Organizacijske mjere zaštite
USKLAĐIVANJE POSLOVANJA U SKLADU S GDPR
Opća uredba o zaštiti podataka (GDPR) postavlja zahtjev za sve organizacije koje obrađuju osobne podatke u skladu sa potrebama i stvarnim mogućnostima poslovnog subjekta.
Kako nema dva poslovna subjekta s potpuno identičnim poslovanjem i mogućnostima, potrebno je za svaki pojedinačni poslovni subjekt primijeniti individualne organizacijske mjere u okvirima njegovih mogućnosti kako bi postigli potrebnu usklađenost sa GDPR.
Slijedom navedenog, sve mjere koje se primjenjuju treba implementirati uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike obrada osobnih podataka koji se obrađuju u skladu s organizacijskim i financijskim mogućnostima poslovnog subjekta.
Feralis je u procesu prilagodbe poslovanja sa zahtjevima GDPR, razvio cjeloviti program usklađivanja, koje su dostupni i kao pojedinačni moduli po izboru.
Osnovno usklađivanje rada sa zahtjevima GDPR predstavlja inicijalno uređenje organizacijskih mjera zaštite.
Primjer dokumentiranosti jednostavnog usklađivanja s GDPR:
• Identifikacija i analiza poslovnih procesa u kojima se podaci prikupljaju i obrađuju
• Organizacijske mjere zaštite:
- priprema potrebnih prijedloga politika, internih pravilnika, procedura i drugo
• Evidencija aktivnosti obrade:
- ustrojavanje
• Izvršitelji obrade:
- savjetovanje
- utvrđivanje izvršitelja obrade
- priprema prijedloga ugovora o zaštiti osobnih podataka temeljem standardnih ugovornih klauzula za izvršitelje
- ustrojavanje evidencije o voditeljima obrade za izvršitelje
• Radni odnosi
- obveza na povjerljivost obrade
- obavijesti o obradi osobnih podataka
- objava natječaja i prikupljanje životopisa, regulacija
- praćenje zaposlenika (internet, GPS ili drugo), regulacija
- biometrijski podaci, regulacija
• Osobnih podaci klijenata/članova/kupaca ili drugo
- regulacija prikupljanja i obrade
- provođenje potrebnih testova i dokumentiranost
- regulacija pružanja obavijesti o obradi
- uspostava evidencije aktivnosti obrade za obrade koje se vrše
• Web stranica
- priprema prijedloga Politike privatnosti web stranice
- priprema prijedloga Politike kolačića
- utvrđivanje koji se sve kolačići prikupljanju, izvještaj
• Marketing
- obrada osobnih podataka putem različitih kanala marketinga, uređenje
- prikupljanje osobnih podataka koji se obrađuju u marketinške svrhe, regulacija
- provođenje svih potrebnih testova razmjernosti
- priprema svih potrebnih obavijesti o obradi (dva sloja, QR code)
- uspostava evidencija obrada aktivnosti obrade za obrade koje se vrše
- stručno savjetovanje
• Videonadzor
- prijedlog politike videonadzora
- provođenje testa razmjernosti
- odluka o uvođenju videonadzora
- obavijest za zaposlenike sukladno članku 13. GDPR o provođenju videonadzora
- obavijest o obradi osobnih podataka putem videonadzora u 2 sloja za ispitanike
- priprema naljepnice o obavijesti o vršenju videonadzora za tisak
- ustrojavanje evidencije prigovora
- evidencija aktivnosti obrade putem sustava videonadzora
• Stručno savjetovanje
• Osnovna edukacija zaposlenika ili imenovanog službenika za zaštitu podataka
• Provođenje potrebnih testova razmjernosti
• Utvrđivanje legitimnih interesa
• Provođenje potrebnih DPIA
• Uspostava Registra Evidencije aktivnosti obrade
• Uspostava Registra Evidencije aktivnosti obrade da druge voditelje obrade
• Priprema ostalih politika i procedura ovisno o potrebi poslovnog subjekta
Potrebne aktivnosti i organizacijske mjere zaštite utvrđuju se za svaku organizaciju posebno, ovisno o njezinim stvarnim potrebama i obradama koje vrši a u skladu s njezinim financijskim i organizacijskim mogućnostima.
