Uredba GDPR prihaja. Kdor čaka, dočaka – težave?

Poslovna priložnost: brezbrižnemu ravnanju s podatki v podjetjih bo z GDPR odklenkalo, kar pa omogoča izboljšanje praks.

Objavljeno
09. marec 2018 17.52
Vinko Seliškar
Vinko Seliškar
Pogosto je, da z uvajanjem sprememb čakamo do zadnjega (zakonsko določenega datuma). A če gre za temeljite spremembe, kakršne določa nova Splošna uredba o varstvu podatkov (GDPR), je jasno, da na »horuk« tokrat ne bo šlo. Upravljavci in obdelovalci osebnih podatkov morajo do konca maja ustrezno urediti upravljanje in varovanje osebnih podatkov.

»Podjetja, ki še vedno čakajo, da bodo na podlagi vzorčnih pristopov ’velikih’ lahko posnela zadovoljivo raven usklajenosti ali pa na novi Zakon o varstvu osebnih podatkov (ZVOP-2) in bodo tako lahko lažje razumela dopolnitve v slovenskem jeziku in prilagodila procese v svojem poslovnem okolju, bodo naletela na težave pri odzivu na spremembe, saj bi vsaj načrte za uvedbo novosti, ki jih uredba predpisuje, že morala imeti. GDPR prihaja na prvi tir skozi »pogojno osvetljen predor« razprav javnosti in stroke, mnenj o težavah, strahom pred spremembami in zagroženih visokih kaznih. Obložena je tudi s stroški ob uvedbi dodatnih procesov in IT-rešitev za zagotavljanje skladnosti,« komentira Suzana Jenko, vodja projektov v podjetju CRMT.

Podjetja, ki se po varnostno prilagojenih informacijskih železniških tirih že vozijo, imajo manj vzrokov za zaskrbljenost. Tistim, ki so že na vlaku, opremljenem z mehanizmi za zagotavljanje skladnosti s sedanjo zakonodajo (ZVOP-1), za uvedbo GDPR ne bo treba izvajati večjih sprememb.

Ureditev poslovanja kot priložnost

GDPR prinaša spremembe, ki jih podjetja lahko izkoristijo kot priložnosti za ureditev lastnih poslovnih procesov, skrbništva nad podatkovnimi zbirkami ter odnosov s posamezniki. S tem ko tako imenovanim podatkovnim subjektom omogočijo izbire, ponudijo določene nove pravice in prikažejo transparentnost glede privolitev za obdelavo in hrambo njihovih podatkov, si zagotovijo višjo raven varnosti in zaupanja, navsezadnje tudi pripadnosti.

»Luč na koncu predora vsekakor je, kdor se ustrezno pripravi, ne bo iztiril. Nasprotno, izzive GDPR lahko celo izkoristi za uvedbo dodane vrednosti v poslovne procese in informacijske rešitve. Pri urejanju skladnosti vidimo veliko priložnosti, predvsem na področju podatkov, ki postajajo digitalno zlato in jih je treba primerno varovati, obdelovati in obvladovati v širšem pomenu besede,« dodaja Jenkova.

Povod za ukrepanje naj ne bo strah pred kaznimi

Podjetja zaradi uredbe GDPR ne bi smela uvajati tehnoloških dopolnitev zgolj zato, da se izognejo zagroženim kaznim. Rešitve bi bilo treba izkoristiti za izboljšanje poslovnih učinkov. Tudi v uradu informacijskega pooblaščena svetujejo širši pogled uvedbe novih pravil glede varstva osebnih podatkov v redno poslovanje. V CRMT so pomembnejša področja opazovanja na podlagi priporočil informacijskega pooblaščenca strnili takole:

(1) Preverite in prilagodite popis zbirk osebnih podatkov in to razširite v priložnost, da uredite kataloge podatkov v širšem smislu (ne samo osebne podatke), vključite nahajališča izvornih sistemov, procesov in namenov pridobivanja privolitev s skrbniki.

(2) Preverite veljavnost (jasnost, razumljivost, nedvoumnost, dokazljivost in veljavnost) privolitev in poskrbite, da bodo procesi pridobivanja bodočih privolitev ustrezni.

(3) Pripravite se na izvajanje načela odgovornosti in presodite, katere prilagoditve so potrebne: priprava ocene učinka, morda uvedba vloge pooblaščene osebe za varstvo osebnih podatkov (DPO) ali najem pogodbene storitve.

(4) Dopolnite varnostne politike skladno s kodeksi ravnanja z osebnimi podatki, podporo procesom za obravnavo zahtev posameznikov in obvladovanju privolitev.

(5) Uvedite procese podpore za različne komunikacijske poti upravljanja privolitev, nameni v zvezi s poslovnimi procesi in izvornimi sistemi obdelovanja podatkov.

(6) Pripravite okolje za informatizacijo zagotavljanja pravic posameznikov za zahteve po obvladovanju njihovih osebnih podatkov.

Ponudniki rešitev so se osredotočili predvsem na zagotavljanje podpore podjetjem, ki še niso opravila ključnih korakov pri zagotavljanju skladnosti z uredbo GDPR. Prvi korak je povsem logičen – podjetja morajo najprej poskrbeti za preverjanje, prilagoditev in popis zbirk (osebnih) podatkov. Hkrati je smiselno pristopiti k presoji privolitev in njihovi veljavnosti kot tudi k ureditvi procesov njihovega pridobivanja. Pregledu postopkov pri obdelovanju osebnih podatkov, skrbništvu nad njimi in posameznikovih pravic šele sledi tehnična obdelava s sistemi in poslovnimi rešitvami obdelovalcev podatkov.

Kako naprej z GDPR?

»Uredba GDPR je tako gotova stvar kot smrt in davki. Podjetja jo lahko sprejmejo kot svojo usodo in se ustrezno prilagodijo ali pa jo uporabijo kot katalizator za ponovno opredelitev pristopa k uporabi osebnih podatkov, obvladovanju poslovanja in vrednosti strank ter dolgo in zdravo življenje industrije, ki se ukvarja s podatki,« pravi Slavko Kastelic, direktor prodaje v CRMT.

Ob razmišljanju o pozitivnih in dolgoročnih koristih uredbe GDPR začno podjetja spoznavati in razumevati, kaj lahko storijo, da bodo uvedbo uredbe čim bolj izkoristila tudi za izboljšanje lastnega poslovanja in povečanja pripadnosti strank. Dodatne priložnosti so predvsem na treh področjih.

Pri strankah povečati zaupanje v obdelovalca podatkov

Strokovnjaki podjetjem svetujejo, naj poslovne procese uskladijo in prilagodijo potrebam strank oziroma modelirajo nove procese, pri čemer naj bo jasno opredeljeno, zakaj podjetje zbira določene podatke, kako jih bo v procesih obdelovalo in s kakšnim namenom, s katerim se stranka strinja, mu zaupa in v to privoli. Strankam in poslovnim uporabnikom mora biti jasno, kakšen potencial predstavljajo podatki in kakšno vrednost ima stranka za podjetje ter kaj dobi v zameno za dovoljenje glede zbiranja, hrambe in obdelave svojih podatkov. »GDPR naj bo orodje, ki zagotavlja jasnost o danih privolitvah, strinjanju na obeh straneh in zagotavlja zaupanja vredno doslednost njihove uporabe, kar za vse stranke pomeni konkretno korist,« pojasnjuje Kastelic.

Z uporabo podatkov do pametnejših odločitev

Z GDPR bo stranka prevzela nadzor nad tem, katere podatke je mogoče zbirati, obdelovati, uporabljati in hraniti, kar seveda pomeni tudi tveganje, da se bosta obseg in globina zbranih podatkov, zmanjšala. Podatke poslovni subjekti zdaj uporabljajo ne le za boljšo prodajo, ampak tudi za razvoj izdelkov in storitev, saj so ključni sestavni del uporabniške izkušnje.

»Če bodo stranke spoznale, da jim privolitve prinašajo tudi koristi, se bo povečalo zaupanje v podjetje tudi z dostopnostjo do podatkov. Kdor dela stvari prav, bo od strank pridobil še več podatkov v zameno za boljšo uporabniško izkušnjo,« meni Kastelic.

Osredotočite se na pomembne stvari

Dostop do podatkov stranke je privilegij, ki ga je treba varovati skrbno, brezhibno in transparentno (dostopanja in obdelave). Hranjenje in uporaba podatkov morata biti sledljiva, varna, po predvidenih postopkih, utemeljena z jasnimi varnostnimi politikami in postopki ob morebitnih kršitvah ali grožnjah. Na vseh poslovnih področjih mora podjetje jasno določiti odgovornosti in pravila ravnanja s podatki. Brezbrižnemu ravnanju s podatki v podjetjih bo z GDPR odklenkalo, skrb zanje bo odgovornost vseh – od poslovnih uporabnikov, skrbnikov podatkovnih zbirk, poslovnih procesov do vseh nosilcev odgovornosti, direktorjev podjetja.