GDPR usklađenost za tehničke i organizacijske mjere.
Pomažemo hrvatskim tvrtkama prevesti GDPR u konkretne mjere zaštite: evidencija aktivnosti obrade, enkripcija i kontrola pristupa, backup, procedura prijave povrede u 72 sata i dokumentacija spremna za AZOP. Pravni dio ostaje na pravniku ili DPO-u.
GDPR usklađenost počinje mjerama koje se mogu dokazati, ne šablonom.
Opća uredba o zaštiti podataka (GDPR, Uredba EU 2016/679) primjenjuje se izravno u Hrvatskoj od 25. svibnja 2018., zajedno sa Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), a nadzor provodi Agencija za zaštitu osobnih podataka (AZOP). Za većinu tvrtki prvo pitanje nije definicija, nego: koje mjere zaštite osobnih podataka stvarno imamo i možemo li ih dokazati?
Vi-Di.me GDPR-u pristupa s tehničke i organizacijske strane (članak 32. Uredbe): evidencija aktivnosti obrade, enkripcija i kontrola pristupa, sigurna pohrana, backup i oporavak, evidentiranje i prijava povreda te dokumentacija koju uprava, IT i vanjski suradnici mogu koristiti kao dokaz provedbe.
Nismo odvjetnički ured i ne dajemo pravne savjete. Pravna kvalifikacija obrade, privole, ugovori o obradi (čl. 28), procjena zakonitosti i imenovanje službenika za zaštitu podataka (DPO) ostaju na pravniku ili DPO-u; mi implementiramo, testiramo i dokumentiramo tehničke mjere koje ta pravna slika zahtijeva.
Gdje GDPR najčešće postane stvarni rizik
Kazne idu do 20 milijuna eura ili 4% prometa
Za najteže povrede GDPR (čl. 83) predviđa upravne kazne do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. U Hrvatskoj nadzor provodi i kazne izriče AZOP.
Povreda podataka bez procedure prijave
Kod curenja, gubitka ili neovlaštenog pristupa podacima voditelj obrade mora povredu prijaviti AZOP-u bez odgode, u pravilu u roku od 72 sata (čl. 33). Bez unaprijed pripremljene procedure taj se rok lako propusti.
Obrada se ne može dokazati nadzornom tijelu
Bez evidencije aktivnosti obrade (čl. 30) i dokumentiranih mjera teško je pokazati što se, zašto i kako obrađuje, tko ima pristup podacima i koliko se dugo čuvaju.
Gubitak povjerenja klijenata i partnera
Incident s osobnim podacima ne nosi samo regulatorni rizik. Gubitak povjerenja klijenata, zaposlenika i poslovnih partnera često je dugoročno skuplji od same kazne.
Što Vi-Di.me priprema i uvodi
Analiza obrade i GAP
Popisujemo kako i gdje tvrtka obrađuje osobne podatke (zaposlenici, klijenti, dobavljači, web, marketing) i uspoređujemo stvarno stanje s tehničkim i organizacijskim zahtjevima Uredbe.
Evidencija aktivnosti obrade (čl. 30)
Izrađujemo ili uređujemo evidenciju aktivnosti obrade: svrhe, kategorije osobnih podataka i ispitanika, primatelji, rokovi čuvanja i primijenjene sigurnosne mjere.
Tehničke i organizacijske mjere (čl. 32)
Uvodimo enkripciju, kontrolu pristupa i MFA, sigurnu pohranu, backup i testirani oporavak te politike koje smanjuju rizik neovlaštenog pristupa i gubitka podataka.
Procedura prijave povrede (72 h)
Postavljamo postupak evidentiranja, procjene i prijave povrede osobnih podataka AZOP-u u roku od 72 sata (čl. 33) te obavještavanja ispitanika kada je rizik visok (čl. 34).
Priprema za DPIA
Kada obrada nosi visok rizik za prava pojedinaca, pripremamo tehničku podlogu za procjenu učinka na zaštitu podataka (DPIA, čl. 35) koju vodi i potvrđuje pravnik ili DPO.
Kako radimo GDPR usklađenost bez pravnih overclaimova
Dogovorimo opseg i kontekst: koje osobne podatke tvrtka obrađuje, u kojim sustavima i tko im pristupa; pravnu kvalifikaciju obrade potvrđuje pravnik ili DPO.
Napravimo GAP analizu obrade i usporedimo stvarno stanje s tehničkim i organizacijskim zahtjevima Uredbe (čl. 5, 6 i 32).
Izradimo ili uredimo evidenciju aktivnosti obrade (čl. 30) i popis primijenjenih sigurnosnih mjera.
Uvedemo prioritetne tehničke mjere (čl. 32): enkripcija, kontrola pristupa i MFA, sigurna pohrana te backup s testiranim oporavkom.
Postavimo proceduru prijave povrede u 72 sata (čl. 33/34) i, gdje je potrebno, tehničku podlogu za DPIA (čl. 35).
