Področje varstva osebnih podatkov je kompleksno in obsežno, zato je pomembno, kako podjetje pristopi k temi, da sprejme, da gre za trajen proces, ki se nikoli ne zaključi. Podjetja tako ali drugače obdelujejo osebne podatke zaposlenih, partnerjev, strank, investitorjev, internetnih uporabnikov, potrošnikov, potencialnih kupcev in drugih. Danes poslujemo delno v papirni in delno v digitalni obliki, zato so izzivi upravljanja z občutljivimi informacijami v vseh pojavnih oblikah, veliki. Podjetje potrebuje strategijo upravljanja z osebnimi podatki, in če nima lastnih virov za upravljanje z njimi, je najboljša rešitev zunanja pooblaščena oseba za varstvo osebnih podatkov (Data Protection Officer – DPO).
Kako naj se podjetje loti področja varstva osebnih podatkov? Kakšni so koraki? Grega Vozel, pravnik v funkciji zunanjega DPO v podjetju Mikrocop pravi:
Če podjetje vzpostavi sistem nadzora in učinkovit proces evidentiranja, dobi jasen vpogled v svoj proces varstva osebnih podatkov in tako možnost, da proces nadzira, optimizira in vzdržuje skladno z zakonodajo. A že tukaj se pogosto pojavi prvi izziv – kdo in kdaj bo to opravil. Smiselno je poiskati pomoč izkušenega zunanjega strokovnjaka z dobrim poznavanjem področja delovanja podjetja, predvsem pa s poznavanjem dobrih praks s področja varstva osebnih podatkov. Še posebej, če vemo, da so na področju GDPR spremembe stalnica in da jim je treba slediti in jih upoštevati. Ne nazadnje s tem podjetja močno zmanjšujejo možnost nepravilnosti in povečujejo varnost osebnih podatkov.
Z osebnimi podatki podjetja in organizacije poslujejo dnevno. Govorimo o zbirkah osebnih podatkov, kot so spletne trgovine, CRM sistemi, sistemi za avtomatizacijo trženja, klubi zvestobe, kadrovske evidence, zdravstveni kartoni, osebne mape in drugo. Tega je toliko, da je mimogrede kaj izpuščeno iz sistema varovanja, če ni doslednosti in sistematičnosti. Na ta način je podjetje takoj izpostavljeno tveganjem. Pri varstvu osebnih podatkov se v podjetjih srečujejo z več izzivi. Eden je povezan z neobvladljivostjo osebnih podatkov, ki se nahajajo v papirnih dokumentih.
»Teh je na žalost kljub vsesplošni pobudi k digitalizaciji poslovanja, še vedno veliko. Papirna dokumentacija, kot so kadrovske mape, kartoteke pacientov, pogodbe, raznovrstni seznami, se v podjetjih- po naših izkušnjah – nahaja vsepovsod. Ne le v organiziranih in varnih arhivih, dobesedno vsepovsod. Najdemo jih v mapah v predalih, omarah, kar na mizah, v nezaščitenih prostorih brez nadzora. To seveda predstavlja za podjetje daleč največje tveganje z vidika varnosti, saj omogoča nepooblaščen vpogled v te podatke, dopušča zlorabo in ne omogoča nobenega nadzora ali sledljivosti. Neustrezna hramba dokumentacije z osebnimi podatki je potencial za resno poslovno škodo.« dodaja Grega Vozel.
Naslednji izziv povezujemo z izmenjavo dokumentov v digitalni obliki torej e-dokumentov. Tukaj imam v mislih predvsem izmenjavo preko nezaščitenih spletnih storitev, kot je elektronska pošta ali spletne aplikacije za izmenjavo dokumentov, kjer prenos podatkov ni dovolj varovan. Zato je možnost odtujitve in zlorabe precejšen.
Kako in na kakšen način v podjetju hranijo e-dokumente, ki vsebujejo osebne podatke, pa je tretji pomembnejši izziv sodobnega varstva osebnih podatkov. Podjetja namreč uporabljajo najrazličnejše sisteme za hrambo dokumentov in informacij, nimajo pa enotnega in celostnega pregleda nad dostopi in vpogledi, kar pomeni, da ne morejo vzdrževati revizijske sledi, ne upoštevajo roka hrambe in ne skrbijo za izbris osebnih podatkov. Transparentnost dosežejo le s celovitim upravljanjem z osebnimi podatki. Tako upravljnje pa podjetju bistveno zmanjšuje poslovna tveganja in lahko trdimo, da v končni fazi prispeva tudi h konkurenčni prednosti.
Na drugi strani nepregledno upravljanje z osebnimi podatki iz dneva v dan postaja igra na srečo z majhnimi ali ničnimi pozitivnimi rezultati. Da z GDPR-jem ni šale, in da je treba osebne podatke bistveno bolj varovati kot kdaj koli prej, kažejo tudi aktualne zgodbe iz tujine, na primer zgodba Amazona. Ta gigant je dober primer, kako resno je treba slediti uredbi GDPR in ostalim zakonskim regulativam na področju varstva osebnih podatkov in da bo kršitev zasebnosti podjetja drago stala.
