Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga

Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga

Foto: Fotolia

Pokretanje GDPR projekta – Uspostava učinkovitog projektnog tima

Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim.

U prethodnoj smo lekciji opisali utjecaj GDPR-a na društvo, tvrtke, pojedinca… Sad, kad je svima savršeno jasno da dolaze ozbiljne promjene u ophođenju sa osobnim podacima, razmotrit ćemo kakve su to glavne promjene koje očekuju tvrtke (i državnu upravu koju više nećemo posebno navoditi jer sve se ovo jednako odnosi i na nju), tko i kako će ih provesti.

GDPR je poslovni rizik – upravljajte rizikom

Poslovni modeli temeljeni na obradi osobnih podataka proći će vrlo ozbiljnu tranziciju. Svi oni koji svoje modele temelje na kršenju prava na privatnost (a njih svakim danom ima sve više) morat će osmisliti potpuno nove načine prodaje i realizacije svojih usluga/proizvoda.

Uprava tvrtke mora biti svjesna GDPR zahtjeva. Mora biti u stanju primijeniti ih na postojeće modele poslovanja i uvidjeti kritične točke – shvatiti gdje i u kojoj mjeri tvrtka ove zahtjeve ne ispunjava i pobrinuti se da ih ispuni najkasnije do svibnja 2018. Mnogima će to biti teško, pa čak i nemoguće. Zato se treba fokusirati na aktivnosti koje će uz najmanji utrošak vremena osigurati najveći učinak. GDPR projekt ne smije se nikako odgađati, a pogotovo ne zanemarivati.

Za mnoge će tvrtke GDPR predstavljati poslovni, pa čak i egzistencionalni  rizik, a upravljanje ovakvim rizicima je prvenstveno zadatak uprave. Koliko će se koji član uprave osobno posvetiti njegovom rješavanju ovisi o mnogim faktorima, no jedno je sigurno: Odgovorna uprava se mora upoznati sa posljedicama koje će to prouzročiti na njenu firmu i poduzeti odgovarajuće mjere. Procjenu utjecaja na tvrtku najbolje će provesti interni tim koji odlično razumije i GDPR zahtjeve i interne procese, no sigurno to neće učiniti najbrže. Angažman iskusnog konzultantskog tima koji je ovaj postupak već prošao da drugim tvrtkama donosi znatnu uštedu u vremenu i trošku, ali donosi i nešto puno važnije. Donosi iskustvo sa drugih GDPR projekata, pa nećete učiti na vlastitim pogreškama. Mnoge GDPR odluke imaju dalekosežne posljedice na poslovanje. Edukacija je u svakom slučaju prvi korak, no tko se sve mora educirati?

Stvorite i educirajte GDPR tim još danas!

Čime se bavite? Prikupljate li u svom poslu osobne podatke ili ih možda obrađujete za druge? Osobni podatak je svaka informacija, ili kombinacija informacija na temelju koje je moguće jednoznačno prepoznati osobu. Razmislite postoji li unutar vaše tvrtke ikakav poslovni proces koji uključuje prikupljanje ili obradu osobnih podataka. Osoba odgovorna za taj proces, mora se bez odlaganja posvetiti razumijevanju GDPR-a. Čitanje ovih lekcija dobar je početak, ali posebna edukacija više bi pomogla.

Razlikujemo tri glavne vrste edukacija:

  • Edukacija o samoj Uredbi – povremeno je provodi AZOP sa ciljem objektivnog pružanja informacija o samom sadržaju Uredbe i ne ulazi u rješavanje izazova s kojima se tvrtke sreću tijekom usklađivanja.
  • Radionice usklađivanja sa GDPR zahtjevima – provode je specijalizirane edukacijske ustanove i konzultantske kuće. Ovakve edukacije mogu biti vrlo konkretne i najbolji su početak. U jedan do dva dana seći ćete uvid u to što trebate napraviti i kako se to radi. Shvatit ćete konkretan utjecaj GDPR-a na vašu organizaciju.
  • CIPP/E certifikacija – Certified Information Privacy Professional - stručna certifikacija najveće globalne organizacije za zaštitu privatnosti IAPP. Postoje odlični pripremni tečajevi, on-site i on-line. Vrlo detaljno, sa mnogo različitih profesionalnih usmjerenja.

Kod većih organizacija, GDPR edukaciju morali bi obavezno menadžeri odgovorni za poslovne procese koji prikupljaju i obrađuju osobne podatke, dok će to kod manjih tvrtki jednostavno biti direktori. Posebnu pažnju obratiti je potrebno ja prodaju i marketing. Današnje prodajne i marketinške strategije u većini tvrtki orijentiranih na krajnje korisnike grubo krše GDPR zahtjeve. Čine to intenzivno i javno čime se značajno povećava izloženost sankcijama.

Rukujete li u poslu posebno povjerljivim kategorijama osobnih podataka? Raspolažete li informacijama o zdravlju, političkom opredijeljenu, financijskom stanju, seksualnom opredjeljenju, ili možda čak osobnim podacima maloljetnika?

Veliki ste trgovinski lanac? Raspolažete informacijama o potrošnji osoba koje su se identificirale platnim karticama? Pružate usluge posredništva u financijskom ili bilo kakvom drugom poslovanju? Odvjetnički ste ured koji tuži dužnike svojih klijenata? Ili ste možda sud, gradska uprava, bolnica… Ovo su samo neki od primjera posebno rizičnih organizacija sa stajališta GDPR-a.

