Planiranje puta do GDPR usaglašenosti

Infobip ❤️ Netokracijašta akvizicija znači za vas i za nas?

Planiranje puta do GDPR usaglašenosti

Na osnovu prethodnih članaka koje su objavile moje kolege, već imate prilično dobru predstavu o bitnim delovima GDPR. U ovom članku ću pokušati da sumiram korake koje je potrebno pratiti kako biste svoje poslovanje uskladili sa GDPR-om

Analiziranje i dokumentovanje procesa upravljanja podacima i njihovom sigurnošću

Odgovornost je centralna tema koja se provlači praktično kroz ceo predlog GDPR. Analiziranje i dokumentovanje svih procesa koji uključuju rad sa podacima i njihovom sigurnošću je siguran prvi korak u procesu prilagođavanja GDPR.

Prvi korak ove analize bi morao da uključuje identifikovanje načina i razloga obrađivanja ličnih podataka. Najbitnija stvar koju morate da definišete je da li uopšte obrađujete lične podatke. Ukoliko je odgovor da, sledeći korak bi trebalo da bude identifikacija postojećih sigurnosnih sistema i procedura i procena da li se po njima podaci obrađuju u skladu sa novih zahtevima. Ovi koraci su praktično neophodni, ako imamo u vidu visinu kazne koja je predviđena za nepoštovanje GDPR (20 miliona evra ili 4% ukupnog godišnjeg prometa na svetskom nivou).

Jako je bitno naglasiti da proces harmonizacije nije zadatak samo pravne službe, lica za zaštitu podataka ili IT službe. U pitanju je proces koji obuhvata celokupnu organizaciju, pošto se podaci nalaze svuda, praktično u celokupnom poslovanju većine kompanija. Neophodno je napraviti sveobuhvatnu analizu procesa, pogotovo u slučaju većih kompanija, anketirati sve sektore koji imaju kontakt sa “spoljašnjim svetom”, kao i dobavljače i partnere, kako neka tačka ne bi ostala nepokrivena i kako bi stekli potpuno precizan uvid u sve procese prikupljanja i obrade podataka koji se dešavaju u jednom sistemu. Ovo će vam omogućiti da “snimite” sve procese u vezi sa podacima i time praktično postavite mapu po kojoj će vaša organizacija ići tokom procesa usaglašavanja sa GDPR-om.

Šta dokumentovati?

U toku analize i dokumentovanja aktivnosti u vezi sa prikupljanjem i obradom podataka, za svaku aktivnost bi trebalo dati odgovore na četiri osnovna pitanja sa aspekta podataka: šta, gde, kada i kako. Odgovori na ova pitanja će nam dati uvid u posledice svakog od procesa kao i rizik koji je prisutan u svakoj od tačaka. Ovo su neka od pitanja koja vam mogu pomoći u ovom procesu:

  • Koje informacije vaša organizacija daje pre i tokom procesa prikupljanja podataka?
  • Čije podatke prikupljate i obrađujete, koji su to podaci, gde ih obrađujete i iz kojih razloga?
  • Da li su podaci anonimizirani (“očišćeni” od ličnih identifikatora)?
  • Koliko dugo se takvi podaci čuvaju?
  • Sa kime delite ove podatke?
  • Da li obrađujete bilo kakve druge podatke (IP adrese, kukije…)?
  • Kakve su vaše sigurnosne procedure koje se tiču podataka?
  • Ko su kompanije sa kojima razmenjujete bilo koju vrstu podataka?
  • Kakve podatke razmenjujete sa njima?
  • Da li trenutno prosleđujete ili primate saglasnost bilo kome ili od bilo kog partnera sa kojim razmenjujete bilo kakvu vrstu podataka?