Konkretizirajmo obvladovanje varstva osebnih podatkov in skušamo aktivnosti združiti v štiri osnovne korake, ki lahko služijo kot oporne točke pri vzpostavljanju upravljanja osebnih podatkov!
Prvi korak je analiza stanja – pregled stanja v organizaciji, tako s pravnega vidika kot z vidika informacijske varnosti in zakonske skladnosti.
Analizi sledi postavitev dolgoročne strategije, ki mora zajeti načrtovanje (pregled obstoječih zbirk podatkov, opredelitev tveganj, priprava ukrepov), izvajanje, preverjanje in ukrepanje.
Izvajanje ukrepov je naslednji korak, ki mu sledi še četrti, to pa je preverjanje ukrepov. Ta krog aktivnosti je treba redno ponavljati in ga prilagajati spremembam, zato pravimo, da se nikoli zares ne zaključi. Pravočasno ukrepanje v primeru nepravilnosti ali odstopanj je namenjeno prav preprečevanju njihove ponovitve. Da je varstvo podatkov v podjetju pod nadzorom, predvsem pa zakonsko skladno, potrebuje podjetje osebo, ki mora poznati zakonodajo, ima izkušnje, predvsem pa čas, da se strategija dnevno in redno izvaja. Zagotavljanje izvajanja strategije varstva in odgovornega ravnanja z osebnimi podatki se dolgoročno odraža tudi v zaupanju strank. Ne zagrožene kazni, ampak zaupanje mora biti pravi razlog za urejeno varstvo osebnih podatkov v podjetju.
Grega Vozel, pravnik v funkciji zunanjega DPO v podjetju Mikrocop
In kaj narediti, ko v podjetju ni ustrezne osebe, ki bi lahko skrbela za varstvo podatkov? Praviloma namreč podjetja tovrstnega kadra nimajo. V takih primerih je moč najeti zunanjega strokovnjaka, zunanjega DPO-ja. Po Uredbi o varstvu osebnih podatkov DPO-ja potrebujejo tiste organizacije, ki obsežno, sistematično in redno zbirajo, obdelujejo in hranijo osebne podatke, zdravstvene in druge občutljive podatke. Na primer banke, zavarovalnice, trgovci s klubi zvestobe, spletne trgovine, zdravstvene ustanove in še veliko drugih. Zunanji DPO je zunanji sodelavec, ki ga podjetje najame, da skupaj z njimi redno spremlja skladnost obdelav in varstva osebnih podatkov z zakonodajo in politikami podjetja, obvešča vodstvo o zakonskih obveznostih s tega področja, skrbi za usposabljanje sodelavcev, svetuje pri ocenjevanju tveganj pred in med obdelavo osebnih podatkov. Skrbi tudi za poročanje in analize, letne revizije in svetuje pri uvajanju izboljšav. Sodeluje pa tudi v primerih, ko posamezniki uveljavljajo svoje pravice, ki jim pritičejo v skladu z GDPR.
Kakšne so koristi sodelovanja z zunanjim DPO-jem pojasnjuje Grega Vozel: »V podjetjih je običajno tako, da se redno srečujejo s pomanjkanjem ustreznega znanja, nepoznavanjem zakonodaje, pomanjkanjem časa zaposlenih, predvsem pa se želijo izogniti navzkrižju interesov, saj Uredba GDPR določa, da DPO v podjetju ne sme biti zaposlen na delovnem mestu, kjer lahko določa namen in sredstva obdelave osebnih podatkov. Zato te vloge ne morejo opravljati izvršni in operativni direktorji, vodje IT, trženja in tisti, ki so kakor koli povezani in odločajo o obdelavi osebnih podatkov. In tako se podjetja hitro znajdejo v položaju, da bi morala zaposliti osebo posebej za opravljanje te funkcije, prav hitro pa izračunajo, da je bolje najeti zunanjega DPO-ja, ki lahko veliko lažje zagotovi neodvisnost pri obdelovanju in varovanju osebnih podatkov in pomaga ohranjati celovito usklajenost varstva osebnih podatkov brez nasprotja interesov.«
Danes je raba informacijsko komunikacijskih tehnologij tako široka in vsakdanja, da so možnosti za zlorabo osebnih podatkov bistveno večje, kot so bile pred desetletjem. Uredba GDPR skuša to področje čim bolje urediti in preprečiti morebitne kršitve. Čeprav je usmerjena predvsem v varovanje pravic posameznika, pa za posel ne predstavlja samo dodatnega dela, energija in stroška. Podjetje z upoštevanjem načel uredbe GDPR zagotovi transparentno poslovanje, s čimer pridobi pri ugledu, zaupanju poslovnih partnerjev in strank.
Zato je za stavkom, da ohranjanje skladnosti varstva osebnih podatkov podjetjem prinaša konkurenčno prednost na dolgi rok, korist, ki je ne gre zanemariti.
Barbara Boldin
