Planiranje puta do GDPR usaglašenosti

Na osnovu prethodnih članaka koje su objavile moje kolege, već imate prilično dobru predstavu o bitnim delovima GDPR. U ovom članku ću pokušati da sumiram korake koje je potrebno pratiti kako biste svoje poslovanje uskladili sa GDPR-om

Analiziranje i dokumentovanje procesa upravljanja podacima i njihovom sigurnošću

Odgovornost je centralna tema koja se provlači praktično kroz ceo predlog GDPR. Analiziranje i dokumentovanje svih procesa koji uključuju rad sa podacima i njihovom sigurnošću je siguran prvi korak u procesu prilagođavanja GDPR.

Prvi korak ove analize bi morao da uključuje identifikovanje načina i razloga obrađivanja ličnih podataka. Najbitnija stvar koju morate da definišete je da li uopšte obrađujete lične podatke. Ukoliko je odgovor da, sledeći korak bi trebalo da bude identifikacija postojećih sigurnosnih sistema i procedura i procena da li se po njima podaci obrađuju u skladu sa novih zahtevima. Ovi koraci su praktično neophodni, ako imamo u vidu visinu kazne koja je predviđena za nepoštovanje GDPR (20 miliona evra ili 4% ukupnog godišnjeg prometa na svetskom nivou).

Jako je bitno naglasiti da proces harmonizacije nije zadatak samo pravne službe, lica za zaštitu podataka ili IT službe. U pitanju je proces koji obuhvata celokupnu organizaciju, pošto se podaci nalaze svuda, praktično u celokupnom poslovanju većine kompanija. Neophodno je napraviti sveobuhvatnu analizu procesa, pogotovo u slučaju većih kompanija, anketirati sve sektore koji imaju kontakt sa “spoljašnjim svetom”, kao i dobavljače i partnere, kako neka tačka ne bi ostala nepokrivena i kako bi stekli potpuno precizan uvid u sve procese prikupljanja i obrade podataka koji se dešavaju u jednom sistemu. Ovo će vam omogućiti da “snimite” sve procese u vezi sa podacima i time praktično postavite mapu po kojoj će vaša organizacija ići tokom procesa usaglašavanja sa GDPR-om.

Šta dokumentovati?

U toku analize i dokumentovanja aktivnosti u vezi sa prikupljanjem i obradom podataka, za svaku aktivnost bi trebalo dati odgovore na četiri osnovna pitanja sa aspekta podataka: šta, gde, kada i kako. Odgovori na ova pitanja će nam dati uvid u posledice svakog od procesa kao i rizik koji je prisutan u svakoj od tačaka. Ovo su neka od pitanja koja vam mogu pomoći u ovom procesu:

  • Koje informacije vaša organizacija daje pre i tokom procesa prikupljanja podataka?
  • Čije podatke prikupljate i obrađujete, koji su to podaci, gde ih obrađujete i iz kojih razloga?
  • Da li su podaci anonimizirani (“očišćeni” od ličnih identifikatora)?
  • Koliko dugo se takvi podaci čuvaju?
  • Sa kime delite ove podatke?
  • Da li obrađujete bilo kakve druge podatke (IP adrese, kukije…)?
  • Kakve su vaše sigurnosne procedure koje se tiču podataka?
  • Ko su kompanije sa kojima razmenjujete bilo koju vrstu podataka?
  • Kakve podatke razmenjujete sa njima?
  • Da li trenutno prosleđujete ili primate saglasnost bilo kome ili od bilo kog partnera sa kojim razmenjujete bilo kakvu vrstu podataka?

