Repozitorij GDPR je hrvatski računalni program, a na ovoj stranici možete pronaći korisničke upute s primjerima na hrvatskom jeziku.
Ukoliko još nemate naš program, više informacija potražite na stranici Repozitorij GDPR – hrvatski računalni program za usklađenje.
Repozitorij GDPR je računalni program zamišljen kao alat koji će vam olakšati implementaciju GDPR uredbe u vaše poduzeće ili organizaciju. Ovaj program ne sadrži vaše “prave” podatke, niti ne obrađuje vaše “prave” podatke. Svrha ovog programa je da vas vodi kroz korake usklađenja s GDPR-om, da vam pomogne u promišljanju na bitne stvari, te da u konačnici jednostavno formalizirate i konkretizirate u obliku dokumentacije, vaše usklađenje s GDPR-om.
Konačni rezultat ovog programa je elektronička i pisana dokumentacija koja pokazuje na koji način je GDPR implementiran u vaše poduzeće, na koji način se mora ubuduće provoditi i održavati, te vam program omogućava daljnje praćenje mnogih bitnih aktivnosti i događaja koji su važni za GDPR.
Prvi modul u programu Repozitorij GDPR su “Temeljni dokumenti”. U ovom modulu popunjavate podatke pravne osobe koja se usklađuje sa GDPR-om, tj. osnovne podatke vaše organizacije za koju radite dokumentaciju. Upisani generalni podaci se koriste u svim drugim dijelovima programa. Nakon što popunite podatke o organizaciji (pod organizacijom se u ovom programu smatraju svi oblici ustanova, institucija, poduzeća, trgovačkih društava, obrta, itd. – tj. svi obveznici GDPR-a), dolazite do prvog važnog koraka: imenovanje službenika za zaštitu podataka.
Polja za službenika za zaštitu podataka popunjavate samo ako ste ga dužni imenovati. Poduzeća su dužna (obavezno) imati službenika za zaštitu podataka pod ovim uvjetima:
Ovo su četiri pravila definirana Uredbom kada je službenik obavezan, no to ne znači da je isti zabranjen ako ne spadate u ove kategorije. Dobro je da svako poduzeće s većim brojem zaposlenika (na primjer 20 i više) ima imenovanog službenika za zaštitu podataka. Njegova je zadaća da, uz svoje redovne poslove, brine o poštivanju i održavanju sustava zaštite osobnih podataka u organizaciji.
Sve organizacije su dužne poštivani GDPR uredbu, bez obzira da li moraju imati službenika ili ne. Ukoliko organizacija nema imenovanog službenika, tada je to po automatizmu zadaća vlasnika, osnosno ovlaštene osobe za zastupanje.
Kao službenika možete imenovati nekog od svojih zaposlenika i u tom slučaju morate imate pisani akt kojim ste izvršili imenovanje. Program Repozitorij GDPR vam za upisanog službenika automatski nudi ispis akta o imenovanju, te aneks ugovora o radu (uz pretpostavku da ste sa svojim zaposlenikom napravili ugovor o radu, onda je potrebno u ugovor o radu dodati klauzulu da će raditi i poslove zaštite podataka, a program vam nudi izradu aneksa ugovora). Za aneks ugovora upisujete samo broj izvornog ugovora po kojem ste zaposlili radnika, te broj aneksa ugovora (trenutnog) prema želji, ili redosljedu. Ako do sada niste u organizaciji imali nijedan aneks ili ugovor, možete upisati na primjer 2018-01 (kao prvi u ovoj godini).
Kada u programu Repozitorij GDPR završite s upisom osnovnih podataka, i imenovanjem službenika za zaštitu podataka, potvrdite taj obrazac, i program će Vam na prozoru “Pregled podataka organizacije” ponuditi tri ispisa: Ispis deklaracije, Ispis odluke o imenovanju službenika i Ispis aneksa ugovora za službenika.
