GDPR Cookie Consent by Free Privacy Policy

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke

GDPR: Ostvarivanje prava ispitanika kroz poslovni proces tvrtke
PODACI
SEEbiz.eu - regionalni poslovni portal
Objavljeno: 24.03.2021 / 20:07
Autor: Ines i Marko Krečak, Centar Feralis
KOLUMNA - Opća uredba o zaštiti osobnih podataka kao svoj primarni cilj ima zadatak pružiti pojedincima bolju kontrolu i zaštitu nad svojim osobnim podacima.

Premda se određena razina mogla ostvariti i kroz dotadašnje zakonodastvo, ostvarenje takvog zahtjeva bilo je bitno otežano te je nerijetko zahtjevao odvjetnički angažman. Samim time ostvarenje zahtjeva nije bilo zajamčeno, ali znatni trošak spora jest.

Primjenom GDPR, svaki pojedinac može ostvariti svoja prava zajamčena s GDPR, bez financijske naknade, osim u posebno predviđenim slučajevima uz naknadu.

Iz nama poznate prakse znatna količina takvih zahtjeva se postavlja onda kada između pojedinca i tvrtke dođe do razmimoilaženja po sasvim drugoj osnovi na štetu pojedinca. To posebice dolazi do izražaja prilikom postavljanja zahtjeva za pristup osobnim podacima i kod zahtjeva za brisanjem (pravo na zaborav).

Tvrtke imaju tendenciju da operativne aktivnosti pojednostave kroz jasne upute, a formatiraju kroz interno kreirane standardizirane obrasce.
Kad je riječ o ostvarivanju prava ispitanika, tvrtke najčešće pribjegavaju obrascu na kojem pojedinac dostavlja nužne podatke o sebi u svrhu utvrđivanja identiteta te odabire vrstu zahtjeva. Prednosti takve standardizirane forme su jednostavnost provedbe aktivnosti u odjelima koji zaprimaju zahtjeve (npr. help desk, call centar, prodajni prostor itd) te njihovo daljnje izvršenje unutar tvrtke i prema vanjskim izvršiteljima.

U organizacijskoj strukturi tvrtke zaposlenici koji zaprimaju, evidentiraju i prosljeđuju ovakve zahtjeve interno na daljnje izvršavanje, nerijetko rješavaju i čitav niz drugih aktivnosti u live, telefonskoj ili e-mail komunikaciji s korisnicima. Kako bi sve te aktivnosti pravovremeno i točno izvršili, fokus zaposlenika je na jasnim uputama.

No, kako tvrtke ponekad reagiraju kada im takav zahtjev stigne mimo propisane interne upute, ilustrirat ćemo u nastavku teksta na tri primjera iz poslovne prakse:

1) Manje je poznato da pojedinac svoja prava ispitanika, zajamčena Općom uredbom, može zatražiti i bez ispunjavanja obrasca, čak i usmeno ako prilikom postavljanja zahtjeva tvrtka može utvrditi identitet.

Primjerice, ako korisnik nazove tvrtku i prođe identifikaciju kako bi prigovorio na iznos računa, te nezadovoljan objašnjenjem u istom razgovoru usmeno postavi zahtjev za brisanje po GDPR-u, ispunjeni su uvjeti da se zahtjev izvrši. Tvrtka ne može uvjetovati ostvarenje zatraženog Prava slanjem korisniku i njegovom dostavom ispunjenog standardiziranog obrasca. Svrha i osnova standardiziranog obrasca je identifikacija korisnika, a izbornik Prava olakšava tvrtki da zahtjev prikupi i izvrši na olakšavajući način.

Čak i ako postoje dvojbe oko utvrđivanja identiteta, tvrtka ne može ignorirati takav zahtjev, ali niti isključivo uvjetovati njegovo ostvarenje kreiranom formom, već dodatno identificirati pojedinca na manje invazivan način.

2) Standardizirani obrazac ispunjava obveze tvrtke prema Općoj uredbi u pogledu Prava ispitanika, ali s druge strane ne predstavlja maksimizaciju zahtjeva pojedinca. Primjerice, prava pojedinca su prilikom postavljanja zahtjeva za pristupom osobnim podacima šira od norme koje su tvrtke dužne ispuniti te ih tvrtka mora ispuniti samo ako ih pojedinac izričito zatraži. Konkretno, pojedinac ima pravo zatražiti i kopije dokumenata koje je tvrtka interno kreirala za svoje poslovne potrebe, a na kojima se nalaze osobni podaci pojedinca.

Primjerice, kad je Ciparsko nadzorno tijelo utvrdilo da je Ciparska banka bila dužna dostaviti klijentu presliku ugovora koji klijent ima s osiguravajućim društvom Eurolife ltd, a koji su isti trebali imati pohranjenog na temelju ugovornog odnosa koji osoba ima s Ciparskom bankom (NCn.: DSB-D122.844/0006-DSB/2018 od 17. lipnja 2020. godine). Kao rezultat nepravodobne dostave banci je izrečena novčana kazna.

Ukoliko bi dokument dijelom sadržavao podatke drugih pojedinaca ili poslovne tajne, tvrtka ne može za cijeli takav dokument koristiti izuzeće po navedenim osnovama, već treba napraviti procjenu ravnoteže i kada je to moguće osigurati traženo bez štetnog utjecaja na druge pojedince koji se spominju u dokumentu (npr. zatamniti dijelove dokumenta koji mogu štetiti drugim pojedincima), dok poslovna tajna mora imati pravni temelj te dodatno biti propisana internim protokolom ili statutom.

