Vrlo često se svi susrećemo sa situacijom da nas na ulazu u određenu poslovnu zgradu ili objekt s uredima jedne ili više tvrtki ili ustanova dočekaju zaštitari ili druge osobe koje bilježe naš dolazak.
Pri tom nas očekivano traže na uvid osobnu iskaznicu, te bilježe o nama podatke kao što su npr. ime i prezime, datum i vrijeme ulaska i izlaska i kome dolazimo u posjet. Sve je to legitimno.
Međutim, jesmo li ikada primjetili da je itko u tim poslovnim zgradama postavio Obavijest o privatnosti kojom nas jednostavnim i sažetim jezikom upućuje
- TKO je ta pravna osoba koja prikuplja naše osobne podatke,
- na KOJI rok ih pohranjuje,
- u KOJU svrhu,
- s KOJIM pravnim temeljem,
- KOME ih prosljeđuju i
- KOJA su nam prava u svojstvu ispitanika.
Priznajemo, slučajevi ispravnog poštivanja obveza iz članka 13. GDPR-a su doslovno iznimke.
U pravilu vrlo rijetko tko ispunjava te obveze.
Ali vrlo često nailazimo na slučaj da osoblje na recepciji upisuje podatke posjetitelja na papir, u tu svrhu priređenu tablicu, u koju možemo bez ikakvih problema "zaviriti" i vidjeti tko je sve tog dana prije nas već bio ovdje.
Takva praksa izravno je suprotna temeljnim obvezama iz GDPR-a, odnosno, dužni smo osigurati ograničavanje pristupa osobnim podacima drugih osoba. Nitko od nas koji dolazimo u svojstvu posjetitelja nema nikakvo pravo znati i vidjeti koje su ostale osobe ušle u zgradu, niti kada a kamoli kome.
Zaključno, dodatno problem nastaje kod pohrane tih tablica, koje se po našim iskustvima, posebice ukoliko se radi o upisu u bilježnice, čuvaju trajno, u rokovima određenima brojem listova bilježnice, što je neispravna praksa neusklađena s temeljnim načelima GDPR-a iz članka 5.
Rok zadržavanja podataka o posjetiteljima mora biti definiran, minimalno potreban u odnosu na svrhu, poznat i jasno istaknut unutar Obavijesti o privatnosti, dostupan svakom posjetitelju prilikom davanja svojih osobnih podataka. Naravno, postoje rješenja za ispunjenje obveza prema GDPR-u, prvenstveno vođenjem evidencije putem aplikacija umjesto bilježnica, kojima mogu pristupiti isključivo ovlaštene osobe, uz jasne rokove brisanja starih i nepotrebnih zapisa.
Izostanak usklađenosti s GDPR-om već na samom ulazu u poslovni subjekt daje nam sliku o tome kolika je briga o privatnosti u samom poslovnom subjektu.
A prvi dojam ostavlja se samo jednom 😀