Prilikom niza razgovora s poslovnim subjektima vrlo često nailazimo na pitanja da li će i kada predstavnici nadležnog nadzornog tijela doći u nadzor, i koje papire treba imati spremne da se izbjegnu kazne.
Kad je zaštita privatnosti i osobnih podataka u pitanju, ne smijemo svoje usklađivanje s GDPR obvezama raditi da bismo zadovoljili predstavnike nadzornog tijela.
Moramo istinski unijeti puno poštivanje principa Privacy-by-default i Privacy-by-design u svoje poslovanje, ophođenje s podacima klijenata i zaposlenika, posebice djece, te staviti privatnost svih fizičkih osoba, čije podatke prikupljamo, na najvišu razinu zaštite. Nadležno nadzorno tijelo u pravilu je AZOP, ali moguća je situacija u određenim slučajevima da i predstavnici nadzornih tijela iz drugih EU zemalja članica sudjeluju u nadzoru.
Nadzor nadležnog tijela zasigurno će se dogoditi ukoliko je tvrtka, obrt, institucija, tijelo javne ili lokalne vlasti, poslovni subjekt i pravna osoba svake vrste, nešto zgriješila po pitanju zaštite osobnih podataka, posebice temeljem zaprimljene prijave od strane kupca, klijenta, zaposlenika, bivšeg zaposlenika, kandidata za zaposlenje, studenta ili učenika na praksi, tržišnog konkurenta itd., ili ukoliko je došlo do povrede osobnih podataka ili nepostupanja po zahtjevu pojedinca za svojim pravima iz GDPR-a. Naravno, situacija postaje neugodnija ukoliko je slučaj popraćen i putem medija.
Međutim, moguć je i tzv. redoviti nadzor usklađenosti s GDPR obvezama, pa se ovdje vraćamo na pitanja sa samog početka. Da, papiri su itekako važni i potrebni, jer dokumentacijom voditelj ili izvršitelj obrade dokazuju poduzete mjere i ispunjenje obveza. Međutim, puno više od toga potrebno je razumijevanje tematike i ispravno postupanje.
Evo nekoliko praktičnih početnih pitanja za pripremu:
- tko je osoba u organizaciji koja vodi brigu o svim ili o većini aspekata zaštite podataka i rizicima obrada podataka?
- tko je osoba u organizaciji kod koje se nalazi sva ili većina GDPR dokumentacije i tko ju mijenja ukoliko je odsutna?
- tko u organizaciji zaprima i obrađuje sve zahtjeve za ostvarivanjem prava ispitanika iz GDPR-a i vodi brigu o rokovima izvršenja?
- tko u organizaciji određuje koje osobne podatke ćemo brisati u slučaju zaprimljenog zahtjeva za brisanjem?
- tko u organizaciji vodi brigu o ažuriranju evidencije aktivnosti obrada?
- tko vodi brigu o sklopljenim ugovorima o zaštiti podataka s vanjskim izvršiteljima obrada?
- tko je osoba u organizaciji kojoj prijavljujemo povrede podataka, koja vodi evidenciju povreda podataka i koja ih prijavljuje nadležnom tijelu?
- tko u organizaciji vodi evidencije prikupljenih i povučenih privola?
- tko ima pristup do snimki u sustavu video-nadzora ili GPS praćenju vozila?
- tko u organizaciji određuje rokove pohrane osobnih podataka i njihovo brisanje po isteku tih rokova?
- tko je osoba koja vodi brigu da su nam računala i računalna mreža zaštićeni a mobilni uređaji zaključani?
- tko je osoba u organizaciji koja zna sve procese, sustave i aplikacije koje koristimo u poslovanju za obrade osobnih podataka?
- tko u organizaciji određuje da li ćemo određene osobne podatke prikupljati temeljem privole ili nekim drugim pravnim temeljem?
Papiri nisu dovoljni, slažemo se?