Koliko puta smo u javno objavljenim Politikama privatnosti ili izjavama o zaštiti podataka na web stranicama vidjeli ovakvu ili sličnu rečenicu?
Jesmo li se osjećali dovoljno informirano o stvarnom roku na koji se naši osobni podaci negdje zadržavaju?
Jel to ona transparentnost koju tražimo i koju GDPR nalaže?
...................................................
Što kaže GDPR?
Člankom 5. stavkom 1. točkom e. GDPR-a definirano je jedno od temeljnih načela zaštite osobnih podataka - načelo ograničenja pohrane, na način da osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju, uz izuzetak u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Već pri samom prikupljanju osobnih podataka mora nam se, sukladno članku 13. GDPR-a dati informacija o razdoblju na koje se naši osobni podaci pohranjuju, ili barem kriterije po kojima se utvrđuje to razdoblje.
Isto je definirano i u okviru obveze ispunjenja našeg prava na pristup vlastitim osobnim podacima prema članku 15. GDPR-a, kada uz niz konkretnih informacija o obradama naših osobnih podataka moramo dobiti i informaciju o predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja.
...................................................
Uvijek se kao voditelji obrade moramo podsjetiti što je to transparentnost prema svojim klijentima, kupcima, korisnicima, pacijentima, učenicima, studentima, strankama i svim fizičkim osobama.
Transparentnost je jedna od ključnih i najvažnijih obveza određenih GDPR-om i služi svima nama - fizičkim osobama, da na jednostavan i sažet način budemo pravovremeno upoznati tko, kako, kada i gdje uzima i obrađuje našem osobne podatke, s kojom svrhom, kome ih daje na uvid ili šalje, na koji rok i koja su nam prava da zaštitimo svoju privatnost.
Pri tom GDPR u uvodnoj izjavi (39) određuje slijedeće:
"Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati.
Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik."
...................................................
Da razjasnimo neke stvari – za svaku aktivnost obrade osobnih podataka voditelj obrade mora odrediti, ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka i unijeti ih u evidenciju aktivnosti obrada iz članka 30. GDPR-a.
Donosimo zanimljiv slučaj iz Finske u kojem je kupac – korisnik web trgovine bio ljut jer ga je za jednokratnu kupnju web trgovina tražila da otvori račun koji će biti otvoren na nepoznat rok trajanja, odnosno, dok god ga korisnik ne odluči zatvoriti.
Nadzorno tijelo za zaštitu osobnih podataka je odmah zauzelo stav da za jednokratnu kupnju nema temelja tražiti otvaranje računa pri web trgovini, s obzirom da bi na taj način web trgovina neutemeljeno zadržavala osobne podatke kupca na razdoblje bitno duže od nužnog, štoviše, isto ne može biti uvjetovano eventualnim jamstvenim rokovima za popravak neispravnog artikla.
Nadzorno tijelo je posebno naglasilo da se rok zadržavanja NE MOŽE prepustiti kupcu i ne može ovisiti o njemu, iako kupac može zatražiti brisanje računa i osobnih podataka. Naložili su web trgovini da definira jasan i razuman rok zadržavanja osobnih podataka kupaca i da prestanu zahtijevati otvaranje računa kao preduvjeta za izvršenje kupnje.
Konačna kazna web trgovini iznosila je 856.000 EUR. Da, kazna je bila šesteroznamenkastog iznosa.
Više o slučaju iz Finske:
https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/26/2020&mtc=today
Image by stockking on Freepik
#gdprcroatia
