Nandino Lončar: Sedam čestih GDPR zabluda

Nandino Lončar: Sedam čestih GDPR zabluda

GDPR konzultant Nandino Lončar napisao je povodom današnjeg Europskog dana zaštite osobnih podataka za rep.hr članak o sedam čestih GDPR zabluda.

Iako je u primjeni već punih osam mjeseci, Opća uredba o zaštiti osobnih podataka, poznatija kao GDPR, i dalje je većini ljudi nepoznanica. Pojedinci, fizičke osobe, još uvijek ne shvaćaju da je GDPR na njihovoj strani, da im vraća određenu moć nad njihovim osobnim podacima, moć koja je donedavno itekako bila na strani pravnih osoba. Pravne se osobe moraju prilagoditi, no pozitivna strana jest da će im to pomoći da srede svoje interne procese i uvedu bolju kontrolu nad podacima kojima raspolažu.

Ovoga puta nećemo ulaziti u pojašnjavanje što GDPR jest, idemo pogledati nekoliko čestih zabluda o GDPR-u!

Nitko, pa ni vaši prijatelji, više ne smije objaviti ništa o vama bez vaše privole!
Krivo. GDPR se odnosi samo na pravne osobe, dakle tvrtke, obrte, udruge, tijela javne vlasti i sl. Oni moraju paziti što rade s osobnim podacima, kako ih koriste, po kojoj osnovi, koliko ih čuvaju itd. To ne znači da možete bezbrižno i bezobzirno objavljivati tuđe fotografije i druge osobne podatke, znači samo da to ne regulira GDPR, nego Kazneni zakon.

Za sve je potrebna privola!
Opet krivo. Privola je tek jedna od šest osnova za skupljanje i obradu osobnih podataka, koju bi, zbog svojih specifičnosti i ograničenja, trebalo primjenjivati tek ako se potrebni osobni podaci ne mogu prikupljati i obrađivati ni po jednoj drugoj osnovi.

Jednom dana privola vrijedi za sve potrebne aktivnosti!
Pogađate, krivo. Privola se mora tražiti i daje se samo za točno određenu aktivnost. Ako ima više aktivnosti, za svaku se posebno treba dati privola. Te je privole potrebno pravilno evidentirati. Privola može biti povučena u bilo kojem trenutku, i tada se mora prestati s obradom podataka u tu određenu svrhu.

Zbog GDPR-a ne smijete više napisati svoje ime i prezime na zvono i poštanski sandučić, kako će sada poštar znati što je za vas i gdje to ostaviti?!
Još jednom krivo. Vi vaše osobne podatke možete tiskati na majicu ili napisati sprejem na (vašu) fasadu. GDPR se ne tiče što vi radite s vašim osobnim podacima.

Organizator predavanja ili radionice ne smije vanjskom predavaču dati podatke o prijavljenima! 
Naravno, krivo. Smije, samo treba unaprijed poduzeti određene korake, odnosno definirati to kao dio ugovora ili zatražiti privolu.

Male tvrtke imaju jednake obveze kao i velike tvrtke! ili Male tvrtke nemaju jednake obveze kao i velike tvrtke!
Zapravo je oboje krivo. :) Svim pravnim subjektima - trgovačkim društvima, obrtima, udrugama, tijelima javne vlasti, javnim tijelima - GDPR postavlja iste margine, no o više toga ovisi kakve će tko imati obveze, pri čemu veličina pravnog subjekta ne mora nužno igrati ulogu.

Kazna je 20 milijuna eura ili 4 posto ukupnog godišnjeg prometa na svjetskoj razini!
Samo dijelom točno. To je maksimalna kazna, no ovisno o obimu i težini kršenja Uredbe moguće je dobiti i puno manju kaznu ili samo upozorenje, odnosno nalog da se isprave nedostaci. Sankcije će biti blaže ako se procijeni da je prilagodba GDPR-u provedena uz neke propuste ili nedostatke, nego ako nije ništa napravljeno, odnosno ako su napravljene samo “kozmetičke” mjere (npr. samo dokumentacija bez prilagodbe poslovnih procesa).

Ovakvih zabluda ima jako puno, no nadamo se da će im se broj s vremenom smanjivati, a da će ljudi postajati sve svjesniji svojih prava.

Želimo vam siguran i bezbrižan Europski dan zaštite osobnih podataka!