GDPR "checklist" – koraki za doseganje skladnosti

18 maj 2018

Podjetja po vsem svetu se pripravljajo na uvedbo uredbe GDPR. Čas teče, zato se prepričajte, ali je vaše podjetje pripravljeno na novo uredbo o varstvu osebnih podatkov.  Ustrezno upravljanje podatkov je ključno za izpolnjevanje zahtev te nove uredbe. Da bi vam pomagali, smo oblikovali kontrolni seznam GDPR s ključnimi zahtevami.

Kako upoštevati uredbo in se izogniti kaznim?

1.     Določite svoje ozemeljsko območje

Uredba GDPR velja za organizacije znotraj EU in v državah, ki niso članice EU in obdelujejo osebne podatke državljanov EU.

Seznam nalog

  • Če vaše podjetje spada v eno od zgoraj naštetih kategorij, morate delovati skladno z uredbo GDPR.
  • Globalne organizacije morajo določiti, kateri organ za nadzor varstva podatkov je pristojen zanje. 

2.     Ozaveščanje

Poskrbite za ozaveščanje o novih pravilih za zaščito osebnih podatkov znotraj in zunaj svoje organizacije.

Seznam nalog

  • Obvestite osebe, ki sprejemajo odločitve v vaši organizaciji, in uslužbence o prihajajočih spremembah. Posodobite in preglejte pogodbe s poslovnimi partnerji, sodelavci in z dobavitelji.
  • Če sodelujete z dobavitelji s sedežem izven EU, s prepričajte, ali poslujejo skladno z uredbo GDPR.
  • Prepričajte se, ali vse vaše pogodbe s tretjimi osebami vključujejo zaščito pred tveganji, povezanimi z uredbo GDPR. 
  • Nadzorujte napredek pri skladnem ravnanju. Izvedite revizije ključnih dobaviteljev.
  • Organizirajte delavnice o uredbi GDPR za prodajno in tržno osebje.

3.     »Mapirajte« svoje podatke

Identificirajte osebne podatke, ki jih hrani vaša organizacija. Prepričajte se, ali veste, od kod prihajajo, kako jih nameravate uporabiti in s kom jih delite.

Seznam nalog

  • Izvedite revizijo osebnih podatkov za oceno podatkov in namenov, v katere jih uporabljate.
  • Določite tvegana področja in izvedite ukrepe za skladno ravnanje.
  • Prepričajte se, ali imate pravno podlago za uporabo osebnih podatkov.
  • Če prejmete podatke od tretjih oseb, preverite njihovo točnost in zakonitost.
  • Nepotrebne ali zastarele osebne podatke izbrišite.
  • Oblikujte jasno politiko o trajanju hranjenja informacij.

4.     Oblikujte in vzdržujte zapise podatkov

Uredba GDPR zahteva, da podjetja hranijo zapise podatkov, ki jih obdelujejo. Organizacije morajo dokazati svojo odgovornost ter skladnost.

Seznam nalog

Oblikujte in vzdržujte zapis podatkov, ki vsebuje naslednje:

  • ime in kontaktne informacije organizacije in osebe za varstvo podatkov – DPO (kjer je to ustrezno),
  • opis kategorij osebnih podatkov,
  • namen obdelave podatkov,
  • kategorije posameznikov, na katere se osebni podatki nanašajo, in prejemnikov podatkov,
  • prenose osebnih podatkov tretjim osebam,
  • splošen opis varnostnih ukrepov organizacije.

5.     Posodobite svoje pravilnike o varstvu podatkov

V okviru uredbe GDPR morate ne samo ravnati skladno z novo zakonodajo o varstvu podatkov, pač pa to tudi dokazati. Poleg vzdrževanja zapisov podatkov morate posodabljati (ali pregledovati) tudi svoje pravilnike in postopke.

Seznam nalog

Preverite, ali so vaši pravilniki o varstvu podatkov skladni z uredbo GDPR.  Prepričajte se, ali vaši pravilniki odgovarjajo na spodnja vprašanja.

  • Kdo je odgovoren za obdelavo in varstvo podatkov ter druge ključne točke uredbe GDPR?
  • Kako prepoznate kršitev in kaj naredite v primeru kršitve?
  • Kako se odzvati na zahtevo osebe, na katero se podatki nanašajo, po dostopu do podatkov?
  • Kako ravnate, če oseba prekliče soglasje?
  • Kaj vključiti v obvestila o varstvu zasebnosti? Uporabite natančen, razumljiv in jasen jezik.
  • Kako izpolnjevati zahteve strank glede prenosljivosti podatkov, pravice do izbrisa, pravice do obveščanja, pravice do ugovora, popravkov itn?
  • Opis pravne podlage, vključno s soglasjem, bistvenih in javnih interesov za zakonito obdelavo osebnih podatkov.

6.     Pridobite soglasje za obdelavo osebnih podatkov

Za doseganje skladnosti z uredbo GDPR morajo podjetja preveriti, kako iščejo, upravljajo in beležijo soglasja. Poleg tega morajo obravnavati tudi drugih pet pravnih podlag, kot so zakonita obdelava podatkov in zakoniti interesi, ki predstavljajo podlago za obdelavo podatkov.

V skladu z novo uredbo o varstvu osebnih podatkov mora biti soglasje jasno, specifično, podano po predhodnem obveščanju in prostovoljno. Poleg tega mora biti tudi preverljivo. Posamezniki imajo pravico do preklica soglasja v vsakem trenutku.

