25. svibnja 2018. postao je datum koji ćemo svi, bez obzira na branšu, zapamtiti kao dan kada se promijenio način poslovanja u skoro pa svim segmentima. Koliko puno se promijenio? Jedno 15 milijuna puta. Ako ste razvili svijest o značajno velikim promjenama koje donosi nova Uredba o zaštiti osobnih podataka, onda znate da vam već gori pod nogama. Ako tu svijest nemate, onda vjerojatno koristite (i s tim samo tješite sami sebe)  jednu od ovih niže navedenih metoda kvazi zaštite od GDPR-a. I u velikoj  ste zabludi, pa je krajnje vrijeme da vam ih razbijemo.

Vrhunska zabluda po principu :

“Meni to ne treba!”

Ako ste trgovačko društvo, udruga, obrt, škola, poliklinika, tijelo lokalne uprave, ma čak i samostalni umjetnik… nastavite sami niz poslovnih djelatnosti koje rade s fizičkim, ali čak i pravnim osobama, sigurno je da ste obavezni svoje poslovanje uskladiti s GDPR.

Dovoljno puta, čak i previše smo čuli da nam poduzetnici ili gradonačelnici kažu:

“To nama ne treba, mi ne prodajemo ništa na Internetu.”

Ajmo razbiti zabludu

Toliko je mala šansa da vam GDPR neće utjecati na rad i poslovanje, te da se niste obvezni uskladiti s odredbama GDPR, da smo voljni dati vam 4 sata besplatnog konzaltinga sa primjerima i savjetima  iz područja našeg rada ako nam uspijete dokazati da u svom poslovanju niste obveznici GDPR–a na bilo koji način.

Imam još vremena

Nema. Vremena nema. Ustvari, točnije rečeno, ne da nemate vremena, nego već kasnite i u prekršaju ste ako se niste uskladili s GDPR.

Sve ono što je potrebno napraviti kako biste svoje poslovanje uskladili s GDPR je opsežan, velik i zahtjevan posao ne samo vama samima, već i vašim zaposlenicima koji dobivaju određenu odgovornost pa čak i konzultantima koji će vas voditi kroz proces. Svi su uključeni u procese i svima zajedno je potrebno dosta vremena. Usklađivanje uključuje suradnju stručnjaka raznih grana i područja rada.

U jednom momentu ljudi će shvatiti da im je potrebno usklađivanje jer je u ovom trenutku u Hrvatskoj poprilično niska razina svijesti o GDPR. Ne samo što je već sada 12 i 05 sati da se uskladite, i još k tome, u kritičnom trenutku kada se dobar dio obveznika sjeti da im treba usklađivanje, vrlo vjerojatno će se dogoditi situacija da na tržištu neće biti dovoljno raspoloživih kvalitetnih stručnjaka koji će vas moći momentalno preuzeti da vam naprave usklađivanje. I konzultanti su ljudi, ponekada spavaju.

To će riješiti knjigovođa i pravnik, ne želim se zamarati i baš me briga

Taj stav bi vas mogao koštati. Zaštita osobnih podataka nije posao knjigovođe. Oni  trebaju znati o čemu se radi samo u vlastitom području, kako bi vam eventualno mogli pomoći, a ne u kompletnom vašem poslovanju. Knjigovodstvo je dužno svoje poslovanje uskladiti s GDPR. I samo svoje. Ne i vaše.

Pravnici, s druge strane, ne moraju uopće znati nešto o zaštiti osobnih podataka. Nisu sveznadari, nisu svemoćni, niti su roboti. Pravo je ogromno i ne postoji pravnik koji sve zna o pravu, on se specijalizira za određenu granu ili grane. Ako imate u vlastitoj tvrtci zaposlenog pravnika, vjerojatnost je vrlo velika da ta osoba prati sve silne propise iz područja radnog, poreznog, trgovačkog i sličnih grana prava. Da li je baš u svakoj od tih grana prava vrhunski ekspert? Teško, ne bi rekli. Vjerojatno je u nekima bolji, u nekima lošiji, a neke prati površno.

GDPR unosi novosti koje se naslanjaju na već postojeći zakonski okvir zaštite osobnih podataka u Hrvatskoj, jedino što je dosta širi i zahtjevniji i ako se vaš pravnik tim okvirom nije bavio, ovo će mu sada biti kao da je „zviznuo“ iz svemira .

Uostalom, ako do sada niste pratili i poštovali zaštitu osobnih podataka, a velika većina nije, onda vaš pravnik najvjerojatnije nikada nije ni čuo za ovo što vas slijedi.

Ako ste vlasnici trgovačkog društva, čelnici ustanova, direktori ili jedinica lokalne uprave vi jednostavno morate biti upoznati i imati bar minimalno znanje s osnovama GDPR i osigurati da usklađivanje bude provedeno. Da, to je vaša briga i prijeko potrebna je. Morate o tome brinuti.

GDPR propisuje da se do 25. 5. 2018. trebalo uskladiti s ovim pravnim okvirom zaštite osobnih podataka.

“Ma to je tek sad izašlo.

GDPR je stupio na snagu i to u travnju 2016., a njegova primjena do 25. 5. 2018. Period između ta dva datuma JE BIO rok za prilagodbu u kojem se primjena propisa odgađa, ali je sam propis stupio na snagu. Tko je studirao pravo dobro zna što znači vacatio legis i da osnove prava nisu bezvezno znanje koje im neće koristiti.

Vacatio legis (lat.), pravo, rok koji mora proteći između objavljivanja zakona ili pravnih propisa i njihova stupanja na snagu.

