Kako pravilno provesti GDPR prilagodbu?

Pravilna GDPR prilagodba podrazumijeva istinsku zaštitu osobnih podataka i obuhvaća sljedeće korake navedene u AZOP-ovim uputama za DPO:

1. Istraživanje okoline voditelja obrade i mapiranje aktivnosti postupaka obrade u širem smislu
2. Stvaranje evidencija postupaka obrade osobnih podataka radi dokazivanja sukladnosti s Uredbom.
3. Preispitivanje postupaka obrade osobnih podatka (provođenje dubinskog preispitivanja svih zabilježenih postupaka obrade osobnih podataka).
4. Procjenjivanje rizika postupaka obrade osobnih podataka (procjena sigurnosnih rizika i rizika za prava i slobode pojedinaca)
5. Rješavanje postupaka obrade koji predstavljaju mogućnost „visokog rizika“ (provođenje procjene učinka za zaštitu podataka - DPIA)
6. Kontinuirano ponavljanje zadaća 2-5

U postupku GDPR prilagodbe također je u obzir potrebno uzeti:

• Ostalu dokumentaciju potrebnu za informiranje ispitanika o obradi osobnih podataka i dokazivanje sukladnosti (Politika privatnosti, Politika korištenja kolačića za internetsku stranicu, Politika informacijske sigurnosti, itd.)
• Primjenjive zakonske i podzakonske akte (ovisno o djelatnostima organizacije)
• Videonadzor i pravila vezana uz videonadzor
• Internetske stranice i kolačići
• Rješavanje povreda osobnih podataka i forenzika
• Preporuke za praktično poboljšanje zaštite privatnosti i zaštite podataka, npr. ePrivacy Directive, PCI-DSS, ISO/IEC 27001, itd.
• Rješavanje zahtjeva ispitanika (pravo na pristup, pravo na brisanje, itd.)
• Informiranje i podizanje svijesti (kontinuiranea edukacija zaposlenika o zakonitoj obradi i sigurnom korištenju tehnologija)
• itd.

Za svaki tip obrade osobnih podataka koji vršimo potrebno je preispitati postupke obrade (vidi sliku). Primjeri takvih postupaka obrade su npr. izrada platne liste, vođenje evidencije radnog vremena, kadrovska evidencija zaposlenika, izrada ponuda, izrada računa, zapošljavanje kandidata za posao, izrada backupa, itd.

Na žalost, većina organizacija nije pravilno izvršila prilagodbu. tj. izrađena je samo dokumentacija “reda radi”, bez ikakvih konkretnih promjena u obradama i mjerama zaštite podataka. U slučaju povrede podataka ili bilo kakvom drugom kršenju GDPR-a regulator uspoređuje dokumentaciju s činjeničnim stanjem.

Potrebno je imati na umu da je svrha GDPR-a osigurati visoku i ujednačenu razinu zaštite podataka u Europskoj uniji, a ne puko stvaranje dodatne papirologije. Stoga je prava mjera sljeđenja GDPR-a ono što konkretno činimo, a papirologija predstavlja dokumentiranje činjeničnog stanja, odnosno toga što smo učinili i što kontinuirano činimo po pitanju zaštite podataka.