Zagotavljanje skladnosti z GDPR

Preverite, katero dokumentacijo morate sprejeti za prilagoditev poslovanja podjetja v skladu z GDPR.

Že več kot dve leti velja splošna uredba o varstvu osebnih podatkov, poznana tudi kot GDPR, obenem pa ne smemo pozabiti na veljavnost nacionalnega zakona o varstvu osebnih podatkov (ZVOP-1), ki še vedno velja. Že več kot dve leti pa čakamo na sprejem in začetek veljavnosti novega zakona o varstvu osebnih podatkov (ZVOP-2), katerega sprejetje se še kar odmika.

Tekom izvajanja prilagoditev v podjetjih na področju varstva osebnih podatkov vedno dobimo vprašanja, katera dokumentacija je potrebna za zagotavljanje skladnosti podjetja z GDPR oziroma Zakonom o varstvu osebnih podatkov. Enoznačnega odgovora na to vprašanje ni. Obseg dokumentacije, ki jo podjetje mora sprejeti pa je odvisen od več različnih dejavnikov, kot so, na primer: velikost podjetja oziroma bolje rečeno obseg in vrste osebnih podatkov, ki jih podjetje obdeluje, države v katere podjetje pošilja osebne podatke, obsega podizvajalcev oziroma obdelovalcev katerim podjetje pošilja osebne podatke v obdelavo ipd.

Podjetje mora v duhu izvajanja prilagoditve poslovanja v skladu z GDPR in Zakonom o varstvu osebnih podatkov ter v skladu s svojo dejavnostjo sprejeti različno dokumentacijo, s katero uredi notranja in zunanja razmerja v podjetju. Osnovno dokumentacijo predstavljajo naslednji dokumenti:

  • Popis zbirk osebnih podatkov: S popisom evidenc osebnih podatkov boste v podjetju ugotovili katere osebne podatke sploh obdelujete, da jih boste lahko kasneje ustrezno obvladovali in zavarovali. Čeprav v skladu s 30. členom GDPR, ni potrebno popisati vseh evidenc dejavnosti obdelave oziroma zbirk osebnih podatkov, predlagamo, da v primeru, ko prvič popisujete osebne podatke v podjetju, izvedete popis vseh zbirk oziroma evidenc osebnih podatkov. Več o popisu evidenc osebnih podatkov si lahko preberete tudi na portalu si, kjer Informacijska pooblaščenka, kot pristojni nadzorni organ objavlja koristne nasvete.
  • Pogodbe s pogodbenimi obdelovalci: Če nastopate kot upravljavec osebnih podatkov in svoje osebne podatke posredujete v obdelavo svojim pogodbenim obdelovalcem morate v skladu z 28. členom GDPR s pogodbenimi obdelovalci skleniti pogodbe o pogodbeni obdelavi. Pomembne informacije o pogodbeni obdelavi so dostopne na strani Informacijskega pooblaščenca.
  • Pravilnik o varstvu osebnih podatkov: S pravilnikom o varstvu osebnih podatkov boste uredili področje notranjega obvladovanja osebnih podatkov. V pravilniku o varstvu osebnih podatkov boste določili, kako naj zaposleni in druge osebe v podjetju ravnajo pri dostopanju oziroma obdelavi osebnih podatkov. Vsekakor pa bodite pozorni, da je vsebina pravilnika o varstvu osebnih podatkov vedno prilagojena glede na dejavnost in velikost podjetja ter obseg obdelave osebnih podatkov. Ključno je, da se določila pravilnikov dejansko udejanjijo ter jih zaposleni ponotranjijo in se po njih ravnajo, v nasprotnem primeru le napisana pravila na papirju, katerih se nihče ne drži ne pomenijo skladnosti obdelave osebnih podatkov v podjetju.
  • Politika varovanja informacij: S politiko varovanja informacij prav tako določite notranja pravila upravljanja z gesli, mobilnimi napravami, tajnimi podatki, dostopi … Tudi za politiko varovanja informacij velja, da mora biti prilagojena posameznemu podjetju, saj le sprejeta pravila na papirju, ki se jih nihče ne drži, ne povečujejo zakonitosti oziroma skladne obdelave osebnih podatkov v podjetju.
  • Politika zasebnosti: Kadar pridobivate in obdelujete osebne podatke posameznikov jim morate v skladu s 13. členom GDPR zagotoviti potrebne podatke o tem, kako boste njihove osebne podatke obdelovali. Smiselno je, da pripravljeno politiko zasebnosti objavite na vidno mesto na vaši spletni strani.
  • Obvestilo zaposlenim: Tudi zaposlene obvestite o obdelavi njihovih osebnih podatkov v skladu s 13. členom GDPR.
  • Privolitve: V primeru, da obdelujete osebne podatke na zakoniti podlagi privolitve, poskrbite za ustrezno pripravljeno privolitev posameznika bodisi v pisni, bodisi v elektronski obliki.

Kot že navedeno skladnosti poslovanja podjetja z zakonom o varstvu osebnih podatkov in GDPR ne boste dosegli le s sprejetjem predlog dokumentacije, ampak mora biti le ta prilagojena kontekstu podjetja. Zaposleni in druge osebe, ki obdelujejo osebne podatke morajo sprejeta interna pravila upoštevati in se po njih ravnati, saj je ključno, da podjetje poleg zakonitosti obdelave osebnih podatkov varuje tudi njihovo zaupnost, celovitost in razpoložljivost osebnih podatkov.

Potrebujete pomoč pri pripravi dokumentacije? Z veseljem vam pri tem z našimi znanji in izkušnjami pomagamo. Kontaktirajte nas in si rezervirajte brezplačen 15 minutni uvodni razgovor preko videokonference (Skype, Zoom, Teams), v katerem bomo razjasnili vsa morebitna vprašanja, ki se vam porajajo v zvezi z varstvom osebnih podatkov v vašem podjetju. Lahko pa pišete tudi na elektronski naslov info@eudace.eu ali jaka@eudace.eu