Važnost GDPR ugovora s pružateljima IT podrške: Kazne mogu biti paprene!

U suvremenom poslovnom okruženju, gdje se osobni podaci sve više koriste i obrađuju, uloga IT tvrtki kao izvršitelja obrade postaje izuzetno važna za zaštitu privatnosti i usklađivanje s Općom uredbom o zaštiti podataka (GDPR). Potpisivanje ugovora o obradi osobnih podataka s IT tvrtkama jedan je od ključnih izazova s kojima se mnoge organizacije suočavaju u svom svakodnevnom radu.

Prema smjernicama Europskog odbora za zaštitu podataka (EDPB), pružatelji IT usluga se kategoriziraju kao izvršitelji obrade a svaki odnos između voditelja i  izvršitelja obrade nužno je  urediti u skladu s GDPR zahtjevima. Važno je napomenuti da je pri tome potrebno razlikovati vrstu ugovornog odnosa među stranama, primjerice između redovne (ugovorene) IT podrške i povremenog, jednokratnog pristupa računalu radi ispravljanja softverske pogreške ili kvara.

Svaka od ovih situacija zahtijeva specifičan pristup kako bi se odnos uskladio s GDPR.

Primjer 1: Opća informatička podrška 

Jedan od najčešćih primjera u kojem se tvrtke oslanjaju na IT tvrtke kao izvršitelje obrade je kada trgovačko društvo angažira pružatelja informatičkih usluga za pružanje opće podrške za svoje informatičke sustave koji uključuju veliku količinu osobnih podataka. Iako pristup osobnim podatcima nije glavni predmet usluge podrške, pružatelj informatičkih usluga neizbježno ima pristup osobnim podatcima pri obavljanju usluge. U ovakvom slučaju  EDPB  pružatelja informatičkih usluga smatra izvršiteljem obrade. Stoga, kako bi se osigurala zaštita podataka i usklađenost s GDPR-om, potrebno je zaključiti ugovor o obradi osobnih podataka koji će jasno definirati obveze i ugovornih strana u skladu sa zahtjevima Opće uredbe.

Primjer 2: Informatički savjetnik ispravlja softversku grešku

Drugi primjer može biti situacija kada trgovačko društvo angažira informatičkog stručnjaka iz druge IT tvrtke da ispravi grešku u softveru kojim se trgovačko društvo koristi. U ovom slučaju, informatički savjetnik nije angažiran za obradu osobnih podataka, ali postoji mogućnost slučajnog pristupa tim podatcima, koji bi trebao biti vrlo ograničen. U ovom scenariju, trgovačko društvo zaključuje da informatički savjetnik nije izvršitelj obrade i da će poduzeti odgovarajuće mjere kako bi spriječilo neovlašteno obrađivanje osobnih podataka, poput potpisivanja izjave o povjerljivosti i drugih sigurnosnih mjera.

SIGURNOST PODATAKA U DIGITALNOM SVIJETU: Ključni koraci za uređenje odnosa s tvrtkom za IT podršku


Kako bi tvrtka voditelj obrade, koja koristi usluge izvršitelja obrade za pružanje IT podrške, i sam izvršitelj obrade osigurali usklađenost sa zahtjevima GDPR-a, ključno je urediti njihov odnos putem sklapanja posebnog ugovora o obradi osobnih podataka. Da bi se postigla pravednost i ravnoteža u ugovorima o obradi osobnih podataka, snažno se preporučuje primjena standardnih ugovornih klauzula utvrđenih Provedbenom odlukom Komisije EU 2021/915 od 4. lipnja 2021. o standardnim ugovornim klauzulama između voditelja i izvršitelja obrade. Primjenom ovih standardnih klauzula ostvaruje se jednak tretman i transparentnost u odnosima s različitim pružateljima usluga IT podrške.

Jedna od ključnih prednosti korištenja standardnih ugovornih klauzula je njihova neovisnost o preispitivanju nadzornih tijela. To znači da ugovori koji inkorporiraju ove klauzule neće biti podložni dodatnom preispitivanju nadzornog tijela u slučaju nadzora ili incidenta. Primjerice, zamislimo situaciju u kojoj hrvatska tvrtka, kao voditelj obrade, sklapa ugovor o obradi osobnih podataka s tvrtkom iz druge zemlje članice EU koja djeluje kao izvršitelj obrade. Ako se u tom ugovoru koriste standardne ugovorne klauzule, niti jedno nadzorno tijelo neće dodatno preispitivati taj ugovor u slučaju incidenta ili nadzora. Ovo pruža sigurnost i jasnoću za obje strane uključene u ugovorni odnos.

Važno je naglasiti da korištenje standardnih ugovornih klauzula također ima pozitivan utjecaj na ravnotežu snaga između strana. U mnogim situacijama, jedna strana može biti u podređenom položaju u odnosu na drugu stranu, što može rezultirati neravnotežom u pregovorima. Međutim, pristupanje standardnim ugovornim klauzulama pomaže spriječiti takvu neravnotežu te osigurava da su uvjeti ugovora fer i pravični za obje strane.

Važno je naglasiti da standardne ugovorne klauzule ne smiju se mijenjati, dopunjavati ili prepravljati na bilo koji način, već moraju ostati u potpunosti u skladu s onima koje je utvrdila Komisija EU. Ovo osigurava dosljednu primjenu i sprječava eventualne zloupotrebe ili nepravilnosti u obradi osobnih podataka.

Uređenje odnosa između voditelja obrade i izvršitelja obrade, kroz potpisivanje ugovora o obradi osobnih podataka ili pristupanje standardnim ugovornim klauzulama, nije samo pravna obveza već i ključni korak u izgradnji povjerenja, zaštiti privatnosti i sigurnosti podataka. Pružatelji IT usluga moraju biti svjesni svoje uloge, razumjeti rizike te prepoznati važnost zaštite osobnih podataka kako bi osigurali uspješno partnerstvo s klijentima. Nepridržavanje propisa GDPR-a može rezultirati visokim kaznama i negativnim posljedicama za obje uključene strane. Stoga je poštivanje GDPR zahtjeva i pravilno uređenje odnosa ne samo nužnost, već i odgovornost koja se ne smije zanemariti. U konačnici, usklađivanje s GDPR-om donosi pravnu sigurnost, ali također pokazuje predanost, profesionalnost i spremnost na suočavanje s potencijalnim rizicima kako bi se zaštitili osobni podaci i očuvalo povjerenje klijenata.

Standardne ugovorne klauzule između voditelja i izvršitelja obrade možete preuzeti: OVDJE

GDPR: Evo što je važno znati o onom curenju podataka iz agencije za naplatu potraživanja

Ovih dana svjedočimo curenju osobnih podataka više od 77 tisuća građana a kako saznaje Indeks radi se o podacima koji sadrže ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice i iznos zateznih kamata. Najvažnije pitanje svakog incidenta svakako su organizacijske i tehničke mjere zašite osobnih podataka međutim, u ovom slučaju pojavljuje se i čitav niz prethodnih pitanja. Jedno od takvih pitanja je čiji podaci su iscurili?

