Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga

Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga

Foto: Fotolia

Pokretanje GDPR projekta – Uspostava učinkovitog projektnog tima

Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim.

U prethodnoj smo lekciji opisali utjecaj GDPR-a na društvo, tvrtke, pojedinca… Sad, kad je svima savršeno jasno da dolaze ozbiljne promjene u ophođenju sa osobnim podacima, razmotrit ćemo kakve su to glavne promjene koje očekuju tvrtke (i državnu upravu koju više nećemo posebno navoditi jer sve se ovo jednako odnosi i na nju), tko i kako će ih provesti.

GDPR je poslovni rizik – upravljajte rizikom

Poslovni modeli temeljeni na obradi osobnih podataka proći će vrlo ozbiljnu tranziciju. Svi oni koji svoje modele temelje na kršenju prava na privatnost (a njih svakim danom ima sve više) morat će osmisliti potpuno nove načine prodaje i realizacije svojih usluga/proizvoda.

Uprava tvrtke mora biti svjesna GDPR zahtjeva. Mora biti u stanju primijeniti ih na postojeće modele poslovanja i uvidjeti kritične točke – shvatiti gdje i u kojoj mjeri tvrtka ove zahtjeve ne ispunjava i pobrinuti se da ih ispuni najkasnije do svibnja 2018. Mnogima će to biti teško, pa čak i nemoguće. Zato se treba fokusirati na aktivnosti koje će uz najmanji utrošak vremena osigurati najveći učinak. GDPR projekt ne smije se nikako odgađati, a pogotovo ne zanemarivati.

Za mnoge će tvrtke GDPR predstavljati poslovni, pa čak i egzistencionalni  rizik, a upravljanje ovakvim rizicima je prvenstveno zadatak uprave. Koliko će se koji član uprave osobno posvetiti njegovom rješavanju ovisi o mnogim faktorima, no jedno je sigurno: Odgovorna uprava se mora upoznati sa posljedicama koje će to prouzročiti na njenu firmu i poduzeti odgovarajuće mjere. Procjenu utjecaja na tvrtku najbolje će provesti interni tim koji odlično razumije i GDPR zahtjeve i interne procese, no sigurno to neće učiniti najbrže. Angažman iskusnog konzultantskog tima koji je ovaj postupak već prošao da drugim tvrtkama donosi znatnu uštedu u vremenu i trošku, ali donosi i nešto puno važnije. Donosi iskustvo sa drugih GDPR projekata, pa nećete učiti na vlastitim pogreškama. Mnoge GDPR odluke imaju dalekosežne posljedice na poslovanje. Edukacija je u svakom slučaju prvi korak, no tko se sve mora educirati?

Stvorite i educirajte GDPR tim još danas!

Čime se bavite? Prikupljate li u svom poslu osobne podatke ili ih možda obrađujete za druge? Osobni podatak je svaka informacija, ili kombinacija informacija na temelju koje je moguće jednoznačno prepoznati osobu. Razmislite postoji li unutar vaše tvrtke ikakav poslovni proces koji uključuje prikupljanje ili obradu osobnih podataka. Osoba odgovorna za taj proces, mora se bez odlaganja posvetiti razumijevanju GDPR-a. Čitanje ovih lekcija dobar je početak, ali posebna edukacija više bi pomogla.

Razlikujemo tri glavne vrste edukacija:

  • Edukacija o samoj Uredbi – povremeno je provodi AZOP sa ciljem objektivnog pružanja informacija o samom sadržaju Uredbe i ne ulazi u rješavanje izazova s kojima se tvrtke sreću tijekom usklađivanja.
  • Radionice usklađivanja sa GDPR zahtjevima – provode je specijalizirane edukacijske ustanove i konzultantske kuće. Ovakve edukacije mogu biti vrlo konkretne i najbolji su početak. U jedan do dva dana seći ćete uvid u to što trebate napraviti i kako se to radi. Shvatit ćete konkretan utjecaj GDPR-a na vašu organizaciju.
  • CIPP/E certifikacija – Certified Information Privacy Professional - stručna certifikacija najveće globalne organizacije za zaštitu privatnosti IAPP. Postoje odlični pripremni tečajevi, on-site i on-line. Vrlo detaljno, sa mnogo različitih profesionalnih usmjerenja.

Kod većih organizacija, GDPR edukaciju morali bi obavezno menadžeri odgovorni za poslovne procese koji prikupljaju i obrađuju osobne podatke, dok će to kod manjih tvrtki jednostavno biti direktori. Posebnu pažnju obratiti je potrebno ja prodaju i marketing. Današnje prodajne i marketinške strategije u većini tvrtki orijentiranih na krajnje korisnike grubo krše GDPR zahtjeve. Čine to intenzivno i javno čime se značajno povećava izloženost sankcijama.

Rukujete li u poslu posebno povjerljivim kategorijama osobnih podataka? Raspolažete li informacijama o zdravlju, političkom opredijeljenu, financijskom stanju, seksualnom opredjeljenju, ili možda čak osobnim podacima maloljetnika?

Veliki ste trgovinski lanac? Raspolažete informacijama o potrošnji osoba koje su se identificirale platnim karticama? Pružate usluge posredništva u financijskom ili bilo kakvom drugom poslovanju? Odvjetnički ste ured koji tuži dužnike svojih klijenata? Ili ste možda sud, gradska uprava, bolnica… Ovo su samo neki od primjera posebno rizičnih organizacija sa stajališta GDPR-a.

