Opća uredba o zaštiti podataka, popularni GDPR, stupio je na snagu prije godinu dana. Puno toga još uvijek nije jasno oko primjene te Uredbe, vjerojatno ni neće biti još neko vrijeme. Stručnjaci kažu kako sve ovisi na koji način se shvaća Uredba i koliko detaljno je netko pročitao regulativu.
- Unatoč prethodnom Zakonu o zaštiti osobnih podataka i naporima AZOP-a, smatram da Hrvatska i zemlje regije dosad nisu imale raširenu kulturu zaštite osobnih podataka ni pojam o vrijednosti osobnog podatka. Što se tiče različitih interpretacija članaka same Uredbe, mišljenja koja po tom pitanju treba uzimati kao relevantna jesu ona od AZOP-a. Naime, ovo je kompleksna regulativa na samom početku primjene. Sigurno je da će biti mnogo nejasnoća prije nego se iskristalizira najbolja praksa - kaže stručnjakinja za GPDR Natalija Parlov Una, direktorica tvrtke Apicura.
U razgovoru za Lider otkriva zanimljive načine kako pravilno primjenjivati GDPR i možete li na mobitel nazvati direktora druge tvrtke čiji broj trenutno nemate.
Zbog manjka prakse postoje brojni problemi. Jednostavan primjer – kao poslovni ljudi razmijenimo vizitke. Ime, prezime, mail adresa, broj mobitela. Je li to osobni podatak? To su osobni podaci. Ako ste te podatke sami dali drugoj osobi tako da ste joj dali svoju posjetnicu, to se može interpretirati kao želja za kontaktom s tom osobom, odnosno poslovnim subjektom kojeg predstavlja i ona samim time može kontaktirati vas kao predstavnika vaše tvrtke i ponuditi vam svoje usluge.
Konkretno, moja mail adresa u Lideru javno se objavljuje svakoga tjedna tisućama ljudi. Može li mene ‘Ivan Ivić‘ kontaktirati i ponuditi mi neki proizvod? Ukoliko i dalje govorimo o kontaktu poslovnih ljudi, može, ukoliko je riječ o kontaktu prema vama u svrhu ponude usluga i proizvoda vašoj kompaniji, ali ako mu kažete ‘ne zanima me i hvala‘, s time ste mu dali do znanja da ne želite daljnji kontakt i takva obrada treba prestati, a voditelj obrade ukloniti vaše podatke. Tako proizlazi iz odredaba Zakona o elektroničkoj komunikaciji, a slično smo vidjeli i u mišljenjima europskih nadzornih tijela i AZOP-a.
OK, a što je sa Sudskim registrom? Tamo su objavljena imena i prezimena direktora, vlasnika tvrtki u Hrvatskoj, zajedno sa njihovim adresama i OIB-om. Postoji zakonsko uporište za takvu obradu i objavu.
Tako je, no može li marketinška agencija ili bilo koji poslovni subjekt poslati ponudu poštom za neki proizvod ili uslugu na navedenu adresu stanovanja osobe navedene u Sudskom registru? Dobro pitanje. Osobe u sudskom registru predstavljaju društvo prema javnosti i ta objava ima svoje razloge utemeljene u propisima koja uređuju trgovačka društva i sam registar. Ukoliko mislite na prodaju roba ili usluga tim osobama kao fizičkim osobama, a ne kao osobama koje zastupaju poduzeće, mislim da se u tom slučaju radi o sljedećem – da se u marketinške ili prodajne svrhe koristi podatak koji za to nije namijenjen, a to prema mom mišljenju ne bi bilo dopušteno. Ukoliko je riječ o ponudi proizvoda ili usluga poslovnom subjektu, zašto ga ne pošalju na adresu društva?
