Više od dvije trećine hrvatskih tvrtki nije spremno za provedbu nove europske birokratske vratolomije, Opće uredbe o zaštiti podataka (GDPR), koja s primjenom kreće u petak, prema istraživanju novoosnovanog Instituta za zaštitu podataka.
To neprilagođavanje novoj regulativi moglo bi hrvatska poduzeća stajati i do 20 milijuna eura, a osim poduzeća, drakonskim kaznama mogu podlijegati i direktori te osobe odgovorne za vođenje osobnih podataka u iznosu od 5 tisuća kuna do čak pola milijuna kuna. Međutim, velika većina hrvatskih poduzetnika još uvijek smatra da za prilagodbu briselskoj regulativi imaju vremena iako GDPR s primjenom kreće 25. svibnja.
“Ne, nemate vremena!”, kaže Ana Keglović Horvat, pravnica i savjetnica iz konzultantske kuće AKH Consulting ističući da poduzetnike u prilagodbi novoj Uredbi najviše koči to što mnogi od njih ne razumiju u potpunosti koje su im obveze prema GDPR i kako ga implementirati.
Sluđeni informacijama
“Ponekad se čini da su ljudi već pomalo sluđeni raznim informacijama i mišljenjima koja nailaze sa svih strana. Opća uredba o zaštiti podataka (GDPR) propisuje kako na legalan način prikupljati i obrađivati osobne podatke i sve organizacije tome moraju prilagoditi svoje poslovanje. Organizacije će morati voditi i evidencije obrade osobnih podataka, ali kako će to u praksi organizirati i kako će se organizirati pojedini frizerski saloni, dentalne ordinacije ili hoteli ostaje za vidjeti. Često čujemo da će zapravo praksa kroz vrijeme pokazati odgovore na pojedina otvorena pitanja iz GDPR, što ne ulijeva baš sigurnost u procesu prilagodbe.”, tvrdi Keglović Horvat.
Isto tako, ono to zabrinjava sve aktere hrvatskog gospodarstva jesu i dijametralno suprotne pravne interpretacije pojedinih odredbi. Tako savjetnica Keglović Horvat ističe primjer zubnih ordinacija koje mogu očekivati dodatne komplikacije u poslovanju.
“Primjerice, dentalne ordinacije prikupljaju i obrađuju zdravstvene podatke, znači ortopanske snimke ili otiske zubala putem kojih je isto moguća identifikacija. Stoga, moraju provesti pravne, tehničke i sigurnosne mjere da bi u buduće taj podatak koristili i čuvali”, kaže i dodaje da je uslijed raznih nejasnoća s kojima se organizacije susreću i novih procedura, prilično izvjesno da kada bi nadzor došao u kontrolu nekog poduzeća da bi vjerojatno pronašao barem neki papir koji nije na svome mjestu.
Pravne i organizacijske pomutnje
Da poduzetnici još uvijek imaju puno pitanja i nejasnoća koje se tiču GDPR-a potvrdila je Milica Jovanović iz Hrvatske udruge poslodavaca.
“Gospodarstvenicima je, kojima su za kršenje odredbi GDPR-a zapriječene visoke kazne, i dalje ostalo previše otvorenih konkretnih pitanja i nejasnoća u vezi usklađivanja poslovnih procesa s odredbama GDPR-a”, ističe i dodaje da im se poduzetnici prečesto obraćaju s nejasnoćama i upitima, a najčešće su to dvojbe u tumačenju pojedinih odredbi.
Te su se pravne i organizacijske pomutnje kroz koje poduzetnici sada prolaze mogle izbjeći, smatraju iz HUP-a, da je država, odnosno nadzorno tijelo, a u slučaju GDPR-a to je Agencije za zaštitu osobnih podataka (AZOP), pravovremeno izdala vodič za prilagodbu poslovnih sustava odredbama GDPR-a.
“U nedostatku jasne podrške institucija gospodarstvo će morati učiti na vlastitim greškama, a takvo učenje sigurno nas ne čini naprednima i konkurentnima u odnosu na druge”, upozoravaju iz HUP-a.
Ipak, nedostatak podrške i nedovoljan angažman države koji bi poduzetnicima olakšao tu tranziciju nije jedino problematično. U HUP-u su zabrinuti i zbog nejednakosti privatnih i javnih poduzeća u pogledu GDPR-a. Naime, u Zakonu o provedbi Opće uredbe o zaštiti podataka, hrvatsko je zakonodavstvo donijelo rješenje da tijela javne vlasti ne podliježu visokim novčanim kaznama koja vrijede za privatna poduzeća.
