Planiranje puta do GDPR usaglašenosti

Planiranje puta do GDPR usaglašenosti

Na osnovu prethodnih članaka koje su objavile moje kolege, već imate prilično dobru predstavu o bitnim delovima GDPR. U ovom članku ću pokušati da sumiram korake koje je potrebno pratiti kako biste svoje poslovanje uskladili sa GDPR-om

Analiziranje i dokumentovanje procesa upravljanja podacima i njihovom sigurnošću

Odgovornost je centralna tema koja se provlači praktično kroz ceo predlog GDPR. Analiziranje i dokumentovanje svih procesa koji uključuju rad sa podacima i njihovom sigurnošću je siguran prvi korak u procesu prilagođavanja GDPR.

Prvi korak ove analize bi morao da uključuje identifikovanje načina i razloga obrađivanja ličnih podataka. Najbitnija stvar koju morate da definišete je da li uopšte obrađujete lične podatke. Ukoliko je odgovor da, sledeći korak bi trebalo da bude identifikacija postojećih sigurnosnih sistema i procedura i procena da li se po njima podaci obrađuju u skladu sa novih zahtevima. Ovi koraci su praktično neophodni, ako imamo u vidu visinu kazne koja je predviđena za nepoštovanje GDPR (20 miliona evra ili 4% ukupnog godišnjeg prometa na svetskom nivou).

Jako je bitno naglasiti da proces harmonizacije nije zadatak samo pravne službe, lica za zaštitu podataka ili IT službe. U pitanju je proces koji obuhvata celokupnu organizaciju, pošto se podaci nalaze svuda, praktično u celokupnom poslovanju većine kompanija. Neophodno je napraviti sveobuhvatnu analizu procesa, pogotovo u slučaju većih kompanija, anketirati sve sektore koji imaju kontakt sa „spoljašnjim svetom“, kao i dobavljače i partnere, kako neka tačka ne bi ostala nepokrivena i kako bi stekli potpuno precizan uvid u sve procese prikupljanja i obrade podataka koji se dešavaju u jednom sistemu. Ovo će vam omogućiti da „snimite“ sve procese u vezi sa podacima i time praktično postavite mapu po kojoj će vaša organizacija ići tokom procesa usaglašavanja sa GDPR-om.

Šta dokumentovati?

U toku analize i dokumentovanja aktivnosti u vezi sa prikupljanjem i obradom podataka, za svaku aktivnost bi trebalo dati odgovore na četiri osnovna pitanja sa aspekta podataka: šta, gde, kada i kako. Odgovori na ova pitanja će nam dati uvid u posledice svakog od procesa kao i rizik koji je prisutan u svakoj od tačaka. Ovo su neka od pitanja koja vam mogu pomoći u ovom procesu:

  • Koje informacije vaša organizacija daje pre i tokom procesa prikupljanja podataka?
  • Čije podatke prikupljate i obrađujete, koji su to podaci, gde ih obrađujete i iz kojih razloga?
  • Da li su podaci anonimizirani („očišćeni“ od ličnih identifikatora)?
  • Koliko dugo se takvi podaci čuvaju?
  • Sa kime delite ove podatke?
  • Da li obrađujete bilo kakve druge podatke (IP adrese, kukije…)?
  • Kakve su vaše sigurnosne procedure koje se tiču podataka?
  • Ko su kompanije sa kojima razmenjujete bilo koju vrstu podataka?
  • Kakve podatke razmenjujete sa njima?
  • Da li trenutno prosleđujete ili primate saglasnost bilo kome ili od bilo kog partnera sa kojim razmenjujete bilo kakvu vrstu podataka?

Kreiranje mape za GDPR usaglašenost

Kada završite prethodni korak, dobićete relativno dobru sliku o podacima koje prikupljate i tada je pravi trenutak da na osnovu toga shvatite koje aktivnosti u vašim postojećim procesima nisu u skladu sa GDPR. Evo nekoliko pitanja koja vam mogu pomoći u ovom trenutku:

  • Na koji način vaši postojeći procesi nisu u skladu sa GDPR?
  • Šta možete da učinite kako bi ih prilagodili?
  • Koliko vremena i resursa zahtevaju ove promene?
  • Da li imate saglasnost korisnika da obrađujete njihove podatke?
  • Da li prosleđujete ovu saglasnost partnerima i na koji način?
  • Na koji način planirate da omogućite korisnicima pravo na pristup podacima i ostala prava iz članova 12-22 iz Sekcije III GDPR?

