Savjeti & trikovi za postizanje sukladnosti s GDPR-om

  1. Počnite se pripremati

Ukoliko već niste, počnite se odmah pripremati

  1. Kontekst

Regulativa je temeljena na tri glavne ideje: zaštiti osobnih podataka, zaštiti ljudskih prava i sloboda u zaštiti njihovih podataka, ograničavanju kretanja osobnih podataka unutar Europske Unije.

  1. Podignite razinu svijesti unutar Vaše organizacije

GDPR je prisilio organizacije da se počnu pripremati što je ranije moguće. Iako je stupio na snagu, velik broj subjekata još uvijek nisu u potpunosti spremni te su stoga podložni mogućim kaznama od strane regulatornih agencija.

Odgovorne osobe i osobe zadužene za donošenje ključnih odluka trebaju biti svijesni GDPR regulacije kako bi mogli shvatiti mogući utjecaj i identificirati područja koja je potrebno promijenti. Počnite s gledanjem svoje procjene rizika, ukoliko je imate.

  1. Revizija osobnih podataka

Dokumentirajte koje osobne podatke držite, iz kojih izvora ste ih prikupili te s kime ih dijelite. GDPR je odredio kako su organizacije samostalno odgovorne za dokazivanje da su u skladu s načelima zaštite osobnih podataka, npr. da imaju donijete učinkovite polike i procedure.

Ako ste postali svjesni da ste dijelili osobne podatke s drugim organizacijama, Vaša je odgovornost da obavijestite tu drugu organizaciju kako bi ista mogla promijeniti vlastite politike.

Bilo koji podatak koji se može identificirati kao pojedinačni, ili koji može dovesti do identificirajuće informacije smatra se "osobnim podatkom" i podpada pod GDPR regulaciju.

  1. Riješite se podataka koji Vam više nisu potrebni

"Čišćenje" vlastitih baza podataka će Vam pomoći da držite fokus na važnim informacijama i matricama koje koristite za stvaranje vrijednosti između posla i krajnjih korisnika.

Ovaj proces će Vam također biti od pomoći da ostanete sukladni s zahtjevima GDPR-a za ograničenje vremena pohrane podataka kao i suglasnosti za obradu.

  1. Ažurirajte Vašu obavijest o privatnosti

Prilikom prikupljanja osobnih podataka, vjerojatno koristite obavijest o privatnosti koja sadrži informacije poput Vašeg identiteta ili Vaše namjere o tome kako planirate koristiti njihove podatke. Prema GPDR-u trebate pružiti dodatne obavijesti poput:

  • zakonske osnove za obradu podataka
  • vremensko razdoblje čuvanja podataka
  • njihovo pravo da podnesu pritužbu Agenciji za zaštitu osobnih podataka ukoliko smatraju da postoji problem s time kako upravljate njihovim podacima
  1. Revidirajte Vaše postupke za pružanje podrške pojedinicma u zaštiti njihovih prava

Ključna stvar ovdje je da imate procedure i postupke kako bi mogli uspješno odgovoriti na npr. zahtjev pojedinca da mu ustupite podatke koje vodite o njima u elektronskom obliku i na uobičajenom formatu.

Glavna prava za pojedince temeljem GDPR-a su:

  • dozvoliti subjektima pristup
  • omogućiti im ispravljanje pogrešaka
  • brisati podatke
  • onemogućiti izravni marketing
  • spriječiti automatsko donošenje odluka i kreiranje profila
  • dozvoliti prijenos podataka (sukladno gornjem odlomku)
  1. Revidirati svoje postupke kojima podupirete subjekte u ostvarivanju njihovih prava

Zahtjevi za pravo u na pristup mogu stvoriti logističke/ administrativne glavobolje za brojne poslovne subjekte.

Ne postoji mogućnost za naplatu udovoljavanju opravdanom zahtjevu, i imate samo mjesec dana da istome udovoljite. Postoje također različite osnove pod kojima je moguće udovoljiti pojedinom zahtjevu, a ako ga odbijete morate imati politike i procedure kako bi obrazložili zašto zahtjev udovoljava tim kriterijima.

  1. Identificirajte i dokumentirajte Vašu pravnu osnovu za obradu osobnih podataka.

Trebate razumjeti različite tipove obrade osobnih podataka koje izršavate, identificirati svoju pravnu osnovu za obradu istih te ih dokumentirati.

  1. Revidirati kako tražite, dobivate i zabilježujete pristanak

Ako se oslanjate na pojedinačne suglasnosti za obradu njihovih osobnih podataka, budite sigurni da udovoljava GDPR standardima. Ako ne, prilagodite svoje mehanizme davanja suglasnosti ili pronađite alternativu suglasnosti. GDPR je jasan da voditelji obrade moraju moći dokazati da je pristanak dan.

Možda ćete trebati revidirati sisteme da imate dokumentirane zapise i kako bi mogli osigurati da imate dokaz.

