GDPR Cookie Consent by Free Privacy Policy

Tri znaka da tvrtka ne posluje u skladu s GDPR

Tri znaka da tvrtka ne posluje u skladu s GDPR
GDPR
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 19.07.2021 / 18:25
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Danas u Hrvatskoj se može susresti široka lepeza tvrtki s obzirom na razinu usklađenosti s GDPR.

Premda je više od tri godine u primjeni, trenutno još ne postoji javno dostupna analiza o omjerima subjekata koji sustavno i redovito provode GDPR u potrebnoj razini, a koliki je udio onih koji to ne čini dovoljno ili oni koji nisu nikada prilagođavali svoje poslovanje s GDPR.

Slijedeći znakovi jasno upućuju da poslovanje nije u dovoljnoj mjeri ili nije uopće usklađeno s GDPR:

1) NALJEPNICA ZA VIDEONADZOR

Kod uspostave videonadzora, između ostalog, jasno isticanje valjane obavijesti koja sadržava sve potrebne informacije je iznimno važno. Da bi naljepnica bila valjana treba sadržavati sljedeće informacije:
• oznaku da je prostor pod videonadzorom
• podatke o voditelju obrade: puni naziv i sjedište
• kontakt podatke: može biti generičke naravi (npr: info@tvrtka.hr, suvlasnicizgrade@gmail.com …)
• svrhu obrade: zaštita osoba i imovine
• pravnu osnovu: legitimni interes
• prava ispitanika i druge obavijesti o obradi: potrebno je navesti prava koja osoba može ostvariti, međutim preporuka je samo navesti ta prava bez dodatnog objašnjenja kako bi se izbjeglo nagomilavanje informacijama i kako se ne bi smanjila preglednost obavijesti a na što ukazuju i same Smjernice o transparentnosti obrade Radne skupine za zaštitu podataka iz članka 29.
Detaljnije informacije o pravima i druge obavijesti o obradi, preporuka je pružiti u dugom sloju npr. u Politici privatnosti na web stranici ili na drugom odgovarajućem mjestu te je u tom slučaju u obavijesti potrebno navesti gdje je to drugo odgovarajuće mjesto gdje se nalaze cjelovite informacije, na što ukazuje i Agencija za zaštitu osobnih podataka u svojim uputama i preporukama.

U slučaju da prostor pod videonadzorom nije označen naljepnicom ili je označen sa naljepnicom koja ne sadržava sve obvezne informacije, propisane su novčane kazne i do 50.000,00 kn.

2) PRAVILA PRIVATNOSTI WEB STRANICE

Kada se putem web stranice prikupljaju i obrađuju osobni podaci, tada je potrebno na adekvatan način informirati posjetitelja web stranice. Takva obavijest, između ostalog, mora biti:
• zasebna od ostalih dokumenata na web stranici (npr. Općih uvjeta poslovanja, Uvjeta korišetanja i sl.)
• jasno prepoznatljiva u nazivu (npr. Pravila privatnosti, Politika privatnosti, Obavijest o zaštiti osobnih podataka i sl)
• informiranost o obradi osobnih podataka samo putem web stranice, a ne cijele tvrtke. Međutim, potrebno je naglasiti da voditelj obrade u takvu politiku može uključiti dodatne informacije koje se tiču obrada temeljem legitimnog interesa voditelja obrade kao što je to, primjerice, videonadzor.
• dostupna direktnim linkom za cijelo vrijeme boravka na web stranici
• Pored linka na obavijest može stajati link: “Pročitao sam”, “Razumijem”ili “Shvatio sam”, ali ne smije stajati “Pristajem”. Forma “pristajem” podrazumijeva privolu koja je u tom slučaju ne zakonita i predstavlja “prisilu” koja je strogo zabranjena. Također, Politika privatnosti web stranice jest prije svega obavijest o obradi osobnih podtaka na toj web stranici a što je dužnost voditelja obrade da informira o obradi koje provodi te korištenje web stranice ne može ovisiti o “prihvačanju” takve politike.
Kada je najmanje jedna od navedenih nužnosti u suprotnosti sa gore opisanim, može se zaključiti da ni poslovanje tvrtke nije dovoljno usklađeno sa GDPR.
Nadalje, putem pravila privatnosti potrebno je pružiti slijedeće informacije a koje su primjenjive:
• o voditelju obrade, sjedištu, kontakt
• kontakt službenika za zaštitu podataka
• vrsta osobnih podataka koja se prikuplja
• svrha i pravni temelj za obradu svakog od podataka koji se prikuplja
• obavijest o tome da li postoji obveza pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže (npr. u slučaju postavljanja upita putem kontakt forme, e-mail adresa može biti obvezni podatak koji se prikuplja radi dostave odgovora. U slučaju ne pružanja e-mail adrese moguća posljedica može biti ne pružanje traženog odgovora.)
• primatelje ili kategorije primatelja podataka
• namjera da se podaci transferiraju u treće zemlje i obavijest o tome
• razdoblje u kojem će se podaci pohranjivati i kriteriji kojima se utvrdilo to razdoblje
• obavijestiti o obradi temeljem legitimnog interesa
• postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka
• ako se pojedina obrada temelji na privoli tada je otrebno pružiti obavijest o postojanju prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena
• pravo na podnošenje prigovora nadzornom tijelu
• izvor osobnih podataka ako se neki od podataka ne prikuplja direktno od ispitanika i, prema potrebi, dolaze li iz javno dostupnih izvora
Pravila privatnosti nije statični dokument. Svaka promjena ili unaprijeđenje funkcionalnosti web stranice bi trebalo pratiti i ažuriranje pravila privatnosti. Kada Pravila privatnosti ne slijede sadržaj web stranice u pogledu prikupljanja i obrade osobnih podataka tada isto ukazuje na nedovoljnu usklađenost s GDPR.

