Cimerman Software logo   Početna stranica
Početna
 
Reference
Reference
 
Kontakt
Kontakti
 
 
 
 
ERP SUSTAVI
 
 
PROGRAMI ZA PROIZVODNJU
 
 
PROGRAMI ZA KNJIGOVODSTVO
 
 
PROGRAMI ZA TRGOVINU
 
 
PROGRAMI PO MJERI
 
 
REPOZITORIJ GDPR
   
 
 

Upute i primjeri na hrvatskom jeziku za korištenje programa repozitorij GDPR

Repozitorij GDPR je hrvatski računalni program, a na ovoj stranici možete pronaći korisničke upute s primjerima na hrvatskom jeziku.

Ukoliko još nemate naš program, više informacija potražite na stranici Repozitorij GDPR - hrvatski računalni program za usklađenje.

GDPR program hrvatski, upute i primjeri
Hrvatski računalni program za brzo i jednostavno usklađenje sa GDPR-om

 
 

DETALJNE  UPUTE  ZA  KORIŠTENJE  PROGRAMA

1. Uvod - općenito o programu

Repozitorij GDPR je računalni program zamišljen kao alat koji će vam olakšati implementaciju GDPR uredbe u vaše poduzeće ili organizaciju. Ovaj program ne sadrži vaše "prave" podatke, niti ne obrađuje vaše "prave" podatke. Svrha ovog programa je da vas vodi kroz korake usklađenja s GDPR-om, da vam pomogne u promišljanju na bitne stvari, te da u konačnici jednostavno formalizirate i konkretizirate u obliku dokumentacije, vaše usklađenje s GDPR-om.

Konačni rezultat ovog programa je elektronička i pisana dokumentacija koja pokazuje na koji način je GDPR implementiran u vaše poduzeće, na koji način se mora ubuduće provoditi i održavati, te vam program omogućava daljnje praćenje mnogih bitnih aktivnosti i događaja koji su važni za GDPR.

Ove upute su dostupne i u PDF obliku i mogu se skinuti na ovom linku:
GDPR hrvatska primjeri upute
>>> Repozitorij GDPR Korisničke upute za korištenje programa (PDF) <<<

2. Temeljni dokumenti

temeljni dokumenti GDPR
Prvi modul u programu Repozitorij GDPR su "Temeljni dokumenti". U ovom modulu popunjavate podatke pravne osobe koja se usklađuje sa GDPR-om, tj. osnovne podatke vaše organizacije za koju radite dokumentaciju. Upisani generalni podaci se koriste u svim drugim dijelovima programa. Nakon što popunite podatke o organizaciji (pod organizacijom se u ovom programu smatraju svi oblici ustanova, institucija, poduzeća, trgovačkih društava, obrta, itd. - tj. svi obveznici GDPR-a), dolazite do prvog važnog koraka: imenovanje službenika za zaštitu podataka.

2.1. Službenik za zaštitu osobnih podataka - imenovanje i ugovor

Polja za službenika za zaštitu podataka popunjavate samo ako ste ga dužni imenovati. Poduzeća su dužna (obavezno) imati službenika za zaštitu podataka pod ovim uvjetima:

- ako obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
- ako se osnovne djelatnosti organizacije sastoje od postupaka obrade podataka koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri (znači da je osnovni posao organizacije baratanje velikim brojem osobnih podataka),
- ako se osnovne djelatnosti organizacije sastoje od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Uredbe
- ako imate više od 250 zaposlenih

Ovo su četiri pravila definirana Uredbom kada je službenik obavezan, no to ne znači da je isti zabranjen ako ne spadate u ove kategorije. Dobro je da svako poduzeće s većim brojem zaposlenika (na primjer 20 i više) ima imenovanog službenika za zaštitu podataka. Njegova je zadaća da, uz svoje redovne poslove, brine o poštivanju i održavanju sustava zaštite osobnih podataka u organizaciji.

Sve organizacije su dužne poštivani GDPR uredbu, bez obzira da li moraju imati službenika ili ne. Ukoliko organizacija nema imenovanog službenika, tada je to po automatizmu zadaća vlasnika, osnosno ovlaštene osobe za zastupanje.

Kao službenika možete imenovati nekog od svojih zaposlenika i u tom slučaju morate imate pisani akt kojim ste izvršili imenovanje. Program Repozitorij GDPR vam za upisanog službenika automatski nudi ispis akta o imenovanju, te aneks ugovora o radu (uz pretpostavku da ste sa svojim zaposlenikom napravili ugovor o radu, onda je potrebno u ugovor o radu dodati klauzulu da će raditi i poslove zaštite podataka, a program vam nudi izradu aneksa ugovora). Za aneks ugovora upisujete samo broj izvornog ugovora po kojem ste zaposlili radnika, te broj aneksa ugovora (trenutnog) prema želji, ili redosljedu. Ako do sada niste u organizaciji imali nijedan aneks ili ugovor, možete upisati na primjer 2018-01 (kao prvi u ovoj godini).

