Velika škola GDPR-a lekcija 5: Usklađivanje organizacijske strukture i poslovnih procesa, izvještavanje

Velika škola GDPR-a lekcija 5: Usklađivanje organizacijske strukture i poslovnih procesa, izvještavanje
Fotolia

Ovo je trenutak u kojem morate imenovati osobu odgovornu za zaštitu osobnih podataka u organizaciji. Ne miješajte funkciju službenika za zaštitu osobnih podataka kojeg je vaša tvrtka eventualno već imenovala temeljem starog Zakona s ovom funkcijom. Nova funkcija sa starom nema gotovo nikakvih sličnosti.

Odabir DPO-a

Službenika za zaštitu osobnih podataka (data protection officer - DPO) moraju imenovati sve organizacije koje  prikupljaju ili obrađuju veće količine osobnih podataka bez obzira radi li se o podacima zaposlenika, klijenata ili nekoj trećoj kategoriji, ako:

  • obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
  • osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
  • osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima.

Sve u svemu, ako prikupljate i obrađujete osobne podatke, dužni ste imenovati DPO-a bez obzira da li ste privatna tvrtka ili dio javne vlasti.

Formalno, zadatak DPO-a je minimalno:

  • obavještavanje i savjetovanje voditelja ili izvršitelja obrade, te zaposlenika koji obrađuju osobne podatke o njihovim obavezama iz Uredbe,
  • nadziranje poštivanja Uredbe i internih politika i ostale regulative vezane uz zaštitu osobnih podataka,
  • dodjela odgovornosti za zaštitu osobnih podataka zaposlenicima i trećim stranama uključenim u prikupljanje i obradu osobnih podataka,
  • podizanje svijesti i edukacija iz područja zaštite osobnih podataka,
  • ugrađivanje zaštite privatnosti u revizijske procese,
  • savjetovanje kod provedbe procjena učinka na zaštitu podataka,
  • suradnja s nadzornim tijelima,
  • nadzirati procese upravljanje rizikom u obradama osobnih podataka

U stvarnosti, od DPO-a ćete očekivati da predloži cjelokupnu strategiju upravljanja osobnim podacima, što uključuje raspodjelu operativnih odgovornosti iz ovog područja po poslovnim sektorima, dizajn postupaka identifikacije i odgovora na incidente, izvještavanja o incidentima, upravljanje postupkom usklađivanja i dizajn sustava mjerenja učinkovitosti kontrola.

Idealnog DPO-a, vrlo teško ćete naći jer ova vrlo odgovorna pozicija zahtjeva širok raspon znanja i iskustava, a ni to nije dovoljno. Imajte na umu da DPO čuva ugled vaše organizacije i štiti vas od enormno visokih kazni koje su predviđene za prekršitelje. Vi želite da DPO za svoj rad odgovara direktno upravi. Mnogi će umjesto jedne osobe imati cijeli odjel jer odlike koje bi trebale krasiti vašeg DPO-a su:

  • najmanje 10 godina iskustva koje minimalno mora obuhvaćati sljedeća područja:
    • razumijevanje EU, globalnog i lokalnog zakonodavstva iz područja zaštite privatnosti, uključujući i iskustvo u dizajnu politika privatnosti, NDA i SLA ugovora i ostalih procesa i dokumenata kojima se regulira zaštita privatnosti,
    • upravljanje informacijskim sustavima, te razumijevanje programiranja i sistemske administracije,
    • upravljanje sigurnošću IT sustava i njihovo certificiranje prema sigurnosnim standardima,
    • analiza i revizija informacijskih sustava, procjena i upravljanje rizikom,
    • sposobnost vođenja projekata i dostizanja ciljeva u okruženju s različitim vrstama suradnika (poslovni, pravni, IT...),
    • pregovaračke sposobnosti radi učinkovite komunikacije s regulatorom,
    • iskustvo u upravljanju eksternalizacijom,
    • odlične komunikacijske sposobnosti,
    • proaktivnost u radu i sposobnost samostalnog stjecanja potrebnog znanja,
    • proaktivnost u praćenju nadolazeće regulative i tehnologija,
    • iskustvo u dizajnu i provedbi programa edukacije i podizanja svijesti,
    • iskustvo u radu i komunikaciji u multikulturalnim i međunarodnim okruženjima (ako pružate usluge na međunarodnom tržištu)

Pored svega, DPO ne smije biti u sukobu interesa. Dakle ne može operativno biti zadužen za provedbu aktivnosti zaštite osobnih podataka jer je njegova zadaća nadgledati učinkovitost ovih aktivnosti. DPO ne  može biti djelatnik sektora informatike, kao ni CISO

Vjerojatnost da ćete unutar vlastite organizacije pronaći idealnog DPO-a je mala. Ipak, potrudite se pronaći ili zaposliti osobu koja najbolje odgovara ovom opisu, te je intenzivno školovati u područjima u kojima je to potrebno. Neformalno školovanje u vidu razmjene iskustava unutar stručne zajednice može vam pomoći u rješavanju konkretnih problema. Zagreb GDPR MeetUp jedno je od takvih mjesta okupljanja.

Ubrzajte, pojednostavite i pojeftinite

DPO mora biti imenovan imenom i prezimenom, ali ne mora biti vaš zaposlenik. Ova se funkcija može eksternalizirati. Mudro dogovorena eksternalizacija funkcije DPO-a može vas riješiti početničkih pogrešaka, uštedjeti mnogo vremena i novaca, te rezultirati kvalitetnijom implementacijom GDPR-a.