Različite kazne
“Jednako izricanje upravnih novčanih kazni za privatni sektor i za tijela javne vlasti”, napominje Jovanović bio je jedan od prijedloga HUP-a koji nije uvažen. Iako se može činiti nelogično da državne institucije novčane kazne uplaćuju u proračun iz kojeg su i tako financirane, tim zakonskim rješenjem državna tijela neće snositi nikakve posljedice ako se Uredbe ne pridržavaju. Iz Instituta za zaštitu podataka istaknuli su da su snažno lobirali da se barem unese mogućnost da odgovorni podjedinici iz javnih tijela snose odgovornost za neprilagođavanje Uredbi, novčanu ili profesionalnu, ali ni taj prijedlog nije uvažen.
Dodatnu sumnju podiže i nemogućnost žalbe poduzeća na novčanu kaznu u slučaju da nadzorno tijelo, AZOP, utvrdi neusklađenost s GDPR-om. Ta je restrikcija, kao i izuzeće javnih vlasti iz novčanog kažnjavanja, ohrabrila tvrdnje da je cilj GDPR-a punjenje državnog proračuna na račun privatnih poduzeća, ali iz Instituta za zaštitu podataka to odbacuju.
“Svaki se zakon može upotrijebiti na ovaj ili onaj način, ali ne vjerujemo da će biti pokušaja korištenja GDPR-a za punjenje državnog budžeta”, tvrde.
Prema riječima savjetnice Keglović Horvat, i sama nemogućnost žalbe izazvat će dovoljno komplikacija za hrvatske poduzetnike.
“Nemate pravo žalbe! Dobijete rješenje i poslije možete jedino pokrenuti upravni postupak na Upravnom sudu koji će biti nadležan u slučaju GDPR-a, a ne bi me začudilo i da neki sporovi završe na sudu u Strasbourgu”, naglašava.
Usporavanje poslovnih procesa
Da će ovaj postupak otegnuti razrješenje situacije i usporiti poslovne procese u Hrvatskoj, smatraju i u HUP-u, ali tvrde da ćemo, nažalost, morati pričekati konkretne primjere pa ćemo tek s praksom znati na čemu smo.
Prije no što poduzetnici saznaju na čemu su odvjetnica, Marija Zrno iz odvjetničkog društva Bardek, Lisac, Mušec Skoko savjetuje da svako pročita preambulu i odrednice i savjetuje se sa stručnjacima.
“Možda najvažniji savjet bi bio da pristupite GDPR-u kao novom svjetonazoru, usvojite njegove principe, propitkujte i analizirajte svoje poslovne procese", ističe Zrno.
S time se slaže i Keglović Horvat poručujući poduzetnicima da pročitaju temeljna načela kako bi shvatili koja je filozofija u pozadini.
“Kako biste vi htjeli da se postupa s podacima vašeg djeteta, to je zapravo osnovno pitanje. Zaštiti osobnih podataka treba pristupiti odgovorno i sa zdravim razumom. Recite ljudima zašto vam ti podaci trebaju i sve će biti lakše. Isto tako, upoznajte svoje zaposlenike s novim pravilima. Mala je vjerojatnost da će do pogreške doći u menadžmentu, već će radnici koji svaki dan obrađuju podatke, poput hotelskih recepcionera, greškom ili nepažnjom prekršiti neko pravilo GDPR-a”, zaključuje.
Kako to rade na Zapadu
Dok hrvatski poduzetnici strepe nad rigoroznim kaznama i pravnim dvojbama koje donosi petak, austrijska je, kao i francuska, vlada odlučili u prvoj fazi primjene GDPR-a obustaviti novčano kažnjavanje.
Prema toj odluci, slijedit će se načelo "upozoravanja umjesto kažnjavanja", a posebne će privilegije uživati novinari, znanstvenici, umjetnici kao i upravna tijela, špijuni, policija i vojska. Isto tako, Austrija će kažnjavati samo one koji će opetovano kršiti odredbe GDPR-a, a javne će ustanove u potpunosti biti izuzete. Također, u Francuskoj se od svih poduzeća očekuje usklađivanje s GDPR-om, ali im je, također, omogućen „grace period“ te u prvih nekoliko mjeseci primjene neće biti novčanih kažnjavanja.
