GDPR koraci koje ne treba preskakati
Implementacija GDPR‑a u toku je u većini organizacija koje su u obavezi da novu regulativu primene u praksi. Puteva do pune usklađenosti ima više, a načini, metode i tehnologije prilagođene su svakoj korporaciji posebno. Ipak, bez obzira na tok i dinamiku
projekta, neke faze ne smete zaobići.
Implementacija GDPR regulative pokrenula je najobimnije „veliko spremanje“ kompletnog poslovanja kompanija i podseća na pomalo zaboravljenu euforiju koja je vladala oko rešavanja Y2K baga početkom milenijuma. Privatnost korisnika u virtuelnom prostoru, koja je godinama bila ugrožena usled podređenosti „brže‑jeftinije‑bolje“ principu, novom regulativom sistemski je vraćena tamo gde je trebalo da bude od samog početka – na vrh liste prioriteta. Najveći broj nedoumica i sumnji vezanih za GDPR u svojoj osnovi sadrže element koji nije samo poslovni pa čak ni tehnički – suštinski zaokret u smeru izgradnje virtuelnih okruženja koja će postojeće principe efikasnosti staviti najmanje „rame uz rame“ s principom nepovredivosti ličnih podataka.
Upravljanje rizicima
Usklađenost sa stavkama GDPR regulative u najvećem broju slučajeva biće realizovana kroz klasične, dobro poznate projektne faze, korake i aktivnosti među kojima je upravljanje rizicima jedna od nezaobilaznih. Rizici projekta, poput onog uobičajenog da se ne postigne potpuna usklađenost, u slučaju implementacije GDPR‑a više nego u drugim oblastima, povezani su s nedovoljnim razumevanjem novih odredbi.
Jedan od najboljih primera jeste ne baš jednostavna razlika između termina „biti obrisan“ i „biti zaboravljen“, koji uvođenjem novih obaveza imaju naoko slično, ali suštinski različito značenje. U sledu koraka, tehnološka i organizaciona rešenja koja treba da obezbede mogućnost da klijent „bude zaboravljen“, nose veoma visok rizik da klijentski podaci „budu obrisani“, direktno izlažući kompaniju riziku da prekrši neke druge zakone koji takvu mogućnost eksplicitno zabranjuju.
Inventar podataka
Jedna od obaveza koju GDPR uvodi jeste registar svih baza i fajlova u kojima se nalaze lični podaci, kako bi se primenile adekvatne mere zaštite tih informacija. Inventar privatnih podataka treba oformiti veoma temeljno kako bi se sve kasnije promene lakše i potpuno transparentno registrovale.
Prepoznavši kompleksnost formiranja inventara podataka, mnoge kompanije iskoristiće automatizovane alate za pretragu kako bi vreme neophodno za pronalaženje svakog polja ili kolone u bazi sveli na minimum. Ipak, snagu tehničkih rešenja neophodno je dopuniti i detaljnom manuelnom pretragom kako bi se eventualni „skriveni“ podaci o ličnosti pravovremeno identifikovali i uneli u registar.
Ne treba zaboraviti ni da je GDPR ekspanzivna regulativa, koja se odnosi na sve IT sisteme, mrežu i mrežne uređaje, uključujuc´i i mobilne telefone. Upravo su u poslednjoj grupi najčešći nenamerni propusti u kreiranju inventara podataka, imajući u vidu da je BYOD u mnogim kompanijama (parcijalno) dozvoljen, kao i pristup cloud sajtovima, i to prvenstveno e‑mail i storage servisima.
Upravljanje logovima
Osim formiranja inventara, fokus regulative je i na implementaciji efikasnog i pouzdanog sistema upravljanja sistemskim zapisima. Član 30 uvodi obavezujuće kriterijume čuvanja adekvatnih logova o procesiranim podacima. U eri sve češćeg korišćenja masovnih podataka (big data, velike kompanije većinom su već razvile alate za prikupljanje niza sistemskih zapisa, pa usklađenost sa obavezama iz člana 30 GDPR‑a ne bi trebalo da predstavlja značajan vremenski niti finansijski trošak.
