Image
image
image
image
11.11.2019 Dodane stranice: GDPR --- 18.3.2014. Dodane stranice: OKRUŽENJE, PROGRAM LABIS i NAZOVITE NAS
Kako se uskladiti s Općom uredbom o zaštiti podataka
POVRŠNO TUMAČENJE OPĆE UREDBE (GDPR)
Nakon određenog truda uloženog u ovladavanje s GDPR-om, uočene su određene prepreke koje otežavaju razumijevanje i pravilnu interpretaciju GDPR-a. Iste su sažete na ovoj stranici a detaljno su obrazložene u dodatna tri izbornika ovog poglavlja.
1. NEKRITIČNOST U ODNOSU NA IZVOR INFORMACIJA
U razgovorima i konfrotacijama vezanim za GDPR (i šire) uočljivo je oslanjanje na izvore iako isti ne navode temeljenje za iznesene stavove. To je naročito izraženo u prihvatanju informacija s Interneta: "Pa to piše na tom i tom sajtu" ili: "To je objavljeno na sajtu one poznate udruge."
Nigdje spomena o temeljenju, o podlogama kojima bi se potvrdili izneseni stavovi. Ta nekritičnost je vjerovatno i uzrokovalo da se ko zna tko može proglasiti "specijalistom" za GDPR, organizirati seminare (1.200 kuna - osigurana kafa, 2400 kuna - osiguran ručak).
Neprihvatljivo je da neprovjerene informacije olako prihvaćaju ravnatelji škola, ili što je još poraznije, osobea s diplomom Pravnog fakulteta.
Radi ovakvog pristupa stvorena su pogrešna i štetna mišljenja o obvezama škole i ravnatelja prema GDPR-u. Neugodni su razgovori (koji se pretvore u konfrotacije) kad sugovornik krajnje samouvjereno iznosi stavove koji ne stoje, i toliko je u iste uvjeren da niti ne želi saslušati uputu gdje će naći podatke koje argumentirano tretiraju tematiku o kojoj se stvovi razilaze.

2. NOVA POTRAŽNJA
Agencija za zaštitu osobnih podataka (AZOP) je nadležno tijelo za nadzor provođenja GDPR-a i postupanja prema Zakonu o provedbi Opće uredbe o zaštiti podataka.

Taj Zakon je kreirao novu potražnju, stvorio je novo tržište na koje se, uz malo truda mogao ubaciti jedan dio privatnog sektora; Odvjetničke kancelarije, pravnici s različitih područja, tvrtke specijalizirane za komentare zakona, za podršku računalnom administrativnom poslovanju (uključujući i: AP-Split d.o.o.) te organizacije specijalizirane za održavanje seminara širokog spektra (Ovo je oksimoron: ... specijalizirane za ... širokog spektra). Internet se zapalio od ponuda.

Pri tome se navođenjem tema koje će se obrađivati na seminaru ili nuđenjem usluge vanjskog Službenika za zaštitu podataka, naglašavaju stravični termini: pseudonimizacija, izrada profila, biometrijski podaci, relevantni i obrazloženi prigovor, glavni poslovni nastan ... Nastaje prilagođeni marketing, novi oblik poznatog: "Dobro je, od Gavrilovića je.", ili: "Plavi radion pere bjelje.". S jedinom razlikom da se umjesto hvaljenja proizvoda, zastrašuje ciljanu skupinu. Nešto kao: "Ako ne dovučete kašetu našeg piva, svi će vam se smijati, ispast ćete zadnji tuntle u selu".

Ovo novostvoreno tržište je trebalo zadržati za sebe. To se postiglo stvaranjem dojma da jedini pravi ponuđać može biti jedino pravnička struka. U tom cilju su i nazivi "malo izmjenjeni", pa je u većini informacija koje plasiraju novi ponuditelji diskretno prekrštena: Opća uredba o zaštiti podataka u: Opću uredbu o zaštiti osobnih podataka, a Službenik za zaštitu podataka je postao: Službenik za zaštitu osobnih podataka i sve u tom tonu. Uspjelo se izbaciti PODATKE kao informatičko-tehničku kategoriju, a ubačeni su OSOBNI PODACI ćime je stvoreno mišljenje da se radi isključivo o pravnoj problematici.

