GDPR - Opća uredba o zaštiti osobnih podataka

- aplikacija za vođenje evidencije aktivnosti obrada, privola i zahtjeva ispitanika

Autor: Ninoslav Crnički  |  Datum: 28.05.2018
 

GDPR - Opća uredba o zaštiti osobnih podataka

GDPR - General Data Protection Regulation - Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine.

Zakon o provedbi Opće uredbe o zaštiti podataka Hrvatski sabor donio na sjednici 27. travnja 2018., objavljen u Narodnim novinama broj 42/2018

Zakon o provedbi Opće uredbe o zaštiti podataka

Opća uredba o zaštiti osobnih podataka (GDPR uredba) uveliko mjenja način na koji se osobni podaci prikupljaju i obrađuju. Svaki proces prikupljana i obrade osobnih podataka treba biti detaljno evidentiran i točno treba navesti tko prikuplja i obrađuje podatke, za koju svrhu se prikupljaju/obrađuju, po kojoj zakonskoj osnovi ili po osnovi kojih privola ispitanika. Treba definirati točno koje vrste podataka smijemo koristiti i za koje kategorije osoba. Za sve moramo imati ili zakonsku osnovu ili privolu osoba čije osobne podatke koristimo.

Što sve mali i mikro poduzetnici, obrtnici i udruge moraju poduzeti vezano za GDPR uredbu

Na ovim stranicama obradit ćemo bitne stvari koje moraju poduzeti mali i mikro poduzetnici, obrtnici i udruge vezano za GDPR regulativu.

Srednji i veliki poduzetnici će zbog kompleksnosti najvjerojatnije oformiti posebni odjel koji će se baviti ovom tematikom.

Ukoliko ste obrtnik, mikro ili mali poduzetnik svakako preporučamo da pročitate ovaj tekst do kraja te da isprobate demo verziju našeg programa koji će vam uvelike pomoći pri usklađivanju poslovnih procesa prema Općoj uredbi o zaštiti osobnih podataka.

Ukratko, svaki poslovni subjekt (bez obzira na veličinu i pravni oblik) morat će napraviti sljedeće:

    

Koristiti osobne podatke samo u okvirima za koje imamo zakonsku podlogu ili izričitu privolu fizičke osobe

Osobne podatke koje koristimo za izvršavanje ugovornih obveza iz radnog odnosa možemo koristiti bez privole fizičkih osoba jer za to imamo zakonsku osnovu.
Znači, za obrade kao npr. obračun plaće, evidencija prisutnosti na radu, evidencija radnog vremena, kadrovska evidencija, imamo zakonsku osnovu stoga osobne podatke koji su nužni za spomenute obrade možemo koristiti bez posebne privole fizičkih osoba (zaposlenika).

Medutim, to ne znači da možemo koristiti bilo koji podatak fizičke osobe, već onaj minimum koji nam je stvarno potreban kako bi ispunili zakonom propisanu obvezu.

Za svaki osobni podatak koji koristimo moramo dokazati da za korištenje istog imamo zakonsku osnovu ili privolu fizičke osobe.

Svi poduzetnici moraju poduzeti sljedeće (korak 1 od 6):

Napraviti analizu: gdje se sve koriste osobni podaci fizičkih osoba, koje podatke vodimo, tko ih prikuplja/obrađuje, svrhu vođenja osobnih podataka, pravnu osnovu i vremenski rok čuvanja osobnih podataka. Sve spomenuto vodi se kao "evidencija aktivnosti obrada" (zbirke osobnih podataka).

Evidencije aktivnosti obrade možete voditi u jednostavnom programu za kreiranje i evidentiranje evidencija aktivnosti obrada kojeg možete preuzeti sa linka ispod.

    

Najjednostavnija aplikacija za evidentiranje obrada po Općoj uredbi o zaštiti osobnih podataka (GDPR uredba)

Aplikacija je jedostavna i pregledna, prilagođena mikro i malim poduzetnicima, obrtnicima i udrugama, tj. svima koji se moraju uskladiti sa GDPR uredbom, na način da im taj posao ne oduzima previše vremena.

Aplikacija će vam pomoći da na jednostavan način evidentirate obrade osobnih podataka u slijedećim oblicima:

  • Popis obrada - za male korisnike koji nisu obavezni voditi evidenciju aktivnosti obrada ali su obavezni uskladiti se sa Općom uredbom (GDPR)
  • Evidencija aktivnosti obrada - za korisnike koji su obavezni voditi evidencije aktivnosti obrada
  • Zbirke osobnih podataka - za sve korisnike koji žele detaljno evidentirati sve obrade kroz zbirke osobnih podataka

Osim spomenutog u aplikaciji možete voditi još i slijedeće evidencije po GDPR uredbi:

  • Evidenciju privola
  • Evidenciju zahtjeva ispitanika
  • Evidenciju incidenata

Aplikacija je dostupna u nekoliko verzija, sa cijenom već od 360 kn + PDV (godišnja licenca).

