Praktični savjeti za prilagodbu GDPR-u

GDPR ili Opća uredba o zaštiti podataka donosi mnoge promjene u poslovanje organizacija, a ovdje opisujemo prve korake koje možete poduzeti prema bržem procesu prilagodbe.

DATUM: 30.05.2018.

GDPR ili Opća uredba o zaštiti podataka donosi mnoge promjene u poslovanje organizacija. Nakon što smo u pisali o nekim osnovnim činjenicama vezanim uz GDPR, vrijeme je da opišemo prve korake u procesu usklađivanja.

Prije početka, treba uzeti u obzir da je proces prilagodbe GDPR-u dug i može biti zahtjevan ako vaša organizacija ima više različitih projekata i različitih timova koji imaju pristup osobnim podacima različitih kategorija ispitanika – od podataka zaposlenih, do volontera ili korisnika usluge. Zato, je sljedeći logičan korak nakon okupljanja tima zaduženog za usklađivanje s GDPR-om, ustanoviti koje sve podatke vaša organizacija drži, o kojim kategorijama ispitanika i tko sve ima pristup podacima.

Ovo je neophodno ne biste li mogli krenuti u prilagodbu svoje infrastrukture tako da samo osobe zadužene za određen dio procesa toka informacija imaju pristup osobnim podacima koji su im potrebni za rad. Ovime se značajno smanjuje rizik od neovlaštenog dijeljenja podataka i ostalih rizika, ali vam također olakšava druge korake u procesu prilagodbe, poput prilagodbe postojećih pravilnika i politika organizacije, kao i vršenje Procjene učinka na zaštitu podataka u kojemu je razumijevanje toka podataka ključan korak.

Koje je informacije nužno imati za razumijevanje toka podataka

Ključno je da dokumentirate koje osobne podatke vaša organizacija posjeduje, koji su izvori tih informacija (na koji način dolazite do njih), tko ima pristup tim podacima i s kime se sve dijele. Ako vaša organizacija ima više timova/odjela, potrebno je saznati ove informacije za svaki od timova koji imaju doticaj s osobnim podacima. Primjerice, u slučaju da trebate ispraviti nečije kontakt podatke, važno je znati gdje ih sve držite i s kime se sve dijele, odnosno tko ih sve koristi kroz odjele.

Ovo je lista informacija koje biste trebali prikupiti o podacima koje držite odnosno bazama u kojima se nalaze (redoslijed je proizvoljan):

  • Ime baze podataka/izvora podataka
  • Na koji se način podaci prikupljaju (putem mreže, usmeno, pismeno itd.)
  • Koja je legalna osnova obrade
  • Postoji li dopuštenje odnosno privola za obradu podataka (ako je primjenjivo tj. ako je privola osnova obrade)
  • Gdje se baza/resurs nalazi (lokacija na disku ili fizičkom mjestu ovisno o formatu)
  • U kojem su formatu podaci dostupni
  • Tko je osoba/funkcija nadležna za upravljanje bazom podataka/resursom
  • Koje se kategorije osobnih podataka prikupljaju (ime, prezime, kontakt podaci, OIB itd.)
  • Od koga se podaci prikupljaju (kategorija ispitanika)
  • Koja je svrha obrade podataka – u kojim se situacijama koriste
  • Koje su metode prijenosa osobnih podataka (telefonski, elektroničkom poštom itd.)
  • Tko sve u organizaciji ima pravo pristupa podacima
  • S kojim se sve trećim stranama osobni podaci dijele

Dodatno, možete se pitati i:

  • Koja je učestalost ažuriranja podataka
  • Koliko se dugo podaci zadržavaju (i koji je kriterij duljine zadržavanja)
  • Koji su rizici uključeni u proces obrade podataka s obzirom na sve prethodne informacije.

Grafički prikaz mapiranja toka podataka:

Za pojedine situacije, radi jednostavnijeg razumijevanja toka podataka, može se napraviti i grafički prikaz toka podataka. Dakako, prikaz može uključivati i više detalja, koji uključuju i faze zadržavanja podataka, legalne osnove, rizike itd.

Razlika mapiranja toka podataka i evidencije aktivnosti obrade

Evidencija aktivnosti obrade je zakonska obveza za organizacije koje imaju više od 250 zaposlenika prema članku 30. Opće uredbe o zaštiti podataka, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Evidencija aktivnosti obrade nije isto što i mapiranje toka podataka u kontekstu razumijevanja s kojim podacima organizacija raspolaže i koje je mjere potrebno uvesti da bi se osigurala usklađenost s GDPR-om.