EU projekt Archives - Arc Rec Projekt

Tehničke i organizacijske mjere za zaštitu osobnih podataka

ARC user — Tue, 16 Aug 2022 05:56:08 +0000

Jedna od glavnih obveza prema GDPR-u je osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštenih ili nezakonitih obrada (uključujući krađu, uništavanje, oštećenje i otkrivanje) osobnih podataka. Kako biste zaštitili osobe podatke svojih klijenata/korisnika usluga/zaposlenika (ukratko pojedinaca čijim osobnim podacima raspolažete), dužni ste provoditi odgovarajuće tehničke i organizacijske mjere. Na ovaj način svest ćete mogućnost nezakonite obrade osobnih podataka i povreda osobnih podataka na minimum.

Saznajte više o informacijskoj sigurnosti i tehničkim i organizacijskim mjerama u vodičima na web stranici ARC projekta: Sigurnost podataka https://arc-rec-project.eu/wp-content/uploads/2022/06/ARC-Sigurnost-podataka.pdf, Vodič za informacijsku sigurnost, https://arc-rec-project.eu/wp-content/uploads/2021/01/Vodic-za-informacijsku-sigurnost.pdf, 5 koraka do sigurnog cloud okruženja: https://arc-rec-project.eu/wp-content/uploads/2022/06/ARC-Pet-koraka-do-sigurnog-Cloud-okruzenja.pdf.

Sve organizacije (mikro, mala, srednja, velika poduzeća, tijela javne vlasti i svi ostali voditelji i izvršitelji obrade) trebaju biti svjesne važnosti ove obveze, a posebice organizacije koje prikupljaju i pohranjuju posebne kategorije osobnih podataka. Jedno od prvih pitanja koje će postaviti nadzorno tijelo za zaštitu podataka (Agencija za zaštitu osobnih podataka – AZOP) u slučaju povrede osobnih podataka i prilikom nadzornih postupanja, upravo je koje su mjere poduzete kako bi se osigurala sigurnost osobnih podataka.

Neke od tehničkih mjera za zaštitu osobnih podataka su pseudonimizacija, enkripcija, korištenje korisničkih imena i snažnih lozinki za pristup računalima i računalnoj opremi, postavljanje adekvatnih programa na računala koji sprječavaju neovlaštene pristupe, antivirusni programi, vatrozid, dvostruka autentifikacija, redovito izrađivanje sigurnosnih kopija podataka itd. Papirnata dokumentacija koja sadrži osobne podatke trebala bi se nalaziti u zaključanim ormarićima i prostorijama, sefovima ili bi trebala biti zaštićena protuprovalnim sustavom. Također, trebali biste koristiti provjerene/certificirane uređaje, programe i tehničku opremu te redovito nadograđivati operativni sustav računala, mobilnih uređaja i računalnih programa.

Organizacijske mjere zaštite odnose se na dokumentirano uređenje unutar društva/organizacije/obrta na način da se internim aktima uredi područje zaštite osobnih podataka koje obrađujete, odnosno da se, primjerice, vodi evidencija pristupa osobnim podacima (tzv. logovi) i odredi kojim osobnim podacima zaposlenici imaju pristup prilikom obavljanja svojih poslova.

Neki od takvih internih akata su:

Pravilnik o informacijskoj sigurnosti kojim se, između ostalog, propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu.
Pravilnici kojima se uređuje obrada osobnih podataka: propisuju tko obrađuje osobne podatke, u koju svrhu, koji je pravni temelj obrade, koji je opseg osobnih podataka u obradi, tko ima pravo pristupa i obrade osobnih podataka, koliko dugo se podaci čuvaju, koje su tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka) itd.
U ugovornim klauzulama unutar ugovora o radu mogu biti definirani sustavi pohrane koje će zaposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
Izjavom o povjerljivosti zaposlenik poslovnog subjekta ili vanjski suradnik daje pisanu izjavu da će osobne podatke obrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite te da ih neće zlorabiti i davati neovlaštenim trećim stranama.
Ugovor o obradi osobnih podataka između voditelja i izvršitelja obrade

