Organizacijske mjere zaštite
USKLAĐIVANJE POSLOVANJA U SKLADU S GDPR
Opća uredba o zaštiti podataka (GDPR) postavlja zahtjev za sve organizacije koje obrađuju osobne podatke u skladu sa potrebama i stvarnim mogućnostima poslovnog subjekta.
Kako nema dva poslovna subjekta s potpuno identičnim poslovanjem i mogućnostima, potrebno je za svaki pojedinačni poslovni subjekt primijeniti individualne organizacijske mjere u okvirima njegovih mogućnosti kako bi postigli potrebnu usklađenost sa GDPR.
Slijedom navedenog, sve mjere koje se primjenjuju treba implementirati uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike obrada osobnih podataka koji se obrađuju u skladu s organizacijskim i financijskim mogućnostima poslovnog subjekta.
Feralis je u procesu prilagodbe poslovanja sa zahtjevima GDPR, razvio cjeloviti program usklađivanja, koje su dostupni i kao pojedinačni moduli po izboru.
Osnovno usklađivanje rada sa zahtjevima GDPR predstavlja inicijalno uređenje organizacijskih mjera zaštite.
Primjer dokumentiranosti jednostavnog usklađivanja s GDPR:
• Identifikacija i analiza poslovnih procesa u kojima se podaci prikupljaju i obrađuju
• Organizacijske mjere zaštite:
- priprema potrebnih prijedloga politika, internih pravilnika, procedura i drugo
• Evidencija aktivnosti obrade:
- ustrojavanje
• Izvršitelji obrade:
- savjetovanje
- utvrđivanje izvršitelja obrade
- priprema prijedloga ugovora o zaštiti osobnih podataka temeljem standardnih ugovornih klauzula za izvršitelje
- ustrojavanje evidencije o voditeljima obrade za izvršitelje
• Radni odnosi
- obveza na povjerljivost obrade
- obavijesti o obradi osobnih podataka
- objava natječaja i prikupljanje životopisa, regulacija
- praćenje zaposlenika (internet, GPS ili drugo), regulacija
- biometrijski podaci, regulacija
• Osobnih podaci klijenata/članova/kupaca ili drugo
- regulacija prikupljanja i obrade
- provođenje potrebnih testova i dokumentiranost
- regulacija pružanja obavijesti o obradi
- uspostava evidencije aktivnosti obrade za obrade koje se vrše
• Web stranica
- priprema prijedloga Politike privatnosti web stranice
- priprema prijedloga Politike kolačića
- utvrđivanje koji se sve kolačići prikupljanju, izvještaj
• Marketing
- obrada osobnih podataka putem različitih kanala marketinga, uređenje
- prikupljanje osobnih podataka koji se obrađuju u marketinške svrhe, regulacija
- provođenje svih potrebnih testova razmjernosti
- priprema svih potrebnih obavijesti o obradi (dva sloja, QR code)
- uspostava evidencija obrada aktivnosti obrade za obrade koje se vrše
- stručno savjetovanje
• Videonadzor
- prijedlog politike videonadzora
- provođenje testa razmjernosti
- odluka o uvođenju videonadzora
- obavijest za zaposlenike sukladno članku 13. GDPR o provođenju videonadzora
- obavijest o obradi osobnih podataka putem videonadzora u 2 sloja za ispitanike
- priprema naljepnice o obavijesti o vršenju videonadzora za tisak
- ustrojavanje evidencije prigovora
- evidencija aktivnosti obrade putem sustava videonadzora
• Stručno savjetovanje
• Osnovna edukacija zaposlenika ili imenovanog službenika za zaštitu podataka
USKLAĐIVANJE KOJE JE PRILAGOĐENO VAŠIM POTREBAMA I MOGUĆNOSTIMA
Potrebne aktivnosti i organizacijske mjere zaštite utvrđuju se za svaku organizaciju posebno, ovisno o njezinim stvarnim potrebama i obradama koje vrši a u skladu s njezinim financijskim i organizacijskim mogućnostima.
