Iako uredba o GDPR-u stupa na snagu već u petak, 25.5.2018., vjerujemo da se zbog mnogih nejasnoća, ponekih nedorečenosti i prečestog različitog tumačenja istih stavki od strane savjetnika, još uvijek kod velikog broja poslovnih subjekata čeka na dodatna pojašnjenja i primjere dobre poslovne prakse u primjeni te odredbe.
Međutim, treba pritom dobro pripaziti, jer kazne za nepoštivanje uredbe dosežu vrtoglave iznose (za poduzetnike i do 4% godišnjeg prometa), stoga je zabrinutost itekako opravdana i svakako preporučamo da, ako to već niste učinili, krajnje ozbiljno pristupite problematici i što prije uskladite svoje poslovanje s novi odrednicama zaštite podataka, prije svega onih osobnih.

KUH je, vezano uz primjenu uredbe, u više navrata putem KUH Newslettera obavještavao i pozivao članove na radionice koje su se na temu primjene uredbe organizirale u svim dijelovima Hrvatske. Na istima smo, od nekoliko specijaliziranih poslovnih savjetnika, imali priliku saznati da, nažalost, ne postoji standardizirani model primjene uredbe, a koji bi vrijedio za sve kampove.

Naime, s obzirom na različite načine korištenja i ophođenja s osobnim podacima (koji se razlikuju od subjekta do subjekta) te na činjenicu da se poslovni procesi unutar poduzeća uvelike razlikuju i nisu standardizirani, nije moguće dati jedinstvene preporuke.
Primjerice, primjena uredbe ne ovisi nužno o veličini poslovnog subjekta i može biti mnogo skuplja i kompliciranija kod malog poslovnog subjekta (s nekoliko djelatnika) nego kod velike firme. Stoga, bez detaljnijih razgovora i kompletnog uvida u poslovni model, nije moguće dati točnu procjenu troška i potrebnih aktivnosti. Ujedno, savjetnici iskreno predlažu da se, zbog potrebe česte komunikacije i interakcije, što njima uvjetuje veću cijenu zbog izraženog rasta putnih troškova, u svakom slučaju nastoji pomoć potražiti od lokalne savjetodavne firme.

Što je to GDPR?
GDPR treba shvatiti kao skup odrednica i preporuka kako postupati s osobnim podacima, a svaka organizacija mora sama za sebe definirati koji segmenti poslovanja eventualno nisu u skladu s njezinim naputcima.
Valja napomenuti da zaštita osobnih podataka nije novost te da joj se i do sada posvećivala velika pažnja, stoga su vjerojatno mnoge tvrtke velikim dijelom već usklađene s novima odredbama.

Odnosi li se Uredba na sve kampove i depote?
Da, uredba o GDPR-u odnosi se na sve subjekte koji posluju unutar EU-a ili subjekte izvan EU-a koje posluju s europskim građanima, pa tako i na sve kampove (budući da je riječ o uredbi Europske unije, ona se izravno primjenjuje u svim državama članicama).
Cilj GDPR uredbe je da na razini EU-a ujednači postupanje s osobnim podacima i da pojedincima omogući više kontrole nad upravljanjem i dijeljenjem osobnih podataka, a to će se značajno odraziti na način kako smo se do sada odnosili prema osobnim podacima ne samo naših gostiju, već i naših zaposlenika.

Što će se promijeniti?
Većina poslovnih subjekata, pogotovo onih bez jasno formuliranih poslovnih procesa (standardnih operativnih procedura), morat će radikalno promijeniti način na koji prikupljaju, obrađuju i pohranjuju osobne podatke.
Od sada se za svako korištenje osobnih podataka (a koje nije propisano zakonom) mora dobiti izričit pristanak u pisanom ili elektronskom obliku, tzv. privolu, i to za svaku željenu svrhu. I ne, ona se više ne smije podrazumijevati, tj. ne smije biti u implicitnom obliku (npr. „Rezervacijom na našim web stranicama prijavili ste se na naš newsletter te pristali na ciljano oglašavanje i prosljeđivanje svojih podataka partnerskim tvrtkama.“).
Uz ishođenje same privole naglasak je stavljen na važnost informiranja svakog pojedinca za što će se točno koristiti traženi podaci, kako, gdje i koliko dugo će se oni čuvati, tko će im moći pristupiti te nakon kojeg perioda će biti obrisani.
Privola i informiranost korisnika temeljna su načela ove Uredbe, stoga ih je potrebno imati u vidu prilikom definiranja svakog segmenta poslovanja.

