Savjetovanje

Usklađenost zaštite ličnih podataka (GDPR)

Ključni izazovi osiguravanja usklađenosti zaštite ličnih podataka kriju se u oblikovanju odgovarajućih procesa postupanja s ličnim podacima te u uspostavi odgovornosti za njih. Na zaštitu podataka pomažemo vam gledati cjelovito, s provjerljivim iskustvima s područja prava, informacijske sigurnosti, usklađenosti i kvalitete poslovanja. Zajedno s vama pripremamo i provodimo potrebne tehničke i organizacijske mjere te predlažemo dobre prakse za osiguravanje usklađenosti zaštite ličnih podataka (GDPR).

Podupiremo vas na putu prema bespapirnom poslovanju – primjenjujemo vrlo uspješne metodološke pristupe potvrđene u praksi, a našu ekipu savjetnika čine iskusni stručnjaci različitih profila. Obratite nam se.

Sanja Žaubi, službenica za zaštitu ličnih podataka u Mikrocopu

Pregled nad ličnim podacima

Savjetovanje u vezi s osiguravanjem usklađenosti zaštite ličnih podataka sa zakonodavstvom, ponajprije s europskom Općom uredbom o zaštiti ličnih podataka EU 2016/679 (General Data Protection Regulation ili kraće GDPR), u pravilu se provodi u više koraka. Najprije trebate jasan pregled nad ličnim podacima kojima upravljate ili koje obrađujete, uključujući uređene evidencije aktivnosti obrade ličnih podataka. Trebate znati koje podatke prosljeđujete ugovornim obrađivačima, kao što je na primjer Mikrocop, koje podatke iznosite u treće države, koje posebne kategorije ličnih podataka čuvate, kako ih štitite i drugo.

Analiza raskoraka

Zato započinjemo s izradom analize raskoraka (tzv. gap analiza) u okviru koje provjeravamo obrade podataka koje su zapisane u vašim elaboratima ili protokolima, identificiramo obrade koje sadržavaju lične podatke i posebne vrste podataka te procjenjujemo raskorak između trenutačnog stanja i stanja koje zahtijevaju zakonski propisi. Rezultat je analize raskoraka popis svih obrada, predviđen opseg aktivnosti i procjena potrebnog vremena za:

  • uspostavu evidencija aktivnosti obrade
  • pripremu ili prilagodbu klasifikacione liste
  • pripremu procjene učinka.

Uspostava evidencija aktivnosti obrade ličnih podataka

Nastavljamo s uspostavom evidencija aktivnosti obrade ličnih podataka. Na osnovi popisa obrada i analize raskoraka pregledavamo:

  • dopune u vezi s navedenim obradama zahtjeva GDPR-a za razliku od zakona o zaštiti ličnih podataka,
  • upravljanje bazama podataka potrebnim za provedbu obrada,
  • značajkama uspostavljenih integracija.

Klasifikaciona lista, interna pravila

Prema potrebi slijedi priprema ili dopuna klasifikacione liste. Svrha obrade ličnih podataka mora biti opravdana, za što je nužna odgovarajuća podloga u oblicima rokova pohrane unutar vaše klasifikacione liste. Zato pregledavamo sve rokove pohrane, definiranje početka pohrane i trajanja roka pohrane za sve obrade. Ako nemate klasifikacionu listu ili ako je ona nepotpuna, savjetujemo vas u njenoj pripremi odnosno dopuni za postizanje usklađenosti.

Prema potrebi također pripremamo ili nadopunjujemo interna pravila ako utvrdimo da izmjena klasifikacione liste zahtijeva i izmjenu vaših internih pravila. To je aktualno ako imate interna pravila koja su potvrđena kod nadležnog arhiva.

