Svako od nas, uz temeljnu razinu znanja o obvezama iz GDPR-a i načelima zaštite osobnih podataka, može u par minuta lako prepoznati jesu li neka organizacija, poslovni subjekt, ustanova, javno tijelo ili udruga unijeli GDPR u svoje djelovanje i razumiju li ga.

Ovdje nećemo prikazivati profesionalne i visoko-stručne metode ili inzistiranje na provjeri pojedinih članaka GDPR-a, već jednostavne i razumljive načine kako to prepoznati.

 

TRANSPARENTNOST NA WEBU

Velika većina pravnih subjekata ima vlastite web stranice i ako web stranice postoje, tada na njima treba biti moguće bez puno pretraživanja i znoja pronaći jasno uočljiv link na "Politiku privatnosti" ili "Izjavu o zaštiti podataka" ili "Kako brinemo o vašoj privatnosti" ili sličan naziv koji nas sam po sebi upućuje na sadržaj teksta koji se krije iza klika.

A pri tom je važno da je takav link lako uočljiv i dostupan s naslovne stranice i svake podstranice i da se jednim klikom otvara dokument u kojem opisujemo detalje iz članka 13. i članka 14. GDPR-a.

Taj tekst mora biti sažet, jednostavan, neodvraćajuć za čitatelja, pisan razumljivim i normalnim tekstom bez pravnih izraza, čitljiv svakom prosječnom čitatelju.

Ukoliko uočimo strogo pravni tekst s kopiranim rečenicama ili izrazima iz GDPR-a, tada nam je jasno da se radilo o kopiranju teksta a ne pisanju s razumijevanjem i specifičnim pojašnjenjima s obzirom na djelovanje organizacije.

Ukoliko pak uočimo gramatičke greške ili probleme s padežima, a naišli smo i na takve, skloni smo zaključiti da je Google translator bio korišten i da opet nema razumijevanja svrhe pisanja tog teksta.

 

SIGURNOST WEB STRANICE

Sve rijeđe, ali ipak još uvijek prečesto nailazimo na web stranice koje imaju određene forme za upite i kontaktiranje u koje se upisuju osobni podaci, a pri tom web stranica "živi" na klasičnom http protokolu i nema ispunjene temeljne sigurnosne postavke.

 

KOLAČIĆI

Ova tema nije isključivo vezana za GDPR ali ima dodirne točke. Nažalost, uslijed izostanka donošenja ePrivacy Uredbe na razini EU, režim kolačića na web stranicama tumači se na razne načine i web administratori imaju premalo razumijevanja da bi kvalitetno savjetovali vlasnike web stranic. Velika većina web stranica danas u RH prikuplja osobne podatke posjetitelja putem kolačića i prati njihovu aktivnost, počevši od IP adresa i geo-lokacije do praćenja i bilježenja kretanja po web stranicama, klikova pojedinih artikala ili drugih oblika ponašanja posjetitelja, i sve to poklanjaju Facebooku, Googleu, YouTubeu, Twitteru i sličnima.

ePrivacy Direktiva pretočena u Zakon o elektroničkim komunikacijama i GDPR u paketu jednostavno kažu - za instalaciju neesencijalnih kolačića potrebna je prethodna neuvjetovana privola posjetitelja web stranice koju posjetitelj ne mora dati da bi koristio sve funkcionalnosti web stranice.

A koliko puta nas web stranice traže da kliknemo "OK" ili "Slažem se" bez informacije o čemu bi se morali složiti i kako naknadno povući prethodni "Slažem se".

Danas postoje kvalitetne ekstenzije za web preglednike kojima možete u sekundi provjeriti koje kolačiće posjećena web stranica instalira na vaše računalo i kada.

Ne možemo vas opisati koliko često vidimo da nam se Google Ads i slični trackeri instaliraju bez da smo prije toga mi o tome bili informirani i pristali na to. Srećom, mi nismo tužibabe...

 

PRAVILNIK O ZAŠTITI PODATAKA

Želja nam je skrenuti pozornost da obveza izrade Pravilnika o zaštiti osobnih podataka u organizaciji i njegove javne objave ne postoji u GDPR-u.

Ipak, brojne organizacije, posebice iz javnog sektora često objavljuju svoj Pravilnik o zaštiti osobnih podataka, i time stvaraju sami se dodatne probleme.

Naime, ti Pravilnici vrlo često sadrže u sebi i sigurnosne postavke za sustave i procese zaštite osobnih podataka čime se sama sigurnost dovodi u pitanje.

Upravo danas smo vidjeli web stranicu jedne organizacije koja je javno objavila svoj Pravilnik o sustavu video nadzora i takvom objavom otkrila bitne sigurnosne postavke.

Takve objave GDPR ne traži, štoviše, implicitno ih zabranjuje.

A problem postaje još veći kada uočimo da su objavljeni Pravilnici pisani putem "špranci" s prepisanim općim dijelovima teksta GDPR-a, čime nam postaje sasvim jasno da je razumijevanje materije zaista izostalo.

Time se zapravo ozbiljno otkrivamo.

 

PRIVOLA, PRIVOLA, PRIVOLA...

Organizacija objavljuje natječaj i omogućava prijave putem vlastite web stranice čime ubrzava zaprimanje i analizu ponuda, životopisa ili dostavljene dokumentacije. Cool.

I traži da se obvezno prihvati privola kako bismo mogli sudjelovati u natječaju. E to nije cool.

Sve pada u vodu, pogrešna primjena privole koja mora biti neuvjetovana i mora biti predmet slobodne volje, vodi nas do zaključka da GDPR u toj organizaciji nije zaživio i da nije dostigao razinu razumijevanja, i možemo misliti kako se dalje s našim osobnim podacima postupa.

Toliko smo toga nadrobili ovdje a tek smo krenuli