Velika škola GDPR-a - lekcija 9 - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Velika škola GDPR-a - lekcija 9  - Integriranje privatnosti u dizajn procesa i IT sustava – Privacy by design

Foto: Fotolia

Učinkovito integriranje privatnosti u sve poslovne procese moguće je jedino podizanjem svijesti o značenju osobnih podataka, dobrobiti koje njihova obrada donosi pojedincu i društvu, ali i negativnom utjecaju koji neetička uporaba osobnih podataka može imati. Posve je jasno da će postupak integracije privatnosti u društvo trajati godinama. Organizacije koje upravljaju osobnim podacima u tom postupku moraju biti predvodnici. Ne samo zato što je to dobro za društvo, nego i zato što takav pristup očekuje i GDPR. Kako to izgleda?

DPIA u glavi

U prošloj smo lekciji opisali DPIA – procjenu utjecaja na zaštitu podataka. Intenzivna edukacija zaposlenika zaduženih za upravljanje, dizajn, uspostavu i održavanje poslovnih procesa pomoći će vam u prepoznavanju potrebe za zaštitom osobnih podataka u vašoj organizaciji. Privacy by design idealno je integrirati u sve procese koji mogu rezultirati promjenama u poslovnim procesima ili uvođenjem novih procesa. Tipična životna situacija izgledala bi otprilike ovako:

  1. Organizacija razmišlja o uvođenju nove usluge i kreira tim za procjenu izvedivosti. Ovaj se tim ne mora formalno tako zvati, niti mora biti stvoren isključivo s tim razlogom. U malim dinamičnim organizacijama bit će to razgovor par ključnih ljudi na kavi. U velikima će to biti formalni tim.
  2. Tim je uočio da bi usluga ostvarivala pristup osobnim podacima. U malim će se organizacijama ovo dogoditi samo ako su članovi tima svjesni posljedica korištenja osobnih podataka, dok će u velikim organizacijama dokumentirani proces procjene izvedivosti uključivati i obaveznu identifikaciju uključenosti osobnih podataka.
  3. Članovi tima će provesti DPIA u obimu proporcionalnom utjecaju koji bi narušavanje sigurnosti osobnih podataka u novoj usluzi moglo imati. Po potrebi, konzultirat će i druge stručnjake.
  4. Ocjena izvedivosti morat će se između ostaloga temeljiti i na procjeni izvedivosti adekvatne zaštite osobnih podataka u usluzi.
  5. Kod dizajna usluge, potrebno se voditi slijedećim načelima:
    1. ne prikupljati niti pristupati osobnim podacima koji nisu neophodni za pružanje usluge,
    2. ne pohranjivati osobne podatke kad to nije neophodno,
    3. pristup osobnim podacima omogućiti samo onim osobama i sustavima kojima je to stvarno potrebno, i to samo onim podacima koji im trebaju,
    4. razinu zaštite osobnih podataka uskladiti sa rezultatima DPIA,
    5. osigurati funkcionalnosti za provedbu prava ispitanika (pravo na zaborav, portabilnost, usklađenost obrade s danim privolama…).
    6. Navedena načela integrirati u sve faze dizajna. Ako se npr. radi o razvoju aplikacije, razvojni tim mora biti upoznat sa na ovim načelima i primjenjivati ih kod pisanja koda (npr, ne koristiti “select * from“ za pristup osobnim podacima). Timovi za razvoj aplikacija koje pristupaju osjetljivim podacima bi obavezno trebali biti educirani za sigurno kodiranje.
    7. Osigurati da se stvarni osobni podaci ne koriste u postupku razvoja i testiranja, a ako to nije moguće, adekvatno ih zaštiti od neovlaštenog pristupa.

Isti principi vrijede i za implementaciju bilo kakvih promjena u aplikacijama i procesima, no sve to pada u vodu ukoliko niste identificirali postojanje osobnih podataka i potrebu za njihovom zaštitom. To možete samo ukoliko u organizaciji postoji svijest o vrijednosti osobnih podataka.

Još iz kategorije

KOMENTAR: HT stabilno, ali kreće nova transformacija

KOMENTAR: HT stabilno, ali kreće nova transformacija

25.07.2019. komentiraj

Poslovni rezultati najjačeg domaćeg telekoma Hrvatskog Telekoma pokazuju stabilnost s obzirom na vrlo izazovnu tržišnu utakmicu, ali i dokazuju da će doći do promjena koje dolazi s novim predsjednikom Uprave Konstantinos Nempisom koji je kompaniju preuzeo na početku drugog kvartala ove godine.

RFID – temelj uredske sigurnosti?

RFID – temelj uredske sigurnosti?

24.07.2019. komentiraj

Bili svjesni toga ili ne, svi smo u nekom trenutku u životu koristili RFID. Prvi radioodašiljači korišteni tijekom Drugog svjetskog rata pokrenuli su razvoj te tehnološke grane. Kroz stalnu evoluciju ona je u međuvremenu narasla tako da obuhvaća moderne često korištene ID kartice koje se oslanjaju na radiofrekvencijsku identifikaciju i daljinske ključeve na baterije. U ne tako dalekoj budućnosti možda će ljudi čak koristiti mikročipove ugrađene u tijela da bi se prijavljivali na računala i plaćali na aparatima za kavu i pića. Sveprisutnost RFID-a znači da se njegove prednosti često uzimaju zdravo za gotovo, no ne treba ih podcjenjivati.

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

KOMENTAR: Zatvoreno jedno poglavlje telekom tržišta u Hrvatskoj – Tele2 odlazi, konačna konsolidacija ili tko će kupiti Optima Telekom

17.07.2019. komentiraj

Za švedskog vlasnika Tele2 Hrvatska priča je završena. Tele2 AB je odmah na početku svog šestomjesečnog izvješća istaknuo kako Tele2 podaje svoje poslovanje u Hrvatskoj i kao takvog ga smatraju završenim i posebno to ističu tijekom cijelog izvješća. Čak ga i ne prikazuju u grupnim rezultatima nego navode kao „Tele2 Croatia is reported as a discontinued operation for all periods“ odnosno nema više Tele2 Hrvatska kao dijela grupacije.