-
Reviziju informacija – na svim organizacijskim razinama je provedena revizija prikupljenih osobnih podataka, odnosno provjeren je njihov sadržaj, način na koji su prikupljeni, zašto se obrađuju i kome se otkrivaju. -
Politika i procedure – provedene su revizije i uvedene nove politike i procedure zaštite podataka koje ispunjavaju sve potrebe GDPR-a i svih pripadajućih zakona te uključuju sljedeće: -
Zaštita podataka – glavni dokument o politici i postupku zaštite podataka revidiran je kako bi ispunio standarde i zahtjeve GDPR-a. Odgovornosti i mjere upravljanja su uspostavljene kako bi se osiguralo da razumijemo, adekvatno širimo i dokazujemo naše obveze i odgovornosti s posebnim naglaskom na privatnost dizajna i prava pojedinaca -
Zadržavanje i brisanje podataka – ažurirali smo pravila i raspored zadržavanja kako bismo osigurali da zadovoljavamo načela “minimiziranja podataka” i “ograničenja pohrane” te da se osobni podaci pohranjuju, arhiviraju i uništavaju etički i u skladu s njima. Imamo konkretne postupke brisanja kako bismo ispunili novu obvezu “prava na brisanje” i svjesni smo kad se primjenjuju i ostala prava subjekta podataka – uz sve izuzetke, vremenske okvire odgovora i odgovornosti za obavještavanje -
Upravljanje prekršajima – naši postupci upravljanja prekršajima predstavljaju zaštitne mjere i postupke kako bismo identificirali, procijenili, istražili i prijavili kršenje osobnih podataka što je prije moguće. Naši postupci su robusni i dostupni svim zaposlenicima, a predstavljaju niz konkretnih koraka koje treba provesti. -
Međunarodni prijenosi podataka i objavljivanje trećim strana – gdje Grand Tours doo pohranjuje ili prenosi osobne podatke izvan EU-a, postoje robusni postupci i zaštitne mjere kojima su podaci osigurani, šifrirani i održana je njihova cjelovitost. Naši postupci uključuju kontinuirani pregled zemalja s dovoljnim odlukama o adekvatnosti, kao i odredbe o obvezujućim korporativnim pravilima, kao i standardne klauzule zaštite podataka ili odobrenih kodeksa ponašanja za one zemlje bez dotičnih odluka. Provodimo stroge provjere o dubinskom pregledu sa svim primateljima osobnih podataka kako bismo procijenili i potvrdili da imaju odgovarajuće zaštitne mjere kako bi zaštitili informacije, osigurali provediva prava na predmetne podatke i imali učinkovite pravne lijekove za subjekte podataka gdje je to primjenjivo. -
Zahtjev za pristup subjektu (Subject Access Request – SAR) – izmijenili smo procedure SAR-a kako bismo udovoljili izmijenjenom vremenskom okviru od 30 dana za pružanje traženih informacija i za besplatnu naplatu ove odredbe. Naši novi postupci detaljno potvrđuju podatke, koje korake poduzimaju za obradu zahtjeva za pristup, koja se izuzeća primjenjuju i niz predložaka odgovora kako bi se osiguralo da su komunikacija s podacima o podacima sukladna, dosljedna i odgovarajuća.
