5 razlika koje čine dobrog GDPR konzultanta

5 razlika koje čine dobrog GDPR konzultanta

Foto: DepositPhotos

Svijest o potrebi za zaštitom osobnih podataka ubrzano raste, i to ne samo zahvaljujući GDPR-u. Brojni incidenti uporno nas uče da je bojazan od narušavanja njihove sigurnosti potpuno opravdana. Intenzivna digitalizacija društva eksponencijalno povećava rizik kojem smo izloženi. Više ga jednostavno ne možemo zanemarivati, a posebno to ne smiju činiti oni koji prikupljaju i obrađuju velike količine osjetljivih osobnih podataka. Upravo je sazrijevanje svijesti o potrebi za sustavnom zaštitom osobnih podataka razlog nastanka GDPR uredbe. Svedemo li zahtjeve GDPR na jednu rečenicu, mogli bi reći slijedeće:

GDPR od organizacija zahtijeva transparentno, etičko i sigurno rukovanje osobnim podacima. Posljedično, posao GDPR konzultanta je savjetovati klijenta o organizacijskim, pravnim i tehnološkim pitanjima dizajna poslovnih procesa koji će osigurati transparentnost, etičnost i sigurnost obrada osobnih podataka, ne narušavajući pri tom dostizanje poslovnih ciljeva organizacije.

1.   Razumijevanje ukupne slike

Osobni se podaci štite cjelovitim sustavom zaštite podataka koji se sastoji od ljudi, procesa i tehnologija. Istinsko razumijevanje, često visoko digitaliziranih poslovnih procesa i uloge osobnih podataka u postizanju poslovnih ciljeva organizacije neophodan je preduvjet za savjetovanje o zaštiti osobnih podataka, no nije jedini. Konzultant mora razumjeti specifičnosti korporativne kulture klijenta kako bi s njima uskladio i svoje preporuke. Pored prava iz područja zaštite privatnosti, potrebno je razumjeti cijeli niz regulatornih i specifičnih industrijskih zahtjeva koji se odnose na upravljanje podacima u konkretnoj organizaciji.  Tek nakon svladavanja ovih početnih koraka, može se posvetiti svojim „pravim“ zadacima.

2.   Uspostava procesa upravljanja aktivnostima obrada

Evidencija obrada osobnih podataka je mudro osmišljen obavezni dokument koji je zapravo puno više od samog dokumenta. Njegovo će popunjavanje natjerati organizaciju da shvati bit sustavnog upravljanja podacima. Iako je data management dugo poznata disciplina, tek je uvođenje GDPR-a pokazalo u kojoj mjeri uprave organizacija uopće nisu svjesne obrada podataka koje rade.  Identifikacija pravne osnove za pojedinu obradu neizmjerno je jednostavnija od identifikacije i razumijevanja same obrade, stvarne potrebe za njenim provođenjem i rizika koje ona predstavlja za ispitanika. Donijeti primjer popunjene evidencije je jedno, a uspostaviti proces koji će osigurati da organizacija učinkovito upravlja obradama osobnih podataka, potpuno drugo.

3.   Upravljanje rizikom

Razumijevanje rizika ne svodi se samo na identifikaciju moguće posljedice narušavanja zaštite podataka, nego i na razumijevanje vjerojatnosti da do toga dođe. GDPR konzultant mora razumjeti slabosti u procesima, ranjivosti u IT sustavima i učinkovitost zaštitnih mjera. Mora biti u stanju organizirati radionice analize rizika u obradama osobnih podataka, te kompetentno razgovarati sa pravnim, poslovnim i tehničkim stručnjacima. Umanjivanje rizika često se postiže spregom promjena u poslovnim procesima i tehnologijama koje podržavaju njihov rad. GDPR konzultant mora proaktivno predlagati poboljšanja primjenom kojih će organizacija razinu rizika od povrede zaštite osobnih podataka svesti na prihvatljivu razinu, pri tom ne ugrožavajući njenu produktivnost. Mora se znati prilagoditi postojećim metodologijama upravljanja rizikom ili uspostaviti nove gdje je to potrebno.

4.   Komunikacija i podizanje svijesti

Temelj na kojem se gradi uspješna organizacija, pa tako i organizacija koja brine o zaštiti osobnih podataka su njeni zaposlenici. Educirani i svjesni svojih odgovornosti, oni su najbolja zaštita prava ispitanika. GDPR konzultant mora biti odličan komunikator i promotor vrijednosti zaštite privatnosti i osobnih podataka, Ne samo da mora znati razviti programe edukacije i podizanja svijesti. Radnike mora motivirati da etičnost u upravljanju osobnim podacima i njihovu zaštitu dožive kao svoje vlastite ciljeve, a upravu da ih uključi u strateške ciljeve poslovanja. Komunikacija prema ispitanicama koju priprema dobar konzultant ne mora biti samo točna. Ona mora biti jasna, upravo na pravim mjestima, u pravom trenutku, zanimljiva i dizajnirana u cilju postizanja poslovnih ciljeva organizacije.

