GDPR u praksi: Kako zaštita osobnih podataka postaje ključan dio svakodnevnog poslovanja Ženial intervju
Razgovarala:Ivana Radić
Razgovarali smo s Marijom Bošković Batarelo, stručnjakinjom za zaštitu osobnih podataka, koja već deset godina savjetuje poduzetnike i pravne stručnjake kako uskladiti poslovanje s Općom uredbom o zaštiti podataka (GDPR). U ovom intervjuu otkriva zašto je odabrala upravo ovo područje, gdje hrvatske tvrtke najviše griješe, kako se pripremiti za budućnost digitalne regulative – i zašto je platforma OLIVIA vrijedan alat za sve koji žele poslovati usklađeno i odgovorno.
Marija možeš li nam ukratko napisati čime se točno baviš odnosno koje je tvoje područje djelovanja?
Bavim se savjetovanjem i edukacijama u području zaštite osobnih podataka i pružanjem usluga vanjskog službenika za zaštitu podataka.
Predajem na edukacijama Izobrazba za službenike za zaštitu podataka, edukacijama u području usklađenosti s Općom uredbom o zaštiti podataka (GDPR) i Zaštita poslovne tajne.
Također, organiziram zajedno s vanjskim suradnicima edukacije u području usklađenosti poslovanja: Program usklađenosti i etike, Procjena rizika usklađenosti, Etika i compliance u farmaceutskoj industriji, Sprječavanje pranja novca, Informacijska sigurnost za pravnike te općenito Informacijska sigurnost.
Što te potaklo da se baviš GDPR-om?
Nakon rada u odvjetništvu i u banci, odlučila sam završiti magisterij Pravo i tehnologija u Nizozemskoj jer imala priliku doživjeti iz prve ruke kako je stresno raditi u više područja prava. Smatrala sam da je potrebno fokusirati se na neko određeno područje kako bih razvila specifična znanja i vještine.
Kao temu magistarskog rada sam izabrala upravo GDPR kao novu regulativu. Procijenila sam da se ta specijalizacija najviše uklapa u moje interese zaštite ljudskih prava i da je to u tom trenutku najaktualnije područje u kojem će trebati najviše stručnjaka. To se pokazalo kao dobra odluka i time se bavim zadnjih 10 godina.
Kvalitetno savjetovanje u području GDPR-a teško se može raditi usput uz sve ostale poslove. Svakodnevno se objavljuju presude Europskog suda za ljudska prava, Suda EU, smjernice Europskog odbora za zaštitu podataka i nadzornih tijela, novi zakoni i mišljenja te upravne novčane kazne. Sve to zahtjeva posvećenost toj temi, redovnu informiranost i cjeloživotnu edukaciju u području novih zakona i tehnologija.
Kako ocjenjuješ trenutno stanje upoznatosti tvrtki i pojedinaca s regulativom?
I nakon 9 godina stupanja na snagu te 7 godina pune primjene GDPR-a, i dalje mi se čini da je svjesnost organizacija i pojedinaca na niskoj razini.
Organizacije i dalje uglavnom nisu upoznate s osnovnim obvezama iz GDPR-a, a pojedinci uglavnom nisu upućeni u njihova prava. Počevši od toga kada surfamo ili kupujemo online, web stranice su skoro sve neusklađene, zatim kada upisujemo dijete u školu ili na neku aktivnost popunjavamo obrasce ili privole koji su nevaljani te kada dođemo kod doktora obično vidimo zastarjele upitnike.
U Hrvatskoj je nadzorno tijelo Agencija za zaštitu osobnih podataka dosta aktivno po pitanju besplatnih edukacija za poduzetnike, javni sektor i građane. Također, nadzorno tijelo je izreklo ukupno preko 9 milijuna eura upravnih novčanih kazni pa se može reći da svjesnost o rizicima u području zaštite osobnih podataka u Hrvatskoj definitivno raste.
Vezano za Internet stranicu- što svaka stranica nužno treba imati i o čemu treba voditi računa?
