Tri znaka da tvrtka NE POSLUJE U SKLADU S GDPR-om

Ilustracija (Pixabay)

Danas u Hrvatskoj se može susresti široka lepeza tvrtki s obzirom na razinu usklađenosti sa GDPR. Premda je više od tri godine u primjeni, trenutno još ne postoji javno dostupna analiza o omjerima subjekata koji sustavno i redovito provode GDPR u potrebnoj razini, a koliki je udio onih koji to ne čini dovoljno ili oni koji nisu nikada prilagođavali svoje poslovanje sa GDPR.

Slijedeći znakovi jasno upućuju da poslovanje nije u dovoljnoj mjeri ili nije uopće usklađeno sa GDPR.

1) Naljepnica za videonadzor

Kod uspostave videonadzora, između ostalog, jasno isticanje valjane obavijesti koja sadržava sve potrebne informacije je iznimno važno. Da bi naljepnica bila valjana treba sadržavati slijedeće informacije:

oznaku da je prostor pod videonadzorom
podatke o voditelju obrade: puni naziv i sjedište
kontakt podatke: može biti generičke naravi (npr: [email protected], [email protected] …)
svrhu obrade: zaštita osoba i imovine
pravnu osnovu: legitimni interes
prava ispitanika i druge obavijesti o obradi: potrebno je navesti prava koja osoba može ostvariti, međutim preporuka je samo navesti ta prava bez dodatnog objašnjenja kako bi se izbjeglo nagomilavanje informacijama i kako se ne bi smanjila preglednost obavijesti a na što ukazuju i same Smjernice o transparentnosti obrade Radne skupine za zaštitu podataka iz članka 29.

Detaljnije informacije o pravima i druge obavijesti o obradi, preporuka je pružiti u dugom sloju npr. u Politici privatnosti na web stranici ili na drugom odgovarajućem mjestu te je u tom slučaju u obavijesti potrebno navesti gdje je to drugo odgovarajuće mjesto gdje se nalaze cjelovite informacije, na što ukazuje i Agencija za zaštitu osobnih podataka u svojim uputama i preporukama.

U slučaju da prostor pod videonadzorom nije označen naljepnicom ili je označen sa naljepnicom koja ne sadržava sve obvezne informacije, propisane su novčane kazne i do 50.000,00 kn.

2) Pravila privatnosti web stranice

Kada se putem web stranice prikupljaju i obrađuju osobni podaci, tada je potrebno na adekvatan način informirati posjetitelja web stranice. Takva obavijest, između ostalog, mora biti:

zasebna od ostalih dokumenata na web stranici (npr. Općih uvjeta poslovanja, Uvjeta korišetanja i sl.)
jasno prepoznatljiva u nazivu (npr. Pravila privatnosti, Politika privatnosti, Obavijest o zaštiti osobnih podataka i sl)
informiranost o obradi osobnih podataka samo putem web stranice, a ne cijele tvrtke. Međutim, potrebno je naglasiti da voditelj obrade u takvu politiku može uključiti dodatne informacije koje se tiču obrada temeljem legitimnog interesa voditelja obrade kao što je to, primjerice, videonadzor.
dostupna direktnim linkom za cijelo vrijeme boravka na web stranici

Pored linka na obavijest može stajati link: "Pročitao sam", “Razumijem”ili “Shvatio sam”, ali ne smije stajati “Pristajem”. Forma “pristajem” podrazumijeva privolu koja je u tom slučaju ne zakonita i predstavlja “prisilu” koja je strogo zabranjena. Također, Politika privatnosti web stranice jest prije svega obavijest o obradi osobnih podtaka na toj web stranici a što je dužnost voditelja obrade da informira o obradi koje provodi te korištenje web stranice ne može ovisiti o “prihvačanju” takve politike.

Kada je najmanje jedna od navedenih nužnosti u suprotnosti sa gore opisanim, može se zaključiti da ni poslovanje tvrtke nije dovoljno usklađeno sa GDPR.

Nadalje, putem pravila privatnosti potrebno je pružiti slijedeće informacije a koje su primjenjive:

o voditelju obrade, sjedištu, kontakt

kontakt službenika za zaštitu podataka

vrsta osobnih podataka koja se prikuplja

svrha i pravni temelj za obradu svakog od podataka koji se prikuplja

obavijest o tome da li postoji obveza pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže (npr. u slučaju postavljanja upita putem kontakt forme, e-mail adresa može biti obvezni podatak koji se prikuplja radi dostave odgovora. U slučaju ne pružanja e-mail adrese moguća posljedica može biti ne pružanje traženog odgovora.)

primatelje ili kategorije primatelja podataka
namjera da se podaci transferiraju u treće zemlje i obavijest o tome
razdoblje u kojem će se podaci pohranjivati i kriteriji kojima se utvrdilo to razdoblje
obavijestiti o obradi temeljem legitimnog interesa
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka
ako se pojedina obrada temelji na privoli tada je otrebno pružiti obavijest o postojanju prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena
pravo na podnošenje prigovora nadzornom tijelu
izvor osobnih podataka ako se neki od podataka ne prikuplja direktno od ispitanika i, prema potrebi, dolaze li iz javno dostupnih izvora

Pravila privatnosti nije statični dokument. Svaka promjena ili unaprijeđenje funkcionalnosti web stranice bi trebalo pratiti i ažuriranje pravila privatnosti. Kada Pravila privatnosti ne slijede sadržaj web stranice u pogledu prikupljanja i obrade osobnih podataka tada isto ukazuje na nedovoljnu usklađenost s GDPR.

3) Politika kolačića

Informiranje o kolačićima je potrebno kada se na web stranici koriste kolačići koji nisu nužni za funkcioniranje stranice. Ako se koriste nefunkcionalne skupine kolačići za analitiku i marketing, takvu obavijest je potrebno prikazati i zatražiti dozvolu za njihovo korištenje. Najčešći primjer dobre prakse je forma sa granuliranim prikazom i praznom kućicom za svaku vrstu nefunkcionalnih kolačića. Posjetitelj sam odlučuje o odabiru nefunkcionalnih kolačića.

Kada u praksi naiđemo na jedan od slijedećih primjera, možemo reći da tvrtka nije postigla potrebnu razinu usklađenosti:

Nema obavijesti kojom se pruža mogućnost prihvaćanja ili odbijanja kolačića koji nisu nužni za funkcioniranje stranice
Postoji obavijest kojom se pruža mogućnost prihavćanja ili odobijanja kolačića ali je u takvoj obavijesti već predefinirano označeno prihvaćanje kolačića
Nema obavijesti kojom se inoformira o korištenju kolačića – Politika kolačića

Kao i u slučaju Pravila privatnosti, Politika kolačića ne može biti integralni dio bilo kojih drugih dokumenata, već zasebna obavijest koja je postavljena uz Politiku privatnosti.

Link za mijenjanje postavki kolačića trebala bi biti dostupni za cijelo trajanja korištenja web stranice sukladno relevantnim Smjernicama, a u slučaju bilo kojih promjena, Politiku je potrebno ažurirati.

Razlozi što još uvijek postoje ovakvi primjeri u praksi nisu jednoznačni. Međutim, može se uočiti da je svijest o zaštiti podataka i potrebi usklađivanja s GDPR svakim danom sve veća i da je takvih primjera sve manje. U slučaju da je jedan od ovakvih primjera i vaš primjer, jednostavno i brzo dostupno rješenje može biti GDPR revizija trenutnog stanja dijela ili cjelokupnog poslovanja tvrtke s prijedlogom potrebnih promjena. Na taj način se brzo i učinkovito anuliraju mogući i jasno vidljivi rizici za poslovanje svake tvrtke.

Ines i Marko Krečak, Centar za zaštitu podataka Feralis

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.