To je siva zona GDPR-a. Poduzetnik koji se, recimo bavi čišćenjem ureda ili prodaje registratore, ima legitimni interes na ovaj način kontaktirati direktora tvrtke. Oprezno s legitimnim interesom u kontekstu marketinga i elektroničkih komunikacija. Legitimni interes je u najvećem broju slučajeva krivo protumačen, odnosno mnogi su uvjereni da ga imaju, dok ga u najvećem broju slučajeva zapravo nemaju. Gotovo svaki subjekt s kojim smo do sada radili smatrao je da ima legitimni interes prikupljati i obrađivati sve osobne podatke koje je prikupljao, a za koje ne postoji zakonska osnova ili ne posjeduje privolu ispitanika. Ono što možete jest kontaktirati pravne subjekte na njihove generičke e-mail adrese zato što to nije predmet Uredbe i ne ugrožava prava i slobode ispitanika. I mi smo vrlo često oprezni s klasifikacijom legitimnog interesa, kontaktiramo AZOP i tražimo njihovo mišljenje.
No, stekao sam dojam da AZOP neće odmah novčano kažnjavati subjekte zbog kršenja odredbi GDPR-a, nego da će prvo upozoravati i tražiti da poduzetnici poprave ono što ne rade dobro. Je li to AZOP ikada službeno rekao? Nije mi poznato.
Prije nekoliko mjeseci gradonačelnik Bjelovara Dario Hrebak pokrenuo je inicijativu da se javno objave svi podaci o tome tko prima i koliko subvencije iz gradske blagajne. Cilj mu je apsolutna transparentnost proračuna. No, ne zna smije li to objaviti zbog GDPR-a? Pročitala sam puno o tom slučaju. Informacije s kojima baratam su isključivo one objavljene u medijima. Iz tih informacija nije poznato koje točno podatke gradonačelnik želi objaviti, što je vrlo bitna informacija, koje su to kategorije ispitanika te o kojim se subvencijama radi. Ono što znamo jest da je tijelo lokalne vlasti odlučilo transparentnije pokazati na što se troši javni novac svojim građanima, što je u svakom slučaju pohvalna stvar. U zakonu o pravu na pristup informacijama imamo test razmjernosti i javnog interesa kojeg tijela javne vlasti provode prije nego ograniče pristup podacima. Dakle, tu je i pitanje ugrožava li se dostojanstvo čovjeka ili ne. Možda netko ne želi da se javno zna da prima socijalnu pomoć ili stipendiju grada. Možemo nagađati, ali bolje je da tumačenje prepustimo Agenciji.
Često smo do sada svoje osobne podatke ostavljali posvuda. Primjerice, za razne loyalty kartice smo znali ustupati sve podatke osim krvne grupe, da se figurativno izrazim. - Često se to svede na prekomjerno prikupljanje podataka. Sada, prema Uredbi, za svaki podatak koji se prikuplja u određene svrhe, bez obzira tko ga i gdje prikuplja, treba biti naznačena točna svrha i način obrade, kao što i ispitanicima trebaju biti zajamčena sva prava prema Uredbi. AZOP i druga europska nadzorna tijela, sukladno resursima kojima raspolažu, aktivno rješavaju prijave povrede prava ispitanika i prekomjernih prikupljanja podataka. Objavama njihovih službenih mišljenja, polako se utire i put ka boljem razumijevanju svih odredbi Uredbe.
Nedavno ste izjavili kako tvrtke gube novac zbog pogrešne primjene GDPR. Kako? - Da, to je zapravo rezultat opsežnog istraživanja kojeg smo radili. Mnogi su masovno tražili pristanak ispitanika za daljnju obradu, a da velik udio njih to nije niti trebao napraviti, odnosno imali su valjan digitalni trag o postojanju privole korisnika na tu listu. Naime, u tim slučajevima, tvrtke su mogle nastaviti komunicirati s dosadašnjim korisnicima i partnerima, uz uvjet da korisnicima daju mogućnost otkazivanja buduće komunikacije. Mnogi su zbog toga izgubili puno vremena i novca, kao i nemjerljivo vrijedne podatke korisnika koje su zapravo mogli, pažljivije evaluirajući osnovu obrade, koristiti i dalje. Ovo nije karakteristično samo za Hrvatsku već se vidjelo i širom Europe.