  1. ‘Nedvosmislen pristanak’ će utjecati na marketing

Jedna od glavnih novina GDPR-a je uvođenje "nedvosmislenog pristanka" prije nego što se osobni podaci mogu koritsiti u svrhu marketinga. Kao dio inicijalnog kontakta s pojedincima važno je da oni razmiju svaki aspekt onoga na što pristaju kada daju infomracije o sebi.

  1. Revidirajte podatke koje posjedujete o djeci i drugim maloljetnim osobama

GDPR sadrži posebnu zaštitu za dječje osobne podatke. Ukoliko Vaša organizacija prikuplja informacije o djeci ispod 13 godina, potrebna Vam je suglasnost njihovih roditelja/ skrbnika u svrhu zakonite obrade osobnih podataka.

  1. Utvrdite proceduru u svrhu detektiranja, izvještavanja i istraživanja povrede osobnih podataka

GDPR zahtjeva da sve organizacije obavijeste nadležnu agenciju o svim povredama gdje postoji vjerojatnost da pojedinici mogu pretrpjeti štetu putem krađe identiteta ili povrede povjerljivosti.

Morate uspostaviti sustav za otkrivanje, izvještavanje i istraživanje povreda.

Propust u obaviještavanju može rezultirati kaznom uz kaznu za samu povredu.

  1. Testirajte sustav odgovora za povrede

Postoji vremensko ograničenje od 72 sata za obaviještavanja nadležne agencije o povredi osobnih podataka koja bi mogla imati kao rezultat povredu prava subjekata. GDPR nalaže kako se ugroženi subjekti trebaju obavijestiti "bez nepotrebnog odgađanja". Regularni testovi upravljačkih procedura i odgovora na zahtjeve subjekata zahtjeva da zaposlenici budu u mogućnosti udovoljiti tim rokovima. Zaposlenici bi trebali znati kako da identificiraju i prijave povredu interno, i trebalo bi biti jasno definirano čija je odgovornost prenijeti to Agenciji za zaštitu osobnih podataka i strankama.

  1. Ne postoje granice

Ukoliko Vaše poslovanje obuhvaća prikupljanje podataka u EU o EU državljanima, GDPR se primjenjuje neovisno o tome gdje Vam je sjedište.

  1. Prijenos izvan EU

Postoje ozbiljna ograničenja za prijenos osobnih podataka trećim zemljama. Europska komisija utvrđuje koje "treće zemlje" ili koji sektori i koje organizacije u ovim zemljama su ovlaštene za prijenos osobnih podataka.

  1. Revidirajte Vaše procese oko "Data Privacy Impact Assessments (DPIAs)"

U visoko rizičnoj situaciji poput razvoja nove tehnologije, ili gdje različite operacije imaju mogućnost značajnije utjecati na razvoj nove tehnologije, možda ćete morati provesti procjenu učinka rizika ("privacy impact assessment (DPIA)").

Razmislite o tome gdje je nužno provesti procjenu rizika u Vašoj organizaciji. Tko će je napraviti? Tko sve treba biti uključen? Da li bi se postupak trebao provesti centralno ili lokalno?

  1. Imenujte Službenika za zaštitu osobnih podataka ("Data Protection Officer (DPO)")

Ukoliko Vaša organizacija zapošljava 250 ili više ljudi, ukoliko je javno tijelo ili je uključeno u redoviti i sistematski nadzor osobnih podataka velikih razmjera, trebate imenovati službenika za zaštitu osobnih podataka. Službenik bi trebao preuzeti odgovornost za ostvarivanje suglasnosti s propisima za zaštitu osobnih podataka i trebao bi imati znanje, potporu i autoritet da to radi učinkovito.

  1. Dizajn sukladnosti s GDPR-om

Ukoliko ste dizajnirali sve GDPR procese da odgovaraju regulativi, trebate isto učiniti samo jednom da bi bilo ispravno. GDPR je dugotrajni proces za pravne subjekte da reguliraju prikupljanje osobnih podataka od stranaka. Internet i "Big Data" nije samo pokret, to je evolucijski proces kako se ljudi povezuju i stupaju u kontakt jedni s drugima i njihovim fizičkim okruženjem. Dobivanje GDPR sukladnosti putem dizjana osigurava kako bi nakon prvog čitanja ovih savjeta od početka osigurali da je Vaše poslovanje spremno za GDPR.

  1. Koristite software za postizanje sukladnosti s GDPR

Mnogi softwarei, posbno za pružatelje usluga "clouda", su jako zaposleni s nadogradnjom svojih aplikacija i softwarea kako bi isti bili sukladni s GDPR-om. Budite sigurni da se u komunikaciji s odabranim pružateljem usluga uvjerite kako je njihov software sukladan s GDPR-om i da vidite kako Vam njihovi savjeti pomažu da učinkovito upravljate s osobnim podacima.

Važno pitanje za pružatelje usluga clouda je gdje pohranjuju Vaše podatke (gdje imaju podatkovni centar)- unutar ili izvan EU.

