Če res želimo varovati osebne podatke, moramo zanje skrbeti celovito
Zagotavljanje skladnosti varstva osebnih podatkov z uredbo GDPR je pereča tema pri vseh, ki smo kot upravljavci ali kot obdelovalci dnevno v stiku z osebnimi podatki.
Varstvo osebnih podatkov ni stanje, ki ga enkrat dosežemo in potem pozabimo, temveč stalen in še kako živ proces. Če pri tem motiv za urejanje varstva podatkov ni želja, da bi do osebnih podatkov dostopale le pooblaščene osebe s potrebno utemeljitvijo temveč prej strah pred visokimi kaznimi, obstaja visoka verjetnost, da pri zagotavljanju skladnosti ne bomo v celoti uspešni.
Kaj je varstvo osebnih podatkov in zakaj ga potrebujemo?
Podatki so temelj digitalne preobrazbe in poganjajo današnjo digitalno ekonomijo. Bolj natančno kot opredelijo uporabnika, bolj osebni kot so, večjo vrednost imajo. Če upravljamo z zbirkami osebnih podatkov, tako lahko nanje upravičeno gledamo kot na pomemben vir in jih zato kot drugo svoje premoženje tudi ustrezno varujemo.
Obenem pa moramo razumeti, da nismo lastniki teh osebnih podatkov. Njihovi lastniki so naše stranke, zaposleni, dobavitelji, poslovni partnerji, udeleženci dogodkov, naročeni na obveščanje o novostih ali zgolj osebe, ki so se nekoč zanimale za našo ponudbo. Vsi navedeni so nam zaupali svoje podatke z določenim namenom, mi pa moramo zagotoviti, da jih bomo zgolj s tem namenom tudi uporabljali. Ker je včasih skušnjava prevelika ali pa podatki zamikajo tretje osebe, jih moramo temu primerno tudi varovati.
Pravne podlage za zbiranje, upravljanje, obdelavo in hrambo osebnih podatkov
- Zakon o varovanju osebnih podatkov
- Pogodbeno razmerje
- Privolitev posameznika
- Zakoniti interes
- Zaščita življenja
Kako naj poskrbimo za varstvo osebnih podatkov?
Varstvo podatkov se začne pri prepoznavi preprostega dejstva, da to ni odgovornost zgolj pravnika ali naloga oddelka informacijske tehnologije, pač pa nekaj, kar zadeva vse zaposlene v podjetju in zahteva sodelovanje deležnikov z različnih področij.
- V Mikrocopu, kjer smo pogodbeni obdelovalec osebnih podatkov za vrsto naročnikov, tem pa tudi svetujemo, kako zagotoviti skladnost varstva osebnih podatkov, opažamo, da so pri tem najbolj uspešna tista podjetja, ki razumejo, da je skladno ravnanje z osebnimi podatki odgovornost in obveznost vseh zaposlenih, in tako tudi ravnajo. Naša svetovalna ekipa zato poleg pooblaščene osebe za varstvo osebnih podatkov (DPO) vključuje še pravnika, strokovnjaka za zagotavljanje kakovosti in informacijsko varnost ter izkušenega poslovnega svetovalca.
V podjetju nadalje potrebujemo jasen pregled nad osebnimi podatki, ki jih upravljamo ali obdelujemo, vključno z urejenimi evidencami dejavnosti obdelave osebnih podatkov. Vedeti moramo, katere podatke posredujemo pogodbenim obdelovalcem, katere iznašamo v tretje države, katere posebne kategorije osebnih podatkov hranimo, kako jih varujemo in drugo. Če na ta vprašanja znamo odgovoriti, lahko z analizo razkoraka hitro ugotovimo, katere aktivnosti moramo še izvesti in koliko časa bomo za to potrebovali.
Usklajevanja varstva osebnih podatkov smo se lotili z analizo razkoraka. Ugotovljene odmike smo učinkovito odpravili, proces usklajevanja pa smo izkoristili tudi za podajanje izhodišč za digitalizacijo.
– Boris Šušmak, Luka Koper
Na tej točki moramo razmisliti tudi o obsegu obdelave osebnih podatkov. Če minimiziramo količino zbranih podatkov, obseg njihove obdelave, obdobje hrambe in število obdelovalcev, lahko poenostavimo varstvo podatkov in lažje zagotovimo skladnost.
Zagotavljanje skladnosti varstva osebnih podatkov zahteva tudi:
- preverjanje, ali sodelujemo z zanesljivimi pogodbenimi obdelovalci,
- pregled in prilagoditev pogodb s pogodbenimi obdelovalci,
- vzpostavitev evidenc dejavnosti obdelave osebnih podatkov,
- po potrebi pripravo ali dopolnitev klasifikacijskega načrta in notranjih pravil ter
- razmislek, ali moramo izvajati ocene učinka (te so nujne za obdelave posebnih osebnih podatkov in priporočljive za vse druge obdelave).
