GDPR samoprocjena

Ukoliko niste sigurni odakle krenuti u pripremi GDPR dokumentacije za vlastitu firmu, u nižem tekstu možete pogledati neke od potrebnih dokumenata i izvještaja.

Dokumenti

• GDPR - evidencije obrade
• Evidencija obrazovanja
• Zahtjev ispitanika
• Analiza obrade osobnih podataka
• Procedura u slučaju povrede podataka
• Procedura obrade zahtjeva ispitanika
• Politika privatnosti
• Politika sigurnosti osobnih podataka
• Vrsta privola i opoziv privola
• Analiza rizika
• Pravilnik o sigurnosti osobnih podataka
• Legitimni interes

 
Izvještaji

• Dnevnik aktivnosti zaštite osobnih podataka
• Evidencija zahtjeva ispitanika
• Evidencija povreda osobnih podataka
• Evidencija analize obrade osobnih podataka
• Evidencija zahtjeva ispitanika
• Evidencija privola
• Evidencija analize rizika
• Evidencija legitimnih interesa

Obzirom da 25.05.2018., na snagu stupa Opća uredba o zaštiti osobnih podataka (GDPR) te slijedom upita koji na pristižu, upućujemo korisnike da pregledaju tablicu nekih od aktivnosti koje je potrebno napraviti u cilju usklađenja s Uredbom. Lista ne pokriva sve situacije u poslovanju određene tvrtke, nego samo najčešće minimalne mjere, a ukoliko obrađujete podatke posebnih kategorija i slične posebne situacije, svakako se posavjetujete s AZOP-om ili nekim stručnjakom.
Svaka fizička ili pravna osoba ili tijelo koje samo ili zajedno s drugima prima i određuje svrhe i sredstva obrade osobnih podataka – smatra se Voditeljem obrade.

Stoga je za početak minimalno potrebno:

• provjeriti koje sve podatke imate prikupljene, jesu li Vam svi nužni za obradu ili neke možete obrisati, gdje sve držite podatke, kome ih prosljeđujete
• odrediti sve obrade podataka koje u poslovanju imate, kako s podacima postupate i kako ćete s njima postupati u budućnosti
• definirati na kojoj od mogućih osnova prikupljate podatke
• propisati svu potrebnu dokumentaciju i procedure u pisanom obliku uključujući elektronički oblik

U sljedećoj tablici se nalaze pitanja i smijernice za pristupanje usklađenju sa Uredbom.
  

Pitanje	Primjer odgovora
Koje kategorije osobnih podataka obrađujete	Zaposlenici, kupci fizičke osobe i td.
Koje osobne podatke obrađujete	Ime i prezime, e-mail adrese, brojevi telefona, OIB, kućne adrese
Tko ima pristup podacima?	Samo zaposlenici i odgovorne osobe tvrtke?
Prosljeđujete li nekom podatke radi ispunjenja zakonskih obveza?	Npr. prijava na HZMO, prijava gosta, web aplikacija, fiskalna blagajna u cloudu i sl.
U koje svrhe prikupljate podatke?	Pri zapošljavanju radnika, za izdavanje računa, za slanje e- mail obavijesti, za poslovnu komunikaciju s klijentima
Čuvate li podatke i kako dugo? Koji je razlog čuvanja podataka?	Npr. zakonska obveza čuvanja kadrovskih evidencija trajno prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima
Kako ste osigurali da netko neovlašteno ne pristupi podacima?	Npr. lozinke na računalu i mobitelu, izjave o povjerljivosti zaposlenika, alarmni sustavi u prostorijama
Imate li Interni pravilnik?
Imate li imenovanog službenika za zaštitu podataka

