GDPR NAKON TRI MJESECA Tri izazova usklađenja i kako ih riješiti

Filip Jakopović, Customer Success Managerkolovoz 30, 2018.

Primjena GDPR-a traje tri mjeseca. Bilo je mnogo straha i konfuzije među tvrtkama, no prosječni građanin dobio je priliku pristupiti svojim agregiranim osobnim podacima na društvenim mrežama, jasnije objašnjene načine i svrhu obrade tih podataka pri upotrebi programa vjernosti i slanju marketinških materijala na e-adresu

Posljednjih mjeseci pojam GDPR uvukao se u kolektivnu svijest hrvatskih građana, dijelom zbog svakodnevnih članaka na tu temu na portalima i u drugim medijima, dijelom zbog zahtjeva za pristanak poslanih e-poštom koji su iritirali građane. Iza tog pojma stoji Opća uredba o zaštiti podataka (GDPR) koja je stupila na snagu 25. svibnja kad je njezina popularnost na Googleu pretekla Svjetsko prvenstvo koje je bilo pred vratima, ali i brojne svjetske zvijezde poput Rihanne, Beyoncé ili Lionela Messija. Danas, tri mjeseca nakon stupanja Uredbe na snagu, broj pretraga vratio se u uobičajene okvire i mnogi portali prestali su svakodnevno informirati građane i organizacije o obvezama koje će ona uvesti. Rezultat tih članaka nerijetko je bilo produbljenje konfuzije i straha od stupanja na snagu Uredbe i rigoroznih kazni koje propisuje. S druge strane, rezultat Uredbe jasniji su postupci obrade osobnih podataka.

Pristup podacima

Tri su primjera u kojima se prosječni građanin mogao upoznati s Uredbom: mogućnost pristupa svojim agregiranim osobnim podacima na društvenim mrežama, jasnije objašnjeni načini i svrha obrade osobnih podataka pri korištenju programom vjernosti te već navedeno davanje pristanka na slanje marketinških materijala na adresu e-pošte. Povezano s time, tvrtke imaju izazov identificirati osobne podatke u svom posjedu, revidirati ili uspostaviti svoja pravila privatnosti i rukovanja osobnim podacima te utvrditi pravnu osnovu za svaki postupak rukovanja ili korištenja osobnim podacima u svom poslovanju.

Kartice lojalnosti

Mnogi trgovački lanci u Hrvatskoj koriste se programima vjernosti putem kartica, QR koda i sličnoga. Tako je, a da toga često nismo bili svjesni, naše kupovanje postalo predmet analize, a mi sami subjekt profiliranja kojim su lanci nastojali predvidjeti naše kupovne navike. Iako zahtjevi i pravila postoje već dulje, često su bili napisani površno, nedovoljno informativno i detaljno kako bi pojedinac iz njih mogao dobiti jasnu sliku o tome koje osobne podatke pruža tvrtkama, za koje svrhe te što će se s njima raditi. Kao rezultat osobni podaci pojedinaca mogli su biti dijeljeni s trećim stranama bez sankcija, korišteni u svrhe koje nisu inicijalno predviđene te upotrijebljeni na druge načine omogućene nejasnim pravilima privatnosti.. Uredba je tome stala na kraj jasnim obrazloženjem o informacijama koje moraju biti pružene pojedincu pri prikupljanju osobnih podataka. U tjednima pred uvođenje Uredbe brojni lanci izmijenili su pravila privatnosti korištenja programom vjernosti, a neki čak i izdali potpuno nove kartice i programe, sve radi prilagodbe uvjeta privatnosti programa zahtjevima Uredbe.

Spas za e-poštu

Mnogi prijatelji i znanci kao najbolju stranu Uredbe s kojom su se susreli istaknuli su da su nakon mnogo vremena jednostavno mogli filtrirati brojne ‘newslettere’ koji im svakodnevno pristižu u sandučiće e-pošte. Prije stupanja Uredbe na snagu mnoge organizacije koje su naše e-adrese prikupile u razne svrhe jednostrano su odlučile koristiti se njima i za slanje marketinških materijala. Stupanjem Uredbe na snagu sve te tvrtke moraju dokazati da od svakog pojedinca kojem šalju te materijale imaju jasan i nedvosmislen pristanak za njihovo slanje, što većina njih nije imala. Kako ne bi ostale bez mogućnosti slanja marketinških materijala širokim masama, tvrtke su uoči 25. svibnja panično slale zahtjeve za pristanak korisnicima te se nadale što većem odazivu kako se njihov marketinški doseg ne bi znatno smanjio.