Da li su iscurili osobni podaci koje je agencija za naplatu potraživanja preuzela u postupku prijenosa tj. otkupa dugovanja ili dio podataka koji su iscurili čine i podaci koje je agencija preuzela u svrhu naplate potraživanja za npr. banke ili druge klijente?

U slučaju curenja podataka koje je agencija za naplatu potraživanja preuzela u svrhu pružanja svoje usluge „naplate potraživanja“ tada se sukladno GDPR nalazi u ulozi izvršitelja obrada.

Sa stajališta GDPR to znači da tada banka ili drugi subjekt za koji agencija provodi naplatu dužna je obavijestiti nadzorno tijelo o incidentu vezano za svoje osobne podatke koje je proslijedila toj agenciji ali isto tako i same građene o čijim podacima je riječ.

Međutim, sama pozadina je ipak nešto dublja. Naime, u tom slučaju agencija za naplatu potraživanja i banka, teleoperater ili drugi klijent za kojeg agencija vrši naplatu moraju sklopiti ugovor o obradi osobnih podataka. Takav ugovor mora sadržavati sve propisane elemente sukladno GDPR. Ono što je još važnije u ovom slučaju jest da je voditelj obrade banka ili drugi subjekt za kojeg se provodi naplata, dužan ispitati i utvrditi da li je agencija za naplatu potraživanja uskladila svoj rad s GDPR i da li primjenjuje odgovarajuće zaštitne mjere osobnih podataka. Pojam „odgovarajuće“ kada je u pitanju GDPR znači da bi mjere i potrebne zaštitne mjere trebale biti prikladne za postizanje predviđene svrhe, odnosno njima se mora provoditi učinkovita zaštita podataka. Ono što je vrlo važno pri tome imati na umu da poslovni subjekti moraju moći dokazati da su uspostavljene mjere upravo one koje su odgovarajuće.

U slučaju da je banka ili drugi subjekt za koji agencija za naplatu potraživanja provodi naplatu propustila učiniti takvu provjeru i sklopiti valjani ugovor onda je teret odgovornosti i na samom tom subjektu kao voditelju obrade. Pojednostavljeno, tada govorimo o kršenju osobnih podataka od strane same banke ili tog drugog subjekta koji isto nije učinio.

Ne zaboravimo pri tome je voditelj obrade, u tom slučaju banka ili drugi nalogodavac odgovoran za osobne podatke koje je proslijedio agenciji za naplatu potraživanja.

Za građane to znači da pitanje povrede osobnih podataka i postupak naknade štete prije svega mogu pokrenuti protiv tih banaka ili drugih subjekata u čije ime se naplata vršila. U ovom trenutku zainteresirani građani mogu putiti zahtjev za pristup svojim osobnim podacima i zatraže sve informacije o obradi svojih osobnih podatka kako od agencije za naplatu potraživanja B2 Kapital tako i od banaka ili drugih subjekata za koje je ta agencija vršila prema njima naplatu.

Preporuka je pratiti obavijesti vezano za aktualni incident kako bi se saznali točni podaci koji su iscurili i prema tome moglo postupati te svakako pratiti obavijesti, savjete i upute našeg nadzornog tijela

Pronašli ste poslovnog partnera i spremate suradnju? Evo na što morate paziti...

Poslovni subjekti redovno se u svom poslovanju mogu naći u ulogama voditelja i izvršitelja obrade neovisno da li se radi o tvrtkama, obrtima, udrugama ili drugim organizacijama kada govorimo o poslovnim subjektima. Kada se nađu u takvom odnosu oni su dužni urediti taj odnos prema zahtjevima Opće uredbe. Pri tome definiranje voditelja i izvršitelja obrade ima presudnu ulogu u primjeni Opće uredbe jer određuju tko je odgovoran za sukladnost s različitim pravilima o zaštiti podataka i kako ispitanici mogu ostvariti svoja prava u praksi.

Podsjetimo se, voditelj obrade biti će svaki onaj subjekt koji određuje svrhu i sredstva obrade, dok će izvršitelj obrade biti drugi subjekt kojeg angažira voditelj obrade kako bi obrađivao osobne podatke u njegovo ime. Međutim, pri samom definiranju da li je neki subjekt uistinu naš izvršitelj obrade biti će potrebno uzeti u obzir veći niz elemenata kako bi isto ispravno utvrdilo.

Primjer čestih izvršitelja obrade:

Da bi odnos između voditelja i izvršitelja obrade bio u skladu sa Općom uredbom, on treba udovoljavati više zahtjeva koje navedena regulativa pred voditelja i izvršitelja obrade postavlja. Prije svega takav odnos mora biti uređen ugovorom ili drugim pravnim aktom koji treba sadržavati i sve elemente propisane Općom uredbom bilo da su odredbe o obradi osobnih podataka sastavni ili odvojeni dio tog ugovora. Tako u praksi voditelj i izvršitelj obrade nakon sklapanja osnovnog ugovora najčešće sklapaju posebni ugovor o obradi osobnih podataka ili primjenjuju standardne ugovorne klauzule između voditelja i izvršitelja obrade.

RADNJE PRIJE SKLAPANJA UGOVORA

Voditelj obrade ima dužnost angažirati „jedino izvršitelje obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera”, na način da obrada udovoljava zahtjevima GDPR uključujući sigurnost obrade – i osigurava zaštitu prava ispitanika. 

Pojednostavljeno, voditelj obrade biti će odgovoran ukoliko angažira izvršitelja obrade koji nema dovoljna jamstva za sigurnost obrade i koji nema uvjerljive dokaze da osobne podatke obrađuje u skladu sa zahtjevima Opće uredbe.

Stoga prije sklapanja ugovora s izvršiteljem obrade, voditelj obrade treba:

Naime, voditelj obrade odgovoran je za procjenu dostatnosti jamstava koje pruža izvršitelj obrade i treba moći dokazati da je ozbiljno razmotrio sve elemente propisane Općom uredbom, ističe Europski odbor za zaštitu podataka u svojim smjernicama.

PROCJENA DOSTATNOSTI JAMSTAVA

Kako bi voditelj obrade dokazao da je razmotrio sve potrebne elemente često će to zahtijevati razmjenu relevantne dokumentacije s izvršiteljem obrade kao što su to npr. politika zaštite privatnosti, uvjeta pružanja usluge, evidencija aktivnosti obrade, pravila upravljanja podatcima, pravila o zaštiti sigurnosti podataka, izvješća o vanjskim revizijama zaštite podataka, priznati međunarodni certifikat poput serije ISO 27000 i drugo.

Procjena voditelja obrade o dostatnosti jamstava oblik je procjene rizika koji će uvelike ovisiti o vrsti obrade koja je povjerena izvršitelju obrade. Naime, nema točnog popisa dokumenata ili radnji koje bi izvršitelj obrade trebao predočiti ili dokazati već procjenu treba provesti za svaki pojedinačni slučaj zasebno uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava i slobode fizičkih osoba. Voditelj obrade kod takve procjene treba uzeti u obzir i stručno znanje izvršitelja (npr. tehničko stručno znanje u pogledu sigurnosnih mjera i povrede podataka), njegovu pouzdanost i resurse a također i ugled izvršitelja na tržištu može biti važan čimbenik za razmatranje.