Primjer dokumentiranosti jednostavnog usklađivanja s GDPR:
• Identifikacija i analiza poslovnih procesa u kojima se podaci prikupljaju i obrađuju
• Organizacijske mjere zaštite:
- priprema potrebnih prijedloga politika, internih pravilnika, procedura i drugo
• Evidencija aktivnosti obrade:
- ustrojavanje
• Izvršitelji obrade:
- savjetovanje
- utvrđivanje izvršitelja obrade
- priprema prijedloga ugovora o zaštiti osobnih podataka temeljem standardnih ugovornih klauzula za izvršitelje
- ustrojavanje evidencije o voditeljima obrade za izvršitelje
• Radni odnosi
- obveza na povjerljivost obrade
- obavijesti o obradi osobnih podataka
- objava natječaja i prikupljanje životopisa, regulacija
- praćenje zaposlenika (internet, GPS ili drugo), regulacija
- biometrijski podaci, regulacija
• Osobnih podaci klijenata/članova/kupaca ili drugo
- regulacija prikupljanja i obrade
- provođenje potrebnih testova i dokumentiranost
- regulacija pružanja obavijesti o obradi
- uspostava evidencije aktivnosti obrade za obrade koje se vrše
• Web stranica
- priprema prijedloga Politike privatnosti web stranice
- priprema prijedloga Politike kolačića
- utvrđivanje koji se sve kolačići prikupljanju, izvještaj
• Marketing
- obrada osobnih podataka putem različitih kanala marketinga, uređenje
- prikupljanje osobnih podataka koji se obrađuju u marketinške svrhe, regulacija
- provođenje svih potrebnih testova razmjernosti
- priprema svih potrebnih obavijesti o obradi (dva sloja, QR code)
- uspostava evidencija obrada aktivnosti obrade za obrade koje se vrše
- stručno savjetovanje
• Videonadzor
- prijedlog politike videonadzora
- provođenje testa razmjernosti
- odluka o uvođenju videonadzora
- obavijest za zaposlenike sukladno članku 13. GDPR o provođenju videonadzora
- obavijest o obradi osobnih podataka putem videonadzora u 2 sloja za ispitanike
- priprema naljepnice o obavijesti o vršenju videonadzora za tisak
- ustrojavanje evidencije prigovora
- evidencija aktivnosti obrade putem sustava videonadzora
• Stručno savjetovanje
• Osnovna edukacija zaposlenika ili imenovanog službenika za zaštitu podataka
• Provođenje potrebnih testova razmjernosti
• Utvrđivanje legitimnih interesa
• Provođenje potrebnih DPIA
• Uspostava Registra Evidencije aktivnosti obrade
• Uspostava Registra Evidencije aktivnosti obrade da druge voditelje obrade
• Priprema ostalih politika i procedura ovisno o potrebi poslovnog subjekta
Potrebne aktivnosti i organizacijske mjere zaštite utvrđuju se za svaku organizaciju posebno, ovisno o njezinim stvarnim potrebama i obradama koje vrši a u skladu s njezinim financijskim i organizacijskim mogućnostima.
----- GDPR USKLAĐIVANJE KOJE JE PRILAGOĐENO VAŠIM POTREBAMA I MOGUĆNOSTIMA -----
❗️POSEBNE POGODNOSTI
Inicijalno usklađivanje rada organizacije sa zahtjevima GDPR provodi se BESPLATNO pri ugovaranju mjesečne funkcije sužbenika za zaštitu podataka uz minimalan rok trajanja ugovornog odnosa od jedne godine. U slučaju ranijeg prekida odnosa vrši se obračun svake pojedine usluge izvan propisanih usluga službenika za zaštitu podataka Općom uredbom prema redovnom cjeniku usluga.
Inicijalno usklađivanje rada organizacije sa zahtjevima GDPR provodi se BESPLATNO pri ugovaranju mjesečne funkcije sužbenika za zaštitu podataka uz minimalan rok trajanja ugovornog odnosa od jedne godine. U slučaju ranijeg prekida odnosa vrši se obračun svake pojedine usluge izvan propisanih usluga službenika za zaštitu podataka Općom uredbom prema redovnom cjeniku usluga.
Onda kada želite provjeriti trenutnu usklađenost cijelog poslovanja, dijela poslovanja ili određene organizacijske mjere zaštite (npr. određene politike/procesa i dr.) u skladu s GDPR uz prijedlog korekcija.
Kako bi se održala inicijalna usklađenost poslovanja s Općom uredbom (GDPR) regulativa postavlja zahtjev za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera radi osiguravanje sigurnosti obrade.
Kada se GDPR revizija pravilno provodi predstavlja i najbolji postupak prilikom dokazivanja kontinuirane usklađenosti a samim time i izbjegavanje visokih novčanih kazni i reputacijskog rizika.
Kada se GDPR revizija pravilno provodi predstavlja i najbolji postupak prilikom dokazivanja kontinuirane usklađenosti a samim time i izbjegavanje visokih novčanih kazni i reputacijskog rizika.
Revizija organizacijskih mjera zaštite može obuhvaćati:
- Cijelu organizaciju
- Pojedini dio poslovanja, pojedini proces/obradu osobnih podataka (primjerice: pojedina organizacijska jedinica/odjel ili projekt)
- Pojedinu organizacijsku mjeru zaštite (primjerice: provjera mjera usklađenosti videonadzora ili odnosa sa vanjskim izvršiteljima)
- Cijelu organizaciju
- Pojedini dio poslovanja, pojedini proces/obradu osobnih podataka (primjerice: pojedina organizacijska jedinica/odjel ili projekt)
- Pojedinu organizacijsku mjeru zaštite (primjerice: provjera mjera usklađenosti videonadzora ili odnosa sa vanjskim izvršiteljima)