2.2. Deklaracija organizacije o zaštiti osobnih podataka

Kada u programu Repozitorij GDPR završite s upisom osnovnih podataka, i imenovanjem službenika za zaštitu podataka, potvrdite taj obrazac, i program će Vam na prozoru "Pregled podataka organizacije" ponuditi tri ispisa: Ispis deklaracije, Ispis odluke o imenovanju službenika i Ispis aneksa ugovora za službenika.

Ovaj prvi, "Deklaracija o zaštiti podatka" je zamišljen kao prvi dokument u formiranju vaše dokumentacije, odnosno dobro je da postupak usklađenja sa GDPR-om započnete ispisom Deklaracije u kojoj su opisani osnovne upute i pravila GDPR-a, a kako bi svi zaposlenici i drugi čitatelji kasnije mogli dobiti osnovna saznanja i upute o svrsi usklađenja i pravilima kojih se moraju pridržavati.

Svi dokumenti i ispisi u programu Repozitorij GDPR su u potpunosti na hrvatskom jeziku te će biti razumnjivi svima u Hrvatskoj.

3. Zaposlenici i obuka za GDPR

Zaposlenici i GDPR
Sljedeći korak je popisivanje zaposlenika u vašoj organizaciji koji barataju osobnim podacima, te formaliziranje njihove osposobljenosti, tj. prava da smiju raditi s osobnim podacima.

U ovom dijelu upisujete samo one zaposlenike koji u opisu svog radnog mjesta dolaze u doticaj s osobnim podacima koje ste prikupili ili su direktno zaduženi za prikupljanje i obradu osobnih podataka - na primjer voditelj kadrovske službe, voditelj obračuna plaća, prodavač, i slično. Ovdje nije potrebno navoditi sve svoje zaposlenike već samo one koji rade s osobnim podacima. Također ćete tu upisati one osobe kojima želite omogućiti pristup do programa Repozitorij GDPR, jer se ovdje zadaju i korisničko ime i šifra za ulazak u ovaj program.

Dodatno će vas program tražiti da klasificirate upisane zaposlenike u jednu od 5 kategorija (administrator, službenik zaštite, voditelj obrade, izvršitelj obrade, operater za unos podataka), međutim navedena klasifikacija je samo orijentacijska i nema nikakvog utjecaja na daljnje mogućnosti ili ograničenja u korištenju programa.

Glavne uloge koje ćete koristiti:

a) Službenik zaštite - to je osoba koja je imenovana službenikom zaštite osobnih podataka,
b) Voditelj obrade - to je osoba u firmi, najčešće direktor ili šef, koji daje nalog nekome da obavlja određeni posao za potrebe organizacije, i taj definira osnovne okvire i zadaću posla, i najčešće zapošljava radnike sa svrhom da obavljaju neki posao obrade,
c) Izvršitelj obrade - osoba ili više njih koji obavljaju stvarnu obradu osobnih podataka i koji direktno dolaze u doticaj s osobnim podacima.

Izvršitelji obrade mogu biti i vanjske firme (knjigovodstveni servis, informatička kuća..), ali oni se ne upisuju u zaposlenike, već će se navesti kasnije kod procesa obrade.

Uredba propisuje obuku zaposlenika izvršitelja za zaštitu osobnih podataka. Tj. svatko tko obavlja obradu podataka, mora biti upoznat s pravilima uredbe, i u načelu je obaveza voditelja ili službenika da izvršitelje informiraju o pravilima GDPR-a i napravi upute. Stoga vam program Repozitorij GDPR, po unosu svih zaposlenika kod kojih stavite kvačicu "Osposobljen", omogućava ispis Uvjerenja o osposobljavanju. To je formalni dokaz da ste vaše zaposlenike informirali o pravilima GDPR-a i da su dobili upute za zaštitu osobnih podataka.

4. Zbirke osobnih podataka

GDPR program Zbrika osobnih podataka
Poduzeća su dužna voditi evidenciju svih zbirki osobnih podataka u organizaciji. Zbirke su mjesta i mediji gdje čuvate osobne podatke. Obično su to neki programi u računalu ili na serveru, registratori s dokumentima, xls tablice, papiri i sl.

Najbolje je krenuti s razmišljanjem koje sve osobne podatke imamo u organizaciji, a zatim navesti gdje ih strukturiramo i pohranjujemo, jer to je onda zbirka.