Kreiranje mape za GDPR usaglašenost

Kada završite prethodni korak, dobićete relativno dobru sliku o podacima koje prikupljate i tada je pravi trenutak da na osnovu toga shvatite koje aktivnosti u vašim postojećim procesima nisu u skladu sa GDPR. Evo nekoliko pitanja koja vam mogu pomoći u ovom trenutku:

  • Na koji način vaši postojeći procesi nisu u skladu sa GDPR?
  • Šta možete da učinite kako bi ih prilagodili?
  • Koliko vremena i resursa zahtevaju ove promene?
  • Da li imate saglasnost korisnika da obrađujete njihove podatke?
  • Da li prosleđujete ovu saglasnost partnerima i na koji način?
  • Na koji način planirate da omogućite korisnicima pravo na pristup podacima i ostala prava iz članova 12-22 iz Sekcije III GDPR?

Izrada studije o uticaju čuvanja podataka

Sledeći korak bi bio izrade studije o uticaju čuvanja podataka. GDPR propisuje da je neophodno izraditi ovakvu studiju pre procesuiranja podataka u sledećim slučajevima:

  • Kada se koristi neka nova tehnologija
  • Kada postoji visok nivo rizika za nosioce podataka. Možete primenjivati jednu studiju na više slučajeva, ukoliko su rizici isti
  • Kada postoji potreba za sistemskom i detaljnom automatizovanom evaluacijom ličnih podataka korisnika
  • Kada obrađujete veliku količinu ličnih podataka
  • Kada konstantno nadgledate javnu površinu kojoj pristup ima velika količina ljudi

Ono o čemu svakako morate voditi računa u aktivnosti zakonodavnih organa u Srbiji i EU, pošto oni imaju obavezu da objave listu aktivnosti za koje je neophodno izraditi ovakvu studiju. Postoji najava da će biti objavljena i lista aktivnosti koje ne zahtevaju studiju, ali još nemamo finalne informacije o tome.

Analiziranje i prilagođavanje postojećih ugovora i politika privatnosti

Analiza i prilagođavanje internih procesa je samo jedan deo posla koji je pred vama. Drugi važan aspekt je usaglašavanje sa partnerima. U pojedinim slučajevima, GDPR zahteva da kompanije koje obrađuju podatke imaju posebne ugovore sa partnerima, u slučajevima kada kompanija i partner sa kojim sarađuje mogu biti smatrani za “zajedničke rukovaoce”. Da napomenem još jednom, rukovaocem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti. Ovo u najmanju ruku znači da morate detaljno analizirati sve ugovore sa partnerima i svoje postojeće politike privatnosti. Ukoliko na svom sajtu, portalu ili web shop-u imate politiku privatnosti i uslove korišćenja, znači da prikupljate lične podatke i da bi te dokumente morali da usaglasite sa GDPR.

Preporuka je da obratite naročitu pažnju na sledeće stavke:

  • Svi ugovori sa dobavljačima sa kojima razmenjujete bilo kakve podatke
  • Svi uslovi korišćenja
  • Sve politike privatnosti

Postoje rešenja kojima možete automatizovati neke od ovih zadataka, ali je neophodno da stavite fokus na moguće “curenje” podataka kako bi izbegli potencijalne probleme.

Postavljanje Data Protection Officera (DPO)

Još jedna stvar o kojoj se mnogo priča je Data Protection Oficer – lice za zaštitu podataka, odnosno osoba koja će se brinuti da procesi u kojima prikupljate i obrađujete lične podatke budu u skladu sa GDPR. U kojim slučajevima je neophodno imenovati DPO:

  • Ukoliko je osnovno poslovanje kompanije podrazumeva stalno i sistematsko praćenje nosilaca podataka
  • Ukoliko je prikupljanje i obrada podataka osnovna delatnost i obuhvata veliku količinu ličnih podataka
  • Ukoliko podaci koji se prikupljaju i obrađuju obuhvataju rasne, etničke, političke, religijske ili filozofske podatke o nosiocu, članstvo u sindikatima, generičke i biometrijske podatke ili podatke o zdravstvenom stanju ili seksualnoj orijentaciji.

