Članci

GDPR Checklist – koraci za postizanje usaglašenosti

18 maj 2018

Kompanije širom sveta se pripremaju za GDPR. Sat otkucava, zato se pobrinite da vaše preduzeće bude spremno za novi zakon o zaštiti podataka. Upravljanje podacima je od suštinskog značaja za usaglašavanje sa ovim zakonom. Da bismo vam pomogli, napravili smo kontrolnu listu za GDPR sa ključnim zahtevima.

 

Kako da budete usaglašeni i da izbegnete kazne

1. Definišite svoje područje delatnosti

GDPR se primenjuje na organizacije osnovane u EU kao i u državama koje nisu članice EU, a obrađuju podatke o građanima EU

Spisak aktivnosti

  • Ako vaše preduzeće spada u neku od gore navedenih kategorija, morate biti usaglašeni sa GDPR-om.
  • Globalne organizacije moraju odrediti koje je nadzorno telo za zaštitu podataka nadležno za njih. 

 

2. Podignite svest

Podignite svest o novim pravilima za zaštitu podataka unutar i izvan vaše organizacije.

Spisak aktivnosti

  • Obavestite donosioce odluka i zaposlene u vašoj organizaciji o predstojećim promenama. Ažurirajte ili revidirajte svoje ugovore sa poslovnim partnerima, prodavcima i dobavljačima.
  • Ako radite sa dobavljačima koji se nalaze van EU, pobrinite se se da budu usaglašeni sa GDPR-om.
  • Pobrinite se da svi ugovori koje imate sa trećim stranama uključuju zaštitu od rizika povezanih sa GDPR-om.
  • Nadzirite njihov napredak povezano sa usklađivanjem. Sprovedite revizije za ključne dobavljače.
  • Pokrenite radionice o GDPR-u za prodaju i marketing.

 

3. „Mapirajte” svoje podatke

Identifikujte podatke koje čuva vaša organizacija. Postarajte se da znate odakle dolaze, kako planirate da ih koristite i sa kim se dele.

Spisak aktivnosti

  • Sprovedite reviziju podataka kako biste procenili svoje podatke i svrhe za koje se koriste.
  • Identifikujte svoje oblasti rizika i preduzmite korake potrebne za usaglašavanje.
  • Postarajte se da imate pravni osnov za korišćenje podataka.
  • Ako dobijete podatke od trećih strana proverite njihovu tačnost i zakonitost.
  • Izbrišite sve podatke koji nisu neophodni ili ažurirani.
  • Utvrdite jasnu politiku o tome koliko dugo će informacije biti zadržane.

 

4. Napravite i održavajte evidenciju o podacima

GDPR zahteva da kompanije vode evidenciju o podacima koje obrađuju. Organizacije moraju biti u mogućnosti da pokažu svoju odgovornost i usaglašenost.

Spisak aktivnosti

Napravite i održavajte evidenciju podataka koja uključuje sledeće:

  • ime i kontakt informacije organizacije i DPO-a (kada je primenjivo)
  • opis kategorija podataka o ličnosti
  • svrhu obrade podataka
  • kategorije lica na koje se podaci odnose i primalaca
  • prenose podataka o ličnosti trećim stranama
  • opšti opis bezbednosnih mera organizacije

 

5. Ažurirajte vaše politike o zaštiti podataka

Po GDPR-u, ne samo da morate da budete usaglašeni sa novim zakonima o zaštiti podataka, već morate to i da dokažete. Pored održavanja evidencije o podacima, neophodno je i ažurirati politike i procedure.

Spisak aktivnosti

Sarađujte sa advokatom da biste utvrdili da li su vaše politike o zaštiti podataka usaglašene sa GDPR-om.

Pobrinite se da vaše pravila obuhvataju sledeće aspekte:

  • ko je odgovoran za obradu podataka, bezbednost i druge ključne tačke GDPR-a
  • kako da identifikujete i šta da radite ako dođe do povrede bezbednosti
  • kako da odgovorite na zahteve lica na koje se podaci odnose
  • kako da nastavite ako se povuče pristanak
  • šta da uključite u obaveštenja o privatnosti – koristite koncizne, lako razumljive i jasne formulacije
  • kako da ispunite zahteve klijenata u pogledu prenosivosti podataka, prava na brisanje, prava na obaveštenost, prava na ulaganje prigovora, prava na ispravke itd.
  • opišite sve pravne osnove, uključujući pristanak, vitalne interese i javne interese za zakonitu obradu podataka

 

6. Pribavite pristanak za obradu podataka

Da bi bila usaglašena sa GDPR-om, preduzeća moraju da procene na koji način traže pristanke, kako ih evidentiraju i kako upravljaju njima. Takođe bi trebalo da znaju kako da reše ostalih pet pravnih osnova, kao što su zakonita obrada podataka i legitimni interesi kao pravna osnova za obradu.