Ukoliko do sada niste dovoljno pažnje posvećivali upravljanju logovima, pravo je vreme da dolazak nove regulative iskoristite da ovaj projekat završite do kraja i temeljno. Ne samo da biste postigli usklađenost i izbegli eventualne kazne, već i kako biste „pogurali“ organizaciju u smeru analitike podataka koje već generišete, uporedo s podacima o poslovanju.
IT bezbednost ostaje bitna
Jedna od najčešćih zamki u koje vas tok projekta usklađenosti može odvesti jeste iluzija da će GDPR zameniti postojeće bezbednosne kontrole. Iako će u mnogim tehničkim oblastima nivo sigurnosti IT elemenata biti podignut na viši nivo u odnosu na pretodno stanje, mere koje propisuje nov zakon prvenstveno predstavljaju dodatak postojećim elementima bezbednosti, a ne njihovu zamenu.
U praksi se takođe može desiti da neke od bezbednosnih mera negativno utiču na postojeće kontrole i podešavanja, pa na takve situacije treba posebno obratiti pažnju. To se prvenstveno odnosi na specifične slučajeve u kojima klijent nije dao eksplicitnu saglasnost za određenu vrstu obrade podataka koju je, s druge strane, neophodno obaviti da bi se rešio neki tehnički problem ili otklonila potencijalno štetna aktivnost. Ukoliko očekujete da se slični ili analogni scenariji mogu pojaviti u vašem poslovanju, pristupite analizi međusobnog uticaja novih i postojećih bezbednosnih mera s posebnom pažnjom.
Upravljanje incidentima
Nepredviđene situacije, prvenstveno one koje uključuju bilo kakav negativan uticaj na privatnost, novom regulativom takođe su precizno uređene. Vesti poput one da je pre nekoliko meseci neovlašćeno prekopirano više hiljada (ili miliona!) zapisa o ličnosti, od 25. maja trebalo bi da postanu prošlost. Ili barem vesti o tome koje kasne – sve incidente vezane za „curenje“ ličnih podataka kompanije će morati da objave u periodu koji se meri satima od trenutka otkrivanja!
Procesu upravljanja incidentima potrebno je pristupiti kao prema izradi uputstava za vanredne situacije, npr. u avionima – u slučaju potrebe, nadležni za identifikaciju štetnog događaja i procenu štete trebalo bi prvo da postupaju prema definisanim uputstvima, a tek u narednoj fazi da se bave analizom ili utroše vreme na „izražavanje zabrinutosti“.
Službe za odnose s javnošću, kao i do sada, imaće obavezu da neprijatne informacije saopšte širem auditorijumu, ali će niz izveštaja biti prosleđen i nadležnim telima koje će regulator ovlastiti za obradu incidentnih situacija. Savet je jasan – ukoliko se upravljanju vanrednim situacijama do sada nije posvećivao veliki značaj, pravo je vreme da zajedno sa ostatkom kompanija i taj set aktivnosti uredite na odgovarajućem nivou.
Jedan od najvažnijih koraka koji se često ostavi po strani jeste testiranje spremnosti organizacije na incidente. Slično testovima za upravljanje kontinuitetom poslovanja, važno je uspostavljene procedure bar jednom simulirati u praksi, izmeriti vreme reakcije, kao i efikasnost svakog člana tima. Rezultat treba da sadrži najmanje informacije o tipu podataka koji je kompromitovan („iscurio“), da li su u incidentu učestvovale i treće strane, koje su posledice za lica čiji su podaci kompromitovani, da li su mere koje sprečavaju ponavljanje istog incidenta implementirane i najvažnije, na koji način su klijenti i javnost upoznati s događajem.
Data Privacy Officer
Za razliku od vremena kada su zaposleni zaduženi za informacionu bezbednost morali mukotrpno da ukazuju na važnost svojih svakodnevnih aktivnosti, ali i pozicije u hijerarhiji firme, GDPR predviđa obavezno radno mesto u čijoj će nadležnosti biti briga o privatnosti. Naizgled mala pobeda u odnosu na period kada je ISO morao da stalno dokazuje potrebu svog prisustva na najvišem nivou upravljanja (CISO), u slučaju Data Privacy Officer‑a (DPO) predstavlja veliku šansu da se privatnost utvrdi kao jedan od nosećih, a ne „ukrasnih“, stubova oko koga treba formirati poslovanje.
