-
Koji je glavni cilj internetskog alata Olivia?
Glavni cilj internetskog alata Olivia je pružanje praktične podrške hrvatskim i talijanskim malim i srednjim poduzećima u provedbi zakonodavstva o zaštiti podataka i načela u svakodnevnim poslovnim aktivnostima. Korisnicima internetskog alata Olivia osigurat će se predlošci dokumentacije za usklađenost s Općom uredbom o zaštiti podataka te jasne i sažete upute za MSP-ove o tome kako uskladiti svoje aktivnosti obrade podataka s hrvatskim i talijanskim pravnim okvirima za zaštitu podataka.
Opći je cilj podići svijest o zaštiti osobnih podataka među hrvatskim, talijanskim i malim i srednjim poduzećima iz Europskog gospodarskog prostora te im pomoći da se pridržavaju GDPR-a i drugih zakona o zaštiti podataka u određenim zemljama. Kako bi postigli taj cilj, projektni partneri će razviti otvoren, lako dostupan i učinkovit internetski alat koji pruža jasno objašnjenje obaveza iz Opće uredbe o zaštiti podataka i praktične smjernice za usklađenost s Općom uredbom o zaštiti podataka.
-
Tko će koristiti Olivia internetski alat?
Alat Olivia prilagodit će se posebnim potrebama hrvatskih i talijanskih MSP-ova, kako je utvrđeno u projektu ARC I, MSP projektu zaštite podataka i prethodnim iskustvima tih dvaju tijela za zaštitu podataka u radu s MSP-ovima.
Ciljne skupine:
- pravni stručnjaci
- zaposlenici iz računovodstva (financija), pravnih, HR, IT odjela
- vlasnici mikro/malih/srednjih poduzeća
- službenici za zaštitu podataka
- predstavnici mikro/malih/srednjih poduzeća
-
Koje su ključne poruke koje treba prenijeti putem internetskog alata Olivia?
- Zaštita podataka može se postići, među ostalim i u MSP-ovima, uz pomoć tijela za zaštitu podataka
- Zaštita podataka može se postići i ovdje ćete pronaći informacije o tome kako to učiniti.
- Usklađenost s Općom uredbom o zaštiti podataka i nacionalnim zakonodavstvom o zaštiti podataka gospodarska je potreba koja prati rast europskog gospodarstva temeljenog na podacima.
- MSP-ovi bi od njega imali velike koristi jer bi pružili snažnu zaštitu svojim klijentima, čime bi se osnažilo povjerenje između klijenata i poduzeća
- GDPR nije gospodarski teret. S jasnim smjernicama i pouzdanim alatom nije teško postići usklađenost s Općom uredbom o zaštiti podataka i nacionalnim zakonodavstvom o zaštiti podataka. Na taj način bi se dugoročno povećao gospodarski interes MSP-ova.
-
Koja je očekivana korist i znanje stečeno od sadržaja sadržanih u internetskom alatu Olivia?
Alat Olivia sadržavat će pouzdane operativne smjernice i predloške. To će biti prilagodljiv alat prilagođen korisnicima u arhitekturi otvorenog koda. Potvrda o završetku bit će dodijeljena korisnicima koji su završili neke od zadataka na tečaju na zadovoljavajućoj razini. Time će se MSP-ovima pružiti osjećaj postignuća te će se pokazati njihova predanost unapređenju njihova znanja o zaštiti podataka i poboljšanju njihove usklađenosti s pravnim okvirom za zaštitu podataka.
Osim toga, korisnici će naučiti metode i tehnike kojima se može postići usklađenost poslovanja s GDPR-om te će se povećati njihova svijest o važnosti zaštite osobnih podataka. Osim toga, mala i srednja poduzeća poticat će se na podizanje svijesti o zaštiti osobnih podataka u svojim organizacijama i na dijeljenje znanja o zaštiti podataka među svim zaposlenicima. Dugoročno će se ojačati povjerenje između MSP-ova, njihovih klijenata i njihovih poslovnih partnera. To će im donijeti veći komercijalni interes s rastom europskog gospodarstva temeljenog na podacima.
-
Dizajn internetskog alata Olivia
Dizajn Olivia internetskog alata trebao bi biti dinamičan, interaktivan, šareni i živahan. Alat mora biti dinamična stranica s puno elemenata interakcije (ne samo pdf dokumenti koji prema prethodnim iskustvima ne privlače interes malih i srednjih poduzeća), već s predavanjima, kratkim video materijalima, šarenim infografikama, videozapisima i kvizovima.
Internetski alat Olivia neće samo pružiti objašnjenje odredbi i obaveza iz Opće uredbe o zaštiti podataka te drugih nacionalnih propisa o zaštiti podataka. Umjesto toga, pružit će više praktičnih savjeta i smjernica o usklađenosti s Općom uredbom o zaštiti podataka i nacionalnim zakonodavstvom o zaštiti podataka prilagođenim posebnim potrebama hrvatskih i talijanskih MSP-ova. Trebao bi biti učinkovit i koristan alat za različite posjetitelje s različitim namjenama, uključujući stjecanje znanja, obrazovanje i traženje savjeta za usklađenost.
-
Popis sadržaja
Internetski alat Olivia sadržavat će edukativne materijale razvijene u okviru projekta ARC I: https://arc-rec-project.eu/education/, https://arc-rec-project.eu/edukativni-materijali/, T4DATA projekt https://azop.hr/t4data/ i projekta zaštite podataka MSP-a https://smedata.eu/index.php/it/. Nadalje, razvit će se novi sadržaj posebno prilagođen hrvatskim potrebama i potrebama malih i srednjih poduzeća. Alat Olivia sadržavat će zapise o internetskim radionicama za mala i srednja poduzeća te evidenciju radionica za instruktore koje provode AZOP i GPDP.
Internetski alat Olivia sadržavat će jasno objašnjenje odredbi Opće uredbe o zaštiti podataka te hrvatskog i talijanskog zakonodavstva o zaštiti podataka te praktične smjernice, predloške dokumenata, predloške za usklađenost sa zakonodavstvom o zaštiti podataka na razini EU-a i na nacionalnoj razini
7. Struktura internetskog alata Olivia
Internetski alat Olivia bit će strukturiran u četiri odjeljka: teorijski modul, praktični modul, webinari i vijesti.
To će biti interoperabilan alat, razvijen kao proizvod otvorenog koda, prilagodljiv potrebama MSP-ova iz drugih zemalja EGP-a, slobodan za sve MSP-ove i sve voditelje obrade/izvršitelje obrade podataka kojima bi to moglo biti korisno.
Bit će dostupan na engleskom, talijanskom i hrvatskom jeziku. Budući da postoje razlike između hrvatskog i talijanskog nacionalnog zakonodavstva, postojat će dvije zasebne verzije alata Olivia: jedan prilagođen potrebama hrvatskih MSP-ova, a drugi prilagođen potrebama talijanskih MSP-ova. Obje verzije bit će prevedene na engleski jezik, ali neće biti prilagođene potrebama MSP-ova iz područja engleskog govornog područja.
Oba modula (teoretska i praktična) sastojat će se od najmanje 15 tečajeva o sljedećim temama:
1) Opća uredba o zaštiti podataka
2) Načela zaštite podataka
3) Zakonita osnova za obradu osobnih podataka
4) Izjava o privatnosti
5) Službenik za zaštitu podataka
6) Procjena učinka na zaštitu podataka
7) Evidencija o aktivnostima obrade
8) Ugovor između voditelja obrade i izvršitelja obrade podataka
9) Organizacijske mjere
10) Tehničke mjere
11) Praćenje imovine i ljudi
12) Kolačići i druge tehnologije za praćenje
13) Prava ispitanika
14) Prijenos podataka
15) Povreda podataka
Edukativni materijali razvijeni u okviru ARC I projekta prilagodit će se i koristiti za Olivia internetski alat: https://arc-rec-project.eu/education/.
Teorijski modul sastojat će se od kratkih videozapisa (do 10 minuta) u kojima će se MSP-ovima objasniti posebna tema zaštite podataka na jednostavan i razumljiv način, a složena pravna terminologija prevest će se na jednostavan jezik. Uz videomaterijal bit će priložene infografike/činjenične tablice i dodatni edukativni materijali prema potrebi.
Nakon gledanja videa i čitanja kratkih edukativnih materijala unutar svakog terorijskog podumodula, korisnik će morati ispuniti upitnik o predmetnoj temi kako bi testirao svoje znanje. Nakon uspješnog ispunjavanja upitnika (najmanje 80% točnih odgovora), korisnik će dobiti potvrdu kao dokaz o ispunjenju određenog teorijskog podmodula. Korisnici koji uspješno završe svih 15 teorijskih podmodula dobit će potvrdu o uspješno završenom cjelokupnom tečaju.
Ako korisnik nije dovršio teorijski podmodul prije pristupanja odgovarajućem praktičnom podmodulu, dobit će obavijest da bi bilo preporučljivo to učiniti, ali to mu to neće onemogućiti da pristupi praktičnom modulu. Na taj način želimo smanjiti mogućnost da mala i srednja poduzeća jednostavno popunjavaju predloške u praktičnom modulu, bez odgovarajućeg razumijevanja njihovih obveza iz GDPR-a.
- tečaj: Osnove Opće uredbe o zaštiti podataka
- a) Teoretski podmodul
U ovom podmodulu korisnik će moći naučiti i razumjeti glavnu terminologiju Opće uredbe o zaštiti podataka: područje primjene GDPR-a, tko je ispitanik, što su osobni podaci, posebna kategorija osobnih podataka, što je obrada podataka, razlika između voditelja obrade, izvršitelja obrade, zajedničkih voditelja obrade, koji je cilj GDPR-a i zakonodavstva o zaštiti podataka, zašto je zaštita podataka važna kako za pojedince tako i za organizacije itd. Nakon pogledanog videa i proučenog edukativnog materijala, korisnik će moći odgovarati na pitanja. Korisnici koji će imati više od 80% točnih odgovora na testu, dobit će potvrdu o dovršetku.