Da ponovimo, GDPR je stupio na snagu, rok prilagodbe  je završio 25. 5. 2018. i GDPR je tu da ostane zasigurno na duže vrijeme.

“Ja ne prikupljam baš nikakve podatke”

Jeste li 100% sigurni da ne prikupljate apsolutno nikakve osobne podatke?

Razmislite dva puta.

Recimo da ste vlasnica kozmetičkog salona i nazove vas gospođa za dogovor termina. Pitate ju ime i prezime i broj telefona. Upravo ste prikupili njene osobne podatke.

Mi smo mali, nas neće.

Hoće, i vas će. Taman da ste mali kafić, trgovinica ili kiosk na uglu ulice, ako prikupljate osobne podatke, obveznici ste GDPR. Ako je u tom kafiću, trgovinici ili kiosku zaposlena makar jedna osoba, uzeli ste joj sigurno osobne podatke, a vjerojatno i nešto više nego što je minimalno potrebno. Npr. imate njen životopis ili IBAN broj za isplatu plaće. Čak mikropoduzetnik s jednim zaposlenikom koji je ujedno i vlasnik,  obvezan je uskladiti se.

Naravno da jedna banka ima daleko osjetljivije podatke i veću količinu podataka od jednog frizerskog salona ili cvjećarnice. Ni odgovornost banke i cvjećarnice nije ista. No, kazne koje GDPR predviđa, pa čak i izrečene sukladno toj vrsti, količini i protoku podataka, mogle bi tu istu cvjećarnicu ili frizerski salon dokrajčiti puno prije nego banku, čak da im se izrekne neka minimalna kazna jer su predviđene jako visoke kazne.

Samo dižu paniku, tako je bilo i sa zaštitom na radu.

Ma ne samo sa zaštitom na radu, prisjetite se i fiskalizacije. I na kraju, većina se s vremenom uskladi novim propisima, samo što neki plate masne kazne jer su ili prekasno krenuli, ili još ga uopće nemaju, ili posao nisu dobro napravili ili su mislili da će guranje glave u pijesak odnosno vika i galama pomoći da problem nestane. GDPR neće nestati.

Razlika između npr. uvođenja fiskalizacije i GDPR su dosta različito predviđene kazne za neusklađivanje. GDPR predviđa drakonske kazne, čak i da nikada ne dođete u nezgodnu situaciju da dobijete maksimalnu kaznu, koja može biti 20 mil. eura ili 4% globalnog vašeg prihoda (što je od toga veće) i na toj ljestvici čak i jako mala kazna može za vas biti toliko visoka da vam osigura bankrot.

Niti jedna fiskalizacija ili zaštita na radu nije predviđala baš tako visoke kazne, a uz dobrog i snalažljivog odvjetnika i te kazne ste kroz prekršajne postupke mogli lijepo odvesti u zastaru. Ne nadajte se da je GDPR ista priča.

Od susjede mali radi u AZOP-u pa će to riješiti.

Nacionalno regulatorno tijelo koje se bavi zaštitom osobnih podataka je AZOP (Agencija za zaštitu osobnih podataka). Ako vas ispitanik (bilo koja osoba čije osobne podatke ste prikupili) prijavi za kršenje odredaba GDPR, nemojte se iznenaditi ako vam na vrata pokuca ne samo inspekcija, AZOP ili neko tijelo koje je ili će osnovati Republika Hrvatska. Možete čak očekivati nadzor direktno iz EU. Ne znamo kako kod njih stoje stvari sa susjedinim malim, ali znamo sigurno da će vam profesionalno i bezosjećajno oderati kaznu.

Čim taj GDPR projekt riješim, na konju sam!

Ne postoji “projekt” GDPR, ne postoji nešto što ćete vi jednokratno napraviti organizacijski, tehnički, pravno, ili na neki četvrti način pa te neke papire pospremiti kod tajnice u ormar u dva ili tri registratora i onda reći – evo, završili smo GDPR projekt.

Zaštita osobnih podataka je PROCES I TRAJE dok god vi poslujete ili dok se pravni okvir zaštite osobnih podataka ne promijeni.

GDPR morate odmah napraviti, ako već do sada niste ili ako u ranijem poslovanju niste poštovali postojeći zakonski okvir uz jedan dobar tim i voditelja, a sama primjena GDPR je od sada pa dok ga ne promijene ili zamijene nekim drugim.

Nema tu…ja ću malo zastati pa ćemo „nagodinu“. Ovo je proces i to važan.

 Bit će sigurno neki formular.

I na kaju ultimativni izraz poricanja cijele ove situacije je izjava koju smo nedavno čuli: “Ma ima sigurno negdje neki formular za skinuti koji samo popuniš i pošalješ AZOP-u”. Sigurno je samo da formulara nema. Hoće li ga biti, ne znam, a nekako sumnjam da će se to dogoditi. Ako nađete formular ili se pojavi, javite nam. Čak i da se nekakvi obrasci pojave, imati ćete dosta težak zadatak popuniti ga ako ne poznajete odredbe GDPR-a i proces usklađivanja.

Važno je reći: samim usklađivanjem, posao vam nije gotov jer ćete osobne podatke na zakonom propisane načine morati čuvati u kontinuitetu. E, tu vam formular slabo pomaže.

I još jednom kao šećer na kraju: kazne za nepoštivanje odredaba GDPR su izuzetno visoke i idu do 20 mil. eura ili 4% globalnog prometa, ovisno što je veće. Shvatite ozbiljno GDPR i hitno krenite u prilagodbu jer vam je vrijeme za to već isteklo, a posao je opsežan.