3) POLITIKA KOLAČIĆA

Informiranje o kolačićima je potrebno kada se na web stranici koriste kolačići koji nisu nužni za funkcioniranje stranice. Ako se koriste nefunkcionalne skupine kolačići za analitiku i marketing, takvu obavijest je potrebno prikazati i zatražiti dozvolu za njihovo korištenje. Najčešći primjer dobre prakse je forma sa granuliranim prikazom i praznom kućicom za svaku vrstu nefunkcionalnih kolačića. Posjetitelj sam odlučuje o odabiru nefunkcionalnih kolačića.
Kada u praksi naiđemo na jedan od slijedećih primjera, možemo reći da tvrtka nije postigla potrebnu razinu usklađenosti:
• Nema obavijesti kojom se pruža mogućnost prihvaćanja ili odbijanja kolačića koji nisu nužni za funkcioniranje stranice
• Postoji obavijest kojom se pruža mogućnost prihavćanja ili odobijanja kolačića ali je u takvoj obavijesti već predefinirano označeno prihvaćanje kolačića
• Nema obavijesti kojom se inoformira o korištenju kolačića – Politika kolačića
Kao i u slučaju Pravila privatnosti, Politika kolačića ne može biti integralni dio bilo kojih drugih dokumenata, već zasebna obavijest koja je postavljena uz Politiku privatnosti.
Link za mijenjanje postavki kolačića trebala bi biti dostupni za cijelo trajanja korištenja web stranice sukladno relevantnim Smjernicama, a u slučaju bilo kojih promjena, Politiku je potrebno ažurirati.
Razlozi što još uvijek postoje ovakvi primjeri u praksi nisu jednoznačni. Međutim, može se uočiti da je svijest o zaštiti podataka i potrebi usklađivanja s GDPR svakim danom sve veća i da je takvih primjera sve manje. U slučaju da je jedan od ovakvih primjera i vaš primjer, jednostavno i brzo dostupno rješenje može biti GDPR revizija trenutnog stanja dijela ili cjelokupnog poslovanja tvrtke s prijedlogom potrebnih promjena. Na taj način se brzo i učinkovito anuliraju mogući i jasno vidljivi rizici za poslovanje svake tvrtke.

Tagovi: GDPR, politika kolačića, pravila privatnosti web stranice, službenik za zaštitu podataka, Opća uredba o zaštiti podataka, lanac nabave, proces nabave
PROČITAJ I OVO
Ranjivost kulturnog sektora u jugoistočnoj Europi
KULTURA I PANDEMIJA
Ranjivost kulturnog sektora u jugoistočnoj Europi
KOLUMNA - Pomoć od strane asocijacija, mreža i drugih vidova organiziranja podrške poput crowdfundinga bilo je najviše prisutno u Srbiji (49 %), zatim u Sloveniji (45,1 %) i u Hrvatskoj (36,4 %) .
Panika na tržištima, karte se iznova miješaju
VIRUS I TRŽIŠTA
Panika na tržištima, karte se iznova miješaju
KOLUMNA - Kad se već činilo da su financijska tržišta otporna na koronu, val rasprodaja pogodio je gotovo sve vrste imovine u petak.
Pristajete li na društvo građana prvog i drugog reda?
SUMORNA BUDUĆNOST
Pristajete li na društvo građana prvog i drugog reda?
KOLUMNA - Koje god bilo naše osobno mišljenje o cjepivu, jednostavno moramo zastupati načelo ''Audiatur et altera pars'' – ''Neka se čuje i druga strana!''
Živimo u čudnim vremenima; sad i iz Goldman Sachsa upozoravaju na - pohlepu
NEOBIČNO
Živimo u čudnim vremenima; sad i iz Goldman Sachsa upozoravaju na - pohlepu
KOLUMNA -  David Solomon, prvi čovjek Goldman Sachsa, boji se da na tržištima trenutno ima previše pohlepe, što nije dobro za Wall Street.
Odlična godina za Krku i slovenske osiguravatelje
SLOVENSKI BLUE CHIPOVI
Odlična godina za Krku i slovenske osiguravatelje
KOLUMNA - U razdoblju negativnih kamatnih stopa, bankovnih nameta i većeg rasta gotovo svih cijena, određeni stupanj "zaklona" davalo je vrlo stimulativno poslovanje velikih slovenskih burzovnih društava kao što su Krka, Grupa Triglav, Sava Re i Petrol.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE