vaše tvrtke ili ustanove u odnosu na GDPR i kako ih ostvariti, a Microsoft je ovdje da bi vam u tome pomogao.

Da biste saznali više o Općoj uredbi o zaštiti podataka (GDPR), posjetite www.microsoft.com/gdpr, gdje ćete ujedno saznati kako pojedini Microsoftovi proizvodi mogu pojednostavniti usklađivanje s GDPR-om. Pogledajte odjeljke o servisima i sustavima Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 te Windows 10.

GDPR stanovnicima EU-a daje kontrolu nad vlastitim osobnim podacima putem skupa „prava ispitanika u pogledu podataka”. Time su obuhvaćena prava na sljedeće:

  • pristup informacijama o načinu korištenja osobnih podataka
  • pristup osobnim podacima koji posjeduje određena tvrtka ili ustanova
  • brisanje odnosno ispravak netočnih osobnih podataka
  • ispravljanje i brisanje osobnih podataka u određenim okolnostima (pravo koje se još naziva i „pravom na zaborav”)
  • ograničenje odnosno prigovor na automatsku obradu osobnih podataka
  • primanje kopije osobnih podataka.

Voditelj obrade jest fizička ili pravna osoba, javno tijelo, agencija ili neka druga ustanova koja sama ili u suradnji s nekim drugim određuje namjene i sredstva obrade osobnih podataka. Izvršitelj obrade jest fizička ili pravna osoba, javno tijelo, agencija ili neka druga ustanova koja obrađuje osobne podatke za voditelja obrade.

Da, GDPR se odnosi i na voditelje i na izvršitelje obrade. Voditelji obrade smiju se koristiti samo onim izvršiteljima obrade koji su poduzeli mjere da bi se uskladili s GDPR-om.

 

Prema GDPR-u, izvršitelji obrade imaju i dodatne dužnosti te su odgovorni u slučaju nepridržavanja propisa ili djelovanja koje nije u skladu s uputama koje im je izdao voditelj obrade, a prema Direktivi o zaštiti podataka. Dužnosti izvršitelja obrade uz ostalo obuhvaćaju:

  • obradu podataka samo prema uputama voditelja obrade
  • korištenje odgovarajućim tehničkim i organizacijskim mjerama za zaštitu osobnih podataka
  • pomaganje voditelju obrade u zahtjevima subjekata podataka
  • kontrolu angažiranih podizvršitelja u pogledu ispunjavanja tih preduvjeta

Tvrtke se mogu zbog nepridržavanja određenih preduvjeta iz GDPR-a kazniti novčanom kaznom do 20 milijuna eura ili 4 % godišnjeg globalnog prometa, ovisno o tome što je veći iznos. Još neki pojedinačni pravni lijekovi mogu povećati vaš rizik ako ne zadovoljite preduvjete iz GDPR-a.

To ovisi o nekoliko čimbenika definiranih u okviru odredbe. Članak 37 GDPR-a kaže da voditelji i izvršitelji obrade moraju imenovati službenika za zaštitu podataka u slučajevima u kojima vrijedi sljedeće: (a) obradu provodi javno tijelo, osim u slučaju sudova koji vrše svoju pravosudnu dužnost; (b) osnovne djelatnosti voditelja ili izvršitelja obrade sastoje se od obrade koja zbog svoje prirode, opsega i/ili namjene zahtijeva nadzor subjekata podataka u širem opsegu ili (c) osnovne djelatnosti voditelja ili izvršitelja obrade sastoje se od obrade posebnih kategorija podataka u širem opsegu shodno Članku 9 te osobnih podataka povezanih s kaznenim osudama i djelima koja se spominju u Članku 10.

Zadovoljavanje uvjeta GDPR-a većinu tvrtki stoji i novca i vremena, ali bi prijelaz mogao biti lakši za one koji rade u dobro osmišljenim modelima servisa u oblaku te imaju već postavljen učinkovit program upravljanja podacima.

|

GDPR-om se regulira prikupljanje, pohrana, upotreba i dijeljenje „osobnih podataka”. Osobni se podaci vrlo općenito prema GDPR-u definiraju kao svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

 

Osobni podaci mogu, uz ostalo, obuhvaćati mrežne identifikatore (npr. IP adrese), podatke o zaposlenicima, baze podataka o klijentima, podatke o klijentskim servisima, obrasce s povratnim informacijama korisnika, podatke o lokaciji, biometrijske podatke, snimke nadzornih kamera, evidencije programa lojalnosti, zdravstvene i financijske podatke te još mnogo toga. Time mogu biti obuhvaćeni i neki podaci koji ne izgledaju kao osobni (primjerice fotografije krajolika bez ljudi), pri čemu su podaci na temelju broja računa ili jedinstvene šifre povezani s pojedincem kojega je moguće identificirati. Čak i osobni podaci prikupljeni pod pseudonimom mogu biti osobni podaci ako se pseudonim može povezati s određenim pojedincem.

