U Hrvatskoj i svim ostalim zemljama članicama EU počela se primjenjivati Opća uredba o zaštiti osobnih podataka (General Data Protection Regulation, GDPR), a što znači novu obvezu za mnoge tvrtke, odnosno pojačanu brigu o osobnim podacima korisnika, klijenata ili zaposlenika.

Pod osobne podatke spada cijeli niz informacija – ime, adresa, e-mail adresa, IP i MAC adresa, GPS lokacija, fotografija, OIB, biometrijski podaci, genetski podaci, podaci o obrazovanju i stručnoj spremi, podaci o plaći, podaci o kreditnom zaduženju, podaci o zdravlju, a nepoštivanje tih odredbi povlači velike kazne. Odsad se u svakom trenutku mora znati gdje se nalaze ti podaci i u koju svrhu se smiju koristiti, o čemu će brinuti imenovani službenici za zaštitu osobnih podataka (Data protection officer, DPO). Odluku o tome hoće li odrediti DPO donosi svaka tvrtka ponaosob. Naime, nadzorno tijelo, Agencija za zaštitu osobnih podataka (AZOP), nema ovlasti nalagati tvrtkama angažman DPO-a, već one same moraju proučiti Opću uredbu o zaštiti podataka i utvrditi trebaju li imenovati službenika.

Kako nam je rečeno u Agenciji, "službenika je dužno imenovati svako tijelo javne vlasti (bez obzira na to koje podatke obrađuju), a ostali samo ako obrada podataka nosi neki rizik. Obveznici primjene su udruge, poduzetnici, svi oni koji prikupljaju i obrađuju podatke fizičkih osoba. Svi ti subjekti moraju utvrditi koje osobne podatke prikupljaju, temeljem kojih propisa, koliko dugo se te podatke čuva, šalje li ih trećim stranama, tko ima pristup bazama podataka, šalje li se izvan EU…" Dosad su u RH sličnu obvezu imale sve tvrtke s više od 20 zaposlenih, što nije bilo dobro riješeno jer su tu onda ulazili i, primjerice, veliki frizerski saloni, dok neke male tvrtke koje barataju osjetljivim podacima (npr. medicinski laboratoriji, web prodaja) to nisu bili dužni. 

U Smjernicama o službenicima za zaštitu podataka ne navodi se koje bi stručne kvalifikacije trebalo razmotriti pri imenovanju službenika za zaštitu podataka, "no neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka. Osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku. Važno je da je službenik za zaštitu podataka u organizaciji prihvaćen kao partner u raspravi te da bude dio relevantnih radnih skupina koje se bave obradom podataka. Slijedom toga, organizacija bi se trebala pobrinuti da je taj službenik pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva". 

Gdje naći takav kadar, postoje li popisi ovlaštenih osoba, kao za stečajne upravitelje? Nije predviđen popis ili registar službenika za zaštitu osobnih podataka (DPO). Također, Uredba ne propisuje posebno ovlaštenje za obavljanje te funkcije, u smislu certifikata ili uređenja djelatnosti na drugi način", rečeno nam je u HGK. Na pitanje koliko će biti trošak prilagodbe tvrtki na novi sustav, kažu: "obzirom na postojeće stanje prilagodbe, svakako će nastati povećani troškovi, dok je opseg  troškova u ovom trenutku nepoznat, posebno s obzirom na činjenicu kako je implementacija u većem dijelu tek počela. Trošak prilagodbe ovisi o opsegu obrade osobnih podataka, načinu i vrsti obrade. Uredba predviđa organizacijske i tehničke mjere zaštite prilikom obrade osobnih podataka.

S tim u vezi, postojeći IT sustavi, ponovno ovisno obradi i opsegu osobnih podataka, mogu biti dostatni. Također, implementacija novih sustava može biti skupa, posebno ako se obrada temelji na privolama za koje je potrebno ustanoviti sustav upravljanja. Ovisi i o poslovnim procesima voditelja obrade, kao i eventualnim rizicima koji se identificiraju tijekom obrade". Neke tvrtke organiziraju GDPR radionice i seminare, no njihovo pohađanje ne znači i osposobljavanje za DPO. 

