Što je to usklađenost s GDPR-om?

U sve više povezanom svijetu usklađenost s GDPR-om postala je ključni prioritet za tvrtke koje koriste osobne podatke, bez obzira na to gdje rade. Uveden 2018, GDPR je uredba u pravu EU koja se usredotočuje na zaštitu i privatnost osobnih podataka za pojedince unutar Europske unije. Neusklađenost s GDPR-om može dovesti do značajnih kazni, zbog čega je neophodno da se poduzeća svih veličina pridržavaju njegovih propisa.

Primarni cilj GDPR-a je zaštita osobnih podataka i omogućivanje veće kontrole nad osobnim podacima na internetu. Opseg GDPR-a velik je i pokriva sve tvrtke koje obrađuje osobne podatke stanovnika EU, bez obzira na fizičku lokaciju tvrtke.

Usklađenost s GDPR-om nije samo pravni zahtjev, već i poslovni imperativ. Tvrtke ili ustanove koje su usklađene s GDPR-om pokazuju obvezu zaštite privatnosti podataka koja pomaže u poticanju povjerenja s klijentima, zaposlenicima i partnerima. Usklađenost također pomaže tvrtkama da izbjegnu značajne financijske kazne povezane s povredama podataka i nepoštivanjem naloga GDPR-a.

Opća uredba o zaštiti podataka implementirana je 25. svibnja 2018, a zamijenila je Pravilnik o zaštiti podataka 95/46/EC. Stvorena je kao odgovor na brzu digitalizaciju podataka i potrebe za rješavanjem problema sa zaštitom privatnosti podataka. Sveobuhvatni okvir Opće uredbe o zaštiti podataka namijenjen je jačanju zakona o zaštiti podataka diljem EU.

Primarni cilj Opće uredbe o zaštiti podataka je zaštita osobnih podataka i omogućivanje pojedincima veće kontrole nad svojim podacima. Opseg GDPR-a velik je i pokriva sve tvrtke koje obrađuje osobne podatke stanovnika EU, bez obzira na fizičku lokaciju tvrtke.

Ključna načela
Opća uredba o zaštiti podataka uspostavila je sedam načela zaštite podataka koje tvrtke ili ustanove u EU ili one koje posluju u EU moraju slijediti:

1. Zakonitost, pravičnost i transparentnost: Podaci se moraju obrađivati na zakonit, primjeren i transparentan način.
2. Ograničenje svrhe: Podaci se trebaju prikupljati i koristiti samo u određene svrhe.
3. Minimizacija podataka: Prikupljanje podataka mora biti ograničeno na ono što je neophodno.
4. Točnost: Osobni podaci moraju biti točni i ažurni.
5. Ograničenje prostora za pohranu: Osobni podaci ne bi se trebali čuvati dulje nego što je potrebno.
6. Integritet i povjerljivost: Osobni podaci moraju se sigurno obrađivati, i štititi od neovlaštene ili nezakonite obrade, slučajnog gubitka ili oštećenja.
7. Odgovornost: Tvrtke i ustanove moraju biti sposobne pokazati usklađenost sa svim tim načelima.

GDPR građanima EU pruža značajnu kontrolu nad njihovim osobnim podacima uspostavljanjem jasnih prava na zaštitu njihove privatnosti. GDPR građanima EU daje nekoliko prava nad njihovim osobnim podacima, uključujući:
 

• Pravo na informiranost: Pojedinci imaju pravo biti obaviješteni o prikupljanju i korištenju osobnih podataka, uključujući podatke o tome zašto se prikupljaju, koliko dugo će se čuvati i s kim će se dijeliti.

• Pravo pristupa: Pojedinci mogu zatražiti pristup svojim osobnim podacima i dobiti njihovu kopiju, što im omogućuje da razumiju kako i tko ih obrađuje.

• Pravo na ispravak: Ako su neki osobni podaci netočni ili nepotpuni, pojedinci mogu zatražiti njihov ispravak, čime se osigurava da su njihovi podaci točni i ažurni.

• Pravo na brisanje (pravo na zaboravljanje): U određenim okolnostima pojedinci imaju pravo zatražiti brisanje svojih osobnih podataka, odnosno na uklanjanje svojih podataka iz sustava organizacije ako više nisu potrebni ili ako povuku svoj pristanak.

