Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga

Stanko Cerin Autor: Stanko Cerin

05.06.2017.
Veličina fontaPrint
Email
Velika škola GDPR-a ICT business portala i Ostendo Consultinga: Lekcija druga
Fotolia

Pokretanje GDPR projekta - Uspostava učinkovitog projektnog tima

Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim.

U prethodnoj smo lekciji opisali utjecaj GDPR-a na društvo, tvrtke, pojedinca... Sad, kad je svima savršeno jasno da dolaze ozbiljne promjene u ophođenju sa osobnim podacima, razmotrit ćemo kakve su to glavne promjene koje očekuju tvrtke (i državnu upravu koju više nećemo posebno navoditi jer sve se ovo jednako odnosi i na nju), tko i kako će ih provesti.

GDPR je poslovni rizik - upravljajte rizikom

Poslovni modeli temeljeni na obradi osobnih podataka proći će vrlo ozbiljnu tranziciju. Svi oni koji svoje modele temelje na kršenju prava na privatnost (a njih svakim danom ima sve više) morat će osmisliti potpuno nove načine prodaje i realizacije svojih usluga/proizvoda.

Uprava tvrtke mora biti svjesna GDPR zahtjeva. Mora biti u stanju primijeniti ih na postojeće modele poslovanja i uvidjeti kritične točke - shvatiti gdje i u kojoj mjeri tvrtka ove zahtjeve ne ispunjava i pobrinuti se da ih ispuni najkasnije do svibnja 2018. Mnogima će to biti teško, pa čak i nemoguće. Zato se treba fokusirati na aktivnosti koje će uz najmanji utrošak vremena osigurati najveći učinak. GDPR projekt ne smije se nikako odgađati, a pogotovo ne zanemarivati.

Za mnoge će tvrtke GDPR predstavljati poslovni, pa čak i egzistencionalni  rizik, a upravljanje ovakvim rizicima je prvenstveno zadatak uprave. Koliko će se koji član uprave osobno posvetiti njegovom rješavanju ovisi o mnogim faktorima, no jedno je sigurno: Odgovorna uprava se mora upoznati sa posljedicama koje će to prouzročiti na njenu firmu i poduzeti odgovarajuće mjere. Procjenu utjecaja na tvrtku najbolje će provesti interni tim koji odlično razumije i GDPR zahtjeve i interne procese, no sigurno to neće učiniti najbrže. Angažman iskusnog konzultantskog tima koji je ovaj postupak već prošao da drugim tvrtkama donosi znatnu uštedu u vremenu i trošku, ali donosi i nešto puno važnije. Donosi iskustvo sa drugih GDPR projekata, pa nećete učiti na vlastitim pogreškama. Mnoge GDPR odluke imaju dalekosežne posljedice na poslovanje. Edukacija je u svakom slučaju prvi korak, no tko se sve mora educirati?

Stvorite i educirajte GDPR tim još danas!

Čime se bavite? Prikupljate li u svom poslu osobne podatke ili ih možda obrađujete za druge? Osobni podatak je svaka informacija, ili kombinacija informacija na temelju koje je moguće jednoznačno prepoznati osobu. Razmislite postoji li unutar vaše tvrtke ikakav poslovni proces koji uključuje prikupljanje ili obradu osobnih podataka. Osoba odgovorna za taj proces, mora se bez odlaganja posvetiti razumijevanju GDPR-a. Čitanje ovih lekcija dobar je početak, ali posebna edukacija više bi pomogla.

Razlikujemo tri glavne vrste edukacija:

  • Edukacija o samoj Uredbi - povremeno je provodi AZOP sa ciljem objektivnog pružanja informacija o samom sadržaju Uredbe i ne ulazi u rješavanje izazova s kojima se tvrtke sreću tijekom usklađivanja.
  • Radionice usklađivanja sa GDPR zahtjevima - provode je specijalizirane edukacijske ustanove i konzultantske kuće. Ovakve edukacije mogu biti vrlo konkretne i najbolji su početak. U jedan do dva dana seći ćete uvid u to što trebate napraviti i kako se to radi. Shvatit ćete konkretan utjecaj GDPR-a na vašu organizaciju.
  • CIPP/E certifikacija - Certified Information Privacy Professional - stručna certifikacija najveće globalne organizacije za zaštitu privatnosti IAPP. Postoje odlični pripremni tečajevi, on-site i on-line. Vrlo detaljno, sa mnogo različitih profesionalnih usmjerenja.

