*Saznajte više u vodiču: https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-vodic-za-popunjavanje-evidencije-aktivnosti-obrade.pdf

U nekim slučajevima poduzeće kao voditelj obrade mora voditi evidenciju o svojim aktivnostima obrade koja, između ostalog, uključuje podatke o svrsi obrade, kategorijama ispitanika/osobnih podataka, kategorijama primatelja podataka, prijenos osobnih podataka u treće zemlje, vremenska razdoblja za brisanje podataka te koliko je moguće opis tehničkih i organizacijskih mjera zaštite.

PREPORUKA PODUZETNICIMA! Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi o zaštiti podataka niste u obvezi istu voditi jer je evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom o zaštiti podataka!

VAŽNO! Voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka, već evidencije aktivnosti obrade vode i čuvaju kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

• ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
• ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
• ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
• ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Ako imate manje od 250 zaposlenika i ne ispunjavate gore navedene uvjete NISTE U OBVEZI voditi evidenciju aktivnosti obrade. Svakako vam preporučamo da ipak vodite evidenciju aktivnosti obrada jer je evidencija jedan od alata za dokazivanje usklađenosti s Općom uredbom o zaštiti podataka.

Primjer 1:

Kako bi što uspješnije plasirao svoje proizvode na tržištu i povećao prodaju, voditelj obrade, mali proizvođač prirodne kozmetike s 20 zaposlenika, angažira marketinšku agenciju koja izrađuje profile korisnika društvenih mreža i koristi njihove osobne podatke za ciljano oglašavanje. Iako poduzeće ima manje od 250 zaposlenika, obrada koju je povjerila izvršitelju obrade (marketinškoj agenciji) može dovesti do rizika za prava i slobode ispitanika (inovativna tehnologija, profiliranje), te je dužno voditi evidenciju o aktivnostima obrade. Isto tako i izvršitelj obrade je u ovom slučaju dužan voditi evidenciju aktivnosti obrade.

Primjer 2: Starački dom zapošljava samo 5 zaposlenika, ali obrađuje zdravstvene podatke svojih korisnika. Budući da podaci koje obrađuje o svojim korisnicima uključuju i posebne kategorije osobnih podataka, dužan je voditi evidenciju aktivnosti obrade.

Evidencija aktivnosti obrade mora sadržavati sve sljedeće informacije (čl. 30 GDPR-a):

1. ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

2. svrhe obrade;

3. opis kategorija ispitanika i kategorija osobnih podataka;

4. kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

5. ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

6. ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

7. ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

Rubrike u obrascu označene tamnozelenom bojom niste u obavezi popunjavati (iako preporučamo), a bijelo-sive rubrike ste dužni ispuniti. Iako nije propisano čl. 30 GDPR-a, svakako preporučamo navesti pravni temelj za obradu osobnih podataka.

The post Evidencije aktivnosti obrade appeared first on Arc Rec Projekt.

Načela su važan dio propisa o zaštiti podataka i zapravo su srž Opće uredbe o zaštiti podataka (GDPR). Iako se razna načela mogu naći u GDPR-u, članak 5. GDPR-a posebno utvrđuje sedam ključnih načela povezanih s obradom osobnih podataka, s kojima mali i srednji poduzetnici (i svi ostali voditelji obrade) moraju biti upoznati i pridržavati ih se prilikom prikupljanja i obrade osobnih podataka.

• Zakonitost, poštenost i transparentnost- znači da osobni podaci moraju biti obrađivani zakonito, pošteno i transparentno u odnosu na pojedince čije osobne podatke obrađujete. Morate imati pravni temelj za obradu i obrada ne smije biti protuzakonita, ne smije štetiti pojedincima i moraju znati koje osobne podatke o njima prikupljate, s kime ih dijelite, u koje svrhe ih koristite.
• Ograničavanje svrhe: osobne podatke koristite samo u onu svrhu za koju ste ih prikupili. Npr. ako ste podatke prikupili u svrhu sklapanja kupoprodajnog ugovora, ne možete ih koristiti u svrhe direktnog marketinga
• Smanjenje količine podataka: prikupljajte samo one osobne podatke koji su vam doista potrebni za neku određenu svrhu. Npr. za program vjernosti vam trebaju ime i prezime, datum rođenja, e-mail adresa ali vam ne treba OIB, bračni status pojedinca, podaci o primanjima itd.
• Točnost: osobni podaci koje prikupljate moraju biti točni. Provjeravajte periodično njihovu točnost i ispravite netočne podatke odmah kad vas pojedinac to zatraži.
• Ograničenje pohrane: čuvajte osobne podatke samo onoliko koliko su vam potrebni za određenu svrhu ili onoliko dugo koliko to propisuje zakon (npr. u slučaju osobnih podataka o zaposlenicima). Nakon toga ih brišite ili anonimizirajte.
• Cjelovitost i povjerljivost: poduzmite sve odgovarajuće organizacijske i tehničke mjere kako biste zaštitili osobne podatke koje prikupljate.

