Procesi kao osnova za GDPR analizu
25.05.2018 • 4 minutes read


U svakom od desetak projekata unutar kojih smo analizirali usklađenost organizacija s GDPR-om, počeli smo s procesima. U početku smo od svakog korisnika tražili mapu procesa. Danas to više ne radimo, osim ako se radi o javnoj upravi, jer gotovo niti jedna organizacija nema takav dokument.

 

Mapa procesa

 

Mapa procesa trebala bi opisivati što organizacija radi i kako, na razini procesa. Ona bi trebala sadržavati sve procese koji se odvijaju u organizaciji – ili barem one ključne. Svaki proces trebao bi biti opisan uz navođenje osnovnih karakteristika, koraka, sudionika i ostalih parametara koji ga definiraju. Svaki proces ima svoje ulaze i izlaze te bi prema mapi bilo lako identificirati osobne podatke koji se obrađuju unutar procesa.

Međutim, niti jedno privatno društvo u kojem smo proveli analizu nije imalo mapu procesa. Javna uprava u Hrvatskoj u pravilu ima mape procesa jer su takav dokument morali izraditi prema napucima Vlade od prije nekoliko godina. Međutim, niti te mape procesa u pravilu nisu od koristi. U većini slučajeva napravljene su zato što su dobili takvu naredbu „odozgo“, umjesto zbog unapređenja procesa. Nadalje, upitan je način na koje su te mape izrađene. Kako se posao morao obaviti, a sredstva nisu bila osigurana, uglavnom se oslanjalo na resurse unutar organizacije. Rezultat je očekivan – djelatnici u javnoj upravi nisu stručnjaci za snimke procesa i procesi su uglavnom opisani iz perspektive radnog mjesta.

Stoga nema previše smisla raspravljati o zrelost poslovnih procesa u organizacijama. Jer, svi smo mi tek na početnoj razini, uz čast izuzecima koji potvrđuju pravilo. Niti jedna od mapa koje smo dobili nema definirana procesna područja i hijerarhijsku strukturu procesa. Samo su u rijetkim slučajevima definirani svi parametri koji opisuju procese, a dijagrami i nazivi procesa rijetko poštuju pravila struke.

Kad bi mapa procesa sadržavala sve što je potrebno, iz nje bi se mogli iščitati svi ključni parametri za analizu pripremljenosti za GDPR. Tu bismo našli sve osobne podatke koji kolaju unutar organizacije, osobe koje sudjeluju u procesu, IT sustave koji se koriste u procesima obrade, kao i primatelje podataka i izvršitelje obrade.

 

Prikupljanje informacija

 

Budući da to ne postoji, unutar naših projekata analize pripremljenosti najviše se vremena troši na razgovore s vlasnicima procesa, s onima koji mogu dati potrebne informacije. Sretni smo ako korisnik zna identificirati vlasnike procesa unutar kojih se obrađuju osobni podaci. Ako vlasnici procesa uz to znaju identificirati procese na istoj hijerarhijskoj razini, našoj sreći nema kraja.

U praksi, tijekom razgovora s vlasnicima procesa ponekad i pola vremena trošimo na samu identifikaciju procesa. Slušamo što se radi u njihovoj organizaciji, na koji način, gdje se sve osobni podaci nalaze, a tek nakon toga dajemo prijedlog procesa koje detaljno analiziramo. Izazov je, pri tom, što se razgovara s ljudima različitih profila i različitih pogleda na poslovanje.

Neki su skloni obradom podataka smatrati unos podataka u IT sustav, dok će drugi ipak vidjeti širu sliku i sagledati proces u cjelini. Niti jedan od tih pogleda nije neispravan, no nužno je naći onu razinu procesa koja će biti dovoljno detaljna da se iz nje mogu iščitati svi potrebni podaci za njihovo unapređenje, a opet je potrebno napraviti određenu sistematizaciju kako ne biste završili s nekoliko stotina obrada podataka koje je potrebno unijeti u evidenciju.

