Ilustracija (Pixabay)
Opća uredba o zaštiti osobnih podataka kao svoj primarni cilj ima zadatak pružiti pojedincima bolju kontrolu i zaštitu nad svojim osobnim podacima.
Premda se određena razina mogla ostvariti i kroz dotadašnje zakonodastvo, ostvarenje takvog zahtjeva bilo je bitno otežano te je nerijetko zahtijevalo odvjetnički angažman. Samim time ostvarenje zahtjeva nije bilo zajamčeno, ali znatni trošak spora jest.
Primjenom GDPR-a, svaki pojedinac može ostvariti svoja prava zajamčena s GDPR-om, bez financijske naknade, osim u posebno predviđenim slučajevima uz naknadu.
Iz nama poznate prakse znatna količina takvih zahtjeva se postavlja onda kada između pojedinca i tvrtke dođe do razmimoilaženja po sasvim drugoj osnovi na štetu pojedinca. To posebice dolazi do izražaja prilikom postavljanja zahtjeva za pristup osobnim podacima i kod zahtjeva za brisanjem (pravo na zaborav).
Tvrtke imaju tendenciju da operativne aktivnosti pojednostave kroz jasne upute, a formatiraju kroz interno kreirane standardizirane obrasce.
Kada je riječ o ostvarivanju prava ispitanika, tvrtke najčešće pribjegavaju obrascu na kojem pojedinac dostavlja nužne podatke o sebi u svrhu utvrđivanja identiteta te odabire vrstu zahtjeva.
Prednosti takve standardizirane forme su jednostavnost provedbe aktivnosti u odjelima koji zaprimaju zahtjeve (npr. help desk, call centar, prodajni prostor, itd.) te njihovo daljnje izvršenje unutar tvrtke i prema vanjskim izvršiteljima.
U organizacijskoj strukturi tvrtke nerijetko zaposlenici koji zaprimaju, evidentiraju i prosljeđuju ovakve zahtjeve interno na daljnje izvršavanje, rješavaju i čitav niz drugih aktivnosti u live, telefonskoj ili e-mail komunikaciji s korisnicima. Kako bi sve te aktivnosti pravovremeno i točno izvršili, fokus zaposlenika je na jasnim uputama.
No, kako tvrtke ponekad reagiraju kada im takav zahtjev stigne mimo propisane interne upute, ilustrirat ćemo u nastavku teksta na tri primjera iz poslovne prakse.
1) Manje je poznato da pojedinac svoja prava ispitanika, zajamčena Općom uredbom, može zatražiti i bez ispunjavanja obrasca, čak i usmeno ako prilikom postavljanja zahtjeva tvrtka može utvrditi identitet.
Primjerice, ako korisnik nazove tvrtku i prođe identifikaciju kako bi prigovorio na iznos računa, te nezadovoljan objašnjenjem u istom razgovoru usmeno postavi zahtjev za brisanje po GDPR-u, ispunjeni su uvjeti da se zahtjev izvrši. Tvrtka ne može uvjetovati ostvarenje zatraženog Prava slanjem korisniku i njegovom dostavom ispunjenog standardiziranog obrasca. Svrha i osnova standardiziranog obrasca je identifikacija korisnika, a izbornik Prava olakšava tvrtki da zahtjev prikupi i izvrši na olakšavajući način.
Čak i ako postoje dvojbe oko utvrđivanja identiteta, tvrtka ne može ignorirati takav zahtjev, ali niti isključivo uvjetovati njegovo ostvarenje kreiranom formom, već dodatno identificirati pojedinca na manje invazivan način.
2) Standardizirani obrazac ispunjava obveze tvrtke prema Općoj uredbi u pogledu Prava ispitanika, ali s druge strane ne predstavlja maksimizaciju zahtjeva pojedinca. Primjerice, prava pojedinca su prilikom postavljanja zahtjeva za pristupom osobnim podacima šira od norme koje su tvrtke dužne ispuniti te ih tvrtka mora ispuniti samo ako ih pojedinac izričito zatraži. Konkretno, pojedinac ima pravo zatražiti i kopije dokumenata koje je tvrtka interno kreirala za svoje poslovne potrebe, a na kojima se nalaze osobni podaci pojedinca.