Ovaj prvi, “Deklaracija o zaštiti podatka” je zamišljen kao prvi dokument u formiranju vaše dokumentacije, odnosno dobro je da postupak usklađenja sa GDPR-om započnete ispisom Deklaracije u kojoj su opisani osnovne upute i pravila GDPR-a, a kako bi svi zaposlenici i drugi čitatelji kasnije mogli dobiti osnovna saznanja i upute o svrsi usklađenja i pravilima kojih se moraju pridržavati.
Svi dokumenti i ispisi u programu Repozitorij GDPR su u potpunosti na hrvatskom jeziku te će biti razumnjivi svima u Hrvatskoj.
Sljedeći korak je popisivanje zaposlenika u vašoj organizaciji koji barataju osobnim podacima, te formaliziranje njihove osposobljenosti, tj. prava da smiju raditi s osobnim podacima.
U ovom dijelu upisujete samo one zaposlenike koji u opisu svog radnog mjesta dolaze u doticaj s osobnim podacima koje ste prikupili ili su direktno zaduženi za prikupljanje i obradu osobnih podataka – na primjer voditelj kadrovske službe, voditelj obračuna plaća, prodavač, i slično. Ovdje nije potrebno navoditi sve svoje zaposlenike već samo one koji rade s osobnim podacima. Također ćete tu upisati one osobe kojima želite omogućiti pristup do programa Repozitorij GDPR, jer se ovdje zadaju i korisničko ime i šifra za ulazak u ovaj program.
Dodatno će vas program tražiti da klasificirate upisane zaposlenike u jednu od 5 kategorija (administrator, službenik zaštite, voditelj obrade, izvršitelj obrade, operater za unos podataka), međutim navedena klasifikacija je samo orijentacijska i nema nikakvog utjecaja na daljnje mogućnosti ili ograničenja u korištenju programa.
Glavne uloge koje ćete koristiti:
a) Službenik zaštite – to je osoba koja je imenovana službenikom zaštite osobnih podataka,
b) Voditelj obrade – to je osoba u firmi, najčešće direktor ili šef, koji daje nalog nekome da obavlja određeni posao za potrebe organizacije, i taj definira osnovne okvire i zadaću posla, i najčešće zapošljava radnike sa svrhom da obavljaju neki posao obrade,
c) Izvršitelj obrade – osoba ili više njih koji obavljaju stvarnu obradu osobnih podataka i koji direktno dolaze u doticaj s osobnim podacima.
Izvršitelji obrade mogu biti i vanjske firme (knjigovodstveni servis, informatička kuća..), ali oni se ne upisuju u zaposlenike, već će se navesti kasnije kod procesa obrade.
Uredba propisuje obuku zaposlenika izvršitelja za zaštitu osobnih podataka. Tj. svatko tko obavlja obradu podataka, mora biti upoznat s pravilima uredbe, i u načelu je obaveza voditelja ili službenika da izvršitelje informiraju o pravilima GDPR-a i napravi upute. Stoga vam program Repozitorij GDPR, po unosu svih zaposlenika kod kojih stavite kvačicu “Osposobljen”, omogućava ispis Uvjerenja o osposobljavanju. To je formalni dokaz da ste vaše zaposlenike informirali o pravilima GDPR-a i da su dobili upute za zaštitu osobnih podataka.
Poduzeća su dužna voditi evidenciju svih zbirki osobnih podataka u organizaciji. Zbirke su mjesta i mediji gdje čuvate osobne podatke. Obično su to neki programi u računalu ili na serveru, registratori s dokumentima, xls tablice, papiri i sl.
Najbolje je krenuti s razmišljanjem koje sve osobne podatke imamo u organizaciji, a zatim navesti gdje ih strukturiramo i pohranjujemo, jer to je onda zbirka.
Primjeri nekih tipičnih zbirki koje organizacije imaju:
Kod dodavanja zbirke osobnih podataka nužno je dobro definirati svrhu jer se ti podaci smiju koristiti samo u svrhu koju ste kao voditelj odredili, čak i ako te podatke dajete trećim stranama, na primjer šaljete te podatke u knjigovodstvo. Također, nužno je definirati i kategoriju osoba na koje se ti podaci odnose. Primjeri kategorija osoba su: zaposlenici, klijenti, kupci, dobavljači, partneri…
Program Repozitorij GDPR će vas tražiti da opišete popis osobnih podataka koje zbirka sadrži, primarnu svrhu zbog koje je zbirka oformljena te izvor tih podataka.
