Svjesni smo da mnogi poslovni subjekti imaju ograničeni iznos sredstava te imaju poteškoće s izdvajanjem potrebnog proračuna za cjelovitu uslugu savjetovanja i zaštite osobnih podataka. S tim na umu, razradili smo skup pojedinačnih servisnih opcija koje vam omogućuju fleksibilnost u izboru potrebnih alata. Te usluge možete kombinirati sa svojim postojećim pristupom iz domene zaštite osobnih podataka te vam na raspolaganju stoje i ljudi s iskustvom.
GDPR Revizija
Revizija usklađenosti s Općom uredbom o zaštiti osobnih podataka predstavlja harmonizaciju poslovanja te uvođenje organizacijskih i tehničkih mjera zaštite koje su u skladu sa stvarnim potrebama i financijskim mogućnostima poslovnog subjekta.
Reviziju usklađenosti s Općom uredbom o zaštiti osobnih podataka provodi Službenik za zaštitu osobnih podataka sa svojim timom. Cilj revizije je utvrditi stupanj usklađenosti tvrtke ili ustanove s Općom uredbom o zaštiti osobnih podataka te potom na temelju provedene analize stupnja usklađenosti definirati daljnje korake i radnje koje je nužno provesti kako bi se usklađenost postigla i dalje održavala. Revizija daje procjenu stanja postupajući prema odredbama i zahtjevima Opće uredbe o zaštiti osobnih podataka, a pritom uzimajući u obzir organizacijske i financijske mogućnosti poslovnog subjekta.
Reviziju je moguće provesti za cjelokupni ili određeni dio poslovanja. Postoji mogućnost provođenja revizije i za pojedini proces u radu.
Revizija se dijeli na osnovnu i periodičnu. Osnovna revizija ima za cilj uskladiti cjelokupno poslovanje s Općom uredbom o zaštiti osobnih podataka dok periodična ima za cilj kontinuirano vršiti provjeru postojećih mjera kao i predlagati nove mjere ovisno o trenutnoj situaciji ili potrebi.
Reviziju je moguće provesti za:
- cjelokupno poslovanje ili jedan njegov dio
- određeni proces u poslovanju
- određenu organizacijsku mjeru zaštite - uključujući politike i interne poslovnog subjekta
- provjeru izvršitelja obrade osobnih podataka
Revizija cjelokupnog poslovanja ili jednog njegovog djela obuhvaća:
- pregled i analizu postojećih organizacijskih i tehničkih mjera zaštite osobnih podataka te eventualne izmjene ukoliko je to nužno
- analizu stanja obrade osobnih podataka te implementacije organizacijskih i tehničkih mjera zaštite obrade u skladu s organizacijskim i financijskim mogućnostima poslovnog subjekta ukoliko je to nužno
Revizija određenog procesa
Revizija određenog procesa obuhvaća analizu svih obrada osobnih podataka koje se u tom procesu vrše i analizu na koji način se s tim osobnim podacima postupa za vrijeme njihove obrade kao i nakon provedene obrade. Na temelju izvršene analize izrađuje se dokument s utvrđenim stanjem tj. GAP analiza koja daje mišljenja i prijedloge za ispravke i uređenje mjera za zaštitu osobnih podataka.
Provjera pojedine organizacijske mjere zaštite
Provjera postojeće organizacijske mjere može uključivati analizu pojedine politike pravnog subjekta ili interne procedure koju taj poslovni subjekt provodi te prijedlog za izmjenu utvrđenih propusta, imajući pritom na obziru i mogućnosti i potrebe poslovnog subjekta.
Provjera izvršitelja obrade osobnih podataka
Izvršitelji obrade također podliježu provjeri usklađenosti s Općom uredbom o zaštiti osobnih podataka. Uz to oni podliježu i provjeri primjenjuju li odgovarajuće mjere zaštite osobnih podataka koje obrađuju za Voditelja obrade.
Usklađivanje poslovanja u skladu s Općom uredbom o zaštiti osobnih podataka
Usklađivanje poslovanja s općom uredbom o zaštiti osobnih podataka predstavlja set mjera zaštite osobnih podataka koje je potrebno implementirati u poslovanje i organizacijsku strukturu poslovnog subjekta.
Opća uredba o zaštiti osobnih podataka postavlja zahtjev poslovnim subjektima za uređenje mjera zaštite osobnih podataka u skladu sa njihovim potrebama i stvarnim mogućnostima. Budući da se svaki poslovni subjekt razliku u svojem poslovanju i mogućnostima, nemoguće je unaprijed i univerzalno odrediti mjere zaštite osobnih podataka, već je potrebno za svakog pojedinačnog poslovnog subjekta utvrditi zaseban set mjera kako bi on mogao odražavati primjerenu zaštitu osobnih podataka u skladu s Općom uredbom o zaštiti osobnih podataka.
Usklađivanje organizacijskih mjera zaštite nije jednokratan postupak već je to kontinuiran postupak koji traje sve dok poslovni subjekt postoji jer je usklađivanje kao takvo podložno stalnim promjenama.