Primjeri nekih tipičnih zbirki koje organizacije imaju:

1. Matična knjiga radnika
2. Pohranjeni mailovi ljudi koji traže posao kod nas
3. Registrator s ugovorima o zaposlenju radnika
4. Lista kupaca u webshopu
5. Evidencija poslovnih partnera/klijenata
6. Snimke videonadzora

Kod dodavanja zbirke osobnih podataka nužno je dobro definirati svrhu jer se ti podaci smiju koristiti samo u svrhu koju ste kao voditelj odredili, čak i ako te podatke dajete trećim stranama, na primjer šaljete te podatke u knjigovodstvo. Također, nužno je definirati i kategoriju osoba na koje se ti podaci odnose. Primjeri kategorija osoba su: zaposlenici, klijenti, kupci, dobavljači, partneri...

Program Repozitorij GDPR će vas tražiti da opišete popis osobnih podataka koje zbirka sadrži, primarnu svrhu zbog koje je zbirka oformljena te izvor tih podataka.

4.1. Posebne kategorije osobnih podataka

Kod prikupljanja i opisivanja osobnih podataka, trebate naročito voditi računa da su u GDPR-u definirane posebne kategorije osobnih podataka koje je u načelu zabranjeno obrađivati/prikupljati, a to su podaci: a) koji otkrivaju rasno ili etničko podrijetlo, b) politička mišljenja, c) vjerska ili filozofska uvjerenja ili d) članstvo u sindikatu e) obrada genetskih podataka, f) biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, g) podataka koji se odnose na zdravlje ili h) podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

Ovi podaci se načelno ne smiju prikupljati, niti držati, tj. dozvoljeni su samo u iznimnim slučajevima. Detalje pogledajte u Uredbi, ukoliko smatrate da morate držati ovakve podatke u vašoj organizaciji. Hrvatska poduzeća i institucije bi za korištenje ovih posebnih podataka morala imati uporište u zakonu, tj. da im je hrvatska pravna regulativa propisala tu djelatnost.

4.2. Pravni temelj: zakon, ugovor, privola ili legitimni interes

Osim svrhe formiranja zbirke podataka, jedan od ključnih koraka u GDPR implementaciji je jasno definiranje pravnog temelja koji vam omogućava držanje pojedinih osobnih podataka. U ovom dijelu trebate definirati na kojem temelju prikupljate i obrađujete podatke. U pravilu se podaci prikupljaju na nekom pravnom temelju, npr, zakon ili ugovor, dok se svi ostali podaci trebaju prikupljati na temelju privole ispitanika. Budući da su najčešće zbirke podataka vezane uz zaposlenike ili klijente, prikupljanje njihovih podataka temelji se obično na nekom od zakona, na primjer hrvatski Zakon o radu, hrvatski Pravilnik o sadržaju i vođenju evidencije o radnicima, Zakon o obveznim odnosima, Zakon o PDV-u i sl.

Vrlo je važno da razumijete da osobne podatke smijete koristiti ako za to imate zakonsku osnovu (hrvatska ili EU regulativa), ili ste ugovorom tako definirali između vas i osobe. U protivnom, morate imati izričitu privolu osobe.

4.3. Legitimni interes

Dodatna mogućnost koju nudi Uredba GDPR je "legitimni interes", međutim radi se o rizičnoj i ne do kraja definiranoj kategoriji. Legitimni interes prikupljanja podataka je situacija kada već jeste u nekom odnosu s osobom ispitanikom (na primjer on je vaš radnik, ili je vaš klijent, i slično), i ta osoba može pretpostaviti da imate njezine podatke, može iz konteksta razumijeti svrhu prikupljanja podataka, i to prikupljanje ne krši njezina druga prava, a u interesu je ispitanika, ili je u vašem interesu da možete obavljati svoje aktivnosti.

Legitimni interes jako ovisi o kontekstu i odnosu s osobom, ali primjer bi mogao biti: došli ste s automobilom na servis, ostavili ste automobil na servisu, i serviser je zapisao vaše ime i prezime, mjesto, registarsku oznaku i broj mobitela, te vam rekao da će vas nazvati na mobitel kada vam automobil bude gotov na servisu. U ovom slučaju serviser nema zakonsku osnovu, niti ugovor s vama, niti izričitu pisanu privolu, međutim u vašem je interesu da vas nazove kada automobil bude gotov, i točno možete pretpostaviti u koju svrhu mu trebaju ti podaci, a on ih koristi isključivo u tu svrhu.

4.4. Minimizacija

Program Repozitorij GDPR će vas kod definiranja zbirke pitati da razmislite i opišete zbirku s aspekta minimizacije, koju definira Uredba. Minimizacija osobnih podataka podrazumijeva da prikupljamo i obrađujemo minimum potrebnih osobnih podataka koji su nam potrebni da ostvarimo neku svrhu. Na primjer kod zaposlenika to je navedeno u gore navedenom Pravilniku kao i povezanim zakonima. S druge strane, ako primjerice prikupljamo podatke na internet stranicama putem kontakt forme, nužno je zatražiti minimum osobnih podataka kako bi mogli ostvariti željenu svrhu, a ne prikupljati podatke "ako nam slučajno jednom zatrebaju".

Isto načelo, po obimu podataka, odnosi se i na rok čuvanja. Ne držati podatke duže nego je to stvarno potrebno.

Primjer 1): ako vam je nekoliko osoba poslalo životopis s namjerom da ih zaposlite, vi imate legitimno pravo držati te životopise dok traje natječaj i dok nekog ne zaposlite. Međutim, po završetku natječaja, nemate pravo držati tuđe podatke, ako niste izričito dobili njihovu privolu za to.

Primjer 2): malo nezgodnjiji primjer je kada vam netko pošalje životopis otvorenog tipa, a vi nemate raspisani natječaj u tom trenutku. Poželjno je tada povratno informirati kandidata (na primjer mailom) da nemate otvoreni natječaj, ali da ćete zadržati životopis, držati ga 6 mjeseci (točno specificirati koliko), i to u svrhu ako se ukaže potreba. Time što ste informirali kandidata o svrsi i roku čuvanja njegovih podataka, zadovoljili ste načelo legitimiteta, minimizacije roka i opsega podataka. A kandidat se može povratno očitovati ako se ne slaže s vašim postupcima. Ukoliko se ne javi, imate zapravo njegovu privolu za čuvanje podataka koja proizlazi iz konteksta korespondencije.

4.5. Mediji i zaštita

U ovom dijelu trebali bi razmisliti gdje sve držite osobne podatke i u kojem obliku. Na računalu, mobitelu, u papirnatom obliku…? Zatim trebate vidjeti kako su ti osobni podaci zaštićeni, ako uopće jesu, tko ima pristup do njih, te na koji bi ih sve način mogli zaštititi. Na primjer u računalo se može ući samo koristeći lozinku i korisničko ime, registratori se nalaze u sobi koja je zaključana… Također, trebate vidjeti da li radite arhiviranje/backup osobnih podataka i na koji način. U ovom dijelu ćete tehnički opisati na koji način čuvate, arhivirate i štitite osobne podatke.

4.6. Enkripcija, anonimizacija, pseudonimizacija...

U svom poslovanju sigurno koristite računalo i neki od programa za obradu osobnih podataka, na primjer knjigovodstveni program, ERP program i sl. Ukoliko obrađujete jako velike količine osobnih podataka za koje jednostavna zaštita nije dovoljna, trebali bi razmisliti o unapređenju zaštite svojih programa uvođenjem nekih od oblika zaštita, na primjer enkripcijom, anonimizacijom, pseudonimizacijiom… Sve su to napredniji oblici zaštite osobnih podataka za koje je potrebno tehničko znanje. Enkripcija je “najjači” oblik zaštite jer se radi o šifriranju podataka na način da ih možete koristiti samo vi ili osobe kojima ste dali ključ za enkripciju. Anonimizacija je promjena osobnih podataka na način da se više ne mogu povezati s određenom osobom, dok pseudonimizacija dopušta reidentifikaciju korištenjem odgovarajućih ključeva. Ova tehnička rješenja izričito navodi Uredba, pa razmislite i o tome dok pišete o zaštiti i smjernicama.

4.7. Prijenos prava i podataka

Kod prijenosa osobnih podataka razlikujemo dvije situacije:

1) kada podatke dajemo trećim stranama za daljnju obradu, a s kojima imamo sklopljen ugovor o poslovnoj suradnji i koji u tom slučaju postaju izvršitelji obrade (primjeri: knjigovodstveni servis, informatičke firme, zaštitarske službe, fotokopirni servisi,...) i

2) kada te podatke hrvatska poduzeća šalju u treće zemlje ili međunarodne organizacije izvan EU. I u jednom i drugom slučaju moramo se voditi odredbama GDPR-a o zaštiti osobnih podataka te da se ti osobni podaci smiju koristiti samo u onu svrhu koju smo mi kao voditelji obrade definirali.

Primjer 1) Knjigovodstveni servis vam radi obračun plaća, i u vaše ime šalje podatke na poreznu upravu. Tada ste vi voditelj obrade (vi naručujete da se to radi), a vanjski knjigovodstveni servis je izvršitelj obrade. U ovom slučaju se radi o prijenosu osobnih podataka.

Primjer 2) Imate računalni program kupljen od informatičke firme, i sami radite obračun plaća. Informatička firma vam održava program i upravlja arhiviranjem podataka, a povremeno za potrebe testiranja i otklanjanja kvarova iskopiraju vaše podakte na svoje računalo. U ovom slučaju vi ste voditelj obračuna plaća i izvršitelj obračuna plaća, a informatička firma je vanjski izvršitelj arhiviranja podataka. I u ovom slučaju imamo prijenos osobnih podataka u informatičku firmu (iako se radi samo o arhiviranju ili testiranju).

4.8. Prava ispitanika

GDPR uspostavlja skup prava koja ispitanik može ostvariti i na koja voditelj obrade, koji posjeduje osobne podatke, mora reagirati i odgovoriti, u pravilu u roku od mjesec dana. Vrlo je važno da za svaku vašu zbirku definirate koja prava ispitanik može ostvariti, a koja ne. U načelu, ispitaniku morate omogućiti sva navedena prava, osim ako hrvatska pravna regulativa ili neki drugi jači razlog ne dozvoljava da korisnik može ostvariti to pravo. Trebate uzeti u obzir da neovisno o tim pravima postoje i drugi hrvatski i EU zakonski propisi na temelju kojih prikupljate i obrađujete osobne podatke. To se prvenstveno odnosi na pravo ispitanika na zaborav jer na primjer hrvatski Zakon o radu definira rokove koliko se ti podaci moraju dugo čuvati.

Primjer: kod obračuna plaća, dužni ste držati osobne podatke pojedinaca trajno, čak i kada zaposlenik više ne radi kod vas, pa čak i 50 godina nakon što je prestao raditi kod vas. To je hrvatska zakonska regulativa, pa ispitaniku ne možete dozvoliti brisanje tih podataka.

Kratki opis prava ispitanika:

1. pravo na informiranost - ispitanik ima pravo znati koji podaci će se prikupljati, zašto, tko će ih prikupljati, za koju svrhu i gdje će ti podaci ići,
2. pravo na pristup - ispitanik može zatražiti da vidi koje informacije o njemu voditelj obrade ima,
3. pravo na ispravak - ispitanik može zatražiti ispravak ako smatra da su podaci pogrešni ili netočni,
4. pravo na brisanje - ispitanik može zatražiti brisanje podataka ako oni više nisu potrebni. Ovdje treba obratiti pozornost na to da nekad postoji i pravna osnova za odbijanje brisanja podataka,
5. pravo na ograničavanje obrade - ispitanik ima pravo zatražiti pauziranje obrade podataka ako postoje razlozi da se to učini,
6. pravo na prijenos (dijela) podataka - ispitanik ima pravo zatražiti od voditelja obrade da mu preda osobne podatke na prenosnom mediju kako bi ih prenio drugom voditelju obrade,
7. pravo na prigovor - ispitanik ima pravo na zaustavljanje obrade podataka,
8. pravo da se na ispitanika ne odnosi automatizirano pojedinačno donošenje odluka, uključujući izradu profila.

5. Procesi obrade

GDPR program procesi obrade
Procesi obrade su svi postupci koje radimo s osobnim podacima, a uključuju prikupljanje, obradu, pohranjivanje, slanje, brisanje, arhiviranje i sl. Najčešće su procesi razlog zbog kojih prikupljamo osobne podatke, ali je važno da se rade na način da ne krše prava ispitanika i da općenito ne narušavaju zaštitu osobnih podataka.

Stoga je potrebno temeljito dokumentirati procese koji koriste osobne podatke kako bi procese radili oni koji su za to ovlašteni i na propisani način. Kako bi što bolje definirali procese, ovim programom možete dodati i korake za svaki proces kako bi što bolje opisali proces.

Primjeri tipičnih procesa u organizacijama:

a) Obračun plaća
b) Zapošljavanje novih radnika ili otpuštanje radnika
c) Izdavanje računa, otpremnica, naruždbenica na kojima su osobni podaci
d) Slanje adresiranih reklama kupcima, poštom ili mailom
e) Praćenje i ocjenjivanje zaposlenika (radno vrijeme, učinci, video nadzor...)

Program Repozitorij GDPR će vas voditi po redu, uz upute, kako biste imenovali svoje procese, opisali ih, definirali voditelja i izvršitelje obrade, te jasno definirali svrhu zbog koje se proces izvršava.

5.1. Procjena učinka na zaštitu podataka

Na drugom dijelu definiranja procesa obrade, program vas vodi kroz područje procjene učinka. Važno je da za svaki proces razmislite kakav je njegov odnos prema zaštiti podataka. Prvo opisujete način obrade podataka, a zatim i učinak na zaštitu.

Primjer: proces može biti vrlo rizičan za zaštitu podataka jer je lako moguće da se ugroze podaci, ili proces je u potpunosti siguran, i slično. Također imate poseban odjeljak gdje se mogu navesti prijedlozi za unapređenje procesa u cjelini, tj. da bude još sigurniji za zaštitu podataka.

