Privatnost nije isto što i zaštita osobnih podataka - i zašto je važno da to napokon razjasnimo!
Zaštita osobnih podataka nije borba za privatnost!
Iako svakodnevno profesionalno radim na zaštiti osobnih podataka, moram reći nešto što će iznenaditi mnoge: veliki sam protivnik dizanja nepotrebne "hype" prašine oko povezivanja privatnosti s GDPR-om.
Zašto?
Jer smatram da se ovim temama treba pristupati precizno, odgovorno i s dubinskim razumijevanjem razlike između dva često brkajuća pojma - privatnosti i zaštite osobnih podataka.
Dvije bliske, ali različite kategorije
Zaštita osobnih podataka i zaštita privatnosti nisu isto. Jesu povezane, ali ni po definiciji, ni po svrsi, ni po pravnom okviru - nisu zamjenjive. I upravo tu nastaje ogromna količina konfuzije, pogrešnih interpretacija i mitova koje susrećemo svakodnevno, osobito među onima koji se predstavljaju kao "stručnjaci" za GDPR.
- ❌ Mit: GDPR štiti našu privatnost
- ✅ Istina: GDPR regulira obradu osobnih podataka u poslovnom kontekstu
GDPR nigdje, ali baš nigdje, ne spominje pojam "privatnost" u smislu kojim to javnost često podrazumijeva. On se ne bavi intimom, emocijama, osobnim životom ili slobodama, već upravljanjem osobnim podacima kada se koriste u poslovne svrhe. I to je njegova glavna vrijednost.
Temeljni problem: funkcija DPO-a shvaćena površno
I ovdje dolazimo do srži problema: funkcija službenika za zaštitu podataka (DPO) u brojnim organizacijama nije uspostavljena u skladu sa zahtjevima GDPR-a. Često se ta uloga povjerava IT stručnjacima, administratorima ili sličnim profilima unutar tvrtke - bez da se prethodno osigura nužno pravno znanje. Iako informatičari imaju glavnu ulogu u tehničkoj zaštiti podataka, DPO je prvenstveno pravno-regulatorna funkcija.
Da budem jasna: nije uvjet imati pravni fakultet, ali jest imati dokazivo i primjereno pravno znanje koje omogućuje tumačenje i primjenu GDPR-a u praksi. Bez toga - DPO ne može ispuniti svoju ulogu i može izazvati veliku štetu za organizaciju.
Primjer iz prakse: što je osobni podatak?
Jedna od najčešćih pogrešaka koja se javlja već na samom početku - čak i kod onih koji formalno obnašaju funkciju službenika za zaštitu podataka - jest nepoznavanje osnovnih pojmova, poput onog što uopće predstavlja osobni podatak.
Prema članku 4. stavku 1., točki 1. GDPR-a, osobni podatak je svaka informacija koja se odnosi na identificiranu ili identificirljivu fizičku osobu.
To znači da IP adresa, snimka s nadzorne kamere, pa čak i popis vaših omiljenih pjesama, nisu automatski osobni podaci. Oni to postaju tek ako - sami ili u kombinaciji s drugim podacima kojima raspolažemo - omogućuju jednoznačnu identifikaciju konkretne osobe.
I upravo na tom koraku pada velik broj nepripremljenih DPO-a i organizacija. Jer bez razumijevanja osnovne definicije, svaki sljedeći korak u obradi podataka temelji se na pogrešnim pretpostavkama - a to je recept za ozbiljne propuste i nepotrebno opterećenje poslovanja. Zato nije čudno što mnogi već na sam spomen GDPR-a okreću očima i doživljavaju ga kao još jedan sloj birokratskog tereta. No problem nije u samoj Uredbi - problem leži u njezinom površnom tumačenju i pogrešnoj provedbi.
Ako osoba zadužena za usklađenost s GDPR-om ne razumije temeljne pojmove, tada ne može ni ispravno primjenjivati njegove zahtjeve.
➡️ Rezultat?
- ❌ Nepravilna primjena GDPR pravila
- ???? Provođenje nepotrebnih procedura, ili još opasnije - propuštanje onih obveznih
- ???? Kompliciranje i otežavanje poslovnih procesa
- ???? Povećan rizik od novčanih kazni i ozbiljnih reputacijskih šteta.
I sve to - ne zato što je GDPR prezahtjevan, već zato što funkcija DPO-a nije od početka shvaćena ozbiljno i postavljena stručno.
U GDPR-u nema mjesta improvizaciji. Postoje pravila - i treba ih samo primijeniti!
No je li pravnik automatski dobar DPO?
Naravno da nije.
Iako pravna podloga jest važna, sama diploma ne čini stručnjaka za zaštitu podataka. Europski nadzornik za zaštitu podataka u više je navrata izdao upozorenja upravo odvjetnicima. Zašto? Zato što često zanemaruju temeljnu činjenicu: GDPR ne traži kreativne pravne interpretacije, već dosljednu primjenu jasno definiranih pravila, smjernica i mišljenja.
Ta pravila najčešće proizlaze iz dokumenata Europskog odbora za zaštitu podataka (EDPB) te bivše Radne skupine iz članka 29, čija su mišljenja i dalje primjenjiva uz GDPR. A upravo tu nastaje problem - velik broj pravnika s tim dokumentima nije ni upoznat, ili poznaje tek manji dio njih.
Biti DPO nije "fancy" - to je ozbiljna i odgovorna funkcija
Zato je krajnje vrijeme da s DPO-ima prestanemo postupati kao s dekorativnim titulama i svoditi ih na formalnost. To je stalna, stručna, regulatorna i savjetodavna pozicija, koja podrazumijeva:
- dubinsko razumijevanje prava
- poznavanje tehničkih aspekata obrade podataka
- praćenje propisa, smjernica i pravne prakse
- izvrsno poznavanje i kontinuirano praćenje svih smjernica i uputa Europskog odbora za zaštitu podataka - kojih ima mnogo i redovito se ažuriraju.
Da, to nije posao "za svakoga" kako se obično misli. I ima svoju vrijednost.
******
Zaštita
osobnih podataka nije stvar dojma, trenda ili osobne interpretacije.
Sve dok brkamo pojmove privatnosti i zaštite podataka, doodjeljujemo DPO funkcije bez kriterija i odlučujemo bez znanja, izlažemo se rizicima koji ne pogađaju samo poslovanje, već i one zbog kojih ta pravila postoje - sve nas, pojedince.
Želite kvalitetnog DPO-a? Počnite od toga da razumijete što DPO uopće jest.
A o specifičnostima tog posla - u nekoj od narednih objava.
Pripremila: Ines Krečak, Data Protection Professional
Istaknuto:
Istaknute usluge:
