Usklađivanje dokumentacije s GDPR-om

Prvi koraci koje organizacije moraju napraviti u procesu usklađivanja s Općom uredbom o zaštiti podataka ili GDPR-om uključuju komuniciranje pravila privatnosti prema javnosti i politike zaštite podataka prema zaposlenicima.

DATUM: 30.05.2018,

Nakon što smo u prethodnom tekstu pisali o mapiranju toka podataka koje bi vam trebalo pomoći da bolje razumijete koje sve podatke držite i kako s njima postupate, sljedeći korak je uvođenje konkretnih mjera usklađivanja s GDPR-om, a koje uključuju komuniciranje pravila privatnosti prema javnosti jednako kao i politike zaštite podataka prema zaposlenicima.

Zašto je važno komunicirati pravila privatnosti s ispitanicima

Prema općoj uredbi o zaštiti podataka, ispitanicima, odnosno ljudima čije osobne podatke obrađujete, bili oni zaposlenici ili posjetitelji vaše web stranice, dužni ste ponuditi informacije o tome u koju svrhu koje podatke obrađujete, s kime ih dijelite, koliko ih dugo zadržavate, koja su njihova prava na privatnost i druge informacije. Najbolji način za komuniciranje ovih informacija s javnošću je kroz jasno istaknuta ‘Pravila privatnosti’, ‘Izjavu o privatnosti’ ili ‘Pravilnik o zaštiti osobnih podataka’ odnosno dokument koji popisuje svrhe i proces obrade osobnih podataka.

Jednako kao što je važno istaknuti pravila privatnosti za opću publiku, važno je o zaštiti podataka i njenim praktičnim aspektima informirati vaše zaposlenike i suradnike, kao i treće strane koje sudjeluju u obradi osobnih informacija s kojima se susrećete u dnevnom poslovanju. Ovo se može komunicirati kroz posebne Politike zaštite privatnosti i sličnu dokumentaciju koja se može nadograđivati, a koja uostalom propisuje tko ima pravo pristupa kojim podacima i u kojim slučajevima, koje je mjere zaštite osobnih podataka potrebno poduzeti (primjerice, koje lozinke koristiti i sl.).

Postojanje interne dokumentacije može se pokazati posebno korisnim u slučaju kada organizacija mora nadzornom tijelu po principu pouzdanosti dokazati usklađenost s GDPR-om prema članku 5, stavku 2 Opće uredbe, ali i recitalu 78 u kojemu se navodi: „Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.“ Stvaranje nacrta spomenute dokumentacije važan je korak u procesu prilagodbe GDPR-u jer omogućuje predviđanje svih procesa koji postoje i koje je potrebno uvesti kako bi se osigurala adekvatna razina zaštite osobnih podataka i omogućilo osiguravanje prava ispitanika, adekvatno postupanje u slučaju povrede osobnih podataka i drugi nužni procesi.

Dokumenti u koje se može dodatno ugraditi zaštita osobnih podataka

Osim u Pravila privatnosti na mrežnim stranicama i internim pravilnicima i politikama sigurnosti i zaštite osobnih podataka, zaštita privatnosti može se ugraditi i u druge tipove postojećih dokumenata kao što su:

  • Ugovori o radu i ugovori sa suradnicima kao što su autorski ili ugovori o djelu, volonterski ugovori i drugo
  • Posebni ugovori o povjerljivosti koji se mogu potpisati sa zaposlenicima, suradnicima, podugovaračima i drugima
  • Interni pravilnici poslovanja (primjerice Financijsko-administrativni pravilnik)
  • Ugovore s partnerima, institucijama, donatorima i ostalim trećim stranama s kojima se mogu potpisivati aneksi ugovora

Koji su sljedeći koraci

Sljedeći koraci u prilagodbi dokumentacije GDPR-u uključuju revidiranje ugovora s trećim stranama, osobito onima koje dodatno obrađuju podatke za voditelja obrade. Više riječi o razlici između voditelja i izvršitelja obrade, kao i Ugovorima s izvršiteljima obrade bit će u tekstovima koji slijede, u kojima ćete također moći saznati više i o tome što sve treba pisati u Pravilnicima o zaštiti osobnih podataka.