Danas na snagu stupa "strašni" GDPR, evo što on zn

2 godine su bile za prilagodbu. A zakon se pisao malo duže od toga. To što su ljudi ignorirali GDPR 2 godine, pa sad paničare, to je njihov problem. GDPR je dobar zakon za potrošače i korisnike.

-ne, privola je obavezna, jedino ne mora biti u pisanom obliku... ali tad je teško dokazivo, tj ako ne dokažeš, sankcije..

-podaci koji se inače čuvaju, arhiva, čuvaju se i dalje.. (ali je sad svaka zloupotreba kažnjiva, npr reklame, firma koje nema tvoje podatke.. i već nakon prvog maila kojeg nisi dužan odgovoriti smatra se da ne pristaješ.. automatizam.. baš moraju imati dozvolu-privolu).

 -od 2003. nadalje.. jer smo ulaskom u EU i pripremama ispred ostalih zemalja.. ali se jednostavno nije primjenjivalo..

 -da, za privatne snimke/osobe.. dok se javni eventi, javna mjesta i javne osobe ne broje pod to.. (posebno npr djeca-škola, pravno sad za svako slikanje i izvješćivanje npr na portalu škole moraš imati pristanak, ne može npr na početku godine 'bjanko'.. nego baš svaki put-novo.. bar dok ne promjene zakon/tumačenje). Pošto su škole-djeca stroži, za sad nema tumačenja da netko pristupnicom npr sportskom klubu da takvu izjavu-pristanak.. i tad je pokriveno. Bez tog, naravno ako osoba zatraži, uklanja se.. dok ne zatraži, nema ni kršenja zakona. + nije ni samo kršenje automatizmom sankcija, nego prvo oosba to zatraži, ako ne ukloniš tek tad si kriv... a to pak nema veze s npr telekomima i sl firmama koje koriste generičke poruke-reklame na velikom broju korisnika, njima se sudi automatizmom. Treba razlikovati takve reklamne firme i npr školu, klub, lokalni časopis itd.. tj razlog zašto je neki osobni podatak objavljen, kad je poslovno, bez papira (pristanka), sankcija.

I točno koji dio mog posta je netočan?

 Da, isprika, krivo sam kvotao i odgovorio, krenuo sam od ovoga navoda o obvezujućoj uredbi, a uredba je sama po sebi obvezujuća, ne postoji ona koja nije.

1. ukratko - privola je obavezna u slučajevima gdje je privola pravna osnova 

znam da je malo zbrkovito i zbunjujuće, ali mišljenje azop-a se odnosi na slučajeve kad je privola pravna osnova

kad privola nije pravna osnova onda ovo mišljenje ne vrijedi, uglavnom pročitaj samu uredbu 

čl. 40. uredbe

Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati na temelju privole dotičnog ispitanika ili neke druge legitimne osnove, bilo propisane u ovoj Uredbi bilo u drugom pravu Unije ili pravu države članice na koji upućuje ova Uredba, uključujući obvezu poštovanja pravne obveze kojoj podliježe voditelj obrade ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.

čl. 42. uredne 

Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. ... (dakle, obaveza dokazivanja da imaš privolu jest isključivo "ako se obrada temelji na privoli")

čl. 44. uredbe

 Obrada bi se trebala smatrati zakonitom ako je potrebna u kontekstu ugovora ili namjere sklapanja ugovora (poveži boldano s boldanim iz čl. 40.)

itd. itd. itd.

dakle, obradu podataka možeš raditi iz više pravnih osnova, od privole na prvom mjestu do slučajeva kad je prikupljanje i obrada određeno nekim propisom, u svrhu sklapanja i izvršenja ugovora itd.

EDIT: da se ne ograničavaš na dio u kojem azop objašnjava privolu, imaš ovdje cijeli vodič kroz uredbu - link

u dijelu pravnih temelja imaš nabrojano koje su pravne osnove i bitnu napomenu "Za zakonitu obradu osobnih podataka potrebno je ispuniti barem jedno od narednih pravnih temelja":

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha...

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);

(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe (npr. otkrivanje od strane nadležnih tijela podataka jednog roditelja drugomu radi uzdržavanja djeteta);

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav video nazora da bi spriječio realan rizik po njegovoj imovini).

