U petak 25. svibnja je na snagu stupila Opća uredba o zaštiti podataka ili GDPR (eng. General Data Protection Regulation), a koja se odnosi se na zaštitu pojedinaca u vezi s obradom osobnih podataka i slobodu kretanja podataka. Iako je odredba stupila na snagu 24. svibnja 2016., njena primjena danas kreće u državama članicama Europske unije. Time su Vijeće EU i Europski parlament omogućili poslovnim subjektima i svima koji prikupljaju podatke da u periodu od čak dvije godine svoje poslovanje prilagode odredbama nove Opće uredbe.
Više općenitih informacija pročitajte u članku Što sve trebate znati o njemu?
U live Facebook emisiji koja je u četvrtak bila emitirana na stranici Digital Takeover, a u kojoj su gostovali odvjetnica Natalija Perić, IT stručnjak Nebojša Mitrić te pravnica i stručnjakinja za digitalni marketing Ana Keglović Horvat se moglo čuti kako još uvijek veliki broj tvrtki nije usklađen s Općom uredbom. Ana Keglović Horvat je rekla kako iskustvo govori kako mali broj organizacija u Hrvatskoj može reći da je je sasvim spremno za GDPR i da je većina njih u procesu prilagodbe te nije sasvim sigurna je li to što radi po pitanju zaštite podataka dobro ili nije. Keglović Horvat kaže kako joj kolegica u Nizozemskoj govori kako je kod njih ista stvar u pitanju te sudeći prema tome i druge članice EU nisu sasvim spremne. Stoga je Perić dodala kako u određenim zemljama Europske unije postoji inicijative prema zakonodavnim tijelima da se odgodi primjena kaznenih odredbi iz Opće uredbe o zaštiti podataka. Inicijativa je predstavljana u Francuskoj, Austriji i Sloveniji te će vjerojatno biti odgođena primjena kazni.
Podsjetimo, kazne su jako velike i za organizacije koje prekrše GDPR mogu iznositi do 4 posto godišnjeg prometa ili 20 milijuna eura, ovisno koji je iznos veći. To je najveća kazna koja se može izreći za najozbiljnije povrede, npr. neadekvatna suglasnost kupca za obradu podataka ili prava na ispravak, prava na brisanje tzv. pravo na zaborav i pravo na pristup. Postoji kategorički pristup kaznama, npr. tvrtka može biti kažnjena s 2 posto godišnjeg globalnog prometa zbog nepostojanja urednih zapisa (članak 28), ne obavještenja nadležnih organa ili podatkovnih subjekata o povredi ili ne provođenja procjene učinka.
Kakav utjecaj odredbe imaju na digitalni marketing i zašto se ponovno moramo prijavljivati na newsletter?
Voditelj diskusije Igor Strmečki zamolio je Anu Keglović Horvat da pobliže objasni kakav utjecaj ima GDPR na digitalni marketing te treba li tražiti privole za daljnje slanje newslettera te drugo. Keglović Horvat je napomenula da je prije svega potrebno provjeriti kako je tko došao na listu e-mailova. Ako su kontakti na listi već pribavljeni sukladno odredbama GDPR-a, nije potrebno ništa poduzimati. Ako nisu prikupljeni u skladu s GDPR-om, potrebno je utvrditi po kojoj pravnoj osnovi se kontakti, odnosno podaci, prikupljaju. Primjerice, ako se klijentica kozmetičkog salona nije sama prijavila na našu mail listu nego smo njen mail dobili od treće osobe, kolegice iz drugog kozmetičkog salona ili slično, svakako ćemo morati tu osobu tažiti privolu da koristimo njene osobne podatke (ime i prezime, mail, datum rođenja i sve što već imamo evidentirano o njoj).
Keglović Horvat napominje da privola nije jedina pravna osnova za prikupljanje podataka. Za one koji još nisu upoznati, privola ili pristanak je osnovni element zakonite obrade osobnih podataka. Riječ je o svakoj dobrovoljno i nedvosmisleno izraženoj želji ispitanika koji svojom izjavom ili jasnom potvrdom daje pristanak za obradu osobnih podatak koji se na njega odnose. Stoga privolu moramo tražiti u svakoj situaciji kada želimo obrađivati osobne podatke, a sadržaj same privole je također definiran kroz GDPR.
