1uredba_o_zastiti_osobnih_podataka_GDPR

Uredba o zaštiti osobnih podataka – GDPR

Opća uredba o zaštiti osobnih podataka (GDPR – General Data Protection Regulation) Europskog parlamenta i Vijeća ima za cilj uskladiti i unaprijediti propise o privatnosti kako bi uhvatili korak s tehnološkim razvojem. Proces prilagodbe započeo je 27. travnja 2016., a 25. svibnja 2018. je krajnji rok za prilagodbu procesa i sustava.

Prilagodba se odnosi na sve organizacije koje obrađuju podatke građana Europske unije. Ukoliko posumnja na curenje podataka, subjekt može pokrenuti proces prijave u državi u kojoj živi, radi ili državi u kojoj je do prekršaja došlo.

Pojam osobnih podataka odnosi se na sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može izravno ili neizravno utvrditi. U današnjim poduzećima prikupljaju se podaci o zaposlenicima, pacijentima, gostima, privatnim kupcima i slično.

Načela obrade osobnih podataka prema Uredbi su:

  • Zakonitost, poštenost i transparentnost
    Podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika.
  • Ograničavanje svrhe
    Osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama.
  • Smanjenje količine podataka
    Osobni podaci primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhu koje se obrađuje.
  • Točnost
    Osobni podaci moraju biti točni po potrebi i ažurni.
  • Ograničenje pohrane
    Osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno.
  • Cjelovitost i povjerljivost
    Osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.
  • Pouzdanost
    Voditelj obrade odgovoran je za usklađenost s prethodnim načelima te mora biti u mogućnosti isto i dokazati.

Usklađivanje s Uredbom nije aktivnost koja se provodi jednom, nego zahtijeva kontinuirano ponavljanje određenih procesa. Sukladno načelu „pouzdanosti“ Uredbe, teret dokazivanja da su zadovoljena načela je na voditelju obrade podataka te isti mora biti u mogućnosti u svakom trenutku dokazati da je obrada osobnih podataka u organizaciji sukladna s Uredbom.

Aestus d.o.o. nudi potpunu uslugu usklađenja organizacije s Uredbom, uz dodatnu pravnu, tehničku, organizacijsku i informatičku pomoć te kontinuirano praćenje.

Analiza komplementarnosti s Uredbom za zaštitu osobnih podataka (General data protection regulation – GDPR):

Usluga obuhvaća analizu poslovnog sustava i metode korištenja osobnih podatka u poslovanju te prilagodba istih Uredbi.
Usluga se sastoji od 3 faze:

  1. Analiza i mapiranje poslovne upotrebe osobnih podataka u poslovanju subjekta
    – Ishod dokument sa definiranim opsegom prirodom kontekstom i svrhom obrade
  2. Izrada plana aktivnosti (GDPR Roadmap) s mjerama za usklađivanje s odredbom.
    – Ishod Projektni plan s definiranim aktivnostima za provedbu tehnoloških i organizacijskih mjera
    u svrhu prilagodbe uredbi kako bi se prilagodilo uredbi s financijskim i vremenskim pokazateljima.
  3. Implementacija i kontrola projektnog plana prilagodbe odredbi
    – Savjetovanje prilikom implementacije projektnog plana u poslovanje subjekta

 

Pravno – informatička podrška upravljanja osobnim podacima

Kako bi mogao svojim klijentima pružiti cjelokupnu tehničku i organizacijsku podršku prilikom prilagodbe Vaše organizacije Uredbi, Aestus d.o.o. je potpisao partnerski sporazum s tvrtkom Poslovna Inteligencija d.o.o. Po potpisu ugovora zajednički smo Vam u mogućnosti ponuditi softver za upravljanje privolama u Vašoj organizaciji – Consent lifecycle manager

Consent Lifecycle Manager

Službenik za zaštitu podataka:

Službenik za zaštitu podataka obavlja zadaće informiranje i savjetovanje menadžmenta i zaposlenika koji obavljaju obradu podataka o njihovim obvezama iz ove Uredbe. Kontrolira poštovanja Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka.
Djeluje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, te vodi računa o riziku povezanom s postupcima obrade kao i prirodu, opseg, kontekst i svrhe obrade

Sukladno Uredbi tri grupe organizacija imaju obvezu imenovanja Službenik za zaštitu podataka:

  1. obradu provodi tijelo javne vlasti ili javno tijelo,
  2. osnovne djelatnosti Vaše organizacije sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri,
  3. osnovne djelatnosti Vaše organizacije sastoje se od opsežne obrade posebnih kategorija podataka

Ukoliko Vaša organizacija ima obvezu imenovanja Službenika za zaštitu podataka tvrtka Aestus d.o.o. u mogućnosti Vam je ponuditi obavljanje svih zadaća Službenika propisane Uredbom ali i dodatnu pravnu, tehničku, organizacijsku i informatičku pomoć vezanu za konkretnu problematiku Vaše organizacije.

Procjena učinka na zaštitu podataka (Data protection impact assesment – DPIA):

Ukoliko Vaša tvrtka u svakodnevnom poslovanja koristi osobne podatke, a za iste postoji visoki i vjerojatni rizik za narušavanje prava i slobode pojedinca, tada je potrebno izraditi Procjenu učinka na zaštitu podataka. Procjena sadržava sustavan opis obrade podataka, procijenjene nužnosti i proporcionalnosti obrade kao i kontrolu rizika za prava i slobode ispitanika.
Aestus d.o.o. kao tvrtka specijalizirana za izradu strateških dokumenata za Vas može izraditi Procjenu sukladno metodologiji koja najviše odgovara Vašoj organizacijskoj kulturi i internoj organizaciji.