Planiranje puta do GDPR usaglašenosti

Na osnovu prethodnih članaka koje su objavile moje kolege, već imate prilično dobru predstavu o bitnim delovima GDPR. U ovom članku ću pokušati da sumiram korake koje je potrebno pratiti kako biste svoje poslovanje uskladili sa GDPR-om

Analiziranje i dokumentovanje procesa upravljanja podacima i njihovom sigurnošću

Odgovornost je centralna tema koja se provlači praktično kroz ceo predlog GDPR. Analiziranje i dokumentovanje svih procesa koji uključuju rad sa podacima i njihovom sigurnošću je siguran prvi korak u procesu prilagođavanja GDPR.

Prvi korak ove analize bi morao da uključuje identifikovanje načina i razloga obrađivanja ličnih podataka. Najbitnija stvar koju morate da definišete je da li uopšte obrađujete lične podatke. Ukoliko je odgovor da, sledeći korak bi trebalo da bude identifikacija postojećih sigurnosnih sistema i procedura i procena da li se po njima podaci obrađuju u skladu sa novih zahtevima. Ovi koraci su praktično neophodni, ako imamo u vidu visinu kazne koja je predviđena za nepoštovanje GDPR (20 miliona evra ili 4% ukupnog godišnjeg prometa na svetskom nivou).

Jako je bitno naglasiti da proces harmonizacije nije zadatak samo pravne službe, lica za zaštitu podataka ili IT službe. U pitanju je proces koji obuhvata celokupnu organizaciju, pošto se podaci nalaze svuda, praktično u celokupnom poslovanju većine kompanija. Neophodno je napraviti sveobuhvatnu analizu procesa, pogotovo u slučaju većih kompanija, anketirati sve sektore koji imaju kontakt sa „spoljašnjim svetom“, kao i dobavljače i partnere, kako neka tačka ne bi ostala nepokrivena i kako bi stekli potpuno precizan uvid u sve procese prikupljanja i obrade podataka koji se dešavaju u jednom sistemu. Ovo će vam omogućiti da „snimite“ sve procese u vezi sa podacima i time praktično postavite mapu po kojoj će vaša organizacija ići tokom procesa usaglašavanja sa GDPR-om.

Šta dokumentovati?

U toku analize i dokumentovanja aktivnosti u vezi sa prikupljanjem i obradom podataka, za svaku aktivnost bi trebalo dati odgovore na četiri osnovna pitanja sa aspekta podataka: šta, gde, kada i kako. Odgovori na ova pitanja će nam dati uvid u posledice svakog od procesa kao i rizik koji je prisutan u svakoj od tačaka. Ovo su neka od pitanja koja vam mogu pomoći u ovom procesu:

  • Koje informacije vaša organizacija daje pre i tokom procesa prikupljanja podataka?
  • Čije podatke prikupljate i obrađujete, koji su to podaci, gde ih obrađujete i iz kojih razloga?
  • Da li su podaci anonimizirani („očišćeni“ od ličnih identifikatora)?
  • Koliko dugo se takvi podaci čuvaju?
  • Sa kime delite ove podatke?
  • Da li obrađujete bilo kakve druge podatke (IP adrese, kukije…)?
  • Kakve su vaše sigurnosne procedure koje se tiču podataka?
  • Ko su kompanije sa kojima razmenjujete bilo koju vrstu podataka?
  • Kakve podatke razmenjujete sa njima?
  • Da li trenutno prosleđujete ili primate saglasnost bilo kome ili od bilo kog partnera sa kojim razmenjujete bilo kakvu vrstu podataka?

Kreiranje mape za GDPR usaglašenost

Kada završite prethodni korak, dobićete relativno dobru sliku o podacima koje prikupljate i tada je pravi trenutak da na osnovu toga shvatite koje aktivnosti u vašim postojećim procesima nisu u skladu sa GDPR. Evo nekoliko pitanja koja vam mogu pomoći u ovom trenutku:

  • Na koji način vaši postojeći procesi nisu u skladu sa GDPR?
  • Šta možete da učinite kako bi ih prilagodili?
  • Koliko vremena i resursa zahtevaju ove promene?
  • Da li imate saglasnost korisnika da obrađujete njihove podatke?
  • Da li prosleđujete ovu saglasnost partnerima i na koji način?
  • Na koji način planirate da omogućite korisnicima pravo na pristup podacima i ostala prava iz članova 12-22 iz Sekcije III GDPR?