Osim nje postoji i sljedeće:
- nužnost obrade za izvršavanje ugovornih obveza (ili radnji na zahtjev ispitanika prije sklapanja ugovora)
- obrada radi poštovanja pravnih obaveza voditelja obrade
- zakonska obaveza
- zaštita ključnih interesa ispitanika ili druge fizičke osobe (u situacijama od životne važnosti za te osobe)
- javni interes
- legitimni interes voditelja obrade ili treće strane
Na legitimni se interes tvrtka može pozvati ako bi određeni podaci koje prikuplja za nju ili društvo u cjelini mogli dati pozitivne učinke. Ako želimo da nas neka udruga kontaktira jer nas želi obavijestiti o informacijama koje su nam važne, tu je u pitanju legitimni interes. No, ako nam netko neprekidano šalje obavijesti koje nam nisu korisne jer žele nešto prodati ili mu naši podaci služe za marketing, tada moraju tražiti privolu jer tu nema legitimnog interesa. Perić je spomenula kako je uglavnom problem kod tvrtki koje su listu mailova dobili od trećih osoba ili primjerice na određenim eventima i konferencijama, a na kojima se pojedince nije tražilo da pristanu da se njihov mail koristi za marketinške obavijesti. Dodala j kako su takve radnje i ranije bile definirane hrvatskim zakonom, ali se nije previše kontrolirano njihovo provođenje. Postojala je Direktiva 95/46/EZ donesena 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, a koja je sada stavljena izvan snage.
Tehnološke promjene su jedan od razloga za donošenje nove uredbe
Dakle, regulative o zaštitih osobnih podataka postoje od ranije, no tehnološkim razvojem i novim načinima obrade osobnih podataka postalo je nužno donošenje novog instrumenta zaštite. Keglović Horvat je naglasila kako postoje pozitivne strane jer će se unaprijediti komunikacija. Naglašava kako će ‘čišćenjem’ cjelovite liste korisnika koji primaju obavijesti mailom ostati 10 posto onih koje će mailovi koje primaju stvarno zanimati. Moj osobni osvrt je taj da je veliki broj tvrtki pri slanju mailova sa zamolbom za ponovnu registraciju na newsletter pisao suhoparne tekstove koji su čak imali slične naslove poput ‘Ostanimo u kontaktu’ ili ‘Želite li nas pratiti i dalje’. Pristala sam na daljnje slanje ako me stvarno zanima ono što šalju, no za neke sam se pnovno prijavila ako su me stvarno oduševili mailom koji su poslali i tražili da se ponovno registriram. Konkretno, jedan hrvatski portal od kojeg sam to najmanje očekivala me naprosto oduševio kreativnošću i njihovu zamolbu te obavijest o zaštiti podataka sam pročitala sa zanimanjem
U diskusiji je spomenuta i tehnološka strana čuvanja podataka te da je potrebno uskladiti baze podataka kako bi se iz svih izbrisali korisnici koji su se odjavili ili više ne žele da se njihove e-mail adrese koriste za slanje poruka.
‘U provođenju adekvatne zaštite podataka vuče se paralela s ISO standardima za očuvanje sigurnosti informacijskih sustava te se radi procjena rizika. Uzimaju se određene baze podataka,kolekcije osobnih podataka, računala i serveri te se provjerava koliko su podaci osjetljivi, koliko su dobro zaštićeni te kolika bi bila šteta da podaci iscure van kompanije. Na temelju skale. primjerice od 1 do 5, kojom se definira rizik,provode se određene tehničke mjere. Tako je moguće šifrirati sve poslovna računala ili poduzeti slične mjere’, tvrdi Mitrić.
Pitanja koja muče većinu
Panelistima je postavljeno pitanje koliko je realno da se zbog neusklađenosti s GDPR-om određenoj tvrtki u prvih godinu dana propiše maksimalna kazna definirana GDPR-om. U odgovoru na pitanja je spomenuto kako nepropisivanje kazne ne sprječava mogućnost pokretanja tužbe. Odvjetnica Perić je rekla kako vjeruje da najviše kazne neće biti izricane jer oni koji rade poduzimaju sve moguće mjere zaštite, ali neki procesi još nisu definirani. Europski odbor će davati određene smjernice te se preporučuje pratiti praksu primjene u razvijenim zemljama poput Francuske i Njemačke, u kojima su ujedno središta velikih tvrtki. Kazne su visoke jer je zaštita osobnih podataka postala jako važna zbog promjene poslovanja i jačanja utjecaja elektroničkih medija te tehnologije. Keglović Horvat spominje da će sankcija svakako biti te da nije rješenje da se idućih godinu dana ništa ne poduzima. Ako se tvrtka nije uskladila s GDPR-om, važno je da je barem sada započela s prilagodbom jer će nadzorna tijela svakako uzimati u obzir koliko se napravilo po pitanju zaštite podataka, suzbijanja šteta i slično.
Manji subjekti poput udruga i obrta se također moraju uskladiti jer također prikupljaju podatke no za njih će zbog manje količine podataka prilagodba biti zasigurno puno jednostavnija. GDPR, kao i hrvatski zakon, za djecu do 16 godina propisuje jaču zaštitu podataka i bolje mjere jer je riječ o osjetljivijoj skupini. Za djecu do 13 godina se podaci praktički ne bi smjeli prikupljati.
Panelisti su u nastavku nastavili razgovor o pravima korisnika te se složili kako ostaje još niz otvorenih pitanja. Cijelu emisiju možete pogledati u videu niže te vas pozivam da se javite ako imate dodatnih pitanja kako bi ih dodatno istražila.
