Članci

GDPR Checklist – koraci za postizanje usklađenosti

18 maj 2018

Kompanije diljem svijeta pripremaju se za GDPR. Sat otkucava, tako da se pobrinite da je vaše poslovanje spremno za novi zakon o zaštiti podataka. Odgovarajuće upravljanje podacima ključno je za usklađivanje s ovim novim zakonom. Sastavili smo kontrolnu listu ključnih zahtjeva Opšte uredbe o zaštiti podataka kako bismo vam pomogli.

 

Kako se uskladiti i izbjeći kaznu

1. Odredite svoje područje djelovanja

Opštaa uredba o zaštiti podataka primjenjuje se na organizacije koje imaju sjedište u Evropskoj uniji i na zemlje koje nisu članice Evropske unije, a obrađuju podatke građana Evropske unije

Popis za provedbu

  • Ako vaše poslovanje spada u jednu od prethodno spomenutih kategorija, morate ga uskladiti s Opštom uredbom o zaštiti podataka.
  • Globalne organizacije moraju odrediti koje je nadzorno tijelo za zaštitu podataka nadležno za njih. 

 

2. Podignite svijest

Podignite svijest o novim pravilima za zaštitu podataka unutar i izvan svoje organizacije.

Lista aktivnosti

  • Obavijestite donosioce odluka i zaposlenike svoje organizacije o nadolazećim promjenama. Ažurirajte ili revidirajte ugovore s poslovnim partnerima, prodavačima i dobavljačima.
  • Ako sarađujete s dobavljačima izvan EU-a, pobrinite se da se pridržavaju Opšte uredbe o zaštiti podataka.
  • Pobrinite se da svi ugovori koje imate s trećim stranama uključuju zaštitu od rizika povezanih s Opštom uredbom o zaštiti podataka.
  • Nadgledajte njihov napredak povezano s usklađivanjem. Provedite revizije ključnih dobavljača.
  • Pokrenite radionice o Opštoj uredbi o zaštiti podataka za odjele za prodaje i marketinga.

 

3. Stvorite „kartu” svojih podataka

Utvrdite koje podatke vaša komapnija posjeduje. Pobrinite se da znate odakle ti podaci dolaze, kako ih namjeravate upotrebljavati i s kime ih dijelite.

Lista aktivnosti

  • Provedite reviziju podataka kako biste procijenili svoje podatke i svrhe u koje ih upotrebljavate.
  • Utvrdite rizična područja i poduzmite potrebne korake za usklađivanje.
  • Pobrinite se da imate pravnu osnovu za upotrebu podataka.
  • Ako primate podatke od trećih strana, provjerite tačnost i legitimnost tih podataka.
  • Izbrišite sve podatke koji su nepotrebni ili zastarjeli.
  • Odredite jasna pravila o tome koliko dugo će se podaci zadržavati.

 

4. Napravite i održavajte evidenciju podataka

Opšta uredba o zaštiti podataka zahtijeva da kompanije vode evidenciju podataka koje obrađuju. Onee moraju biti u stanju da dokažu svoju odgovornost i usklađenost.

Lista aktivnosti

Napravite i održavajte evidenciju podataka koja uključuje sljedeće:

  • naziv i podatke za kontakt komapnije i službenika za zaštitu podataka (gdje je primjenjivo),
  • opis kategorija ličnih podataka,
  • svrhu obrade podataka,
  • kategorije ispitanika i primaoca,
  • prijenose ličnih podataka trećim stranama,
  • opšti opis sigurnosnih mjera kompanije.

 

5. Ažurirajte pravila o zaštiti podataka

U skladu s Opštom uredbom o zaštiti podataka, morate se pridržavati novih zakona o zaštiti podataka, a to morate moći i dokazati. Osim vođenja evidencije podataka, potrebno je ažurirati (ili revidirati) pravila i postupke.

Lista aktivnosti

Utvrdite jesu li vaša pravila o zaštiti podataka usklađena s Općom uredbom o zaštiti podataka uz pomoć odvjetnika.

Pobrinite se da vaša pravila pokrivaju sljedeće aspekte:

  • ko je odgovoran za obradu i sigurnost podataka te druge ključne tačke Opšte uredbe o zaštiti podataka,
  • kako utvrđujete da je došlo do povrede i šta u tom slučaju činite,
  • kako odgovoriti na zahtjeve za pristup ispitanika,
  • kako postupiti u slučaju povučenog pristanka,
  • šta uključiti u obavijesti o privatnosti – upotrebljavajte sažet, jasan jezik koji je jednostavno razumjeti
  • kako udovoljiti zahtjevima klijenata u vezi s prenosivosti podataka, pravom na brisanje, pravom na informisanje, pravom na prigovor, ispravljanjem itd.
  • opišite sve pravne osnove, uključujući pristanak, ključne interese i javne interese za zakonitu obradu podataka

 

6. Pribavite dozvolu za obradu podataka

Kako bi se uskladile s Opštom uredbom o zaštiti podataka, kompanije moraju procijeniti način na koji traže i evidentiraju dozvolu te kako njome upravljaju. Također moraju zadovoljiti ostalih pet pravnih osnova, kao što su zakonita obrada podataka i legitimni interesi kao pravna osnova za obradu.