DPO formalno ima zaduženje da obezbedi da je kompanija upoznata sa svojim obavezama koje se tiču zaštite podataka i da te obaveze primenjuje u praksi. DPO mora detaljno da poznaje zakon i njegovu primenu u praksi. Detalji njegovih zaduženja će biti predstavljeni u posebnom tekstu u okviru ovog serijala.

Budite informisani i informišite

Nakon završenih prethodnih koraka, kada steknete jasnu sliku kakve promene treba da izvršite, bilo bi neophodno da informišete svoje zaposlene kakve promene su neophodne i da ih obučite, kako bi mogli da planirane promene sprovedu u praksi. Informišite svoje partnere, usaglasite promene sa njima, pobrinite se da i oni budu informisani o neophodnim promenama, kako bi ceo proces tekao brže i lakše.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Želiš da podeliš svoje mišljenje o ovoj temi? Komentari su otvoreni na našoj Facebook i LinkedIn stranici!

Popularno

Startapi i poslovanje

DocsCube iz Srbije efikasno automatizuje dokumentacije za mala i srednja preduzeća

O tome kako je njihov proizvod postao treći proizvod dana na ProductHunt-u i šta im je taj uspeh doneo, razgovarali smo sa suosnivačem DocsCube startapa.

Startapi i poslovanje

Šta posle godine u kojoj se mehur izduvao?

Tema za ovaj, poslednji članak u godini, došla je prirodno. Svakodnevno me prati u razgovorima s kolegama, startapima, investitorima, u sadržajima koje svakodnevno čitam ili slušam.

Novost

NBS: Dodeljene prve dozvole za kripto-menjačnice u Srbiji

Narodna banka Srbije (NBS) je 16. decembra izdala dozvole dvema domaćim kripto-menjačnicama. Šta to sve podrazumeva pitali smo Aleksandra Matanovića, osnivača kompanije (menjačnice) ECD, jedne od dobitnica dozvole.

Propustili ste

Office Talks Podcast

DevRel – Kako se grade dobri odnosi sa programerima?

Gosti 126. epizode Office Talks podkasta bili su Nenad Vitorović (Tenderly) i Lav Leon Hudak (MVP Workshop) koji su nam govorili o značaju dobrih odnosa sa programerima, ali i o kvalitetnoj zajednici i sadržaju usmerenim ka programerima, a koji sve više dolaze do izražaja.

Novost

Shift Miami: Infobipova konferencija posvećena developerima stiže u Ameriku

Ovo je prvi korak ka internacionalizaciji jedne od najvećih evropskih konferencija posvećenih developerima koja se već 10 godina održava u Hrvatskoj.

Startapi i poslovanje

Degordian akvizirao Shopycode – srpsku agenciju za e-commerce razvoj

Internacionalna digital-first agencija Degordian akvizirala je Shopycode, srpsku programersku kompaniju specijalizovanu za e-commerce.

Istraživanje

Predstavljamo rezultate ankete o platama dizajnera digitalnih proizvoda i usluga u Srbiji

Prva anketa ovog tipa sprovedena je na uzorku od oko 700 učesnika. Podaci pokazuju da je 71% dizajnera ušlo na tržište u poslednjih 8 godina, dok je 57% ušlo u poslednjih 6 godina.

Društvene mreže

OnlyFans: Kako su poznate ličnosti normalizovale ‘online’ prostituciju?

U ovoj kolumni, otkrivam vam zašto 'girl power' na internetu nije izraz feminističke borbe i zašto se 'online' prodaja vlastite intime ne razlikuje od prostitucije.

Kultura 2.0

Beckoning je animirani film Save Živkovića – Epic Games i 3Lateral bili deo projekta

Kreiranje dugometražnih animiranih filmova je oduvek bilo nedostižno malim timovima kreativaca pre svega zbog produkcijskih ograničenja, ali zahvaljujući novim tehnologijama situacija se znatno promenila.