Najčešći postupci pri osnovnom uređenju mjera zaštite osobnih podataka:
- identifikacija poslovnih procesa u kojima se osobni podaci prikupljaju i obrađuju;
- utvrđivanje valjanje pravne osnove za obradu, nužnog i minimalnog seta potrebnih osobnih podataka;
- utvrđivanje legitimnog interesa voditelja obrade nužnog za zakonitu obradu osobnih podataka;
- izjave o povjerljivosti zaposlenika i trećih osoba;
- uređenje odnosa s izvršiteljima obrade;
- stvaranje evidencije obrade osobnih podataka;
- stvaranje evidencije obrade osobnih podataka za druge voditelje obrade (kod izvršitelja obrade);
- utvrđivanje mjesta i načina na koji se prikupljaju osobni podaci;
- uređenje zaštite osobnih podataka pružanjem obavijesti o prikupljanju i obradi osobnih podataka;
- uređenje zaštite osobnih podataka koji se prikupljaju putem web stranice i društvenih mreža;
- uređenje zaštite osobnih podataka pri korištenju sustava videonadzora;
- uređenje zaštite osobnih podataka prilikom korištenja informacijske tehnologije;
- reguliranje rokova pohrane osobnih podataka;
- procjena učinka na zaštitu osobnih podataka;
- procjena rizika zaštite osobnih podataka;
- izrada politika, procedura i radnih uputa;
- utvrđivanje stanja tehničkih mjera zaštite kao i potrebe za implementacijom novih mjera ili dopune već postojećih.
Postupci i mjere zaštite osobnih podataka utvrđuju se nakon dostave potrebnih informacija i izvršenog uvida.
Redovno uređenje mjera zaštite osobnih podataka
Kada poslovni subjekt već ima uređenu zaštitu osobnih podataka, radi se o kontinuiranom uređenju organizacijskih mjera zaštite kako bi se ispunio zahtjev usklađenosti zaštite osobnih podataka u skladu s trenutnim mogućnostima i potrebama poslovnog subjekta.
Redovno uređenje organizacijskih mjera može biti:
- ažuriranje postojećih organizacijskih mjera zaštite osobnih podataka;
- dopuna zaštite osobnih podataka novim organizacijskim mjerama zaštite osobnih podataka;
- provjera i ispravak postojećih organizacijskih mjera zaštite osobnih podataka.
Podnošenje pritužbe na obradu osobnih podataka
Ukoliko fizička osoba smatra da su njezini osobni podaci zlorabljeni, korišteni, prikupljani ili pohranjeni na način suprotan odredbama Opće uredbe o zaštiti osobnih podataka, ona može podnijeti Zahtjev za zaštitu prava.
Koraci u podnošenju pritužbe ili prigovora su sljedeći:
Onda kada se smatra da je došlo do obrade osobnih podataka koja nije u skladu s Općom uredbom o zaštiti podataka i do povreda prava zajamčenih istom, temljem punomoći može se ovlastiti Istra GDPR za podnošenje pritužbe Agenciji za zaštitu podataka.
- Ispitanik nam je potreban dostaviti pritužbu ili prigovor sa svojim osobnim podacima koji su potrebni za identifikaciju kao i kontakt podatke, naziv i potrebne podatke za identifikaciju poslovnog subjekta koji obrađuje ispitanikove osobne podatke sukladno Općoj uredbi o zaštiti osobnih podataka te opis povrede osobnih podataka;
- Nakon našeg pozitivnog očitovanja na dostavljeni prigovor ili pritužbu, potrebno nam je dostaviti punomoć za podnošenje pritužbe Agenciji za zaštitu osobnih podataka (AZOP);
- Nakon što dobijemo punomoć, podnosimo prigovor ili pritužbu Agenciji za zaštitu osobnih podataka (AZOP);
- Postupak pomno pratimo do okončanja postupka, odnosno dostave rješenja Agencije za zaštitu osobnih podataka (AZOP) te vas obavještavamo o istom.
Usluga službenika za zaštitu osobnih podataka
Opća uredba o zaštiti osobnih podataka postavila je jedna od najvažnijih zahtjeva kako bi se postigla i održavala usklađenost, a to je imenovanje Službenika za zaštitu osobnih podataka (Dana protection officer – DPO).
Agencija za zaštitu osobnih podataka odredila je da se Službenik za zaštitu mora imenovati ako su voditelji ili izvršitelji obrade:
- tijelo javne vlasti ili javno tijelo, osim za sudove kad djeluju u sudskoj nadležnosti
- da se osnovne djelatnosti voditelja ili izvršitelja sastoje od postupaka obrade koji zahtijevaju sustavno praćenje ispitanika u velikoj mjeri
- da se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka na temelju čl. 9. i osobnih podataka u vezi s kaznenim osudama i kaznenim djelima iz čl. 9.
U slučaju da obrade bilo koji oblika opsežne obrade osjetljive kategorije osobnih podataka, imenovanje službenika za zaštitu osobnih podataka je također obvezno.
Usluga vanjskog službenika za zaštitu osobnih podataka predstavlja veliki značaj za poslovnog subjekta budući da omogućuje njegovim zaposlenicima neometeno obavljanje njihovih poslova čime ne dolazi do gubitka radne učinkovitosti.
Prednosti vanjskog službenika za zaštitu osobnih podataka su:
- On predstavlja praktično i ekonomsko isplativo rješenje za postizanje usklađenosti;
- Daje vam pristup neovisnom iskustvu i stručnosti koju posjeduje Službenik za zaštitu osobnih podataka, a isto nije dostupno zaposleniku unutar poslovnog subjekta;
- Ne dolazi do sukoba interesa između Službenika za zaštitu osobnih podataka i drugih poslovnih aktivnosti poslovnog subjekta;
- Primjenom najbolje i najnovije prakse, Službenik za zaštitu osobnih podataka teži prema postizanju i održavanju usklađenosti;
- Pristup rješenjima kojima se usavršava poštivanje Opće uredbe o zaštiti osobnih podataka koja nisu dostupa zaposleniku unutar poslovnog subjekta.
Saznajte kako Vam možemo pomoći
Rado ćemo odgovoriti na sve Vaše upite