GDPR u javnom sektoru

Opća uredba značajno mijenja način postupanja s osobnim podacima i u javnom sektoru. Iako u jednom dijelu javnosti vlada mišljenje da se GDPR ne odnosi na institucije središnje države, lokalne i regionalne samouprave, to nije istina. Zaštita osobnih podataka odnosi se na SVE NAS, a javni sektor je zbog prirode svog posla u velikoj mjeri usmjeren prema građanima – pojedincima. Istina, dobar dio osobnih podataka prikuplja se temeljem nekog propisa, pa nisu potrebne privole, ali to je ionako samo manji dio obveza po Uredbi.

U kojim slučajevima se Uredba primjenjuje?

Kako i sama Uredba kaže u članku 2.: Ova seUredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

Što to znači?

Veliki dio institucija se fokusirao na elektronički vođene evidencije i obrade, zanemarujući još uvijek veliki broj onih ručno vođenih. U takvim slučajevima su rizici u pravilu veći, vrlo su specifični i skoro je nemoguće nadgledati i prikupljanje, pohranu, korištenje i eventualnu razmjenu takvih podataka s drugima.

U kojim se slučajevima Uredba NE primjenjuje?

U istom tom 2. članku stoji:

2.   Ova se Uredba ne odnosi na obradu osobnih podataka:

a) tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije; b) koju obavljaju države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene glave V. poglavlja 2. UEU-a; c) koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti; d) koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.

Teritorijalno područje primjene

1.   Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne. ALI I:

2.   Ova se Uredba primjenjuje na obradu osobnih podataka ispitanikâ u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s:

a) nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili b) praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.

3.   Ova se Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava.

Službenik za zaštitu podataka

Što je to, kakve se kvalifikacije, kompetencije i certifikacije traže? Trebate li ga imenovati? Može li se taj posao povjeriti nekome izvan organizacije? Kome? Kakve su odgovornosti tog Službenika?

Voditelj - izvršitelj - primatelj

Tko smo mi u kojoj obradi? Koje su nam odgovornosti? Koji se rizici mogu pri tome pojaviti? Kako ih spriječiti ili ublažiti njihove posljedice?

Usluge informacijskog društva - nuđenje djeci

Ovdje se primjenjuju definicije iz Direktive 2015/1535, a važno je zbog obveze “Voditelja obrade da uloži razumne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti nad djetetom, uzimajući u obzir dostupnu tehnologiju” (Čl. 8).
  • Udio IT tema u GDPR projektu 15% 15%
  • Ostala područja 85% 85%
  • Udio IT stručnjaka u GDPR timovima 60% 60%
  • Procjena spremnosti privatnog sektora za GDPR 65% 65%
  • Procjena spremnosti javnog sektora za GDPR 25% 25%

Jedna od najvećih zabluda vezanih za GDPR

Vjerojatno zbog toga što su temu zaštite osobnih podataka prije svih pokrenuli stručnjaci iz različitih IT područja, postoji velika zabluda da je GDPR uglavnom vezan za IT. Posljedica toga je da su u većini organizacija informatičari oni kojima se stavlja u zadatak da “to riješe”. Istina je potpuno drugačija: Opća uredba odnosi se na različite aspekte prikupljanja, pohrane, obrade i korištenja osobnih podataka, pri čemu moraju biti uključeni pravnici, HR stručnjaci, financijski eksperti, djelatnici marketinga i mnogi drugi. Da, i informatičari.

Pitanja koja vas sigurno niti jedan konzultant nije pitao, a mi znamo odgovore:

FMC i GDPR

Kako primijeniti mape poslovnih procesa drugih regulatornih okvira (npr. FMC) da bismo ubrzali proces usklađenja s GDPR-om? Ako smo već modelirali mapu poslovnih procesa u okviru FMC projekta, možemo ju iskoristiti u GDPR-u. Naravno, filtrirat ćemo samo one poslovne procese u kojima se koriste osobni podaci. Slično je i s analizom rizika, nadležnostima, kontrolnim mehanizmima i drugim važnim elementima.

Metode i kanali

Kako metode obrade podataka i tehnologiju informacijskih kanala atribuirati da bi bolje identificirali rizike? Ukoliko imamo samo interne obrade, kod kojih su podaci i korisnici u potpunosti pod našom kontrolom, značajan dio mjera informacijske sigurnosti koje već poduzimamo se može jednostavno prilagoditi kako bi bili u funkciji zaštite osobnih podataka.

Više od usklađenja

Mogu li se nabavljeni alati i naučene metode istovremeno koristiti i za bolje kreiranje vrijednosti prema korisnicima naših usluga i/ili povećanje prihoda? Nemojmo poduzimati niti jednu mjeru isključivo radi zadovoljenja propisa, uvijek se pitajmo može li ta mjera značajno utjecati na našu poslovnu izvrsnost. Naše iskustvo pokazuje da može u velikom broju slučajeva.

Platforma za digitalizaciju je ujedno platforma za zaštitu osobnih podataka

Posebna prilika za postojeće korisnike eGOP platforme:

Platforme za digitalizaciju poslovnih procesa mogu se podesiti za vođenje velikog dijela obveznih evidencija Uredbe. Za naše postojeće korisnike eGOP platforme nudimo GDPR podsustav s posebnim modulom za upravljanje Evidencijom obrada osobnih podataka prema članku 30 Opće uredbe – Registar obrada.

U okviru Registra obrada, klasificirat će se i 5 inicijalnih registara, iz aspekta osobnih podataka.

  1. Registar NP
  2. Registar UP/I
  3. Registar UP/II
  4. Registar predmeta koji idu na Upravni sud
  5. Metaregistar (sa vezom na Metaregistar RH)

Dodatno, GDPR podsustav na eGOP platformi donijet će i druge funkcionalnosti, mogućnosti automatizacije, praćenje ključnih pokazatelja uspješnosti, izvještaje, alarme, standardizaciju obrazaca, kontrolne liste, upravljanje procjenama rizika, evidencije i realizaciju svih prava ispitanika po Uredbi, mapu poslovnih procesa te komunikaciju s nadležnim tijelom za GDPR.

U srednjim i većim institucijama, posebno onima koje posluju na više lokacija, ponekad je koordinacija i praćenje obveza s rokovima i izvršiteljima jedan od najsloženijih zadataka.

Kontaktirajte nas, rado ćemo Vam pružiti konzultanstku pomoć u postupku usklađivanja s GDPR uredbom iz aspekta tijela javnog sektora i prezentirat ćemo Vam kako  eGOP platforma s GDPR modulom može značajno pojednostaviti ove poslove i pomoći u ubrzanom postizanju i održavanju usklađenosti sa zahtjevima GDPR uredbe..

Prisjetimo se da je incijalno usklađenje s Uredbom samo prvi korak, ostaje nam čitav niz obveza nakon toga, kontinuirano.

Uz sve navedene funkcionalnosti, naši konzultanti Vam mogu pomoći planirati pripremu proračuna za ove aktivnosti i projekte. Kao kompanija koja preko 20 godina sudjeluje u digitalizaciji javnog sektora, sposobni smo opravdati Vaše uloženo povjerenje.

 

Usklađenje s odredbama Uredbe može biti vrlo zahtjevno.

Mi možemo pomoći