Uvod
GDPR je Opća uredba o zaštiti osobnih podataka koja se primjenjuje od 25. svibnja 2018. godine i predstavlja najznačajniju promjenu vezanu uz zaštitu osobnih podataka u posljednja dva desetljeća. Dizajnirana i izvedena je na takav način da u potpunosti ispunjuje potrebe digitalnog doba.
Dvadeset i prvo stoljeće donosi širu primjenu tehnologije u svakodnevnom životu, kao i nove definicije osobnih podataka. Cilj GPDR-a jest standardizirati zakone o zaštiti podataka na području Europske unije i time pružiti pojedincima veća i konzistentnija prava vezana uz pristup i kontrolu njihovim osobnim informacijama.
Naša predanost zaštiti podataka
Prova Zadar (u tekstu označeno kao i mi, naše) je u potpunosti predana cilju pružanja sigurnosti i zaštite osobnih podataka korisnika koji se obrađuju, kao i pružiti svojim korisnicima konzistentan pristup zaštiti podataka. Uvijek smo nastojali imati robustan i efektivan program zaštite podataka koji je u skladu s aktualnim zakonima, kao i osnovnim principima zaštite podataka. Unatoč tome, prepoznajemo potrebu za njegovim unapređenjem kako bi u potpunosti zadovoljio smjernice GDPR-a i zakone Republike Hrvatske.
Kako se pripremamo za GPDR
Prova Zadar na svim organizacijskim razinama ima konzistentnu razinu politiku i procese zaštite podataka, no kako bismo do 25. svibnja 2018. godine u potpunosti bili usklađeni sa smjernicama GDPR-a, proveli smo sljedeće korake:
- Reviziju informacija – na svim organizacijskim razinama je provedena revizija prikupljenih osobnih podataka, odnosno provjeren je njihov sadržaj, način na koji su prikupljeni, zašto se obrađuju i kome se otkrivaju.
- Politika i procedure – provedene su revizije i uvedene nove politike i procedure zaštite podataka koje ispunjavaju sve potrebe GDPR-a i svih pripadajućih zakona te uključuju sljedeće:
- Zaštita podataka – glavni dokument o politici i postupku zaštite podataka revidiran je kako bi ispunio standarde i zahtjeve GDPR-a. Odgovornosti i mjere upravljanja su uspostavljene kako bi se osiguralo da razumijemo, adekvatno širimo i dokazujemo naše obveze i odgovornosti s posebnim naglaskom na privatnost dizajna i prava pojedinaca
- Zadržavanje i brisanje podataka – ažurirali smo pravila i raspored zadržavanja kako bismo osigurali da zadovoljavamo načela “minimiziranja podataka” i “ograničenja pohrane” te da se osobni podaci pohranjuju, arhiviraju i uništavaju etički i u skladu s njima. Imamo konkretne postupke brisanja kako bismo ispunili novu obvezu “prava na brisanje” i svjesni smo kad se primjenjuju i ostala prava subjekta podataka – uz sve izuzetke, vremenske okvire odgovora i odgovornosti za obavještavanje
- Upravljanje prekršajima – naši postupci upravljanja prekršajima predstavljaju zaštitne mjere i postupke kako bismo identificirali, procijenili, istražili i prijavili kršenje osobnih podataka što je prije moguće. Naši postupci su robusni i dostupni svim zaposlenicima, a predstavljaju niz konkretnih koraka koje treba provesti.
- Međunarodni prijenosi podataka i objavljivanje trećim strana – gdje Prova Zadar pohranjuje ili prenosi osobne podatke izvan EU-a, postoje robusni postupci i zaštitne mjere kojima su podaci osigurani, šifrirani i održana je njihova cjelovitost. Naši postupci uključuju kontinuirani pregled zemalja s dovoljnim odlukama o adekvatnosti, kao i odredbe o obvezujućim korporativnim pravilima, kao i standardne klauzule zaštite podataka ili odobrenih kodeksa ponašanja za one zemlje bez dotičnih odluka. Provodimo stroge provjere o dubinskom pregledu sa svim primateljima osobnih podataka kako bismo procijenili i potvrdili da imaju odgovarajuće zaštitne mjere kako bi zaštitili informacije, osigurali provediva prava na predmetne podatke i imali učinkovite pravne lijekove za subjekte podataka gdje je to primjenjivo.
- Zahtjev za pristup subjektu (Subject Access Request – SAR) – izmijenili smo procedure SAR-a kako bismo udovoljili izmijenjenom vremenskom okviru od 30 dana za pružanje traženih informacija i za besplatnu naplatu ove odredbe. Naši novi postupci detaljno potvrđuju podatke, koje korake poduzimaju za obradu zahtjeva za pristup, koja se izuzeća primjenjuju i niz predložaka odgovora kako bi se osiguralo da su komunikacija s podacima o podacima sukladna, dosljedna i odgovarajuća.
- Pravni temelj za obradu – pregledavamo sve aktivnosti obrade kako bismo utvrdili pravne osnove za obradu i osiguranje na takav način da svaka baza bude prikladna za djelatnost na koju se odnosi. Tamo gdje je primjenjivo, također vodimo evidenciju o obradbenim aktivnostima, osiguravajući da su ispunjene obveze prema članku 30. GDPR-a i Priloga 1 Zakona o zaštiti podataka
- Obavijest i pravila privatnosti – izmijenili smo obavijesti o privatnosti kako bismo se pridržavali GDPR-a, čime je osigurano da svi pojedinci čiji se osobni podaci obrađuju budu obaviješteni o tome zašto su nam podaci potrebni, kako se koriste, koja su njihova prava i koje zaštitne mjere postoje kako bi se podaci zaštitili.