- b) Praktični podmodul
U ovom praktičnom podmodulu korisnici će odgovarati na ključna pitanja o obradi u njihovim organizacijama, odnosno obrađuju li osobne podatke klijenata, zaposlenika, obrađuju li podatke o spolu, vjeri, zdravlju ili drugim vrstama osjetljivih podataka, koriste li osobne podatke koji prikupljaju i pohranjuju u određene, eksplicitne i legitimne svrhe, čuvaju li osobne podatke samo u razdoblju koje je potrebno itd. Od ključne je važnosti da MSP-ovi utvrde koju ulogu organizacija ima u aktivnostima obrade podataka. Nadalje, MSP će moći odgovoriti na upitnik kako bi se utvrdilo je li voditelj obrade podataka, izvršitelj obrade ili zajednički voditelj obrade. Isto tako, MSP-ovi mogu imati sve te tri uloge. Na primjer, marketinška agencija u isto vrijeme za neke aktivnosti obrade je voditelj obrade podataka, zajedno sa zrakoplovnom tvrtkom je zajednički voditelj obrade i izvršitelj obrade podataka za druge tvrtke koje su ih angažirale za obavljanje marketinških aktivnosti. MSP-ovi će također dati odgovore kako bi utvrdili koje kategorije osobnih podataka obrađuju, prikupljaju li i obrađuju osjetljive podatke (posebna kategorija osobnih podataka). MSP-ovi će također moći odgovoriti na pitanja kako bi utvrdili koje kategorije osobnih podataka obrađuju, prikupljaju li i obrađuju osjetljive podatke (posebna kategorija osobnih podataka).
Nakon davanja odgovora na sva pitanja, MSP-ovi će dobiti izvješće sa preporukama za unapređenje usklađenosti u njihovim organizacijama.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/ARC-GUIDANCE-Data-Protection-Basics-1.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/03/Osnove-zastite-podataka.pdf
- tečaj: Načela zaštite podataka
- a) Teoretski podmodul
U ovom podmodulu korisnik će moći saznati više o načelima zaštite podataka. Ako MSP želi uskladiti svoje poslovne procese s GDPR-om, od najveće je važnosti poštivati načela zaštite podataka u središtu Opće uredbe o zaštiti podataka (GDPR).
Iako se u Općoj uredbi o zaštiti podataka mogu pronaći različita načela, člankom 5. Opće uredbe o zaštiti podataka posebno se utvrđuje sedam ključnih načela povezanih s obradom osobnih podataka, koja MSP-ovi moraju poštovati pri obradi osobnih podataka. Poštovanje načela zaštite podataka prvi je i možda najvažniji korak koji mala i srednja poduzeća mogu poduzeti kako bi se osiguralo da poštuju zahtjeve Opće uredbe o zaštiti podataka. Načela će biti objašnjena na lako razumljiv način koristeći primjere iz stvarnog života u kratkom videu i infografici. Nakon gledanja videa i čitanja infografike, korisnik će moći ispuniti test o zaštiti načela zaštite podataka. Ako MSP-ovi imaju 80 % točnih pitanja, generirat će se potvrda kao dokaz o dovršetku.
- b) Praktični podmodul
U praktičnom podmodulu tečaja o načelima zaštite podataka MSP-ovi će moći odgovoriti na pitanja koja će MSP-ovima pomoći da utvrde je li u skladu s načelima zaštite podataka. Nakon što se odgovori na sva pitanja, izvješće će biti podneseno zajedno s preporukom za poboljšanja ako je to potrebno.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/03/Kratki-vodic-za-nacela-zastite-podataka.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/01/ARC-GUIDANCE-Quick-Guide-to-the-Principles-of-Data.pdf
- tečaj: Pravne osnove za obradu osobnih podataka
- a) Teoretski podmodul
Prije bilo kakve obrade podataka MSP-ovi moraju utvrditi pravnu osnovu za obradu podataka. Naša su iskustva pokazala da MSP-ovi imaju mnogo problema i nedoumica dok pokušavaju odrediti odgovarajuću pravnu osnovu. Vrlo često misle da za svaku obradu podataka trebaju dobiti privolu. Nisu upoznati s pravnim okvirom kojim se reguliraju aktivnosti obrade podataka u svom sektoru, a legitiman interes za njih predstavlja najveću nedoumicu. Jedno od prvih pitanja koje bi organizacije uključene u obradu osobnih podataka („voditelji obrade”) trebale postaviti prije obrade jest „Koji je moj razlog ili opravdanje za obradu tih osobnih podataka?” To je od ključne važnosti jer je svaka obrada osobnih podataka zakonita samo ako ima takozvanu „pravnu osnovu”. U članku 6. Opće uredbe o zaštiti podataka utvrđuju se sljedeće moguće pravne osnove: privola; ugovor; pravna obveza; vitalni interesi; javna zadaća; legitimni interesi. U teoretskom podmodulu. U ovom teorijskom modulu sve pravne osnove bit će objašnjene malim i srednjim poduzećima na praktičan način, koristeći primjere iz stvarnog života iz različitih industrija. Mala i srednja poduzeća bit će upozorena na najčešće pogreške koje se čine pri odlučivanju na kojoj će se zakonitoj osnovi oslanjati. Nakon kratkog obrazovnog videa, MSP-ovi će dobiti upute da pročitaju informativne članke i obrazovne materijale na pravnoj osnovi te da odgovore na pitanja iz upitnika. Nakon što daju najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
Smjernice o pravnim osnovama: https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-on-Legal-Bases.pdf, https://arc-rec-project.eu/wp-content/uploads/2022/07/ARC-Smjernice-o-pravnim-osnovama.pdf
- b) Praktični podmodul
U praktičnom podmodulu tečaja o pravnim osnovama za obradu osobnih podataka korisnik će moći odgovoriti na pitanja u vezi s aktivnostima obrade u svojoj organizaciji kako bi mu se pomoglo da utvrdi pravnu osnovu za obradu osobnih podataka.