Aplikaciju "Evidencija osobnih podataka" - DEMO verziju možete zatražiti na e-mail: prodaja@innova.hr

Za više informacija o aplikaciji i/ili narudžbu, kontaktirajte nas na e-mail: prodaja@innova.hr, telefon: 042/201 788

    

Prikupljati i obrađivati osobne podatke na siguran i transparentan način

Od 25. svibnja 2018. godine pristup do aplikacija/programa koji koriste osobne podatke mogu imati samo osobe koje su ovlaštene za to. Znači, u aplikacije/programe svaki korisnik ulazi sa svojim korisničkim podacima (korisnik i lozinka). Svaki korisnik biti će odgovoran za radnje napravljene sa njegovim korisničkim podacima. Ovo nije ništa novo, navedeno je već bilo propisano sadašnjim zakonima ali se nije baš provodilo jer nije bilo nekih sankcija.

Proizvođači softvera (aplikacija/programa) morat će za sve aplikacije/programe napraviti sljedeće:

Svi poduzetnici moraju poduzeti sljedeće (korak 2 od 6):

Kontaktirati proizvođače softvera čije aplikacije/programe koriste te saznati sljedeće informacije za svaku pojedinu aplikaciju/program:

  • Koju bazu podataka koristi aplikacija/program
  • Gdje se baza podataka fizički nalazi (na kojem računalu, serveru)
  • Kako je baza podataka zaštićena (lozinkom, kriptirani podaci)
  • Da li se radi backup i kako često
  • Gdje se backup čuva i na koji način je zaštićen
  • Da li aplikacija/program ima log gdje se bilježi tko, kada, sa kojeg računala i koje radnje su poduzete vezano za osobne podatke
  • Da li se osobni podaci mogu obrisati iz baze podataka ako to zatraži fizička osoba, tj. kada više neće biti zakonske osnove za čuvanje istih
  • Da li se nakon restoranja backup baze obrisani podaci neće pojaviti u radnoj bazi podataka

Djelatnike koji rade u aplikacijama/programima i pri tome koriste osobne podatke fizičkih osoba, treba educirati o važnosti tajne korisničkih podataka (lozinka za ulaz u aplikacije/programe).

Djelatnici moraju potpisati izjavu o tajnosti podataka ako ista nije regulirana ugovorom o radu/pravilnikom/kolektivnim ugovorom.

Sa vanjskim suradnicima koji obrađuju osobne podatke (knjigovodstveni servisi, poštanski servisi, IT servisi) treba potpisati ugovor/aneks ugovora o načinu prijenosa, obrade i arhiviranju osobnih podataka na siguran način.

    

Čuvati i prenositi osobne podatke na siguran način

Baze podataka, datoteke, ispisi, arhive koji sadrže osobne podatke po GDPR uredbi moraju se čuvati na siguran način. Znači, pristup do takvih podataka smiju imati samo ovlaštene osobe.

Na računalima na kojima se nalaze baze podataka, dokumenti moraju bi biti zaštićeni. Najbolje bi bilo da se sve sprema na server koji je "pod ključem" te da je pristup preko mreže zaštićen zaporkom.
Kod poduzetnika koji nemaju server, takve podatke trebalo bi pohranjivati u mape zaštićene zaporkom. Baze podataka moraju biti zaštićene zaporkama.

Datoteke, izvještaji, obrasci sa osobnim podacima trebaju se prenositi na siguran način. Zabranjeno je slanje osobnih podataka putem nezaštićenih e-mail poruka, putem telefaksa, preko aplikacija za slanje poruka i slika.

Svu arhivu koja sadrži osobne podatke (registratore, mape, dokumente, CD/DVD, USB uređaje, mikrofilmove) treba čuvati "pod ključem".

Svi poduzetnici moraju poduzeti sljedeće (korak 3 od 6):

Staviti arhivsku građu "pod ključ" i onemogućiti pristup neovlaštenim osobama.
Educirati djelatnike o važnosti sigurnog postupanja sa dokumentima.
Sve papirnate dokumente koje se bacaju u papirnati otpad treba uništiti sa rezačima dokumenta.
Dokumente u elektronskom obliku koju se brišu sa računala treba obrisati i iz "koša za smeće" (Recycle Bin).
Dokumente u elektonskom obliku koji se prenose putem USB uređaja (USB stick, USB eksterni disk) treba zaštiti - pristup do istih putem lozinki.
Dokumente u elektronskom obliku koji se prenose putem e-mail poruka treba slati isključivo na siguran način (kriptiranje elektroničke pošte).
Prijenosna računala, tablet računala i pametne telefone koji sadrže osobne podatke treba zaštititi sa lozinkom.