- Dobivanje suglasnosti – revidirali smo mehanizme pristanka za prikupljanje osobnih podataka, osiguravajući da pojedinci razumiju ono što pružaju, zašto i kako ih upotrebljavamo te dajemo jasne i definirane načine da pristanu na obradu osobnih informacija. Razvili smo stroge postupke za snimanje pristanka, pazeći da možemo dokazati potvrdni opt-in, zajedno s vremenom i datumom zapisa. Na ovaj način lako je vidjeti i pristupiti načinu povlačenja suglasnosti u bilo kojem trenutku.
- Izravni marketing – revidirali smo tekst i postupke za izravni marketing te uključili jasne mehanizme za prijavu u direktni pretplatnički marketing (newsletter), kao i jasnu obavijest i način otklanjanja i pružanja značajki otkazivanja pretplate na svim naknadnim marketinškim materijalima
- Procjena utjecaja na zaštitu podataka (Data Protection Impact Assessments – DPIA) – gdje obrađujemo osobne podatke koji se smatraju visokim rizikom, uključujući obradu velikih razmjera ili podatke o posebnim kategorijama/kaznenim uvjerenjima, razvili smo stroge postupke i predloške procjene za provođenje procjena utjecaja koji su u potpunosti u skladu sa zahtjevima članka 35. GDPR-a. Proveli smo dokumentacijske procese koji bilježe svaku procjenu, omogućuju nam da procjenjujemo rizik koji predstavlja obrada i provode mjere ublažavanja kako bismo smanjili rizik koji je izložen predmetu.
- Ugovori o vanjskoj obradi podataka – gdje koristimo neku treću stranu za obradu osobnih podataka u naše ime (npr. plaće, zapošljavanje, hosting i slično), sastavili smo odgovarajuće ugovore o procesima i postupke dubinske analize kako bismo osigurali da je sve u skladu s našim i njihovim obvezama prema GDPR-u. Ove mjere uključuju početne i stalne revizije pružene usluge, nužnost djelatnosti obrade, tehničke i organizacijske mjere i usklađenost s GDPR-om.
- Podaci posebne kategorije – u situacijama gdje pribavljamo i obrađujemo podatke posebne kategorije, svi su postupci u skladu s zahtjevima članka 9. i prisutno je šifriranje i zaštita na visokoj razini nad svim podacima ovog tipa. Podaci posebne kategorije obrađuju se samo tamo gdje je to potrebno i obrađuju se samo kada smo najprije identificirali odgovarajuću bazu članka 9. stavka 2. ili uvjet Priloga 1 Zakona o zaštiti podataka. Tamo gdje se oslanjamo na suglasnost za obradu, eksplicitno je potvrđeno potpisom, s pravom na izmjenu ili uklanjanje pristanka koji je jasno označen
Prava osobe čiji su podaci prikupljeni
Pored prethodno navedenih pravila i postupaka kojima se pojedincima mogu osigurati njihova prava na zaštitu podataka, pružamo pristup putem naših web stranica o pravu pojedinca za pristup svim osobnim podacima koje Prova Zadar obrađuje o njima. Osobe čiji su podaci prikupljeni imaju pravo zatražiti informacije o:
- Svim osobnim podacima koje posjedujemo o njima
- Svrsi obrade podataka
- Kategorijama osobnih podataka koje se obrađuju
- Svim stranama koje će imati uvid u osobne podatke
- Kako dugo će osobni podaci biti pohranjeni
- Izvoru podataka, ukoliko nismo prikupili podatke osobno od njih
- Pravu na ispravljanje nepotpunih ili pogrešnih podataka o njima, kao i procesu za pokretanje ispravljanja i nadopune podataka
- Pravu o zahtjevu za brisanje osobnih podataka ili zahtjevu za ograničavanje obrade podataka u skladu sa svim relevantnim zakonima za zaštitu podataka te pravu za ulaganje prigovora na bilo koji oblik direktnog marketinga prema njima i dobivanju uvida u sve automatizirane procese direktnog marketinga kojima je on proveden
- Pravu za ulaganju prigovora ili traženju pravnog lijeka te koga je potrebno kontaktirati u tim situacijama
Sigurnost informacija te tehničko/organizacijske mjere
Prova Zadar ozbiljno shvaća privatnost i sigurnost pojedinaca, kao i njihovih osobnih podataka te poduzima sve razumne mjere i mjere opreza kako bi podaci koji se obrađuju bili zaštićeni. Postoje robusne sigurnosne politike i procedure za zaštitu osobnih podataka od neovlaštenog pristupa, izmjene, otkrivanja ili uništenja koje imaju nekoliko slojeva sigurnosnih mjera, uključujući:
- SSL
- Kontrolu pristupa
- Pravila o lozinkama
- Šifriranje
- Pseudonimizacija
- Prakse
- Ograničenja
- IT
- Autentifikacija
GDPR uloge i zaposlenici
U ime Prova Zadar je određen Davor Bajlo kao osoba zadužena za sigurnost podataka te je formirana grupa zadužena za implementaciju pravila i procedura u skladu s GDPR-om. Dotična grupa je zadužena za promicanje svijesti o GDPR-u u organizaciji, razumijevanje zaposlenika te kontinuiranu usklađenost s GDPR-om. Proveden je program osposobljavanja zaposlenika koji će biti dostupan svim zaposlenicima prije 25. svibnja 2018., a dio je i godišnjeg programa obuke na razini cjelokupne organizacije.