Ako je najprikladnija pravna osnova privola ili legitimni interes, od korisnika će se tražiti da odgovori na dodatna pitanja, a prema njegovim odgovorima generirat će se predložak za privolu i provođenje testa legitimnog interesa. Korisnik odgovara na skup od 15 – 20 pitanja i daje na svaki odgovor broj 1 – 10. Nakon izračuna rezultata korisnik će moći utvrditi može li se analiza legitimnog interesa koristiti kao pravna osnova za obradu osobnih podataka.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Kako informirati pojedince o obradi njihovih osobnih podataka: izrada politike privatnosti/informiranje pojedinaca o obradi njihovih osobnih podataka
- a) Teoretski podmodul
Prema GDPR-u, svaki voditelj obrade dužan je detaljno objasniti koje se vrste osobnih podataka prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji se način koriste osobni podaci pojedinaca, prenose li se trećim osobama, prenose li se u treće zemlje, koje se tehničke i organizacijske mjere poduzimaju za zaštitu osobnih podataka pojedinaca itd.
Obično se sve te informacije daju pojedincima u dokumentu pod nazivom Politika privatnosti/Obavijest o privatnosti/Informacije o obradi podataka ili slično. Taj se dokument obično objavljuje na internet stranici voditelja obrade podataka. Ako voditelj obrade podataka ne koristi internetsku stranicu za svoje poslovanje, ona mora biti javno dostupna pojedincima u prostorijama voditelja obrade podataka.
Poštujući načelo transparentnosti i u svrhu ostvarivanja prava pojedinaca, voditelj obrade podataka dužan je:
✓ pružiti pojedincu sve informacije o obradi njegovih osobnih podataka u sažetku, u razumljivom i lako dostupnom obliku,
✓ koristiti jasan i jednostavan jezik,
✓ obavijestiti pojedinca o njegovim pravima koja proizlaze iz Opće uredbe o zaštiti podataka.
Iako su svi elementi koje politika privatnosti mora sadržavati uvršteni u članak 13. Opće uredbe o zaštiti podataka, MSP-ovi imaju mnogo poteškoća pri sastavljanju politike privatnosti. Obično politiku privatnosti kopiraju od nekog drugog voditelja obrade koja ne obuhvaća aktivnosti obrade podataka u njihovoj organizaciji.
U kratkom videozapisu i informativnom članku (smjernice) MSP-ovima će se objasniti kako izraditi politiku zaštite privatnosti i zašto je to vrlo važno. Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o ispunjenju.
Arc materijali: Smjernice o tome kako izraditi politiku privatnosti: https://arc-rec-project.eu/wp-content/uploads/2021/01/Kako-napraviti-politiku-privatnosti.pdf
- b) Praktični podmodul
U skladu s odgovorima koje MSP-ovi daju u upitniku izradit će se odgovarajući predložak za politiku privatnosti. MSP-ovi će ga morati dodatno prilagoditi svojim aktivnostima obrade i posebnim potrebama sektora.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Službenik za zaštitu podataka
- a) Teoretski podmodul
Glavna je uloga službenika za zaštitu podataka (DPO) osigurati da njegova organizacija obrađuje osobne podatke svog osoblja, klijenata ili bilo kojeg drugog pojedinca u skladu s GDPR-om i pravnim okvirom za zaštitu podataka. Imenovanje službenika za zaštitu podataka mora se temeljiti na razumijevanju aktivnosti obrade podataka organizacije, osobnih i profesionalnih kvaliteta osobe i stručnog znanja o zaštiti podataka. U teorijskom modulu korisnik će morati dati odgovore u vezi s obvezama i ulogom službenika za zaštitu podataka. U mnogim slučajevima MSP-ovi imenuju službenika za zaštitu podataka osobu koja ne ispunjava potrebne zahtjeve. Zato je važno da MSP-ovi razumiju važnost uloge službenika za zaštitu podataka.
