Share

Uvedite GDPR da efikasno uskladite poslovanje

Uvedite GDPR da efikasno uskladite poslovanje. Znate li koja je jedna od najčešćih ključnih riječi koju direktori preko svojih tipkovnica u zadnjih mjesec dana upisuju u internet tražilici? Riječ ima 4 slova. Ime joj je GDPR.

Petar Vušković, potpredsjednik Centra za javne politike i ekonomske analize

Za nas konzultante s tržišta ta riječ nije ništa novo. GDPR je obveza za SVE – poslovne subjekte, javne institucije i udruge. Obveza je donijeta 2016. godine na razini Europske unije, a na snazi je od 25. svibnja 2018. GDPR (General Data Protection Regulation) je Opća uredba o zaštiti osobnih podataka s kojom se poslovni subjekti moraju „suočiti“. „Suočiti“ znači uvesti i uskladiti se.

Znate li koji je resurs u ekonomiji jedini neograničen, a ograničeno ga posjedujemo? Nije riječ o gorivu, vodi ili struji. Riječ je o vremenu. Na današnji datum, ostalo je tjedan dana da više od 23 milijuna poslovnih subjekata koje posluju na unutarnjem tržištu EU uvedu i usklade svoje poslovanje s GDPR uredbom.

GDPR je najvažnija ekonomska tema u Hrvatskoj, Europi i na ostalim kontinentima

GDPR je postao najvažnija ekonomska tema ne samo u Hrvatskoj, već u Europi i izvan nje jer se i europski partneri moraju uskladiti s GDPR-om ako posluju s europskim tržištem. GDPR implementacija dovodi do velike potražnje za službenicima za zaštitu osobnih podataka koji će u budućnosti postati jedno od najtraženijih zanimanja. Sigurno ste primijetili kroz newslettere, poštanske dopise, ili pak obavijesti različitih agencija, zavoda, poslovnih škola da su u tijeku seminari, tečajevi i predavanja o GDPR-u. Većinom svi oni dobro, možda i vrlo dobro informiraju o GDPR-u, ali Vam ne govore na koji način uvesti i uskladiti GDPR u svoje poslovanje. Zašto je to tako? Zato što ni sama GDPR uredba ne govori kako, već samo što treba. Zato je važna adekvatna GDPR edukacija.

Što nakon tog mističnog 25. svibnja 2018?

Neće se dogoditi niša značajno jer nadležna Agencija za nadzor zaštite osobnih podataka (AZOP) neće izlaziti u nadzor sigurno još neko vrijeme. Vjerojatno je to zato što znaju da se velik broj poslovnih subjekata još nije uskladio. Međutim, zašto riskirati mogućnost plaćanja kazne vjerojatno do 4% svojeg godišnjeg prihoda, ili do 20 milijuna eura ovisno o tome koji je veći iznos, ukoliko ionako morate uvesti GDPR? Dakle uvođenje GDPR-a nije pitanje „Da li moramo“,već „Kada ćemo“.

Koja su rješenja? Samostalno ili s konzultantom! Uvedite GDPR.

Imate samo dva rješenja: prvo je krenuti samostalno s uvođenjem GDPR-a, a drugo je angažirati konzultante za uvođenje i usklađivanje Vašeg poslovanja s GDPR-om kroz outsourcing. Ukoliko će te sami uvoditi GDPR onda morate znati da će Vam trebati prosječno 3 mjeseca ovisno o tome kolika Vam je veličina poslovne organizacije, broj zaposlenih, količina podataka i vrsta djelatnosti.

Uvođenje GDPR-a znači „It’s no picnic!“. Nema tu ničeg zanimljivog i opuštajućeg. U svakom slučaju, GDPR je Vaša poslovna inteligencija. Uvedite GDPR da efikasno uskladite poslovanje.

Čini se punom boljom opcijom taj posao prepustiti konzultantima koji će Vas lako i efikasno uskladiti. Prvi korak je potpisivanje ugovora jer će te barem imati neki dokaz pred nadzorom da ste počeli s usklađivanjem pa će i Vaš tretman zbog neusklađenosti biti blaži. Treba imati na umu da je za uvođenje GDPR-a potrebno odvojiti najmanje mjesec dana s konzultantom (što je sigurno 3 puta kraći period nego da se usklađujete sami).

Lako kroz 6 fazi, mjesec dana i usklađeni ste s GDPR-om

Nakon što potpišete ugovor s konzultantom odredite jednu osobu u firmi koja će biti službenik za zaštitu osobnih podataka. To može biti bilo koja osoba koja će Vama odgovarati. Dakle, u organizacijskom lancu to je osoba koja je Vama „desna ruka“. Važno je da postoji kvalitetna komunikacija s Upravom jer uvođenje GDPR-a zahtjeva „dvosmjernost komunikacije“.