Educirajte se kako bi mogli procijeniti veličinu problema s kojim se suočava vaša tvrtka. Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim. U njemu će prvenstveno biti osobe odgovorne za poslovne rezultate, dakle prodaja marketing i menadžeri poslovnih procesa koji rukuju osobnim informacijama. Bit će tu i predstavnici pravne službe i službe ljudskih resursa, te svakako direktor informatike i osoba odgovorna za informacijsku sigurnost (CISO) i sukladnost, no nitko od njih neće redizajnirati poslovne procese. To mogu raditi samo oni koji su ih i dizajnirali.

Procijenite stanje i izvijestite upravu

Mnogi članovi uprava još nisu svjesni veličine poslovnog rizika kojem se izlažu zbog GDPR-a. Možda će smatrati da tvrtka ima važnijeg posla, drugih projekata koji donose novac i sl. Pogledajte kratak video koji je snimila Elizabeth Denham, U.K. Information Commissioner, kako bi članove uprava upozorila na skori istek roka za usklađivanje sa GDPR-om.

Neka se vaš mali tim odmah nakon edukacije interno sastane, identificira gdje se sve koriste osobni podaci, koliko su procesi usklađeni sa GDPR zahtjevima s pravne strane i u kojoj je mjeri vaša organizacija spremna ispuniti zahtjeve poput:

  • Jeste li uopće u stanju jednoznačno odrediti što je to točno osobni podatak, jer definicija je danas mnogo šira od nekadašnje. Ako niste, kako ćete ih obrisati, štititi ili eksportirati? Tko će to odrediti i ima li IT dovoljno detaljne upute što točno treba napraviti kako bi se informacijski sustavi uskladili za GDPR zahtjevima?
  • Možete li dokazati da znate gdje se točno nalaze koji osobni podaci, da ste svjesni rizika svakog takvog podatka, te da ga štitite sukladno tom riziku?
  • Pravo na zaborav – možete li zaista jednostavno obrisati sve podatke o konkretnoj osobi iz svih informacijskih sustava, uključujući u to i sigurnosne kopije i arhive stare desetak i više godina? Možete li ih obrisati sa papirnatih dokumenata i znadete li uopće gdje se sve osobni podaci nalaze? U mailu, bazama podataka poslovnih aplikacija, IT testnim okruženjima, osobnim računalima, telefonima djelatnika, registratorima… Možete li obrisati podatke iz baza bez da se pri tom naruši integritet drugih podataka?
  • Pravo na vlastite osobne podatke – možete li jednostavno izvesti podatke o fizičkoj osobi iz vaših sustava u CSV datoteku i uručiti ih vlasniku? Jeste li uopće svjesni koji su to osobni podaci kojima raspolažete ili niste? Smijete li dati informacije koje koristite za, ili su rezultat vaših internih obrada? Npr, popis financijskih transakcija i rizični profil klijenta banke, ili popis poziva i lokacija s kojih su obavljeni pozivi klijenata telekoma ili rezultati medicinskih ispitivanja bolesnika…

Razmotrite i pitanje privola za obradu. Da li su uz podatke prikupljene privole na način kako to GDPR traži? Nisu. Niste mogli znati kako će se privole tražiti u vrijeme kad ste ih prikupljali. Kako ćete riješiti taj problem? Gdje ćete držati dokaze da imate odgovarajuće privole i kako ćete osigurati da se bez njih ne mogu provoditi obrade podataka?

Identificirajte najveće rizike. Što krivo radite, i koliki bi bio učinak ukidanja tih aktivnosti? Možete li si priuštiti zaustaviti prodaju i marketing ili razmjenu osobnih podataka sa tvrtkama s kojima surađujete? Imate li alternativno rješenje?

Identificirajte najveće poslovne rizike i procijenite vrijeme koje je potrebno za usklađivanje. Teško da će godinu dana biti dosta. Stavite to na papir – A4, jedna strana. Pošaljite upravi i tražite sastanak. Zapravo, ne morate ga tražiti. Odgovorna uprava sama će ga sazvati i imenovati tim za usklađivanje sa GDPR-om, a vi ćete u toj fazi jako dobro znati tko bi u tom timu trebao biti.

 

Lekcija je dio velike škole GDPR-a ICT business portala i Ostendo Consultinga

Još iz kategorije

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

22.08.2017. komentiraj

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme.

INOVACIJA …  i pesimizam u javnom sektoru

INOVACIJA … i pesimizam u javnom sektoru

21.08.2017. komentiraj

Pretjerano pesimistički pristup inovativnim idejama ima jasne učinke u realnom sektoru: ne ostvaruje je „market pull“. Konkretno to znači da tvrtke odbijaju inovacije koje tržište traži. Krajnji učinak je jasan: konkurencija prigrli inovaciju koju najčešće nudi „technology push“ i ide naprijed s tržišnim udjelom, prihodom i dobiti. U krajnjim slučajevima to završava s propašću tvrtki koje su se prema inovaciji odnosile pretjerano pesimistički – kao kod notornog Kodak – primjera.

INOVACIJA …  i pesimizam koji je „ubija“

INOVACIJA … i pesimizam koji je „ubija“

16.08.2017. komentiraj

U prethodnoj kolumni smo prikazali kako „optimizam“ može štetiti inovaciji: Grešku tipa I – odbijanje dobre inovacije, blokira neutemeljeno optimistična procjena sadašnjeg stanja. „Dobro nam ide s klasičnom fotografijom, što će nam digitalna?“ – reče uprava Kodaka i propadne. Obratno, „Naš video format Beta je tehnološki superioran VHS-u, pobijedit ćemo i bez marketinga!“, zaključila je optimistički  uprava Sonyja i nestade Beta-e s tržišta – Greška tipa II!