2. a što se tiče druge primjedbe, obrati pozornost da smo govorili o zakonu koji se odnosi isključivo na uredbu koju je eu parlament donio 2016. godine

dakle, nikako uredba i zakon koji iz nje proizlazi nije mogao biti donesen još 2003., niti se tada pripremalo na to

uredba je novi korak u zaštiti osobnih podataka i ona se veže na prijašnju regulativu, to je jasno

no zakon koji iz nje proizlazi (i o kojem smo govorili u onom postu koji si očito ovlaš pogledao) je donesen tek nedavno i odnosi se tijela koja su nadležna za provođenje uredbe i samu uredbu

 ne laprdaj kad nemaš pojma 

gore su ti pravne osnove koje vrijede jednako za sve, od javnih službi do privatnih tvrtki, obrtnika, banaka, iznajmljivača itd.

evo ti hrpa primjera iz samog azop-ovog vodiča, koji se ne odnose na javne službe ili banke

npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren

npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima

npr. legitimni interes vlasnika nekretnine da postavi sustav video nazora da bi spriječio realan rizik po njegovoj imovine

i tih primjera imaš ohohoho, a upravo pravna osnova pod f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, daje široke mogućnosti svim tvrtkama da obrađuju osobne podatke bez privole

i samo da te upozorim, tvoja je nesreća u ovoj raspravi što sam upravo stigao s jedne od azop-ovih radionica, gdje sam o ovoj temi, ne samo poslušao njihovo izlaganje, nebrojena pitanja i odgovore, nego i nakon radionice iscrpno razgovarao sa djelatnicima azop-a koji su zaduženi za tumačenje uredbe i razbijanje mitova 

Imam ja jedno pitanje, koliko znam GDPR je prisilio mnoge web stranice u kojima postas svoj sadrzaj (kao sto je i Facebook) da imas pravo na preuzimanje arhive svih podataka, odnosno postova koje si ostavio na tom webu.

Jel to znaci da ce i Bug forum napokon dobiti mogucnost pregleda arhive svih poruka koje sam postao, jer trenutno vidim da se ne cuvaju starije?

 Po GDPRu moraju ti u ruku mjesec dana dati sve podatke koji imaju o tebi inace mogu biti kaznjeni sa 4% prihoda ili 20 miljuna Eura. Ali, nisam vidio nigdje da moraju cuvati sve podatke koji si ti objavio. Ako su poruke izbirisane sa servera, corak. S tim receno, Bugovci vjerojatno nisi spremni za GDPR, ali tko ce to u Hrvatskoj provjeravati kad ima puno gorih.

 Postovi su nesto sto javno objavljujes sa svojom privolom, tako da nisu osobni podaci. Ali, to ne znaci da se ti postovi mogu koristiti za recimo marketing, ili neku drugu svrhu.

Nebi se slozio. Slazem se da su ovakve stvari potrebne, ali opet se otislo u krajnost. Po GDPR-u ne smijes ni vizitku koju ti je netko dao proslijeidti drugome. Ili ako uzmes neciju vizitku, tu osobu mozes kontaktirati jedan put, a poslije moras baciti vizitku. Nebuloze.

Sry na Double postu. 

 -zato jer se 'pribavljanje od prijatelja'.. zloupotrebljavalo/koristilo za pokriće nedozvoljenih adresara (reklamnih agencija i sl.).. npr razne prezentacije tipa cepter lonci, gdje te traže podatke poznanika.. i tad oni nisu krivi, .. sad je i to regulirano, tj samo vlasnik podataka ih može dijeliti-dozvoliti korištenje, ne netko treći. Primje rs vizitkom je upravo to, ako je dam tebi, kao vlasnik to je moje isključivo pravo, nije tvoje to dalje dijeliti, jer da to vlasnik želi, on bi sam dao.. itd.. ovo je sad zbog takvih zloupotreba, izbija im se opravdanje 'treće strane'. Jednostavno, ako žele nečiji podatak, moraju ga dobiti od te osobe, pristanak. Sve ostalo (jer adresare posjeduju, to je biznis..) je ilegala. Kao i sad napokon konkretna reakcija za SPAM (ne samo e-mail, odnosi se na svaku komunikaciju).

-ili, vrlo lako je razlikovati ako mi kao osobe razmjenimo vizitke, ako damo nekom trećem tel. broj.. to je ograničeno, par ljudi, za reklamni biz se lako uvidi da imaju na tisuće telefonskih brojeva i da za većinu nemaju pristanak vlasnika nego da seu do njih došli nekim drugim načinom. Njih će se ili bi ih trebalo kažnjavati, ne obične juzere (razlika u količini je npr kao kod droge/distribucije..). Naravno, ako će se zakon primjenjivati s malo soli u glavi, ako će se tumačiti ofrlje može biti parodija.

