Vjerujemo da će se mnogi složiti da je područje malog i srednjeg poduzetništva možda i najviše izloženo GDPR "okolnostima" prvenstveno iz razloga što se hrvatsko gospodarstvo temelji na ovom segmentu poduzetništva, što nas takvih definitivno ima najviše i što se takvi poduzetnici u pravilu susreću s nedostatkom vremenskih i ljudskih resursa u usklađivanju s GDPR obvezama.
AZOP (Agencija za zaštitu osobnih podataka) kao nadzorno tijelo svjesna je ovih činjenica i nikad dovoljne razine poznavanja GDPR tematike i postignute usklađenosti te je pokrenula israživanje kojim se želi pomoći sektoru malih i srednjih poduzetnika.
Svrha ovog istraživanja je stjecanje uvida u izazove s kojima se susreću srednji i mali poduzetnici prilikom usklađivanja s Općom uredbom o zaštiti podataka u svom poslovanju i jasnije razumijevanje njihovih potreba. Na temelju rezultata istraživanja partneri iz projekta ARC razvit će smjernice i različite edukativne materijale prilagođene specifičnim potrebama mikro, srednjih i malih poduzetnika.
Anketa je dostupna na ovom linku:
https://vub.fra1.qualtrics.com/jfe/form/SV_etyCPkI1C1dtfZr
Zavirili smo među pitanja iz ankete iz kojih možemo naslutiti iz koje perspektive nadzorna tijela promatraju male i srednje poduzetnike i kako procjenjuju njihov stupanj usklađenosti s GDPR obvezama. Evo nekoliko pitanja:
- Smatrate li da su zaposlenici u Vašem poduzeću dovoljno upoznati s obvezama koje proizlaze iz Opće uredbe o zaštiti podataka?
- Je li Vaše poduzeće organiziralo obuku o zaštiti podataka ili uputilo zaposlenike na edukaciju vezano za obveze koje proizlaze iz Opće uredbe o zaštiti podataka?
- Jeste li proveli analizu aktivnosti obrade osobnih podataka u Vašem poduzeću u svrhu pripreme za usklađivanje s obvezama iz Opće uredbe o zaštiti podataka?
- Ukoliko ste proveli analizu aktivnosti obrade osobnih podataka koje provodite, jeste li uveli kakve promjene u poslovnim procesima sukladno rezultatima analize?
- Koristi li Vaše poduzeće usluge podugovaratelja (izvršitelja obrade) koji obradu provodi u ime Vašeg poduzeća (npr. knjigovodstveni servis, zaštitarska tvrtka, pružatelji IT usluga)?
- Ako Vaše poduzeće koristi usluge podugovaratelja (izvršitelja obrade), da li je obrada osobnih podataka koju obavlja u ime Vašeg poduzeća uređena ugovorom?
- Imate li službenu web stranicu?
- Koristite li kolačiće (eng. cookies) kako biste pratili ponašanje korisnika na Vašoj stanici?
- Imate li mailing listu klijenata/korisnika?
- Pohranjujete li financijske podatke o svojim korisnicima/klijentima?
- Jeste li uspostavili odgovarajuće politike o zaštiti osobnih podataka u svrhu zaštite prava svojih klijenata/korisnika?
- Jesu li te politike javno dostupne klijentima/korisnicima/kupcima i vašim zaposlenicima?
- Ima li Vaše poduzeće definiranu proceduru za obradu zahtjeva korisnika/klijenta koji traže pristup svojim osobnim podacima? Da li je ta procedura objavljena na web stranici Vašeg poduzeća ili javno dostupna na neki drugi način?
- Imate li politiku zadržavanja podataka koja definira brisanje osobnih podataka?
- Prosljeđujete li osobne podatke trećim stranama u svrhu ostvarenja profita (npr. prodaja osobnih podataka marketinškim agencijama)?
- Da li je pristup osobnim podacima koji su pohranjeni u papirnatom obliku ograničen?
- Jeste li u mogućnosti u potpunosti obrisati osobne podatke klijenata/korisnika/zaposlenika ako je to potrebno?
- Jesu li zaposlenici u Vašem poduzeću upoznati s načinom postupanja u slučajevima kad zaprime zahtjev za pristup osobnim podacima?
- Da li je na web stranicama Vašeg poduzeća objavljena politika privatnosti?
- Vodite li evidencije aktivnosti obrade?
- Prilikom prikupljanja osobnih podataka od klijenata/korisnika Vaših usluga, informirate li ih o razlozima zbog kojih prikupljate osobne podatake, vremenskom periodu pohrane podataka te o trećim stranama kojima podaci mogu biti proslijeđeni?
- Jeste li imenovali službenika za zaštitu podataka ili provjerili jeste li dužni to učiniti?
- Da li prenosite osobne podatke izvan Europskog gospodarskog prostora u okviru svojih poslovnih aktivnosti?
- Jeste li ikad proveli procjenu učinka na zaštitu podataka?
- Koristite li usluge u oblaku čiji se serveri nalaze izvan Europskog gospodarskog prostora?
- Koristite li videonazdor u svojim poslovnim prostorijama? Imate li zapis o tome tko pristupa videozapisima (npr. log datoteka sa zapisima pristupa)?
- Da li se u prostorijama koje su pod videonadzorom nalazi obavijest da je prostor pod videonadzorom?
- Imate li pravilnik/politiku kojim je regulirana upotreba videonadzora I tehnologija koje služe za nadzor?
- Koristite li GPS tehnologije u svrhu nadziranja zaposlenika izvan radnog mjesta (npr. za praćenje dostavljača/vozača)?
- Imate li propisanu proceduru postupanja u slučaju povrede osobnih podataka (eng. data breach, npr. u slučajevima gubitka ili krađe podataka zaposlenika/klijenata)?
- Je li u Vašem poduzeću ikad došlo do povrede osobnih podataka (eng. data breach)? Da li je o tome obaviješteno nadzorno tijelo za zaštitu podataka (u Hrvatskoj, AZOP- Agencija za zaštitu osobnih podataka)?
- Imaju li zaposlenici u Vašem poduzeću pristup osobnim podacima (zaposlenika/klijenata) dok rade na daljinu?
- Jeste li prilagodili svoje politike zaštite podataka okolnostima rada na daljinu?
- Jeste li prikupljali/prikupljate li podatke o zdravlju (zaposlenika ili klijenata/korisnika) tijekom COVID-19 pandemije?
- Jeste li identificirali pravni temelj za prikupljanje tih osobnih podataka prije nego što ste ih prikupili?
- Imate li politiku o zaštiti podataka u kojoj je definirano u koju svrhu se mogu koristiti prikupljeni podaci o zdravlju, a u koju svrhu se ne smiju koristiti?
- Jeste li napravili plan za brisanje osobnih podataka nakon prestanka svrhe u koju su prvotno prikupljeni?
Ovdje smo naveli samo dio pitanja za koja smatramo da bi mogla činiti uobičajen skup pitanja kojima AZOP može na jednostavan način provjeriti stupanj suklađenosti svakog poslovnog subjekta.
Imate li i vi odgovore na sva ova pitanja?
Mi mislimo da je ovo izvrstan test istine. Vrijedi izdvojiti pola sata vremena i naučiti nešto.
Provjerite sa svojim službenikom za zaštitu podataka ili stručnim osobljem koje je radilo usklađivanje poslovanja vaše tvrtke....