Kod prikupljanja i opisivanja osobnih podataka, trebate naročito voditi računa da su u GDPR-u definirane posebne kategorije osobnih podataka koje je u načelu zabranjeno obrađivati/prikupljati, a to su podaci: a) koji otkrivaju rasno ili etničko podrijetlo, b) politička mišljenja, c) vjerska ili filozofska uvjerenja ili d) članstvo u sindikatu e) obrada genetskih podataka, f) biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, g) podataka koji se odnose na zdravlje ili h) podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.
Ovi podaci se načelno ne smiju prikupljati, niti držati, tj. dozvoljeni su samo u iznimnim slučajevima. Detalje pogledajte u Uredbi, ukoliko smatrate da morate držati ovakve podatke u vašoj organizaciji. Hrvatska poduzeća i institucije bi za korištenje ovih posebnih podataka morala imati uporište u zakonu, tj. da im je hrvatska pravna regulativa propisala tu djelatnost.
Ovi podaci se načelno ne smiju prikupljati, niti držati, tj. dozvoljeni su samo u iznimnim slučajevima. Detalje pogledajte u Uredbi, ukoliko smatrate da morate držati ovakve podatke u vašoj organizaciji. Hrvatska poduzeća i institucije bi za korištenje ovih posebnih podataka morala imati uporište u zakonu, tj. da im je hrvatska pravna regulativa propisala tu djelatnost.
Osim svrhe formiranja zbirke podataka, jedan od ključnih koraka u GDPR implementaciji je jasno definiranje pravnog temelja koji vam omogućava držanje pojedinih osobnih podataka. U ovom dijelu trebate definirati na kojem temelju prikupljate i obrađujete podatke. U pravilu se podaci prikupljaju na nekom pravnom temelju, npr, zakon ili ugovor, dok se svi ostali podaci trebaju prikupljati na temelju privole ispitanika. Budući da su najčešće zbirke podataka vezane uz zaposlenike ili klijente, prikupljanje njihovih podataka temelji se obično na nekom od zakona, na primjer hrvatski Zakon o radu, hrvatski Pravilnik o sadržaju i vođenju evidencije o radnicima, Zakon o obveznim odnosima, Zakon o PDV-u i sl.
Vrlo je važno da razumijete da osobne podatke smijete koristiti ako za to imate zakonsku osnovu (hrvatska ili EU regulativa), ili ste ugovorom tako definirali između vas i osobe. U protivnom, morate imati izričitu privolu osobe.
Dodatna mogućnost koju nudi Uredba GDPR je “legitimni interes”, međutim radi se o rizičnoj i ne do kraja definiranoj kategoriji. Legitimni interes prikupljanja podataka je situacija kada već jeste u nekom odnosu s osobom ispitanikom (na primjer on je vaš radnik, ili je vaš klijent, i slično), i ta osoba može pretpostaviti da imate njezine podatke, može iz konteksta razumijeti svrhu prikupljanja podataka, i to prikupljanje ne krši njezina druga prava, a u interesu je ispitanika, ili je u vašem interesu da možete obavljati svoje aktivnosti.
Legitimni interes jako ovisi o kontekstu i odnosu s osobom, ali primjer bi mogao biti: došli ste s automobilom na servis, ostavili ste automobil na servisu, i serviser je zapisao vaše ime i prezime, mjesto, registarsku oznaku i broj mobitela, te vam rekao da će vas nazvati na mobitel kada vam automobil bude gotov na servisu. U ovom slučaju serviser nema zakonsku osnovu, niti ugovor s vama, niti izričitu pisanu privolu, međutim u vašem je interesu da vas nazove kada automobil bude gotov, i točno možete pretpostaviti u koju svrhu mu trebaju ti podaci, a on ih koristi isključivo u tu svrhu.
Program Repozitorij GDPR će vas kod definiranja zbirke pitati da razmislite i opišete zbirku s aspekta minimizacije, koju definira Uredba. Minimizacija osobnih podataka podrazumijeva da prikupljamo i obrađujemo minimum potrebnih osobnih podataka koji su nam potrebni da ostvarimo neku svrhu. Na primjer kod zaposlenika to je navedeno u gore navedenom Pravilniku kao i povezanim zakonima. S druge strane, ako primjerice prikupljamo podatke na internet stranicama putem kontakt forme, nužno je zatražiti minimum osobnih podataka kako bi mogli ostvariti željenu svrhu, a ne prikupljati podatke “ako nam slučajno jednom zatrebaju”.
Isto načelo, po obimu podataka, odnosi se i na rok čuvanja. Ne držati podatke duže nego je to stvarno potrebno.
Primjer 1): ako vam je nekoliko osoba poslalo životopis s namjerom da ih zaposlite, vi imate legitimno pravo držati te životopise dok traje natječaj i dok nekog ne zaposlite. Međutim, po završetku natječaja, nemate pravo držati tuđe podatke, ako niste izričito dobili njihovu privolu za to.
Primjer 2): malo nezgodnjiji primjer je kada vam netko pošalje životopis otvorenog tipa, a vi nemate raspisani natječaj u tom trenutku. Poželjno je tada povratno informirati kandidata (na primjer mailom) da nemate otvoreni natječaj, ali da ćete zadržati životopis, držati ga 6 mjeseci (točno specificirati koliko), i to u svrhu ako se ukaže potreba. Time što ste informirali kandidata o svrsi i roku čuvanja njegovih podataka, zadovoljili ste načelo legitimiteta, minimizacije roka i opsega podataka. A kandidat se može povratno očitovati ako se ne slaže s vašim postupcima. Ukoliko se ne javi, imate zapravo njegovu privolu za čuvanje podataka koja proizlazi iz konteksta korespondencije.
U ovom dijelu trebali bi razmisliti gdje sve držite osobne podatke i u kojem obliku. Na računalu, mobitelu, u papirnatom obliku…? Zatim trebate vidjeti kako su ti osobni podaci zaštićeni, ako uopće jesu, tko ima pristup do njih, te na koji bi ih sve način mogli zaštititi. Na primjer u računalo se može ući samo koristeći lozinku i korisničko ime, registratori se nalaze u sobi koja je zaključana… Također, trebate vidjeti da li radite arhiviranje/backup osobnih podataka i na koji način. U ovom dijelu ćete tehnički opisati na koji način čuvate, arhivirate i štitite osobne podatke.
U svom poslovanju sigurno koristite računalo i neki od programa za obradu osobnih podataka, na primjer knjigovodstveni program, ERP program i sl. Ukoliko obrađujete jako velike količine osobnih podataka za koje jednostavna zaštita nije dovoljna, trebali bi razmisliti o unapređenju zaštite svojih programa uvođenjem nekih od oblika zaštita, na primjer enkripcijom, anonimizacijom, pseudonimizacijiom… Sve su to napredniji oblici zaštite osobnih podataka za koje je potrebno tehničko znanje. Enkripcija je “najjači” oblik zaštite jer se radi o šifriranju podataka na način da ih možete koristiti samo vi ili osobe kojima ste dali ključ za enkripciju. Anonimizacija je promjena osobnih podataka na način da se više ne mogu povezati s određenom osobom, dok pseudonimizacija dopušta reidentifikaciju korištenjem odgovarajućih ključeva. Ova tehnička rješenja izričito navodi Uredba, pa razmislite i o tome dok pišete o zaštiti i smjernicama.
Kod prijenosa osobnih podataka razlikujemo dvije situacije:
1) kada podatke dajemo trećim stranama za daljnju obradu, a s kojima imamo sklopljen ugovor o poslovnoj suradnji i koji u tom slučaju postaju izvršitelji obrade (primjeri: knjigovodstveni servis, informatičke firme, zaštitarske službe, fotokopirni servisi,…) i
2) kada te podatke hrvatska poduzeća šalju u treće zemlje ili međunarodne organizacije izvan EU. I u jednom i drugom slučaju moramo se voditi odredbama GDPR-a o zaštiti osobnih podataka te da se ti osobni podaci smiju koristiti samo u onu svrhu koju smo mi kao voditelji obrade definirali.