Praktične implementacije za sukladnost s GDPR-om

Javne stranice

  • Politika privatnosti- ključni dokument s kojim dokazujete sukladnost s GDPR-om poput:
    • Koje osobne i ne-osobne informacije prikupljate
    • Zašto ih prikupljate
    • Koliko dugo su pohranjeni (ne bi trebaju biti pohranjeni duže nego što je nužno za ostvarenje svrhe za koje su prikupljeni)
    • Međunarodni transferi prema drugim državama
    • Korisnička prava subjekata vezana uz njihova prava
    • Kako su podaci zaštićeni
    • Pravna adresa, kontakt kao i kontakt informacije službenika za zaštitu osobnih podataka
  • Uvjeti

Registracijske stranice

  • Minimizacija osobnih podataka - polja za prikupljanje osobnih podataka trebala bi biti minimalna i prikupljati samo nužne podatke
  • Mogućnost jasnog davanja suglasnosti
  • Uvjeti i potvrdni okvir za politku privatnosti
  • Potvrdni okvir za marketing ukoliko planirate marketinšku aktivnost

Stranica korisničkog profila

  • Korisnik bi trebao imati mogućnost promijeniti/ ispraviti njegove/ njezine osobne podatke (izravno ili neizravno)
  • Korisnik mora imati pravo izbrisati svoj račun (izravno ili neizravno)
  • Pravo na ograničavanje obrade. Kada korisnik tako zatraži njegovi osobni podaci više ne bi trebali biti dostupni za javni pristup, niti za druge korisnike niti za administratore sistema.
  • Korisnik ima pravo da se njegovi podaci izvezu ili prenesu drugom voditelju obrade
  • Informirani pristanak.Voditelj obrade mora moći dokazati da je dobio suglasnost
  • Mogućnost davanja/ povlačenja suglasnosti za specifičnu akciju (npr. mail za marketing)

Dodatne funkcionalnosti

  • Kada podaci više nisu potrebni moraju se izbrisati ili anonimizirati
  • Voditelj obrade mora ostale izvršitelje obrade obavijestiti o svim gore navedenim akcijama (zahtjev za promjenu, brisanje, ograničavanje obrade itd.)

Organizacijske mjere za zaštitu podataka

  • Važne politike i dokumenti
    • Politike zaštite osobnih podataka
    • Bilježenje procesnih aktivnosti
    • Politika odgovora na sigurnosne incidente
    • Politika zadržavanja osobnih podataka

Dodatne politike (mogu se kombinirati u jedan ili u više dokumenata)

  • Politika oporavka u slučaju katastrofe i poslovni kontinuitet
  • Politika raspolaganja osobnim podacima
  • Politika sigurnosnih kopija
  • Proces zapošljavanja
  • Kontrolna politka pristupa sistemu
  • Ugovor o pružanju usluga
  • Politika razvoja i održavanja softwarea
  • Eskalacijske procedure
  • Kriptografska kontrolna politika
  • Standardi kodiranja
  • Procedure izvođenja

Tehničke mjere za zaštitu osobnih podataka

GDPR ne određuje specifično koje mjere trebate implementirati. Međutim, neovisno o navedenom zahtjeva od voditelja obrade da implementira odgovorajuće tehničke i organizacijske mjere.

  • Kontrolu pristupa (fizičku i tehničku)
  • Enkripciju:
    • Podataka koji miruju (cijeli diskovi, enkripcija podatkovne baze)
    • Podaci u tranzitu (HTTPS, IPSec, TLS, PPTP, SSH)
    • Sigurnosne kopije
  • Firewalls
  • VPN pristup
  • Otkrivanje upada
  • Sprječevanje upada
  • Nadzor zdravlja
  • Zahtjev za lozinkom
  • Dvo faktorska autorizacija
  • Antivirus
  • Druge mjere, ovisno o sistemu u upotrebi

Specifične točke, koje bi mogle zahtjevati sudjelovanje odvjetnika

  • GDPR zabranjuje obradu određene vrste osobnih podataka. Međutim, ukoliko ispunjavate jedan od uvjeta iz članka 9 (2), možete ih nastaviti obrađivati.
  • Ovlašteni predstavnik mora biti određen za kontrolu obrade osobnih podataka koji nisu prijavljeni na području EU.
  • Voditelj obrade je odgovoran za svoje izvršitelje. Moraju biti sukladni s GDPR-om, bez obzira gdje su.
  • Izvršitelji obrade nesmiju korisiti usluge drugih izvršitelja obrade bez pisane suglasnosti izvršitelja obrade. Naravano, ovo se samo primjenjuje na opseg ovlasti voditelja obrade.
  • Ozbiljna ograničenja prijenosa osobnih podataka. Ovo se također primjenjuje za pohranu osobnih podataka u slučaju pružatelja usluga oblaka.
  • Službenik za zaštitu osobnih podataka ("Data Protection Officer (DPO)")