Izrada studije o uticaju čuvanja podataka

Sledeći korak bi bio izrade studije o uticaju čuvanja podataka. GDPR propisuje da je neophodno izraditi ovakvu studiju pre procesuiranja podataka u sledećim slučajevima:

  • Kada se koristi neka nova tehnologija
  • Kada postoji visok nivo rizika za nosioce podataka. Možete primenjivati jednu studiju na više slučajeva, ukoliko su rizici isti
  • Kada postoji potreba za sistemskom i detaljnom automatizovanom evaluacijom ličnih podataka korisnika
  • Kada obrađujete veliku količinu ličnih podataka
  • Kada konstantno nadgledate javnu površinu kojoj pristup ima velika količina ljudi

Ono o čemu svakako morate voditi računa u aktivnosti zakonodavnih organa u Srbiji i EU, pošto oni imaju obavezu da objave listu aktivnosti za koje je neophodno izraditi ovakvu studiju. Postoji najava da će biti objavljena i lista aktivnosti koje ne zahtevaju studiju, ali još nemamo finalne informacije o tome.

Analiziranje i prilagođavanje postojećih ugovora i politika privatnosti

Analiza i prilagođavanje internih procesa je samo jedan deo posla koji je pred vama. Drugi važan aspekt je usaglašavanje sa partnerima. U pojedinim slučajevima, GDPR zahteva da kompanije koje obrađuju podatke imaju posebne ugovore sa partnerima, u slučajevima kada kompanija i partner sa kojim sarađuje mogu biti smatrani za „zajedničke rukovaoce“. Da napomenem još jednom, rukovaocem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti. Ovo u najmanju ruku znači da morate detaljno analizirati sve ugovore sa partnerima i svoje postojeće politike privatnosti. Ukoliko na svom sajtu, portalu ili web shop-u imate politiku privatnosti i uslove korišćenja, znači da prikupljate lične podatke i da bi te dokumente morali da usaglasite sa GDPR.

Preporuka je da obratite naročitu pažnju na sledeće stavke:

  • Svi ugovori sa dobavljačima sa kojima razmenjujete bilo kakve podatke
  • Svi uslovi korišćenja
  • Sve politike privatnosti

Postoje rešenja kojima možete automatizovati neke od ovih zadataka, ali je neophodno da stavite fokus na moguće „curenje“ podataka kako bi izbegli potencijalne probleme.

Postavljanje Data Protection Officera (DPO)

Još jedna stvar o kojoj se mnogo priča je Data Protection Oficer – lice za zaštitu podataka, odnosno osoba koja će se brinuti da procesi u kojima prikupljate i obrađujete lične podatke budu u skladu sa GDPR. U kojim slučajevima je neophodno imenovati DPO:

  • Ukoliko je osnovno poslovanje kompanije podrazumeva stalno i sistematsko praćenje nosilaca podataka
  • Ukoliko je prikupljanje i obrada podataka osnovna delatnost i obuhvata veliku količinu ličnih podataka
  • Ukoliko podaci koji se prikupljaju i obrađuju obuhvataju rasne, etničke, političke, religijske ili filozofske podatke o nosiocu, članstvo u sindikatima, generičke i biometrijske podatke ili podatke o zdravstvenom stanju ili seksualnoj orijentaciji.

DPO formalno ima zaduženje da obezbedi da je kompanija upoznata sa svojim obavezama koje se tiču zaštite podataka i da te obaveze primenjuje u praksi. DPO mora detaljno da poznaje zakon i njegovu primenu u praksi. Detalji njegovih zaduženja će biti predstavljeni u posebnom tekstu u okviru ovog serijala.