• Pravo na ograničavanje obrade: Pojedinci mogu ograničiti način na koji se njihovi osobni podaci obrađuju, osobito ako osporavaju njihovu točnost ili ako im podaci trebaju za pravne zahtjeve.

• Pravo na prijenos podataka: Pojedinci mogu dobiti svoje osobne podatke u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu te ih prenijeti drugom voditelju obrade ako žele.

• Pravo na prigovor: Pojedinci imaju pravo usprotiviti se obradi svojih osobnih podataka, osobito ako se koriste za izravni marketing ili ako se nalaze u specifičnoj situaciji koja jamči privatnost.
  
  

Zajedno, ova prava osiguravaju pojedincima jasnu vidljivost i kontrolu nad svojim osobnim podacima, jačajući transparentnost i odgovornost među organizacijama. Osim ovih prava, GDPR također postavlja stroge smjernice o tome kako tvrtke ili ustanove moraju pribaviti pristanak pojedinaca i upravljati njime prije obrade njihovih podataka.

Preduvjeti za pristanak
GDPR zahtijeva da organizacije dobiju izričit pristanak od pojedinaca prije prikupljanja i pohranjivanja njihovih podataka. Taj pristanak mora biti dat slobodno, treba biti specifičan, informiran i nedvosmislen, osiguravajući da pojedinci u potpunosti razumiju što su pristali da bude prikupljeno.

Uz smjernice za pristanak, GDPR naglašava proaktivne mjere zaštite podataka. Za visokorizične aktivnosti obrade, tvrtke i ustanove moraju provesti procjenu učinka zaštite podataka kako bi procijenile i ublažile potencijalne rizike za prava i slobode pojedinaca.

Procjena učinka na zaštitu podataka (DPIA)
Za sve postupke obrade koji bi mogli značajno utjecati na prava i slobode pojedinaca, obavezna je procjena učinka na zaštitu podataka. Ova procjena procjenjuje rizike uključene u obradu osobnih podataka i navodi mjere za ublažavanje tih rizika, čime se štiti privatnost pojedinaca i osigurava usklađenosti.

Početne procjene i analiza nedostataka
Postizanje usklađenosti s GDPR-om počinje temeljitom procjenom trenutne prakse podataka unutar organizacije. To uključuje prepoznavanje i mapiranje svih aktivnosti obrade podataka, uključujući prikupljanje podataka, pohranu, dijeljenje i brisanje. Cilj je steći sveobuhvatno razumijevanje o tome gdje se osobni podaci nalaze, kako se prenose kroz tvrtku ili ustanovu i tko im ima pristup.

Nakon prikupljanja informacija o trenutnim praksama rukovanja podacima, sljedeći korak je izvođenje analize nedostataka. Ova analiza uspoređuje postojeće prakse tvrtke ili ustanove sa zahtjevima GDPR-a kako bi se odredila područja koja ne zadovoljavaju. Uobičajeni nedostaci mogu uključivati ​​nedostatak jasnih zapisa o obradi podataka, neadekvatne mehanizme pristanka ili nedovoljne sigurnosne mjere.

Rješavanje ovih nedostataka ključno je za usklađenost s GDPR-om i često zahtijeva suradnju između odjela, kao što su IT, pravni odjel i ljudski potencijali, kako bi se razvila kohezivna strategija usklađenosti. Razumijevajući trenutno stanje organizacije, tvrtke mogu izraditi strukturirani akcijski plan za uklanjanje nedostataka u usklađenosti i jačanje mjera zaštite privatnosti podataka.

Mapiranje i dokumentiranje podataka
Mapiranje podataka bitan je dio usklađenosti s GDPR-om jer pruža jasan vizualni prikaz kretanja podataka unutar tvrtke ili ustanove. Taj postupak uključuje praćenje svakog dijela osobnih podataka od trenutka prikupljanja do pohrane, obrade, dijeljenja i na kraju brisanja. Mapiranjem tokova podataka tvrtke ili ustanove mogu prepoznati nepotrebne aktivnosti obrade podataka, otkriti silose podataka i osigurati da se prikupljaju i čuvaju samo relevantni podaci. Štoviše, mapiranje podataka pomaže tvrtkama da otkriju potencijalne sigurnosne ranjivosti, osobito kada se podaci prenose između sustava ili ka trećim stranama.