Primjer je slučaj belgijske bolnice prema kojoj je liječnica/zaposlenica zatražila pristup svojim podacima u revizijskom izvješću. Banka je odbila zahtjev po tri osnove, od kojih su dva bile ne dostava dokumenta jer sadrže podatke drugih osoba i jer sadrže poslovnu tajnu. Belgijsko Nadzorno tijelo je odbacilo objašnjenja (APD/GBA - 41/2020) jer je bolnica mogla adekvatno zaštiti prava drugih osoba zatamljenjem njihovih podataka ili slično.

3) Pristup osobnim podacima, kao jedno od Prava ispitanika, može biti indirektan I za konkretno određeni osobni podatak. U takvim situacijama ni pojedinac koji postavlja zahtjev niti tvrtke koje su dužne ga omogućiti pojedincu ne percipiraju inicijalno zahtjev s osnove prava ispitanika, već u drugu poslovnu svrhu Ali, kad tvrtka odbije dostaviti pojedini osobni podatak i ne ispuni poslovni zahtjev korisnika, može se naći u nepovoljnom položaju po drugoj osnovi – prema GDPR.

Primjer za to je slučaj Deichmanna u Mađarskoj kada je kupac, žaleći se da je prilikom kupnje dobio manji povrat novca, podnio prigovor i zatražio pregled video snimke (pristup osobnim podacima) u svrhu dokazivanja svoje tvrdnje. Tvrtka mu je odgovorila da pristup može dobiti samo policija temeljem pismenog zahtjeva. Dok je kupac zatražio zaštitu svojih prava od nadležnih tijela, snimak je već bio obrisan prema internoj proceduri tvrtke. Naime, tvrtka nije izuzela sporni snimak od redovnog procesa brisanja dok se ne riješi spor, te je Nadzorno tijelo utvrdilo da je, između ostaloga, i zbog brisanja videozapisa prije konačnog rješavanja zahtjeva ispitanika došlo do povrede GDPR i izreklo novčanu kaznu Deichmann-u u iznosu € 55700. (NAIH - NAIH-2020/2204/8)

Za dva mjeseca će se obilježiti tri godine od primjene Opće uredbe. Postoje tvrtke koje su inicijalnu prilagodbu poslovanja sa GDPR provele iz tadašnje pozicije znanja i iskustva primjene, te su je doživjele kao jednokratan posao. Kasnije održavanje potrebnog statusa prilagodbe sa GDPR i dodatne provjere koje odstupaju od inicijalnih uputa za rad smanjuju mogućnost da se tvrtka suoči sa neugodnostima i mogućim kaznama. Takvo održavanje usklađenosti, između ostalog, obuhvaća provjere postojećih primjena, reedukacija zaposlenika, ali i nova znanja i tumačenja Uredbe iz primjenjivih smjernica i preporuka Europskog odbora za zaštitu podataka I Europskog povjerenika za zaštitu podataka.

Tagovi: Opća uredba o zaštiti osobnih podataka, GDPR, osobni podaci, zaštita osobnih podataka, Deichmann, Ciparska banka
PROČITAJ I OVO
Medvjedi su kapitulirali, umjetna inteligencija u fokusu optimista
NOVI REKORDI
Medvjedi su kapitulirali, umjetna inteligencija u fokusu optimista
KOLUMNA - Wall Street je ovaj tjedan oprezniji, za nove je rekorde ponestalo snage. Na robnom tržištu ističe se izniman rast kakaovca.
Tehnološki divovi više nisu sami, indekse podižu i ova tri sektora
OPTIMIZAM
Tehnološki divovi više nisu sami, indekse podižu i ova tri sektora
KOLUMNA -  Wall Street je s velikim entuzijazmom pozdravio sastanak Feda i obvezu smanjenja kamatnih stopa tri puta ove godine. Indeks S&P 500 porastao je 2,3 posto, što predstavlja najveći tjedni rast ove godine.
Koje investicije će ove godine biti u fokusu?
FINANCIJSKA TRŽIŠTA
Koje investicije će ove godine biti u fokusu?
ANALIZA - Nije tajna da se očekuje da će ključne globalne središnje banke ove godine početi snižavati ključne kamatne stope. Švicarska narodna banka (SNB) je to već učinila ovaj tjedan, a britanska (BoE) i američka (Fed) su na putu da to učine, prema njihovim ovotjednim najavama.
Dionice Tesle tonu, a pada i tržišni udjel
NA UDARU
Dionice Tesle tonu, a pada i tržišni udjel
KOLUMNA - Neiskusni investitori vjerojatno ne razumiju što znači kada je investicija rizična i nestabilna. Oni vide samo potencijal za beskrajni rast. Pjevaju hit iz 80-ih The Only Way Is Up i sanjaju da će ulozi uskoro biti 10 puta veći.
Psihološka nesigurnost može biti velika prepreka u poslu; evo nekoliko dobrih savjeta
KAKO PREVLADATI PROBLEME?
Psihološka nesigurnost može biti velika prepreka u poslu; evo nekoliko dobrih savjeta
ANALIZA - Mnogi od vas koji tek stupaju u svijet rada, oni koji imaju još uvijek nedovoljno iskustvo ili pak oni koji ulaze u poduzetničke vode, zasigurno su se suočili s fenomenom kojeg nikako ne bismo mogli nazvati rijetkim, posebno u posljednjih nekoliko godina.
@ 2020 SEEbiz. All Rights Reserved.
CLOSE