Budite informisani i informišite

Nakon završenih prethodnih koraka, kada steknete jasnu sliku kakve promene treba da izvršite, bilo bi neophodno da informišete svoje zaposlene kakve promene su neophodne i da ih obučite, kako bi mogli da planirane promene sprovedu u praksi. Informišite svoje partnere, usaglasite promene sa njima, pobrinite se da i oni budu informisani o neophodnim promenama, kako bi ceo proces tekao brže i lakše.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Ostavi komentar

  1. Radoje

    Radoje

    13. 12. 2017. u 22:53 Odgovori

    Poštovani kolega, napravili ste nenamernu, ali ne malu grešku, navodeći „Da napomenem još jednom obrađivačem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti“. Onaj koji određuje svrhu obrade jeste rukovalac, a ne obrađivač podataka, kako po domaćem ZZPOL, tako i po GDPR. „‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law“. Srdačan pozdrav.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Internet marketing

Zašto je Jala Brat bolji u marketingu od 97% balkanskih kompanija?

Šta znači kad neko na Balkanu u samo 24 sata nakon objavljivanja albuma uspije skupiti preko 1.000.000 pregleda na svih 6 pjesama? Znači da je razvalio - ili da se Justin Bieber preselio nama?

Karijere

Pripadnici Generacije Z u Srbiji otkrivaju šta je za njih posao iz snova i koliko rizikuju da dođu do njega

Šta je za mlade karijera? Da li maštaju o poslu u korporaciji i velikoj plati ili pre biraju projekte na kojima mogu da uče i da budu nezavisni? Koliko su zaista spremni da izađu iz zone komfora kada je posao u pitanju i šta je to što poslodavci moraju da znaju o Generaciji Z?

SEO i pretraga

Stiže Netokracijina edukacija o SEO trikovima – promo cene karata do 22. septembra!

Netokracija Srbija nastavlja sa organizacijom edukacija, a na red je došla ona o SEO trikovima. Želite da naučite tehnike koje garantuju uspeh na rezultatima pretraga? Čekamo vas 30. septembra u Beogradu!

Propustili ste

Kultura 2.0

Kuda ide muzički biznis u regionu i Srbiji – otkrivaju nam Rasta, Severina i Relja (Bassivity)

Muzika je odavno postala unosan biznis, a rastu ove industrije doprinose novi trendovi poput tehnologije produkcije pesama i spotova, streaming servisi ali i YouTube. Da li i naš region polako ulazi u moderni svet muzičkog biznisa?

Internet marketing

Zašto Dejv Birs kaže da kreativnost nije bogom dan talenat već stvar koju svako može da nauči?

Ovogodišnji Webiz Networking Night ugostiće nagrađivanog britanskog autora i govornika Dejva Birsa. Sa Dejvom razgovaram o tome kako nekonvencionalne stvari prodati šefu.

Netokracija

Kako do uspešnog Employer Branding ekosistema?

Marketari i HR menadžeri, spremite se – početkom oktobra vraća se Netokracijina Employer Branding konferencija! Kada 3. oktobra završite sa poslom pridružite nam se u ICT Hub-u gde ćemo govoriti o razvoju Employer Branding ekosistema u kompanijama. Čekamo vas!

Internet marketing

Kako su brendovi odigrali marketinšku utakmicu tokom Svetskog prvenstva u Kini?

Sa sportske strane svetsko prvenstvo u košarci želimo da zaboravimo što pre, ali sa marketinške strane priča je drugačija jer su brendovi ovaj put bili veoma aktivni. Ipak, da li su u potpunosti iskoristili 'hype' takmičenja u Kini?

Karijere

Pripadnici Generacije Z u Srbiji otkrivaju šta je za njih posao iz snova i koliko rizikuju da dođu do njega

Šta je za mlade karijera? Da li maštaju o poslu u korporaciji i velikoj plati ili pre biraju projekte na kojima mogu da uče i da budu nezavisni? Koliko su zaista spremni da izađu iz zone komfora kada je posao u pitanju i šta je to što poslodavci moraju da znaju o Generaciji Z?

Karijere

Kako se zaposliti u kompaniji Facebook? Nenad Božidarević deli svoja iskustva

Nakon četiri godine na poziciji front-end inženjera, najpre sa Facebook, a potom i sa Instagram strane, Nenad Božidarević prelazi u Oculus, gde nakon godinu dana postaje menadžer, a za Netokraciju otkriva da li je Menlo Park zaista raj za domaće programere.