Podravka

U prednosti su poduzetnici koji su naučili ponešto o sljedivosti.

Zadnji je čas za obrazovanje kadra za primjenu GDPR-a, ali i pseudonimizaciju podataka i njihovu enkripciju, osmišljavanje i uvođenje politike povjerljivosti te brigu za otpornost cijelog sustava. Pomoći mogu IT alati, ali ključan je angažman zaposlenika.

Glavne obveze GDPR-a više-manje su također poznate. Vezano uz podatke koje tvrtka prikuplja o svojim klijentima i zaposlenicima, potrebno je napraviti inventuru osobnih podataka koje kompanija aktualno posjeduje i obrađuje, zatim procijeniti rizike povezane s osobnim podacima te suziti opseg osobnih podataka koji se prikupljaju na one koji su nužni za određenu svrhu. A u svrhu zaštite tih podataka od ‘curenja’, pa onda i zloupotreba, kompanije trebaju provesti organizacijske i tehničke mjere koje će osigurati sigurnost osobnih podataka kojima barataju, uspostaviti proces koji jamči redovito ocjenjivanje i procjenjivanje učinkovitosti poduzetih mjera te osigurati sljedivost procesa i poduzetih napora za zaštitu informacijske sigurnosti. Sve to podrazumijeva obučavanje kadra za primjenu GDPR-a te provedbu pseudonimizacije podataka, njihove enkripcije, kreiranje i uvođenje politika povjerljivosti, kao i brigu za otpornost cijelog sustava.

Te na brzinu pobrojene obveze čine se komplicirane, a sigurno i jesu. Naime, u današnje digitalno doba sklonost ljudi i društva prikupljanju podataka najizraženija je u povijesti. Sve se prikuplja i pohranjuje na računalne poslužitelje u nadi da će se moći iskoristiti na neki način, uglavnom komercijalni. A bojazan od zloupotrebe tih podataka u kriminalne svrhe razlog je zbog kojeg ih Europska unija želi legislativom bolje zaštititi. Poduzetnicima koji imaju sreću da su uveli ISO certifikate taj će proces biti lakši jer su tim alatima u svoju organizaciju uveli strukturiranu sljedivost, a ne samo usko vezanu uz vlastite procese i procjenu nužnosti.

ISO certifikati uvijek traže sljedivost procesa u organizaciji. S tog aspekta svaki je takav certifikat koristan jer je u organizaciji potaknuo svijest o potrebi za dokumentiranjem i sljedivošću procesa. Jednako tako ISO certifikati traže nadzor, mjerenje, analizu i kontinuirano poboljšanje sustava, što je sve potrebno i u ispunjavanju zahtjeva GDPR-a. Posebno ISO 27001, certifikat koji se odnosi na upravljanje informacijskom sigurnošću, detaljno razrađuje to područje pa uvelike pomaže jer organizacija ima već razrađene politike i procedure, procjenu i upravljanje rizicima i sve druge posebne elemente. Problematika osobnih podataka u tom smislu sagledava se samo kao dodatna kategorija unutar već postavljenog sustava – ustvrdio je Boris Stipetić, tehnološki konzultant u zagrebačkom Megatrendu.

Dakle, poduzetnici koji su uz ISO certificiranje naučili ponešto o sljedivosti u maloj su prednosti. No u toliko kratkom roku sigurno nije jednostavno organizirati sveobuhvatnu edukaciju i certificiranje u bilo kojoj organizaciji, a osim toga, za ispunjavanje obveza GDPR-a potrebne su i dodatne procedure jer je ISO samo jedan od korisnih alata. No s obzirom na to da danas svi uglavnom rade s podacima u digitalnom obliku, barem u sferama u kojima država ne postavlja izričit zahtjev za papirnatim podacima pomoću u ispunjavanju obveza GDPR-a može se pronaći u IT sektoru. Pritom, ne postoji univerzalan alat i još će dosta posla biti potrebno odraditi unutar same tvrtke.

Kako je objasnio Stipetić, izbor IT alata ponajprije ovisi o postojećoj IT arhitekturi korisnika te o njegovim znanjima i potrebama, a primjena alata može se razvrstati na dva načina te u dvije grupe, onima direktno povezanim s uvođenjem GDPR-a i onima u indirektnoj vezi.

Ovisno o vrsti podataka kojima barataju, alati se mogu raščlaniti na alate za upravljanje podacima u bazama, primjerice ERP, CRM ili ECM te alate za upravljanje podacima koji su pohranjeni odnosno pristupa im se na drugačiji način, poput osobnih podataka u e-mailovima ili na diskovima. Ovisno o grupi alata, može ih podijeliti na alate u ‘discovery’ fazi te alate u daljnjoj primjeni procesa upravljanja podacima utvrđenih GDPR-om.

U fazi otkrivanja treba pronaći gdje su sve privatni podaci, bez obzira na to je li riječ o onima u bazama podataka ili na drugim mjestima, kao što je e-pošta. Vrlo često korisnici nisu ni svjesni gdje su im sve podaci, osobito ako govorimo o podacima koji nisu u bazama i tko im sve može i kako pristupiti. Nakon otkrivanja vrste i svih lokacija podataka koje sadržavaju privatne podatke, potrebno je razraditi niz procedura i procesa upravljanja tim podacima. Ispravno odabrani i primijenjeni IT alati u svakom slučaju omogućit će kvalitetno upravljanje privatnim podacima. Alati za nadzor podataka izvan baza podataka ponajprije moraju omogućiti praćenje i kontrolu lokacije podataka te kontrolu pristupa.