Educirajte se kako bi mogli procijeniti veličinu problema s kojim se suočava vaša tvrtka. Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim. U njemu će prvenstveno biti osobe odgovorne za poslovne rezultate, dakle prodaja marketing i menadžeri poslovnih procesa koji rukuju osobnim informacijama. Bit će tu i predstavnici pravne službe i službe ljudskih resursa, te svakako direktor informatike i osoba odgovorna za informacijsku sigurnost (CISO) i sukladnost, no nitko od njih neće redizajnirati poslovne procese. To mogu raditi samo oni koji su ih i dizajnirali.

Procijenite stanje i izvijestite upravu

Mnogi članovi uprava još nisu svjesni veličine poslovnog rizika kojem se izlažu zbog GDPR-a. Možda će smatrati da tvrtka ima važnijeg posla, drugih projekata koji donose novac i sl. Pogledajte kratak video koji je snimila Elizabeth Denham, U.K. Information Commissioner, kako bi članove uprava upozorila na skori istek roka za usklađivanje sa GDPR-om.

Neka se vaš mali tim odmah nakon edukacije interno sastane, identificira gdje se sve koriste osobni podaci, koliko su procesi usklađeni sa GDPR zahtjevima s pravne strane i u kojoj je mjeri vaša organizacija spremna ispuniti zahtjeve poput:

  • Jeste li uopće u stanju jednoznačno odrediti što je to točno osobni podatak, jer definicija je danas mnogo šira od nekadašnje. Ako niste, kako ćete ih obrisati, štititi ili eksportirati? Tko će to odrediti i ima li IT dovoljno detaljne upute što točno treba napraviti kako bi se informacijski sustavi uskladili za GDPR zahtjevima?
  • Možete li dokazati da znate gdje se točno nalaze koji osobni podaci, da ste svjesni rizika svakog takvog podatka, te da ga štitite sukladno tom riziku?
  • Pravo na zaborav – možete li zaista jednostavno obrisati sve podatke o konkretnoj osobi iz svih informacijskih sustava, uključujući u to i sigurnosne kopije i arhive stare desetak i više godina? Možete li ih obrisati sa papirnatih dokumenata i znadete li uopće gdje se sve osobni podaci nalaze? U mailu, bazama podataka poslovnih aplikacija, IT testnim okruženjima, osobnim računalima, telefonima djelatnika, registratorima… Možete li obrisati podatke iz baza bez da se pri tom naruši integritet drugih podataka?
  • Pravo na vlastite osobne podatke – možete li jednostavno izvesti podatke o fizičkoj osobi iz vaših sustava u CSV datoteku i uručiti ih vlasniku? Jeste li uopće svjesni koji su to osobni podaci kojima raspolažete ili niste? Smijete li dati informacije koje koristite za, ili su rezultat vaših internih obrada? Npr, popis financijskih transakcija i rizični profil klijenta banke, ili popis poziva i lokacija s kojih su obavljeni pozivi klijenata telekoma ili rezultati medicinskih ispitivanja bolesnika…

Razmotrite i pitanje privola za obradu. Da li su uz podatke prikupljene privole na način kako to GDPR traži? Nisu. Niste mogli znati kako će se privole tražiti u vrijeme kad ste ih prikupljali. Kako ćete riješiti taj problem? Gdje ćete držati dokaze da imate odgovarajuće privole i kako ćete osigurati da se bez njih ne mogu provoditi obrade podataka?

Identificirajte najveće rizike. Što krivo radite, i koliki bi bio učinak ukidanja tih aktivnosti? Možete li si priuštiti zaustaviti prodaju i marketing ili razmjenu osobnih podataka sa tvrtkama s kojima surađujete? Imate li alternativno rješenje?

Identificirajte najveće poslovne rizike i procijenite vrijeme koje je potrebno za usklađivanje. Teško da će godinu dana biti dosta. Stavite to na papir – A4, jedna strana. Pošaljite upravi i tražite sastanak. Zapravo, ne morate ga tražiti. Odgovorna uprava sama će ga sazvati i imenovati tim za usklađivanje sa GDPR-om, a vi ćete u toj fazi jako dobro znati tko bi u tom timu trebao biti.

 

Lekcija je dio velike škole GDPR-a ICT business portala i Ostendo Consultinga

Još iz kategorije

INOVACIJA …  i digitalizacija Hrvatske

INOVACIJA … i digitalizacija Hrvatske

26.06.2017. komentiraj

Pri rangiraju zemlje po inovativnosti se kao značajna komponenta uzima razinu digitalizacije. Na primjeru ovih dvaju relevantnih izvješća vidimo koju poziciju u digitalizaciji zauzima Hrvatska

Usprkos našoj opsesiji gadgetima, u sljedeću tehnološku revoluciju uvest će nas softver, a ne hardver

Usprkos našoj opsesiji gadgetima, u sljedeću tehnološku revoluciju uvest će nas softver, a ne hardver

23.06.2017. komentiraj

Pametni uređaji apsolutni su hit posljednjih deset godina i uz neizostavne telefone, imamo narukvice, satove, naočale, termostate, hladnjake... I bez obzira što vjerujemo da će se niz nastaviti nekim novim čudom, činjenica je da će sljedeći hit ipak biti u režiji softvera, a ne hardvera.

Banke trebaju početi nuditi novčanike za kriptovalute

Banke trebaju početi nuditi novčanike za kriptovalute

22.06.2017. komentiraj

Banke i financijski sektor općenito nema povjerenja u kriptovalute jer ne može im se pratiti trag, teže je izvući proviziju i što je najbitnije, tehnologija još nije toliko razvijena da bi se istovremeno moglo provesti više od nekoliko desetaka transakcija. Ali, stiglo je vrijeme da banke svejedno popuste i otvore se.