Jeste li uskladili vaše poslovanje s GDPR-om?

GDPR (General Data Protection Regulation) nova je europska uredba koja obvezuje sve članice Europske unije na potpuno novu razinu zaštite osobnih podataka svakog pojedinca. Svi poslovni subjekti koji imaju doticaj s osobnim podacima fizičkih osoba, svoje poslovanje moraju uskladiti s GDPR-om najkasnije do 25.5.2018., nakon čega podliježu kaznama. Suzana Jovanović iz EDU3 centra, koja se bavi pitanjima GDPR-a, odgovorila nam je na pitanja koju su nas zanimala.

Možete li nam pojednostavljeno objasniti što je GDPR?

GDPR je uredba koja donosi velike promjene u poslovanju, a isključivo s naglaskom na zaštitu osobnih podataka fizičkih osoba. Prije svega GDPR podiže svijest svakog zaposlenika da prilikom svake obrade osobnih podataka bude svjestan koje podatke prikuplja, u koju svrhu i koliko dugo će čuvati te podatke. Također, nužno je da je svaka obrada podataka transparentna, zakonita, točna, poštena i cjelovita. GDPR uključuje brojne tehničke, organizacijske i pravne aspekte koje je potrebno uskladiti s uredbom, ali da bi to bilo izvedivo, prvi i osnovni korak je GDPR edukacija.

Što se zapravo mijenja? Koja su to konkretno prava koja ostvaruju ovom regulativom fizičke osobe?

Bitno je naglasiti ako ste do sada poslovali sukladno dosadašnjem zakonu, već dosta toga ispunjavate po GDPR-u. Naime, uredba donosi neke potpuno nove termine, ali i proširuje neke postojeće. Primjerice, sukladno uredbi, morat ćete (ako je primjenjivo) obrisati osobne podatke fizičke osobe na zahtjev. Jednako tako, za svaki podatak koji pohranjujete morat ćete moći dokazati imate li pristanak fizičke osobe za obradu tog podatka ili ga čuvate po nekoj zakonskoj osnovi.

Ako sagledamo GDPR iz perspektive fizičkih osoba, u tom slučaju možemo reći da će svaka osoba napokon imati kontrolu nad svojim podacima. Primjerice, morat će dobiti jasnu i nedvosmislenu informaciju zašto se njihovi podaci prikupljaju te dati pristanak za obradu. Jednako tako, važno je napomenuti kako pristanak ne smije biti uvjetovan i ne smije biti unaprijed definiran. Recimo, ako kupujete određen proizvod putem web shopa, check box s upitom: „Želim da me na moju e-mail adresu informirate o novostima“, ne smije biti unaprijed označen, već samo ako vi sami date dozvolu (u ovom slučaju kvačicu za pristanak).

Koliko su po vašoj procijeni tvrtke uopće pripremljene, tj. u skladu s GDPR regulativom, obzirom da je krajnji rok za usklađivanje 25.5.?

Još uvijek se susrećemo s brojnim upitima, što je to GDPR i odnosi li se uopće na mene, a ima i dosta poslovnih subjekata koji još nisu niti čuli za GDPR. Nažalost, najveći problem je što ima tvrtki koje misle da se na njih ne odnosi GDPR. Ako imate samo jednog zaposlenog, već podliježete GDPR uredbi. Sam zaposlenik je fizička osoba, a poslodavac obrađuje podatke svog zaposlenika.

Zašto je važna edukacija svakog djelatnika?

Svaki djelatnik u svojem poslovanju barem jednom se susreo s prikupljanjem/obradom podatka fizičke osobe. Važna je edukacija svakog zaposlenika jer upravo oni nisu niti svjesni da prikupljaju ili posjeduju negdje u bilježnici ili računalu osobni podatak. Tu bi stavila naglasak na značenje osobnog podatka. To može biti ime i prezime, datum rođenja, adresa, e-mail, fotografija, podaci o plaći, informacije o zdravlju, otisak prsta, šarenica oka itd. Dakle, sve ono što može identificirati određenu fizičku osobu smatra se osobnim podatkom.

Svi govore o rigoroznim kaznama, mislite da će to zaista u praksi biti tako?

Vjerujem da će biti kazne za one tvrtke koje se neće držati zakona. Agencija za zaštitu osobnih podataka bavit će se nadzorom, a ujedno ima i savjetodavnu ulogu. No, ukoliko 25.5.2018. nećete biti kompletno usklađeni s GDPR-om, neće vam nitko pisati kaznu. To znači da je važno napraviti što kvalitetnije sigurnosne mjere u poslovanju kako ne bi došlo do proboja podataka, obrisati sve nepotrebne podatke, pristupiti ostalim GDPR aspektima što kvalitetnije. Važno je pokazati dobru volju i dokazati da je vaše poslovanje sukladno novom zakonu. Teško da će svi biti 100% usklađeni sa svim zahtjevima GDPR uredbe, jer ne postoji točna formula ili „tableta“ koja će riješiti pitanje GDPR-a.

Imate li savjet za tvrtke koje su tek sada saznale za GDPR, od kuda krenuti?

Prvi i osnovni korak je sama edukacija kao nužna polazišna točka. Nakon toga potrebno je napraviti procjenu stanja – saznati gdje ste trenutno u skladu s uredbom te na temelju navedenog definirati sljedeće korake.

Koje biste istaknuli sigurnosne mjere važne za zaštitu osobnih podataka?

Ovisno o vrsti poslovanja i opsegu podataka koji se prikupljaju. No, ako je moguće, savjet je svakako sve podatke čuvati na jednom mjesto uz veliku razinu sigurnosnih mjera. Kriptirati sve podatke i koristiti pseudonimizaciju u poslovanju, redovite kontrole svih mjesta na kojem se nalaze podaci, sigurnosno upravljanje privolama, sigurnosne mjere za međunarodni transfer podataka, sigurnosne mjere u slučaju incidenta, procjena učinka i sl.

Kakav je program GDPR edukacije koju nudi Edu3 centar?

EDU3 centar nudi edukaciju koja obuhvaća najvažniji korak sukladno GDPR uredbi. To je svakako edukacija s teorijskog aspekta uz konkretne praktične primjere. Na edukaciji prolaze se konkretni pojmovi koji su nužni za poznavanje uredbe, a obuhvaćaju kategorije: uvod u GDPR, razumijevanje regulative i organizacijski elementi, funkcionalni zahtjevi (pravo na zaborav, pravo na ispravak, pravo na portabilnost, upravljanje privolama, minimizacija i sigurnosni zahtjevi), interni GDPR (od kuda i kako krenuti) te pravna pitanja.

Prednost edukacije je jer traje svega 4 školska sata u grupi od maksimalno 8 polaznika tijekom koje naši predavači odgovaraju na brojna pitanja uz navođenje konkretnih primjera iz svakodnevnog poslovanja.

 

Ako se i vi želite upoznati s GDPR uredbom, prvi slobodni termin edukacije je 17.5.2018.

Više na: https://edu3.hr/edukacije/gdpr-edukacija/

Podijeli

Odgovori

Top