Nije tajna da smo se proteklih 5 godina kako radimo na projektima usklađivanja s GDPR obvezama prečesto susretali sa slučajevima u kojima su organizacije fokus stavljale isključivo na pripremu GDPR dokumentacije bez osiguranja konkretnih mjera u praksi.
 
Od početka 2018. previše smo puta naletjeli na copy-paste šprance GDPR dokumentacije bez obzira radilo se o školi, frizerskom salonu, javnoj ustanovi neke jedinice lokalne uprave ili privatnoj tvrtki.
 
Znamo da su još od 2018. u Hrvatskoj postojali neki odvjetnički uredi koji su po "prihvatljivim cijenama" izrađivali GDPR dokumentaciju.
 
Međutim, stvari sada dolaze na svoje mjesto i usklađivanje isključivo temeljem "one-size-fits-all" dokumentacije može predstavljati veliki problem ako ne shvatimo da smo istom zavarani i da nam ista ništa ne pomaže.
Što prije shvatimo da je u stvarnosti od dokumentacije puno važnija implementacija sigurnosnih mjera, od tehničkih, procesnih do organizacijskih, od implementacije mjera otkrivanja i upravljanja povredama podataka i pravima ispitanika do neophodnog osiguranja ispunjenja svih temeljnih načela iz članka 5. GDPR-a kao preduvjet za ispunjenje preduvjeta "Data Protection by Default and by Design", tako će nam i poslovanje biti olakšano uz bitno manji teret brige o mogućim kaznama ili gubitku reputacije.
 
Ključ GDPR usklađenosti leži u stvarnoj primjeni, bez obzira koliko registratora dokumentacije imali na polici.
 
Pogledajmo primjer iz Finske s epilogom od 608.000 EUR kazne tvrtki za usluge psihoterapije, koja nije prijavila čak dvije povrede podataka niti o tome izvijestila svoje klijente čiji su osjetljivi osobni podaci kompromitirani, a propustila je uvesti sve nužne sigurnosne mjere obrada, uključujući i mjere informacijske sigurnosti te pripadajuće Procjene učinka na zaštitu podataka, kao i osigurati dokazivost vlastite usklađenosti s GDPR obvezama u području integriteta osobnih podataka i njihove povjerljivosti.
 
Jel nam tu papiri odvjetnika ispunjavaju sve traženo?
 
Imali smo prilike vidjeti primjere gdje su tvrtke kupile dokumentaciju samo kako bi imale što pokazati prilikom nadzora AZOP-a. Pri tom nisu vodile brigu da će AZOP morati reagirati u najzahtjevnijim slučajevima - slučajevima povrede osobnih podataka i neispunjavanja zahtjeva ispitanika, u kakvim slučajevima sama dokumentacija previše i ne pomaže.
 
 
Više o finskom slučaju:
 
https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_1150/161/2021&mtc=today
 
 
 
 
 
 
Photo by Yan Krukov from Pexels