Smijem li i dalje koristiti podatke svojih gostiju?
Da, no pritom je ključno da svakom pojedincu u svakom trenutku omogućite da zatraži uvid u podatke koje o njemu čuvate, da vam uskrati ranije danu privolu za sve ili neke aspekte korištenja te da može ostvariti „pravo na zaborav“, tj. brisanje apsolutno svih podataka koje o njemu imate. Naravno, to se ne odnosi na podatke koje ste dužni čuvati po zakonskoj osnovi, npr. unutar e-Visitora, računovodstvenog sustava ili pak ugovora sa svojim zaposlenicima, no i o tome bi pojedinac trebao biti jasno obaviješten (u tiskanom ili elektronskom obliku).
Dakle, GDPR ne zabranjuje da i dalje koristite osobne podatke svojih gostiju i zaposlenika, ali činjenica je da to više nećete moći raditi bez njihova prethodna pristanka i bez da ste ih jasno informirali o načinu korištenja tih podataka.

Što se smatra osobnim podatkom?
Kao i kod mnogih odrednica propisanih GDPR-om, ni ovdje ne postoji konsenzus, no možemo zaključiti da je to svaki podatak koji se izravno ili neizravno može povezati s identitetom korisnika. Ovisno o kontekstu, to mogu biti ime, adresa, e-mail adresa, IP/MAC adresa, kolačići (cookies), telefonski broj, OIB, snimke, podaci o obrazovanju, plaći zaposlenika, itd.
Uredbom je osobni podatak podignut na razinu osnovnog ljudskog prava, stoga svaka obrada takvih podataka mora poštovati temeljna prava i slobode pojedinca.

Kako će se Uredba odraziti na svakodnevno poslovanje?
Neupitno je da će Uredba zakomplicirati poslovanje, pogotovo manjim tvrtkama koje do sada nisu imale standardiziranu praksu ophođenja s osobnim podacima.
Ujedno to može biti i prilika da jasnije definiramo procese unutar vlastitog poduzeća i tako poboljšamo učinkovitost svoga poslovanja, ali i da se zaštitimo kako od mogućih tužbi gostiju, tako i od sankcija nadležnih tijela.

GDPR na primjeru iz svakodnevne prakse:
Prijava u e-Visitor - gost će prilikom dolaska u kamp i dalje morati dati na uvid svoj osobni dokument za potrebe prijave boravka u kampu, budući da je riječ o zakonski propisanoj obvezi, no više se nikako ne preporučuje skeniranje/fotokopiranje ili čuvanje dokumenata, s obzirom da se to smatra prekomjernom obradom i zadržavanjem podataka, što može dodatno zakomplicirati procedure zaštite osobnih podataka.
Također, spremanje osobnih dokumenata u bilo kojem obliku više neće biti moguće bez izričitog pisanog pristanka gosta na takvu obradu, a pritom gostu morate jasno naznačiti tko će i na koji način imati uvid u njegove osobne podatke, koliki ćete ih čuvati, kako će biti pohranjeni, na koji način gost može dobiti uvid u sve podatke koje o njemu čuvate te kako može zatražiti da izbrišete sve njegove podatke („pravo na zaborav“).
Ako ćete pak podatke, osim za prijavu u e-Visitor obrađivati i koristiti u druge svrhe, koje nisu propisane zakonom (npr. za slanje newslettera, ponuda i novosti te prosljeđivanja podataka trećim stranama), također ste obavezni ishoditi pisanu privolu kojom će gost dati svoju izričitu suglasnost za svaku pojedinu primjenu (ponavljamo, nisu dopuštena sitna slova koja podrazumijevaju da se potpisom daje privola za nespecificirane načine obrade i korištenja).

Zaključak
Krajnje je vrijeme da svako poduzeće preispita svoje postupanje s osobnim podacima, odredi svoju ulogu unutar GDPR-a te odgovori na pitanja zašto i kako prikuplja podatke te na koji ih način sprema i koristi.
Pritom valja imati na umu da svi poslovni procesi unutar poduzeća moraju biti jasno definirani te da svaka obrada podataka mora biti usklađena sa zakonom, a ujedno i poštena te transparentna prema pojedincu čiji se podaci prikupljaju.
Službeno nadzorno tijelo koje će provoditi nadzor provođenja GDPR regulative na području RH je AZOP (Agencija za zaštitu osobnih podataka).

Više o Uredbi možete saznati na sljedećim linkovima:
1. Tekst Uredbe EU 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podataka
2. Vodič kroz Opću uredbu o zaštiti podataka
3. Zakon o provedbi opće uredbe o zaštiti podataka
4. Je li moje poslovanje sukladno odredbama GDPR-a
5. Kako će se GDPR odraziti na e-mail marketing

... i posljednje
Ovisno o vašoj organizaciji i tumačenju savjetnika, neki od dokumenata koji bi vam mogli biti potrebni za usklađenje jesu:
• Dijagram toka podataka
• Informacije o obradi - za web stranicu
• Kategorije osobnih podataka
• Opći uvjeti poslovanja (dio koji se odnosi na zaštitu osobnih podataka)
• Politika informacijske sigurnosti
• Politika pohrane podataka
• Politika zaštite osobnih podataka
• Procedura upravljanja incidentima
• Registar evidencije povrede podataka
• Roditeljska privola
• Službenik za zaštitu podataka - opis poslova
• Tablica evidencije obrade podataka

• Podijeli na Twitteru
• Podijeli na Facebooku