Izrada studije o uticaju čuvanja podataka

Sledeći korak bi bio izrade studije o uticaju čuvanja podataka. GDPR propisuje da je neophodno izraditi ovakvu studiju pre procesuiranja podataka u sledećim slučajevima:

  • Kada se koristi neka nova tehnologija
  • Kada postoji visok nivo rizika za nosioce podataka. Možete primenjivati jednu studiju na više slučajeva, ukoliko su rizici isti
  • Kada postoji potreba za sistemskom i detaljnom automatizovanom evaluacijom ličnih podataka korisnika
  • Kada obrađujete veliku količinu ličnih podataka
  • Kada konstantno nadgledate javnu površinu kojoj pristup ima velika količina ljudi

Ono o čemu svakako morate voditi računa u aktivnosti zakonodavnih organa u Srbiji i EU, pošto oni imaju obavezu da objave listu aktivnosti za koje je neophodno izraditi ovakvu studiju. Postoji najava da će biti objavljena i lista aktivnosti koje ne zahtevaju studiju, ali još nemamo finalne informacije o tome.

Analiziranje i prilagođavanje postojećih ugovora i politika privatnosti

Analiza i prilagođavanje internih procesa je samo jedan deo posla koji je pred vama. Drugi važan aspekt je usaglašavanje sa partnerima. U pojedinim slučajevima, GDPR zahteva da kompanije koje obrađuju podatke imaju posebne ugovore sa partnerima, u slučajevima kada kompanija i partner sa kojim sarađuje mogu biti smatrani za „zajedničke rukovaoce“. Da napomenem još jednom, rukovaocem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti. Ovo u najmanju ruku znači da morate detaljno analizirati sve ugovore sa partnerima i svoje postojeće politike privatnosti. Ukoliko na svom sajtu, portalu ili web shop-u imate politiku privatnosti i uslove korišćenja, znači da prikupljate lične podatke i da bi te dokumente morali da usaglasite sa GDPR.

Preporuka je da obratite naročitu pažnju na sledeće stavke:

  • Svi ugovori sa dobavljačima sa kojima razmenjujete bilo kakve podatke
  • Svi uslovi korišćenja
  • Sve politike privatnosti

Postoje rešenja kojima možete automatizovati neke od ovih zadataka, ali je neophodno da stavite fokus na moguće „curenje“ podataka kako bi izbegli potencijalne probleme.

Postavljanje Data Protection Officera (DPO)

Još jedna stvar o kojoj se mnogo priča je Data Protection Oficer – lice za zaštitu podataka, odnosno osoba koja će se brinuti da procesi u kojima prikupljate i obrađujete lične podatke budu u skladu sa GDPR. U kojim slučajevima je neophodno imenovati DPO:

  • Ukoliko je osnovno poslovanje kompanije podrazumeva stalno i sistematsko praćenje nosilaca podataka
  • Ukoliko je prikupljanje i obrada podataka osnovna delatnost i obuhvata veliku količinu ličnih podataka
  • Ukoliko podaci koji se prikupljaju i obrađuju obuhvataju rasne, etničke, političke, religijske ili filozofske podatke o nosiocu, članstvo u sindikatima, generičke i biometrijske podatke ili podatke o zdravstvenom stanju ili seksualnoj orijentaciji.

DPO formalno ima zaduženje da obezbedi da je kompanija upoznata sa svojim obavezama koje se tiču zaštite podataka i da te obaveze primenjuje u praksi. DPO mora detaljno da poznaje zakon i njegovu primenu u praksi. Detalji njegovih zaduženja će biti predstavljeni u posebnom tekstu u okviru ovog serijala.

Budite informisani i informišite

Nakon završenih prethodnih koraka, kada steknete jasnu sliku kakve promene treba da izvršite, bilo bi neophodno da informišete svoje zaposlene kakve promene su neophodne i da ih obučite, kako bi mogli da planirane promene sprovedu u praksi. Informišite svoje partnere, usaglasite promene sa njima, pobrinite se da i oni budu informisani o neophodnim promenama, kako bi ceo proces tekao brže i lakše.