Za posljedicu smo dobili da se uglavnom prepisuju ili prepričavaju Članci Opće uredbe, a većina njih se najčešće ne odnose na škole. Opća uredba se tretira formalno umjesto analitičkog obrazlaganja njezine intencije i suštine.

3. DVIJE FAZE OBRADE PODATAKA
U svrhu jasnog delegiranja odgovornosti, Opća uredba kao stožerni subjekt uvodi: Voditelja obrade. To je škola. Odgovorna osoba pred zakonom je zakoniti zastupnik Voditelja obrade. To je ravnatelj škole. Opća uredba se ne referira i ne prepoznaje ni jednu drugu osobu ili funkciju u školi. Za bilo kakvo postupanje koje nije u skladu s Općom uredbom odgovorna je škola, odnosno njezin ravnatelj, kao zakonski zastupnik škole.

Hrvatska je visoko centralizirana država, a to je još izraženije kod škola; ustanova koje se financiraju iz proračuna.
U školi se istovremeno provodi više različitih obrada podataka. Svaka od tih obrada prolazi kroz dvije faze:
- PRIPREMNU FAZU i
- RADNU FAZU.
U PRIPREMNOJ FAZI je neko zaključio da je potrebno obrađivati određeni dio Osobnih podataka, odlučio je tu Obradu ustrojiti, odredio Osobne podatke koji će se obradom prikupljati, obrađivati i čuvati. Opća uredba navodi da je taj neko: ... odredio Svrhu i Sredstva obrade.

U RADNOJ FAZI škola unosi podatke u zadane joj kućice, bilo na papirnatom obrascu, bilo na ekranu računala. Uneseni podaci se poštom, ili telekomunikacijski-digitalno dostavljaju Voditelju obrade.

Škola, kao zadnja karika u centraliziranom sustavu, nema ništa s projektiranjem obrade ni s izborom podataka koje mora unositi; to je odredio Voditelj obrade kroz PRIPREMNU FAZU. Zadatak škole je jedino unos podataka, nadzor nad informatičkom strukturom škole i odgovornost da se unseni podaci bespotrebno ne prikazuju.

Večina nerazumljivih čudesa u Općoj uredbi (kojima nas bombardiraju novostvoreni ponuditelji) se ne odnosi na RADNU FAZU, koju provodi škola, već na PRIPREMNU FAZU, u kojoj je za 95% obrade Osobnih podataka škole odluku donio neko drugi.
Radi toga je najveći dio sadržaja večine seminara, ponuđenih Pravilnika, uputa školama i tekstova na Internetu, suvišan i školama nepotreban. Ti sadžaji se školama (i ne samo školama) serviraju ili radi ponuditeljevog nedovoljnog znanja, ili radi stvaranja iluzije kod škola da će im, odgovorima na postavljavljena pitanja, seminar pojasniti stvar. Umjesto pojašnjenja rješenje se obeća pribilježbom na novi seminar.
4. SUDIONICI U OBRADI PODATAKA
Voditelj obrade je odgovoran za izbor osobnih podataka koje će ući u obradu, za interval izvođenja obrade kao i za određivanje kada će se podaci brisati. Škola, po naredbi Voditelja obrade (Vlada RH, Ministarstvo uprave, MZO, Ministarstvo rada, Ministarstv gospodarstva, FINA ili CArnet) poslušno unosi one osobne podatke koje je Voditelj obrade odabrao i u intervalima kad je naredio. Sva zastrašujuća čudesa se odnose na Voditelja obrade a ne na školu.
Prema Općoj uredbi Voditelj obrade je: pravna osoba koja određuje Svrhe i sredstva obrade. Alternativno, Svrhe i Sredstva obrade se mogu utvrditi zakonom, te se u ovom slučaju i Voditelj obrade može odrediti zakonom.
Voditelj obrade može pismenim Ugovorom opunomoćiti neku drugu pravnu osobu kao Izvršitelja obrade. Ovaj postupa samo u okvirima i po nalozima koje dobije od Voditelja obrade.
Voditelj obrade je dužan osigurati da se obrada osobnih podataka provodi u skladi s Općom uredbom. To u Hrvatskoj naređuje, kontrolira, i u slučaju nepridržavanja kažnjava Agencija za zaštitu osobnih podataka (AZOP).
Sponu između AZOP-a i škole osigurava Službenik za zaštitu podataka. On bi trebao pružiti školi pomoć u izgradnji sustava zaštite podataka, u osposobljavanju osoblja koje ima pristup osobnim podacima, i što je najvažnioje biti kontaktna točka i davati odgovore na sva pitanja, nedoumice i nezadovoljstva iz domene Opće uredbe, kako učenicima (roditeljima) talo i zaposlenicima škole.

