Danas nam u goste dolazi jedan životni, ali i poduzetnički par. Ines i Marko Krečak bračni su par, ujedno suvlasnici Centra Feralis, tvrtke koja pruža usluge poslovnim subjektima u području zaštite osobnih podataka i usklađivanja poslovanja s istom.

U ekskluzivnom razgovoru za PoslovniPuls – Ines i Marko Krečak otkrivaju pregršt korisnih informacija o zaštiti osobnih podataka i GDPR-u.

Koliko hrvatske tvrtke i poduzetnici prepoznavaju GDPR regulaciju i istu primjenjuju u praksi?

Iz našeg iskustva možemo reći da su hrvatske tvrtke i poduzetnici većinom upoznate s Općom uredbom i da trebaju poduzeti određene mjere zašite osobnih podataka u svom poslovanju. Tome je bitno pridonijelo i nadzorno tijelo Agencija za zaštitu osobnih podataka (AZOP) koje je tijekom cijele protekle i ove godine održavalo brojne edukacije namijenjene upravo poduzetnicima i savjetovalo ih u svezi primjene Opće uredbe. Međutim, mišljenja smo da još uvijek manji broj tvrtki uistinu razumije što to znači u praksi i implementirane mjere stvarno i provode.

Naime, vrlo često se susrećemo sa situacijama kada su tvrtke inicijalno uskladile svoje poslovanje sa zahtjevima GDPR-a, ali nakon toga nisu provodili potrebna ažuriranja postojećih mjera i zato takve mjere više ne odražavaju stvarno stanje i usklađenost te tvrtke. Međutim, činjenica da su proveli početno usklađivanje sa zahtjevima GDPR istim tvrtkama stvara privid kako je GDPR riješen u dovoljnoj mjeri, a u realnosti se izlažu riziku od novčanih kazni i naknada štete. Treba imati na umu da zaštita osobnih podataka nije jednokratni posao, već nešto što traje kroz cijeli vijek trajanja organizacije.

Koji su najčešći razlozi zbog kojih vam se javljaju tvrtke i poduzetnici?

Najčešće nam se javljaju tvrtke koje nam žele u potpunosti prepustiti brigu o zaštiti osobnih podataka što uključuje inicijalno usklađivanje poslovanja za zahtjevima GDPR i mjesečnu funkciju službenika za zaštitu podataka. Iza toga slijede tvrtke koje trebaju samo inicijalno „GDPR usklađivanje“, obično uz edukaciju njihovog internog službenika za zaštitu podataka te tvrtke koje su već usklađene i imaju potrebu za vanjskom funkcijom službenika za zaštitu podataka uz reviziju usklađenosti.

Pored toga, tvrtke nas znaju često tražiti mišljenje i savjetovanje te praćenje na određenom projektu ili prilikom nadzora.

Postoje li neki mitovi kada je u pitanju GDPR regulacija? 

Često se događa da tvrtke koje su uskladile svoje poslovanje sa zahtjevima GDPR misle da više ništa ne trebaju raditi po tom pitanju.

Takve tvrtke obično su napravile nekoliko dokumenta kao što je politika privatnosti ili politika videonadzora, ustrojile evidenciju obrade i slično i misle da je s tim njihovo usklađivanje završeno. No, to nije točno. Kao što smo već ranije istaknuli, zaštita podataka je proces. Sve ustrojene mjere zaštite potrebno je povremeno preispitivati, dopunjavati i mijenjati u skladu sa stvarnim stanjem u poslovanju ali isto tako primjenjivati u svakodnevnom radu, primjerice, kod zapošljavanja, oglašavanja, uvođenje novih procesa ili usluga, uspostavljanja novih poslovnih odnosa na relaciji voditelj/izvršitelj obrade itd.

Onda kada je imenovan službenik za zaštitu osobnih podataka takve poslove u pravilu obavlja on ili druga imenovana osoba. Međutim, veliki je broj tvrtki koje su provele GDPR usklađivanje ali nisu imenovale službenika za zaštitu podataka niti takve poslove povjerile drugoj osobi unutar tvrtke.

