GDPR

S obzirom da ovaj petak, 25. svibnja 2018., na snagu stupa Opća uredba o zaštiti osobnih podataka (poznati GDPR) i imamo puno upita gdje ste nas tražili da Vam pomognemo, pripremili smo Vam tablicu svega što trebate napraviti kako biste se uskladili s Uredbom. Ako smatrate da se ova Uredba ne odnosi na Vas, vjerojatno je da se ipak odnosi. Naime, i u najjednostavnijim slučajevima npr. ako imate zaposlenih, ako izdajete račune na ime fizičke osobe koju upisujete kao kupca, Vi ste voditelj obrade podataka i morate se uskladiti s Uredbom.

Ukratko, Vi biste kao voditelj obrade trebali:

1. provjeriti koje sve podatke imate prikupljene, jesu li Vam svi nužni za obradu ili neke možete obrisati, gdje sve držite podatke, kome ih prosljeđujete
2. odrediti sve obrade podataka koje u poslovanju imate, kako s podacima postupate i kako ćete s njima postupati u budućnosti (osobito na kojoj zakonskoj osnovi ćete ih prikupljati)
3. propisati svu potrebnu dokumentaciju – nije dovoljno reći da ste usklađeni, nova Uredba
propisuje da se sve procedure moraju sastaviti u pisanom obliku uključujući elektronički oblik
4. potpisati ugovore s izvršiteljima obrade (to su svi oni kojima prosljeđujete podatke, npr. zbog obračuna plaća ili ako imate fiskalnu blagajnu u oblaku)
5. potpisati ugovore o povjerljivosti sa zaposlenicima
6. sastaviti izjavu o privatnosti za svaku obradu kako biste upoznali ispitanike (pojedince čiji se podaci obrađuju) sa svrhom i načinom obrade
7. i što je najvažnije: aktivno provoditi sve što se gornjom dokumentacijom propisali jer su
prava ispitanika velika i odgovorni ste (i kažnjeni) u slučaju povrede prava i zaštite privatnosti pojedinaca.

Ova Uredba nije samo propisivanje dokumentacije i formalnost nego svakodnevno pažljivo upravljanje osobnim podacima drugih ljudi i iako su se zakonom propisali nenajavljeni nadzori kojim će se provjeravati i dokumentacija i provođenje mjera, najgore će se dogoditi ako do povrede osobnih podataka zaista i dođe, zato svakako aktivnu zaštitu osobnih podataka implementirajte u svoje svakodnevno poslovanje.

U sljedećoj tablici se nalazi popis svih radnji koje biste za usklađivanje s Uredom trebali napraviti.

ŠTO SVE TREBATE NAPRAVITI KAKO BI SE USKLADILI S UREDBOM O ZAŠTITI OSOBNIH PODATAKA

Što trebate napraviti? Primjer, savjet, opis Tko Vam može pomoći?
PREDRADNJE
Koje osobne podatke imate? ime i prezime, e-mail adrese, brojevi telefona, OIB, kućne adrese analizu podataka jedino možete napraviti Vi ili netko od Vaših zaposlenika koji je dobro upoznat s cijelim poslovanjem
Gdje držite osobne podatke? u e-mail pretincu, u mobitelu, u tablicama na računalu, na papirima, u nekoj poslovnoj aplikaciji (računalnom programu)
Tko ima pristup podacima? Samo Vi ili i Vaši zaposlenici? Prosljeđujete li nekom podatke ako morate zbog zakonskih obveza (npr. prijava gosta) ili imate neku web aplikaciju (npr. fiskalna blagajna u cloudu/oblaku)
U koje svrhe prikupljate podatke? Pri zapošljavanju radnika, za izdavanje računa, za slanje e- mail obavijesti, za poslovnu komunikaciju s klijentima
Čuvate li podatke i kako dugo?

Koji je razlog čuvanja podataka? Možete li neke podatke obrisati ako Vam više nisu potrebni?