To su četiri subjekta koji osiguravaju provođenje Opće uredbe i oni su jedini zaduženi za provođenje svih obveza koje proistiću iz Opće uredbe. Igru pokreće, vodi i bitne odluke donosi Voditelj obrade.
5. USKLAĐIVANJE OPĆE UREDBE S POTREBAMA OBVEZNIKA
Od prvih razmišljanja o Zaštiti podataka do usvajanja Opće uredbe o zaštiti podataka je prošlo dosta vremena. U tom periodu su se dogodile velike promjene u obrade podataka: podaci su u "oblaku", programi nisu na računalu na kome se podaci iz oblaka obrađuju već se koristi novouvedeni sustav: "Software as Service"; sad je i softver u oblaku, telekomunikacijske veze su postale svakodnevnica kao i problemi njihove zaštite, jednom riječju, kad sjedimo nad ekranom našeg računala nismo dovoljno svjesni da se naš rad zapravo nalazi u izlogu kojem vješti (i često zlonamjerni) mogu prići i pratiti naš rad, te pritom, uz određeni trud, uzimati (ili mijenjati) naše podatke.

Na naš ekran stiže slika obrade koja se obavlja bog-te-pita-gdje, negdje u nekom "oblaku" na Internetu. Rezultat obrade odatle putuje do našeg ekrana kroz mnoga čvorišta. U svakom od tih čvorišta zlonamjerne osobe mogu presresti i ukrasti ili preusmjerirti našu poruku u kojoj se nalaze Osobni podaci.

To je u svakodnevnicu Obrade podataka uključilo veliki broj učesnika zamaglivši pri tome jasnoću osnovne odredbe iz Opće uredbe da je roditelju učenika jasno kome se obrataiti u slučaju nezadovoljstva načinom tretiranja Osobnih podataka svog djeteta.
Time je zapravo dovedena u pitanje osnovna svrha Opće uredbe: zaštita osobnih podataka pojedinca i njegovo pravo da zahtijeva intervenciju vezano za svoje osobne podatke ukoliko je nezadovoljan s načinom na koje se isti prikupljaju i obrađuju.

Tu intervenciju (ako je opravdana) može izvršiti (ili dati nalog za njezino izvršenje) jedino Voditelj obrade ili Izvršitelj obrade. Možemo li zamisliti koliko će roditelju vremena trebati da ustanovi o kojoj se obradi radi, tko je Voditelj te obrade, a kad do njega prodre, s kolikom će agilnošću i brzinom MZO (kao Voditelj obrade: e-Dnevnik) ispraviti, eventualno opravdana traženja učenikovog roditelja?

Opća uredba je predvidila ovu agilnost i brzinu, te potražila način kako izići u susret nositelju podataka ili njegovom roditelju (u prevodu na hrvatski jezik za ovaj pojam je uveden hrapavi termin: Ispitanik).

Rješenje je pronađeno uvađanjem dokumenta: Opinion 1/2010 on the concept of "controller" and "processor" (ARTICLE 29 DATA PROTECTION WORKING PARTY) kojim je utvrđeno da je poslovanje škola određeno Zakonom o odgoju i obrazovanju u osnovnoj i srednjoj školi. Ovaj Zakon, skupa sa 144 pripadajuće Odluke i Pravilnika, zapravo definira kompletno poslovanje škole i određuje sve zadatke i obveze škole.

Tim dokumentom su određene Svrha (i Sredstva) obrade škole, čime je omogućeno da se i škola (jer joj je Zakonom određena Svrha obrade) može, pravom države člnice, predviditi kao Voditelj obrade.
Ovo je u skladu s točkom 7. Opće uredbe u kojoj stoji:
"voditelj obrade" znači (...)
pravna osoba tijelo javne vlasti (...) ili drugo tijelo
koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka;
kada su svrhe i sredstva takve obrade utvrđeni (...)pravom države članice,
voditelj obrade (...) ili posebni kriterij za njegovo imenovanje
mogu se predvidjeti (...) pravom države članice.

Kako je kroz PRIPREMNU FAZU, prethodno već određen Voditelj obrade, ostaje da i škola, ako se isto zakonom predvidi, može dobiti status: DODATNI Voditelj obrade, pa smo cijelu priću pomirili dodatnom kategorijom iz Opće uredbe: Zajednički voditelj obrade..
Sad su i Ministarstvo i škola Voditelji obrade, pa se nezadovoljni roditelj učenika može obratiti i bližem (i ažurnijem) Voditelju obrade - školi.

Na ovaj način je osigurana osnovna svrha Opće uredbe: zaštita osobnih podataka pojedinca i njegovo pravo da škola provede intervenciju u njegove osobne podatke, ukoliko je opravdano nezadovoljan s načinom na koje se isti prikupljaju ili obrađuju.

6. ŠKOLA; VODITELJ OBRADE ili VODITELJ OBRADÂ
Sva literatura (uglavnom na Internetu) je puna termina: Voditelj obrade. U školi se ne provodi jedna, već se istovremeno provodi više Obrada podataka (obično 17 do 19). Za svaku od njih škola je (prema famoznom: Opinion 1/2010. ..) Voditelj obrade. Slijedi da je škola istovremeno voditelj obrade za svaku od 17 - 19 obrada, odnosno za svih 17 -19 obrada. Umjesto: Voditelj obrade, škola je: Voditelj obradâ za svaku od obradâ u školi, odnosno odgovorna je za sve obrade u školi.

Naglasak je na: "za sve obrade u školi". Od navedenih 17 - 19 obradâ, samo šest obradâ je škola samostalno odabrala i provodi ih, bez utjecaja nadređene institucije. Za te obrade ona je jedini Voditelj obrade.

Za sve ostale obrade, škola je Zajednički voditelj obradâ. U tom svojstvu je odgovorna samo za one djelove obradâ podataka koji se provode u školi: prikupljanje i unos podataka, osiguranje pouzdanosti informatičkog sustava i pažljiv prikaz podataka na sredstvima informiranja i na Internetu.

Dakle u statusu Zajedničkog voditelja obradâ, škola je odgovorna za provođenje RADNE FAZE, a sva ostala odgovornost je na onom Voditelju obrade koji je inicirao obradu. Da bi se navedeno poštivalo, treba biti ugrađeno u Pravilnik o zaštiti podataka škole, i u konzultaciji s MZO odgovarajuća informacija dostavljena "primarnim" Voditeljima obrade.
7. TAJNIK KAO SLUŽBENIK ZA ZAŠTITU PODATAKA
Ponovimo subjekte pomoću kojih Opća uredba osigurava zaštitu podataka. To su:
  • Voditelj obrade,
  • Izvršitelj obrade,
  • Službenik za zaštitu podataka i
  • AZOP.
Jedna od dilema je: Može li djelatnik škole (najčešće tajnik) biti Službenik za zaštitu podataka? Odgovor ovisi o tome tko pita.
Nas zanimaju pitanja koja bi trbao postaviti Ravnatelj škole. Razmotrimo svako od navedena tri pitanja s aspekta Ravnatelja škole:
  • Postoji li sukob interesa?
  • Je li omogućeno osposobljavanje?
  • Tko pruža pomoć i podršku?
7.1. Postoji li sukob interesa?
U članku: Smjernice o službenicima za zaštitu podataka su navedene smjernice kojih bi se trebalo pridržavati.