GDPR ne definira koje konkretno tehničke i organizacijske mjere je potrebno poduzeti, a iste ovise o poslovnim procesima, postupcima obrade koje organizacija provodi, kategoriji osobnih podataka koje prikuplja i rizičnosti obrade. Poduzeća trebaju uzeti u obzir troškove i proporcionalnost provedbe određenih mjera –odluka treba uzeti u obzir ne samo najbolju i najprikladniju primjenjivu tehnologiju, već i veličinu i prirodu poduzeća, kao i obujam i prirodu osobnih podataka koji se obrađuju i pohranjuju. Što su osobni podaci osjetljiviji, to im treba osigurati veću razinu zaštite. Primjerice, laboratorij koji obrađuje posebno osjetljive medicinske podatke implementirat će strože mjere koje će osigurati veću razinu zaštite osobnih podataka od frizerskog salona koji obrađuje osobne podatke zaposlenika i prikuplja imena, prezimena, broj telefona i e-mail adrese klijenata.

VAŽNO!

Ljudski faktor je najbitniji u postupku provođenja informacijske sigurnosti i zaštite podataka. Ako svi zaposlenici nemaju razvijenu svijest o važnosti informacijske sigurnosti i o zaštiti podataka, poduzete tehničke i organizacijske mjere neće biti od prevelike koristi. Naime, do najvećeg broja povreda osobnih podataka dolazi iz ljudske nepažnje, nemara ili neznanja. Upravo iz tog razloga važno je sve zaposlenike educirati o računalnim virusima i prijevarama (ransomware, phishing, socijalni inženjering itd.), potencijalnim rizicima od krađe, zlouporabe i gubitka osobnih podataka, zatim pomoću kojih zaštitnih mjera se osobni podaci mogu zaštititi, kao i o posljedicama krađe, zlouporabe i gubitka osobnih podataka.

Sve su češći slučajevi računalnih prijevara, najviše phishinga na koje se “upecaju” mnogobrojni građani, ali i zaposlenici, čime mogu ozbiljno ugroziti poslovanje poduzeća u kojem rade. Primjerice, nedavno je jedna splitska tvrtka izgubila više od milijun kuna nakon što su slijedili upute iz phishing maila koji su dobili.

Saznajte više o phishingu i socijalnom inženjeringu u vodiču Phishing i socijalni inženjering na web stranici ARC projekta https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-Kratki-vodic-phishing-i-socijalni-inzenjering.pdf

Prema GDPR-u, poduzeća MORAJU poduzeti odgovarajuće mjere u svrhu zaštite osobnih podataka od sigurnosnih rizika kao što su phishing i socijalni inženjering, neke od tih mjera su: provođenje redovitih i detaljnih analiza rizika; pregled internih komunikacijskih i IT politika; provođenje mjera fizičkog i tehničkog osiguranja te EDUKACIJA ZAPOSLENIKA.

Upravo je zaposlenik najčešće najslabija karika dok otvara mailove nepoznatih ili sumnjivih pošiljatelja, downloada sumnjive privitke, “klika” na poveznice u lažnim mailovima, a potom na tim lažnim web stranicama unosi podatke, nakon čega napadač dobiva pristup računu i bezbrižno vrši transakcjie na svoj račun… Napadači su često vrlo uvjerljivi, te zaposlenici ni ne posumnjaju kad zaprime mail od banke koja ih traži ažuriranje podataka… EDUCIRAJTE SVOJE ZAPOSLENIKE O VRSTAMA RAČUNALNIH PRIJEVARA I KAKO SE ZAŠTITITI ili ih pošaljite k nama na edukaciju 15.9.2022. (besplatna ARC radionica, prijave u tijeku na info@arc-rec-project.eu).

The post Tehničke i organizacijske mjere za zaštitu osobnih podataka appeared first on Arc Rec Projekt.

EU ARC GDPR radionice u Slavoniji 29.3. – 1.4.2022.

ARC user — Mon, 21 Mar 2022 14:42:26 +0000

Osjećate se preopterećeno i ne znate otkud krenuti?

Ne brinite! Pomoć je nadohvat ruke.

Agencija za zaštitu osobnih podataka u suradnji s HUP Regionalnim uredom u Osijeku u mjesecu ožujku organizira niz radionica na temu „Kako uskladiti poslovanje s Općom uredbom o zaštiti podataka (GDPR)?“. Radionice se održavaju u okviru EU ARC projekta, sufinanciranog iz “Programa o pravima, jednakosti i građanstvu” Europske unije. Više informacija na: https://www.hup.hr/29032022-radionica-kako-uskladiti-poslovanje-s-opcom-uredbom-o-zastiti-podataka-gdpr-velika-vijecnica-brodsko-posavske-zupanije-petra-kresimira-iv-1-slavonski-brod-1100.aspx.

