Preskoči na sadržaj
GDPR USKLAĐENOST

GDPR usklađenost za tehničke i organizacijske mjere.

Pomažemo hrvatskim tvrtkama prevesti GDPR u konkretne mjere zaštite: evidencija aktivnosti obrade, enkripcija i kontrola pristupa, backup, procedura prijave povrede u 72 sata i dokumentacija spremna za AZOP. Pravni dio ostaje na pravniku ili DPO-u.

PROVJERA, PROVEDBA, DOKUMENTACIJA

GDPR usklađenost počinje mjerama koje se mogu dokazati, ne šablonom.

Opća uredba o zaštiti podataka (GDPR, Uredba EU 2016/679) primjenjuje se izravno u Hrvatskoj od 25. svibnja 2018., zajedno sa Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), a nadzor provodi Agencija za zaštitu osobnih podataka (AZOP). Za većinu tvrtki prvo pitanje nije definicija, nego: koje mjere zaštite osobnih podataka stvarno imamo i možemo li ih dokazati?

Vi-Di.me GDPR-u pristupa s tehničke i organizacijske strane (članak 32. Uredbe): evidencija aktivnosti obrade, enkripcija i kontrola pristupa, sigurna pohrana, backup i oporavak, evidentiranje i prijava povreda te dokumentacija koju uprava, IT i vanjski suradnici mogu koristiti kao dokaz provedbe.

Nismo odvjetnički ured i ne dajemo pravne savjete. Pravna kvalifikacija obrade, privole, ugovori o obradi (čl. 28), procjena zakonitosti i imenovanje službenika za zaštitu podataka (DPO) ostaju na pravniku ili DPO-u; mi implementiramo, testiramo i dokumentiramo tehničke mjere koje ta pravna slika zahtijeva.

Čl. 30
evidencija aktivnosti obrade
Čl. 32
tehničke i organizacijske mjere
72 h
rok za prijavu povrede (čl. 33)
AZOP
nadzorno tijelo u Hrvatskoj
RIZICI

Gdje GDPR najčešće postane stvarni rizik

Kazne idu do 20 milijuna eura ili 4% prometa

Za najteže povrede GDPR (čl. 83) predviđa upravne kazne do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. U Hrvatskoj nadzor provodi i kazne izriče AZOP.

Povreda podataka bez procedure prijave

Kod curenja, gubitka ili neovlaštenog pristupa podacima voditelj obrade mora povredu prijaviti AZOP-u bez odgode, u pravilu u roku od 72 sata (čl. 33). Bez unaprijed pripremljene procedure taj se rok lako propusti.

Obrada se ne može dokazati nadzornom tijelu

Bez evidencije aktivnosti obrade (čl. 30) i dokumentiranih mjera teško je pokazati što se, zašto i kako obrađuje, tko ima pristup podacima i koliko se dugo čuvaju.

Gubitak povjerenja klijenata i partnera

Incident s osobnim podacima ne nosi samo regulatorni rizik. Gubitak povjerenja klijenata, zaposlenika i poslovnih partnera često je dugoročno skuplji od same kazne.

ISPORUKA

Što Vi-Di.me priprema i uvodi

Analiza obrade i GAP

Popisujemo kako i gdje tvrtka obrađuje osobne podatke (zaposlenici, klijenti, dobavljači, web, marketing) i uspoređujemo stvarno stanje s tehničkim i organizacijskim zahtjevima Uredbe.

Evidencija aktivnosti obrade (čl. 30)

Izrađujemo ili uređujemo evidenciju aktivnosti obrade: svrhe, kategorije osobnih podataka i ispitanika, primatelji, rokovi čuvanja i primijenjene sigurnosne mjere.

Tehničke i organizacijske mjere (čl. 32)

Uvodimo enkripciju, kontrolu pristupa i MFA, sigurnu pohranu, backup i testirani oporavak te politike koje smanjuju rizik neovlaštenog pristupa i gubitka podataka.

Procedura prijave povrede (72 h)

Postavljamo postupak evidentiranja, procjene i prijave povrede osobnih podataka AZOP-u u roku od 72 sata (čl. 33) te obavještavanja ispitanika kada je rizik visok (čl. 34).

Priprema za DPIA

Kada obrada nosi visok rizik za prava pojedinaca, pripremamo tehničku podlogu za procjenu učinka na zaštitu podataka (DPIA, čl. 35) koju vodi i potvrđuje pravnik ili DPO.

Kako radimo GDPR usklađenost bez pravnih overclaimova

01

Dogovorimo opseg i kontekst: koje osobne podatke tvrtka obrađuje, u kojim sustavima i tko im pristupa; pravnu kvalifikaciju obrade potvrđuje pravnik ili DPO.

02

Napravimo GAP analizu obrade i usporedimo stvarno stanje s tehničkim i organizacijskim zahtjevima Uredbe (čl. 5, 6 i 32).

03

Izradimo ili uredimo evidenciju aktivnosti obrade (čl. 30) i popis primijenjenih sigurnosnih mjera.

04

Uvedemo prioritetne tehničke mjere (čl. 32): enkripcija, kontrola pristupa i MFA, sigurna pohrana te backup s testiranim oporavkom.

05

Postavimo proceduru prijave povrede u 72 sata (čl. 33/34) i, gdje je potrebno, tehničku podlogu za DPIA (čl. 35).

06

Predamo dokumentaciju, preporučimo mjesečni ritam provjere i suradnju s pravnikom ili DPO-om za pravni dio usklađenosti.

PARTNERI I TEHNOLOGIJE

Kontrole i tehnologije koje povezujemo s GDPR mjerama

FAQ

Česta pitanja.

Što je GDPR?

GDPR je Opća uredba o zaštiti podataka (Uredba EU 2016/679) koja se u Hrvatskoj primjenjuje izravno od 25. svibnja 2018., uz Zakon o provedbi (NN 42/2018). Uređuje kako organizacije smiju prikupljati, čuvati i obrađivati osobne podatke fizičkih osoba te propisuje prava ispitanika i obveze voditelja i izvršitelja obrade.

Tko mora biti usklađen s GDPR-om?

U pravilu svaka organizacija koja obrađuje osobne podatke pojedinaca u EU, bez obzira na veličinu, od obrta i malih tvrtki do velikih sustava. Opseg obveza ovisi o vrsti i količini obrade, a konačnu pravnu kvalifikaciju daje pravnik ili DPO.

Treba li nam službenik za zaštitu podataka (DPO)?

Imenovanje DPO-a (čl. 37) obvezno je za tijela javne vlasti te organizacije čija se osnovna djelatnost sastoji od redovitog i sustavnog praćenja ispitanika u velikom opsegu ili obrade posebnih kategorija podataka. Je li Vaša tvrtka obveznik, procjenjuje pravnik ili DPO, a mi pripremamo tehničku podlogu.

Koliko su kazne za kršenje GDPR-a?

Za najteže povrede GDPR (čl. 83) predviđa upravne kazne do 20 milijuna eura ili do 4% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće. Za lakše povrede gornji je prag 10 milijuna eura ili 2% prometa. U Hrvatskoj kazne izriče AZOP.

Što je evidencija aktivnosti obrade?

To je dokument iz članka 30. Uredbe u kojem voditelj obrade popisuje svrhe obrade, kategorije osobnih podataka i ispitanika, primatelje, rokove čuvanja i primijenjene sigurnosne mjere. Nadzorno tijelo (AZOP) može ju zatražiti na uvid.

Koji je rok za prijavu povrede osobnih podataka?

Voditelj obrade mora povredu prijaviti nadzornom tijelu (AZOP) bez nepotrebne odgode i, ako je izvedivo, najkasnije 72 sata nakon saznanja (čl. 33). Ako je vjerojatan visok rizik za pojedince, o povredi se obavještavaju i sami ispitanici (čl. 34). Svaka se povreda mora interno evidentirati bez obzira na obvezu prijave.

Koliko košta GDPR usklađenost?

Cijena ovisi o veličini tvrtke, broju sustava i količini obrade osobnih podataka. Nakon kratke analize stanja i opsega šaljemo konkretnu ponudu, a upit možete poslati putem kontakt stranice.

Radite li i pravni dio GDPR usklađenosti?

Ne. Vi-Di.me nije odvjetnički ured i ne daje pravne savjete. Radimo tehničku i organizacijsku usklađenost: mjere, evidencije, procedure i dokumentaciju. Ugovore o obradi, privole i pravnu procjenu potvrđuje pravnik ili DPO kojeg tvrtka odabere.

POČETNI RAZGOVOR

Pretvorimo GDPR u mjere koje se mogu dokazati.

Krenimo od analize obrade i jasnog prioriteta: što već imate, koje tehničke mjere nedostaju i što treba dokumentirati prije nego zatraži AZOP ili poslovni partner. Pravni dio prepuštamo Vašem pravniku ili DPO-u.