Imenovanje službenika za zaštitu podataka ne ovisi o broju zaposlenika u organizaciji. Voditelji obrade podataka imaju obvezu imenovati službenika za zaštitu podataka u sljedećim slučajevima:
- obradu provodi javna vlast ili tijelo javne vlasti, osim sudova koji djeluju u okviru svoje sudske nadležnosti;
- osnovne aktivnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrhe zahtijevaju redovito i sustavno praćenje ispitanika u velikoj mjeri; ili
- osnovne aktivnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka.
Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
T4DATA edukacijski materijali: https://azop.hr/t4data/
- b) Praktični podmodul
Korisnik odgovara na 5 – 10 pitanja i dobiva rezultate i odgovor je li potrebno imenovati službenika za zaštitu podataka. U slučaju obveze imenovanja generira se izvješće koje treba poslati tijelu za zaštitu podataka.
- tečaj: Procjena učinka na zaštitu podataka
- a) Teoretski podmodul
Procjene učinka na zaštitu podataka mogu se koristiti za utvrđivanje i ublažavanje svih rizika povezanih sa zaštitom podataka koji proizlaze iz poslovne aktivnosti koja može utjecati na prava pojedinaca na zaštitu podataka (zaposlenika, klijenata/kupaca u organizaciji). U skladu s Općom uredbom o zaštiti podataka, procjena učinka na zaštitu podataka obvezna je ako će obrada podataka „vjerojatno dovesti do visokog rizika za prava i slobode pojedinaca”. To je osobito važno kada se uvodi nova tehnologija za obradu podataka. U slučajevima u kojima nije jasno je li procjena učinka na zaštitu podataka strogo obvezna, provedba procjene učinka na zaštitu podataka i dalje je dobra praksa i koristan alat za pomoć voditeljima obrade u skladu sa zakonodavstvom o zaštiti podataka. Osim toga, svaka zemlja u Europskom gospodarskom prostoru izdala je popis vrsta aktivnosti obrade podataka za koje je potrebna procjena učinka na zaštitu podataka, što znači da se taj popis razlikuje za mala i srednja poduzeća u Hrvatskoj i mala i srednja poduzeća u Italiji.
Neke od prednosti provedbe procjene učinka na zaštitu podataka su sljedeće:
- Osiguravanje i dokazivanje da je Vaša organizacija u skladu s Općom uredbom o zaštiti podataka i izbjegava sankcije.
- Poticanje povjerenja u javnosti poboljšanjem komunikacije o pitanjima zaštite podataka
- Osiguravanje da Vaši korisnici ne budu izloženi riziku od kršenja njihovih prava na zaštitu podataka
- Omogućiti Vašoj organizaciji da uključi „integriranu zaštitu podataka” u nove projekte.
U ovom podmodulu korisnik će imati mogućnost stjecanja znanja i boljeg razumijevanja DPIA-e. Nakon što pogleda videozapis na procjenu učinka na zaštitu podataka i pročita informativni članak, korisnik će moći odgovoriti na upitnik. Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Data-Protection-Impact-Assessments-Guide.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/10/Vodic-za-procjenu-ucinka-na-zastitu-podataka-za-SMEs.pdf
- b) Praktični podmodul
Korisnik odgovara na 5 – 10 pitanja kako bi utvrdio potrebu za provođenjem procjene učinka na zaštitu podataka (DPIA). U slučaju potrebe procjene učinka na zaštitu podataka, u skladu s odgovorima koje korisnik daje u upitniku, izradit će se predložak procjene učinka na zaštitu podataka.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Evidencija aktivnosti obrade podataka
- a) Teoretski podmodul
Osim što je obveza u skladu s člankom 30. Opće uredbe o zaštiti podataka, evidencija obrade podataka način je dokazivanja usklađenosti organizacija s GDPR-om. Nisu svi voditelji obrade podataka obvezni voditi evidenciju o aktivnostima obrade podataka, ali preporuka tijela za zaštitu podataka za sva mala i srednja poduzeća je vođenje evidencije o aktivnostima obrade podataka.
Naime, evidencija aktivnosti obrade podataka dokument je sa svrhama popisivanja i analize, koji mora odražavati stvarnost obrade Vaših osobnih podataka i omogućiti Vam da precizno identificirate, a ako se pravilno čuva, to je alat za dokazivanje usklađenosti s pravnim okvirom za zaštitu podataka tijelima za zaštitu podataka. Među ostalim, treba sadržavati:
- Sudionike uključene u obradu podataka (voditelj obrade, izvršitelj obrade, predstavnik, zajednički voditelj obrade itd.);
- Kategorije obrađenih podataka;
- Svrhu obrade (što činite s prikupljenim osobnim podacima), tko ima pristup i tko su primatelji osobnih podataka;
- Koliko dugo zadržavate osobne podatke;
- Provedene tehničke i organizacijske sigurnosne mjere.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2022/11/ARC-vodic-za-popunjavanje-evidencije-aktivnosti-obrade.pdf
Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
- b) Praktični podmodul
Korisnik odgovara na pet pitanja kako bi utvrdio je li obvezan voditi evidenciju o aktivnostima obrade podataka. U sljedećem koraku korisnik odgovara na 10 – 20 pitanja i prima generirane zapise o aktivnostima obrade podataka u Excel obliku. Ovisno o tome je li MSP voditelj obrade ili izvršitelj obrade, predlošci će biti različiti jer će evidencija aktivnosti obrade za voditelje obrade podataka i izvršitelji obrade podataka u skladu s Općom uredbom o zaštiti podataka sastoje se od različitih elemenata. Ovi zapisi nisu konačni za sve korisnike, neki će korisnici morati ispuniti dodatne informacije, ali to je dobra polazna točka u osiguravanju i praćenju usklađenosti s GDPR-om. Važno je naglasiti da nakon generiranja i popunjavanja predloška posao nije obavljen, što znači da MSP-ovi redovito ažuriraju evidenciju u skladu s funkcionalnim i praktičnim razvojem obrade podataka.
Primijećeno je da hrvatski i talijanski MSP-ovi imaju mnogo problema dok pokušavaju odrediti razdoblja čuvanja podataka. Stoga će generirani predložak sadržavati i razdoblja čuvanja podataka za sve obvezne aktivnosti obrade podataka koje moraju imati svi poduzetnici te razdoblja zadržavanja koja su obvezna prema hrvatskim i talijanskim zakonima. Na primjer u Hrvatskoj Pravilnik o sadržaju i načinu vođenja evidencije o radnicima propisuje koje osobne podatke zaposlenika treba trajno čuvati. Također, prema hrvatskom Zakonu o računovodstvu, platne liste i analitičke evidencije plaća za koje se uplaćuju obvezni doprinosi moraju se trajno čuvati.
Ovaj stupac razdoblja zadržavanja je raspored zadržavanja podataka koji će MSP-ovima pomoći da utvrde koliko dugo mogu pohraniti osobne podatke pojedinaca (zaposlenika, klijenata/kupaca).
Mala i srednja poduzeća poticat će se da odgovore na pitanja i izrade predloške za evidenciju aktivnosti obrade, čak i ako nisu obvezna voditi evidenciju jer je, kao što je već rečeno, evidencija izvrstan alat za dokazivanje usklađenosti s pravnim okvirom za zaštitu podataka.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Ugovori između voditelja obrade podataka i izvršitelja obrade podataka
- a) Teoretski podmodul
Ugovor o obradi podataka je ugovor između voditelja obrade podataka (primjerice tvrtka) i izvršitelja obrade podataka (primjerice pružatelj usluga trećoj strani). Regulira svaku obradu osobnih podataka koja se provodi u poslovne svrhe. Članak 28. Opće uredbe o zaštiti podataka propisuje da odnos između voditelja obrade i izvršitelja obrade mora biti uređen ugovorom ili drugim pravnim dokumentom. Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
- b) Praktični podmodul
Korisnik će odgovoriti na nekoliko jednostavnih pitanja iz procesa rada i odrediti ulogu u slučaju obrade osobnih podataka. Ako postoji potreba za sklapanjem ugovora o obradi podataka, korisnik će morati odgovoriti na nekoliko pitanja kako bi dobio predložak ugovora o obradi podataka. U slučaju prijenosa osobnih podataka u treće zemlje, korisnik će biti preusmjeren na generator standardnih ugovornih klauzula.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Organizacijske mjere za zaštitu osobnih podataka
- a) Teoretski podmodul
Organizacijske mjere zaštite odnose se na interne akte, odnosno dokumente koji propisuju mjere, odnosno reguliraju područje zaštite osobnih podataka koje obrađujete. Neki od takvih internih akata su:
Pravilnik o informacijskoj sigurnosti kojim se propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u organizaciji.
Pravilnik o obradi osobnih podataka kojim se propisuje tko obrađuje osobne podatke, u koju svrhu, zakonite osnove, koji je opseg osobnih podataka koji se obrađuju, tko ima pravo pristupa i obrade osobnih podataka, koliko dugo se podaci čuvaju, tehničke mjere zaštite koje se provode za taj sustav pohrane (baza podataka…) itd. U slučaju da je organizacija instalirala videonadzor, potreban je Pravilnik o videonadzoru.
Izjava o povjerljivosti propisuje da zaposlenik poslovnog subjekta ili vanjski suradnik daje pisanu izjavu da će osobne podatke obrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka, kao i da će nad njima provesti odgovarajuće mjere zaštite te da ih neće zloupotrebljavati i davati neovlaštenim trećim osobama.
Organizacija mora imati interna pravila o postupanju s povredama podataka, politici zadržavanja podataka, načinu postupanja sa zahtjevima ispitanika.
Nakon gledanja kratkog videa i ispunjavanja upitnika (80 % točnih odgovora), korisnik će dobiti potvrdu o dovršenju podmodula.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf.
- b) Praktični podmodul
Nakon odgovora na otprilike 10 – 20 pitanja izradit će se predlošci (predlošci dokumenata) za neke interne dokumente, a za druge će MSP-ovi dobiti upute o tome kako ih izraditi.
- tečaj: Tehničke mjere za zaštitu osobnih podataka
- a) Teoretski podmodul
Korisnik će moći gledati video i čitati edukativne materijale o tehničkim mjerama za zaštitu osobnih podataka:
- Postavljanje zaporki i prava pristupa podacima, programima i opremi. Ovom dijelu mogu pristupiti samo ovlašteni zaposlenici s poslovnom opremom, a neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.
- Redovita nadogradnja operativnog sustava i računalnih programa
- Instaliranje antivirusnog programa na uređaje
- Sigurnosne kopije podataka
- Instaliranje vatrozida
- Zaštita pristupa mrežnoj infrastrukturi
- Šifriranje podataka i prijenosnih uređaja na takav način da se osobni podaci pseudonimiziraju u programima i bazama podataka, a prostor za pohranu na prijenosnim uređajima je šifriran
- Zaštita podataka pohranjenih u papirnatom obliku
- Fizička zaštita od neovlaštenog pristupa
- Zaštita internetskog usmjerivača od neovlaštenog pristupa
- Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
- Pristup opremi i programima putem čip kartica
Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf, https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-for-Engaging-Cloud-Service-Providers.pdf https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-for-Engaging-Cloud-Service-Providers.pdf, https://arc-rec-project.eu/wp-content/uploads/2022/06/ARC-Smjernice-za-organizacije-koje-angaziraju-pruzatelje-usluga-u-Cloudu.pdf, ⇱
- b) Praktični podmodul
Korisnik će ispuniti upitnik o samoprocjeni tehničkih mjera kako bi saznao u kojem su području potrebna poboljšanja.
Upitnik za samoprocjenu: https://arc-rec-project.eu/upitnik-tehnicke-i-organizacijske-mjere-zastite-osobnih-podataka/
- tečaj: Praćenje imovine i ljudi
- a) Teoretski podmodul
U Republici Hrvatskoj obrada osobnih podataka putem videonadzora dodatno je regulirana Zakonom o provedbi GDPR-a.
Hrvatska i Italija imaju određene razlike u pravnom okviru za zaštitu podataka u vezi s obradom osobnih podataka putem videonadzora. Osim toga, postoje određene razlike u obradi biometrijskih podataka, što je dodatno uređeno nacionalnim zakonodavstvom.
Ovaj teoretski podmodul također će uključivati praćenje zaposlenika (GPS; otisci prstiju itd.). Nakon gledanja videa i čitanja edukativnih materijala, korisnici će ispuniti test, a nakon postizanja najmanje 80 % točnih odgovora dobit će potvrdu o završetku.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-uporabu-videonadzora.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-uporabu-videonadzora.pdf.
- b) Praktični podmodul
Nakon saznanja o GDPR-u i nacionalnom zakonodavstvu koje regulira praćenje imovine i ljudi, korisnici će ispuniti upitnik i prema odgovorima generirati predložak obavijesti o videonadzoru.
Arc predlošci na hrvatskom jeziku: https://arc-rec-project.eu/obrasci-za-uskladjivanje-gdpr/
- tečaj: Kolačići i druge tehnologije za praćenje
- a) Teoretski podmodul
U teoretskom modulu korisnik će imati priliku saznati više o kolačićima: vrsta kolačića, kako i u koju svrhu prikupljaju osobne podatke, koji osobni podaci se prikupljaju itd. Direktivom o e-privatnosti, koja je prenesena u hrvatsko i talijansko nacionalno zakonodavstvo, štiti se privatnost komunikacija pojedinaca. Ovaj se propis primjenjuje na svaku pohranu informacija na uređaju ili opremi korisnika, kao i na pristup svim informacijama koje su već pohranjene na opremi – to znači korištenjem kolačića preglednika ili drugih tehnologija kao što je uzimanje otisaka prstiju uređaja ili korištenje piksela ili sličnih uređaja. Nije važno sastoje li se pohranjene informacije ili im se pristupalo ili sadrže li osobne podatke. Propisi o e-privatnosti primjenjuju se kada su sve informacije pohranjene na uređaju ili im se s njega može pristupiti. Osim toga, ako kolačići sadrže identifikatore koji se mogu koristiti za ciljanje određenog pojedinca ili ako informacije proizlaze iz kolačića i drugih tehnologija za praćenje koje se mogu koristiti za ciljanje ili profiliranje pojedinaca, to će predstavljati osobne podatke, a njihova obrada podliježe i pravilima utvrđenim u Općoj uredbi o zaštiti podataka (GDPR).