Primjer je slučaj kada je Ciparsko nadzorno tijelo utvrdilo da je Ciparska banka bila dužna dostaviti klijentu presliku ugovora koji klijent ima s osiguravajućeg društva Eurolife ltd, a koji su isti trebali imati pohranjenog na temelju ugovornog odnosa koji osoba ima s Ciparskom bankom (NCn.: DSB-D122.844/0006-DSB/2018 od 17. lipnja 2020. godine). Kao rezultat nepravodobne dostave banci je izrečena novčana kazna.
Ukoliko bi dokument dijelom sadržavao podatke drugih pojedinaca ili poslovne tajne, tvrtka ne može za cijeli takav dokument koristiti izuzeće po navedenim osnovama, već treba napraviti procjenu ravnoteže i kada je to moguće osigurati traženo bez štetnog utjecaja na druge pojedince koji se spominju u dokumentu (npr. zatamniti dijelove dokumenta koji mogu štetiti drugim pojedincima), dok poslovna tajna mora imati pravni temelj te dodatno biti propisana internim protokolom ili statutom.
Primjer je slučaj belgijske bolnice prema kojoj je doktorica/zaposlenica zatražila pristup svojim podacima u revizijskom izvješću. Banka je odbila zahtjev po tri osnove, od kojih su dvije bile nedostava dokumenta jer sadrže podatke drugih osoba i jer sadrže poslovnu tajnu. Belgijsko Nadzorno tijelo je odbacilo objašnjenja (APD/GBA - 41/2020) jer je bolnica mogla adekvatno zaštiti prava drugih osoba zatamljenjem njihovih podataka ili slično.
3) Pristup osobnim podacima, kao jedno od Prava ispitanika, može biti indirektan i za konkretno određeni osobni podatak. U takvim situacijama ni pojedinac koji postavlja zahtjev niti tvrtke koje su dužne ga omogućiti pojedincu ne percipiraju inicijalno zahtjev s osnove prava ispitanika, već u drugu poslovnu svrhu Ali, kad tvrtka odbije dostaviti pojedini osobni podatak i ne ispuni poslovni zahtjev korisnika, može se naći u nepovoljnom položaju po drugoj osnovi – prema GDPR-u.
Primjer za to je slučaj Deichmanna u Mađarskoj kada je kupac, žaleći se da je prilikom kupnje dobio manji povrat novca, podnio prigovor i zatražio pregled video snimke (pristup osobnim podacima) u svrhu dokazivanja svoje tvrdnje. Tvrtka mu je odgovorila da pristup može dobiti samo policija temeljem pismenog zahtjeva. Dok je kupac zatražio zaštitu svojih prava od nadležnih tijela, snimak je već bio obrisan prema internoj proceduri tvrtke. Naime, tvrtka nije izuzela sporni snimak od redovnog procesa brisanja dok se ne riješi spor, te je Nadzorno tijelo utvrdilo da je, između ostaloga, i zbog brisanja videozapisa prije konačnog rješavanja zahtjeva ispitanika došlo do povrede GDPR i izreklo novčanu kaznu Deichmannu u iznosu 55.700 eura. (NAIH - NAIH-2020/2204/8)
Za dva mjeseca će se obilježiti tri godine od primjene Opće uredbe. Postoje tvrtke koje su inicijalnu prilagodbu poslovanja sa GDPR-om provele iz tadašnje pozicije znanja i iskustva primjene, te su je doživjele kao jednokratan posao. Kasnije održavanje potrebnog statusa prilagodbe s GDPR-om i dodatne provjere koje odstupaju od inicijalnih uputa za rad smanjuju mogućnost da se tvrtka suoči sa neugodnostima i mogućim kaznama.
Takvo održavanje usklađenosti, između ostalog, obuhvaća provjere postojećih primjena, reedukaciju zaposlenika ali i nova znanja i tumačenja Uredbe iz primjenjivih smjernica i preporuka Europskog odbora za zaštitu podataka I Europskog povjerenika za zaštitu podataka.