Ako niste sigurni da sami dovoljno dobro vladate ovim područjem, nađite nekoga tko ima puno iskustva i već radi na brojnim GDPR projektima. Idealno, neka to bude tvrtka koja će dedicirati iskusnog DPO-a upravo za vas, ali će pored njega osigurati i pravnu i IT podršku. U okviru usluge eksternalizacije zahtijevajte da eksternalizirani DPO zadovoljava sve gore navedene zahtjeve, a posebnu pažnju poklonite iskustvu na drugim GDPR projektima i projektima upravljanja sigurnošću informacija. Ne zaboravite što GDPR znači, DP - Data Protection!

Organizacijska struktura

Na čelu strukture odgovornosti za privatnost bit će DPO, odnosno Službenik za zaštitu osobnih podataka kako se ova funkcija formalno naziva u hrvatskom prijevodu Uredbe, dok ćete sve ostale odgovornosti u idealnom slučaju raspodijeliti kroz organizaciju tako da se integriraju s uobičajenim poslovni odgovornostima. Primjerice, osoba zadužena za upravljanje sigurnošću informacija (CISO) već je odgovorna za sigurnost svih podataka, pa tako i onih osobnih. Sada će se dodatno pobrinuti da se politike sigurnosti usklade s posebnim zahtjevima vezanim uz sigurnost osobnih podataka. Rukovoditelj IT-a će se pobrinuti da se procedure za upravljanje incidentima u informacijskim sustavima prilagode specifičnostima GDPR-a. Rukovoditelji poslovnih sektora identificirat će osobne podatke unutar svojih poslovnih procesa i definirati načine rukovanja ovim podacima u skladu s organizacijskom politikom upravljanja osobnim podacima, odnosno GDPR-om, i tako dalje.

Što je politika upravljanja osobnim podacima? To je dokument kojim uprava izražava svoj stav prema zaštiti osobnih podataka i dodjeljuje odgovornosti za njihovu zaštitu i sukladnost. Takva krovna politika predstavlja osnovu izgradnje sustava upravljanja osobnim podacima. Smjernice za izradu politike upravljanja osobnim podacima možete preuzeti ovdje.

Kod dizajna odgovornosti vodite se pravilom da se odgovornosti vezane uz upravljanje osobnim podacima u maksimalnoj mjeri moraju integrirati u postojeće poslovne procese, a odgovornost trebaju gdje god je to moguće preuzeti osobe koje su već odgovorne za izvršavanje predmetnog procesa. Primjerice, odgovornost za postupanje s osobnim podacima u odjelu prodaje mora snositi ista osoba koja je odgovorna za rezultate tog odjela.

Izvještavanje

Po starom Zakonu ste baze osobnih podataka morali prijaviti AZOP-u. Ova je praksa prepoznata kao neučinkovita i skupa. Trebalo bi, stoga, ukinuti takve sveobuhvatne obveze općeg obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji se umjesto toga usredotočuju na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha.

Od vas se očekuje da odgovorno upravljate osobnim podacima na temelju procjene rizika, odnosno učinka na zaštitu podataka. Morate se sami pobrinuti da se podaci prilikom obrada koriste odgovorno i primjereno štite. Samo ako to nije moguće, o obradi ste dužni izvijestiti odgovarajuće nadzorno tijelo i savjetovati se s njim. Do sada je to bio AZOP, možda će i ostati, a možda dobijemo potpuno novu agenciju. Hrvatski zakon se o tom pitanju još nije odredio.

Pored nadzornog tijela, morat ćete osigurati i izvještavanje vlasnika osobnih podataka o provedenim promjenama u svezi njegovim podacima, kao i o razlozima ne provođenja promjena na njegov zahtjev što morate učiniti u roku mjesec dana od podnošenja zahtjeva. U slučaju da je vlasnik osobnih podataka ishodio privremenu zabranu korištenja njegovih podataka u obradi, prije isteka ove zabrane o tome ga morate obavijestiti.

Ako obrađujete osobne podatke koje vam je ustupila neka druga organizacija, a pristup podacima primjerice traži organ sudske vlasti, o tome ste dužni obavijestiti voditelja obrade, ako zakonska osnova temeljem koje je pristup tražen to ne zabranjuje. Tipični primjer ovakve zabrane bio bi pristup osobnim podacima u svrhu zaštite od terorizma.

U slučaju narušavanja  sigurnosti osobnih podataka morate izvijestiti nadzorno tijelo, i to u roku ne duljem od 72 sata po otkrivanju incidenta, a po potrebi i vlasnika podataka. U ovom izvješću morate minimalno opisati prirodu povrede osobnih podataka, navesti kontakt podatke DPO-a, opisati vjerojatne posljedice incidenta, te mjere koje ste poduzeli za sprječavanja incidenta i smanjenje štete.

Također, dobro bi bilo uspostaviti i proceduru izvješćivanja vlasnika podataka o promjenama sigurnosnih politika ili regulative vezane uz zaštitu osobnih podataka.

Na kraju, ne zaboravite da postoji i unutarnje izvješćivanje. Učinkovitost sustava upravljanja osobnim podacima morate mjeriti. O rezultatima morate izvješćivati Upravu. Jednako tako trebali bi voditi evidencije o provedenim edukacijama i programu podizanja svijesti, i rezultate uključiti u izvještaj za upravu. Interna revizija u svoje izvještaje morat će uključiti i izvještaj o rezultatima revizije sustava upravljanja osobnim informacijama.

 

U sljedećem broju bavit ćemo se promjenama u IT sustavima. Brojem ove su promjene relativno malobrojne, no kompleksnošću i troškom one su najveća prepreka usklađivanju sa GDPR zahtjevima.