GDPR usklađivanje

GDPR je odavno u primeni kao i Zakoni o zaštiti podataka o ličnosti i privatnom obezbeđenju, ali Vi i dalje tapkate u mestu i odlažete svoje usklađivanje jer :

1. Nemate jasnu sliku o datoj regulativi.
2. Ne možete da pronađete pravi put i adekvatno delegirate projekat koji bi bio uspešno realizovan u Vašoj organizaciji.
3. Čuli ste iz nekih izvora da „to“ još nije zaživelo pa kad zaživi onda ćete početi sa usaglašavanjem.
4. Smatrate da niste u riziku jer imate advokatsku kancelariju na paušalu koja Vam je dostavila dva papira na pomenutu temu i verujete da će se „stvar“ rešiti ako nešto „zapne“.
5. Procena rizika, procena uticaja i druga „papirologija“ mogu se raditi retroaktivno radi „pokrivanja“ situacije…

Ovo su iz iskustva najčešći uopšteni stavovi menadžmenta kompanija koje nisu uredile oblast bezbednosti i zaštite podataka o ličnosti ali i uvođenja korporativne bezbednosti kao funkcije menadžmenta.

Predlažemo da početak projekta bude rešavanje tačke 1 kao ključne za dalje korake i kako bi kroz edukaciju slika postala jasna radi budućih transparentnih i kvalitetnih odluka. U suprotnom problem se gura pod tepih i pitanje je kada ćete se o njega saplesti.

Kako se pripremiti za GDPR? U nastavku sledi 7 koraka koje svaka organizacija koja želi da obezbedi usklađenost sa GDPR-om mora da prođe:

Obzirom da se regulativa zaštite podataka o ličnosti odnosi i na brojne procese u celokupnoj organizaciji, zaposleni se moraju upoznati i spremiti za odgovor na nove zahteve i obaveze koje će morati da se poštuju. Treninzi i edukacije tokom procesa obezbeđuju temeljno usaglašavanje i razumevanje suštine GDPR regulative čime se postiže kvalitetno prihvatanje novih organizacionih obrazaca.

Kompletan proces mora da bude adekvatno i transparentno koordinisan uz imenovanje osoba ili tima koji stoji iza ovog strateškog projekta. U zavisnosti od veličine i namene organizacije, može biti zahtevano i imenovanje internog ili eksternog lica za zaštitu podataka o ličnosti DPO (data protection officer).

Kroz ovu fazu dolazimo do grafičkog prikaza / šeme toka podataka koja jasno ukazuje: kako se podaci prikupljaju i šta je svrha obrade, gde se podaci o ličnosti arhiviraju, kuda se isti kreću tokom procesa prikupljanja, obrade i distribucije, kako se podaci klasifikuju i po kojim osnovama, koliko se dugo čuvaju i slično. Ovim se detektuju i procenjuju rizici eventualne neusaglašenosti i osigurava racionalan pristup upravljanjem podacima.

Veoma je bitno odrediti uloge u procesu obrade odnosno da li je kompanija rukovalac (controller) ili obrađivač (processor) u odnosu na podatke sa kojima je u kontaktu. Složenost predmetne regulative ukazuje na to da uticaj na poslovanje može biti izuzetno kompleksan iako na prvi pogled tako ne izgleda.

Kada je sačinjena mapa podataka i postala jasna slika o podacima u organizaciji, započinje se sa procesom procene rizika koja ima za cilj da ukaže kojim opasnostima i mogućim štetama ovi podaci mogu biti izloženi. Konstatuje se potencijalni uticaj tih rizika na same podatke i na osnovu toga definišu se konkretni koraci sa opisom mera i radnji za sprovođenje zaštite po sistemu prioriteta. U pojedinim slučajevima (definisano ZZPL i GDPR regulativom) obavezna je i
procena uticaja na privatnost podataka DPIA. Takođe pre procene uticaja potrebno je sprovesti i GAP analizu kako bi se identifikovale neusaglašenosti postojećeg stanja i trenutnih nedostataka sistemima zaštite u odnosu na nove zahteve ZZPL-a / GDPR-a.