Svakako nemojte čuvati podatke „tek tako“, da ih imate. Za sve osobne podatke koje imate, morate imati razlog zašto ih čuvate.
Kako ste osigurali da netko neovlašteno ne pristupi podacima? lozinke na računalu i mobitelu, izjave o povjerljivosti zaposlenika, alarmni sustavi u prostorijama
IZRADA DOKUMENTACIJE
Napisati interni pravilnik Odredite i napišite procedure i pravila kojih ćete se pridržavati u vezi sa zaštitom pojedinaca u pogledu obrade osobnih podataka. Dokument mora biti napisan uključujući elektronički format.
Napisati proceduru u slučaju povrede podataka Procedura koju prema čl. 33. Uredbe propisujete za slučaj da se podaci npr. otkriju neovlaštenoj osobi, da izgubite podatke (npr. gubitak mobitela ili krađa laptopa), da se slučajno unište (npr. poplava, kvar računala).
Popisati tehničke i organizacijske sigurnosne mjere koje primjenjujete Potrebno je opisati i propisati sve sigurnosne mjere koje poduzimate ili ćete poduzimati kako ne bi došlo do povrede podataka.
Potpisati s radnicima i svima koji imaju pristup podacima Ugovor o povjerljivosti Kao primjenu organizacijskih sigurnosnih mjera svakako je dobro potpisati Ugovore o povjerljivosti sa zaposlenicima kako biste ih osvijestili da je kršenje Internog pravilnika ozbiljno kršenje radnih obveza.
Propisati proceduru procjene učinka poduzetih mjera Nije obavezno u svim situacijama, ali svakako je dobro procijeniti učinak mjera koje ste početno postavili. U dokumentu je opisana procedura procjene.
Imenovati službenika za zaštitu podataka (nije obvezno za sve) Ako ste prema članku 37. Uredbe obvezni imati službenika za zaštitu podataka.
Voditi evidenciju aktivnosti obrade Popisati sve obrade podataka koje radite kao voditelj (npr. osobni podaci vaših zaposlenika) ili izvršitelj, napisati svrhe, zakonske osnove, kategorije podataka, rokove čuvanja podataka, sigurnosne mjere…
Izraditi Izjavu o privatnosti za svaku obradu kojom ćete upoznati ispitanika sa svrhom obrade, prosljeđivanjem podataka, njegovim pravima Kod prikupljanja podataka, a najkasnije pri prvom kontaktu, sve ispitanike (pojedince na koga se osobni podaci odnose) morate upoznati s obradom podataka (što prikupljate, zašto, koliko dugo, kako se može uložiti zahtjev za ispunjavanje prava).
Provjeriti lokaciju izvršitelja, sigurnosne mjere koje izvršitelj primjenjuje i s kime dalje dijeli podatke Ako nekome na bilo koji način prosljeđujete podatke (npr. web poslovna aplikacija) ili netko vanjski ima pristup podacima (npr. serviser računala ili netko tko se spaja na Vaše računalo), to znači da imate izvršitelja i da morate provjeriti njegovu pouzdanost kako biste nastavili suradnju.
Potpisati ugovor s izvršiteljima obrade podataka Sa svim izvršiteljima morate potpisati ugovor u kojem definirate o kakvoj se obradi radi, koje su obveze izvršitelja, koje su mu sigurnosne mjere…
Dati pisani nalog izvršitelju koje podatke obrađuje i na koji način Ako imate nekoga tko ima pristup Vašim podacima, morate mu pisanim nalogom dati uputu o obradi podataka i jedino po toj uputi izvršitelj smije djelovati.
Provjeriti pouzdanost podizvršitelja ako ste Vi izvršitelj (Vi u nečije ime obrađujete podatke) Ako kao izvršitelj koristite nečije tuđe usluge za obradu podataka koje Vam je proslijedio voditelj morate provjeriti pouzdanost i lokaciju tih podizvršitelja. Vi ste odgovorni za svoje podizvršitelje.