Raspored održavanja radionica:

29.03. utorak Slavonski Brod. Mjesto: Velika vijećnica Brodsko-posavske županije, Petra Krešimira IV 1, Slavonski Brod, u trajanju od 11:00 – 14:00 sati

30.03. srijeda Vukovar. Mjesto: Poslovno-inovacijski centar BIC Vukovar, Gospodarska zona 15, Vukovar, u trajanju od 10:00 – 13:00 sati

31.03. četvrtak Osijek. Mjesto: Poduzetnički inkubator i akcelerator Antunovac, Gospodarska zona Antunovac 23, Antunovac, u trajanju od 10:00 – 13:00 sati

01.04. petak Virovitica: Mjesto: Poduzetnički inkubator Virovitica, Poduzetnička zona II 18, Virovitica, u trajanju od 10:00 – 13:00 sati

Prijaviti se možete elektronskim putem na: hup-osijek@hup.hr.

Način upotrebe i pohrane osobnih podataka značajno se promijenio u posljednjih nekoliko godina. Opća uredba o zaštiti podataka omogućava pojedincima veću kontrolu nad njihovim osobnim podacima i uređuje način na koji svako poduzeće i organizacija moraju postupati s podacima potrošača i zaposlenika.

Dobro upravljanje podacima nije samo važno za vašu poslovnu reputaciju, već postoje i kazne za nepoštivanje propisa.

Naime, svi voditelji obrade koji raspolažu sa osobnim podacima pojedinaca, pa tako i obrtnici, mikro, mali, i srednji poduzetnici , sukladno Općoj uredbi o zaštiti podataka (članak 24., 25. i 35.), dužni su poduzeti sve odgovarajuće tehničke i organizacijske mjere kako bi adekvatno zaštitili osobne podatke svojih zaposlenika, korisnika, klijenata, ukratko pojedinaca (ispitanika) te sveli rizik od povreda osobnih podataka i zlouporaba na minimum.

Voditelji obrade koji tako ne postupe izlažu se ozbiljnim posljedicama: reputacijskom riziku i visokim novčanim kaznama.

U okviru projekta ARC, sufinanciranog iz programa Europske unije „Prava, jednakost i građanstvo“, osmislili smo web stranicu i razne aktivnosti kako bismo pomogli malim poduzetnicima u usklađivanju s GDPR-om.

Saznajte više na webstranici projekta ARC i pogledajte ARC promotivni spot.

The post EU ARC GDPR radionice u Slavoniji 29.3. – 1.4.2022. appeared first on Arc Rec Projekt.

ARC GDPR RADIONICA 14. veljače 2022.

ARC user — Tue, 15 Feb 2022 08:02:23 +0000

U okviru projekta ARC, sufinanciranog iz programa Europske unije „Prava, jednakost i građanstvo“, 14. veljače, službenici Agencije za zaštitu osobnih podataka održali su novu online radionicu “Kako uskladiti poslovanje s Općom uredbom o zaštiti podataka” koju su u suradnji s Hrvatskom udrugom poslodavaca organizirali za njezine članove, konkretno mikro, male i srednje poduzetnike.

Tijekom radionice, poduzetnici su imali priliku upoznati se s ključnim pojmovima i odredbama Opće uredbe o zaštiti podataka. Naime, prema istraživanju koje je provela Agencija, poduzetnici često nisu upoznati s osnovnim pojmovima te ne znaju tko je voditelj obrade, a tko izvršitelj obrade. Kako bi i pravilno obrađivali osobne podatke kao voditelji obrade, službenici Agencije objasnili su i koji su to pravni temelji za obradu osobnih podataka te zašto za svaku obradu nije potrebna privola.

Dotaknuli su se službenici AZOP-a i obrade osobnih podataka putem videonadzornog sustava, popularnih kolačića, ali i objasnili koje tehničke i organizacijske mjere je potrebno poduzeti kako bi se osigurala odgovarajuća razina zaštite osobnih podataka. No, ukoliko i dođe do povrede osobnih podataka, poduzetnici su na radionici naučili kako u tom slučaju postupiti.

