PROCESNI PRISTOP PRI ZAGOTAVLJANJU SKLADNOSTI S SPLOŠNO UREDBO O VARSTVU PODATKOV (GDPR)

Datum: 15.01.2019

Kraj objave: Ljubljana

Procesni pristop predstavlja učinkovito metodološko podlago za zagotavljanje skladnosti poslovanja podjetja z zahtevami Splošne uredbe o varstvu podatkov ali bolj znane kot GDPR. Poleg sistematičnega in izdelanega pristopa v fazi prepoznavanja in uvajanja sprememb, omogoča tudi izvajanje rednih letnih presoj oz. pregledov, ki jih GDPR na več mestih zahteva.

Ali sploh moramo v podjetju izvesti prilagoditev poslovnih procesov na GDPR in pomen prilagoditve?

Splošna uredba o varstvu podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-1) veljata za vsa podjetja, ki kakorkoli obdelujejo osebne podatke. Torej v primeru, da v vašem podjetju obdelujete osebne podatke, je prilagoditev smiselno izvesti.

Nobenega dvoma ni, da prilagoditev zahtevam Splošne uredbe o varstvu osebnih podatkov povzroča spremembe v poslovnih procesih podjetij, ki pri svojemu poslovanju uporabljajo in obdelujejo osebne podatke. Novosti, ki jih GDPR uvaja na področju obdelovanja osebnih podatkov bodo zahtevale prilagoditev poslovnih procesov podjetij tako iz tehničnega kot iz procesnega vidika. V duhu sprememb zakonodaje morajo podjetja, ki še niso uvedla zadostnih ukrepov za zavarovanje svojih tajnih podatkov, med katere spadajo tudi osebnih podatki, uvesti oziroma posodobiti ustrezne tehnične in organizacijske varnostne mehanizme, ki bodo zagotavljali ustrezno varstvo osebnih in tajnih podatkov.

Analiza GDPR

Faze prilagajanja poslovnega procesa

V nadaljevanju je predstavljeno prilagajanje poslovnih procesov podjetja zahtevam GDPR skozi dve fazi. Prvo fazo predstavlja analiza dejavnikov tveganj in identifikacija »kritičnih« poslovnih procesov iz vidika izpolnjevanja zahtev GDPR ter priprava podrobne in poglobljene analize izbranih »kritičnih« poslovnih procesov z vidika izpolnjevanja zahtev GDPR. Druga faza poteka skozi  pripravo in implementacijo ukrepov, ki ugotovljena neskladja glede obdelave osebnih in tajnih podatkov v podjetju sanirajo.

Prva faza - identifikacija »kritičnih« procesov in priprava analize stanja

Da lahko neustrezno stanje z vidika varstva osebnih podatkov v podjetju saniramo, je potrebno najprej sploh ugotoviti kakšno je stanje v podjetju z vidika GDPR. Tak pristop priporoča tudi Informacijska pooblaščenka, kot pristojen nadzorni organ za ugotavljanje skladnosti poslovanja podjetij z GDPR.

V prvi fazi prilagoditve poslovnih procesov je zato potrebno opraviti podroben pregled ključnih poslovnih procesov v podjetju. Glavni cilj pregleda je ugotovitev ali se v okviru poslovnih procesov podjetja obdelujejo osebni podatki. Pri tem je potrebno ugotoviti tudi, ali v podjetju obstajajo zavezujoča poslovna pravila oziroma dogovorjeni postopki, ki jim je upravljalec ali obdelovalec osebnih podatkov dolžan slediti, popisati  vse evidence osebnih podatkov v podjetju in ugotoviti obstoječe organizacijske in tehnične varnostne mehanizme v podjetju.

