GDPR Cookie Consent by Free Privacy Policy

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke
PODACI
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.03.2021 / 20:07
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Opća uredba o zaštiti osobnih podataka kao svoj primarni cilj ima zadatak pružiti pojedincima bolju kontrolu i zaštitu nad svojim osobnim podacima.

Premda se određena razina mogla ostvariti i kroz dotadašnje zakonodastvo, ostvarenje takvog zahtjeva bilo je bitno otežano te je nerijetko zahtjevao odvjetnički angažman. Samim time ostvarenje zahtjeva nije bilo zajamčeno, ali znatni trošak spora jest.

Primjenom GDPR, svaki pojedinac može ostvariti svoja prava zajamčena s GDPR, bez financijske naknade, osim u posebno predviđenim slučajevima uz naknadu.

Iz nama poznate prakse znatna količina takvih zahtjeva se postavlja onda kada između pojedinca i tvrtke dođe do razmimoilaženja po sasvim drugoj osnovi na štetu pojedinca. To posebice dolazi do izražaja prilikom postavljanja zahtjeva za pristup osobnim podacima i kod zahtjeva za brisanjem (pravo na zaborav).

Tvrtke imaju tendenciju da operativne aktivnosti pojednostave kroz jasne upute, a formatiraju kroz interno kreirane standardizirane obrasce.
Kad je riječ o ostvarivanju prava ispitanika, tvrtke najčešće pribjegavaju obrascu na kojem pojedinac dostavlja nužne podatke o sebi u svrhu utvrđivanja identiteta te odabire vrstu zahtjeva. Prednosti takve standardizirane forme su jednostavnost provedbe aktivnosti u odjelima koji zaprimaju zahtjeve (npr. help desk, call centar, prodajni prostor itd) te njihovo daljnje izvršenje unutar tvrtke i prema vanjskim izvršiteljima.

U organizacijskoj strukturi tvrtke zaposlenici koji zaprimaju, evidentiraju i prosljeđuju ovakve zahtjeve interno na daljnje izvršavanje, nerijetko rješavaju i čitav niz drugih aktivnosti u live, telefonskoj ili e-mail komunikaciji s korisnicima. Kako bi sve te aktivnosti pravovremeno i točno izvršili, fokus zaposlenika je na jasnim uputama.

No, kako tvrtke ponekad reagiraju kada im takav zahtjev stigne mimo propisane interne upute, ilustrirat ćemo u nastavku teksta na tri primjera iz poslovne prakse:

1) Manje je poznato da pojedinac svoja prava ispitanika, zajamčena Općom uredbom, može zatražiti i bez ispunjavanja obrasca, čak i usmeno ako prilikom postavljanja zahtjeva tvrtka može utvrditi identitet.

Primjerice, ako korisnik nazove tvrtku i prođe identifikaciju kako bi prigovorio na iznos računa, te nezadovoljan objašnjenjem u istom razgovoru usmeno postavi zahtjev za brisanje po GDPR-u, ispunjeni su uvjeti da se zahtjev izvrši. Tvrtka ne može uvjetovati ostvarenje zatraženog Prava slanjem korisniku i njegovom dostavom ispunjenog standardiziranog obrasca. Svrha i osnova standardiziranog obrasca je identifikacija korisnika, a izbornik Prava olakšava tvrtki da zahtjev prikupi i izvrši na olakšavajući način.

Čak i ako postoje dvojbe oko utvrđivanja identiteta, tvrtka ne može ignorirati takav zahtjev, ali niti isključivo uvjetovati njegovo ostvarenje kreiranom formom, već dodatno identificirati pojedinca na manje invazivan način.

2) Standardizirani obrazac ispunjava obveze tvrtke prema Općoj uredbi u pogledu Prava ispitanika, ali s druge strane ne predstavlja maksimizaciju zahtjeva pojedinca. Primjerice, prava pojedinca su prilikom postavljanja zahtjeva za pristupom osobnim podacima šira od norme koje su tvrtke dužne ispuniti te ih tvrtka mora ispuniti samo ako ih pojedinac izričito zatraži. Konkretno, pojedinac ima pravo zatražiti i kopije dokumenata koje je tvrtka interno kreirala za svoje poslovne potrebe, a na kojima se nalaze osobni podaci pojedinca.

Primjerice, kad je Ciparsko nadzorno tijelo utvrdilo da je Ciparska banka bila dužna dostaviti klijentu presliku ugovora koji klijent ima s osiguravajućim društvom Eurolife ltd, a koji su isti trebali imati pohranjenog na temelju ugovornog odnosa koji osoba ima s Ciparskom bankom (NCn.: DSB-D122.844/0006-DSB/2018 od 17. lipnja 2020. godine). Kao rezultat nepravodobne dostave banci je izrečena novčana kazna.

Ukoliko bi dokument dijelom sadržavao podatke drugih pojedinaca ili poslovne tajne, tvrtka ne može za cijeli takav dokument koristiti izuzeće po navedenim osnovama, već treba napraviti procjenu ravnoteže i kada je to moguće osigurati traženo bez štetnog utjecaja na druge pojedince koji se spominju u dokumentu (npr. zatamniti dijelove dokumenta koji mogu štetiti drugim pojedincima), dok poslovna tajna mora imati pravni temelj te dodatno biti propisana internim protokolom ili statutom.

