GDPR Upravljanje podacima

Upravljanje privolama

18/11/2017

Upravljanje privolama

Da bi organizacija bila usklađena sa zahtjevima Opće uredbe o zaštiti podataka (GDPR), treba moći upravljati osobnim podacima, treba znati gdje su i kako ih zaštiti. Osim toga, organizacija treba moći ispuniti zakonom definirana prava svim građanima EU čije podatke obrađuje. GDPR se primjenjuje na sve fizičke osobe s državljanstvom neke od zemalja članica Unije (ispitanike), te je potrebno ispunjavati i pratiti zahtjeve ispitanika. U kontekstu tvrtke, ispitanik može biti korisnik, bivši korisnik, fiziča osoba kojoj tvrtka nudi svoje proizvode ili usluge, zaposlenik, kandidat za zaposlenika ili zaposlenik partnera.

Veliki naglasak nove uredbe se stavlja na privole (eng. consent). U Hrvatskoj privole nisu novost jer ih propisuje i aktualni Zakon o zaštiti osobnih podataka. Pitanje je koliko se trenutno tvrtke drže Zakona, budući da su trenutačno kontrole vrlo površne a kazne za nepridržavanje zanemarive. Kazne za neusklađenost koje propisuje GDPR su bitno više, a prava koja ispitanici dobivaju zahtjevaju od organizacija da mogu demonstrirati kako su došle do osobnih podataka i kako ih obrađuju.

Također, definicija privole se s GDPR-om bitno promijenila:

Privola ispitanika je slobodno dano i izričito očitovanje volje ispitanika kojom on izražava svoju suglasnost s obradom njegovih osobnih podataka u određene svrhe.

Privola ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Tablica 1. Na lijevoj strani definicija privole u trenutnom Zakonu o zaštiti osobnih podataka,
na desnoj strani nova definicija privole iz Opće uredbe o zaštiti podataka.

Opća uredba o zaštiti podataka i Zakon o zaštiti osobnih podataka privolama pristupaju na sličan način – ispitanik privolu mora dati svojevoljno te mu moraju biti jasni ciljevi, odnosno svrha prikupljanja njegovih osobnih podataka. Isto tako, ispitanik mora biti obaviješten o tome da u svakom trenu može povući privolu, osim ako obrada podataka nema drugačiju zakonsku podlogu. Međutim GDPR dodatno definira uvjete privole i kaže da voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu njegovih podataka, da je zahtjev za privolu bio razumljiv i pisan jednostavnim jezikom, da ispitanik privolu može povući jednako jednostavno kao što ju je i dao, te da usluga nije bila uvjetovana privolom.

U novoj uredbi također stoji da se privola treba dati jasnom potvrdnom radnjom poput pisane izjave (uključujući i elektroničku) ili usmene izjave. Pod elektroničku pisanu izjavu spada i označavanje polja kvačicom pri posjetu internetskim stranicama, no polje nikako ne smije biti unaprijed označeno. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako ispitanik nema slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica, onda se ne može smatrati da je privola dana dobrovoljno.

Slika 1: Značajke privole

Prema Zakonu o zaštiti osobnih podataka podaci se smiju prikupljati i dalje obrađivati pod uvjetom da postoji privola, u slučajevima određenim zakonom, u svrhu sklapanja i izvršenja ugovora, u svrhu zaštite ili tjelesnog integriteta ispitanika, ako je obrada nužna radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u svrhu zakonitog interesa voditelja zbirke osobnih podataka te ako je ispitanik sam objavio te podatke. Identični razlozi prikupljanja i obrade podataka provlače se kroz točke 40 do 50 Opće uredbe o zaštiti podataka.

Za organizacije koje su se do sada pridržavale aktualnog zakona implementacija zahtjeva GDPR-a trebala bi biti znatno olakšana. Ukoliko nisu, organizacije moraju povećati sigurnost i naučiti upravljati osobnim podacima kako bi bile usklađene s novim pravnim obavezama.

