Velika škola GDPR-a lekcija 4 - Dizajn projektnog plana

Velika škola GDPR-a lekcija 4 - Dizajn projektnog plana
Fotolia

Što sve moramo napraviti, kako, tko i do kada? Koliko to košta? Neka su od pitanja na koja odgovaramo u našoj četvrtoj po redu lekciji o GDPR-u u Velikoj školi GDPR-a ICTbusiness.info i Ostendo Consultinga.

Mnogo je elemenata GDPR-a koje ste trebali implementirati i prije usvajanja ove Uredbe. Zakonodavstvo iz područja upravljanja sigurnošću osobnih podataka postoji desetljećima, no zbog neprimjerenih ovlasti nadzornih tijela koja to i nisu u pravom smislu te riječi nikada ni postala,  samo su rijetki ovom rastućem problemu poklanjali dužnu pažnju.

Što se to promijenilo i zašto je zaštita osobnih podataka odjednom postala toliko važna?

Dvije stvari: Nagla ekspanzija trenda neovlaštene obrade velikih količina osobnih podataka poprimila je zabrinjavajuće razmjere na globalnoj razini i GDRP regulativa nadzornim tijelima daje moć kontrole i kažnjavanja.

Savjeti i trikovi

Rezultati analize raskoraka iz prethodne lekcije neka vam ukazuju na područja na koja se morate fokusirati. Analizirajte rezultate i osmislite najučinkovitiji pristup. Pokušajte osmisliti procese i alate koji će istovremeno rješavati više problema.

Kad pričamo o informacijskim sustavima fokusirajte se na minimizaciju podataka. Osigurajte da se osobni podaci nalaze na što je moguće manje mjesta, a onda ta mjesta propisno osigurajte. Posebnu pažnju obratite na dijeljene mape, elektroničku poštu, sigurnosne kopije i testne sustave. Koliko god bili sigurni u sebe, budite još sigurniji da se osobni podaci nalaze na mjestima gdje ih ne očekujete. Razmislite o skeniranju kompletnog informacijskog sustava u potrazi za osobnim podacima. Ne možete osigurati podatke čijeg postojanja niste svjesni. Jednom kad ih identificirate, ustanovite koji vam od tih podataka stvarno trebaju, a višak obrišite. Identificirajte lokacije na kojima ste ih zatekli i pronađite tko ih je tamo i zašto pohranio. Razmotrite uvođenje pravila za pohranu podataka. Kad ste sigurni da ste se riješili viška, pobrinite se za sigurnost preostalih podataka. Provjerite odobrena prava pristupa i

proces njihovog odobravanja. Kriptirajte podatke ako možete.

Trebaju li vam u razvojnim i testnim sustavima, te sustavima za poslovne analize stvarni osobni podaci ili ipak možete raditi sa anonimiziranim ili pseudonimiziranim podacima? Držite se generalnog pravila: produkcijski podaci neka budu kriptirani, a svi ostali anonimizirani ili pseudonimizirani kad god je to moguće.

Bilo kako bilo, u ovoj se lekciji nećemo intenzivno baviti elementima sigurnosti koje ste zapravo već davno morali implementirati. Fokusirat ćemo se na promjene koje donosi GDPR.

Dvanaest stvari koje sigurno nemate

Mi naravno ne možemo pogoditi rezultate vaše analize raskoraka, ali se zato možemo fokusirati na elemente koje ćete sigurno morati implementirati. GDPR u odnosu na prethodne regulative donosi neke izmjene. To su stvari koje prije nisu postojale u takvom obliku, za njih niste mogli znati, pa ih niste mogli ni implementirati.

Podizanje svijesti

Prvenstveno uprava i relevantni menadžeri moraju biti stvarno svjesni da dolazi nova regulativa s kojom se moraju uskladiti. Moraju shvatiti njene posljedice na poslovanje i aktivno se uključiti u razvoj poslovne strategije koja će biti usklađena sa GDPR zahtjevima. Morate razviti i provoditi program izgradnje korporativne kulture čuvanja povjerljivosti osobnih podataka.

Popišite osobne podatke koje imate

Analizirajte svoje poslovne procese i ustanovite kojim osobnim podacima raspolažete, odakle ih prikupljate i s kime ih dijelite.

Komunikacija informacija o zaštiti osobnih podataka

Identificirajte sve načine komunikacije u kojima opisujete postupanje s osobnim podacima, uključujući i vaše zahtjeve za njihovu zaštitu prema trećim stranama. Ovo uključuje interne politike i procedure, razne ugovore s klauzulama o privatnosti, politiku privatnosti na webu, e-mail porukama i dr. Uskladite ih sa  GDPR zahtjevima.