Uredba posebno propisuje da su organizacije dužne propisati procedure po kojima se obrađuju osobni podaci. Stoga vas u nastavku program vodi na smjernice u kojima ćete prvo općenito napisati smjernice kojih se izvršitelji moraju držati, i na što moraju paziti, kada se gleda proces u cjelini. U nastavku sljede koraci procesa i smjernice po koracima.

5.2. Koraci i smjernice

Program GDPR omogućava da se svaki proces podijeli na više koraka. Svrha ovoga je da se proces može detaljnije razložiti, opisati, definirati i zaštiti. U svakom procesu možete osmisliti neograničeni broj koraka i nanizati ih u posebnu listu koraka u okviru procesa. Svaki od koraka ima zasebno svoje izvršitelje, prijedloge bolje zaštite podataka i smjernice ili upute kojih se izvršitelji moraju pridržavati.

Po završteku definiranja svih koraka, završili ste sa dokumentiranjem jednog procesa. Kada potvrdite proces i vratite se na prozor s listom svih procesa, program Repozitorij GDPR vam na dnu nudi tri ispisa koji predstavljaju dokumentiranje procesa:
a) ispis jednog procesa - radi se o detaljnom ispisu svih elemenata koje ste upisali o procesu,
b) ispis procedure rada procesa - ispis jednog procesa, ali samo s koracima i smjernicama, što predstavlja propisivanje procedure za obavljanje procesa tj. upute za GDPR,
c) ispis liste procesa - ukupna evidencija svih definiranih procesa.

6. Procjena rizika

GDPR program procjena rizika
Rizici su svi neželjeni događaji koji bi se mogli dogoditi u budućnosti, a koji bi mogli na neki način ugroziti zaštitu osobnih podataka. Rizik je svaki događaj u kojem dođe do gubitka nekih podataka ili ti podaci dođu na uvid, odnosno, korištenje neovlaštenim osobama.

Organizacije su dužne detaljno identificirati i opisati potencijalne rizike, od onih s malim posljedicama do onih s kobnim posljedicama. Za svaki od rizika, organizacije moraju prvo definirati pravila i smjernice ili upute koji bi morali omogućiti da se maksimalno umanji vjerojatnost rizika, tj. što napraviti da do rizika ne dođe.

Drugo, organizacije moraju imati također definirane procedure ili upute što napraviti ako do rizika ipak dođe, tj. što je sve potrebno napraviti ukoliko se rizik stvarno dogodi.azine opasnosti koju predstavlja za organizaciju ili pojedince čije podatke imate. Klasifikacija je proizvoljna, a program Repozitorij GDPR vam omogućava skalu opasnosti koja ide od 1 do 10. Vrijednost 1 su beznačajni incidenti bez ikakvih posljedica, dok su vrijednost 10 najopasniji incidenti koji imaju fatalne posljedice za organizaciju ili pojedince.

Također je rizike potrebno klasificirati s obzirom na vjerojatnost događaja. Program Repozitorij GDPR vam omogućava klasifikaciju u okviru postotka koji predstavlja vjerojatnost da će se događaj dogoditi u godinu dana, a skala je od 1% do 100%. Ako na primjer procjenjujete da će se neki događaj dogoditi svakih 20 godina, onda je njegova godišnja vjerojatnost 5%.

Primjeri nekih tipičnih rizika u organizacijama:
a) krađa podataka na mediju,
b) slučajno slanje podataka na krivu adresu, krivom primatelju,
c) računalni virusi koji mogu uništiti ili ukrasti podatke na računalu,
d) požar ili poplava mogu uništiti dokumente ili druge medije,
e) papirnati formulari koji nisu uništeni, a bačeni su u koš, mogu biti zlouporabljeni,
f) dijeljenje mapa ili dokumenata na računalima putem mreže prevelikom broju ljudi,...

7. Privole

GDPR privola ispitanika
Za svako prikupljanje i obradu osobnih podataka za koje ne postoji pravni temelj ili ugovorni odnos, potrebna nam je privola ispitanika.

Privola je dokument ili drugi materijalni dokaz da nam je ispitanik dozvolio da uzmemo njegove podatke te da ih obrađujemo. Međutim, ta privola mora sadržavati određene elemente. Ona mora biti nedvojbena i svjesna te mora sadržavati svrhu u koju se prikupljaju podaci, kako dugo će se ti podaci koristiti, na koji način i sl. Također, ispitaniku mora biti jasno navedeno kako može povući svoju privolu, a to mora biti na jednostavan i brz način. Za ispitanike mora privola biti na hrvatskom jeziku, ako im je hrvatski materinji jezik, da je u potpunosti mogu razumijeti.

U programu Repozitorij GDPR možete iskoristiti već pripremljeni formular kako biste ispitanicima mogli dati pisani dokument koji može potpisati, a koji sadrži minimalne potrebne elemente privole. Iz programa se privola može ispisati u dva oblika:
- ispisana privola pojedinca u kojoj su već popunjeni svi traženi elementi i pojedinac je samo potpisuje
- ispisan prazni formular koji se može olovkom popunjavati, i papirnato arhivirati.