Kad napokon identificiramo procese, detaljno ih analiziramo – od općeg opisa procesa, osobnih podataka koji se obrađuju, svrhe obrade podataka, voditelje i izvršitelje obrade, primatelje podataka, sustave koji se koriste za obradu, uloge sudionika u obradi podataka i sve ostalo što je potrebno kako bi se evidentirao proces i omogućilo daljnje unapređenje upravljanja podacima, sigurnosti podataka i na kraju smanjenje količine podataka koji se obrađuju. Sve se to nalazi u završnom izvještaju u obliku preporuka što napraviti kako biste uskladili procese s GDPR-om.

 

Važnost dokumentiranja procesa

 

GDPR je samo još jedan akt koji ukazuje na važnost upravljanja procesima u organizacijama. Unaprijediti procese  bez njihove analize je moguće, ali ti napori imaju ograničen rezultat i uglavnom se svode na poboljšanja na razini radnog mjesta. Da bi se procesi doista unaprijedili, važno je shvatiti njihovu svrhu. Velik broj procesa koji se danas provode često su naslijeđe iz nekih prošlih vremena i nisu nužni za današnje poslovanje.

Tek iz dokumentiranih procesa moguće je vidjeti kako bismo ih mogli poboljšati i unaprijediti te koji su koraci suvišni jer proces može funkcionirati i bez njih. Kad su procesi dokumentirani, onda je i implementacija IT sustava koji podržavaju te procese lakša. Informatizacija procesa omogućava znatno detaljnije snimanje procesa pa je lako vidjeti koji koraci koliko traju, gdje se stvaraju redovi i koja su uska grla. Nakon toga možemo donijeti informirane odluke o tome kako ćemo eliminirati ta uska grla, a da se odluka ne temelji samo na osjećaju u želucu.

 

Važnost GDPR-a za procese

 

Neovisno o tome na kojoj je razini zrelost procesa onih organizacija u kojima smo analizirali usklađenosti s GDPR-om, niti u jednoj ispitanik nije u središtu pozornosti. Ispitanik je, podsjećamo, vlasnik osobnih podataka, onih koje obrađujemo u svojim sustavima. Nakon analize procesa u svakom smo projektu sistematizirali analizirane procese prema ispitanicima – u početku zbog potrebe za jasnim prikazom evidentiranih obrada, a s vremenom planski, od samog početka projekta.

Pokazalo se da se svi procesi mogu razvrstati u tri grupe ispitanika. Prvi su vezani uz ljudske potencijale, a uključuju sve – od selekcijskog postupka do kasnije evidencije svih zaposlenika, pa i vanjskih suradnika, u skladu sa zakonskim propisima. Vlasnici ovih procesa obično su odjeli za ljudske potencijale, financije i računovodstvo te pravni odjel.

Druga grupa ispitanika su korisnici usluga, a obrade njihovih podataka često su propisane zakonom, posebno kad se radi o javnoj upravi ili nekim posebnim djelatnostima. Često su tu i brojne druge evidencije vezane uz korisnike koje nisu propisane zakonom, ali mogu biti propisane ugovorom, biti od javnog interesa ili nečiji legitimni interes, sve dok ne krši prava ispitanika. Naravno, tu je i privola ispitanika koja je česta tema čak i onda kad to ne bi trebala biti.

Treću grupu čine sve ostale osobe koje mogu slučajno ili namjerno postati ispitanicima, primjerice, kad ih snime video kamere postavljene za nadzor prostora. U ovu se grupu mogu ubrojiti i dobavljači i potencijalni dobavljači, što je posebno važno za organizacije koje nabavu obavljaju putem natječaja.

Jedna od dobrih stvari GDPR-a je što će brojne organizacije natjerati na razmišljanje i to prvo o tome čije podatke obrađuju i zbog čega. Kad se to utvrdi, treba postupiti prema načelima i odredbama uredbe i ispitanicima osigurati sva prava koja im ona osigurava.

Uskladite poslovanje s GDPR-om uz cjelovitu GDPR uslugu!

Komentari

Vaša email adresa neće biti objavljena