Velika škola GDPR-a - lekcija 9 - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Velika škola GDPR-a - lekcija 9  - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Foto: Fotolia

Učinkovito integriranje privatnosti u sve poslovne procese moguće je jedino podizanjem svijesti o značenju osobnih podataka, dobrobiti koje njihova obrada donosi pojedincu i društvu, ali i negativnom utjecaju koji neetička uporaba osobnih podataka može imati. Posve je jasno da će postupak integracije privatnosti u društvo trajati godinama. Organizacije koje upravljaju osobnim podacima u tom postupku moraju biti predvodnici. Ne samo zato što je to dobro za društvo, nego i zato što takav pristup očekuje i GDPR. Kako to izgleda?

DPIA u glavi

U prošloj smo lekciji opisali DPIA – procjenu utjecaja na zaštitu podataka. Intenzivna edukacija zaposlenika zaduženih za upravljanje, dizajn, uspostavu i održavanje poslovnih procesa pomoći će vam u prepoznavanju potrebe za zaštitom osobnih podataka u vašoj organizaciji. Privacy by design idealno je integrirati u sve procese koji mogu rezultirati promjenama u poslovnim procesima ili uvođenjem novih procesa. Tipična životna situacija izgledala bi otprilike ovako:

  1. Organizacija razmišlja o uvođenju nove usluge i kreira tim za procjenu izvedivosti. Ovaj se tim ne mora formalno tako zvati, niti mora biti stvoren isključivo s tim razlogom. U malim dinamičnim organizacijama bit će to razgovor par ključnih ljudi na kavi. U velikima će to biti formalni tim.
  2. Tim je uočio da bi usluga ostvarivala pristup osobnim podacima. U malim će se organizacijama ovo dogoditi samo ako su članovi tima svjesni posljedica korištenja osobnih podataka, dok će u velikim organizacijama dokumentirani proces procjene izvedivosti uključivati i obaveznu identifikaciju uključenosti osobnih podataka.
  3. Članovi tima će provesti DPIA u obimu proporcionalnom utjecaju koji bi narušavanje sigurnosti osobnih podataka u novoj usluzi moglo imati. Po potrebi, konzultirat će i druge stručnjake.
  4. Ocjena izvedivosti morat će se između ostaloga temeljiti i na procjeni izvedivosti adekvatne zaštite osobnih podataka u usluzi.
  5. Kod dizajna usluge, potrebno se voditi slijedećim načelima:
    1. ne prikupljati niti pristupati osobnim podacima koji nisu neophodni za pružanje usluge,
    2. ne pohranjivati osobne podatke kad to nije neophodno,
    3. pristup osobnim podacima omogućiti samo onim osobama i sustavima kojima je to stvarno potrebno, i to samo onim podacima koji im trebaju,
    4. razinu zaštite osobnih podataka uskladiti sa rezultatima DPIA,
    5. osigurati funkcionalnosti za provedbu prava ispitanika (pravo na zaborav, portabilnost, usklađenost obrade s danim privolama…).
    6. Navedena načela integrirati u sve faze dizajna. Ako se npr. radi o razvoju aplikacije, razvojni tim mora biti upoznat sa na ovim načelima i primjenjivati ih kod pisanja koda (npr, ne koristiti “select * from“ za pristup osobnim podacima). Timovi za razvoj aplikacija koje pristupaju osjetljivim podacima bi obavezno trebali biti educirani za sigurno kodiranje.
    7. Osigurati da se stvarni osobni podaci ne koriste u postupku razvoja i testiranja, a ako to nije moguće, adekvatno ih zaštiti od neovlaštenog pristupa.

Isti principi vrijede i za implementaciju bilo kakvih promjena u aplikacijama i procesima, no sve to pada u vodu ukoliko niste identificirali postojanje osobnih podataka i potrebu za njihovom zaštitom. To možete samo ukoliko u organizaciji postoji svijest o vrijednosti osobnih podataka.

Još iz kategorije

INOVACIJA …  i kako je odbiti

INOVACIJA … i kako je odbiti

13.07.2018. komentiraj

Ne, ovo nije pogreška u naslovu! Stvarno se mislilo „odbiti“, a ne a „dobiti“! To je tema koju smo u raznim instancama vidjeli u više članaka u ovoj kolumni. Od recentnih katastrofalnih promašaja tipa Kodak („digitalna kamera bi nam uništila postojeći posao!“), do prastarih izjava kojima se odbijala inovacija (''Lord Kelvin, Predsjednik The Royal Society, 1895: ''Nemogući su strojevi za letenje teži od zraka.).

INOVACIJA …  i individualni „case study“

INOVACIJA … i individualni „case study“

03.07.2018. komentiraj

U prethodnoj smo kolumni vidjeli da se alternativne izvore financijske i druge potpore inovatorima mora smatrati „nužnim zlom“ jednostavno zato, jer inovaciji nedostaje institucionalna potpora. Tako imamo start-up-ove zato, jer je „golu“ ideju nemoguće prodati. Štoviše, ne može je se niti provesti na način da bi je netko čak i BESPLATNO prihvatio za realizaciju. Svatko tko nešto izmisli, „osuđen“ je i na „egzekuciju“: osnivanje tvrtke, papirologiju zaštite intelektualnog vlasništva, pribavljanje resursa, uspostavu proizvodnje, marketing, te konačno osiguranje tržišnog uspjeha proizvoda nastalog na osnovi inovativne ideje.

INOVACIJA …  i potpora razvoju

INOVACIJA … i potpora razvoju

27.06.2018. komentiraj

Prije prikaza konkretnog slučaja razvoja inovativne ideje potrebno je malo pojasniti kakav je eko-sustav potpora istraživanju i razvoju. Za potrebe financiranja razvoja imamo čak i specijaliziranu banku – EBRD. U ranijoj kolumni INOVACIJA … i poslovni anđeli je prikazano kako je poslovna politika te banke financiranje „samo“ poslovnih poduhvata u visokom stadiju implementacije Na postavljeno pitanje potpore jednoj inovativnoj ideji, za koju je načinjeno istraživanje, prijavljen patent, objavljen preliminarni znanstveni rad i načinjen funkcionirajući prototip, off-record odgovor je bio negativan („To nije područje investiranja za EBRD – daleko prerani stadij razvoja proizvoda. Srdačan pozdrav,...“).