U boj za zaštitu... osobnih podataka

Vi ste ovdje

Zakon o zaštiti osobnih podataka postoji već godinama, no veoma mali broj ljudi zaista zna što on štiti, brani i propisuje.

Tako primjerice, za zaštitu osobnih podataka svih građana zadužena je Agencija za zaštitu osobnih podataka. Ona nadzire provođenje Zakona i njoj se građani mogu žaliti ukoliko smatraju da im je povrijeđena privatnost osobnih podataka. A postoji nekoliko kategorija podataka koji se posebno štite. U posebno štićene podatke, među ostalim, spadaju bilo kakve informacije vezane uz spolni život osobe, ali i bilo kakve informacije koje proizlaze iz sindikalnog udruživanja (tko je u kojem sindikatu, na kojoj poziciji itd.).

No, za Perpetuum, a tako i za ostale tvrtke u Hrvatskoj vrijede pravila kojih se treba posebno pridržavati.

ZBIRKE (a nisu matematičkih zadataka) i njihovi VODITELJI

Prema Zakonu o zaštiti osobnih podataka, svaka pravna osoba u Hrvatskoj koja prikuplja i čuva bilo kakve osobne podatke dužna je AZOP-u, u njihov „Središnji registar zbirki osobnih podataka“ prijaviti koje sve „zbirke osobnih podataka“ održava / čuva / ima. Pod “zbirkom osobnih podataka” smatra se bilo kakva baza podataka koja sadrži osobne podatke, a među ostalima i adresari, newsletter baze, CRM-ovi, podaci o zaposlenicima i slično. Dakle, svaka je pravna osoba u Hrvatskoj obvezna prijaviti svoju “zbirku” pa makar ona bila poslovni adresar. I ne, AZOP ne traži da se prijavi sadržaj zbirke, već samo oblik u kojem se čuva.

Osim toga, svaka pravna osoba odnosno „voditelj zbirke osobnih podataka“, dužna je imenovati službenika za zaštitu osobnih podataka. Taj “vitez” koji se brine za zaštitu osobnih podataka u tvrtki registrira se kao takav kod Agencije i osvaja titulu “primarne osobe” za održavanje tih „zbirki podataka“ i komunikaciju s Agencijom.

Za kontrolu su zaduženi “šerifi” odnosno inspektori rada koji prilikom nadzora provjeravaju pridržava li se pravna osoba ovih odredbi. Otkriju li nepravilnosti, tvrtku mogu kazniti s kaznom od 20 000 do 40 000 kuna, a odgovornu osobu s kaznom od 5 000 do 10 000 kuna.

Također, ako poslodavac zapošljava više od dvadeset radnika, dužan je imenovati “junaka” koji “mora uživati povjerenje radnika i koja je osim njega ovlaštena nadzirati prikupljaju li se, obrađuju, koriste i dostavljaju trećim osobama osobni podaci u skladu sa zakonom„. (Zakon o radu, članak 29, stavak 6.) Dotični “junak” mora dobiti suglasnost radničkog vijeća prije imenovanja kako bi svi bili sigurni da je zaista osoba od povjerenja.

 A OSOBNE PODATKE ČUVATE... U SVEMIRU?

 Iako je zakonom uređena savršena situacija, u praksi se, kao što je svima dobro poznato, pojavljuje sve samo ne savršena situacija. Zato se i brojne pravne osobe, poglavito one koje su svoje poslovanje prebacile “u oblak” susreću s nelogičnostima i problemima u praksi.

Zamislimo, primjerice, bilo koji hostani web shop ili CRM ili bilo što, što podrazumijeva logiranje korinsika imenom i mail adresom (podacima koji se spremaju u neku bazu iliti „zbirku osobnih podataka“). Kako se na njih reflektira odredba zakona: „Zbirke osobnih podataka, odnosno osobni podaci sadržani u zbirkama osobnih podataka smiju se iznositi iz Republike Hrvatske u svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se osobni podaci iznose ima odgovarajuće uređenu zaštitu osobnih podataka, odnosno osiguranu adekvatnu razinu zaštite“? Tko može utvrditi u kojoj se državi ti podaci zaista nalaze? I kako zaštititi te podatke kad ne znamo gdje su?

U svjetlu brojnih hakerskih napada na različite servise, tijekom kojih uredno “nestaju” gomile osobnih podataka (od imena i prezimena, adresa pa do brojeva kartica i bankovnih računa), kako kontrolirati gdje se nalaze osobni podaci i kome se obratiti za njihovu zaštitu?

VOJSKA ZAŠTITNIKA IZ BRUXELLESA

Pitanje prekogranične zaštite osobnih podataka nešto je čime se, veoma ozbiljno, bavi i Europska unija. Tako je prošle godine izglasana uredba koja se zove “General Data Protection Regulation” i koja bi trebala uvesti jedinstven način regulacije pitanja zaštite osobnih podataka na razini EU. Definira na koji se način mogu/smiju prikupljati osobni podaci građana EU te kako se smiju koristiti odnosno gdje se i kako smiju držati izvan teritorija Europske unije.

Za razliku od našeg Zakona o zaštiti osobnih podataka, ova odredba propisuje i puno veće i ozbiljnije kazne za prekršitelje (čitajte: puno tisuća, a možda i milijuna eura).

Odredba stupa na snagu 25. svibnja 2018. godine, i da, biti će obvezujuća i za sve nas u Hrvatskoj. Čisto da ne kažete da vas nismo na vrijeme upozorili.

A sad pitanje - imate li vi svoje “viteze” i “heroje” za zaštitu osobnih podataka? I, još važnije, jeste li uopće bili svjesni da morate prijaviti svoj poslovni imenik kao “zbirku osobnih podataka”?

Povezani Članci