Što trebate znati o prilagodbi poslovanja GDPR-u?
27.09.2018 • 3 minutes read

GDPR je kompleksna tematika koja zahtijeva poznavanje poslovnih procesa, pravna i tehnička znanja. Ovaj tekst donosi presjek osnovnih poruka naših stručnjaka koji se već dvije godine sustavno bave GDPR-om.

Među prvima u Hrvatskoj prepoznali smo koliko je GDPR važan za naše korisnike i za hrvatsko tržište. Pomažemo brojnim organizacijama da usklade svoje poslovanje s GDPR-om, a svakim novim projektom rastemo i mi sami.

 

IDENTIFICIRATI PROCESE – ŠTO I KAKO ORGANIZACIJA RADI

 

Cilj svakog projekta je utvrditi u kojim se sve procesima pojavljuju osobni podaci, snimiti trenutno stanje i odstupanja od zahtjeva koje GDPR stavlja pred organizacije.

Analiza stanja započinje identificiranjem procesa.

„U početku smo od svakog korisnika tražili mapu procesa. Danas to više ne radimo, osim ako se radi o javnoj upravi, jer gotovo niti jedna organizacija nema takav dokument“, ističe Damir Šohar, poslovni savjetnik u svojem tekstu Procesi kao osnova za GDPR analizu.

Mapa procesa trebala bi sadržavati informacije o tome kakvi osobni podaci se obrađuju unutar organizacije, koje osobe sudjeluju u procesu, koji IT sustavi se koriste u procesima obrade i tko su primatelji podataka.

Nemate mapu procesa? Niste jedini.

Izrada ovog dokumenta složen je posao, ali znatno olakšava usklađivanje s GDPR-om.

 

RAZGOVOR, RAZGOVOR, RAZGOVOR

 

U početnoj fazi svakog novog projekta naši GDPR stručnjaci većinu vremena provode u razgovorima s korisnicima.

„Slušamo što se radi u njihovoj organizaciji, na koji način, gdje se sve osobni podaci nalaze, a tek nakon toga dajemo prijedlog procesa koje detaljno analiziramo“, ističe Šohar.

Dodaje kako je iznimno važno shvatiti svrhu procesa te da su brojni procesi koji se danas provode često naslijeđeni iz nekih prošlih vremena i nisu nužni za trenutačno poslovanje. Ovdje često ima prostora i za pojednostavljivanje poslovnih procesa što u konačnici dovodi do dobrobiti za cijelo poslovanje.

 

VAŠE OSOBNE PODATKE KORISTIT ĆEMO ISKLJUČIVO U SVRHU…

 

Prema GDPR-u, svaka obrada osobnih podataka treba biti svrhovita i postoji nekoliko zakonitosti obrade prema kojima se određuje osnova za obradu osobnih podataka. Jedna od osnova može biti i privola.

„Voditelji obrade osobnih podataka moraju dobiti privolu ispitanika za obradu osobnih podataka. Privola mora biti precizna, dobro informirajuća i nedvosmislena te mora biti kristalno jasno za što će se ispitanikovi podaci koristiti“, ističe se u stručnom članku o upravljanju privolama.

Isto tako, ispitanik mora biti dobro obaviješten o tome i osjećati se slobodnim donijeti odluku hoće li dati privolu.

Nakon što prikupite osobne podatke i dobijete ispitanika na temelju privole ili neke druge osnove, podatke možete koristiti isključivo u svrhu za koju su prikupljani.

 

SVE ORGANIZACIJE KOJE PRIKUPLJAJU OSOBNE PODATKE MORAJU POŠTOVATI GDPR

 

Organizacije kojima se osnovno poslovanje ne temelji na prikupljanju i obradi podataka često misle kako se ne trebaju pridržavati GDPR-a.

No, situacija ipak nije takva, ističe Dijana Kladar, pravna konzultantica za zaštitu osobnih podataka u svom stručnom članku o osobnim podacima unutar radnog odnosa:

„Primjerice, svaki poduzetnik koji zapošljava djelatnike prikuplja određene osobne podatke – temeljem samog zakonskog propisa ili uz privolu. Ako poslodavac želi zadržati životopise koje je prikupio po objavi oglasa za radno mjesto kako bi ih u budućnosti koristio za kasnija zapošljavanja, mora dobiti privole kandidata.“

 

POSAO SLUŽBENIKA ZA ZAŠTITU PODATAKA PRESTAJE BITI USPUTNO ZANIMANJE

 

U većini organizacija pojavljuje se ista dilema – zaposliti/imenovati djelatnika koji će obavljati posao službenika za zaštitu podataka (engleski poznatijeg kao data protection officera, DPO-a) ili angažirati vanjske konzultante.

„Organizacije moraju same procijeniti rizike i donijeti odluku isplati li im se dodijeliti taj položaj postojećem djelatniku, zaposliti novoga ili pak, angažirati vanjske konzultante koji će unutar njihovog kolektiva obavljati dužnosti službenika za zaštitu osobnih podataka“, poručuje Kladar.

 

SPECIJALIZIRANI SOFTVER EVIDENTIRA OBRADE I PRIVOLE

 

Organizacijama koje prikupljaju i obrađuju osobne podatke potrebna je pomoć kako bi se snašle među svim obradama, privolama, incidentima i zahtjevima. Koje podatke o pojedinoj osobi imate, u koju ih svrhu upotrebljavate, koliko ih drugo čuvate te kakve se mjere zaštite na njih primjenjuju?

Softversko rješenje za pohranu svih ovih podataka, olakšat će posao službeniku za zaštitu podataka nadzor i izvještavanje prema nadzornom tijelu.

Tako primjerice, privola može biti potpisana na papiru, no isto tako osoba može dati svoju suglasnost za upotrebu osobnih podataka i putem softverskih rješenja.

Softverska rješenja su svakako jednostavnija za prikupljanje privola i za njihov kasniji pronalazak u slučaju nadzora koji će provesti nadzorno tijelo (u Hrvatskoj je to sad AZOP).

Softverska rješenja mogu vam omogućiti lakše otkrivanje baza podataka koje imate unutar svoje organizacije te lakši i brži pronalazak osobnih podataka koje prikupljate o određenim fizičkim osobama. To je iznimno važno kod većih poslovnih sustava koji prikupljaju velik broj osobnih podataka“, zaključuje Kladar.

Ako vas zanima što su još naši stručnjaci pisali o GDPR i sigurnosnim rješenjima, video nadzoru, zaštiti podataka u cloudu, brisanju podataka pročitajte preostale tekstove.

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Komentari

Vaša email adresa neće biti objavljena