Svaka web stranica treba imati osnovne podatke o vlasniku stranice u skladu sa Zakonom o trgovačkim društvima i Zakonom o elektroničkoj trgovini. Potom, treba imati Uvjete korištenja u skladu sa Zakonom o zaštiti potrošača i Pravila privatnosti u skladu s GDPR-om. Ako se koriste kolačići ili slične tehnologije za praćenje korisnika, onda se treba putem pop-up prozorčića tražiti privola za takve obrade osobnih podataka.
Što misliš da će se događati u budućnosti? Kako možemo čuvati svoje podatke?
S obzirom na to da i jednostavne tehnologije koje su se razvile 90-tih u okviru korištenja interneta i dalje nismo na valjan način regulirali i uskladili, možemo očekivati još veći kaos i povrede osobnih podataka s povećanom digitalizacijom, razvojem umjetne inteligencije i virtualne realnosti.
Pravnicima će u budućnosti biti izazov, kao i ostalim profesijama, pratiti korak s brzim razvojem tehnologije. Može se već sada primijetiti trend rasta regulative u području informacijske sigurnosti (NIS2, DORA) i umjetne inteligencije (Uredba o umjetnoj inteligenciji) pa će se tražiti znanja u vođenju projekata, procjenama rizika, izradi analiza i metodologija, provođenju nadzora, kao i u tehničkim i organizacijskim mjerama zaštite podataka.
Kao poduzetnici, moramo biti svjesni rizika usklađenosti poslovanja i znati što nam je prioritet i što zaslužuje naše vrijeme i novac.
Kao građani, moramo uložiti određeno vrijeme u edukaciju i oprez kome dajemo podatke i u koju svrhu. Imamo pravo pitati i dobiti odgovor te imamo pravo na određene zahtjeve i pritužbe.
Što napraviti kada se dogodi zlouporaba?
Kada se poduzetnicima dogodi određena povreda osobnih podataka, propisan je rok od 72 sata u kojem moraju procijeniti rizik povrede te obavijestiti Agenciju za zaštitu osobnih podataka i fizičke osobe čiji podaci su predmet povrede.
Građani imaju pravo podnijeti zahtjev organizacijama koje obrađuju osobne podatke i dobiti pristup, ispravak, brisanje i sl., ovisno od slučaja do slučaja. Ako nakon podnošenja zahtjeva ne zaprime odgovor u roku od mjesec dana ili ne uspiju ostvariti svoja prava mogu se obratiti Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava. Također, građani mogu podnijeti tužbu za naknadu štete zbog povrede prava osobnosti.
Što je OLIVIA i kako može pomoći poduzetnicima?
OLIVIA je besplatna i inovativna web platforma na koju se može bilo tko registrirati sa svojim imenom, prezimenom i email adresom. Izrađena je u okviru EU projekta ARC2, sufinanciranog od EU, u okviru programa Prava, Jednakost i Građanstvo. Njezina misija je pomoći poduzetnicima da se usklade s propisima o zaštiti osobnih podataka. Razvijena je od strane konzorcija: Agencije za zaštitu osobnih podataka (AZOP), kao koordinatora projekta, talijanskog tijela za zaštitu podataka (Garante Privacy), Fakulteta organizacije i informatike – Sveučilište u Zagrebu, Sveučilišta Vrije i Sveučilišta u Firenci.
OLIVIA sadrži i malu online akademiju koja nudi niz modula za učenje, a služi i kao praktičan alat za pomoć pri izradi internih akata i analiza kojima možete dokazati svoju usklađenost s GDPR-om. Trenutačno postoji verzija OLIVIA-e na hrvatskom, talijanskom i engleskom jeziku.
Na tom projektu sam radila do kraja 2024. godinu dana kao vanjski savjetnik i drago mi je da sam imala priliku steći to jedinstveno iskustvo rada na međunarodnom multidisciplinarnom projektu i da je upravo Hrvatska inicirala tako važan i koristan alat.