Ostvarivanje prava na privatnost i pristup podacima

Provjerite sve interne procedure kako bi osigurali da su pokrivena prava pojedinaca. Pobrinite se da možete osigurati:

Pravo na zaborav (Možete li obrisati podatke pojedine osobe bez posljedica na integritet podataka?)

Pravo na prijenos (Možete li na zahtjev pojedinca izvesti njegove podatke u CSV ili drugu lako čitljivu datoteku i znadete li uopće koje podatke smijete izvesti?)

Provjerite mogu li pojedinci jednostavno zatražiti pravo na pristup osobnim informacijama kojima raspolažete, te obradama koje provodite. Dizajnirajte i jasno komunicirajte ovaj postupak. Kod dizajna procesa osigurajte da vrijeme potrebno za njegovu provedbu ne prelazi regulativom definirane rokove.

Zakonska osnova za obradu podataka

Ne morate uvijek tražiti privolu za prikupljanje osobnih podataka. U mnogim ćete slučajevima za to imati zakonsku osnovu. Identificirajte i dokumentirajte zakonske osnove za prikupljanje osobnih podataka, te ih jasno objasnite u komunikaciji sa njihovim vlasnicima.

Privola

Obavezno provjerite na koje sve načine prikupljate osobne podatke, da li pri tom jasno objašnjavate čemu će ti podaci služiti i da li je prikupljanje na dobrovoljnoj bazi. Jako veliku pažnju obratite na transparentnost, jasnoću i korektnost u ovoj komunikaciji. Podatke u pravilu smijete zadržati samo onoliko dugo koliko je to potrebno za provođenje obrada za koju ste dobili privolu. Osigurajte da se prikupljene privole evidentiraju i da se obrade provede isključivo u skladu s njima.

Djeca

Postoji li mogućnost da osobni podaci koje prikupljate pripadaju djeci, osmislite i uspostavite način provjere starosti davatelja privole koju u ovakvom slučaju moraju dati roditelji.

Incidenti

Definirajte procedure, odgovornosti i uspostavite mehanizme za identifikaciju, izvještavanje i istraživanje curenja osobnih podataka.

Integrirana tehnička zaštita podataka

Ovo je jedan od tehnički najkompleksnijih zahtjeva. Srećom, ne trebate ga implementirati na stare informacijske sustave. Radi se o općem pristupu dizajnu informacijskih sustava koji od samog početka mora u obzir uzimati zahtjeve GDPR-a za zaštitu osobnih podataka i osigurati njihovu provedbu. Revidirajte postojeće procese razvoja, nabavke i puštanja u pogon informacijskih sustava, kao i procese upravljanja promjenama u informacijskim sustavima. Osigurajte da se u svakoj ključnoj fazi identificiraju i implementiraju zahtjevi za zaštitu osobnih podataka, kao i funkcionalni zahtjevi prava na zaborav i dr. Osigurajte se da u testnim sustavima nikako ne mogu završiti osobni podaci, odnosno da ih i tamo primjereno osigurate.

Procjena učinka na zaštitu podataka

Uvedite proces procjene učinka na zaštitu podataka koji će osigurati da je organizacija u svakom trenutku svjesna osjetljivih obrada podataka, a regulator o procjenama visokog rizika pravovremeno obavješten.

Službenik za zaštitu osobnih podataka

Definirajte strukturu odgovornosti za zaštitu osobnih podataka. Minimalno imenujte službenika za zaštitu osobnih podataka, te jasno odredite njegovo mjesto u organizacijskoj strukturi u skladu sa zahtjevima GDPR-a.

Ako ste dio međunarodne organizacije

U slučaju da je vaša organizacija dio veće međunarodne organizacije, a posebno ukoliko u svom poslu osobne podatke šaljete van granica EU, odredite kojem regulatoru vaša organizacija odgovara.

Plan(ovi)

Dogovorite se na koji ćete način ispuniti svaki pojedini zahtjev s organizacijske, pravne i tehnološke strane. Pri tom budite svjesni da će tehničko ispunjavanje zahtjeva koje provodi IT oduzeti najviše vremena i značajne resurse. Podijelite projekt u najmanje dva podprojekta koji će se izvršavati istovremeno. Organizacijsko pravni i tehnološki.

Odredite osobe odgovorne za provedbu  svakog od ovih podprojekata. Osigurajte njihovu odličnu međusobnu komunikaciju. Sponzor projekta neka obavezno bude član uprave.

U idućim ćemo se nastavcima detaljnije baviti pojedinim aktivnostima iz ovog plana koje morate provesti.