Savjetovanje

Usklađenost zaštite osobnih podataka

Ključni izazovi osiguravanja usklađenosti zaštite osobnih podataka kriju se u oblikovanju odgovarajućih procesa postupanja s osobnim podacima te u uspostavi odgovornosti za njih. Na zaštitu podataka pomažemo vam gledati cjelovito, s provjerljivim iskustvima s područja prava, informacijske sigurnosti, usklađenosti i kvalitete poslovanja. Zajedno s vama pripremamo i provodimo potrebne tehničke i organizacijske mjere te predlažemo dobre prakse za osiguravanje usklađenosti zaštite osobnih podataka (GDPR).

Podupiremo vas na putu prema bespapirnom poslovanju – primjenjujemo vrlo uspješne metodološke pristupe potvrđene u praksi, a našu ekipu savjetnika čine iskusni stručnjaci različitih profila. Obratite nam se.

Sanja Žaubi, službenica za zaštitu osobnih podataka u Mikrocopu

Mikrocop je jedno od prvih poduzeća s certificiranim DPO-om

Sanja Žaubi, službenica za zaštitu osobnih podataka (Data Protection Officer ili DPO) u poduzeću Mikrocop, kao jedna od prvih u Sloveniji stekla je dodatnu kvalifikaciju stručnjakinje za zaštitu osobnih podataka. Riječ je o važnom pokazatelju stručnog znanja o zakonodavstvu i praksi na području zaštite osobnih podataka.

 


Savjetovanje u vezi s osiguravanjem usklađenosti zaštite osobnih podataka sa zakonodavstvom, ponajprije s europskom Općom uredbom o zaštiti osobnih podataka EU 2016/679 (General Data Protection Regulation ili kraće GDPR), u pravilu se provodi u više koraka. Najprije trebate jasan pregled nad osobnim podacima kojima upravljate ili koje obrađujete, uključujući uređene evidencije aktivnosti obrade osobnih podataka. Trebate znati koje podatke prosljeđujete ugovornim obrađivačima, kao što je na primjer Mikrocop, koje podatke iznosite u treće države, koje posebne kategorije osobnih podataka čuvate, kako ih štitite i drugo.

Zato započinjemo s izradom analize raskoraka (tzv. gap analiza) u okviru koje provjeravamo obrade podataka koje su zapisane u vašim elaboratima ili protokolima, identificiramo obrade koje sadržavaju osobne podatke i posebne vrste podataka te procjenjujemo raskorak između trenutačnog stanja i stanja koje zahtijevaju zakonski propisi. Rezultat je analize raskoraka popis svih obrada, predviđen opseg aktivnosti i procjena potrebnog vremena za:

  • uspostavu evidencija aktivnosti obrade
  • pripremu ili prilagodbu klasifikacijskih planova
  • pripremu procjene učinka.

Nastavljamo s uspostavom evidencija aktivnosti obrade osobnih podataka – na osnovi popisa obrada i analize raskoraka pregledavamo:

  • dopune u vezi s navedenim obradama zahtjeva GDPR-a za razliku od zakona o zaštiti osobnih podataka,
  • upravljanje bazama podataka potrebnim za provedbu obrada,
  • značajkama uspostavljenih integracija.

Prema potrebi slijedi priprema ili dopuna klasifikacijskog plana. Svrha obrade osobnih podataka mora biti opravdana, za što je nužna odgovarajuća podloga u oblicima rokova pohrane unutar vašeg klasifikacijskog plana. Zato pregledavamo sve rokove pohrane, definiranje početka pohrane i trajanja roka pohrane za sve obrade. Ako nemate klasifikacijski plan ili ako je on nepotpun, savjetujemo vas u njegovoj pripremi odnosno dopuni za postizanje usklađenosti.

Prema potrebi također pripremamo ili nadopunjujemo interna pravila ako utvrdimo da izmjena klasifikacijskog plana zahtijeva i izmjenu vaših internih pravila. Potonje je aktualno ako imate interna pravila koja su potvrđena kod nadležnih institucija.