No, da li voditelj obrade mora uvijek raditi opsežne provjere radi utvrđivanja dostatnosti jamstava izvršitelja obrade?

U situacijama gdje postoji manji rizik za obradu osobnih podataka neće uvijek biti potrebno inzistirati na opsežnim jamstvima ili vršiti dublju analizu i provjeru, ali svakako će određena jamstva izvršitelj obrade uvijek trebat priložiti a koja će voditelj obrade moći opravdano ocijeniti kao dostatna.

TRAJNA OBVEZA VODITELJA OBRADE

Važno je imati na umu da obveza voditelja obrade da angažira samo one izvršitelje obrade koji „u dovoljnoj mjeri jamče”, kako je to navedeno u članku 28. stavku 1. Opće uredbe, trajna je obveza voditelja obrade.

 Ona ne završava u trenutku kada voditelj obrade i izvršitelj obrade sklope ugovor ili drugi pravni akt kojima uređuju obradu osobnih podataka. Stoga voditelj obrade treba, u odgovarajućim intervalima, provjeravati jamstva izvršitelja obrade, uključujući revizije i razne provjere, ističe Europski odbor za zaštitu podataka u svojim smjernicama o voditeljima i izvršiteljima obrade.

Naravno, procjenu dostatnih jamstava, provjere i revizije izvršitelja obrade ili drugo, voditelj obrade treba dokumentirati i moći ih dokazati.

Zaposlenik - najvažnija karika u zaštiti od kibernetičkih napada

U suvremenom načinu komuniciranja i poslovanja sve veći broj pojedinaca se susreće sa različitim hakerskim pokušajima online prijevara. Od prvih naivnih poruka krcatih gramatičkim i pravopisnim greškama od kojekakvih prinčeva i princeza s egzotičnih zemljopisnih lokacija, koje upravo u vama vide pravu osobu preko koje mogu izvući svoje, u dolarima, milijunsko naslijeđe, današnji hakerski pokušaji su
se sofisticirali na svaki mogući način i proširili u gotovo sva područja.

Neosporna je činjenica da su upravo razina svijesti i znanja o zlonamjernim pokušajima, kao i sposobnost
njihovog prepoznavanja te ponašanja kod takvih situacija ključni u sprječavanju od mogućih i najčešće
financijskih gubitaka pojedinaca, ali i poslovanja čitave tvrtke. Zbog raznovrsnosti I učestalosti gotovo je
nemoguće nabrojati i analizirati svaki konkretni pokušaj prevare, ali postoje oblici koji pokazuju određene zajedničke sličnosti, zbog čega ih je dobro upoznati i znati kako reagirati.

Neočekivan email ili telefonski poziv u kojem se haker predstavlja kao dobavljač ili partner tvrtke, a kad
dobro poznaje situaciju u tvrtki i kao direktor. U emailu zahtjeva prebacivanje sredstava ili plaćanje na
novi račun gdje naglašava, da se zbog hitnosti, zaobiđu postojeći protokoli I provjere prilikom plaćanja.
Sličan zahtjev može stići emailom od tvrtke koja nije u poslovnom odnosu s vašom tvrtkom, a koja
zahtjeva otvaranje privitka ili klika na linkove u emailu.

Zajedničko takvim pokušajima je što u većoj ili manjoj mjeri odstupaju od utvrđenih načina komuniciranja i dogovorenih protokola i sadrže određeni zahtjev od primatelja. Pored spomenutog, nije više tako rijetkost da zaprimamo neočekivane emailove od hakera gdje se predstavljaju kao banke, kurirske službe, humanitarne organizacije I traže klik na linkove, otvaranje privitaka i/ili davanje naših kartičarskih i/ili osobnih podataka.

Premda je svaki hakerski pokušaj zlonamjeran, nije dobro iz straha I neznanja razvijati uvjerenje da je najbolje da nam se takav pokušaj nikad ne dogodi. Naprotiv, zaposlenici koji su imali prilike biti u situacijama zlonamjernih emailova I poziva su razvili veću razinu opreza I sumnje na sve buduće takve pokušaje.

Bez obzira da li se iza hakerskih pokušaja krije krađa podataka, novca ili aktiviranje zlonamjernog softvera u informatički sustav tvrtke, najbolja zaštita tvrtkama je poduzeti primjerene mjere koje uključuju interne procedure u komuniciranju, kod plaćanja i u edukaciji svih zaposlenika tvrtke. Kada govorimo o GDPR, tvrtke i organizacije su dužne poduzeti odgovarajuće tehničke i organizacijske mjere zaštite (članci 24., 25. i 35), kako bi primjereno zaštitili osobne podatke i smanjili rizik od zloupotrebe i povrede osobnih podataka na najmanju moguću mjeru. Ukoliko dođe do povrede osobnih podataka koje mogu predstavljati rizik za temeljna prava i slobode pojedinaca, tvrtka je dužna takve povrede prijaviti nadzornom tijelu. Primjer takve povrede može biti i odgovaranja na zlonamjerni mail putem kojeg zaposlenik može primjerice, otkriti brojeve računa zaposlenika tvrtke i druge osobne podatke misleći da te podatke traži banka.

Umjesto zaključka dobro je naglasiti da je, pored sofisticiranih tehnoloških sustava zaštite, jedna od najvažnijih karika u zaštiti tvrtki i poslovanja od online pokušaja napada je primjereno educiran i treniran zaposlenik. I u pravo zato redovna i kvalitetna edukacija zaposlenika predstavlja jednu od važnih mjera zašitite osobnih podataka.

GDPR vodič: Evo kako zakonito označiti prostor pod videonadzorom

Iako je tema videonadzora jedna od čestih tema koja se pojavljuje kada je u pitanju #GDPR još uvijek često se mogu vidjeti oznake za videonadzor koje ne udovoljavaju zahtjevima osnovne usklađenosti.

Čest je slučaj da su mnogi poslovni subjekt oznake za videonadzor uskladili sa Zakonom o primjeni Opće uredbe. Međutim, iste nisu uskladili i sa zahtjevima Opće uredbe (GDPR) te stoga oznake nisu ispravne i subjekti mogu podlijeći kažnjavanju.

Naime, obavijest o video nadzoru osim informacija propisanih Zakonom o primjeni opće uredbe tj. oznake da je prostor pod videonadzorom, podatke o voditelju obrade i podatke za kontakt putem kojih ispitanik može ostvariti svoja prava, mora pružati i obavijest o obradi osobnih podataka propisanih člankom 13. Opće uredbe (GDPR).

Međutim, kada bi se sve potrebne informacije pružale na samoj obavijesti o videonadzoru došlo bi do zagušivanja informacijama te ispitanik ne bi mogao jasno razlučiti koje informacije su za njega u tom trenutku najbitnije.

Na takav način onda se ne bi se mogao ostvariti zahtjev transparentnosti kao jednim od temeljnih zahtjeva obrade, smatra Radna skupina za zaštitu podataka u svojim Smjernicama o transparentnosti.
 
Stoga Europski odbor za zaštitu podataka (EDPB) u Smjernicama o videonadzoru upućuje da se potrebne informacije o obradi osobnih podataka pružaju u DVA SLOJA. Najvažnija bi se informacija trebala prikazati na samom znaku upozorenja (prvi sloj), dok se druge obvezne pojedinosti mogu pružiti na druge načine (drugi sloj).