Kod većih organizacija, GDPR edukaciju morali bi obavezno menadžeri odgovorni za poslovne procese koji prikupljaju i obrađuju osobne podatke, dok će to kod manjih tvrtki jednostavno biti direktori. Posebnu pažnju obratiti je potrebno ja prodaju i marketing. Današnje prodajne i marketinške strategije u većini tvrtki orijentiranih na krajnje korisnike grubo krše GDPR zahtjeve. Čine to intenzivno i javno čime se značajno povećava izloženost sankcijama.

Rukujete li u poslu posebno povjerljivim kategorijama osobnih podataka? Raspolažete li informacijama o zdravlju, političkom opredijeljenu, financijskom stanju, seksualnom opredjeljenju, ili možda čak osobnim podacima maloljetnika?

Veliki ste trgovinski lanac? Raspolažete informacijama o potrošnji osoba koje su se identificirale platnim karticama? Pružate usluge posredništva u financijskom ili bilo kakvom drugom poslovanju? Odvjetnički ste ured koji tuži dužnike svojih klijenata? Ili ste možda sud, gradska uprava, bolnica... Ovo su samo neki od primjera posebno rizičnih organizacija sa stajališta GDPR-a.

Educirajte se kako bi mogli procijeniti veličinu problema s kojim se suočava vaša tvrtka. Posljedice kršenja GDPR odredbi imaju veliki do katastrofalni učinak na poslovanje tvrtke, što GDPR čini problemom uprave. Imajte to na umu kad kreirate svoj GDPR tim. U njemu će prvenstveno biti osobe odgovorne za poslovne rezultate, dakle prodaja marketing i menadžeri poslovnih procesa koji rukuju osobnim informacijama. Bit će tu i predstavnici pravne službe i službe ljudskih resursa, te svakako direktor informatike i osoba odgovorna za informacijsku sigurnost (CISO) i sukladnost, no nitko od njih neće redizajnirati poslovne procese. To mogu raditi samo oni koji su ih i dizajnirali.

Procijenite stanje i izvijestite upravu

Mnogi članovi uprava još nisu svjesni veličine poslovnog rizika kojem se izlažu zbog GDPR-a. Možda će smatrati da tvrtka ima važnijeg posla, drugih projekata koji donose novac i sl. Pogledajte kratak video koji je snimila Elizabeth Denham, U.K. Information Commissioner, kako bi članove uprava upozorila na skori istek roka za usklađivanje sa GDPR-om.

Neka se vaš mali tim odmah nakon edukacije interno sastane, identificira gdje se sve koriste osobni podaci, koliko su procesi usklađeni sa GDPR zahtjevima s pravne strane i u kojoj je mjeri vaša organizacija spremna ispuniti zahtjeve poput:

  • Jeste li uopće u stanju jednoznačno odrediti što je to točno osobni podatak, jer definicija je danas mnogo šira od nekadašnje. Ako niste, kako ćete ih obrisati, štititi ili eksportirati? Tko će to odrediti i ima li IT dovoljno detaljne upute što točno treba napraviti kako bi se informacijski sustavi uskladili za GDPR zahtjevima?
  • Možete li dokazati da znate gdje se točno nalaze koji osobni podaci, da ste svjesni rizika svakog takvog podatka, te da ga štitite sukladno tom riziku?
  • Pravo na zaborav - možete li zaista jednostavno obrisati sve podatke o konkretnoj osobi iz svih informacijskih sustava, uključujući u to i sigurnosne kopije i arhive stare desetak i više godina? Možete li ih obrisati sa papirnatih dokumenata i znadete li uopće gdje se sve osobni podaci nalaze? U mailu, bazama podataka poslovnih aplikacija, IT testnim okruženjima, osobnim računalima, telefonima djelatnika, registratorima... Možete li obrisati podatke iz baza bez da se pri tom naruši integritet drugih podataka?
  • Pravo na vlastite osobne podatke - možete li jednostavno izvesti podatke o fizičkoj osobi iz vaših sustava u CSV datoteku i uručiti ih vlasniku? Jeste li uopće svjesni koji su to osobni podaci kojima raspolažete ili niste? Smijete li dati informacije koje koristite za, ili su rezultat vaših internih obrada? Npr, popis financijskih transakcija i rizični profil klijenta banke, ili popis poziva i lokacija s kojih su obavljeni pozivi klijenata telekoma ili rezultati medicinskih ispitivanja bolesnika...

