GDPR i osobni podaci
Razrada
Opća uredba o zaštiti podataka (General Data Protection Regulation, GDPR) ima za cilj osigurati transparentnost i informirati javnost - korisnike, zaposlenike, članove tima itd. osiguravatelja usluga objavljivanja u dijamantnom otvorenom pristupu o tome kako vaša organizacija koristi, pohranjuje i obrađuje njihove osobne podatke.
Ako izdavači i osiguravatelji usluga u dijamantnom otvorenom pristupu rukuju osobnim podacima ljudi unutar EU-a, moraju se pridržavati GDPR-a i moraju imati obavijest o privatnosti koja objašnjava kako to rade.
Jednostavan za čitanje i razumijevanje
Obavijest o privatnosti, ključni zahtjev GDPR-a, javni je dokument koji opisuje kako organizacija obrađuje osobne podatke. Članci 12., 13. i 14. GDPR-a daju smjernice za izradu ovih obavijesti, naglašavajući jasnoću i pristupačnost. Obavijesti o privatnosti moraju biti sažete, transparentne, jasne i dostupne. Trebaju biti pisane jednostavnim jezikom, brzo dostavljene i besplatne.
Savjeti za pisanje jasne i lako razumljive obavijesti o privatnosti:
- Izbjegavajte nejasne kvalifikatore poput "može", ˇmoglo biˇ, "ponekad", "često". Umjesto toga koristite “bit će" i "uvijek"
- Pišite u aktivnom vremenu s dobro strukturiranim rečenicama.
- Koristite alat za provjeru pravopisa i gramatike koji će vam pomoći da rečenice budu kratke i jasne
- osigurajte jasna, konkretna objašnjenja, npr. umjesto 'Zadržat ćemo vaše osobne podatke' napišite 'Zadržat ćemo vaše ime, adresu e-pošte i naziv ustanove.'
Što je potrebno
Posebne informacije koje se traže u obavijesti o privatnosti ovise o tome prikupljaju li se podaci izravno od pojedinaca ili su dobiveni neizravno od treće strane.
Kada vaša organizacija prikuplja podatke izravno, obavijest mora sadržavati:
- dentitet organizacije, podatke za kontakt i podatke njezinog službenika za zaštitu podataka, ako postoji pojedinac odgovoran za praćenje i provedbu smjernica GDPR-a
- Svrhu i pravni temelj obrade podataka.
- Legitimne interese organizacije ili treće strane.
- Primatelje ili kategorije primatelja.
- Pojedinosti o svim prijenosima podataka u treće zemlje.
- Razdoblje čuvanja ili kriterije za njegovo određivanje
- Pojedinosti o pravima osobe čiji se podaci obrađuju.
- Pravo povlačenja privole i
- Pravo na podnošenje pritužbe nadzornom tijelu.
- Je li davanje osobnih podataka dio zakonskog ili ugovornog zahtjeva ili obveze i moguće posljedice nedavanja osobnih podataka
- Automatizirane sustave donošenja odluka, uključujući profiliranje.
- Ako se podaci dobivaju posredno, u obavijesti se moraju navesti i kategorije dobivenih podataka.
Na primjer:
Kada vaša organizacija dobiva osobne podatke neizravno (putem druge organizacije ili usluge), vaša obavijest o privatnosti mora sadržavati sve iste gore navedene podatke, osim:
- Je li davanje osobnih podataka dio zakonskog ili ugovornog zahtjeva ili obveze i koje su moguće posljedice nedavanja osobnih podataka
I mora uključivati:
- Kategorije dobivenih osobnih podataka
Na primjer:
Ako izdavači i osiguravatelji usluga u dijamantnom otvorenom pristupu dobiju osobne podatke od treće strane, oni moraju obavijestiti osobu čije podatke obrađuju:
- u roku od mjesec dana od dana dobivanja podataka, ili
- pri prvoj komunikaciji, ili
- prije dijeljenja podataka s drugom organizacijom
Kako i gdje informirati pojedince
Organizacije trebaju dostaviti obavijesti o privatnosti u pisanom i elektroničkom obliku, čineći ih dostupnima na svojim web-stranicama pod naslovom "Pravila o privatnosti" s izravnom poveznicom sa svake stranice. Obavijesti također trebaju biti dostupne usmeno na zahtjev preko službenika za zaštitu podataka.
Primjeri najbolje prakse
Na mrežnim stranicama Europske unije za GDPR nalazi se dio s primjerima najboljih praksi pisanja obavijesti o privatnosti usklađenih s GDPR-om: https://gdpr.eu/privacy-notice/, uključujući i predložak za politiku privatnosti.
Literatura
- European Commission. General Data protection Regulation. https://gdpr.eu/tag/gdpr/
- European Commission. Writing a GDPR-compliant privacy notice (template included) https://gdpr.eu/privacy-notice/
Licencija
Ovaj dokument je objavljen pod Creative Commons Autorstvo 4.0 Međunarodnom javnom licencijom.