Osim mapiranja tokova podataka, GDPR zahtijeva od tvrtki i ustanova da održavaju detaljne zapise o aktivnostima obrade podataka. Ti zapisi trebaju sadržavati svrhu prikupljanja podataka, pravne osnove za obradu, razdoblja čuvanja podataka i sve treće strane uključene u obradu podataka.

Implementacija pravilnika o zaštiti podataka
Uspostava čvrstih pravilnika o zaštiti podataka ključna je za usklađenost s GDPR-om. Ovi pravilnici ocrtavaju kako bi se trebalo postupati s osobnim podacima unutar tvrtke ili ustanove, i pokrivaju područja kao što su pristup podacima, zadržavanje i sigurnost. Dobro izrađen pravilnik o zaštiti podataka pruža smjernice za prihvatljivo korištenje podataka, pomaže zaposlenicima da razumiju svoju ulogu u održavanju sigurnosti podataka i postavlja standard za način na koji tvrtka ili ustanova ispunjava svoje obveze prema GDPR-u. Učinkoviti pravilnici o zaštiti podataka moraju biti pristupačni, jasni i redovito pregledavani da bi ostali usklađeni sa zahtjevima i tehnologijama zaštite privatnosti podataka koji se razvijaju.

Provedba ovih politika u cijeloj tvrtki ili ustanovi zahtijeva obuku. Zaposlenici na svim razinama trebali bi razumjeti načela GDPR-a i biti potaknuti da slijede najbolje prakse u rukovanju podacima. Osiguravanjem da zaposlenici znaju važnost zaštite podataka i svoju ulogu u zaštiti osobnih podataka, tvrtke ili ustanove mogu ublažiti rizik od slučajne povrede podataka. Taj strukturirani pristup ne samo da podržava usklađenost s GDPR-om, već također doprinosi sveukupnoj sigurnosti podataka.

Za američke tvrtke usklađenost s GDPR-om uvodi dodatne složenosti. Organizacije sa sjedištem izvan EU možda nisu toliko upoznate s GDPR standardima, a usklađenost zahtijeva ispunjavanje strogih obveza čak i bez fizičke prisutnosti u Europi. Američke tvrtke koje obrađuju osobne podatke građana EU moraju imenovati predstavnika za EU, pridržavati se transatlantskih zakona o prijenosu podataka i prilagoditi svoje procese kako bi bili u skladu s visokim standardima GDPR-a.

Dostupni su brojni alati i resursi koji pomažu tvrtkama i ustanovama – uključujući tvrtke sa sjedištem u SAD-u – u postizanju i održavanju usklađenosti s GDPR-om, poput softvera za zaštitu podataka, popisa za provjeru usklađenosti i programa obuke.

Kako biste osigurali stalnu usklađenost s GDPR-om, razmislite o implementaciji sljedećeg popisa za provjeru:


Redovite revizije i nadzor:
Provodite redovite revizije svojih aktivnosti obrade podataka kako biste utvrdili sva odstupanja od zahtjeva GDPR-a. Neprekidno nadzirite svoje sustave i mjere sigurnosti podataka.

Programi obuke i informiranosti:
Pružite sveobuhvatnu obuku zaposlenicima o usklađenosti s GDPR-om. Pobrinite se da svi zaposlenici razumiju svoje uloge i odgovornosti u zaštiti osobnih podataka.

Reagiranje na povrede podataka i kazne:
Uspostavite snažan plan odgovora na incidente kako biste odmah riješili povrede podataka i smanjili njihov utjecaj. Budite spremni nositi se s mogućim novčanim kaznama i kaznama za nepridržavanje.

U sve složenijem okruženju zaštite privatnosti podataka, postizanje i održavanje usklađenosti s GDPR-om može biti složen i zahtjevan zadatak za tvrtke svih veličina. Uz stroge propise namijenjene zaštiti osobnih podataka pojedinaca, tvrtke trebaju pouzdana rješenja koja podupiru njihove napore u usklađivanju na svim razinama. Kako bi podržao vaše napore u usklađivanju s propisima, Microsoft nudi alate i rješenja, kao što je Microsoft Purview i druga rješenja za sigurnost podataka koja vam pomažu u učinkovitom upravljanju obavezama zaštite podataka.

Integracijom ovih alata, tvrtke mogu pojednostaviti svoje procese usklađivanja, automatizirati ključne zadatke izvješćivanja i poboljšati ukupnu sigurnost podataka, smanjujući rizike povezane s nepoštivanjem.