Načelo pouzdanosti: znači da mali i srednji poduzetnici moraju biti u mogućnosti dokazati da su usklađeni s GDPR-om. Saznajte više o načelima obrade osobnih podataka u vodiču: https://arc-rec-project.eu/wp-content/uploads/2021/03/Kratki-vodic-za-nacela-zastite-podataka.pdf.

To ćete najlakše dokazati ako vodite evidenciju aktivnosti obrade,  https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-vodic-za-popunjavanje-evidencije-aktivnosti-obrade.pdf, imate politiku privatnosti, https://arc-rec-project.eu/politika-privatnosti-i-vaznost-informiranja-pojedinaca-o-obradama-koje-provodite/  koja je lako dostupna pojedincima čije osobne podatke obrađujete, imate interni pravilnik koji sadrži pravila o tome tko ima pravo pristupa osobnim podacima, gdje se osobni podaci nalaze, koliko dugo se čuvaju, u koje svrhe se obrađuju, pravne temelji za obradu osobnih podataka, kako postupate s zahtjevima ispitanika koji želi ostvariti svoja, što radite s osobnim podacima kad vam više nisu potrebni, propisane tehničke i organizacijske mjere za zaštitu osobnih podataka. U svakom slučaju zaposlenici koji imaju pristup osobnim podacima pojedinaca, trebali bi potpisati izjavu o povjerljivosti, obrazac dostupan na web stranici AZOP-a: https://azop.hr/wp-content/uploads/2020/12/6-izjava_o_povjerljivosti_obrazac-1.docx. I ono što je najvažnije: trebate svoje zaposlenike educirati o zaštiti osobnih podataka. Upravo je zaposlenik najčešće najslabija karika kad iznosi osobne podatke izvan poduzeća, ostavlja ih nezaštićene, lako dostupne zlonamjernim osobama, pa dok otvara mailove nepoznatih ili sumnjivih pošiljatelja, downloada sumnjive privitke, “klika” na poveznice u lažnim mailovima, a potom na tim lažnim web stranicama unosi podatke, nakon čega napadač dobiva pristup računu i bezbrižno vrši transakcije na svoj račun.. Napadači su često vrlo uvjerljivi, te zaposlenici ni ne posumnjaju kad zaprime mail od banke koja ih traži ažuriranje podataka…

The post Načela obrade osobnih podataka appeared first on Arc Rec Projekt.

Tijekom radionice, poduzetnici su imali priliku upoznati se s ključnim pojmovima i odredbama Opće uredbe o zaštiti podataka. Naime, prema istraživanju koje je provela Agencija, poduzetnici često nisu upoznati s osnovnim pojmovima te ne znaju tko je voditelj obrade, a tko izvršitelj obrade. Kako bi i pravilno obrađivali osobne podatke kao voditelji obrade, službenici Agencije objasnili su i koji su to pravni temelji za obradu osobnih podataka te zašto za svaku obradu nije potrebna privola.

Dotaknuli su se službenici AZOP-a i obrade osobnih podataka putem videonadzornog sustava, popularnih kolačića, ali i objasnili koje tehničke i organizacijske mjere je potrebno poduzeti kako bi se osigurala odgovarajuća razina zaštite osobnih podataka. No, ukoliko i dođe do povrede osobnih podataka, poduzetnici su na radionici naučili kako u tom slučaju postupiti.

Bitno je da se svi, koji obrađuju osobne podatke, dobro informiraju o svojim obavezama, usklade poslovanje i na taj način izbjegnu situacije u kojima se mogu naći u ulozi prekršitelja Opće uredbe o zaštiti podataka, a upravo ovakvim radionicama Agencija u tome i pomaže.

Današnja radionica nastavak je aktivnosti u okviru europskog projekta ARC, u kojemu su dosada održane edukacije za preko 5000 poduzetnika i službenika za zaštitu podataka. Obzirom na to da obrtnici, mikro, mala i srednja poduzeća za razliku od velikih, najčešće ne raspolažu s dovoljno financijskih i ljudskih resursa potrebnih za usklađivanje s propisima o zaštiti podataka, Agencija pruža punu potporu kako bi svoje poslovanje uskladili s GDPR-om te u tome nastavlja i u 2022. godini. Iduća radionica održat će se 14.3.2022., a prijaviti se možete ovdje.

The post ARC GDPR RADIONICA 14. veljače 2022. appeared first on Arc Rec Projekt.

The post Obrasci i koraci za usklađivanje s GDPR-om appeared first on Arc Rec Projekt.

Ravnatelj AZOP-a Zdravko Vukić i voditelj Odjela za informacijsku sigurnost HGK Dražen Lučić u svojim su uvodnim obraćanjima istaknuli kako je ova tematika iznimno važna za gospodarstvo jer danas praktički sve tvrtke na tržištu barataju osobnim podacima, a strogi propisi EU-a i rigorozne kazne donose obvezu odgovornog upravljanja njima.

Pročelnik Odjela za ekonomiju Sveučilišta Sjever Ante Rončević naglasio je kako marketing ima značajnu ulogu u razvoju tržišnih odnosa i da su u današnje vrijeme upravo podaci mnogim biznisima najvažnija imovina. “U tom smislu narastao je i broj tvrtki koji ih rudare i na njima zasnivaju svoje poslovanje. Personalizacija komunikacije dovela je do velike odgovornosti onih koji upravljaju podacima, zato je ova tematika važna i nadam se da ćemo, kroz bolje upravljanje podacima, mi u marketingu dati svoj obol sređivanju stanja na tržištu”, poručio je Rončević.

Središnju prezentaciju održale su Iva Ivanković iz AZOP-a, koja se osvrnula na pravni dio priče, definirala ključne pojmove te pojasnila ulogu i odgovornosti voditelja obrade podataka, te Natalija Parlov Una, stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing, koja je na konkretnom slučaju iz prakse pokazala koliko je zapravo sveprisutna obrada osobnih podataka.

“Ako se pitate smijete li nešto ili ne, odgovore ćete najlakše naći u načelima prema kojima se podaci obrađuju. Radi se prvenstveno o načelu zakonitosti, poštenosti i transparentnosti, zatim načelu ograničavanja svrhe i pohrane podataka, načelu smanjenja njihove količine, odnosno načelu točnosti te cjelovitosti i povjerljivosti”, elaborirala je Ivanković, uz napomenu da ljudski faktor ima najveću ulogu u kršenju propisa pa je stoga bitno imati pouzdanog voditelja obrade podataka koji poduzima sve potrebne tehničke i organizacijske mjere.

Parlov Una je u svom primjeru obradila malu cvjećarnicu koja svoje aranžmane prodaje u fizičkoj trgovini i webshopu, aktivno koristi društvene mreže putem kojih ponekad organizira nagradne natječaje, preko weba nudi svojim kupcima učlanjenje u program vjernosti, prima narudžbe (telefonski i online), ima svoj knjigovodstveni program, odnosno interni CRM te video-nadzor samog prostora. “Sve te aktivnosti uključuju obradu osobnih podataka ili njihovo dijeljenje s trećim stranama i stoga cvjećarnica mora provoditi organizacijske i tehničke mjere zaštite”, rekla je, dodavši kako organizacijske mjere podrazumijevaju edukaciju i podizanje svijesti o važnosti zaštite podataka, dok se pod tehničkim mjerama podrazumijeva kvalitetna i ažurna IT infrastruktura sa snažnim lozinkama i pristupom ograničenim na ovlaštene zaposlenike.

Dotaknula se i usklađivanja internetskih stranica s GDPR-om i tzv. kolačićima. Savjetovala je da izvršitelja obrade koji pruža IT usluge izrade ili održavanja internetskih stranica zatražite analizu korištenih kolačića i popis trećih strana za plug-inove koje koristi vaša internetska stranica kako biste mogli provjeriti njihovu usklađenost. “Uputno je da voditelj obrade inicira regulaciju međusobnog ugovornog odnosa s izvršiteljem obrade i nedvojbeno se uvjeri u izvršiteljevu usklađenost s GDPR-om. Također, provjerite gdje su smješteni serveri na kojima se nalaze vaše internetske stranice ako putem njih prikupljate osobne podatke ili e-mail računi. Što se tiče kolačića, na terminalnoj opremi korisnika ne smije biti pohranjen niti jedan kolačić za kojeg je potrebna privola sve dok korisnik ne da izričitu privolu za pohranu tih kolačića. Ta privola ne smije biti uvjetovana i ne može biti objedinjena za sve vrste kolačića, s tim da korisniku mora biti objašnjeno koji opseg osobnih podataka će se prikupljati i u koju svrhu te mu omogućiti da sam odluči daje li pristanak na obradu tog opsega podataka ili ne”, rekla je Parlov Una.

U sklopu radionice odgovoreno je i na najčešća pitanja u vezi e-mail marketinga, sastavljanja marketinških mailing lista, kao i o procedurama za povlačenje privole od strane korisnika.

Ovo savjetovanje je jedno od aktivnosti Agencije za zaštitu osobnih podataka u okviru provedbe EU projekta ARC (Awareness Raising Campaign for SMEs), s ciljem pružanja potpore mikro, malim i srednjim poduzetnicima prilikom usklađivanja poslovnih procesa s odredbama GDPR-a. HGK i AZOP u sklopu projekta redovno organiziraju radionice koje se tiču zaštite podataka, a u njima je do sada sudjelovalo više od 2500 sudionika.

The post EU ARC online radionica “Zaštita osobnih podataka i GDPR u marketingu”, 12.5.2021. appeared first on Arc Rec Projekt.

The post ARC projekt – online radionica za poduzetnike s Karlovačke i Ličko-senjske županije appeared first on Arc Rec Projekt.