Europska komisija i Europski parlament donijeli su Uredbu o zaštiti osobnih podataka kako bi sustavno i temeljito riješili problem neujednačene prakse zaštite osobnih podataka na području Europske Unije. GDPR izazovi tako su postali stvarnost za brojne tvrtke, organizacije i druge poslovne subjekte koji se bave obradom podataka EU građana.
GDPR je donio velike izazove za menadžemnt brojnih tvrtki, a evo i zašto. Prije svega, GDPR izazovi obuhvaćaju vrlo zahtjevne te opsežne radnje u smislu usklađivanja sa odredbama Uredbe. Usklađivanje sa GDPR-om često zahtjeva i organizacijske promjene unutar tvrtki, jednako kao i promjene u tehničkom segmentu njihova poslovanja.
Uz to, za nepridržavanje odredbi GDPR-a predviđene su i iznimno visoke kazne. One iznose do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće.
Da, GDPR je donio značajne izmjene za njegove obveznike, a nove odredbe čine sedam osnovnih načela zaštite osobnih podataka;
- Zakonitost i transparentnost prikupljanja osobnih podataka
- Ograničavanje svrhe obrade osobnih podataka
- Točnost podataka koji se obrađuju
- Smanjenje količine podataka
- Cjelovitost i povjerljivost podatka
- Ograničavanje trajanja pohrane osobnih podataka
- Pouzdanost, odnosno, dokazivost ispunjenja prethodnih načela
Stupanjem na snagu GDPR-a, tvrtke su dobile nove, velike odgovornosti u smislu zaštite osobnih podataka. Upravo zato, kako bi ispoštovale njegove odredbe te izbjegle predviđene kazne, mnoge od njih zatražile su GDPR konzultantske usluge.
GDPR izazovi u praksi – ustrojavanje novih sustava kontrole
GDPR se u mnogočemu razlikuje od Zakona o zaštiti osobnih podataka. Osim ranije spomenutih kaznenih odredbi, Uredba je donijela i čitav niz novosti vezanih uz samu definiciju osobnog podatka ali i zahtjeve vezane uz njihovu obradu. Uvedeni su i novi pojmovi poput pseudonimizacije.
Također, poseban naglasak stavljen je na prava ispitanika. Ovdje se ističu obrada podataka na temelju privole, pravo ispitanika da bude informiran te pravo na zaborav. Glavni zadatak GDPR-a je onemogućiti i spriječiti narušavanje integriteta i povjerljivosti osobnih podataka te spriječiti njihovu neovlaštenu upotrebu i obradu.
U tom smislu, GDPR se ne razlikuje puno od općih zahtjeva vezanih uz pojam sigurnosti informacijskih sustava. Ipak, za usklađivanje sa GDPR odredbama, tvrtke jednostavno moraju uskladiti postojeće ili ustrojiti nove upravljačke, fizičke i logičke kontrole.
Takvi novi sustavi kontrole zahtijevaju se i od izvršitelja obrade osobnih podataka. Naime, preuzimanjem poslova od voditelja obrade preuzimaju i sve obveze koje je definirao GDPR. Isto tako, važno je naglasiti da odgovornost za zaštitu osobnih podataka obuhvaća sve segmente poslovanja neke organizacije ili tvrtke – od uprave do korisničke podrške.
GDPR izazovi u praksi- što je osobni podatak i kako se obrađuje?
GDPR uzima u obzir daleko veći broj identifikatora koji u međusobnoj kombinaciji čine osobni podatak pojedinca. Identifikatori su ime pojedinca, čimbenici svojstveni za njegov fizički, genetski, fiziološki, kulturni, ekonomski ili socijalni identitet. Zatim to su podatci o lokaciji, identifikacijski broj te mrežni identifikatori ( identifikator mobitela, IP adresa).
Zasebno gledano, neki od ovih identifikatora nisu osobni podatci. Ipak, često je kombiniranjem dva ili više identifikatora moguće neizravno ili izravno utvrditi identitet određenog pojednica. Upravo na taj način identifikatori mogu postati osobnim podatkom.
