Ime i prezime, spol, datum rođenja, adresa, kontakt podaci, podaci o izgledu (fotografije i videosnimke), OIB, imena roditelja ili skrbnika, registarske pločice vozila...
Koliko ste samo puta morali ispunjavati obrasce u kojima su tražili neke od ovih, ali i mnoge druge podatke? Od posjeta liječniku, zahtjeva za izdavanje osobnih dokumenata i potpisivanja ugovora o zaposlenju pa sve do izrade profila na društvenim mrežama i u web shopovima te kartica vjernosti u trgovinama - čini se da od nas stalno traže neko dijeljenje osobnih podataka. Sagledamo li na trenutak za što smo sve u životu morali dati svoje osobne podatke, vjerujemo da će se svatko od nas iznenaditi spoznajom koliko zapravo ljudi, tvrtki i javnih tijela rukuje našim informacijama.
Pridodamo li još tome činjenice da hakeri u prosjeku napadaju računala spojena na internet svakih 39 sekundi, da čak 63% potrošača diljem svijeta smatra kako tvrtke nisu iskrene u pogledu načina na koji koriste njihove osobne podatke te da bi za svako čitanje "Uvjeta usluge" - na koje većina bez razmišljanja pritisne "Slažem se" - trebalo potrošiti oko 76 sati godišnje (a čak ni tad mnogi ne bi razumjeli sve stavke), pitanje privatnosti podataka dobiva drugu dimenziju.
Kad je potrebno tražiti privolu?
I s pravom se možemo zapitati treba li neka trgovina znati naš datum rođenja ili broj ljudi u kućanstvu. No prije tog pitanja zamolili smo našu stručnu sugovornicu, Larisu Silviju Marić, odvjetnicu i partnericu odvjetničkog društva Marić Stajčić & Perkov, da nam pojasni što se sve uopće smatra osobnim podatkom.
- Službena definicija kaže da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Međutim, ta je definicija toliko široko postavljena da u nju ulaze i podaci za koje na prvu loptu nikad ne biste pomislili da je riječ o osobnom podatku. Primjerice, postoji praksa koja čak i očitanje stanja vodomjera smatra osobnim podatkom! - objašnjava.
Ipak, treba znati da u posebno osjetljivu skupinu podataka, čija je obrada moguća samo u iznimnim slučajevima, spadaju podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, ili je pak riječ o obradi genetskih podataka, biometrijskih podataka, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
A tko i koje podatke smije obrađivati, teško je konkretno reći jer mnogo toga ovisi o kontekstu. Primjerice, svaki poslodavac treba ime i prezime, OIB, broj računa i slične podatke zaposlenika kako bi mogao zasnovati radni odnos te poštovati sve obveze koje temeljem tog odnosa nastaju za njega. Za obradu tih podataka poslodavcu nije potrebna privola zaposlenika, ali ako poslodavac možda želi objaviti fotografije s poslovnog eventa na kojima se jasno vidi taj zaposlenik - tu je potrebna privola.
Više ovakvog sadržaja pročitajte u specijalu Kvaka24.
- Želite li da vam dostave neki proizvod koji naručujete preko interneta, prodavaču ćete morati dati adresu na koju želite da proizvod dostavi, kao i svoje kontakt podatke. Te podatke prodavač će morati moći podijeliti sa svojim dobavljačima i za ovu obradu nije nužna vaša privola. S druge strane, recimo, prodavatelju posteljine sigurno ne treba broj vaše osobne iskaznice ili datum rođenja, a za dobivanje loyalty kartice u pravilu nije važno kod kojeg poslodavca radite ili koji je stupanj vašeg obrazovanja - ističe Marić i dodaje:
- Kad ne znate biste li podijelili neku osobnu informaciju ili ne, vodite se time da bi se trebali obrađivati i dijeliti samo oni podaci koji su doista nužni radi ostvarenja svrhe namjeravanog posla.
'Curenje' osobnih podataka
Najčešće povrede podataka, a kojima svjedočimo i u Hrvatskoj, su gubitak, odnosno "curenje" podataka. Glavni razlog tog problema su nedovoljne sigurnosne mjere, koje je moguće spriječiti, kako savjetuje Marić, kontinuiranom provjerom sigurnosti, fizičkim osiguranjem prostora i opreme, praćenjem najnovijih praksi u razvoju zaštite osobnih podataka i podučavanjem cijeloga kolektiva, a ne samo jedne osobe, o toj temi.
