Odmah ćemo priznati, ako organizacija slijedi ove Smjernice EDPB-a na donjem linku, njena usklađenost s GDPR obvezama je praktički ispunjena. Ispunjenjem ovih obveza, odnosno, osiguravanje ispunjenja načela zaštite osobnih podataka iz članka 5. GDPR-a pri svakoj obradi i pri svakom razvoju novog sustava, nove obrade, nove aplikacije ili novog procesa, ispunjavaju se preduvjeti da učinkovitu zaštitu osobnih podataka kakvu GDPR traži i dokazivost iste u skladu s temeljnim načelom GDPR-a: načelom pouzdanosti ("Accountabilty").
 
Ovdje je link na smjernice EDPB-a (European Data Protection Board) donesene nakon javnog savjetovanja 20.11.2020.:
 
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en
 
Dobili smo jako dobro pitanje našeg vjernog pratitelja da se termin Data Protection by Design and by Default nigdje ne spominje u hrvatskoj verziji GDPR-a.
 
I u pravu je.
 
Hrvatski tekst GDPR-a uvodi termin "Tehnička i integrirana zaštita podataka" i predmet je članka 25. GDPR-a.
 
To je vrlo kratak članak, stoga je čitanje i usvajanje ovih Smjernica ključ osiguranja kontinuinirane usklađenosti. Po nama je prekratak i preopćenit te da organizacije često preskaču u analizi, a ako danas pogledamo najčešće razloge izricanja kazni u EU zbog nepoštivanja GDPR-a, jedan od njih je upravo članak 25.

Radi dokazivanja sukladnosti s GDPR-om voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka (data protection by design) i integrirane zaštite podataka (data protection by default).

Takve mjere mogle bi se, među ostalim, sastojati od:

- smanjenja količine obrade osobnih podataka s obzirom na svrhu,

- pseudonimizacije osobnih podataka što je prije moguće,

- transparentnosti u vezi s obradom osobnih podataka,

- omogućavanja pojedincu da prati obradu svojih osobnih podataka,

- omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke.

 

Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka.

 

Najlakši primjer je ovdje:

Tvrtka priprema objavu Politike privatnosti na vlastitim web stranicama kako bi osigurala obveze transparentnosti.

Takva Politika privatnosti ne smije biti preduga s nepreglednim nizom informacija kakve prosječnom čitatelju predstavljaju prepreku u čitanju i razumijevanju.

Mora biti pisana u jasnom i jednostavnom jeziku, nadasve razumljivom čitatelju da shvati kako se postupa s njegovim osobnim podacima.

Ako je tekst predugačak, treba koristiti slojevitu arhitekturu obavijesti, s kraćim uvodom i mogućnošću otvaranja dodatnih poglavlja, moguće i putem tzv. drop-down menija ili linkova na dodatne informacije.

Politika privatnosti mora biti lako dostupna, vidljiva sa svake podstranice web stranice, na jedan klik!!!

Uz Politiku privatnosti treba osigurati pravovremene kraće obavijesti o privatnosti s obzirom na specifičnu obradu osobnih podataka.

Na primjer, kod kontaktne forme na web stranici treba dati sažete i jasne informacije zašto se osobni podaci prikupljaju, jesu li nužni i u koju svrhu.

A mi bismo preporučili da se doda i link na Politiku privatnosti.