Mnogo posla za tvrtke

Da bi doskočile ovim izazovima, tvrtke moraju napraviti niz koraka. Za identifikaciju svih osobnih podataka u tvrtkinu posjedu nužno je revdirati sve poslovne procese do detalja, posebno se fokusirajući na osobne podatke, koje treba znati jasno prepoznati i izdvojiti. Tim postupkom trebaju biti obuhvaćeni svi odjeli i poslovni procesi, interni i eksterni, jer se jedino tako može izraditi cjelovita slika osobnih podataka na razini tvrtke i zadovoljiti zahtjev pojedinaca za pristup svim njihovim osobnim podacima.Rješenje za neodgovarajuća pravila privatnosti njihova je izmjena. Prvi korak pri tome jest identifikacija odstupanja trenutačnog sadržaja i načina komunikacije pravila privatnosti korisnicima od onoga što nalaže Uredba. Pri tome treba imati na umu opseg informacija koje se nude korisnicima u prikupljanju osobnih podataka, način iznošenja pravila privatnosti (moraju biti jasno izdvojena od ostalih pravila korištenja), ali i način na koji korisnik daje pristanak na njih. Na temelju identificiranih odstupanja na tim područjima tvrtke su morale izmijeniti određena područja, ali nerijetko i izraditi sasvim nova pravila privatnosti usklađena s Uredbom. Povezano s time, ali i sa zadnjim izazovom izdvojenim u ovom članku, kako bi izbjegle kazne, tvrtke se moraju koristiti osobnim podacima samo u svrhe za koje imaju pristanak pojedinca. Tvrtke koje su se koristile e-adresama pojedinaca za slanje marketinških materijala morale su analizirati načine na koje su e-adrese prikupljene. Ako je korisnik, primjerice, dao e-adresu pri registraciji na neku web-trgovinu, samim tim nije dao i dopuštenje za slanje promidžbenih ponuda na svoju e-adresu. Upotreba e-adrese kao marketinškog kanala većinom mora biti jasno izdvojena i pojedinac za to mora dati pristanak, također prema uvjetima i na način koji diktira Uredba. Jedino pristanak (privola) dan na odgovarajući način može se smatrati pravnom osnovom za postupak slanja ‘newslettera’ na e-adresu pojedinca.

Praksa se stvara usput

Na temelju tih i mnogih drugih izazove koje tvrtke imaju osnovni zaključak nakon više mjeseci rada na projektima usklađenja jest da je ta tema kompleksna i nova za sve dionike, najviše zato što se ne može preslikati primjer dobre prakse iz drugih zemalja jer je Uredba na isti dan postala obvezujuća za sve organizacije, od BiH do Švedske. Naime, čak i tvrtke izvan EU koje rukuju osobnim podacima građana EU moraju je ugraditi u poslovanje i uskladiti se s njezinim zahtjevima. Ipak, svi možemo aktivno pratiti objave, smjernice i mišljenja Agencije za zaštitu osobnih podataka (AZOP), Europskog odbora za zaštitu podataka (EDPB) ili nekog stranog nadzornog tijela, poput britanskog Information Commissioner’s Officea (ICO). U probijanju kroz tu šumu informacija stručnjaci Sense Consultinga stoje vam na raspolaganju kao vanjska pomoć u postupku usklađivanja.

KORISNI SAVJETI

Što moraju napraviti tvrtke

  • Za identifikaciju svih osobnih podataka koje tvrtka posjeduje nužno je revidirati sve poslovne procese do detalja, posebno se fokusirajući na osobne podatke.
  • Rješenje za neodgovarajuća pravila privatnosti njihova je izmjena. Prvi korak pri tome jest identifikacija odstupanja trenutačnog sadržaja i načina iznošenja pravila privatnosti korisnicima od onoga što nalaže Uredba.
  • Kako bi izbjegle kazne, tvrtke se moraju koristiti osobnim podacima samo u svrhe za koje imaju pristanak pojedinca. One koje su se koristile e-adresom pojedinaca za slanje marketinških materijala moraju analizirati načine na koji su e-adrese prikupljene.