Jednostavnim "googlanjem" gore navedenog teksta naziva pravilnika možemo uočiti kolika je visoka zastupljenost prakse objave takvih pravilnika na web stranicama pravnih subjekata u Hrvatskoj.

Želja nam je ovim postom dati dobronamjeran savjet s obzirom na zaista učestalu prisutnost javno objavljenih pravilnika o zaštiti podataka ili pravilnika o obradi osobnih podataka putem web stranica organizacija, prvenstveno institucija, udruga, ustanova pa i tvrtki na vlastitim web stranicama.

Ukoliko pogledamo sadržaj javno objavljenih pravilnika lako se može uočiti visoka "podudarnost" tekstova, ili praktičnim jezikom rečeno - korištenje "špranci", kopija, generičkih dokumenata, neprilagođenih pojedinom pravnom subjektu i stvarnim činjenicama u vezi obrada osobnih podataka i načinima ispunjenja obveza iz GDPR-a.

Tako objavljeni pravilnici u pravilu sadrže općenite definicije i kopirane dijelove tekstova GDPR-a, koji su sami po sebi teško čitljivi i razumljivi prosječnom čitatelju, kakav je i sam tekst GDPR-a.

Stoga se valja upitati zašto uopće organizacije objavljuju takve pravilnike koje objektivno nitko ne želi čitati.

Pri tom poštujemo obveze nekih ustanova koje moraju temeljem domaćih propisa objaviti svoje pravilnike javno, međutim, ukoliko se u Pravilnicima navode sigurnosne postavke organizacije, tada javna objava narušava sigurnost same organizacije.

Štoviše, i zaposlenici unutar tih organizacija, na koje se ti pravilnici izravno i odnose, nemaju nikakve želje niti motiva pročitati tako pisane pravilnike niti mogu postići razumijevanje teksta prepisanog iz GDPR-a.

GDPR ne zahtijeva izradu ni javnu objavu Pravilnika o zaštiti podataka pravnog subjekta.

Ali je sama izrada pravilnika ili drugog oblika pisanog okvira o zaštiti podataka organizacije vrlo pozitivna mjera u cilju utvrđivanja internih pravila i procedura u okviru poduzetih tehničko-organizacijskih mjera sukladnosti s GDPR obvezama, pod uvjetom da je isti dostupan, čitljiv i razumljiv svim zaposlenicima organizacije i da suštinski obrađuje postupke zaštite privatnosti i osobnih podataka.

No, da se vratimo na početak ovog posta. Objavljeni pravilnici koje danas vidimo na našim web stranicama organizacijama čine loše. Svako imalo stručan u području zaštite osobnih podataka lako može uočiti rezultate kopiranja tekstova, pa čak i postojanje članaka ili stavaka koji se konkretno ne odnose na organizaciju.

Na taj način organizacija sama sebe javno odaje kako u stvari nije izvršila istinsko usklađivanje s GDPR obvezama, već je pokušala samo zadovoljiti formu.

A istovremeno javno odaje sigurnosne postavke organizacije.

Nadamo se da ćemo se složiti da to nikome ne ide u korist.