Analiza stanja i preporuke stručnjaka

Koliko je vaše poslovanje sukladno odredbama GDPR-a?

Odgovor proizlazi iz audita svih procesa koji se odvijaju u vašoj tvrtki. Način provođenja postupka procjene može varirati u detaljnosti i trajanju. Podrška upravljačkog tijela je neophodna kao i sudjelovanje:

•    pravnika
•    savjetnika za osobne podatke i informiranje
•    voditelja poslovnih procesa
•    ICT stručnjaka

CILJEVI:

  • ​precizno definirati zahtjeve koje odgovarajuća nacionalno zakodnodavstvo regulativa (ili više njih, kod internacionalne prisutnosti) postavlja pred organizaciju
  • utvrditi u kojoj su mjeri ti zahtjevi zadovoljeni postojećim stanjem
  • ​procijeniti resurse potrebne za ostvarenje potpune sukladnosti

Sukladnost s GDPR-om zahtijeva multidisciplinaran pristup – provedbu pravne prilagodbe, usklađivanje poslovnih procesa te primjenu odgovarajućih tehničkih rješenja.

Nakon što se procjeni razina usklađenosti poslovanja s GDPR-om potrebno je pristupiti reviziji svih poslovnih procesa koji na bilo koji način uključuju osobne podatke obuhvaćene GDPR-om.

Prvi koraci

Procjena rizika je preduvjet za odlučivanje o daljnjoj provedbi analiza utjecaja na privatnost – obaveznih za scenarije visokog rizika.

Slijedi dokumentiranje operativnih procedura zahvaćenih procesa koje je preduvjet za ostvarenje sukladnosti u slučaju revizije nadzornih tijela.

Uvođenje novih procesa

Kako biste u svakom trenutku baratali osobnim podacima sukladno GDPR-u potrebno je uvesti nove procese.

Upravljanje incidentima

Upravljanje potencijalnim povredama osobnih podataka neophodan je proces koji zahtijeva razradu procedura za:

• rano otkrivanje incidenata
• metode reakcije
• metode kontrole utjecaja na reputaciju organizacije

Komunikacijski procesi prema AZOP-u i zahvaćenim stranama kritični su za kontrolu štete i izbjegavanje najavljenih astronomskih kazni.

Ovo područje iziskuje više od puke dokumentacije bez obzira je li riječ o implementaciji tehničkih rješenja nadzora i upravljanja rješavanjem incidenata ili nizu preventivnih zaštitnih mjera za osiguranje tajnosti osjetljivih podataka, čak i u slučaju kompromitacije sigurnosti ICT sustava organizacije.

Sustavno obavještavanje vlasnika osobnih podataka

Ono mora uključivati krajnju publiku unutar (zaposlenici) i izvan organizacije (partneri, klijenti), mora biti usklađeno sa stvarnim poslovnim praksama i prilagođeno mediju kojim se komunicira. Stoga revizija postojećih, odnosno izrada politika privatnosti i prilagođenih obavijesti postaje obavezan dio procesa usklađivanja. Praćenje promjena tih službenih izjava i pripadajućih korisničkih privola te slojevit pristup obavještavanju (npr. za mobilne platforme) dodatni su aspekti o kojima treba voditi računa.

Imenovanje Službenika za zaštitu osobnih podataka

Prema odredbama GDPR-a, ali i trenutno važećeg Zakona o zaštiti osobnih podataka dio organizacija je izuzet iz obveze imenovanja ove funkcije.

Zakon o zašiti podataka (Narodne novine, br. 103/03., 118/06., 41/08., 130/11., 106/12.), voditelj zbirke osobnih podataka koji zapošljava manje od 20 radnika može imenovati Službenika za zaštitu osobnih podataka, a voditelj zbirke osobnih podataka koji zapošljava više od 20 radnika dužan je imenovati Službenika za zaštitu osobnih podataka.

Raspon djelovanja:

• uredno vođenje informacija o svim obrađivanim osobnim podacima
• dokumentiranje operativnih procesa
• komuniciranje ispitanicima podataka
• kontakt informacija službe/osobe kojoj se mogu obratiti za pitanja u vezi privatnosti te pravovremeni odgovor na upit itd.

Sve su to obavezni regulatorni zahtjevi koje će biti potrebno adresirati na odgovarajući način.

 

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Naše web stranice koriste kolačiće kako bi vam omogućili najbolje korisničko iskustvo. Za više detalja pročitajte naša Pravila privatnosti. Pregledavanjem web stranice slažete se s korištenjem kolačića. Postavke kolačiča Prihvaćam kolačiće