Kao i niz godina do sada, Tvrtka je odlučila darovati djecu zaposlenika poklon paketima na način da označi poklone imenom i prezimenom djeteta i da poklone za cure omota rozom vrpcom, a za dečke plavom.
Još prije nekoliko godina uspjeli su dogovoriti suradnju s trgovinom dječjih poklona, konkretno jednim poznatim lancem trgovina, da izbjegnu vlastiti angažman na zamotavanju poklona, da će im ta trgovina, osim prodaje samih poklon paketa, zapakirati poklone s oznakom imena i prezimena svakog djeteta i pripadajućom bojom.
U tu svrhu Tvrtka svake godine prikupi popise djece zaposlenika bez obzira vodi li se dijete u poreznoj kartici na zaposlenika ili ne, jer žele svakom djetetu svakog svog zaposlenika dati razlog za radošću susreta s Djedom Božićnjakom i primanjem poklon paketa.
Svake je godine taj popis nešto drugačiji od prethodnog, nadopunjen novorođenom djecom i malo skraćen jer na njemu nema djece starije od 15 godina, s obzirom na pripadajuće porezne olakšice.
Takav popis u pravilu sadrži podatke o imenu i prezimenu zaposlenika, imenu i prezimenu djeteta ili više djece po zaposleniku, dodatnu informaciju o spolu i, naravno, datumu rođenja.
Tvrtka šalje popis trgovini s kojom je dogovorena višegodišnja suradnja na obostrano zadovoljstvo. Sad samo treba pričekati tjedan-dva da pokloni budu propisno omotani rozim i plavim vrpcama i označeni imenom i prezimenom roditelja, a za to vrijeme angažirat će i Djeda Božićnjaka.
Jesmo li se ikada upitali što trgovina radi s popisima djece i njihovih roditelja sve ove godine?
Da li ih brišu iz računala ili ostavljaju trajno zaboravljenima i nezaštićenima?
Da li bacaju te papire u smeće bez uništavanja ili anonimizacije podataka djece?
Jel ih možda prosljeđuju nekom trećem, nekoj trećoj tvrtki koja će im privremeno ovih tjedana pomoći u pripremi poklona u "špici" sezone poklanjanja.
Znaju li roditelji kome se dijele njihovi osobni podaci i osobni podaci njihove djece izvan Tvrtke? Nije li obveza svakog poslodavca osigurati takve informacije prema članku 13. GDPR-a?
• Naravno, tvrtka je transparentno o svemu tome izvijestila sve svoje zaposlenike, o primatelju osobnih podataka, rokovima zadržavanja, svrsi i pravima svakog zaposlenika iz članaka 12-22. GDPR-a.
Znaju li roditelji zadržava li trgovina sve te osobne podatke ili ih odmah po realizaciji pripreme i isporuke poklona trajno i na siguran način uništava?
• Naravno, Tvrtka je unaprijed sklopila s trgovinom pisani ugovor o zaštiti osobnih podataka kojim se trgovini, kao izvršitelju obrade osobnih podataka zaposlenika i djece, jasno nalažu obveze iz članka 28. GDPR-a, a posebice zabrana stvaranja vlastitih evidencija i obveza trajnog i sigurnog uništenja svih tih popisa po isporuci poklon paketa, kod sebe na računalima i u papirima, i kod podugovorene treće tvrtke koja im pomaže da sve bude završeno u rokovima.
Naše iskustvo nam govori da ovakvih slučajeva označavanja poklona s imenom djeteta i pripadajućom bojom ima u Hrvatskoj podosta.
Ali nas isto to iskustvo uči da nismo nikada naišli na ispunjenje preduvjeta GDPR usklađenosti koje smo naveli u prethodnom tekstu koji počinju riječju "Naravno".
Ipak je vrijeme božićnih bajki…