25. svibnja 2018. ima potencijal postati datum koji ćemo zapamtiti kao dan kada će se promijeniti način poslovanja u mnogim segmentima. Koliko puno će se promijeniti? Jedno 20 milijuna puta. Ako ste iole osvijestili značajno velike promjene koje donosi nova Uredba o zaštiti osobnih podataka, onda znate da vam već gori pod nogama. Ako tu svijest nemate, onda vjerojatno upražnjavate jednu od ovih metoda kvazi zaštite od GDPR-a. I jako ste u zabludi, pa je krajnji rok da vam ih razbijemo.
Vrhunska zabluda po principu :“Meni to ne treba!”
Ako ste trgovačko društvo, obrt, udruga, tijelo lokalne uprave, škola, poliklinika, samostalni umjetnik… nastavite niz poslovnih djelatnosti koje rade s fizičkim (ali čak i pravnim) osobama, gotovo je sigurno da ste obavezni svoje poslovanje uskladiti s GDPR.
Nisam malo puta čula da mi poduzetnici ili gradonačelnici kažu:
“To nama ne treba, mi ne prodajemo ništa na Internetu.”
Razbijanje zabluda, prvi dio: Toliko je mala šansa da vam GDPR neće utjecati na poslovanje i rad, te da se niste obvezni uskladiti s odredbama GDPR, da sam sklona dati vam 5 sati besplatnog konzaltinga iz područja mog rada ako mi dokažete da u svom poslovanju niste obveznici GDPR– na bilo koji način.
Imam još vremena
Nema. Nema vremena. Ne da nemate vremena, nego ste već zakasnili ako se niste počeli usklađivati s GDPR.
Sve što je potrebno napraviti kako biste svoje poslovanje uskladili s GDPR je opsežan i zahtjevan posao kako vama, tako i vašim zaposlenicima, ali i konzultantima koji će vas voditi kroz proces. Svima je potrebno dosta vremena. Usklađivanje uključuje suradnju stručnjaka raznih grana i područja rada, a takvih stručnjaka nedostaje ne samo u Hrvatskoj, već i u cijeloj EU.
U nekom trenutku će ljudi shvatiti da im je potrebno usklađivanje jer je trenutno u Hrvatskoj prilično niska razina svijesti o GDPR. Em što je već sada 12 i 05 sati da se uskladite, em u kritičnom trenutku kada se dobar dio obveznika sjeti da im treba usklađivanje, vrlo jednostavno na tržištu neće biti dovoljno raspoloživih kvalitetnih stručnjaka koji će vas moći momentalno preuzeti da vam naprave usklađivanje. I konzultanti su ljudi, ponekada spavaju.
To će riješiti knjigovođa i pravnik, ne želim se zamarati i baš me briga
Sretno s tim stavom. Mogao bi biti božanstveno skup. Zaštita osobnih podataka nije posao knjigovođe iako i knjigovođe trebaju znati o čemu se radi ne samo kako bi mogli vama pomoći da dobro zaštite podatke koje prikupljate i čuvate, već i zato što su i oni sami dužni svoje poslovanje uskladiti s GDPR.
Pravnici, što sam i sama, ne moraju uopće znati nešto o zaštiti osobnih podataka. Nisu roboti, niti su svemoćni. Pravo je toliko ogromno da ne postoji pravnik koji sve zna o pravu, već se na neki način specijaliziramo za određene grane. Ako vi imate zaposlenog pravnika u d.o.o., velika je vjerojatnost da ta osoba prati svu silu propisa iz područja trgovačkog, radnog, poreznog i sličnih grana prava. Je li u svakoj od tih grana prava ekspert? Jako teško. Vjerojatno u nekima je bolji, u nekima lošiji, neke površno prati.
GDPR unosi novosti koje se naslanjaju na postojeći zakonski okvir zaštite osobnih podataka u Hrvatskoj, ali je bitno širi i zahtjevniji i ako se vaš pravnik nije bavio tim okvirom, ovo će mu sada doći kao da je pao s Marsa.
Uostalom, ako do sada niste pratili i poštivali zaštitu osobnih podataka, onda vaš pravnik moguće nikada nije ni čuo za ovo što vam slijedi.
Ako ste vlasnici trgovačkog društva, direktori, čelnici ustanova ili jedinica lokalne uprave – vi naprosto morate biti upoznati s makar osnovama GDPR i osigurati da usklađivanje bude provedeno. Da, to je vaša briga i nužna morate brinuti o tome.
Opet će dati odgodu primjene ili neki rok prilagodbe
GDPR propisuje da se do 25. 5. 2018. trebate uskladiti s ovim pravnim okvirom zaštite osobnih podataka.
“Ma, dat će oni opet neki rok prilagodbe! Ne paničarite.”
Tko su to oni? Republika Hrvatska? EU? Tko god “oni” vama bili – neće se to dogoditi. Za prilagodbu poslovanja sukladno odredbama GDPR nećete imati (dodatni) rok prilagodbe. Zašto? Zato što upravo SADA jesmo u tom propisanom roku za prilagodbu.
GDPR je VEĆ stupio na snagu i to još u travnju 2016., samo je njegova primjena odgođena do 25. 5. 2018. Period između ta dva datuma JEST rok za prilagodbu u kojem se primjena propisa odgađa iako je sam propis stupio na snagu. Tko je bio moj student, sjeća se dobro koliko sam ih pilila da nauče što je vacation legis i da osnove prava nisu bezvezno znanje koje im neće koristiti.