Primjer 1) Knjigovodstveni servis vam radi obračun plaća, i u vaše ime šalje podatke na poreznu upravu. Tada ste vi voditelj obrade (vi naručujete da se to radi), a vanjski knjigovodstveni servis je izvršitelj obrade. U ovom slučaju se radi o prijenosu osobnih podataka.
Primjer 2) Imate računalni program kupljen od informatičke firme, i sami radite obračun plaća. Informatička firma vam održava program i upravlja arhiviranjem podataka, a povremeno za potrebe testiranja i otklanjanja kvarova iskopiraju vaše podakte na svoje računalo. U ovom slučaju vi ste voditelj obračuna plaća i izvršitelj obračuna plaća, a informatička firma je vanjski izvršitelj arhiviranja podataka. I u ovom slučaju imamo prijenos osobnih podataka u informatičku firmu (iako se radi samo o arhiviranju ili testiranju).
GDPR uspostavlja skup prava koja ispitanik može ostvariti i na koja voditelj obrade, koji posjeduje osobne podatke, mora reagirati i odgovoriti, u pravilu u roku od mjesec dana. Vrlo je važno da za svaku vašu zbirku definirate koja prava ispitanik može ostvariti, a koja ne. U načelu, ispitaniku morate omogućiti sva navedena prava, osim ako hrvatska pravna regulativa ili neki drugi jači razlog ne dozvoljava da korisnik može ostvariti to pravo. Trebate uzeti u obzir da neovisno o tim pravima postoje i drugi hrvatski i EU zakonski propisi na temelju kojih prikupljate i obrađujete osobne podatke. To se prvenstveno odnosi na pravo ispitanika na zaborav jer na primjer hrvatski Zakon o radu definira rokove koliko se ti podaci moraju dugo čuvati.
Primjer: kod obračuna plaća, dužni ste držati osobne podatke pojedinaca trajno, čak i kada zaposlenik više ne radi kod vas, pa čak i 50 godina nakon što je prestao raditi kod vas. To je hrvatska zakonska regulativa, pa ispitaniku ne možete dozvoliti brisanje tih podataka.
Kratki opis prava ispitanika:
Procesi obrade su svi postupci koje radimo s osobnim podacima, a uključuju prikupljanje, obradu, pohranjivanje, slanje, brisanje, arhiviranje i sl. Najčešće su procesi razlog zbog kojih prikupljamo osobne podatke, ali je važno da se rade na način da ne krše prava ispitanika i da općenito ne narušavaju zaštitu osobnih podataka.
Stoga je potrebno temeljito dokumentirati procese koji koriste osobne podatke kako bi procese radili oni koji su za to ovlašteni i na propisani način. Kako bi što bolje definirali procese, ovim programom možete dodati i korake za svaki proces kako bi što bolje opisali proces.
Primjeri tipičnih procesa u organizacijama:
a) Obračun plaća
b) Zapošljavanje novih radnika ili otpuštanje radnika
c) Izdavanje računa, otpremnica, naruždbenica na kojima su osobni podaci
d) Slanje adresiranih reklama kupcima, poštom ili mailom
e) Praćenje i ocjenjivanje zaposlenika (radno vrijeme, učinci, video nadzor…)
Program Repozitorij GDPR će vas voditi po redu, uz upute, kako biste imenovali svoje procese, opisali ih, definirali voditelja i izvršitelje obrade, te jasno definirali svrhu zbog koje se proces izvršava.
Na drugom dijelu definiranja procesa obrade, program vas vodi kroz područje procjene učinka. Važno je da za svaki proces razmislite kakav je njegov odnos prema zaštiti podataka. Prvo opisujete način obrade podataka, a zatim i učinak na zaštitu.
Primjer: proces može biti vrlo rizičan za zaštitu podataka jer je lako moguće da se ugroze podaci, ili proces je u potpunosti siguran, i slično. Također imate poseban odjeljak gdje se mogu navesti prijedlozi za unapređenje procesa u cjelini, tj. da bude još sigurniji za zaštitu podataka.
