GDPR - 5 korakov, ki jih morate narediti takoj (če jih še niste)

GDPR (ni) razlog za paniko

Bolj kot se bliža “dan D” (25. maj 2018), ko začne veljati evropska direktiva o varovanju podatkov (General Data Protection Regulation), bolj je GDPR vroča tema.

Uredba je postala slavna zlasti zaradi drakonskih zagroženih kazni (do 20 mio EUR ali pa do 4% od prometa, kar je večji znesek).

Uskladitev z zahtevami GDPR  od podjetij sicer zahteva kar nekaj napora, a če ste do sedaj poslovali skladno z določili Zakona o varstvu osebnih podatkov (ZVOP-1), potem nadgradnja  skladnosti z GDPR - vsaj na vsebinskem nivoju - ne bi smela biti razlog za paniko.

Večja težava je čas - piše se januar 2018 in če do danes na tem področju še niste naredili nič, potem vašo “rahlo nervozo” povsem razumem.

Pričujoči zapis ne zajema vsega, kar je potrebno postoriti za skladnost z GDPR. Osredotoča se zgolj na poudarke, ki zadevajo praktično vse organizacije. Končni spisek vseh potrebnih aktivnosti pa si mora oblikovati vsaka organizacija sama. 

Ne čakaj na maj

GDPR prinaša nekatere pomembne novosti. Če strnemo:

  1. uporabnikom daje široke pravice in popolno kontrolo nad njihovimi osebnimi podatki,
  2. za kakršno koli zbiranje osebnih podatkov po novem potrebujete izrecno pravno podlago.

Pod osebne podatke (med drugim) spadajo

  • ime in priimek,
  • e-poštni naslov (tudi službeni),
  • telefonska številka,
  • razne identifikacijske številke,
  • lokacijski podatki,
  • IP številka,
  • številke kreditnih in lojalnostnih kartic
  • občutljivi podatki

Koliko napora bo od posameznega podjetja terjala vpeljava teh zahtev v prakso,  je odvisno od:

  1. velikosti in kompleksnosti podjetja,
  2. dosedanjih standardov upravljanja s podatki ,
  3. dosedanjega načina procesiranja osebnih podatkov.

Če imate na spletni strani preprost kontaktni obrazec, ste že zavezani določilom GDPR. Večina podjetij pa počne še vse kaj več. Procese bo treba prilagoditi in testirati v praksi, še preden uredba stopi v veljavo, zato nikar ne čakajte na 25. maj. 

Creatim je nosilec certifikata ISO 27000 (vodenje in upravljanje podatkov)

Pravila vodenja in upravljanja s podatki se zaostrujejo. Ker je Creatim obdelovalec podatkov svojih naročnikov (in ker radi vidimo, da naročniki mirno spijo), smo svoje poslovne procese uskladili s standardi ISO 27000. Gre za obsežen certifikat, ki ureja procese vodenja in upravljanja s podatki. Pokriva tudi večino zahtev GDPR.

V letu 2018 (do 30. marca) sledi nadgradnja CMS platforme Credo 5 za zagotavljanje skladnosti z GDPR (več o tem v nadaljevanju).

 

 

Vsako podjetje je samo odgovorno za sprejetje ukrepov, ki bodo zagotovili skladnost z GDPR. Spodnji seznam nalog nikakor ni celovit, izpostavlja pa tiste ukrepe, ki zadevajo praktično vsako organizacijo.

1. Določite pravne podlage

Po novem potrebujete za vsako zbiranje osebnih podatkov pravno podlago, ki je lahko različna glede na vrsto podatkov in razlogov, zakaj te podatke zbirate.

Samoumevno je, da hranite podatke o kupcu, s katerim imate pogodben odnos, ali pa zbirate osebne podatke, ker to od vas zahteva zakon (npr. domači naslovi zaposlenih). V luči GDPR pa sta gotovo najbolj zanimivi (in precej manj samoumevni) zlasti dve pravni podlagi:

  1. privolitev (zbiranje osebnih podatkov na osnovi izrecne privolitve uporabnika),
  2. legitimni interes (podjetje zbira podatke, ker je to neobhodno za izvajanje ključnih dejavnosti podjetja).

2. Pripravite se na zahteve uporabnikov

Privolitev (angl. consent) zadeva zlasti zbiranje osebnih podatkov preko interneta. Uporabniku boste morali po novem natančno in nedvoumno pojasniti, s kakšnim namenom hranite njegove osebne podatke in kaj z njimi počnete. Za to početje boste potrebovali njegovo izrecno privolitev in sicer ločeno,  za vsak namen posebej.

