Upravljanje privolama
18.09.2017 • 4 minutes read


Stupanjem GDPR-a na snagu, voditelji obrade osobnih podataka morat će dobiti privolu ispitanika za obradu osobnih podataka (osim u slučajevima kad je obrada npr. zakonski utemeljena). Privola mora biti precizna, dobro informirajuća i nedvosmislena te mora biti kristalno jasno za što će se ispitanikovi podaci koristiti. Isto tako, ispitanik će morati biti dobro obaviješten o tome i osjećati se slobodnim donijeti odluku hoće li dati privolu. Nepotpunost, nečitljivost, nepoštenost i dvosmislenost neće se više tolerirati.

 

Kad treba tražiti privolu?

 

  • Kada se traži unos (novih) osobnih podataka, osim ako se primjenjuje jedan od izuzetaka (primjerice, obrada podataka „za obnavljanje ugovora“, članak 6)
  • Kod promjene ili davanja nove svrhe obrade već prikupljenih podataka
  • Poseban slučaj uključuje traženje potvrde privole pri promjeni uvjeta poslovanja ili politike privatnosti – voditelj obrade podataka daje službeno očitovanje kojim se obavezuje na koji će način rukovati osobnim podacima, dijeliti ih i štititi

 

U redu je zatražiti adresu isporuke za knjigu koju je kupac naručio u online knjižari. No, dobijete li privolu za tu informaciju, ne možete je koristiti ni za što drugo osim u svrhu za koju ste je zatražili (na kojoj je također precizirana informacija, razlog i razdoblje čuvanja podataka). Dakle, u slučaju traženja informacije adrese isporuke, dovoljno je kod adresnog polja napomenuti da će se adresa upotrijebiti samo za slanje knjige.

Prihvatljivo je zatražiti broj mobitela kako biste mogli kontaktirati kupca u slučaju problema ako precizno navedete svrhu i prepustite kupcu izbor davanja broja. No, naravno, broj telefona ne smijete koristiti ni u kakve druge svrhe u budućnosti. Najbolje je sačuvati ga oko mjesec dana ili zatražiti od korisnika privolu da informaciju čuvate na dulje vrijeme za buduće narudžbe.

Za posebne kategorije osobnih podataka poput biometrijskih ili genskih podataka, rasnog ili etničkog podrijetla, političkih stajališta, sindikalnog članstva, zdravlja ili spolnog života i sl., uvijek morate tražiti privolu. Ovakva privola se u zakonu naziva „Izričita privola“ (ne odnosi se samo na te kategorije) i znači da ispitanik mora izvršiti akciju, tj. čin potvrde poput označavanja kvačice u polju za označavanje. Kvačica služi kao potvrda da je dopušteno korištenje unesene informacije u navedene svrhe.
 

Od koga treba tražiti privolu?

 

GDPR se primjenjuje na sve građane EU, odnosno na sve fizičke osobe s državljanstvom neke od zemalja članica EU ili one čiji je građanski status drugačije riješen. Time se, s aspekta organizacije, problematika privola primjenjuje na:

  • Zaposlenike
  • Poslovne partnere / pružatelje usluga
  • Klijente (korisnike) / građane / treće pravne osobe

 

Ispitanici iz svih navedenih kategorija imaju jednaka osobna prava te se za sve njih moraju primijeniti jednaka pravila. Razlike u pristupu mogu biti uvjetovane oblikom odnosa (primjerice, privola zaposlenika može biti zakonski utemeljena), kao i motivacijom postizanja dobre reputacije (npr. na klijenta s jednokratnim interesom može se više utjecati demonstracijom sukladnosti i poštivanja njegovih prava nego na poslovnog partnera čiji je direktni interes dugotrajne prirode).