GDPR izazovi u praksi velikim dijelom su vezani i uz postupak obrade osobnih podataka. Prema definiciji Uredbe, obradu podataka predstavlja „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. „
Također, neka od ključnih pitanja, zbog kojih tvrtke vrlo često zatraže GDPR konzultantske usluge, su kako definirati tko i pod kojim uvjetima koristi osobne podatke te na koji način se osobni podatci štite u svakoj fazi njihove obrade.
Naime, sukladno odredbama GDPR-a jasno je da se one ne odnose samo na obradu podataka korisnika usluga neke tvrtke ili organizacije. One se odnose i na obradu svih ostalih osobnih podataka kojima tvrtka raspolaže. Dakle, riječ je i o osobnim podatcima zaposlenika tvrtke te osobnim podatcima vanjskih suradnika ili dobavljača.
Upravo zbog velike količine osobnih podataka koje obuhvaćaju različiti poslovni procesi, usklađivanje sa odredbama GDPR-a je zaista velik izazov za čitavu tvrtku. To se ponajviše odnosi na Upravu i menadžment tvrtke koji su dužni osigurati potrebne resurse.
GDPR izazovi za menadžment
Ranije smo spomenuli drakonske kazne za nepoštivanje odredbi GDPR-a. No, kada su ispitaniku narušena prava definirana Uredbom, on ima i druge opcije na raspolaganju. Naime, može pokrenuti i postupak protiv voditelja ili izvršitelja obrade podataka pred nadležnim sudom.
Ipak, tvrke se ne izlažu samo financijskom riziku zbog nepoštivanja odredbi GDPR-a. Tu je i operativni rizik te jednako važan reputacijski rizik kod nezakonite obrade osobnih podataka.
Operativni rizici ovdje se odnose na uspostavu odgovarajućih internih kontrola te definiranje odgovornosti i nadležnosti svih sudionika u procesu obrade osobnih podataka. Službenik za zaštitu osobnih podataka ovdje ima jednu od ključnih uloga.
Zbog svega navedenog, uprave tvrtki moraju pravovremeno donijeti nužne odluke te osigurati potrebna sredstva. Jednako je važno da pruže maksimalnu podršku pri implementaciji odredbi GDPR-a u poslovanje te zatraže GDPR konzultanstske usluge kada je to potrebno.
Operativni procesi i GDPR
GDPR izazovi s kojima su tvrtke suočene u njihovom svakodnevnom poslovanju velikim dijelom su vezani uz široko područje koje on obuhvaća. Naime, gotovo da nema segmenta poslovanja u kojem se u nekom obliku ne obrađuju osobni podatci.
Primjerice, kada je riječ o procesu obrade osobnih podataka zaposlenika tvrtke, on započinje već prijavom kandidata na oglas te distribucijom životopisa u natječajnom postupku. Nakon toga slijedi potpisivanje ugovora o radu te registri koje su poslodavci dužni voditi prema zakonskim propisima,. Također, učlinkovitost zaposlenika se ocjenjuje kroz različite analitičke postupke, a tu su i programi za obračun plaća zaposlenika.
Upravo zato, procesu usklađivanja i implementaciji GDPR-a u poslovanje te kasnijoj primjeni nužnih internih kontrola, treba pristupiti sistematično i detaljno. Neizostavan dio analize procesa obrade osobnih podataka u tvrtki je i analiza informacijskog sustava koje ona koristi. Potrebno je uključiti i zaposlenike ili organizacijske jedinice koje su odgovorne za IT infrastrukturu te sve ostale službe ili zaposlenike koji rade na poslovima pohrane i arhiviranja podataka. Ovo se odnosi i na vanjske suradnike uključene u pojedine dijelove postupka obrade podataka.
U čitavom ovom procesu iznimno je važno kooridirano djelovanje službenika za zaštitu osobnih podataka te uprave tvrtke. Jedino na takav način mogu se pravovremeno procijeniti rizici, utvrditi sve obveze čuvanja osobnih podataka te ispuniti svi zahtjevi koje je GDPR-a donio.
Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.