MNOGI IH NISU SVJESNI

Zaštita osobnih podataka – 13 zamki gdje možete pogriješiti, a da to i ne znate

BND is looking for hackers
Foto: Kay Nietfeld/DPA/PIXSELL
1/3
04.03.2021.
u 10:06

Odvjetnica Diana Kladar upozorava na odrednice europske regulative kojih mnogi nisu svjesni

Slučaj zaštitarske tvrtke koju je Agencija za zaštitu osobnih podataka kaznila s pola milijuna kuna jer je na društvenim mrežama objavila snimku sigurnosne kamere muškarca koji se križa dezinficijensom na ulazu u šoping-centar, otkrio je, zapravo, koliko malo znamo o jednoj od najrazvikanijih europskih regulativa, General Data Protection Regulation (GDPR) ili Općoj odredbi o zaštiti podataka.

Zato smo zamolili odvjetnicu Dianu Kladar, čija je jedna od specijalnosti zaštita osobnih podataka, da izdvoji primjere u kojima također možemo pogriješiti, a da to zapravo i ne znamo.

1. Poslodavac traži privolu radnika za prijavu u HZZO i HZMO.

Kada prijavljujete radnike na HZMO i HZZO, ne trebate ishoditi privolu radnika jer obveza poslodavca proizlazi iz propisa. Ako prikupljate privole radnika, pokazujete nepoznavanje temeljnih pravila kod GDPR-a i Agenciju za zaštitu osobnih podataka prizivate da vas kazni.

2. Tvrtka snima javnu površinu postavljanjem videokamere na vanjskom dijelu zgrade.

Nije dopušteno snimati javnu površinu, cestu ispred primjerice vaše trgovine, te je potrebno suziti kut snimanja ako imate vanjske kamere.

3. Nakon hakerskog napada tvrtka nije analizirala što se dogodilo i nije razmotrila potrebu da se o incidentu obavijesti Agencija za zaštitu osobnih podataka.

Često poduzetnici nisu svjesni što je incident, te primjerice znaju uputiti e-mail krivom primatelju kome otkriju tuđe osobne podatke. Također primijetili smo da kod hakerskih napada poduzetnici propuste provesti sve radnje kojima provjeravaju je li došlo do povrede osobnih podataka i često su skloni sakrivati incidente. Ako AZOP otkrije da ih niste obavijestili, izlažete se riziku kazne.

4. Ako funkciju službenika za zaštitu osobnih podataka dodijelite osobi koja taj posao obavlja uz niz drugih aktivnosti, npr. tajnica je ujedno službenica, visok je rizik da radnik neće moći kvalitetno obaviti taj posao.

Poduzetnici se odlučuju da posao službenika obavlja netko od zaposlenika uza sve svoje redovite radne zadatke. Time štede novac, ali s druge strane riskiraju povrede osobnih podataka koje će rezultirati milijunskim kaznama. Nije objektivno da ovako ozbiljnu funkciju kvalitetno može obavljati zaposlenik samo „usput“, uz niz drugi radnih zadataka svoga glavnoga radnog mjesta.

5. Službenik za zaštitu osobnih podataka je voditelj marketinga, IT odjela, kadrovske službe...

Službenikom za zaštitu osobnih podataka ne može biti imenovan voditelj određenog odjela ili osoba koja određuje način i svrhu obrade osobnih podataka iako nije voditelj odjela. Potrebno je provesti analizu unutar tvrtke tko može obavljati ovu funkciju kako se ne bi izložili sukobu interesa.

6. Službenik za zaštitu osobnih podataka nepažnjom uzrokuje izricanje kazne poslodavcu, čime se izlaže opasnosti od tužbe.

Ako službenik za zaštitu podataka svojom krajnjom nepažnjom prouzroči štetu poslodavcu koji primjerice plati kaznu, poslodavac može potraživati naknadu štete od radnika koji obavlja funkciju službenika. Zato je izuzetno važno da službenici budu svjesni svoje odgovornosti i da inzistiraju na poštovanju zaštite osobnih podataka kako bi od sebe otklonili bilo kakav oblik odgovornosti.

7. Poslodavac ne educira zaposlenike.

Edukacija je ključ usklađenosti s GDPR-om. Povrede rade zaposlenici, svi ljudi koji rade griješe, ali ovdje je rizik kazne previsok zbog izricanja milijunskih upravnih novčanih kazni. Ako educirate zaposlenike, mogućnost za povredu osobnih podataka je znatno niža, ali ako se i dogodi povreda, činjenica da educirate zaposlenike će biti olakotna okolnost kod odmjeravanja visine kazne.

8. Odbijanje davanja informacija zbog straha od povrede GDPR-a može završiti kaznom.

Ispitanik (potrošač) ima pravo pristupa svojim osobnim podacima. Morate znati procijeniti koje podatke morate pružiti ispitaniku na zahtjev, a koje ne smijete. Educirajte se i probajte razumjeti GDPR ili angažirajte stručnjake.