Primjer je slučaj belgijske bolnice prema kojoj je liječnica/zaposlenica zatražila pristup svojim podacima u revizijskom izvješću. Banka je odbila zahtjev po tri osnove, od kojih su dva bile ne dostava dokumenta jer sadrže podatke drugih osoba i jer sadrže poslovnu tajnu. Belgijsko Nadzorno tijelo je odbacilo objašnjenja (APD/GBA - 41/2020) jer je bolnica mogla adekvatno zaštiti prava drugih osoba zatamljenjem njihovih podataka ili slično.

3) Pristup osobnim podacima, kao jedno od Prava ispitanika, može biti indirektan I za konkretno određeni osobni podatak. U takvim situacijama ni pojedinac koji postavlja zahtjev niti tvrtke koje su dužne ga omogućiti pojedincu ne percipiraju inicijalno zahtjev s osnove prava ispitanika, već u drugu poslovnu svrhu Ali, kad tvrtka odbije dostaviti pojedini osobni podatak i ne ispuni poslovni zahtjev korisnika, može se naći u nepovoljnom položaju po drugoj osnovi – prema GDPR.

Primjer za to je slučaj Deichmanna u Mađarskoj kada je kupac, žaleći se da je prilikom kupnje dobio manji povrat novca, podnio prigovor i zatražio pregled video snimke (pristup osobnim podacima) u svrhu dokazivanja svoje tvrdnje. Tvrtka mu je odgovorila da pristup može dobiti samo policija temeljem pismenog zahtjeva. Dok je kupac zatražio zaštitu svojih prava od nadležnih tijela, snimak je već bio obrisan prema internoj proceduri tvrtke. Naime, tvrtka nije izuzela sporni snimak od redovnog procesa brisanja dok se ne riješi spor, te je Nadzorno tijelo utvrdilo da je, između ostaloga, i zbog brisanja videozapisa prije konačnog rješavanja zahtjeva ispitanika došlo do povrede GDPR i izreklo novčanu kaznu Deichmann-u u iznosu € 55700. (NAIH - NAIH-2020/2204/8)

Za dva mjeseca će se obilježiti tri godine od primjene Opće uredbe. Postoje tvrtke koje su inicijalnu prilagodbu poslovanja sa GDPR provele iz tadašnje pozicije znanja i iskustva primjene, te su je doživjele kao jednokratan posao. Kasnije održavanje potrebnog statusa prilagodbe sa GDPR i dodatne provjere koje odstupaju od inicijalnih uputa za rad smanjuju mogućnost da se tvrtka suoči sa neugodnostima i mogućim kaznama. Takvo održavanje usklađenosti, između ostalog, obuhvaća provjere postojećih primjena, reedukacija zaposlenika, ali i nova znanja i tumačenja Uredbe iz primjenjivih smjernica i preporuka Europskog odbora za zaštitu podataka I Europskog povjerenika za zaštitu podataka.

Tagovi: Opća uredba o zaštiti osobnih podataka, GDPR, osobni podaci, zaštita osobnih podataka, Deichmann, Ciparska banka
PROČITAJ I OVO
Samo turizam Hrvata spašava
SEZONA KAO SUDBINA
Samo turizam Hrvata spašava
KOLUMNA - Dajmo im da troše! Kockarnice, sadržaji, butici, resorti za bogataše, kontinentalni turizam, raftinzi, kampovi. Toliko mogućnosti da tih 20% bude i više.
Doba opće digitalne kontrole
KONTROLA
Doba opće digitalne kontrole
KOMENTAR - Digitalni nadzor pojedinaca je opasnost - ali to se ne može izbjeći. Vrijeme opće digitalne kontrole je već počelo.
Njemačku muči inflacija, ali zarade kompanija širom svijeta ulijevaju povjerenje investitora
BEZ PESIMIZMA
Njemačku muči inflacija, ali zarade kompanija širom svijeta ulijevaju povjerenje investitora
ANALIZA - Nakon što već nekoliko mjeseci svjedočimo većoj razini inflacije u Sjedinjenim Državama, ona polako dolazi i u Europu, što pokazuju srpanjska inflacijska očitanja njemačkih pokrajina.
Drugi kvartal: Više stečajeva, ali i novoosnovanih tvrtki
GOSPODARSKI PREGLED
Drugi kvartal: Više stečajeva, ali i novoosnovanih tvrtki
ANALIZA - Unatoč nastavku pandemije koronavirusa, gospodarska aktivnost i broj aktivnih gospodarskih subjekata su u porastu u usporedbi s istim razdobljem protekle godine.
Kineski štapići
UČIMO KINU
Kineski štapići
KOLUMNA - 筷子 [kuàizi] iliti štapići za jelo su tradicionalni pribor za jelo koji se koristi u paru i jednake je veličine – standardno oko 20 cm no, ako se radi o onima za kuhanje, mogu biti i između 30 – 40 cm.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE