Poduzetnici nas često traže obrasce za usklađivanje s GDPR-om. Napominjemo da GDPR ne propisuje koje točno obrasce/interne akte/pravilnike je potrebno ispuniti/izraditi kako bi se smatralo da ste usklađeni s GDPR-om. Dodatno napominjemo da ne postoje obrasci koji odgovaraju svakom poduzetniku, obrasci primjerice evidencije aktivnosti obrade i politike privatnosti razlikovat će se od poduzetnika do poduzetnika, ovisno o djelatnosti s kojom se bavi te obradama osobnih podataka koje provodi. Tako politika privatnosti neće biti jednakog sadržaja za frizera, cvjećara, programera, iznajmljivača apartmana, knjigovodstveni servis, zaštitarsku tvrtku, agenciju za naplatu potraživanja, marketinšku agenciju itd. Važno je znati da smisao usklađivanja s GDPR-om nije popunjavanje "špranci" i "copy paste" dokumenata koji će potom stajati u ladici, već zakonita obrada osobnih podataka i provođenje odgovarajućih tehničkih i organizacijskih mjera kako bi se mogućnost povrede osobnih podataka vaših korisnika/klijenata/zaposlenika svela na minimum. U okviru ARC projekta izradili smo predloške za neke od dokumenata za usklađivanje s GDPR-om koje možete koristiti na način da ih prilagodite svom poslovanju i svojim aktivnostima obrade osobnih podataka.

EVIDENCIJA AKTIVNOSTI OBRADE za voditelje obrade

EVIDENCIJA KATEGORIJA AKTIVNOSTI-OBRADE za izvrsitelje obrade

Predložak ugovora o obradi osobnih podataka između voditelja i izvršitelja obrade

Obrazac-privole

Politika privatnosti_obrazac

Template za obavijest o videonadzoru

Primjer i obrazac testa razmjernosti (test legitimnog interesa)

Izjava_o_povjerljivosti_obrazac-za-zaposlenike

DPIA-obrazac_procjena_učinka na zaštitu osobnih podataka

Predložak za obavijest o snimanju/fotografiranju događanja

  1. Prvi korak koji morate učiniti je utvrditi koje i čije osobne podatke prikupljate, u koju svrhu, jesu li vam ti podaci doista nužni za poslovanje, imate li odgovarajući pravni temelj za prikupljanje i obradu podataka, gdje se podaci nalaze, tko im sve ima pristup i na koji način su zaštićeni. Obrada osobnih podataka vaših zaposlenika/klijenata/korisnika usluga mora biti transparentna, što znači da oni imaju pravo znati koje osobne podatke o njima prikupljate i u koju svrhu, kako ih čuvate i s kime ih dijelite. U SVRHU PRUŽANJA POTPORE PODUZETNICIMA U SHVAĆANJU NJIHOVIH OBVEZA VEZANO ZA ZAŠTITU OSOBNIH PODATAKA IZRADILI SMO UPITNIK ZA SAMOPROCJENU USKLAĐENOSTI S OPĆOM UREDBOM O ZAŠTITI PODATAKA I ZAKONA O PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA. UPITNIK ODNOSNO IZVJEŠĆE S VAŠIM ODGOVORIMA I SAVJETIMA KAKO POBOLJŠATI USKLAĐENOST U ODREĐENIM SEGMENTIMA, POMOĆI ĆE VAM DA SE RAZUMIJETE SVOJE OBAVEZE: UPITNIK ZA SAMOPROCJENU . Usklađenost s načelima zaštite podataka prvi je i možda najvažniji korak koji mali i srednji poduzetnici mogu poduzeti kako bi osigurali da udovoljavaju zahtjevima GDPR-a i propisa o zaštiti podataka općenito. Ta su načela navedena na samom početku GDPR-a i informiraju i prožimaju sve ostale odredbe navedenog propisa. Treba ih razumjeti kao temeljna sveobuhvatna načela kojima je cilj osigurati poštivanje duha propisa o zaštiti podataka i zaštite prava pojedinaca,  vaših zaposlenika/klijenata/korisnika („ispitanika“).

2. U svakom slučaju ono što svaki poduzetnik koji obrađuje osobne podatke mora imati kao minimum dokumentacije, koja će mu uostalom služiti za dokazivanje usklađenosti s Općom uredbom o zaštiti podataka (GDPR-om) je: politika privatnosti (javno objavljena i dostupna klijentima i korisnicima usluga), ukoliko obradu temeljite na privoli- obrazac privole, ukoliko obradu temeljite na legitimnom interesu- proveden i dokumentiran test razmjernosti, ukoliko ste u obvezi imenovati službenika za zaštitu podataka, potrebno je dostaviti AZOP-u odluku o njegovom imenovanju ili izvješće o imenovanju službenika. Više o službeniku za zaštitu podataka .

Obrasci privole, testa razmjernosti (legitimnog interesa) i izvješća o imenovanju službenika.

3. Ujedno je vrlo važno da poduzmete odgovarajuće tehničke i organizacijske mjere kako biste zaštitili osobne podatke svojih korisnika/klijenata i smanjili na najmanju moguću mjeru mogućnost zlouporabe njihovih osobnih podataka. Više o tehničkim i organizacijskim mjerama možete saznati u Vodiču za informacijsku sigurnost. Savjetujemo vam i da ispunite upitnik za samoprocjenu kojeg smo izradili isključivo u svrhu ukazivanja na neke od osnovnih tehničkih i organizacijskih mjera koje bi trebali poduzeti kako bi zaštitili osobne podatke svojih korisnika/klijenata/zaposlenika.  Ispunite upitnik za samoprocjenu-tehničke i organizacijske mjere.