Što je s često spominjanom „privolom“? Mogli smo ih vidjeti gotovo svugdje a danas je to ipak znatno rjeđe…

Možemo reći da je u početku primjene Opće uredbe kod dobrog dijela tvrtki vladalo uvjerenje da se „privolom“ odnosno pristankom osobe na obradu osobnih podataka rješava gotovo sve. Naravno da to nije točno i da je privola samo jedna od šest zakonitih osnova za obradu osobnih podatka i to ona koju ćemo u praksi rijetko koristiti. Međutim, to je ujedno i osnova za obradu osobnih podataka s kojom ćemo najlakše doći do samog kršenja GDPR ako je ispravno ne koristimo ili je koristimo onda kad već imamo zakoniti temelj za obradu u nekoj drugoj osnovi.

Tako smo na početku mogli vidjeti brojne nezakonite privole kao što je, primjerice, privola za slanje ponude nakon što je osoba prethodno tražila takvu ponudu npr. pri kupnji vozila ili izrade web stranice ili kad se pak tražila privola radi odgovaranja na postavljeni upit. Česte su bile takve nezakonite privole kojima se traži pristanak za obradu osobnih podataka pri zapošljavanju ili druge privole u kontekstu radnih odnosa no, na sreću danas je to ipak rijedak slučaj.

GDPR nam je donio i pravo na „na zaborav“. Možete nam reći nešto više o tome?

Pravo na zaborav, odnosno pravo na brisanje osobnih podataka mnogi građani su u počecima primjene Opće uredbe doslovno shvatili te smo se kao službenici za zaštitu podataka susretali s brojnim takvim zahtjevima. GDPR nam je donio pravo na zaborav međutim, moraju se ostvariti određeni uvjeti da bi takvo brisanje bilo moguće. Brisanje je moguće kada podaci više nisu nužni u odnosu na svrhu u koju su prikupljeni ili obrađivani a nemamo zakonom određen rok koji nas obvezuje na njihovo čuvanje i pohranu; kada ste povukli privolu na kojoj se obrada osobnog podataka temelji i ne postoji druga pravna osnova za obradu; uložili ste prigovor na obradu svojih osobnih podataka te voditelj obrade nema jače legitimne razloge za obradu; onda kada su podaci nezakonito obrađeni; osobni podaci moraju se brisati radi poštovanja pravne obveze ili kad su prikupljeni u vezi s ponudom usluga informacijskog društva.

Primjerice, ukoliko na internetu stoji novinski članak o vama kojim se izvještava o prijevari koju ste počinili prije pet godina i zatražite uklanjanje takvog članka od voditelja obrade, isti neće biti u obvezi ukloniti članak. Prije svega u takvoj situaciji može se smatrati da postoji opravdan interes javnosti za takvom informacijom što znači da je obrada osobnog podatka još uvijek nužna u odnosu na svrhu njegova prikupljanja te nam je svakako prekratak protok vremena. Međutim, ukoliko na internetu stoji novinski članak o vama kojim se informira o edukaciji koju ste održali prije 10 godina, takva informacija danas više nije od važnosti i moći ćete od voditelja obrade ishodovati uklanjanje poveznice na takav članak.

Često ističete Službenika za zaštitu podataka. Znamo da sve organizacije nisu obavezne imenovati ga, zašto je on toliko bitan?

Službenik za zaštitu podataka osim što obavlja poslove sukladno Općoj uredbi, možemo reći da u svakom trenutku vodi računa o usklađenost poslovanja organizacije sa zahtjevima GDPR-a.

Često će upravo o toj funkciji ovisiti zaštita poslovnog subjekta od mogućih kazni i naknada šteta ispitanicima. Upravo je zbog toga organizacijama važno da na toj funkciji imaju stručnu osobu koja se redovno educira i unaprjeđuje u području zaštite osobnih podataka kako bi mogla udovoljiti svim zahtjevima koji se pred nju postavljaju. Također, znamo da se danas osobni podaci nalaze svugdje oko nas i da galopirajuće napreduju brojna rješenja koja koriste naše osobne podatke. Za službenika za zaštitu podataka bitno je pratiti takav razvoj i nova rješenja koja nam se nude ili ih organizacija sama stvara a to će u pravilu činiti putem redovitih edukacija i neprestanog usavršavanja.

Radili ste i na projektu Andrije – digitalnog asistenta za pomoć u borbi protiv COVID-19, ali i na redizajniranom sustavu e-Građani. Kakvo je bilo to iskustvo?