Renata Preložnjak, voditeljica odjela Edukacije i razvoj TÜV Croatia  d.o.o. – TÜV NORD GROUP, kaže: "u pravilu naše su radionice popunjene do zadnjeg mjesta. Iz iskustva i povratnih informacija od polaznika koji su mahom iz mikro, malih i srednjih poduzeća te iz ordinacija medicine rada i domova zdravlja – ljudima ništa nije jasno… Nakon naših radionica polaznici su manje-više sposobni samostalno uskladiti se s Uredbom. DPO-a ne moraju imati sve tvrtke već samo javne službe i svi koji u svojoj djelatnosti imaju registrirano prikupljanje informacija (teleoperateri, banke, javne tvrtke, državne tvrtke), dok sve ostale organizacije moraju imati voditelja obrade koji bi trebao proći obuku ili oblik edukacije za GDPR. U tom slučaju sve te organizacije mogu donijeti odluku o neimenovanju DPO-a jer im po djelatnosti nije potreban".

Iako u AZOP-u ističu kako su njihovi zaposlenici dosad obavili više od 200 edukativnih stručnih skupova, objavili vodič i razvili mobilnu aplikaciju, Preložnjak kaže da je agencija "vrlo tiho pokrenula kampanju vezanu uz GDPR. Doneseni zakon samo je blijeda slika uredbe i uglavnom se osvrće na ulogu AZOP-a i na glavne točke uredbe". Velike kompanije pripremile su se za GDPR. "Hrvatski telekom funkciju službenika za zaštitu osobnih podataka (DPO) ima od 2006. Već od 2009. DPO funkcija je ustrojena u skladu sa zahtjevima GDPR-a. Od iste godine DPO HT-a je Darja Lončar Dušanović, pravnica koja se niz godina bavi zaštitom osobnih podataka u praksi i znanstveno, magistrirala je međunarodno poslovno pravo na CEU te je doktorandica Pravnog fakulteta Sveučilišta u Rijeci upravo iz područja zaštite osobnih podataka.

Impact poduzetništvo

Olakšavaju život pacijentima: Hrvatske tvrtke napravile čuda od tehnike, prvi prototipi već se testiraju

Employee Wellbeing

Od pripravnika do lidera: ‘Ovdje se ne bojimo pitati, tražiti pomoć i rasti’

U Ini je službenicom za zaštitu osobnih podataka imenovana Nives Troha. "INA ozbiljno shvaća zaštitu osobnih podataka i poduzima sve potrebne tehničke i organizacijske mjere u skladu s najboljom praksom i obvezama koje propisuju hrvatski zakoni i Opća uredba o zaštiti podataka GDPR. Kako bi se ostvarili navedeni regulatorni zahtjevi, unutar naše kompanije angažirano je više različitih odjela, čime je osiguran multidisciplinaran pristup očuvanju i zaštiti privatnosti naših kupaca, partnera, kandidata za zapošljavanje i drugih osoba. Pritom redovito educiramo svoje zaposlenike", rečeno nam je u Ini. 

Brokeri i osobni podaci

'U potpunosti spremni'
Financijska industrija relativno je bezbolno dočekala stupanje na snagu GDPR direktive. Kako je pojasnio čelnik strukovne brokerske udruge Tamas Nagy, izvršene su sve potrebne prilagodbe, koje prvenstveno uključuju nešto manji opseg podataka koje investicijska društva traže od klijenata. "Međutim, investicijska društva su i tijekom prijašnjih godina tražila minimalnu količinu podataka od klijenata", kaže Nagy, predsjednik Udruženja za poslovanje i posredovanje na financijskim tržištima. S obzirom na to da je riječ o vrlo malim izmjenama u odnosu na dosadašnju praksu, investicijska su društva u potpunosti spremna za primjenu GDPR-a, dodao je Nagy.