Crni petak za GDPR i upravljanje privolama

Crni petak (eng. Black Friday) poznat je kao dan kada počinju božićne ponude i rasprodaje, a ove godine će biti 24.11. Poslovna inteligencija, tvrtka koja jedan od vodećih hrvatskih IT izvoznika, odlučila se ovaj tjedan na izuzetno zanimljiv i nesvakidašnji potez, a za nešto slično do sada nismo čuli u svijetu korporativnih softverskih rješenja.

Naime, Poslovna inteligencija će na taj dan ekskluzivno svim potencijalnim korisnicima ponuditi da naruče ili kupe njihovu platformu za upravljanje životnim ciklusom privolama (Consent Lifecycle Manager - CLM) uz ekskluzivni popust od 50%. Upravljanje privolama je jedan od osnovnih zahtjeva Opće uredbe o zaštiti osobnih podataka (GDPR), a CLM platforma osim upravljanja privolama omogućava i realizaciju i praćenje zahtjeva korisnika koje tvrtka koja koristi njihove podatke mora ispuniti.

„Svaki dan se na tržištu susrećemo s mnogim tvrtkama koje tek sada istražuju u kojem smjeru trebaju krenuti da bi se uskladile s uredbom.“ objašnjava Marijan Bračić, voditelj GDPR programa u Poslovnoj inteligenciji. „Za ovaj potez smo se odlučili iz nekoliko razloga. Prvi je taj što će u ponoć između petka i subote biti točno šest mjeseci do 25.5.2018., dana kada uredba stupa na snagu. Drugi je da omogućimo što većem broju naših vjernih korisnika u Hrvatskoj i Europskoj Uniji da riješe ovaj ključni problem usklađivanja korištenjem naše aplikacije, koja je jedna od rijetkih aplikacija koja se može jednostavno koristiti odmah nakon instalacije, a po potrebi se s drugim sustavima tvrtke integrira pozivanjem otvorenih aplikativnih programskih sučelja. Treći i ne najmanje važan razlog je da smo prva IT tvrtka koja je tako nešto napravila za korporativni softver.“

Više informacija o ovoj zanimljivoj ponudi možete naći na sljedećem linku.

U nastavku teksta pročitajte što su privole, zašto je upravljanje privolama bitno, te što CLM platforma omogućava.

GDPR i upravljanje privolama

Da bi organizacija bila usklađena sa zahtjevima Opće uredbe o zaštiti osobnih podataka (GDPR), treba moći upravljati osobnim podacima, treba znati gdje su i kako ih zaštiti. Osim toga, organizacija treba moći ispuniti zakonom definirana prava svim građanima EU čije podatke obrađuje. GDPR se primjenjuje na sve fizičke osobe s državljanstvom neke od zemalja članica Unije (ispitanike), te je potrebno ispunjavati i pratiti zahtjeve ispitanika. U kontekstu tvrtke, ispitanik može biti korisnik, bivši korisnik, fizička osoba kojoj tvrtka nudi svoje proizvode ili usluge, zaposlenik, kandidat za zaposlenika ili zaposlenik partnera.

Veliki naglasak nove uredbe se stavlja na privole (eng. consent). U Hrvatskoj privole nisu novost jer ih propisuje i aktualni Zakon o zaštiti osobnih podataka. Pitanje je koliko se trenutno tvrtke drže Zakona, budući da su trenutačno kontrole vrlo površne a kazne za nepridržavanje zanemarive. Kazne za neusklađenost koje propisuje GDPR su bitno više, a prava koja ispitanici dobivaju zahtijevaju od organizacija da mogu demonstrirati kako su došle do osobnih podataka i kako ih obrađuju.

Opća uredba o zaštiti podataka i Zakon o zaštiti osobnih podataka privolama pristupaju na sličan način - ispitanik privolu mora dati svojevoljno te mu moraju biti jasni ciljevi, odnosno svrha prikupljanja njegovih osobnih podataka. Isto tako, ispitanik mora biti obaviješten o tome da u svakom trenu može povući privolu, osim ako obrada podataka nema drugačiju zakonsku podlogu. Međutim GDPR dodatno definira uvjete privole i kaže da voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu njegovih podataka, da je zahtjev za privolu bio razumljiv i pisan jednostavnim jezikom, da ispitanik privolu može povući jednako jednostavno kao što ju je i dao, te da usluga nije bila uvjetovana privolom.

U novoj uredbi također stoji da se privola treba dati jasnom potvrdnom radnjom poput pisane izjave (uključujući i elektroničku) ili usmene izjave. Pod elektroničku pisanu izjavu spada i označavanje polja kvačicom pri posjetu internetskim stranicama, no polje nikako ne smije biti unaprijed označeno. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako ispitanik nema slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica, onda se ne može smatrati da je privola dana dobrovoljno.

Prema Zakonu o zaštiti osobnih podataka podaci se smiju prikupljati i dalje obrađivati pod uvjetom da postoji privola, u slučajevima određenim zakonom, u svrhu sklapanja i izvršenja ugovora, u svrhu zaštite ili tjelesnog integriteta ispitanika, ako je obrada nužna radi ispunjenja zadataka koji se izvršavaju u javnom interesu ili u svrhu zakonitog interesa voditelja zbirke osobnih podataka te ako je ispitanik sam objavio te podatke. Identični razlozi prikupljanja i obrade podataka provlače se kroz točke 40 do 50 Opće uredbe o zaštiti podataka.