Nova uredba daje uporabniku med drugim pravico, da zahteva svoj izbris iz evidenc (pravica do pozabe) ali pa da mu brezplačno, v strojno berljivi obliki, posredujete vse podatke, ki ste jih zbrali o njem (pravica do prenosljivosti podatkov). Prav tako lahko uporabnik katerokoli od svojih privoljenj kadarkoli prekliče ali pa zahteva, da mu pojasnite, na osnovi katere pravne podlage razpolagate z njegovimi osebnimi podatki. 

Spletno stran, preko katere boste zbirali osebne podatke, boste morali ustrezno nadgraditi. V poljudnem (in ne v pravniško zafecljanem) jeziku boste morali uporabniku obrazložiti, zakaj bi bilo smiselno, da privoli v obdelovanje svojih podatkov.

Ena kljukica v splošnih pogojih poslovanja za vse možne namene torej ne bo dovolj. Kar pomeni, da morate voditi natančno evidenco o tem, kdo vam je dovolil kaj in kdaj.

Sicer dvomim, da se bo komu ljubilo naštudirati več kot pet vaših razlogov, naj si bodo še tako utemeljeni in poljudno predstavljeni. Zato velja razmisliti, kaj od uporabnikov res nujno potrebujete. Pri množici “utemeljenih” razlogov se lahko zgodi, da ne boste dobili niti enega dovoljenja. Da o tem, kako bo izgledala uporabniška izkušnja, polna na drobno spisanih utemeljitev, niti ne govorimo.

Kaj prinaša GDPR nadgradnja Credo 5

Creatimov CMS sistem Credo 5 bo v delu, ki se nanaša na registracijo in privolitve, usklajen z GDPR. Credo bo po novem omogočal:

  • upravljanje poljubnega števila ločenih privolitev in statusov posameznega uporabnika,
  • selektivne aktivnosti glede na vrsto privolitve uporabnika,
  • izbris uporabnika (na njegovo zahtevo) in generiranje zapisa in obvestila o izbrisu,,
  • možnost izvoza podatkov o uporabniku za prenos,
  • revizijsko sled; 

Novosti in uskladitve bodo na voljo za implementacijo po 30. marcu 2018.

 

3. Določite legitimne interese družbe

Če je zbiranje podatkov sestavni del vaše ključne dejavnosti, lahko pravno osnovo za zbiranje osebnih podatkov opredelite kot legitimni interes družbe. V tem primeru privolitve posameznika ne potrebujete.

Gradbeno podjetje, na primer, bo pošiljanje e-novic težko opredelilo kot svojo osnovno dejavnost. Nasprotno pa zdravnik mora voditi evidenco osebnih podatkov o svojih pacientih, saj jih brez tega ne more zdraviti. Torej je to njegov legitimni interes. Če pa bo želel svojim pacientom pošiljati e-novice, bo tudi on potreboval njihovo privolitev. Pozdravi jih lahko namreč tudi brez e-novic.

Kaj razumete kot legitimni interes v svoji dejavnosti, boste morali utemeljiti v posebnem aktu. Pavšalni razlogi (npr. podatke zbiramo zaradi lažjega poslovanja) ne bodo dovolj.

Uredba v tem primeru tehta med interesi organizacije in posameznika (uporabnika) in je načeloma bolj naklonjena slednjemu. Lahko uporabnik upravičeno pričakuje, da razpolagate z njegovimi podatki? Sem član poslovnega kluba in mi je logično, da klub vodi evidenco članov, ima torej tudi moj naslov. Ampak - kaj pa med podatki dela ime moje žene?

Opredelitev legitimnega interesa je vsekakor delo za vašega pravnika. Lahko se tudi obrnete na kakšnega specialista za to področje, kot sta JK Group ali Info-hiša

4. Naredite red med podatki

Med branjem tega sestavka vas je morda prešinilo, da imate podatke raztresene po raznih strežnikih, oblakih, aplikacijah in namiznih računalnikih. Za tolažbo naj vam povem, da niste edini. Je pa skrajni čas, da začnete delati red.