Autor teksta:
Igor Černiševski
Član Legal & Policy Komiteta IAB Serbia
Direct Media, Digital Group Account Manager

Ostavi komentar

  1. Radoje

    Radoje

    13. 12. 2017. u 22:53 Odgovori

    Poštovani kolega, napravili ste nenamernu, ali ne malu grešku, navodeći „Da napomenem još jednom obrađivačem podataka se smatra ona kompanija koja određuje i svrhu i način obrade podataka o ličnosti“. Onaj koji određuje svrhu obrade jeste rukovalac, a ne obrađivač podataka, kako po domaćem ZZPOL, tako i po GDPR. „‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law“. Srdačan pozdrav.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

5 automobila renomiranih auto kuća koji su gorivo zamenili strujom

Najpoznatiji i najveći auto brendovi sve više se okreću elektro pogonu. Mercedes i Audi predstavili su na salonu u Parizu svoje prve potpuno električne automobile, dok svoj odgovor tržištu i spremaju i BMW, Jaguar i Porsche.

E-commerce

Dijaspora.shop startovao sa 40.000 artikala – cilja na vašu rodbinu u inostranstvu da kupuje za vas u Srbiji

Ostavivši sigurne poslove iza sebe, Marko, Srđan i Emil pokrenuli su dijaspora.shop - prvu Internet prodavnicu za naše ljude u inostranstvu koji kupuju robu za porodicu i prijatelje u Srbiji.

Startapi i poslovanje

Izmene Zakona o prevozu putnika ušle u Skupštinu – ako se usvoje CAR:GO bi mogao postati taxi

Predlog zakona o izmenama i dopunama Zakona o prevozu putnika u drumskom saobraćaju ušao je u Narodnu skupštinu. Šta to znači za CAR:GO i slične servise koji bi potencijalno došli na srpsko tržište?

Propustili ste

Tehnologija

SBB predstavio EON Smart Box – pametne funkcije i 4K rezolucija sastavni deo ponude

SBB i United Grupa predstavili su danas u hotelu Metropol u Beogradu prvi 'smart box' u regionu koji spaja televizijske sadržaje sa Android TV digitalnim servisima. Novi uređaj nosi naziv EON i biće dostupan već od sutra.

Novost

Google uvodi naplatu za YouTube, Google Play i druge servise – cenu snose proizvođači u EU?

Pvi put u svojoj istoriji Gugl će naplaćivati licence proizvođačima telefona u Evropi za instalaciju njegovih servisa kao što su Google Play, YouTube ili Gmail.

Analiza

Opel uhvaćen u softverskoj prevari prilikom testiranja štetnih gasova – novi dizelgejt na pomolu?

Očigledno da pojedini proizvođači automobila teškom mukom razvijaju sisteme koji će umanjiti emitovanje štetnih gasova. Nakon ogromnog skandala koji i dalje potresa VW grupaciju, varanju se priključio još jedan veliki igrač - Opel.

Kultura 2.0

Uključite se u raspravu o Centralnom registru stanovništva – bazi podataka građana Srbije

Okrugli sto o Nacrtu zakona o Centralnom registru građana održava se danas, a predstavnici Ministarstva državne uprave i lokalne samouprave i druge zainteresovane strane raspravljaće o tome da li je sveobuhvatna evidencija o građanima na jednom mestu dobro rešenje.

Nesortirano

5 lekcija koje svaki softverski tim lider mora da savlada

Sama uloga tim lidera u različitim kompanijama ima različito značenje. Neke kompanije posmatraju ovu poziciju kao unapređenje u vidu titule, dok druge vide ovu poziciju kao novu, neizostavnu ulogu u timu. U mnogim kompanijama se ovo razlikuje čak i od projekta do projekta.

Tehnologija

Planirate da posetite Dubai? Tamo vas može voziti novi taksi bez vozača

Pitanje je vremena kada bismo samovozeće automobile mogli da vidimo na ulicama širom sveta. Prvi veliki korak ka tome, pored kompanija iz SAD-a, napravila je uprava za saobraćaj i transport u Dubaiju.