Da ponovimo, GDPR je stupio na snagu, rok prilagodbe upravo teče, završava 25. 5. 2018. i GDPR je tu da ostane zasigurno na duže vrijeme.
“Ja ne prikupljam baš nikakve podatke”
Jeste li baš jako sigurni da ne prikupljate baš, baš nikakve osobne podatke? Razmislite dva puta. Recimo da ste vlasnica frizerskog salona i ja vas nazovem da dogovorimo termin. Pitate me za moje ime i prezime i broj telefona. Upravo ste prikupili moje osobne podatke.
Još uvijek ste sigurni da se ne trebate uskladiti s GDPR?
Neće nas, mi smo mali
Hoće i vas. Taman da ste kiosk na uglu ulice, ako prikupljate osobne podatke, obveznici ste GDPR. Ako je u toj trafici zaposlena makar jedna osoba, onda ste joj uzeli sigurno osobne podatke, a vjerojatno i nešto više nego što je minimalno nužno. Npr. imate životopis te osobe. Čak mikropoduzetnik s jednim zaposlenikom koji je moguće ujedno i vlasnik, su obvezni uskladiti se.
Naravno da jedna banka ima daleko osjetljivije podatke i veću količinu podataka od jedne trafike. Ni odgovornost banke i trafike nije ista. No, kazne koje GDPR predviđa, pa čak i izrečene sukladno toj vrsti, količini i protoku podataka, mogle bi tu istu trafiku dokusuriti puno prije nego banku, čak da se trafici izrekne neka minimalna kazna jer su predviđene zaista visoke kazne.
Tako je bilo i sa zaštitom na radu, samo dižu paniku
Ne samo sa zaštitom na radu, sjetite se i fiskalizacije. I na kraju, većina se s vremenom uskladi novim propisima, samo što neki plate masne kazne jer su ili prekasno krenuli ili posao nisu dobro napravili ili su mislili da će guranje glave u pijesak odnosno galama pomoći da problem nestane. GDPR neće nestati.
Značajna razlika između primjerice uvođenja fiskalizacije i GDPR jesu bitno različito predviđene kazne za neusklađivanje. GDPR predviđa drakonske kazne, čak i da nikada ne dođete u nezgodnu situaciju da dobijete maksimalnu kaznu, koja može biti 20 mil. Eura ili 4% globalnog vaše prihoda (što je od toga veće) i na toj skali sasvim mala kazna može za vas biti toliko visoka da vam osigura bankrot.
Niti jedna fiskalizacija ili zaštita na radu nije predviđala tako visoke kazne, a uz vještog odvjetnika i te kazne ste kroz prekršajne postupke mogli lijepo odvesti u zastaru. Ne nadajte se da je GDPR ista priča.
Od susjeda mali radi u AZOP-u pa će to riješiti
Nacionalno regulatorno tijelo koje se bavi zaštitom osobnih podataka je upravo AZOP (Agencija za zaštitu osobnih podataka). Ako vas ispitanik (to može biti bilo koja osoba čije osobne podatke ste prikupili) prijavi za kršenje odredaba GDPR, nemojte se iznenaditi ako vam na vrata pokuca ne samo inspekcija, AZOP ili neko tijelo koje je ili će osnovati Republika Hrvatska. Možete očekivati nadzor direktno iz EU. Ne znam kako tamo stoje sa susjedovim malim, ali znam sigurno da će vam rado oderati kaznu.
Čim riješim taj projekt GDPR, na konju sam!
Ne postoji “projekt” GDPR, ne postoji nešto što ćete vi jednokratno napraviti pravno, tehnički, organizacijski ili na neki četvrti način pa to nešto pospremiti kod tajnice u ormar u tri registratora i onda reći – evo, završili smo GDPR projekt.
Zaštita osobnih podataka je proces i traje dok god vi poslujete ili dok se pravni okvir zaštite osobnih podataka ne promijeni.
Ovo što inicijalno morate odmah napraviti, ako već do sada niste ili ako u ranijem poslovanju već niste poštivali postojeći zakonski okvir, to doista morate hitno kroz jedan dobar projektni tim i voditelja, a sama primjena GDPR je od sada pa dok ga ne promijene ili zamijene nekim drugim.
Nema tu ja ću malo zastati pa ćemo dogodine. Ovo je proces i to važan.
Bit će sigurno neki formular
I na kaju ultimativni izraz poricanja situacije je izjava koju sam zadnje čula: “Ma bit će negdje sigurno neki formular za download koji samo popuniš i pošalješ AZOP-u”. Sigurno je samo da formulara nema. Hoće li ga biti, ne znam, a nekako sumnjam da će se to dogoditi. Ako nađete formular ili se pojavi prije 25. 5. 2018., javite mi. Čak i da se nekakvi obrasci pojave, imat ćete baš težak zadatak da ga popunite ako ne poznajete odredbe GDPR-a i proces usklađivanja.
Važno je reći: samim usklađivanjem, posao vam nije završen jer ćete osobne podatke na zakonom propisane načine morati čuvati u kontinuitetu. E, tu vam formular slabo pomaže. Šećer na kraju: kazne za nepoštivanje odredaba GDPR su izuzetno visoke i idu do 20 mil. eura ili 4% globalnog prometa, ovisno što je veće. Shvatite ozbiljno GDPR i hitno krenite u prilagodbu jer vremena je još jako malo, a posao je opsežan.