Najčešća pitanja (i odgovori) oko provedbe GDPR-a

Prošlo je više od dva mjeseca kako je GDPR stupio na snagu, no budući da institucije zaista nisu kvalitetno odradile svoj posao, kvalitetnih informacija često manjka, pa stoga ne iznenađuju česti upiti, osobito od pojedinaca obrtnika ili predsjednika udruga, koji do sad u pravilu nisu imali doticaja s problematikom zaštite podataka.

Kao nastavak serijala o upitima i problemima korisnika i poduzetnika, ovoga puta bavimo se s poteškoćama na koje se nailazi u svakodnevnom poslovanju, radu s klijentima i organizaciji događaja.

Rok je prošao, jesmo li u prekršaju?

Striktno gledano, jeste i u načelu bi vas nadzorno tijelo moglo kazniti ako utvrde nepravilnosti (a vjerojatno bi utvrdili). Sreća u nesreći je da (za sada) na tapeti nisu „sitne ribe“, no nitko ne može sa sigurnošću reći kad će se početi provoditi opsežnije kontrole. Jedno je, doduše, sigurno – što dalje, to vjerojatnije.

Kako da imenujem voditelja i izvršitelja obrade?

Pitanje je promašeno, jer voditelj i izvršitelj nisu nešto što se imenuje; radi se o pojmovima koji opisuju vaše aktivnosti obrade podataka. Voditelj obrade odgovoran je za prikupljanje, zaštitu, obradu i brisanje osobnih podataka, dok izvršitelj obrađuje podatke na način na koji mu ih je voditelj povjerio (to su računovodstva, suradnici i sl.).

Voditelj obrade činjenično je stanje stvari – čim prikupljate nečije osobne podatke, vi se automatizmom smatrate voditeljem obrade, i morate poštivati sve odredbe Opće uredbe.

A službenik za zaštitu podataka?

Službenici za zaštitu podataka (DPO-i), s druge strane, i dalje se imenuju. Međutim, prestala je važiti odredba prema kojoj sve tvrtke s više od 20 zaposlenika moraju imati službenika. Sada su kriteriji drugačiji i ne ovise o broju zaposlenih, već o samim postupcima obrade osobnih podataka.

Službenik se imenuje u situacijama kako slijedi:

• obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
• osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
• osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima.

Službenik može biti svatko tko posjeduje adekvatna znanja za ispunjenje obaveza (sukladno čl. 37.), a više tvrtki smije dijeliti istog službenika.

Više o službenicima za zaštitu podataka možete saznati ovdje.

Smije li vlasnik biti službenik za zaštitu podataka?

Prema čl. 38. st. 6., voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. Dakle, imenovanje vlasnika ili direktora za DPO-a nije preporučljivo.

O prijavi baza podataka AZOP-u

Stupanjem na snagu Opće uredbe više nije potrebno prijavljivati zbirke osobnih podataka Agenciji za zaštitu osobnih podataka. Dokumentacija se čuva interno i predaje na zahtjev.

Kako uskladiti udrugu s GDPR-om?

Isto kao i tvrtke. Za udruge generalno nema previše izuzeća i stoga je potrebno djelovati.

Za početak, preporučujemo da članove upoznate s postupcima pohrane obrade podataka, te ispitate koji su vam podaci zaista potrebni. Ograničite uvid u podatke samo onima kojima je to potrebno. Članovi imaju pravo uvida u popis svih članova, ali isti se u pravilu ne objavljuje javno. Potrebno je paziti na fizičku zaštitu podataka te, ako je potrebno, imenovati i službenika za zaštitu podataka.

Što s projektima pokrenutim od strane organizacija civilnog društva?

Ako skupljate osobne podatke radi provođenja projekata, za prikupljanje i obradu takvih podataka trebate imati pravnu osnovu. To su uglavnom zakoni (npr. Zakon o radu kod obrade podataka zaposlenika), izvršenje ugovora (npr. prikupljate osobne podatke kako biste mogli popuniti valjani ugovor, recimo imenom, adresom i slično), te legitimni interes, a za sve ostale podatke za koje ne možete naći neku drugu zakonsku osnovu treba Vam privola.

Za osobne podatke na listama i obrascima za EU projekte svakako je preporučljivo na početku projekta, sudionicima i korisnicima dati na potpis papir kojim oni daju privolu za korištenje njihovih osobnih podataka prema svrhama opisanima u izjavi. Svakako možete korisnike obavijestiti da ćete njihove podatke čuvati za cijelo vrijeme trajanja projekta, čak i neko razdoblje nakon prestanka projekta, recimo 5 godina. To svakako nije zabranjeno, najvažnije je samo informirati korisnike o tome kako ćete postupati s njihovim podacima i dobiti privolu od njih.

