GDPR ni projekt, je program, ki zadeva vse delo podjetja

Potem ko se je v podjetjih usidralo zavedanje, da se hitro bliža začetek veljavnosti uredbe GDPR, je nastopil čas, da ta izdelajo in uresničijo akcijski načrt doseganja združljivosti z uredbo.

Uredba bo velik zalogaj za številna podjetja, a kdor se je loti na pravi način, ima več možnosti, da doseže boljši rezultat in ima nižje stroške. Podatkovni strokovnjaki podjetjem svetujejo pet osnovnih korakov:

1. Iskanje (vseh) podatkov

Prvi korak dolge poti doseganja združljivosti z uredbo GDPR se začne z iskanjem podatkov v vseh podatkovnih virih in nosilcih informacij. Ne glede na tehnologijo mora podjetje pregledati dobesedno vse – papirne dokumente, klasična podatkovna skladišča, strežniške gruče, vse naprave, ki imajo sposobnost hranjenja podatkov ... Spopasti se je treba s strukturiranimi in nestrukturiranimi podatki, podatki v gibanju in podatki v mirovanju. Naloga je najti vse lokacije v poslovnem okolju, kjer se hranijo ali obdelujejo (beri: uporabljajo) osebnih podatki strank ali uporabnikov. Dostop do vseh virov podatkov je seveda prvi pogoj izdelave seznama ali zemljevida rabe osebnih podatkov, ki ga bo podjetje potrebovalo za oceno tveganja razkritja podatkov in zasebnosti ter uvedbo pravil varovanja zasebnosti. Pri tem se podjetja preprosto ne morejo zanašati na mnenje zaposlenih, kje bi morda osebni podatki lahko še bili, temveč potrebujejo tehnične rešitve, ki to zanesljivo uredijo. Uredba od organizacij zahteva, da dokažejo, kje imajo osebne podatke – in kje jih nimajo.

2. Prepoznavanje osebnih podatkov

Potem ko ima podjetje dostop do vseh podatkovnih virov, se lahko loti odkrivanja osebnih podatkov v njih. Že tu pogosto nastopijo resne težave, saj so lahko osebni podatki zakopani v napol strukturiranih vnosih, zato bo iskanje podatkov in njihovo urejanje ter predalčkanje nadvse zahtevno, preden bo nastal uporaben seznam imen, e-poštnih naslovov, davčnih številk itd. Sploh v poslovnih okoljih, ki imajo opraviti z na tisoče ali milijone strankami in uporabniki. Tu pridejo v poštev rešitve, ki zagotavljajo kakovost podatkov in premorejo tehnologije prepoznavanja vzorcev, saj ročnega dela preprosto ne more biti.

3. Priprava pravil dela z osebnimi podatki

Pravo obvladovanje osebnih podatkov se začne šele takrat, ko podjetje ali organizacija zna opredeliti, kaj osebni podatek sploh je, in pravila ravnanja z osebnimi podatki in zasebnostjo uporabnikov razumejo vsi zaposleni. Združljivost z uredbo GDPR zahteva pripravo pravil o rabi osebnih podatkov in zagotavljanja zasebnosti na vseh področjih poslovanja. Podjetje mora zagotoviti, da z osebnimi podatki lahko delajo le pooblaščene osebe in nihče drug. Glede na naravo osebnih podatkov in vrsto njihove uporabe oziroma obdelave, z njimi lahko delajo le posamezni zaposleni ali skupine zaposlenih. Podjetje mora poslovne procese ustrezno prilagoditi, da bodo fizični dostop do podatkov imele le pooblaščene osebe, in to na celotni podatkovni poti – od nastanka, uporabe, do arhiviranja podatka. Takšna pravila seveda ne smejo biti zgolj »na papirju«, ampak mora organizacija dokazati, da delujejo tudi v praksi in da ima vzpostavljene ustrezne mehanizme nadzora.

4. Zaščita osebnih podatkov

Ko je podjetje opravilo »inventuro« osebnih podatkov in postavilo ogrodje za njihovo uporabo, je čas za naslednji korak – ustrezno zaščito podatkov. Z vidika zagotavljanja združljivosti z uredbo GDPR lahko podjetja uporabijo tri tehnike zaščite: enkripcijo, psevdonimizacijo in anonimizacijo. Seveda morajo ustrezno tehniko izbrati glede na kontekst rabe podatkov in pravice uporabnikov, pri čemer morajo paziti, da ne bi nato povsem podrla že postavljenih analitičnih rešitev, sistemov za poizvedbe, poročila in napovedi. »Najlažji način zaščite zasebnosti ob rabi osebnih podatkov je pritisk tipke »Izbriši«. Podjetje naj ohrani zgolj podatke, ki jih potrebuje za delovanje ključnih poslovnih procesov in analize, ki skrbijo za dodajanje vrednosti,« je slikovit Olivier Penel, direktor oddelka Data Management Business v SAS EMEA.

5. Revizija opravljenega dela

Peti korak zagotavljanja skladnosti z uredbo GDPR vključuje revizijo. Če je podjetje uspešno opravilo predhodne korake, bo lahko inšpektorjem in regulatorju postreglo z nedvoumnimi poročili, ki bodo izkazovala, kakšne osebne podatke premore, kje ti so in kaj z njimi počne v svojem okolju. Revizorje bo tudi zanimalo, ali ima podjetje za vse osebne podatke strank in uporabnikov, ki jih premore in obdeluje, ustrezne privolitve. Pokazati bo moralo tudi načine, kako uporablja osebne podatke, v katere namene in kateri zaposleni to počno. Za »konec«, ki to pravzaprav ni, saj skladnost z GDPR ni enkraten projekt, ampak stanje, bodo morala podjetja in organizacije dokazati, da lahko ustrezno izvedejo zahteve, ki izzivajo iz pravice do pozabe, ter znajo ustrezno prepoznati in poročati o varnostnih incidentih, povezanih z osebnimi podatki.