To je nezaobilazna i jedna od ključnih tema GDPR usklađivanja svake organizacije, svakog poslovnog procesa i svakog poslovnog sustava, bez koje ne možemo tvrditi da smo usklađeni.
 
Badava nam svi papiri i dokumenti ovog svijeta, sve šprance i ugovori, svi pravilnici i politike privatnosti, ako nismo osigurali poštivanje teme iz naslova ovog posta.
 
U hrvatskom prijevodu GDPR-a ta tema se naziva "Tehnička i integrirana zaštita podataka" i nalazi se u jednom kratkom članku 25. te je, prema našem iskustvu, često predmetom nerazumijevanja i preskakanja.
 
Kako bismo olakšali razumijevanje ove tematike, prikazat ćemo friški slučaj iz stvarnosti.
 
Organizacija je odlučila uvesti rampe za ulaz na svoj parking, jer su njihova parkirna mjesta počeli masovno koristiti i drugi korisnici, zauzimajući mjesta vlastitim zaposlenicima.
 
Organizacija je angažirala provjerenu i iskusnu tvrtku za projektiranje i isporuku rješenja parkirne rampe, i ponuđeno rješenje se temeljilo na tzv. specijalno izrađenim reflektirajućim naljepnicama u vozilima ovlaštenih zaposlenika kojima bi bio dozvoljen ulaz na parking, na principu da foto-električni senzori rampe prepoznaju takvu naljepnicu na vjetrobranskom staklu vozila, skeniranjem refleksije elektromagnetskih valova (svjetla) određene frekvencije s određene udaljenosti.
 
Međutim, vanjska angažirana tvrtka zatražila je i popis registarskih oznaka vozila za koja bi se izradile naljepnice, kako bi ih pridjelili svakoj izdanoj naljepnici.
 
Tu se umješao iskusan Službenik za zaštitu podataka.
 
Registarska oznaka vozila je osobni podatak, bez obzira što se izravno ne može putem njega identificirati određena osoba, ali se neizravnim putem vrlo lako može doći do identifikacije osobe koja je bila u vozilu na ulazu u parking.
 
Ako bi se primjenilo rješenje kojim bi vanjska angažirana tvrtka za sustav rampe obrađivala i podatke o registarskim oznakama, to bi značilo da postaje izvršiteljem obrade u ime organizacije koja je naručila parkirne rampe i definirala njihovu svrhu, te bi se morao sklopiti i ugovor o obradi podataka iz članka 28. GDPR-a.
 
Međutim, Službenik za zaštitu podataka nije dozvolio da se ide tako daleko.
 
Poveo se temeljnim postavkama Data Protection by Design and by Default, a to je prije svega utvrđivanje:
 
- koji je NUŽAN opseg osobnih podataka da bi se ostvarila svrha sustava parkirne rampe sukladno temeljnom načelu GDPR-a o smanjenju opsega prikupljanih osobnih podataka,
 
- koji je NUŽAN opseg prikupljanja i obrade osobnih podataka za traženu svrhu
 
- koji je NUŽAN rok zadržavanja osobnih podataka
 
- kome je NUŽNO dati pristup prikupljenim osobnim podacima
 
- koje su sigurnosne mjere zaštite prikupljenih osobnih podataka za svrhe sprječavanja neopvlaštenog pristupa, brisanja, kopiranja ili izmjene te osiguranja trajne dostupnosti istih.
 
Već na prvom pitanju stvar se izmijenila iz temelja.
 
Utvrđeno je da za funkcioniranje takvog sustava parkirne rampe uopće nije potrebno prikupljati registarske oznake vozila niti ikakve druge osobne podatke zaposlenika organizacije, već je dovoljno izraditi određen broj posebnih naljepnica koje će ovlaštena osoba unutar organizacije podijeliti svojim zaposlenicima uz propisane uvjete njihovog korištenja, obveze ljepljenja na vjetrobransko staklo, zabrane prenošenja trećim osobama i sl.
 
Takvim pristupom izbjegla se ne-nužna obrada osobnih podataka od strane vanjske tvrtke, i svi sretni i zadovoljni.
 
 
 
 
 
 
Photo by Binyamin Mellish from Pexels