Svatko tko radi ili je radio u većim organizacijama ili korporacijama, u kojima su odjeli i poslovna područja odvojeni organizacijski, procesno i funkcionalno, zna da je i komunikacija među pojedinim sektorima, odjelima ili odsjecima katkad otežana.
I koliko se puta dogodi neka email prepiska većeg broja ljudi u koju je uključen i npr. veliki direktor odjela ljudskih resursa, ali on ne trza jer on čita samo mailove od uprave. 😉
A ako se radi o nekim operativnim pitanjima, pišite njegovim ljudima, nemojte ga zamarati s takvim stvarima.
Nešto slično se dogodilo u Italiji, gdje je bivši zaposlenik zatražio GDPR pravo na pristup osobnim podacima, konkretno, podatke o evaluaciji njegovih radnih rezultata prijašnjih godina.
No, nije poslao takav zahtjev na email adresu službenika za zaštitu podataka, već na opću email adresu tvrtke i u CC je stavio direktora ljudskih resursa.
Nije dobio odgovor u roku koji GDPR nalaže, u mjesec dana, bivši je zaposlenik poslao podsjetnik. Nula bodova.
Nakon toga, s odmakom od nekoliko mjeseci, isti je zahtjev poslao na email adresu službenika za zaštitu podataka, koji je tek tri tjedna nakon primanja tog zahtjeva odgovorio bivšem zaposleniku da će mu se odjel ljudskih resursa javiti povratno. A to se nije dogodilo.
Bivši zaposlenik se požalio nadzornom tijelu za zaštitu osobnih podataka, koje je odmah pokrenulo nadzor.
Tvrtka se trgnula tek kad im se nadzorno tijelo najavilo i pokušala se vaditi da prva dva zahtjeva bivši zaposlenik nije poslao na email adresu službenika za zaštitu podataka, a i da je već ionako prijašnjih godina dobio sva ta izvješća.
Da, tvrtka se takvim odgovorima poprilično „pokopala“ dobivši kaznu od 30.000 EUR. Zašto?
Tvrtka kao voditelj obrade ne može se „vaditi“ od odgovornosti jer nigdje nijedan ispitanik nije bio pisanim putem obaviješten da se zahtjevi za njegovim GDPR pravima mogu poslati isključivo na email adresu službenika za zaštitu podataka.
Nadzorno tijelo je otkrilo i da HR direktor nije uopće trzao na ovaj zahtjev, reći ćemo da je zasigurno mislio da nije to njegova obveza, već da je službenik za zaštitu podataka trebao to riješiti.
Isto je potvrđeno i u EDPB Smjernicama na temu prava na pristup podacima, javno dostupnim ovdje:
u kojima je dan primjer da je zahtjev valjano podnesen ako je poslan na neku opću email adresu voditelja obrade, ali ako pojedinac pošalje zahtjev na email adresu za zaprimanje prigovora na čistoću sanitarnog čvora, tada se takav GDPR zahtjev ne treba smatrati valjanim.
Ukratko, u svakoj organizaciji SVI zaposlenici moraju biti educirani kako postupati sa zahtjevima za pristup osobnim podacima, što činiti s njima kad ih zaprime i kome eskalirati slučaj.
To treba raditi putem edukacija i putem svima dostupnih internih uputa ili protokola, u kojima bi trebalo biti jasno navedena uputa da takve upite odmah i bez odlaganja proslijede svom nadređenom i službeniku za zaštitu podataka. Bez odlaganja.
Koliko tvrtki danas ima takve upute?
Više o slučaju iz Italije:
Image by Drazen Zigic on Freepik
#gdprcroatia