Svijest o potrebi za zaštitom osobnih podataka ubrzano raste, i to ne samo zahvaljujući GDPR-u. Brojni incidenti uporno nas uče da je bojazan od narušavanja njihove sigurnosti potpuno opravdana. Intenzivna digitalizacija društva eksponencijalno povećava rizik kojem smo izloženi. Više ga jednostavno ne možemo zanemarivati, a posebno to ne smiju činiti oni koji prikupljaju i obrađuju velike količine osjetljivih osobnih podataka. Upravo je sazrijevanje svijesti o potrebi za sustavnom zaštitom osobnih podataka razlog nastanka GDPR uredbe. Svedemo li zahtjeve GDPR na jednu rečenicu, mogli bi reći slijedeće:
GDPR od organizacija zahtijeva transparentno, etičko i sigurno rukovanje osobnim podacima. Posljedično, posao GDPR konzultanta je savjetovati klijenta o organizacijskim, pravnim i tehnološkim pitanjima dizajna poslovnih procesa koji će osigurati transparentnost, etičnost i sigurnost obrada osobnih podataka, ne narušavajući pri tom dostizanje poslovnih ciljeva organizacije.
1. Razumijevanje ukupne slike
Osobni se podaci štite cjelovitim sustavom zaštite podataka koji se sastoji od ljudi, procesa i tehnologija. Istinsko razumijevanje, često visoko digitaliziranih poslovnih procesa i uloge osobnih podataka u postizanju poslovnih ciljeva organizacije neophodan je preduvjet za savjetovanje o zaštiti osobnih podataka, no nije jedini. Konzultant mora razumjeti specifičnosti korporativne kulture klijenta kako bi s njima uskladio i svoje preporuke. Pored prava iz područja zaštite privatnosti, potrebno je razumjeti cijeli niz regulatornih i specifičnih industrijskih zahtjeva koji se odnose na upravljanje podacima u konkretnoj organizaciji. Tek nakon svladavanja ovih početnih koraka, može se posvetiti svojim „pravim“ zadacima.
2. Uspostava procesa upravljanja aktivnostima obrada
Evidencija obrada osobnih podataka je mudro osmišljen obavezni dokument koji je zapravo puno više od samog dokumenta. Njegovo će popunjavanje natjerati organizaciju da shvati bit sustavnog upravljanja podacima. Iako je data management dugo poznata disciplina, tek je uvođenje GDPR-a pokazalo u kojoj mjeri uprave organizacija uopće nisu svjesne obrada podataka koje rade. Identifikacija pravne osnove za pojedinu obradu neizmjerno je jednostavnija od identifikacije i razumijevanja same obrade, stvarne potrebe za njenim provođenjem i rizika koje ona predstavlja za ispitanika. Donijeti primjer popunjene evidencije je jedno, a uspostaviti proces koji će osigurati da organizacija učinkovito upravlja obradama osobnih podataka, potpuno drugo.
3. Upravljanje rizikom
Razumijevanje rizika ne svodi se samo na identifikaciju moguće posljedice narušavanja zaštite podataka, nego i na razumijevanje vjerojatnosti da do toga dođe. GDPR konzultant mora razumjeti slabosti u procesima, ranjivosti u IT sustavima i učinkovitost zaštitnih mjera. Mora biti u stanju organizirati radionice analize rizika u obradama osobnih podataka, te kompetentno razgovarati sa pravnim, poslovnim i tehničkim stručnjacima. Umanjivanje rizika često se postiže spregom promjena u poslovnim procesima i tehnologijama koje podržavaju njihov rad. GDPR konzultant mora proaktivno predlagati poboljšanja primjenom kojih će organizacija razinu rizika od povrede zaštite osobnih podataka svesti na prihvatljivu razinu, pri tom ne ugrožavajući njenu produktivnost. Mora se znati prilagoditi postojećim metodologijama upravljanja rizikom ili uspostaviti nove gdje je to potrebno.
4. Komunikacija i podizanje svijesti
Temelj na kojem se gradi uspješna organizacija, pa tako i organizacija koja brine o zaštiti osobnih podataka su njeni zaposlenici. Educirani i svjesni svojih odgovornosti, oni su najbolja zaštita prava ispitanika. GDPR konzultant mora biti odličan komunikator i promotor vrijednosti zaštite privatnosti i osobnih podataka, Ne samo da mora znati razviti programe edukacije i podizanja svijesti. Radnike mora motivirati da etičnost u upravljanju osobnim podacima i njihovu zaštitu dožive kao svoje vlastite ciljeve, a upravu da ih uključi u strateške ciljeve poslovanja. Komunikacija prema ispitanicama koju priprema dobar konzultant ne mora biti samo točna. Ona mora biti jasna, upravo na pravim mjestima, u pravom trenutku, zanimljiva i dizajnirana u cilju postizanja poslovnih ciljeva organizacije.
5. Mjerenje i kontinuirano poboljšavanje
Netočno je reći da se organizacije moraju uskladiti sa GDPR. Organizacije moraju osigurati kontinuiranu usklađenost sa GDPR-om i drugim regulatornim zahtjevima. Organizacija koja je postupak usklađivanja zamislila kao jednokratnu aktivnost, nije shvatila bit same Uredbe. Usklađivanje sa GDPR-om podrazumijeva uspostavu i stalno poboljšavanje procesa upravljanja zaštitom osobnih podatka i usklađenošću. Kako bi ih mogli poboljšavati, njihova se učinkovitost mora mjeriti. Dobar konzultant definirat će načine mjerenja usklađenosti i pomoći u definiranju ciljeva koje treba postići.
Zaključak na kraju
Ulogu GDPR konzultanta u organizacijama čije obrade ne mogu prouzročiti posebno veliki rizik za prava i slobode ispitanika, može preuzeti službenik za zaštitu podataka - DPO. U takvom ga slučaju treba intenzivno educirati u područjima prava, upravljanja, informacijske sigurnosti, komunikacijskih vještina... a iznad svega, uključiti ga kao savjetnika kod donošenja odluka o obradi osobnih podataka.
Obrađujete li velike količine osjetljivih podataka, dobrog GDPR konzultanta teško ćete naći u jednoj osobi. Umjesto toga, fokusirajte se na traženje iskusnog tima stručnjaka koji zaštitu osobnih podataka mogu sagledati sa svih strana. Poželjno je da članovi takvog tima imaju značajno iskustvo u zaštiti osobnih podataka, preporuke klijenata i stručne certifikate poput OCPP, CIPP, CIPM, CISA, PMP, CISSP, CISM.
