Svakodnevno svjedočimo situacijama da tvrtke, javne institucije, škole, tijela vlasti i ostali u Hrvatskoj smatraju da su izradom internog Pravilnika o zaštiti podataka ispunili obveze prema GDPR-a.

Posebice svjedočimo epidemiji kopiranja teksta Pravilnika bez imalo prilagođavanja objektivnim okolnostima i konkretnim postupcima obrada osobnih podataka u pojedinom pravnom subjektu.

Vjerujemo da ste već puno puta unutar naših objava vidjeli poruke da izrada "papira" nije nimalo dostatna za stvarno postizanje usklađenosti pravnog subjekta s GDPR obvezama te da predstavlja zavaravanje samih sebe.

Jako nam se dopao tekst kojim se Informacijski pooblaščenec, odnosno, slovenski AZOP, izravno osvrnuo na izrade i kopiranje pravilnika o zaštiti osobnih podataka, možete ga vidjeti na ovoj stranici:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori/

a mi ovdje navodimo prijevod, pročitajte:

"Što je s pravilnicima o zaštiti osobnih podataka? Jel obavezan?

- GDPR izričito ne zahtijeva izradu posebnih pravilnika o opisu sigurnosnih mjera, ali preporučamo njegovu izradu.

- Ako već imate pravilnik, posebno provjerite jesu li njegove odredbe zapravo provedene u praksi.

- Nemojte kopirati niti jedan dio pravilnika, ako niste uveli nikakve sigurnosne mjere.

- Molimo opišite ono što ste zaista napravili, i upoznajte svoje zaposlenike o pravilima (oni također mogu potpisati izjavu o upoznavanju s pravilima).

- Ako ste ozbiljna i odgovorna tvrtka, onda je ispravno da u svojim internim propisima imate postavljena pravila kako zaštititi osobne podatke od gubitka, neovlaštenog pristupa i drugih zlouporaba."