Velika škola GDPR-a Lekcija 3: Procjena trenutnog stanja - Određivanje prioriteta u projektu

Velika škola GDPR-a Lekcija 3: Procjena trenutnog stanja - Određivanje prioriteta u projektu
Fotolia

Nekoliko ljudi iz firme prošlo je do sada osnovnu edukaciju ili barem s pažnjom pročitalo prethodne lekcije Velike škole GDPR-a ICT business portalaOstendo Consultinga. Shvatili ste da suočavanje sa GDPR-om može predstavljati ozbiljan poslovni rizik. Prezentirali ste to upravi, dobili podignutu obrvu, svojih pola sata pažnje, a uz malo sreće i rok, resurse i inicijalni budžet za usklađivanje sa zahtjevima ove izuzetno društveno korisne, ali zato za tvrtke nezgodne regulative. Ako je vaša uprava zaključila da se GDPR projekt može odgađati jer ste vi javna institucija, tijelo državne uprave i ili neki drugi oblik organizacije na koju novčana kazna nije primjenjiva, slobodno spomenite stav AZOP-a koji je nedavno objavljen na ICT business portalu, a prema kojem je kazna za kazneno djelo nedozvoljene uporabe osobnih podataka, ako ga  počini službena osoba ili osoba u obavljanju javne vlasti i do pet godina zatvora. Stupanjem na snagu GDPR uredbe, regulatorna tijela dobit će mnogo veće ovlasti za provođenje aktivnosti zaštite privatnosti građana EU.

Kako krenuti ili 137 puta gdje smo?

Jezgru tima za usklađivanje ste stvorili. Ova jezgra razumije GDPR zahtjeve s pravnog gledišta, razumije poslovanje i poslovne procese koji u svom radu koriste osobne informacije, ali razumije i informacijske tehnologije kojima se organizacija služi za obavljanje djelatnosti. Prvi je korak ustanoviti raskorak između načina upravljanja osobnim podacima kakav je propisan Uredbom, i onoga kojim se organizacija trenutno služi.

Preduvjet je naravno razumijevanje Uredbe, te svih zahtjeva i preporuka koja ona navodi. Ako ste pomislili da ćete se ovoj fazi morati baviti detaljnim proučavanjem Uredbe i nepreglednih količina posebnih objašnjenja i mišljenja koja je generirala EU administracija, varate se.

Veliki poster sa popisom 137 GDPR zahtjeva i preporuka možete preuzeti ovdje. Iskustvo preuzimanja postera bit će možda i vaša prva prilika da razmislite o GDPR sukladnom traženju privole za ustupanje osobnih podataka.

Radionice analize raskoraka

Idealno, poster ispišite na A2 papir ili veći i zalijepite ga na zid. Pročitajte sve zahtjeve i pripremite tablicu u kojoj ćete pored svakog zahtjeva unijeti ime osoba za koje smatrate da mogu kompetentno opisati način na koji je on trenutno ispunjen (ili nije) u vašoj organizaciji. Pomoći će vam primjer na koji ste poveznicu dobili prilikom preuzimanja postera. Pitanja grupirajte po ovim osobama, te dogovorite tematske intervjue. U manjim organizacijama, svega nekoliko ljudi će biti dovoljno za pokriti sve teme. U velikim i kompleksnim organizacijama, ovaj bi postupak mogao potrajati i više od mjesec dana.

Opisu načina ispunjavanja pojedinog zahtjeva dodajte najmanje i ocjenu razine ispunjenosti, i druge ocjene koji će vam kasnije olakšati postupak usklađivanja.

Analizu raskoraka morate provesti brzo. Zbog toga ne možete previše vremena utrošiti na razvijanje vrlo detaljne metodologije ocjenjivanja usklađenosti temeljene na kompleksnim kvantitativnim metodama. Pouzdanost metodologije procjene gradit ćete prvenstveno na znanju i iskustvu procjenitelja.

Metodologija temeljena na znanju

MORATE imati nekoga tko poznaje poslovne procese, razumije GDPR regulativu, IT sustave i informacijsku sigurnost. Rijetko ćete ovo naći u jednoj osobi, ali pazite da tim ne širite previše. Otežat ćete komunikaciju. Idealno, 3-5 vrlo iskusnih stručnjaka u spomenutim domenama. Poznavatelja poslovnih procesa, naći ćete jedino kod sebe, dok se ostale funkcije mogu po potrebi i eksternalizirati. Iskusnog stručnjaka baš za GDPR teško je naći jer nitko u tom konkretnom području ne može imati više od godinu dana iskustva, ali može ga imati u sličnim područjima. Stručnjaka za GDPR regulativu tražit ćete među onima sa velikim iskustvom u IT sukladnosti. Oni koji odlično poznaju Uredbu, sve dokumente na koje se ona poziva i brojne slučajeve opisane na službenim stranicama Europske komisije, ili razmatrane u praktičnom radu na GDPR projektima su rijetki. Uz nekoliko tečajeva, intenzivno praćenje stručne literature i puno truda i sami možete postati jednim od njih. Preduvjet je da imate vrlo solidna predznanja iz informatike i regulative. CIPP/E certifikat u kombinaciji s puno IT iskustva ili CISMCISSP certifikat uz puno iskustava u sukladnosti su odlični pokazatelji kompetentnosti u ovom području. Posljednja dva mogu pokriti i domene informacijske sigurnosti i tehnologija. Velike tehnološki napredne tvrtke sve će sve ove ljude naći unutar vlastitih organizacija, dok će se ostali snalaziti s onim što imaju i eventualnim angažmanom konzultanata (za koje je opet potrebno paziti da ispunjavaju navedene uvjete).

Izrada izvještaja

Izvještaj analize raskoraka mora sadržavati vrlo jednostavan pregled stanja, idealno u grafičkom obliku, te opis stanja po svim domenama. Sami odlučite koja je detaljnost izvještavanja primjerena za vašu organizaciju. Svaku ocjenu razine usklađenosti objasnite. Ove će informacije kasnije poslužiti za izradu preporuka, određivanje prioriteta i dizajn projektnog plana usklađivanja sa GDPR zahtjevima o čemu ćemo pričati u slijedećem nastavku. Poveznicu na primjer izvještaja možete zatražiti ovdje.


Veliki poster sa popisom 137 GDPR zahtjeva i preporuka

Za besplatno preuzimanje velikog postera sa popisom 137 GDPR zahtjeva i preporuka potrebno je popuniti sva polja u obrascu, nakon čega će vam se aktivirati preuzimanje dokumenta.