Što je to GDPR (General Data Protection Regulation)?
GDPR (General Data Protection Regulation) ili Opća Uredba o zaštiti osobnih podataka generalno regulira zaštitu osobnih podataka građana Europske unije. Stupa na snagu u petom mjesecu 2017 godine. Primjenjuje se na sve države članice Europske Unije bez uvođenja u nacionalno zakonodavstvo. Osim toga primjenjuje se na sve pravne subjekte koji rade s podacima građana EU-a. Kako se u ljudskim potencijalima radi s podacima koji podliježu ovom zakonu odlučili smo demistificirati što je to GDPR kroz seriju članaka i objasniti kakvom se riziku izlažu tvrtke koje ga ne poštuju.
Što je Opća Uredba o zaštiti osobnih podataka (GDPR)?
GDPR odnosno Opća Uredba o zaštiti osobnih podataka, kompleksan je zakon koji donosi mnoge novosti i mijenja način rada i rukovanja s osobnim podacima pojedinaca.
Svrha ove Uredbe je ujednačavanje postojećih zakonskih okvira u jedan kompletan set pravila na razini cijele Europske Unije. Ujednačeni zakonski okvir omogućit će organizacijama bržu, lakšu i jeftiniju prilagodbu.
Primjena direktive započinje 25. svibnja 2018. godine, a navedeni datum označava i krajnji rok za prilagodbu svih procesa i informatičkih sustava. Za početak, potrebno je identificirati postojeće procese te promjene koje je potrebno izvršiti kako bi se postigla usklađenost sa zakonskom regulativom. Prije nego pristupimo tom procesu, moramo razlikovati glavne entitete, njihova prava i obaveze, ali i definirati što je to osobni podatak.

Osobni podaci
Osobni podaci su svi podaci koji opisuju pojedinca čiji je identitet već utvrđen ili se može utvrditi na temelju prikupljenih podataka,. Osobni su između ostalog ime, prezime, OIB, fotografija, adresa stanovanja, datum rođenja, povijest školovanja i zaposlenja, biometrijski podaci, ali i podaci kao što su IP adresa, internet preglednik te mnogi drugi. Razlikujemo i posebnu kategoriju visoko osjetljivih podataka poput spola, rase, stranačke pripadnosti, seksualne orijentacije i povijesti bolesti.
Sudionici procesa
GDPR definira tri entiteta koja sudjeluju u procesu razmjene, čuvanja i obrade osobnih podataka:
- Data Subject/Subjekt obrade: Subjekt je osoba čiji podaci se čuvaju i obrađuju. U kontekstu ljudskih resursa i zapošljavanja, subjekt je zaposlenik tvrtke ili kandidat koji se prijavljuje na oglas za posao.
- Data Controller/Voditelj obrade: Određuje svrhu, uvjete i način obrade osobnih podataka Subjekta. Subjekt svoje osobne podatke dobrovoljno predaje Voditelju obrade, čime on postaje vlasnik tih podataka i koristi ih isključivo u svrhu za koju ih je Subjekt predao. Korištenje podataka na bilo koji način i za svrhu s kojom se Subjekt nije složio, predstavlja narušavanje njegovih prava i kršenje zakona. Voditelj obrade je tvrtka koja čuva podatke o svojim zaposlenicima ili podatke kandidata koji se prijavljuju na oglase za posao.
- Data Processor/Izvršitelj obrade: Izvršitelj obrade u ime Voditelja obrade vrši obradu osobnih podataka Subjekta.

U slučaju fizičkih dokumenata koji sadrže osobne podatke zaposlenika, izvršitelj obrade je sam poslodavac ili tvrtka koju poslodavac angažira za obradu tih dokumenata(npr. vanjski knjigovodstveni servis).
Kada govorimo o HR softveru kao što su HRIS sustavi ili alati za regrutaciju, potrebno je razlikovati dva načina korištenja:
- On-premise softver: Aplikacija se nalazi na serveru tvrtke koja ju koristi(obično unutar intranet okruženja), te se sam server i baza podataka održavaju interno unutar tvrtke.
- Cloud softver: SaaS (Software as a Service) alati dostupni bilo kada i bilo gdje uz pristup internetu.
U prvom slučaju tvrtka koja koristi softver u isto je vrijeme Voditelj obrade i Izvršitelj obrade podataka, dok u drugom slučaju ulogu Izvršitelja obrade preuzima SaaS alat, odnosno tvrtka u čijem je vlasništvu.
Gore navedeno jednostavni su primjeri, no već je iz njih moguće steći dojam o potencijalnoj kompleksnosti prilagodbe postojećih procesa i sustava. Ako je to moguće, dobra je ideja prebaciti dio odgovornosti na specijalizirane Izvršitelje obrade te time pojednostaviti cjelokupnu prilagodbu (Korištenje Cloud umjesto On-premise softvera za specifične potrebe poput zapošljavanja i regrutacije).
Nepridržavanje zakonskih okvira
GDPR definira vrlo visoke kazne za prekršitelje te one mogu iznositi do 20 milijuna eura ili 4% godišnjeg prometa na razini cijele organizacije.
Voditelj i Izvršitelj obrade dijele odgovornost za sigurnost i zaštitu osobnih podataka te samim time i kaznu u slučaju nepridržavanja zakonskih okvira.
***
Svaki proces prikupljanja i obrade osobnih podataka različit je, stoga je svaki potrebno proučiti, identificirati ključne entitete te njihova prava i obaveze kako bi bilo moguće započeti proces prilagodbe procesa nadolazećoj regulativi.
GDPR webinar
Ako već niste, pogledajte naš webinar o GDPR-u u ljudskim resursima!
Preuzmite vodič: Usklađivanje s GDPR-om u ljudskim potencijalima!