Prošle su gotovo četiri godine od početka primjene Opće uredbe o zaštiti podataka, poznatije pod kraticom GDPR (od engleskog General Data Protection Regulation – hrvatska kratica OUZP zaista manje privlačno zvuči). Period je to sasvim solidne duljine, ali nažalost još uvijek ne možemo reći da većina poslovnih subjekata u Hrvatskoj posluje u skladu s Uredbom i doista na potpuno zakonit te transparentan način rukuje osobnim podatcima svojih klijenata, kupaca ili zaposlenika.
Svu krivnju za tu činjenicu ne možemo u potpunosti prebaciti na leđa poduzetnika jer postoji niz dionika koji bi im trebao pomoći u tom procesu – podizati svijest o zaštiti osobnih podataka i primjerenim tehničkim i organizacijskim mjerama za organizacije te provoditi edukacije kako bi im pomogli u usklađivanju. Možemo zamijetiti da je hrvatsko nadzorno tijelo, Agencija za zaštitu osobnih podataka, u posljednje vrijeme malo intenziviralo predavanja i edukacije namijenjene upravo manjim poduzetnicima. U Hrvatskoj djeluje i nekoliko stručnjaka za zaštitu podataka te konzultantskih tvrtki koje poduzetnicima pokušavaju pomoći kontinuiranom objavom sadržaja i savjeta vezanih uz tu temu na društvenim mrežama.
"Mi smo premali da bi GDPR vrijedio za nas"
Jednu od prvih grešaka vezanih uz GDPR možemo povezati s tim pridjevom - „mali“ poduzetnici: naime, određen broj poslovnih subjekata smatra da Uredba za njih uopće ne vrijedi jer su previše maleni, prihodi su im niski, nemaju zaposlenika, ili, primjerice, djeluju kao neprofitna organizacija. Važno je istaknuti kako veličina niti pravni oblik na niti jedan način ne isključuju važenje Uredbe – ako obrađujete osobne podatke stanovnika Europske Unije, obveznici ste Uredbe i morate poštovati sva načela i obveze koje ona nameće. Dapače, GDPR je potpuno fokusiran upravo na osobne podatke pa je značajno važnije kakve obrade provodite, u kojim količinama i s kakvim vrstama podataka, od toga koliki su vam prihodi ili koliko zaposlenika imate.
"Moramo imati privolu za svaku obradu"
Vjerojatno najčešća GDPR zabluda je ideja da je privola nekakav čarobni, novouvedeni mehanizam koji je odjednom postao neophodan za svaku obradu podataka. Ta ideja dovodi do brojnih bizarnih situacija, poput onih gdje poslodavci traže privolu od zaposlenika da bi prikupili neophodne podatke poput broja računa potrebnog za isplatu plaće, ili da bi vlastite prostorije zaštitili video nadzorom.
Privola je samo jedna od šest mogućih pravnih osnova za obradu podataka – a puno je veća vjerojatnost da će neka druga osnova biti prigodna za obradu: npr. podaci o broju računa su potrebni za potpisivanje i ispunjenje ugovora o radu, a kod provođenja video nadzora sa svrhom zaštite vlastite imovine i osoba, imate legitimni interes (ako ga provodite u razumnoj mjeri – o čemu smo pisali u odgovoru na drugo pitanje). Privola nije magični ključ za sve, dapače - preostale pravne osnove u većini će situacija biti one koje vam trebaju. Detaljnije o tome smo pisali u članku: Kada vam je doista potrebna privola?
"Politiku privatnosti samo copy/pasteaš s tuđe web stranice"
Svi su čuli i da bi valjalo imati tu nekakvu Politiku privatnosti – pa to u praksi uglavnom izgleda tako da pokupe tuđi dokument s web stranice, promijene naziv firme u svoj i ta-da, posao gotov! Ne volim biti nositelj loših vijesti, ali moram razočarati sve organizacije koje su bile uvjerene da su copy/paste aktivnostima magično riješili GDPR usklađivanje – osnovna poanta obavijesti poput Politike privatnosti je da na transparentan, jasan i razumljiv način, uz upotrebu jednostavnog jezika obavijestite ispitanika što to baš vi radite s njihovim podacima: zašto ih prikupljate, s kojom pravnom osnovom, koliko dugo ih zadržavate, dijelite li ih s nekim trećim stranama? U prijevodu – svaka tvrtka zapravo bi trebala imati jedinstvenu politiku privatnosti koja govori baš o njihovim praksama.
"Korištenjem ove web stranice pristajete na upotrebu kolačića"
Nakon toga dolazimo do famoznih kolačića – onih nejestivih, koje web stranice spremaju na naše uređaje kako bi zapamtile nešto o nama. Vjerojatnost da ih vaša web stranica uopće nema je zaista minimalna, a ako ih koristite - posjetitelj mora biti obaviješten o njima te dati privolu za njihovo korištenje. Privola nije potrebna isključivo za kolačiće neophodne kako bi stranica uopće funkcionirala, a ovdje je važno istaknuti da ta privola mora biti izričita, nedvosmislena, aktivna i zasebna – dakle, nije valjana ako se radi o unaprijed danoj kvačici koju korisnik mora ukloniti kako bi odbio pristanak na pohranu podataka.
Posjetitelj web stranice mora imati dostupnu informaciju o korištenju kolačića te nakon što je dobio tu informaciju pristati na njihovo pokretanje – prije nego što su pokrenuti i postavljeni na uređaj posjetitelja.
"Usklađivanje s GDPR-om je skupo i komplicirano"
Još je niz primjera učestalih grešaka, ali da ne pretvorimo ovaj post u novelu, stat ćemo s posljednjom zabludom “malih” poduzetnika: jako često imaju ideju da je angažiranje stručnih konzultanata da im pomognu u procesu usklađivanja poslovanja s GDPR-om - nešto što košta kao suho zlato.
Mogu preporučiti da svi počnu s našim besplatnim upitnikom za samoprocjenu, koji pomaže da shvatite koje korake GDPR prilagodbe ste uspješno riješili, a koji vas potencijalno tek čekaju – te nas slobodno kontaktirajte u slučaju da vam se bilo koji korak čini pretjerano kompliciran ili nedovoljno jasan da biste ga samostalno obavili.
Duje Kozomara
Konzultant za zaštitu osobnih podataka | Osnivač tvrtke Consent
www.consent.hr