Prema novom zakonu o zaštiti podataka, pristanak mora biti jasan, isključiv, informiran i dobrovoljan. Također mora biti moguća provjera. Pojedinci imaju pravo na povlačenje pristanka u bilo kojem trenutku.

Lista aktivnosti

  • Pregledajte postojeće postupke za pribavljanje dozvola/pristanka.
  • Odredite način odabira za sve kontakte.
  • Procijenite postojeću bazu podataka. Utvrdite jesu li ispitanici dali pristanak za obradu ličnih podataka ili nisu.
  • Prije pokretanja novih kampanja, pobrinite se da su vaše marketinške aktivnosti usklađene s Opštom uredbom o zaštiti podataka.
  • Dajte link na ažuriranu stranicu za privatnost u svim obrascima za pretplatu.
  • Pobrinite se da svi obrasci na vašoj stranici uključuju izričit odabir.
  • Pružite jasan način za otkazivanje pretplate i povlačenje pristanka.
  • Nemojte zahtijevati pristanak kao uslov za korištenje vaše usluge.

 

7. Upravljajte zahtjevima za podacima

Nakon što Opšta uredba o zaštiti podataka stupi na snagu, organizacije će morati odgovoriti na sve zahtjeve za podacima u roku od jednog mjeseca.

Lista aktivnosti

  • Postavite odredišnu stranicu za zahtjev za podacima.
  • Pružite mogućnosti pojedincima da ažuriraju ili izbrišu podatke na zahtjev.
  • Pojednostavite upravljanje pretplatom e-pošte klijentima.
  • Ručno pregledajte svaki zahtjev i odgovorite na njega u roku od jednog mjeseca.

 

8. Pripremite se za povrede sigurnosti

Jedna od ključnih tačaka Opšte uredbe o zaštiti podataka sigurnost je podataka. Bez obzira na veličinu i vrstu poslovanja, obavezno je zaštititi lične podatke i prijaviti povrede sigurnosti u roku od 72 sata.

Lista aktivnosti

  • Razvijte plan za rješavanje povreda sigurnosti.
  • Provedite odgovarajuću razinu enkripcije na svim uređajima kompanije.
  • Razmislite o upotrebi dvostruke provjere autentičnosti za sve zaposlene.
  • Pobrinite se da je vaša infrastruktura informacijskih tehnologija sigurna. Provjerite visokorizična područja i popravite ih.
  • Bez obzira na to prebacujete li se na nove sisteme ili nadograđujete postojeće, privatnost bi trebala biti integrirana u njih.
  • Treba se spriječiti neovlaštena upotreba svih datoteka, srevera i računara.

 

9. Pazite na posebne zahtjeve Opšte uredbe o zaštiti podataka

Opšta uredba o zaštiti podataka Evropske unije određuje da sve kompanije koje pružaju digitalne usluge djeci moraju provjeriti njihovu starosnu dob i pribaviti privolu za obradu njihovih podataka od njihovih roditelja ili staratelja. Samo djeca koja imaju najmanje 16 godina imaju zakonsko pravo dati dozvolu.

Lista aktivnosti

  • Pobrinite se da imate uspostavljene sisteme za provjeru starosne dobi osobe.
  • Uvijek pribavite dozvolu roditelja ili staratelja prije obrade podataka djece.
  • Sve obavijesti o privatnosti koje su namijenjene djeci moraju biti prilagođene djeci.

 

10. Imenujte službenika za zaštitu podataka

Kompanije i institucije koje obrađuju posebne kategorije ličnih podataka, kao što su kategorije povezane s kaznenim djelima i osuđujućim presudama, moraju imenovati službenika za zaštitu podataka. To se odnosi i na tijela javne vlasti te kompanije koja obrađuju velike količine podataka.

Čak i ako vaša kompanija ne spada u navedene kategorije, službenik za zaštitu podataka može osigurati usklađenost zaštite podataka unutar komapnije. Njegova je uloga upravljanje i nadzor podataka te postupaka koji su potrebni za postizanje usklađenosti.

Lista aktivnosti

  • Utvrdite morate li imenovati službenika za zaštitu podataka. Pojedinac koji će ispunjavati ovu ulogu može biti vanjski pružatelj usluga ili član osoblja. Odgovaraće najvišem nivou uprave.
  • Čak i ako vam službenik za zaštitu podataka nije potreban, pobrinite se da je neko unutar organizacije odgovoran za zaštitu podataka.
  • Pružite službeniku za zaštitu podataka odgovarajuće resurse za provođenje njegove dužnosti.

 

11. Pripremite se za novo doba privatnosti podataka

Zapamtite: Opšta uredba o zaštiti podataka dobra je stvar. Razmišljajte o njoj kao o katalizatoru inovacije i sigurnosti.
Pojedincima pruža više kontrole nad njihovim podacima, a kompanije obavezuje na odgovornost za način rukovanja i obrade osjetljivim podacima. Osim toga, pruža dosljednost u vezi sa zaštitom podataka i privatnošću.
Zahvaljujući Opštoj uredbi o zaštiti podataka, kompanije će bolje razumjeti kako efikasno obrađivati lične podatke i iz njih saznati više o ponašanju klijenata.