Primjer privole kakav se nalazi u programu Repozitorij GDPR je samo jedan od oblika privole, i to u pisanom obliku. To nipošto nije jedini način, i privola može biti samo dodatna rečenica na nekom drugom postojećem dokumentu, ili neki checkbox na vašem web sučelju. Možete postojeći primjer iskoristiti kao popis elemenata koji su bitni.

Kod privole je važno da korisnik mora nešto svjesno učiniti (potpisati, uključiti kvačicu, i slično), te da je privola za točno određene podatke, za točno određenu svrhu, i preporučljivo za točno određeni rok čuvanja podataka.

Program Repozitorij GDPR vam omogućava kopiranje postojećih privola u nove privole pa se na taj način mogu brže napraviti nove privole na temelju sličnih starih privola.

8. Zahtjevi ispitanika

GDPR prpogram zahtjevi ispitanika
Kao što smo već spomenuli u poglavlju 4.8., svi ispitanici imaju i određena prava. Kako bi zaštitili ta prava oni u svakom trenutku mogu podnijeti zahtjev za zaštitom određenog prava.

Organizacije su dužne omogućiti ispitaniku ostvarenje njegovih prava te moraju imati razrađene postupke i pisane dokumente za ostvarenje prava ispitanika, kao i materijalne dokaze da su ta prava i ispunili. Također, ako je neko pravo ispitaniku ostvareno, djelomično ostvareno ili opravdano uskraćeno, za to mora postojati materijalni dokaz.

Program vam omogućuje jednostavno izradu dokumenata za ostvarenje prava ispitanika kojima možete generirati i ispisati zahtjev s njegovim rješenjem. Pisani dokument je najbolji dokaz da je ispitanik nešto zatražio, da ste vi taj zahtjev zaprimili, i da ste nešto po njemu poduzeli. Rješavanje zahtjeva ne mora nužno značiti da ćete uvijek ispuniti želje ispitanika, pogotovo ako ispitanik traži da nešto napravite što prema zakonu ne smijete. Zahtjeve zajedno s rješenjem možete čuvati u programu Repozitorij GDPR, a također ih možete ispisati na papir, i čuvati u papirnatom obliku (pisani i potpisani papir je uvijek bolji dokaz u slučaju spora).

Primjeri zahtjeva koje ćete vjerojatno ispuniti:
- zaposlenica je nakon udaje uzela novo prezime i traži da izmjenite prezime u aktivnim spisima,
- zaposlenik je dobio dijete, koje mu je porezna uprava priznala kao olakšicu, i traži da dijete upišete među njegove olakšice kod obračuna plaća,
- kupac je izmjenio adresu, i traži da u svojem sustavu ispravite njegovu adresu.

Primjeri zahtjeva koje će zaprimiti, obraditi, ali odbiti izvršenje:
- zaposlenik je dao otkaz i traži da obrišete sve podatke koje imate o njemu, uključujući plaće (odbit ćete, jer vas zakon o doprinosima obvezuje na čuvanje obračuna plaća)
- obrtnik vam je dao OIB i adresu da mu napravite R1 račun, a naknadno traži da obrišete sve njegove osobne podatke (zakon propisuje elemente R1 računa, i izdane račune u prošlim razdobljima ne smijete mijenjati)

Program Repozitorij GDPR vam omogućava kopiranje postojećih zahtjeva u nove zahtjeve pa se na taj način mogu brže napraviti novi zahtjevi na temelju sličnih starih zahtjeva.

9. Ugovori s vanjskim izvršiteljima

GDPR program ugovor
Organizacije često osobne podatke koje su prikupile od ispitanika (primjerice zaposlenika, kupaca, dobavljača…) daju drugim poduzećima radi obrade podataka.

Tipični hrvatski primjeri predaje podataka trećim stranama su:
- obračun plaća koje nam radi vanjski knjigovodstveni servis,
- informatička firma nam održava računala i software,
- webshop imamo zakupljen na tuđem serveru, svi podaci su u “cloudu”,
- videonadzor nam održava vanjska firma,...

U tom slučaju, takve vanjske firme postaju izvršitelji obrade i s njima moramo ugovorno urediti naš odnos, a taj ugovor mora također biti usklađen s odredbama GDPR-a. To znači da svi naši vanjski izvršitelji obrade moraju biti usklađeni s odredbama GDPR-a, tj. i oni se moraju držati svih načela kao i mi koji smo u tom slučaju voditelji obrade (hrvatska, EU, čak i ako su izvan EU). Također mi kao voditelj možemo propisati procedure, smjernice i upute po kojima se mora raditi.