 

Trebali biste ujedno biti svjesni da obrada određenih „posebnih” kategorija osobnih podataka, kao što su osobni podaci kojima se otkriva rasna ili etnička pripadnost nekog pojedinca ili koji su povezani s njegovim zdravstvenim stanjem ili seksualnom orijentacijom, podliježe još strožim pravilima od obrade „običnih” osobnih podataka.

 

Ta procjena osobnih podataka uvelike ovisi o konkretnim činjenicama pa vam preporučujemo da angažirate stručnjaka koji će procijeniti vaše konkretne okolnosti.

Da. Premda se pravila donekle razlikuju, GDPR se odnosi na tvrtke ili ustanove koje prikupljaju i obrađuju podatke za vlastite namjene („voditelji obrade”), ali i na tvrtke ili ustanove koje obrađuju podatke za nekoga drugog („izvršitelji obrade”). Riječ je o promjeni u odnosu na postojeću Direktivu o zaštiti podataka, koja se odnosi samo na voditelje obrade.

Osobni podaci svi su podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Nema razlike između privatnih, javnih ili radnih uloga osobe. Osobni podaci mogu obuhvaćati sljedeće:

 

Primjeri osobnih podataka obuhvaćaju sljedeće:

 

identitet

  • ime
  • kućnu adresu
  • službenu adresu
  • telefonski broj
  • broj mobilnog telefona
  • adresu e-pošte
  • broj putovnice
  • osobnu iskaznicu
  • broj socijalnog osiguranja (ili ekvivalent)
  • vozačku dozvolu
  • fizičke, fiziološke ili genetske informacije
  • medicinske podatke
  • kulturni identitet

financijske podatke

  • bankovne podatke/brojeve računa
  • porezni broj
  • službenu adresu
  • brojeve kreditnih ili debitnih kartica
  • članke objavljene na društvenim mrežama

internetske artefakte

  • članke objavljene na društvenim mrežama
  • IP adresu (regija EU-a)
  • informacije o lokaciji/GPS-u
  • kolačiće

Da, no GDPR striktno regulira prijenos osobnih podataka europskih stanovnika na destinacije izvan Europskog gospodarskog područja. Možda će vam radi omogućivanja tih prijenosa biti potreban specifičan pravni mehanizam, npr. ugovor, ili ćete se morati pridržavati mehanizma certificiranja. Microsoft u Uvjetima korištenja mrežnih servisa podrobno opisuje mehanizme kojima se koristi.

Ako postoje legitimne osnove za daljnju obradu i zadržavanje podataka, kao što je ona koja se provodi „radi poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice kojem podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade” (Članak 17 (3) (b)), GDPR priznaje da neke tvrtke ili ustanove mogu biti obvezne zadržati podatke. No neka vaši pravni savjetnici provjere jesu li osnove za zadržavanje doista jače od prava i sloboda subjekata podataka te njihovih očekivanja u trenutku kada su podaci prikupljeni.

GDPR definira enkripciju kao zaštitnu mjeru kojom osobni podaci postaju nečitljivi u slučaju kada je narušena njihova sigurnost. Stoga, korištenje ili nekorištenje enkripcijom može utjecati na preduvjete o obavijesti o kršenju sigurnosti osobnih podataka. GDPR ujedno upućuje na enkripciju kao na odgovarajuću tehničku ili organizacijsku mjeru u nekim slučajevima, ovisno o riziku. Enkripcija je ujedno i obveza prema sigurnosnom standardu zaštite podataka industrije platnih kartica te je dio strogih smjernica za sukladnost u industriji financijskih servisa. Microsoftovi proizvodi i servisi kao što su Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database i Windows 10 sadrže robusne mogućnosti enkripcije za podatke koji se prenose ili zadržavaju.

 

Da biste saznali više o tome kako vam Microsoftovi proizvodi i servisi mogu pomoći u usklađivanju s GDPR-om,  saznajte kako uz naše proizvode lakše ispuniti preduvjete za GDPR.

GDPR će promijeniti uvjete za zaštitu podataka i stvoriti strože obveze izvršitelja i voditelja obrade podataka u odnosu na obavijesti o kršenju sigurnosti osobnih podataka. Prema novim propisima, izvršitelj obrade mora bez ikakve odgode obavijestiti voditelja obrade podataka o kršenju sigurnosti osobnih podataka čim toga postane svjestan. Čim postane svjestan kršenja sigurnosti osobnih podataka, voditelj obrade podataka mora u roku od 72 sata obavijestiti nadležno tijelo za zaštitu podataka. Ako kršenje sigurnosti može ozbiljno ugroziti prava i slobode pojedinaca, voditelji obrade moraju bez odgode obavijestiti i one pojedince na čije se podatke kršenje odnosi. Dodatne smjernice o tome trenutačno razvija EU-ovo nadzorno tijelo Article 29 Working Party.

