Planiranje puta do GDPR usaglašenosti

Na osnovu prethodnih članaka koje su objavile moje kolege, već imate prilično dobru predstavu o bitnim delovima GDPR. U ovom članku ću pokušati da sumiram korake koje je potrebno pratiti kako biste svoje poslovanje uskladili sa GDPR-om

Analiziranje i dokumentovanje procesa upravljanja podacima i njihovom sigurnošću

Odgovornost je centralna tema koja se provlači praktično kroz ceo predlog GDPR. Analiziranje i dokumentovanje svih procesa koji uključuju rad sa podacima i njihovom sigurnošću je siguran prvi korak u procesu prilagođavanja GDPR.

Prvi korak ove analize bi morao da uključuje identifikovanje načina i razloga obrađivanja ličnih podataka. Najbitnija stvar koju morate da definišete je da li uopšte obrađujete lične podatke. Ukoliko je odgovor da, sledeći korak bi trebalo da bude identifikacija postojećih sigurnosnih sistema i procedura i procena da li se po njima podaci obrađuju u skladu sa novih zahtevima. Ovi koraci su praktično neophodni, ako imamo u vidu visinu kazne koja je predviđena za nepoštovanje GDPR (20 miliona evra ili 4% ukupnog godišnjeg prometa na svetskom nivou).

Jako je bitno naglasiti da proces harmonizacije nije zadatak samo pravne službe, lica za zaštitu podataka ili IT službe. U pitanju je proces koji obuhvata celokupnu organizaciju, pošto se podaci nalaze svuda, praktično u celokupnom poslovanju većine kompanija. Neophodno je napraviti sveobuhvatnu analizu procesa, pogotovo u slučaju većih kompanija, anketirati sve sektore koji imaju kontakt sa „spoljašnjim svetom“, kao i dobavljače i partnere, kako neka tačka ne bi ostala nepokrivena i kako bi stekli potpuno precizan uvid u sve procese prikupljanja i obrade podataka koji se dešavaju u jednom sistemu. Ovo će vam omogućiti da „snimite“ sve procese u vezi sa podacima i time praktično postavite mapu po kojoj će vaša organizacija ići tokom procesa usaglašavanja sa GDPR-om.

Šta dokumentovati?

U toku analize i dokumentovanja aktivnosti u vezi sa prikupljanjem i obradom podataka, za svaku aktivnost bi trebalo dati odgovore na četiri osnovna pitanja sa aspekta podataka: šta, gde, kada i kako. Odgovori na ova pitanja će nam dati uvid u posledice svakog od procesa kao i rizik koji je prisutan u svakoj od tačaka. Ovo su neka od pitanja koja vam mogu pomoći u ovom procesu:

  • Koje informacije vaša organizacija daje pre i tokom procesa prikupljanja podataka?
  • Čije podatke prikupljate i obrađujete, koji su to podaci, gde ih obrađujete i iz kojih razloga?
  • Da li su podaci anonimizirani („očišćeni“ od ličnih identifikatora)?
  • Koliko dugo se takvi podaci čuvaju?
  • Sa kime delite ove podatke?
  • Da li obrađujete bilo kakve druge podatke (IP adrese, kukije…)?
  • Kakve su vaše sigurnosne procedure koje se tiču podataka?
  • Ko su kompanije sa kojima razmenjujete bilo koju vrstu podataka?
  • Kakve podatke razmenjujete sa njima?
  • Da li trenutno prosleđujete ili primate saglasnost bilo kome ili od bilo kog partnera sa kojim razmenjujete bilo kakvu vrstu podataka?

