Pogledajmo prvo temeljne zahtjeve:
- imamo li dokaz da smo educirali sve zaposlenike koji rade s osobnim podacima?
- imamo li evidenciju aktivnosti obrada?
- znamo li za sve postupke obrada osobnih podataka u organizaciji i tko ih vodi te gdje ih spremamo i kome dajemo?
- imamo li evidenciju kategorija aktivnosti obrada ako smo izvršitelj obrade?
- jesmo li definirali procedure postupanja u slučaju zaprimanja zahtjeva za pravima ispitanika, odnosno, zaposlenika, bivših zaposlenika, kandidata koje nismo zaposlili, klijenata, predstavnika poslovnih suradnika i nepoznatih osoba?
- imamo li evidenciju povreda podataka?
- jesmo li definirali proceduru upravljanja povredama osobnih podataka i pripremili obrasce za prijavu AZOP-u?
- imamo li osobu koja brine o svim aspektima zaštite osobnih podataka koja će dati tražene odgovore?
- imamo li evidenciju prikupljenih privola i zašto smo ih prikupljali?
- imamo li proceduru zapošljavanja i upravljanja zamolbama kandidata?
- jesmo li izvijestili sve zaposlenike kako postupamo s njihovim osobnim podacima, i imamo li pri ruci kopiju takve obavijesti?
- jesmo li uskladili ugovore sa zaposlenicima i interne pravilnike?
- imamo li politiku privatnosti na web stranicama?
- imamo li potpisane ugovore o zaštiti podataka s vanjskim knjigovodstvom, održavateljima IT opreme i videonadzora, dobavljačima poslovnih aplikacija, pružateljima usluga zaštite na radu, web hostinga, newsletter usluga i s ostalim vanjskim izvršiteljima?
- imamo li interni akt o video nadzoru i popis osoba koje imaju pravo pristupa snimkama video nadzora, uvedene automatizirane logove na sustavu video nadzora i naljepnice prije ulaska u perimetar kamere?
- imamo li lozinke i backup na računalima?
- osiguravamo li čiste radne stolove nakon završetka radnog vremena?
- zaključavamo li ormare s osjetljivim dokumentima?
- znamo li tko sve ima ključeve od prostorija i ormara u kojima držimo povjerljivu dokumentaciju ili servere?
Ovakav inicijalni popis je samo praktični početak.
I nema veze s konkretnim razlogom dolaska predstavnika nadzornog tijela niti konkretne poveznice s vašim poslovanjem i konkretnim obradama podataka. Jer će nadzorno tijelo doći u posjetu prvenstveno u slučaju prijave od strane neke osobe ili u slučaju povrede podataka, odnosno, za konkretan slučaj. A u takvim je slučajevima neophodno pripremiti niz dokumenata kako biste dokazali da radite u skladu s načelom pouzdanosti iz članka 5. GDPR-a.