-
-
Pravni temelj za obradu – pregledavamo sve aktivnosti obrade kako bismo utvrdili pravne osnove za obradu i osiguranje na takav način da svaka baza bude prikladna za djelatnost na koju se odnosi. Tamo gdje je primjenjivo, također vodimo evidenciju o obradbenim aktivnostima, osiguravajući da su ispunjene obveze prema članku 30. GDPR-a i Priloga 1 Zakona o zaštiti podataka -
Obavijest i pravila privatnosti – izmijenili smo obavijesti o privatnosti kako bismo se pridržavali GDPR-a, čime je osigurano da svi pojedinci čiji se osobni podaci obrađuju budu obaviješteni o tome zašto su nam podaci potrebni, kako se koriste, koja su njihova prava i koje zaštitne mjere postoje kako bi se podaci zaštitili. -
Dobivanje suglasnosti – revidirali smo mehanizme pristanka za prikupljanje osobnih podataka, osiguravajući da pojedinci razumiju ono što pružaju, zašto i kako ih upotrebljavamo te dajemo jasne i definirane načine da pristanu na obradu osobnih informacija. Razvili smo stroge postupke za snimanje pristanka, pazeći da možemo dokazati potvrdni opt-in, zajedno s vremenom i datumom zapisa. Na ovaj način lako je vidjeti i pristupiti načinu povlačenja suglasnosti u bilo kojem trenutku. -
Izravni marketing – revidirali smo tekst i postupke za izravni marketing te uključili jasne mehanizme za prijavu u direktni pretplatnički marketing (newsletter), kao i jasnu obavijest i način otklanjanja i pružanja značajki otkazivanja pretplate na svim naknadnim marketinškim materijalima -
Procjena utjecaja na zaštitu podataka (Data Protection Impact Assessments – DPIA) – gdje obrađujemo osobne podatke koji se smatraju visokim rizikom, uključujući obradu velikih razmjera ili podatke o posebnim kategorijama/kaznenim uvjerenjima, razvili smo stroge postupke i predloške procjene za provođenje procjena utjecaja koji su u potpunosti u skladu sa zahtjevima članka 35. GDPR-a. Proveli smo dokumentacijske procese koji bilježe svaku procjenu, omogućuju nam da procjenjujemo rizik koji predstavlja obrada i provode mjere ublažavanja kako bismo smanjili rizik koji je izložen predmetu. -
Ugovori o vanjskoj obradi podataka – gdje koristimo neku treću stranu za obradu osobnih podataka u naše ime (npr. plaće, zapošljavanje, hosting i slično), sastavili smo odgovarajuće ugovore o procesima i postupke dubinske analize kako bismo osigurali da je sve u skladu s našim i njihovim obvezama prema GDPR-u. Ove mjere uključuju početne i stalne revizije pružene usluge, nužnost djelatnosti obrade, tehničke i organizacijske mjere i usklađenost s GDPR-om. -
Podaci posebne kategorije – u situacijama gdje pribavljamo i obrađujemo podatke posebne kategorije, svi su postupci u skladu s zahtjevima članka 9. i prisutno je šifriranje i zaštita na visokoj razini nad svim podacima ovog tipa. Podaci posebne kategorije obrađuju se samo tamo gdje je to potrebno i obrađuju se samo kada smo najprije identificirali odgovarajuću bazu članka 9. stavka 2. ili uvjet Priloga 1 Zakona o zaštiti podataka. Tamo gdje se oslanjamo na suglasnost za obradu, eksplicitno je potvrđeno potpisom, s pravom na izmjenu ili uklanjanje pristanka koji je jasno označen
-
Svim osobnim podacima koje posjedujemo o njima -
Svrsi obrade podataka -
Kategorijama osobnih podataka koje se obrađuju -
Svim stranama koje će imati uvid u osobne podatke -
Kako dugo će osobni podaci biti pohranjeni -
Izvoru podataka, ukoliko nismo prikupili podatke osobno od njih -
Pravu na ispravljanje nepotpunih ili pogrešnih podataka o njima, kao i procesu za pokretanje ispravljanja i nadopune podataka -
Pravu o zahtjevu za brisanje osobnih podataka ili zahtjevu za ograničavanje obrade podataka u skladu sa svim relevantnim zakonima za zaštitu podataka te pravu za ulaganje prigovora na bilo koji oblik direktnog marketinga prema njima i dobivanju uvida u sve automatizirane procese direktnog marketinga kojima je on proveden -
Pravu za ulaganju prigovora ili traženju pravnog lijeka te koga je potrebno kontaktirati u tim situacijama
-
SSL -
Kontrolu pristupa -
Pravila o lozinkama -
Šifriranje -
Pseudonimizacija -
Prakse -
Ograničenja -
IT -
Autentifikacija