Vrlo često se svi susrećemo sa situacijom da nas na ulazu u određenu poslovnu zgradu ili objekt s uredima jedne ili više tvrtki ili ustanova dočekaju zaštitari ili druge osobe koje bilježe naš dolazak.

Pri tom nas očekivano traže na uvid osobnu iskaznicu, te bilježe o nama podatke kao što su npr. ime i prezime, datum i vrijeme ulaska i izlaska i kome dolazimo u posjet. Sve je to legitimno.

Međutim, jesmo li ikada primjetili da je itko u tim poslovnim zgradama postavio Obavijest o privatnosti kojom nas jednostavnim i sažetim jezikom upućuje

- TKO je ta pravna osoba koja prikuplja naše osobne podatke,

- na KOJI rok ih pohranjuje,

- u KOJU svrhu,

- s KOJIM pravnim temeljem,

- KOME ih prosljeđuju i

- KOJA su nam prava u svojstvu ispitanika.

Priznajemo, slučajevi ispravnog poštivanja obveza iz članka 13. GDPR-a su doslovno iznimke.

U pravilu vrlo rijetko tko ispunjava te obveze.

Ali vrlo često nailazimo na slučaj da osoblje na recepciji upisuje podatke posjetitelja na papir, u tu svrhu priređenu tablicu, u koju možemo bez ikakvih problema "zaviriti" i vidjeti tko je sve tog dana prije nas već bio ovdje.

Takva praksa izravno je suprotna temeljnim obvezama iz GDPR-a, odnosno, dužni smo osigurati ograničavanje pristupa osobnim podacima drugih osoba. Nitko od nas koji dolazimo u svojstvu posjetitelja nema nikakvo pravo znati i vidjeti koje su ostale osobe ušle u zgradu, niti kada a kamoli kome.

Zaključno, dodatno problem nastaje kod pohrane tih tablica, koje se po našim iskustvima, posebice ukoliko se radi o upisu u bilježnice, čuvaju trajno, u rokovima određenima brojem listova bilježnice, što je neispravna praksa neusklađena s temeljnim načelima GDPR-a iz članka 5.

Rok zadržavanja podataka o posjetiteljima mora biti definiran, minimalno potreban u odnosu na svrhu, poznat i jasno istaknut unutar Obavijesti o privatnosti, dostupan svakom posjetitelju prilikom davanja svojih osobnih podataka. Naravno, postoje rješenja za ispunjenje obveza prema GDPR-u, prvenstveno vođenjem evidencije putem aplikacija umjesto bilježnica, kojima mogu pristupiti isključivo ovlaštene osobe, uz jasne rokove brisanja starih i nepotrebnih zapisa.

Izostanak usklađenosti s GDPR-om već na samom ulazu u poslovni subjekt daje nam sliku o tome kolika je briga o privatnosti u samom poslovnom subjektu.

A prvi dojam ostavlja se samo jednom 😀