Obavijest HUP-a svojim članicama o obradi podataka
Mi smo Hrvatska udruga poslodavaca, krovna udruga koja okuplja granske udruge poslodavaca, te obrađujemo Vaše osobne podatke u svojstvu voditelja obrade. Udruga poštuje Vašu privatnost te se obvezuje na zaštitu Vaših osobnih podataka. Udruga obrađuje Vaše podatke u skladu s odredbama Uredbe EU 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i ostalih relevantnih propisa koji se primjenjuju u Republici Hrvatskoj.
Svrhe obrade
◦ pružanje poslodavcima usluga u okviru ciljeva naše Udruge te u skladu sa Statutom Hrvatske udruge poslodavaca, a tiču se informacija o stalnim ili nestalnim radnim skupinama (npr. vezano za određeno područje poput zaštite na radu ili za pojedini zakon),
◦ informiranja predstavnika poslodavaca koji su članovi tijela Udruge o aktivnostima tih tijela (npr. sjednice ili sastanci),
◦ kako bismo ostali u kontaktu i informirali o aktivnostima Udruge one osobe koje su sudjelovale na našim seminarima, edukacijama ili drugim događajima, što uključuje i informiranje pojedinaca koji su članovi pojedinih stalnih ili nestalnih radnih skupina Udruge,
◦ informiranja javnosti o aktivnostima Udruge putem medija, uključujući društvene mreže i webstreaming
◦ zaštita osoba i imovine mjerama videonadzora u ograničenom opsegu unutar prostorija Udruge,
◦ druge svrhe o kojima su pojedinci informirani u skladu s odredbama Opće uredbe o zaštiti podataka,
Načela zaštite podataka
Udruga obrađuje podatke:
• Zakonito – samo ako je obrada dopuštena zakonom i to u granicama koje zakon propisuje.
• Pošteno – uvažavajući specifičnosti odnosa s Vama, primjenjujući sve mjere za zaštitu osobnih podataka olakšavajući Vam ostvarivanje prava.
• Transparentno – pružanjem svih informacija na jasan i lako dostupan način u granicama koje Opća uredba o zaštiti podataka propisuje.
• Uz ograničenje svrhe – obrađujući osobne podatke u one svrhe u koji su prikupljeni a u druge svrhe uzimajući u obzir (a) svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; (b) kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu našeg odnosa s Vama; (c) prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. Uredbe ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10. Uredbe; (d) moguće posljedice namjeravanog nastavka obrade za ispitanike; te (e) postojanje odgovarajućih zaštitnih mjera.
• Uz ograničenje pohrane – čuvajući podatke u obliku koji omogućuje identifikaciju pojedinca samo onoliko koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, a duže samo ako je dopušteno Uredbom.
• Uz smanjenje količine podataka – pazimo da podatke koje obrađujemo budu primjereni, relevantni i ograničeni na ono što je nužno.
• Pazeći na točnost – vodimo računa o točnosti i ažurnosti podataka i brišući neispravne podatke u skladu sa zahtjevima Uredbe.
• Pazeći na cjelovitost i povjerljivost –tehničkim i organizacijskim mjerama vodimo računa o odgovarajućoj sigurnosti osobnih podataka ovisno o njihovoj rizičnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
Zakonitost
Zakonitost, odnosno pravni temelji obrade podataka mogu biti:
• ispunjenje pravne obveze Udruge
• sklapanje ili izvršenje ugovora u kojemu ste Vi stranka,
• naš legitimni interes u mjeri u kojoj je značajniji od interesa ispitanika da se podaci ne obrade ili
• Vaša privola,
• drugi pravni temelj u skladu s Uredbom.
Primatelji
Primatelji kojima se dostavljaju osobni podaci su druga udruženja u okviru kanala suradnje koje Udruga ima, u nekim situacijama mogu biti sudionici pojedinih događaja uključujući i predavače, državna tijela i socijalni partneri bilo da je to propisano zakonom bilo da je to u okviru specifičnih postupaka poput onih u vezi socijalnog dijaloga.
Primatelji podataka mogu biti i izvršitelji obrade. Naime, u obradi podataka mogu biti uključeni, po potrebi i u skladu s ograničenjima koje Uredba propisuje, drugi subjekti, izvršitelji obrade (primjerice pružatelji informatičkih usluga). S takvim subjektima se ugovorni odnos uređuje detaljno te se osigurava da su Vaši osobni podaci zaštićeni na primjeren način i u skladu sa zahtjevima Uredbe.