Primjer dokumentiranosti jednostavnog usklađivanja s GDPR:
• Identifikacija i analiza poslovnih procesa u kojima se podaci prikupljaju i obrađuju
• Organizacijske mjere zaštite:
- priprema potrebnih prijedloga politika, internih pravilnika, procedura i drugo
• Evidencija aktivnosti obrade:
- ustrojavanje
• Izvršitelji obrade:
- savjetovanje
- utvrđivanje izvršitelja obrade
- priprema prijedloga ugovora o zaštiti osobnih podataka temeljem standardnih ugovornih klauzula za izvršitelje
- ustrojavanje evidencije o voditeljima obrade za izvršitelje
• Radni odnosi
- obveza na povjerljivost obrade
- obavijesti o obradi osobnih podataka
- objava natječaja i prikupljanje životopisa, regulacija
- praćenje zaposlenika (internet, GPS ili drugo), regulacija
- biometrijski podaci, regulacija
• Osobnih podaci klijenata/članova/kupaca ili drugo
- regulacija prikupljanja i obrade
- provođenje potrebnih testova i dokumentiranost
- regulacija pružanja obavijesti o obradi
- uspostava evidencije aktivnosti obrade za obrade koje se vrše
• Web stranica
- priprema prijedloga Politike privatnosti web stranice
- priprema prijedloga Politike kolačića
- utvrđivanje koji se sve kolačići prikupljanju, izvještaj
• Marketing
- obrada osobnih podataka putem različitih kanala marketinga, uređenje
- prikupljanje osobnih podataka koji se obrađuju u marketinške svrhe, regulacija
- provođenje svih potrebnih testova razmjernosti
- priprema svih potrebnih obavijesti o obradi (dva sloja, QR code)
- uspostava evidencija obrada aktivnosti obrade za obrade koje se vrše
- stručno savjetovanje
• Videonadzor
- prijedlog politike videonadzora
- provođenje testa razmjernosti
- odluka o uvođenju videonadzora
- obavijest za zaposlenike sukladno članku 13. GDPR o provođenju videonadzora
- obavijest o obradi osobnih podataka putem videonadzora u 2 sloja za ispitanike
- priprema naljepnice o obavijesti o vršenju videonadzora za tisak
- ustrojavanje evidencije prigovora
- evidencija aktivnosti obrade putem sustava videonadzora
• Stručno savjetovanje
• Osnovna edukacija zaposlenika ili imenovanog službenika za zaštitu podataka
USKLAĐIVANJE KOJE JE PRILAGOĐENO VAŠIM POTREBAMA I MOGUĆNOSTIMA
Potrebne aktivnosti i organizacijske mjere zaštite utvrđuju se za svaku organizaciju posebno, ovisno o njezinim stvarnim potrebama i obradama koje vrši a u skladu s njezinim financijskim i organizacijskim mogućnostima.
Onda kada želite provjeriti trenutnu usklađenost cijelog poslovanja, dijela poslovanja ili određene organizacijske mjere zaštite (npr. određene politike/procesa i dr.) u skladu s GDPR uz prijedlog korekcija.
Kako bi se održala inicijalna usklađenost poslovanja s Općom uredbom (GDPR) regulativa postavlja zahtjev za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera radi osiguravanje sigurnosti obrade.
Kada se GDPR revizija pravilno provodi predstavlja i najbolji postupak prilikom dokazivanja kontinuirane usklađenosti a samim time i izbjegavanje visokih novčanih kazni i reputacijskog rizika.
Kada se GDPR revizija pravilno provodi predstavlja i najbolji postupak prilikom dokazivanja kontinuirane usklađenosti a samim time i izbjegavanje visokih novčanih kazni i reputacijskog rizika.
Revizija organizacijskih mjera zaštite može obuhvaćati:
- Cijelu organizaciju
- Pojedini dio poslovanja, pojedini proces/obradu osobnih podataka (primjerice: pojedina organizacijska jedinica/odjel ili projekt)
- Pojedinu organizacijsku mjeru zaštite (primjerice: provjera mjera usklađenosti videonadzora ili odnosa sa vanjskim izvršiteljima)
- Cijelu organizaciju
- Pojedini dio poslovanja, pojedini proces/obradu osobnih podataka (primjerice: pojedina organizacijska jedinica/odjel ili projekt)
- Pojedinu organizacijsku mjeru zaštite (primjerice: provjera mjera usklađenosti videonadzora ili odnosa sa vanjskim izvršiteljima)