Kako do povjerenika za zaštitu podataka
Jutro s GDPR-om Tvrtke imaju nove službenike koji dolaze i na sastanke menadžmenta
Hrvatski telekom i Ina već spremni za opću uredbu, brokerske kuće kažu da nema značajne promjene
UHrvatskoj i svim ostalim zemljama članicama EU počela se primjenjivati Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation, GDPR), a što znači novu obvezu za mnoge tvrtke, odnosno pojačanu brigu o osobnim podacima korisnika, klijenata ili zaposlenika. Pod osobne podatke spada cijeli niz informacija ime, adresa, email adresa, IP i MAC adresa, GPS lokacija, fotografija, OIB, biometrijski podaci, genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o zdravlju, a nepoštivanje tih odredbi povlači velike kazne.
Odsad se u svakom trenutku mora znati gdje se nalaze ti podaci i u koju svrhu se smiju koristiti, o če- mu će brinuti imenovani službenici za zaštitu osobnih podataka (Data protection officer, DPO). Odluku o tome hoće li odrediti DPO donosi svaka tvrtka ponaosob. Naime, nadzorno tijelo, Agencija za zaštitu osobnih podataka (AZOP), nema ovlasti nalagati tvrtkama angažman DPOa, već one same moraju proučiti Opću uredbu o zaštiti podataka i utvrditi trebaju li imenovati službenika. Kako nam je rečeno u Agenciji, “službenika je dužno imenovati svako tijelo javne vlasti (bez obzira na to koje podatke obrađuju), a ostali samo ako obrada podataka nosi neki rizik. Obveznici primjene su udruge, poduzetnici, svi oni koji prikupljaju i obrađuju podatke fizičkih osoba. Svi ti subjekti moraju utvrditi koje osobne podatke prikupljaju, temeljem kojih propisa, koliko dugo se te podatke čuva, šalje li ih trećim stranama, tko ima pristup bazama podataka, šalje li se izvan EU...” Dosad su u RH sličnu obvezu imale sve tvrtke s više od 20 zaposlenih, što nije bilo dobro riješeno jer su tu onda ulazili i, primjerice, veliki frizerski saloni, dok neke male tvrtke koje barataju osjetljivim podacima (npr. medicinski laboratoriji, web prodaja) to nisu bili dužni.
U Smjernicama o službenicima za zaštitu podataka ne navodi se koje bi stručne kvalifikacije trebalo razmotriti pri imenovanju službenika za zaštitu podataka, “no neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka.
Osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku. Važno je da je službenik za zaštitu podataka u organizaciji prihvaćen kao partner u raspravi te da bude dio relevantnih radnih skupina koje se bave obradom podataka. Slijedom toga, organizacija bi se trebala pobrinutida je taj službenik pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva”.
Gdje naći takav kadar, postoje li popisi ovlaštenih osoba, kao za stečajne upravitelje? Nije predviđen popis ili registar službenika za zaštitu osobnih podataka (DPO). Također, Uredba ne propisuje posebno ovlaštenje za obavljanje te funkcije, u smislu certifikata ili uređenja djelatnosti na drugi način”, rečeno nam je u HGK. Na pitanje koliko će biti trošak prilagodbe tvrtki na novi sustav, kažu: “obzirom na postojeće stanje prilagodbe, svakako će nastati povećani troškovi, dok je opseg troškova u ovom trenutku nepoznat, posebno s obzirom na činjenicu kako je implementacija u većem diobrada jelu tek počela. Trošak prilagodbe ovisi o opsegu obrade osobnih podataka, načinu i vrsti obrade. Uredba predviđa organizacijske i tehničke mjere zaštite prilikom obrade osobnih podataka. S tim u vezi, postojeći IT sustavi, ponovno ovisno obradi i opsegu osobnih podataka, mogu biti dostatni. Također, implementacija novih sustava može biti skupa, posebno ako se temelji na privolama za koje je potrebno ustanoviti sustav upravljanja. Ovisi i o poslovnim procesima voditelja obrade, kao i eventualnim rizicima koji se identificiraju tijekom obrade”. Neke tvrtke organiziraju GDPR radionice i seminare, no njihovo pohađanje ne znači i osposobljavanje za DPO.
Renata Preložnjak, voditeljica odjela Edukacije i ra- TÜV Croatia d.o.o. – TÜV NORD GROUP, kaže: “u pravilu naše su radionice popunjene do zadnjeg mjesta. Iz iskustva i povratnih informacija od polaznika koji su mahom iz mikro, malih i srednjih poduzeća te iz ordinacija medicine rada i domova zdravlja – ljudima ništa nije jasno… Nakon naših radionica polaznici su manjeviše sposobni samostalno uskladiti se s Uredbom. DPOa ne moraju imati sve tvrtke već samo javne službe i svi koji u svojoj djelatnosti imaju registrirano prikupljanje informacija (teleoperateri, banke, javne tvrtke, državne tvrtke), dok sve ostale organizacije moraju imati voditelja obrade koji bi trebao proći obuku ili oblik edukacije za GDPR. U tom slučaju sve te organizacije mogu donijeti odluku o neimenovanju DPOa jer im po djelatnosti nije potreban”. Iako u AZOPu ističu kako su njihovi zaposleni- ci dosad obavili više od 200 edukativnih stručnih skupova, objavili vodič i razvili mobilnu aplikaciju, Preložnjak kaže da je agencija “vrlo tiho pokrenula kampanju vezanu uz GDPR. Doneseni zakon samo je blijeda slika uredbe i uglavnom se osvrće na ulogu AZOPa i na glavne točke uredbe”.
Velike kompanije pripremile su se za GDPR. “Hrvatski telekom funkciju službenika za zaštitu osobnih podataka (DPO) ima od 2006. Već od 2009. DPO funkcija je ustrojena u skladu sa zahtjevima GDPRa. Od iste godine DPO HTa je Darja Lončar Dušanović, pravnica koja se niz godina bavi zaštitom osobnih podataka u praksi i znanstveno, magistrirala je međunarodno poslovno pravo na CEU te je doktorandica Pravnog fakulteta Sveučilišta u Rijeci upravo iz područja zaštite osobnih podataka. U Ini je službenicom za zaštitu osobnih podataka imenovana Nives Troha.
“INA ozbiljno shvaća zaštitu osobnih podataka i poduzima sve potrebne tehničke i organizacijske mjere u skladu s najboljom praksom i obvezama koje propisuju hrvatski zakoni i Opća uredba o zaštiti podataka GDPR. Kako bi se ostvarili navedeni regulatorni zahtjevi, unutar naše kompanije angažirano je više različitih odjela, čime je osiguran multidisciplinaran pristup očuvanju i zaštiti privatnosti naših kupaca, partnera, kandidata za zapošljavanje i drugih osoba. Pritom redovito educiramo svoje zaposlenike”, rečeno nam je u Ini.
NAJVIŠE INTERESA ZA GDPR EDUKACIJE JE IZ MALIH I MIKRO TVRTKI TE MEDICINSKIH ORDINACIJA GDJE NAĆI KADAR ZA DPO, SVAKAKO NE POSTOJE NEKI POPISI, REGISTRI OVLAŠTENIH OSOBA, KAO ZA STEČAJNE UPRAVITELJE