Slučaj zaštitarske tvrtke koju je Agencija za zaštitu osobnih podataka kaznila s pola milijuna kuna jer je na društvenim mrežama objavila snimku sigurnosne kamere muškarca koji se križa dezinficijensom na ulazu u šoping-centar, otkrio je, zapravo, koliko malo znamo o jednoj od najrazvikanijih europskih regulativa, General Data Protection Regulation (GDPR) ili Općoj odredbi o zaštiti podataka.
Zato se zamolilo odvjetnicu Dianu Kladar, čija je jedna od specijalnosti zaštita osobnih podataka, da izdvoji primjere u kojima također možemo pogriješiti, a da to zapravo i ne znamo.
1. Poslodavac traži privolu radnika za prijavu u HZZO i HZMO.
Kada prijavljujete radnike na HZMO i HZZO, ne trebate ishoditi privolu radnika jer obveza poslodavca proizlazi iz propisa. Ako prikupljate privole radnika, pokazujete nepoznavanje temeljnih pravila kod GDPR-a i Agenciju za zaštitu osobnih podataka prizivate da vas kazni.
2. Tvrtka snima javnu površinu postavljanjem videokamere na vanjskom dijelu zgrade.
Nije dopušteno snimati javnu površinu, cestu ispred primjerice vaše trgovine, te je potrebno suziti kut snimanja ako imate vanjske kamere.
3. Nakon hakerskog napada tvrtka nije analizirala što se dogodilo i nije razmotrila potrebu da se o incidentu obavijesti Agencija za zaštitu osobnih podataka.
Često poduzetnici nisu svjesni što je incident, te primjerice znaju uputiti e-mail krivom primatelju kome otkriju tuđe osobne podatke. Također primijetili smo da kod hakerskih napada poduzetnici propuste provesti sve radnje kojima provjeravaju je li došlo do povrede osobnih podataka i često su skloni sakrivati incidente. Ako AZOP otkrije da ih niste obavijestili, izlažete se riziku kazne.
4. Ako funkciju službenika za zaštitu osobnih podataka dodijelite osobi koja taj posao obavlja uz niz drugih aktivnosti, npr. tajnica je ujedno službenica, visok je rizik da radnik neće moći kvalitetno obaviti taj posao.
Poduzetnici se odlučuju da posao službenika obavlja netko od zaposlenika uza sve svoje redovite radne zadatke. Time štede novac, ali s druge strane riskiraju povrede osobnih podataka koje će rezultirati milijunskim kaznama. Nije objektivno da ovako ozbiljnu funkciju kvalitetno može obavljati zaposlenik samo „usput“, uz niz drugi radnih zadataka svoga glavnoga radnog mjesta.
5. Službenik za zaštitu osobnih podataka je voditelj marketinga, IT odjela, kadrovske službe…
Službenikom za zaštitu osobnih podataka ne može biti imenovan voditelj određenog odjela ili osoba koja određuje način i svrhu obrade osobnih podataka iako nije voditelj odjela. Potrebno je provesti analizu unutar tvrtke tko može obavljati ovu funkciju kako se ne bi izložili sukobu interesa.
6. Službenik za zaštitu osobnih podataka nepažnjom uzrokuje izricanje kazne poslodavcu, čime se izlaže opasnosti od tužbe.
Ako službenik za zaštitu podataka svojom krajnjom nepažnjom prouzroči štetu poslodavcu koji primjerice plati kaznu, poslodavac može potraživati naknadu štete od radnika koji obavlja funkciju službenika. Zato je izuzetno važno da službenici budu svjesni svoje odgovornosti i da inzistiraju na poštovanju zaštite osobnih podataka kako bi od sebe otklonili bilo kakav oblik odgovornosti.
7. Poslodavac ne educira zaposlenike.
Edukacija je ključ usklađenosti s GDPR-om. Povrede rade zaposlenici, svi ljudi koji rade griješe, ali ovdje je rizik kazne previsok zbog izricanja milijunskih upravnih novčanih kazni. Ako educirate zaposlenike, mogućnost za povredu osobnih podataka je znatno niža, ali ako se i dogodi povreda, činjenica da educirate zaposlenike će biti olakotna okolnost kod odmjeravanja visine kazne.
8. Odbijanje davanja informacija zbog straha od povrede GDPR-a može završiti kaznom.
Ispitanik (potrošač) ima pravo pristupa svojim osobnim podacima. Morate znati procijeniti koje podatke morate pružiti ispitaniku na zahtjev, a koje ne smijete. Educirajte se i probajte razumjeti GDPR ili angažirajte stručnjake.
9. Traženje pisane privole kupca da je suglasan da mu trgovac odgovori na upit putem e-maila s kojeg je zaprimljen upit.
Nije potrebno pisanim putem tražiti od kupca da vam dopusti komunikaciju putem e-maila ako vam se on obratio. Nije smisao GDPR-a tražiti privolu za sve za što niste sigurni smijete li raditi, jer i takvim se postupanjem izlažete riziku od kazni.
10. Aplikacije bez pružanja informacija o obradi osobnih podataka i zaštiti prava potrošača.
Često poduzetnici koji izrade aplikaciju zaborave na GDPR i zaštitu potrošača – morate poštovati oba prava.
11. Poduzetnik ne kontrolira poštuje li izvršitelj obrade odredbe ugovora kojima se obvezao na određeni standard zaštite osobnih podataka.
Potrebno je provoditi reviziju poslovanja i provjeravati svoje suradnike (primjerice knjigovodstvo) poštuju li u praksi ono što su potpisali. Često su praksa i papir neusklađeni.
12. Pravila privatnosti koje poduzetnik izradi metodom „copy-paste“ sadržaja tuđih pravila privatnosti.
Ne, nemojte prepisivati tuđe dokumente s web-stranica ili šprance koje netko objavi na internetu. GDPR se prilagođava svakom pojedinom poduzetniku i njegovu poslovanju. Prvi put kada vam dođe nadzor shvatit ćete zašto navedeno nije dobro. Prvo što će uočiti jest da praksa i papir nisu usklađeni.
13. Poduzetnik izradi niz pravila postupanja po kojima se ne postupa.
Morate uskladiti poslovanje u praksi s tekstom koji ste napisali primjerice u pravilima privatnosti, pravilniku o obradi osobnih podataka itd, piše Večernji.
