Politika zaštite podataka i privatnosti – SME

Politika zaštite podataka i privatnosti (P17S) pruža strukturirani okvir za zaštitu osobnih podataka unutar organizacija, posebno malih i srednjih poduzeća (SME-ova) koja možda nemaju namjenske sigurnosne timove ili specijalizirane IT odjele. Ova SME politika osmišljena je s pojednostavljenim ulogama i odgovornostima, kao što je General Manager (GM) koji djeluje kao odgovorna osoba, kako bi se osiguralo da je usklađenost razumljiva i ostvariva bez obzira na veličinu organizacije ili interne resurse. Struktura i sadržaj u potpunosti su prilagođeni stvarnosti SME-ova, s praktičnim mjerama temeljenima na riziku koje su usklađene s ISO/IEC 27001:2022, uz zadržavanje spremnosti za revizije i regulatorni nadzor. Dokument utvrđuje jasne zahtjeve za prikupljanje, pohranu, obradu i brisanje osobnih podataka, osiguravajući da su sve relevantne aktivnosti zakonite, poštene i sigurne kako je propisano propisima o zaštiti podataka poput GDPR-a, NIS2 i DORA. Važno je da politika obuhvaća osobne podatke koji se obrađuju u vlastitim prostorijama, u oblaku ili od strane pružatelja usluga treće strane te čini usklađenost obveznom za sve zaposlenike, izvođače i dobavljače. Opseg je sveobuhvatan i obuhvaća sve sustave, lokacije i osoblje koje može postupati s podacima koji se odnose na kupce, osoblje, dobavljače ili bilo koje druge prepoznatljive pojedince. Ključni ciljevi politike uključuju osiguravanje pridržavanja zakona i standarda privatnosti, implementaciju tehnoloških i organizacijskih kontrola te poticanje kulture odgovornosti i transparentnosti. Uključene su posebne odredbe za poštivanje pojedinačnih prava na privatnost, kao što je pravo na pristup, ispravak ili brisanje osobnih podataka, te za primjenu stroge zaštite i minimizacije podataka i sigurnih praksi brisanja. Politika također naglašava potrebu za dokumentiranjem aktivnosti obrade, održavanjem robusne kontrole pristupa i upravljanjem incidentima privatnosti uz jasno definirane postupke eskalacije. Uloge su izričito dodijeljene: General Manager odgovoran je za nadzor i dodjelu resursa, Koordinator privatnosti (koji može biti interni ili vanjski) obavlja operativne zadatke privatnosti, IT podrška osigurava tehnološke kontrole, rukovoditelji odjela jačaju usklađenost u svojim timovima, a od svog osoblja i izvođača očekuje se da se pridržavaju pravila i završe obveznu obuku. Mehanizmi pregleda i prilagodbe sastavni su dio ove politike te zahtijevaju godišnji formalni pregled i dodatne preglede potaknute novim zakonima, velikim incidentima ili novim uslugama koje uključuju obradu podataka. Postupanje s iznimkama i postupci upravljanja rizicima osiguravaju da su odstupanja kontrolirana, vremenski ograničena i u potpunosti dokumentirana. Konačno, kao politika usklađena sa SME-om, P17S premošćuje jaz između regulatorne rigoroznosti i operativne praktičnosti, podržavajući poduzeća u demonstriranju odgovornosti, zaštiti povjerenja kupaca i smanjenju rizika neusklađenosti.