Dobra praksa

Če res želimo varovati osebne podatke, moramo zanje skrbeti celovito

  12. 03. 2018

Zagotavljanje skladnosti z uredbo GDPR je trenutno ena bolj perečih tem pri vseh, ki so tako ali drugače v stiku z osebnimi podatki. Motiv za urejanje varstva podatkov pri tem praviloma ni želja, da bi do osebnih podatkov dostopale le pooblaščene osebe s potrebno utemeljitvijo, temveč prej strah pred visokimi kaznimi. A varstvo osebnih podatkov ni stanje, ki ga enkrat dosežemo in potem pozabimo, temveč stalen in še kako živ proces.

Kaj je varstvo osebnih podatkov in zakaj ga potrebujemo?

Podatki so temelj digitalne preobrazbe in poganjajo današnjo digitalno ekonomijo. Bolj natančno kot opredelijo uporabnika, bolj osebni kot so, večjo vrednost imajo. Podjetje, ki upravlja z zbirkami osebnih podatkov, tako lahko nanje upravičeno gleda kot na pomemben vir in jih zato kot drugo svoje premoženje tudi ustrezno varuje.

Obenem pa podjetje ni lastnik teh osebnih podatkov. Njihovi lastniki so stranke podjetja, zaposleni, dobavitelji, poslovni partnerji, udeleženci dogodkov, naročeni na obveščanje o novostih ali zgolj osebe, ki so se nekoč zanimale za njihovo ponudbo. Vsi navedeni so podjetju zaupali svoje podatke z določenim namenom, to pa mora zagotoviti, da jih bo zgolj s tem namenom tudi uporabljalo. Ker je včasih skušnjava prevelika ali pa podatki zamikajo tretje osebe, jih mora podjetje temu primerno varovati.

Kako naj poskrbimo za varstvo osebnih podatkov?

Varstvo podatkov se začne pri prepoznavi preprostega dejstva, da to ni odgovornost zgolj pravnika ali naloga oddelka informacijske tehnologije, pač pa nekaj, kar zadeva vse zaposlene v podjetju in zahteva sodelovanje deležnikov z različnih področij.

V Mikrocopu, kjer smo pogodbeni obdelovalec osebnih podatkov za vrsto naročnikov, slednjim pa tudi svetujemo, kako zagotoviti skladnost varstva osebnih podatkov, sodeč po izkušnjah vidimo, da so pri tem najbolj uspešna tista podjetja, ki to razumejo in tako tudi ravnajo. Naša svetovalna ekipa zato vključuje certificirano pooblaščeno osebo za varstvo osebnih podatkov (DPO), pravnika, strokovnjaka za zagotavljanje kakovosti, varnostnega inženirja in izkušenega poslovnega svetovalca.

Podjetje nadalje potrebuje jasen pregled nad osebnimi podatki, ki jih upravlja ali obdeluje, vključno z urejenimi evidencami dejavnosti obdelave osebnih podatkov. Vedeti mora, katere podatke posreduje pogodbenim obdelovalcem, katere iznaša v tretje države, katere posebne kategorije osebnih podatkov hrani, kako jih varuje in drugo. Če v podjetju na ta vprašanja znajo odgovoriti, lahko z analizo razkoraka hitro ugotovijo, katere aktivnosti morajo še izvesti in koliko časa bodo za to potrebovali.

Podjetjem na tej točki predlagamo, da razmislijo tudi o obsegu obdelave osebnih podatkov. Če minimizirajo količino zbranih podatkov, obseg njihove obdelave, obdobje hrambe in število obdelovalcev, lahko poenostavijo varstvo podatkov in lažje zagotovijo skladnost.

Zagotavljanje skladnosti varstva osebnih podatkov zahteva tudi:

  • preverjanje, ali podjetje sodeluje z zanesljivimi pogodbenimi obdelovalci,
  • prilagoditev pogodb s pogodbenimi obdelovalci,
  • vzpostavitev evidenc dejavnosti obdelave osebnih podatkov,
  • po potrebi pripravo ali dopolnitev klasifikacijskega načrta in notranjih pravil ter
  • razmislek, ali morajo izvajati ocene učinka. Te so nujne za obdelave posebnih osebnih podatkov in priporočljive za vse druge obdelave.

Kako doseči celovit pogled na varstvo osebnih podatkov?

Pravni vidik zagotavljanja skladnosti pa je le en vidik varstva podatkov, ne smemo pozabiti še vsaj na področji informacijske podpore in informacijske varnosti ter na organizacijsko kulturo v podjetju.