Kako je prethodno navedeno, znak upozorenja prvog sloja mora jasno upućivati na informacije drugog sloja.

Osim toga, najbolje bi bilo da informacije prvog sloja upućuju na digitalni izvor drugog sloja (npr. QR kod ili internetske stranice). Međutim, informacije bi trebale biti lako dostupne i u nedigitalnom obliku. Pristupanje informacijama drugog sloja trebalo bi omogućiti bez ulaska u nadzirano područje, posebno ako se informacije pružaju u digitalnom obliku (to se može ostvariti, na primjer, pružanjem poveznice).

Druga prikladna sredstva može biti broj telefona koji je moguće nazvati. Neovisno o načinu na koji se te informacije pruže, one moraju sadržavati sve stavke obvezne na temelju članka 13. Opće uredbe o zaštiti podataka.

PREPORUKE ZA PRUŽANJE INFOMACIJA DRUGOG SLOJA:

- Za tvrtke i druge organizacije koje ne koriste svoju samostalnu web stranicu: preporuka je
informacije drugog sloja pružiti putem QR koda na samoj obavijesti o videonadzoru (naljepnici)
te papirnatu verziju učiniti dostupnom na porti/ulazu i na zahtjev.

- Za tvrtke i druge organizacije koje korite svoju web stranicu: preporuka je informacije drugog
sloja pružati putem Politike privatnosti web stranice (odjeljak: legitimni interesi) te imati dostupnu papirnatu verziju na zahtjev.

BESPLATNU brošuru o usklađivanju videonadzora s GDPR zahtjevima možete preuzeti - OVDJE

Provjerite da li vaša tvrtka pravilno daje informacije o obradi osobnih podataka

Opća uredba o zaštiti podataka postavila je imperativ na zaštitu osobnih podataka u pravnim sustavima država članica Europske unije. Stoga su početkom njezine primjene nastale određene promjene koje su se na svih odrazile, bilo da se radi o poslovnim subjektima koji su morali uskladiti svoje poslovanje sa GDPR zahtjevima ili fizičkim osobama koje su sada dobile određena veća prava koja se odnose na obradu njihovih osobnih podataka.  Jedno od takvih prava je i pravo na informiranost o obradi. 

Pravo na informiranost u svojoj osnovi znači da imamo pravo znati određen set informacija o obradi naših osobnih podataka. Tako imamo pravo znati  tko prikuplja i obrađuje naše podatke, u koju svrhu, na kojoj od šest predviđenih zakonitih osnova se obrada temelji, o kojoj kategoriji podataka je riječ, da li će se podaci prosljeđivati drugi primateljima, koliko će se pohranjivati i druge informacije ovisno da li se podaci prikupljaju direktno od nas ili iz drugih izvora te koliko su nam informacije o obradi već poznate ili bi nam trebale biti poznate.  Naime, kada se vrši prikupljanje i obrada osobnih podataka informacije koje bi po svojoj svrsi  obrade (npr. u svrhu zapošljavanja)  trebali biti poznati pojedincu, voditelj obrade neće unaprijed pružati. Naprotiv, isto će se čak smatrati preopterećivanjem same osobe s informacijama s kojima se skreće fokus od informacija koje su u tom trenutku za tu osobu bitne. Naravno, informacije  o obradi osobnih podataka voditelj obrade uvijek će pružiti ako ga pojedinac to sam zatraži, odnosno ako zatraži pristup svojim osobnim podacima međutim, neće pojedinca zamarati s informacijama koje su mu već poznate kao niti s onima koje nisu relevantne za konkretnu obradu.

Primjer za to možemo još uvijek  vidjeti na mnogim web stranicama. U politici privatnosti web stranice pružaju se informacije o obradi osobnih podataka samo za podatke koji se prikupljaju putem te web stranice te o legitimnim interesima voditelja obrade (npr. o video nadzoru, bazi životopisa, marketingu i drugo). Često  web stranice sadrže i obavijesti o drugim obradama koje vrše izvan te web stranice npr. informacije  o obradama koje provode u svrhu pružanja svojih usluga a koje nisu relevantne za konkretnu obradu tj. za prikupljanje i obradu podataka putem web stranice. Na taj način dolazi do povrede načela transparentnosti jer se Smjernicama o transparentnosti izričito zahtjeva da se pružaju samo informacije koje je nužno pružiti, na način koji je jasan, razumljiv i jednostavan za osobu kojoj se te informacije pružaju kako ne bi došlo do zbunjivanja i preopterećenja osobe s informacijama i s time skrenuo fokus od bitnih informacija. 

Više o tome možete pročitati OVDJE.

Evo što GDPR kazne u EU znače za poslovne subjekte u Hrvatskoj

Primjenom Opće uredbe (GDPR) zaštita osobnih podataka potaknula je zanimanje kod mnogih bilo da se radi o profesionalcima u području privatnosti, službenicima za zaštitu podataka ili pojedincima koji žele saznati više o tome.

U tu svrhu često se prate i analiziraju kazne koje su izrečene zbog kršenja Opće uredbe (GDPR).

Tako često možemo susresti u medijima o izrečenim kaznama s visokim iznosima diljem EU čiji scenariji se nužno ne moraju na isti način reflektirati na poslovne subjekte u Hrvatskoj. Time se može unesti neopravdan nemir i nerazumijevanje koje poslovne subjekte mogu navesti na krive postupke.

Naime, GDPR nije moguće razmatrati bez promatranja propisa nacionalnog zakonodavstva.

Tako primjerice, iako je nedavno Nizozemsko nadzorno tijelo za zaštitu podataka izreklo novčanu kaznu u iznosu od 3,7 milijuna eura Ministarstvu financija zbog kršenja GDPR-a, istu kaznu zbog identične povrede GDPR-a neće biti moguće izreći i u Hrvatskoj. Naime, Opća uredba ostavlja prostor (članku 83. stavku 7.) da svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne. Hrvatskim Zakonom o provedbi Opće uredbe o zaštiti podataka (članak 47.) utvrđeno da se u postupcima koji se provode protiv tijela javne vlasti, tijelu javne vlasti ne može izreći upravna novčana kazna za povrede tog Zakona ili Opće uredbe.

Kao drugi primjer možemo navesti rok pohrane snimki videonadzora. Naime, našim Zakonom o provedbi Opće uredbe utvrđeno je da se snimke videonadzora mogu pohranjivati do šest mjeseci osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku. U nekoj drugoj zemlji članici EU pohrana snimki biti će regulirana nacionalnim propisima te zemlje članice EU te rokovi mogu biti utvrđeni u dužem ili kraćem trajanju. Iz tog razloga upravna novčana kazna izrečena u Hrvatskoj zbog nepoštovanja roka pohrane osobnih podataka koji se nalaze na snimkama videonadzora neće biti primjenjiva i u toj zemlji članici.

Stoga je od iznimne važnosti za stručnjake i profesionalce u području privatnosti i zaštite osobnih da pored dobrog poznavanja specifičnosti određene vrste poslovanja, načina kako organizacija funkcionira unutar sebe i tehnologije koje koristi, od ključnog je značenja izvrsno poznavanje zakonodavnog sustava te redovno praćenje propisa kako ne bi došlo do krivih uputa i smjernica te u konačnici krivih postupaka.