Prema novom zakonu o zaštiti podataka, pristanak mora biti jasan, specifičan, informisan i dobrovoljno dat. Takođe mora biti proverljiv. Pojedinci imaju pravo na povlačenje pristanka u bilo kom trenutku.

Spisak aktivnosti

  • Pregledajte svoje postojeće procese za dobijanje pristanka.
  • Definišite status izbora za učešće za sve kontakte.
  • Procenite svoju postojeću bazu podataka. Utvrdite da li su lica na koje se podaci odnose dala svoj pristanak za obradu podataka o ličnosti.
  • Pre pokretanja novih kampanja, postarajte se da vaši marketinški napori budu usaglašeni sa GDPR-om.
  • Postavite vezu ka ažuriranoj stranici o privatnosti u sve obrasce za pretplatu.
  • Postarajte se da svi obrasci na vašoj veb lokaciji uključuju izričit izbor za učešće.
  • Obezbedite jasne načine za otkazivanje pretplate i povlačenje pristanka.
  • Nemojte da definišete pristanak kao preduslov za neku uslugu.

 

7. Upravljate zahtevima za informacijama

Kada GDPR stupi na snagu, organizacije će morati da odgovaraju na sve zahteve za informacijama u roku od jednog meseca.

Spisak aktivnosti

  • Napravite odredišnu stranicu za zahtev za podacima.
  • Obezbedite mogućnosti da pojedinci ažuriraju ili izbrišu podatke na zahtev.
  • Olakšajte klijentima da upravljaju svojom pretplatom preko e-pošte.
  • Napravite svaki zahtev ručno i odgovorite u roku od mesec dana.

 

8. Pripremite se za povrede bezbednosti

Jedan od ključnih tačaka GDPR-a je bezbednost podataka. Bez obzira na veličinu ili vrstu preduzeća, obavezno je da podaci budu uvek bezbedni i da se povrede bezbednosti prijavljuju u roku od 72 časa.

Spisak aktivnosti

  • Razvijte plan za rešavanje povredama bezbednosti.
  • Primenite odgovarajući nivo enkripcije na svim uređajima u kompaniji.
  • Razmotrite primenu potvrde identiteta sa dva faktora za sve zaposlene.
  • Pobrinite se da IT infrastruktura bude bezbedna. Proverite oblasti visokog rizika i popravite ih.
  • Bez obzira na to da li se prebacujete na nove sisteme ili nadograđujete postojeće, privatnost treba da bude ugrađena dizajnom.
  • Sve datoteke, serveri i računari treba da budu zaštićeni od neovlašćenog pristupa.

 

9. Vodite računa o posebnim zahtevima GDPR-a

Opšta (EU) uredba o zaštiti podataka navodi da svako preduzeće koje pruža digitalne usluge deci mora da proveri njihov uzrast i dobije pristanak roditelja ili staratelja za obradu njihovih podataka. Samo deca od 16 ili više godina imaju pravo da zakonito daju pristanak.

Spisak aktivnosti

  • Pobrinite se da imate uspostavljene sisteme za proveru starosti nekog lica.
  • Uvek se potrudite da dobijete pristanak roditelja ili staratelja pre obrade podataka o deci.
  • Sva obaveštenja o privatnosti namenjena deci moraju biti napisana tako da ih ona razumeju.

 

10. Imenujte ovlašćeno lice za zaštitu podataka (DPO)

Organizacije koje obrađuju posebne kategorije podataka o ličnosti, kao što su podaci koji se odnose na krivična dela i presude, moraju da imenuju ovlašćeno lice za zaštitu podataka. Isto se odnosi i na državne organe i preduzeća koja obrađuju velike količine podataka.

Čak i ako ne spadate u ove kategorije, DPO može da osigura usaglašenost zaštite podataka u okviru vaše organizacije. Njegova/njena uloga je da upravlja i nadgleda i podatke i procese neophodne za postizanje usaglašenosti.

Spisak aktivnosti

  • Utvrdite da li ste u obavezi da imenujete DPO-a. Pojedinac koji će imati ovu ulogu može da bude spoljni pružalac usluga ili član osoblja. On/ona će odgovarati najvišem nivou rukovodstva.
  • Ako vam nije neophodan DPO, pobrinite se da neko unutar organizacije bude odgovoran za zaštitu podataka.
  • Obezbedite DPO-u odgovarajuće resurse za obavljanje njegovih zadataka.

 

11. Pripremite se za novu eru privatnosti podataka

Zapamtite: GDPR je dobra stvar. Mislite o tome kao o katalizatoru inovacija i bezbednosti.
Ne samo da pojedincima daje veću kontrolu nad njihovim podacima već takođe drži organizacije odgovornim za način na koji rukuju osetljivim informacijama i kako ih obrađuju. Pored toga, obezbeđuje doslednost u pogledu zaštite i privatnosti podataka.
Zahvaljujući tome, organizacije će steći bolje razumevanje o tome kako da efikasno obrađuju podatke o ličnosti i saznaće više o ponašanju svojih klijenata.