Oglasno sporočilo

5 korakov, ki jih morate upravljavci dokumentacije narediti že letos

Čas branja: 3 min
24.10.2017  10:00
5 korakov, ki jih morate upravljavci dokumentacije narediti že letos
Foto: Pe3check

Nova splošna uredba o varstvu podatkov (GDPR) od upravljavcev zahteva vgrajeno in privzeto varstvo osebnih podatkov, zagotovitev preglednih in enostavno dostopnih informacij o obdelavi podatkov, vpeljavo evidenc obdelav in izvajanje predhodnih ocen učinka.

Velik del podatkov se nahaja v dokumentih, zato je varstvo osebnih podatkov neposredno povezano tudi z upravljanjem in arhiviranjem dokumentov. V Sloveniji do sprejema novega zakona o varstvu osebnih podatkov (ZVOP-2) področje varstva osebnih podatkov ureja ZVOP-1, ki je postavil zelo dobre temelje varstvu podatkov, ni pa uvedel resnih sankcij za primere zlorab. Zato je glavno vprašanje, v kolikšni meri ste že doslej upoštevali obstoječo zakonodajo in kako ste imeli urejene odnose s pogodbenimi obdelovalci. »V organizacijah, kjer podatke že obdelujete in varujete povsem v skladu z veljavno zakonodajo, ste lahko mirni, saj spremembe niso tako obsežne, da se nanje ne bi mogli ustrezno pripraviti,« pravi Tjaša Krisper Kutin, produktna vodja za strokovno svetovanje v podjetju Mikrocop.

Sogovornica predlaga pet korakov, ki jih morate upravljavci dokumentacije narediti že letos, da se boste lahko drugo leto pravočasno prilagodili zahtevam nove evropske uredbe.

1. Minimizirajte obseg obdelave podatkov

GDPR omejuje obdelavo osebnih podatkov na najmanjši obseg, ki je nujen za namen obdelave. Svoje delo v povezavi z varstvom podatkov si boste bistveno olajšali, če boste minimizirali količino zbranih podatkov, njihove obdelave, obdobje njihove hrambe in število obdelovalcev.

2. Preverite, ali ste izbrali zanesljive pogodbene obdelovalce

GDPR izrecno zahteva, da izberete zanesljive pogodbene obdelovalce. Priporočljivo je, da obdelovalci zanesljivost izkazujejo z ustreznimiustreznimi certifikati, od tistih, ki so na novo predvideni z GDPR, do obstoječih, kakršna sta na primer standard vodenja varovanja informacij ISO 27001 in standard vodenja kakovosti ISO 9001. Ti certifikati izkazujejo urejenost poslovanja pogodbenega obdelovalca in dokazano raven kakovosti in varovanja informacij.

Pri pogodbenih obdelovalcih ne gre le za zaupanje v varnostne postopke in ukrepe, temveč tudi za zanesljivost, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov ter njihovo stanovitnost. Ponudnik, ki je specializiran za elektronsko hrambo in spremljevalne storitve, pri tem kombinira znanje in zahteve s področja varstva dokumentarnega in arhivskega gradiva, informacijskih rešitev ter varnostnih zahtev za varovanje sistemov in podatkov, zlasti za varovanje osebnih podatkov.

3. Prilagodite pogodbe s pogodbenimi obdelovalci (zahteva 28. člen GDPR).

Že ZVOP-1 zahteva, da upravljavci z obdelovalci, ki za vas obdelujejo osebne podatke, sklenete pogodbo o obdelavi osebnih podatkov. Ker GDPR uvaja nove zahteve glede vsebine pogodb, se zahteva njihova prenova. Nove pogodbe morajo določati vsebino in trajanje obdelav, naravo in namen obdelav, vrste osebnih podatkov, ki se obdelujejo, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice obdelovalca.

4. Preverite in prilagodite popis zbirk osebnih podatkov – evidence dejavnosti obdelave (zahteva 30. člen GDPR).

Če podatke redno obdelujete, jih morate ustrezno varovati, zato pa morate najprej točno vedeti, kje in katere imate. GDPR zahteva zapis evidenc dejavnosti obdelave, v okviru katerih identificiramo in navedemo vrste osebnih podatkov in posebnih osebnih podatkov. Iz evidenc mora biti razviden tudi zakoniti namen obdelave in, kadar je momogoče, predviden rok za izbris različnih vrst podatkov. Kadar je mogoče, morajo evidence vsebovati tudi splošni opis tehničnih in organizacijskih varnostnih ukrepov.

5. Preverite, ali boste morali izvajati ocene učinka (zahteva 35. člen GDPR)

Za primere, kjer bi lahko obdelava podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, GDPR zahteva, da upravljavec opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinka v zvezi z varstvom podatkov se zahteva zlasti v primeru samodejnih, sistematičnih obdelav in ocenjevanja osebnih podatkov. Zahteva se tudi v primeru obsežnih obdelav posebnih vrst podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ter obsežnega sistematičnega spremljanja javno dostopnega območja.

Več iz teme:  
gdpr >
FINANCE
(video) Boste v podjetju morali imenovati pooblaščenca za varstvo podatkov?

Splošna uredba o varstvu podatkov (GDPR) začne veljati 25. maja 2018. Bo vplivala tudi na vas?

FINANCE
Članki
Članki Avstrija se je z leve nagnila na desno, zmaga Kurzu 2

Ker so bile predčasne volitve izvedene zaradi razpada koalicije med desnosredinsko ljudsko stranko ÖVP ter levosredinsko...

AVTO
Posel
Posel Zakaj je bila septembra prodaja novih avtov največja v V. Britaniji - čeprav je strmoglavila 2

Kako to, da je septembra prišlo do britanskega paradoksa pri prodaji novih avtov in kaj se je pri prodaji novih avtov v EU dogajalo v...

FINANCE
Članki
Članki Evropska komisija: Zaupamo vodstvu Mariana Rajoya, da bo rešil zadevo 57

Dan po nedeljskem katalonskem referendumu je prinesel prvi uradni odziv evropske komisije

FINANCE
Članki
Članki Češki predsednik Zeman bi raje izgubil sredstva EU kot sprejel begunce 6

Iz višegrajskih članic so se burno odzvali na odločitev Sodišča EU, da zavrne njihovo tožbo proti evropskim begunskim kvotam; zdaj se...

PRO
Članki
Članki Nedokončani nepremičninski projekti namesto čakanja na novogradnje 

Novih neprodanih stanovanj skoraj ni več, novogradenj primanjkuje, saj jih je veliko v začetnih fazah. Nedokončani projekti omogočajo...