Foto:Marija Bošković Batarelo, privatna arhiva
GDPR u praksi: Kako zaštita osobnih podataka postaje ključan dio svakodnevnog poslovanja Ženial intervju
Razgovarala:Ivana Radić
Razgovarali smo s Marijom Bošković Batarelo, stručnjakinjom za zaštitu osobnih podataka, koja već deset godina savjetuje poduzetnike i pravne stručnjake kako uskladiti poslovanje s Općom uredbom o zaštiti podataka (GDPR). U ovom intervjuu otkriva zašto je odabrala upravo ovo područje, gdje hrvatske tvrtke najviše griješe, kako se pripremiti za budućnost digitalne regulative – i zašto je platforma OLIVIA vrijedan alat za sve koji žele poslovati usklađeno i odgovorno.
Marija možeš li nam ukratko napisati čime se točno baviš odnosno koje je tvoje područje djelovanja?
Bavim se savjetovanjem i edukacijama u području zaštite osobnih podataka i pružanjem usluga vanjskog službenika za zaštitu podataka.
Predajem na edukacijama Izobrazba za službenike za zaštitu podataka, edukacijama u području usklađenosti s Općom uredbom o zaštiti podataka (GDPR) i Zaštita poslovne tajne.
Također, organiziram zajedno s vanjskim suradnicima edukacije u području usklađenosti poslovanja: Program usklađenosti i etike, Procjena rizika usklađenosti, Etika i compliance u farmaceutskoj industriji, Sprječavanje pranja novca, Informacijska sigurnost za pravnike te općenito Informacijska sigurnost.
Što te potaklo da se baviš GDPR-om?
Nakon rada u odvjetništvu i u banci, odlučila sam završiti magisterij Pravo i tehnologija u Nizozemskoj jer imala priliku doživjeti iz prve ruke kako je stresno raditi u više područja prava. Smatrala sam da je potrebno fokusirati se na neko određeno područje kako bih razvila specifična znanja i vještine.
Kao temu magistarskog rada sam izabrala upravo GDPR kao novu regulativu. Procijenila sam da se ta specijalizacija najviše uklapa u moje interese zaštite ljudskih prava i da je to u tom trenutku najaktualnije područje u kojem će trebati najviše stručnjaka. To se pokazalo kao dobra odluka i time se bavim zadnjih 10 godina.
Kvalitetno savjetovanje u području GDPR-a teško se može raditi usput uz sve ostale poslove. Svakodnevno se objavljuju presude Europskog suda za ljudska prava, Suda EU, smjernice Europskog odbora za zaštitu podataka i nadzornih tijela, novi zakoni i mišljenja te upravne novčane kazne. Sve to zahtjeva posvećenost toj temi, redovnu informiranost i cjeloživotnu edukaciju u području novih zakona i tehnologija.
Kako ocjenjuješ trenutno stanje upoznatosti tvrtki i pojedinaca s regulativom?
I nakon 9 godina stupanja na snagu te 7 godina pune primjene GDPR-a, i dalje mi se čini da je svjesnost organizacija i pojedinaca na niskoj razini.
Organizacije i dalje uglavnom nisu upoznate s osnovnim obvezama iz GDPR-a, a pojedinci uglavnom nisu upućeni u njihova prava. Počevši od toga kada surfamo ili kupujemo online, web stranice su skoro sve neusklađene, zatim kada upisujemo dijete u školu ili na neku aktivnost popunjavamo obrasce ili privole koji su nevaljani te kada dođemo kod doktora obično vidimo zastarjele upitnike.
U Hrvatskoj je nadzorno tijelo Agencija za zaštitu osobnih podataka dosta aktivno po pitanju besplatnih edukacija za poduzetnike, javni sektor i građane. Također, nadzorno tijelo je izreklo ukupno preko 9 milijuna eura upravnih novčanih kazni pa se može reći da svjesnost o rizicima u području zaštite osobnih podataka u Hrvatskoj definitivno raste.
Vezano za Internet stranicu- što svaka stranica nužno treba imati i o čemu treba voditi računa?
