7 izazova koje GDPR stavlja pred organizacije
01.10.2018 • 3 minutes read

Opća uredba o zaštiti podataka (General Data Protection Regulation – GDPR) usvojena je u svibnju 2016. godine. Iako se tada činilo kako su dvije godine do njenog stupanja na snagu dovoljne za prilagodbu i usklađivanju poslovanja s GDPR-om, organizacije se još uvijek se susreću s brojnim izazovima.
 

1. Identificirati poslovne procese koji koriste osobne podatke

 
Poslovanje tvrtki, osobito onih većih, danas je vrlo razgranato i šaroliko. Do sada niti jedna organizacija u kojoj su stručnjaci Span grupe provodili analizu stanja nije imala dokumentirane poslovne procese. To znatno otežava i sam pronalazak procesa u kojima se koriste osobni podaci.

Osim što procesi nisu dokumentirani, često se ne znaju niti vlasnici procesa, odnosno oni koji su odgovorni za prikupljanje i obradu pa se često podrazumijeva da je za sve to zadužen i odgovoran IT odjel što uglavnom nije točno.

Kada razgovaraju sa stručnjakom koji radi analizu stanja, zaposlenici mogu namjerno nešto prešutjeti ili slučajno zaboraviti spomenuti. Budući da su intervjui osnovna metoda prikupljanja podataka za GDPR analizu, na ovaj je način moguće previdjeti neki važan proces.

2. Izraditi evidenciju aktivnosti obrada osobnih podataka

 
Popis poslovnih procesa služi kao osnova za izradu evidencije aktivnosti obrade osobnih podataka.

Evidentiranje obrada osobnih podataka vrlo je specifična aktivnost koja zahtijeva dosta iskustva i ponešto zdravog razuma. Potrebno je pokriti sve obrade osobnih podataka, a pritom njihovo izbjeći nepotrebno množenje.

3. Odrediti pravnu osnovu za obradu

 
Određivanje pravne osnove za obradu nekog skupa osobnih podataka ponekad je prava glavobolja i čest uzrok neslaganja u organizaciji. Trebamo li privolu za slanje newslettera korisnicima naših usluga ili je to naš legitiman interes? Različita su tumačenja i različiti pristupi.

Također, organizacije po zakonskoj osnovi prikupljaju i dijele s raznim državnim tijelima podatke o zaposlenicima. Međutim, za obradu biometrijskih podataka, npr. otiska prsta, trebaju tražiti privolu zaposlenika.

Najvažnija je u svemu transparentna komunikacija prema ispitanicima.

4. Usklađivanje dokumentacije i komunikacija s ispitanicima

 
Brojna dokumentacija, raznovrsni sadržaj na web stranicama, veliki broj zaposlenika, partnera i klijenata realnost je u kojoj veće tvrtke posluju. Potrebno je pažljivo revidirati osnovnu dokumentaciju, u nju uvrstiti odredbe o zaštiti osobnih podataka te istaknuti politiku privatnosti. Treba regulirati i odnose s organizacijama s kojima dijelite osobne podatke.

Ispitanike treba upoznati s njihovim GDPR pravima te pravovremeno odgovarati na njihove zahtjeve.

5. Znati gdje se sve nalaze osobni podaci pojedine osobe u različitim sustavima pohrane unutar organizacije

 

Ponekad se osobni podaci istog ispitanika nalaze na različitim sustavima pohrane u organizaciji. Primjerice, odjel marketinga podatke prikupljene preko kontakt forme na web stranici sprema u svoju Excel bazu, prodaja svoje kontakte sprema u CRM, dok osobe zaposlene u call-centru imaju svoj software koji koriste za pohranu podataka.

Kako to sve uskladiti i kako pronaći osobne podatke istih ispitanika na različitim sustavima?

Organizacije trebaju imati središnje mjesto u kojem će biti zapisano gdje se sve nalaze osobni podaci pojedine osobe i za što se koriste.

6. Znati za što je sve osoba dala privolu

 

Ista osoba može ostaviti svoje privatne podatke djelatnici u trgovini prilikom prijave u loyalty program ili na web stranici iste tvrtke kod prijave za newsletter.

Djelatnica iz trgovine, ali i ostali zaposlenici te tvrtke smiju koristiti podatke samo za loyalty program, dok osobe iz digitalnog marketinga smiju koristiti podatke samo za slanje newslettera.

Svu evidenciju treba voditi na jednom mjestu. Koji osobni podaci određenog pojedinca su prikupljeni, za koju svrhu te za što je sve osoba dala privolu, odnosno za što postoji zakonska osnova ili legitimni interes za obradu.

7. Evidencija GDPR podataka u Excelu

 
I za kraj jedan vrlo čest problem – vođenje evidencija obrada osobnih podataka u Excelu. Da, svi podaci se zaista mogu bilježiti u Excelu što manjim organizacijama ovo može biti zadovoljavajuće rješenje.

Međutim, već kod organizacija koje imaju nekoliko desetaka djelatnika, a osobito organizacije koje imaju puno ispitanika, vođenje evidencije u Excelu može postati problem: gdje je ta datoteka pohranjena, koja joj je zadnja verzija, tko je zadužen za izmjene i tko joj može pristupiti? Vodi li se evidencija privola u istoj ili u drugoj tablici? Jesu li te dvije tablice povezane? Tko je zadužen da svi ti podaci međusobno budu povezani, točni i koherentni?

Za srednje i veće organizacije ručna evidencija je možda povoljniji, ali ne i lakši put.

Specijalizirani softver pomoći će vam da identificirate sve obrade osobnih podataka te ih pravilno evidentirate i upravljate njima s jednog mjesta.
 

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Komentari

Vaša email adresa neće biti objavljena