Edukacija i formiranje organizacionog okvira za ZZPL / GDPR usklađivanje
Obzirom da se regulativa zaštite podataka o ličnosti odnosi i na brojne procese u celokupnoj organizaciji, zaposleni se moraju upoznati i spremiti za odgovor na nove zahteve i obaveze koje će morati da se poštuju. Treninzi i edukacije tokom procesa obezbeđuju temeljno usaglašavanje i razumevanje suštine GDPR regulative čime se postiže kvalitetno prihvatanje novih organizacionih obrazaca.
Kompletan proces mora da bude adekvatno i transparentno koordinisan uz imenovanje osoba ili tima koji stoji iza ovog strateškog projekta. U zavisnosti od veličine i namene organizacije, može biti zahtevano i imenovanje internog ili eksternog lica za zaštitu podataka o ličnosti DPO (data protection officer).
Mapiranje podataka i definisanje odgovornosti
Kroz ovu fazu dolazimo do grafičkog prikaza / šeme toka podataka koja jasno ukazuje: kako se podaci prikupljaju i šta je svrha obrade, gde se podaci o ličnosti arhiviraju, kuda se isti kreću tokom procesa prikupljanja, obrade i distribucije, kako se podaci klasifikuju i po kojim osnovama, koliko se dugo čuvaju i slično. Ovim se detektuju i procenjuju rizici eventualne neusaglašenosti i osigurava racionalan pristup upravljanjem podacima.
Veoma je bitno odrediti uloge u procesu obrade odnosno da li je kompanija rukovalac (controller) ili obrađivač (processor) u odnosu na podatke sa kojima je u kontaktu. Složenost predmetne regulative ukazuje na to da uticaj na poslovanje može biti izuzetno kompleksan iako na prvi pogled tako ne izgleda.
Procena rizika po privatnost, bezbednost i zaštitu podataka
Kada je sačinjena mapa podataka i postala jasna slika o podacima u organizaciji, započinje se sa procesom procene rizika koja ima za cilj da ukaže kojim opasnostima i mogućim štetama ovi podaci mogu biti izloženi. Konstatuje se potencijalni uticaj tih rizika na same podatke i na osnovu toga definišu se konkretni koraci sa opisom mera i radnji za sprovođenje zaštite po sistemu prioriteta. U pojedinim slučajevima (definisano ZZPL i GDPR regulativom) obavezna je i
procena uticaja na privatnost podataka DPIA. Takođe pre procene uticaja potrebno je sprovesti i GAP analizu kako bi se identifikovale neusaglašenosti postojećeg stanja i trenutnih nedostataka sistemima zaštite u odnosu na nove zahteve ZZPL-a / GDPR-a.
Definisanje procedura za sve vrste / klase podataka
Obzirom da se zahtevi za različite vrste podataka mogu značajno razlikovati, potrebno je formalno urediti interna akta, uputstva i procedure kako će se organizacija odnositi i postupati prema datim podacima o ličnosti. Klase podataka se uglavnom određuju u odnosu na nivo osetljivosti i u odnosu na obim podataka koji se prikupljaju za ostvarivanje određene radnje. Samim tim kontakt podaci, podaci o platnim karticama, podaci o zdravstvenom stanju sa istorijom bolesti, podaci o verskoj i nacionalnoj pripadnosti mogu imati različite posledice u slučaju narušavanja privatnosti, što povlači i različite pristupe u aktivnostima obrade i zaštite. U takvim slučajevima treba jasno definisati proces pribavljanja saglasnosti za obradu i korišćenje podataka o ličnosti što često zahteva i dodatnu procenu uticaja i svakako posebnu pažnju rukovaoca.
Primena organizaciono – tehničkih i bezbednosnih mera zaštite podataka
ZZPL / GDPR zahteva preduzimanje optimalnih i pravovremenih mere zaštite podataka kako bi se predupredili svi rizici i pretnje po gubitke istih u organizaciji. U slučaju eventualnog incidenta koji narušava integritet i privatnost podataka, organizacija je u zakonskoj obavezi da u roku od 72h obavesti nadležni organ / kancelariju poverenika, kao i sve subjekte na koje se incident odnosi. Ove obaveze, kao i ispunjenje prava korisnika, implementacija privacy by design i privacy by default principa zahtevaju adekvatno projektovanje strukture sistema korišćenja i upravljanja podacima. U cilju postizanja zadovoljavajućeg nivoa zaštite, kompanija može razmotriti i odgovarajuća tehnološka rešenja kao jedan od oslonaca usklađenosti sa ZZPL / GDPR-om.
Dokumentovanje i opis preduzetih koraka
Organizacija mora dokumentovati sve preduzete radnje i korake u procesu usaglašavanja sa zvaničnom regulativom, kao i definisati shodno propisima svaku novu obradu podataka kojima je pristupila uz adekvatan opis svrhe obrade, obima i trajanja iste. Mapa postupaka je neophodna kako bi se nadzornom organu odnosno kancelariji poverenika kao i samim korisnicima odnosno licima čiji se podaci obrađuju dokazalo ispunjenje zahteva.
Periodična kontrola, provera i unapređenje
Kako bi organizacija postigla suštinsku usklađenost i bila sigurna u implementaciju politika privatnosti i zaštite podataka o ličnosti neophodna je provera primene mera kroz periodično izveštavanje i korektivne akcije koje obezbeđuju održivu usklađenost sa ZZPL / GDPR-om. Završetkom preliminarnog usaglašavanja sa regulativom, mora se nastaviti sa kontinuiranom analizom rizika, praćenjem razvoja i dešavanja na polju zaštite podataka, kao i sprovođenjem dodatnih mera i sistemske edukacije zaposlenih.
Kompleksnost ove regulative zahteva širok spektar znanja, iskustva ali i vremena kao neophodnih resursa koje je potrebno investirati radi postizanja zakonske usklađenosti i podizanja bezbednosne kulture organizacije na viši nivo.
Veoma je čest slučaj da organizacije ne poseduje sve neophodne resurse i znanje za realizaciju ovih koraka ili jednostavno žele podršku eksperata i eksternih saradnika koji poseduju najbolju praksu i rešenja u datoj oblasti. Veliki broj kompanija koje posluju u saglasnosti sa ZZPL / GDPR imaju potrebu za GAP analizom i korekcijama postojećih procedura kako bi u kontinuitetu proveravali usaglašenost.
Mi smo multi-disciplinaran tim koga čine iskusni konsultanti i spremni smo da odgovorimo na sve vaše jednostavne i kompleksne zahteve. Kontaktirajte nas da u zajedničkim snagama dođemo do najboljeg rešenja, efikasnog i primenjivog za Vaše poslovanje.