Kreiranje mape za GDPR usaglašenost

Kada završite prethodni korak, dobićete relativno dobru sliku o podacima koje prikupljate i tada je pravi trenutak da na osnovu toga shvatite koje aktivnosti u vašim postojećim procesima nisu u skladu sa GDPR. Evo nekoliko pitanja koja vam mogu pomoći u ovom trenutku:

  • Na koji način vaši postojeći procesi nisu u skladu sa GDPR?
  • Šta možete da učinite kako bi ih prilagodili?
  • Koliko vremena i resursa zahtevaju ove promene?
  • Da li imate saglasnost korisnika da obrađujete njihove podatke?
  • Da li prosleđujete ovu saglasnost partnerima i na koji način?
  • Na koji način planirate da omogućite korisnicima pravo na pristup podacima i ostala prava iz članova 12-22 iz Sekcije III GDPR?

Izrada studije o uticaju čuvanja podataka

Sledeći korak bi bio izrade studije o uticaju čuvanja podataka. GDPR propisuje da je neophodno izraditi ovakvu studiju pre procesuiranja podataka u sledećim slučajevima:

  • Kada se koristi neka nova tehnologija
  • Kada postoji visok nivo rizika za nosioce podataka. Možete primenjivati jednu studiju na više slučajeva, ukoliko su rizici isti
  • Kada postoji potreba za sistemskom i detaljnom automatizovanom evaluacijom ličnih podataka korisnika
  • Kada obrađujete veliku količinu ličnih podataka
  • Kada konstantno nadgledate javnu površinu kojoj pristup ima velika količina ljudi

Ono o čemu svakako morate voditi računa u aktivnosti zakonodavnih organa u Srbiji i EU, pošto oni imaju obavezu da objave listu aktivnosti za koje je neophodno izraditi ovakvu studiju. Postoji najava da će biti objavljena i lista aktivnosti koje ne zahtevaju studiju, ali još nemamo finalne informacije o tome.

Analiziranje i prilagođavanje postojećih ugovora i politika privatnosti

Analiza i prilagođavanje internih procesa je samo jedan deo posla koji je pred vama. Drugi važan aspekt je usaglašavanje sa partnerima. U pojedinim slučajevima, GDPR zahteva da kompanije koje obrađuju podatke imaju posebne ugovore sa partnerima, u slučajevima kada kompanija i partner sa kojim sarađuje mogu biti smatrani za “zajedničke rukovaoce”. Da napomenem još jednom, rukovaocem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti. Ovo u najmanju ruku znači da morate detaljno analizirati sve ugovore sa partnerima i svoje postojeće politike privatnosti. Ukoliko na svom sajtu, portalu ili web shop-u imate politiku privatnosti i uslove korišćenja, znači da prikupljate lične podatke i da bi te dokumente morali da usaglasite sa GDPR.

Preporuka je da obratite naročitu pažnju na sledeće stavke:

  • Svi ugovori sa dobavljačima sa kojima razmenjujete bilo kakve podatke
  • Svi uslovi korišćenja
  • Sve politike privatnosti

Postoje rešenja kojima možete automatizovati neke od ovih zadataka, ali je neophodno da stavite fokus na moguće “curenje” podataka kako bi izbegli potencijalne probleme.

Postavljanje Data Protection Officera (DPO)

Još jedna stvar o kojoj se mnogo priča je Data Protection Oficer – lice za zaštitu podataka, odnosno osoba koja će se brinuti da procesi u kojima prikupljate i obrađujete lične podatke budu u skladu sa GDPR. U kojim slučajevima je neophodno imenovati DPO:

  • Ukoliko je osnovno poslovanje kompanije podrazumeva stalno i sistematsko praćenje nosilaca podataka
  • Ukoliko je prikupljanje i obrada podataka osnovna delatnost i obuhvata veliku količinu ličnih podataka
  • Ukoliko podaci koji se prikupljaju i obrađuju obuhvataju rasne, etničke, političke, religijske ili filozofske podatke o nosiocu, članstvo u sindikatima, generičke i biometrijske podatke ili podatke o zdravstvenom stanju ili seksualnoj orijentaciji.