Što s fotografiranjem i snimanjem u osobne svrhe?

Opća uredba ne primjenjuje se na obradu podataka od strane fizičke osobe u osobne, nekomercijalne svrhe za potrebe kućanstva.

Smijem li kopirati osobni dokument?

Do ovakvih poteškoća često dolazi tijekom turističke sezone, kad je u eVisitor sustav potrebno unijeti podatke s osobne iskaznice gosta. Nažalost, dokument ne smijete kopirati bez izričite privole jer se to smatra prekomjernom obradom podataka.

Imate pravo prikupiti dokument, ali s njega morate unijeti podatke. Ako od gosta dobijete privolu, smijete napraviti kopiju, ali nakon toga je valja uništiti. Prijavu ne smijete uvjetovati dobivanjem privole.

Smijem li fotografirati osobe na ulici i te fotografije objavljivati?

Ako fotografija nije u privatnom prostoru, i ako nije cilj iz fotografije s namjerom izdvojiti pojedinca  (ako nije u centru pažnje), onda nije potrebna privola. Bitno je da se fotografijom ne izdvaja određene pojedince iz mase. Ista nije potrebna ni ako osoba svojim ponašanjem privlači pozornost javnosti, jer se time odriče prava na zaštitu privatnosti koje uživaju ostali građani.

Ipak, objava fotografija osobe gdje je ona sama na slici, dakle, kad se ciljano izdvaja iz mase, u pravilu nije dozvoljena bez privole. To osobito vrijedi ako fotografiju prate komentari poput modnih osvrta i sl.

Trebam li voditi evidenciju obrade podataka?

Ovisno o podacima i broju zaposlenika. Ako imate manje od 250 zaposlenika, to niste dužni raditi, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima.

Evidencija mora sadržavati sljedeće:

• ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
• svrhe obrade;
• opis kategorija ispitanika i kategorija osobnih podataka;
• kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
• ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
• ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
• ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera.

Više o vođenju evidencija, a osobito o evidencijama obrade podataka zaposlenika možete pronaći ovdje.

Smijem li prikupljati osobne podatke u svrhu izdavanja računa?

Podatke koji su vam potrebni za izdavanje računa odnosno obradu uplate smijete prikupljati i obrađivati temeljem zakonske obveze, odnosno ispunjenja ugovora. Napominjemo da bi podaci poput e-mail adrese mogli biti problematični jer u načelu nisu potrebni za samu obradu uplate.

Trebam li brisati podatke o računima i zaposlenicima?

Ne; podaci o zaposlenicima se, kao i do sad, čuvaju kao dokumentacija trajne vrijednosti. Za račune, medicinske kartone i evidencije o radnom vremenu vrijede propisi kao i do sad. Ta se obrada zasniva na zakonskoj obavezi i u tome u smislu Opće uredbe nema ničeg spornog.

Je li dozvoljena promocija putem e-mail poruka fizičkim osobama?

Slanje e-mail poruka fizičkim osobama, bez da ste od njih dobili privolu ili ako s njima nemate prethodni poslovni odnos protivna je GDPR-u. Jednako vrijedi i za kreiranje odnosno posjedovanje baze takvih adresa.

To se ne odnosi na situacije u kojima se osoba vama javi s upitom ili namjernom da od vas zatraži uslugu.

Treba li mi privola gostiju / kupaca za korištenje videonadzora?

Dovoljno je da o činjenici da vršite video nadzor obavijestite gosta / kupca. U slučaju da nudite usluge smještaja, o tome ga treba obavijestiti i prije nego što bukira smještaj da ne bi došlo do neugodnosti.

Videonadzor se i dalje smije koristiti u trgovinama i ostalim uobičajenim lokacijama i nije potrebna nikakva privola. Potrebno je samo istaknuti obavijest o činjenici da se prostor nadzire, i to prije nego što osoba stupi u taj prostor. Treba navesti i tvrtku voditelja obrade te kontakt podatke osobe unutar tvrtke kojoj se osobe mogu obratiti.

Što sa starim bazama e-mail adresa?

Ako su te adrese dobivene na način koji ne bi bio u skladu s Općom uredbom, dužni ste ih obrisati ako nemate nikakve druge osnove za njihovu obradu. U pravilu bi to mogao biti legitimni interes ako s osobama u bazi imate određeni poslovni odnos. Naravno, na svaki zahtjev ste dužni ukloniti osobne podatke tog pojedinca iz baze.