Zaključno, svaki pojedinac treba biti upoznat sa činjenicom da je GDPR nedjeljiv od domaćeg zakonodavnog okvira i da ga se ne može promatrati kao tzv. „samostalnu regulativu“ bez promatranja nacionalnih propisa te doslovno preslikavati kazne i postupke jedne zemlje članice EU na Hrvatsku ili drugu zemlju članicu EU.

Odbili dostaviti snimku točenja goriva - dobili kaznu od 940.000 kuna!

Agencija za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kazna u iznosu od 940.000,00 kuna društvu iz područja energetskog sektora (voditelj obrade) nakon što je došlo je do kršenje prava na pristup osobnim podacima odnosno nije omogućeno dobivanja kopije osobnih podataka podnositelja zahtjeva, kao jednog od temeljnih prava ispitanika zajamčenih Općom uredbom.

Do kršenja je došlo na način da je uskraćeno pravo na dobivanje kopije snimke videonadzorne kamere na kojoj se podnositelj zahtjeva nalazio prilikom točenja goriva na prodajnom mjestu tog Društva. Naime, osoba koja je točila gorivo na benzinskoj postaji zatražila je pristup svojim podacima a što je uključivalo kopiju snimke nadzorne kamere jer je bila nezadovoljna mjerenjem potrošnje natočenog goriva. Voditelj obrade prvotno je odbio pružiti tražene podatke jer je inzistirao na formalnom (pisanom) podnošenju zahtjeva te da svrha traženja pristupa podacima nije opravdana, piše Agencija za zaštitu osobnih podataka u obavijesti na svojoj web stranici.

U ovom slučaju bitno je istaknuti da kada se radi o ostvarivanju prava ispitanika, tvrtka (voditelj obrade) ne inzistira na određenom načinu podnošenja zahtjeva za ostvarivanje tih prava. Tvrtka može unaprijed imati pripremljene različite obrasce za ostvarivanje prava ispitanika, što je čak i preporuka ali oni služe samo kako bi se ispitanicima olakšao pristup njihovim podacima i omogućilo jednostavnije ostvarivanje njihovih prava. No, ukoliko se zahtjev postavi i na drugačiji način od onoga koji tvrtka preferira, npr. usmeno - takvom zahtjevu također se mora udovoljiti. Odnosno, neovisno na koji način će se zatražiti pristup osobnim podacima i njihova kopija po istome se treba postupati bez odgađanja i udovoljiti u roku 30 dana.

Nadalje, tvrtka je u svom obijanju zahtjeva kao jedan od razloga navela i to kako zahtjev za pristup podacima nije opravdan jer se isti traži radi provjere potrošnje goriva prilikom njegova točenja. Razlog iz kojeg netko traži pristup svojim osobnim podacima za tvrtku kao voditelja obrade nije relevantan. Svatko od nas može imati bilo koji razlog i isti nismo dužni navesti u svom zahtjevu. Međutim, ukoliko se određeni razlozi i navedu, tvrtka od koje se traži pristup podacima navedene razloge ne preispituje u kontekstu prihvaćanja ili odbijanja postavljenog zahtjeva.

Agencija za zaštitu osobnih podataka također navodi da nakon što je ista dala svoje mišljenje kako tvrtka treba pružiti tražene videozapise podnositelju zahtjeva, tvrtka nije postupila po istom već je navela da je rok pohrane videozapisa bio 7 dana nakon čega su isti obrisani i da stoga videozapisi više nisu dostupni. Agencija za zaštitu podataka ističe da je utvrđena ne samo neizravna materijalna šteta po podnositelja zahtjeva, već i moguća financijska korist Društva, koje je nedostavljanjem snimke te njezinim kasnijim brisanjem nakon proteka roka od sedam dana neizravno izbjeglo financijsku štetu koju je moglo pretrpjeti uslijed potrošačkog spora s podnositeljem zahtjeva, a nedostavljanjem snimke je eliminiralo moguće važan dokaz u posebnom postupku. Pri tome se naglašava kako nije ovlaštena utvrditi je li šteta zaista nastala te njezin iznos, međutim ako je pretrpljena šteta zbog kršenja Opće uredbe o zaštiti podataka ili ako postoji takva mogućnost, tada takvu činjenicu Agencija uzima u obzir prilikom procjene visine iznosa upravne novčane kazne.

Smije li nas poslodavac pretraživati na Facebooku?

Kada govorimo o obradi osobnih podataka u kontekstu radnih odnosa neovisno što je Opća uredba o zaštiti podataka stupila na snagu 2018. godine još uvijek u praksi nalazimo na brojne nejasnoće kao što je postupanje sa zamolbama i životopisima potencijalnih kandidata za zaposlenje ili provjera potencijalnih kandidata putem društvenih mreža. Takve podatke tvrtka u pravilu prikuplja onda kada objavi natječaj za određeno radno mjesto ili kada kandidati sami dostave otvorenu zamolbu.

Međutim, često se javlja pitanje smije li tvrtka zadržati životopise onih kandidata koji nisu izabrani na natječaju za slučaj da se u budućnosti ukaže potreba za takvim profilom zaposlenika. Odgovor je smije no, u takvim situacijama potrebno je prethodno utvrditi valjanu zakonitu osnovu za takvu obradu (npr. privola, legitimni interes), rok pohrane i neovisno koja će se zakonita osnova koristiti, potrebno je o toj obradi informirati potencijalne kandidate i omogućiti im ostvarivanje njihovih prava.

Danas zahvaljujući postojanju profila na društvenim mrežama poslodavci mogu imati i mogućnosti za prethodnu provjeru potencijalnih kandidata prikupljanjem informacija o njihovim prethodnim zaposlenjima, mišljenjima, interesima, navikama, kretanjima, stavovima i ponašanjima te na taj način mogu doći do podataka koji mogu utjecati na njihov konačan izbor kandidata.

Pregledavanje profila postojećih zaposlenika ili potencijalnih kandidata na društvenim mrežama ne bi se smjelo općenito provoditi. Međutim, isto nije u potpunosti isključeno.

Ponekad će biti opravdano da poslodavac temeljem svog legitimnog interesa izvrši provjeru potencijalnog kandidata i takvim putem. To će u pravilu biti onda kada je zbog prirode posla nužno da se informacije o kandidatu provjeravaju na društvenim mrežama, na primjer kako bi se procijenili posebni rizici povezani s kandidatima za određenu funkciju. Međutim, u tom slučaju potencijalni kandidat o tome treba biti na ispravan način informiran primjerice, u tekstu oglasa ili putem web stranice te mora imati mogućnost isticanja prigovora na takvu obradu bez negativnih posljedica. U slučaju kada isto izostane poslodavac neće moći formalno temeljiti svoju odluku na tako prikupljenim podacima. U protivnom potencijalni kandidat može istaknuti prigovor nadzornom tijelu. U slučaju kada nadzorno tijelo utvrdi povredu osobnih podataka tada kandidat ima i mogućnost pokretanja postupka radi utvrđivanja naknade štete pred nadležnim sudom.