U drugim situacijama moguće je da mi zajedno s drugim subjektima odredimo svrhe i sredstava obrade osobnih podataka, pa ćemo mi zajedno s tim subjektima imati položaj zajedničkih voditelja obrade. U tim odnosima, ćemo na transparentan način odrediti svoje odgovornosti za poštovanje obveza iz Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti poštivanja transparentnosti obrade, osim ako su odgovornosti zakonom utvrđene.
Ako je obradom podataka obuhvaćen i međunarodni prijenos istih, Udruga će Vas informirati o namjeri iznošenja osobnih podataka trećoj zemlji ili međunarodnoj organizaciji te o postojanju ili nepostojanju odluke Europske komisije o primjerenosti, kao i o prikladnim zaštitnim mjerama i načinima pribavljanja njihovih preslika u slučaju da prijenos podliježe odgovarajućim zaštitnim mjerama prema članku 46. Uredbe, primjeni obvezujućih korporativnih pravila prema članku 47. Uredbe ili, ako je to slučaj, prema članku 49. stavku 1. podstavku 2. Uredbe. Svaki prijenos osobnih podataka u treće zemlje bit će izvršen u skladu s poglavljem V. Uredbe.
Vaša prava
Neovisno o pravnom temelju obrade podataka, Vi imate pravo na:
- pristup, izmjenu ili dopunu podataka,
• brisanje („pravo na zaborav") osobnih podataka,
• ograničavanje obrade Vaših podataka ili uložiti prigovor na obradu podataka,
• prijenos Vaših podataka Vama ili trećim osobama,
• ako su podaci dani na temelju privole, uvijek možete tu privolu povući bez negativnih posljedica,
• pravo na podnošenje prigovora nadležnom nadzornom tijelu – u Hrvatskoj je to Agencija za zaštitu osobnih podataka (više o tomu na www.azop.hr).
Sva prava podliježu razmjernim ograničenjima u skladu s Uredbom.
Svoj pisani zahtjev uputite na: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite. ili osobno odnosno poštanskim putem na Hrvatska udruga poslodavaca, Radnička cesta 52/I., 10000 Zagreb.
Pohrana podataka
Udruga određene podatke čuva trajno s obzirom na trajni povijesni značaj koji ti podaci imaju za nas (npr. podaci o članovima tijela). Ipak, velika većina podataka čuva se minimalno i to koliko je nužno za izvršenje naših obveza prema našim članicama, pa često rokovi pohrane podataka ovise o Vašem položaju kod naših članica i o samom interesu naših članica da se kontaktiranje izvrši preko određenih kontakt podataka koji su ujedno i Vaši osobni podaci.
Ako smo podatke prikupili putem registracije za pojedini događaj, podatke uništavamo ubrzo nakon završetka događaja, a najviše nakon 30 dana.
Ako podatke obrađujemo na temelju Vaše privole, podatke čuvamo sve dok ne povučete privolu.
Podaci iz sustava videonadzora redovito se brišu, a čuvaju se najviše 6 mjeseci osim u slučajevima kada su nužni za vođenje postupaka pred nadležnim tijelima.
Dodatne informacije
• TEHNIČKA I INTEGRIRANA ZAŠTITA PODATAKA
Udruga štiti Vaše podatke, pa uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere za omogućavanje učinkovite primjene načela zaštite podataka.
Udruga ujedno provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Tu mjeru primjenjujemo na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost.
• EVIDENCIJE O AKTIVNOSTIMA OBRADE
Udruga kao voditelj obrade vodi evidencije o aktivnostima obrade koje sadržavaju:
• ime i kontaktne podatke voditelja obrade, ako je primjenjivo, zajedničkog voditelja obrade, i službenika za zaštitu podataka;
• svrhe obrade;
• opis kategorija ispitanika i kategorija osobnih podataka;
• kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
• ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
• ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
• ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera
• POSTUPANJE PO POVREDAMA OSOBNIH PODATAKA
Udruga osigurava da slučaju povrede osobnih podataka bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje sukladno Uredbi Agenciju za zaštitu osobnih podataka o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Kada to Uredba propisuje Udruga bez nepotrebnog odgađanja obavješćuje i ispitanike o povredi osobnih podataka.
• PROCJENA UČINKA NA ZAŠTITU PODATAKA
Udruga ne provodi obrade podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode ispitanika. Međutim, ako određena obrada bude iznimno ispunjavala uvjete visokorizičnosti, Udruga će prije obrade provoditi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka u skladu sa zahtjevima Uredbe.