Strategija poslovanja – GDPR: Pogled u budućnost i bolje poslovanje

Krug će biti zatvoren do kraja tek onda kada građani postanu svjesni odgovornosti u odlučivanju s kime i zašto dijele svoje osobne podatke te pritom počnu ukazivati na nepravilnosti. Veliku prednost u čuvanju osobnih podataka donosi digitalizacija poslovanja pa pogled na uredbu treba biti pogled u budućnost i u bolje i kvalitetnije poslovanje.

U protekloj je godini kratica GDPR (General Data Protection Regulation) često spominjana u poslovnim, pa i privatnim razgovorima, a ipak će proći još neznani broj dana dok svakom građaninu ne postane jasno što točno znači i kakve je promjene unijela u njihove živote. A radi se o Općoj uredbi o zaštiti osobnih podataka koja se u svim državama EU primjenjuje od 25. svibnja 2018. i, pojednostavljeno, obuhvaća zaštitu pojedinaca u svezi s prikupljanjem i obradom njihovih osobnih podataka. Određena razina zaštite osobnih podataka u mnogim zemljama postojala je i ranije, no pokazalo se da ju je brzi tehnološki napredak učinio preslabom pa ova uredba utvrđuje prava i temeljnu slobodu pojedinaca kao i obveze svih subjekata koji prikupljaju i obrađuju osobne podatke.

Kada je lani u Hrvatskoj GDPR stupio na snagu, brzo se pokazalo da su ga mnoge tvrtke dočekale nespremne. Pritom je manji problem bio što je stranica AZOP-a (Agencija za zaštitu osobnih podataka) “padala” nekoliko uzastopnih dana pa ni taj što su se ubrzo pojavili napisi u medijima o “čudnim” ponudama raznih savjetnika upućeni tvrtkama radi prilagođavanja njihovog poslovanja novoj uredbi uz prijetnje velikim kaznama i prijavom. Mnogo veći problem bio je što ni građani a ni mnogi poduzetnici nisu znali što im točno donosi GDPR i što u svezi s time trebaju poduzeti.

Ali ima i onih koji su spomenuti datum uvođenja uredbe dočekali spremni, jer su suživot s GDPR-om započeli godinu-dvije ranije kako bi imali dovoljno vremena za nužno i pravodobno educiranje rukovodećih kadrova te prilagodbu poslovnih procesa funkcioniranju u novim okvirima.

GRAĐANIMA PRAVA, PODUZEĆIMA OBVEZE
Uredbom su pojedincima zagarantirana prava, a poslovnim subjektima većinom obveze i niz pravila pri prikupljanju i korištenju podataka građana/kupaca, poslovnih suradnika i zaposlenika, što pred tvrtke stavlja zahtjev da ugrade zadanu zaštitu podataka, da odgovorno upravljaju prikupljenim podacima, da lako mogu udovoljiti zahtjevima ispitanika te da mogu dokazati ispravno ophođenje (da ne krše uredbu) s osobnim podacima u slučaju kontrole nadležnog tijela.

Kako bi se ovi, a potom i sljedeća dva zahtjeva (izbor educiranog službenika za zaštitu osobnih podataka te prijava mogućih incidenata ili proboja u roku od tri dana), mogli u potpunosti primijeniti u svakoj radnoj sredini, ma koliko mala ili velika bila, korisno je angažirati stručnjake za usklađivanje poslovanja.

U procesu usklade polazi se od vrste prikupljenih podataka koji mogu biti utvrđeni kao osobni (ime i prezime, OIB, fotografija, adresa, e-mail, broj telefona, IP adresa, glas, običan ili e-potpis itd.), ili pak mogu biti skup drugih podataka koji sami po sebi nisu klasificirani kao osobni, ali je na osnovu njih moguće zaključiti o kojoj se osobi radi. Pored toga, važno je ustanoviti mjesto prikupljanja, svrhu, osnovu na temelju koje prikupljamo i obrađujemo osobne podatke, način obrade, mjesto obrade te u nekim situacijama obaviti i procjenu učinka i savjetovanje oko obrade i svrhe obrade.

A kako je svaka tvrtka drukčija, a međusobno se razlikuju i njezini dijelovi jer svaki ima svoje zadaće i svoje zaposlenike, suradnike i kontakte, nemoguće je zamisliti da postoji neki standardni model prilagodbe primjenjiv na sve. Tvrtka je živi organizam kojeg treba sagledati kao cjelinu i u svim dijelovima, te potom za svaki dio posebno i za cijelu tvrtku u cjelini osmisliti djelotvoran sustav prikupljanja, obrade i zaštite svih osobnih podataka s kojima raspolaže. Zato volimo slikovito reći da nijedna tvrtka nije konzerva koja ne propušta ništa u ili iz kolektiva, već u svakodnevnom poslovanju živi od razmjene informacija među kojima su i osobni podaci.