5.   Mjerenje i kontinuirano poboljšavanje

Netočno je reći da se organizacije moraju uskladiti sa GDPR. Organizacije moraju osigurati kontinuiranu usklađenost sa GDPR-om i drugim regulatornim zahtjevima. Organizacija koja je postupak usklađivanja zamislila kao jednokratnu aktivnost, nije shvatila bit same Uredbe. Usklađivanje sa GDPR-om podrazumijeva uspostavu i stalno poboljšavanje procesa upravljanja zaštitom osobnih podatka i usklađenošću. Kako bi ih mogli poboljšavati, njihova se učinkovitost mora mjeriti. Dobar konzultant definirat će načine mjerenja usklađenosti i pomoći u definiranju ciljeva koje treba postići.

Zaključak na kraju

Ulogu GDPR konzultanta u organizacijama čije obrade ne mogu prouzročiti posebno veliki rizik za prava i slobode ispitanika, može preuzeti službenik za zaštitu podataka – DPO. U takvom ga slučaju treba intenzivno educirati u područjima prava, upravljanja, informacijske sigurnosti, komunikacijskih vještina… a iznad svega, uključiti ga kao savjetnika kod donošenja odluka o obradi osobnih podataka.

Obrađujete li velike količine osjetljivih podataka, dobrog GDPR konzultanta teško ćete naći u jednoj osobi. Umjesto toga, fokusirajte se na traženje iskusnog tima stručnjaka koji zaštitu osobnih podataka mogu sagledati sa svih strana.  Poželjno je da članovi takvog tima imaju značajno iskustvo u zaštiti osobnih podataka, preporuke klijenata i stručne certifikate poput OCPP, CIPP, CIPM, CISA, PMP, CISSP, CISM.

Još iz kategorije

INOVACIJA … koja uvijek evoluira

INOVACIJA … koja uvijek evoluira

10.06.2019. komentiraj

U jednoj davnoj kolumni  prikazali smo kako izgleda životni ciklus inovacije, mnemotehnika je 8E's: Zaokružili smo životnu fazu „razvoj inovacije“ – EVOLVE – koja nas ovdje zanima, a i zato jer je u sebi vrlo proturječna! Ilustracija ove tvrdnje je u tome da kad netko smisli ideju za koju vjeruje da je inovativna odmah dolaze oponenti. Oni imaju j još bolje ideje ili unapređuju izvornu. Ideator je time obično frustriran, jer se njegova brilijantna ideja ne prihvaća bez pogovora.  Pri tome zaboravlja da je i ta njegova ideja vjerojatno samo „evolucija“ nekog ranijeg rješenja. Zato treba u svakoj situaciji biti otvoren prema novim rješenjima, ali ih ne treba prihvaćati nekritički.

Samsung jedini profitira na nedaćama Huaweija

Samsung jedini profitira na nedaćama Huaweija

04.06.2019. komentiraj

Googleova odluka o oduzimanju licence za Android Huaweiju, koju je vrlo brzo ublažio, ukazala je na cijeli niz problema u tehnološkom sektoru i već nakon desetak dana potpuno je jasno da se naredbe kao ona američkog predsjednika Donalda Trumpa ne mogu donositi ishitreno, prvenstveno jer zabrana trgovanja na najvišim razinama štete apsolutno svima. Osim Samsungu...

KOMENTAR: Očekivana prodaja Tele2 Hrvatska, sljedeća meta Optima Telekom

KOMENTAR: Očekivana prodaja Tele2 Hrvatska, sljedeća meta Optima Telekom

01.06.2019. komentiraj

Kada je i službeno potvrđeno da je Tele2 Hrvatska prodan United Grupi postalo je jasno da se dugo najavljivana prodaja napokon dogodila. Iako su neki isticali kako je Tele2 AB, kao vlasnik Tele2 Hrvatska, objavom u poslovnom izvješću o tome kako su zadovoljni poslovanje i kako nastavljaju s ulaganjima zapravo otklonio mogućnost prodaje to je zapravo bio dokaz da su na nju spremni. Pogotovo prikazani svi parametri poslovanja koji su rasli čime se vrijednost prodaje povećavala.