Uredba posebno propisuje da su organizacije dužne propisati procedure po kojima se obrađuju osobni podaci. Stoga vas u nastavku program vodi na smjernice u kojima ćete prvo općenito napisati smjernice kojih se izvršitelji moraju držati, i na što moraju paziti, kada se gleda proces u cjelini. U nastavku sljede koraci procesa i smjernice po koracima.
Program GDPR omogućava da se svaki proces podijeli na više koraka. Svrha ovoga je da se proces može detaljnije razložiti, opisati, definirati i zaštiti. U svakom procesu možete osmisliti neograničeni broj koraka i nanizati ih u posebnu listu koraka u okviru procesa. Svaki od koraka ima zasebno svoje izvršitelje, prijedloge bolje zaštite podataka i smjernice ili upute kojih se izvršitelji moraju pridržavati.
Po završteku definiranja svih koraka, završili ste sa dokumentiranjem jednog procesa. Kada potvrdite proces i vratite se na prozor s listom svih procesa, program Repozitorij GDPR vam na dnu nudi tri ispisa koji predstavljaju dokumentiranje procesa:
a) ispis jednog procesa – radi se o detaljnom ispisu svih elemenata koje ste upisali o procesu,
b) ispis procedure rada procesa – ispis jednog procesa, ali samo s koracima i smjernicama, što predstavlja propisivanje procedure za obavljanje procesa tj. upute za GDPR,
c) ispis liste procesa – ukupna evidencija svih definiranih procesa.
Rizici su svi neželjeni događaji koji bi se mogli dogoditi u budućnosti, a koji bi mogli na neki način ugroziti zaštitu osobnih podataka. Rizik je svaki događaj u kojem dođe do gubitka nekih podataka ili ti podaci dođu na uvid, odnosno, korištenje neovlaštenim osobama.
Organizacije su dužne detaljno identificirati i opisati potencijalne rizike, od onih s malim posljedicama do onih s kobnim posljedicama. Za svaki od rizika, organizacije moraju prvo definirati pravila i smjernice ili upute koji bi morali omogućiti da se maksimalno umanji vjerojatnost rizika, tj. što napraviti da do rizika ne dođe.
Drugo, organizacije moraju imati također definirane procedure ili upute što napraviti ako do rizika ipak dođe, tj. što je sve potrebno napraviti ukoliko se rizik stvarno dogodi.azine opasnosti koju predstavlja za organizaciju ili pojedince čije podatke imate. Klasifikacija je proizvoljna, a program Repozitorij GDPR vam omogućava skalu opasnosti koja ide od 1 do 10. Vrijednost 1 su beznačajni incidenti bez ikakvih posljedica, dok su vrijednost 10 najopasniji incidenti koji imaju fatalne posljedice za organizaciju ili pojedince.
Također je rizike potrebno klasificirati s obzirom na vjerojatnost događaja. Program Repozitorij GDPR vam omogućava klasifikaciju u okviru postotka koji predstavlja vjerojatnost da će se događaj dogoditi u godinu dana, a skala je od 1% do 100%. Ako na primjer procjenjujete da će se neki događaj dogoditi svakih 20 godina, onda je njegova godišnja vjerojatnost 5%.
Primjeri nekih tipičnih rizika u organizacijama:
a) krađa podataka na mediju,
b) slučajno slanje podataka na krivu adresu, krivom primatelju,
c) računalni virusi koji mogu uništiti ili ukrasti podatke na računalu,
d) požar ili poplava mogu uništiti dokumente ili druge medije,
e) papirnati formulari koji nisu uništeni, a bačeni su u koš, mogu biti zlouporabljeni,
f) dijeljenje mapa ili dokumenata na računalima putem mreže prevelikom broju ljudi,…
Za svako prikupljanje i obradu osobnih podataka za koje ne postoji pravni temelj ili ugovorni odnos, potrebna nam je privola ispitanika.