U praksi, spomenuta šansa lako može biti propuštena formalnim „proglašenjem“ zaposlenog na operativnom nivou za osobu koja će „paziti na tu privatnost“. Iako nije korisno generalizovati, već svaki slučaj posmatrati zasebno, ulogu DPO u idealnom slučaju treba dodeliti osobi sa širokom lepezom iskustva, koje uključuje tehnološke aspekte i veštine, ali i iskustvo u oblasti poznavanja i implementacije propisa iz oblasti zaštite podataka o ličnosti. Iako eksplicitno ne predstavlja uslov, vredi razmisliti o uspostavljanju menadžerske pozicije za DPO, koja će i formalno biti postavljena visoko u ogranizacionoj šemi, pa i na taj način moći da ostvari uticaj i svoje nadležnosti na sve aspekte poslovanja.
Podizanje svesti
Uticaj GDPR‑a na društvo i poslovanje u budućnosti možemo zatvoriti temom koja je sveprisutna u svakom većem projektu, ali se u praksi najviše zanemaruje – podizanjem svesti. Važno je naglasiti da obezbeđivanje privatnosti podataka predstavlja obavezu svih zaposlenih u organizaciji, bez obzira na to da li s podacima rukuju u okviru redovnih zaduženja ili povremeno. I pored toga, ostala lica koja nisu u direktnom kontaktu s klijentskim podacima, ali mogu u određenim situacijama da steknu uvid, treba da razumeju da su u obavezi da ih čuvaju i ne iznose van organizacije.
Obuka koja će do uvođenja GDPR‑a najverovatnije biti izvršena samo jednom (i to površno), greška je koja se lako može ispraviti uvođenjem redovnih aktivnosti na podizanju svesti svih u kompaniji, prvenstveno kada su u toku značajne promene poslovnih procesa, uvođenje novih proizvoda ili usluga, ali i izmene u važnim segmentima informacionog sistema. Preporuke idu u smeru da bi svaki zaposleni trebalo da razume najmanje to koji lični podaci se obrađuju, gde i kada se registruju, kao i za koje potrebe. Takođe, načelne informacije o tome s kime se dele i kada se uništavaju, treba posmatrati kao transparentnost koju možemo iskoristiti da ceo proces privatnosti dodatno ojačamo, nego da ga nepotrebno otkrivamo i time izlažemo riziku.
Prilika da unapredite poslovanje
U eri masovne kompromitacije ličnih podataka, jedna od glavnih distinkcija među kompanijama biće mogućnost da privatnost svojih klijenata adekvatno obezbede. Usklađenost morate posmatrati kao nužnu potrebu, ali ona nije samo to. U godinama koje dolaze, kompanije koje su „prinudno“ usaglašene, imaju velike šanse da izgube trku s konkurencijom zbog nemogućnosti da se suštinski promene stavljanjem zaštite privatnosti u centar svojih usluga.
Uvođenje GDPR‑a velika je prilika da se kompanija „provetri“, prvenstveno u izmeni poslovnih procesa, dok je put do usklađenosti pun šansi i za povećanje efikasnosti, ukidanjem nepostojećih ili neefikasnih procesa, procedura i tehnologija. GDPR treba posmatrati kao polugu za „veliko spremanje“ spomenuto na početku, koje kompaniju može upotpuniti i osnažiti novim veštinama, poput upravljanja projektima i upravljanja rizicima, ali i efikasnijim ponašanjem zaposlenih u vanrednim situacijama.
Godine uložene u sastavljanje konačnog teksta zakona neće biti olako odbačene – GDPR je tu da ostane. Da li ćemo ga posmatrati kao problem ili izazov, razlika je koja će možda više nego sve ostalo uticati na izgled korporativne slike u godinama koje su ispred nas.
Kristijan Lazić