Dobro, ali kako su izgubili novac. Rijetki su pročitali te e-mailove, a još rjeđi su bili oni koji su ih kliknuli te na njih povratno odgovorili privolom. Drugi propust je bio u tome što poduzetnici nisu dobro razumjeli razliku između obavijesti ispitanika o obradi i specifičnih okolnosti oslanjanja na privolu te posljedično i kriterija za traženje i dokumentiranje adekvatne privole prema standardima Uredbe. U slučaju kad poduzetnici nisu imali dokaz o postojećoj prethodnoj suglasnosti pretplatnika na listu te u nedostatku nekog drugog pravnog temelja takve obrade, najčešće adekvatno procijenjenog legitimnog interesa uslijed postojećeg odnosa primatelja i društva, trebalo je poslati e-mail sa zahtjevom za ažuriranjem profila i upoznavanjem s uvjetima obrade i upotrebom osobnih podataka.
No i mnogi GDPR konzultanti nisu imali jedinstveni stav o tome treba li i li ne treba nova privola. Taj disbalans promatramo još od početka 2017. godine i mogu reći da su se dogodili veliki pomaci s obzirom na razjedinjenost raznih struka u interpretacijama samih odredbi Uredbe. To se često događalo u počecima njezine primjene, a polako se gubi kroz interpretacije europskih i domaćih nadzornih tijela. Sve je više prakse, mišljenja i smjernica koje daju konkretne odgovore.
Mnogi su izgubili klijente tada. Prosjek davanja privole tada je bio samo 11 posto. Recimo poduzetnicima kojima je newsletter bio glavni prodajni kanal, taj postotak je nemjerljiv gubitak upravo zbog krive interpretacije Uredbe.
I što nakon toga? Krenuti ispočetka.
Kako? Ako si mali poduzetnik i newsletter je glavni prodajni kanal, kako nadomjestiti gubitak od 89 posto klijenata, a da je u skladu s GDPR-om? Kao netko tko se godinama bavi i bihevioralnim marketingom, mogu reći da takav poduzetnik mora snažno krenuti u promociju kroz druge dostupne kanale. Nema izbora. I zato ga to košta, ne samo propuštenog prihoda dok ih ponovno prikupi i stekne njihovu lojalnost, već uvećano za troškove ponovnog privlačenja tih istih potrošača.
Može slati e-mailove na generičke adrese tvrtki, ali je mala vjerojatnost da će uspjeti. Može slati i na mailove direktora, ako su javno objavljeni, zar ne? Recimo imamo tvrtku Firma.hr. Na njihovoj stranici piše da je direktor ‘Ivan Ivić‘ i tamo je objavljena mail adresa tog direktora. Ovdje mogu iznijeti samo i isključivo moje mišljenje. Dakle, direktora Ivana Ivića možete kontaktirati jednom i ponuditi mu nešto. Ako on odbije daljnji kontakt, ne smijete ga više kontaktirati.
A što je s telefonskim pozivima? Osobno dobivam brojne pozive na mobitel i gdje mi netko kaže da sam osvojio večeru u nekome restoranu. Kada pitam od kuda im moj broj, kažu iz telefonskog imenika i računalo nasumično odabralo. - Pitate me smiju li vas osobno zvati call centri. Ne znam je li vaš broj mobitela javno objavljen ili kako do vas dolaze pozivi.
Gotovo je svačiji objavljen, ako izričito ne naglasite da ne želite da bude objavljen. Ne znam zašto bi bio objavljen i ne bih se složila s tom ocjenom. Postoji Registar ‘ne zovi‘ od HAKOM-a gdje možete vidjeti je li broj u registru ili nije, ali registri telefonskih brojeva koje vode operateri telekom usluga u pravilu sadrže samo brojeve čiji su korisnici dopustili objavu.