Voditi evidenciju povreda osobnih podataka Popisati sve povrede podataka koje su se dogodile u poslovanju bez obzira koliko ozbiljne bile i jeste li ih sve prijavili AZOP-u.
AKTIVNO PROVOĐENJE MJERA UREDBE I MJERA PROPISANIH VAŠIH PRAVILNIKOM
Pridržavati se svih propisanih organizacijskih i sigurnosnih mjera Osvijestite u Vašem poslovnom okruženju da je bitno da se ne dogode propusti u zaštiti osobnih podataka. Mjere nije dovoljno propisati.  Vi i Vaš kolektiv se aktivno morate pridržavati mjera i sprječavati kako Vam se zbog nekog malog propusta ne bi dogodila velika šteta.
Pridržavati se procedura i pravila propisanih Vašim internim pravilnikom Osvijestite u Vašem poslovnom okruženju koji je ispravan način prikupljanja i obrade podataka.
Privole Ako Vam se obrada temelji na privolama, morate ih na ispravan način prikupiti i na zahtjev ispitanika povući. To se odnosi i na postojeće podatke ako su prikupljeni na temelju starih, ali neodgovarajućih privola.
Legitimni interes Ako Vam se obrada temelji na legitimnom interesu (npr. direktni marketing), za svakog ispitanika morate znati je li uložio prigovor.
Izjave o kolačićima i vezane privole Ako imate web stranicu i kolačiće (cookies) koji su uglavnom sastavni dio svake web stranice, potrebno je pratiti privole koje Vam je posjetitelj dao. Vaš web dizajner treba implementirati privolu za kolačiće
Upoznavanje ispitanika sa svrhom obrade, proslijeđivanjem podataka, njegovim pravima Kod prikupljanja podataka, a najkasnije pri prvom kontaktu, sve ispitanike (pojedince na koga se osobni podaci odnose) morate upoznati s obradom podataka (što prikupljate, zašto, koliko dugo, kako se može uložiti zahtjev za ispunjavanje prava). Ako imate npr. na web stranici neku formu za upis podataka, Vaš web dizajner bi za svaku obradu trebao staviti link na Izjavu o privatnosti. To  se odnosi i na čitavi web stranicu (obično se nalazi u podnožju svake stranice).
Djelovanje po zahtjevu ispitanika i upravljanje zahtjevima Ispitanici (pojedinci čiji se podaci obrađuju) imaju prema novoj Uredbi čitav niz svojih prava (npr. pravo na brisanje, ispravak, ograničenje obrade, pristup). Zakonski morate odgovoriti na svaki zahtjev ispitanika bez nepotrebnog odlaganja, a najviše unutar 30 dana.
Obavještavanje AZOP-a i ispitanika o povredi podataka Ako Vam se dogodi neovlašteni pristup, slučajno brisanje ili gubitak osobnih podataka, o tome ste u slučaju velikog rizika za prava ispitanika obvezni obavijestiti AZOP i u nekim slučajevima samog ispitanika.
Konstantna edukacija i preispitivanje poduzetih mjera Upoznajte cijeli svoj tim s mjerama koje moraju poduzimati, pratite provođenje tih mjera, educirajte se dalje, provjeravajte jesu li svi zaposlenici dobro shvatili mjere (zaštita osobnih podataka je odgovornost tvrtke i krivnja/kazna se svaljuje na tvrtku i direktora) Educirajte se na internetu ili sudjelovanjem na seminarima, ako imate visokorizične obrade uzimte savjetnika, provjeravajte dio o edukaciji, pitajte AZOP ili pouzdanog odvjetnika za tumačenja i savjete…

 

Ova lista ne pokriva sve situacije Vašeg poslovnog okruženja, već su nabrojane najčešće minimalne mjere koje morate poduzeti. Ako se bavite direktnim marketingom, dijelite podatke s trećim zemljama, obrađujete podatke posebnih kategorija i slične posebne situacije, predlažemo da se posavjetujete s AZOP-om ili nekim stručnjakom.