9. Traženje pisane privole kupca da je suglasan da mu trgovac odgovori na upit putem e-maila s kojeg je zaprimljen upit.

Nije potrebno pisanim putem tražiti od kupca da vam dopusti komunikaciju putem e-maila ako vam se on obratio. Nije smisao GDPR-a tražiti privolu za sve za što niste sigurni smijete li raditi, jer i takvim se postupanjem izlažete riziku od kazni.

10. Aplikacije bez pružanja informacija o obradi osobnih podataka i zaštiti prava potrošača.

Često poduzetnici koji izrade aplikaciju zaborave na GDPR i zaštitu potrošača – morate poštovati oba prava.

11. Poduzetnik ne kontrolira poštuje li izvršitelj obrade odredbe ugovora kojima se obvezao na određeni standard zaštite osobnih podataka.

Potrebno je provoditi reviziju poslovanja i provjeravati svoje suradnike (primjerice knjigovodstvo) poštuju li u praksi ono što su potpisali. Često su praksa i papir neusklađeni.

12. Pravila privatnosti koje poduzetnik izradi metodom „copy-paste“ sadržaja tuđih pravila privatnosti.

Ne, nemojte prepisivati tuđe dokumente s web-stranica ili šprance koje netko objavi na internetu. GDPR se prilagođava svakom pojedinom poduzetniku i njegovu poslovanju. Prvi put kada vam dođe nadzor shvatit ćete zašto navedeno nije dobro. Prvo što će uočiti jest da praksa i papir nisu usklađeni.

13. Poduzetnik izradi niz pravila postupanja po kojima se ne postupa.

Morate uskladiti poslovanje u praksi s tekstom koji ste napisali primjerice u pravilima privatnosti, pravilniku o obradi osobnih podataka itd.

Ključne riječi

Komentara 10

LU
lupa
10:42 04.03.2021.

Jao kako nice, ALI, zasto onda za svaku piz... moramo dati OIB broj? Ili broj putovnice? Zasto se dozvoljava obnavljanje ugovora preko telefona ili ugovaranje pretplate na temelju osobne a da se fizicki izgled ne provjeri. Danas ti treba zaa takvo sto ni 10 min, dok za to vrijeme ne moras uopce primjetiti da ti je ukraden novcanik. Zasto nema brzog postupka kada se privatni podaci i informacije objavljuju bez dozvole vlasnika? Recimo, ako partner u cilju posramivanja ili osvete objavi private intimne snimke ili fotografije? Znas sto ti kaze MUP na to? Pokreni privatnu tuzbu. Kada su u slavoniji napravili facebook grupu "slavonske drolje" policija nije bila sposobna naci osnivace niti maknuti sa weba objave, ali kada neko kaze da je Plenki .............odaberisam.......... policija reagira promptno. Pa lako ovako lupetati dok je relanost bitno dugacija.

Avatar BožeSačuvaj
BožeSačuvaj
10:29 04.03.2021.

Koja glupost,ova zaštita se odnosi na mali broj bogatih koji se boje da im netko ne mazne livu sa računa ili da u njihovo ime nešto krivo ne potpiše,,svima ostalima je to nevažno

KI
kilkenny
11:23 04.03.2021.

Koliko je ovaj zakon u nekim svojim aspektima kretenski moze se vidjeti po tome da kada tvrtka odredi koji korisnik ima pravo koristiti privatni dio racuna i dostavi oib i adresu korisnika provideru jer kako ce provider znati kojem korisniku tvrtka dozvoljava privatni dio racuna, a kada korisnik promijeni adresu tada tu promjenu ne smije tvrtka dostaviti provideru nego to mora korisnik koji moze reci da zivi na adresi odvjetnice, a ona neka izvoli dokazati suprotno. Takoder, tocka 2. je kretenska i pokazuje kako oni koji su pisali taj zakon te odvjetnici pojma nemaju o tehnologiji i bolje bi bilo da se uhvate kuhanja. Naime, ne da kamere ne snimaju javne povrsine nego je u nekim slucajevima nuzno da to cine. Praksa je da se u kamerama i snimacima maskiraju javne povrsine te da se snimke periodicno automatski brisu. Mene samo zanima sto bi se dogodilo kada bi recimo Filip Zavadlav umjesto sto je isao tamaniti po Splitu malo prosetao pored ureda velestovane odvjetnice i provjerio da li je cijev kalasa ociscena kako spada. Bi li tada velestovana odvjetnica zeljela da kamere snimaju cestu ili bi se rukama i nogama drzala za zakon. Takoder, neka izvoli odvjetnica zatraziti kaznu za onoga koji je snimao Zavadlava i to objavio dok je doticni setao po Splitu.

Važna obavijest
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu i mobilnim aplikacijama Vecernji.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu i mobilnim aplikacijama Vecernji.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.

Za komentiranje je potrebna prijava/registracija. Ako nemate korisnički račun, izaberite jedan od dva ponuđena načina i registrirajte se u par brzih koraka.

Želite prijaviti greške?

Još iz kategorije