Novosti, savjeti, primjeri iz prakse

Blog

svijet-nakon-gdpr
20. svibnja 2019. | Piše: Nina Vujičić

Svijet nakon GDPR-a

GDPR kao dio poslovne kulture

Često u razgovoru s korisnicima čujemo stav da je GDPR bio samo još jedan dodatan teret kojeg su zakonodavci stavili pred poslovni svijet sa svrhom da im se oteža poslovanje te da se izricanjem kazni napuni proračun. No, je li to uistinu tako?

U zemljama poput primjerice Njemačke, zakoni vezani uz osobne podatke i informacijsku sigurnost bili su i prije GDPR-a kvalitetno uređeni pa su po nekim „zahtjevima“ bili čak i stroži od zahtjeva koje je Opća uredba za zaštitu podataka stavila pred organizacije. Stoga u pojedinim zemljama Europske unije, stupanje GDPR-a na snagu nije previše poremetilo poslovanje organizacija niti je donijelo očekivani kaos.

No, u Hrvatskoj (i još ponekim zemljama Europe), 25. svibnja, 2018. godine, činio se kao nedostižan krajnji datum za usklađivanje, unatoč dvogodišnjem periodu prilagodbe poslovanja Uredbi. Čekanje krajnjeg roka za početak usklađivanja i stav da će se proces odraditi brzinski, rezultiralo je time da su se mnoge organizacije u zadnji trenutak suočile s činjenicom da usklađivanje s Uredbom nije jednokratan proces. GDPR je poslovna kultura cjelokupne organizacije i jednom kad se ta misao osvijesti, organizacije počnu pristupati usklađivanju planski i kontinuirano.

Svijet nakon GDPR-a i dalje postoji, samo je pitanje gdje se u tom svijetu nalazi vaša organizacija.

GDPR nije problem, već rješenje

Iako ova tvrdnja može zvučati nevjerojatno, da biste GDPR sagledali kao rješenje, bitno je razumjeti što Uredba zahtijeva od organizacija. Ako ste u zadnjih nekoliko godina krenuli s kvalitetnim pristupom usklađivanju poslovanja s GDPR-om, vrlo je vjerojatno da ste odmah na početku primijetili da se usklađivanje mora odvijati u fazama.

Bilo da ste tražili pomoć vanjskih konzultanata ili ste samostalno krenuli s usklađivanjem, prvi korak je svakako bio snimka stanja organizacije u vidu procesnih, pravnih i tehničkih revizija. Naime, temelj kvalitetnog poslovanja organizacije dobro su posloženi poslovni procesi. U slučaju GDPR-a od izuzetne je važnosti prepoznati i mapirati sve procese prikupljanja i obrade podataka zaposlenika, partnera i klijenata, te svih trećih strana uključenih u proces obrade osobnih podataka.

Ustanovljavanjem svrhe prikupljanja osobnih podataka u poslovnim procesima, sljedeći korak usklađivanja bio je popisivanje vrsta osobnih podataka u tim procesima, određivanje zakonitosti obrade, definiranje rokova čuvanja i mjesta pohrane, identificiranje organizacija s kojima se dijele itd.

S prikupljenim informacijama mogli ste izraditi evidenciju aktivnosti obrada, znali ste s kojim izvršiteljima obrade trebate sklopiti ugovore o obradi podataka, a u Pravilima privatnosti obavijestili ste ispitanike o načinima obrade. Uhvatili ste se u koštac sa svim bazama i sustavima pohrane podataka i pročistili ih od nepotrebnih, dupliciranih i zastarjelih podataka, a također ste potvrdili je li i informatička okolina organizacije sigurna od vanjskih proboja.

Drugim riječima, ono što se prvotno činilo kao problem, planskim pristupom je organizaciju u procesu usklađivanja s GDPR-om zapravo dovelo u održivi red. Organizacija sada ima optimizirane procese, podatke za koje zna gdje se sve nalaze i kako s njima treba upravljati, uređene odnose s izvršiteljima obrade i jasno definirana ulaganja u sigurnosna rješenja.

Usklađeni smo, a što sada?

Kao što smo napomenuli, usklađivanje poslovanja s GDPR-om složen je i kontinuiran proces temeljen na zajedničkoj viziji cijele organizacije – menadžmenta, pravnog odjela, IT-a i voditelja pojedinih procesnih područja (financije, ljudski resursi, prodaja, marketing itd.). Stoga je tijekom usklađivanja s Uredbom ključno shvatiti gdje se po modelu GDPR zrelosti organizacija nalazi.

Organizacije se prema GDPR modelu zrelosti mogu kretati od početnog stupnja, gdje se tek kreće s procesom usklađivanja pa sve do optimiziranog stupnja zrelosti, gdje je kontinuitet poslovanja održiv upravo zbog predanosti cijele organizacije. No, na kojem god stupnju GDPR zrelosti se u ovom trenutku nalazi vaša organizacija, uvijek imajte na umu da je GDPR kontinuirani proces.

Uvođenjem novih procesa odnosno obrada, bit će potrebno implementirati GDPR komponentu od samog početka (privacy by design). Nad obradama koje podliježu zahtjevu za procjenu učinka na zaštitu podataka potrebno je sprovesti analizu procjene rizika. Preporučljivo je da se jednom godišnje pregledaju i sve postojeće obrade osobnih podataka i napravi njihova revizija, tj. gap analiza u svrhu saznanja kolika su odstupanja sadašnjeg stanja obrada od prvotno zapisanih.

Tehnologija u službi GDPR-a

Postoji niz tehničkih rješenja koje vam mogu djelomično pomoći u navedenim aktivnostima. No, kod odabira istih, potrebno je obratiti pažnju na kvalitetu gotovih rješenja i osobito paziti na „brzinske“ analize koje ne prate privacy by design metodologiju stvarnih procesa organizacije.

Na terenu smo se susreli s revizijama koje su pokazale značajnu neusklađenost s Uredbom upravo zbog primjene neadekvatnih rješenja te su organizacije ponekad bile primorane ponovo odraditi analizu od samog početka.

Upravo zbog toga, rješenje Span Personal Data Protector izrađeno je da prati zahtjeve Uredbe i omogući da se na jedinstvenom mjestu vodi evidencija o svim odlukama koje donosite i u bilo kojem trenutku pružite dokaze o usklađenosti. Službenik za zaštitu podataka pomoću Span PDP-a može provesti reviziju informacijske imovine i aktivnosti obrada osobnih podataka.

Rješenje ujedno omogućuje zajedničku suradnju unutar organizacije kojom se određuju prava i svrhe pristupa podacima, osiguravajući kvalitetnu komunikaciju između vlasnika procesnih područja i svih unutarnjih funkcija, posebno IT-a.

Na kraju, ipak ne zaboravite, koji god pristup usklađivanju ste odabrali i još o tome razmišljate,  kontinuirano educiranje zaposlenika je na prvom mjestu. Od službe za podršku klijentima, preko ljudskih resursa, do jedinica strateških odjela, svi zaposlenici moraju razumjeti osnove informacijske sigurnosti i prava ispitanika sadržanih u GDPR-u. Upravljanje osobnim podacima ispitanika na odgovarajući i transparentan način ključ je uspješnog usklađivanja s GDPR-om i temelj je kulturi odgovornog poslovanja.