Rizici prikupljanja i obrade osobnih podataka prikupljenih u svrhu traženja kontakata
Svakodnevno se susrećemo sa suhoparnim objašnjavanjem tekstova vezanih uz zaštitu osobnih podataka koji su ili puni pravnih fraza ili su dosadni.
Naš tim odlučio je svima pružiti mogućnost učenja na primjerima iz prakse. Krenimo…
Jedan restoran odlučio je prikupiti osobne podatke posjetitelja kako bi ispunio preporuke propisne od nadležnog tijela u svrhu sprječavanja širenja pandemije COVID 19. Osoblje u restoranu od ljudi prikuplja osnovne informacije poput imena i kontakt broja.
Član osoblja u restoranu koji ima pristup prikupljenim podacima želio je s jednim posjetiteljem ostvariti privatni kontakt i razgovarati privatno s s njim izvan posla. Kako bi ispunio svoju želju odlučio je uzeti podatke iz baze u kojoj su bili pohranjeni svi podaci. Kao rezultat toga, zaposlenik kontaktira posjetitelja koji smatra da su njegovi osobni podaci upotrijebljeni nezakonito odnosno bez pravne osnove. Neželjeni kontakt restoranu kao voditelju obrade podnosi zahtjev za ostvarivanjem prava te ga istovremeno prijavljuje nadzornom tijelu.
Ima li posjetitelj pravo? Naravno da ima, no vratimo se na okolnosti slučaja.
Koja su ključna pitanja i o čemu morate voditi računa?
Organizacije koje ne postupaju pravilno s osobnim podacima riskiraju kršenje svih propisa vezanih uz zaštitu podataka, što može imati ozbiljne posljedice za organizaciju, zapsolenike i posjetitelje odnosno ispitanike.
U ovom se slučaju informacije o posjetiteljima prikupljaju s jedinim ciljem dok se kasnije zaloupotrebljavaju i nezakonito upotrebljavaju.
Prikupljene informacije o posjetiteljima u svrhu ispunjenja propisanih mjera usljed COVID 19 pandemije se ne smiju koristiti u druge svrhe. Vjerujemo da za to pravilo GDPR-a već svi znate.
Svakako je bitno da ste posjetiteljima pružili u pravo vrijeme adekvatnu obavijest o obradi podataka. Što to znači u ovom slučaju? Restoran je u prvom kontaktu s posjetiteljem trebao istome priužiti obavijesti o njegovim pravima, svrhama obrade, trajanju obrade, tko je voditelj obrade i sl.
Nadalje, restoran je morao svim svojim zaposlenicima osigurati edukaciju kako bi osvijestili koliko je važno poštivati pravila o zaštiti podataka. Također, na edukaciji su svi zaposlenici morali biti upućeni u procedure obrade osobnih podataka posjetitelja kao i o podatku tko su ovlaštene osobe koje smiju prikupljati i obrađivati te podatke unutar restorana. Dakle, ne preporuča se da podatke prikuplja svaki zaposlenik.
Važno je da osigurati procese unutar restorana koji će na adekvatan način implementirati odredbe GDPR-a u redovne poslovne aktivnosti.
Iako se organizacije, u ovom slučaju restoran ne može uvijek zaštititi od ponašanja zaposlenika, postoje osnovne mjere koje bi trebale osigurati sigurnost i sigurnost informacija o kupcima i posjetiteljima odnsono o svim ispitanicima.
Primjerice, ako se koriste papirnati zapisi, treba ih čuvati na sigurnom mjestu, s mjerama za sprečavanje zlonamjernog pristupa (npr. zaključana prostorija, sefovi i njihovo čuvanje izvan pogleda i izvan dohvata kupaca tijekom radnog vremena).
Ukoliko i vi prikupljate podatke o posjetiteljima razislite jeste li proveli sve mjere i procese u skladu sa GDPR-om odnosno zaštitom osobnih podataka? Na kojem pravnom osnovu obrađujete prikupljene podatke (nadamo se ukoliko ih prikupljate radi izvršenja obveze vas kao voditelja obrade ili očuvanja javnog zdravlja da niste tražili i privolu), koliko dugo čuvate (je li svrha razmjerna roku čuvanja?), gdje ih čuvate, tko im j eovlašten pristupiti, s kim ih dijelite, jeste li proveli testove procjene učinka zaštite podataka, jeste li obavijestili osobe od kojih prikupljate podake o svim informacijama?
Ovo nije konačan popis, već kontrolni popis. Razmislite dobro što ste napravili, a što ne, pa nam se javite na ured@presido.hr