Sutra, 25.5.18. je dan kada startaju nova pravila u vezi zaštite osobnih podataka. U nastavku ćemo rezimirati GDPR direktivu, odnosno sve što je potrebno da se poduzme oko implementacije novih pravila. Što god mislili o navedenoj zaštiti koja je zadana Direktivom EU i dodatno potvrđena hrvatskim Zakonom o zaštiti osobnih podataka (usvojen je pred desetak dana), činjenica je da se svi moramo prilagoditi tom Zakonu ili snositi posljedice, koje baš i nisu male. S druge strane, svaka promjena u našem poslovanju iziskuje nova prilagođavanja, učenje novih procedura, a s time su povezani i novi troškovi.

Najprije da kažemo da je 25.5.18. prvi dan od kada će započeti rad na zakonski osnovanoj zaštiti osobnih podataka, prema GDPR-u. To je samo početak primjene, a usklađivanje će trajati godinama.

Moramo naglasiti – firme koje nemaju osobnih podataka od privatnih osoba, nisu u obavezi primjenjivati procedure po GDPR-u. Međutim, ako firma ima i jednu osobu za koje je skupila osobne podatke (ime i prezime, adresu, OIB, e-mail,...) mora se pridržavati GDPR-a, tj. štititi te podatke. Štićeni podaci mogu biti od vanjskih osoba (kupci, dobavljači, poslovni partneri) ili zaposlenici, dioničari, učenici... Podatke se mora štititi ali i moći dokazati da to radimo na adekvatan način. 

Osobne podatke možemo dobiti tako da ih pošalje sama osoba na njenu inicijativu (npr. pošalje mail u kojem traži ponudu a pritom nama ustupi osobne podatke) ili da mi tražimo da nam da te podatke zbog potrebe posla ili zakonske potrebe. U svakom slučaju, privatna osoba ima pravo da bira i odlučuje što će sa svojom podacima. Ima pravo i da u bilo kojem trenutku, neovisno kako smo dobili njene podatke, pita: koje podatke posjedujemo, može tražiti da te podatke promijenimo ili da ih brišemo, bezuvjetno. Podatke koje smo skupili a imaju zakonsku podlogu da se zadrže, ne možemo brisati čak i ako osoba to traži (npr. podatke iz računa ili iz plaća). Ali – ako u našim bazama imamo dodatne podatke koji nemaju zakonsku osnovu za držanje tih podataka (npr. mail adresu ili telefonski broj) te podatke moramo izbrisati ako to osoba traži. U svakom slučaju smo obavezni da svakoj osobi prezentiramo koje njene podatke mi posjedujemo. Ako smo do tih podataka došli bez pristanka osobe, mogu se pojaviti zahtjevi za dokazivanjem, pa čak i za sankcijama. Da bi to izbjegli, postoji dokument predviđen GDPR-om, a zove se Privola. Ako nam osoba potpiše ili potvrdi Privolu, onda njene podatke, čak i one koje nemaju zakonske osnove da ih posjedujemo, možemo držati u svojim bazama podataka.

Naglasak – Privola kao dokument nije obavezna po GDPR-u! Dozvoljeno je i da npr. na vidljivo mjesto stavimo obavijest da skupljamo osobne podatke ako netko želi od nas Ponudu, i upozorimo osobu da to pročita prije nego nam podatke ustupi. Međutim, kako je privatna osoba štićena i u tom i svakom drugom smislu što se danih podatak tiče, i nakon npr. godinu dana ta osoba se može požaliti da nije bila upozorena na uzimanje podataka sa naše strane. Stoga smatramo da je Privola u svakom slučaju korisna pa i potrebna, radi kasnijeg eventualnog dokazivanja. Važno je samo to da privatna osoba (‘Ispitanik’ prema GDPR-u) slobodno, svjesno i nedvosmisleno može odlučiti – želi ili ne želi dati svoje podatke.

U Privoli trebaju bit napisani osobni podaci koje smo od osobe dobili, zbog koje svrhe su uzeti, do kada će se koristiti, koja je osoba zadužena za zaštitu podataka u firmi i kako doći do te osobe u slučaju potrebe.

U slučaju potrebe za dokazivanjem, najprije trebamo moći uvjeriti tu osobu ali posebno i inspektora da smo prethodno poduzeli sve što je potrebno da se osobni podaci korektno štite, te da podaci iz naše firme nisu mogli izaći normalnim, nezaštićenim putem. U to uvjeravanje spadaju i prethodno napravljeni interni pravilnici, ugovori i izjave o zaštiti podataka. U praksi dalje to znači da trebaju podaci, bilo u računalu, bilo na stolu, ladici ili ormaru, biti dostupni samo osobama koje imaju ovlasti da obrađuju te podatke. Obrada može značiti i samo to da se podaci vide na monitoru, ili da se ispisuju, ili da se na osnovu njih radi neka statistika.

Podaci se štite od neovlaštenog pristupa i obrade kao i od krađe, na sljedeći način:

- da se zaključaju na sigurno mjesto,

- da se ne drže papiri sa podacima na stolu ili ako su postali nepotrebni - u košari za smeće, moraju se prethodno uništiti

- da se do podataka može doći samo preko ovlaštene osobe, tj osobe koja ima šifru/dozvolu za obradu podataka,

- da se osobni podaci brišu ako nam nisu potrebni (minimiziraju),

- da se kriptiraju, anonimiziraju ili pseudonimiziraju,

- da se arhive mogu otvoriti samo sa lozinkom, ili da su kriptirane,

- da se ne šalju drugim osobama nezaštićene npr. mailom ili PDF-o dokumentom.

Da bi se to dokazivalo, potrebno je voditi evidenciju, tko je, kada i zašto gledao ili obrađivao osobne podatke. Na računalu u tu svrhu postoje tkz. log datoteke, u kojima se sprema kronološki svaki pristup i svaka obrada podataka. Za podatke na papiru će ova evidencija biti teško provediva, što ne znači da nije obavezna. Cilj je ipak da se papir što manje koristi...

Apsolutne zaštite podataka nema, ako netko uloži veliki trud, svaka se zaštita može probiti. Ali GDPR nalaže da se najprije procijene rizici povrede osobnih podataka i u skladu s tim poduzmu adekvatni koraci u cilju zaštite istih. Pri tome treba koristiti najsvrsishodnije i najefikasnije metode, organizacisjke i tehničke, koje su u datom trenutku moguće. Nije propisano da se kriptiraju, ili pseudonimiziraju itd, nego je ostavljeno svakoj firmi (Voditelju) da sama odluči kako će zaštititi podatke. To mora izričito napisati u pravilnicima, i provoditi te procedure.

Svaka firma je u biti Voditelj obrade, prema GDPR-u. Svaka firma u većini slučajeva je i Izvršitelj obrade svojih podataka. Partneri firme koja je Voditelj, a vrše neki vid obrade podataka u ime Voditelja su Izvršitelji obrade u jednom djelu, prema GDPR-u. Neki Izvršitelji imaju i podizvršitelje koji u ime Izvršitelja vrše neki ugovoreni dio obrade. Primjeri vršenja nekog dijela obrade podataka u ime drugog subjekta su knjigovodstveni servisi, dobavljači programskih rješenja, firme koje održavaju baze podataka ili koje nam održavaju arhivu dokumenata. Svaki Voditelj obrade mora imati:

- interne pravilnike o zaštiti podataka,

- ugovore o zaštiti podataka sa Izvršiteljima i ako je potrebno, sa podrizvršiteljima obrade,

- ugovore ili izjave sa svojim zaposlenicima koji imaju pristup osobnim podacima drugih osoba,

- mora odrediti osobu koja je zadužena i odgovorna za zaštitu osobnih podataka.

Ta osoba, ‘Službenik za zaštitu podataka’ prema GDPR-u, mora imati potrebna znanja o zaštiti podataka, posebno o zaštiti elektronskih dokumenata. Ne smije biti u sukobu interesa. Ne mora biti zaposlen u svakoj firmi isključivo za zaštitu podataka. Ne mora biti baš zaposlenik firme, odnosno to može biti vanjska osoba pod ugovorom, a može biti i druga firma koja se time bavi. Ime te osobe sa njenim kontakt podacima se mora dostaviti (npr. preko Privole) svakoj osobi koja nam je dala osobne podatke. Taj službenik ima zadatak da prati provođenje GDPR-a, da isključivo on može kontaktirati sa osobama koje su nam dale podatke i koje imaju možda neke primjedbe. U tom smislu ima i odgovornosti, najprije prema tim osobama ali i prema Agenciji za zaštitu osobnih podataka u Hrvatskoj. Obavezan je da u slučaju povrede obrade podataka u smislu GDPR-a u roku od 72 sata obavijesti sve osobe čiji su podaci kompromitirani, o incidentu. Isto mora napraviti prema Agenciji za zaštiti podataka. Mora voditi evidenciju o incidentima.