Bitno je da se svi, koji obrađuju osobne podatke, dobro informiraju o svojim obavezama, usklade poslovanje i na taj način izbjegnu situacije u kojima se mogu naći u ulozi prekršitelja Opće uredbe o zaštiti podataka, a upravo ovakvim radionicama Agencija u tome i pomaže.

Današnja radionica nastavak je aktivnosti u okviru europskog projekta ARC, u kojemu su dosada održane edukacije za preko 5000 poduzetnika i službenika za zaštitu podataka. Obzirom na to da obrtnici, mikro, mala i srednja poduzeća za razliku od velikih, najčešće ne raspolažu s dovoljno financijskih i ljudskih resursa potrebnih za usklađivanje s propisima o zaštiti podataka, Agencija pruža punu potporu kako bi svoje poslovanje uskladili s GDPR-om te u tome nastavlja i u 2022. godini. Iduća radionica održat će se 14.3.2022., a prijaviti se možete ovdje.

The post ARC GDPR RADIONICA 14. veljače 2022. appeared first on Arc Rec Projekt.

Obrasci i koraci za usklađivanje s GDPR-om

ARC user — Sun, 09 Jan 2022 19:10:13 +0000

Poduzetnici nas često traže obrasce za usklađivanje s GDPR-om. Napominjemo da GDPR ne propisuje koje točno obrasce/interne akte/pravilnike je potrebno ispuniti/izraditi kako bi se smatralo da ste usklađeni s GDPR-om. Dodatno napominjemo da ne postoje obrasci koji odgovaraju svakom poduzetniku, obrasci primjerice evidencije aktivnosti obrade i politike privatnosti razlikovat će se od poduzetnika do poduzetnika, ovisno o djelatnosti s kojom se bavi te obradama osobnih podataka koje provodi. Tako politika privatnosti neće biti jednakog sadržaja za frizera, cvjećara, programera, iznajmljivača apartmana, knjigovodstveni servis, zaštitarsku tvrtku, agenciju za naplatu potraživanja, marketinšku agenciju itd. Važno je znati da smisao usklađivanja s GDPR-om nije popunjavanje "špranci" i "copy paste" dokumenata koji će potom stajati u ladici, već zakonita obrada osobnih podataka i provođenje odgovarajućih tehničkih i organizacijskih mjera kako bi se mogućnost povrede osobnih podataka vaših korisnika/klijenata/zaposlenika svela na minimum. U okviru ARC projekta izradili smo predloške za neke od dokumenata za usklađivanje s GDPR-om koje možete koristiti na način da ih prilagodite svom poslovanju i svojim aktivnostima obrade osobnih podataka.

EVIDENCIJA AKTIVNOSTI OBRADE za voditelje obrade

EVIDENCIJA KATEGORIJA AKTIVNOSTI-OBRADE za izvrsitelje obrade

Predložak ugovora o obradi osobnih podataka između voditelja i izvršitelja obrade

Obrazac-privole

Politika privatnosti_obrazac

Template za obavijest o videonadzoru

Primjer i obrazac testa razmjernosti (test legitimnog interesa)

Izjava_o_povjerljivosti_obrazac-za-zaposlenike

DPIA-obrazac_procjena_učinka na zaštitu osobnih podataka

Predložak za obavijest o snimanju/fotografiranju događanja

Prvi korak koji morate učiniti je utvrditi koje i čije osobne podatke prikupljate, u koju svrhu, jesu li vam ti podaci doista nužni za poslovanje, imate li odgovarajući pravni temelj za prikupljanje i obradu podataka, gdje se podaci nalaze, tko im sve ima pristup i na koji način su zaštićeni. Obrada osobnih podataka vaših zaposlenika/klijenata/korisnika usluga mora biti transparentna, što znači da oni imaju pravo znati koje osobne podatke o njima prikupljate i u koju svrhu, kako ih čuvate i s kime ih dijelite. U SVRHU PRUŽANJA POTPORE PODUZETNICIMA U SHVAĆANJU NJIHOVIH OBVEZA VEZANO ZA ZAŠTITU OSOBNIH PODATAKA IZRADILI SMO UPITNIK ZA SAMOPROCJENU USKLAĐENOSTI S OPĆOM UREDBOM O ZAŠTITI PODATAKA I ZAKONA O PROVEDBI OPĆE UREDBE O ZAŠTITI PODATAKA. UPITNIK ODNOSNO IZVJEŠĆE S VAŠIM ODGOVORIMA I SAVJETIMA KAKO POBOLJŠATI USKLAĐENOST U ODREĐENIM SEGMENTIMA, POMOĆI ĆE VAM DA SE RAZUMIJETE SVOJE OBAVEZE: UPITNIK ZA SAMOPROCJENU . Usklađenost s načelima zaštite podataka prvi je i možda najvažniji korak koji mali i srednji poduzetnici mogu poduzeti kako bi osigurali da udovoljavaju zahtjevima GDPR-a i propisa o zaštiti podataka općenito. Ta su načela navedena na samom početku GDPR-a i informiraju i prožimaju sve ostale odredbe navedenog propisa. Treba ih razumjeti kao temeljna sveobuhvatna načela kojima je cilj osigurati poštivanje duha propisa o zaštiti podataka i zaštite prava pojedinaca, vaših zaposlenika/klijenata/korisnika („ispitanika“).

2. U svakom slučaju ono što svaki poduzetnik koji obrađuje osobne podatke mora imati kao minimum dokumentacije, koja će mu uostalom služiti za dokazivanje usklađenosti s Općom uredbom o zaštiti podataka (GDPR-om) je: politika privatnosti (javno objavljena i dostupna klijentima i korisnicima usluga), ukoliko obradu temeljite na privoli- obrazac privole, ukoliko obradu temeljite na legitimnom interesu- proveden i dokumentiran test razmjernosti, ukoliko ste u obvezi imenovati službenika za zaštitu podataka, potrebno je dostaviti AZOP-u odluku o njegovom imenovanju ili izvješće o imenovanju službenika. Više o službeniku za zaštitu podataka .

Obrasci privole, testa razmjernosti (legitimnog interesa) i izvješća o imenovanju službenika.

3. Ujedno je vrlo važno da poduzmete odgovarajuće tehničke i organizacijske mjere kako biste zaštitili osobne podatke svojih korisnika/klijenata i smanjili na najmanju moguću mjeru mogućnost zlouporabe njihovih osobnih podataka. Više o tehničkim i organizacijskim mjerama možete saznati u Vodiču za informacijsku sigurnost. Savjetujemo vam i da ispunite upitnik za samoprocjenu kojeg smo izradili isključivo u svrhu ukazivanja na neke od osnovnih tehničkih i organizacijskih mjera koje bi trebali poduzeti kako bi zaštitili osobne podatke svojih korisnika/klijenata/zaposlenika. Ispunite upitnik za samoprocjenu-tehničke i organizacijske mjere.

4. Ako provodite visokorizične obrade, morate provesti postupak procjene učinka na zaštitu osobnih podataka, saznajte više u Vodiču za procjenu učinka na zaštitu podataka. Obrazac za procjenu učinka na zaštitu podataka: https://arc-rec-project.eu/wp-content/uploads/2022/01/DPIA-obrazac_procjena_ucinka.docx

5. Svaka obrada osobnih podataka koju provodi izvršitelj obrade mora biti uređena ugovorom ili drugim pravnim aktom u pisanom obliku i mora biti obvezujuća. U Općoj uredbi o zaštiti podataka navode se elementi koji moraju biti određeni u ugovoru o obradi (članak 28. Opće uredbe o zaštiti podataka). U okviru projekta ARC izradili smo obrazac Ugovora o obradi podataka između voditelja obrade i izvršitelja obrade prema članku 28. st. 3. Opće uredbe o zaštiti podataka kojeg možete prilagoditi svojim poslovnim procesima i obradama osobnih podataka koje povjeravate izvršitelju obrade. Primjeri voditelja i izvršitelja obrade: voditelj obrade ste ukoliko ste primjerice trgovina koja od izvršitelja obrade traži postavljanje videonadzora, izvršitelj obrade ste ako primjerice pružate usluge instalacije i održavanja videonadzornog sustava toj trgovini.

6. Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi o zaštiti podataka niste u obvezi istu voditi jer je evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom o zaštiti podataka (GDPR-om)! EVIDENCIJE AKTIVNOSTI OBRADE NE DOSTAVLJATE AGENCIJI ZA ZAŠTITU OSOBNIH PODATAKA, VEĆ IH VODITE I ČUVATE KOD SEBE u pisanom obliku, uključujući elektronički oblik TE DAJETE NA UVID AKO VAS AZOP ZATRAŽI! Sve o evidenciji aktivnosti obrade možete pronaći na: https://arc-rec-project.eu/evidencije-aktivnosti-obrade/

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.

7. Ukoliko planirate ili već imate postavljen videonadzor u vašem poslovnom prostoru, dužni ste označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja te sadržavati jednostavnu i razumljivu sliku uz tekst kojim se osobama pružaju najmanje sljedeće informacije:

da je prostor pod videonadzorom
podatke o voditelju obrade (poduzeću/društvu/obrtu/organizaciji/tijelu jave vlasti, državnom tijelu): naziv, adresa i kontakt podaci voditelja obrade
svrhu obrade
pravnu osnovu
prava ispitanika
poveznicu na politiku privatnosti ili drugi odgovarajući dokument ili informaciju o tome gdje je dostupna politika privatnosti (npr. u poslovnici)

Izradili smo Predložak za obavijest o videonadzoru. Detaljne informacije o obradi osobnih podatka putem videonadzora možete pronaći u Vodiču za uporabu videonadzora.

8. Ukoliko u Vašem poslovanju koristite web stranicu i obrađujete osobne podatke putem kolačića, dužni ste o tome obavijestiti posjetitelje svoje web stranice putem jasno vidljive obavijesti (skočnog prozora/bannera) te na web stranici morate imati objavljenu, uz politiku privatnosti, i obavijest o kolačićima. Informacije o kolačićima ispitaniku možete pružiti ili unutar politike privatnosti u zasebnom poglavlju na pregledan i jasno razumljiv način ili u zasebnom dokumentu. U svakom slučaju oboje mora biti jasno vidljivo i najčešće se nalazi u podnožju web stranice. Obavijest o kolačićima treba sadržavati sve informacije o tome što su kolačići, vrsti kolačića koji se na web stranici koriste i njihovoj funkciji. Korisnik treba imati mogućnost na jednako jednostavan način odbiti i prihvatiti kolačiće. "Prozorčić (banner)" koji se korisniku pojavi u pregledniku kad posjeti stranicu i ima unaprijed označenu opciju "prihvaćam kolačiće" ili čak ima samo opciju "prihvaćam kolačiće" bez opcije "ne prihvaćam" kolačiće nije u skladu sa GDPR-om. Primjeri dobre i loše prakse obavijesti (bannera/skočnog prozora) o prihvaćanju/ne prihvaćanju kolačića.

Bitno za napomenuti je da navedene informacije trebaju opisivati stvarno stanje Internet mjesta tj. stvarne vrste i kategorije kolačića koji se koriste na vašoj web stranici, koji se osobni podaci stvarno prikupljaju pomoću tih kolačića, koja je njihova stvarna svrha i rokovi pohrane te da li se podaci prenose u treće zemlje ili međunarodne organizacije, a ne da su prekopirane s nekog drugog web mjesta samo kako bi se zadovoljila forma. Saznajte više u Vodiču za kolačiće.

9. Ako provodite marketinške aktivnosti u svrhu promoviranja i prodaje svojih roba i usluga, te u tu svrhu provodite direktni marketing i obrađujete osobne podatke pojedinaca, imajte na umu da za takvu obradu morate imati pravni temelj (legitimni interes ili privola). Više o obradi osobnih podataka u svrhe direktnog marketinga.

10. U slučaju povrede osobnih podataka, dužni ste obavijestiti Agenciju za zaštitu osobnih podataka bez odgađanja, ako je moguće, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo (Agenciju za zaštitu osobnih podataka) , osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje. Više informacija o izvješćivanju o povredi osobnih podataka i Obrazac za izvješćivanje o povredi osobnih podataka.

11. Poštujte prava ispitanika (osoba čije osobne podatke obrađujete)! Ukoliko u svom poslovanju koristite web stranicu, najbolje bi bilo da na web stranici imate dostupan obrazac putem kojeg ispitanik može ostvariti svoja prava. Primjer obrasca zahtjeva za ostvarivanje prava ispitanika.

The post Obrasci i koraci za usklađivanje s GDPR-om appeared first on Arc Rec Projekt.