Kako poslovati u skladu s Uredbom o zaštiti osobnih podataka

Turistička predsezona 2018. već je počela, pripreme za punu sezonu privode se kraju i svugdje na Jadranu osjeti se zahuktavanje turističkih aktivnosti.

No, ova godina nije bez problema i izazova, a uz vrlo veliki problem radne snage, poduzetnike i sve ostale iz sektora čeka i implementacija famoznog GDPR-a, odnosno Opće uredbe o zaštiti podataka. Koliko je aktualna ova tema pokazao je i veliki odaziv predstavnika turističkih tvrtki, obrta i institucija na nedavno predavanje HGK i Agencije za zaštitu osobnih podataka, za koje su zbog iznimnog odaziva morali u Zadru tražiti veću dvoranu od prvotno dogovorene.

S druge strane, usprkos velikom interesu, tek nekoliko ruku podignutih na pitanje - tko je pročitao Uredbu, pokazuje da se velika većina turističkog sektora na nove obaveze još nije niti počela pripremati i da o novim izazovima nemaju pojma.

Zaštita podataka

Zaštita osobnih podataka nije ništa novo, bilo na nacionalnoj ili europskoj razini. U našem je Ustavu od samih početaka neovisnosti zaštita osobnih podataka i privatnosti postavljena kao zaštićeno pravo. Na europskoj razini je to temeljno pravo, dio je Povelje o temeljnim pravima, Lisabonskog ugovora i drugih međunarodnih dokumenata.

Kod nas se počela ta europska razina zaštite osobnih podataka implementirati još od 2003. godine Zakonom o zaštiti osobnih podataka na temelju EU direktive iz 1995. godine. No, kako je kazala viša savjetnica u Agenciji za zaštitu osobnih podataka Ivana Žiljak, vrijeme se promijenilo.

"Te 1995. godine još nije bilo tražilica, nije bilo društvenim mreža u sadašnjem obimu, ekonomija zasnovana na osobnim podacima bila je u povojima sa 50 milijuna korisnika, dok je danas gotovo šest milijardi korisnika interneta. Osobni podaci su danas vitalni resurs, neki ga zovu digitalno zlato, drugi ga zovu digitalna nafta i to je resurs za koji je Europska unija procijenila da nije dobro zaštićen." - izložila je Žiljak motive za donošenje Uredbe, nastavljajući s pojašnjenjima vezanim uz općenitu primjenu Uredbe i osnovne pojmove.

Ti osnovni pojmovi tiču se voditelja osobnih podataka, gdje je bitno istaknuti kako se ne radi o osobi, već o kompletnoj tvrtci, obrtu ili organizaciji koja vodi i obrađuje te podatke, pravnih osnova vođenja i obrade podataka, privole ispitanika i niza drugih pojmova u ovom novom sustavu od kojeg svi najviše strahuju zbog iznimno visokih kazni.

O specifičnostima obrade osobnih podataka u turizmu govorio je doc. dr. sc. Tihomir Katulić, s Pravnog fakulteta Sveučilišta u Zagrebu, koji je odmah upozorio kako visoke novčane kazne koje propisuje Uredba nisu jedini problem nepoštivanja novih pravila. Tu su također mogućnost potencijalnih tužbi za naknadu štete, te moguće narušavanje reputacije, koje je posebice značajno u turističkom sektoru kod kojeg sve više potencijalni korisnici traže informacije putem interneta i prije samog korištenja usluga.

Tako sve više turista traži iskustva drugih korisnika, ocjene smještaja u nekom hotelu, mišljenja gostiju o nekom restoranu i slično, pa će na isti način saznati i za eventualne probleme oko zaštite osobnih podataka.

Kazne i problemi

"Dakle, ne treba tu razgovarati isključivo o upravnim novčanim kaznama kao jedinoj stvari koja nam prijeti. Također je tu i reputacijski rizik, živimo u vrijeme brzog kolanja informacija i sami korisnici će birati onoga koji se bolje brine o zaštiti njihovih osobnih podataka. Bilo kakav negativni publicitet oko toga neće donijeti ništa dobro bilo kojem poduzetniku u turističkoj djelatnosti." - kazao je Katulić, dodajući kako je nemoguće na ovako kratkim predavanjima rješavati praktične probleme koji nastaju u praksi te kako se prvenstveno treba mijenjati opća kultura zaštite osobnih podataka.

Kako je istaknuo Katulić, nismo više izolirani i moramo se početi ponašati kao dio te europske obitelji i kao dio jednog šireg pravnog poretka. To znači da dobra pravna praksa, pravna sigurnost, izvjesnost koja vlada u nekim članicama i koje Unija želi proširiti na čitavo područje Europske unije, ovom Uredbom stiže i kod nas.

"Mi nismo neka zavučena zemlja, tranzitna smo zemlja i samo ove godine doći će oko 15 milijuna posjetitelja. Mnogi od njih dolaze iz zemalja EU s mnogo višom razinom kulture zaštite osobnih podataka. Oni će biti svjesni svojih prava i prvi će primijetiti nepravilnosti. U tom smislu niti Hrvatska nije više potpuno samostalna u sustavu nadzora i obrade postupaka zaštite osobnih podataka, u našem nacionalnom zakonu postoji i odredba koja regulira na koji će način gostujuća nadzorna tijela iz drugih zemalja EU moći sudjelovati u postupcima za utvrđivanje povrede osobnih podataka. To je još jedan od niza mehanizama konzistentnosti koje Uredba sadrži, kako bi se primjenjivala na cijelom području Unije na isti način." - upozorio je Katulić.