Prije svega #Andrija je bio jedan iznimno zanimljiv projekt, posebice kada znamo da je to prvi digitalni asistent na bazi umjetne inteligencije pod vodstvom Vlade Republike Hrvatske. Na kreiranju rješenja radio je tim stručnjaka predvođen epidemiologom prof.dr.sc. Brankom Kolarićem, uz tehničku i informatičku podršku udruženih snaga domaćih tvrtki koje su članice Hrvatske udruge za umjetnu inteligenciju (CroAI).

Sve uključene tvrtke odlučile su bez naknade velikodušno dati svoj doprinos i zajedno sudjelovati u nacionalnom naporu suzbijanja epidemije novim korona virusom. To je bio projekt koji nam je dao jedno veliko iskustvo i upoznavanje s radom umjetne inteligencije te koji će zasigurno dugo ostati na vrhu ljestvice po dobivenom znanju.

Sustav e-Građani je kompleksan sustav koji obuhvaća osobne podatke svih građana Hrvatske. Primjeren zakoniti okvir je trebao omogućiti i intuitivno sučelje i praktičnost korištenja za građane.

Premda u percepciji dijela javnosti zaštita podataka nije u znatnoj mjeri pokazala praktičnost, upravo je suradnja na redizajnu e-Građani otkrila prednosti njene primjene na način da je proces prijave u sustav pojednostavljen. Centar Feralis i AZOP (Agencija za zaštitu osobnih podataka) uskladile su najbolje prakse u području zaštite osobnih podataka i unijele izmjene u procesu prijave u sustav. Ono što bi istaknuli kao našu najveću vrijednost sudjelovanja na tom projektu je zasigurno iskustvo dinamičkog rada s vrsnim stručnjacima Središnjeg državnog ureda za razvoj digitalnog društva.

Mnoge tvrtke vjerojatno zanima kako koristiti društvene mreže, a da sve bude usklađeno s GDPR pravilima?

Onda kada kao tvrtka koristimo društvene mreže i dijelimo sadržaj koji može sadržavati osobne podatke (npr. fotografija zaposlenika ili klijenta) ili prikupljamo određene osobne podatke, potrebno je o toj obradi informirati naše korisnike usluga ili proizvoda (ispitanike). To ćemo uobičajeno napraviti putem politike privatnosti web stranice tvrtke. Međutim, bitno je istaknuti da kada dijelimo sadržaj na društvenoj mreži, to činimo u skladu s pravilima korištenja te mreže koje smo prihvatili prilikom samog pristupanja mreži i zato ih je potrebno uvijek dobro pročitati i s njima se detaljno upoznati. Naime, najčešće to što će neki korisnik na društvenoj mreži podijeliti našu fotografiju, komentirati nas na način na koji se nama ne sviđa ili nam je uvredljiv ili pak dijeli informacije o nama a koje smo nekad sami učinili javno dostupnima, nije pitanje kršenja osobnih podataka i GDPR od strane voditelja obrade tj. društvene mreže već pitanje pravila korištenja mreže i njezinih pravila privatnosti.

Zato je uvijek bitno imati na umu kada objavimo nešto na društvenoj mreži i učinimo sadržaj dostupan širem broju korisnika: više nećemo imati potpunu kontrolu nad tim sadržajem. Upravo iz tog razloga nužno je dobro upoznati se s pravilima korištenja mreže kao i njezinim pravilima privatnosti te voditi računa o sadržaju koji objavljujemo.

Što Feralis nudi svojim klijentima?

Feralis je tvrtka specijalizirana za pružanje usluga u području zaštite osobnih podataka.

Najpopularnija usluga je Vanjski službenik za zaštitu podataka, gdje Feralis za klijenta vodi kompletnu brigu oko zaštite osobnih podataka i poslovanja u skladu sa zahtjevima GDPR. Usluga se može pružati i kao ugovorena podrška internom službeniku za zaštitu podataka. Također, pruža stručna savjetovanja, provodi interne revizije usklađenost sa zahtjevima GDPR bilo za cijelo ili samo dio poslovanja (npr. web stranica, videonadzor), prati i savjetuje mjere zaštite osobnih podataka na pojedinom projektu te pruža edukacije službenicima za zaštitu podataka koje mogu biti grupne ali i individualne.