Vodič kroz GDPR i obradu životopisa potencijalnih kandidata: OVDJE

Europski parlament sankcioniran zbog nezakonitog međunarodnog transfera

Međunarodni transfer osobnih podataka u Sjedinjene Američke Države (SAD) je moguć pod posebnim uvjetima. U pravilu, gdje se ne mogu osigurati odgovarajuće zaštitne mjere, prijenos osobnih podataka u SAD nije zakonit i podložan je sankciji. Kako su i subjekti u Hrvatskoj obvezni poslovati u skladu sa Općom uredbom (GDPR), nepridržavanje navedenom ih izlaže riziku od korektivnih mjera i administrativnih kazni zbog kršenja GDPR.

Europski parlament dobio je korektivnu mjeru nakon pritužbe Europskog centra za digitalna prava NOYB (None of Your Business) ne zbog samog korištenja Google analitike kako se to ponegdje naglašava, već radi korištenja više alata kojima se omogućuje identifikacija korisnika i pri tome se vrši transfer podataka u US.

Naime, EDPS objašnjava kako sukladno Izjavi 18. Uredbe 218/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

Google analitika sama po sebi ne omogućava nedvojbenu identifikaciju pojedinca bez korištenja posebnih tehnika iako dolazi do prikupljanja IP adrese. Međutim, uz korištenje kolačića Stripe koji se koristi pri elektroničkom plaćanju a koji također vrši transfer podataka u US, omogućuje se identifikacija korisnika. Iz tog razloga potebne su onda posebne mjere za transfer podataka u US i što se tiče kolačića Stripe i što se tiče Google analitike (jer kombinacijom dolazi do identifikacije) te je o tom prijenosu potrebno pružiti sve relevantne obavijesti i osigurati prava ispitanika u skladu s GDPR a isto nije učinjeno.

Naime, iako je utvrđeno da je došlo do pogreške prilikom postavljanja kolačića Stripe jer EU parlament nije provodio nikakvu vrstu plaćanja na stranici na kojoj su kolačići bili instalirani, Europski povjerenik utvrdio je da su ispitanici o takvoj obradi svejedno morali biti obaviješteni na ispravan način s obzirom da je kolačić bio instaliran, uključujući da su trebale biti predočene mjere koje se koriste u svrhu sigurnog transfera podataka u US i omogućiti ostvarivanje prava ispitanika sukladno GDPR. Pri tome je utvrđeno i više drugih propusta kao primjerice, pružanje više različitih obavijesti o obradi osobnih podataka, jezični prijevodi tih obavijesti također su se međusobno razlikovali, a podaci koji su se pružali nisu bili točni. Nije bilo omogućeno na ispravan način odbijaje kolačića, nisu bili utvrđeni rokovi brisanja podataka niti su bili navedeni primatelji podataka i drugo. EU parlament uklonio je sporne kolačiće, Stripe odmah po utvrđivanju a kasnije i Google analitiku jer ista prije svega nije potrebna za stranicu na kojoj su se koristili (pomoćna stranica-cijepljenje parlamentaraca).

Europski povjerenik neovisno o uklanjanju kolačića naložio je i uklanjanje svih ostalih nedostataka te pružanje ispravne obavijesti o obradi osobnih podataka i omogućavanje ostvarivanje prava ispitanika.

Odluku EU povjerenika pročitajte ovdje.

Evo zašto bismo trebali izvući pouku iz GDPR kazni za Google i Facebook

Francusko nadzorno tijelo za zaštitu podataka CNIL izreklo je Google-u novčanu kaznu u iznosu od 150 milijuna eura i Facebook-u novčanu kaznu u iznosu od 60 milijuna eura radi kolačića koji se prikupljaju na njihovim web stranicama izvijestio je TV kanal BFM. Naime, nakon provedene istrage CNIL je utvrdio da je na web stranicama facebook.com, google.fr i youtube.com nije moguće na jednako jednostavan način prihvatiti i odbiti kolačiće. Odnosno, prihvaćanje kolačića sastojalo se od jednog koraka, dok je proces odbijanja kolačića bio zahtjevniji.

CNIL - Commission Nationale de l'Informatique et des Libertés smatra da ovakav način prihvaćanja/odbijanja kolačića utječe na slobodu davanja privole. Isto obrazlaže da korisnici očekuju brzo i neometano pregledavanje web stranice, a činjenica da kolačiće ne mogu odbiti tako lako kao što ih mogu prihvatiti, utječe na slobodu njihovog izbora. Drugim riječima, na taj način korisnika se nepošteno navodi da prihvati kolačiće. To predstavlja kršenje članka 82. francuskog Zakona o zaštiti podataka. Uz novčane kazne, CNIL je naložio Google-u i Facebook-u da korisnicima interneta u Francuskoj u roku od 3 mjeseca omoguće jednako jednostavno odbijanje kolačića kao što je i prihvaćanje. U slučaju da ne postupe po nalogu CNIL-a u tom vremenskom roku, bit će kažnjeni u iznosu od 100 000 eura po danu kašnjenja, navodi AZOP.

Podsjetimo se, GDPR obvezuje da privola mora biti dobrovoljna, a osoba koja daje privolu prije njezinog davanja mora biti upoznata s davanjem svog pristanka i svim potrebnim informacijama o obradi osobnih podataka. Povlačenje privole mora biti jednostavno kao i njezino davanje te moguće u svakom trenutku.


Također, privola mora biti predočena na način da se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Onda kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora/usluge. Nepridržavanjm navedenog, svaki subjekt izlaže se riziku od korektivnih mjera i administrativnih novčanih kazni zbog kršenja GDPR i u Hrvatskoj.

Što su to kolačići?

Kolačići (cookies) su male datoteke koje Internet preglednik (eng. Web Browser) pohranjuje na naše računalo prilikom surfanja.  Obično se pohranjuju za vrijeme prvog posjeta nekom internetskom mjestu koji prikupljene informacije koristi za svoje potrebe koje mogu biti različite i ovise o namjeni kolačića. Tako, primjerice,  kolačići mogu prikupljati podatak koji je jezik posjetitelj odabrao za prikaz stranica kod višejezičnih mjesta, slijed posjećenih stranica kako bi korisnika mogao istim slijedom vraćati na stranice unatrag, popis artikala koje je korisnik ubacio u košaricu u Internet trgovini, do npr. IP adrese korisnika, da li koristi računalo ili mobilni uređaj, koliko dugo smo se zadržali na web stranici ili što smo pregledavali, i drugo. Najčešće se radi o informacijama koje omogućuju da imamo bolje iskustvo prilikom surfanja, pa tako primjerice, pri ponovnom dolasku na istu web stranicu ne moramo ponovno unositi pojedinosti.  U pravilu radi se o našim anonimnim informacijama a koje tvrtkama pružaju korisne informacije o ponašanju i navikama njihovih posjetitelja dok posjetiteljima omogućuju ugodnije surfanje.