Privola je dokument ili drugi materijalni dokaz da nam je ispitanik dozvolio da uzmemo njegove podatke te da ih obrađujemo. Međutim, ta privola mora sadržavati određene elemente. Ona mora biti nedvojbena i svjesna te mora sadržavati svrhu u koju se prikupljaju podaci, kako dugo će se ti podaci koristiti, na koji način i sl. Također, ispitaniku mora biti jasno navedeno kako može povući svoju privolu, a to mora biti na jednostavan i brz način. Za ispitanike mora privola biti na hrvatskom jeziku, ako im je hrvatski materinji jezik, da je u potpunosti mogu razumijeti.
U programu Repozitorij GDPR možete iskoristiti već pripremljeni formular kako biste ispitanicima mogli dati pisani dokument koji može potpisati, a koji sadrži minimalne potrebne elemente privole. Iz programa se privola može ispisati u dva oblika:
Primjer privole kakav se nalazi u programu Repozitorij GDPR je samo jedan od oblika privole, i to u pisanom obliku. To nipošto nije jedini način, i privola može biti samo dodatna rečenica na nekom drugom postojećem dokumentu, ili neki checkbox na vašem web sučelju. Možete postojeći primjer iskoristiti kao popis elemenata koji su bitni.
Kod privole je važno da korisnik mora nešto svjesno učiniti (potpisati, uključiti kvačicu, i slično), te da je privola za točno određene podatke, za točno određenu svrhu, i preporučljivo za točno određeni rok čuvanja podataka.
Program Repozitorij GDPR vam omogućava kopiranje postojećih privola u nove privole pa se na taj način mogu brže napraviti nove privole na temelju sličnih starih privola.
Kao što smo već spomenuli u poglavlju 4.8., svi ispitanici imaju i određena prava. Kako bi zaštitili ta prava oni u svakom trenutku mogu podnijeti zahtjev za zaštitom određenog prava.
Organizacije su dužne omogućiti ispitaniku ostvarenje njegovih prava te moraju imati razrađene postupke i pisane dokumente za ostvarenje prava ispitanika, kao i materijalne dokaze da su ta prava i ispunili. Također, ako je neko pravo ispitaniku ostvareno, djelomično ostvareno ili opravdano uskraćeno, za to mora postojati materijalni dokaz.
Program vam omogućuje jednostavno izradu dokumenata za ostvarenje prava ispitanika kojima možete generirati i ispisati zahtjev s njegovim rješenjem. Pisani dokument je najbolji dokaz da je ispitanik nešto zatražio, da ste vi taj zahtjev zaprimili, i da ste nešto po njemu poduzeli. Rješavanje zahtjeva ne mora nužno značiti da ćete uvijek ispuniti želje ispitanika, pogotovo ako ispitanik traži da nešto napravite što prema zakonu ne smijete. Zahtjeve zajedno s rješenjem možete čuvati u programu Repozitorij GDPR, a također ih možete ispisati na papir, i čuvati u papirnatom obliku (pisani i potpisani papir je uvijek bolji dokaz u slučaju spora).
Primjeri zahtjeva koje ćete vjerojatno ispuniti:
Primjeri zahtjeva koje će zaprimiti, obraditi, ali odbiti izvršenje:
Program Repozitorij GDPR vam omogućava kopiranje postojećih zahtjeva u nove zahtjeve pa se na taj način mogu brže napraviti novi zahtjevi na temelju sličnih starih zahtjeva.
Organizacije često osobne podatke koje su prikupile od ispitanika (primjerice zaposlenika, kupaca, dobavljača…) daju drugim poduzećima radi obrade podataka.
Tipični hrvatski primjeri predaje podataka trećim stranama su:
U tom slučaju, takve vanjske firme postaju izvršitelji obrade i s njima moramo ugovorno urediti naš odnos, a taj ugovor mora također biti usklađen s odredbama GDPR-a. To znači da svi naši vanjski izvršitelji obrade moraju biti usklađeni s odredbama GDPR-a, tj. i oni se moraju držati svih načela kao i mi koji smo u tom slučaju voditelji obrade (hrvatska, EU, čak i ako su izvan EU). Također mi kao voditelj možemo propisati procedure, smjernice i upute po kojima se mora raditi.