• Donijeti Interni pravilnik
• Definirati procedure i pravila kojih ćete se pridržavati u vezi sa zaštitom pojedinaca u pogledu obrade osobnih podataka, u pisanom obliku.
• Definirati procedure u slučaju povrede podataka, koju prema čl. 33. Uredbe propisujete za slučaj da se podaci npr. otkriju neovlaštenoj osobi, da izgubite podatke (npr. gubitak mobitela ili krađa laptopa), da se slučajno unište (npr. poplava, kvar računala).
• Popisati tehničke i organizacijske sigurnosne mjere koje primjenjujete
• Potpisati s radnicima i svima koji imaju pristup podacima Ugovor o povjerljivosti, čime se definira i da je kršenje Internog pravilnika ozbiljno kršenje radnih obveza
• Propisati proceduru procjene učinka poduzetih mjera
• Imenovati službenika za zaštitu podataka, ako ste prema članku 37. Uredbe obvezni imati službenika za zaštitu podataka.
• Voditi evidenciju aktivnosti obrade
• Popisati sve obrade podataka koje provodite kao voditelj (npr. osobni podaci vaših zaposlenika) ili izvršitelj, napisati svrhe, zakonske osnove, kategorije podataka, rokove čuvanja podataka, sigurnosne mjere...
• Izraditi Izjavu o privatnosti za svaku obradu kojom ćete upoznati ispitanika (npr. radnika) sa svrhom obrade, prosljeđivanjem podataka, njegovim pravima
• Kod prikupljanja podataka, a najkasnije pri prvom kontaktu, sve ispitanike (pojedince na koga se osobni podaci odnose) morate upoznati s obradom podataka (što prikupljate, zašto, koliko dugo, kako se može uložiti zahtjev za ispunjavanje prava).
• Provjeriti lokaciju izvršitelja, sigurnosne mjere koje izvršitelj primjenjuje i s kime dalje dijeli podatke
• Ako nekome na bilo koji način prosljeđujete podatke (npr. web poslovna aplikacija) ili netko vanjski ima pristup podacima (npr. serviser računala ili netko tko se spaja na Vaše računalo), to znači da imate izvršitelja i da morate provjeriti njegovu pouzdanost kako biste nastavili suradnju.
• Potpisati ugovor s izvršiteljima obrade podataka
• Provjeriti pouzdanost podizvršitelja ako ste Vi izvršitelj
• Ako kao izvršitelj koristite nečije tuđe usluge za obradu podataka koje Vam je proslijedio voditelj morate provjeriti pouzdanost i lokaciju tih podizvršitelja.
• Voditi evidenciju povreda osobnih podataka
• Popisati sve povrede podataka koje su se dogodile u poslovanju bez obzira koliko ozbiljne bile i jeste li ih sve prijavili AZOP-u.

• Pridržavati se svih propisanih organizacijskih i sigurnosnih mjera, te osvijestiti u svojem poslovnom okruženju da je bitno da se ne dogode propusti u zaštiti osobnih podataka. Mjere nije dovoljno propisati, nego ih treba aktivno i provoditi. Definirati koji je ispravan način prikupljanja i obrade podataka. Upoznati cijeli tim s mjerama koje moraju poduzimati, pratiti provođenje tih mjera, educirati se i kontrolirati da li je službenik za zaštitu osobnih podataka educiran u dovoljnoj mjeri.
• Ako se obrada temelji na privolama, morate ih na ispravan način prikupiti i na zahtjev ispitanika povući. To se odnosi i na postojeće podatke ako su prikupljeni na temelju starih, ali neodgovarajućih privola.
• Ako se obrada temelji na legitimnom interesu (npr. direktni marketing), za svakog ispitanika morate znati je li uložio prigovor.
• Ako imate web stranicu i koristite kolačiće (cookies), potrebno je pratiti privole koje Vam je posjetitelj dao.
• Kod prikupljanja podataka, a najkasnije pri prvom kontaktu, sve ispitanike (pojedince na koga se osobni podaci odnose)
• morate upoznati s obradom podataka (što prikupljate, zašto, koliko dugo, kako se može uložiti zahtjev za ispunjavanje prava).
• Osigurati tehničke, organizacijske i kadrovske uvjete da možete odgovoriti na svaki zahtjev ispitanika bez nepotrebnog odlaganja, u zakonskom roku od najviše 30 dana.
• Ako se dogodi neovlašteni pristup, slučajno brisanje ili gubitak osobnih podataka, o tome ste u slučaju velikog rizika za prava ispitanika obvezni obavijestiti AZOP , a u nekim slučajevima samog ispitanika.