Procjene učinka nužne su za obrade posebnih osobnih podataka i preporučuju se za sve ostale obrade kod kojih je moguće da bi vrsta obrade mogla uzrokovati velik rizik za prava i slobode pojedinaca. U Mikrocopu pružamo savjete prilikom pripreme procjena učinka koje obuhvaćaju najmanje:

  • sistematičan opis predviđenih aktivnosti obrade i svrha obrade, a kad je primjereno i legitimnih interesa kojima teži upravitelj,
  • procjenu potrebe i proporcionalnosti aktivnosti obrade u odnosu na njihovu svrhu,
  • procjenu rizika za prava i slobode pojedinaca na koje se odnose osobni podaci,
  • mjere za upravljanje rizicima (uključujući mjere zaštite), mjere sigurnosti te mehanizme za osiguravanje zaštite osobnih podataka i za dokazivanje usklađenosti.

Zajedno s vama provjeravamo surađujete li s pouzdanim ugovornim obrađivačima i procjenjujemo morate li obnoviti postojeće ugovore s ugovornim obrađivačima. To je inače u pravilu potrebno, a definirati morate najmanje:

  • sadržaj i trajanje obrada,
  • prirodu i svrhu obrada,
  • vrste osobnih podataka koje obrađujete,
  • kategorije pojedinaca na koje se odnose osobni podaci,
  • obveze i prava obrađivača.

Usporedo se hvatamo u koštac i s izazovima osiguravanja usklađenosti vašeg informacijskog sustava. Iako je pitanje usklađenosti namjenskih programa s GDPR-om vjerojatno najlakše i najbrže rješivo, svejedno vam preporučujemo da ga ne podcijenite. Zajedno tražimo odgovore najmanje na sljedeća pitanja:

  • Jesu li i kako su osobni podaci osigurani tijekom prijenosa kako njihova krađa ne bi bila moguća?
  • Jesu li osobni podaci odgovarajuće zaštićeni u podatkovnim zbirkama i u spremištu datoteka?
  • Razmjenjuju li vaši zaposlenici osobne podatke putem elektroničke pošte ili spremišta u oblaku?
  • Jesu li uloge i prava korisnika informacijskih sustava postavljene tako da samo ovlaštene osobe pristupaju osobnim podacima?
  • Kako se provodi pravo pojedinca na zaborav ako su za njega ispunjeni uvjeti?
  • Koliko je uistinu cjelovit revizijski trag ponašanja korisnika, administratora i ostalih sustava?

Ta i ostala srodna pitanja posebno su važna kad se odlučujete za uporabu novih programskih rješenja. Preporučujemo da tada razmislite o izboru odgovarajuće certificiranih alata i usluga, a inače na ta pitanja morate paziti prilikom promjena u svojem informacijskom sustavu, ali i kod novih zapošljavanja i mogućih odlazaka suradnika.

 

Zaštita osobnih podataka nije stanje koje se postiže, nego neprestan, živ proces

Osigurajte usklađenost zaštite osobnih podataka


Ako zaista želimo zaštititi osobne podatke, za njih se moramo brinuti cjelovito

Osiguravanje usklađenosti s uredbom GDPR trenutačno je jedna od gorućih tema kod svih koji su na neki način u kontaktu s osobnim podacima. Pritom motiv za reguliranje zaštite podataka u pravilu nije želja da osobnim podacima pristupaju samo ovlaštene osobe s potrebnom opravdanošću, nego je to prije strah od visokih kazni. Ali zaštita osobnih podataka nije stanje koje se jednom postigne i zatim zaboravi, nego itekako stalan i živ proces ...

Preporučujemo dobru praksu

Pozor, korisnici zajedničkih mapa i ljubitelji e-pošte – dolazi GDPR

Ključni izazovi osiguravanja usklađenosti zaštite osobnih podataka kriju se u oblikovanju odgovarajućih procesa postupanja s osobnim podacima te u uspostavi odgovornosti za njih. Poduzeća po tom pitanju često imaju problema jer pod pritiskom tekućeg poslovanja ne uspostavljaju cjelovit pregled nad svim osobnim podacima koje obrađuju ...

Preporučujemo dobru praksu

 

Trebate li pomoć u postizanju zakonske usklađenosti ili osiguravanju usklađenosti zaštite osobnih podataka?

Obratite nam se

Postanite bespapirno poduzeće

Do bespapirnog poslovanja u Mikrocopu vodimo vas u četiri koraka: