FERALIS
Tri znaka da tvrtka NE POSLUJE U SKLADU S GDPR-om
Ilustracija (Pixabay)
Danas u Hrvatskoj se može susresti široka lepeza tvrtki s obzirom na razinu usklađenosti sa GDPR. Premda je više od tri godine u primjeni, trenutno još ne postoji javno dostupna analiza o omjerima subjekata koji sustavno i redovito provode GDPR u potrebnoj razini, a koliki je udio onih koji to ne čini dovoljno ili oni koji nisu nikada prilagođavali svoje poslovanje sa GDPR.
Slijedeći znakovi jasno upućuju da poslovanje nije u dovoljnoj mjeri ili nije uopće usklađeno sa GDPR.
1) Naljepnica za videonadzor
Kod uspostave videonadzora, između ostalog, jasno isticanje valjane obavijesti koja sadržava sve potrebne informacije je iznimno važno. Da bi naljepnica bila valjana treba sadržavati slijedeće informacije:
- oznaku da je prostor pod videonadzorom
- podatke o voditelju obrade: puni naziv i sjedište
- kontakt podatke: može biti generičke naravi (npr: [email protected], [email protected] …)
- svrhu obrade: zaštita osoba i imovine
- pravnu osnovu: legitimni interes
- prava ispitanika i druge obavijesti o obradi: potrebno je navesti prava koja osoba može ostvariti, međutim preporuka je samo navesti ta prava bez dodatnog objašnjenja kako bi se izbjeglo nagomilavanje informacijama i kako se ne bi smanjila preglednost obavijesti a na što ukazuju i same Smjernice o transparentnosti obrade Radne skupine za zaštitu podataka iz članka 29.
Detaljnije informacije o pravima i druge obavijesti o obradi, preporuka je pružiti u dugom sloju npr. u Politici privatnosti na web stranici ili na drugom odgovarajućem mjestu te je u tom slučaju u obavijesti potrebno navesti gdje je to drugo odgovarajuće mjesto gdje se nalaze cjelovite informacije, na što ukazuje i Agencija za zaštitu osobnih podataka u svojim uputama i preporukama.
U slučaju da prostor pod videonadzorom nije označen naljepnicom ili je označen sa naljepnicom koja ne sadržava sve obvezne informacije, propisane su novčane kazne i do 50.000,00 kn.
2) Pravila privatnosti web stranice
Kada se putem web stranice prikupljaju i obrađuju osobni podaci, tada je potrebno na adekvatan način informirati posjetitelja web stranice. Takva obavijest, između ostalog, mora biti:
- zasebna od ostalih dokumenata na web stranici (npr. Općih uvjeta poslovanja, Uvjeta korišetanja i sl.)
- jasno prepoznatljiva u nazivu (npr. Pravila privatnosti, Politika privatnosti, Obavijest o zaštiti osobnih podataka i sl)
- informiranost o obradi osobnih podataka samo putem web stranice, a ne cijele tvrtke. Međutim, potrebno je naglasiti da voditelj obrade u takvu politiku može uključiti dodatne informacije koje se tiču obrada temeljem legitimnog interesa voditelja obrade kao što je to, primjerice, videonadzor.
- dostupna direktnim linkom za cijelo vrijeme boravka na web stranici
Pored linka na obavijest može stajati link: "Pročitao sam", “Razumijem”ili “Shvatio sam”, ali ne smije stajati “Pristajem”. Forma “pristajem” podrazumijeva privolu koja je u tom slučaju ne zakonita i predstavlja “prisilu” koja je strogo zabranjena. Također, Politika privatnosti web stranice jest prije svega obavijest o obradi osobnih podtaka na toj web stranici a što je dužnost voditelja obrade da informira o obradi koje provodi te korištenje web stranice ne može ovisiti o “prihvačanju” takve politike.
Kada je najmanje jedna od navedenih nužnosti u suprotnosti sa gore opisanim, može se zaključiti da ni poslovanje tvrtke nije dovoljno usklađeno sa GDPR.
Nadalje, putem pravila privatnosti potrebno je pružiti slijedeće informacije a koje su primjenjive:
o voditelju obrade, sjedištu, kontakt
kontakt službenika za zaštitu podataka
vrsta osobnih podataka koja se prikuplja
svrha i pravni temelj za obradu svakog od podataka koji se prikuplja
obavijest o tome da li postoji obveza pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže (npr. u slučaju postavljanja upita putem kontakt forme, e-mail adresa može biti obvezni podatak koji se prikuplja radi dostave odgovora. U slučaju ne pružanja e-mail adrese moguća posljedica može biti ne pružanje traženog odgovora.)
- primatelje ili kategorije primatelja podataka
- namjera da se podaci transferiraju u treće zemlje i obavijest o tome
- razdoblje u kojem će se podaci pohranjivati i kriteriji kojima se utvrdilo to razdoblje
- obavijestiti o obradi temeljem legitimnog interesa
- postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka
- ako se pojedina obrada temelji na privoli tada je otrebno pružiti obavijest o postojanju prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena
- pravo na podnošenje prigovora nadzornom tijelu
- izvor osobnih podataka ako se neki od podataka ne prikuplja direktno od ispitanika i, prema potrebi, dolaze li iz javno dostupnih izvora
Pravila privatnosti nije statični dokument. Svaka promjena ili unaprijeđenje funkcionalnosti web stranice bi trebalo pratiti i ažuriranje pravila privatnosti. Kada Pravila privatnosti ne slijede sadržaj web stranice u pogledu prikupljanja i obrade osobnih podataka tada isto ukazuje na nedovoljnu usklađenost s GDPR.
3) Politika kolačića
Informiranje o kolačićima je potrebno kada se na web stranici koriste kolačići koji nisu nužni za funkcioniranje stranice. Ako se koriste nefunkcionalne skupine kolačići za analitiku i marketing, takvu obavijest je potrebno prikazati i zatražiti dozvolu za njihovo korištenje. Najčešći primjer dobre prakse je forma sa granuliranim prikazom i praznom kućicom za svaku vrstu nefunkcionalnih kolačića. Posjetitelj sam odlučuje o odabiru nefunkcionalnih kolačića.
Kada u praksi naiđemo na jedan od slijedećih primjera, možemo reći da tvrtka nije postigla potrebnu razinu usklađenosti:
- Nema obavijesti kojom se pruža mogućnost prihvaćanja ili odbijanja kolačića koji nisu nužni za funkcioniranje stranice
- Postoji obavijest kojom se pruža mogućnost prihavćanja ili odobijanja kolačića ali je u takvoj obavijesti već predefinirano označeno prihvaćanje kolačića
- Nema obavijesti kojom se inoformira o korištenju kolačića – Politika kolačića
Kao i u slučaju Pravila privatnosti, Politika kolačića ne može biti integralni dio bilo kojih drugih dokumenata, već zasebna obavijest koja je postavljena uz Politiku privatnosti.
Link za mijenjanje postavki kolačića trebala bi biti dostupni za cijelo trajanja korištenja web stranice sukladno relevantnim Smjernicama, a u slučaju bilo kojih promjena, Politiku je potrebno ažurirati.
Razlozi što još uvijek postoje ovakvi primjeri u praksi nisu jednoznačni. Međutim, može se uočiti da je svijest o zaštiti podataka i potrebi usklađivanja s GDPR svakim danom sve veća i da je takvih primjera sve manje. U slučaju da je jedan od ovakvih primjera i vaš primjer, jednostavno i brzo dostupno rješenje može biti GDPR revizija trenutnog stanja dijela ili cjelokupnog poslovanja tvrtke s prijedlogom potrebnih promjena. Na taj način se brzo i učinkovito anuliraju mogući i jasno vidljivi rizici za poslovanje svake tvrtke.
Tko je Centar Feralis?
Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.
Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka.
Povezane vijesti
Podijeli: Facebook Twiter