Procjene učinka

Procjene učinka nužne su za obrade posebnih ličnih podataka i preporučuju se za sve ostale obrade kod kojih je moguće da bi vrsta obrade mogla uzrokovati velik rizik za prava i slobode pojedinaca. U Mikrocopu pružamo savjete prilikom pripreme procjena učinka koje obuhvaćaju najmanje:

  • sistematičan opis predviđenih aktivnosti obrade i svrha obrade, a kad je primjereno i legitimnih interesa kojima teži upravitelj,
  • procjenu potrebe i proporcionalnosti aktivnosti obrade u odnosu na njihovu svrhu,
  • procjenu rizika za prava i slobode pojedinaca na koje se odnose lični podaci,
  • mjere za upravljanje rizicima (uključujući mjere zaštite), mjere sigurnosti te mehanizme za osiguravanje zaštite ličnih podataka i za dokazivanje usklađenosti.

Saradnja s ugovornim obrađivačima

Zajedno s vama provjeravamo sarađujete li s pouzdanim ugovornim obrađivačima i procjenjujemo morate li obnoviti postojeće ugovore s ugovornim obrađivačima. To je inače u pravilu potrebno, a definirati morate najmanje:

  • sadržaj i trajanje obrada,
  • prirodu i svrhu obrada,
  • vrste ličnih podataka koje obrađujete,
  • kategorije pojedinaca na koje se odnose lični podaci,
  • obveze i prava obrađivača.

Usklađenost informacionog sistema

Usporedo se hvatamo u koštac i s izazovima osiguravanja usklađenosti vašeg informacionog sistema. Iako je pitanje usklađenosti namjenskih programa s GDPR-om vjerojatno najlakše i najbrže rješivo, svejedno vam preporučujemo da ga ne podcijenite. Zajedno tražimo odgovore najmanje na sljedeća pitanja:

  • Jesu li i kako su lični podaci osigurani tokom prijenosa kako njihova krađa ne bi bila moguća?
  • Jesu li lični podaci odgovarajuće zaštićeni u podatkovnim zbirkama i u spremištu datoteka?
  • Razmjenjuju li vaši zaposlenici lične podatke putem elektronske pošte ili spremišta u oblaku?
  • Jesu li uloge i prava korisnika informacijskih sistema postavljene tako da samo ovlaštene osobe pristupaju ličnim podacima?
  • Kako se provodi pravo pojedinca na zaborav ako su za njega ispunjeni uvjeti?
  • Koliko je uistinu cjelovit revizijski trag ponašanja korisnika, administratora i ostalih sistema?

Ta i ostala srodna pitanja posebno su važna kad se odlučujete za uporabu novih programskih rješenja. Preporučujemo da tada razmislite o izboru odgovarajuće certificiranih alata i usluga, a inače na ta pitanja morate paziti prilikom promjena u svojem informacionom sistemu, ali i kod novih zapošljavanja i mogućih odlazaka saradnika.

Zaštita ličnih podataka nije stanje koje se postiže, nego neprestan, živ proces

Osigurajte usklađenost zaštite ličnih podataka


Ako zaista želimo zaštititi lične podatke, za njih se moramo brinuti cjelovito

Osiguravanje usklađenosti s uredbom GDPR trenutačno je jedna od gorućih tema kod svih koji su na neki način u kontaktu s ličnim podacima. Pritom motiv za reguliranje zaštite podataka u pravilu nije želja da ličnim podacima pristupaju samo ovlaštene osobe s potrebnom opravdanošću, nego je to prije strah od visokih kazni. Ali zaštita ličnih podataka nije stanje koje se jednom postigne i zatim zaboravi, nego itekako stalan i živ proces ...

Preporučujemo dobru praksu

Pozor, korisnici zajedničkih mapa i ljubitelji e-pošte – dolazi GDPR

Ključni izazovi osiguravanja usklađenosti zaštite ličnih podataka kriju se u oblikovanju odgovarajućih procesa postupanja s ličnim podacima te u uspostavi odgovornosti za njih. Preduzeća po tom pitanju često imaju problema jer pod pritiskom tekućeg poslovanja ne uspostavljaju cjelovit pregled nad svim ličnim podacima koje obrađuju ...

Preporučujemo dobru praksu

 

Trebate li pomoć u postizanju zakonske usklađenosti ili osiguravanju usklađenosti zaštite ličnih podataka?

Obratite nam se

Postanite bespapirno preduzeće

Do bespapirnog poslovanja u Mikrocopu vodimo vas u četiri koraka: