Zašto formalna usklađenost nije dovoljna?
U praksi se veoma često ponavljaju iste greške prilikom izrade i primjene Politike privatnosti. Takvi propusti mogu dovesti do nezakonite obrade ličnih podataka i izložiti organizaciju ozbiljnim pravnim i reputacionim rizicima.
Najčešći uzrok problema jeste formalistički pristup zaštiti podataka - donošenje dokumenta radi „reda", bez stvarnog razumijevanja obaveza koje proizlaze iz Zakon o zaštiti ličnih podataka Bosne i Hercegovine.
Politika privatnosti ne smije biti puka forma. Ona mora odražavati stvarne procese obrade ličnih podataka unutar organizacije.
Kopiranje tuđe Politike privatnosti – najčešća i najrizičnija greška
Jedna od najčešćih grešaka u praksi jeste preuzimanje i prepisivanje tuđih politika privatnosti bez prilagođavanja konkretnim poslovnim procesima.
Takav dokument može na prvi pogled djelovati profesionalno i pravno utemeljeno. Međutim, ako nije usklađen sa stvarnim načinom obrade podataka u organizaciji, on postaje neprimjenjiv u praksi.
Politika privatnosti mora odražavati:
- koje podatke organizacija prikuplja,
- u koje svrhe ih obrađuje,
- na osnovu kojeg pravnog osnova,
- koliko dugo ih čuva,
- kome ih eventualno prenosi.
Generički dokument preuzet sa druge web stranice ili iz stranog pravnog sistema često ne odgovara domaćem zakonodavnom okviru niti stvarnim aktivnostima obrade.
Pogrešno utvrđivanje pravnog osnova obrade
Druga česta greška odnosi se na navođenje pravnog osnova obrade ličnih podataka.
U praksi se saglasnost često koristi kao univerzalni pravni osnov, čak i onda kada obrada proizlazi iz:
- zakonske obaveze,
- ugovornog odnosa,
- legitimnog interesa organizacije.
Nepravilno određen pravni osnov može dovesti u pitanje zakonitost kompletne obrade i rezultirati povredom prava nosilaca podataka. Zato je ključno precizno utvrditi na kojem osnovu se podaci obrađuju, umjesto automatskog pozivanja na saglasnost.
Nesklad između dokumenta i stvarne prakse
Poseban problem nastaje kada postoji razlika između onoga što piše u Politici privatnosti i onoga što se zaista dešava u praksi.
Moguće su dvije situacije:
- dokument sadrži aktivnosti obrade koje se uopće ne provode,
- ili izostavlja aktivnosti koje se stvarno obavljaju.
Takva neusklađenost je jedan od prvih elemenata koje nadzorni i inspekcijski organi uočavaju tokom kontrole. Politika privatnosti mora biti vjeran odraz stvarnog poslovanja, a ne idealizirana ili nepotpuna verzija procesa.
Zastarjela Politika privatnosti – tihi pravni rizik
Česta greška je i neblagovremeno ažuriranje Politike privatnosti nakon promjena u poslovanju.
Promjene koje zahtijevaju ažuriranje uključuju:
- uvođenje novih usluga,
- digitalizaciju procesa,
- promjenu softverskih rješenja,
- izmjene u zakonodavstvu.
Zadržavanje zastarjelog dokumenta može biti jednako problematično kao i njegovo potpuno nepostojanje, jer daje netačne ili nepotpune informacije o obradi ličnih podataka.
Nerazumljiv pravni jezik – prepreka transparentnosti
U praksi se često susreće i preopterećenost Politike privatnosti složenim pravnim i tehničkim terminima.
Iako je riječ o pravnom dokumentu, on mora biti jasan i razumljiv nosiocima podataka. Politika privatnosti nije interni pravni memorandum, već dokument namijenjen korisnicima, klijentima i zaposlenima.
Ako je tekst previše stručan i nerazumljiv, organizacija formalno ispunjava obavezu informisanja, ali suštinski ne ostvaruje transparentnost.
Zaključak: Politika privatnosti mora biti stvarna, jasna i ažurna
Najčešće greške u praksi proizlaze iz formalnog pristupa i nedovoljnog razumijevanja obaveza koje nameće Zakon o zaštiti ličnih podataka.
Da bi Politika privatnosti bila zakonita i funkcionalna, ona mora:
- biti prilagođena konkretnim poslovnim procesima,
- sadržavati tačno utvrđene pravne osnove obrade,
- biti usklađena sa stvarnom praksom,
- redovno se ažurirati,
- biti napisana jasno i razumljivo.
Samo takav pristup smanjuje rizik od nezakonite obrade ličnih podataka i štiti organizaciju od pravnih i reputacionih posljedica.