Kreiranje mape za GDPR usaglašenost

Kada završite prethodni korak, dobićete relativno dobru sliku o podacima koje prikupljate i tada je pravi trenutak da na osnovu toga shvatite koje aktivnosti u vašim postojećim procesima nisu u skladu sa GDPR. Evo nekoliko pitanja koja vam mogu pomoći u ovom trenutku:

  • Na koji način vaši postojeći procesi nisu u skladu sa GDPR?
  • Šta možete da učinite kako bi ih prilagodili?
  • Koliko vremena i resursa zahtevaju ove promene?
  • Da li imate saglasnost korisnika da obrađujete njihove podatke?
  • Da li prosleđujete ovu saglasnost partnerima i na koji način?
  • Na koji način planirate da omogućite korisnicima pravo na pristup podacima i ostala prava iz članova 12-22 iz Sekcije III GDPR?

Izrada studije o uticaju čuvanja podataka

Sledeći korak bi bio izrade studije o uticaju čuvanja podataka. GDPR propisuje da je neophodno izraditi ovakvu studiju pre procesuiranja podataka u sledećim slučajevima:

  • Kada se koristi neka nova tehnologija
  • Kada postoji visok nivo rizika za nosioce podataka. Možete primenjivati jednu studiju na više slučajeva, ukoliko su rizici isti
  • Kada postoji potreba za sistemskom i detaljnom automatizovanom evaluacijom ličnih podataka korisnika
  • Kada obrađujete veliku količinu ličnih podataka
  • Kada konstantno nadgledate javnu površinu kojoj pristup ima velika količina ljudi

Ono o čemu svakako morate voditi računa u aktivnosti zakonodavnih organa u Srbiji i EU, pošto oni imaju obavezu da objave listu aktivnosti za koje je neophodno izraditi ovakvu studiju. Postoji najava da će biti objavljena i lista aktivnosti koje ne zahtevaju studiju, ali još nemamo finalne informacije o tome.

Analiziranje i prilagođavanje postojećih ugovora i politika privatnosti

Analiza i prilagođavanje internih procesa je samo jedan deo posla koji je pred vama. Drugi važan aspekt je usaglašavanje sa partnerima. U pojedinim slučajevima, GDPR zahteva da kompanije koje obrađuju podatke imaju posebne ugovore sa partnerima, u slučajevima kada kompanija i partner sa kojim sarađuje mogu biti smatrani za „zajedničke rukovaoce“. Da napomenem još jednom, rukovaocem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti. Ovo u najmanju ruku znači da morate detaljno analizirati sve ugovore sa partnerima i svoje postojeće politike privatnosti. Ukoliko na svom sajtu, portalu ili web shop-u imate politiku privatnosti i uslove korišćenja, znači da prikupljate lične podatke i da bi te dokumente morali da usaglasite sa GDPR.

Preporuka je da obratite naročitu pažnju na sledeće stavke:

  • Svi ugovori sa dobavljačima sa kojima razmenjujete bilo kakve podatke
  • Svi uslovi korišćenja
  • Sve politike privatnosti

Postoje rešenja kojima možete automatizovati neke od ovih zadataka, ali je neophodno da stavite fokus na moguće „curenje“ podataka kako bi izbegli potencijalne probleme.

Postavljanje Data Protection Officera (DPO)

Još jedna stvar o kojoj se mnogo priča je Data Protection Oficer – lice za zaštitu podataka, odnosno osoba koja će se brinuti da procesi u kojima prikupljate i obrađujete lične podatke budu u skladu sa GDPR. U kojim slučajevima je neophodno imenovati DPO:

  • Ukoliko je osnovno poslovanje kompanije podrazumeva stalno i sistematsko praćenje nosilaca podataka
  • Ukoliko je prikupljanje i obrada podataka osnovna delatnost i obuhvata veliku količinu ličnih podataka
  • Ukoliko podaci koji se prikupljaju i obrađuju obuhvataju rasne, etničke, političke, religijske ili filozofske podatke o nosiocu, članstvo u sindikatima, generičke i biometrijske podatke ili podatke o zdravstvenom stanju ili seksualnoj orijentaciji.

DPO formalno ima zaduženje da obezbedi da je kompanija upoznata sa svojim obavezama koje se tiču zaštite podataka i da te obaveze primenjuje u praksi. DPO mora detaljno da poznaje zakon i njegovu primenu u praksi. Detalji njegovih zaduženja će biti predstavljeni u posebnom tekstu u okviru ovog serijala.