Od početka primjene GDPR-a, 25. svibnja 2018. godine, organizacije moraju skupljati i pohranjivati aktivne privole koje su dane slobodnom voljom. Članak 7 Opće uredbe o zaštiti podataka kaže da „Voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka“.

Znači li to ponovno prikupljanje postojećih privola? Da, ukoliko one nisu usklađene s opisanim GDPR zahtjevima. Vrijeme za organizacije da definiraju proces prikupljanja i obrade privola je puno prije nego se GDPR počne primjenjivati, tako da u svibnju sljedeće godine poslovanje nastave bez primjetnih promjena. Najbolji način za dobivanje ponovnih privola je objašnjenje zašto se to radi i kako se na taj način štite osobni podaci pojedinaca, te koja je njihova korist od toga.

Kako bi se zadovoljio ovaj zahtjev, javlja se potreba za sustavom u kojem bi se mogla voditi evidencija svih ispitanika i danih privola, evidencija aktivnih i neaktivnih privola, te zahtjeva koji su ispitanici dali tvrtki vezano za njihove privole i obradu njihovih podataka. Takav sustav bi uvelike olakšao upravljanje privolama i sve potrebne informacije bile bi dostupne na jednome mjestu – za sve obrade osobnih podataka koje su pokrivene privolom kao pravnom osnovom organizacija treba moći demonstrirati kada je privolu dobila, od koga, kojim kanalom i za koju svrhu. Također treba omogućiti ispitanicima i da privolu na jednako lagani način povuku pri čemu je zakonska odgovornost tvrtke da u tom slučaju njihove podatke više ne obrađuje u sklopu procesnih aktivnosti za koje je privola pravna osnova.

Procesi obrade koji konzumiraju osobne podatke ispitanika moraju znati razlučiti da postoje dovoljni uvjeti za početak procesa obrade nad ispitanikom, što uključuje privole. Samim time, upravljanje privolama postaje ključan faktor u procesima koji pružaju podršku poslovanju i daju podlogu za donošenje poslovnih odluka. Krivi koraci u ovakvim procesima, mogu, ali i ne moraju rezultirati korektivnim mjerama, međutim vrlo je izvjesno da bi pogreške u takvim procesima utjecale na brand i vjernost kupaca, a to je teško izmjeriti.

Consent Lifecycle Manager (CLM) platforma je rješenje Poslovne Inteligencije koje je jedinstveno na tržištu i koje organizacijama omogućava jednostavno i intuitivno upravljanje životnim ciklusom privola i zahtjeva subjekata.

Slika 2. Procesi podržani CLM platformom

CLM podržava sve glavne procese vezane za životni ciklus privola i upravljanje zahtjevima subjekata vezanim za njihove osobne podatke, počevši od procesa prikupljana i evidencije privola, preko upravljanja svrhama privola, upravljanja aktivnostima procesiranja, te integracijom podataka o privolama i zahtjevima korisnika s drugim sustavima tvrtke, bilo kroz uvoz / izvoz podataka ili pozivima otvorenih aplikacijskih programskih sučelja (API). CLM vodi i povijest svih promjena vezanih za privole subjekata i njihove zahtjeve.

Dodatno, CLM platforma je centralna aplikacija koju će koristiti službenik za zaštitu osobnih podataka (eng. Data Protection Officer – DPO), koja će mu omogućiti nadzor nad svim procesima vezanim za privole subjekata, uključujući i jednostavne, pregledne i konfigurabilne nadzorne ploče i detaljne izvještaje o svim zahtjevima i aktivnostima i njihovim statusima.

Slika 3. CLM nadzorna ploča za službenika za zaštitu osobnih podataka

Može se reći da praktično svaka tvrtka koja ima odnos s većom brojem subjekata koji je reguliran privolama, te koja treba ispunjavati zahtjeve subjekata definirane uredbom, treba CLM platformu kao dio procesa usklađivanje tvrtke sa zahtjevima uredbe.

Više o našoj CLM platformi možete naći na našoj facebook CLM stranici ili na našem web-odredištu, na kojem također možete skinuti detaljnu brošuru i prijaviti se za demo i konzultacije