GDPR Cookie Consent by Free Privacy Policy

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke
PODACI
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.03.2021 / 20:07
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Opća uredba o zaštiti osobnih podataka kao svoj primarni cilj ima zadatak pružiti pojedincima bolju kontrolu i zaštitu nad svojim osobnim podacima.

Premda se određena razina mogla ostvariti i kroz dotadašnje zakonodastvo, ostvarenje takvog zahtjeva bilo je bitno otežano te je nerijetko zahtjevao odvjetnički angažman. Samim time ostvarenje zahtjeva nije bilo zajamčeno, ali znatni trošak spora jest.

Primjenom GDPR, svaki pojedinac može ostvariti svoja prava zajamčena s GDPR, bez financijske naknade, osim u posebno predviđenim slučajevima uz naknadu.

Iz nama poznate prakse znatna količina takvih zahtjeva se postavlja onda kada između pojedinca i tvrtke dođe do razmimoilaženja po sasvim drugoj osnovi na štetu pojedinca. To posebice dolazi do izražaja prilikom postavljanja zahtjeva za pristup osobnim podacima i kod zahtjeva za brisanjem (pravo na zaborav).

Tvrtke imaju tendenciju da operativne aktivnosti pojednostave kroz jasne upute, a formatiraju kroz interno kreirane standardizirane obrasce.
Kad je riječ o ostvarivanju prava ispitanika, tvrtke najčešće pribjegavaju obrascu na kojem pojedinac dostavlja nužne podatke o sebi u svrhu utvrđivanja identiteta te odabire vrstu zahtjeva. Prednosti takve standardizirane forme su jednostavnost provedbe aktivnosti u odjelima koji zaprimaju zahtjeve (npr. help desk, call centar, prodajni prostor itd) te njihovo daljnje izvršenje unutar tvrtke i prema vanjskim izvršiteljima.

U organizacijskoj strukturi tvrtke zaposlenici koji zaprimaju, evidentiraju i prosljeđuju ovakve zahtjeve interno na daljnje izvršavanje, nerijetko rješavaju i čitav niz drugih aktivnosti u live, telefonskoj ili e-mail komunikaciji s korisnicima. Kako bi sve te aktivnosti pravovremeno i točno izvršili, fokus zaposlenika je na jasnim uputama.

No, kako tvrtke ponekad reagiraju kada im takav zahtjev stigne mimo propisane interne upute, ilustrirat ćemo u nastavku teksta na tri primjera iz poslovne prakse:

1) Manje je poznato da pojedinac svoja prava ispitanika, zajamčena Općom uredbom, može zatražiti i bez ispunjavanja obrasca, čak i usmeno ako prilikom postavljanja zahtjeva tvrtka može utvrditi identitet.

Primjerice, ako korisnik nazove tvrtku i prođe identifikaciju kako bi prigovorio na iznos računa, te nezadovoljan objašnjenjem u istom razgovoru usmeno postavi zahtjev za brisanje po GDPR-u, ispunjeni su uvjeti da se zahtjev izvrši. Tvrtka ne može uvjetovati ostvarenje zatraženog Prava slanjem korisniku i njegovom dostavom ispunjenog standardiziranog obrasca. Svrha i osnova standardiziranog obrasca je identifikacija korisnika, a izbornik Prava olakšava tvrtki da zahtjev prikupi i izvrši na olakšavajući način.

Čak i ako postoje dvojbe oko utvrđivanja identiteta, tvrtka ne može ignorirati takav zahtjev, ali niti isključivo uvjetovati njegovo ostvarenje kreiranom formom, već dodatno identificirati pojedinca na manje invazivan način.

2) Standardizirani obrazac ispunjava obveze tvrtke prema Općoj uredbi u pogledu Prava ispitanika, ali s druge strane ne predstavlja maksimizaciju zahtjeva pojedinca. Primjerice, prava pojedinca su prilikom postavljanja zahtjeva za pristupom osobnim podacima šira od norme koje su tvrtke dužne ispuniti te ih tvrtka mora ispuniti samo ako ih pojedinac izričito zatraži. Konkretno, pojedinac ima pravo zatražiti i kopije dokumenata koje je tvrtka interno kreirala za svoje poslovne potrebe, a na kojima se nalaze osobni podaci pojedinca.

Primjerice, kad je Ciparsko nadzorno tijelo utvrdilo da je Ciparska banka bila dužna dostaviti klijentu presliku ugovora koji klijent ima s osiguravajućim društvom Eurolife ltd, a koji su isti trebali imati pohranjenog na temelju ugovornog odnosa koji osoba ima s Ciparskom bankom (NCn.: DSB-D122.844/0006-DSB/2018 od 17. lipnja 2020. godine). Kao rezultat nepravodobne dostave banci je izrečena novčana kazna.

Ukoliko bi dokument dijelom sadržavao podatke drugih pojedinaca ili poslovne tajne, tvrtka ne može za cijeli takav dokument koristiti izuzeće po navedenim osnovama, već treba napraviti procjenu ravnoteže i kada je to moguće osigurati traženo bez štetnog utjecaja na druge pojedince koji se spominju u dokumentu (npr. zatamniti dijelove dokumenta koji mogu štetiti drugim pojedincima), dok poslovna tajna mora imati pravni temelj te dodatno biti propisana internim protokolom ili statutom.