Slika 1. Uvedite GDPR da efikasno uskladite poslovanje. Koje su faze uvođenja i usklađivanja s GDPR-om? (kliknite na sliku)

1.Edukacija o GDPR uredbi za zaštitu osobnih podataka

  • Upoznajte se s osnovnim terminima (osobni podaci, ispitanik, vršitelj i izvršitelj obrade, službenik, načela, privole te ostalom terminologijom Uredbe)
  • Upoznavanje se s zahtjevima Uredbe i obvezama Voditelja obrade, što se Vi kao poslovna organizacija
  • Pokušajte shvatiti što GDPR znači u Vašoj poslovnoj praksi

2.Imenujte projektni tim za provedbu GDPR-a

  • Imenujte i formalno službenika za obradu osobnih podataka kroz izjavu
  • Definirajte obveze i odgovornosti za ostale u projektnom timu
  • Donesite deklarativnu izjavu unutar poslovne organizacije s kojom će te upoznati sve o Vašoj opredijeljenosti da zaštitite osobne podatke tzv. Politiku zaštite osobnih podataka

 

3.Napravite inicijalnu analizu podataka s kojima Vaša poslovna organizacija raspolaže

  • Analizirajte koje osobne podatke prikupljate
  • Analizirajte postojeći sustav zaštite osobnih podataka
  • Napravite GAP analizu postojećeg sustava od zahtijevanog iz Uredbe da znate na čemu trebate raditi

 

4.Napravite klasifikaciju podataka i procjenu učinaka (rizika)

  • Procijenite rizike kojima se izlažu vaši prikupljeni podaci u poslovanju
  • Provedite tehničke i informatičke odnosno organizacijske mjere za zaštitu osobnih podataka

 

5.Izradite GDPR dokumentaciju prema zahtjevima Uredbe

  • Izrada procedure upravljanja privolama, procedure izvješćivanja AZOP-a, procedure ostvarivanje prava ispitanika i podnošenja pritužbi, procedure za korištenje, dijeljenje, obradu i zaštitu osobnih podataka, procedure prava na zaborav, na upit o obradi, pravo na eksport podataka te sve ostale procedure koje Uredba zahtjeva
  • Izrada evidencije edukacije, evidencije povrede osobnih podataka, evidencije aktivnosti obrade te sve ostale evidencije
  • Izrada izjava, privola, obrazaca i pravnih akata
  • Izrada ostale dokumentacije prema potrebi poslovanja organizacije

 

6.Završna ocjena razine usklađenosti s GDPR uredbom kroz sastavljanje Izvještaja

  • Objektivno i neovisno izvještavanje Uprave o provedenim mjerama usklađenosti s GDPR uredbom

 

Kliknite i zatražite konzultantsko rješenje.

Uvedite GDPR da efikasno uskladite poslovanje.

 

I na kraju što je važno zaključiti?

GDPR za poslovne subjekte znači investicijski trošak jer zahtijeva angažman vremena, ljudi i financijska sredstva. Većina direktora ga gleda kao dodatan namet u poslovanju. Međutim, potrebno je shvatiti da živimo u digitalno doba gdje se na milijune informacija i osobnih podataka svakodnevno razmjenjuje. U toj razmijeni dolazi do značajnog gubitka podataka i informacija. Informacijski sustav možemo zamisliti kao vodovodnu cijev u kojoj je voda podatak, a znamo da vodovodne cijevi propuštaju više od 50% vode. Sad zamislimo koliko je to s osobnim podacima.

Sjetimo se samo nedavne afere s Facebook-om čiji su podaci korisnikovih profila, njih 87 milijuna, došle u ruke „trećih stranama“ odnosno firmi Cambridge Analytics. Takve agencije često dolaze do Vaših podataka kao što su Vaši kontakt brojevi,adrese elektroničke pošte, podaci o bračnom statusu, spolnoj orijentaciji, vašim preferencijama određenih robnih marki, boja, dizajna i sl. Takve podatke koriste za marketinške kampanje. Od sada će sve marketinške agencije morati tražiti privolu od Vas za takve podatke i uopće da bi vas kontaktirali. GDPR implementacija se stoga mora odnositi i na digitalni marketing svih oblika organizacija.

Jesmo li ikada razmišljali o tome koliko internet zna o nama. Vjerujte mi da bi se iznenadili. Internet zna o vama možda i više od vašeg bračnog druga. U svakom trenu imate pravo na pristup vašim podacima gdje god se oni pohranjuju i obrađuju. Bez Vaše privole svi osobni podaci koji nemaju zakonsku podlogu za obradu ne bi smjeli biti obrađivani. U svakom trenu možete zatražiti povlačenje i brisanje tih podataka. Čak bi trebali dati privolu šefu da vas snima u firmi sigurnosnom kamerom jer možda imate ljubavnicu na poslu ili jednostavno ne želite da vas se snima. Ukoliko smatrate da su vaši osobni podaci „povrijeđeni“ stvoren je pravni okvir po kojem možete djelovati. Postojao je i prije kroz Zakon ali novom nadnacionalnom Uredbom je dodatno skrenuta pozornost na Vaše pravo. To za poslovnu organizaciju koja je uvela GDPR znači da ima propisane procedure prijave kršenja osobnih podataka s Agencijom za zaštitu osobnih podataka (AZOP), ili pravo na upućivanje svojih zaposlenika na podnošenje pritužbe. I za kraj jasno je da će GDPR uredba postići određenu zaštitu osobnih podataka. Međutim uvijek postoji rizik da se podaci kompromitiraju, izgube ili iscure. Cilj Uredbe je svesti taj rizik na minimum.

Petar Vušković je vlasnik i direktor konzultantske firme Q Norma koja se bavi uvođenjem i usklađivanjem poslovanja firmi s normama i uredbama. Do sada je obavio više od 100 implementacija i 500 audita sustava upravljanja različitih organizacija, od instituta, zdravstvenih ustanova, proizvodnih, građevinskih, računovodstvenih i informatičkih i drugih poduzeća. Potpredsjednik je Centra za javne politike i ekonomske analize. Završio je vanjsku i unutarnju trgovinu te financije na Ekonomskom fakultetu u Zagrebu. Sveučilišni je specijalist upravljanja kvalitetom. Doktorand je na ekonomskom fakultetu u Zagrebu. Autor je više stručnih članaka.

 

Kliknite i zatražite konzultantsko rješenje.

Uvedite GDPR da efikasno uskladite poslovanje.