Ovakvu rečenicu teško je naći u samom tekstu GDPR-a jer se ista krije u obvezi provođenja mjera koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.
Tehnička i integrirana zaštita podataka u originalnoj engleskoj verziji GDPR-a nazivaju se Data protection by Design and by Default.
Obuhvaćaju mjere kojima se osigurava da se:
- primjenjuju najbolja profesionalna rješenja s obzirom na trošak, kontekst i svrhe obrade u skladu s utvrđenim rizicima
- pripreme i izrade sve mjere prije početka obrade, odnosno, prije puštanja u rad nove aplikacije, novog sustava, novog poslovnog procesa, i kontinuirano tijekom korištenja istih
- obrađuju samo osobni podaci koji su nužni, da se smanjuje količina prikupljenih osobnih podataka, da se ograniči pristup podacima samo ovlaštenim osobama i da se odredi i skrati razdoblje pohrane i osigura njihova dostupnost za to vrijeme i da se takve informacije transparentno objave.
Tek nakon osiguravanja ovih mjera i dokumentiranja istih možemo biti u mogućnosti dokazati našu usklađenost s GDPR-om.
Da, dokumentiranje mjera usklađenosti, uključujući politike privatnosti, pravilnika, internih uputa i pravila, dolazi nakon što smo ih u realnosti uveli i ispravili nepravilnosti te uklonili rizike.
Da, nije jednostavno i definitivno rješenje nije u kupljenim šprancama "copy-paste" dokumenata.
EDPB (European data Protection Board) je javno objavio Smjernice kojima se osigurava Data protection by Design and by Default, istaknut ćemo par dobrih primjera:
PRIMJER 1
Tvrtka priprema objavu Politike privatnosti na vlastitim web stranicama. Takva Politika privatnosti ne smije biti preduga s nepreglednim nizom informacija kakve prosječnom čitatelju predstavljaju prepreku u čitanju i razumijevanju. Mora biti pisana u jasnom i jednostavnom jeziku, nadasve razumljivom čitatelju da shvati kako se postupa s njegovim osobnim podacima. Ako je tekst predugačak, treba koristiti slojevitu arhitekturu obavijesti, s kraćim uvodom i mogućnošću otvaranja dodatnih poglavlja, moguće i putem tzv. drop-down menija ili linkova na dodatne informacije.
Politika privatnosti mora biti lako dostupna, vidljiva sa svake podstranice web stranice, na jedan klik!!!
PRIMJER 2
Tvrtka obrađuje osobne podatke svojih kupaca, npr: ime, prezime, email adresa, telefon, adresa dostave, povijest kupnji.
Tvrtka odlučuje investirati u novi CRM sustav koji će uključivati sve prodajne i marketinške podatke i podatke korisničke službe, uključujući podatke o razgovorima i emailoma s korisnicima, aktivnostima prema njima i ponuđenim im marketinškim kampanjama.
Ujedno tvrtka želi putem javno dostupnih informacija procjenjivati kupovnu moć kupaca radi ciljanog marketinga, čime se osobni podaci žele koristiti za drugu svrhu koja iziskuje dodatno usklađivanje s GDPR obvezama ili zabranu korištenja takve nove funkcionalnosti dok se ne završi dodatno usklađivanje (npr. privole kupaca, dodatne obavijesti kupcima itd.)
PRIMJER 3
Online knjižara želi dići prihode i putem jedinstvene online forme za narudžbe traži da kupac upiše razne osobne podatke (npr. datum rođenja, telefonski broj, kućnu adresu...) i ne dozvoljava kupnju bez tih podataka.
Nakon što shvati da svi ti osobni podaci nisu nužni za slučaj kupnje eKnjige (ne treba kućna adresa niti datum rođenja) ili nisu nužni za dostavu knjige na kućnu adresu (datum rođenja), online knjižara odlučuje pod hitno izmijeniti obvezna polja zasebno za kupnju eKnjiga i zasebno za dostavu na kućnu adresu.
PRIMJER 4
Tvrtka vodi evidencije članova svog kluba i po prestanku članstva zaposlenici ručno moraju izbrisati osobne podatke bivšeg člana prema zadanim rokovima pohrane. Brisanje rade sa svih uređaja, iz sigurnosnih kopija, logova, emailova i iz arhive.
Pri tom su moguće pogreške uzrokovane ljudskim previdom i tvrtka odlučuje uvesti automatizirani sustav brisanja podataka bivših članova, uz obvezno testiranje prije početka primjene.
Smjernice EDPB o Data protection by Design and by Default i s više primjera iz prakse nalaze se ovdje:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en