Primjer je slučaj belgijske bolnice prema kojoj je liječnica/zaposlenica zatražila pristup svojim podacima u revizijskom izvješću. Banka je odbila zahtjev po tri osnove, od kojih su dva bile ne dostava dokumenta jer sadrže podatke drugih osoba i jer sadrže poslovnu tajnu. Belgijsko Nadzorno tijelo je odbacilo objašnjenja (APD/GBA - 41/2020) jer je bolnica mogla adekvatno zaštiti prava drugih osoba zatamljenjem njihovih podataka ili slično.

3) Pristup osobnim podacima, kao jedno od Prava ispitanika, može biti indirektan I za konkretno određeni osobni podatak. U takvim situacijama ni pojedinac koji postavlja zahtjev niti tvrtke koje su dužne ga omogućiti pojedincu ne percipiraju inicijalno zahtjev s osnove prava ispitanika, već u drugu poslovnu svrhu Ali, kad tvrtka odbije dostaviti pojedini osobni podatak i ne ispuni poslovni zahtjev korisnika, može se naći u nepovoljnom položaju po drugoj osnovi – prema GDPR.

Primjer za to je slučaj Deichmanna u Mađarskoj kada je kupac, žaleći se da je prilikom kupnje dobio manji povrat novca, podnio prigovor i zatražio pregled video snimke (pristup osobnim podacima) u svrhu dokazivanja svoje tvrdnje. Tvrtka mu je odgovorila da pristup može dobiti samo policija temeljem pismenog zahtjeva. Dok je kupac zatražio zaštitu svojih prava od nadležnih tijela, snimak je već bio obrisan prema internoj proceduri tvrtke. Naime, tvrtka nije izuzela sporni snimak od redovnog procesa brisanja dok se ne riješi spor, te je Nadzorno tijelo utvrdilo da je, između ostaloga, i zbog brisanja videozapisa prije konačnog rješavanja zahtjeva ispitanika došlo do povrede GDPR i izreklo novčanu kaznu Deichmann-u u iznosu € 55700. (NAIH - NAIH-2020/2204/8)

Za dva mjeseca će se obilježiti tri godine od primjene Opće uredbe. Postoje tvrtke koje su inicijalnu prilagodbu poslovanja sa GDPR provele iz tadašnje pozicije znanja i iskustva primjene, te su je doživjele kao jednokratan posao. Kasnije održavanje potrebnog statusa prilagodbe sa GDPR i dodatne provjere koje odstupaju od inicijalnih uputa za rad smanjuju mogućnost da se tvrtka suoči sa neugodnostima i mogućim kaznama. Takvo održavanje usklađenosti, između ostalog, obuhvaća provjere postojećih primjena, reedukacija zaposlenika, ali i nova znanja i tumačenja Uredbe iz primjenjivih smjernica i preporuka Europskog odbora za zaštitu podataka I Europskog povjerenika za zaštitu podataka.

Tagovi: Opća uredba o zaštiti osobnih podataka, GDPR, osobni podaci, zaštita osobnih podataka, Deichmann, Ciparska banka
PROČITAJ I OVO
GDPR: Što znači nedavna kompromitacija osobnih podataka korisnika Facebooka i LinkedIna?
OSOBNI PODACI
GDPR: Što znači nedavna kompromitacija osobnih podataka korisnika Facebooka i LinkedIna?
KOLUMNA - Važno je shvatiti da u digitalnom okruženju privatnost u smislu tradicionalnog shvaćanja tog pojma nestaje i da svaki podatak koji smo podijeli može završiti u neželjenim rukama ili pak postati javni.
Hubei, najvažnija središnja kineska provincija
UČIMO KINU
Hubei, najvažnija središnja kineska provincija
KOLUMNA - Hubei ima 737 gradova, od kojih je najveći glavni grad Wuhan koji broji oko 11 milijuna stanovnika. To je najmnogoljudniji grad u središnjoj Kini i sedmi najveći grad u Kini. Preko noći postao je poznat cijelome svijetu...
Globalni zatvor i ubijanje virusa teškim naoružanjem
LOCKDOWN I POSLEDICE
Globalni zatvor i ubijanje virusa teškim naoružanjem
KOMENTAR - Virus će jednom nestati ovako ili onako, ali strašno će biti to društvo koje će on stvoriti, zapravo, koje je već stvorio. I to uz odobravanje mnogih koji su i sami sebe prijatno iznenadili svojim kapacitetom za oduševljeno prihvatanje Nenormalnog.
Zlato uzmiče pred bitcoinom
ZAŠTITA OD INFLACIJE
Zlato uzmiče pred bitcoinom
KOLUMNA - Tržište kriptovaluta i ovoga je tjedna donijelo poprilično uzbuđenja. Zanimljivo, najpopularnija kriptovaluta bitcoin ovoga puta nije bila u prvom planu.
Pandemijalci: Nezaposlenost i izgubljena COVID-19 generacija
IZGUBLJENA GENERACIJA
Pandemijalci: Nezaposlenost i izgubljena COVID-19 generacija
KOMENTAR - Mladi širom svijeta suočavaju se s ozbiljnim izazovima u obrazovanju, ekonomskom prosperitetu i mentalnom zdravlju.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE