Zasigurno je mnogim tvrtkama, obrtima i ustanovama tema GDPR-a prilično strana i preteška.
I često se odlučuju na korak ”idem napraviti samo neke nužne dokumente” traženjem najjeftinijih ponuđača “špranci”.
Da li znamo kada će nam biti potrebni takvi ”špranca” dokumenti?
Oni iskreniji priznaju da im uopće nisu potrebni i drže ih u registratoru za slučaj da AZOP dođe u nadzor. Točno?
AZOP će svakako izaći u nadzor po prijavi, kada vas netko od vaših klijenata, korisnica, kupaca, zaposlenika, bivših zaposlenika, potencijalnih zaposlenika i drugih osoba prijavi AZOP-u za nepoštivanje obveza zaštite njihovih osobnih podataka, nedovoljne transparentnosti i obavijesti o zaštiti podataka ili neispunjenja prava pojedinaca.
AZOP će izaći u nadzor i u slučajevima projavljene ili naknadno otkrivene povrede podataka, kao npr. curenja osobnih podataka i dokumentacije, neovlaštenih objava na internetu ili društvenim mrežama, gubitka ili krađe laptopa, USB stickova, hakerskih napada, nestanka ili krađe dokumentacije, nesigurnog zbrinjavanja dokumentacije i nizu sličnih slučajeva.
Vratimo se sad natrag na našu dokumentaciju koju nam je netko jeftino izradio.
Jesmo li svjesni da nam ta dokumentacija puna raznih obrazaca, pravilnika o zastiti podataka, špranci i tekstova neće nimalo koristiti u slučajevima nadzora AZOP-a?
Jesmo li svjesni da nam je takva jeftina dokumentacija zapravo najskuplje rješenje:
- bez stvarnog poznavanja GDPR-a,
- bez edukacije svih zaposlenika,
- bez dubinske analize svih procesa obrade podataka, svih baza i aplikacija i arhive,
- bez analize rizika i odstupanja od GDPR okvira,
- bez uvođenja nezaobilaznih mjera informacijske sigurnosti i
- bez neophodnih stvarnih mjera zaštite privatnosti svih osoba čiji su nam osobni podaci povjereni.
Ne samo zbog mogućih kazni već zbog nepovratnog gubitka reputacije.
I konačno pitanje: radimo li usklađivanje s GDPR obvezama radi AZOP-a ili radi zaštite osobnih podataka pojedinaca koji su nam povjereni?