Velika škola GDPR-a - lekcija 9 - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Velika škola GDPR-a - lekcija 9  - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Foto: Fotolia

Učinkovito integriranje privatnosti u sve poslovne procese moguće je jedino podizanjem svijesti o značenju osobnih podataka, dobrobiti koje njihova obrada donosi pojedincu i društvu, ali i negativnom utjecaju koji neetička uporaba osobnih podataka može imati. Posve je jasno da će postupak integracije privatnosti u društvo trajati godinama. Organizacije koje upravljaju osobnim podacima u tom postupku moraju biti predvodnici. Ne samo zato što je to dobro za društvo, nego i zato što takav pristup očekuje i GDPR. Kako to izgleda?

DPIA u glavi

U prošloj smo lekciji opisali DPIA – procjenu utjecaja na zaštitu podataka. Intenzivna edukacija zaposlenika zaduženih za upravljanje, dizajn, uspostavu i održavanje poslovnih procesa pomoći će vam u prepoznavanju potrebe za zaštitom osobnih podataka u vašoj organizaciji. Privacy by design idealno je integrirati u sve procese koji mogu rezultirati promjenama u poslovnim procesima ili uvođenjem novih procesa. Tipična životna situacija izgledala bi otprilike ovako:

  1. Organizacija razmišlja o uvođenju nove usluge i kreira tim za procjenu izvedivosti. Ovaj se tim ne mora formalno tako zvati, niti mora biti stvoren isključivo s tim razlogom. U malim dinamičnim organizacijama bit će to razgovor par ključnih ljudi na kavi. U velikima će to biti formalni tim.
  2. Tim je uočio da bi usluga ostvarivala pristup osobnim podacima. U malim će se organizacijama ovo dogoditi samo ako su članovi tima svjesni posljedica korištenja osobnih podataka, dok će u velikim organizacijama dokumentirani proces procjene izvedivosti uključivati i obaveznu identifikaciju uključenosti osobnih podataka.
  3. Članovi tima će provesti DPIA u obimu proporcionalnom utjecaju koji bi narušavanje sigurnosti osobnih podataka u novoj usluzi moglo imati. Po potrebi, konzultirat će i druge stručnjake.
  4. Ocjena izvedivosti morat će se između ostaloga temeljiti i na procjeni izvedivosti adekvatne zaštite osobnih podataka u usluzi.
  5. Kod dizajna usluge, potrebno se voditi slijedećim načelima:
    1. ne prikupljati niti pristupati osobnim podacima koji nisu neophodni za pružanje usluge,
    2. ne pohranjivati osobne podatke kad to nije neophodno,
    3. pristup osobnim podacima omogućiti samo onim osobama i sustavima kojima je to stvarno potrebno, i to samo onim podacima koji im trebaju,
    4. razinu zaštite osobnih podataka uskladiti sa rezultatima DPIA,
    5. osigurati funkcionalnosti za provedbu prava ispitanika (pravo na zaborav, portabilnost, usklađenost obrade s danim privolama…).
    6. Navedena načela integrirati u sve faze dizajna. Ako se npr. radi o razvoju aplikacije, razvojni tim mora biti upoznat sa na ovim načelima i primjenjivati ih kod pisanja koda (npr, ne koristiti “select * from“ za pristup osobnim podacima). Timovi za razvoj aplikacija koje pristupaju osjetljivim podacima bi obavezno trebali biti educirani za sigurno kodiranje.
    7. Osigurati da se stvarni osobni podaci ne koriste u postupku razvoja i testiranja, a ako to nije moguće, adekvatno ih zaštiti od neovlaštenog pristupa.

Isti principi vrijede i za implementaciju bilo kakvih promjena u aplikacijama i procesima, no sve to pada u vodu ukoliko niste identificirali postojanje osobnih podataka i potrebu za njihovom zaštitom. To možete samo ukoliko u organizaciji postoji svijest o vrijednosti osobnih podataka.

Još iz kategorije

Koji SSD odabrati - NVMe ili SATA?

Koji SSD odabrati - NVMe ili SATA?

13.11.2019. komentiraj

Tržište ubrzano preuzimaju SSD diskovi (Solid State Drives) pa više nije pitanje treba li ih izabrati ispred HDD diskova (Hard Disk Drive) već koju vrstu SSD diska izabrati. Jer, to je zapravo podosta komplicirano pitanje zbog brojnih varijabli, ali u konačnici se sve svodi na to izabrati li NVMe (Non-Volatile Memory Express) ili SATA (Serial ATA) vrstu.

KOMENTAR: Hoće li politika odlučivati o prodaji Tele2 Hrvatska ili će presuditi poslovni razlozi

KOMENTAR: Hoće li politika odlučivati o prodaji Tele2 Hrvatska ili će presuditi poslovni razlozi

10.11.2019. komentiraj

U trenutku kada je ove godine najavljena prodaja Tele2 Hrvatska United Groupu rijetko tko je mogao razmišljati o tome da će prodaja zaista potrajati do kraja godine. Iako se tako najavljivao da će transakcija biti gotova do kraja godine. Kako smo već pisali u HAKOM-u nemaju nikakvih problema s ovim preuzimanjem, sada jedino AZTN treba reći svoje ali nakon što su prikupili sve detalje od Tele2 sada su čekali očitovanja zainteresiranih strana. Sada je i to gotovo, svi su svoja mišljenja trebali dostaviti do 8. studenog. I tko je htio mogao je reći što misli, a na samom telekom tržištu su mišljenja podijeljena.

KOMENTAR: HT nastavlja s restrukturiranjem, rezultati vrlo stabilni

KOMENTAR: HT nastavlja s restrukturiranjem, rezultati vrlo stabilni

31.10.2019. komentiraj

Nakon što je u travnju i službeno preuzeo funkciju predsjednika Uprave i CEO-a Constantinos Nempis bilo je jasno da će tvrtka krenuti prema još jednom restrukturiranju, možda ne tako velikom i snažnom kao što je to bilo u prvoj godini mandata Davora Tomaškovića. Ipak poslovni rezultati nisu toliko dobri kao što se to možda moglo očekivati jer prihodi su pali, dobit prije kamata, oporezivanja, amortizacije i deprecijacije (EBITDA) je pala, no da je poslovanje zapravo prilično stabilno pokazuje i vrlo visoka EBITDA marža.