-npr, ako ti dam tel.broj, objaviš ga npr na faceu, nekom oglasniku.. to je tad za kaznu. Možeš sad zlonamjerno prijaviti nečiji broj u oglasnik (za primjer karikirano) free-sex dijelim džabe.. i to bi tad bilo uznemiravanje, ugled itd. te osobe i tad je to vrlo jasno kazneno djelo. Možeš dati oglasnik za npr prodaju auta, s tuđim brojem i tad tu osobu možda nazovu tisuću puta/dan itd. Tad i policija mora obaviti svoj dio posla (utvrditi tko je to napravio). Zato, zbog zloupotrebe, su takva pravila, vizitka je samo karikirano-pojednostavjen primjer.

-spominje se gore arhiva poruka, ne, nije bug dužan dati nekome arhivu poruka, jer to je forum, pišeš i svima je sve dostupno, pa i tebi. Brisanja nema. Podaci koji su gore nisu objevljeni od buga nego sam vlansik podatka kao nick i sl... tad nema krivice za objavu itd.. i privola je uključena implicitno u objavu forumaša, jer je sam objavio poruku.

-npr, recimo da su osiguranja (auto) zgodan primjer. Postoje podaci, pristup, kad ti ističe reg. svi ti šalju ponude. meni to čak odgovara, dozvoljavam, jer mi je u interesu, niža cijena-ponude. Oni pak sad moraju dokazati da imaju tvoju dozvolu, kad im zabraniš, tad više ne smiju, pa čak i ako im ne odgovoriš (sad svi šalju obavijesti).. smatra se da ne pristaješ. Tad više ne smiju. Vrlo jednostavno i zato je takav zakon, ne za obične ljude.. nego za biz koji se oslanja na adresare-reklame, baze kojima ne smiju pristupati (i iz njih vaditi podatke-adresare, koje koriste za ponudu), nego samo za ono čemu ta baza služi, provjeru teh.podataka vozila (vlansik, šasija..). Policija smije prisupiti potrebnim podacima (provjera vozila, osobe) ali ne smije te podatke davati trećoj strani na nekoj komercijalno-reklamnoj osnovi itd. (institucije koje imaju pristup toj bazi, jednostavno imaju pristup, te podatke ne daje npr policija nekome kao bazu, nego si spojen ili formular-zahtijev..) Sad im takvi adresari-baze, do kojih su došli bez pristanka vlasnika podatka, više ne pomažu. Nije to stvar vizitke (jedne osobe-podatka) nego masovno-baza.. i to se time želi eliminirati.

-bug je kao i svaki drugi forum/online servis.. dužan čuvati logove, npr 6 mjeseci (telekomovi duže), u slučaju potrebe policija s nalogom dobija.. ne korisnik. U tom logu je npr ip adresa-vrijeme, time se može utvrditi adresa pošiljatelja neke poruke (tj vlasnik linije-priključka preko kojeg je korišten internet pristup).. same poruke su tu, teoretski vječno. To korisnik ne može tražiti kao brisanje (osobnih) podataka, jer nije, jer je to njihov poslovni-obvezan podatak kojeg moraju čuvati, dok npr poruku, može korisnik doći i editirati-obrisati (sadržaj) itd.. kao što ne može neki kijent bantke s kreditom od banke tražiti brisanje podataka, može samo ako prekida poslovanje s bankom a to ne može dok je npr pod kreditom. Stvar je zapravo jedostnavna (dok ne upadne picajzla..) :))

picajzla, ok, .. izgleda da si bio na nekoj spešradionici po posebnom programu :) uzmi zakone u ruke, čitaj, dok tumpleke koje zaposli kum ne uzimaj kao nešto relevantnog.

-pretpostavljaš.. i griješiš. :) no tak je to na forumu, anonimnost..

-ili, gdje kažem da je to jedina pravna osnova (privola)? čekout.. kažem, kad je privola potrebna, tad je obavzena, upravo zato jer je potrebna. Više nije u pisanom obliku, može biti bilo kakva pa i usmena, ali tad je nekako moraš moći dokazati u suprotnom si kriv.. uopće ne referiram na (kak ćemo reći, službene podatke npr JMBG-policija, poslovni podaci, itd.. odnosno, provjeri, to razdvajam). .. itd.

-neka reklamna agencija, želi poslati ponudu, nazvati.. e pa sad mora imati pristanak, bez tog, sankcija. Ako zatražiš brisanje iz takvog adresara/upotrebe za te svrhe, to je sad regulirano. To nema veze s npr zdravstvenim podacima, policijskim (za koje ne možeš tražiti brisanje, mada ima i to, neovisno o ovom gdpru, npr plaćene kazne po isteku se brišu.. ali opet ih vide, to je malo nejasno, kao kad osoba odsluži zatvorsku kaznu, npr pedofil, ubojica..) itd.

- Što je nejasno, tko što brka?.. :)