Tudi če na zunaj izgleda vse lepo pod kontrolo, je lahko dejansko stanje, ko boste enkrat pogledali pod preprogo, precej drugačno. V primeru, da osebne podatke o vaših uporabnikih obdelujejo pogodbeni obdelovalci preverite, če to počno skladno z določili GDPR. Na koncu je ravnanje s podatki vedno (tudi) odgovornost upravljalca, torej vas. 

GDPR process

Postopek usklajevanja osebnih podatkov z GDPR Vir: IBM

Naš nasvet? V časovnici si pustite dovolj rezerve tudi za razna presenečenja.

S podatki ne morete ravnati skrbno, dokler ne veste, kje sploh so. Lociranje in klasifikacija podatkov sta zato predpogoj za vse nadaljne korake. V manjših organizacijah bo to morda še obvladljivo početje, večje ribe, zlasti banke in zavarovalnice, pa se bodo že za ta korak potrebovale ustrezno programsko opremo tipa IBM Guradium.

5. Določite postopke

A programska oprema sama po sebi še ni rešitev. Večji zalogaj so postopki in dokumentacija, ki jo boste morali na novo oblikovati. Kaj se zgodi, če uporabnik zahteva izbris? Kako boste podatke brisali iz baz? Kdo bo to počel? Kako boste vedeli, da so vsi podatki izbrisani v skladu z zahtevo? Kako boste to dokazali?

Za vsako vrsto uporabniške zahteve bo potrebno vnaprej oblikovati ustrezen postopek, ki bo zgotavljal, da bo zahtevek obravnavan in izveden korektno in v predvidenem roku (praviloma 30 dni).

Kaj z obstoječimi e-poštnimi seznami?

Če nimate izrecnega dokazila o privoljenju uporabnika (npr. za pošiljanje e-novic ali pa  izvajanje avtomatičnega marketinga) je edina možnost, da takšnim uporabnikom še pred 25. majem pošljete obvestilo in jih prosite, da vam v izogib nejasnosti dovoljujejo obdelavo podatkov (za vsak primer posebej, kot to določa GDPR). Seveda tvegate, da se večina sploh ne bo odzvala, kar pomeni, da dovoljenja nimate. Ampak to v bistvu niti ni tako tragično. V bodoče boste pač e-pošto pošiljali zgolj tistim, ki jih vaš izdelek ali storitev resnično zanima.

Kako se izogniti ognju in meču informacijske pooblaščenke?

Življenje pač nikoli ni idealno, zato se vsak od nas sprašuje (beri: po tihem preračunava, koliko je 4% od prometa), kaj ga bo doletelo, če pride do težav ali - bog ne daj - do vdora v sistem in izgube osebnih podatkov .

Zadnjo besedo v takšnih primerih ima seveda informacijska pooblaščenka. Drznil bi si ugibati, da za vsak spodrsljaj kazen ne bo šla ravno v milijone.  Verjetno se bo začelo pri opominih, v primeru večjih malomarnosti in namernih kršitev pa znajo padati tudi batine.

GDPR je pač treba jemati resno.

V primeru težav je prva linija obrambe urejena dokumentacija na tem področju in praksa, ki dokazuje, da se držite lastnih pravil.

Drug pomemben dejavnik pa je varuh osebnih podatkov (DPO), ki ga po novem predvideva GDPR. DPO sicer ni obvezen za vse organizacije, je pa priporočljiv. Upoštevanje njegovih priporočil zna biti pomembna olajševalna okoliščina ob morebitnih težavah.

 

Za zaključek

Spet so si v Evropi nekaj izmislili in nam nakopali kup stroškov in cirkusa, boste rekli. Kot da nimamo boljšega dela!

A vsaka medalja ima dve plati. Po koncu službe smo vsi uporabniki takšnih in drugačnih storitev in pričakujemo, da ponudniki z našimi podatki ravnajo odgovorno. Po raziskavah več kot 80% potrošnikov v Evropi GDPR sprejema z naklonjenostjo.

Večja transparentnost povečuje zaupanje v internet. Mailing liste se znajo zaradi uredbe sicer konkretno skrajšati, a to še ne pomeni nujno manj kupcev. Od tistih, ki so se na vaši spletni strani registrirali bolj iz firbca, nikar ne pričakujte privolitve. Zvesti kupci pa bodo ostali. In na teh se splača graditi.

Andrej Perc Andrej Perc je ustanovitelj in direktor Creatima. Njegovi članki odsevajo znanje in izkušnje celotne ekipe.


Nazaj