Pogledajmo tekst članka 5. stavka 2. GDPR-a koji kaže, citiramo:
"Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati („pouzdanost”)."
To znači da moramo moći dokazati našu usklađenost s 5 temeljnih načela GDPR-a, odnosno:
- "zakonitost, poštenost i transparentnost” - da su svi osobni podaci koje obrađujemo prikupljeni i obrađivani temeljem ispravno utvrđenog pravnog temelja, da su pošteno prikupljeni i obrađivani i da smo osigurali pravovremenu i potpunu informiranost svih osoba čije osobne podatke smo prikupili
- "ograničavanje svrhe” - moramo imati jasno prepoznate i definirane izričite i zakonite svrhe prikupljanja osobnih podataka
- "smanjenje količine podataka” - osobni podaci koje obrađujemo moraju biti usko vezani za svrhu prikupljanja i obrade, ograničeni i nužni s obzirom na svrhu
- "točnost" - osobni podaci moraju biti točni i ažurni i da se mogu pravovremeno ispraviti u točne
- "ograničenje pohrane" - osobni podaci kojima raspolažemo moraju biti pohranjeni samo u onim rokovima koji su nužni za opravdane i zakonite svrhe, a nakon toga trajno i na siguran način izbrisani
- "cjelovitost i povjerljivost” - organizacija mora osigurati sigurnost osobnih podataka, uključujući sprječavanje neovlaštenog ili nezakonitog pristupa, ograničenje pristupa neovlaštenim osobama, zaštitu od krađe, uništenja, neovlaštenog kopiranja ili izmjena, slučajnog gubitka, sa svrhom osiguranja integriteta i tajnosti osobnih podataka i osiguranja kontinuiteta poslovanja.
Kao što vidimo, da bismo dokazali našu usklađenost potrebna je sveobuhvatna dokumentiranost implementiranih mjera usklađivanja s GDPR obvezama.
Kao što vidimo, da bismo dokazali našu usklađenost potrebna je sveobuhvatna dokumentiranost implementiranih mjera usklađivanja s GDPR obvezama.
Kao što vidimo, da bismo dokazali našu usklađenost potrebna je sveobuhvatna dokumentiranost implementiranih mjera usklađivanja s GDPR obvezama.
Bez brige, namjerno smo ovu rečenicu ponovili više puta jer je ključna.
Posebno je ključan termin "implementiranih mjera usklađivanja".
Drugim riječima, prvo se moraju implementirati mjere da bi se iste mogle kasnije dokumentirati.
A da bismo znali koje mjere moramo poduzeti, moramo pronaći sve osobne podatke u organizaciji, sve sustave i baze u kojima se nalaze, unutar i izvan organizacije, sve ladice, sefove i ormare, sve odjele, službe i odgovorne osobe, sve puteve kolanja osobnih podataka unutar i izvan organizacije, sve vanjske partnere koji nam pomažu u obradama podataka i sve pripadajuće mjere informacijske sigurnosti zajedno s pripadajućim rizicima.
Kad napravimo takvu dubinsku analizu stanja i znamo "istinu", tada, uz detaljno poznavanje GDPR-a prepoznajemo i sve neusklađenosti, manjak informacija pojedincima čije osobne podatke imamo ili nezakonite obrade ili preduge rokove pohrane ili previše osobnih podataka s obzirom na svrhe ili nedostatke u informacijskoj sigurnosti i nemogućnosti svođenja rizika na minimum prihvatljivosti ili ...
I kad sve to napravimo, nešto nam nedostaje - redovita edukacija zaposlenika koji rade s osobnim podacima, kao neizbježnu komponentu osiguranja usklađenosti na svim razinama i područjima poslovanja.
Sad kad smo sve te mjere uveli i implementirali, i educirali zaposlenike, dokumentirajmo ih zajedno s pravilima ponašanja i postupanja s osobnim podacima.
Kao što vidimo, dokumentacija mora biti rezultat prethodno izvršenih nezaobilaznih aktivnosti i mjera usklađivanja, drugim riječima - implementacije i razumijevanja poduzetih mjera.
Dokumentacija bez prethodno implementiranih mjera usklađivanja, bez razumijevanja teme i bez prethodne edukacije zaposlenika nije dovoljna da bismo dokazali usklađenost iz članka 5. stavka 2. GDPR-a.