Svaki voditelj obrade podataka koji obrađuje osobne podatke pojedinaca putem kolačića mora obavijestiti tog pojedinca o obradi. To se obično vrši putem pravila o kolačićima. Također, za obradu osobnih podataka, voditelj obrade podataka (vlasnik internet stranice koja obrađuje osobne podatke) mora dobiti privolu korisnika putem tzv. bannera kolačića. Nakon toga, korisnik će ispuniti upitnik, a nakon davanja više od 80 % točnih odgovora dobit će potvrdu o završetku.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-note-on-cookies-and-other-tracking-technologies.pdf, https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-note-on-cookies-and-other-tracking-technologies.pdf.
- b) Praktični podmodul
Korisnik odgovara na 5 – 10 pitanja i prema modelu odgovora generirat će se dokumenti o banneru kolačića i politici kolačića.
- tečaj: Prijenos podataka
- a) Teoretski podmodul
Prva stvar koju treba uzeti u obzir pri prijenosu osobnih podataka u treću zemlju jest postoji li „odluka o primjerenosti”. Odluka o primjerenosti znači da je Europska komisija odlučila da treća zemlja ili međunarodna organizacija osigurava odgovarajuću razinu zaštite podataka.
U nedostatku odluke o primjerenosti, Općom uredbom o zaštiti podataka dopušta se prijenos ako je voditelj obrade ili izvršitelj obrade pružio „odgovarajuće zaštitne mjere”. Te zaštitne mjere mogu uključivati:
- Standardne klauzule o zaštiti podataka
- Obvezujuća korporativna pravila „BCR-ovi”
- Odobreni kodeksi ponašanja
- Odobreni certifikacijski mehanizmi
- Pravno obvezujućim i izvršivim instrumentom između javne vlasti ili
tijela javne vlasti
Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
- b) Praktični podmodul
Korisnik odgovara na 5 – 10 pitanja kako bi utvrdio prenosi li organizacija osobne podatke trećim zemljama i koje bi odgovarajuće zaštitne mjere trebalo poduzeti. U odgovarajućim zaštitnim mjerama standardne su ugovorne klauzule, korisnik će biti preusmjeren na generator standardnih ugovornih klauzula (slično kao generator na poveznici: https://twobirds.bryter.io/s/WswW-UpVRwy7_qiJgAONrA/eu-standard-contractual-clauses-generator).
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/10/Transferi-FAQs.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/10/Transferi-FAQs.pdf.
- Tečaj: Kako poštovati prava pojedinaca na zaštitu podataka?
- a) Teoretski podmodul
U teorijskom podmodulu korisnik će imati priliku educirati se o pravima ispitanika putem kratkih video i edukativnih materijala. Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
- b) Praktični podmodul
U praktičnom modulu, nakon 5 – 10 odgovora, korisnik će moći preuzeti model dokumenata za ostvarivanje prava na zaštitu podataka pojedinaca.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/ARC-GUIDANCE-Data-Subject-Access-Requests-%E2%80%93FAQs.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/03/Pravo-ispitanika-na-pristup-osobnim-podacima.pdf
- Tečaj: Povrede podataka
- a) Teoretski podmodul
U teorijskom podmodulu korisnik će moći saznati kako postupati s povredama podataka, koga treba obavijestiti u slučaju povrede podataka te kako pokušati spriječiti povrede u budućnosti. Nakon odgovora na upitnik i davanja najmanje 80 % točnih odgovora, MSP-ovi će dobiti potvrdu kao dokaz o dovršenju podmodula.
- b) Praktični podmodul
Odgovorom na pitanje od 5 do 10 korisnik će dobiti predložak postupka povrede podataka u skladu s metodologijom ENISA-e za procjenu rizika za povrede podataka. U slučaju povrede podataka korisnik će odgovoriti na 10 – 20 pitanja i dobiti izračunanu procjenu povrede podataka u skladu s metodologijom ENISA-e za procjenu rizika. Ovisno o izračunanom riziku, korisnik će morati prijaviti povredu podataka tijelu za zaštitu podataka i ispitanicima. Izvješće o povredi podataka izradit će se na temelju odgovora korisnika. Ako korisnik o povredi treba obavijestiti tijelo za zaštitu podataka, izradit će se predložak za slanje obavijesti tijelu za zaštitu podataka.
Korisnik može pohađati i završiti neke od tečajeva. U slučaju da korisnik uspješno završi sve tečajeve, dobit će potvrdu o završetku za GDPR tečaj usklađenosti. Bit će istaknuto da certifikat ne znači da je organizacija certificirana i da je usklađena s Općom uredbom o zaštiti podataka. To će biti svojevrsni dokaz da je organizacija uložila značajne napore u stjecanje potrebnih vještina i znanja za postizanje zadovoljavajuće razine usklađenosti s GDPR-om.
Arc edukativni materijali: https://arc-rec-project.eu/wp-content/uploads/2021/01/Kratki-vodic-kroz-izvjescivanje-o-povredama-osobnih-podataka-1.pdf, https://arc-rec-project.eu/wp-content/uploads/2021/03/Kratki-vodic-kroz-izvjescivanje-o-povredama-osobnih-podataka-1.pdf.