Razmotrite i pitanje privola za obradu. Da li su uz podatke prikupljene privole na način kako to GDPR traži? Nisu. Niste mogli znati kako će se privole tražiti u vrijeme kad ste ih prikupljali. Kako ćete riješiti taj problem? Gdje ćete držati dokaze da imate odgovarajuće privole i kako ćete osigurati da se bez njih ne mogu provoditi obrade podataka?

Identificirajte najveće rizike. Što krivo radite, i koliki bi bio učinak ukidanja tih aktivnosti? Možete li si priuštiti zaustaviti prodaju i marketing ili razmjenu osobnih podataka sa tvrtkama s kojima surađujete? Imate li alternativno rješenje?

Identificirajte najveće poslovne rizike i procijenite vrijeme koje je potrebno za usklađivanje. Teško da će godinu dana biti dosta. Stavite to na papir - A4, jedna strana. Pošaljite upravi i tražite sastanak. Zapravo, ne morate ga tražiti. Odgovorna uprava sama će ga sazvati i imenovati tim za usklađivanje sa GDPR-om, a vi ćete u toj fazi jako dobro znati tko bi u tom timu trebao biti.

 

Lekcija je dio velike škole GDPR-a ICT business portala i Ostendo Consultinga

Više vijesti iz kategorije
KOMENTAR: Velika ulaganja, pripajanje Iskona, kupnja od Ericsson Nikole Tesle, promjena na čelu kompanije obilježili poslovnu 2023. za Hrvatski Telekom

KOMENTAR: Velika ulaganja, pripajanje Iskona, kupnja od Ericsson Nikole Tesle, promjena na čelu kompanije obilježili poslovnu 2023. za Hrvatski Telekom

Završena je napokon konsolidacija hrvatskog telekom tržišta, nakon što je Telemach Hrvatska kupio Optima Telekom od ZABA-e i HT-a, a A1 Hrvatska prije toga kupio što veće što manje telekome (B.Net) i kabelske operatore, sada je Hrvatski Telekom pripojio Iskon kojeg je kupio prije već podosta godina. Iako se pripajanje dogodilo s početkom ove godine i formalno pravno, sve je počelo još prošle godine. Time je završena konsolidacija tržišta i sada imamo tri velika telekoma HT, A1 i Telemach i nekoliko manjih Terrakom, 4Tel, Pro-Ping i još neke. I borba se za korisnike na optici nastavlja, a slično je u u mobilnom segmentu.

KOMENTAR: Kreću rezultati telekom sektora

KOMENTAR: Kreću rezultati telekom sektora

I dok čekamo rezultate najvećeg domaćeg telekoma HT-a, stigli su rezultati A1 Hrvatska. Za Telemach Hrvatska znamo samod a su u kompaniji jako zadovoljni, da su svi pokazatelji u zelenom, no više ćemo znati kada bude predano godišnje financijsko izvješće. rezultati A1 su jako dobri obzirom na vrlo izazovnu godinu iza nas.

Nastavak snažnog rasta i obilježavanje 15 godina poslovanja

Nastavak snažnog rasta i obilježavanje 15 godina poslovanja

U prošloj poslovnoj godini nastavili smo rasti, unatoč tome što su se kamatne stope jako povećale i sveopća tržišna klima nije bila pogodna. Naš novi proizvod Software Assurance (SSCS) nastavlja snažno rasti, a postojeći servisi podupiru investiranje u nove produkte. Premda mnoga od imena klijenata ne možemo objaviti, među njima su vodeće tehnološke i security kompanije današnjice, kao i društvene mreže, vladine agencije i korporacije. Neke od njih spadaju u Fortune 500, što je popis najvećih kompanija u SAD-u.

SPONZORIRANO
NAJNOVIJE
NAJČITANIJE
Prijavi se na newsletter
PONUDA POSLOVA U ICT SEKTORU
ICT poslovi
Prati nas i na Facebooku
ICT Business

© 2024 ictbusiness.info

E-mail: [email protected]
ISSN 2459-5268
Pravila privatnosti

Imate priču za nas?

Imate zanimljivu priču koja se dotiče tema tehnologije i poslovanja? Javite nam se!

Pošaljite nam svoje informacije, naslov teksta i priču, a mi ćemo vam se javiti hoće li vaša priča biti objavljena i u kojoj rubrici.

Svoje tekstove možete poslati na adresu [email protected] .

Naši ostali projekti:
Članstva

Portal ICTbusiness.info je član Udruge Hrvatskih nezavisnih izvoznika softvera CISEx

CISEx

StockPhoto partner:
DepositPhotos

Designed & developed by Webmaster.hr