 

Microsoftovi proizvodi i servisi - kao što su Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 i Windows 10 sadrže rješenja koja su vam već danas dostupna za lakše prepoznavanje i procjenu sigurnosnih prijetnji i kršenja, a zadovoljavaju i obveze obavještavanja u slučaju kršenja sigurnosti prema GDPR-u.

|

Microsoft FastTrack pogodnost je servisa* koja pridonosi uspjehu naših klijenata na taj način što im olakšava bržu poslovnu dobit putem platforme Microsoft Cloud. FastTrack koristan je za sljedeće:

  • migraciju e-pošte, sadržaja i poboljšanje servisa sustava Microsoft 365
  • implementaciju uređaja i sigurno upravljanje njima
  • pokretanje poslovanja i pridobivanje krajnjih korisnika

Microsoft FastTrack trajna je i obnovljiva pogodnost servisa dostupna klijentima koju isporučuju Microsoftovi inženjeri i specijalisti da bi klijentima i partnerima olakšali planiranje, uvođenje i provođenje primjene servisa te podržali sigurno preseljenje u oblak tempom koji odgovara korisnicima i partnerima.

 

Pomažući klijentima s određenim implementacijama i migracijama na naše mrežne servise, Microsoft FastTrack obvezuje se na usklađenost s GDPR-om do trenutka njegova stupanja na snagu, 25. svibnja 2018. U sklopu profesionalne pogodnosti FastTrack radimo i s postojećim partnerima svojih klijenata ili preporučujemo partnere za implementaciju ili pomoć pri usvajanju.

 

Dodatne informacije: https://FastTrack.Microsoft.com 

 

„Pogodnost servisa” smatra se „profesionalnim servisom”, kao što je definirano našim OST-om i MBSA-om.

Inženjeri i specijalisti za FastTrack vodeći su stručnjaci u planiranju za scenarije te će pomoći u planiranju, implementaciji i usvajanju proizvoda te servisa uz koje će naši partneri i klijenti postići svoje ciljeve. Saznajte više o tome kako Microsoftovi proizvodi i servisi podržavaju usklađenost s GDPR-om putem našegweb-mjesta centra za pouzdanost Svojim klijentima i partnerima preporučujemo suradnju s pravnim stručnjacima u svim pitanjima povezanima s GDPR-om, njegovom konkretnom primjenom za njihovu tvrtku ili ustanovu te o najboljim načinima usklađivanja s tom uredbom.

Svojim klijentima savjetujemo suradnju s vlastitim pravnim timovima i timovima za usklađenost s propisima da bi utvrdili koje preduvjete GDPR-a za enkripciju i općenite preduvjete GDPR-a moraju ispuniti. Usklađenost s GDPR-om razlikuje se od jednog klijenta do drugog s obzirom na prikupljene podatke, scenarije korištenja te gospodarske sektore i vektore.

Microsoft FastTrack servis je za uspjeh korisnika koji se zalaže za brže implementacije, povrat ulaganja i postizanje više stope usvajanja Microsoftovih servisa i proizvoda kod zaposlenika i krajnjih korisnika. S tim na umu, kada nam pristignu zahtjevi za podršku putem servisa Microsoft FastTrack, započet ćemo s vlastitim procesom odgovarajuće implementacije Microsoftovih proizvoda i servisa za svoje klijente i partnere.

 

U sklopu pogodnosti profesionalnog servisa FastTrack surađujemo s postojećim partnerima svojih klijenata ili preporučujemo partnere za pomoć pri implementaciji ili usvajanju. Dodatne informacije o partnerima koji su specijalizirani za GDPR i dostupni za pomoć Microsoftovim partnerima u postizanju usklađenosti pronaći ćete na stranici o GDPR-u centra za pouzdanost Microsoftovih resursa za GDPR. Možete se poslužiti  web-stranicom pouzdanog oblaka/GDPR-a  da biste procijenili svoju spremnost za usklađivanje s GDPR-om u Microsoftovu oblaku te koristite  Microsoft FastTrack  za pomoć pri implementaciji.


Dodatni resursi

Potražite partnera

Zadovoljite svoje potrebe u vezi s GDPR-om uz nekog od naših partnera koji nude Microsoftova rješenja.

Microsoftove prakse zaštite privatnosti

Saznajte kako Microsoft upravlja vašim podacima, gdje se oni nalaze, tko im i pod kojim uvjetima može pristupiti te još mnogo toga.

Štit privatnosti između EU-a i SAD-a

Saznajte kako se Microsoft pridržava načela Štita privatnosti između EU-a i SAD-a.

Obavijest o kršenju sigurnosti podataka

Kako Microsoft otkriva kršenje sigurnosti osobnih podataka i odgovara na njega te vas obavještava u skladu s GDPR-om.