Pogledajmo prvo temeljne zahtjeve:

- imamo li dokaz da smo educirali sve zaposlenike koji rade s osobnim podacima?

- imamo li evidenciju aktivnosti obrada?

- znamo li za sve postupke obrada osobnih podataka u organizaciji i tko ih vodi te gdje ih spremamo i kome dajemo?

- imamo li evidenciju kategorija aktivnosti obrada ako smo izvršitelj obrade?

- jesmo li definirali procedure postupanja u slučaju zaprimanja zahtjeva za pravima ispitanika, odnosno, zaposlenika, bivših zaposlenika, kandidata koje nismo zaposlili, klijenata, predstavnika poslovnih suradnika i nepoznatih osoba?

- imamo li evidenciju povreda podataka?

- jesmo li definirali proceduru upravljanja povredama osobnih podataka i pripremili obrasce za prijavu AZOP-u?

- imamo li osobu koja brine o svim aspektima zaštite osobnih podataka koja će dati tražene odgovore?

- imamo li evidenciju prikupljenih privola i zašto smo ih prikupljali?

- imamo li proceduru zapošljavanja i upravljanja zamolbama kandidata?

- jesmo li izvijestili sve zaposlenike kako postupamo s njihovim osobnim podacima, i imamo li pri ruci kopiju takve obavijesti?

- jesmo li uskladili ugovore sa zaposlenicima i interne pravilnike?

- imamo li politiku privatnosti na web stranicama?

- imamo li potpisane ugovore o zaštiti podataka s vanjskim knjigovodstvom, održavateljima IT opreme i videonadzora, dobavljačima poslovnih aplikacija, pružateljima usluga zaštite na radu, web hostinga, newsletter usluga i s ostalim vanjskim izvršiteljima?

- imamo li interni akt o video nadzoru i popis osoba koje imaju pravo pristupa snimkama video nadzora, uvedene automatizirane logove na sustavu video nadzora i naljepnice prije ulaska u perimetar kamere?

- imamo li lozinke i backup na računalima?

- osiguravamo li čiste radne stolove nakon završetka radnog vremena?

- zaključavamo li ormare s osjetljivim dokumentima?

- znamo li tko sve ima ključeve od prostorija i ormara u kojima držimo povjerljivu dokumentaciju ili servere?

 

Ovakav inicijalni popis je samo praktični početak.

I nema veze s konkretnim razlogom dolaska predstavnika nadzornog tijela niti konkretne poveznice s vašim poslovanjem i konkretnim obradama podataka. Jer će nadzorno tijelo doći u posjetu prvenstveno u slučaju prijave od strane neke osobe ili u slučaju povrede podataka, odnosno, za konkretan slučaj. A u takvim je slučajevima neophodno pripremiti niz dokumenata kako biste dokazali da radite u skladu s načelom pouzdanosti iz članka 5. GDPR-a.