Svaka web stranica treba imati osnovne podatke o vlasniku stranice u skladu sa Zakonom o trgovačkim društvima i Zakonom o elektroničkoj trgovini. Potom, treba imati Uvjete korištenja u skladu sa Zakonom o zaštiti potrošača i Pravila privatnosti u skladu s GDPR-om. Ako se koriste kolačići ili slične tehnologije za praćenje korisnika, onda se treba putem pop-up prozorčića tražiti privola za takve obrade osobnih podataka.
Što misliš da će se događati u budućnosti? Kako možemo čuvati svoje podatke?
S obzirom na to da i jednostavne tehnologije koje su se razvile 90-tih u okviru korištenja interneta i dalje nismo na valjan način regulirali i uskladili, možemo očekivati još veći kaos i povrede osobnih podataka s povećanom digitalizacijom, razvojem umjetne inteligencije i virtualne realnosti.
Pravnicima će u budućnosti biti izazov, kao i ostalim profesijama, pratiti korak s brzim razvojem tehnologije. Može se već sada primijetiti trend rasta regulative u području informacijske sigurnosti (NIS2, DORA) i umjetne inteligencije (Uredba o umjetnoj inteligenciji) pa će se tražiti znanja u vođenju projekata, procjenama rizika, izradi analiza i metodologija, provođenju nadzora, kao i u tehničkim i organizacijskim mjerama zaštite podataka.
Kao poduzetnici, moramo biti svjesni rizika usklađenosti poslovanja i znati što nam je prioritet i što zaslužuje naše vrijeme i novac.
Kao građani, moramo uložiti određeno vrijeme u edukaciju i oprez kome dajemo podatke i u koju svrhu. Imamo pravo pitati i dobiti odgovor te imamo pravo na određene zahtjeve i pritužbe.
Što napraviti kada se dogodi zlouporaba?
Kada se poduzetnicima dogodi određena povreda osobnih podataka, propisan je rok od 72 sata u kojem moraju procijeniti rizik povrede te obavijestiti Agenciju za zaštitu osobnih podataka i fizičke osobe čiji podaci su predmet povrede.
Građani imaju pravo podnijeti zahtjev organizacijama koje obrađuju osobne podatke i dobiti pristup, ispravak, brisanje i sl., ovisno od slučaja do slučaja. Ako nakon podnošenja zahtjeva ne zaprime odgovor u roku od mjesec dana ili ne uspiju ostvariti svoja prava mogu se obratiti Agenciji za zaštitu osobnih podataka sa zahtjevom za utvrđivanje povrede prava. Također, građani mogu podnijeti tužbu za naknadu štete zbog povrede prava osobnosti.
Što je OLIVIA i kako može pomoći poduzetnicima?
OLIVIA je besplatna i inovativna web platforma na koju se može bilo tko registrirati sa svojim imenom, prezimenom i email adresom. Izrađena je u okviru EU projekta ARC2, sufinanciranog od EU, u okviru programa Prava, Jednakost i Građanstvo. Njezina misija je pomoći poduzetnicima da se usklade s propisima o zaštiti osobnih podataka. Razvijena je od strane konzorcija: Agencije za zaštitu osobnih podataka (AZOP), kao koordinatora projekta, talijanskog tijela za zaštitu podataka (Garante Privacy), Fakulteta organizacije i informatike – Sveučilište u Zagrebu, Sveučilišta Vrije i Sveučilišta u Firenci.
OLIVIA sadrži i malu online akademiju koja nudi niz modula za učenje, a služi i kao praktičan alat za pomoć pri izradi internih akata i analiza kojima možete dokazati svoju usklađenost s GDPR-om. Trenutačno postoji verzija OLIVIA-e na hrvatskom, talijanskom i engleskom jeziku.
Na tom projektu sam radila do kraja 2024. godinu dana kao vanjski savjetnik i drago mi je da sam imala priliku steći to jedinstveno iskustvo rada na međunarodnom multidisciplinarnom projektu i da je upravo Hrvatska inicirala tako važan i koristan alat.
Foto:Marija Bošković Batarelo, privatna arhiva