Dobra praksa

To so ovire, s katerimi se podjetja srečujejo pri uvajanju GDPR

  05. 12. 2018

Izzivov ni mogoče rešiti čez noč, saj je treba prilagoditi poslovne procese, vpeljati potrebne informacijske rešitve in izobraziti zaposlene o pomenu varstva podatkov.

Splošna uredba o varstvu podatkov (GDPR) je letos razburkala poslovno javnost in odprla mnoga vprašanja o varnosti osebnih podatkov. Danes se podjetja z osebnimi podatki srečujejo tako rekoč v vseh ključnih procesih poslovanja. Osebni podatki so v papirnih dokumentih, informacijskih sistemih, podatkovnih bazah, skupnih mapah, oblačnih shrambah in na drugih medijih.

Ker celosten pregled nad osebnimi podatki, ki jih podjetje obdeluje, pomeni korenito prilagoditev ustreznih procesov ravnanja z osebnimi podatki, so nekatera podjetja pred 25. majem 2018, ko je uredba stopila v veljavo, zadostila le določenim vidikom zagotavljanja skladnosti.

Ne čakajte do zadnjega na novi zakon

Čeprav GDPR predvideva visoke kazni za kršitve pravil v uredbi, je informacijska pooblaščenka napovedala, da bodo do sprejetja novega zakona o varstvu osebnih podatkov (ZVOP-2) ravnali svetovalno, podjetja izobraževali in ozaveščali z namenom, da nova pravila čim lažje vpeljejo v prakso. Vendar naj vas to ne zavede. Na sprejetje novega zakona ne gre čakati, saj bo ta v celoti sledil uredbi GDPR, nekatere določbe pa še podrobneje opredelil. Takrat bodo lahko v uradu Informacijskega pooblaščenca v primeru kršitev izrekli tudi prve kazni.

Težave, s katerimi se slovenska podjetja še vedno srečujejo

Mnoge težave, ki se pojavljajo pri operativni vpeljavi pravil uredbe GDPR v slovenskih podjetjih, še vedno ostajajo nerešene. Izzivov, s katerimi se srečujejo, ni mogoče rešiti kar čez noč, saj zahtevajo večje prilagoditve poslovnih procesov, vpeljavo potrebnih informacijskih rešitev in izobraževanja zaposlenih o pomenu varstva podatkov.

Kot glavne ovire, s katerimi se podjetja še danes srečujejo pri uvajanju GDPR, lahko poudarimo:

  1. Neobvladljivost osebnih podatkov v dokumentih v papirni obliki
    Podjetja še vedno poslujejo z velikimi količinami papirnih dokumentov, ki vsebujejo občutljive informacije in osebne podatke, kot so kadrovske mape, pogodbe in podobno. Hranijo jih v predalih delovnih miz, nezaklenjenih omarah v pisarnah ali nezaščitenih arhivih. Takšna oblika dokumentov je največje tveganje z vidika zagotavljanja varnosti osebnih podatkov, saj omogoča nepooblaščene vpoglede v podatke, kar lahko vodi do njihove zlorabe, ne zagotavlja vodenja revizijske sledi ravnanja uporabnikov in pomeni tveganje, ki lahko podjetju povzroči resno poslovno škodo.

  2. Tvegana izmenjava dokumentov, ki vsebujejo osebne podatke, po elektronski pošti, prek oblačnih shramb ali skupnih map na omrežnem pogonu
    Zaposleni si dnevno izmenjujejo dokumente po elektronski pošti ali jih pošljejo prek Dropboxa ali WeTransferja, marsikdo od zaposlenih pa osebne podatke hrani kar v nezaščitenih Excelovih preglednicah na skupnih mapah. Osebni podatki v takšnih primerih med prenosom niso varovani in lahko hitro postanejo predmet zlorabe ali odtujitve.

  3. Neprimerna arhivska hramba dokumentov z osebnimi podatki
    Podjetja dokumente hranijo v različnih sistemih, ki ne omogočajo enotnega pregleda nad dostopom do osebnih podatkov in ne beležijo dostopa uporabnikov. Zahteve uredbe v povezavi z beleženjem revizijske sledi, roki hrambe in izbrisom osebnih podatkov, ki se lahko hranijo le toliko časa, kot je treba, podjetja brez ustreznih informacijskih rešitev postavljajo pred dodatne izzive.

Sanja Žaubi, pooblaščena oseba za varstvo osebnih podatkov v Mikrocopu


Nazaj