Što je politika privatnosti i je li nam potrebna?

Općenito, politika je dokument kojim organizacija izražava svoju namjeru i opredijeljenost za postizanje nekog cilja. Primjerice, ukoliko je organizacija odlučila implementirati sustav upravljanja kvalitetom prema normi ISO 9001, obvezno će usvojiti politiku kvalitete. Takav opći akt je okvir za određivanje strategije i ciljeva za upravljanje kvalitetom. Iako načelan dokument, koji ne sadrži procedure ili radne upute, prema ISO normama politika je obvezna ako organizacija želi steći i zadržati certifikat.

Nevezano za ISO norme, organizacije mogu usvajati razne politike kojima se načelno može urediti bilo koji segment poslovanja.

Politike treba razlikovati od pravilnika, procedure ili radne upute. Navedeni dokumenti sadrže konkretniju dodjelu odgovornosti, opis nekog poslovnog procesa ili doslovno uputu za rad.

Usvajanje pravilnika ili procedure može biti zakonska obveza (npr. pravilnik o radu), a može ih se izraditi i temeljem potrebe da se neko područje poslovanja ili radni proces detaljno urede.

Često u praksi ove izraze pogrešno upotrebljavamo, što posebno dolazi do izražaja kada govorimo o „politici privatnosti“ ili „politici zaštite osobnih podataka“.

Opća uredba o zaštiti podataka ne sadrži odredbu koja definira što je to politika privatnosti ili zaštite osobnih podataka, koje su sastavne odrednice takvog dokumenta niti izričitu obvezu usvajanja politike.

Zakonodavac je samo implicitno ukazao da bi „voditelj trebao uvesti interne politike“ i da tehničke mjere zaštite „uključuju i provedbu odgovarajućih politika zaštite osobnih podataka od strane voditelja obrade“.

Ako neka organizacija želi politikom urediti pitanje zaštite privatnosti i osobnih podataka, takav dokument bi prije svega trebao odražavati namjeru i opredijeljenost organizacije da sve svoje poslovne procese i obrade osobnih podataka provodi sukladno načelima zašite podataka, ispunjava prava ispitanika i ostale obveze propisane Općom uredbom i drugim primjenjivim propisima. No, postavlja se pitanje ima li smisla usvojiti dokument kojim organizacija izražava namjeru da poštuje zakon.

Da povučemo paralelu – ima li smisla politika kojom poslodavac izražava namjeru poštovanja Zakona o radu ili politika kojom poduzetnik izražava pozitivan stav prema plaćanju poreza i ostalih fiskalnih nameta?

A zašto se onda u kontekstu primjene Opće uredbe politiku privatnosti navodi kao jedan od najvažnijih dokumenata?

Zato što se informacije o obradi koje je voditelj dužan pružiti ispitaniku prema članku 13. Opće uredbe često pogrešno nazivaju politikom privatnosti ili politikom zaštite osobnih podataka. Ovu „grešku“ smo uvezli iz engleskog jezika u kojem se izraz „privacy policy“ često, također pogrešno, koristi za informacije o obradi osobnih podataka (ispravan izraz bi bio „privacy notice“).

Dakle, voditelj obrade je prema članku 13. Opće uredbe dužan ispitaniku pružiti sljedeće informacije:

  • identitet i kontaktne podatke voditelja obrade;
  • kontaktne podatke službenika za zaštitu podataka;
  • svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
  • legitimne interese voditelja obrade ili treće strane (ako se obrada temelji na legitimnom interesu);
  • primatelje ili kategorije primatelja osobnih podataka;
  • informacije o tome prenose li se podaci u treće zemlje i postojanje ili nepostojanje odluke Europske komisije o primjerenosti, te ako je primjenjivo informacije o primjerenim zaštitnim mjerama;
  • razdoblje u kojem će osobni podaci biti pohranjeni ili kriterije kojima se utvrdilo to razdoblje;
  • informacije o dostupnim pravima;
  • postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena ako se obrada temelji na privoli);
  • pravo na podnošenje prigovora nadzornom tijelu;
  • informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
  • postojanje automatiziranog donošenja odluka, što uključuje izradu, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Navedene informacije ne čine politiku privatnosti već „informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika“. (Ispitanike o obradi treba informirati i ako su podaci  prikupljeni iz drugih izvora, a ne izravno od ispitanika.)

Naravno, voditelj obrade može takvoj obavijesti dati različite nazive – politika privatnosti, izjava o privatnosti, informacije o obradi podataka i sl. Naš savjet je da stvari nazovete pravim imenom, barem na hrvatskom jeziku, te da i u tom smislu budete potpuno transparentni.

U svakom slučaju, politike, pravilnici i procedure kojima voditelj obrade uređuje pitanje zaštite osobnih podataka, definira obveze i odgovornosti ili detaljno propisuje postupanje s osobnim podacima korisni su dokumenti i služe kao dokaz o usklađenosti s Općom uredbom (načelo pouzdanosti).

Imajte na umu da usvajanje politika i procedura koje se u praksi ne provode ili još gore, kupovanje gotovih predložaka dokumenata, nema nikakvog smisla!