Iako je od početka primjene Opće uredbe o zaštiti osobnih podataka (GDPR) prošla godina dana, a od stupanja na snagu tri godine, što znači da je vremena za prilagodbu bilo više nego dovoljno, i dalje se javljaju problemi u praksi.
Najviše problema imaju javna tijela, odnosno ona koja se financiraju iz državnog proračuna – javna uprava, zdravstvo, školstvo, mirovinski sustav i drugi, a upravo ona obrađuju najveće količine osobnih podataka o građanima Hrvatske.
Podatke o tome koji su najveći problemi sa zaštitom privatnosti u Hrvatskoj tijekom primjene GDPR-a pripremio je Darie Marić, predsjednik Uprave tvrtke Xiphos.
Deset najčešćih propusta prilikom uspostave i slijeđenja GDPR-a
1. Evidencija aktivnosti obrade (članak 30.) Prema mišljenju AZOP-a, kao i našem vlastitom iskustvu, izrada evidencije aktivnosti obrade preporuča se za sve obrade osobnih podataka. Naime, oni koji nisu napravili evidenciju nisu mogli uraditi ni ostale elemente prilagodbe ispravno.
2. Zakonitost obrade (članak 6.) Veliki broj organizacija pogrešno je odabrao privolu kao zakonitost obrade, npr. škole, vrtići… Privolom se koristi isključivo onda kada nijedna druga zakonska osnova nije primjenjiva.
3. Procjena učinka na zaštitu podataka (članak 35.) GDPR propisuje da se moraju procijeniti rizici za svaku obradu, a ako se ustanovi da određena obrada predstavlja visok rizik za prava i slobode ispitanika, treba napraviti procjenu učinka na zaštitu podataka.
4. Sporazumi o zaštiti podataka s trećim stranama (članak 26. do 29.) Najčešći propusti u potpisanim sporazumima su da se ne provode kontrole slijeđenja odredbi sporazuma, da organizacije potpisuju sporazume iako su svjesne da ne mogu ili ne žele slijediti odredbe sporazuma, da su pogrešno određene uloge, da sporazumi nisu dovoljno razumljivi i dr.
5. Informacijska sigurnost (članak 25. i 32.) Mnoge organizacije izradile su samo šturu dokumentaciju, misleći kako je to dovoljno za usklađenje s uredbom. Prilagodba uredbi ne uključuje samo papirologiju, već procese i kontrole zaštite podataka.
6. Data breach – povreda osobnih podataka (članak 33. i 34.) Osim kazni, organizacije strahuju od povreda osobnih podataka te žele spriječiti da se to dogodi. Rizici postoje, kao što postoje i kontrole za smanjenje. Organizacije najčešće nisu pripremljene dogodi li se povreda osobnih podataka.
7. Interni akti zaštite podataka (članak 47.) Procesi zaštite osobnih podataka moraju biti uspostavljeni u svrhu smanjenja broja pogrešaka. Najčešće pogreške i propusti nastaju zbog nepostojećih ili loše napisanih procedura. Praksa pokazuje da organizacije najčešće budu prijavljene nadležnim tijelima jer, primjerice, nisu poštovale prava ispitanika.
8. Edukacija zaposlenika (članak 47.) Veliki propust je nedostatak ili slaba edukacija. Organizacija može imati odlično raspisane procedure, ali ako ne postoji redovita, praktična edukacija zaposlenika, vjerojatnost je da neće biti slijeđene.
9. Službenik za zaštitu podataka (članak 37. do 39.) Službenik za zaštitu podataka funkcija je koju neke organizacije moraju postaviti sukladno uredbi. Ponekad organizacije postavljaju službenika samo zato što moraju.
10. Dokazi (članak 5.) U svrhu dokazivanja usklađenosti s uredbom, organizacija mora prikupljati dokaze o aktivnostima vezanim uza zaštitu osobnih podataka, a to su: zapisi sustava, dokazi o komunikaciji, dokazi o dobivanju privola, dokazi o održanim edukacijama, sporazumi s trećim stranama, obavljene revizije zaštite podataka itd.
Cijeli tekst pročitajte u novom broju Lidera. Možete i digitalno.