Načelno, pod uredbu spada svaka tvrtka i uvelike se tiče fizičkih osoba koje u i za nju rade, od direktora do zaposlenika koji preuzimaju i izrađuju robu, dostavljaju račune i narudžbenice, kao i osoba s kojima se kontaktira u svezi bilo kojeg aspekta poslovanja. No, pod pravo na zaštitu osobnih podataka spada i osoba koja je nekim poslom došla u tvrtku i ostavila svoje podatke na porti, bila zabilježena video nadzorom ili joj je snimljen glas i govor u telefonskom kontaktu, kao i osoba koja je snimljena prigodom neke prezentacije ili događanja tvrtke. Valja spomenuti i neke vanjske servise s kojima se dijele prikupljeni osobni podaci, primjerice knjigovodstvo, IT podrška, odvjetnici, zaštitari itd.

U praksi vrlo često nailazimo na stav da se za prikupljanje i obradu osobnih podataka treba osloniti na privolu kao glavnu i jedinu osnovu zbog koje bi se trebalo usuglasiti s uredbom, no to nije točno. Specifičnost privole je u tome što, ako ne postoji druga osnova za prikupljanje i obradu osobnih podataka, može se od ispitanika zatražiti dozvola za prikupljanje uz jasno naznačene razloge i načine obrade. Ali i ta da on u svakom trenutku ima pravo povući već danu privolu.

SKUPA NEPRILAGOĐENOST GDPR-U
Kako u mnogim poduzećima postoji velika količina osobnih podataka, potrebno je provesti temeljitu analizu cjelokupnog poslovanja, pa čak i u onom koje ne posluje izravno s potrošačima. Samo se tako može poslovanje postaviti u potpunosti u skladu s uredbom. To za početak znači da bi svaki zaposlenik koji dolazi u neki doticaj s osobnim podacima trebao potpisati izjavu o povjerljivosti, jer je odgovoran za njihovo čuvanje i pravilno postupanje, te da bi sličnu izjavu ili ugovor trebao potpisati i svaki suradnik i partner (dobavljač).

Zbog većeg broja sudionika, opseg primjene uredbe znatno je kompleksniji u poduzećima koje robu ili usluge prodaju potrošačima a pogotovo imaju li i webshop. Kod potonjeg je osobito važno kupcima omogućiti pristup i pregled njihovih podataka i postaviti ih tako da u potpunosti budu zaštićeni, kao i jednostavan pristup i izmjenu danih privola, što za tvrtku znači da će morati o svakom osobnom podatku voditi evidenciju. Broj osobnih podataka progresivno raste u onim poduzećima koja često organiziraju nagradne igre, imaju programe vjernosti i organiziraju tzv. evente, što treba imati na umu kod provođenja usklade poslovanja.

Primjena GDPR-a omogućava i visoke penalizacije nezakonite obrade i korištenja osobnih podataka koja, prema odluci EU, može biti do 4 posto godišnjeg prometa na svjetskoj razini u prethodnoj fiskalnoj godini. No, poduzetnicima bi veći poticaj za uskladu trebao biti njihov korporativni imidž i što bolji odnos sprema kupcu, zaposlenicima i partnerima, pa bi uskladu trebali čim prije utkati u svoju poslovnu kulturu.

Nakon kvalitetnog skeniranja poslovanja, educiranja svih voditelja odjela koji svoja znanja potom šire svojim suradnicima, podizanja razine sigurnosti čuvanja osobnih podataka te angažiranja osobe na mjesto službenika za zaštitu osobnih podataka, ne samo da se udovoljava propisanim pravilima, nego ti koraci i unaprjeđuju poslovanje poduzeća.

ZATVOREN KRUG KVALITETNOG POSLOVANJA
Zbog svega spomenutoga potrebno je intenzivirati provedbu zaštite osobnih podataka u još neobuhvaćenim tvrtkama, ali i educirati građane o njihovim pravima. Krug će biti zatvoren do kraja tek onda kada građani postanu svjesni odgovornosti u odlučivanju s kime i zašto dijele svoje osobne podatke te počnu ukazivati na nepravilnosti. Veliku prednost u čuvanju osobnih podataka donosi digitalizacija poslovanja pa pogled na uredbu treba biti pogled u budućnost i u bolje i kvalitetnije poslovanje.

KOMENTIRAJTE

Please enter your comment!
Please enter your name here