Prvi kolačići koristili su se kako bi se utvrdilo jesu li posjetitelji već prije posjećivali internetsku stanicu. Razvio ih je 1994. godine zaposlenik Netscapea Lou Montulli i to kako bi košarice za online trgovinu bile moguće. Naime, svrha je bila stvoriti sistem koji omogućava pamćenje korisnikove mrežne košarice bez zauzimanja prostora na serveru. Prema njihovom mišljenju najbolji način je bio pohraniti ove podatke u korisnikov preglednik. I tako se rodila upotreba kolačića. Zašto su dobili naziv „kolačići“ (cookies) pravog objašnjenja nema, osim onog kako je na počecima programere način na koji se spremaju ti podaci podsjećao na način na koji se u kineskim restoranima spremaju njihovi kolačići sreće.

Stručni pogled: GDPR i prikupljanje e-mail adresa za slanje newslettera

Putem web stranice tvrtka može prikupljati e-mail adrese osoba zainteresiranih za svoje proizvode i usluge. U moru e-mail adresa kao što su ime.prezime@tvrtka.hr … tvrtka@tvrtka.hr … ime@gmail.com … često se javlja pitanje na koju od tih adresa tvrtka smije slati svoje promidžbene materijale povezane s tom uslugom temeljem legitimnog interesa a kada mora imati privolu. Privola će biti potrebna kada se radi o slanju newslettera na e-mail adrese fizičkih osoba jer isto propisuje nacionalni zakon dok ćemo u situacijama kada šaljemo newsletter na e-mail adrese pravnih osoba moći utvrditi i legitimni interes, a sama kontakt adresa pravne osobe nije zaštićena s GDPR. Naime, Opća uredba ne primjenjuje se na podatke pravnih osoba uključujući ime i oblik te kontaktne podatke. S druge strane svaki podatak koji se odnosi na fizičku osobu, bilo da djeluje u okviru svojih poslovnih aktivnosti ili ne, jest osobni podatak koji je zaštićen Općom uredbom.

Za svaku obradu osobnih podataka pa tako i za obradu u svrhu marketinga moramo imati jednu od šest zakonitih osnova. GDPR smatra da u slučaju izravnog marketinga tvrtka može obrađivati podatke na temelju legitimno interesa. Međutim, naši propisi strože nego sam GDPR reguliraju takvu obradu na način da je za slanje materijala u svrhu izravne promidžbe i prodaje potrebna privola osim kada se radi o pozivima usmjerenim prema pravnim osobama.

No, što to u praksi znači kada govorimo o izravnom marketingu i slanju newslettera najlakše ćemo objasniti na sljedećim primjerima.

1. E-MAIL ADRESA FIZIČKE OSOBE

Takva e-mail adresa osobni je podatak zaštićen GDPR-om. Međutim, osim GDPR takav podatak dodatno štite i nacionalni propisi koji određuju da je za slanje materijala u svrhu izravne promidžbe i prodaje potrebna privola korisnika te e-mail adrese.

2. KONTAKT E-MAIL ADRESA TVRTKE

Takva e-mail adresa npr. info@tvrtka.hr nije podatak zaštićen s GDPR.

3. POSLOVNA ADRESA TVRTKE ALI ODREĐENE OSOBE UNUTAR ORGANIZACIJE

Poslovna adrese tvrtke može u svojoj strukturu sadržavati ime i prezime zaposlenika npr. ime.prezime@tvrtka.hr ali i određenu poziciju unutar organizacije npr. dpo@tvrtka.hr a da se pri tome adresi može pripisati svojstvo osobnog podatka. Takva e-mail adresa zaštićena je GDPR-om kao osobni podatak jer se odnosi na točno određenu osobu koja djeluje unutar svojih poslovnih aktivnosti. Međutim, ista je izuzeta od primjene nacionalnog propisa koji zahtjeva privolu za slanje promidžbenih materijala s obzirom da se radi o pozivu prema pravnoj a ne fizičkoj osobi. Budući da je takav podatak zaštićen GDPR-om onda za njegovu obradu treba imati jednu od predviđenih šest zakonitih osnova Opće uredbe a što može biti i legitimni interes.

Primjerice, ako smo tvrtka koja pruža usluge poslovnim subjektima npr. usluge vanjskog službenika za zaštitu podataka onda je naša usluga i namijenjena pravnim osobama. U tom slučaju na svojim web stranicama prikupljamo poslovne e-mail adrese, obično uz dodatno navođenje točnog naziva tvrtke a moguće još i drugog poslovnog podatka. Sama struktura e-mail adrese biti će nam od manjeg značaja te ćemo imati osnove za utvrditi legitimni interes ukoliko namjeravamo slati newsletter osobama koje su zatražile naše usluge. Međutim, ukoliko pružamo uslugu/proizvod namijenjenu pretežito fizičkim osobama onda isto neće biti moguće i biti će nam potrebna privola u slučaju da kasnije želimo tim osobama slati newsletter ili druge materijale u svrhu prodaje i promidžbe.

Kroz navedene primjere napravljen je kratki presjek e-mail adresa za slanje newslettera i nastojalo se prikazati kako je sama struktura e-mail adrese u određenim okolnostima bitna no, neće biti i presudna da bi mogli odrediti da li nam je potrebna privola ili  možemo utvrditi  legitimni interes. U svakom pojedinom slučaju uvijek će biti potrebna oprezna procjena više elemenata pri utvrđivanju zakonite osnove.

GDPR & marketing: E-mail adrese za slanje newslettera

U vrijeme neprekinutog rasta Internet marketinga, newsletter je postao jedan od uobičajenih i najisplativiji mehanizam za stvaranje odnosa s novim korisnicima, ali i za izgradnju i održavanje povjerenja sa postojećim. Međutim, ukoliko takav mehanizam ne ispunjava zahtjeve koji proizlaze iz GDPR ono poslodavce može koštati u obliku novčanih kazni ali i naknada šteta.

E-mail adrese za slanje newslettera tvrtke najčešće prikupljaju putem svoje web stranice kada kupac ostavlja svoje e-mail u svrhu kupovine proizvoda (roba ili usluge) ili kada se interesira za neki od proizvoda tvrtke ili pak iz javno dostupnih izvora.

Da li je u takvoj situaciji nužno prikupiti privolu kako bi slanje newsletter bilo u skladu s GDPR?

Odgovor je ne.

Naime, GDPR smatra da postoji legitimni interes tvrtke ili drugog voditelja obrade za potrebe izravnog marketinga. Međutim, da bi takav interes bio opravdan on mora zadovoljiti određene uvjete.

U prvom redu, takav interes prethodno mora biti utvrđen temeljem provedenog testa razmjernosti. Zatim, moraju biti pružene sve relevantne informacije o obradi osobama čiji se podaci obrađuju i omogućiti im isticanje prigovora kao i upoznati ih sa pravima koje temeljem GDPR mogu ostvariti.

Prikupljanje e-mail adrese za slanje newslettera putem web stranice

Web stranica je mjesto putem kojeg tvrtka može nuditi svoje proizvode (roba ili usluge) ali i samo pružati informacije o svojim proizvodima kako bi potencijalne kupce zainteresirala za kupnju. Zbog toga često susrećemo formu za upis email adrese u svrhu primanja newslettera od tvrtke. Ipak, takva praksa često ne ispunjava očekivanja tvrtke u stvaranju željene baze kontakata, pa dio njih omogućuje dodatne pogodnosti uz koje nužno potrošač ostavlja svoj e-mail.

