U ovom vam članku predstavljamo 5 pitanja o upravljanju osobnim podacima na koja morate znati odgovor prije 25. svibnja, kada GDPR stupa na snagu. Pogledajte i primjer nepoštenog sakupljanja osobnih podataka kojeg uredba izričite zabranjuje.
.
1. Smijem li kao tvrtka uopće prikupljati osobne podatke?
Uredba ovako određuje što se smatra osobnim podacima:
»Osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.«
U praksi su osobni podaci ime, prezime, JMBG, OIB, elektronska adresa, fotografija, na kojoj se pojedinac može prepoznati i slično. Ako kao tvrtka prikupljate neke od ovih podataka, GDPR će smatrati da prikupljate osobne podatke.
» » Znate li koje ključne promjene GDPR donosi web trgovcima?
2. Koja je moja osnova za prikupljanje osobnih podataka?
Postoje 3 pravne osnove za prikupljanje osobnih podataka:
- zakon
- ugovor
- suglasnost tj. pristanak pojedinca
U prva dva slučaja tvrtka po zakonu ima osnovu za obradu podataka, odnosno isti potječe iz ugovorne obveze. U preostalim primjerima je potrebno dobiti suglasnost pojedinaca, jer će se u skladu s GDPR-om osobni podaci nakon 25. svibnja moći sakupljati samo na temelju izričitog pristanka pojedinca. Pojedinac će se morati slagati sa specifičnom svrhom sakupljanja njegovih podataka.
3. Što moram napraviti nakon ispunjavanja svrhe za sakupljanje osobnih podataka?
To ovisi o kakvom se podatku radi. U nekim slučajevima sam zakon ili ugovor određuju kako dugo će se čuvati određeni podatak. Ako se pojedinac pretplati na e-novosti, njegovo ime, prezime i elektronsku adresu možete čuvati do opoziva. GDPR izričito određuje da korisniku morate dati mogućnost opoziva pristanka.
4. Kamo moram pohraniti osobne podatke i tko s njima može upravljati?
Uredba ne određuje ciljeve vezane uz ta pitanja, pa nije jasno određeno kako će se to primjenjivati u praksi. Upravljanje s osobnim podacima jest organizacijsko i pravno pitanje unutar tvrtke.
5. Jesu li osobni podaci koje sakupljam stvarno potrebni za postizanje rezultata tvrtke?
U uredbi piše da osobni podaci koje tvrtka obrađuje moraju biti »primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, tzv. smanjena količina podataka.«
Izvršitelji obrade podataka moraju ograničiti svrhe za koje se sakupljaju osobni podaci, te sakupiti najmanju količinu podataka.
Primjer nepoštenog sakupljanja osobnih podataka
Dubravka Dolenc iz Info House Hrvatska na nedavnoj je konferenciji Ecommerce Day 2018 u Zagrebu, u okviru okruglog stola o GDPR-u predstavila primjer nepoštenog prikupljanja osobnih podataka prilikom online kupovine zrakoplovnih karata:
Pojedinac želi kupiti zrakoplovnu kartu Zagreb – New York i na internetu pregledava ponude. Nije upisao ni jedan osobni podatak, ali su na većini stranica instalirani kolačići koji prate njegovo ponašanje. Ponuđač na temelju toga točno zna što pojedinac traži – što jeftiniji let na željeni datum. Prati koliko puta ta osoba traži zrakoplovnu kartu za tu relaciju i kad se odluči za željeni datum, te klikne na online ponudu, algoritam koji je pratio njegovo ponašanje, oblikovao je tzv. profil i ocijenio da je njegova namjera kupovine karte ozbiljna, te prrikazuje višu cijenu.
GDPR takvo ponašanje izričito zabranjuje, jer pojedinac nije dao suglasnost:
»Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.« (Članak 22 GDPR)