Seznam nalog

  • Preglejte svoje trenutne procese za pridobitev soglasja.
  • Določite status pristopa za vse pogodbe.
  • Preverite obstoječo bazo podatkov. Ugotovite, ali so osebe, na katere se osebni podatki nanašajo, podale soglasje za obdelavo osebnih podatkov.
  • Pred uvedbo novih kampanj se prepričajte, ali so vaša tržna prizadevanja v skladu z uredbo GDPR.
  • Na vse obrazce za prejemanje novic dodajte povezavo do strani z vašo posodobljeno politiko zasebnosti.
  • Prepričajte se, ali vsi obrazci na vaši strani eksplicitno izražajo pristop.
  • Jasno navedite možnosti za odjavo od novic in preklic soglasja.
  • Soglasje naj ne bo pogoj za izvedbo storitve.

7.     Upravljanje zahtev po informacijah

Ko bo uredba GDPR začela veljati, se bodo morale organizacije odzvati na vse zahteve po informacijah v enem mesecu.

Seznam nalog

  • Ustvarite stran za posredovanje zahteve po informacijah.
  • Zagotovite možnosti, da lahko posamezniki zahtevajo posodobitev ali izbris podatkov.
  • Zagotovite enostaven način upravljanja naročnine na novice, ki jih stranke prejemajo po e-pošti.
  • Vsako zahtevo ročno preglejte in odgovorite v enem mesecu.

8.     Pripravite se na kršitve varnosti

Varnost podatkov je ena od ključnih točk uredbe GDPR. Ne glede na velikost ali vrsto svojega poslovanja, morate zagotoviti varstvo osebnih podatkov in kršitve varnosti prijaviti v 72 urah.

Seznam nalog

  • Razvijte načrt za obravnavo kršitev varnosti.
  • Na vse naprave podjetja namestite primerno stopnjo kodiranja.
  • Razmislite o dvojnem preverjanju istovetnosti vseh zaposlenih.
  • Prepričajte se, ali je vaša IT-infrastruktura varna. Preverite, ali morda obstajajo področja z velikim tveganjem, in jih odpravite.
  • Ne glede na to, ali prehajate na nove sisteme ali posodabljate že obstoječe sisteme, mora biti zagotavljanje zasebnosti vgrajeno vanje.
  • Vse datoteke, strežniki in računalniki morajo biti zaklenjeni, da preprečite nepooblaščeno uporabo.

9.     Bodite pozorni na posebne zahteve uredbe GDPR

Splošna uredba o varstvu podatkov EU določa, da mora vsako podjetje, ki ponuja digitalne storitve otrokom, preveriti njihovo starost in pridobiti soglasje staršev ali skrbnikov za obdelavo njihovih osebnih podatkov. Soglasje lahko zakonito podajo samo otroci, stari 16 let ali več.

Seznam nalog

  • Prepričajte se, ali imate vgrajene sisteme za preverjanje starosti oseb.
  • Pred obdelavo osebnih podatkov otrok vedno pridobite soglasje skrbnikov ali staršev.
  • Vsa obvestila o varovanju zasebnosti, ki so namenjena otrokom, morajo biti otrokom prijazna.

10.  Imenujte pooblaščeno osebo za varstvo podatkov (DPO)

Organizacije, ki obdelujejo posebne kategorije osebnih podatkov, kot so podatki, povezani s kaznivimi dejanji in obsodbami, morajo imenovati osebo za varstvo podatkov. To morajo storiti tudi javni organi in podjetja, ki obdelujejo velike količine podatkov.

Tudi če ne sodite v te kategorije, lahko DPO zagotovi, da vaša organizacija deluje skladno z uredbo o varstvu osebnih podatkov. Naloga osebe za varstvo podatkov je upravljanje in nadzor podatkov in procesov, potrebnih za doseganje skladnosti.

Seznam nalog

  • Preverite, ali morate imenovati osebo za varstvo podatkov ali ne. Posameznik, ki bo opravljal to nalogo, je lahko zunanji ponudnik storitev ali vaš zaposleni. Poročal bo najvišjemu organu upravljanja podjetja.
  • Če ne potrebujete osebe za varstvo podatkov, se prepričajte, ali je nekdo znotraj organizacije odgovoren za varstvo podatkov.
  • Osebi za varstvo podatkov dajte na voljo ustrezne vire za izvedbo njenih nalog.

11.  Pripravite se na obdobje varstva podatkov

Zapomnite si: uredba GDPR je dobra. Nanjo glejte kot na inkubator inovacij in varnosti.

Posameznikom ne omogoča samo večjega nadzora nad njihovimi podatki, pač pa podjetjem nalaga odgovornost za način, kako ravnajo z občutljivimi informacijami in kako jih obdelujejo. Poleg tega zagotavlja enotno varstvo podatkov in zasebnosti. Zahvaljujoč tej uredbi, bodo organizacije bolje razumele, kako učinkovito obdelovati osebne podatke in na podlagi teh podatkov sklepati o vedenju strank.

BREZPLAČNA BISNODE
e-KNJIGA

Kratek vodič po GDPR.

Zagotovite si svoj GDPR vodič

Naročite se na e-novice

Prijavite se na Bisnode e-novice in ostanite na tekočem s trendi v svetu pametnih odločitev.