Primjeri toga mogu biti web forme za dogovaranje sastanka, slanje kataloga ili brošure tvrtke, probni period korištenja usluge i slično.

U navedenoj situaciji tvrtka ne mora tražiti izričiti pristanak osobe za slanje newslettera već može temeljem svog utvrđenog legitimnog interesa nastaviti obrađivati takvu e-mail adresu radi dostave obavijesti o svojim proizvodima sve dok takav interes postoji ili dok vlasnik e-mail adrese ne prigovori, te obradu ograniči ili je potpuno zabrani.

Naime, GDPR navodi da se može smatrati da postoji opravdan legitimni interes tvrtke (voditelja obrade) u slučaju odgovarajućeg relevantnog odnosa poput one kada je vlasnik podatka, u ovom slučaju e-mail adrese, klijent te tvrtke. Pri tome nije nužno da je osoba već kupila proizvod, dovoljno je da je iskazala interes i stupila interakciju koja može dovesti do konkretne kupnje.
Stoga ukoliko utvrdimo valjani legitimni interes, onda za slanje newslettera nije potrebno dodatno prikupljati privole osoba koje su putem web shopa kupile naš proizvod ili na web stranici uputile nam upit vezano za proizvode u našoj ponudi čime sebi znatno pojednostavljujemo poslovanje.

Prikupljanje e-mail adrese za slanje newslettera iz javno dostupnih izvora

Drugi čest slučaj je prikupljanje e-mail adresa za slanje newslettera iz javno dostupnih izvora temeljem utvrđenog legitimnog interesa tvrtke. Jednostavan primjer za takvu obradu daje nam Agencija za zaštitu osobnih podataka u slučaju kada tvrtka koja se bavi seminarima/edukacijama iz raznih područja želi uspostaviti novi marketinški kanal, koji bi obuhvatio službenike za zaštitu podataka u poslovnim subjektima.

Obrada bi se sastojala u slanju newslettera s edukacijskim sadržajima za službenike za zaštitu podataka. U ovom slučaju može se smatrati da je dostava takvih materijala od koristi za navedene primatelje. Također, službenici za zaštitu podataka mogu realno očekivati da će se njihova e-mail adresa preuzimati sa web stranica u svrhu kontaktiranja vezano za posao koji obavljaju.

Međutim, valjani legitimni interes tvrtka ne bi imala u slučaju da na tako prikupljene e-mail adrese službenika za zaštitu podataka šalje ponude za edukaciju u području npr. prodaje vozila ili knjigovodstva jer se isto ne može smatrati od važnosti za posao koji službenici obavljaju niti oni realno mogu očekivati da ih se kontaktira u vezi prodaje vozila ili knjigovodstva.

Obradu osobnih podataka u marketinške svrhe GDPR je već unaprijed predvidio i smatra ih opravdanim legitimnim interesom i stoga nije potrebna privola. No, da bi takav interes bio valjan, on nužno mora zadovoljiti određene uvjete i procedure. Uslijed nedovoljne jasnoće i neprimjerene usklađenosti sa GDPR, marketinška aktivnost zna se često provoditi ograničeno ili nezakonito. Da bi se to izbjeglo pravilna primjena GDPR u marketingu može biti korisni za rast čitavog poslovanja tvrtke.

Stručno mišljenje: Uvid u COVID-19 potvrde ne krši GDPR smjernice!

Posljednjih dana možemo čuti mnoga pozivanja na GDPR u kontekstu kontrole COVID potvrda. Temeljem Odluke o uvođenju posebne sigurnosne mjere obveznog testiranja dužnosnika, državnih službenika i namještenika u javnim službama, službenika i namještenika u lokalnoj i područnoj (regionalnoj) samoupravi te zaposlenika trgovačkih društava i ustanova Stožera civilne zaštite Republike Hrvatske potrebno je provoditi posebnu sigurnosnu mjeru testiranja na virus SARS-CoV2 prilikom dolaska na posao, najmanje dva puta u sedam dana. Istom Odlukom propisuje se da testiranje nije obavezno za osobe koje ispunjavaju uvjet cijepljenja ili prebolijevanja bolesti COVID-19 a što se dokazuje predočenjem EU digitalne COVID potvrde ili predočenjem drugog odgovarajućeg dokaza. Odluka Stožera ne nalaže evidentiranje i pohranjivanje takvih podatka.

Prema tome, uvidom u EU digitalnu COVID potvrdu ili drugi relevantni dokument ne dolazi do pohrane osobnih podataka te onda nema niti primjene Opće uredbe (Uvodna izjava 15 GDPR). Ako se podaci prikupljaju (zapisuju, kopiraju, slikaju ili dr.), a za to u Odluci stožera nema valjane svrhe, došlo bi do prekomjerne obrade osobnih podatka i kršenja Opće uredbe.

Međutim, postoje situacije kada poslodavci mogu imati opravdani interes i utvrditi valjanu svrhu za prikupljanje takvih podataka, kao primjerice u slučaju kada žele olakšati ili ubrzati provedbu posebne sigurnosne mjere. Tada sama Odluka stožera nije valjani temelj za prikupljanje i obradu podataka, te je potrebno utvrditi drugu zakonitu osnovu sukladno Općoj uredbi.

Što ukoliko se prikupljaju podaci o EU COVID potvrdama?

U tom su slučaju poslodavci dužni utvrditi točnu svrhu prikupljanja podataka i primijeniti jednu od iznimki načelne zabrane obrade posebnih kategorija osobnih podataka prema Općoj uredbi, kako bi takve podatke mogli zakonito prikupljati i obrađivati. Agencija za zaštitu osobnih podataka (AZOP) svojim priopćenjem daje preporuku da se koristi privola kao zakonita osnova.

S obzirom na uvjete koje je potrebno zadovoljiti da bi privola u kontekstu radnih odnosa bila valjana, osoba koja daje privolu mora biti upoznata da ima i alternativnu mogućnosti te da neće trpjeti bilo koje negativne posljedice ukoliko privolu ne želi dati.

Primjer: Ukoliko poslodavac u svrhu ubrzanja postupka provjere EU COVID potvrde zaposlenika pri njihovom dolasku na posao želi olakšati i pojednostaviti postupak na način da prikupi informacije o njihovoj EU COVID potvrdi te na taj način onda iste ne mora provjeravati svaki dan, to može učiniti temeljem pristanka (privole) zaposlenika. Međutim, radnicima mora biti omogućena i alternativna mogućnost odnosno, da imaju mogućnost svaki dan poslodavcu predočiti EU COVID potvrdu pri dolasku na posao bez da se podaci o EU COVID potvrdi evidentiraju ili bilježe.

Korištenjem privole kao zakonitog temelja za prikupljanje i obradu osobnih podataka potrebno je osobama čiji se podaci prikupljaju pružiti i obavijest o obradi osobnih podataka (čl.13 GDPR) i to podatke o voditelju obrade i službeniku za zaštitu podataka (ako je primjenjivo); o svrsi obrade i zakonitom temelju; o primateljima ako ih ima; o rokovima pohrane; kako osoba može ostvariti svoja prava; o pravu na podnošenje prigovora nadzornom tijelu, o postojanju prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena te druge potrebne informacije.