3 ZABLUDE O ZAŠTITI OSOBNIH PODATAKA

za post

Kada je 25. svibnja 2018. na snagu stupila Opća uredba o zaštiti podataka, popularno zvana GDPR, tek je 20% poduzeća uskladilo svoje poslovanje s tom europskom uredbom za koju je rok prilagodbe trajao dvije godine. U Hrvatskoj je u to doba na snagu stupio i Zakon o provedbi Opće uredbe o zaštiti podataka, koji je precizirao pravila u vezi pojedinih aktivnosti, primjerice provedbe videonadzora i uporabe biometrijskih podataka kao što su otisci prsta.

Nakon što smo vodili projekte zaštite osobnih podataka u više od 50 organizacija – uključujući računovodstvene servise, proizvodna poduzeća, hotele i zdravstvene ustanove, iz iskustva, Vam donosimo najčešće zablude po pitanju zaštite osobnih podataka i usklađivanja sa zakonskim propisima.

  1. „Mi nikome ne šaljemo osobne podatke“

Ovu smo rečenicu čuli desecima puta, i nijednom se nije pokazala točnom. Uredbom su definirane uloge voditelja i izvršitelja obrade osobnih podataka, pa je voditelj fizička ili pravna osoba koja određuje svrhe i sredstva obrade osobnih podataka, a izvršitelj fizička ili pravna osoba koja obrađuje osobne podatke u ime voditelja.

Primjerice, poduzeće je voditelj obrade osobnih podataka svojih zaposlenika i klijenata. Kada ih pošalje svojem računovodstvu, računovodstvo postaje izvršitelj obrade i zna koliko zaposlenici zarađuju, kad su rođeni, koliko djece imaju i gdje stanuju. Sve su to osobni podaci koje bi priopćili samo osobama u koje imamo povjerenja, zašto bi onda ih poduzeće pružalo nekom drugom? Čak i ako se podaci ne dijele s marketinškim agencijama, većina organizacija ih šalje trećoj strani kako bi mogla obavljati redovno poslovanje. U tome nema ništa loše, no nužno je imati uređen odnos povjerljivosti sa izvršiteljem i podatke obrađivati samo u unaprijed određene svrhe o kojoj su ispitanici obaviješteni.

  1. „Nedavno smo postavili čitače otisaka prstiju i sad ih moramo maknuti“

Razvoj tehnologije nam pruža sjajne mogućnosti – umjesto izrade 20 ključeva koje je lako izgubiti, sad zaposlenici mogu u zaštićene prostore ulaziti otiskom prsta. Ipak, otisak prstiju spada u biometrijske podatke čija je obrada regulirana zakonom.

Znači li to da sada morate ugasiti skupe sustave? Ne, ali znači da zaštiti biometrijskih podataka trebate posvetiti posebnu pozornost.

Jedna od obaveza koje Uredba propisuje je da se kod aktivnosti koje predstavljaju visoke rizike treba provesti procjena učinka na zaštitu podataka (DPIA – Data Protection Impact Assesment). Prethodno je potrebno utvrditi mogu li postupci obrade vjerojatno prouzročiti visoki rizik, a potom analizirati rizik te poduzeti mjere za njegovo umanjenje. Agencija za zaštitu osobnih podataka donijela je i popis svih aktivnosti koje podliježu zahtjevu za procjenu učinka.

  1. „Treba nam privola za to“

E-mail sandučići 24. svibnja 2018. bili su puni poruka poput „Ostanimo u kontaktu“, „Potvrdite naša nova pravila privatnosti“ i paničnih poput „VAŽNO! Vaš će se profil izbrisati ako…“. Organizacije su počele tražiti suglasnost klijenata da koriste njihove podatke u ugovorima bez kojih ne mogu isporučiti traženu uslugu, a pojedinci su od državnih tijela tražili brisanje podataka jer „nisu na to pristali“.

Je li to bilo nužno? U većini slučajeva nije. Šest je zakonskih osnova za obradu osobnih podataka, a privola je samo jedna od njih. Preostale su osnove izvršavanje ugovora u kojem je ispitanik stranka, poštivanje pravnih obaveza voditelja obrade te kada obrada  predstavlja javni, osobni ili legitimni interes.

Velika je razlika u tome da se podaci gostiju hotela prikupljaju kako bi se unijeli u eVisitor i sustavnog praćenja interesa tih istih gostiju kako bi im se ponudile aktivnosti u blizini hotela koje su „kao krojene“ za njih. U oba slučaja gosta je potrebno obavijestiti o tome kako se obrađuju njegovi podaci i poštivati njegova prava, ali prvi slučaj temeljen na zakonskim obavezama, dok je u drugom nužno imati suglasnost gosta.

Razni čimbenici utječu na kompleksnost zaštite osobnih podataka u poduzeću. Nije sve u dokumentaciji, zaštita osobnih podataka je i promjena malih navika – primjerice, skloniti s vidljivog mjesta žuti post-it papirić na kojem piše šifra za pristup sustavu za vođenje evidencije kupaca. Priroda posla, broj zaposlenika, partnera, lokaliteta, korištenje različitih informatičkih platformi, sigurnosnih sustava i drugi faktori određuju što je potrebno poduzeti kako bi izbjegli visoke kazne i, puno bitnije, osigurali privatnost zaposlenika i klijenata.

Istraživanje pokazuje da 93% poduzeća u Europskoj uniji planira imati poslovanje usklađeno s GDPR-om do kraja 2019. godine. Je li i Vaše među njima?