I mikro i mala poduzeća i obrti moraju biti usklađeni s GDPR Uredbom

Otkad je donesen zakon (uredba) i velike strke oko GDPR-a imamo dojam da se sve nekako sleglo, stišalo. Je li to zbog krize ili možda je početna panika bila pretjerana?

Svi se jako dobro sjećamo dana 25.05.2018. godine kada nam je pretinac elektroničke pošte bio zatrpan privolama od raznih naslova koji su od nas tražili dopuštenje da nam i dalje šalju svoje obavijesti ili newslettere. I nakon toga mislimo da se sve stišalo.

A zapravo situacija je drugačija. Tek nakon toga mali i srednji poduzetnici osvijestili su da su upravo i oni u obvezi uskladiti svoje poslovanje sa Uredbom koja regulira zaštitu osobnih podataka.

Velike kompanije ili imaju svoje GDPR timove ili su angažirale vanjske savjetnike koji su za njih odradili usklađenje i prije navedenog roka. Mikro i mala poduzeća tek nakon primjene zakona traže informaciju više i pokazuju interes za ovo područje.

Panika tih dana u svibnju 2018. zapravo mogli bismo reći bila je malo pretjerana jer i danas mnoge tvrtke nisu usklađene. Mnoge čekaju neka bolja vremena kako bi izdvojili sredstva potrebna za provedbu usklađenja.

Agencija za zaštitu podataka  (AZOP) aktivno surađuje sa HGK, te je i nedavno organizirala online edukaciju u trajanju od čak 6 sati gdje su mikro i mala poduzeća mogli dobiti temeljne informacije vezane na GDPR. I sama Agencija je svjesna činjenice da postoji velik broj poduzeća koji nisi usklađeni na pravilan način ili nisu uopće usklađeni, te na taj način želi potaknuti poduzetnike da odrade svoju obvezu usklađenja s Uredbom GDPR.

 

Koje usluge nudi obrt AZZIRIS?

Obrt Azziris osnovan je početkom 2018. godine s osnovnom djelatnosti poslovno savjetovanje. S obzirom da sam dugi niz, skoro 19 rodina, radila u sektoru bankarstva prvo u dijelu sa pravnim osobama, te kasnije sa fizičkim osobama VIP klijentima, došla sam do spoznaje da postoji mnogo poduzetnika kojima je potreban upravo vanjski savjetnik kojem se mogu obratiti s pitanjem iz bilo kojeg područja poslovanja.

Klijenti koji se susreću s nekim problemom najčešće ne znaju kome se obratiti za savjet iz nekog područja, ukoliko to nije direktno vezano za domenu knjigovodstvenog servisa, odvjetnika ili javnog bilježnika.

Zbog svoje otvorenosti prema promjenama i stalnog praćenja zakonske regulative koja se kako i sami znamo mijenja kontinuirano i periodički, klijenti s kojima surađujem imaju sigurnost da će o svemu biti na vrijeme obaviješteni.

Glavna djelatnost obrta odnosi se na usklađenje sa GDPR regulativom, edukacija i savjetovanje vezano na predmetnu regulativu, savjetovanjem vezano na mjere samozapošljavanja koje provodi HZZ, te pomoć u dijelu poslovanja vezano na upravljanje ljudskim resursima.

 

Što svaki mali poduzetnik mora imati? Čemu mora udovoljiti?

Da bi se poduzetnik uskladio sa GDPR regulativom prvo je potrebno napraviti edukaciju i o predmetnoj regulativi upoznati sve zaposlenike koji obrađuju osobne podatke.

Nakon toga  se radi analiza podataka koji se obrađuju, te identificiraju kategorije ispitanika od kojih su ti podaci. Najčešće kategorije ispitanika su djelatnici i poslovni partneri (kupci, dobavljači).

Potrebno je tim kategorijama ispitanika na transparentan način dati informaciju o obradi njihovih podataka, načinu pohrane, vremenskom roku čuvanja, eventualnom dijeljenju podataka, te na koji način su podaci zaštićeni i koja sve imaju prava.

Sve to se dokumentira u internim aktima, bilo u formi politike ili pravilnika, te točno odredi procedura u slučaju zahtjeva ispitanika ili ukoliko dođe do povrede podataka.

Također je potrebno ugovorno regulirati i prijenos podataka, na primjer u knjigovodstveni servis, te je potrebno sklopiti Ugovor o obradi podataka.

Postoje minimalni uvjeti zaštite osobnih podataka koje svaki poduzetnik mora zadovoljiti, a to se odnosi na podatke na papirnom i elektroničkom mediju.

Kada je sve to završeno, poduzetnik je u obvezi redovito ažurirati interne akte ukoliko dođe do promjena, jer dokumentacija treba preslikavati stvarne procese poslovanja.

Tako da jednom izrađena dokumentacija i zaboravljena u nekoj ladici zapravo niti nema težinu i vrijednost.

 

Je li COVID19 nekako utjecao na GDPR regulativu, pogotovo nakon ponovnog otvaranja u svibnju svi su nas tražili osobne podatke, je li to bilo u skladu sa Uredbom?

Da, istina je to što ste primijetili da nakon ponovnog početka rada pogotovo uslužne djelatnosti frizerskih, kozmetičkih ili drugih salona počeli su prikupljati naše osobne podatke. Prema članku 6. Uredbe definirano je 6 kriterija kada je obrada podataka opravdana, jedan od kriterija odnosi se na zaštitu ključnih interesa naših klijenata. Prema tome to prikupljanje podataka u skladu je sa GDPR regulativom, ali napominjem da oni koji prikupljaju te podatke trebaju imati i regulirano koliko dugo čuvaju te podatke, na kojim medijima (bilježnica ili elektronički oblik) se podaci pohranjuju, na koji način nakon isteka legitimnog roka čuvanja podaci se uništavaju, te eventualno s kime s mogu dijeliti.

Znači vidite, nije dovoljno samo prikupljati podatke i reći prema Uredbi smijemo to raditi, već je potrebno prethodno imati usklađenje sa GDPR regulativom i biti educiran o svim aspektima koje GDPR nalaže da je potrebno regulirati.

 

Slušali smo o velikim kaznama ako se ne poštuju zaštita podataka? Što je realno, odnosno koji su neki najčešći slučajevi pogreška ili propusta kod malih poduzetnika?

Svako malo možemo pročitati na portalima o GDPR kaznama koje su neke EU zemlje sprovele. Nedavno je bilo govora o prvoj izrečenoj kazni u RH prema jednoj od banaka koja nije surađivala s Agencijom i nije prihvatila njihove blaže korektivne mjere.

Što se tiče malih poduzetnika i kazni smatram, da ukoliko se tvrtka uskladi, i angažira GDPR savjetnika,  ne postoji vjerojatnost za izricanjem bilo kakve kazne.

Agencija ukoliko ima bilo kakvu prijavu za poduzeće, obraća se poduzeću na način da se dokaže usklađenost. U tom slučaju velika je pomoć i potpora od GDPR savjetnika koji će za poduzeće napisati odgovor na upit od Agencije i poslati sve potrebne dokaze.

Imali smo primjer prije godinu dana kada je Agencija zatražila sve škole u RH da dokažu da su se uskladile. Neki od mojih klijenata također su bile škole, te smo zajedno napisali odgovor i poslali na AZOP.

 

Tko i kada mora angažirati stručnjaka za GDPR te da li si to mikro poduzetnik uopće može priuštiti?

Prema danim smjernicama AZOP-a, svi poduzetnici koji zapošljavanju barem jednog radnika, ili obrađuju osobne podatke klijenata koji su fizičke osobe u obvezi su se uskladiti sa ovom regulativom. Najjednostavniji način je angažirati stručnjaka koji će napraviti edukaciju, objasniti jednostavnim rječnikom koje su obveze poduzetnika kao voditelja obrade, te s obzirom na djelatnost dati dodatne smjernice na što je posebno potrebno obratiti pažnju.

Treba se napomenuti da usklađenje ne znači napisati politiku privatnosti i ostaviti taj akt u zaključanoj ladici, usklađenje je potrebno dokazati. E, upravo radi toga Vam je potreban savjetnik. Jednom kad odaberete svojeg GDPR savjetnika s njim ste i trajno povezani, jer kako se poslovanje širi ili uvodite neke promjene kod obrade osobnih podataka tako je potrebno sve to i ažurirati u dokumentaciji.

Upravo iz tog razloga ja sam na sebe preuzela odgovornost javljanja svim svojim klijentima kako bismo utvrdili je li došlo do kakvih promjena, na primjer uvođenje video nadzora ili izrada web stranice, te ažurirali interne akte i educirali djelatnike o novostima.

Često mi se znaju javiti poduzetnici koji su 'pronašli' na internetu nešto od dokumentacije koja je povezana na GDPR regulativom pa žele da provjerim je li to dovoljno i jesu li usklađeni. Naravno da se odazovem pozivu i pomognem, jer upravo i na taj način educiram klijente da se dokumentacija ne može prepisati sa interneta. Svaka tvrtka je jedinstvena na svoj način, obrade podataka nisu identične, te se ne može primijeniti formula 'copy-paste papira'.

Smatram da svi poduzetnici mogu priuštiti GDPR savjetnika, jer cijena se formira prema broju zaposlenih. Nije isto uskladiti jednu automehaničarsku radnju koja ima dva zaposlena, u usporedbi s tvrtkom koja zapošljava preko 20 djelatnika, te ima veću količinu osobnih podataka koje obrađuje. Prema svojim klijentima uvijek se ponašam korektno i izlazim u susret, te se dogovaramo i oko načina plaćanja.

Sa svim klijentima s kojima sam ostvarila poslovnu suradnju po GDPR usklađenju, i nakon završene implementacije ostala sam u poslovnim odnosima, javljaju mi se sa pitanjima vezano na regulativu ukoliko im se dogodi neki problem i zajedno to uspješno rješavamo.

 

Zahvaljujem portalu za male i srednje poduzetnike što ste me kontaktirali i iskazali povjerenje da odgovorim na Vaša pitanja. Vjerujem da ćemo na ovaj način pomoći malim i srednjih poduzetnicima da se odluče uskladiti sa GDPR regulativom, ili ako su si dokumentaciju sami izradili da nam se obrate da provjerimo i ukažemo na dodatna poboljšanja.

Razgovarala: Kristina Androlić

Photo: privatna arhiva helena Milfelner