Opća uredba se oslanja na četiri gore navedena subjekta. Stoga ne ulazi i ne zanima je se organizaciona struktura Voditelja obrade. Tu strukturu tretira kao: "osobe pod direktnom nadležnošću Voditelja obrade."
Na Voditelju obrade je da organizira i iskoristi resurse kojima raspolaže. Opća uredba ne ulazi u detalje ko može biti Službenik za zaštitu podataka. To može biti bilo koja osoba koja posjeduje određenu stručnost i znanja, te koja nije u konfliktu interesa.

Kad analiziramo položaj Tajnika škole i njegov eventualni sukob interesa, oslanjamo se na stavak iz navedenih Smjernica u kome je navedeno:

(...) sukob interesa može nastati, na primjer, ako se od vanjskog službenika za
zaštitu podataka zatraži da pred sudovima predstavlja voditelja obrade ili izvršitelja
obrade u slučajevima koji uključuju pitanja zaštite podataka.

Tako na sukob interesa gleda Opća uredba. A kako bi trebao gledati Ravnatelj škole?

Službenik za zaštitu podataka svojim znanjem i radom djeluje preventivno; osigurava da postupanje škole s osobnim podacima odgovara zahtjevima Opće uredbe. On djeluje preventivno, i po pitanju osobnih podataka "štiti leđa" Ravnatelju škole.

Tajnik škole obrađuje cca 80% svih osobnih podataka škole (Zakonom mu je određeno vođenje Registra zaposlenih i E-matice). Uz ovako veliku količinu obrada osobnih podataka, logičan je i proporcionalni broj propusta i pogrešaka.

Hoće li Tajnik koji je ujedno i Službenik za zaštitu podataka, kad dođe do njegovih propusta i pogrešaka, štititi sebe ili Ravnatelja? Ne smije se zaboraviti da je za usklađenost postupanja škole s Općom uredbom odgovoran Voditelj obrade obnosno zakonski zastupnik pravne osobe.

U Tajniku, kao Službeniku za zaštitu podataka, su spojene dvije suprotstavljene funkcije:
  • Tajnik koji unosom podataka generira pogreške,
  • Službenik za zaštitu podataka koji bi trebao obznaniti uočene pogreške.
Radi toga će, vjerojatno, u kritičnim situacijama on radije sebi "čuvati leđa", umjesto da ih čuva Ravnatelju.

7.2. Je li omogućeno osposobljavanje?
Drugi važniji aspekt je poznavanje problematike Opće uredbe i Zaštite podataka. Za ovladavanje s obimnom i potpuno novom mu materijom, koja obuhvaća dva područja (Pravo i Informatika) nije dovoljno nekoliko seminara i par članaka s Interneta. To je ozbiljan i zahtjevan rad, pod pretpostavkom da Ravnatelj želi u Tajniku imati pouzdan oslonac.

Za ovo ovladavanje potrebno je vrijeme i koncentracija na problematiku. Ni jedno ni drugo Škola ne može osigurati Tajniku radi njegovih svakodnevnih obveza. Škola mu ne može osigurati uvjete za prihvatljiv način osposobljavanja. Tajnik za isto jednostavno nema dovoljno vremena. Stoga ne može Ravnatelju osigurati potrebnu podršku. On improvizira i luta.