Aplikacija "Evidencija osobnih podataka".

Najjednostavniji način za usklađivanje poslovanja sa Općom uredbom o zaštiti osobnih podataka (GDPR uredba)

Aplikacija sadrži slijedeće evidencije:

  • Evidencija aktivnosti obrade (zbirke osobnih podataka)
  • Evidencija privola
  • Evidencija zahtjeva ispitanika
  • Evidencija incidenata

Aplikacija je jedostavna i pregledna, prilagođena mikro i malim poduzetnicima, obrtnicima i udrugama, tj. svima koji se moraju uskladiti sa GDPR uredbom, na način da im taj posao ne oduzima previše vremena.

Aplikacija je dostupna u nekoliko verzija, sa cijenom već od 360 kn + PDV (godišnja licenca).

Aplikaciju "Evidencija osobnih podataka" - DEMO verziju možete zatražiti na e-mail: prodaja@innova.hr

Za više informacija o aplikaciji i/ili narudžbu kontaktirajte nas na e-mail: prodaja@innova.hr, telefon: 042/201 788

    

Voditi evidenciju aktivnosti obrade osobnih podataka

Po GDPR uredbi, evidenciju aktivnosti obrada ne trebaju voditi poduzeća/organizacije u kojoj je zaposleno manje od 250 osoba osim u slučajevima:

Ako poduzetnik nije obavezan voditi evidenciju aktivnosti obrade, svakako preporučamo da se samo jednom evidentiraju sve obrade, način na koji se podaci obrađuju, tko ih obrađuje, svrha obrade i kategorije ispitanika i kategorije podatka.

Svi poduzetnici moraju poduzeti sljedeće (korak 4 od 6):

Evidentirati sve obrade u kojima se koriste osobni podaci.
Ako poduzetnik ili organizacija nije dužna voditi evidenciju aktivnosti obrade onda treba samo jednom popisati sve obrade u kojima se koriste osobni podaci fizičkih osoba. Ako je poduzetnik ili organizacija dužna vodit evidenciju aktivnosti onda takva evidencija mora sadržavati:

  • ime i kontakt podatke voditelja obrade
  • predstavnika voditelja obrade i službenika za zaštitu podataka
  • svrha obrade
  • opis kategorije ispitanika
  • kategorija osobnih podataka
  • kategorije primatelja kojima su osobni podaci otkriveni ili će biti otkriveni
  • identificiranje treće zemlje ili međunarodne organizacije
  • dokumentacija o odgovarajućim zaštitnim mjerama
  • predviđene rokove za brisanje različitih kategorija podataka
  • opis tehničkih i organizacijskih sigurnosnih mjera

    

Voditi evidenciju privola i zahtjeva fizičkih osoba

Ako se osobni podaci koriste u svrhu za koju nemamo zakonsku osnovu, od fizičke osobe potrebno je zatražiti privolu kako bi mogli iste koristiti. Poduzetnik ili organizacija mora dokazati da je fizička osoba dala privolu. Privola može biti u u pisanom obliku u vidu izjave ili elektronskom obliku u vidu forme na Internet stranicama ili aplikacijama.

Privole se moraju evidentirati kako bi u svakom trenutku mogli dokazati da nam je ispitanik dao privolu te za koju svrhu.

Fizičke osobe mogu tražiti od poduzetnika ili organizacije različite akcije vezano za osobne podatke kao što su:

Za sve zahtjeve potrebno je voditi evidenciju kako bi poduzetnik ili organizacija mogla u zakonskim rokovima izvršavati tražene radnje.

Svi poduzetnici moraju poduzeti sljedeće (korak 5 od 6):

  • Voditi evidenciju privola
  • Voditi evidenciju zahtjeva

    

Educirati zaposlenike i vanjske suradnike o važnosti čuvanja tajnosti osobnih podataka

Kako bi poduzetnik ili organizacija bila usklađena sa GDPR uredbom sve osobe koji koriste osobne podatke fizičkih osoba moraju se educirati o važnosti čuvanja tajnosti osobnih podataka.

Svi poduzetnici moraju poduzeti sljedeće (korak 6 od 6):

Sve osobe koje koriste osobne podatke fizičkih osoba u poslovnim procesima treba educirati o sljedećem:

  • čuvanju tajnosti osobnih podataka
  • sigurnom načinu prijenosa osobnih podataka
  • sigurnom načinu uništavanja/brisanja osobnih podataka
  • sigurnom načinu arhiviranja osobnih podataka

    

    

Više informacija o Općoj uredbi o zaštiti podatka (General Data Protection Regulation - GDPR):

    

    

Na vrh