Posljedice povrede podataka mogu biti doista teške. GDPR u slučaju poduzetnika, objašnjava Marić, predviđa novčane sankcije do 4% ukupnoga godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu. Od 2020. do sredine 2023. godine Agencija za zaštitu podataka (AZOP) zbog kršenja odredbi GDPR-a i Zakona o provedbi Opće uredbe o zaštiti osobnih podataka izrekla je 32 upravne novčane kazne, ukupnog iznosa većeg od tri milijuna eura.
Kazne od čak 50.000 eura
U drugim zemljama EU postoji već solidna i ujednačena praksa tijela nadležnih za zaštitu osobnih podataka, a koja se tiče zaštite osobnih podataka na web stranicama pravnih osoba. Kod nas je AZOP također odnedavno počeo sankcioniranje takvih prekršaja, pa je "pala" kazna od čak 50.000 eura, otkriva naša stručna sugovornica. Riječ je o prekršaju koji se odnosi na nedovoljno dobro postavljene cookie postavke.
- Ovo je kod nas vrlo česta pogreška koja može imati četiri uzroka. Prvi je da se ispitaniku ne daje objašnjenje koje cookieje preuzima posjetom stranice, čemu oni služe i koliko dugo ili mu se ne daje mogućnost da svaku takvu funkcionalnost pojedinačno prihvati ili odbije. Zatim da su pravila privatnosti nejasno napisana, a ponekad čak i doslovno prekopirana s neke desete stranice. Moguće je i da traže dodatne klikove za odbijanje funkcionalnosti, a za prihvat je dovoljan jedan klik. Zato je vrlo važno s pravnikom, ali i s programerom ili dizajnerom stranice, proći ovu materiju, informirati se o tome što ti cookieji zapravo rade i sukladno tome obavijestiti posjetitelja stranice te mu dati na izbor prihvat ili odbijanje - napominje naša sugovornica.
Česta pogreška je i nepoznavanje GDPR-a, koje se vrlo često očituje u pogrešnom razmišljanju "bez privole nema obrade". Privola ispitanika samo je jedan od većeg broja različitih temelja za obradu, upućuje nas Marić. Zbog toga su "bombardiranja" obrascima za davanje privole često suvišna, a pritom voditelju obrade - osobi koja nadzire kako se osobni podaci obrađuju unutar poduzeća - daju lažnu sigurnost da ima pravovaljani temelj za obradu osobnih podataka. Primjerice, za slanje newslettera ili upitnika o zadovoljstvu kupaca ne treba nužno imati privolu - GDPR ovdje kao temelj predviđa marketing kao legitimni interes, ali pritom je važno u svakom takvom mailu ispitaniku dati opt-out opciju, to jest mogućnost da izjavi svoje protivljenje primanju takvih poruka.
- Četvrta česta pogreška je izvlačenje na GDPR. Nije sve uvijek obrada osobnih podataka! Vrlo često se poistovjećuje zaštita osobnih podataka i povjerljivost (takozvana poslovna tajna). Povjerljivost se ugovara i ima bitno širi opseg od osobnih podataka. Zaštita osobnih podataka vrijedi sama po sebi. Dakako, ako su podaci u pitanju doista osobni podaci. Podaci o poslovnom know-howu, novom proizvodnom pogonu, financijskim rezultatima vašeg odjela i tomu slično nisu osobni podaci - ističe Marić.
'Uvijek možete povući privolu'
Za kraj smo pitali našu stručnu sugovornicu što učiniti ako netko smatra da su mu prava o zaštiti podataka povrijeđena.
- Svaki ispitanik ima pravo, među ostalim, u svakom trenutku povući svoju privolu (ako ju je dao), odnosno prigovoriti obradi svojih podataka te saznati koje podatke o njemu voditelj uopće obrađuje. Prigovor se podnosi voditelju obrade. Također, ispitanik može svoje sumnje o kršenju pravila o zaštiti osobnih podataka prijaviti AZOP-u. Agencija je o navedenom dala opširne upute te odgovarajući obrazac, koji se može naći na njihovim službenim stranicama.