7.3. Tko pruža pomoć i podršku?
Neodgovorno je prihvatiti se zadatka koji je nov, nepoznat, za koji još nisu ustanovljene prakse i rutine i koji je još u fazi proučavanja, ukoliko ne postoji kvalitetna podrška, tijelo koje je izradilo upute i može promptno dati odgovore na postavljena pitanja.
Linija koja je odgovorna za školstvo u Hrvatskoj je:
  • Ministarstvo znanosti i obrazovanja,
  • Upravni odjel za prosvjetu, kulturu, tehničku kulturu i sport (Splitsko-dalmatinska županija; Regionalna samouprava),
  • Odsjek za prosvjetu i tehničku kulturu pri Službi za društvene djelatnosti (Gradska uprava - Split; Lokalna samouprava).
Uredi drževne uprave su u fazi rasformirabja te ih ne spominjemo.

Za očekivati je da će se nadređena tijela (financijeri i osnivaći) uključiti u podršku školama kako bi mogli prihvatiti nove zadatke i obveze vezane za Opću uredbu, te na svojim web stranicama objaviti određena pomagala, usmjerenja i pojašnjenja.

Zaguglajte na odgovarajuće stranice. Ništa, arija...

Vlast je, prema smjernicama EU, osnovala AZOP. On propisuje i kažnjava. Škole moraju ispunjavati odredbe zakona a ako AZOP ustanovi neusklađenosti, mogu biti kažnjene. Dobili smo vertikalnu cijev kroz koju od vrha prema dnu mogu pljuštati kazne. U cijev nisu ugrađeni otpori, ventili na svakoj od tri razine vlasti koji bi osiguravši podršku omogučili da škola ustroji funkciju Službenika za zašitu podataka. Vlast se izuzela iz obveze podrške i time je onemogučila da Tajnik škole preuzme funkciju Službenika za zaštitu podataka.

(Kao ilustraciju što bi vlast trebala osigurati da bi imala pravo tražiti od škola da imenuju Službenika za zaštitu podataka iz redova vlastitog osoblja navodimo link na Smjernice: Zaštita podataka: Priurčnik za škole

7.4. Razmišljanje Ravnatelja škole
Ako se kritički analiziraju gornji stavovi sigurno će si Ravnatelj postaviti nekoliko pitanja:
  • Je li u redu izlagati Školu i sebe neugodnostima i mogućim problemima, te dovesti Tajnika do frustracije, kako bi se uštedio iznos koji je sustav predvidio kao trošak?

  • Hoće li se inzistiranje na nametanju tih dodatnih zadataka Tajniku, bez prikladnog osposobljavanja, školi obiti o glavu kroz njegova bolovanja i prebacivanja izvršenja zadataka na Voditelja obrade; odnosno na Ravnatelja?

  • Je li nerazumno djelatniku nametnuti izvršenje relativno nepoznatih mu zadataka za koje nije osigurana pomoć i podrška?
Zar Ravnatelj ne vidi sličnost ovog procesa sa situacijom od prije par godina kad nismo mogli registrirati auto bez dokaza da posjedujemo određeni paket za prvu pomoć, koji je prodavala samo jedna tvrtka u Hrvatskoj u vlasništvu politički visoko rangirane osobe, i koji se mogao po zlato nabaviti samo na crpkama INE?

Kao da on ne vidi da imenovanjem Tajnika kao Službenika za zaštitu podataka ruši "odozgo" postavljen koncept, podržan od MZO-a, te regionalne i lokalne samouprave?

Je li Ravnatelj naivan ili se želi igrati zviždača?

8. ČIME SE ZASTRAŠUJU RAVNATELJI
9. AZOP KAO POLUGA VLASTI
10. MANIPULACIJA S GDPR-om
11. ZBRKA SA ZAKONIMA
12.INDOLENCIJA RAVNATELJA ŠKOLE
13."VELIKI BRAT" JE VEĆ U AKCIJI
14. ŠTO NAM JE RADITI?
OBVEZE RAVNATELJA PO GDPR-u

Umjesto da gubite vrijeme za pronaći nešto s čime ne radite često, nazovite nas. Mi to prolazimo nekoliko puta sedmično.

image
 image
image
 image