U programu možete izraditi jednostavne ugovore ili anekse postojećih ugovora s izvršiteljima obrade. Predviđena polja predstavljaju minimum potreban da se generira pravno valjani ugovor, i najbrži je način za napraviti jednostavan ugovor s nekim vanjskim izvršiteljem. Program će vam ponuditi određene tekstualne predloške po člancima, koje možete jednostavno preinačiti, i napraviti ugovor za svoje potrebe.

Naravno, kod složenijih i ozbiljnijih obrada, obično poduzeća već imaju sastavljene ugovore od prije. Tada vam program Repozitorij GDPR omogućava brzu izradu jednostavnog aneksa ugovora. Naravno, uvijek možete mimo programa napraviti vlastite ugovore ili anekse ugovora, a ovdje zavesti samo prva tri ili četiri podataka (subjekt, adresa, oib, datum) da imate na jednom mjestu evidenciju koji su to sve ugovori koji se tiču zaštite osobnih podataka.

Program Repozitorij GDPR vam omogućava kopiranje postojećih ugovora u nove ugovore pa se na taj način mogu brže napraviti novi ugovori na temelju starih ugovora.

10. Incidenti


Incidenti su svi neželjeni događaji koji su se dogodili, a utjecali su na zaštitu osobnih podataka. Incident je i svako ostvarenje predviđenog rizika. Zaštita osobnih podataka je ugrožena ako je došlo do gubitka podataka, krađe podataka, ako su podaci došli na uvid ili korištenje nekome tko nema ovlasti ili prava na to, i slično. Incident je također svako kršenje Uredbe o zaštiti osobnih podataka.

Incidentom se može smatrati i svaka situaciju u kojoj nije došlo do neželjenog događaja, ali je postojala velika opasnost (vjerojatnost) da do njega dođe jer se izvršitelji nisu držali dogovorenih procedura rada ili iste nisu pokrile sve moguće situacije u praksi.

Novost koju uvodi GDPR je obveza voditelja obrade da prijavi u roku od 72 sata svaki ozbiljan incident nadzornom tijelu (AZOP) s time da se ovo odnosi samo na najozbiljnije povredama koje podliježu sankcijama. Mali incidenti mogu biti podloga za otkrivanje mana sustava ili organizacije, te za daljnje unaprjeđenje procedura i propisa zaštite podataka.

U programu Repozitorij GDPR možete na jednostavan način izraditi zapisnike o nastalim incidentima, s detaljnim opisom problema i postupcima rješavanja. Pri tome ćete zapisati standardne stvari što se dogodilo, koji podaci su u pitanju, tko je odgovoran, zašto je došlo do incidenta, kod kojeg procesa, itd., sve po redu kako vas program vodi. U drugom dijelu opisat ćete kako ste i kada riješili incident (što je poduzeto, da li je namirena ili sanirana šteta, i slično). Na kraju i ono najvažnije, smjernice ili upute, tj. što je potrebno napraviti u organizaciji, a da se ubuduće takav incident više ne dogodi, tj. da se vjerojatnost njegovo ponavljanja svede na najmanju moguću mjeru.

Ove upute su dostupne i u PDF obliku i mogu se skinuti na ovom linku:
GDPR hrvatska primjeri upute
>>> Repozitorij GDPR Korisničke upute za korištenje programa (PDF) <<<

11. Završetak postupka

Kada prođete kroz sve module programa Repozitorij GDPR i sve njegove korake, napravili ste prvi veliki korak, i možete reći da ste formalno usklađeni sa GDPR-om. Preporučamo vam da u svim modulima, za sve zapise koje ste napravili, ispišete iste na pisač, te u papiranom obliku skupite sve formulare u jednu mapu, registrator ili neki drugi uvezani oblik.

Naravno, ovime niste konačno završili postupak usklađivanja sa GDPR-om, jer taj proces nikada ne može trajno završiti. Tako dugo dok organizacija djeluje (posluje) potrebno je promišljati i voditi računa o zaštiti osobnih podataka. Budući da su sve organizacije živi organizmi koji rastu, razvijaju se, mijenjaju, itd., tako je i svu pripadajuću dokumentaciju potrebno stalno ažurirati i održavati. Neki od dokumenata (na primjer privola, zahtjev, incident) su tu da vam budu pri ruci kada ih zatrebate u konkretnim situacijama, i vjerojatno ćete ih morati kontinuirano popunjavati (barem privole i zahtjeve, a nadamo se incidente što manje).

Ako želite kupiti ovaj GDPR program, posjetite stranicu >>> Repozitorij GDPR <<< .

GDPR program hrvatski, upute i primjeri
Hrvatski računalni program za brzo i jednostavno usklađenje sa GDPR-om

Povratak na stranicu Repozitorij GDPR...