U programu možete izraditi jednostavne ugovore ili anekse postojećih ugovora s izvršiteljima obrade. Predviđena polja predstavljaju minimum potreban da se generira pravno valjani ugovor, i najbrži je način za napraviti jednostavan ugovor s nekim vanjskim izvršiteljem. Program će vam ponuditi određene tekstualne predloške po člancima, koje možete jednostavno preinačiti, i napraviti ugovor za svoje potrebe.
Naravno, kod složenijih i ozbiljnijih obrada, obično poduzeća već imaju sastavljene ugovore od prije. Tada vam program Repozitorij GDPR omogućava brzu izradu jednostavnog aneksa ugovora. Naravno, uvijek možete mimo programa napraviti vlastite ugovore ili anekse ugovora, a ovdje zavesti samo prva tri ili četiri podataka (subjekt, adresa, oib, datum) da imate na jednom mjestu evidenciju koji su to sve ugovori koji se tiču zaštite osobnih podataka.
Program Repozitorij GDPR vam omogućava kopiranje postojećih ugovora u nove ugovore pa se na taj način mogu brže napraviti novi ugovori na temelju starih ugovora.
Incidenti su svi neželjeni događaji koji su se dogodili, a utjecali su na zaštitu osobnih podataka. Incident je i svako ostvarenje predviđenog rizika. Zaštita osobnih podataka je ugrožena ako je došlo do gubitka podataka, krađe podataka, ako su podaci došli na uvid ili korištenje nekome tko nema ovlasti ili prava na to, i slično. Incident je također svako kršenje Uredbe o zaštiti osobnih podataka.
Incidentom se može smatrati i svaka situaciju u kojoj nije došlo do neželjenog događaja, ali je postojala velika opasnost (vjerojatnost) da do njega dođe jer se izvršitelji nisu držali dogovorenih procedura rada ili iste nisu pokrile sve moguće situacije u praksi.
Novost koju uvodi GDPR je obveza voditelja obrade da prijavi u roku od 72 sata svaki ozbiljan incident nadzornom tijelu (AZOP) s time da se ovo odnosi samo na najozbiljnije povredama koje podliježu sankcijama. Mali incidenti mogu biti podloga za otkrivanje mana sustava ili organizacije, te za daljnje unaprjeđenje procedura i propisa zaštite podataka.
U programu Repozitorij GDPR možete na jednostavan način izraditi zapisnike o nastalim incidentima, s detaljnim opisom problema i postupcima rješavanja. Pri tome ćete zapisati standardne stvari što se dogodilo, koji podaci su u pitanju, tko je odgovoran, zašto je došlo do incidenta, kod kojeg procesa, itd., sve po redu kako vas program vodi. U drugom dijelu opisat ćete kako ste i kada riješili incident (što je poduzeto, da li je namirena ili sanirana šteta, i slično). Na kraju i ono najvažnije, smjernice ili upute, tj. što je potrebno napraviti u organizaciji, a da se ubuduće takav incident više ne dogodi, tj. da se vjerojatnost njegovo ponavljanja svede na najmanju moguću mjeru.
Kada prođete kroz sve module programa Repozitorij GDPR i sve njegove korake, napravili ste prvi veliki korak, i možete reći da ste formalno usklađeni sa GDPR-om. Preporučamo vam da u svim modulima, za sve zapise koje ste napravili, ispišete iste na pisač, te u papiranom obliku skupite sve formulare u jednu mapu, registrator ili neki drugi uvezani oblik.
Naravno, ovime niste konačno završili postupak usklađivanja sa GDPR-om, jer taj proces nikada ne može trajno završiti. Tako dugo dok organizacija djeluje (posluje) potrebno je promišljati i voditi računa o zaštiti osobnih podataka. Budući da su sve organizacije živi organizmi koji rastu, razvijaju se, mijenjaju, itd., tako je i svu pripadajuću dokumentaciju potrebno stalno ažurirati i održavati. Neki od dokumenata (na primjer privola, zahtjev, incident) su tu da vam budu pri ruci kada ih zatrebate u konkretnim situacijama, i vjerojatno ćete ih morati kontinuirano popunjavati (barem privole i zahtjeve, a nadamo se incidente što manje).