Budite informisani i informišite

Nakon završenih prethodnih koraka, kada steknete jasnu sliku kakve promene treba da izvršite, bilo bi neophodno da informišete svoje zaposlene kakve promene su neophodne i da ih obučite, kako bi mogli da planirane promene sprovedu u praksi. Informišite svoje partnere, usaglasite promene sa njima, pobrinite se da i oni budu informisani o neophodnim promenama, kako bi ceo proces tekao brže i lakše.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Ostavi komentar

  1. Radoje

    Radoje

    13. 12. 2017. u 22:53 Odgovori

    Poštovani kolega, napravili ste nenamernu, ali ne malu grešku, navodeći „Da napomenem još jednom obrađivačem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti“. Onaj koji određuje svrhu obrade jeste rukovalac, a ne obrađivač podataka, kako po domaćem ZZPOL, tako i po GDPR. „‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law“. Srdačan pozdrav.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Sponzorisano

HTEC: Kako smo iz korena promenili posao klijenta koji posluje globalno već 30 godina?

Da biste kao kompanija zadržali svoje stručnjake neophodno je da znate šta oni misle o vama. Veliki broj zaposlenih znači i isto toliko papira za evaluaciju. Tu na scenu stupa rešenje koje je razvio i implementirao domaći HTEC za kompaniju Great Place to Work.

Internet marketing

Ultimativni spisak konferencija i događaja za digitalne marketare

Konferencije predstavljaju pravu priliku za sticanje novih saznanja i važnih kontakata. Godina samo što je počela i sada je pravo vreme da se upoznate sa događajima u Evropi koji su pristupačni za obići.

Karijere

Kako smo spustili fluktuaciju tehničkog kadra ispod 10 procenata

Dok čitava domaća IT industrija raste, manjak kvalifikovanog kadra i česta fluktuacija zaposlenih ostaju među glavnim problemima sa kojima se menadžment suočava. Kako edukovati novi kadar, a u isto vreme zadržati top talenat u svojim redovima?

Propustili ste

Karijere

Šta vaši (budući) senior programeri zaista žele?

Šta je za programere zanimljiv projekat i kada se odlučuju na promenu radnog mesta?

Društvene mreže

Greška u softveru Instagrama glavni je uzrok naglog pada broja pratilaca

Korisnici Instagrama ovih dana žale se na naglu promenu broja pratilaca. Prema poslednjim informacijama, glavni uzrok problema je 'bug' u softveru ove društvene mreže.

Kultura 2.0

Razum i uticajnost

Nema sumnje da su influenseri tu da ostanu, pa čak i pored svih skandala i glavobolja koje prate saradnju sa njima. Bili veliki ili mali, brendovi su se po oprobanom „kud svi tu i mali Mujo“ sistemu uhvatili u kolo iz kojeg nema lakog izlaska. Retko ko tu zapravo stane da razmisli o tome šta […]

Mobilno

Kako izmeriti zagađenost vazduha u vašem gradu?

Prethodnih dana sve češće se govori zagađenju vazduha u Srbiji. Merne stanice svakodnevno prikupljaju podatke o kvalitetu vazduha, a nivo štetnosti možemo pratiti upravo putem naših pametnih telefona.

Internet marketing

Šta treba da znate ako izdajete stan putem sajta Airbnb?

U Beogradu trenutno ima preko 4.000 aktivnih izdavača na Airbnb-u uz godišnji rast oko 45%. Platforma ima ogroman broj mogućnosti, a ovo su neke od osnovnih koje biste trebali da zapamtite ukoliko izdajete stan putem ovog sajta.

Karijere

Poslovi.infostud.com lansirali Employer Branding Studio kako bi HR potrebe klijenta zadovoljili pod ‘jednim krovom’

Usluge Employer Branding Studija već koriste najveći srpski poslodavci - među njima nisu samo tehnološke kompanije.