4. Ako provodite visokorizične obrade, morate provesti postupak procjene učinka na zaštitu osobnih podataka, saznajte više u Vodiču za procjenu učinka na zaštitu podataka. Obrazac za procjenu učinka na zaštitu podataka: https://arc-rec-project.eu/wp-content/uploads/2022/01/DPIA-obrazac_procjena_ucinka.docx

5. Svaka obrada osobnih podataka koju provodi izvršitelj obrade mora biti uređena ugovorom ili drugim pravnim aktom u pisanom obliku i mora biti obvezujuća. U Općoj uredbi o zaštiti podataka navode se elementi koji moraju biti određeni u ugovoru o obradi (članak 28. Opće uredbe o zaštiti podataka). U okviru projekta ARC izradili smo obrazac Ugovora o obradi podataka između voditelja obrade i izvršitelja obrade prema članku 28. st. 3. Opće uredbe o zaštiti podataka kojeg možete prilagoditi svojim poslovnim procesima i obradama osobnih podataka koje povjeravate izvršitelju obrade. Primjeri voditelja i izvršitelja obrade: voditelj obrade ste ukoliko ste primjerice trgovina koja od izvršitelja obrade traži postavljanje videonadzora, izvršitelj obrade ste ako primjerice pružate usluge instalacije i održavanja videonadzornog sustava toj trgovini.

6. Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi o zaštiti podataka niste u obvezi istu voditi jer je evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom o zaštiti podataka (GDPR-om)! EVIDENCIJE AKTIVNOSTI OBRADE NE DOSTAVLJATE AGENCIJI ZA ZAŠTITU OSOBNIH PODATAKA, VEĆ IH VODITE I ČUVATE KOD SEBE  u pisanom obliku, uključujući elektronički oblik  TE DAJETE NA UVID AKO VAS AZOP ZATRAŽI! Sve o evidenciji aktivnosti obrade možete pronaći na: https://arc-rec-project.eu/evidencije-aktivnosti-obrade/

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

  • ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
  • ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
  • ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
  • ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje  od 250 zaposlenika  te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.

7. Ukoliko planirate ili već imate postavljen videonadzor u vašem poslovnom prostoru, dužni ste označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja te sadržavati jednostavnu i razumljivu sliku uz tekst kojim se osobama pružaju najmanje sljedeće informacije:

  • da je prostor pod videonadzorom
  • podatke o voditelju obrade (poduzeću/društvu/obrtu/organizaciji/tijelu jave vlasti, državnom tijelu): naziv, adresa i kontakt podaci voditelja obrade
  • svrhu obrade
  • pravnu osnovu
  • prava ispitanika
  • poveznicu na politiku privatnosti ili drugi odgovarajući dokument ili informaciju o tome gdje je dostupna politika privatnosti (npr. u poslovnici)

8. Ukoliko u Vašem poslovanju koristite web stranicu i obrađujete osobne podatke putem kolačića, dužni ste o tome obavijestiti posjetitelje svoje web stranice putem jasno vidljive obavijesti (skočnog prozora/bannera) te na web stranici morate imati objavljenu, uz politiku privatnosti, i obavijest o kolačićima. Informacije o kolačićima ispitaniku možete pružiti ili unutar politike privatnosti u zasebnom poglavlju na pregledan i jasno razumljiv način ili u zasebnom dokumentu. U svakom slučaju oboje mora biti jasno vidljivo i najčešće se nalazi u podnožju web stranice. Obavijest o kolačićima treba sadržavati sve informacije o tome što su kolačići, vrsti kolačića koji se na web stranici koriste i njihovoj funkciji. Korisnik treba imati mogućnost na jednako jednostavan način odbiti i prihvatiti kolačiće. "Prozorčić (banner)" koji se korisniku pojavi u pregledniku kad posjeti stranicu i ima unaprijed označenu opciju "prihvaćam kolačiće" ili čak ima samo opciju "prihvaćam kolačiće" bez opcije "ne prihvaćam" kolačiće nije u skladu sa GDPR-om. Primjeri dobre i loše prakse obavijesti (bannera/skočnog prozora) o prihvaćanju/ne prihvaćanju kolačića.

Bitno za napomenuti je da navedene informacije trebaju opisivati stvarno stanje Internet mjesta tj. stvarne vrste i kategorije kolačića koji se koriste na vašoj web stranici, koji se osobni podaci stvarno prikupljaju pomoću tih kolačića, koja je njihova stvarna svrha i rokovi pohrane te da li se podaci prenose u treće zemlje ili međunarodne organizacije, a ne da su prekopirane s nekog drugog web mjesta samo kako bi se zadovoljila forma. Saznajte više u Vodiču za kolačiće.

9. Ako provodite marketinške aktivnosti u svrhu promoviranja i prodaje svojih roba i usluga, te u tu svrhu provodite direktni marketing i obrađujete osobne podatke pojedinaca, imajte na umu da za takvu obradu morate imati pravni temelj (legitimni interes ili privola). Više o obradi osobnih podataka u svrhe direktnog marketinga.

10. U slučaju povrede osobnih podataka, dužni ste obavijestiti Agenciju za zaštitu osobnih podataka bez odgađanja, ako je moguće,  najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo (Agenciju za zaštitu osobnih podataka) , osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje. Više informacija o izvješćivanju o povredi osobnih podataka i Obrazac za izvješćivanje o povredi osobnih podataka.

11. Poštujte prava ispitanika (osoba čije osobne podatke obrađujete)! Ukoliko u svom poslovanju koristite web stranicu, najbolje bi bilo da na web stranici imate dostupan obrazac putem kojeg ispitanik može ostvariti svoja prava. Primjer obrasca zahtjeva za ostvarivanje prava ispitanika.