Jedna od specifičnosti zaštite podataka u turizmu jest i različita veličina organizacija kojima je turizam osnovna djelatnost, od malih obiteljskih iznajmljivača, srednjih iznajmljivača, privatnih manjih i većih kompanija, do većih hotelskih lanaca. Sami osobni podaci na koje se odnosi Uredba koriste se u svim oblicima, u različitim vidovima marketinga, e-mail marketingu, svi elektronički komuniciraju s gostima i tu dolazi do prikupljanja i obrade podataka.

Radi se i s putničkim agencijama, od njih se primaju i šalju podaci, obrađuju se podaci s kartica u postupcima plaćanja, a moguće je da neki od tih postupaka znače i izvoz podataka izvan EU, što je još jedna komplikacija i postoji čitav niz pravila kako se i pod kojim uvjetima podaci smiju izvoziti u zemlje koje nemaju adekvatnu razinu zaštite.

Prikupljanje i obrada

Ti se podaci odnose na ime i prezime, osobne identifikacijske brojeve poput OIB-a, komunikacijske podatke, e-mail adrese, brojeve telefona, adrese i niz drugih podataka. To nisu samo podaci o zaposlenicima, članovima njihovih obitelji, zaposlenicima vaših partnera, dobavljačima, osobni podaci gostiju, to su i podaci osoba koji nužno ne odsjedaju kod vas, podaci osoba kojima se obraćate putem marketinga. Ti su podaci dospjeli u vaše sustave direktno od ispitanika ili su na neki način preneseni od trećih strana, dobili ste ih na recepciji, telefonom, putem elektroničke komunikacije, putem nekih sučelja koje imate na internetskim stranicama i slično.

Ono što se prvo mora napraviti i što je temelj svakog postupka usklađivanja s Uredbom jest identificirati koje podatke imate i otkud su došli, odnosno potrebno je napraviti svojevrsni “data maping” kako to zovu informatičari. Na to se dodaju i drugi zahtjevi o evidenciji aktivnosti obrade koji su taksativno uređeni člankom 30. Uredbe, dakle na temelju čega prikupljamo podatke, koji nam je pravni temelj obrade, kako ih koristimo, da li ih prenosimo drugim osobama, kakve su tehničke mjere zaštite i drugo.

Ovisno o veličini organizacije to će biti manji ili veći zadatak, a za veće organizacije to je poprilično kompleksan projekt. Za veće organizacije morat ćete sastaviti tim ljudi koji sudjeluju u različitim područjima koji sudjeluju u obradi ili nadzoru obrade podataka, od informatičkih stručnjaka do ljudi iz marketinga. Taj tim će utvrditi kakve su vaše sadašnje prakse u obradi podataka i gdje ste trenutno u odnosu na zahtjeve koje od vas traži Uredba. Srećom, postoje mnogi besplatni priručnici, svojevrsne metodologije koje pomažu da se lakše ispune svi uvjeti koje Uredba zahtjeva.

Osnovni zadatak nakon što se utvrdilo gdje su podaci je izrada evidencije, gdje u člancima Uredbe postoje neki manji izuzeci za mikro poduzetnike, ali su u pravilu takvi da se praktički rijetko tko može pozvati na izuzeće od evidencije aktivnosti obrade osobnih podataka. U toj evidenciji se moraju voditi načini obrade podataka, unositi i opisivati postupne procese, što i kako smo radili u odnosu na određene zahtjeve ispitanika, eventualne povrede u zaštiti podataka, dakle sve što se događa s osobnim podacima koji se obrađuju. Za obrade osobnih podataka za koje postoji visoki rizik postoji i procjena učinka kao mjera zaštite podataka i to su mjere koje podrazumijevaju različite metodologije procjene rizika.

"Ono što je bitno zaključiti jest da ne postoji nekakvo "ključ u ruke" rješenje koje će ovu glavobolju s osobnim podacima i pravima ispitanika trajno otkloniti od vas. Ovdje govorimo zaista o jednoj promjeni kulture kako prikupljamo i kako razmišljamo o osobnim podacima. To su aktivnosti koje će biti trajne i govorimo o nečemu što postaje zapravo jedan trajni način upravljanja osobnim podacima, koji neće biti aktualan samo sada i samo zato jer Uredba kreće u punu primjenu. To nije nikakva moda koja će doći i proći, upravo suprotno - Unija tu stalno podiže ljestvicu i inače je EU već desetljećima mjesto s najvišim razinama zaštite osobnih podataka. To će značiti dodatne analize rizika, redovite procjene učinka i redovite prilagodbe novim zahtjevima i propisima. Uredba nije nešto što ćete dati na rješavanje svojim informatičarima ili pravnicima da se s time zabavljaju, ona zahtjeva interdisciplinarni pristup, zahtjeva svakodnevnu suradnju svih odjela i djelatnika u organizaciji." - kazao je na kraju Katulić, dodajući kako će aktivnost oko usklađivanja s Uredbom za male turističke poduzetnike i organizacije zasigurno značiti velike probleme s resursima koje nemaju.

Stoga je potrebno organizirati se na razini sektorskih organizacija, izraditi sektorske kodekse ponašanja, koji će različitim industrijama na jednostavan način pokazati koje su tipične obrade podataka, što se s njima radi i kako osigurati adekvatnu zaštitu tih podataka u pojedinim industrijama.

Tu će vjerojatno vodeću ulogu imati gospodarske institucije poput obrtničke ili gospodarske komore, na kojima je zadatak da pomognu svojim članovima. No, obzirom na njihovu poslovičnu sporost, svaki poduzetnik ili organizacija koje se bave obradom osobnih podataka u prvim danima primjene Uredbe prilagodbu moraju odraditi sami.

Komentari