Usklađeni sa GDPR-om u 9 Koraka

Približava nam se 25. maj i sa sobom donosi dugo očekivanu promenu koja će imati veliki uticaj na poslovanje mnogih kompanija. Radi se o opštoj regulativi o zaštiti podataka o ličnosti Evropske unije, odnosno o GDPR-u (General Data Protection Regulation). Ovoj regulativi podleže svaka organizacija koja na bilo koji način obrađuje podatke građana Evropske unije, bez obzira da li se ona nalazi u ili van EU, ali i kompanije koje imaju sediste u EU.

 

Potencijalni zahtevi variraju od samog usklađivanja i dokumentovanja procesa, pa do prekida pojedinih aktivnosti jer ih nije moguće uskladiti sa GDPR-om. Organizacije ozbiljno shvataju važnost ove legislative, naročito imajući u vidu visoke potencijalne kazne do iznosa od 20 miliona evra ili 4% globalnog godišnjeg prihoda organizacije, kao i očekivana promena domaće regulative koja će imati iste zahteve kao i GDPR.

Kako se pripremiti za GDPR? U nastavku sledi 9 koraka koje svaka organizacija koja želi da obezbedi usklađenost sa GDPR-om mora da prođe:

1.Podizanje svesti u organizaciji

Kako regulativa prožima celokupnu organizaciju, zaposleni moraju biti pripremljeni i obučeni koji su to novi zahtevi koje će morati da poštuju. Grupni treninzi i obuke tokom procesa obezbeđuju razumevanje regulative i podstiču prihvatanje novih organizacionih obrazaca.

2. Formiranje organizacionog okvira za usklađivanje sa GDPR-om

Kako bi se obezbedila održiva usaglašenost sa zahtevima o zaštiti podataka o ličnosti, organizacija mora da definiše strukturu interne odgovornosti. Celokupan proces mora da bude koordinisan i da bude precizirana osoba ili tim koji iza njega stoje. U zavisnosti od organizacije, može biti zahtevano i imenovanje data protection officer-a, internog ili eksternog karaktera.

3. Mapiranje podataka

Izlaz ove faze treba da bude grafički prikaz toka podataka, gde se skladište, kuda
prolaze tokom procesa prikupljanja, obrade i distribucije, kao i klasifikacija podataka
po njihovom tipu. Ovo je ključno za celokupan proces jer se na osnovu ove faze
procenjuju rizici i osigurava ispunjenje zahteva za adekvatnim upravljanjem
podacima.

4. Definisati opseg odgovornosti i organizacione aspekte koji su pod uticajem

Značajno je definisati da li je kompanija rukovalac (controller) ili obrađivač (processor) u odnosu na podatke sa kojima je u kontaktu. Kompleksnost regulative znači da može imati višestran uticaj na poslovanje. Potrebno je precizirati na koje aspekte organizacije će usklađivanje imati uticaj, uzimajući u obzir i sam poslovni model.

5. Proceniti rizike po privatnost i zaštitu podataka

Kada je stvorena jasna slika o podacima u organizaciji, procenjuju se rizici kojima ovi
podaci mogu biti izloženi. Utvrđuje se potencijalni uticaj tih rizika, na osnovu čega se

definišu prioriteti u sprovođenju zaštite podataka. U nekim slučajevima je obavezna i
procena uticaja na privatnost podataka. Potrebno je sprovesti i gap analizu kako bi
se identifikovale neusaglašenosti u postojećim sistemima u odnosu na zahteve
GDPR-a.

6. Definisati procedure u odnosu na svaku klasu podataka

Kako se zahtevi u odnosu na različite vrste podataka razlikuju, neophodno je formulisati kroz interna akta i procedure kako će se organizacija ophoditi sa tim podacima. Klase podataka se određuju u odnosu na nivo osetljivosti i skupove podataka koji se prikupljaju. Tako na primer kontakt podaci, podaci o platnim karticama i podaci o zdravstvenom stanju i istoriji bolesti mogu imati različite posledice u slučaju narušavanja privatnosti, što sa sobom povlači različite pristupe u obradi i zaštiti. Proces pribavljanja saglasnosti za korišćenje podataka o ličnosti zahteva posebnu pažnju.

7. Primeniti tehnološke i bezbednosne mere

GDPR zahteva da se preduzmu mere zaštite podataka. Dalje, u slučaju incidenta koji narušava integritet i privatnost podataka, kompanija mora u roku od 72h da obavesti nadležni organ, kao i sve aktere na koje se incident odnosi. Ove obaveze, kao i mispunjenje prava korisnika, implementacija privacy by design i privacy by default principa zahtevaju adekvatno projektovanje strukture sistema korišćenja i upravljanja podacima. U cilju postizanja zadovoljavajućeg nivoa zaštite, kompanija može razmotriti i odgovarajuće tehnološko rešenje kao jedan oslonaca usklađenosti sa GDPR-om.

8. Dokumentovanje preduzetih koraka

Organizacija mora da dokumentuje sve preduzete korake u procesu usaglašavanja sa regulativom, kao i svaku obradu podataka kojima je pristupila uz adekvatan opis svrhe, obima i trajanja. Sledljivost postupaka je neophodna kako bi se nadzornom organu i korisnicima dokazalo ispunjenje zahteva.

9. Periodična provera i unapređenje

Provera primene kroz periodično izveštavanje i korektivne akcije obezbeđuju održivu usklađenost sa GDPR-om. Po završetku inicijalnog usaglašavanja sa regulativom, očekuje se kontinuirana analiza rizika, praćenje razvoja i dešavanja na polju zaštite podataka, kao i dodatne mere i edukacija zaposlenih.

 

Kompleksnost regulative zahteva širok spektar znanja i fond vremena koje je potrebno posvetiti ovoj temi. U slučaju da organizacija ne poseduje sve neophodne resurse i znanje za realizaciju ovih koraka, može se obratiti za pomoć eksternim saradnicima koji imaju ekspertizu na ovu temu.

Čak i kompanije koje posluju u saglasnosti sa GDPR-om očekuju korekcije postojećih procedura kako bi se ispunili svi zahtevi regulative. Organizacije koje ne primenjuju načela o zaštiti podataka o ličnosti očekuje izazovniji put do usaglašenosti. Ono što je sigurno je da će zahtevi koje GDPR sa sobom donosi ostati deo kompanijske svakodnevice.

Čak i kompanije koje posluju u saglasnosti sa GDPR-om očekuju korekcije postojećih procedura kako bi se ispunili svi zahtevi regulative. Organizacije koje ne primenjuju načela o zaštiti podataka o ličnosti očekuje izazovniji put do usaglašenosti.

John Doe, CEO SpaceX

 


Autor
Tanja Tanackovic

Podelite

Povezani članci

Kontaktirajte nas

Pošaljite nam svoje mišljenje

Popunite formu