Vrlo često dobivamo upite hoće li i kada nadzorno tijelo pokucati na naša vrata i što nam je činiti u tom slučaju.
 
Ovakva prečesto postavljana pitanja upućuju na činjenicu da se velik broj poslovnih subjekata u Hrvatskoj usklađuje s GDPR-om samo da bi zadovoljili formu i izbjegli kazne te pri tom bez nužnog prethodnog znanja "investiraju" u "neke papire, izjave, privole, pravilnike...."
 
Pri tom izostaje investicija u postizanje razumijevanja tematike kao ključne komponente nastupa u okolnostima eventualnog nadzora.
 
Štoviše, nadzor nadzornog tijela s prijetnjom kazni nastupit će prvenstveno i u pravilu u dva slučaja:
 
- prigovora ili prijave pojedinca na nezakonito postupanje vaše organizacije s njegovim osobnim podacima
 
- povrede ili kompromitiranja osobnih podataka.
 
U takvim slučajevima neophodno je poznavati područje zaštite podataka, dok će dokumentacija biti važna za dokazivanje vašeg razumijevanja i postupanja s GDPR obvezama. Kupljene šprance privola, izjava, pravilnika i sličnih univerzalnih dokumenata neće biti od koristi.
Puno je opravdanija i jeftinija investicija u kratkoročni angažman profesionalaca u tom području koji će vam dati edukaciju znanje, razumijevanje i prilagođenu dokumentaciju.
 
Ipak, povedeni primjerom nedavno objavljene ankete za male i srednje poduzetnike koju je AZOP objavio i o kojoj smo pisali, lako možemo razlučiti koji su temeljni opći zahtjevi za dokazivanje GDPR usklađenosti
 
- imamo li osobu koja brine o svim aspektima zaštite osobnih podataka koja će dati tražene odgovore?
 
- imamo li dokaz da smo educirali sve zaposlenike koji rade s osobnim podacima?
 
- imamo li evidenciju aktivnosti obrada?
 
- znamo li za sve postupke obrada osobnih podataka u organizaciji i tko ih vodi te gdje spremamo osobne podatke i kome dajemo?
 
- imamo li evidenciju kategorija aktivnosti obrada ako smo izvršitelj obrade?
 
- jesmo li definirali procedure postupanja u slučaju zaprimanja zahtjeva za pravima ispitanika, odnosno, zaposlenika, bivših zaposlenika, kandidata koje nismo zaposlili, klijenata, predstavnika poslovnih suradnika i nepoznatih osoba?
 
- imamo li evidenciju povreda podataka?
 
- jesmo li definirali proceduru upravljanja povredama osobnih podataka i pripremili obrasce za prijavu AZOP-u?
 
- imamo li proceduru zapošljavanja i upravljanja zamolbama kandidata?
 
- jesmo li izvijestili sve zaposlenike kako postupamo s njihovim osobnim podacima i imamo li pri ruci kopiju takve obavijesti?
 
- jesmo li uskladili ugovore sa zaposlenicima i interne pravilnike?
 
- imamo li politiku privatnosti na web stranicama?
 
- imamo li potpisane ugovore o zaštiti podataka s vanjskim knjigovodstvom, održavateljima IT opreme i videonadzora, dobavljačima poslovnih aplikacija, pružateljima usluga zaštite na radu, web hostinga, newsletter usluga i s ostalim vanjskim izvršiteljima?
 
- imamo li interni akt o video nadzoru i popis osoba koje imaju pravo pristupa snimkama video nadzora, uvedene automatizirane logove na sustavu video nadzora i naljepnice prije ulaska u perimetar kamere?
 
- imamo li lozinke i backup na računalima?
 
- osiguravamo li čiste radne stolove nakon završetka radnog vremena?
 
- zaključavamo li ormare s osjetljivim dokumentima?
 
- znamo li tko sve ima ključeve od prostorija i ormara u kojima držimo povjerljivu dokumentaciju ili servere?
 
Ovakav inicijalni popis je samo praktični početak.
 
Sve više poslovnih subjekata u posljednje vrijeme traži "drugo mišljenje" želeći provjeriti dosadašnju kvalitetu usklađenosti i mirnije spavati.
 
Mi ćemo reći: "Dva para očiju vide više od jednog"