Ovaj upitnik za samoprocjenu razine sigurnosti osobnih podataka sastoji se od 67 mjera za zaštitu podataka, i u odnosu na svaku ponuđenu mjeru imate mogućnost odgovoriti sa: DA; NE; NIJE PRIMJENJIVO.
Članak 32 GDPR-a (Opće uredbe o zaštiti podataka) govori o sigurnosti obrade osobnih podataka i zahtijeva od voditelja i izvršitelja obrade da provedu odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti.
Tehničke i organizacijske mjere iz članka 32 GDPR-a se isprepliću na nekoliko načina odnosno tehničke mjere često ovise o organizacijskim mjerama i obrnuto. Na primjer, implementacija softvera za šifriranje (tehnička mjera) zahtijeva odgovarajuće politike i procedure za upravljanje ključevima (organizacijska mjera).
VAŽNA NAPOMENA: Ovaj upitnik za samoprocjenu voditeljima i izvršiteljima obrade služi isključivo u svrhu ukazivanja na neke od osnovnih tehničkih i organizacijskih mjera koje bi trebali poduzeti kako bi zaštitili osobne podatke svojih korisnika/klijenata/zaposlenika.
Ukoliko konkretna mjera iz upitnika za samoprocjenu nije primjenjiva na Vaše poslovanje (primjerice Vaši zaposlenici ne koriste pametne mobitele i tablete u poslovne svrhe, ne koristite usluge izvršitelja obrade npr. za pohranu osobnih podataka u cloudu, itd., Vaš odgovor treba biti NIJE PRIMJENJIVO (N/A).
Ukoliko ste implementirali određenu mjeru za zaštitu osobnih podataka, tada Vaš odgovor treba biti DA. Ukoliko niste, a mjera je primjenjiva na Vaše aktivnosti obrade, odgovor treba biti NE.
Cilj koji trebate postići su odgovori DA na sve primjenjive mjere.
Važno je naglasiti da se ovaj upitnik NE sadrži sve moguće mjere koje bi voditelj obrade mogao poduzeti kako bi osigurao odgovarajuću razinu zaštite podataka, već se radi o osnovnim mjerama. Mjere će ovisiti o rizičnosti obrada koje provodite, a mjere koje je potrebno poduzeti razlikovat će se od voditelja obrade do voditelja obrade, odnosno pojam "odgovarajuće mjere" neće imati isto značenje za primjerice banku i cvjećarnicu.