Što online trgovci moraju učiniti da se usklade s GDPR-om?

1405

25. svibnja je pred vratima, a što ste vi učinili da poslovanje svoje tvrtke prilagodite za nadolazeću Opću uredbu o zaštiti podataka? Ako ste već poduzeli određene korake, pročitajte naš popis i provjerite je li vam što promaknulo. A vi koji niste ni počeli, bez odgađanja počnite s čitanjem i edukacijom.

 

Krenite informirati sve zaposlenike o Uredbi

Svi rukovodeći u tvrtki moraju razumjeti zašto i kako postići sukladnost s Uredbom, a ostali zaposleni, pogotovo oni koji rade s osobnim podacima, moraju biti upoznati s promjenama u načinu rada, jer će se svaki dan time baviti. Važno je da provjerite i prilagodite odnos i ugovore čak i s vanjskim suradnicima – marketinške agencije, računovodstvo, kadrovske agencije – ukratko, svi koji imaju pristup do osobnih podataka vaših stranki.

Za sve suradnike pripremite pisane upute kako obrađivati podatke. Brojne tvrtke nude seminare i radionice koje možete upisati i saznati sve što vas zanima, te se dodatno educirati. Nakon toga predlažemo da organizirate edukaciju u kojoj će sudjelovati svi zaposlenici i vanjski suradnici. Tako ćete odmah moći riješiti sve moguće nejasnoće.

Imenujte kvalificiranog službenika za zaštitu osobnih podataka

Ako obrađujete osjetljive podatke, morate odrediti kvalificiranog službenika za zaštitu podataka (DPO – Data Protection Officer) koji će paziti na to poslujete li u skladu s Uredbom. Isto vrijedi i ako podatke obrađujete u svrhu ciljnog oglašavanja preko tražilica na podlozi ponašanja ljudi na internetu.  Službenik će zastupati tvrtku ukoliko dođe do kontrole nadzornih organa, te dodatno obučavati zaposlene o zaštiti podataka. Najvažnije je da pronađete osobu koja poznaje zahtjeve GDPR-a, ali i hrvatsko zakonodavstvo. DPO odgovara direktno Upravi, ali ne smije ovisiti o vodstvu organizacije. Dobra vijest za sve je da se ta funkcija može obavljati samo ugovorno i ne trebate zapošljavati novi kadar.

Neki od zadataka DPO-a su obavještavanje i savjetovanje, te edukacija svih zaposlenika koji obrađuju osobne podatke, nadziranje poštivanja Uredbe i ostale regulative vezane uz zaštitu osobnih podataka, dodjela odgovornosti za zaštitu osobnih podataka zaposlenicima i svim vanjskim suradnicima koji su uključeni u prikupljanje i obradu osobnih podataka,  ugrađivanje zaštite privatnosti u revizijske procese, savjetovanje kod provedbe procjena učinka na zaštitu podataka, suradnja s nadzornim tijelima i nadziranje procesa upravljanja rizikom u obradama osobnih podataka.

Idealni službenik mora imati širok raspon znanja i iskustava, jer vas upravo on štiti od rigoroznih kazni.

Napravite analizu svoje tvrtke

Provjerite koje osobne podatke pohranjujete i koja je njihova svrha. Važno je gdje i kako ih obrađujete, te tko sve ima pristup do podataka. Razmislite o skeniranju kompletnog informacijskog sustava i potražite osobne podatke. Morate razumjeti da se osobni podaci nalaze na mjestima gdje ih ne očekujete. Jednom kad identificirate sve podatke, odredite koji vam stvarno trebaju, a višak obrišite. Ako je to moguće, kriptirajte podatke.

Daleko najvažnije je jeste li dobili suglasnost stranke za korištenje i obrađivanje osobnih podataka. To isto vrijedi i za stare podatke. Ne trebate pridobiti ponovnu suglasnost pojedinca jedino ako je vaš stari način dobivanja podataka bio u skladu s novom Uredbom. To znači da suglasnost mora biti jasna i razumljiva izjava koja je dana s potvrdnom radnjom i može se dokazati. Odredite tko će i na koji način rješavati zahtjeve korisnika koji će možda htjeti da njihove podatke obrišete ili prenesete, jer ćete na takve zahtjeve morati odgovoriti najkasnije u roku od mjesec dana. GDPR određuje da budete transparentni kad je riječ o tome na koji način ste prikupili podatke, što ćete raditi s njima, kako ih obrađujete i da koristite jezik laika kad im to objašnjavate.

Dobivanje suglasnosti pod odredbom GDPR-a znači da pojedinac mora aktivno pristati na korištenje podataka, a ne pasivno preko unaprijed označenih kućica. Morat ćete voditi evidenciju o tome kada je i na koji način pojedinac dao suglasnost – prilagodite BI alate i analitička rješenja. Ako vaše dosadašnje suglasnosti ne odgovaraju tim uvjetima, prestanite ih koristiti i prilagodite ih novoj uredbi.

Napravite plan

Isplanirajte kako ćete i kada postići sukladnost s Uredbom na kritičnim područjima. Dogovorite se na koji ćete način ispuniti svaki pojedini zahtjev s organizacijske, pravne i tehnološke strane. Postavite si prioritete, odredite raspoloživa sredstva, isplanirajte kadar i odredite vremenski okvir. Nemojte dopustiti da vas 25. svibanj 2018. iznenadi, s pripremama krenite već danas!

Realizirajte plan i pratite ga

Redovito pratite prilagođavanje i provedbu plana. Ako u tvrtki nemate primjeren kadar za sva rješenja koja Uredba zahtjeva, potražite vanjske suradnike ili zaposlite stručnjake. Više vam se isplati uložiti malo više za dugoročna rješenja, nego riskirati dobivanje kazni.

Zanima vas više?

Pročitajte i: