Ključni koraci za uspješnu usklađenost s GDPR-om

1. Razumjeti zahtjeve GDPR-a

Analiza temeljnih načela

Prije početka usklađivanja s propisima, bitno je razumjeti temeljna načela GDPR-a:

• • Zakonitost, lojalnost i transparentnost : podaci se moraju obrađivati zakonito, pošteno i transparentno.
  • Ograničenje svrha : podaci se moraju prikupljati u specifične, eksplicitne i legitimne svrhe.
  • Minimizacija podataka treba prikupljati samo potrebne podatke.
  • Točnost : podaci moraju biti točni i ažurni.
  • Ograničenje očuvanja : podaci se ne smiju čuvati dulje nego što je potrebno.
  • Integritet i povjerljivost : podaci se moraju obrađivati na način koji osigurava njihovu sigurnost.

Kontrolna lista za razumijevanje

• Upoznajte se s ključnim člancima GDPR-a.
• Razumjeti prava ispitanika (pravo pristupa, ispravka, brisanja itd.).
• Poznajte obveze kontrolora podataka i podizvođača.

2. Imenujte službenika za zaštitu podataka (DPO)

Uloga službenika za zaštitu podataka

DPO igra ključnu ulogu u usklađenosti s GDPR-om. Odgovoran je za nadzor strategija zaštite podataka i osiguravanje usklađenosti sa zahtjevima GDPR-a.

Kontrolna lista za imenovanje DPO-a

• Utvrdite je li imenovanje službenika za zaštitu podataka obvezno za vašu tvrtku (ovisno o veličini i prirodi obrade).
• Imenujte DPO-a sa specijalističkim znanjem o zakonima i praksama zaštite podataka.
• Informirajte i obučite DPO-a o specifičnim odgovornostima vezanim uz GDPR.
• Priopćite kontaktne podatke službenika za zaštitu podataka tijelu za zaštitu podataka i javnosti.

3. Mapirajte podatke

Revizija podataka

Provođenje sveobuhvatne revizije podataka pomaže vam da shvatite koji se podaci prikupljaju, kako se koriste i tko im može pristupiti.

Primjer revizije podataka

• • Identifikacija podataka ime, adresa, e-pošta, zdravstveni podaci itd.
  • Izvori podataka : online obrasci, CRM baze podataka itd.
  • Korištenje podataka : marketing, korisnička podrška, upravljanje ljudskim resursima itd.
  • Dijeljenje podataka s kojim partnerima ili pružateljima usluga.

Kontrolni popis za mapiranje

• Identificirajte sve obrađene osobne podatke.
• Tokovi podataka dokumenata (ulaz, obrada, izlaz).
• Redovito ažurirajte mapiranje podataka.

4. Procijenite rizike i provedite sigurnosne mjere

Procjena rizika

Analizirajte rizike povezane s obradom osobnih podataka kako biste osigurali njihovu zaštitu.

Primjer procjene rizika

• Rizik : neovlašteni pristup osjetljivim podacima.
• Potencijalni utjecaj : gubitak povjerljivosti, narušavanje ugleda.
• Preventivne mjere enkripcija podataka, jaka autentifikacija.

Sigurnosni popis za provjeru

• Provedite procjenu utjecaja na zaštitu podataka (DPIA) za obradu visokog rizika.
• Implementirajte tehničke (enkripcija, vatrozidovi) i organizacijske (pravila privatnosti) sigurnosne mjere.
• Implementirajte postupke za otkrivanje, prijavljivanje i upravljanje povredama podataka.

5. Ažurirajte pravila o privatnosti i ugovore

Pravila o privatnosti

Pravila o privatnosti trebaju biti transparentna i razumljiva, informirajući korisnike o tome kako se njihovi podaci obrađuju.

Primjer ažuriranja Pravila o privatnosti

• Prije : „Prikupljamo vaše podatke kako bismo poboljšali naše usluge.“
• Nakon „Prikupljamo vaše ime, adresu i adresu e-pošte kako bismo personalizirali vaše iskustvo i pružili vam prilagođene ponude. Vaši će se podaci čuvati 2 godine.“

Kontrolni popis ažuriranja

• Pregledajte i ažurirajte pravila o privatnosti kako biste osigurali da su u skladu s GDPR-om.
• Osigurajte da pravila jasno objašnjavaju korisnička prava i kako ih ostvariti.
• Ažurirajte ugovore s podizvođačima kako bi uključili klauzule o usklađenosti s GDPR-om.

6. Dobijte pristanak korisnika

Izričita suglasnost

Privola korisnika mora biti slobodna, specifična, informirana i nedvosmislena.

Primjer prikupljanja privole

• Prije : unaprijed označeni okvir za primanje biltena.
• Nakon : neoznačeni okvir s jasnim objašnjenjem: „Želim primati biltene od [naziv tvrtke].”

Kontrolni popis pristanka

• Osigurajte da je privola izričito dana za svaku određenu svrhu.
• Zabilježite i sačuvajte dokaz o pristanku.
• Omogućite korisnicima jednostavno povlačenje privole.

7. Obučite zaposlenike

Svijest i obuka

Svi zaposlenici moraju biti upoznati s obvezama GDPR-a i obučeni o dobrim praksama zaštite podataka.

Primjer programa obuke

• Trening uvod u GDPR, prava pojedinaca, obveze tvrtki.
• Praktična vježba scenariji za upravljanje zahtjevima za pristup i ispravak podataka.

Kontrolna lista za obuku

• Razviti program obuke o GDPR-u prilagođen svakom odjelu.
• Organizirajte redovite obuke i sesije osvješćivanja.
• Procijeniti razumijevanje i primjenu stečenog znanja.

8. Uspostaviti postupke za upravljanje pravima pojedinaca

Upravljanje pravima

Tvrtke moraju imati postupke za učinkovito upravljanje zahtjevima za ostvarivanje prava pojedinaca (pristup, ispravak, brisanje, prenosivost itd.).

Primjer upravljanja pravima

• Pravo pristupa : odgovor na zahtjev za pristup podacima u roku od 30 dana.
• Pravo na ispravak : ispravak netočnih podataka u roku od 15 dana.

Kontrolni popis za upravljanje pravima

• Uspostaviti sustav za primanje i obradu zahtjeva pojedinaca.
• Osigurajte brze i potpune odgovore na zahtjeve.
• Dokumentirajte sve zahtjeve i dostavljene odgovore.

9. Kontinuirano praćenje i preispitivanje

Redovna revizija

Usklađenost s GDPR-om nije jednokratna radnja, već kontinuirani proces koji zahtijeva redovite revizije.

Primjer plana revizije

• Tromjesečna revizija : provjera provedbe politika povjerljivosti, pregled sigurnosnih mjera.
• Godišnja revizija : ukupna procjena usklađenosti s GDPR-om, ažuriranje procesa.

Kontrolna lista za kontinuiranu reviziju

• Planirati i provoditi redovite interne revizije.
• Ispraviti uočene neusklađenosti i poboljšati procese.
• Ažurirajte politike i postupke u skladu sa zakonskim i tehnološkim promjenama.