GDPR u praksi - HOK se trudi i pri tome radi štetu obrtnicima!

GDPR u praksi - HOK se trudi i pri tome radi štetu obrtnicima!

Hrvatska obrtnička komora - HOK, zajedno s drugim komorama i sličnim udruženjima za koje se članarina prikuplja silom zakona, u zadnje je vrijeme pod pritiskom, prije svega novostvorene udruge Glas Poduzetnika.

Sve se više postavlja pitanje prisilnog članstva i vrijednosti koju članovi dobivaju za svoj novac. Ne bih sad ulazio u to je li ih taj pritisak nagnao da odluče biti ažurni i na usluzi svojim članovima od početaka ove krize ili je razlog tome nešto drugo. I sve bi to bilo vrlo pohvalno, da u tom svom trudu ne rade ozbiljne gafove, od kojih neki mogu biti vrlo štetni za one koji poslušaju njihove savjete. A s obzirom da su udruženje koje okuplja sve obrtnike u Hrvatskoj, od kojih mnogi jednostavno nemaju potrebno knjigovodstveno ili pravno predznanje, njihov je doseg, ali i utjecaj vrlo velik.

Zadnji ozbiljni gaf - prethodne neću navoditi ovom prilikom, ali bilo ih je - tiče se službenih preporuka Hrvatskog zavoda za javno zdravstvo vezano uz organizaciju rada i mjere opreza za uslužne djelatnosti koje uvjetuju fizički kontakt: frizerskih salona i brijačnica, salona za manikuru i pedikuru, fizioterapeuta u vanbolničkoj okolini i salona za masažu, salona za tetoviranje i piercing te kozmetičkih salona. HOK je “na svoju ruku” interpretirao navedene preporuke i znatno proširio obim informacija, odnosno osobnih podataka koje obrtnici trebaju tražiti od svojih klijenata.

Pratio sam u nekoliko Facebook grupa rasprave uplašenih i zbunjenih frizera. Svi su od HOK-a na mail dobili preporuke za postupanje, uz Izjavu, odnosno privolu, i Informacije o obradi podataka u svrhu zaštite pojedinaca od zaraznih bolesti COVID-19. Privola je u ovom slučaju potpuno pogrešan pravni temelj za obradu podataka i nikako je ne treba tražiti! Traženi podaci su prekomjerno prikupljanje podataka, od čega su neki medicinski podaci koji podliježu posebnim pravilima obrade. Informacije o obradi podataka netočne su i nepotpune.

Preporuke HZJZ-a, između ostalog, navode da prilikom naručivanja, obrtnik treba upozoriti stranku da se usluga ne pruža osobama koje imaju bilo kakav simptom akutne respiratorne infekcije kao što su curenje nosa, kihanje, kašljanje, kašalj i povišena tjelesna temperatura. No nije navedeno da to treba igdje bilježiti!

Jedino što obrtnik treba zabilježiti jest broj telefona stranke, vrijeme dolaska i vrijeme odlaska. Čak ne treba ni ime i prezime. Također, klijent ništa ne treba potpisivati. Navedeni podaci mogu se čuvati u tablici na računalu ili čak običnoj bilježnici, pod uvjetom da budu osigurani lozinkom, odnosno čuvani pod ključem, kako bi bila osigurana minimalna tehnička mjera zaštite tog dokumenta. Izjava o obradi podataka trebala bi biti javno dostupna, u ovom slučaju najbolje da je izvješena u prostoru u kojem se obavlja usluga. Može biti objavljena i na webu. Njome se pojašnjava tko prikuplja osobne podatke, u koju svrhu i po kojoj osnovi, s kime se oni dijele, kako se i koliko čuvaju te što će biti s njima nakon toga. Ove podatke potrebno je uništiti nakon proteka svrhe obrade. Izjava nije isto što i privola. Izjavu nije potrebno potpisivati, njome se samo informira.

Kako većina obrtnika i dalje nije usklađena s GDPR-om, iako su svi pravni subjekti u EU trebali uskladiti svoje poslovanje najkasnije do 25. svibnja 2018. godine, razumljivo je nepoznavanje i nerazumijevanje osnovnih pojmova i zahtjeva zaštite podataka. GDPR nije samo privola, koja također ima svoje zakonitosti i ograničenja. GDPR nije samo postupanje s osobnim podacima klijenata, nego i zaposlenika. GDPR je usklađivanje poslovnih praksi i procesa, pa se primjena GDPR-a može razlikovati i najčešće razlikuje od jednog pravnog subjekta do drugog, bez obzira što se bave istom djelatnošću. “Papir za GDPR” ne postoji, koliko god ga platili, jer se tako ne može uskladiti poslovanje. Većina stručnjaka za zaštitu podataka rado će dati savjet i preporuku, samo ih je potrebno pitati. I da, usklađivanje s GDPR-om zahtjevno je i sveobuhvatno, ne može ga napraviti bilo tko, pogotovo ne bez potrebnog predznanja.

Pozivam HOK da se savjetuje s Agencijom za zaštitu podataka - AZOP kako bi čim prije poslao članovima demantij te ispravne upute kako postupiti, jer do mnogih neće doprijeti pokušaji mojih kolega stručnjaka za zaštitu podataka i mene, koji ovih dana na sve strane pokušavamo sanirati nastalu štetu i spriječiti ozbiljno narušavanje GDPR-a te potencijalne kazne.