Obveznosti upravljavca osebnih podatkov
- Varovanje pravic posameznikov
- Izvajanje ustreznih ukrepov in politik
- Zagotavljanje varnosti in zakonitosti obdelav
- Izbira ustreznega obdelovalca podatkov
Kako doseči celovit pogled na varstvo osebnih podatkov?
Pravni vidik zagotavljanja skladnosti pa je le en vidik varstva podatkov, ne smemo pozabiti še vsaj na področji informacijske podpore in informacijske varnosti ter na organizacijsko kulturo v podjetju.
Vprašanje ustrezne informacijske podpore je verjetno najlažje in tudi najhitreje rešljivo. Delno je razlog za to tudi v dosedanji zakonski ureditvi področja varstva osebnih podatkov, ki je ključne izzive informacijski podpori poslovanja postavila že pred časom.
Po pričakovanjih je sprememba organizacijske kulture najzahtevnejši del zgodbe, obenem pa praktično tudi edini, ki ga ni moč predati v zunanje izvajanje.
Organizacijska kultura ima moč, da izniči ves naš dosedanji trud. Če ne podpiramo varstva osebnih podatkov in zagotavljanja skladnosti aktivno in z zgledom, če se zaposleni ne zavedajo pomena osebnih podatkov, če ne razumejo ali sprejemajo potrebe po zagotavljanju zaupnosti in ne upoštevajo pravic lastnikov podatkov, v podjetju navkljub pravni urejenosti ne bomo mogli zagotoviti skladnosti in učinkovitosti varstva podatkov.
Tudi zato se moramo o pomenu zaupanja in drugih vrednotah ter o vlogi in vrednosti osebnih podatkov v našem poslovanju sproti in odkrito pogovarjati. Izredno pomembno je še kontinuirano izobraževanje zaposlenih o skladnosti in kakovosti poslovanja ter informacijski varnosti.
Katere so najpogostejše težave in kako se jim izogniti?
Zahtevnost izziva zagotavljanja skladnosti varstva podatkov odpira vrsto tveganj, na nekatere pasti pa velja biti še posebej pozoren, saj se jim v podjetju že z malo truda lahko izognemo. Gre za dileme glede pravne podlage in pojavnih oblik osebnih podatkov, predvsem pa za uvedbo odgovornega ravnanja z osebnimi podatki.
Žal v praksi nimamo vedno razčiščene pravne podlage za zbiranje, upravljanje, obdelavo in hrambo osebnih podatkov. Posledično se sprašujemo, kako naj posamezniku zagotovimo recimo pravico do izbrisa ali anonimizacije, če pa s tem nasprotujemo lastnim pravnim interesom. Nepopolno poznavanje področja prispeva k zmedi o pravicah posameznikov, še posebej, če podatke hranimo na zakonski podlagi in ne na podlagi privolitve. Zato velja na prvem mestu razčistiti pravne podlage in roke hrambe, posledično pa ugotoviti, katere pravice posameznikov pridejo v praksi v poštev in kako jih zagotavljati.
Osebne podatke danes najdemo v dokumentih v papirni in elektronski obliki, v sistemih in različnih podatkovnih bazah, skupnih mapah, v napol zasebnih oblačnih shrambah in na drugih medijih, da ne omenjamo raznih fasciklov, omar in predalov. Pogosta težava izvira prav iz raznolikosti lokacij in pojavnih oblik osebnih podatkov.
Ker je veliko osebnih podatkov v dokumentih, je varstvo osebnih podatkov neposredno povezano tudi z upravljanjem in hrambo dokumentov, vendar to ni vsem samoumevno. Včasih se osredotočimo zgolj na osebne podatke v elektronski obliki, podatke na papirju pa spregledamo ali preprosto pospravimo v predal.
A ključni izzivi se vseeno skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki ter vzpostavitvi odgovornosti zanj. S tem imamo nemalokrat težave, saj si je težko ustvariti objektivno sliko znotraj podjetja, v primežu organizacijske kulture in pod pritiskom obstoječih poslovnih procesov in tekočega poslovanja. V takem primeru je izbira primernega svetovalca lahko prava odločitev.
Osebni podatki so lahko v ...
- dokumentih in t. i. metapodatkih
- informacijskih sistemih
- bazah podatkov
- orodjih za pomoč uporabnikom
- procesnih orodjih
- skupnih mapah
- oblačnih shrambah
- omarah in predalih
- hm, še kje?
Vas zanima več? Stopite v stik z nami!