 

Prikupljajte osobne podatke pošteno i transparentno

 

Kako bi obrada podataka bila poštena, voditelj obrade mora ustupiti određene podatke ispitanicima:

  • Tko je voditelj obrade
  • Koja je svrha obrade podataka
  • Koji se osobni podaci prikupljaju
  • Koliko traje razdoblje korištenja/čuvanja podataka
  • S kime će se podaci dijeliti i kako će se osigurati adekvatna razina njihove zaštite
  • Kojim su službenim dokumentom (pravnim aktom) pokrivena prava i obveze ispitanika i voditelja obrade – dati ga na uvid
  • Sve ostale nužne informacije kako bi obrada u određenim uvjetima bila poštena

 
Biti transparentan pružajući obavijest o privatnosti vrlo je važan korak poštene obrade. Ne možete biti pošteni ako ne kažete iskreno i otvoreno tko ste i što ćete raditi s osobnim podacima koje prikupljate.
 
Glavni elementi poštenosti uključuju:

  • Transparentnost kako bi ispitanici znali kako će se njihovi podaci koristiti (uključuje pružanje obavijesti o privatnosti)
  • Obradu podataka na način koji ispitanici očekuju, odnosno, poštujući sve unaprijed navedene obveze i načine prikupljanja, obrade, dijeljenja, čuvanja/pohrane i brisanja podataka
  • Poštivanje svih vezanih zakonskih i etičkih načela

 

Je li jednom dana privola uvijek valjana?

 

Ako obrada privole nije zakonski utemeljena (pri čemu nije potrebna diskrecijska privola), korisnici (ispitanici) imaju pravo opozvati svoju privolu u bilo kojem trenutku i potrebno ju je moći povući jednako lako kao što je i dana. (Kod diskrecijske privole ispitanik sam odlučuje daje li privolu ili ne.)

Postoje dodatni zahtjevi koji se primjenjuju na traženje privola za djecu u dobi od 13-16 godina (ovisno o nacionalnoj regulativi zemlje članice EU). Oni uvjetuju prilagodbu informacija dječjem uzrastu i istovremeno traženje privole roditelja/skrbnika (osim u slučajevima kad ovlaštene institucije izravno djetetu pružaju usluge savjetovanja).

Također, nije dozvoljeno nuditi uslugu koja zahtijeva obaveznu privolu za podatke koji nisu nužni kako bi se usluga ponudila. Primjerice ne možete tražiti, čak ni s privolom, informacije koje nećete koristiti kako biste ponudili uslugu i reći da je ta informacija uvjet. Prikupljanje podataka bez svrhe ili definirane buduće upotrebe više nije moguće.

 

Procesi prikupljanja privola

 

Osobni podaci mogu biti prikupljeni u posebne, izričite i zakonite svrhe te se ne smiju obrađivati na način koji nije u skladu s tim svrhama i u svakom trenutku mora biti omogućeno povlačenje/uskraćivanje privola. Sukladno tome, organizacije moraju osigurati efikasno upravljanje privolama te uvesti sustav upravljanja. Sustav upravljanja privolama mora osobama čiji se podaci prikupljaju omogućiti kontrolu i pregled korištenja njihovih osobnih podataka. Istovremeno, taj sustav mora organizaciji omogućiti sukladnost s GDPR-om.

Tri osnovna procesa (nije ograničeno samo na njih) koji moraju biti implementirani unutar sustava upravljanja privolama:

  • Informiranje pojedinaca – pojedinac mora biti obaviješten o svrsi prikupljanja, odnosno uporabe njegovih osobnih podataka i o pravu na privatnost.
  • Upravljanje granularnim privolama (privole ovisne o svrsi obrade podataka)- nakon što bude obaviješten o svrsi prikupljanja (uporabe) njegovih osobnih podataka, sustav mora omogućiti jednostavno davanje privola sukladno zakonu.
  • Upravljanje podacima (data management) – sustav mora omogućiti pristup podacima kao i upravljanje privolama (i njihovo povlačenje) te voditi evidenciju (zapise) o svim promjenama kako bi organizacija mogla odgovoriti na zahtjeve regulatora.

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Komentari

Vaša email adresa neće biti objavljena