Implementacija GDPR v poslovanje podjetja

Podatki so znanje in v znanju je moč!

Moč podjetij, da do maksimuma izkoristijo svoj potencial, moč organizacij, da optimizirajo poslovne procese, moč državnih organov, da vodijo družbo v boljšo prihodnost, ter moč posameznikov, da si zgradijo kvalitetno življenje. Podatki imajo visoko vrednost, zato jih je treba ščititi, tako poslovne, kot tudi osebne podatke. Tema te revije so osebni podatki in GDPR. Čemu je bil potreben GDPR? Zgoraj omenjena moč ima tudi temnejšo plat. Podjetja bi lahko brez dovoljenja prodajala osebne podatke strank, organizacije bi lahko zlorabile podatke sodelavcev, posamezniki bi lahko vdirali v sisteme ali kot notranje osebe pridobili in preprodajali javnosti skrite podatke znanih osebnosti, država pa, no, državi običajno nikoli ni dovolj osebnih podatkov, ki jih pozna o državljanih, ne glede na to kako osebni so. Zato smo potrebovali GDPR, da si razjasnimo kakšne moči imamo vsi sodelujoči in kako jih v skupno dobro omejiti, pravzaprav ne omejiti temveč usmerjati moč osebnih podatkov v pozitivno smer, zagotoviti skupnemu dobru ustrezno rabo, predvsem pa temu primerno rokovanje z njimi.

Moram priznati, da sem zaradi spleta okoliščin zadnje leto in pol nekoliko bolj odmaknjen od strokovnega dogajanja, tudi na tem področju. Morda nisem več poznavalec in vam ne morem soliti pameti s podrobnostmi o trenutnih razmerah implementacije strategij ustreznega ravnanja z osebnimi podatki na globalnem nivoju, na nivoju naše širše regije, ali celo samo naše male države. Mislim pa, da imam precej prav, če vam rečem, da če želite danes, ko to berete, pričeti s projektom implementacije GDPR, ter ga zaključiti do dne, ko bo direktiva začela veljati, potem ste – prepozni! Ta vlak je že odpeljal. Četudi ste že začeli, do roka verjetno ne boste končali. Pa ne se ustrašiti, marsikdo od mojih kolegov je mnenja, da še zdaleč niste sami. Torej zaenkrat nič hudega. Ste pa pred pomembno odločitvijo! Ali – še danes pričeti oziroma okrepiti aktivnosti na tem področju in si zagotoviti ne le garancijo pred kaznovanji, ne le bolj lagodno življenje po roku, temveč tudi vse prednosti urejenega poslovnega procesa, ki s tem pridejo, ter posledična konkurenčnost ali konkurenčna prednost. Ali pa – tvegati, čakati kaj se bo zgodilo in računati na izogib kazni, in hkrati potoniti v primerjavi z drugimi. Če želite kaj narediti, potem berite dalje.

GDPR – 27. aprila 2016 sprejeta Splošna Uredba o Varstvu Osebnih Podatkov (General Data Protection Regulation) Evropske Unije bo nasledila nacionalne zakone o varstvu osebnih podatkov, kot je pri nas Zakon o Varstvu Osebnih Podatkov ZVOP-1. Implementirati se prične 25. maja 2018. To teoretično pomeni, da bi do srede leta 2018 morale vse organizacije, ki hranijo in obdelujejo osebne podatke državljanov Evropske Unije, biti skladne z zahtevami GDPR. Zahteve opredeljujejo varovanje teh podatkov oziroma obveznosti organizacij, ki hranijo podatke, kakor tudi pravice posameznikov, na katere se podatki nanašajo. V praksi sicer kazen najbrž ne bo spisana takoj na ta dan, če še ne boste v celoti skladni, boste pa sposobni pokazati, da ste jo vsaj deloma dosegli oziroma se aktivno ukvarjate s tem projektom. Zato morda še ni prepozno.

Faze uvajanja GDPR – nasvetov, kako se lotiti implementacije skladnosti z GDPR je nešteto, eden od možen kratki pregled postopka bi bil recimo v naslednjih pet korakih (vir: Alen Šalamun, GDPR v 5 korakih):

  1. Informiranje o direktivi GDPR
  2. Določite osebo zadolženo za uvajanje direktive GDPR
  3. Identifikacija podatkov
  4. Analiza in priprava načrta
  5. Izvajanje načrta

 

Če želite danes začeti, pa do dne implementacije GDPR vsaj nekaj pomembnega narediti, potem čim prej pričnite z identifikacijo podatkov, na podlagi tega vam bo veliko bolj jasno kako naprej.

 

Identifikacija podatkov – na nek način bi lahko rekli, da se informatiki v praksi z implementacijo GDPR prvič zares srečamo v tretji fazi. To je takrat, ko moramo dejansko identificirati osebne podatke v informacijskem sistemu, podatke, za katere bomo morali v naslednjih fazah implementirati za skladnost z GDPR zadostno zaščito in druge ukrepe. Toda s katerim orodjem? Enako, kot za vse druge faze implementacije GDPR, velja tudi za tole: obstaja množica rešitev od množice proizvajalcev, s katerimi si lahko pomagamo. Nobena ni magična in tudi ne vseobsegajoča. V poštev pridejo predvsem orodja iz področij upravljanja informacij (IG – Information Governance) ter zaščite podatkov (DLP – Data Leak Protection). S temi lahko identificiramo vse poslovne podatke, osebni podatki so podmnožica vseh poslovnih podatkov. Identifikacija se običajno sestoji iz dveh korakov, najprej iz določanja predpogojev in nato iz preiskovanja informacijskega sistema. S predpogoji programski opremi povemo oziroma opišemo kaj so podatki, ki jih iščemo, v drugem koraku pa izvemo, kje vse znotraj našega sistema so zares shranjeni.

 

Prvi korak je vzorčenje podatkov, predpogoji, ki določajo podatke, so lahko klasični, na primer seznami poslovnih izrazov ali osebnih imen. Ali algoritmi, ki opredeljujejo format številke kreditne kartice, zdravstvenega zavarovanja, registrska številka avtomobila ipd. Lahko pa si običajno tudi sami vzorčimo osebne podatke iz centralnih repozitorijev, za katere vemo kje so. Seznam osebnih imen, ki bi se lahko pojavljala v zvezi z GDPR zahtevo, lahko na primer pridobimo iz centralne podatkovne baze strank ali iz diskovnega arhiva poslovnih dokumentov.

 

Drugi korak je odkrivanje podatkov, ki na žalost v 101% (sic) podjetij niso hranjeni samo v centralni bazi ali na centralnem disku. V tem primeru bi bilo naše življenje zelo enostavno. Običajno so poslovni in s tem tudi osebni podatki raztreseni po celotnem informacijskem sistemu, po strežnikih in delovnih postajah zaposlenih, ki so si naredili kopije za svoje potrebe, ter tudi v arhivih in na prenosnih medijih. Zato praktično ne moremo vedeti, kje vse so hranjeni podatki določene osebe. Odkrivanje podatkov je postopek samodejnega preiskovanja informacijskega sistema – nestrukturiranih podatkov v datotekah na diskih, ter strukturiranih podatkov v podatkovnih bazah – in izdelave inventarja podatkov. Inventar se lahko pripravlja redno na primer dnevno ali tedensko, ali po potrebi, in je lahko posebej zaščiten – maskiran, anonimiziran ali dostopen samo pooblaščenim osebam. Kasneje ga lahko uporabimo za pomoč pri drugih opravilih, katera od nas zahteva GDPR.

 

Po identifikaciji podatkov, ki je le prva od več praktičnih faz implementacije GDPR, bomo morali rezultate nekako koristno uporabit. Na primer za izdelati poročila, izvoziti rezultate v orodja za sprotno zaznavanje in zaščito osebnih podatkov, ali celo orodja za pomoč pri zagotavljanju skladnosti z GDPR. Dve  pomembni obveznosti podjetij, ki obdelujejo osebne podatke, sta obveza odgovoriti na zahtevo po seznamu vseh o osebi hranjenih podatkov, ter obveza pobrisati vse njene podatke, če oseba to zahteva. Če jih preiščemo, lahko za določeno osebo izvemo katere podatke in kje vse znotraj informacijskega sistema jih hranimo. Tako lahko enostavno pripravimo poročilo o hranjenih podatkih ali si pomagamo izbrisati jih iz vseh lokacij.

 

Kam nas to vodi? K začetku zaščite podatkov. K začetku končne faze implementacije GDPR.

 

Avtor: Robert Lubej