Za organizacije koje su se do sada pridržavale aktualnog zakona implementacija zahtjeva GDPR-a trebala bi biti znatno olakšana. Ukoliko nisu, organizacije moraju povećati sigurnost i naučiti upravljati osobnim podacima kako bi bile usklađene s novim pravnim obavezama.

Od početka primjene GDPR-a, organizacije moraju skupljati i pohranjivati aktivne privole koje su dane slobodnom voljom. Članak 7 Opće uredbe o zaštiti podataka kaže da „Voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka“.

Znači li to ponovno prikupljanje postojećih privola? Da, ukoliko one nisu usklađene s opisanim GDPR zahtjevima. Vrijeme za organizacije da definiraju proces prikupljanja i obrade privola je puno prije nego se GDPR počne primjenjivati, tako da u svibnju sljedeće godine poslovanje nastave bez primjetnih promjena. Najbolji način za dobivanje ponovnih privola je objašnjenje zašto se to radi i kako se na taj način štite osobni podaci pojedinaca, te koja je njihova korist od toga.

Zašto je platforma za upravljanje privolama potrebna?

Kako bi se zadovoljio ovaj zahtjev, javlja se potreba za sustavom u kojem bi se mogla voditi evidencija svih ispitanika i danih privola, evidencija aktivnih i neaktivnih privola, te zahtjeva koji su ispitanici dali tvrtki vezano za njihove privole i obradu njihovih podataka. Takav sustav bi uvelike olakšao upravljanje privolama i sve potrebne informacije bile bi dostupne na jednome mjestu - za sve obrade osobnih podataka koje su pokrivene privolom kao pravnom osnovom organizacija treba moći demonstrirati kada je privolu dobila, od koga, kojim kanalom i za koju svrhu. Također treba omogućiti ispitanicima i da privolu na jednako lagani način povuku pri čemu je zakonska odgovornost tvrtke da u tom slučaju njihove podatke više ne obrađuje u sklopu procesnih aktivnosti za koje je privola pravna osnova.

Procesi obrade koji konzumiraju osobne podatke ispitanika moraju znati razlučiti da postoje dovoljni uvjeti za početak procesa obrade nad ispitanikom, što uključuje privole. Samim time, upravljanje privolama postaje ključan faktor u procesima koji pružaju podršku poslovanju i daju podlogu za donošenje poslovnih odluka. Krivi koraci u ovakvim procesima, mogu, ali i ne moraju rezultirati korektivnim mjerama, međutim vrlo je izvjesno da bi pogreške u takvim procesima utjecale na brand i vjernost kupaca, a to je teško izmjeriti.

Consent Lifecycle Manager (CLM) platforma

Consent Lifecycle Manager (CLM) platforma je rješenje Poslovne Inteligencije koje je jedinstveno na tržištu i koje organizacijama omogućava jednostavno i intuitivno upravljanje životnim ciklusom privola i zahtjeva subjekata.

CLM podržava sve glavne procese vezane za životni ciklus privola i upravljanje zahtjevima subjekata vezanim za njihove osobne podatke, počevši od procesa prikupljana i evidencije privola, preko upravljanja svrhama privola, upravljanja aktivnostima procesiranja, te integracijom podataka o privolama i zahtjevima korisnika s drugim sustavima tvrtke, bilo kroz uvoz / izvoz podataka ili pozivima otvorenih aplikacijskih programskih sučelja (API). CLM vodi i povijest svih promjena vezanih za privole subjekata i njihove zahtjeve.

Dodatno, CLM platforma je centralna aplikacija koju će koristiti službenik za zaštitu osobnih podataka (eng. Data Protection Officer - DPO), koja će mu omogućiti nadzor nad svim procesima vezanim za privole subjekata, uključujući i jednostavne, pregledne i konfigurabilne nadzorne ploče i detaljne izvještaje o svim zahtjevima i aktivnostima i njihovim statusima.

Može se reći da praktično svaka organizacija koja ima odnos s većim brojem ispitanika treba CLM platformu kao dio procesa usklađivanje tvrtke sa zahtjevima uredbe. Ovo je pet razloga zašto tvrtka treba platformu za upravljanje privolama:

1. Važnost - Upravljanje životnim ciklusom privola zahtjevima korisnika su među najbitnijim zahtjevima GDPR regulative
2. Usklađenost - Ako radite s krajnjim korisnicima, bez upravljanja privolama gotovo sigurno se nećete moći uskladiti s GDPR zahtjevima!
3. Centralizacija - CLM je centralna aplikacija za vašeg Data Protection Officera (DPO)
4. Integracija - CLM omogućuje integraciju s vašim CRM-om i drugim sustavima korištenjem otvorenih i dokumentiranih API-eva
5. Smanjenje rizika - CLM je standardizirana platforma sa svim potrebnim funkcionalnostima koja se može početi koristiti odmah