Napomena: Sljedeći članak će vam pomoći: Kako se pridržavati i ostati usklađen
U svibnju 2018. Opća uredba o zaštiti podataka (GDPR) postala je primjenjiva. GDPR zamjenjuje Direktivu EU-a o zaštiti podataka iz 1995. i postavlja stroga nova pravila o zaštiti podataka. Poduzeća koja obrađuju ili pohranjuju osobne podatke građana EU moraju se pridržavati GDPR-a, bez obzira na to gdje se nalaze. Neuspjeh u tome mogao bi dovesti do značajnih novčanih kazni. U ovom vodiču pružit ćemo vam sve informacije koje su vam potrebne da biste razumjeli usklađenost s GDPR-om i kako ostati usklađen.
Pronađite savjetnika za GDPR
Prije nego što počnete s usklađivanjem, morate procijeniti trenutno stanje vaše organizacije u odnosu na GDPR. Razumijete li dobro propis i što on zahtijeva? Postoje li područja u kojima niste usklađeni? Za početak preporučujemo da pronađete GDPR konzultant koji vam mogu pomoći u procjeni vašeg trenutnog stanja usklađenosti i izraditi plan kako postati usklađeni. Postoji niz konzultanata i tvrtki za GDPR koji nude usluge za pomoć organizacijama u usklađivanju. Istražite nešto i pronađite onaj za koji ste uvjereni da vam može pomoći u ispunjavanju vaših specifičnih potreba.
Razumijevanje Zahtjeva
Sljedeći korak je stjecanje dubljeg razumijevanja GDPR-a i onoga što on zahtijeva. Uredba je dugačka i složena, ali postoji niz korisnih izvora koji je mogu olakšati razumijevanje. Web stranica Europske komisije uključuje brojne korisne članke i često postavljana pitanja o GDPR-u. Radna skupina za članak 29 također je objavila smjernice o nizu tema, uključujući prava ispitanika, prijenose podataka i sigurnost. Osim toga, ICO je objavio brojne resurse kako bi pomogao organizacijama da se pripreme za usklađivanje s GDPR-om.
Razvijte plan usklađenosti
Nakon što ste dobro razumjeli GDPR i što on zahtijeva, možete početi razvijanje plana usklađenosti. Ovo bi trebao biti živi dokument koji opisuje sve korake koje trebate poduzeti kako biste postali usklađeni i ostali usklađeni. Plan bi trebao biti prilagođen vašoj specifičnoj organizaciji i uzeti u obzir vaše trenutno stanje usklađenosti.
Neki od ključnih elemenata plana usklađenosti uključuju:
– Provođenje revizije podataka: Morate znati koje osobne podatke imate, odakle su došli i kako se koriste.
– Razvoj politika i procedura: morate imati politike i procedure kako biste osigurali usklađenost s GDPR-om.
– Edukacija zaposlenika: Svi zaposlenici koji rukuju osobnim podacima moraju biti educirani o usklađenosti s GDPR-om.
– Uspostavljanje tehničkih kontrola: morate uspostaviti odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka.
– Stvaranje plana odgovora na incidente: morate imati plan kako ćete odgovoriti na podatkovne incidente.
Imenovati službenika za zaštitu podataka (DPO)
Prema GDPR-u, organizacije koje obrađuju ili pohranjuju velike količine osobnih podataka moraju imenovati službenika za zaštitu podataka (DPO). DPO je odgovoran za osiguravanje usklađenosti s GDPR-om i može biti zaposlenik organizacije ili vanjski izvođač. DPO mora imati stručno znanje o zakonu i praksi zaštite podataka i biti sposoban učinkovito komunicirati sa zaposlenicima i višim rukovodstvom.
Napravite GDPR dnevnik
Kako bismo vam pomogli da pratite svoj put usklađivanja s GDPR-om, preporučujemo izradu dnevnika GDPR-a. To može biti fizička bilježnica ili elektronički dokument. Dnevnik bi trebao sadržavati sve korake koje ste poduzeli kako biste postali usklađeni, kao i sve izazove s kojima ste se suočili. Također biste trebali koristiti dnevnik za bilježenje svih promjena ili ažuriranja vašeg plana usklađenosti.
Odmah prijavite povrede podataka
Prema GDPR-u, organizacije moraju prijaviti povrede podataka u roku od 72 sata. To znači da morate imati uspostavljen proces za brzo prepoznavanje i prijavu incidenata s podacima. Također biste trebali imati plan odgovora na incident koji opisuje kako ćete se nositi s povredama podataka. Ovo je područje u kojem DPO može biti od pomoći jer on može voditi odgovor na podatkovne incidente.
Budite transparentni o motivima prikupljanja podataka
Organizacije moraju biti transparentne u pogledu svojih aktivnosti prikupljanja podataka. To znači da trebate dati jasne i sažete informacije o tome zašto prikupljate osobne podatke i kako će se oni koristiti. Ove informacije moraju se dostaviti u trenutku prikupljanja podataka. Osim toga, morate dobiti izričit pristanak pojedinaca prije prikupljanja, korištenja ili dijeljenja njihovih osobnih podataka. Na taj način pojedinci mogu donijeti informiranu odluku hoće li dopustiti prikupljanje i korištenje svojih podataka.
Slijedite načela smanjenja podataka
GDPR zahtijeva od organizacija da slijede načela minimizacije podataka. To znači prikupljanje samo onih osobnih podataka koji su potrebni za određenu svrhu i ništa više. Osobni podaci također se ne bi trebali čuvati dulje nego što je potrebno. Nakon što osobni podaci više nisu potrebni, trebaju se uništiti ili izbrisati u a siguran način.
Redovito provjeravajte svoj status usklađenosti
Usklađenost s GDPR-om je stalan proces, a ne jednokratan događaj. Morate redovito provjeravati svoju usklađenost kako biste bili sigurni da ispunjavate sve zahtjeve GDPR-a. To uključuje provođenje revizija podataka, pregled politika i procedura te obuku zaposlenika. Također biste trebali biti u tijeku sa svim promjenama GDPR-a koje bi mogle utjecati na vašu organizaciju.
Dobijte GDPR certifikat
Nakon što dovršite sve korake u svom planu usklađivanja, razmislite o dobivanju certifikata za GDPR. Ovo nije obavezno, ali može biti od pomoći u demonstriranju kupcima i partnerima da vaša organizacija ozbiljno misli na zaštitu podataka. Postoji niz dostupnih shema certificiranja, ali najpriznatiji je EU-US Privacy Shield Framework. Njime upravljaju Ministarstvo trgovine SAD-a i Europska komisija. Također imajte na umu da certifikacija nije jednokratni događaj. Certifikaciju ćete morati obnavljati jednom godišnje.
Put usklađivanja s GDPR-om može se činiti zastrašujućim, ali ako idete korak po korak, možete osigurati da vaša organizacija bude u skladu s propisima. Slijedeći korake navedene u ovom vodiču, bit ćete na dobrom putu da postanete usklađeni s GDPR-om.