DPO formalno ima zaduženje da obezbedi da je kompanija upoznata sa svojim obavezama koje se tiču zaštite podataka i da te obaveze primenjuje u praksi. DPO mora detaljno da poznaje zakon i njegovu primenu u praksi. Detalji njegovih zaduženja će biti predstavljeni u posebnom tekstu u okviru ovog serijala.

Budite informisani i informišite

Nakon završenih prethodnih koraka, kada steknete jasnu sliku kakve promene treba da izvršite, bilo bi neophodno da informišete svoje zaposlene kakve promene su neophodne i da ih obučite, kako bi mogli da planirane promene sprovedu u praksi. Informišite svoje partnere, usaglasite promene sa njima, pobrinite se da i oni budu informisani o neophodnim promenama, kako bi ceo proces tekao brže i lakše.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Ostavi komentar

  1. Radoje

    Radoje

    13. 12. 2017. u 22:53 Odgovori

    Poštovani kolega, napravili ste nenamernu, ali ne malu grešku, navodeći “Da napomenem još jednom obrađivačem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti”. Onaj koji određuje svrhu obrade jeste rukovalac, a ne obrađivač podataka, kako po domaćem ZZPOL, tako i po GDPR. “‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law”. Srdačan pozdrav.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startapi i poslovanje

Zapošljavanje nedovoljno kvalifikovanog kadra u IT-ju – bahatost ili potreba?

Kada govorimo o IT sceni u Srbiji, jasno nam je da je to mala bara sa još manje 'krokodila'. Stoga se ponekad desi da neki od 'krokodila' koji su tek zaplivali dobiju posao koji možda još uvek ne zaslužuju. Ili je to samo mit? Otkrivamo u našoj analizi.

Društvene mreže

Neguj mo srbski jezik: Čak i oni koji nam prete priznaju da nas vole!

Oni su momci iza jedne od najpoznatijih satiričnih stranica na domaćem Internetu. U razgovoru sa dvojicom admina, otkrivamo kako je nastao Neguj mo srbski jezik, kakav je njihov odnos sa poznatima koji su često predmet viralnih šala, ali i šta danas predstavlja ova zajednica od nekoliko stotina hiljada pratilaca.

Startapi i poslovanje

Švajcarski 3AP otvorio prve kancelarije u Kruševcu – sledi potraga za lokalnim kadrom

Švajcarska IT kompanija 3AP svoj razvojni centar nema više samo u Beogradu. Juče je otvorena i kruševačka kancelarija, a iz ove kompanije navode da im dalji razvoj poslovanja tek sledi. Da li je ovo početak trenda po kom IT kompanije nemaju fiijale isključivo u glavnom gradu, Novom Sadu i Nišu?

Propustili ste

Društvene mreže

Kako efikasno voditi profile na društvenim mrežama ako ste IT kompanija?

Društvene mreže, htele IT kompanije to ili ne, igraju veliku ulogu kada je reč o privlačenju kandidata.

Karijere

Saveti: Šta HR-ovi moraju da urade kako bi sa programerima ‘živeli u miru’?

Developeri i HR-ovi savetuju kako unaprediti poslovni odnos na toj relaciji.

Startapi i poslovanje

Tek 15% IT kandidata o poslodavcu sazna sve što ih zanima – kako to popraviti?

Kako kandidati iz oblasti IT-ja traže posao? Odgovore donosi istraživanje sajta poslovi.infostud.com, a njihovi predstavnici na meetup-ima širom Srbije otkrivaju šta čini dobar Employer Branding.

Mobilno

Yandex.Taxi uveo plaćanje karticama

Pored keša, od sada moguće i plaćanje 'plastikom'.

Novost

Lični podaci građana neadekvatno regulisani, Share Fondacija i Poverenik skreću pažnju na nepravilnosti

Poverenik za informacije od javnog značaja ukazuje na suštinske probleme nove verzije Nacrta zakona o zaštiti podataka o ličnosti, a obimno mišljenje dostavljeno je Ministarstvu pravde.