Predamo dokumentaciju, preporučimo mjesečni ritam provjere i suradnju s pravnikom ili DPO-om za pravni dio usklađenosti.
Kontrole i tehnologije koje povezujemo s GDPR mjerama
Pravnik ili DPO
Za pravnu kvalifikaciju obrade, privole, ugovore o obradi i imenovanje službenika za zaštitu podataka surađujemo s pravnikom ili DPO-om kojeg tvrtka odabere.
Nastavite prema povezanim vodičima.
Glavni hub kibernetičke sigurnosti
Širi pregled rizika, kontrola, partnera i provjerenih izvora za hrvatske tvrtke.
OtvoriOsobna sigurnost i privatnost
Zaštita osobnih podataka, uređaja i računa na razini pojedinca i zaposlenika.
OtvoriSigurnosni audit tvrtke
Praktična provjera emaila, računa, backup-a i pristupa koja hrani i GDPR tehničke mjere.
OtvoriEmail sigurnost i DMARC
SPF, DKIM, DMARC i zaštita poslovne domene od zloupotrebe i curenja podataka.
OtvoriZKS/NIS2 priprema
Tehničke i organizacijske kontrole koje se preklapaju s GDPR mjerama sigurnosti obrade.
OtvoriProvjerljive informacije.
Uredba (EU) 2016/679 (Opća uredba o zaštiti podataka)
Zakon o provedbi Opće uredbe o zaštiti podataka, NN 42/2018
Agencija za zaštitu osobnih podataka (AZOP)
Izvješćivanje o povredi osobnih podataka (čl. 33 i 34)
Vaša prava (prava ispitanika)
European Data Protection Board (EDPB)
Česta pitanja.
Što je GDPR?
GDPR je Opća uredba o zaštiti podataka (Uredba EU 2016/679) koja se u Hrvatskoj primjenjuje izravno od 25. svibnja 2018., uz Zakon o provedbi (NN 42/2018). Uređuje kako organizacije smiju prikupljati, čuvati i obrađivati osobne podatke fizičkih osoba te propisuje prava ispitanika i obveze voditelja i izvršitelja obrade.
Tko mora biti usklađen s GDPR-om?
U pravilu svaka organizacija koja obrađuje osobne podatke pojedinaca u EU, bez obzira na veličinu, od obrta i malih tvrtki do velikih sustava. Opseg obveza ovisi o vrsti i količini obrade, a konačnu pravnu kvalifikaciju daje pravnik ili DPO.
Treba li nam službenik za zaštitu podataka (DPO)?
Imenovanje DPO-a (čl. 37) obvezno je za tijela javne vlasti te organizacije čija se osnovna djelatnost sastoji od redovitog i sustavnog praćenja ispitanika u velikom opsegu ili obrade posebnih kategorija podataka. Je li Vaša tvrtka obveznik, procjenjuje pravnik ili DPO, a mi pripremamo tehničku podlogu.
Koliko su kazne za kršenje GDPR-a?
Za najteže povrede GDPR (čl. 83) predviđa upravne kazne do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Za lakše povrede gornji je prag 10 milijuna eura ili 2% prometa. U Hrvatskoj kazne izriče AZOP.
Što je evidencija aktivnosti obrade?
To je dokument iz članka 30. Uredbe u kojem voditelj obrade popisuje svrhe obrade, kategorije osobnih podataka i ispitanika, primatelje, rokove čuvanja i primijenjene sigurnosne mjere. Nadzorno tijelo (AZOP) može ju zatražiti na uvid.
Koji je rok za prijavu povrede osobnih podataka?
Voditelj obrade mora povredu prijaviti nadzornom tijelu (AZOP) bez nepotrebne odgode i, ako je izvedivo, najkasnije 72 sata nakon saznanja (čl. 33). Ako je vjerojatan visok rizik za pojedince, o povredi se obavještavaju i sami ispitanici (čl. 34). Svaka se povreda mora interno evidentirati bez obzira na obvezu prijave.
Koliko košta GDPR usklađenost?
Cijena ovisi o veličini tvrtke, broju sustava i količini obrade osobnih podataka. Nakon kratke analize stanja i opsega šaljemo konkretnu ponudu, a upit možete poslati putem kontakt stranice.
Radite li i pravni dio GDPR usklađenosti?
Ne. Vi-Di.me nije odvjetnički ured i ne daje pravne savjete. Radimo tehničku i organizacijsku usklađenost: mjere, evidencije, procedure i dokumentaciju. Ugovore o obradi, privole i pravnu procjenu potvrđuje pravnik ili DPO kojeg tvrtka odabere.
Pretvorimo GDPR u mjere koje se mogu dokazati.
Krenimo od analize obrade i jasnog prioriteta: što već imate, koje tehničke mjere nedostaju i što treba dokumentirati prije nego zatraži AZOP ili poslovni partner. Pravni dio prepuštamo Vašem pravniku ili DPO-u.