V Mikrocopu smo prepričani, da je vprašanje ustrezne informacijske podpore najlažje in tudi najhitreje rešljivo. Delno je razlog za to tudi v dosedanji zakonski ureditvi področja varstva osebnih podatkov, ki je ključne izzive informacijski podpori poslovanja postavila že pred časom.

Vseeno pa v podjetju velja preveriti:

  • ali in kako so osebni podatki zavarovani med prenosom, da njihova odtujitev ni možna,
  • ali in kako so osebni podatki zaščiteni v podatkovnih zbirkah in v datotečni hrambi,
  • ali so vloge in pravice uporabnikov informacijskih sistemov nastavljene na način, da lahko zgolj pooblaščene osebe dostopajo do osebnih podatkov,
  • kako se izvaja posameznikova pravica do pozabe, če so zanjo izpolnjeni pogoji, in
  • kako celovita je zares revizijska sled ravnanja uporabnikov, skrbnikov in drugih sistemov.

Ta in druga sorodna vprašanja so še posebej pomembna, ko se podjetje odloča za uporabo novih programskih rešitev. Takrat velja razmisliti o izbiri ustrezno certificiranih orodij in storitev. Sicer pa je treba biti nanje pozoren predvsem ob spremembah v informacijskem sistemu podjetja, novih zaposlitvah in odhodih sodelavcev.

Po pričakovanjih je sprememba organizacijske kulture najzahtevnejši del zgodbe, obenem pa praktično tudi edini, ki ga ni moč predati v zunanje izvajanje.

Organizacijska kultura ima moč, da izniči ves dotedanji trud podjetja. Če vodstvo ne podpira varstva osebnih podatkov in zagotavljanja skladnosti aktivno in z zgledom, če se zaposleni ne zavedajo pomena osebnih podatkov, če ne razumejo ali sprejemajo potrebe po zagotavljanju zaupnosti in ne upoštevajo pravic lastnikov podatkov, v podjetju navkljub pravni urejenosti ni mogoče zagotoviti skladnosti in učinkovitosti varstva podatkov.

Tudi zato podjetjem priporočamo sprotno in odkrito komunikacijo znotraj podjetja o pomenu zaupanja in drugih vrednotah, vlogi in vrednosti osebnih podatkov v poslovanju podjetja ter redno izobraževanje zaposlenih o skladnosti in kakovosti poslovanja ter informacijski varnosti.

Katere so najpogostejše težave in kako se jim izogniti?

Zahtevnost izziva zagotavljanja skladnosti varstva podatkov odpira vrsto tveganj, na nekatere pasti pa velja biti še posebej pozoren, saj se jim v podjetju že z malo truda lahko izognejo.

Žal upravljavci zbirk osebnih podatkov v praksi nimajo vedno razčiščene pravne podlage za zbiranje osebnih podatkov. Posledično se sprašujejo, kako naj posamezniku zagotovijo recimo pravico do izbrisa ali anonimizacije, če pa s tem nasprotujejo lastnim pravnim interesom.

Nepopolno poznavanje področja prispeva k zmedi o pravicah posameznikov, še posebej, če se podatki hranijo na zakonski podlagi in ne na podlagi privolitve.

Zato velja na prvem mestu razčistiti pravne podlage in roke hrambe, posledično pa ugotoviti, katere pravice posameznikov pridejo v praksi v poštev in kako jih zagotavljati.

Pogosta težava, na katero smo pri svetovanju strankam naleteli v Mikrocopu, izvira iz različnih pojavnih oblik osebnih podatkov.

Veliko osebnih podatkov je v dokumentih, zato je varstvo osebnih podatkov neposredno povezano z upravljanjem in arhiviranjem dokumentov, vendar to ni vsem samoumevno. Ali pa se v podjetju osredotočijo zgolj na osebne podatke v elektronski obliki, podatke na papirju pa spregledajo ali preprosto pospravijo v predal.

A ključni izzivi se vseeno skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki ter vzpostavitvi odgovornosti zanj. Podjetja imajo s tem nemalokrat težave, saj si je težko ustvariti objektivno sliko znotraj podjetja, v primežu organizacijske kulture in pod pritiskom obstoječih poslovnih procesov in tekočega poslovanja. V takem primeru je izbira primernega svetovalca lahko prava odločitev. Z veseljem vam pomagamo najti pravo rešitev.



Sanja Žaubi, pooblaščena oseba za varstvo osebnih podatkov v Mikrocopu


Nazaj