Primjerice, spojimo dvije javne baze. Imamo sudski registar koji objavljuje podatke ovlaštenih osoba i vlasnika tvrtki. S druge strane imamo telefonski imenik. Dakle, uzmem ime iz sudskog registra i potražim ga u imeniku. I dobijem vaš broj mobitela. A nudim usluge čišćenja ureda. I nazovem tog direktora i ponudim mu uslugu. Je li to povreda GDPR-a? Sve su to javni podaci. Ako sam vas dobro shvatila riječ je o b2b pozivu osobi čiji broj telefona nije u Registru ‘ne zovi‘? Načelno, takav je poziv dopušten osim ako vam osoba nije već prigovorila da ne želi primati vaše pozive.
Koje su najveće greške, odnosno bedastoće oko GDPR-a? Suvišno traženje privole gdje je pravna osnova obrade ugovor ili neki drugi primjenjiva osnova bila bi najčešća pogreška koju primjećujemo i kod poduzetnika, i kod uprave i ustanova. Nejasnoće oko uloge voditelja i izvršitelja. Fokus na dokumente, ne na same procese obrade.
Čini mi se da je privola postala zakon iznad svih zakona. Privola je samo jedna od mogućnosti. Možda je primjenjiva pravna obveza, ugovor, legitimni interes...
Zašto onda na hitnim prijemima u bolnicama traže privole? Ovisi od slučaja do slučaja. Sasvim sigurno da vas ne bi trebali tražiti privolu za slučaj kada su im vaši podaci potrebni da vam pruže hitnu liječničku pomoć jer za to imaju uporište u zaštiti vaših ključnih interesa, života i zdravlja.
Ako sam došao kod doktora i ispunio podatke, e-mail, broj mobitela i adresu, što će im privola? O kakvoj obradi je riječ, u koju svrhu? To sve mora biti propisano u aktima bolnice, evidentirano u evidenciji aktivnosti obrade, imati pravnu osnovu obrade.
Nije li besmisleno tražiti privolu? U praksi se vidi čest slučaj traženja privole za situacije u kojima je temelj obrade ugovor, pravna obveza ili obavljanje javne dužnosti, pa se građane dovodi u zabludu da je riječ o obradi za koju mogu uskratiti privolu.
Poslovni ljudi u svojim mobitelima imaju brojeve mnogih ljudi. Novinari imaju brojeve koje su skupljali godinama. Te brojeve možda su dobili izravno ili preko treće ili četvrte ruke. Što s time? Vi kao fizička osoba?
Kao novinar. Nazvao sam prijatelja i tražio ga broj od ministra jer ga nemam. Koja je svrha poziva?
Trebam komentar. Vi predstavljate medij. On je ministar i javna osoba. Rekla bih da javni interes ovdje preteže nad zaštitom osobnih podataka.
Ok, direktor sam tvrtke. Trebam broj direktora druge tvrtke zbog sklapanja posla ili suradnje. Što u tome slučaju? Pitate kako doći do broja telefona ili koristiti broj koji ste od nekog dobili? Nazvat ćete generički broj s internetske stranice i dobit ćete tajnicu ili nekoga.
Ali baš mi treba broj mobitela. Ako je dostupan na stranicama njegove tvrtke, u javnom imeniku ili ste broj dobili od poznanika, a provjerili ste da njegov broj nije u registru ‘ne zovi‘ i nije vas već ranije zamolio da ga ne zovete, mišljenja sam da ga možete nazvati. Za očekivati je da će poslovni ljudi službeni broj mobitela ostaviti dostupnim potencijalnim kontaktima, ali to je i dalje osobni podatak, pa ako zatraže prestanak obrade ili broj daju u Registar ‘ne zovi‘, tada nećete moći zvati u tu svrhu.