Obzirom da se zahtevi za različite vrste podataka mogu značajno razlikovati, potrebno je formalno urediti interna akta, uputstva i procedure kako će se organizacija odnositi i postupati prema datim podacima o ličnosti. Klase podataka se uglavnom određuju u odnosu na nivo osetljivosti i u odnosu na obim podataka koji se prikupljaju za ostvarivanje određene radnje. Samim tim kontakt podaci, podaci o platnim karticama, podaci o zdravstvenom stanju sa istorijom bolesti, podaci o verskoj i nacionalnoj pripadnosti mogu imati različite posledice u slučaju narušavanja privatnosti, što povlači i različite pristupe u aktivnostima obrade i zaštite. U takvim slučajevima treba jasno definisati proces pribavljanja saglasnosti za obradu i korišćenje podataka o ličnosti što često zahteva i dodatnu procenu uticaja i svakako posebnu pažnju rukovaoca.

ZZPL / GDPR zahteva preduzimanje optimalnih i pravovremenih mere zaštite podataka kako bi se predupredili svi rizici i pretnje po gubitke istih u organizaciji. U slučaju eventualnog incidenta koji narušava integritet i privatnost podataka, organizacija je u zakonskoj obavezi da u roku od 72h obavesti nadležni organ / kancelariju poverenika, kao i sve subjekte na koje se incident odnosi. Ove obaveze, kao i ispunjenje prava korisnika, implementacija privacy by design i privacy by default principa zahtevaju adekvatno projektovanje strukture sistema korišćenja i upravljanja podacima. U cilju postizanja zadovoljavajućeg nivoa zaštite, kompanija može razmotriti i odgovarajuća tehnološka rešenja kao jedan od oslonaca usklađenosti sa ZZPL / GDPR-om.

Organizacija mora dokumentovati sve preduzete radnje i korake u procesu usaglašavanja sa zvaničnom regulativom, kao i definisati shodno propisima svaku novu obradu podataka kojima je pristupila uz adekvatan opis svrhe obrade, obima i trajanja iste. Mapa postupaka je neophodna kako bi se nadzornom organu odnosno kancelariji poverenika kao i samim korisnicima odnosno licima čiji se podaci obrađuju dokazalo ispunjenje zahteva.

Kako bi organizacija postigla suštinsku usklađenost i bila sigurna u implementaciju politika privatnosti i zaštite podataka o ličnosti neophodna je provera primene mera kroz periodično izveštavanje i korektivne akcije koje obezbeđuju održivu usklađenost sa ZZPL / GDPR-om. Završetkom preliminarnog usaglašavanja sa regulativom, mora se nastaviti sa kontinuiranom analizom rizika, praćenjem razvoja i dešavanja na polju zaštite podataka, kao i sprovođenjem dodatnih mera i sistemske edukacije zaposlenih.

Kompleksnost ove regulative zahteva širok spektar znanja, iskustva ali i vremena kao neophodnih resursa koje je potrebno investirati radi postizanja zakonske usklađenosti i podizanja bezbednosne kulture organizacije na viši nivo.

Veoma je čest slučaj da organizacije ne poseduje sve neophodne resurse i znanje za realizaciju ovih koraka ili jednostavno žele podršku eksperata i eksternih saradnika koji poseduju najbolju praksu i rešenja u datoj oblasti. Veliki broj kompanija koje posluju u saglasnosti sa ZZPL / GDPR imaju potrebu za GAP analizom i korekcijama postojećih procedura kako bi u kontinuitetu proveravali usaglašenost.

Mi smo multi-disciplinaran tim koga čine iskusni konsultanti i spremni smo da odgovorimo na sve vaše jednostavne i kompleksne zahteve. Kontaktirajte nas da u zajedničkim snagama dođemo do najboljeg rešenja, efikasnog i primenjivog za Vaše poslovanje.