Izdelava poglobljene analize

Po ugotovitvi ključnih poslovnih procesov v podjetju z vidika izpolnjevanja zahtev GDPR se pristopi k izdelavi poglobljene analize izbranih poslovnih procesov. Z analizo se preveri, ali so pri obdelovanju osebnih podatkov upoštevana vsa načela v zvezi z obdelavo osebnih podatkov, ki jih GDPR določa. Nadaljnje je potrebno ugotoviti in določiti kategorije osebnih podatkov, ki so predmet zbiranja in obdelovanja, saj je od kategorije osebnega podatka odvisen njegov način obdelave. V prvi fazi je tudi potrebno natančno pregledati ustreznost soglasij, na podlagi katerih so osebni podatki posredovani, postopkov in možnih načinov privolitve v zvezi z njihovim zbiranjem, možnosti načina dostopa do obdelovanih osebnih podatkov, ter ugotoviti ustreznost postopkov pridobivanja, varovanja, posredovanja, hranjenja in brisanja osebnih podatkov.

Prva faza je namenjena tudi poglobljenemu tehničnemu delu pregleda skladnosti poslovnih procesov z GDPR. Tehnični pregled se običajno opravlja v skladu z metodološkimi smernicami mednarodnega standarda ISO 27001 in zajema pregled dostopov do sistema, kjer se osebni podatki obdelujejo in shranjujejo, ugotovitev ustreznosti fizičnega in tehničnega varovanja prostorov ter varovanja pred negativnimi vplivi okolja, ustreznost varovanja osebnih podatkov (npr. proti zlonamerni kodi), ustreznosti ravnanja z nosilci podatkov in ravnanja z občutljivimi osebnimi podatki, ter obstoj ustreznih varnostnih kopij podatkov.

Ključni cilj prve faze prilagoditve poslovnih procesov v podjetju je ugotovitev tveganj in dejanskega razkoraka z zahtevami GDPR, kar omogoča identifikacijo potrebnih organizacijskih in tehničnih ukrepov za zagotovitev skladnosti izvajanja poslovnih procesov v podjetju zahtevam GDPR.

Ključni namen prve faze je, da se identificirajo tisti poslovni procesi, ki so z vidika zahtev GDPR najbolj tvegani in posledično »kritični«, ter zahtevajo poglobljeno obravnavo v naslednjih fazah.

Druga faza – Priprava ustreznih ukrepov in implementacija

V drugi fazi se, na podlagi ugotovitev iz prve faze, pripravi in implementira ustrezne ukrepe, ki zagotavljajo ustrezno ravnanje podjetja na področju varstva osebnih podatkov ali zaupnih informacij. V drugi fazi se uredijo razmerja s pogodbenimi obdelovalci, sprejmejo ustrezni pravilniki in politike osebnih podatkov, ki veljajo kot interni akti v podjetju ter konkretizirajo ravnanje subjektov v podjetju na področju varstva osebnih podatkov in sprejmejo drugi potrebni ukrepi. Pomemben vidik ustreznosti obdelave osebnih podatkov je tudi informiranje zaposlenih oziroma tistih oseb, ki v podjetju obdelujejo osebne podatke, zato je pomembno, da se v tej fazi, za zaposlene, ki obdelujejo osebne podatke pripravi izobraževanje.

V drugi fazi je ravno tako kot vsebinski pomemben tudi finančni vidik načrtovanja sprememb, saj je odprava neskladij največkrat povezana z organizacijskimi in tehničnimi rešitvami, ki zahtevajo mobilizacijo dodatnih finančnih in kadrovskih resursov.

Zakaj procesni pristop?

GDPR podjetja in organizacije postavlja pred veliko odgovornost, saj znaša skrajna zagrožena kazen za kršitve določb uredbe do 4 % letnega prometa, ki ga zavezanec dosega. Pri presoji skladnosti in določanju morebitnih kazni s strani nadzornih organov pa je pomembno predvsem dokazovanje podjetja, da je z ustrezno skrbnostjo pristopilo k sprejemu tehničnih, organizacijskih in pravnih ukrepov za varnost osebnih podatkov, ter da z rednimi pregledi skrbi, da se poslovni procesi izvajajo v skladu s sprejetimi zavezami in postavljenimi zahtevami GDPR. Procesni pristop in izdelane procesne metodologije (npr. ISO 27001) gotovo predstavljajo učinkovit način za doseganje želenih učinkov v zvezi z izpolnjevanjem zahtev GDPR.

Jaka Uršič Mag. prav. – Vodja projektov v Eudace d.o.o.